Contrôle interne
Le terme « contrôle interne » indique qu'il s'agit d'un processus aux frontières de l'audit. Il s'agit des méthodes d'organisation qu'une entité met en place pour atteindre ses objectifs et s'en assurer. La procédure d'audit y fait référence car le contrôle interne est nécessaire pour l'analyse des risques. Il est produit et piloté par les dirigeants de l'entité (et permet de mettre en valeur sa gouvernance) mais il associe de nombreuses parties prenantes (ex : exécutants, sous-traitants…). Ainsi, l'entité peut se doter d'une structure spécifique dédiée à cette mission : les comités d'audit. Elle peut aussi recourir à de l'audit interne plus ponctuel. Il faut donc tenir compte de son périmètre. Le contrôle interne peut remplir des objectifs très divers qui vont de la prévention des risques à leur traitement.
Le contrôle interne fait l'objet d'une réglementation et d'une normalisation. Les normes professionnelles sont établies par l'IIA (Institute of Internal Auditors) : c'est le Cadre de Référence International des Pratiques Professionnelles de l'audit interne (CRIPP). Les auditeurs internes sont organisés au niveau européen et national : ECIIA (European Confederation of Institutes of Internal Auditing) et IFACI (Institut Français de l'Audit et du Contrôle Interne). C'est notamment en matière d'offre au public de titres et de recours aux marchés financiers que les exigences sont les plus élevées : des référentiels ont été établis par la COSO (Committee Of Sponsoring Organizations) au niveau international et l'AMF (Autorité des Marchés Financiers) au niveau national. Ils comportent des recommandations, des bonnes pratiques ou des méthodes. Ex : composantes des risques (COSO) et grands principes à respecter (AMF). Autre cas : le H3C dans le cadre de la lutte antiblanchiment.
Principes fondamentaux du contrôle interne
Le contrôle interne se distingue du contrôle de gestion ou du contrôle budgétaire car il vise à fournir une assurance raisonnable sur certains processus. Si les outils ou la démarche sont similaires, c'est donc la finalité qui change. Le contrôle interne vise à apprécier un processus dans sa globalité (et ne se réduit pas à la dimension comptable et financière). On distingue généralement le contrôle interne et l'audit interne puisque cette dernière fonction est en principe séparée des autres : les auditeurs internes sont responsables de leur diagnostic et jouent un rôle de conseil dans l'entité.
Ainsi l'IFACI indique que :
« La mission de l'audit interne est d'accroître et préserver la valeur de l'organisation en donnant avec objectivité une assurance, des conseils et des points de vue fondés sur une approche par les risques.
L'audit interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernance, et en faisant des propositions pour renforcer leur efficacité.
Rattaché à la Direction Générale, l'audit interne entretient une relation étroite avec le Comité d'Audit ou ses comités spécialisés en leur apportant une assurance sur l'efficacité des systèmes de gestion des risques et de contrôle interne.
L'audit interne est une profession normée. »
« Le contrôle interne est un processus mis en œuvre par le conseil, le management et les collaborateurs d'une entité, destiné à fournir une assurance raisonnable quant à la réalisation d'objectifs liés aux opérations, au reporting et à la conformité.
Cette définition renvoie à certains concepts fondamentaux et met l'accent sur les aspects suivants du contrôle interne :
- il est axé sur la réalisation d'objectifs relevant d'une ou plusieurs catégories – objectifs liés aux opérations, au reporting et à la conformité
- il s'agit d'un processus qui repose sur la mise en œuvre de tâches et d'activités continues. Il constitue un moyen et non une fin en soi
- il est mis en œuvre par des personnes. Il ne repose pas simplement sur un ensemble de règles et de manuels de procédures, de documents et de systèmes
- il est assuré par des personnes œuvrant à tous les niveaux de l'organisation
- il permet à la direction générale et au conseil d'obtenir une assurance raisonnable et non une assurance absolue
- il est adaptable à la structure de toute entité. Il offre une certaine souplesse d'application pour l'ensemble de l'entité ou une filiale, une division, une unité opérationnelle ou un processus métier en particulier. »
Le contrôle interne remplit plusieurs objectifs.
Outil de décision : les dirigeants prennent en principe des
décisions pour atteindre les objectifs de l'entité de la manière la plus
efficace possible selon le contexte économique et managérial, conformément aux
règles de droit applicables. L'entité est un nœud de contrats où sont prises
des décisions stratégiques, organisationnelles et opérationnelles qui doivent
être cohérentes.
Le contrôle permet ainsi aux dirigeants de s'assurer que tous les exécutants et
prestataires réalisent correctement les missions qui leur ont été confiées.
Garantie de qualité : le contrôle interne permet de vérifier que le
produit (bien et service) réalisé et fourni par l'entité respecte bien des
exigences (qu'elles soient légales ou plus liées aux attentes des clients,
usagers ou bénéficiaires). La qualité reste toutefois une notion dont le
contenu est variable.
Le contrôle peut être simplement a posteriori, se concentrer sur le
processus et l'enchaînement des tâches ou viser plus globalement à établir la
traçabilité des produits.
Détection des anomalies : le contrôle interne permet de repérer les
dysfonctionnements ponctuels ou systématiques et d'en mesurer les conséquences.
Il faut donc concevoir et paramétrer les outils de contrôle et de détection
adaptés : automatisation, capteurs, techniques statistiques, formalisation
des procédures par des manuels ou dans le cadre de formations…
Correction des erreurs : le contrôle interne repose sur l'analyse
de la valeur. Le contrôle ou l'audit des procédures doit permettre de savoir s'il
doit être corrigé, modifié, sous-traité… dans l'optique de ne concentrer les
ressources de l'entité que sur les activités qui dégagent suffisamment de marge
et permettent d'obtenir un avantage concurrentiel. C'est souvent un argument de
recentrage.
Le contrôle interne (et par extension la procédure d'audit)
repose sur une approche par cycles.
Investissement : l'entité contrôle ses choix d'immobilisations qu'ils
soient corporels, incorporels ou financiers. Le contrôle a plusieurs dimensions :
intérêt économique et financier de l'opération, comptabilisation adéquate,
conformité à la réalité physique, respect de la réglementation…
Plusieurs procédures seront vérifiées : techniques de choix d'investissement
et budget, traitement des commandes auprès des fournisseurs d'immobilisations,
traitement des factures…
Exploitation : l'entité contrôle le cycle achats-fournisseurs. Cela
concerne l'expression du besoin (et son processus de validation), les relations
avec les fournisseurs, le traitement des commandes et des factures. Ainsi
plusieurs dimensions sont visées : administrative, logistique, comptable,
trésorerie…
Stocks : l'entité doit contrôler qu'elle est en capacité de
protéger les matières ou marchandises qu'elle conserve pour produire et vendre.
Il faut également analyser la procédure mise en œuvre pour dresser l'inventaire
des stocks et les méthodes retenues pour les valoriser. A nouveau, de
nombreuses dimensions sont concernées : approvisionnement, logistique,
production, comptable…
Ventes-clients : l'entité contrôle le traitement et l'exécution des
commandes.
Ressources Humaines : au-delà des cycles d'activités, l'entité est
amenée à contrôler les risques liés au personnel qu'elle emploie. Il s'agit essentiellement
des fonctions administratives (gestion des contrats, déclarations sociales), de
la rémunération et du suivi (embauche, congés, départs).
Pour chaque cycle, le contrôle interne fait l'analyse des forces et des
faiblesses en mobilisant des outils et des procédures (voir ensuite) et
envisage de les tester.
Remarque : la réflexion théorique est plus dense et plus aboutie en contrôle interne que dans la recherche sur l'audit légal et financier en général car c'est une démarche qui combine de nombreux enjeux. Elle mobilise des outils de gestion du risque (ex : statistiques, cartographie), elle tient compte des conflits d'intérêt (ex : opportunisme, relation d'agence), elle incorpore de l'information (ex : asymétries, coûts de transaction) et est généralement au cœur de grands scandales financiers.
Procédures et techniques du contrôle interne
Les outils du contrôle interne sont d'une triple nature.
Questionnaire : c'est l'outil de base du contrôleur interne et il
est partagé avec l'auditeur externe. Ils concernent les cycles ou les fonctions
(pour en traiter les aspects spécifiques), les principes du contrôle interne
(ex : formalisation, séparation des fonctions, universalité, permanence…)
ou les assertions de l'auditeur légal (ex : réalité, exhaustivité, mesure,
existence…).
Diagramme : c'est l'outil spécifique du contrôleur interne. Les
diagrammes permettent de décrire les procédures et notamment la circulation des
documents (flow chart) leur représentation est codifiée et repose sur
des outils numériques plus ou moins élaborés. Cet outil permet, en principe, de
détailler l'ensemble des documents, des opérations et des informations
nécessaires à la réalisation de diverses procédures au sein de l'entité.
Test : comme le commissaire aux comptes peut procéder à des tests
de procédure, le contrôle interne doit anticiper leur éventualité et vérifier
le bon déroulement des processus au sein de l'entité. L'exemple classique
concerne la « réexécution ». On parle pour le contrôle interne de tests
de permanence car ils consistent à s'assurer que le descriptif est toujours
conforme à la réalité : le but est de repérer des anomalies. Il est
également possible de mettre en œuvre des tests de conformité qui visent
à vérifier le bon fonctionnement du contrôle interne. Ex : recueil de
documentation, répétition des contrôles, observations. Le but est de s'assurer
de l'efficacité des contrôles.
Plusieurs normes de l'audit
légal permettent de montrer les liens entre le contrôle interne et la
certification des comptes. Certaines y sont spécifiquement consacrées.
La communication des faiblesses du contrôle interne : lors de la
prise de connaissance de l'entité et suite à l'évaluation du risque d'anomalies
dans les comptes, puis tout au long de son audit, le commissaire aux comptes
peut relever des faiblesses du contrôle interne. Elles se caractérisent
par : l'absence d'un contrôle nécessaire pour prévenir, détecter ou
corriger des anomalies dans les comptes, ou l'incapacité d'un contrôle à
prévenir, détecter ou corriger des anomalies dans les comptes du fait de sa
conception, de sa mise en œuvre ou de son fonctionnement (NEP 265).
La faiblesse doit être significative. Le CAC apprécie l'efficacité des
contrôles pertinents pour l'audit lorsqu'il a décidé de s'appuyer sur ces
contrôles ou lorsqu'il considère que les contrôles de substance seuls ne sont
pas suffisants. Ainsi, les procédures d'audit mises en œuvre par le commissaire
aux comptes n'ont pas pour objectif d'exprimer une opinion sur l'efficacité du
contrôle interne.
Les faiblesses du contrôle interne identifiées sont communiquées à la
direction, au niveau de responsabilité approprié. Elles le sont par écrit si
les faiblesses sont considérées comme significatives.
La prise de connaissance et l'utilisation des travaux de l'audit interne :
lorsque l'entité dispose d'un audit interne, le commissaire aux comptes prend
connaissance du fonctionnement et des objectifs qui lui sont assignés. Il peut
utiliser les travaux réalisés par l'audit interne en tant qu'éléments collectés
au titre des assertions qu'il souhaite vérifier (NEP 610).
Lorsque le commissaire aux comptes prend connaissance de l'entité pour
constituer un cadre de référence dans lequel il planifie son audit et évalue le
risque d'anomalies significatives dans les comptes, il s'enquiert : de la place
qu'occupe l'audit interne dans l'organisation de l'entité. Le commissaire aux
comptes examine les règles et les procédures mises en place dans l'entité pour
assurer l'objectivité des auditeurs internes dans la réalisation de leurs
travaux et l'émission de leurs conclusions ; de la nature et de l'étendue des
travaux confiés à l'audit interne.
A l'issue de cette prise de connaissance, lorsque le commissaire aux comptes
envisage d'utiliser les travaux réalisés par l'audit interne, il apprécie
notamment : les qualifications professionnelles des auditeurs internes et leur
expérience acquise dans ces fonctions ; l'organisation de l'audit interne en
termes de planification, mise en œuvre et supervision des travaux ; la
documentation existante, y compris les programmes de travail et autres
procédures écrites ; si la direction prend en compte les recommandations
formulées par l'audit interne et si elle met en œuvre des actions pour répondre
à ces recommandations.
Lorsque le commissaire aux comptes décide d'utiliser certains travaux de
l'audit interne, il apprécie notamment si : la nature et l'étendue de ces
travaux répondent aux besoins de son audit ; ces travaux ont été réalisés par
des personnes disposant d'une qualification professionnelle et d'une expérience
suffisantes et ont été revus et documentés ; une solution appropriée a été
apportée aux problématiques mises en évidence par les travaux de l'audit
interne ; les rapports ou autres documents de synthèse établis par l'audit
interne sont cohérents avec les résultats des travaux réalisés par ce dernier.
Le commissaire aux comptes apprécie, par ailleurs, si ces travaux constituent
des éléments suffisants et appropriés pour lui permettre d'aboutir à des
conclusions à partir desquelles il fonde son opinion sur les comptes. Si tel
n'est pas le cas, il en titre les conséquences sur ses propres travaux.
D'autres sont indirectement liées
au contrôle interne.
La possibilité de fraudes lors de l'audit des comptes : il s'agit des
actes intentionnels portant atteinte à l'image fidèle des comptes et de nature
à induire en erreur l'utilisateur de ces comptes ; du détournement d'actifs (NEP
240). Lors de la planification de l'audit, les membres de l'équipe d'audit
s'entretiennent du risque d'anomalies significatives résultant de fraudes. Ces
échanges permettent notamment au commissaire aux comptes d'apprécier les
réponses à apporter à ce risque.
L'analyse du risque débute dès la prise de connaissance de l'entité et de son
environnement auprès de la direction qui est responsable du contrôle interne,
ainsi qu'auprès des personnes chargées de l'audit interne et de toute autre
personne qu'il estime utile d'interroger dans l'entité de leur éventuelle
connaissance de fraudes avérées, suspectées ou simplement alléguées concernant
l'entité.
Les relations et transactions avec les parties liées : de
nombreuses transactions entre parties liées s'inscrivent dans le cadre des
activités ordinaires de l'entité et ne recèlent pas davantage de risque
d'anomalies significatives dans les comptes que les transactions de même nature
réalisées entre parties non liées. Cependant, dans certaines circonstances, la
nature des relations et des transactions avec des parties liées peut accroître
ce risque (NEP 550). Ex : complexité des transactions, problème d'identification
dans le système d'information, absence de contrepartie ou de rémunération. Dans
ce contexte, il est particulièrement important que le commissaire aux comptes
fasse preuve d'esprit critique tout au long de son audit et tienne compte du
fait que l'existence de parties liées peut conduire à des anomalies
significatives dans les comptes. Ex : collusion, dissimulation
Le CAC évalue le risque, il met en place des procédures d'audit adaptées. Pour
fonder son opinion sur les comptes, le commissaire aux comptes apprécie si : les
relations et les transactions avec les parties liées font l'objet d'un
traitement comptable et d'une information dans l'annexe conformes aux
dispositions spécifiques des référentiels comptables applicables, relatives à
la comptabilisation des soldes et des transactions avec les parties liées ainsi
qu'aux informations à fournir dans l'annexe au titre des parties liées ; la
présentation des effets des relations et transactions avec les parties liées ne
remet pas en cause l'image fidèle que les comptes doivent donner du résultat
des opérations de l'exercice écoulé ainsi que de la situation financière et du
patrimoine de l'entité ou du groupe à la fin de cet exercice.
Conclusion
La démarche de l'audit s'est approfondie et généralisée. Elle fait l'objet d'attentes sans doute trop fortes de la part des parties prenantes. Il est donc nécessaire de bien en comprendre les mécanismes pour en apprécier le résultat.
Références :
KHALIL Afef, AJILI Wissem, BEN SLIMENE Imen et al. : Comprendre et mettre en œuvre le contrôle interne. Réglementation, concepts et applications. Dunod, « Hors collection », 2022
PIGÉ Benoît : Audit et contrôle interne. De la conformité au jugement. EMS Editions, « Les Essentiels de la Gestion », 2017
SCHICK Pierre, VERA Jacques, BOURROUILH-PARÈGE Olivier : Audit interne et référentiels de risques. Vers la maîtrise des risques et la performance de l'audit. Dunod, « Hors collection », 2021