Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
michel.van.den.brande.overblog.com

michel.van.den.brande.overblog.com

Ce blog est essentiellement dédié à la publication d'articles traitant de sujets divers liés aux aspects techniques mais également de gestion de l'administration et de la sécurité des systèmes et des réseaux informatiques.

Notion générale de contrôle interne

Publié le 24 Décembre 2013 par Michel Van Den Brande

Pour comprendre l’impact du contrôle interne dans la conduite et la maîtrise des processus de l’organisation, il importe d’en approfondir l’approche, d’en explorer tous les contours. Ce sera l’objet de ce chapitre.

1.Historique de la notion de contrôle interne

La notion de contrôle interne est issue du monde comptable. En 1977, sort aux Etats Unis la publication de “Foreign Corrupt Practices Act” (United States federal law). Ce document a pour objet la mise en place au sein des entreprises et des organisations d’un système de contrôle visant à protéger ses ressources (tant matérielles qu’immatérielles : les brevets, le savoir-faire, les marques, l’image de marque et cetera) des activités de fraudes.

Une deuxième source à l’origine du déploiement de systèmes de contrôle interne apparus en 1985 et fut initiés par la commission “Treadway”. Celles-ci se donne comme objectif de lutter contre les erreurs répétées constatées dans les comptes d’un certain nombre d’entreprises. Les travaux de cette commission (dans le cadre du “Committee Of Sponsoring Organisations of the Treadway Commission”, COSO) a donné lieu en 1992 à un premier rapport, “Internal Control Integration Framework”, connu en français sous l’intitulé « La pratique du contrôle interne ».

En 2002, une loi américaine paraît au Etat Unis il s’agit de la loi dite “Sarbanes – Oxley”. Cette loi visait à protéger les investisseurs en imposant aux sociétés cotées en bourse des principes comptables rigoureux. Ces sociétés furent notamment forcées d’adopter de nouvelles règles conduisant à l’obligation de transparence financière.

La législation anglo-saxonne a, dès ce moment, été fortement influencée par les pratiques de contrôle interne et recommandait pour ce faire le référentiel COSO.

En France, en avril 2005, l’Autorité des Marchés Financiers (l’AMF) confie à un groupe de travail l’élaboration d’un référentiel en matière de contrôle interne. Ceci fait suite à la loi de sécurité financière (LSF) du 1er août 2003. Cette loi constituait une réponse à la fois politique et technique à la crise de confiance qu’inspirait de plus en plus les mécanismes du marché mais aussi au manque de régulation du monde économique et financier qui sévissait à cette époque.

Fin septembre 2005, la 8ème directive européenne sur le contrôle légal des comptes propose le principe de la création au sein des entités d’intérêt public d’un Comité d’audit dont une des possibles fonctions serait d’effectuer le suivi de l’efficacité des systèmes de contrôles internes, de l’audit interne et le cas échéant de la gestion des risques de la société.

L’arrêté royal du 17 août 2007 relatif aux activités d’audit interne dans certains services du pouvoir exécutif fédéral, Art. 3- fait également référence à la notion de contrôle interne en ces termes : “dans chacun des Services visés à l’article 1er, la fiabilité du système de contrôle interne est évaluée au moyen d’activités d’audit interne. [......] ces activités donnent au Service une assurance raisonnable sur le degré de maîtrise de ses opérations et lui apporte des conseils pour les améliorer.”

Concrètement, tel que présenté dans l’arrêté royale, l’audit interne se présente comme l’instance de contrôle du contrôle interne de l’organisation. Il vérifie que le contrôle respecte et pilote correctement ses processus.

En 2009, la Commission Corporate Governance publie son rapport “Le Code belge de gouvernance d’entreprise” qui présente la version définitive du Code révisé de La version 2004. Cette nouvelle version met l’accent sur la nécessité d’une plus grande transparence et d’un plus grand sens des responsabilités des dirigeants et ceci concernant la mise en œuvre d’une bonne gouvernance des sociétés dites cotées. Le Code 2009 fait explicitement référence à la notion de contrôle interne en désignant comme objectifs : “La gouvernance d’entreprise exige également un contrôle, à savoir l’évaluation effective des performances, la gestion attentive des risques potentiels et une supervision appropriée de la conformité aux procédures et processus agréés. Il s’agit surtout de vérifier le fonctionnement effectif des systèmes de contrôle, la gestion des conflits d’intérêt potentiels et la mise en œuvre de contrôles suffisants destinés à éviter tout abus de pouvoir.”

(Le code belge de gouvernance d’entreprise 2009, page 7).

Bien qu’il s’agisse d’un code s’appliquant aux sociétés cotées, aujourd’hui ce principe de bonne gouvernance se retrouve dans un nombre de plus en plus important de sociétés et d’organisations non nécessairement cotées. Ceci tient au fait que le contrôle interne correspond à une évolution des modes de management à tous les niveaux de l’organisation. Le contrôle interne poursuit des objectifs qui constituent une réelle plus-value pour l’organisation, en termes d’efficience, de performance, de fiabilité et d’assurance de conformité. Il est véritablement intégré à tous les processus en cours dans l’organisation et il se traduit et repose entièrement sur une nouvelle culture d’organisation s’exprimant aux travers d’attitudes professionnelles responsables dans le chef de l’ensemble du personnel de l’organisation.

2.Tentative de définition de la notion de contrôle interne

La définition du contrôle interne, ci-dessous, provient d’un document publié par l’association “Autorité des Marchés Financiers” (AMF, organisation française), intitulé : “Les dispositifs de gestion des risques et de contrôle interne”, Cadre des références, mis en ligne le 14 juin 2010.

“Le contrôle interne est un dispositif de la société, défini et mis en œuvre sous sa responsabilité.

Il comprend un ensemble de moyens, de comportements, de procédures et d’actions adaptés aux caractéristiques propres de chaque société qui:

  • contribue à la maîtrise de ses activités, à l’efficacité de ses opérations et à l’utilisation efficiente de ses ressources, et
  • doit lui permettre de prendre en compte de manière appropriée les risques significatifs, qu’ils soient opérationnels, financiers ou de conformité.” (Page 8).

Cette première partie de définition du contrôle interne reprend déjà un nombre important de notions qui reviendront régulièrement émailler la suite de notre propos, comme :

  • Toute l’organisation est impliquée dans le dispositif de contrôle interne (il n’y a pas un contrôleur interne à l’instar de l’auditeur interne), idéalement perceptible au travers des comportements de l’ensemble de ses collaborateurs.
  • Une responsabilité est engagée via le dispositif de contrôle et ce à plusieurs niveaux : de sa définition, de son application et de son suivi.
  • Les objectifs sont clairement énoncés : une plus grande maîtrise des activités et une recherche constante de plus d’efficience dans l’exécution des processus de l’organisation.
  • L’organisation doit procéder à une analyse de risque qu’elle doit revoir régulièrement. La gestion des risques a pour enjeu leur maîtrise, de manière à ce qu’ils n’empêchent pas l’organisation d’atteindre ses objectifs. A ce titre, l’analyse de risque constitue l’élément de base à l’élaboration de toute stratégie de déploiement d’un dispositif de contrôle interne.

Suite de la définition du contrôle interne par l’AMF :

“Le dispositif vise plus particulièrement à assurer :

  • la conformité aux lois et règlements;
  • l’application des instructions et des orientations fixées par la direction générale ou le directoire;
  • le bon fonctionnement des processus internes de la société, notamment ceux concourant à la sauvegarde de ses actifs;
  • la fiabilité des informations financières.

Le contrôle interne ne se limite donc pas à un ensemble de procédures ni aux seuls processus comptables et financiers.”

Ici apparaît la notion d’actif qui désigne tout ce qui a de la valeur pour l’organisation, il peut par conséquent s’agir de :

  • son image,
  • ses valeurs,
  • ses collaborateurs,
  • sa documentation,
  • ses machines,
  • ses outils,
  • ses brevets,
  • son “know how”,
  • ses processus et procédures,
  • ...

Depuis plusieurs années nous constatons que le dispositif de contrôle interne sort de sa sphère d’origine : la comptabilité et la finance, pour se retrouver dans tous les domaines d’activités des entreprises cherchant par là maximaliser ses chances de réussite. Autrement dit, le contrôle interne est de plus en plus considéré comme un dispositif couvrant l’ensemble des activités de l’entreprise (et pas uniquement le département comptable et finances), c’est ce qui définit son périmètre d’action.

3.Composantes du contrôle interne

3.1.L’implication de la direction générale (DG) est déterminante

La DG identifie les processus clés de l’organisation, ceux qui ne peuvent pas souffrir de dérapage et/ou de blocage sans mettre en péril la pérennité même de l’organisation. La DG détermine la juste proportionnalité entre les moyens et les actions du contrôle interne d’une part et les enjeux liés à l’activité de l’organisation d’autre part. La DG est responsable de la mise en œuvre du dispositif de contrôle interne mais aussi de son suivi dans un souci de constante amélioration de sa pertinence et de sa performance.

Les processus de l’organisation doivent faire l’objet d’une analyse de risque approfondie et par la suite d’une couverture en termes d’action de maîtrise. La DG est responsable de la qualité des dispositifs de contrôle interne et de l’analyse de risque. La DG approuve les modalités et les objectifs de l’analyse de risque ainsi que le plan d’action et de communication du contrôle interne.

La DG doit s’assurer que les ressources appropriées sont disponibles pour la mise en œuvre des actions de contrôle interne et ce pour leur suivi et leur amélioration continue. La DG attribue les responsabilités et les rôles aux personnes compétentes en vue de réaliser les actions de contrôle.

La DG s’assure que l’information en matière de contrôle interne soit fiable, relevante et pertinente. La DG s’assure également que l’information issue du contrôle interne soit remontée au moment opportun vers le conseil d’administration (ou l’organe de surveillance) et le comité d’audit.

3.2.Les acteurs possibles du contrôle interne
  • La direction générale exerce une responsabilité globale sur le dispositif de contrôle interne. Il en garantit sa politique, son effectivité et sa fiabilité.
  • Le conseil d’administration prend connaissance des caractéristiques essentielles du dispositif interne, il peut faire usage de ses pouvoirs généraux pour faire procéder aux vérifications qu’il juge opportunes.
  • L’audit interne contrôle l’efficacité des procédures de contrôle interne sans être directement impliqué dans la mise en œuvre de ces procédures.
  • Le comité d’audit suit la mise en place des procédures de contrôle interne et de gestion des risques.
  • Le coordinateur de contrôle interne développe la dynamique de contrôle interne au sein de l’organisation par des actions de sensibilisation et de promotion auprès de l’ensemble du personnel. Il rédige le rapport de bilan des activités de contrôle interne et propose des améliorations du système (suppression, réadaptation et création de nouveaux contrôles).
  • Le gestionnaire de risque prend en charge (il anime) le dispositif de gestion des risques, comprenant : l’identification, l’analyse et le traitement des risques. Il offre un soutien méthodologique aux différents acteurs opérationnels de la gestion de risque.
  • Les collaborateurs de l’organisation participent, chacun à leur niveau, au déploiement du contrôle interne. Pour ce faire, ils ont besoin de toute l’information requise pour sa mise en œuvre, mais ils doivent également communiquer toute l’information pertinente nécessaire à l’amélioration du dispositif de contrôle interne.
3.3.Une vision « processus » de l’organisation

« Traditionnellement, les opérations étaient analysées par fonction : les comptables, les gestionnaires du personnel, les acheteurs, le planning de production, les méthodes, …. Progressivement, les processus ont structurés les opérations de façon à les enchaîner de manière transverse. C’est une mutation majeure dans l’approche classique des organisations. Au lieu de structurer les opérations par les fonctions, elles sont organisées par processus. Cela permet d’avoir une vision d’ensemble des activités de l’entreprise. »

(Contrôle interne et système d’information, page 6 ; 2ème édition, version 2.2, Paris, 6 juillet 2008, AFAI).

Une vision « processus » des activités de l’organisation permet de les lier ensemble et de percevoir par ce biais les relations de dépendance (ou d’indépendance) qu’ils entretiennent entre eux. L’entreprise se perçoit plus comme un système d’interdépendances plus ou moins fortes entre chaque processus (l’ensemble est plus que la somme de ses parties) plutôt qu’un empilage et une juxtaposition de mécanismes fonctionnels distincts. Cette approche a un impact fondamental sur l’analyse de risque car elle ouvre la voie à la prise en considération de groupes de processus à risques (approche systémique) et non plus processus par processus pris chacun isolément.

Une vision « processus » des activités de l’organisation ne gomme certainement pas une vision fonctionnelle de celle-ci. En effet, l’organisation garde une structure fonctionnelle composée de départements se juxtaposant les uns aux autres et aux responsabilités bien établies. Chaque processus a son propriétaire qui est responsable du bon aboutissement de ses objectifs. Lorsqu’il s’agit d’un processus de type transversal, c’est-à-dire traversant différents départements, voir tous, le propriétaire appartient au département ayant la plus grande participation dans l’accomplissement et l’achèvement du processus en question. Il y a par ailleurs une différence importante entre le propriétaire du processus et celui qui le pilote. Ce dernier n’est pas directement responsable du fait que le processus atteigne son ou ses objectif(s), il est responsable au niveau de sa mise en œuvre.

3.4.L’analyse de risque et cadres de références

L’analyse de risque constitue le cœur du dispositif de contrôle interne. L’organisation peut procéder à une analyse de risque sur base de ses processus et de leurs interrelations. Il faut donc, a priori, identifier l’ensemble des processus de l’organisation et mettre en évidence les liens qu’ils entretiennent entre eux. Au travers de cette recherche, il devient plus commode d’identifier les processus « end to end » ou dits « bout à bout ». Ceux-ci forment une chaîne complète du traitement de la demande, du client jusqu’au produit fini.

Les points de contrôle de conformité (appelés aussi points de maîtrise), constituent des vérifications effectives sur divers éléments critiques des processus. Cette vérification a pour objectif de fournir une assurance raisonnable que le processus en question est correctement suivi et qu’il aboutit au résultat attendu. C’est ici que se définit l’objectif premier du contrôle interne, fournir une assurance raisonnable que les processus de l’organisation sont maîtrisés.

L’infrastructure informatique d’une organisation joue un rôle majeur au sein des processus de l’organisation et c’est pourquoi le contrôle interne y trouve sa raison d’être.

L’infrastructure informatique est à la fois très complexe et très vulnérable par nature. En matière de sécurité, le contrôle interne s’appuie sur des cadres de références de manière à s’assurer qu’il couvre l’ensemble des activités du service informatique (indépendamment de l’objet de l’entreprise). Le référentiel le plus souvent utilisé à ce jour (et le plus internationalement reconnu) est la norme ISO/IEC 27001:2005.

  • « L’informatique est un élément clé de la gouvernance de l’entreprise. Pour améliorer son efficacité, on doit s’efforcer de renforcer la maîtrise de l’informatique.
  • Les contrôles propres à informatique, y compris les procédures de sécurité, permettent d’améliorer la qualité et l’efficacité des différentes activités de l’entreprise. »

(Contrôle interne et système d’information, page 6 et 7 ; 2ème édition, version 2.2, Paris, 6 juillet 2008, AFAI).

Diverses méthodologies, devenues aujourd’hui de véritables standards, existent pour la mise en œuvre du dispositif de contrôle interne. Traditionnellement et historiquement, il est fait référence à la méthodologie COSO (Committee of Sponsoring Organizations of the Treadway Commission). COSO est très répandu dans le milieu des organisations financières et comptables.

COSO 1 propose un cadre de référence pour la gestion du contrôle interne et COSO 2 propose un cadre de référence pour la gestion des risques (il insiste également sur le rôle et les responsabilités du management). La méthode INTOSAI (Organisation internationale des institutions supérieures de contrôle des finances publiques, ou en anglais : International Organisation of Supreme Audit Institutions) a été conçue à partir de COSO 1 à laquelle a été ajouté des éléments de contrôle propres aux organisations de service public.

En ce qui concerne la mise en œuvre du contrôle interne, spécifiquement pour les services de type informatique, les organisations ont le plus souvent recours aux méthodes ITIL (orienté production, services rendus aux utilisateurs) et COBIT (orienté management, visant alignement de l’informatique sur la ligne stratégique de l’organisation). Dans certaines organisations, ces deux dernières méthodes sont utilisées conjointement : COBIT en appui à la gouvernance ICT et ITIL, en support à la production, c’est-à-dire orienté « services aux utilisateurs ».

3.5.Les actions de maîtrise

Si, en matière de référentiel, le contrôle interne se base sur la norme ISO/IEC 27001:2005, elle devient sa source d’inspiration pour définir ses actions de maîtrise et ses points de contrôle de conformité. Les conclusions de l’analyse de risque doivent permettre aux décideurs de sélectionner, dans l’ensemble des actions de maîtrise inspirées du référentiel, les actions de maîtrise couvrant au mieux les risques critiques identifiés. Les actions de maîtrise visent différents aspects d’un processus et/ou d’une procédure.

Dans le périmètre de l’action de maîtrise, il est définit un certain nombre de points de contrôle de conformité dont le rôle est d’effectuer une vérification sur tel ou tel aspect du processus et/ou de la procédure. Le résultat de cette vérification s’exprime de manière binaire car il ne peut y avoir d’ambigüité dans la conclusion du contrôle.

Schématiquement les points de contrôle de conformité se trouvent au plus proche de la réalisation pratique des processus et des procédures « métiers ». L’audit interne constitue, pour sa part, l’interface entre le contrôle interne et l’audit externe tel que représenté par le graphe ci-dessous.

3.6.La documentation et la communication

La documentation du contrôle interne est composée de :

  • ses propres processus et procédures
  • ses rapports d’activité et de résultats
  • ses procès-verbaux de réunion
  • ses suivis de projets
  • son courrier
  • ses résultats d’analyse de risque
  • les rapports d’audit interne et externe
  • la littérature technique

L’ensemble de ces documents (excepté la littérature technique) doivent être considérés comme confidentiels.

Le coordinateur de contrôle interne (le CCI) se doit d’informer son chef de service, la DG et l’audit interne de ses activités, du résultat de ses activités et de ses objectifs à venir. Cette information se présente sous forme de document tel que le rapport d’activité, le bilan des résultats de contrôles et le plan de réalisation de nouveaux projets. Pour ces trois types de documents la communication se fait de manière ponctuelle, par exemple une fois par an. Cette formalisation de la communication n’empêche pas d’autres modes de communication de se mettre en place si nécessaire.

Michel Van Den Brande

24-12-2013

Vous aimerez aussi :
Présentation de la famille des normes ISO/IEC 27k
Présentation de la famille des normes ISO/IEC 27k
Les référentiels du contrôle interne
Les référentiels du contrôle interne
Contrôle interne et analyse de risque
Contrôle interne et analyse de risque
Essai de synthétisation de l’approche « Cloud Computing »
Essai de synthétisation de l’approche « Cloud Computing »
Michel "Page Perso"
Essai de synthétisation de l’approche « Cloud Computing »
Commenter cet article
Retour à l'accueil