cdr carto risk de la... · -hervé dubuis, auditeur interne, ... -jean-michel chaplain, directeur...

L E S C A H I E R S D E L A R E C H E R C H E

MEILLEURES PRATIQUES

Des clés pour la miseen œuvre du contrôleinterne

Du bon usage du cadre deréférence de contrôle internede l’AMF

Réalisé par une Unité de Recherchede l’IFACI

D E S C L É S P O U R L A M I S E E N Œ U V R E D U C O N T R Ô L E I N T E R N E

© IFACI – Paris – février 2008

ISBN : 978-2-915042-12-2ISSN : 1778-7327

Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de l’auteur, oude ses ayants droits, ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40). Cettereprésentation ou reproduction, par quelque procédé que ce soit, constituerait une contrefaçon sanc-tionnée par les articles 425 et suivants du Code Pénal.

3M E I L L E U R E S P R AT I Q U E S


© IFACI

REMERCIEMENTS

L’IFACI tient tout particulièrement à remercier les membres de l’Unité de Recherche qui ontcontribué aux différentes phases de production de ce cahier :

Conception et rédaction :

- Annie Bressac, Directrice du département contrôle interne et risques, Fondation d’Auteuil,Animatrice de l’Unité de Recherche ;

- François Bresson, Auditeur interne, France Telecom ;

- Hervé Dubuis, Auditeur interne, Paris-Re ;

- Françoise Giron, Directeur Technique Missions, France Telecom ;

- Yves Grimaud, Senior Manager, PricewaterhouseCoopers ;

- Alain Hocquet, Risk Manager, France Telecom ;

- Béatrice Michel, Responsable du contrôle interne, groupe La Poste ;

- Jacques Renard, Consultant ;

Conception :

- Florence Fradin, Responsable Référentiels d'Audit Interne et Qualité, Représentation, BNP-PARIBAS ;

- Sophie Nicaise-Gastineau, Adjointe au Responsable du pôle Risques opérationnels, Banque deFrance ;

- Eglantine Mazel, Auditeur interne, France Telecom ;

Révision :

- Jean-Michel Chaplain, Directeur de l’audit interne, Croix Rouge Française ;

- Béatrice Ki-Zerbo, Directrice de la Recherche, IFACI ;

- Jean-Loup Rouff, Consultant ;

Mise en forme :

- Julie Ferré, Assistante de la Recherche et des événements, IFACI.

Louis VAURS, Délégué Général

SOMMAIRE

REMERCIEMENTS ................................................................................................ 3

INTRODUCTION ................................................................................................... 7

I. CADRER LE PROJET DE CONTRÔLE INTERNE ................................................... 9

1-1. Clarifier le contexte et les objectifs du projet ............................................................. 9

1-2. Adopter un référentiel et une définition du contrôle interne ................................ 11

1-3. Retenir les options de déploiement du projet de contrôle interne ....................... 12

1-4. Les conditions de la mise en œuvre du projet ......................................................... 16

II. METTRE EN ŒUVRE LE PROJET ..................................................................... 21

2-1. Démarche et principes de déploiement .................................................................... 21

2-2. Les conditions préalables ............................................................................................ 25

2-3. Une organisation appropriée ...................................................................................... 33

2-4. La diffusion en interne d’informations pertinentes ................................................ 45

2-5. Un système de recensement et d’analyse des risques ............................................ 49

2-6. Les activités de contrôle .............................................................................................. 57

2-7. La surveillance et le pilotage ...................................................................................... 73

III. COMMUNIQUER / VENDRE LE CONTRÔLE INTERNE ................................... 82

3-1. Le rôle du Président et de la Direction Générale .................................................... 82

3-2. L’audit interne ............................................................................................................... 84

3-3. L’équipe projet .............................................................................................................. 84

3-4. Les managers ................................................................................................................ 86

3-5. Les opérationnels .......................................................................................................... 88

3-6. Faire vivre le contrôle interne .................................................................................... 90

3-7. Tableau récapitulatif relatif à la communication ..................................................... 94

4 M E I L L E U R E S P R AT I Q U E S


© IFACI



© IFACI

CONCLUSION .................................................................................................... 97

ANNEXES .......................................................................................................... 99

Annexe 1 : Le cadre de référence de l’AMF et les recommandationsde cette dernière ................................................................................................................. 101

Annexe 2 : Questionnaire relatif à l’analyse et à la maîtrise des risques .................. 111

Annexe 3 : Outils à utiliser ............................................................................................... 113

Annexe 4 : La charte de Contrôle interne ....................................................................... 119

Annexe 5 : Délégation de pouvoir .................................................................................. 121

Annexe 6 : Matrice risques / contrôle ............................................................................ 125

Annexe 7 : Le référentiel de contrôle interne ................................................................ 127

Annexe 8 : Comment tester le bon fonctionnement des activités de contrôle ? ...... 131

Annexe 9 : L’auto-évaluation du contrôle interne et des risques ............................... 135

BIBLIOGRAPHIE ............................................................................................... 136

INTRODUCTION

Si la notion de contrôle est probablement aussi vieille que l’humanité, la mise en place ausein d’une organisation d’un dispositif raisonné et rationnel de contrôle interne au senscontemporain exige une attitude volontariste et l’élaboration d’un véritable projet.L’exposé des principes, les discours, les formations, les documents explicatifs butent toussur la même interrogation : tout cela est fort bien, mais maintenant, comment vais-je m’yprendre ?Le présent document se propose de répondre au « comment » et, tenant compte desdernières avancées sur le sujet, de donner une méthode pour qui souhaite entreprendre lamise en œuvre globale d’un dispositif rationnel de contrôle interne.Avant d’aller plus loin, un bref rappel de ce que l’on entend par « contrôle interne » estnécessaire.Il existe plusieurs définitions du contrôle interne, parfois partielles, souvent complémen-taires, mais jamais contradictoires. La plus connue, parce que historiquement la premièrede nature universelle, est celle du COSO qui, dès 1992, définissait le contrôle internecomme « un processus mis en œuvre par le conseil d’administration, les dirigeants, le personneld’une organisation, destiné à fournir une assurance raisonnable quant à la réalisation des objectifssuivants :

• réalisation et optimisation des opérations ;• fiabilité des informations financières ;• conformité aux lois et aux réglementations en vigueur. »

D’autres définitions du contrôle interne ont ensuite été données, tant au plan national etprofessionnel (Règlement CRBF 97-02 relatif au contrôle interne des établissements decrédit et des entreprises d’investissement), qu’au plan international (COCO, Turnbullguidance…).Un groupe de place a été chargé par l’Autorité des Marchés Financiers (AMF) de rédigerun cadre de référence du contrôle interne, à l’usage des sociétés françaises soumises auxobligations de la Loi de Sécurité Financière. La définition retenue par le groupe de placeen mai 2006 est la suivante :

« Le contrôle interne est un dispositif de la société, défini et mis en œuvre sous sa responsabilité.Il comprend un ensemble de moyens, de comportements, de procédures et d’actions adaptés auxcaractéristiques propres de chaque société qui :

• contribue à la maîtrise de ses activités, à l’efficacité de ses opérations et à l’utilisation effi-ciente de ses ressources, et

• doit lui permettre de prendre en compte de manière appropriée les risques significatifs, qu’ilssoient opérationnels, financiers ou de conformité.

Le dispositif vise plus particulièrement à assurer :• la conformité aux lois et règlements ;• l’application des instructions et des orientations fixées par la Direction Générale ou le

Directoire ;• le bon fonctionnement des processus internes de la société, notamment ceux concourant à la

sauvegarde de ses actifs ;• la fiabilité des informations financières. »



© IFACI

Cette définition a le double mérite d’être plus large et plus complète que les précédentes,et au-delà du but visé par l’AMF, de pouvoir être appliquée à tout type d’organisation.Toutefois, en dépit de sa précision et de son exhaustivité, cette dernière définition nepermet pas aux organisations qui souhaitent mettre en place un projet de contrôle internede savoir précisément comment s’y prendre.

• Quelle est la méthode ?• Quels sont les moyens ?• Quelles sont les contraintes ?

Telles sont les questions auxquelles ce cahier de la recherche se propose de répondre enfournissant aux organisations des clés pour mener à bien un projet de définition ou d’opti-misation du contrôle interne. Toutes les organisations sont concernées par ces probléma-tiques : qu’elles soient publiques, privées, petites ou grandes.Pour répondre au mieux à ces interrogations, le présent cahier est structuré en troisparties :

• Cadrer le projet (p. 9) : quel type de contrôle interne et dans quel périmètre ?• Mettre en œuvre le projet (p. 21) : quelles sont les modalités de conduite du projet ?• Communiquer et vendre le contrôle interne (p. 82) : comment faire vivre le disposi-

tif ?

Pour chacune de ces parties, des points d’attention sont mis en évidence etmatérialisés par cette clé.



© IFACI

9

I. CADRER LE PROJET DE CONTRÔLE INTERNE

Avant toute mise en œuvre d’un projet de contrôle interne, l’organisation doit en définir lecadre. Pour cela, il convient de s’interroger sur :

• le contexte et les objectifs ; • le choix d’un référentiel et d’une définition du contrôle interne adaptés à l’organi-

sation ;• la définition du périmètre ;• les conditions de la mise en œuvre du projet.

1-1 Clarifier le contexte et les objectifs du projetSelon le contexte dans lequel l’organisation intervient, les objectifs du projet peuvent résul-ter :

• de motivations internes telles qu’une meilleure maîtrise des activités ;• de raisons externes : ainsi une contrainte réglementaire peut être à l’origine d’une

telle démarche ;• d’une combinaison de ces deux types de facteurs.

1-1-1 Une meilleure maîtrise des activités

La maîtrise des activités d’une organisation constitue une préoccupation partagée par lesmanagers. Elle suppose :

• une clarification des objectifs stratégiques et opérationnels, une communication deces objectifs à l’ensemble des acteurs de l’organisation ainsi que leur déclinaisondans l’action quotidienne ;

• une identification des risques qui menacent la réalisation de ces objectifs et l’adop-tion des meilleures solutions en termes de coûts et d’efficacité pour remédier auxdysfonctionnements.

Autant d’éléments qui sont au cœur d’un dispositif de contrôle interne. C’est donc souventla recherche d’une gestion plus rigoureuse qui sera à l’origine du lancement d’un projet decontrôle interne. En outre, ce type de démarche se traduira également par :

• la description et la documentation des activités ;• l’élimination des étapes de processus sans valeur ajoutée ou excessivement lourdes ;• la clarification de la répartition des tâches et des responsabilités.

1-1-2 Répondre à une contrainte réglementaire

L’organisation peut être soumise à des obligations réglementaires qui lui imposent d’enga-ger un projet de formalisation ou de renforcement de son contrôle interne. De fait, ces dernières années, la réglementation a constitué un élément de sensibilisation etune porte d’entrée pour un projet global de révision ou de déploiement du contrôleinterne :

• ainsi, la section 404 de la loi Sarbanes-Oxley (SOX) qui s’applique aux sociétéscotées à New York, exige que la Direction Générale engage sa responsabilité surl’établissement d’une structure de contrôle interne comptable et financier et qu’elleévalue, annuellement, son efficacité au regard d’un modèle de contrôle internereconnu ;

M E I L L E U R E S P R AT I Q U E S


© IFACI

• toujours dans l’objectif de restaurer la confiance des investisseurs dans les marchés,la « Loi de Sécurité Financière » (LSF) a été promulguée en France en août 2003.Cette loi s’applique aux sociétés anonymes faisant appel public à l’épargne. Selonles articles 225.37 et 225.68 du code de commerce qui trouvent leur origine danscette Loi, le Président du Conseil d’Administration ou de Surveillance des sociétésfaisant appel public à l’épargne « rend compte, dans un rapport,… des procédures decontrôle interne mises en place par la société » ;

• de même, l’Union Européenne demande comme pré requis pour tout nouveau paysmembre, la mise en place du Public Internal Financial Control (PIFC), dispositif decontrôle interne essentiellement financier, mais dont le périmètre s’étend peu à peuà tous les domaines de gestion des corps publics de l’Union Européenne (cf.« Welcome to the world of PIFC ») ;

• on peut encore citer les textes et règlements bancaires (Bâle 2, CRBF 97-02 modifié),la réglementation des organismes de sécurité sociale; le décret n° 2006-287 du 13mars 2006 pour les sociétés d’assurance… ;

• enfin, trois directives européennes ont une incidence sur le contrôle interne :- la 4ème directive (78/660/CEE) du conseil, concernant les comptes annuels de

certaines formes de société, a été modifiée en juin 2006 pour y introduire l’arti-cle 46 bis. Le paragraphe 1.c. de ce nouvel article prévoit que le rapport degestion contienne « une description des principales caractéristiques des systèmes decontrôle interne et de gestion des risques de la société dans le cadre du processus d’éta-blissement de l’information financière » ;

- la 7ème directive (83/349/CEE) du conseil, concernant les comptes consolidés,dont l’article 36.§2. a été complété en juin 2006 par l’exigence d’une descriptiondes principales caractéristiques des systèmes de contrôle interne et de gestiondes risques de la société dans le cadre du processus d’établissement des comp-tes consolidés ;

- la 8ème directive concernant les contrôles légaux des comptes annuels et descomptes consolidés (2006/43/CE), prévoit que chaque entité d’intérêt publiquesoit dotée d’un comité d’audit. Le rôle de cette instance dans « le suivi de l’effica-cité des systèmes de contrôle interne, d’audit interne, le cas échéant, et de gestion desrisques de la société » est souligné à l’article article 41.§2.b de la directive.

Le secteur public est autant touché par ces évolutions que le secteur privé. Ainsi, l’exigence réglementaire peut-elle conduire certaines organisations à formaliser,voire consolider leur dispositif de contrôle interne. Mais, autant il est impératif de respec-ter les termes de la réglementation à laquelle on est soumis, autant il est recommandé dene pas s’en tenir aux limites de cette contrainte si celle-ci n’englobe pas le dispositif decontrôle interne dans son universalité.



© IFACI

Clarifier les motivations et les bénéfices attendus d’un projet de contrôleinterne n’est pas une étape superflue, car elle constitue le socle de la communi-

cation et des arbitrages ultérieurs sur le projet. Cette démarche permet notamment d’expliciter et de rationaliser les choix d’inves-tissement envisagés.

1-2 Adopter un référentiel et une définition du contrôle interne

Au vu des éléments de contexte rassemblés lors de l’étape précédente, l’organisation doitdécider le type de contrôle interne qu’elle souhaite mettre en œuvre.

Dans le respect des obligations réglementaires qui lui sont applicables, l’organisation peutélaborer sa propre définition en matière de contrôle interne, dès l’instant qu’au final, il y aune définition commune pour l’ensemble de l’organisation.Certaines organisations adoptent aussi des définitions limitées aux exigences réglementai-res (restriction au contrôle interne relatif à l’établissement de l’information financière parexemple).

Selon les premiers termes de la définition du cadre de référence de l’AMF, « Le contrôleinterne est un dispositif de la société, défini et mis en œuvre sous sa responsabilité. Il comprendun ensemble de moyens, de comportements, de procédures et d’actions adaptés aux caractéris-tiques propres de chaque société ».

Par conséquent, la conception et le déploiement d’un dispositif de contrôle interne au seind’une organisation nécessitent une compréhension préalable des comportements dumanagement de l’organisation face aux risques et aux contrôles. C’est une étape indispen-



© IFACI

Il s’agit d’élaborer une définition commune pour l'ensemble de l'organisation,le cas échéant en tenant compte des différentes réglementations auxquelles

l'organisation est soumise.La définition adoptée doit former un cadre global sans incohérence, qui trouve unécho dans l’environnement dans lequel le projet se déroule.

Plusieurs éléments de cette définition permettent de rappeler que le contrôleinterne doit avant tout être cohérent avec la culture et le mode d’organisation.

Il ne s’agit pas de plaquer un concept exogène, mais bien de l’adapter à chaqueorganisation et de le décliner de façon appropriée pour répondre à sa responsabi-lité, ses caractéristiques propres.

Pour les organisations soumises simultanément à plusieurs réglementations, ilconvient d’effectuer un rapprochement détaillé de leurs exigences :• certaines se superposent : on retiendra alors le référentiel le plus exigeant ;• certaines se complètent : on veillera à les intégrer dans un cadre global homo-

gène, et à vérifier l’absence d’incohérence.

Quoiqu’il en soit, il est toujours souhaitable d’adopter la définition la plus large,celle qui reconnaît le caractère universel du contrôle interne.

sable pour convaincre de la nécessité d’un dispositif de contrôle interne, et se l’approprier.Ainsi une association à but caritatif aura-elle, face aux risques, un comportement différentde celui d’une jeune société devant s’imposer sur un nouveau marché. On ne parle pas, àce stade, d’appétence aux risques, mais de comportements liés à la nature de l’activité del’organisation, aux personnes qui la font vivre au quotidien. Il convient aussi de s’intéresser au style de management. Prenons l’exemple d’une organi-sation où la responsabilisation des managers est la règle. Il faudra expliquer que la miseen place d’un dispositif de contrôle interne a pour objectif une meilleure maîtrise des acti-vités, et non la mise en place d’un système de contrôle des personnes. De même, une organisation peut être gérée de manière plus ou moins informelle. Ainsi, laDirection Générale peut choisir de s’appuyer sur des procédures de reporting très forma-lisées, des tableaux de bord, des rapports d’incidents, tandis que dans d’autres organisa-tions le « contrôle » des activités est réalisé à travers des échanges plus informels.

1-3 Retenir les options de déploiement du projet de contrôleinterne

1-3-1 Délimiter le périmètre du dispositif

Organiser le contrôle interne suppose avant tout de déterminer précisément son périmè-tre de couverture. Or, trop souvent aujourd’hui, seule la contrainte réglementaire donne une indication surle périmètre à couvrir. Il en est ainsi avec la loi Sarbanes Oxley, qui enjoint aux entreprisescotées à la bourse de New York de maîtriser en priorité les processus liés à la productionde l’information financière de l’entreprise. Pourtant, les risques que court l’organisation sont beaucoup plus larges, et peuvent prove-nir de bien d’autres fonctions ou secteurs que de sa seule sphère financière. C’est pourquoila question du périmètre de déploiement du système de contrôle interne mérite uneréflexion approfondie.Le modèle COSO1 (1992) fournit le premier, un élément de réponse ambitieux, en avançantque toutes les activités de l’organisation sont a priori concernées, au niveau du siègecomme des divisions, des filiales ou des unités d’affaires. Au vu de l’étendue des activitésconcernées, une analyse plus approfondie s’impose afin de dégager quelques priorités.



© IFACI

La connaissance des comportements au quotidien, du pilotage de l’entité et dela culture de contrôle est un préalable à la mise en place d’un dispositif de

contrôle interne. Cette connaissance facilitera les choix en matière de communication, de site test etde définition du périmètre.

1 Cf. « La pratique du contrôle interne - COSO Report - » - IFACI, PWC (Ed. d’organisation) 2002

Pour déterminer les priorités à l’intérieur du périmètre du dispositif, trois niveaux deréflexion peuvent être considérés :

• la nature des activités, processus et risques concernés (stratégie, finance, opérations,conformité et protection des actifs) ;

• la nature des liens juridiques constitutifs de l’organisation considérée (filiales, parti-cipations, joint venture…) ;

• la nature interne ou externe des activités contribuant à l’accomplissement de lamission confiée à l’organisation (sous-traitants, partenaires commerciaux…).

La nature des activités, des risques

Dans les organisations dont le projet de contrôle interne répond principalement à un objec-tif de mise en conformité à une loi ou une réglementation, le périmètre du projet estsouvent limité aux processus relatifs à l’élaboration de l’information comptable et finan-cière. Ce choix présente l’inconvénient de reléguer au second plan les autres processus ou acti-vités, pourtant vecteurs de risques tout aussi significatifs. De même, la question se pose fréquemment de savoir si les risques stratégiques relèventdu contrôle interne ou pas. A cette question, le COSO II1 ouvre la possibilité de les intég-rer au périmètre, ce qui présente l’avantage de conforter le management, en mettant souscontrôle les processus de détermination et de déploiement de la stratégie.

Le périmètre juridique

La question des filiales et participations peut très vite poser quelques problèmes à unegrande organisation, de type entreprise multinationale. Le nombre de filiales est parfoisimportant, et il est difficile de s’assurer de la fiabilité de leur système de contrôle interne.La difficulté est encore plus grande en ce qui concerne les participations.S’arrêter au périmètre consolidé de l’organisation est une bonne réponse concernant lesrisques financiers, liés à la publication de l’information financière. Au-delà, le choix dépen-dra de la volonté managériale, de la culture du groupe, des risques perçus et des éven-tuelles exigences réglementaires.



© IFACI

La détermination des priorités pourra utilement prendre en compte la notionde responsabilité. En effet, il faut se préoccuper des risques dont l’organisation

peut potentiellement être tenue pour responsable, qu’il s’agisse de risques inter-nes ou externes.Tout ce qui relève de ce périmètre de responsabilité devrait se trouver d’unemanière ou d’une autre sous contrôle.

1 Le management des risques-COSO II Report-IFACI, PWC, Landwell & associés (Ed. d’organisation) 2005

Au-delà des frontières de l’organisation

Dans certains cas, la question du déploiement d’un contrôle interne extra organisationnelpeut se poser. Il peut se matérialiser par des conditions contractuelles précises, comme laclause d’auditabilité de certains processus, ou la communication de certains indicateurs deperformance par le sous-traitant.De plus en plus d’entreprises ont recours à l’externalisation d’une partie de leur chaîne devaleur pour se concentrer sur les éléments sur lesquels elles ont le plus de valeur ajoutée(leur cœur de métier). Toutes ces fonctions cessent alors a priori d’être couvertes par lecontrôle interne de l’entreprise. Pourtant, la sous-traitance des processus, qui constituait,il y a peu encore, un moyen radical d’externaliser les risques, ne fournit plus à l’organisa-tion qui y a recours une garantie aussi complète.En effet, face à l’effacement généralisé des frontières de l’organisation, deux mouvementsde fond concourent à la responsabilisation des organisations au-delà de leur périmètrejuridique :

• tout d’abord, face au client, la responsabilité de l’organisation quant à la qualitéfinale de ses produits reste entière. Or, les réseaux de sous-traitants de l’organisationsont parfois si complexes que le contrôle exercé par l’organisation porteuse duproduit final est très faible. Le périmètre de contrôle de l’organisation est ainsi beau-coup plus restreint que son périmètre de responsabilité. Ce qui amène certainesentreprises à demander à leurs fournisseurs une plus grande visibilité sur leurchaîne de valeur, de manière à étendre ce périmètre de contrôle sur tout le périmè-tre de production. Concrètement, on est passé du concept de sous-traitant à celui deco-traitant : le co-traitant, qui prend la responsabilité de la réalisation du contratpour lequel il est sélectionné, est soumis à des exigences de communication accrue ;

• le deuxième mouvement dépasse la seule responsabilité de l’organisation face à sesclients ou ses fournisseurs, pour embrasser la responsabilité de l’organisationenvers toutes ses parties prenantes.

Ainsi, l’effacement des frontières de l’organisation a-t-il un impact profond sur la manièred’envisager le périmètre du contrôle interne. L’environnement réglementaire intègre cette nouvelle donne. Ainsi, l’article 116 de la loin°2001-420 du 15 mai 2001 relative aux Nouvelles Régulations Economiques (NRE) prévoitla communication d’informations sur la manière dont la société prend en compte lesconséquences sociales et environnementales de son activité. Le type d’informations à four-nir est précisé par le décret n°2002-221 du 20 février 2002 ; notamment « l’impact territorialdes activités en matière d’emploi et de développement régional, l’importance de la sous-traitance etla manière dont la société promeut auprès des sous-traitants et s’assure du respect par ses filialesdes dispositions des conventions fondamentales de l’Organisation internationale du travail ».De plus, des réglementations sectorielles (cf. l’article 37-2 du CRBF 97-02) précisent lesexigences de contrôle interne chez les prestataires1.

1-3-2 Préciser la granularité du contrôle interne

Une fois le périmètre défini, il reste à fixer la granularité du contrôle interne, c'est-à-dire leniveau de détail attendu du dispositif de contrôle interne, qui se traduit par le degré deformalisation des procédures de contrôle. Par exemple, le cadre de maîtrise sera-t-il défini



© IFACI

1 Cf. cahier de la Recherche sur l’audit des prestations essentielles externalisées par les établissements de crédit et les entreprisesd’investissement– Groupe professionnel Banque – IFACI – janvier 2007

au niveau d’un macro-processus (politique), d’un processus (procédures) ou d’un sous-processus (mode opératoire) ?

La prise en compte des contraintes réglementaires

A titre d’exemple, la mise en œuvre de la loi SOX pour les groupes cotés aux Etats-Unisinduit un niveau de formalisation très détaillé pour les processus conduisant à l’élabora-tion de l’information financière, alors que le reste de l’organisation est souvent couvert parun dispositif plus léger sans formalisation systématique des activités de contrôle.A contrario, certains groupes choisissent de saisir l’opportunité donnée par la loi SOXpour appliquer un niveau de granularité très fin qui va au-delà de la dimension compta-ble et financière pour couvrir la totalité du périmètre.

Périmètre de déploiement du Contrôle Interne : Le cas de France Telecom

France Telecom est une multinationale privée de droit français, cotée en bourse à Paris età New York. A ce titre, elle est soumise à la Loi de Sécurité Financière (LSF), ainsi qu’à laloi Sarbanes-Oxley.L’entreprise a décidé de se saisir de l’opportunité offerte par ces nouvelles réglementationspour déployer très largement son système de contrôle interne au sein du groupe.Ainsi, pour la holding (FTSA) et les principales filiales, existe-t-il un système de contrôleinterne très dense, dans un environnement de contrôle très formalisé, concernant lesprocessus financiers, informatiques, ressources humaines, sécurité, programmes anti-fraude. Les autres processus et les autres filiales sont couverts par un dispositif similaire,bien que moins dense. Le groupe a, par ailleurs, défini plusieurs catégories de filiales, qui, selon leur importance(en fonction de critères financiers, de taille et de risques), sont soumis de manière plus oumoins importante à des obligations de contrôle interne. Ainsi, même une petite filiale dugroupe doit répondre à un certain nombre d’objectifs en terme de contrôle interne (commela formalisation des processus financiers, des fonctions achats et ventes).Le déploiement de ce système de contrôle interne répondant à ces nouvelles obligationsréglementaires s’est effectué graduellement en 3 ans, entre 2004 et 2006.

Il en va de même dans les administrations publiques où l’on constate que le déploiementdu PIFC dépasse le simple cadre du contrôle interne des fonds européens. Ces tendances



© IFACI

Le niveau de granularité nécessaire dépend de la prise en compte d’un certainnombre de facteurs parmi lesquels on peut citer :• les exigences des lois et réglementations applicables ;• l’analyse et l’évaluation des risques ;• la culture de l’organisation en termes de prise de risque et de contrôle ;• l’analyse des coûts / bénéfices du niveau de détail recherché.

L’ambition de la Direction et les moyens dont elle dispose pour mener à bien cetype de projet, seront également déterminants à cet égard. Enfin, cette granularitén’est pas nécessairement identique pour l’ensemble du périmètre mais doit êtreadaptée aux enjeux propres à chaque entité, activité, processus…

« maximalistes » mettent en évidence la nécessité de prendre en compte d’autres facteurs,afin de fixer un niveau de granularité adapté aux enjeux de l’organisation.

L’analyse et l’évaluation des risques

Les activités les plus exposées en termes de risques ou les plus complexes nécessitent leplus souvent un cadre de contrôle plus précis et détaillé. C’est plus particulièrement le casdes processus et/ou activités cœur de métier, dont la maîtrise est critique.

La culture de l’organisation en termes de prise de risque et de contrôle

Au-delà des enjeux réglementaires et des résultats de l’évaluation des risques, la granula-rité du dispositif de contrôle interne est souvent le reflet d’éléments culturels tels que :

• l’appétence générale de l’organisation pour le risque ;• l’autonomie et le niveau de délégation accordés au management par la direction ;• les us et coutumes de l’organisation en matière de contrôle et de formalisation liés à

son appartenance sectorielle (secteur du nucléaire) ou à l’existence de démarchesqualité par exemple.

L’analyse des coûts / bénéfices du niveau de détail recherché

Il faut garder à l’esprit les conséquences d’un choix de granularité fine en termes de:• coût ; • modification des opérations, des pratiques et comportements ;• flexibilité.

Ces éléments sont à rapprocher des bénéfices attendus sur la maîtrise des activités. Si le rapport coût/bénéfice semble de prime abord un indicateur de choix très pertinent, ilva cependant être souvent délicat à appréhender, car les bénéfices sont le plus souventdifficilement quantifiables. De même, il est difficile d’évaluer le montant des pertes dû àune absence de contrôle interne.

1-4 Les conditions de la mise en œuvre du projet

La mise en œuvre exige un bon environnement de contrôle et la définition préalable d’unestructure adaptée qui précise les rôles et responsabilités de chaque acteur du projet, l’éta-blissement d’un planning et l’inventaire des moyens nécessaires.



© IFACI

Le diagnostic et l’identification des caractéristiques de l’environnement decontrôle sont fondamentaux pour éviter une mauvaise compréhension du

concept de contrôle ; ils permettent aussi de dimensionner le projet de contrôleinterne en toute connaissance de cause.

1-4-1 Les acteurs du projet :

Deux acteurs ont un rôle prépondérant dans la conduite du projet : la Direction Généraleou tout autre organe dirigeant, et l’équipe qui aura la charge du déploiement opérationneldu projet.

La Direction générale

Sa responsabilité s’articule autour des cinq axes suivants :• l’officialisation et le lancement du projet ;• la signature et la diffusion d’une lettre de cadrage ;• la constitution du comité de pilotage et la désignation du responsable du projet ;• l’attribution des moyens nécessaires ;• la supervision générale de l’avancement du projet.

L’équipe projet

La composition de l’équipe projet varie en fonction des organisations : les critères à pren-dre en compte sont la représentativité (des entités, activités cœur de métier et des princi-pales fonctions transversales), la motivation et les compétences, en veillant à ce que lataille de cette équipe et la disponibilité de ses membres sur le projet permettent un fonc-tionnement efficace.

Au sein de cette équipe, les rôles s’articulent le plus souvent de la manière suivante :• Le responsable du projet

- désigne les membres de l’équipe ; - définit les rôles de chacun et attribue les moyens ;- aide au diagnostic et à l’analyse des écarts ;- rend compte au comité de pilotage et à la Direction Générale ;- gère le planning du projet.

• Les correspondants du projet (nommés au sein des Directions opérationnelles)- explicitent les enjeux du projet auprès des membres de leur direction ;- relaient les informations ascendantes / descendantes ;- font remonter les éventuels dysfonctionnements / difficultés au Comité de

Pilotage ;- apportent un appui méthodologique aux managers (ex : identification des

risques).



© IFACI

Une équipe projet est mise en place en veillant à impliquer tous les acteurs, eneffet il ne faut surtout pas que ce projet devienne une affaire d'experts.

L’implication et le soutien de la Direction Générale sont les conditions premiè-res pour une réussite du projet. Elles pourront se matérialiser notamment par

une lettre de cadrage du projet, destinée à clarifier et faire partager les objectifs etenjeux du projet, afin de mobiliser toutes les ressources nécessaires à sa mise enœuvre.Pour des projets d’envergure le conseil d’administration ou le comité d’auditdoivent être informés.

Pour ce qui concerne le contrôle interne public au sens de Commission européenne, lePIFC fournit non seulement un cadre de référence, mais propose aussi une structure projetpour déployer le contrôle interne en partant de zéro. La Commission européenne recom-mande ainsi d’établir un service central d’harmonisation (Central Harmonisation Unit,CHU) chargé de mettre en place et de maintenir le système de contrôle interne et d’auditinterne. Ce service est généralement situé au sein du ministère des Finances. Il étend sacompétence à l’ensemble de l’Administration par le biais fonctionnel1.

L’audit interne

En tant que spécialiste de l’approche par les risques et par processus, l'audit interne estégalement un acteur incontournable qui :

• examine et évalue le caractère adéquat et efficace des politiques et procédures dudispositif de contrôle interne ;

• informe la Direction Générale et le comité d’audit au moyen d’une évaluation desprocessus de management des risques et du système de contrôle interne ;

• participe à la sensibilisation et à la formation des acteurs au contrôle interne.

Pour être efficace, l’intervention de l’audit interne doit se tenir dans le respect des normesinternationales de la profession (www.ifaci.com).



© IFACI

Lors de la constitution de l’équipe projet, il est souhaitable, autant que faire sepeut, d’intégrer la vision future de la structure qui sera en charge du contrôle

interne après la fin du projet. A cet égard, deux tendances se dégagent :• une « Division du Contrôle Interne » sera créée. Dès lors, il faut mettre en

place une structure projet qui deviendra plus tard la « Division du ContrôleInterne » ;

• aucune structure spécifique ne sera mise en place à l’issue du projet et lesopérationnels assument l’intégralité des rôles liés à l’animation du contrôleinterne. Dans cette hypothèse, il faudra une structure projet plus légère, prêteà se dissoudre dans l’organisation une fois le projet terminé.

Il est souvent préférable que l’équipe projet :• puisse bénéficier du soutien de l’audit interne (compétent en matière de

contrôle interne) et éventuellement de consultants externes dès l’instant queces derniers travaillent sous l’autorité du responsable du projet et en colla-boration avec l’équipe projet ;

• ne devienne pas propriétaire du projet mais travaille en liaison permanenteavec l’ensemble des managers et des opérationnels ;

• rende compte de l’avancement des travaux à toutes les parties concernées.

1 Contrôle interne et audit publics – Alain-Gérard Cohen – Librairie L.G.D.J. - 2005

http://www.ifaci.com

Les autres acteurs

D’autres acteurs jouent également un rôle important dans ce type de projet, citons parexemple le comité de pilotage, les managers, les opérationnels, les consultants externes :

• Le comité de pilotage qui :- veille au bon fonctionnement du projet et au respect des grandes orientations (la

définition des besoins) ;- définit le planning ;- suit l’avancement des travaux ;- analyse les litiges.

Il est conseillé de faire présider le comité de pilotage par le directeur général et d’y intég-rer des managers opérationnels.

• Les managers et les opérationnels qui :- identifient les risques dans leur domaine de compétence. Ils bénéficieront éven-

tuellement du soutien des correspondants du projet de leur entité ;- identifient avec les membres de l’équipe projet et le comité, les meilleures préco-

nisations ;- mettent en œuvre les solutions retenues ;- communiquent auprès de leur personnel.

• Les consultants externes qui :Si le management n’a pas une bonne connaissance du contrôle interne, et en l’absence d’unservice d’audit interne, les consultants externes peuvent assurer un accompagnementméthodologique. Sinon, il peut simplement s’agir de ressources qualifiées.

1-4-2 Le planning et autres moyens

Il est nécessaire d’avoir un planning rigoureux et de planifier des réunions périodiquesentre l’équipe projet et la Direction afin de faire régulièrement le point.Les autres moyens sont ceux inhérents à la conduite de tout projet :

• les moyens financiers (salaires, déplacements, achats de matériels informatiques etde logiciels, abonnements etc.),

• la logistique (bureaux, moyens de transports), • l’infrastructure technique éventuelle.



© IFACI

Le rôle de l’audit interne doit être clarifié dès le début du projet de contrôleinterne, afin de limiter les risques d’atteinte à l’indépendance et à l’objectivité

des auditeurs internes.

Le comité de pilotage doit être dirigé par une personne ayant le niveau hiérar-chique et le charisme nécessaires à l’atteinte des objectifs.

Ces moyens sont définis dès la phase de lancement et réajustés en permanence au fur et àmesure de l’avancement du projet. Comme pour tout projet, le pilotage du budget estessentiel pour éviter tout risque de dérive.De même, le rythme de déploiement doit être planifié. En effet, le développement dudispositif de contrôle interne peut provoquer, dans un premier temps, un surcroît detravail (renforcement des activités de contrôle) sans que la valeur ajoutée en soit immé-diatement perceptible. Il convient donc de procéder par étapes pour éviter la démobilisa-tion des opérationnels.



© IFACI

Vouloir couvrir un périmètre trop large d’un seul coup peut constituer uneerreur aux conséquences importantes. Il est recommandé de définir un premier

planning sur une zone test afin de roder les méthodes et de provoquer un effetd’entraînement. Le choix de ce périmètre pilote doit être effectué prudemment et, afin de se donnerles meilleures chances de succès, il convient de s’assurer de :

• la représentativité du domaine choisi, • l’absence de spécificité ou de complexité majeure,• la motivation de l’entité pilote,• la disponibilité des intervenants.

L’exemplarité de la réussite du déploiement sur un périmètre restreint peut ensuiteconstituer le meilleur vecteur de diffusion dans le reste de l’organisation.

II. METTRE EN ŒUVRE LE PROJET

2-1 Démarche et principes de déploiementLa démarche généralement appliquée en matière de contrôle interne consiste à :

• identifier les caractéristiques requises par le référentiel de contrôle interne choisi.Celles-ci constituent la cible c'est-à-dire l’état souhaité du dispositif de contrôleinterne ;

• effectuer l’analyse du dispositif existant et identifier les écarts cible/existant ;• en déduire les actions à mettre en œuvre pour atteindre la cible souhaitée.

Dans la mise en œuvre de cette démarche, nous avons retenu quatre principes de déploie-ment :

1. la mise en œuvre du projet doit suivre une démarche « top-down » qui supposel’implication de la Direction Générale (cf. § les acteurs du projet, p.17) et ce, mêmesi la description des processus et des activités de contrôle peut être effectuée« bottom-up » ;



© IFACI

Par c

om

po

san

te d

u ré

fére

nti

el d

e co

ntr

ôle

inte

rne

Réit

érat

ion

Définir les critères cibles à respecter

Analyser le dispositif existant

Définir et mettre en œuvre des plansd'action pour respecter les critères cibles

Evaluer l'écart entre la cible et l'existant

On peut ajuster la cible en fonction des données qui ressortent de l’analyse del’existant. Cette démarche itérative sur les différentes composantes permettra

de pérenniser le projet.

2. un premier déploiement sur une zone de test (entité ou processus pilote) permettrad’affiner la méthode et de mieux maîtriser les risques inhérents au projet, decommuniquer sur la base d’une bonne pratique ;

3. la démarche est ensuite déployée de manière itérative et arborescente sur l’ensem-ble du périmètre en allant du plus général au plus spécifique. Chaque centre d’acti-vité ou processus réalisent, avec l’assistance de l’équipe projet, la mise en œuvre deson contrôle interne selon des principes partagés par tous ;

4. la transition du mode projet vers un modèle intégré aux activités courantes del’organisation doit être effectuée.

Dans la suite de cet ouvrage, nous avons retenu le cadre de référence de contrôle internede l’AMF comme dispositif cible.

« Le dispositif de contrôle interne, qui est adapté aux caractéristiques de chaque société,doit prévoir :

• une organisation (p.104) comportant une définition claire des responsabilités, dispo-sant des ressources et des compétences adéquates et s’appuyant sur des procédures,des systèmes d’information, des outils et des pratiques appropriés ;

• la diffusion en interne d’informations pertinentes (p.105), fiables, dont la connais-sance permet à chacun d’exercer ses responsabilités ;

• un système (p.105) visant à recenser et analyser les principaux risques identifiablesau regard des objectifs de la société et à s’assurer de l’existence de procédures degestion de ces risques ;

• des activités de contrôle (p.105) proportionnées aux enjeux propres à chaque proces-sus et conçues pour réduire les risques susceptibles d’affecter la réalisation desobjectifs de la société ;

• une surveillance permanente (p.106) du dispositif de contrôle interne ainsi qu’unexamen régulier de son fonctionnement. Cette surveillance, qui peut utilement s’ap-puyer sur la fonction d’audit interne de la société lorsqu’elle existe, peut conduire àl’adaptation du dispositif de contrôle interne.La Direction Générale ou le Directoire apprécient les conditions dans lesquelles ilsinforment le Conseil des principaux résultats des surveillances et examens ainsiexercés. »

Chaque composante de ce cadre de référence fait l’objet d’un chapitre qui suit les étapesde la démarche décrite plus haut et développe :

• les commentaires ou précisions relatifs aux caractéristiques à prendre en comptepour définir la cible ;

• les difficultés le plus couramment observées dans les organisations ; elles dénotentles écarts entre l’existant et la cible ;

• des exemples d’outils ou d’actions mis en œuvre pour y remédier.



© IFACI

Pour appréhender au mieux la conduite du projet de contrôle interne, nous vous propo-sons des fiches pratiques, qui explicitent les différentes composantes du dispositif cibleretenu : le cadre de référence de contrôle interne de l’AMF.



© IFACI

Définition de la cible

• Préalables• Organisation• Informations• Analyse des risques• Activités de contrôle• Surveillance permanente

Analyse de l'existant

• Actions• Outils

• Difficultés le plus couramment rencontrées• Ecart cible/existant

Définition et mise en œuvre des plans d'action

2-2 Les conditions préalables



© IFACI

ELÉMENT DU CADRE

DE RÉFÉRENCEINTITULÉ DE LA FICHE PRATIQUE PAGE

Conditions préalables (p. 103)

Définition des objectifs de l’organisation 26

Déclinaison et communication des objectifsde l’organisation

28

Règles d’exemplarité et d’intégrité 30






26



FI

CH

E

PR

AT

IQ

UE

© IFACI

DÉFINITION DES OBJECTIFS DE L’ORGANISATION

Cible

Cadre de référence

« Les grandes orientations en matière de contrôle interne sont déterminées en fonction desobjectifs de la société. »

Commentaires

Les objectifs impliquent tous les secteurs de l’organisation ; ils s’expriment en termes d’activité, dequantité, de qualité. On distingue les objectifs Corporate qui définissent les buts que l’organisationse propose d’atteindre, et les objectifs opérationnels qui définissent les buts à atteindre par chacundans le cadre de son activité.

La définition des objectifs concerne tous les organes du gouvernement d’entreprise et tous ceux quiont à mettre en œuvre leurs décisions.

Un objectif s’exprime toujours par un chiffre associé à une mesure de temps.

L’absence d’objectifs, ou des objectifs incomplets interdisent de savoir où l’on va et donc créent ununivers instable dans lequel les risques changent et sont insaisissables, d’où l’impossibilité de cons-truire un contrôle interne cohérent et fiable.

Les difficultés couramment rencontrées

confusion entre une déclaration d’intention trop vague, impossible à mesurer, et unobjectif ;

objectif non significatif : trop minuscule ;

objectif non cohérent : sans relation avec l’activité ou en contradiction avec d’autresobjectifs ;

multiplication excessive ou insuffisance d’objectifs.

27



FI

CH

E

PR

AT

IQ

UE

© IFACI

Les actions / outils à mettre en œuvre

associer un indicateur (chiffre ou pourcentage) à chaque objectif ;

déterminer des indicateurs dont la valeur tend vers zéro lorsque la qualité s’amé-liore ;

Les managers doivent être sensibilisés et formés à la définition des objectifs ;

Les objectifs de l’organisation sont mis à jour régulièrement.

RETOUR ...

28



FI

CH

E

PR

AT

IQ

UE

© IFACI

DÉCLINAISON ET COMMUNICATION DES OBJECTIFS DE L’ORGANISATION

Cible


« Ces objectifs doivent être déclinés au niveau des différentes unités de l’entité et clairementcommuniquées aux collaborateurs afin que ces derniers comprennent et adhèrent à la poli-tique de l’organisation en matière de risques et contrôle. »

Commentaires

C’est à partir des objectifs Corporate que sont définis, de façon pyramidale, les objectifs de chaqueactivité. Il doit y avoir une double démarche :• une démarche top/down afin que chacun se détermine en fonction des objectifs de l’échelon supé-

rieur ;• une démarche bottom/up afin de vérifier la cohérence de l’ensemble.

La déclinaison des objectifs de l’organisation concerne tous les acteurs. En effet, leur cadre de travailest défini à partir de ces objectifs.

La qualité de la communication est essentielle. Elle passe par une :• connaissance des objectifs à prendre en compte ;• définition d’indicateurs et leur mise à jour régulière ;• information périodique des différents acteurs. Cette communication concernera les objectifs et les

indicateurs ;• information périodique et régulière sur les résultats des indicateurs.

C’est à partir de la connaissance des objectifs que l’on peut évaluer les moyens nécessaires (hommes ;budgets ; investissements) pour leur mise en œuvre.

De la communication découle l’action via des mesures correctives ou rectificatives des écarts consta-tés.


incohérence entre les moyens et les objectifs. Deux solutions : adapter les moyens ouréviser les objectifs ;

excès d’information : les arbres cachent la forêt. Les seules informations utiles sontcelles qui permettent de mesurer l’avancement dans la réalisation des objectifs ou révè-lent des obstacles à venir. Trop souvent les échelons supérieurs de la hiérarchie sontencombrés par des informations à faible valeur ajoutée ;

la rétention d’information par la hiérarchie ou les experts ;

une communication anarchique et/ou irrégulière.

29



FI

CH

E

PR

AT

IQ

UE

© IFACI


mettre en place un contrôle de gestion adapté ;

renseigner et analyser des tableaux de bord mettant en évidence les résultats des indi-cateurs;

tenir des réunions régulières de suivi et d’information avec les différents échelons ;

établir des procédures et des règles de communication ;

formaliser et justifier l’atteinte des objectifs dans les entretiens de performance desmanagers.

Il est indispensable de veiller à la cohérence des différents objectifs de l’orga-nisation.

Le management intermédiaire doit être sensibilisé afin de ne pas pratiquer larétention d’informations en provenance des échelons supérieurs, trop souventconsidérées à tort comme confidentielles.

RETOUR ...

30



FI

CH

E

PR

AT

IQ

UE

© IFACI

RÈGLES D’EXEMPLARITÉ ET D’INTÉGRITÉ

Cible


« Le dispositif de contrôle interne sera d’autant plus pertinent qu’il sera fondé sur des règlesde conduite et d’intégrité portées par les organes de gouvernance de l’organisation. »

Commentaires

Dès le début du projet de contrôle interne, une réflexion sur les valeurs de l’organisation doit êtreinitiée au plus haut niveau hiérarchique. Elle permettra d’identifier les valeurs qui doivent être parta-gées par les managers et l’ensemble des collaborateurs de toutes les entités de l’organisation.

En effet, ces valeurs, issues de l’histoire et de la vie de l’organisation, sont des repères forts pourchacun de ses membres. Elles constituent également le socle de la réputation de l’organisation auprèsde ses clients et de ses partenaires.


L’ensemble des règles de conduite ou des éléments qui participent à codifier lescomportements dans l’organisation (règlement intérieur, code de déontologie s’appli-quant à certaines professions…) sont formalisés dans différents documents qu’ilconvient de recenser.

Le statut juridique de ces documents varie en fonction des dispositions particulières. Ilsdéfinissent des comportements qui peuvent être obligatoires ou non.

Il convient de bien faire la différence entre des codes de déontologie élaborés pardes ordres professionnels qui acquièrent une valeur réglementaire (par exemplevia un décret), et la déontologie d’entreprise qui n’a pas de statut juridique parti-culier.

Veiller à la cohérence des principes édictés dans les différents documents relatifsaux règles d’intégrité : règlement intérieur, code de conduite, chartes spécifiquessur les achats, la lutte anti-blanchiment ou contre la fraude, l’utilisation dessystèmes d’information…

Les règles de conduite et d’intégrité guident l’activité de l’organisation et lescomportements quotidiens des collaborateurs. Ces principes fondamentauxstimulent la prise de conscience de l’intérêt du contrôle interne.L’exemplarité amplifie cette prise de conscience et facilite la mise en œuvre dechacune des composantes du dispositif de contrôle interne.

31



FI

CH

E

PR

AT

IQ

UE

© IFACI

Les règles éthiques appliquées par l’entreprise ne sont pas toujours communiquées.


Les actions mises en œuvre visent à favoriser l’appropriation des valeurs de l’organisationpar tous les managers et les collaborateurs. Ils pourront ainsi s’y référer pour prendre leursdécisions et adopter, dans leur vie professionnelle, des comportements qui y sont confor-mes.

définir, au plus haut niveau de l’organisation, un cadre général des principeséthiques (système de valeurs, charte éthique...) ;traduire les concepts parfois abstraits d’éthique et d’intégrité en principes d’actionscollectives et individuelles déclinées vis-à-vis de chaque partie prenante ;élaborer un référentiel, véritable guide de prise de décisions au quotidien et code deconduite qui précisent ce qui est permis et ce qui ne l’est pas ;porter à la connaissance de l’ensemble du personnel et des parties prenantes lesrègles de conduite et les comportements attendus (affichage, intranet…) ;

consolider l’ancrage du dispositif de contrôle interne au sein de l’organisation enmettant en place des mécanismes de contrôle, un système de sanctions et des dispo-sitions pour éviter les dérapages et les récidives.

Ce formalisme sera peu efficace si les managers ne font pas preuve d’exemplarité.

C’est dans les actions quotidiennes que les managers doivent montrer l’exempleet ne jamais oublier que leur comportement sert de modèle à leurs collabora-teurs. Par exemple :

• s’appliquer à soi-même des règles édictées « pour les autres » ; • ne pas s’attribuer des avantages particuliers non justifiés par les contrain-

tes professionnelles; • ne pas considérer les procédures comme des contraintes nuisibles à l’effi-

cacité.

Lors du recrutement d’un nouveau collaborateur, il s’agit de prévoir une infor-mation faite par le manager sur les valeurs de l’organisation (intégration dans lelivret d’accueil, par exemple).

Quelle est la qualité de la communication sur les règles d’intégrité ?Les tiers sont-ils suffisamment informés ?

Les collaborateurs de l’entreprise doivent être informés tant des conséquencesdisciplinaires que pénales qu’entraînerait un manquement à ces obligations.

RETOUR ...

2-3 Une organisation appropriée



© IFACI

ELÉMENT DU CADRE


Organisation (p.104)

Organisation appropriée 34

Définition des responsabilités et despouvoirs

36

Politique et pratique de gestion desressources humaines

38

Systèmes d’information 40

Procédures, modes opératoires, outils etpratiques

42






34



FI

CH

E

PR

AT

IQ

UE

© IFACI

ORGANISATION APPROPRIÉE

Cible


« Une organisation appropriée fournit le cadre dans lequel les activités nécessaires à laréalisation des objectifs sont planifiées, exécutées, suivies et contrôlées. »

Commentaires

Les grandes orientations en matière de contrôle interne sont déterminées en fonction des objectifs del’organisation et du périmètre couvert par le dispositif de contrôle interne.

Chaque organisation détermine une stratégie pour atteindre ses objectifs. Ils peuvent être fixés pourl’organisation dans son ensemble ou orientés sur des activités particulières au sein de celle-ci.Le dispositif de contrôle interne sera différent en fonction du type d’organisation (organisationcentralisée ou non) du degré de responsabilisation à chaque niveau de la ligne managériale.

Par exemple, il existe de nombreuses convergences en termes de méthodes et d’outils avec la démar-che qualité. Celle-ci s’appuie également sur :

• la description systématique des processus ; • le suivi des incidents révélateurs de non qualité ou de risques ; • la logique d’amélioration continue par des méthodes participatives (auto-évaluation…) ;• la détermination de plans d’action et le suivi d’indicateurs conjoints.

Ainsi, le système de management de la qualité peut être une des composantes du dispositif de contrôleinterne focalisée sur les objectifs Qualité. Cette dimension permettra de cibler les besoins et les atten-tes des clients et des autres parties prenantes.


la mauvaise articulation des objectifs stratégiques et des objectifs opérationnels ;

la méconnaissance des objectifs ;

la mise en place d’un dispositif de contrôle interne qui ne serait pas adapté à la taille del’organisation et qui ne prendrait pas en compte ses spécificités.

La mise en place des dispositifs de contrôle interne doit s’appuyer sur les systè-mes mis en place.La mise en œuvre d’une démarche qualité dans l’organisation doit être considé-rée comme une opportunité.

Si le décideur connaît sans doute les objectifs stratégiques de l’organisation,ainsi que les objectifs opérationnels de sa division ou son département, il n’estpas du tout évident que ces objectifs soient partagés par tous.

La qualité et l’efficience du dispositif de contrôle interne dépendront de l’orga-nisation car le contrôle interne doit être intégré dans les processus, cohérent avecdes cycles de gestion et de pilotage.

35



FI

CH

E

PR

AT

IQ

UE

© IFACI


bien déterminer le périmètre de l’organisation auquel s’appliquera le dispositif decontrôle interne ;

organiser des sessions de travail pendant lesquelles on demande à chacun ce qu’ilperçoit des objectifs de l’organisation et de ses objectifs personnels. Trouver un lienentre ces deux catégories d’objectifs constituent un bon exercice ;

formaliser les relations qui existent entre les différentes entités qui la composent(liens hiérarchiques, liens fonctionnels, relations formalisées dans des contrats ou desconventions de service) ;

définir les organes de gouvernance interne qui permettent d’assurer le respect desexigences des fonctions support transverses, tels que par exemple : comité d’inves-tissement, comité de lancement d’offre, comité de revue de contrats, comité créditclient, comité d’éthique, comité de redéploiement des ressources humaines, comitéd’alignement des systèmes d’information, comité des risques, comité de l’informa-tion financière…

L’organisation appropriée implique une exacte connaissance du travail dechacun. Pour l’obtenir, il est indispensable de mettre en place, si ce n’est déjà fait,un descriptif obligatoire et harmonisé des tâches de chacun et de prévoir sa miseà jour régulière.

RETOUR ...

36



FI

CH

E

PR

AT

IQ

UE

© IFACI

DÉFINITION DES RESPONSABILITÉS ET DES POUVOIRS

Cible


« Des responsabilités et des pouvoirs clairement définis doivent être accordés aux person-nes appropriées en fonction des objectifs de la société. Ils peuvent être formalisés et commu-niqués au moyen de description de tâches ou des fonctions, d’organigrammes hiérarchiquesou fonctionnels, de délégations de pouvoir et devraient respecter le principe de séparationdes tâches. »

CommentairesLe contrôle interne visant à une meilleure maîtrise des activités de l’entreprise, il est essentiel quechaque collaborateur se sente pleinement responsable des missions qui lui sont confiées :• les responsabilités et les pouvoirs doivent être clairement définis et accordés aux personnes appro-

priées ayant les compétences, l’autorité et les moyens nécessaires ; • les lignes hiérarchiques doivent être clairement identifiées, et le cadre dans lequel les activités sont

projetées, réalisées, suivies et évaluées, doit être lisible ;• enfin, une organisation sécurisée suppose que certaines tâches essentielles, incompatibles entre

elles, ne puissent être concentrées entre les mains d’une seule et même personne.


difficulté de mise en place du principe de séparation des fonctions dans les structuresde taille modeste ;

formalisation de l’organisation souvent incomplète, obsolète ou ne reflétant pas laréalité ;

invalidité des délégations de pouvoir car le délégataire n’a pas l’autorité, la compétenceou les moyens nécessaires. Rappelons qu’en cas de mise en jeu de la responsabilité lejuge pénal a un pouvoir d’appréciation (Cf. annexe 5, p. 121) ;

absence de maintien ou de mise à jour des profils utilisateurs et habilitations diverses.

Dans une organisation trois fonctions fondamentales sont incompatibles : • la fonction d’autorisation ou de décision ;• la fonction d’enregistrement ou comptable ;• la fonction financière ou de paiement/recette.

L’exercice de la responsabilité de ces trois tâches, ou même de deux de ces acti-vités par un seul collaborateur est une prise de risques importants par rapport àla sécurité des actifs.

Dans une organisation n’ayant pas les moyens de confier à des collaborateursdifférents les fonctions incompatibles citées ci-dessus, il convient alors de mettreen place des contrôles compensatoires, afin de maîtriser le risque issu de cecumul de fonctions.

37



FI

CH

E

PR

AT

IQ

UE

© IFACI


formaliser les objectifs, les missions et l’organisation de l’entité concernée par leprojet.

mettre en place et maintenir des organigrammes nominatifs.

rédiger des fiches de description de poste et des lettres de mission conformes auxactivités réellement exercées et respectant le principe de séparation des tâches.actualiser les délégations de pouvoirs et de signatures données aux collaborateurs.

prévoir des contrôles pour s’assurer de la réalité de la délégation de pouvoirs parexemple :• l’étendue de la délégation quant à son objet et sa durée ;• le caractère précis, certain, réel de la délégation et l’absence de toute ambiguïté ;• l’information du délégataire sur le contenu de sa mission et les responsabilités

encourues ;• l’acceptation de la délégation par le délégataire ;• l’adéquation entre la délégation et l’organigramme.

établir des règles en matière de gestion des habilitations et s’assurer de leur respect :• habilitations d’ordre général : code d’accès, badge…• habilitations spécifiques à certains domaines : habilitation informatique ; ou liée à

l’exercice de certaines activités : engagement de dépenses au-delà d’un certainmontant, assurances…

Les missions d’une entité sont décrites à partir des objectifs stratégiques, ducadre normatif, réglementaire et législatif dans lequel elle intervient.Il est aussi indispensable de bien préciser le périmètre de l’entité et de la posi-tionner éventuellement dans un organigramme général lorsque, par exemple,elle appartient à un groupe.

L’organigramme doit être daté et mis à jour à chaque changement.

La délégation de pouvoirs consiste à confier à un collaborateur, doté de lacompétence, de l’autorité et des moyens, une tâche dont le délégant souhaitetransférer la responsabilité au délégataire. De plus, la mise en place d’un dispo-sitif de délégation permet l’optimisation des opérations qui est l’un des objectifsdu contrôle interne. La création d’un répertoire des délégations est une bonnepratique.

Pour toute définition de responsabilité, on doit veiller à ce que le bénéficiairedispose des moyens nécessaires pour l’assumer.

Veiller à l’obsolescence des habilitations. Sans une mise à jour régulière, ellesdeviennent inefficaces et créent le désordre.

RETOUR ...

38



FI

CH

E

PR

AT

IQ

UE

© IFACI

POLITIQUE ET PRATIQUE DE GESTION DES RESSOURCES HUMAINES

Cible


« Une politique de gestion des ressources humaines devrait permettre de recruter des person-nes possédant les connaissances et les compétences nécessaires à l’exercice de leur respon-sabilité et à l’atteinte des objectifs actuels et futurs de la société. »

Commentaires

L’adéquation des compétences et des connaissances requises pour effectuer les missions confiées estl’une des conditions du bon fonctionnement de l’organisation.


absence de définition d’une politique claire en matière de recrutement, de formation, depromotion, et de rémunération.

Formalisation insuffisante de la politique de gestion des ressources humaines del’organisation.

39



FI

CH

E

PR

AT

IQ

UE

© IFACI


De nombreux outils sont au service de la mise en œuvre de ces politiques.

On peut citer par exemple :

évaluation des pré-requis lors de l’attribution d’un poste ;

approbation du contrat de travail ;

entretien d’évaluation des potentiels ;

entretiens de management de la performance et d’évaluation ;

plan de formation continue, Knowledge management ;

Gestion Prévisionnelle des Emplois et des Compétences (GPEC) ;

entretien annuel d’évaluation ;

note de cadrage pour les rémunérations et les promotions ;

accords sociaux ;

besoins et perspectives d’évolution par métier.

RETOUR ...

40



FI

CH

E

PR

AT

IQ

UE

© IFACI

SYSTÈMES D’INFORMATION

Cible


« Les systèmes d’information doivent être adaptés aux objectifs actuels de l’organisation etconçus de façon à pouvoir supporter ses objectifs futurs. Les systèmes informatiques surlesquels s’appuient les systèmes d’information doivent être protégés efficacement, tant auniveau de leur sécurité physique que logique, afin d’assurer la conservation des informa-tions stockées. Leur continuité d’exploitation doit être assurée au moyen de procédures desecours. Les informations relatives aux analyses, à la programmation et à l’exécution destraitements doivent faire l’objet d’une documentation. »

« Les outils ou instruments de travail (bureautique, informatique) doivent être adaptés auxbesoins de chacun et auxquels chaque utilisateur devrait y être dûment formé. »

CommentairesMême si l’informatique supporte la majeure partie des systèmes d’information, il convient de ne pasomettre les moyens de communication non informatisés (réunions, réseaux informels…) qui contri-buent à la réalisation des objectifs de l’organisation.Il existe plusieurs référentiels spécifiques en matière de contrôles généraux informatiques, en parti-culier les référentiels de l’IT Governance Institute et le COBIT (COntrol OBjectives for InformationTechnology).Ces référentiels traitent aussi bien de la gouvernance des systèmes informatiques que des activités decontrôle automatiques mises en place dans les applications.En complément des contrôles généraux informatiques, l’organisation des contrôles applicatifs inclutla gestion des autorisations et des profils assurant les séparations de tâches fonctionnelles.


Les écarts le plus fréquemment identifiés en matière de contrôles généraux informatiquesconcernent :

la gestion des habilitations,

la sécurité d’accès et d’authentification,

l’accès aux données privatives et nominatives,

la supervision des serveurs,

l’absence de back up, de plan de secours, de plan de continuité d’exploitation...

Les écarts identifiés en matière de contrôles généraux informatiques se concluent souventpar des défaillances significatives du contrôle interne en raison de leur impact à la foistransverse à l’organisation et répétitif en nombre d’applications affectées. Les applications significatives de l’organisation (en termes de risques et de flux financierstraités) doivent donc être systématiquement couvertes par un diagnostic et des tests debon fonctionnement. Ces contrôles seront conçus par les équipes SI en collaboration avecles maîtrises d’ouvrage utilisatrices.Une attention particulière sera portée sur la traçabilité de la documentation des applica-tions et des bases de données partagées par plusieurs entités ou familles techniques. Ellesseront placées sous une responsabilité visible dans l’organisation.

41



FI

CH

E

PR

AT

IQ

UE

© IFACI


Les actions / outils permettant de mettre en œuvre les contrôles généraux informatiquespeuvent être regroupés en cinq thèmes :

gouverner et concevoir le système d’information à travers : • une note d’organisation de la fonction SI (avec délégations de pouvoir et sépara-

tion des tâches),• la mise en place d’organes de gouvernance interne (comités SI, comités d’investis-

sement),• l’élaboration d’un planning stratégique SI et d’un budget,• la conformité aux lois et règlements (CNIL, directive données personnelles...) et

aux instructions internes (respect des étapes de validation avant le lancementd’une application...),

• la gestion des compétences SI,• le choix des outils et méthodes nécessaires pour le développement des SI,• la formalisation de la politique d’externalisation et des relations avec les prestatai-

res,• la gestion et le suivi des projets (tableaux de bord et indicateurs de performance,

programme qualité…), • une vérification de la cohérence avec d’autres processus, notamment les achats.rendre opérationnel le système informatique par la mise en œuvre de : • la politique d’implantation et de gestion des data centers et infrastructures (télé-

coms), • méthodes et d’outils d’exploitation, • la contractualisation interne et de la gestion des sous-traitants, • la gestion des incidents et du suivi de la performance, • la gestion des risques SI (cartographie des applications, données et sites critiques

pour l’organisation ; politique d’acceptation et d’assurance des risques SI ;maîtrise des actifs immobiliers ; instructions relatives aux arrêts système, auxinterruptions de service suite aux pannes de l’environnement physique (énergie,incendie, inondation…) et au fonctionnement en mode dégradé).

sécuriser l’accès aux programmes et données avec :• une politique de sécurité du SI, • un contrôle des accès physiques et logiques, • une politique de sécurité de l’information et d’archivage, • des plans de crise et plans de reprise d’activité suite à un désastre, • des audits sécurité du SI.soutenir les utilisateurs : gestion des alertes et des crises, gestion des incidents,formation et support utilisateurs.

gérer les « applications périphériques » tenues sur tableurs ou autres outils bureau-tiques et qui produisent des informations significatives (financières ou critiques).

Les besoins en information des utilisateurs doivent être inventoriés. Toute infor-mation qui ne contribue pas à la réalisation des objectifs doit faire l’objet d’uneanalyse critique.

Recenser et décrire dans une fiche les applications périphériques. Renforcer lasécurité et la sauvegarde des informations critiques gérées par ces applications.

RETOUR ...

42



FI

CH

E

PR

AT

IQ

UE

© IFACI

PROCÉDURES, MODES OPÉRATOIRES, OUTILS ET PRATIQUES

Cible


« La mise en œuvre d’un dispositif de contrôle interne doit reposer sur :

des procédures ou modes opératoires qui précisent la manière dont devrait s’accomplirune action ou un processus (objectifs à atteindre à un horizon donné, définitions de fonc-tions et de lignes hiérarchiques/fonctionnelles, lignes de conduite, outils d’aide à la déci-sion et d’évaluation, fréquence de contrôle, personne responsable du contrôle…), quelsqu’en soient la forme et le support...

des outils ou instruments de travail (bureautique, informatique) qui doivent être adap-tés aux besoins de chacun et auxquels chaque utilisateur devrait y être dûment formé.

des pratiques communément admises au sein de la société. »

Commentaires

Les rôles et les missions de chacun doivent être clairement définis et formalisés.

Des modes opératoires, des guides, des procédures doivent êtres mis à la disposition des collaborateurspour accomplir leur mission.


absence de référentiel de procédures ;

procédures incompréhensibles ou difficilement applicables par les collaborateursconcernés ;

procédures non mises à jour ;

procédures non communiquées aux utilisateurs ;

formation insuffisante des utilisateurs ;

procédures non cohérentes, voire contradictoires entre elles ;

modes opératoires coûteux à mettre en œuvre.

Une organisation qui utilise la norme ISO pourra s’appuyer sur les processusmis en place dans le cadre de sa démarche qualité pour documenter son dispo-sitif de contrôle interne.

Le référentiel de procédures doit regrouper en un lieu unique toutes les procé-dures de l’entreprise, il permet de disposer de procédures homogènes etnormées et facilite les travaux des fonctions supports (organisation, auditinterne) et des intervenants extérieurs (commissaires aux comptes, organismesde contrôle).

43



FI

CH

E

PR

AT

IQ

UE

© IFACI


formaliser les procédures de l’organisation ;

veiller à la mise à jour des procédures ;

mettre en place une coordination des procédures de l’organisation.

On évitera le « Larousse en 10 volumes », jamais consulté et jamais mis à jour.Chaque manager est responsable des procédures qui le concernent, sous réservede l’organisation d’une nécessaire coordination.

La rédaction d’une procédure permet de décrire l’enchaînement des tâches et demettre en évidence les zones à risques et les contrôles prévus pour les maîtriser.

RETOUR ...

2-4 La diffusion en interne d’informations pertinentes



© IFACI

ELÉMENT DU CADRE


Diffusion en interned’informations pertinentes(p.105)

Diffusion d’informations pertinentes 46






46



FI

CH

E

PR

AT

IQ

UE

© IFACI

DIFFUSION D’INFORMATIONS PERTINENTES

Cible


La diffusion en interne d’informations pertinentes, fiables, dont la connaissance permet àchacun d’exercer ses responsabilités.

Commentaires

Pour garantir la bonne marche de l’organisation, les collaborateurs doivent avoir suffisamment d’in-formations. Ces informations peuvent provenir de l’intérieur ou de l’extérieur.

Le recensement de l’information permet de déterminer les destinataires appropriés. Les supports decommunication doivent être examinés avec attention pour adapter le contenu et la rédaction à chaquecatégorie de destinataires.


communication déficiente ;

excès d’information ;

délais dans la mise à jour et la diffusion de l’information ;

mauvais adressage dû à une mauvaise identification des besoins d’information en lienavec les responsabilités assignées ;

lacunes dans la protection de l’information (intégrité, archivage) ;

support inadapté (par exemple, pour des informations très confidentielles, l’Intranetn’est pas forcément adapté. Par contre, régulièrement mis à jour, il permet un partagedes connaissances) ;

absence d’étapes de validation dans le processus d’information, notamment en ce quiconcerne la communication externe liée à une crise ou à l’information financière.

Les informations peuvent être classifiées de différentes façons :

• la validité ; on veillera à indiquer la validité de tout support en mention-nant :- pour une information pérenne, « mise en application à partir du … »,- pour une information temporaire « Applicable du … au… »

• le type d’action à mettre en œuvre : - agir (vendre…), - piloter (programmer ou mettre en place un reporting, le contrôler, l’ana-

lyser…), - savoir (prendre connaissance d’une information, d’un mode opéra-

toire…)

• le niveau de confidentialité : confidentielle, diffusion libre…

Une communication externe doit être envisagée, notamment dans le cadre de lagestion d’une crise.

47



FI

CH

E

PR

AT

IQ

UE

© IFACI


recenser les informations nécessaires à la réalisation des objectifs et à leur suivi ;

s’assurer de la cohérence entre les catégories de destinataires et leur responsabilité ;

gérer la diffusion des procédures :

• l’objet et les actions sont mentionnés, le référencement du texte est conforme auplan de classement, le résultat escompté est précisé, les moyens de contrôle sontidentifiés ;

• toutes les approbations des acteurs ou des services concernés ont été demandées,les destinataires sont ciblés, le langage utilisé est adapté aux destinataires, lescollaborateurs chargés de la mise en œuvre sont formés, les moyens identifiés, lesupport de diffusion est adapté ;

• la date d'application et le délai de validité de la procédure sont mentionnés ;

• les références des procédures modifiées ou annulées sont bien précisées.

Communication de crise ; ne jamais laisser la crise se développer sans réagir :

• éviter les « vides de communication » ;

• la priorité est de rechercher la cause de la crise pour ne communiquer que sur desinformations confirmées ;

• « parler d’une seule voix » : avoir une stratégie de communication unique (ne pashésiter à faire appel à des experts : juristes…), assurer des prises de position homo-gènes et coordonnées, rester maître du temps (fixer des rendez-vous réguliers),faire preuve humanité et d’humilité.

Définir des règles de communication internes et externes. Cette politique peutêtre formalisée par une charte interne de sécurité de l’information et unmarquage des documents et informations (extranet). Des instances de validationde l’information (ex : comité de l’information financière) pourront être mises enplace.

• s’assurer que les procédures qui n’ont plus lieu d’être ont bien été annulées.

• mettre en place des tableaux de gestion des archives avec mention du délaide conservation et du lieu.

RETOUR ...

2-5 Un système de recensement et d’analyse des risques



© IFACI

ELÉMENT DU CADRE


Système de recensement etd’analyse des risques (p.105)

Questionnaire relatif àl’analyse et à la maîtrise desrisques (annexe 2 p.111)

Identification et recensement des risques 50

Evaluation des risques 52

Procédures de gestion des risques etsurveillance

54






50



FI

CH

E

PR

AT

IQ

UE

© IFACI

IDENTIFICATION ET RECENSEMENT DES RISQUES

Cible


« La société doit recenser les principaux risques identifiables, internes, ou externes pouvantavoir un impact sur la probabilité d’atteindre les objectifs qu’elle s’est fixés. Cette identifi-cation, qui s’inscrit dans le cadre d’un processus continu, devrait couvrir les risques quipeuvent avoir une incidence importante sur sa situation. »

Voir le questionnaire relatif à l’analyse et à la maîtrise des risques (Annexe du cadre de réfé-rence de l’AMF) - (cf. annexe 2 p.111)

Commentaires

Le texte du cadre de référence limite le devoir d’identification aux risques « identifiables » sans toute-fois préciser ce critère (comment pourrait-on légiférer sur les limites de l’imagination humaine?).

L’articulation risques / contrôle interne fait l’objet de beaucoup d’interrogations de la part des spécia-listes des deux disciplines. De la qualité de l’identification des risques dépendra celle de la conceptiondes activités de contrôle. Cette phase est donc la plus critique, et en même temps la plus difficile àdécrire simplement. Le COSO II fournit à cet égard des points de repères très utiles.


Nature des risques concernés :

Le choix de la nature des risques incombe au management. Or, parmi les raisons des événe-ments ayant conduit dans le passé à des pertes de valeur significatives pour les actionnai-res, les facteurs stratégiques prévalent largement sur les facteurs opérationnels et lesquestions de conformité. Ceci est connu - au moins intuitivement - par les managers, d’oùles difficultés de communication surgissant lorsqu’on omet de préciser à quels risques ons’intéresse.

Clarification des objectifs :Identifier les risques de l’entreprise revient à évaluer la probabilité qu’a l’entreprise d’at-teindre ses objectifs compte tenu d’événements susceptibles de se produire. Or :

• certaines entreprises, notamment celles qui opèrent en environnement turbulent,tolèrent de multiplier en leur sein les lieux de décision, ce qui conduit à l’existencede multiples objectifs pas toujours cohérents ni consolidés. Ce type de paradigmestratégique, qui correspond à un choix délibéré en réponse à un environnementexterne aux évolutions rapides, importantes et pas toujours prévisibles, se prête malà la description d’un contrôle interne de type taylorien, déterministe et centralisa-teur, au-delà du minimum requis par les lois et règlements externes.

Le périmètre des risques relevant du contrôle interne fait l’objet de discussions :dans certaines organisations, ce périmètre n’englobe pas les risques stratégiques.Dans d’autres cas, c’est l’ensemble des risques quelle que soit leur nature qui estconsidéré.

51



FI

CH

E

PR

AT

IQ

UE

© IFACI

• le concept d’entreprise étendue contribue également au flou sur les objectifs dans lamesure où les sources d’objectifs pour l’entreprise se multiplient avec la prise encompte de parties prenantes de plus en plus nombreuses et variées.

Etendue du recensement :

Mise en œuvre d’une démarche de cartographie des risques :Au-delà des effets de mode, la cartographie des risques constitue un point d’entrée trèscourant et utile pour l’optimisation des dispositifs de maîtrise, sous réserve de la cohérencedes options retenues pour les deux démarches. Les difficultés peuvent être liées à :

• des divergences d’objectifs de la cartographie des risques et de la démarche decontrôle interne. Si la cartographie a été mise en œuvre pour des besoins de pilotagealors les risques pris en compte seront de haut niveau et l’univers des risques seratrop global pour définir les dispositifs de maîtrise appropriés au plus près des opéra-tions;

• des divergences de niveau de déploiement. Le nombre et la taille des entités retenuesdans le cadre de chacune des démarches peuvent être différents.


A défaut d’une véritable démarche de cartographie des risques, qui reste le moyen leplus complet et le plus approprié pour l’identification et l’évaluation des risques, onpourra procéder par interview individuelle des managers et des propriétaires deprocessus appartenant au périmètre sur lequel on veut identifier les risques.Quelques précautions sont à prendre pour que le résultat soit cohérent, intéressant etsuffisamment motivant pour pouvoir être reconduit 6 ou 12 mois plus tard :• Procéder dans une démarche top down. Les premiers interviewés sont les mem-

bres de l’équipe de direction. Le Directeur doit soutenir le projet dans la perspec-tive de s’en approprier le résultat.

• Pour chaque interview individuelle, partir initialement d’une page blanche etrecueillir l’expression spontanée du manager interviewé sans interférer. Le laisserréfléchir, ne pas avoir peur du silence. Dans un deuxième temps, reformuler lesrisques avec lui pour passer de l’expression initiale qui est souvent faite d’événe-ments passés, de constats de dysfonctionnements à une formulation d’un risqueconforme à la définition communément admise : un événement futur ( à ce niveauil s’agira plutôt d’une collection d’événements) pouvant impacter un ou plusieursobjectifs de l’entreprise. Il convient de faire préciser ces objectifs.

• Le résultat synthétisé doit être présenté en réunion plénière de l’équipe pour uneapprobation collective. Le Directeur conserve la responsabilité du résultat final.

Lors du recensement des risques « identifiables », il faut :• accepter que les ressources de l’organisation ne sont pas extensibles à l’infini

et que ce qui aura été dépensé pour sur-traiter des risques classiques ne seraplus disponible pour faire face lorsque l’impensable se sera produit.

• être prudent dans toute communication externe sur les risques en se limitant,au contraire, aux risques « classiques ».

RETOUR ...

52



FI

CH

E

PR

AT

IQ

UE

© IFACI

EVALUATION DES RISQUES

Cible

Cadre de référence« Il convient pour ce faire de tenir compte de la possibilité d’occurrence des risques et de leurgravité potentielle, ainsi que de l’environnement et des mesures de maîtrise existantes. Cesdifférents éléments ne sont pas figés, ils sont pris en compte, au contraire, dans un proces-sus de gestion des risques. »


Commentaires

Les risques décrits lors des entretiens avec le management (voir Identification et recensement desrisques p.50) ne sont que rarement décrits comme des événements dont la gravité potentielle seraitdirectement chiffrable et pour lesquels on disposerait de statistiques d’occurrence, même s’il ne fautpas négliger ces données lorsqu’elles existent.

L’évaluation des risques pour une cartographie de « Direction Générale » est l’art de répondre auxtrois questions suivantes:

1) Compte tenu de l’environnement, et des forces et faiblesses connues de l’entreprise, certains objec-tifs sont-ils : a. trop ambitieux, auquel cas leur réalisation est improbable et l’identification, qui s’ensuit, de

nombreux risques, n’est que la conséquence de ce choix initial ;b. ou au contraire pas assez ambitieux, auquel cas des objectifs de niveau supérieur, voire la stra-

tégie de l’entreprise, peuvent être en danger.

2) L’environnement externe et la conduite des affaires au jour le jour sont-ils générateurs d’unevariabilité du résultat plus grande que celle « normalement » admise ?

3) Existe-t-il des événements potentiels menaçant, au-delà de l’atteinte des résultats, la pérennitémême de l’entreprise (par ex. amenant la possibilité d’une cessation de paiement, d’une OPAhostile ou d’une intervention autoritaire des pouvoirs publics) ?


Difficultés d’évaluation :• Une des difficultés majeures consiste à définir des critères d’évaluation de l’impact

et de la probabilité de survenance qui soient pertinents et surtout partagés au seinde l’organisation. En effet, chaque métier de l’entreprise a en général sa propreméthode pour évaluer ses risques. Toutes ces méthodes peuvent être a priori admi-ses, mais difficilement réconciliables.

• Les différentes méthodes d’évaluation des risques existantes dans l’organisationdoivent être en principe cohérentes avec les valeurs, avec la stratégie et les objectifsde l’entreprise ainsi qu’avec ses critères d’affectation de ressources.

53



FI

CH

E

PR

AT

IQ

UE

© IFACI

• Dans certains environnements, la probabilité de survenance et l’impact peuvents’avérer difficilement quantifiables. Ces éléments sont alors étudiés par une appro-che qualitative.

• Ne pas perdre de vue qu’en dépit de l’apparente simplicité des schémas, l’occur-rence et la gravité ne pèsent pas toujours le même poids : la gravité est souvent prio-ritaire dans l’évaluation.

Utilisation d’une cartographie existante : les difficultés proviennent souvent des diver-gences d’option méthodologique. • Cette cartographie ne décompose pas toujours l’évaluation des risques inhérents et

la qualité des dispositifs de maîtrise. • Si seuls les risques résiduels sont évalués, a-t-on bien une évaluation de leur degré

de maîtrise ?


Il est souhaitable que les personnes qui élaborent la cartographie des risques aientune bonne compréhension des fondamentaux de l’organisation. Ceci leur permet deremettre en perspective les contributions qu’ils reçoivent, dans une approche desubjectivité intelligente et assumée.

Pour l’évaluation des risques, la granularité des échelles d’impact et de probabilitéutilisées importe peu à ce stade. L’essentiel est que cette évaluation soit complétée parun début de recensement des moyens mis en œuvre par l’entreprise pour traiter cesrisques, et par l’identification des risques acceptés.

Il n’est pas évident que les différentes méthodes d’évaluation des risques exis-tantes dans l’organisation communiquent toutes facilement entre elles et avec lespréoccupations de la Direction Générale ou du Conseil. Il convient a minima d’avoir une seule et même convention d’évaluation parta-gée.

Les cahiers de la recherche de l’IFACI sur la cartographie des risques et le COSOII (cf. Bibliographie p.136) sont des référentiels recommandés pour mener à bienune évaluation des risques.

La principale utilité de cette évaluation est en effet de faire prendre consciencecollectivement à l’organisation des efforts qu’elle consacre au traitement desrisques, et de rapprocher le tableau ainsi obtenu des critères généralement utili-sés par ailleurs pour affecter les ressources.

RETOUR ...

54



FI

CH

E

PR

AT

IQ

UE

© IFACI

PROCÉDURES DE GESTION DES RISQUES ET SURVEILLANCE

Cible


« La Direction générale ou le Directoire avec l’appui d’une direction des risques, si elleexiste, devraient définir des procédures de gestion des risques. »


Commentaires

Il existe trois niveaux de gestion des risques :

1) le niveau stratégique ; la prise de risque et le pilotage des risques incombent au management quis’appuie, lorsqu’elle existe, sur la Direction des risques ;

2) le niveau de la maîtrise des risques ; c’est là le domaine du contrôle interne ;

3) le niveau du financement ou de la couverture des risques ; la gestion des assurances incombesouvent au risk-manager.

Si le contrôle interne au sens large fait intervenir à des titres et des degrés divers tous les acteurs del’organisation, les deux fonctions le plus souvent impliquées dans les procédures de gestion desrisques sont le risk-management et l’audit interne.


Vision managériale : il est rare que les managers ne privilégient pas dans leur vision desrisques qu’ils gèrent eux-mêmes au quotidien (soit structurellement soit à l’occasiond’une crise) ou pour lesquels ils ont un dialogue quotidien avec leurs collaborateurs deconfiance.

Rôle et positionnement respectifs de l’audit interne et du risk-management au regardde la gestion des risques et du contrôle interne : ils sont souvent l’objet de débats etd’incompréhensions.

55



FI

CH

E

PR

AT

IQ

UE

© IFACI


Rôle et outils de la Direction des Risques

• Les outils pour maîtriser le risque opérationnel sont classiquement :- les activités de contrôle visant à prévenir les risques, ou à en réduire leur

impact et/ou leur probabilité de survenance ;- les reportings ;- la définition, le pilotage et le reengineering des processus ;- la qualité ...

• Une Direction des Risques peut inclure ces outils ou au contraire être focalisée surun rôle de facilitation et de maintien de cohérence de l’ensemble. De plus, elle peutou non avoir dans son périmètre les risques des projets et les risques stratégiques.Le choix de l’existence, de l’orientation et du positionnement d’une Direction desRisques appartient bien évidemment à la Direction Générale.

Les limites du rôle de l’audit interne dans le processus de management des risquessont précisées dans les normes professionnelles et leurs modalités d’application (cf.www.ifaci.com)

Les rôles et positionnements respectifs de l’audit interne et du risk-managementdoivent être clarifiés dans le cadre des politiques et procédures de gestion desrisques ou de chartes de contrôle interne et d’audit interne.

En l’absence de Risk Manager, l’audit interne est souvent sollicité pour la réali-sation de la cartographie des risques, voire la mise en place des procédures degestion des risques.

RETOUR ...


2-6 Les activités de contrôle



© IFACI

ELÉMENT DU CADRE


Activités de contrôle (p.105)

Principes de conception des activités decontrôle

58

Typologie des activités de contrôle 60

Formalisation du contrôle 64

Evaluation des activités de contrôle 66

Activités de contrôle automatiques 70






58



FI

CH

E

PR

AT

IQ

UE

© IFACI

PRINCIPES DE CONCEPTION DES ACTIVITÉS DE CONTRÔLE

Cible


« Les activités de contrôle doivent être déterminées en fonction de la nature des objectifsauxquels elles se rapportent et proportionnées aux enjeux de chaque processus ».

Commentaires

Rappelons en préambule que l’efficacité des activités de contrôle est conditionnée par l’existence d’unenvironnement de contrôle de qualité, ce qui suppose l’adhésion de l’ensemble du personnel aux poli-tiques, pratiques et procédures générales en vigueur dans l’entreprise.

Ces pré-requis étant atteints, la conception des activités de contrôle passe par deux étapes clés :

1. Identifier les objectifs généraux et spécifiques (cf « Définition des objectifs de l’organisation »p.26).

• Les objectifs généraux sont liés à la « mission » de l’organisation, à sa finalité. Par exemplerendre un service de qualité aux administrés, dégager chaque année un retour sur capitauxpropres de 15%…

• Les objectifs spécifiques de chaque processus sont identifiés lors du découpage de l’organisationen macro processus et en processus.

2. Identifier les risques qui peuvent empêcher l’atteinte des objectifs (voir pour plus de détails lapartie sur l’évaluation des risques p.52).


une mauvaise appréciation du type de contrôles à mettre en regard des risques identi-fiés. Par exemple, un contrôle détectif à la place d’un contrôle préventif, un contrôleinformatique bloquant alors qu’une simple alerte serait suffisante (cf. Typologie desactivités de contrôle p.60).

l’absence d’identification DU contrôle clé qui permettra de couvrir toutes les assertionsd’un risque. Cela provient souvent d’une mauvaise appréciation du risque qui, au lieud’être appréhendé dans sa globalité au niveau du processus, est décomposé finementau niveau des tâches ou des sous- tâches. Cette décomposition excessive peut engen-drer la mise en place de contrôles incohérents entre eux.

Lors de l’identification des objectifs spécifiques, veiller à s’assurer que le niveaude granularité est identique d’un macro processus à l’autre.

Il convient également de définir un seuil de matérialité des processus et ne rete-nir que ceux qui sont les plus significatifs. A titre d’exemple, la législationSarbanes Oxley ne demande de documenter et de tester que les processus ayantun impact direct sur les états financiers publiés.

59



FI

CH

E

PR

AT

IQ

UE

© IFACI

l’existence de contrôles de confort est directement liée à la difficulté précédente. Lerisque n’étant pas correctement appréhendé, des contrôles peuvent être superposésdans le seul objectif de rassurer. Par exemple, refaire manuellement des rapproche-ments effectués automatiquement.

l’insuffisante appropriation des activités de contrôles par les opérationnels. Cette diffi-culté peut être causée par différents facteurs : • soit les opérationnels ne comprennent pas la nécessité de mettre en place un contrôle

(« tout le monde se fait confiance ici, pourquoi voulez-vous que l’on mette en placeun contrôle des signatures ? »),

• soit ils considèrent le contrôle comme une activité chronophage qui va empiéterfortement sur leur activité première.


identifier les contrôles incontournables imposés par la législation, la réglementationpropre à l’activité de l’organisation, les règles « groupe » ou les politiques « maison ».Ainsi de la mise en place de : • contrôles stricts liés au respect des règles incendie et d’évacuation dans les bâti-

ments recevant du public; • contrôles afin de lutter contre le blanchiment de capitaux et rendre compte si

nécessaire à Tracfin, structure rattachée au ministère des Finances ; • un contrôle permanent qui réponde aux exigences de la réglementation bancaire

(CRBF 97-02, Bâle II)• règles de contrôle de la marge de solvabilité avec à l’appui la fourniture d’états

réglementaires définis par l’Autorité de Contrôle des Assurances et des Mutuelles(ACAM);

• contrôles liés au taux de rejet du CO2 dans les usines d’incinération d’orduresménagères… ;

• dispositions « Groupe » et qui s’imposent aux filiales : activités périodiques dereporting, contrôles des pouvoirs d’engagement, contrôle des engagements horsbilan… ;

concevoir des contrôles au regard de la couverture des risques significatifs (autresque les risques de non-conformité traités au point précédent…).

Maîtriser la qualité de la conception, par une :• correcte appréhension du risque à couvrir,• cohérence du contrôle avec l’organisation de l’entité et ses objectifs, le type

de risque à couvrir, les autres contrôles,• implication des principaux acteurs.

RETOUR ...

60



FI

CH

E

PR

AT

IQ

UE

© IFACI

TYPOLOGIE DES ACTIVITÉS DE CONTRÔLE

Cible


« Les activités de contrôle sont présentes partout dans l’organisation, à tout niveau et danstoute fonction qu’il s’agisse de contrôles orientés vers la prévention ou la détection, decontrôles manuels ou informatiques ou encore de contrôles hiérarchiques. »

CommentairesIl existe une grande variété d’activités de contrôle. On peut les distinguer selon :• la nature des activités de contrôle. Il peut s’agir de :

- l’approbation (d’une facture à payer), - la vérification (d’une signature), - l’autorisation (d’effectuer un virement), - un rapprochement (bancaire), - la mise en place de moyens de protection des actifs (installation de portes blindées) ;

• les objectifs des activités de contrôle :- l’exhaustivité des traitements ;

s’assurer par exemple qu’il n’y a pas de trou dans une séquence numé-rique ;

- la réalité d’une opération ou d’un bien ;s’assurer, par exemple, de visu de la présence d’un bien (un contrôlede stock), de la réalité d’une commande (contrôle d’exécution d’unchantier), de la présence sur site d’un collaborateur (distributiondirecte et individuelle des fiches de paye à chaque collaborateur) ;

- l’exactitude d’un montant ou d’un calcul ;s’assurer de l’exactitude d’un tarif donné à un client en refaisant ledétail du calcul ;

- la cohérence d’informations issues de processus ou de documents différents ;recouper l’information à partir de sources différentes et si possibleextérieures à l’organisation ;

- le rattachement à la période appropriée, pour s’assurer que les règles comptables sont bienrespectées …

On retrouve ici les « assertions d’audit » utilisées habituellement pour assurer la maîtrise des proces-sus comptables et financiers1. Ces éléments sont très utiles dans l’élaboration de matrice risques/contrôles (Annexe 6 p.125).• les modalités des activités de contrôle :Les contrôles sont :

- soit manuels, rapprochement entre une commande ou un bon de livraison ;- soit automatiques, rejet sur une chaîne de production de tout produit dont les cotes dépassent

une norme fixée à l’avance, impossibilité d’accéder à des fichiers protégés…- à l’intérieur de ces contrôles automatiques, on peut distinguer les contrôles bloquants ou les

simples messages d’alerte.• l’emplacement des activités de contrôles dans le système de contrôle interne :

- les contrôles de premier niveau ou contrôle des transactions

1 Cf. Guide d’application sur le contrôle interne comptable et financier (cadre de référence de l’AMF)

61



FI

CH

E

PR

AT

IQ

UE

© IFACI

Ils sont mis en place pour s’assurer du respect d’une procédure définie au préalable. Ces contrô-les de premier niveau sont le plus souvent de la responsabilité des opérationnels et font partieintégrante de l’activité à effectuer. C’est le cas de la caissière d’un grand magasin qui va véri-fier chaque soir son solde de caisse. On peut aussi imaginer des contrôles par des intervenantsdifférents suivant des seuils définis à l’avance : • pour des dossiers dont l’enjeu ne dépasse pas 100.000 €, contrôle par le N+1 ;• jusqu’à 500.000 € contrôle par le N+2 ;• jusqu’à 1.000.000 €, contrôle par le N+3 ;• montants supérieurs à 1.000.000 €, visa obligatoire du service juridique.

- Les contrôles de deuxième et de troisième niveau ou activités de supervision : Effectuer un contrôle de façon durable et rigoureux ne va pas de soi. Il faut donc, dès la phasede conception, prévoir la supervision de cette activité soit par le N+2 (situation la pluscourante), soit par un service extérieur, soit par un corps de contrôle indépendant.


la création d’une multitude d’alertes dans un souci de tout mettre sous contrôle.

l’impossibilité d’attribuer les contrôles de deuxième niveau à des intervenants diffé-rents de ceux effectuant les contrôles de premier niveau. Faute de service dédié ou decontrôle croisé entre départements, cela peut poser un réel problème.

La multiplication des états d’exception générés risque de lasser le responsableen charge de les valider et d’enlever à terme toute signification au contrôle. Unbon dosage est donc nécessaire.

Ces contrôles peuvent être embarqués dans des applications informatiques. Onveillera alors à la concordance entre le niveau d’habilitation et les responsabili-tés décrites dans la fiche de fonction.

Quel que soit le type de contrôle, la supervision doit permettre d’évaluer lesperformances qualitatives des contrôles. Il s’agit d’une évaluation critique mais constructive qui porte sur la manièredont les contrôles ont été conçus, le respect des délais d’exécution et la mise enœuvre de mesures correctives.

62



FI

CH

E

PR

AT

IQ

UE

© IFACI


définir l’emplacement des activités de contrôle dans le processus : • quels types de transaction, • quel traitement de données, • quels actifs, • sur quelle modalité de prise de décision…

• Les contrôles préventifs interviennent au niveau de la cause du risque et ont pourobjectif d’en empêcher la réalisation. Ce type de contrôle est le plus souvent utilisélorsqu’on veut éviter à tout prix la survenance d’un risque que l’on a identifiécomme ayant un impact significatif :

Par exemple, un contrôle bloquant qui empêche la réalisation d’une tâchesi l’on n’a pas au préalable reçu l’habilitation nécessaire, ou la validationet la vérification des factures avant envoi aux clients.

• Les contrôles détectifs interviennent pour mettre en évidence la manifestation durisque. Ce type de contrôles, mis en place pour maîtriser des risques identifiéscomme moins importants que ceux ci-dessus, n’a d’intérêt que si ces résultats sontexploités rapidement après la survenance du risque.

Par exemple, des états de contrôles listant chaque semaine tous les règle-ments de montants identiques, et des écarts entre le stock théorique et lestock physique détectés lors des travaux d’inventaire.

• Les contrôles correctifs interviennent une fois le risque survenu. Ils ont pourobjectif de réduire les conséquences du risque.

prévoir des contrôles manuels lorsqu’ils sont indispensables et ne peuvent pas êtreinformatisés.

identifier le type de contrôle informatique approprié selon le type de risque àcouvrir :

• soit un contrôle bloquant qui empêche toute transaction. il est impossible à un gestionnaire de passer un règlement supérieur à sespouvoirs ;

• soit un message d’alerte, qui avertit la personne qui passe la transaction que lemouvement envisagé ne correspond pas à la procédure en vigueur, tout en lui lais-

Il faut toujours revenir aux motifs pour lesquels un contrôle est nécessaire ets’assurer que les modalités mises en œuvre permettront bien de couvrir les diffé-rentes facettes du risque.

L’élaboration de la matrice risques / contrôles (cf. annexe 6 p.125) doit permet-tre d’identifier les endroits les plus adéquats pour placer ces contrôles.

Ainsi, suivant le profil du ou des risques à maîtriser, on privilégiera les contrô-les préventifs, détectifs ou correctifs. (cf. annexe 8 p.131)

Si la phase du processus présentant des risques ne permet pas une automatisa-tion des contrôles, il faut mettre en place un contrôle manuel, en gardant àl’esprit deux objectifs : faire simple et prévoir la façon de matérialiser le contrôle.

63



FI

CH

E

PR

AT

IQ

UE

© IFACI

sant la possibilité de passer outre. Cela génère alors une « exception » qui nepourra être validée que par son supérieur hiérarchique.

par exemple, un contrat enregistré en US dollar, sur lequel un gestion-naire veut passer, à juste titre, car il a la facture sous les yeux, un règle-ment d’honoraires en Yen japonais : le montant sera enregistré maisgénérera une exception.

prévoir la périodicité des contrôles.

Il convient de décider s’il s’agit d’un contrôle systématique après chaque opération/transaction ou s’il s’agit d’un contrôle périodique, auquel cas il faut définir la pério-dicité : contrôle quotidien, hebdomadaire, mensuel, voire semestriel ou annuel.

définir des règles de vérification.

La périodicité choisie a un effet direct sur le temps qui devra être consacré auxcontrôles et il convient donc d’être vigilant dès la phase de conception, afin deprévoir une périodicité compatible avec les ressources disponibles des servicesconcernés.

Pour chaque contrôle, les règles de vérification doivent préciser s’il s’agit :• d’un contrôle a priori, a posteriori ou en temps réel ?• d’une vérification intégrale ou partielle (préciser le pourcentage de couver-

ture, la méthode d’échantillonnage éventuellement utilisée) ?• d’un contrôle effectué de façon rationnelle, aléatoire ou programmée ?

Ces règles de vérification sont révisables en particulier en fonction des constatsde défaillance ou de bon fonctionnement.

RETOUR ...

64



FI

CH

E

PR

AT

IQ

UE

© IFACI

FORMALISATION DU CONTRÔLE

Cible


« Des activités de contrôle proportionnées aux enjeux propres à chaque processus et conçuespour réduire les risques susceptibles d’affecter la réalisation des objectifs de la société. »

Commentaires

L’exigence de formalisation est d’autant plus forte qu’il s’agit d’activité de contrôle, dont la concep-tion et la réalisation doivent être suffisamment tracées pour permettre une évaluation de leur bonfonctionnement et de leur efficacité.

Rappelons que dans la composante « organisation » du cadre de référence, il est prévu « des procé-dures ou modes opératoires qui précisent la manière dont devrait s’accomplir une action ou unprocessus (objectifs à atteindre à un horizon donné, définitions de fonctions et de lignes hiérar-chiques/fonctionnelles, lignes de conduite, outils d’aide à la décision et d’évaluation, fréquence decontrôle, personne responsable du contrôle…), quels qu’en soient la forme et le support. » (cf.Procédures, modes opératoires, outils et pratiques p.42)


description insuffisante des contrôles. Plus encore que dans d’autres domaines, la tradi-tion orale ne favorise pas un contrôle interne efficace. Il faut donc prendre le temps deformaliser un modus opérandi. Cette description des contrôles pourra être intégrée auxguides ou manuels de procédure.

réticence des opérationnels face à l’obligation de formaliser les contrôles, surtout lors-qu’il s’agit d’un contrôle systématique. Le risque est d’avoir des états renseignés defaçon mécanique, au détriment de la qualité du contrôle. Pour maintenir la qualité d’uncontrôle systématique, il convient de rappeler que la personne qui contrôle s’engage.

Si l’on veut que les contrôles soient correctement mis en œuvre, il faut prendrele temps de décrire précisément leur raison d’être et leur modalité d’exécution.

Un contrôle systématique ne devrait être mis en place que dans le cas où uncontrôle périodique par sondage n’est pas plus efficace.

65



FI

CH

E

PR

AT

IQ

UE

© IFACI


formaliser les contrôles dans une procédure. L’activité de contrôle n’est pas une tâcheréflexe, il faut donc préciser, dès leur mise en place, les modalités de réalisation et desuivi des contrôles.

recueillir et conserver la preuve du contrôle. La formalisation du contrôle doit égale-ment permettre de vérifier que les contrôles ont bien été effectués. La forme de lapreuve dépend du type de contrôle :

• Pour les contrôles informatiques purs, la preuve du contrôle est une validationdans l’applicatif informatique et la restitution des états paramétrés au préalable :états d’anomalies, états de rapprochement, message bloquant, liste des états d’ex-ceptions suite à un message d’alerte.

• Pour les contrôles manuels, il faut prévoir des conventions pour justifier de laréalité du contrôle. La réalisation du contrôle sera matérialisée à l’emplacementprévu à cet effet. Suivant les cas, on peut prévoir une signature, des initiales, « tickmark », un tampon, une date.

La personne qui matérialise son contrôle par l’apposition de ses initiales, s’en-gage. Néanmoins cet engagement ne préjuge en rien de la réalité effective d’uncontrôle. Seule une supervision, avec des tests sur un échantillon permettra des’assurer du « sérieux » du contrôleur. (cf. Surveillance permanente et pilotagep.74)

RETOUR ...

66



FI

CH

E

PR

AT

IQ

UE

© IFACI

EVALUATION DES ACTIVITÉS DE CONTRÔLE

Cible


• « Des activités de contrôle proportionnées aux enjeux propres à chaque processus etconçues pour s’assurer que les mesures nécessaires sont prises en vue de maîtriser lesrisques susceptibles d’affecter la réalisation des objectifs de la société.En tout état de cause, les activités de contrôle doivent être déterminées en fonction de lanature des objectifs auxquels elles se rapportent et être proportionnées aux enjeux dechaque processus. »

• Définition du contrôle interne : « …Toutefois le contrôle interne ne peut fournir unegarantie absolue que les objectifs de la société seront atteints. »

Commentaires

Deux critères de qualité des activités de contrôle sont mis en avant dans le cadre de référence :• capacité à maîtriser les risques susceptibles d’affecter la réalisation des objectifs de la société ;• proportionnalité au regard des enjeux.

D’autres critères doivent être pris en compte pour apprécier la pertinence des activités de contrôle :• formalisation et traçabilité (cf. Formalisation du contrôle p.64) ;• intégration au sein de processus opérationnels ;• bonne appropriation par les personnes en charge de leur mise en œuvre.

Au-delà de la pertinence de leur conception, l’évaluation des activités de contrôle doit égalementporter sur :

• la permanence et le caractère effectif de leur exécution ;• l’efficacité de leur fonctionnement ;

Les activités de contrôle doivent faire l’objet d’une évaluation à plusieurs niveaux :• auto-évaluation par la personne en charge de ces activités de contrôle ;• contrôle hiérarchique ;• contrôles de deuxième et troisième niveau entrant dans le cadre de la supervision du contrôle

interne (cf. Typologie des activités de contrôle p.60).

Il ne peut y avoir de garantie absolue quant à l’atteinte des objectifs : ce n’est pasle « risque zéro » qui doit et peut être recherché.

La pertinence des activités de contrôle commence dès leur conception.

67



FI

CH

E

PR

AT

IQ

UE

© IFACI


absence d’évaluation qualitative régulière des activités de contrôle, celles-ci étant effec-tuées par habitude ou de manière formelle sans que le lien soit clairement établi entreces activités et le(s) risque(s) qu’elles sont censées couvrir. Or, le type de contrôle retenudépend de l’effet recherché sur le risque :• réduction de la probabilité de survenance du risque (contrôles préventifs) ;• alerte lors de la manifestation du risque (contrôles détectifs) ;• réduction des conséquences du risque (contrôles correctifs).

mauvaise intégration du contrôle qui peut se superposer aux activités et les alourdir ;

existence de « sur-contrôles » : activités excessives ou redondantes non justifiées parl’enjeu ;

couverture d’un risque par plusieurs activités de contrôle, qui se superposent sanscomplémentarité ;

difficulté d’exécution d’un contrôle ;

difficulté à appréhender l’effet des activités de contrôle sur le(s) risque(s) ;

difficulté à mesurer le rapport coût / utilité des contrôles :• le coût d’une activité de contrôle peut s’avérer difficile à isoler (temps de travail

de la ou des personnes concernées, coût des contrôles informatisés…) ;• l’utilité ou l’efficacité réelle du contrôle ne se mesure pas facilement et directe-

ment. On peut estimer indirectement cette efficacité par les coûts qu’il permetd’éviter…

Il convient de rechercher la meilleure adéquation des modalités du contrôle (cf.Typologie des activités de contrôle p.60) aux caractéristiques du risque à couvrir.

Les activités de contrôle doivent permettre de ramener le risque inhérent ourisque brut à un niveau de risque résiduel. Ce qui pose un certain nombre dequestions :• puisque le risque zéro n’est pas l’objectif, quel est le niveau de risque « tolé-

rable » ?• le risque résiduel est-il contenu dans la limite de l’appétence pour le risque

définie pour ce processus (risque tolérable) ? • ces risques sont-ils évalués ?

68



FI

CH

E

PR

AT

IQ

UE

© IFACI


formaliser, pour chaque processus ou entité, le lien entre activités de contrôle etrisques. Ceci peut être fait dans le cadre de la matrice risques / contrôles. (cf. annexe6 p.125).

intégrer l’évaluation des risques à couvrir et l’évaluation des contrôles pour consti-tuer le référentiel de contrôle interne du processus ou de l’entité (cf. annexe 7 p.127).

élaborer une cartographie des risques. Si elle est réalisée assez près du terrain, ellepermettra d’évaluer l’effet des contrôles sur les risques.

mettre en place des démarches d’auto-évaluation des risques et des contrôles.

assurer le suivi des incidents ou encore la mise en place d’indicateurs de contrôlepermettent d’élaborer un tableau de bord servant de base aux plans d’améliorationdes activités de contrôle.

évaluer la permanence et l’efficacité des activités de contrôle en mettant en œuvre unprogramme de tests. La nature des tests dépendra notamment de la réponse auxquestions suivantes :

• quelle est l’implication du management dans les travaux de supervision ?

• les principes de la séparation des fonctions dans les procédures sont-ils respectés ?

• les contrôles font-ils appel à une grande part de jugement ?

• depuis quand l’activité de contrôle fonctionne-t-elle ?

• existe-t-il des cas d’erreurs importantes survenues dans le passé ?

La revue régulière de ce référentiel et son actualisation serviront alors de base àl’élaboration de plans d’action pour renforcer la maîtrise des risques. Elle sper-mettent également d’alléger et d’améliorer qualitativement les activités decontrôle.

L’établissement, par les opérationnels, du tableau des risques et des contrôlespermet de matérialiser le lien risque / contrôle. Il met en évidence le sens et lafinalité des contrôles.

L’auto-évaluation peut déboucher sur la constitution d’une base commune debonnes pratiques en matière de contrôles. Les activités de contrôle les plus perti-nentes et efficaces pour couvrir les principaux risques auxquels l’organisationest exposée sont identifiées et partagées.

RETOUR ...

69



FI

CH

E

PR

AT

IQ

UE

© IFACI

70



FI

CH

E

PR

AT

IQ

UE

© IFACI

ACTIVITÉS DE CONTRÔLE AUTOMATIQUES

Cible


« Les activités de contrôle sont présentes partout dans l’organisation, à tout niveau et danstoute fonction qu’il s’agisse de contrôles orientés vers la prévention ou la détection, decontrôles manuels ou informatiques ou encore de contrôles hiérarchiques.. »

« Les informations relatives aux analyses, à la programmation et à l’exécution des traite-ments doivent faire l’objet d’une documentation. »

Commentaires

Les Activités de Contrôle Automatiques (ACA) sont les fonctionnalités informatiques, fournies parune application, supportant un contrôle métier spécifique. Elles peuvent être :

• entièrement automatisées ;par exemple, un rapprochement de totaux ;

• partiellement automatisées. En effet, une fonctionnalité informatique peut être associée à uncontrôle manuel.

par exemple, revue mensuelle d’un rapport produit automatiquement ; ou revuemanagériale de la gestion des autorisations et des profils assurant les séparationsde tâches fonctionnelles.


absence de conservation des preuves de bon fonctionnement des ACA.

qualité insuffisante de l’organisation des systèmes d’information et des contrôlesgénéraux informatiques (cf. Systèmes d’information p.40).

coût élevé : la charge du projet lié aux systèmes d’information peut s’avérer très lourdeet représenter jusqu’à un tiers du coût total dans des activités de services fortementinformatisées.

La documentation du paramétrage des ACA, des jeux de tests d’origine et deleur recette doit être conservée.

Dans le cas d’anciennes applications, les jeux de tests fonctionnels doivent êtreré-exécutés pour s’assurer de la similitude des résultats ; ces tests peuvent exigerun traitement complet des données actuelles avec analyse comparative desrésultats.

Il est souhaitable que le diagnostic et les tests de bon fonctionnement des ACAcouvrent systématiquement les applications significatives de l’organisation (entermes de risques et de flux financiers traités). Ce périmètre est commun avecl’environnement de contrôle SI (cf. Systèmes d’information p.40) et il est souhai-table que les jeux de test soient communs.

71



FI

CH

E

PR

AT

IQ

UE

© IFACI


Documenter les ACA en indiquant :• la fonctionnalité (rejet, état d’anomalie…), • le type de contrôle (accès, saisie…), • les documents de référence (cahier des charges de la fonctionnalité et de son para-

métrage, documents de spécifications, valeurs à contrôler, jeux de tests…), • la preuve de l’ACA (par exemple, procès verbal de recette)…

Tester le bon fonctionnement de la fonctionnalité en s’appuyant sur les documentsde référence: • vérifier l’exhaustivité des documents de spécification et de recette qui traitent

spécifiquement du contrôle, • s’assurer que la version de l’application en service est bien la bonne,• prouver que le contrôle n’a pas été modifié depuis sa recette et/ou depuis l’année

précédente (par un log système ou tout autre moyen de traçage des évolutions desprogrammes et/ou paramétrages de ce contrôle).

Adapter l’évaluation de l’activité de contrôle effectuée par la maîtrise d’ouvrage enfonction de la nature des contrôles :• Pour des contrôles « paramétrés » : effectuer des tests directs en production. Si ces

tests sont trop risqués, revoir le paramétrage en production.Par exemple, revue d’écrans ou de tables de configuration.

• Pour des contrôles «programmés », refaire la recette du programme en procédantà une :

- re-performance du contrôle sur des données de l’environnement de test. Si l’en-vironnement de test n’existe plus et doit être recréé, cette solution peut être trèscoûteuse en temps et en argent et doit donc être réalisée en dernier recours ;

- re-performance de la fonctionnalité au moyen d’Excel ou d’un logiciel de testset sur une copie complète de données réelles permettant de comparer les résul-tats obtenus. Cette méthode permet de refaire la recette sans remonter à l’envi-ronnement de test.

Par exemple, pour tester un contrôle automatique d’interface (avec créa-tion d’un fichier de rejets): récupérer le fichier amont (avant le passagedans l’interface) à un instant t, récupérer le fichier aval correspondant,lister les écarts, comparer ces écarts avec le fichier des rejets.

Le test des activités de contrôle automatique est plus simple lorsque les docu-ments de référence ci-dessus sont déjà disponibles et formalisés par le responsa-ble informatique.

Afin d’assurer une documentation complète et des conditions de tests adaptées,une bonne coordination est nécessaire entre le responsable métier et le respon-sable informatique de chaque application significative.

RETOUR ...

2-7 La surveillance et le pilotage



© IFACI

ELÉMENT DU CADRE


Surveillance du dispositif decontrôle interne (p.106)

Surveillance permanente et pilotage 74

Surveillance périodique 78

Information du Conseil 80






74



FI

CH

E

PR

AT

IQ

UE

© IFACI

SURVEILLANCE PERMANENTE ET PILOTAGE

Cible


« Comme tout système, le dispositif de contrôle interne doit faire l’objet d’une surveillancepermanente. Il s’agit de vérifier sa pertinence et son adéquation aux objectifs de la société. »

Commentaires

Le pilotage permanent s’inscrit dans le cadre des activités courantes et comprend les contrôles régu-liers effectués par le management et par le personnel d’encadrement. Il s’agit de vérifier la pertinenceet l’adéquation du dispositif de contrôle interne, et d’évaluer dans le temps les performances qualita-tives.

La surveillance permanente peut également se traduire par :• la mise en place d’un tableau de bord sur des risques suivis de manière continue ;• l’intégration d’indicateurs dans le tableau de bord du président…


absence de :• structure de surveillance permanente des managers (cf. Politique et pratique de

gestion des ressources humaines p.38)• processus de supervision par le personnel d’encadrement (cf. Typologie des activités

de contrôle p.60) ;• modalités d’évaluation par le management ? (cf. Evaluation des activités de contrôle

p.66) ;• outils de surveillance permanente.

difficulté de positionnement des équipes de contrôle interne

L’existence d’un SMQ (Système de Management par la Qualité) ou d’unsystème de gestion des processus peut constituer la base du dispositif desurveillance permanente avec : • la maîtrise des changements de processus et de documentation, • l’identification des non-conformités, • les audits réguliers, • la visibilité apportée par les indicateurs de pilotage et les revues de direction,• la boucle d’amélioration continue.

Si des équipes « de contrôle interne » sont mises en place, il convient de :• trouver le bon maillage du réseau ;• Rendre lisible cette organisation.

75



FI

CH

E

PR

AT

IQ

UE

© IFACI


instaurer une structure dédiée à la surveillance permanente.

mettre en place un dispositif d’auto-évaluation du contrôle interne et des risques parles managers opérationnels et leurs équipes (Cf. annexe 9 p.135),planifier et effectuer des revues, le plus souvent manuelles, de façon régulière oualéatoire, sur des contrats, des commandes, des avoirs…Ces activités de supervision,qui requièrent une grande attention de la part de leurs auteurs, sont souvent réaliséesà l’aide d’une checklist de points clés à vérifier.

Il peut s’agir, par exemple, de vérifier que les accords de garantie donnés parles gestionnaires pour la prise en charge des sinistres sont bien fondés. Lasupervision peut également consister à refaire sur quelques dossiers pris auhasard le travail de base des gestionnaires.

rédiger un rapport sur la situation du contrôle interne de l’organisation. Différentesréglementations peuvent imposer l’établissement et la publication d’un rapport surla situation du contrôle interne de l’organisation, qui peut être soit descriptif (cas dela Loi de Sécurité Financière en France), soit évaluatif (cas des banques et établisse-ments financiers, cas de la loi Sarbanes Oxley pour les sociétés cotées à la Bourse deNew York…).

utiliser des outils de surveillance permanente :• un outil documentaire informatisé permet non seulement d’enregistrer la docu-

mentation des contrôles, mais aussi les défaillances, leur évaluation et leurs plans

La mise en place des équipes de contrôleurs internes nécessite : • le recrutement des compétences, • un programme de formation,• un calendrier des travaux de tests et d’évaluation des résultats, • un reporting sur la situation du contrôle interne, sur les défaillances et les

plans d’actions de remédiation.

La surveillance permanente par le management sera d’autant plus effectivequ’elle aura été rappelée dans les descriptions de postes des responsables.

Pour établir un rapport au niveau Groupe, il peut être demandé aux dirigeantsde chaque entité du périmètre de contrôle interne du Groupe de signer une lettred’affirmation confirmant qu’ils ont :• conçu un dispositif de contrôle interne approprié, • testé le bon fonctionnement du dispositif et,• été informés des défaillances de contrôle interne, des risques et des fraudes

dans tous les domaines (organisation, activités de contrôle opérationnelles,système d’information, processus d’information financière, prévention etdétection de la fraude, séparation des tâches…).

76



FI

CH

E

PR

AT

IQ

UE

© IFACI

de remédiation, et de préparer un tableau de bord de pilotage ;• un tableau de bord de pilotage du contrôle interne pour s’assurer de l’atteinte

des objectifs (chiffres d’affaires, diminution du volume d’impayés…). Il nécessite :- la définition des indicateurs et de leurs propriétaires ; - des actions d’information, par entité, sur l’importance de la qualité de la docu-

mentation ;- l’intégration des incidents (cas de fraudes, vols, détournements, erreurs) ; - le recueil d’informations sur des risques suivis de manière continue ;- la connaissance de la fréquence et de la gravité des défaillances constatées ; - la prise en compte de la maturité des contrôles ;- l’établissement du planning des évaluations et contrôles (questionnaires) ;- des données sur l’avancement des actions de remédiation.

• intégration d’indicateurs du contrôle interne dans le tableau de bord du président.

Il convient d’être vigilant et de ne pas créer trop d’indicateurs « qualité » car àterme, il y a le risque de ne plus savoir lequel est le plus pertinent et la supervi-sion perdrait de son intérêt.

Des réunions régulières de revue du contrôle interne comprenant chaqueDirecteur Exécutif et ses collaborateurs, l’audit interne, le risk management, ladirection du contrôle interne, permettent d’informer le management sur le suivides résultats des tests d’efficacité du contrôle interne et leurs plans d’actions, ladéfinition et l’évaluation des risques de la Direction, le suivi des principalesrecommandations d’audit interne et externe, et l’état de mise en œuvre desdémarches d’auto-évaluation.

RETOUR ...

77



FI

CH

E

PR

AT

IQ

UE

© IFACI

78



FI

CH

E

PR

AT

IQ

UE

© IFACI

SURVEILLANCE PÉRIODIQUE

Cible


« Mise en œuvre par le management sous le pilotage de la Direction Générale ou duDirectoire, cette surveillance prend notamment en compte l’analyse des principaux inci-dents constatés, le résultat des contrôles réalisés ainsi que des travaux effectués par l’auditinterne, lorsqu’il existe. Cette surveillance s’appuie notamment sur les remarques formuléespar les commissaires aux comptes et par les éventuelles instances réglementaires de super-vision. »

Commentaires

Les auditeurs internes effectuent des évaluations périodiques de contrôle interne, soit dans le cadrede leur programme courant, soit à la demande du Conseil d’Administration, de la Direction Généraleou du management.


inadéquation du niveau technique des auditeurs internes.

positionnement du service d’audit interne (en matière d’autorité et de rattachementhiérarchique) ne garantissant pas son indépendance. Notamment en ce qui concernel’accès au comité d’audit.

champ des activités de l’audit interne inapproprié (par exemple, déséquilibre entreaudits financiers et audits opérationnels ; mauvaise couverture des activités décentrali-sées, rotation insuffisante d’audits cycliques entre les différentes entités).

la planification, l’évaluation du risque, et la documentation du travail effectué et desconclusions tirées sont-elles adéquates ?

L’étendue et la fréquence des évaluations périodiques dépendent essentielle-ment du niveau des risques et de l’efficacité du processus de surveillancepermanente. Le développement des outils et de la pratique de l’auto-évaluationdu contrôle interne devront être pris en considération.

S’assurer que la formation et les compétences (y compris en environnementspécialisé) des auditeurs internes sont adéquates. Evaluer le niveau de conformité aux normes internationales professionnelles del’audit interne.

Le service a-t-il le droit d’examiner n’importe quel aspect des activités de l’or-ganisation et l’exerce-t-il effectivement ?

Le service d’audit interne est-il dégagé de toute responsabilité opérationnelle ?

79



FI

CH

E

PR

AT

IQ

UE

© IFACI


rédiger et faire valider par la Direction Générale et le Conseil, une charte d’auditinterne qui définit ses missions, pouvoirs et responsabilités

surveiller et évaluer l'efficacité globale du programme qualité de l’audit interne.Conformément aux Normes internationales pour la pratique professionnelle de l’au-dit interne, ce processus doit comporter des évaluations tant internes qu'externes. Lerecueil des commentaires des clients de l’audit par le biais de questionnaires, aprèschaque mission ou pour quelques missions choisies, permet d’analyser la perceptionqu’a le management de l’audit et d’identifier les actions ou mesures correctives quipermettront d’améliorer l’efficacité de l’audit et de mieux répondre aux besoins dumanagement.

communiquer le résultat des évaluations périodiques à la Direction Générale et auConseil.

coordonner les activités de l’audit interne et celles des commissaires aux comptes.

Certification des Services d’Audit Interne

Selon la norme professionnelle 1300, « le responsable de l’audit interne doit élaboreret tenir à jour un programme d’assurance et d’amélioration qualité portant sur tous lesaspects de l’audit interne et permettant un contrôle continu de son efficacité. Ceprogramme inclut la réalisation périodique d’évaluations internes et externes de laqualité, ainsi qu’un suivi interne continu ». Cette norme 1300 devait être mise enœuvre dès janvier 2002 pour ce qui concerne les évaluations périodiques inter-nes et le suivi interne continu, alors qu’une évaluation externe devait être réali-sée avant janvier 2007 et ensuite au moins tous les cinq ans.

L’IFACI a signé en 2006 un protocole d’accord avec l’IIA Global l’autorisant àproposer aux directions d’audit interne tout type d’évaluation externe :• la validation indépendante après auto-évaluation,• la revue qualité,• et bien sûr la certification que nous privilégions, et vers laquelle la plupart

des organisations intéressées se tournent car elles veulent obtenir un label dequalité qui constitue un gage de crédibilité et de lisibilité.

Il est souhaitable que les rencontres commissaires aux comptes/auditeurs inter-nes soient complétées par l’échange des rapports, sous le sceau de la confiden-tialité réciproque.

RETOUR ...

80



FI

CH

E

PR

AT

IQ

UE

© IFACI

INFORMATION DU CONSEIL

Cible


« Il appartient à la Direction Générale ou au Directoire de rendre compte au Conseil (ou àson comité d’audit lorsqu’il existe) des caractéristiques essentielles du dispositif decontrôle interne. »

Commentaires

Le cadre de référence de l’AMF précise : « Le niveau d’implication des Conseils d’Administration oude Surveillance en matière de contrôle interne varie d’une société à l’autre. Il appartient à laDirection Générale ou au Directoire de rendre compte au Conseil (ou à son comité d’auditlorsqu’il existe) des caractéristiques essentielles du dispositif de contrôle interne. En tantque de besoin, le Conseil peut faire usage de ses pouvoirs généraux pour faire procéder par la suiteaux contrôles et vérifications qu’il juge opportuns ou prendre toute autre initiative qu’il estimeraitappropriée en la matière. »

Selon les articles 225.37 et 225.68 du code de commerce qui trouvent leur origine dans la Loi deSécurité Financière (LSF) du 1er août 2003 (article 117), dans les sociétés faisant appel public àl’épargne, le Président du Conseil d’Administration ou de Surveillance « rend compte, dans unrapport… des procédures de contrôle interne mises en place par la société ».

Le Rapport Bouton (2002) … « réaffirme l’importance pour les sociétés cotées de disposer d’unComité des comptes (ou d’audit), dont la mission n’est pas détachable de celle du Conseild’Administration…S’agissant de l’audit interne et du contrôle des risques, les Comités (des comptesou d’audit) devraient examiner les risques et engagements hors bilan significatifs, entendre le respon-sable de l’audit interne, donner leur avis sur l’organisation de son service et être informés de sonprogramme de travail. Ils devraient être destinataires des rapports d’audit interne ou d’une synthèsepériodique de ces rapports ».


Il est parfois difficile de mettre en œuvre un dispositif de gouvernance appropriée enmatière d’information sur le contrôle interne auprès de tiers à l’organisation (adminis-trateurs…).

81



FI

CH

E

PR

AT

IQ

UE

© IFACI


mettre en place un Comité d’Audit et définir son rôle en matière d’information surle contrôle interne, et selon quelles modalités.

La 8ème directive européenne qui devra être transposée dans les états membres avantle 29 juin 2008, prévoit l’obligation, pour les sociétés faisant appel public à l’épargne,de mettre en place un Comité d’Audit chargé entre autres du « suivi de l’efficacité dessystèmes de contrôle interne, d’audit interne le cas échéant et de gestion des risques de lasociété ».

définir le rôle de la Direction Générale en matière d’information sur le contrôleinterne.

définir le rôle de l’audit interne en matière d’information sur le contrôle interne ;pour chaque catégorie de destinataires (Direction Générale, Comité d’audit,Conseil...) quels sont le contenu et la forme des informations produites par l’auditinterne ?

Le cadre de référence prévoit : « Lorsqu’il existe, le Comité d’audit devrait effectuerune surveillance attentive et régulière du dispositif de contrôle interne. Pour exercer sesresponsabilités en toute connaissance de cause, le Comité d’audit peut entendre leresponsable de l’audit interne, donner son avis sur l’organisation de son service et êtreinformé de son travail. Il doit être en conséquence destinataire des rapports d’auditinterne ou d’une synthèse périodique de ces rapports ». (Cf. annexe 1, p.106)

Auprès de quelles instances la Direction Générale rend-elle compte du disposi-tif de contrôle interne: Conseil d’Administration, Conseil de Surveillance,Comité d’Audit, lorsqu’il existe, et selon quelles modalités ?

Les Normes d’audit interne prévoient que le responsable de l’audit internerende compte, au moins une fois par an, à la Direction Générale et au Comitéd’Audit.

RETOUR ...

III. COMMUNIQUER / VENDRE LE CONTRÔLE INTERNE

La mise en place d’un dispositif de contrôle interne va concerner tous les membres d’uneorganisation. Il est nécessaire de s’assurer que tous ont compris ce qu’est le contrôleinterne, et quels sont les enjeux du projet et les moyens de mise en œuvre du dispositif.Cette partie cherche à répondre à deux questions clés :

• Qui doit communiquer, à quel moment, selon quel mode, avec quels moyens ? • En quoi la communication sur le contrôle interne est-elle un facteur important pour

contribuer à rendre le dispositif pérenne ?

3-1 Le rôle du Président et de la Direction GénéraleL’engagement du Président et de la Direction Générale est indispensable dès le démarragedu projet afin d’obtenir l’adhésion de l’ensemble des membres de l’organisation. C’est pardes actions de communication que cet engagement et ce soutien se matérialisent.

Deux moments dans la mise en place d’un tel projet, constituent des temps forts :• au démarrage afin de susciter l’adhésion et de mobiliser les ressources, • en fin de projet afin de passer à un mode pérenne et intégré du contrôle interne.

En complément à ces temps forts, il est également nécessaire de maintenir cet effort decommunication au plus haut niveau au cours du projet à la fois pour continuer à matéria-liser la volonté de la direction et également pour permettre un pilotage et/ou unesurveillance de la progression du projet. Les différentes modalités de la communication du Président/Direction Générale autravers des différentes phases du projet sont :

Au lancement du projet

La communication du Président et de la Direction Générale doit s’adresser à l’ensembledes collaborateurs. Elle vise à susciter l’adhésion de tous au projet.



© IFACI

L’implication visible du plus haut niveau de management de l’organisation estune condition nécessaire au succès d’un projet de mise en place du contrôle

interne.

Il est souhaitable que le message de lancement du projet soit commun àl’ensemble de l’organisation. Il porte sur : • la mise en évidence des enjeux du projet (cf. Cadrer le projet de contrôle

interne p.9) ;• les bénéfices attendus pour l’organisation dans son ensemble et pour les

différentes catégories d’acteurs ;• le processus de mise en œuvre du projet (situer les acteurs et les échéances

majeurs).

Dès le lancement du projet, la Direction Générale doit préciser qu’il ne s’agit pas d’ajouterdes tâches supplémentaires mais de permettre à chacun de mieux maîtriser ses activités.

Les médias couramment utilisés pour ce type de communication sont variables en fonctiondes organisations mais vont refléter l’importance donnée par la direction au projet. Parmiles supports les plus couramment utilisés, on peut citer :

• les lettres ou notes du Président ;• les journaux internes ;• un journal spécifique ou site intranet créé pour le lancement et le suivi du projet ;• un support de type bande dessinée utilisé par certaines organisations, afin de rendre

la communication plus vivante ;• les allocutions en sessions plénières et/ou en vidéo-transmission.

A la fin du projet

L’enjeu pour l’organisation est de réussir la transition d’un fonctionnement en mode projetvers l’intégration du contrôle interne dans les activités courantes. Là encore, une commu-nication au plus haut niveau vers l’ensemble des membres de l’organisation, est fortementsouhaitable.Le message à la fin du projet doit :

• rappeler les enjeux initiaux, • valoriser les acquis du projet,• expliquer les modalités d’intégration.

L’explication des modalités d’intégration du projet de contrôle interne consiste à :• identifier les acteurs permanents du contrôle interne (responsable du contrôle

interne, de la conformité, managers…),• préciser les rôles et responsabilités de ces acteurs, • expliciter un nouvel environnement procédural (politiques, procédures, instruc-

tions), • intégrer les travaux relatifs au contrôle interne dans les fiches de fonction et/ou les

processus d’évaluation annuels, par exemple.

Les médias utilisables sont les mêmes que ceux mentionnés plus haut pour la phase delancement.



© IFACI

Le ton de ce message est variable en fonction des cultures de l’organisationmais il se doit a priori d’être plus convaincant que contraignant. Chaque colla-

borateur doit au moins y trouver la réponse à deux questions essentielles :• quelle est la valeur ajoutée de ce projet pour moi ?• quelle sera la nature des changements potentiels dans la conduite de mes acti-

cités au quotidien ?

Il est souvent souhaitable de donner un nom au projet afin de lui donner uneidentité propre et de matérialiser la naissance de la démarche.

Du lancement à l’analyse des écarts

La communication du Président/de la Direction Générale vise trois cibles :• la ligne hiérarchique directe ;• l’équipe projet ;• l’ensemble des collaborateurs.

La communication avec la ligne hiérarchique directe a lieu lors de la phase de lancement,pour relayer aux directions opérationnelles et fonctionnelles, la nécessité de mobiliser desressources et lors de la phase d’analyse des écarts afin d’exercer une surveillance sur lamise en place des plans d’actions relevant de la responsabilité des directions concernées.Cette communication emprunte les modes habituels de communication utilisés dansl’organisation pour mener et suivre les activités courantes (comités de direction, réuniond’avancement, rapport d’activité…).

La phase de définition de la cible constitue un temps fort de la communication entre laDirection Générale et le comité de pilotage du projet. En effet, c’est à cette occasion que lecomité de pilotage présente pour validation les options structurantes du projet et aura àcette occasion un échange de fond avec la Direction Générale sur le dispositif cible decontrôle interne.

Enfin, la Direction Générale sera amenée à communiquer périodiquement sur l’avance-ment du projet vers l’ensemble des collaborateurs afin de soutenir la dynamique du projet.

3-2 L’audit interneSelon la définition de l’IIA (The Institute of Internal Auditors), adoptée par le conseild’administration de l’IFACI, « l’audit interne est une activité indépendante et objective quidonne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte sesconseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisationà atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses proces-sus de management des risques, de contrôle, et de gouvernement d’entreprise, et en faisant despropositions pour renforcer son efficacité ». Les auditeurs internes ont donc un rôle à jouerdans la promotion du contrôle interne.A chaque phase du projet, l’audit interne pourra être un facilitateur de la communicationsur les enjeux du projet. Leur connaissance de l’organisation et des principaux référentielsde contrôle interne aideront les auditeurs à diffuser les bonnes pratiques les mieux adap-tées. Elles permettront d’illustrer les messages pour que les différents acteurs du projet sel’approprient plus facilement.Le rôle de l’audit interne devra être clarifié de façon à limiter les atteintes à son indépen-dance et à son objectivité.

3-3 L’équipe projetLa communication de l’équipe projet tout au long du processus poursuit trois grandsobjectifs relatifs aux différentes phases de l’avancement :

• en début de projet, déterminer et diffuser les modalités de fonctionnement du projetet s’assurer de la cohérence des outils et méthodologies utilisés au sein de l’organi-sation ;



© IFACI

• en cours de projet, assurer la fluidité des informations échangées et permettre lesprises de décision et la surveillance par la Direction Générale ;

• en fin de projet, communiquer un bilan à la Direction Générale et permettre untransfert d’informations vers une structure pérenne, si tel est le cas.

Lors du démarrage du projet

L’équipe projet devra partager ses propositions d’approche, d’outil et de méthodologieavec la Direction Générale afin d’obtenir son accord sur la marche à suivre et un certainnombre d’orientations. Cette communication se fait généralement sur la base d’un cahierdes charges communiqué et présenté à la Direction Générale.

La validation formelle du cahier des charges par la Direction Générale marque habituelle-ment le lancement effectif du projet.

Au lancement du projet

Lors de cette phase, l’équipe projet va devoir développer un véritable « kit de communi-cation », afin de :

• prolonger la communication faite par la Direction Générale, • continuer à mobiliser les collaborateurs, • permettre une première appropriation de la démarche en particulier par les mana-

gers opérationnels.



© IFACI

Il sera nécessaire de s’assurer que les points majeurs suivants sont couverts parle cahier des charges du projet :• besoins en termes d’outil et de support méthodologique ;• ressources (interne / externes) ;• planning, délais ;• budget.

Au sein de ce « kit de communication » se retrouve fréquemment tout ou partiedes éléments suivants :• des vidéos de sensibilisation aux problématiques de contrôle interne (inter-

views de personnalités internes ou externes au groupe comme par exempledes administrateurs de sociétés de secteur d’activité comparable, extraits dejournaux télévisés…) ;

• des coupures de presse destinées à démontrer les enjeux du contrôle interne(ex. reconstitution des historiques de scandales financiers récents) ;

• des supports de formation au contrôle interne (support classique sous formede classeur, support électronique sous forme d’intranet et/ou base dedonnées, e-learning) ;

• des supports de type « vademecum » donnant les principes, les définitionsclés etc. qui permettent de préserver une certaine homogénéité et cohérencedans la démarche et les terminologies utilisées ;

• des notes de synthèses expliquant brièvement les enjeux du projet, utilisablespour sensibiliser les managers.

Il arrive fréquemment que l’équipe projet se fasse relayer par des correspondants duprojet, dont la particularité est d’être avant tout des opérationnels. Ils s’adresseront à leurspairs et leur légitimité constitue a priori un acquis. Lors de réunions dédiées, le responsable projet devra identifier et expliquer auxcorrespondants du projet leurs rôles et responsabilités.

Pendant les phases de définition de la cible, de diagnostic et d’analysedes écarts

Les enjeux des différents membres de l’équipe projet en matière de communication, sontprincipalement centrés sur les flux d’information relatifs à l’avancement du projet, et à larésolution des difficultés rencontrées.

Dans la gestion courante du projet, les autres modalités de communication sont principa-lement :

• la communication de proximité notamment celle des correspondants du projet quidoivent être présents et disponibles pour répondre au questions de leurs pairs, etfaire le lien avec le responsable du projet en cas de difficulté ou d’arbitrage ;

• le reporting spécifique suivi par le responsable du projet, et qu’il communique aucomité de pilotage ;

• les points d’avancement effectués par le responsable du projet. Il prendra en chargela préparation des supports communiqués par la Direction Générale à l’ensembledu personnel (ex. suivi d’avancement sur un site intranet ou dans le journal interne).

En fin de projet

Le responsable du projet prépare et présente le bilan au comité de pilotage qui le relaieraà la Direction Générale.Si l’option d’une structure pérenne pour suivre la contrôle interne est retenue, et dans lecas où le responsable du projet n’est pas la personne prenant en charge cette structure, ilconvient d’organiser le transfert d’information vers le nouveau responsable, selon desmodalités classiques de transfert d’expérience :

• partage des documents ;• réunions d’information ;• gestion en doublon pendant un laps de temps court éventuellement.

3-4 Les managers

Dans cette partie, nous entendrons par managers, les responsables des entités opération-nelles ou de fonctions (Directeurs, chefs ou adjoints au chef de service…).



© IFACI

Un moment clé en matière de communication projet, est celui du partage desrésultats obtenus suite aux missions « pilote » réalisées. En effet, la mise en

œuvre de ces « pilotes » est à la fois un moyen efficace d’impliquer des correspon-dants (appropriation du projet), mais aussi de partager sur la base d’expériencesterrain réelles tant les bénéfices constatés que les écueils et difficultés rencontrés.

3-4-1 Les enjeux de la communication des managers :

La communication des managers lors des différentes phases poursuit les objectifssuivants :

• convaincre et mobiliser les équipes, • vérifier la validité du modèle par rapport à la réalité de terrain,• définir et suivre la mise en place de plans d’actions pour atteindre le modèle cible

de contrôle interne,• enfin, réussir le passage d’un mode projet à l’intégration du modèle dans les activi-

tés opérationnelles.

Lors du lancement du projet, ils sont chargés de relayer les objectifs du projet auprès desopérationnels, mais surtout de mobiliser leurs équipes. Bien entendu, l’ensemble desopérationnels devra être compris dans cette communication, le contrôle interne étant l’af-faire de tous. Au moment du lancement, les managers orienteront leur communication vers :

• le recadrage du projet dans la stratégie de l’entreprise, afin de mettre en évidence lesattendus de la Direction Générale (cf. § Le rôle du Président et de la DirectionGénérale p.82) ;

• la mise en avant des bénéfices attendus de ce projet, en termes d’amélioration del’efficacité des processus pour chacun ;

• la présentation et le calendrier de mise en œuvre du projet au sein de chaque entité.

Lors de la transition d’un mode « projet » à un mode « intégré », les managers ont un rôleessentiel à jouer, afin que la dynamique projet ne s’essouffle pas mais au contraire s’intè-gre progressivement au fonctionnement permanent de l’organisation.

Lors des trois autres phases de définition de la cible, de diagnostic et d’analyse desécarts, les managers auront pour rôle de suivre la mise en œuvre et l’avancement duprojet. Ils informeront les correspondants du projet des difficultés rencontrées sur leterrain, en matière de choix méthodologiques, outils et modalités de mise en œuvre.

Tous les vecteurs de communication habituels de l’entreprise seront adaptés à cettecommunication :

• réunions exceptionnelles de lancement avec l’intervention du correspondant projet ;• diffusion de notes internes ou lettres d’information internes ;• diffusion d’une plaquette de communication ou d’un CD Rom ;• mise en place d’un intranet du projet, où les managers ou opérationnels peuvent

poser les questions relatives à la mise en œuvre.



© IFACI

Les temps forts de l’intervention des managers se situent lors des phases delancement du projet, et de transition d’un mode « projet » à un mode « intégré ».

Les managers devront eux-mêmes modifier leur mode de management defaçon à intégrer le contrôle interne dans leur gestion quotidienne, via des indi-

cateurs de suivi, des plans d’actions d’améliorations, d’efficacité des dispositifsde contrôle interne.

3-4-2 Difficultés fréquemment rencontrées :

Les contraintes rencontrées sont celles communes à tout processus de changement trans-versal. De plus, les différentes approches de contrôle interne existant dans l’entrepriseavant la mise en œuvre d’un tel projet, peuvent venir en concurrence avec celui-ci.Néanmoins, ces difficultés seront d’autant moins grandes que la culture d’entreprise estimprégnée de la notion de contrôle interne ou de maîtrise des risques.

3-4-3 Facteurs clés de la réussite du projet par les managers en termesde communication

La communication des managers sera d’autant plus efficace vis-à-vis des opérationnels,qu’eux-mêmes seront convaincus de l’utilité du projet, mais aussi confortés dans leur rôlede relais.Pour la réussite du projet, les managers doivent obtenir :

• l’appui de leur hiérarchie, notamment des directeurs des entités opérationnelles,pour promouvoir et relayer le projet auprès des opérationnels ;

• la reconnaissance de l’atteinte d’objectifs individuels en matière de mise en œuvredu contrôle interne. Lorsque ceci est atteint, c’est la preuve que l’on est passé à unmodèle « intégré » du contrôle interne ;

• une assistance efficace pour la mise en œuvre du dispositif, de la part des correspon-dants du projet. Leur rôle est primordial pour fluidifier les informations entreéquipe projet et opérationnels ;

• un outil support de la démarche qui soit performant.

3-5 Les opérationnels

3-5-1 Les enjeux de la communication des opérationnels

La communication des opérationnels lors de ces différentes phases poursuit les objectifssuivants :

• tester le modèle de contrôle interne, ou le mettre en œuvre et faire part des difficul-tés de terrain à leur hiérarchie ;



© IFACI

Il est important d’intégrer les approches qui ont façonné la culture d’entrepriseet de ne pas faire « table rase » du passé mais au contraire de rechercher les

synergies entre les différentes démarches.

L’affectation des moyens adéquats est une preuve du soutien de la hiérarchie etde réussite du projet.

La charge de travail supplémentaire induite par la mise en œuvre du dispositifne doit pas être avancée comme argument « bouclier ».

• intégrer le contrôle interne dans leurs activités courantes.

Les temps forts de leur contribution se situent lors des phases de définition de la cible, etde transition d’un mode « projet » à un mode « intégré ».

Lors de la définition de la cible (pour les entités pilotes) ou lors du diagnostic (pourl’ensemble des entités), les opérationnels sont chargés de tester ou mettre en œuvre lemodèle et rendre compte auprès de leur hiérarchie des difficultés rencontrées, notammenten ce qui concerne les outils et les modalités de mise en œuvre (charge de travail ou calen-drier …).

Les interlocuteurs des opérationnels sont bien sûr les managers voire le correspondant duprojet de leur direction. Ces derniers doivent être en mesure de répondre aux questions encas de difficultés d’application.

Lors de la phase de transition, l’enjeu principal pour les opérationnels est l’appropriationdu contrôle interne. Ils doivent être à même d’intégrer cette notion dans leurs activitésquotidiennes, celui-ci devant devenir comme un « réflexe » et faire partie intégrante deleur réflexion.

3-5-2 Difficultés pouvant être rencontrées

La plus grande difficulté que l’on peut rencontrer chez les opérationnels est la perceptionnégative qu’ils peuvent avoir du concept de contrôle interne.

Des actions de sensibilisation et de formation pourront utilement être mises en place afinde permettre d’améliorer l’appropriation de l’environnement de contrôle.

3-5-3 Facteurs clés de la réussite du projet par les opérationnels entermes de communication

L’appropriation du contrôle interne par les opérationnels sera d’autant plus réussie que leséléments suivants sont réunis :



© IFACI

L’appropriation du contrôle interne sera d’autant plus facile pour les opéra-tionnels que leur hiérarchie leur montre l’exemple, et fait de ce projet un enjeu

important.

La mauvaise compréhension des concepts est généralement source de confu-sion et de potentielle démobilisation. Un certain nombre de risques liés à ce

manque de clarté peuvent être identifiés :• le contrôle interne est assimilé à un reporting de plus ;• le contrôle interne est vécu comme une contrainte plutôt que comme un

levier ;• le contrôle interne est purement comptable ;• le contrôle interne est une affaire de spécialistes.

• clarté et efficacité du message de leur hiérarchie ;

• moyens accordés aux opérationnels pour mener à bien le projet ;

• clarté de l’organisation en matière de responsabilités. Les lignes de reporting habi-tuelles doivent être conservées pour rendre compte sur ce nouveau projet ;

• un langage commun pour le projet : méthode, normes et outils communs pourl’ensemble de l’entité.

En conclusion, en matière de communication, il convient de fixer des objectifs réalistes, etde chercher à convaincre plutôt que d’imposer.Il ne faut pas faire table rase du passé, dévaloriser les anciennes méthodes – ce qui provo-querait un effet démobilisateur – mais au contraire capitaliser autant que possible et valo-riser les bonnes pratiques existantes, ce qui ne peut que satisfaire les managers et lesopérationnels.

3-6 Faire vivre le contrôle interne

Si les organes de direction et le management jouent un rôle clé dans la conduite du projet,il en est de même par la suite. En effet, ils ont également le devoir de favoriser l’appro-priation de celui-ci à tous les niveaux de l’organisation. C’est cette appropriation qui enpermettra l’intégration à l’ensemble des activités, condition nécessaire au bon fonctionne-ment du dispositif.



© IFACI

Un message volontariste et motivant envers les opérationnels est un gage deréussite du projet.

Les moyens comprennent du temps dégagé pour dérouler le projet, des infor-mations disponibles, des formations et une assistance réactive en cas de diffi-

cultés, de la part de la hiérarchie et du correspondant du projet.

Le lien entre les différentes approches existantes (notamment la qualité) doitêtre précisé afin d’éviter toute ambiguïté et ne pas avoir l’impression de confu-

sion et de désordre.

Il est essentiel que le management comprenne que le contrôle interne ne sesubstitue ni ne se superpose aux pratiques managériales en vigueur, mais vient

réellement s’intégrer dans leur quotidien pour contribuer à leur donner lesmoyens de mieux assumer leurs responsabilités.

3-6-1 Le processus de contrôle interne intégré dans l’organisation

Le contrôle interne vit s’il est conçu comme un processus intégré, c’est à dire un ensembled’actions qui touchent à toutes les activités d’une organisation. Ces actions sont présentesde manière continue dans toutes les opérations, à tous les niveaux de l’organisation. Sapérennité, son efficacité sont liées à son niveau d’intégration dans l’infrastructure de l’or-ganisation et dans sa culture.Pour atteindre cette appropriation et, in fine, l’intégration, tous les membres de l’organi-sation doivent avoir été préalablement sensibilisés aux problématiques de contrôle interneau cours des différentes phases du projet. Cette sensibilisation sera d’autant mieux ancréedans les comportements qu’un certain nombre d’outils, mentionnés précédemment,auront été utilisés, il s’agit par exemple :

• de l’existence et de l’application d’un code d’éthique ;• de l’élaboration et de la mise en œuvre d’une charte de contrôle interne (cf. annexe

4 p.119 ) ;• d’actions de communication auprès du personnel (journal interne, formation, voire

bande dessinée dans certaines entités) ;• de fiches de poste ou des descriptions de fonction.

Il est souvent utile qu’un membre de l’organisation ait le rôle permanent d’animation dudispositif de contrôle interne, afin de proposer dans la durée :

• un support méthodologique garantissant l’homogénéité et la pérennité des métho-des et outils ;

• l’animation et la formation, notamment des nouveaux arrivants ;• une vision globale à la Direction Générale sur le dispositif de contrôle interne.

Selon les organisations, ce permanent aura un rôle différent allant de l’évolution du dispo-sitif en place à l’évaluation de ce dispositif.



© IFACI

En résumé, faire vivre le contrôle interne c’est :• mesurer le retour sur investissement du projet ;• avoir une démarche itérative ;• actualiser la démarche en prenant en compte la mise à jour de l’identification

des risques ainsi que l’évolution de l’entreprise et de l’environnement ;• réaliser des formations sur le contrôle interne. Ces actions seront particuliè-

rement orientées vers les nouveaux entrants et les managers nouvellementnommés.

Le contrôle interne ne doit, en effet, pas être conçu ni perçu comme une« couche » additionnelle de contrôle qui se surajoute aux travaux existants mais

doit être bel et bien intégré en amont de la réflexion sur la conception des proces-sus.

3-6-2 Le contrôle interne intégré dans les comportements

Le contrôle interne n’existe que parce que les collaborateurs de l’organisation : les diri-geants, les managers et les membres du personnel de l’organisation, l’ont intégré dans leurcomportement au quotidien. Ils doivent connaître leur rôle et leurs responsabilités en lamatière. Il convient donc de s’assurer notamment que les descriptions de poste intègrentsystématiquement le contrôle interne.

Chaque maillon de l’organisation doit clairement concevoir son rôle et agir en consé-quence :

• le dirigeant doit promouvoir le contrôle interne et s’investir de manière permanentedans la communication vers les membres du personnel ;

• le management joue un rôle essentiel dans le bon fonctionnement, la maintenancedu dispositif. Les managers exercent en priorité un rôle de supervision, et il leurappartient de mettre en place des activités de contrôle ;

• les membres du personnel mettent en œuvre certains contrôles, les analysent etprennent si nécessaire des mesures correctives. Aussi, les collaborateurs qui entrentdans l’organisation doivent-ils avoir connaissance, par le biais d’une sensibilisationou d’une formation, du dispositif de contrôle interne de l’organisation.

3-6-3 Le contrôle interne intégré dans la communication

Pour faire vivre le contrôle interne, il faut veiller à ce que des messages relatifs à la maîtrisedes activités soient prévus de manière systématique dans les plans de communication.Ces messages peuvent être véhiculés par tout support, journal d’entreprise, intranet (dansle groupe La Poste, un intranet, accessible à tous, est consacré au contrôle interne :Clic iCI)…



© IFACI

La prise en compte des responsabilités des collaborateurs, en matière decontrôle interne, lors de l’évaluation de leurs performances annuelles, est un

moyen de rappeler l’importance de l’intégration de ce dispositif dans l’actionquotidienne.

Quel que soit l’outil, il est important que ces messages irriguent toute l’organisation.D’autre démarches peuvent être mises en œuvre, comme par exemple des échanges debonnes pratiques pour corriger des dysfonctionnements détectés lors des contrôles.

3-6-4 Le contrôle interne intégré dans le pilotage de l’organisation.

Le pilotage est une des composantes du contrôle interne qui vise à s’assurer que celui-ciest efficace et qu’il prend en compte les évolutions de l’organisation et de son environne-ment. Ce suivi doit aussi évaluer si, dans la réalisation de la mission de l’organisation, lesobjectifs généraux, repris dans la définition du contrôle interne, ont été atteints.

La surveillance permanente (p.74) du contrôle interne s’inscrit dans le cadre des opéra-tions courantes et récurrentes d’une organisation. Elle doit être considérée comme unélément du pilotage global de l’organisation. Elle est plus efficace car elle s’opère encontinu et en temps réel, réagit en direct à l’évolution de la situation. Elle permet la détec-tion plus rapide des dysfonctionnements.

3-6-5 Le contrôle interne intégré dans la formation.

Pour bien faire vivre le contrôle interne, il convient, après la phase de projet, de maintenirun plan de formation adapté à tous les niveaux de l’organisation et, idéalement, embarquédans les formations managériales de l’organisation, tant en termes de contenu que dedurée. A titre d’exemple, un plan de formation adapté au management pourrait prévoir :

• une sensibilisation d’environ deux heures au cadre de référence de contrôle internedéfini par l’organisation :- pour les membres du Conseil d’Administration ;- pour les cadres dirigeants, cette formation est insérée dans le parcours d’inté-

gration des nouveaux embauchés ;• une formation approfondie de plusieurs jours pour les responsables de contrôle

interne déployés dans les directions opérationnelles, abordant tant le cadre de réfé-rence que les outils de documentation et de reporting mis en œuvre;

• des formations complémentaires sont à prévoir pour les contrôleurs internes spécia-lisés dans certains domaines (informatique, domaine comptable et financier).



© IFACI

Cet Intranet est un bon moyen d’accès à des informations sur :• l’actualité ;• la veille ;• les textes incontournables ...

Il permet d’animer une véritable communauté.

Il convient de prévoir que tous les supports de formation soient disponibles ene-learning sur l’intranet du groupe.

3-7 Tableau récapitulatif relatif à la communication

Le tableau ci-dessous présente les acteurs clés impliqués pour chacune des phases duprojet :

• pré-lancement ;• lancement du projet de contrôle interne ;• définition de la cible (test et ajustement du modèle de contrôle interne) ;• analyse de l’existant (diagnostic de l’existant et analyse des écarts par rapport au

modèle de contrôle interne) ;• plan d’actions (mise en conformité du modèle) ;• transition d’une gestion en mode « projet » vers un modèle « intégré ».

Ce tableau précise, à chaque intersection, l’enjeu en matière de communication. Il récapi-tule les paragraphes précédents, en mettant en évidence les différents moyens à mettre enœuvre pour atteindre les objectifs du projet.

La dénomination des acteurs et des phases sont à adapter à chaque organisation.



© IFACI



© IFACI

Tran

siti

on d

um

ode

"Pro

jet"

vers

un

mod

èle

"int

égré

"

- Act

er le

pas

sage

du

mod

e "p

roje

t"au

mod

e "i

ntég

ré"

- V

alor

iser

les

acqu

is d

u pr

ojet

- M

obili

ser

dan

sla

dur

ée

- Fa

cilit

er l’

iden

tifi

cati

on d

es e

njeu

x d

u pr

ojet

- D

iffu

ser

les

bonn

es p

rati

ques

app

ropr

iées

- E

valu

er le

pro

jet d

e co

ntrô

le in

tern

e-

Com

mun

ique

r le

s ré

sult

ats

de

cett

e év

alua

tion

- C

omm

uniq

uer

lebi

lan

à la

Dir

ecti

onG

énér

ale

- O

rgan

iser

letr

ansf

ert d

eco

mpé

tenc

es v

ers

des

fon

ctio

nspé

renn

es-

Réa

liser

le b

ilan

et la

com

mun

ica-

tion

de

clôt

ure

àd

esti

nati

on d

u to

pm

anag

emen

t

Plan

d'a

ctio

ns

- Su

rvei

ller

lam

ise

en p

lace

des

plan

s d

’act

ion

- C

omm

uniq

uer

sur

le s

uivi

de

lam

ise

en œ

uvre

des

pla

ns d

’act

ion

——

—

- Ass

urer

lere

port

ing

sur

lam

ise

en c

onfo

r-m

ité

avec

lem

odèl

e

Ana

lyse

de

l’exi

stan

t

- Su

rvei

ller

l’ava

nce

du

proj

et-

Com

mun

ique

rsu

r l'a

vanc

emen

td

u pr

ojet

——

—

- Ani

mer

et c

oor-

don

ner

les

équi

-pe

s en

cha

rge

des

trav

aux

sur

lete

rrai

n- A

ccom

pagn

er e

tfo

rmer

les

corr

espo

ndan

tsd

u pr

ojet

Déf

init

ion

de la

cib

le

- So

uten

ir e

t val

ider

last

ruct

ure

des

rôl

es e

tre

spon

sabi

lités

, et p

lus

géné

rale

men

t le

mod

èle

de

cont

rôle

inte

rne

- E

xpliq

uer

le m

odèl

e au

Com

ité

de

Dir

ecti

on /

àla

Dir

ecti

on G

énér

ale

- Pr

opos

er u

n m

odèl

e d

eco

ntrô

le in

tern

e po

urco

uvri

r le

s ob

ject

ifs

déf

i-ni

s in

itia

lem

ent

- Sé

lect

ionn

er le

s en

tité

spi

lote

s et

com

mun

ique

rau

près

de

ces

enti

tés

- R

emon

ter

les

résu

ltat

sob

tenu

s su

r le

s en

tité

spi

lote

s

Lanc

emen

t

- M

obili

ser

les

ress

ourc

es

- C

omm

uniq

uer

aupr

ès d

u co

mit

é d

eD

irec

tion

/ d

e la

Dir

ecti

on G

énér

ale

- D

ével

oppe

r un

"ki

td

e co

mm

unic

atio

n"-

Com

mun

ique

rau

près

des

man

a-ge

rs o

péra

tion

nels

pour

obt

enir

leur

adhé

sion

- R

elay

er le

s ob

jec-

tifs

aup

rès

des

corr

espo

ndan

ts d

upr

ojet

Pré-

lanc

emen

t

- O

bten

irl’a

dhé

sion

au

proj

et

- D

éfin

ir le

sob

ject

ifs

- Id

enti

fier

les

acte

urs

impl

iqué

sd

ans

le p

roje

t

- O

bten

ir l’

acco

rdsu

r le

s be

soin

s en

term

es d

'out

ils,

de

mét

hod

olo-

gies

, les

res

sour

-ce

s né

cess

aire

s(c

ompé

tenc

e et

volu

mét

rie)

-

Com

mun

ique

rsu

r ce

s be

soin

s

Prés

iden

t et/

ouD

irec

tion

Gén

éral

e

Aud

it I

nter

ne(C

f.p.

84)

Com

ité

depi

lota

ge d

upr

ojet

Res

pons

able

(s)

proj

et

Tabl

eau

réca

pitu

lati

f : P

rinc

ipau

x ac

teur

s et

éta

pes-

clés

de

la c

omm

unic

atio

n su

r le

pro

jet

de c

ontr

ôle

inte

rne



© IFACI

Tran

siti

on d

um

ode

"Pro

jet"

vers

un

mod

èle

"int

égré

"

- Te

nir

des

réu

ni-

ons

régu

lière

s d

ese

nsib

ilisa

tion

aupr

ès d

es m

ana-

gers

- In

tégr

er le

cont

rôle

inte

rne

dan

s la

ges

tion

quot

idie

nne

(ind

i-ca

teur

s d

e su

ivi

d’a

ctiv

ité

…)

- M

ener

des

acti

ons

de

sens

ibi-

lisat

ion

régu

lière

aupr

ès d

es o

péra

-ti

onne

ls

- In

tégr

er le

cont

rôle

inte

rne

dan

s la

ges

tion

quot

idie

nne

(cul

t-ur

e, in

terr

ogat

ion

…)

Plan

d'a

ctio

ns

- Su

ivre

l'av

ance

-m

ent,

rapp

eler

laci

ble

- co

nsei

ller

les

man

ager

s su

r le

spl

ans

d'a

ctio

n

- D

éfin

ir e

tco

mm

uniq

uer

sur

les

plan

s d

’act

ion

avec

les

opér

a-ti

onne

ls-

Suiv

re l’

avan

ce-

men

t des

pla

nsd

’act

ions —

——

Ana

lyse

de

l’exi

stan

t

- Fl

uid

ifie

r et

clar

ifie

r le

s in

for-

mat

ions

mon

tan-

tes

etd

esce

ndan

tes

- co

nsei

ller

les

man

ager

s su

r la

mis

e en

œuv

re d

um

odèl

e d

eco

ntrô

le in

tern

e

- C

omm

uniq

uer

aux

corr

espo

n-d

ants

du

proj

etle

s in

form

atio

nssu

r la

mis

e en

œuv

re d

u pr

ojet

(% d

e d

éplo

ie-

men

t, d

iffi

cult

ésév

entu

elle

s …

)

- R

end

re c

ompt

ed

e la

mis

e en

œuv

re a

uprè

s d

esm

anag

ers

(dif

fi-

cult

és é

vent

uelle

ssu

r la

mét

hod

eou

l’ou

til…

)

Déf

init

ion

de la

cib

le

Pour

les

enti

tés

pilo

tes

:-

Rem

onté

e d

es d

ysfo

nc-

tion

nem

ents

et d

iffi

cult

ésve

rs le

com

ité

de

pilo

-ta

ge

Pour

les

enti

tés

pilo

tes,

écha

nger

ave

c le

corr

espo

ndan

t du

proj

etsu

r le

s :

- ch

oix

mét

hod

olog

ique

s-

outi

ls-

mod

alit

és d

e m

ise

enœ

uvre

(ch

arge

de

trav

ail,

cale

ndri

er…

)

Pour

les

enti

tés

pilo

tes,

écha

nger

ave

c le

s m

ana-

gers

sur

les

:-

outi

ls-

mod

alit

és d

e m

ise

enœ

uvre

Lanc

emen

t

- Fa

ire

com

pren

dre

les

enje

ux e

t exp

lique

r le

rôle

des

cor

resp

on-

dan

ts d

ans

le p

roje

t

- R

elay

er e

t cau

tion

ner

le m

essa

ge a

uprè

s d

esop

érat

ionn

els

- M

obili

ser

et c

onva

in-

cre

les

opér

atio

nnel

s

——

—

Pré-

lanc

e-m

ent

——

—

- N

omin

atio

nd

es c

orre

spon

-d

ants

du

proj

etpa

r le

s d

irec

-ti

ons

opér

a-ti

onne

lles

——

—

Cor

resp

onda

nts

du p

roje

t

Man

ager

s

Opé

rati

onne

ls

CONCLUSION

Mettre en œuvre le contrôle interne ressemble donc à une course d’obstacles, qu’ilconvient de franchir l’un après l’autre, faute de quoi des lacunes subsisteront qui fragili-seront durablement l’organisation.

Ce projet exige une démarche volontariste et raisonnée, aux antipodes de l’improvisationet du subjectivisme. Il ne peut être conduit que si sont réunies un certain nombre de condi-tions préalables et, singulièrement, les trois conditions suivantes :

• une implication constante de l’équipe dirigeante, initiatrice du projet,• une sensibilisation du management à tous les niveaux, allant jusqu’à la nécessaire

appropriation et passant éventuellement par des actions de formation ciblées etadaptées,

• enfin - last but not least - un environnement de contrôle de qualité, c’est-à-dire uneculture et une éthique qui vont inciter tous les acteurs de l’organisation à fairetoujours mieux et à aller plus loin encore.

Cette démarche itérative de mise en œuvre du contrôle interne n’est jamais vraiment tota-lement achevée : elle exige un effort constant de mise à jour et d’actualisation.La maîtrise des risques est à ce prix.



© IFACI

ANNEXES

Annexe 1 : Le cadre de référence de l’AMF et les recommandations de cettedernière

Annexe 2 : Questionnaire relatif à l’analyse et à la maîtrise des risques

Annexe 3 : Outils à utiliser

Annexe 4 : La charte de contrôle interne

Annexe 5 : Délégation de pouvoir

Annexe 6 : La matrice risques / contrôle

Annexe 7 : Le référentiel de contrôle interne

Annexe 8 : Comment tester le bon fonctionnement des activités de contrôle ?

Annexe 9 : L’auto-évaluation du contrôle interne et des risques

99



AN

NE

XE

© IFACI

Annexe 1 :

Le cadre de référence de l’AMF et les recommandations decette dernière

Les principes généraux du contrôle interne

Définition

Le contrôle interne est un dispositif de la société, défini et mis en œuvre sous saresponsabilité.

Il comprend un ensemble de moyens, de comportements, de procédures et d’ac-tions adaptés aux caractéristiques propres de chaque société qui :

• contribue à la maîtrise de ses activités, à l’efficacité de ses opérations et àl’utilisation efficiente de ses ressources, et

• doit lui permettre de prendre en compte de manière appropriée les risquessignificatifs, qu’ils soient opérationnels, financiers ou de conformité.

Le dispositif vise plus particulièrement à assurer :a) la conformité aux lois et règlements ;b) l’application des instructions et des orientations fixées par la Direction

Générale ou le Directoire ;c) le bon fonctionnement des processus internes de la société, notamment ceux

concourant à la sauvegarde de ses actifs ;d) la fiabilité des informations financières.

Le contrôle interne ne se limite donc pas à un ensemble de procédures ni aux seulsprocessus comptables et financiers.Il ne recouvre pas non plus toutes les initiatives prises par les organes dirigeantsou le management comme par exemple la définition de la stratégie de la société, ladétermination des objectifs, les décisions de gestion, le traitement des risques oule suivi des performances.

a) Conformité aux lois et règlements

Il s’agit des lois et règlements auxquels la société est soumise. Les lois et les règle-ments en vigueur fixent des normes de comportement que la société intègre à sesobjectifs de conformité.

Compte tenu du grand nombre de domaines existants (droit des sociétés, droit

101



AN

NE

XE

© IFACI

commercial, environnement, social, etc.), il est nécessaire que la société dispose d’uneorganisation lui permettant de :

• connaître les diverses règles qui lui sont applicables ;• être en mesure d’être informée en temps utile des modifications qui leur sont

apportées (veille juridique) ;• transcrire ces règles dans ses procédures internes ;• informer et former les collaborateurs sur celles des règles qui les concernent.

b) Application des instructions et des orientations fixées par la DirectionGénérale ou le Directoire

Les instructions et orientations de la Direction Générale ou du Directoire permettentaux collaborateurs de comprendre ce qui est attendu d’eux et de connaître l’étenduede leur liberté d’action.

Ces instructions et orientations doivent être communiquées aux collaborateursconcernés, en fonction des objectifs assignés à chacun d’entre eux, afin de fournir desorientations sur la façon dont les activités devraient être menées. Ces instructions etorientations doivent être établies en fonction des objectifs poursuivis par la société etdes risques encourus.

c) Bon fonctionnement des processus internes de la société notammentceux concourant à la sauvegarde des actifs

L’ensemble des processus opérationnels, industriels, commerciaux et financiers sontconcernés.Le bon fonctionnement des processus exige que des normes ou principes de fonc-tionnement aient été établis et que des indicateurs de performance et de rentabilitéaient été mis en place.Par « actifs », il faut entendre non seulement les « actifs corporels » mais aussi les« actifs incorporels » tels que le savoir-faire, l’image ou la réputation. Ces actifspeuvent disparaître à la suite de vols, fraudes, improductivité, erreurs, ou résulterd’une mauvaise décision de gestion ou d’une faiblesse de contrôle interne. Lesprocessus y afférents devraient faire l’objet d’une attention toute particulière.Il en va de même des processus qui sont relatifs à l’élaboration et au traitement del’information comptable et financière. Ces processus comprennent non seulementceux qui traitent directement de la production des états financiers mais aussi lesprocessus opérationnels qui génèrent des données comptables.

d) Fiabilité des informations financières

La fiabilité d’une information financière ne peut s’obtenir que grâce à la mise en placede procédures de contrôle interne susceptibles de saisir fidèlement toutes les opéra-tions que l’organisation réalise.

102



AN

NE

XE

© IFACI

La qualité de ce dispositif de contrôle interne peut-être recherchée au moyen :• d’une séparation des tâches qui permet de bien distinguer les tâches d’enre-

gistrement, les tâches opérationnelles et les tâches de conservation ;• d’une description des fonctions devant permettre d’identifier les origines des

informations produites, et leurs destinataires ;• d’un système de contrôle interne comptable permettant de s’assurer que les

opérations sont effectuées conformément aux instructions générales et spéci-fiques, et qu’elles sont comptabilisées de manière à produire une informationfinancière conforme aux principes comptables généralement admis.

Le périmètre du contrôle interne

Il appartient à chaque société de mettre en place un dispositif de contrôle interneadapté à sa situation.

Dans le cadre d’un groupe, la société mère veille à l’existence de dispositifs decontrôle interne au sein de ses filiales. Ces dispositifs devraient être adaptés à leurscaractéristiques propres et aux relations entre la société mère et les filiales.

Pour les participations significatives, dans lesquelles la société mère exerce uneinfluence notable, il appartient à cette dernière d’apprécier la possibilité de prendreconnaissance et d’examiner les mesures prises par la participation concernée enmatière de contrôle interne.

Les composantes du contrôle interne

Préalables (p.25)

Les grandes orientations en matière de contrôle interne sont déterminées en fonctiondes objectifs de la société.

Ces objectifs doivent être déclinés au niveau des différentes unités de l’entité et clai-rement communiquées aux collaborateurs afin que ces derniers comprennent etadhèrent à la politique de l’organisation en matière de risques et de contrôle.

Le contrôle interne est d’autant plus pertinent qu’il est fondé sur des règles deconduite et d’intégrité portées par les organes de gouvernance et communiquées àtous les collaborateurs. Il ne saurait en effet se réduire à un dispositif purementformel en marge duquel pourraient survenir des manquements graves à l’éthique desaffaires.

En effet, le dispositif de contrôle interne ne peut empêcher à lui seul que des person-nes de la société commettent une fraude, contreviennent aux dispositions légales ouréglementaires, ou communiquent à l’extérieur de la société des informations trom-peuses sur sa situation.

103



AN

NE

XE

© IFACI

Dans ce contexte, l’exemplarité constitue un vecteur essentiel de diffusion des valeursau sein de la société.

Composantes

Le dispositif de contrôle interne comprend cinq composantes étroitement liées.Bien que ces composantes soient applicables à toutes les sociétés, leur mise en œuvrepeut être faite de façon différente selon la taille et le secteur d’activité des sociétés.

Ces cinq composantes sont les suivantes :

1) Une organisation (p.33) comportant une définition claire des responsabilités,disposant des ressources et des compétences adéquates et s’appuyant sur des systè-mes d’information, sur des procédures ou modes opératoires, des outils et despratiques appropriés

La mise en œuvre d’un dispositif de contrôle interne doit reposer sur des principesfondamentaux mais aussi sur :

• une organisation appropriée qui fournit le cadre dans lequel les activitésnécessaires à la réalisation des objectifs sont planifiées, exécutées, suivies etcontrôlées ;

• des responsabilités et pouvoirs clairement définis qui doivent être accordésaux personnes appropriées en fonction des objectifs de la société. Ils peuventêtre formalisés et communiqués au moyen de descriptions de tâches ou defonctions, d’organigrammes hiérarchiques et fonctionnels, de délégations depouvoirs et devraient respecter le principe de séparation des tâches ;

• une politique de gestion des ressources humaines qui devrait permettre derecruter des personnes possédant les connaissances et compétences nécessairesà l’exercice de leur responsabilité et à l’atteinte des objectifs actuels et futurs dela société ;

• des systèmes d’information adaptés aux objectifs actuels de l’organisation etconçus de façon à pouvoir supporter ses objectifs futurs. Les systèmes infor-matiques sur lesquels s’appuient ces systèmes d’information doivent êtreprotégés efficacement tant au niveau de leur sécurité physique que logique afind’assurer la conservation des informations stockées. Leur continuité d’exploi-tation doit être assurée au moyen de procédures de secours. Les informationsrelatives aux analyses, à la programmation et à l’exécution des traitementsdoivent faire l’objet d’une documentation ;

• des procédures ou modes opératoires qui précisent la manière dont devraits'accomplir une action ou un processus (objectifs à atteindre à un horizondonné, définitions de fonctions et de lignes hiérarchiques/fonctionnelles,lignes de conduite, outils d'aide à la décision et d'évaluation, fréquence decontrôle, personne responsable du contrôle, …), quels qu'en soient la forme etle support. Dans ce contexte et en référence à l’article L225-235 du code de commerce, laCNCC a, dans un avis technique, donné les précisions suivantes « les procédu-res de contrôle interne relatives à l’élaboration et au traitement de l’information comp-

104



AN

NE

XE

© IFACI

table et financière s’entendent de celles qui permettent à la société de produire les comp-tes et les informations sur la situation financière et ces comptes. Ces informations sontcelles extraites des comptes annuels ou consolidés ou qui peuvent être rapprochées desdonnées de base de la comptabilité ayant servi à l’établissement de ces comptes ».On trouvera, en annexe 1, « questionnaire relatif au contrôle interne comptable etfinancier », certaines questions qui peuvent se poser sur les procédures comp-tables et financières, mises en place par la société ;

• des outils ou instruments de travail (bureautique, informatique) qui doiventêtre adaptés aux besoins de chacun et auxquels chaque utilisateur devrait êtredûment formé ;

• des pratiques communément admises au sein de la société.

2) La diffusion en interne d’informations pertinentes (p.45), fiables, dont la connais-sance permet à chacun d’exercer ses responsabilités

La société devrait disposer de processus qui assurent la communication d’informa-tions pertinentes, fiables et diffusées en temps opportun aux acteurs concernés de lasociété afin de leur permettre d’exercer leurs responsabilités.

3) Un système (p.49) visant à recenser, analyser les principaux risques identifiablesau regard des objectifs de la société et à s’assurer de l’existence de procédures degestion de ces risques

En raison de l’évolution permanente de l’environnement ainsi que du contexte régle-mentaire, les sociétés doivent mettre en place des méthodes pour recenser, analyseret gérer les risques d’origine interne ou externe auxquels elles peuvent être confron-tées et qui réduiraient la probabilité d’atteinte des objectifs.

• Recensement des risquesLa société doit recenser les principaux risques identifiables, internes ou externespouvant avoir un impact sur la probabilité d’atteindre les objectifs qu’elle s’est fixés.Cette identification, qui s’inscrit dans le cadre d’un processus continu, devrait couvrirles risques qui peuvent avoir une incidence importante sur sa situation.

• Analyse des risquesIl convient pour ce faire de tenir compte de la possibilité d’occurrence des risques etde leur gravité potentielle, ainsi que de l’environnement et des mesures de maîtriseexistantes. Ces différents éléments ne sont pas figés, ils sont pris en compte, aucontraire, dans un processus de gestion des risques.

• Procédures de gestion des risquesLa Direction Générale ou le Directoire avec l’appui d’une direction des risques, si elleexiste, devraient définir des procédures de gestion des risques.On trouvera, en annexe 1 « questionnaire relatif à l’analyse et à la maîtrise des risques »,certaines questions qui peuvent se poser au sujet de ces procédures.

4) Des activités de contrôle (p.57) proportionnées aux enjeux propres à chaque proces-sus, et conçues pour s’assurer que les mesures nécessaires sont prises en vue demaîtriser les risques susceptibles d’affecter la réalisation des objectifs

105



AN

NE

XE

© IFACI

Les activités de contrôle sont présentes partout dans l’organisation, à tout niveau etdans toute fonction qu’il s’agisse de contrôles orientés vers la prévention ou la détec-tion, de contrôles manuels ou informatiques ou encore de contrôles hiérarchiques.En tout état de cause, les activités de contrôle doivent être déterminées en fonction dela nature des objectifs auxquels elles se rapportent et être proportionnées aux enjeuxde chaque processus. Dans ce cadre, une attention toute particulière devrait êtreportée aux contrôles des processus de construction et de fonctionnement des systè-mes d’information.

5) Une surveillance (p.73) permanente portant sur le dispositif de contrôle interneainsi qu’un examen régulier de son fonctionnement

Comme tout système, le dispositif de contrôle interne doit faire l’objet d’unesurveillance permanente. Il s’agit de vérifier sa pertinence et son adéquation auxobjectifs de la société.Mise en oeuvre par le management sous le pilotage de la Direction Générale ou duDirectoire, cette surveillance prend notamment en compte l’analyse des principauxincidents constatés, le résultat des contrôles réalisés ainsi que des travaux effectuéspar l’audit interne, lorsqu’il existe. Cette surveillance s’appuie notamment sur lesremarques formulées par les commissaires aux comptes et par les éventuelles instan-ces réglementaires de supervision.

La surveillance peut utilement être complétée par une veille active sur les meilleurespratiques en matière de contrôle interne.Surveillance et veille conduisent, si nécessaire, à la mise en oeuvre d’actions correcti-ves et à l’adaptation du dispositif de contrôle interne.

La Direction Générale ou le Directoire apprécient les conditions dans lesquelles ilsinforment le Conseil des principaux résultats des surveillances et examens ainsi exer-cés.

Les acteurs du contrôle interne

Le contrôle interne est l’affaire de tous, des organes de gouvernance à l’ensemble descollaborateurs de la société.

• Le Conseil d’Administration ou de Surveillance

Le niveau d’implication des Conseils d’Administration ou de Surveillance en matièrede contrôle interne varie d’une société à l’autre.

Il appartient à la Direction Générale ou au Directoire de rendre compte au Conseil (ouà son comité d’audit lorsqu’il existe) des caractéristiques essentielles du dispositif decontrôle interne. En tant que de besoin, le Conseil peut faire usage de ses pouvoirsgénéraux pour faire procéder par la suite aux contrôles et vérifications qu’il jugeopportuns ou prendre toute autre initiative qu’il estimerait appropriée en la matière.Lorsqu’il existe, le Comité d’audit devrait effectuer une surveillance attentive et régu-

106



AN

NE

XE

© IFACI

lière du dispositif de contrôle interne.Pour exercer ses responsabilités en toute connaissance de cause, le Comité d’auditpeut entendre le responsable de l’audit interne, donner son avis sur l’organisation deson service et être informé de son travail. Il doit être en conséquence destinataire desrapports d’audit interne ou d’une synthèse périodique de ces rapports.

• La Direction Générale / le Directoire

La Direction Générale ou le Directoire sont chargés de définir, d’impulser et desurveiller le dispositif le mieux adapté à la situation et à l’activité de la société. Dansce cadre, ils se tiennent régulièrement informés de ses dysfonctionnements, de sesinsuffisances et de ses difficultés d’application, voire de ses excès, et veillent à l’enga-gement des actions correctives nécessaires.

• L’audit interne

Lorsqu’il existe, le service d’audit interne a la responsabilité d’évaluer le fonctionne-ment du dispositif de contrôle interne et de faire toutes préconisations pour l’amélio-rer, dans le champ couvert par ses missions.Il sensibilise et forme habituellement l’encadrement au contrôle interne mais n’est pasdirectement impliqué dans la mise en place et la mise en œuvre quotidienne dudispositif.Le responsable de l’audit interne rend compte à la Direction Générale et, selon desmodalités déterminées par chaque société, aux organes sociaux, des principaux résul-tats de la surveillance exercée.

• Le personnel de la société

Chaque collaborateur concerné devrait avoir la connaissance et l’information néces-saires pour établir, faire fonctionner et surveiller le dispositif de contrôle interne, auregard des objectifs qui lui ont été assignés. C’est le cas des responsables opération-nels en prise directe avec le dispositif de contrôle interne mais aussi des contrôleursinternes et des cadres financiers qui doivent jouer un rôle important de pilotage et decontrôle.

Limites du contrôle interne

Le dispositif de contrôle interne aussi bien conçu et aussi bien appliqué soit-il, nepeut fournir une garantie absolue quant à la réalisation des objectifs de la société. La probabilité d’atteindre ces objectifs ne relève pas de la seule volonté de la société.Il existe en effet des limites inhérentes à tout système de contrôle interne. Ces limitesrésultent de nombreux facteurs, notamment des incertitudes du monde extérieur, del’exercice de la faculté de jugement ou de dysfonctionnements pouvant survenir enraison d’une défaillance humaine ou d’une simple erreur.En outre, lors de la mise en place des contrôles, il est nécessaire de tenir compte durapport coût / bénéfice et de ne pas développer des systèmes de contrôle interneinutilement coûteux quitte à accepter un certain niveau de risque.

107



AN

NE

XE

© IFACI

Recommandation du 22 janvier 2007 de l’Autorité des MarchésFinanciers sur le « Dispositif de contrôle interne : Cadre deRéférence »

L’AMF a pris l’initiative de créer un Groupe de Place, en janvier 2005, chargé de l’éla-boration d’un cadre de référence de contrôle interne susceptible d'être utilisé par lessociétés françaises soumises aux obligations prévues par la loi de sécurité financière.

Le Groupe de Place a privilégié une approche pragmatique, s’efforçant de concilier :• les bonnes pratiques observées à l’étranger et les autres référentiels existants,

notamment le• COSO américain et le «Turnbull guidance » britannique,• la réglementation française,• les recommandations des rapports sur la Gouvernance d’entreprise , et• les évolutions des 4ème, 7ème et 8ème directives européennes.

La modification des 4ème et 7ème Directives européennes concernant les comptesannuels et les comptes consolidés a prévu que toute société dont les titres sont admisà la négociation sur un marché réglementé inclut une déclaration sur le gouverne-ment d’entreprise dans son rapport de gestion. Cette déclaration, qui forme unesection spécifique du rapport de gestion, prévoit notamment : « (…) une description desprincipales caractéristiques des systèmes de contrôle interne et de gestion des risques de lasociété dans le cadre du processus d’établissement de l’information financière ou, au niveauconsolidé, en relation avec le processus d’établissement des comptes consolidés. (…) ».L'évolution des textes au niveau européen devrait constituer une forte incitation àutiliser un code reconnu en la matière, ou à s’y référer.C’est dans ce cadre que le Groupe de Place a rédigé, dans un premier temps, le cadrede référence comprenant les principes généraux portant sur l’ensemble des processusde contrôle interne de la société, avec des annexes, composées d’un questionnairerelatif au contrôle interne comptable et financier et d’un questionnaire relatif à l'ana-lyse et à la maîtrise des risques.Dans un second temps, une attention particulière a été portée au contrôle internecomptable et financier. En effet, les procédures relatives à l’élaboration et au traite-ment de l’information comptable et financière constituent une composante impor-tante du contrôle interne et donnent lieu à l’établissement d’un rapport particulierdes commissaires aux comptes.C’est ainsi que le cadre de référence a été complété par un « guide d’application pour lesprocédures de contrôle interne relatives à l’élaboration et au traitement de l’information finan-cière et comptable publiée ».Le Groupe de Place a souhaité que ce guide puisse être utilisé par les sociétés faisantappel public à l’épargne pour leur permettre de procéder à une analyse comparativede leurs procédures de contrôle interne dans le domaine comptable et financier.Ce guide d’application repose sur des principes et des points clés d’analyse et sonapproche, volontairement indépendante des modes d’organisation des entreprises, aété centrée sur les éléments concourant à l’élaboration et au traitement de l’informa-tion comptable et financière publiée.

108



AN

NE

XE

© IFACI

Afin de tenir compte de la diversité des sociétés pouvant être amenées à avoir unestructure moins organisée et des procédures plus simples, et sans imposer un dispo-sitif qui serait disproportionné par rapport à la réalité de leurs activités et de leurorganisation, le cadre de référence offre une approche simple et pragmatique,permettant de rendre compte de façon claire, cohérente et proportionnée des condi-tions dans lesquelles le contrôle interne est organisé. Le dispositif établi par le Groupede Place peut parfaitement s’adapter aux processus opérationnels des entreprises etpermettre ainsi de ne pas se limiter à un simple exercice de conformité.

Les recommandations de l’Autorité des marchés financiers

Le cadre de référence, complété par le guide d’application, constitue un outil d’ana-lyse et de conception des systèmes de contrôle interne des sociétés cotées suffisam-ment abouti permettant d’améliorer la cohérence et la lisibilité des rapports desprésidents.

En conséquence, l’AMF recommande l’utilisation de ce cadre de référence et du guided’application à l’ensemble des sociétés faisant appel public à l’épargne en France.

Le cadre de référence complété par le guide n’a cependant pas vocation à être imposéaux sociétés, notamment celles soumises à un référentiel applicable par une autreréglementation, ni à se substituer aux réglementations spécifiques en vigueur danscertains secteurs d’activité, notamment le secteur bancaire et celui des assurances.

Les sociétés sont invitées, en conséquence, à préciser, dans le rapport du président, sielles se sont appuyées sur ce cadre de référence, complété du guide d'application,pour la rédaction du rapport. En cas d'application partielle du cadre de référence oudu guide, les sociétés devraient clairement identifier les domaines ou processus clésde contrôle interne qu'elles ont appliqués, compte tenu de la nature de leurs activités,de leur taille et de leur mode d'organisation. Les sociétés devraient mettre l'accent surles éléments et informations susceptibles d'avoir un impact significatif sur leur patri-moine ou leurs résultats.

Les mêmes principes de transparence s’appliquent pour l’utilisation de tout autreréférentiel que la société choisit ou est tenue d’appliquer au plan international et quidevra alors être clairement présenté.

Cette recommandation est applicable aux rapports des présidents sur les procéduresde contrôle interne relatifs aux exercices ouverts à compter du 1er janvier 2007.

109



AN

NE

XE

© IFACI

Annexe 2 :

Questionnaire relatif à l’analyse et à la maîtrise des risques

(Annexe au cadre de référence de l’AMF)

Principes généraux de gestion des risques

• La société dispose-t-elle d’un « langage commun » en matière de risques (typo-logie homogène, critères de recensement, d’analyse et de suivi, …) ?

• La société a-t-elle mis en place des objectifs en matière de gestion des risques ?

Identification des principaux risques (p.50)

Le dispositif de contrôle interne comprend un système visant à s’assurer de l’exis-tence d’un processus d’identification des principaux risques liés à l’activité de lasociété.Le niveau de détail de ce processus est adapté aux objectifs, caractéristiques etenvironnement de la société (des décisions stratégiques aux opérations).

• Existe-t-il un processus d’identification des principaux risques ? Le caséchéant, ce processus intègre-t-il les objectifs de la société ? Une organisationa-t-elle été mise en place à cet effet ?

Analyse des principaux risques (p.52)

• Pour les principaux risques identifiés, l’entreprise réalise-t-elle une analyse desincidences potentielles (chiffrées ou non, financière ou non financière), et dudegré de maîtrise estimé ?

• L’analyse des risques tient-elle compte des évolutions internes ou externes à lasociété ?

• Ces analyses donnent- elles lieu à des actions spécifiques ? La responsabilité deces actions est-elle définie? Le cas échéant, la mise en œuvre de ces actions est-elle suivie ?

Procédures de gestion des principaux risques (p.54)

• Une politique et des procédures de gestion des principaux risques ont-elles étédéfinies, validées par la Direction et mises en place dans la société ?

• Des moyens spécifiques sont-ils consacrés à la mise en œuvre et à lasurveillance des procédures de gestion des risques ?

111



AN

NE

XE

© IFACI

• Les responsabilités en matière de gestion des risques sont-elles définies etcommuniquées aux personnes concernées ?

• Les expériences passées de l’entreprise (ou d’acteurs comparables) en matièrede risques sont-elles prises en considération ?

• La Direction reçoit-elle une information sur les caractéristiques essentielles desactions engagées pour gérer les principaux risques de la société (nature desactions engagées ou des couvertures en place, assurances, exclusions,montants des garanties, …) ?

• L’entreprise a-t-elle mis en place un plan de gestion de crise ?

Surveillance des risques et des procédures de gestion des risques

• L’entreprise communique-t-elle en interne aux personnes intéressées :- Sur ses facteurs de risques ?- Sur les dispositifs de gestion des risques ?- Sur les actions en cours et les personnes qui en ont la charge ?

• L’entreprise a-t-elle identifié les obligations légales et réglementaires applica-bles en matière de communication sur les risques ?

• Existe-t-il un mécanisme permettant, si nécessaire, d’adapter les procédures degestion des risques à une évolution des risques, de l’environnement externe,des objectifs ou de l’activité de la société ?

• Existe-t-il un dispositif permettant d’identifier les principales faiblesses dudispositif de gestion des risques mis en place par la société, et de les corriger ?

• Le Conseil d’administration ou le Conseil de Surveillance, selon le cas, a-t-il étéinformé des grandes lignes de la politique de gestion des risques ? Est-il régu-lièrement informé des principaux risques identifiés, des caractéristiques essen-tielles du dispositif de gestion des risques, notamment des moyens mis enœuvre et des actions d’amélioration en cours ?

112



AN

NE

XE

© IFACI

114



AN

NE

XE

© IFACI

Référence ausommaire Outils Organisation

Diffusiond’information

pertinente

CADRER LE PROJET DE CONTROLE INTERNE

1.3 (p12) Le déploiement : Périmètre et granularité du contrôle interne

- Cartographie des processus (management, opérationnels, support) X X

- Croisement processus / entité opérationnelle X X

- Croisement processus / entité opérationnelle / risques majeurs X X

- Flux financiers significatifs X

- Flux financiers sous-traités ou externalisés X X

- Cartographie du Système d’Information

1.4 (p17) Les acteurs du projet

- Contrôle permanent : contrôleurs internes, testeurs, auditsqualité…

- Fiches de poste des acteurs du contrôle interne

METTRE EN ŒUVRE LE PROJET

2.2 (p25) Un préalable : l’exemplarité

- Charte d’éthique / Système de valeurs X

Annexe 4(p119) - Charte du contrôle interne X X

2.3 (p33) Une organisation appropriée

- Politiques Groupe / Développement durable / Juridique X X

- Règlements intérieurs des comités internes et externes (gouver-nance) X

- Programme anti-fraude X

(p36) Définition des responsabilités et des pouvoirs

- Organigramme / Formalisation des organisations et des missions X X

- Délégations de pouvoirs

- Grille de séparation des tâches

- Gestion des habilitations X

- Plans de continuité de service

(p38) Politique et pratique de gestion des ressources humaines X X

- Descriptions de postes, évaluation de performance, formation… X X

(p40) Les systèmes d'information

- Politique en matière de Gouvernance SI X X

- Référentiel des contrôles généraux SI X X

(p42) Procédures et modes opératoires

- Manuels de procédures X X

- Documentation Qualité X X

- Logiciel documentaire X X

115



AN

NE

XE

Analysedes risques

Activités de contrôleSurveillance

(pilotage)C1 DG1 IF1 O1 Protection

des actifs Fraude

X X X X X X X

X X X X X X X

X X X X X X X X

X X X X X X X

X X X X X X

X X X X X X X

X X X X X X

X X X X X X

X

X X X X

X X X X X

X X

X

X X X X X

X X X

X X X

X X X

X

X X X X X

X X X X X

X

X

X X X X X X X X

X X X X X X X

X X X X X X X

© IFACI

1 C : conformité, DG : orientations fixées par la direction générale ou le directoire, IF : fiabilité des informations financières,O : bon fonctionnement des processus internes

116



AN

NE

XE

© IFACI

Référence ausommaire Outils Organisation

Diffusiond’information

pertinente

2.4 (p45) Diffusion en interne d'informations pertinentes

- Politique de sécurité de l'information et marquage de l’informa-tion X

- Plan de gestion de crise / communication de crise X

2.5 (p49) Système de recensement et d'analyse des risques

- Cartographie des risques

2.6 (p57) Les activités de contrôle

- L'emplacement des contrôles / Flow charts

- Formalisation des contrôles / Narratifs

Annexe 6(p125)

- Le bien-fondé des contrôles et l’évaluation de leur conception :méthode d'analyse du contrôle interne et des risques, matricerisques / contrôles, ou Checklist Qualité

X X

- La supervision / contrôles de 2° niveau / contrôles du contrôle degestion

- Tests d'existence ou de cheminement (walktroughs)

Annexe 8(p131) - Tests de bon fonctionnement / maturité

- Preuves et conservation des contrôles

- Méthode d’évaluation des défaillances X

2.7 (p73) La surveillance et le pilotage

- Guides d'auto-évaluation opérationnels (organisation, opérations) X X

- Guide d'application du contrôle interne de l’information compta-ble et financière X X

- Processus d'évaluation par le management

- Lettre d'affirmation du management

- Tableau de bord (planning, maturité, défaillances, remédiation) X

- Réunions d'information du senior management par l'audit internesur les risques, les défaillances et les fraudes X

- Travaux de l’audit interne

3.6 (p90) FAIRE VIVRE LE CONTROLE INTERNE

- Formation / Sensibilisation / Facilitation du contrôle interne X

- Rapport annuel du Président ou de la Direction Générale sur lecontrôle interne

117



AN

NE

XE

© IFACI

Analysedes risques

Activités de contrôleSurveillance

(pilotage)C1 DG1 IF1 O1 Protection

des actifs Fraude

X X X

X X

X

X X X X X

X X X X X

X X X X X X X

X X X X X X

X X X X

X X X X

X X X X

X X X X X X X

X X X X X

X X X X X

X

X

X

X

X

X

1 C : conformité, DG : orientations fixées par la direction générale ou le directoire, IF : fiabilité des informations financières,O : bon fonctionnement des processus internes

Annexe 4 :

La charte de Contrôle interne

La charte de contrôle interne permet de :• Définir le cadre de référence choisi ;• Préciser les principes et les responsabilités en matière de contrôle interne au

sein du groupe ;• Proposer des outils et des livrables ;• Communiquer sur l’actualité, les résultats de la veille, les textes incontourna-

bles ;• Animer une véritable communauté ;• Indiquer les modalités de revue du contrôle interne.

Vous trouverez ci-après, à titre d’exemple, le contenu de la charte de contrôle internede France Telecom. Des liens hypertexte permettent de naviguer d’une charte à uneautre et renforce l’idée d’une nécessaire cohérence entre ces documents.

Sommaire

• Introduction• Définition du cadre de référence

- Définition du contrôle interne- Références institutionnelles- Le référentiel du groupe France Telecom- La charte de déontologie- Les chartes métiers

> La charte des achats> La charte de sécurité informatique> La charte comptable> La charte d’audit interne

- Principes généraux d’organisation- Les comités- Les directions organisationnelles

> Outils et livrables- Principes généraux- Les outils

> Le dispositif d’alerte éthique (whistleblowing)> L’auto-évaluation

- Les livrables> Revues de contrôle interne

• Glossaire

119



AN

NE

XE

© IFACI

Annexe 5 :

Délégation de pouvoirEléments extraits du guide méthodologique « Construction d’un système

de délégations de pouvoirs et de signatures » de France Télécom

1. Déterminer les activités à déléguer

A partir des délégations existantes entre le Président et ses délégataires N-1, les prin-cipaux domaines d’activité sont identifiés :

• Finances ;• Achats de biens mobiliers et de prestations de services ;• Gestion des ressources humaines ;• Hygiène et sécurité ;• Immobilier ;• Ventes de biens mobiliers et prestations de services ;• Juridique et contentieux ;• Systèmes d'information ;• Environnement ;• Communication ...

A partir de ces domaines, une liste non exhaustive des activités à déléguer et desoutils juridiques adaptés a été établie. La détermination des activités à déléguer doitêtre effectuée en prenant en considération les risques qui y sont attachés.

2. Identifier l’outil juridique adapté

Deux concepts majeurs :a. La délégation de pouvoirs (droit pénal)

• Le délégant transfert son pouvoir au délégataire ;• Le délégant transfert sa responsabilité pénale au délégataire ;• Le délégataire engage la société.

b. Le mandat (droit civil, social, commercial…)• Le mandant n’est pas dessaisi de son pouvoir ;• Le mandant reste responsable sur le plan pénal ;• Le mandataire agit pour le compte du mandant et de la société.

NB : La délégation de signature est une variété de mandat

3. Respecter les limites de délégation

La délégation doit d’abord être limitée dans son étendue, car il est difficile d’admet-tre que le délégant puisse déléguer l’intégralité de ses activités.Le non-respect de ces limites aura des conséquences pour le délégant : la responsabi-lité pénale éventuelle restera à son niveau.

121



AN

NE

XE

© IFACI

En outre, le nombre de subdélégations est nécessairement limité pour des raisonsjuridiques et opérationnelles.

4. Choisir le délégataire

Le choix par le délégant de la personne à qui il souhaite conférer une délégation (« ledélégataire ») est soumis à des conditions strictes (notion d’autorité, de moyens, decompétences et d‘autonomie du délégant). Lorsque le délégataire est choisi et investi,il faut s’assurer qu’il remplit toutes les conditions pendant toute la durée de la délé-gation.

5. Formaliser la délégation

La rédaction d’une délégation doit être minutieuse et ne peut se réduire au « copier-coller » d’un acte-type.

Ci-après, un exemple de points figurant dans un modèle de délégation :1. Désignation du délégant (agissant en qualité de …, en vertu de ….) et du délé-

gataire ;2. Préambule : justification du recours au système de délégations ;3. Corps de la délégation

• respect des réglementations applicables ;• rappel sur les conséquences, notamment en matière pénale, de la délégation

consentie ;• indication de principe des moyens, pouvoirs dont dispose le délégataire et

modalités de mise en œuvre ;• domaines d’activité / de compétence du délégataire / périmètre. Ce volet peut

être précisé dans le tableau suivant :

122



AN

NE

XE

© IFACI

Quelques bonnes pratiques :• Obtenir et formaliser l’acceptation du délégataire ;• Ne pas déléguer le même travail (même objet, même mission, même péri-

mètre) à plusieurs délégataires ;• Limiter le nombre des subdélégations ;• Prévoir les cas mettant fin à la délégation (départ du délégataire, chan-

gement important de ses fonctions, etc.).

Chaque acte doit comporter des mentions précises adaptées à chaque délé-gation et, particulièrement, une définition précise des missions et des

pouvoirs délégués.Une délégation mal rédigée est inefficace.En pratique, les personnes mettant en place des délégations peuvent deman-der l’assistance des services juridiques de l’entreprise.

DANS LE DOMAINE XXXXX

4. Mandats supports : pouvoirs de représenter la société / de négocier ;6. Faculté ou non de subdéléguer ;7. Durée (durée indéterminée recommandée) ;8. Date d’effet ;9. Mention de l’acceptation du délégataire ;10. Signatures du délégant et du délégataire.

6. Mettre en œuvre la délégation

La mise en œuvre de la délégation s’accompagne de mesures telles que :• le contrôle préalable de la délégation ;• la gestion de la documentation (diffusion, archivage) ;• la gestion des absences ;• les mises à jour des délégations (fréquence, changements concernant le délé-

gant ou le délégataire, réorganisation de l’entité ou de l’organisation).

123



AN

NE

XE

© IFACI

Fonctions1

- X- Y- Z

Autres fonctions2

- X- Y- Z

Mandat 3 4

Seuil d’engagementfinancier

5 6

Faculté de subdéléguer 7 8

1 Ou noms2 Ou noms3 A compléter4 A compléter5 A compléter6 A compléter7 Répondre par oui/non8 Répondre par oui/non

Annexe 6 :

Matrice risques / contrôles

(cf. Typologie des activités de contrôle p.60 et Evaluation des activités de contrôlep.66)

Pour un processus ou une activité, cette matrice permet de :• faire l’inventaire des risques et des contrôles ;• recréer le lien entre contrôles et risques couverts.

L’établissement de cette matrice donne une vision d’ensemble des risques et descontrôles. Une analyse en colonne permet :

• l'identification des risques non couverts (cf. risque B) ;• l'identification des risques « sur-contrôlés » (cf. risque D). Dans ce cas, il

conviendra d'évaluer la justification de ce nombre de contrôles et leur bonnecomplémentarité.

L'analyse en ligne permet de mettre en évidence :• des contrôles qui ne couvriraient aucun risque (du fait de la routine, ou de la

non prise en compte de l'évolution des risques) (cf. contrôle 4) ;• des contrôles couvrant simultanément plusieurs risques (cf. contrôle 7). Ces

contrôles devront constituer la cible prioritaire du programme de test pour desraisons d'efficacité.

125



AN

NE

XE

© IFACI

RISQUES

Risque A Risque B Risque C Risque D Risque E

Nombre derisquescouvertsCONTRÔLES

Contrôle 1 X X X

Contrôle 2 X X

Contrôle 3 X X

Contrôle 4

Contrôle 5 X

Contrôle 6 X

Contrôle 7 X X X X

Contrôle 8 X

Contrôle 9 X

Nombre decontrôles

Contrôleinutile ?

Contrôleefficient ?

Risque non couvert Risque « surcouvert » ?

Annexe 7 :

Le référentiel de contrôle interne

Ce document est un outil utilisé par IFACI Formation(cf. Typologie des activités de contrôle p.60 et Evaluation des activités de contrôle p.66)

Exemple du processus paie

Objectifs définis pour le processus paie

127



AN

NE

XE

© IFACI

A Payer les salariés dans les temps

B Payer conformément aux contrats de travail et aux décisions de la direction

C Déposer les déclarations fiscales et sociales dans les temps

D Se conformer à la réglementation fiscale et sociale

E Protéger la trésorerie et les données de paie

F Enregistrer rapidement et correctement les opérations de paie

128



AN

NE

XE

© IFACI

Tâches Objectif des tâches RisqueManifestation

RisqueCause

Saisir les feuilles de temps Saisie valide, exacte,exhaustive et sans délai Saisie de données erronées Heures déclarées non justi-

fiées

Archiver les feuilles detemps

Traçabilité des opérationsde saisie

Perte d’archivesImpossibilité de justifier lesdonnées horaires de paieImpossibilité de retrouverles horaires d’une feuille detemps dans le fichier maître

Support d’archives fragileLieu d’archivage éloignégéographiquementAbsence de piste d’auditdans le SI

Mettre à jour le fichiermaître

Mise à jour exacte, exhaus-tiveDélai de traitement compa-tible avec les délais comp-tables, de paiement dessalaires et des déclarationfiscales et sociales

Données erronées

Conception de l’applicationmal maîtriséeAbsence de contrôles géné-raux informatiques

Signer les chèques

Autoriser après avoircontrôlé le montant et ledestinataire du chèque.Respecter un délai compati-ble avec le délai de paie-ment des salariés

Montant à payer inexactDestinataire du paiementinexact

Recevoir en retard leschèques à signer

Envoyer les chèquesRespecter un délai compati-ble avec le délai de paie-ment des salariés

Destinataire erroné duchèque

Réception tardive deschèques à envoyer

129



AN

NE

XE

© IFACI

RisqueImpact

ContrôleDétectif

Contrôle Préventif

ContrôleCorrectif

ABDF

Rapprochement manuel entre letotal des heures saisies du fichiermouvement et le total des heures àsaisir des feuilles de tempsContrôle de saisie automatiqueProcédure de correction des anoma-lies de saisie

Rapprochement des feuillesde temps avec les bons detravail avant saisieProcédure de correction desanomalies

Procédure manuelle depaiement d’acompte

DFTester régulièrement l’archivageFaire un inventaire régulier desarchives

Utiliser des supports d’ar-chives adaptés aux besoinsConstruire une piste d’au-dit dans le SIMettre en place une procé-dure d’identification desdocuments sources à partirde la piste d’audit du SI

ABCDF

Contrôle automatique des mises àjour des données de paie avec destotaux de contrôleProcédure de correction des anoma-lies en traitement

Contrôles informatiquesgénéraux


ABDE

Rapprochement avec le fichiermaître des salariésProcédure de correction des anoma-lies en traitement

Séparation des tâches aveccelui qui saisit


AE

Rapprochement avec le fichiermaître des salariésProcédure de correction des anoma-lies en traitement

Séparation des tâches aveccelui qui signe


Annexe 8 :

Comment tester le bon fonctionnementdes activités de contrôle ?

Un exemple

L’évaluation de la bonne conception des activités de contrôle est décrite dans lesfiches « Principes de conception des activités de contrôle » (cf. p.58) et « Evaluationdes activités de contrôle » (cf. p.66). L’objet de cette annexe est de fournir un exemple pour :

• sélectionner les activités de contrôle à tester ;• sélectionner la méthode de test appropriée pour chaque activité de contrôle à

tester ;• sélectionner les échantillons à tester ;• évaluer le degré de maturité des activités de contrôle à l’issue des tests.

La sélection des activités de contrôle à tester

Pour déterminer la couverture de tests nécessaire, une des questions clé consiste àdistinguer les activités de contrôle qui feront l’objet de tests et celles qui serontévaluées uniquement sur la base d’un questionnaire d’auto-évaluation. Une bonnepratique consiste à utiliser l’approche de type « Top down ».

La conception des plans de tests

131



AN

NE

XE

© IFACI

Une approche « Top down » consiste à :• tester en priorité, les activités de contrôle clé qui couvrent les risques

majeurs, les préoccupations et demandes du management,• tester en priorité les contrôles les plus transverses à l’organisation ; ils se

trouvent souvent dans la composante «organisation» (délégations etséparation des tâches…), « systèmes d’information», et dans les contrôlesréalisés par le contrôle de gestion et la comptabilité (contrôles de super-vision).

La méthode selon laquelle un auditeur ou un testeur s’assurera que lecontrôle est réalisé sur le terrain, doit être adaptée à chaque condition:• Ré-exécution du contrôle : lorsque l’auditeur ou le testeur peuvent procé-

der sans gêne opérationnelle ;• Examen de la preuve du contrôle : lorsque l’auditeur ou le testeur ne

peuvent pas ré-exécuter le contrôle, et qu’il existe des preuves conservéesrécentes ;

La constitution des équipes de test

Détermination de la taille et de la composition des échantillons àtester

Le nombre d’occurrences de contrôle à tester dépendra de la fréquence de l’activitéde contrôle et du nombre de sites concernés :

• Nombre d’occurrences de contrôle à tester

Le nombre d'occurrences à tester dépend de la fréquence d'exercice de l'activité decontrôle. Sur la base d’une méthode de sondage d’attribut, d’un taux d’erreur nul etd’un niveau de confiance de 90%, il peut être déterminé de la manière suivante :

132



• Observation : lorsque l’auditeur ou le testeur ne peuvent ni ré-exécuter lecontrôle ni examiner les preuves ;

• Entretien / Questionnaires : lorsque l’auditeur ou le testeur ne peuventpas observer le contrôle ; cette méthode procure un plus faible niveaud’assurance, elle est proche de l’auto-évaluation. C’est parfois la seuleméthode permettant d’évaluer le bon fonctionnement d’activités decontrôle réalisées par la direction (au cours de comités exécutifs, de comi-tés d’investissement ou d’engagement, de comités d’audit…) ; ellepermet parfois, grâce à la relation directe avec les opérationnels, d’appré-cier le niveau de compétence de l’acteur opérationnel du contrôle, letemps qu’il y consacre, sa disponibilité et ses ressources.

Le test local des activités de contrôle peut être confié à des personnes quiévoluent au sein de leur Division opérationnelle, mais dans des domaines

d'activité voisins du contrôle interne (assurance qualité, direction de proces-sus ...), c’est-à-dire indépendantes vis à vis des opérationnels.

Dans ce cas, le service chargé de piloter les tests préconise le type de travaux àréaliser par les testeurs, en prenant en compte les flux ayant un impact finan-cier moins significatif ou présentant un risque moins élevé. L’audit internepeut fournir un cadre méthodologique et une formation générale pour procé-der aux tests, et assure la supervision des travaux.

Fréquence de réalisation

de l’activité de contrôleContinue

Quoti-

dienne

Hebdo-

madaireMensuelle

Trimes-

trielle

Semes-

trielleAnnuelle

Nombre d’occurrences de

contrôle à tester25 25 5 2 2 1 1

AN

NE

XE

© IFACI

• Nombre de sites à tester (applicable aux contrôles multi sites)

Les sites géographiques retenus doivent être représentatifs en termes de volumed’activité opérationnelle. Il pourra s’agir d’un chiffre d’affaires, d’un nombre defactures traitées, d’un nombre de commandes enregistrées, …

Exemple :• si le contrôle porte sur l’approbation du montant des factures, la pondéra-

tion pourra être le nombre total de factures par site,• si le contrôle porte sur la solvabilité des clients, la pondération pourra être

le montant total des commandes des clients par site.

La phase de tests se conclut par la documentation des résultats, et leurs conclusions :• Nature de l’insuffisance éventuelle ;• Nombre d’occurrences en anomalie ;• Origine de l’écart ;• Impact financier ;• Conclusion sur l’absence ou la présence d’une faiblesse de contrôle interne

« Conforme »/« Non-conforme ». Cette conclusion aboutira le cas échéant àune réévaluation du niveau de maturité du contrôle ;

• Le cas échéant, l'établissement d'une liste d’actions correctives.

Evaluation de la maturité des activités de contrôle

Le degré de maturité des activités de contrôle clé, quand il est insuffisant, permet derepérer des défaillances de conception du contrôle interne : dans l’exemple suivant,dans le cas où il existe un degré de maturité inférieur à 3 (degré de maturité égal à 1ou 2) pour une activité de contrôle, et à défaut de contrôle compensatoire, un pland’action de remédiation est nécessaire.

133



AN

NE

XE

Il s'agit d'apprécier le degré de maturité de chaque contrôle décrit selon uneéchelle de graduation allant de 1 à 5 et définie de la façon suivante :

• Niveau 1 : Contrôle « non fiable », insatisfaisant ou absence de contrôle. Lescontrôles ne sont pas correctement conçus ou mis en œuvre.

• Niveau 2 : Contrôle « informel ». Les contrôles sont correctement définis,mis en œuvre mais non formalisés.

• Niveau 3 : Contrôle « standardisé ». Les contrôles sont correctement définis,mis en oeuvre et formalisés dans une procédure mais non régulièrementtestés.

• Niveau 4 : Contrôle « supervisé ». Les contrôles sont correctement définis,mis en œuvre, formalisés dans une procédure. Leur pertinence et leur réali-sation sont régulièrement testées. Les résultats de ces tests sont communi-qués au management.

• Niveau 5 : Contrôle « optimisé ». Les contrôles sont parfaitement intégrésdans un processus d'amélioration continue.

© IFACI

Le niveau de maturité des contrôles existants peut être évalué à partir des définitionsci-dessus et du tableau suivant :

134



AN

NE

XE

© IFACI

Niveau

1 2 3 4 5

Contrôle mis en œuvre X X X X

Contrôle correctement conçu X X X X

Contrôle formalisé dans une procédureou contrôle automatique

X X X

Utilisation d'un outil de documentationstandardisé

X X X

Formation et communication autour ducontrôle

X X X

Formalisation et archivage de la preuvede réalisation du contrôle

X X X

Formalisation des tests du contrôle X X

Communication des tests d'efficacité à laDirection

X X

Supervision en temps réel etamélioration en continu du contrôle parle management

X

Annexe 9 :

L’auto-évaluation du contrôle interne et des risques

Source : «Cahier de la recherche « L’auto-évaluation du contrôle interne » - IFACI 2005

« L’auto-évaluation du contrôle interne est une démarche initiée par la Direction Générale,supportée par la hiérarchie et mise en œuvre et utilisée par les opérationnels pour évaluer laqualité de contrôle interne de leurs activités ».

« Elle consiste à vérifier que les opérations que traite chacun le sont conformément aux prin-cipes et objectifs du contrôle interne, selon les instructions de la Direction Générale. La démar-che d’auto-évaluation est donc effectuée à tout niveau, y compris par chaque employé impliquédans le processus opérationnel, et par le management lui-même sur son propre périmètre deresponsabilité. »

La démarche est généralement lancée avec les principaux objectifs suivants :• favoriser l’appropriation du dispositif de contrôle interne de l’organisation

par les opérationnels, responsables des opérations sur le terrain,• améliorer les opérations au moyen des plans d’action qui résultent de l’auto-

évaluation,• bénéficier d’une information sur la qualité du contrôle interne, et sur l’éva-

luation des risques inhérents et résiduels, aux différents niveaux de l’organi-sation ».

Lorsqu’elle prévoit un reporting remontant des informations au management, l’auto-évaluation peut faciliter la rédaction par le management d’un rapport d’évaluation(exigé par différentes réglementations).

Plus d’informations sont disponibles dans le Cahier de la Recherche sur l’élaborationméthodique des outils (guides et questionnaires) et sur la mise en œuvre de la démar-che d’auto-évaluation.

135



AN

NE

XE

© IFACI

En France, le guide d’application relatif au contrôle interne de l’informationcomptable et financière publiée par les émetteurs, élaboré par le groupe de

place de l’AMF, constitue un référentiel pour développer un outil d’auto-évaluation.

L’auto-évaluation ne se confond pas avec l’évaluation du contrôle interne,dont la responsabilité doit être confiée à un acteur indépendant, générale-

ment l’audit interne.

BIBLIOGRAPHIE

Ouvrages et textes de référence

• Audit interne à l’international – Elisabeth Bertin (Ed. d’Organisation) 2007

• L’audit interne et le management des collectivités territoriales – La cartographie des risques,Cahier de la recherche - Groupe professionnel « collectivité territoriales », IFACI, 2006

• Audit des prestations essentielles externalisées par les établissements de crédit et les entre-prises d’investissement – Cahier de la recherche – Groupe professionnel « Banque » – IFACI– janvier 2007

• L’auto-évaluation du contrôle interne – Cahier de la recherche – IFACI – octobre 2005

• Cadre de référence de contrôle interne de l’AMF (Site IFACIhttp://www.ifaci.com/fo/page.asp?id=209&zone=P)

• Cadre de référence international pour la pratique professionnelle de l’audit interne, Normesd’audit interne, (www.ifaci.com)

• Cartographie des risques – Cahier de la recherche – Groupe professionnel « Assurance » –IFACI – juillet 2006

• Cartographie des risques – Cahier de la recherche- Groupe professionnel « Immobilier loca-tif » - IFACI – septembre 2005

• CHU: Its role and function, Update n°9 - Robert deKoning (Sigma) – 2005

• Le contrôle interne - Frédéric Bernard ; Rémi Gayraud ; Laurent Rousseau (Ed. Maxima) –2006

• Contrôle interne et audit publics – Le Public Internal Financial Control (PIFC) – Alain-GérardCohen (Librairie LGDJ) – 2005

• Contrôle interne des risques – Henri-Pierre Maders et Jean-Luc Masselin (Ed.d’Organisation) - 2004

• Etude du processus de management et de cartographie des risques – Cahier de la recherche– IFACI – janvier 2004

• Les frontières de la firme, Bertrand Quélin, Economica, 2002

• La gouvernance de l’entreprise – une approche par l’audit et le contrôle interne – EustacheEbondo Wa Mandzila (Ed. L’harmattan) – 2006

• INTOSAI Framework (www.intosai.org)

• Le management des risques – COSO II Report – IFACI, PWC, Landwell & associés (Ed.d’Organisation) 2005

• Management des risques – Cahier de la recherche – IFACI – 2001

• PIFC - A European Commission initiative to build new structures of public internal controlin applicant and third party countries, Robert de Koning ,Sigma, January 2007

• La pratique du contrôle interne – COSO REPORT –, IFACI, PWC (Ed. d’Organisation) – 2002

• Recommandations de l’AMF sur le « Dispositif de contrôle interne : Cadre de référence »,2006 (site AMF, http://www.amf-france.org/documents/general/7605_1.pdf)

• Théorie et pratique de l’audit interne – 6ème édition – Jacques Renard (Ed. d‘Organisation)2006

136



© IFACI

BI

BL

IO

GR

AP

HI

E

Réalisation : Ebzone Communication ([email protected])Impression : Compédit Beauregard S.A. - 61600 La Ferté-Macé

N° d’imprimeur : 4475

http://www.amf-france.org/documents/general/7605_1.pdf

http://www.intosai.org


http://www.ifaci.com/fo/page.asp?id=209&zone=P

cdr carto risk de la... · -hervé dubuis, auditeur interne, ... -jean-michel chaplain, directeur...

Documents