Cours Controle Interne 2008 2009

8/12/2019 Cours Controle Interne 2008 2009

1/60

UNIVERSIT DE SFAX

COLE SUPRIEURE DE COMMERCE DE SFAX

Troisime Anne Sciences Comptables

Prpar par Imen THABET FEKI

Annes universitaires : 2007/2008 2008/2009

COURS DE CONTRLE INTERNE


2/60

~ 2 ~

TABLE DES MATIERES

INTRODUCTION

Chapitre 1 : LES CONCEPTS ESSENTIELS DU CONTRLE INTERNE

1. Les lments de la dfinition du contrle interne2. Les lments du systme de contrle interne3. Le dispositif de management des risques4. Liens entre le contrle interne et le management des risques5. Les acteurs et les bnficiaires du contrle interne6. Les limites du contrle interne

Chapitre 2 : LES TAPES DVALUATION DU CONTRLE INTERNE

1. Connaissance des procdures2. valuation du contrle interne3. Exploitation de lvaluation du contrle interne4. valuation de la fonction informatique5. Lvaluation des cycles dexploitationBIBLIOGRAPHIE


3/60

~ 3 ~

INTRODUCTION

Les organisations ont pour objectif ultime la cration de valeur pour les parties

prenantes. Or, elles sont confrontes des incertitudes et vnements potentiels gnrateursde risques qui peuvent freiner la ralisation des objectifs de performance et de rentabilit.

Le management des risques et le contrle interne sont deux dispositifs qui offrent lentit la possibilit dapporter une rponse efficace aux risques et dtre mieux arme pouratteindre ses objectifs.

Le contrle interne dfini comme un processus mis en uvre par la direction, lescadres et le personnel dune entit, destin fournir une assurance raisonnable quant auxobjectifs suivants :

- Optimisation des processus et des activits dune entit afin de fournir un travailefficace un cot minimal, tout en limitant au maximum les erreurs et les risques,

- Fiabilit des informations,- Conformit aux lois et rglementations en vigueur.

Lanalyse des risques constitue un des points majeurs de tout dispositif de contrleinterne. En revanche, le contrle interne ne couvre par la dfinition de la stratgie de lentit,

la dtermination des objectifs, les dcisions de gestion, ou le suivi des performances, ce qui aincit les chercheurs prconiser une dmarche complte de management des risquesintgrant le dispositif de contrle interne.


4/60

~ 4 ~

Chapitre 1

LES CONCEPTS ESSENTIELS DU CONTRLE INTERNE

1. lments de dfinition du contrle interne :De nombreuses dfinitions ont t donnes au dispositif de Contrle Interne.Actuellement, le rfrentiel le plus rpandu est le document amricain publi en 1992 intitulInternal Control Integrated Framework, plus connu sous lappellation de COSO,acronyme de Committee of Sponsoring Organizations of the Treadway Commission.

Le contrle interne, tel que dfini par COSO est un processus intgr et dynamiquequi sadapte constamment aux changements auxquels une organisation est confronte, misen uvre par les responsables et le personnel dune organisation et destin traiter lesrisques et fournir une assurance raisonnable quant la ralisation, dans le cadre de la

mission de lorganisation, des objectifs gnraux suivants:- excution doprations ordonnes, thiques, conomiques, efficientes et efficaces;- respect des obligations de rendre compte;- conformit aux lois et rglementations en vigueur;- protection des ressources contre les pertes, les mauvais usages et les dommages.1.1.Un processus intgr et dynamique :

Le contrle interne nest pas un vnement isol ou une circonstance unique, mais unensemble dactions qui touchent toutes les activits dune organisation. Ces actions sontprsentes de manire continue dans toutes les oprations dune organisation. Elles sont

perceptibles tous les niveaux et inhrentes la faon dont lorganisation est gre.Le contrle interne ainsi dfini est, par consquent, diffrent de la description quen fontcertains observateurs, qui le peroivent comme une activit supplmentaire duneorganisation.Le systme de contrle interne fait partie intgrante des activits dune organisation et il estparticulirement efficace lorsquil est intgr dans linfrastructure et la culture delorganisation.Le contrle interne doit tre intgr et non superpos. Ce faisant, il devient une partieintgrante des processus de gestion de base en matire de planification, dexcution et de

vrification.1.2.Mis en uvre par les responsables et le personnel dune organisation :

Le contrle interne nexiste pas sans les personnes qui le font fonctionner. Il nat despersonnes qui composent lorganisation, au travers de ce quelles font et de ce quelles disent.En consquence, le fait que le contrle interne soit suivi deffets est tributaire des personnes.Elles doivent connatre leurs rles et leurs responsabilits ainsi que les limites de leur autorit.Quand on parle des personnes qui composent lorganisation, on vise la fois les responsableset les autres membres du personnel :

- Le management exerce en priorit un rle de supervision, il arrte aussi les objectifsde lorganisation et assume une responsabilit globale sur le systme de contrle interne.


5/60

~ 5 ~

Comme celui-ci contribue, de par les mcanismes quil suppose, une meilleurecomprhension des risques qui menacent la ralisation des objectifs de lorganisation,

- il appartient la direction de mettre en place les activits de contrle interne,dassurer leur suivi et de les valuer.

- La mise en uvre du contrle interne exige que les responsables donnent uneimpulsion dcisive et quils accomplissent un effort de communication intensif en directiondes autres membres du personnel.En ce sens, le contrle interne constitue un outil de management, directement orient vers laralisation des objectifs de lorganisation. Toutefois, la direction est un maillon importantdu contrle interne, mais non unique: ce sont tous les membres du personnel de lorganisationqui jouent un rle important dans sa concrtisation.

1.3.La ralisation des missions de lorganisation :Toute organisation vise prioritairement raliser sa mission (ses objectifs).

1.4.Traitement des risques :Quelle que soit la mission de lorganisation, sa ralisation entrane pour lorganisation

dtre confronte des risques. La tche du management est didentifier et matriser cesrisques afin de maximiser la probabilit de ralisation de la mission. Si le contrle internepeut aider traiter ces risques, lassurance quant la ralisation de la mission et desobjectifs gnraux ne pourra tre que raisonnable.

1.5.Fournir une assurance raisonnable :Un systme de contrle interne, bien conu et appliqu, ne peut offrir la direction

une assurance absolue quant la ralisation des objectifs gnraux. Seul un niveauraisonnable dassurance est atteignable.La notion dassurance raisonnable correspond un degr de confiance satisfaisant pour unniveau de cots, de bnfices et de risques donns.La dtermination de ce degr dassurance raisonnable est une affaire de jugement. Cetexercice suppose que les responsables identifient les risques inhrents leurs oprations,dfinissent les niveaux de risques acceptables en fonction de divers scnarios et valuent lerisque tant en termes qualitatifs que quantitatifs.Lassurance raisonnable reflte lide que lincertitude et le risque sont lis au futur, que nul

ne peut prdire avec certitude. La ralisation des objectifs peut en outre tre compromise dufait de facteurs extrieurs, qui chappent au contrle ou linfluence de lorganisation.Dautres limites peuvent tenir des facteurs ou vnements tels que: le jugement humainexerc pour prendre certaines dcisions peut tre dfaillant, des dysfonctionnementspeuvent survenir en raison de simples dfaillances ou derreurs, des contrles peuvent trecontourns la suite dune collusion entre deux ou plusieurs personnes, la direction peutpasser outre au systme de contrle interne.Outre ces facteurs dincertitude, lide dassurance raisonnable renvoie au fait que le cotdu contrle interne ne doit pas dpasser le bnfice qui en dcoule. Les dcisions prises pourgrer les risques et mettre en place des contrles doivent tenir compte des cots et bnfices

qui en dcoulent. Lvaluation de ce cot intgre la fois lvaluation financire des


6/60

~ 6 ~

ressources consommes pour la ralisation dun objectif spcifique et lvaluationconomique des cots dopportunit rsultant du retard pris dans les oprations, de la baissede la qualit des services ou de la productivit ou dune atteinte au moral des agents. Lebnfice se mesure quant lui par lvaluation de la proportion dans laquelle un risquedchec dans la ralisation dun objectif dclar se trouve rduit grce au contrle interne.Ainsi, on dit que le contrle interne produit un bnfice si la probabilit de dtecter lesfraudes, le gaspillage, les abus ou erreurs, de faire obstacle une activit inapproprie sentrouve accrue, ou si lexigence de respect de la rglementation est mieux assure.La conception de contrles internes qui offrent un bon rapport cot- bnfice tout en rduisantles risques un niveau acceptable implique que le management comprenne clairement lesobjectifs gnraux atteindre.

1.6.Ralisation des objectifs gnraux :Le contrle interne est conu en vue de la ralisation dune srie dobjectifs gnraux

distincts mais interdpendants. Ces objectifs gnraux sont raliss par le biais de nombreuxsous-objectifs, fonctions, processus et activits spcifiques. Ces objectifs sont :

- excution doprations ordonnes, thiques, conomiques, efficientes et efficaces;- respect des obligations de rendre compte;- conformit aux lois et rglementations en vigueur;- protection des actifs contre les pertes, les mauvais usages et les dommages.

1er objectif : Excution doprations ordonnes, thiques, conomiques, efficientes etefficaces :

Les oprations effectues par lorganisation doivent tre cohrentes par rapport sa

mission.- Ordonne: cest--dire dune manire bien organise et mthodique.- thique: a trait aux principes moraux. Un comportement thique et la prvention et la

dtection de la fraude et de la corruption dans le secteur public ont pris une acuit plus grandedepuis les annes quatre-vingt-dix. On attend gnralement du personnel quil servequitablement lintrt de lentit et gre correctement ses ressources.

- conomique : signifie ne pas tre inutile ou dispendieux. Cela implique lacquisitionen nombres justes des ressources, dune bonne qualit, fournis au moment et au lieu voulus etau moindre cot.

- Efficient: se rapporte la relation entre les ressources utilises et les extrants produitspour atteindre les objectifs fixs. Cela implique la minimisation des intrants employspour atteindre une quantit et une qualit donnes dextrants ou une maximisation desextrants avec une quantit et une qualit donnes dintrants.

- Efficace : se rapporte la ralisation des objectifs ou la mesure dans laquelle lesrsultats dune activit correspondent son objectif ou aux effets escompts de cette activit.

2meobjectif : Respect des obligations de rendre compteLe respect de ce principe passe par le dveloppement, le maintien et la mise

disposition dinformations, financires et non financires, fiables et pertinentes et au moyen


7/60

~ 7 ~

dune publication correcte de ces informations dans des rapports tablis en tempsopportun lintention de lensemble des parties prenantes (internes et externes).Les informations non financires peuvent avoir trait par exemple aux critres dconomie,defficience et defficacit des politiques et des oprations (informations relatives laperformance) ainsi quau contrle interne et son efficacit.La fiabilit dune information financire ne peut sobtenir que grce la mise en place deprocdures de contrle interne susceptibles de saisir fidlement toutes les oprations quelorganisation ralise. La qualit de ce dispositif de contrle interne peut tre recherche aumoyen :

- Dune sparation des tches : les tches denregistrement, les tches oprationnelles,les tches de conservation et les tches de contrle ;

- Dune description des fonctions permettant didentifier les origines des informationsproduites, et leurs destinataires ;

- Dun systme de contrle interne comptable permettant de sassurer que les oprationssont effectues conformment aux instructions gnrales et spcifiques, et quelles sontcomptabilises de manire produire une information financire conforme aux principescomptables gnralement admis.

3meobjectif : Conformit aux lois et rglementations en vigueurIl sagit des lois et rglements auxquels la socit est soumise. Les lois et les

rglements en vigueur fixent des normes de comportement que la socit intgre sesobjectifs de conformit. Compte tenu du grand nombre de domaines existants (droit dessocits, droit commercial, scurit, environnement, social), il est ncessaire que la socitdispose dune organisation lui permettant de :

- Connatre les diverses rgles qui lui sont applicables ;- tre en mesure dtre informe en temps utile des modifications qui leur sont

apportes (veille juridique) ;- Transcrire ces rgles dans ses procdures internes ;- Informer et former les collaborateurs des rgles qui les concernent.

4meobjectif : Protection des actifs contre les pertes, les mauvais usages et les dommagesdus au gaspillage, aux abus, la mauvaise gestion, aux erreurs, la fraude et auxirrgularits

Par actifs , on entend non seulement les actifs corporels mais aussi les actifsincorporels . Ces actifs peuvent disparatre la suite de vols, fraudes, improductivit,erreurs, dune mauvaise dcision de gestion ou dune faiblesse de contrle interne.

Des ressources tels que les informations, les documents probants et les picescomptables sont cruciales pour permettre la transparence et la reddition de comptes quant auxoprations et doivent de ce fait tre prserves. Elles risquent galement dtre voles,soumises un mauvais usage ou dtruites. Depuis larrive des systmes informatiques, laprotection de tels actifs et informations revt mme une importance de plus en plus grande.En labsence de mesures de protection appropries, les informations sensibles stockes sur

des supports informatiques peuvent tre dtruites ou copies, diffuses ou utilisesabusivement.


8/60

~ 8 ~

Il appartient chaque socit de mettre en place un dispositif de contrle interneadapt sa situation.

2. Les lments du contrle interne :Le COSO dcoupe les lments du contrle interne en 5 parties :

- environnement de contrle,- valuation des risques- activits de contrle,- information et communication- pilotage

Lenvironnement de contrle constitue le fondement de lensemble du systme decontrle interne. Il constitue la discipline et la structure aussi bien que le milieu qui influencela qualit globale du contrle interne. En retour, il influe largement la manire dont lastratgie et les objectifs sont dtermins et dont les activits de contrle sont structures.

Une fois que des objectifs clairs ont t fixs et quun environnement de contrle efficace at cr, il est ncessaire de procder une valuation des risques auxquels lorganisation estconfronte pour raliser sa mission et atteindre ses objectifs, afin de dfinir une rponseadapte ces risques.La principale stratgie pour minimiser les risques rside dans la mise en place dactivits decontrle interne. Ces activits de contrle peuvent tre orientes vers la prvention et/ou ladtection. Les mesures correctives constituent un complment ncessaire des activits decontrle interne en vue de la ralisation des objectifs. Le cot des activits de contrle et desmesures correctives doit avoir une contrepartie et crer de la valeur. Autrement dit, leur cot

ne doit pas dpasser le bnfice qui en dcoule (rapport cot/efficacit).Une information et une communication efficaces sont cruciales pour quune organisationpuisse mener et contrler ses oprations. Les responsables de lorganisation doivent avoiraccs, en temps opportun, une communication pertinente, exhaustive et fiableconcernant les vnements internes aussi bien quexternes. De manire gnrale,lorganisation a besoin dinformation tous les niveaux afin datteindre ses objectifs.Enfin, puisque le contrle interne est un processus dynamique qui doit tre adaptconstamment pour tenir compte des risques et des changements auxquels une organisation estconfronte, il est indispensable que le systme de contrle interne fasse lobjet dun suivipour garantir que le contrle interne reste en phase avec des objectifs, un environnement, desmoyens et des risques susceptibles davoir volu.Bien que ces composantes soient applicables toutes les socits, leur mise en uvre peuttre faite de faon diffrente selon la taille et le secteur dactivit des socits.

2.1.Environnement de contrle :Lenvironnement de contrle reflte la culture dune organisation. Il dtermine le

niveau de sensibilisation de son personnel au besoin de contrle. Il constitue le fondement detoutes les autres composantes du contrle interne, en fournissant une discipline et unestructure. Les facteurs constitutifs de lenvironnement sont :


9/60

~ 9 ~

Lintgrit et valeurs thiques des responsables et du personnel de la socit:Lintgrit personnelle et professionnelle et les valeurs thiques des responsables et dupersonnel dterminent leurs priorits et leurs jugements de valeur, et se traduisent par un codede conduite. Ces qualits doivent se concrtiser par une attitude dadhsion lgard du

contrle interne, en tout temps et dans lensemble de lorganisation. Toute personne activedans lorganisation (les responsables et le personnel) doit prouver son intgritpersonnelle etprofessionnelle, et de son respect dthique; tous doivent en permanence observer les codesde conduite en vigueur.

Le conseil dadministration : dtermine les orientations de lactivit de la socit etveille leur mise en uvre. Il se saisit de toute question intressant la bonne marche de lasocit. Il procde aux contrles et vrifications quil juge opportuns. En effet, il veille lasincrit de la comptabilit de la socit et des informations financires publies, et sassureque lentreprise est dote de dispositifs de contrle adquats, en particulier de dispositifs de

suivi des risques, de contrle financier et oprationnel, ainsi que dun processus desurveillance du droit en vigueur.

Le style de management (philosophie de management et style opratoire): reflte- lattitude dadhsion au contrle interne, lindpendance, la comptence et la volont

de montrer lexemple;- un code de conduite dfini par les responsables ainsi quune assistance et des

valuations de performance qui tiennent compte des objectifs du contrle interne et, enparticulier, de celui qui a pour finalit la ralisation doprations thiques.Ltat desprit dfini par la haute direction se reflte dans tous les aspects des actionsmenes par la direction. Lengagement, limplication et le soutien des hauts responsablespolitiques pour asseoir ce style de management favorisent une attitude positive et sontdterminants pour le maintien dune attitude constructive et dadhsion au contrle internedans lorganisation. Si la haute direction croit limportance du contrle interne, lesmembres de lorganisation y seront sensibiliss et ragiront en respectant consciencieusementles contrles tablis.

La structure de lorganisation: La mise en uvre dun dispositif de contrle interne doitreposer sur une organisation approprie qui fournit le cadre dans lequel les activits

ncessaires la ralisation des objectifs sont planifies, excutes, suivies et contrles.

Dfinition des pouvoirs et des responsabilits : La mise en uvre dun dispositif decontrle interne doit reposer sur des responsabilits et des pouvoirs clairement dfinis quidoivent tre accords aux personnes appropries en fonction des objectifs de la socit. Ilspeuvent tre formaliss et communiqus au moyen de descriptions de tches ou de fonctions,dorganigrammes hirarchiques et fonctionnels, de dlgations de pouvoirs et devraientrespecter le principe de sparation des tches.

Lengagement un niveau de comptence: se dfinit au regard du niveau deconnaissances et daptitudes ncessaires pour garantir la fois que les tches soient


10/60

~ 10 ~

accomplies de manire ordonne, thique, conomique, efficiente et efficace, et que lesresponsabilits individuelles lies au contrle interne soient bien comprises.Les responsables et le personnel doivent veiller garder un niveau de comptence qui leurpermette de comprendre, dlaborer, de mettre en uvre, et de maintenir un bon contrleinterne et de sacquitter de leurs tches en vue de raliser les objectifs gnraux du contrleinterne et la mission de lorganisation. Chacun, au sein dune organisation, participe aucontrle interne son niveau et dans les limites de ses responsabilits. Ils doivent, ds lors,entretenir et dmontrer un niveau de comptence pour valuer les risques et assurer un travailefficace et efficient, et faire preuve dune comprhension suffisante des contrles internes.

Les politiques et pratiques en matires de ressources humaines: La mise en uvre dundispositif de contrle interne doit reposer sur une politique de gestion des ressourceshumaines qui devrait permettre de recruter des personnes possdant les connaissances etcomptences ncessaires lexercice de leur responsabilit et latteinte des objectifs actuels

et futurs de la socit. En effet, les politiques et pratiques de gestion des ressources humainesenglobent le recrutement, la dotation en personnel, la gestion des carrires, la formation(formelle et professionnelle) et les tudes accomplies, les valuations et les conseils aupersonnel, les promotions et la rmunration, ainsi que les mesures correctives.Les dcisions en matire de recrutement et de dotation en personnel doivent donnerlassurance que le personnel possde lintgrit, la formation adquate et lexprience requisepour accomplir ses fonctions et que la formation formelle, professionnelle et thique estassure.La gestion des ressources humaines joue galement un rle essentiel dans la promotion dun

environnement thique en favorisant le professionnalisme et en faisant respecter les rgles detransparence au quotidien. Ceci doit tre particulirement visible en matire de recrutement,dvaluation du travail et des processus de promotion, qui doivent tre bass sur le mrite.Assurer la transparence des processus de slection par la publication des rgles de recrutementet des vacances demplois, contribue la mise en uvre dune gestion thique des ressourceshumaines.

2.2.Processus dvaluation des risques :En raison de lvolution permanente de lenvironnement (donnes politiques,

conomiques, industrielles, rglementaires et oprationnelles), les socits doivent mettre en

place des mthodes pour recenser, analyser et grer les risques dorigine interne ou externeauxquels elles peuvent tre confrontes et qui rduisent la probabilit datteinte des objectifs.Lvaluation des risques doit tre un processus continu et itratif. Cela implique didentifier etdanalyser les changements, les opportunits et les risques qui en dcoulent et de modifier lescontrles internes pour ladapter aux changements intervenus.En consquence, la dfinition des objectifs de lorganisation doit prcder lvaluation desrisques.La squence normale est donc la suivante : vient tout dabord ltape de dtermination desobjectifs qui permet ensuite aux responsables didentifier les risques qui sont susceptibles

davoir un impact sur leur ralisation et de prendre, dans un troisime temps, les mesuresncessaires la gestion de ces risques.


11/60

~ 11 ~

Cela implique un processus continu dvaluation des risques et de gestion de leur impact entenant compte du rapport cot/efficacit et laide dun personnel possdant des comptencespour identifier et apprcier les risques potentiels.Comme les activits de contrle interne constituent un moyen pour traiter les risques, ellessont conues pour contenir lincertitude des rsultats qui a t identifie.

Lvaluation des risques implique les lments suivants :a. Identification et recensement des risques pouvant avoir une incidence sur sa situation.Lapproche stratgique de lvaluation des risques repose sur une dmarche qui consiste identifier les risques au regard des objectifs cls de lorganisation. Les risques ainsi identifis(y compris les risques de fraude et de corruption) sont alors analyss et valus, et en rsultentun nombre restreint de risques majeurs.Lidentification des risques majeurs ne dtermine pas uniquement les priorits en termesdaffectation des ressources alloues lvaluation des risques, mais aussi la rpartition des

responsabilits en vue de la gestion de ces risques. Il est ncessaire de se doter doutilsappropris pour identifier les risques : mise en place dune analyse des risques etlautovaluation des risques.

Mise en place dune analyse des risques : Il sagit dune procdure du sommet labase (top-down). Une quipe est mise sur pied pour examiner lensemble des oprations etdes activits de lorganisation la lumire de ses objectifs et pour identifier les risques qui endcoulent. Lquipe mne une srie dentretiens avec les membres importants du personnel tous les niveaux de lorganisation afin de dresser un profil de risque pour toutes les activits etdidentifier ainsi les domaines, les activits et les fonctions stratgiques susceptibles dtre

particulirement vulnrables aux risques Autovaluation des risques : Il sagit dune approche de la base au sommet (bottom-

up). Chaque niveau et partie de lorganisation est invit revoir ses activits et faireremonter vers le haut son diagnostic des risques. Cette dmarche peut revtir la forme duneprocdure documentaire (avec un cadre de diagnostic tabli par le biais de questionnaires) ouvia une approche avec un groupe de travail.

b. Analyse des risques :Il convient pour ce faire de tenir compte de la probabilit doccurrence des risques et de leurgravit potentielle, ainsi que de lenvironnement et des mesures de matrise existantes. Ces

diffrents lments ne sont pas figs, ils sont pris en compte, dans un processus de gestion desrisques. La mthodologie de lanalyse des risques peut varier, surtout parce que de nombreuxrisques sont difficiles quantifier (par exemple, risques portant sur la rputation delorganisation), tandis que dautres se prtent facilement une analyse chiffre(particulirement les risques financiers). Lun des principaux buts de lvaluation des risquesconsiste attirer lattention de la direction sur les domaines de risque qui appellent desmesures et sur leur degr de priorit. A cet effet, il sera habituellement ncessaire dedvelopper un cadre pour classer lensemble des risques, par exemple, comme majeurs,courants ou de non-qualits.


12/60

~ 12 ~

c. valuation du degr daversion au risque de lorganisation :Lun des principaux dterminants de la stratgie de rponse aux risques rside dans le degrdaversion au risque de lorganisation.

Le degr daversionau risque dune organisation correspond au niveau de risque quelle estprte courir avant destimer quil est ncessaire dintervenir. Les dcisions de rponse aurisque doivent tre prises paralllement lidentification de ce degr de risque tolrable.Il est ncessaire de prendre en considration la fois les risques inhrents et rsiduelspour dterminer le degr daversion au risque. Le risque inhrent est celui auquel uneorganisation est confronte en labsence de toute action du management susceptibledinfluencer sa probabilit de survenance ou son impact. Le risque rsiduelest celui qui resteaprs que le management ait pris des mesures pour rpondre au risque.Le degr daversion au risque dune organisation dpendra de sa perception de limportancedes risques.

d. Mise au point des rponses aux risques :Les actions dcrites ci-dessus permettront de dresser un profil de risque pour lorganisation.Une fois celui-ci labor, lorganisation peut se mettre en devoir de dfinir les rponsesappropries. Les mesures de rponse au risque peuvent tre subdivises en quatre catgories(transfert, tolrance, traitement ou suppression). Dans certains cas, le risque peut tre transfrou tolr, ou ncessiter de mettre un terme une activit. Nanmoins, dans la plupart des cas,le risque devra tre trait et lorganisation devra mettre en uvre et maintenir un systme decontrle interne efficace afin de le maintenir un niveau acceptable.La meilleure rponse certains risques peut consister les transfrer. Ce transfert peut revtirla forme dune assurance conventionnelle, ce qui revient rmunrer un tiers pour quilassume le risque autrement, ou par le biais de clauses contractuelles.La capacit remdier certains risques peut tre limite ou le cot dune action quelconquedisproportionn par rapport au bnfice potentiel retir. La solution peut tre la tolrance deces risques.Le traitement na pas ncessairement pour objectif dliminer totalement le risque, mais pluttde le matriser. Les procdures mises en place par une organisation en vue de grer le risquesont appeles activits de contrle interne. Lvaluation des risques joue un rle crucial dansla slection des activits de contrle appropries entreprendre.Mme si lassurance fournie par le systme de contrle interne nest que raisonnable, les

organisations qui identifient et matrisent activement leurs risques sont mieux prpares ragir rapidement en cas de problme et faire face aux changements.Dans le cadre de llaboration dun systme de contrle interne, il est important de veiller ceque lactivit de contrle mise en place soit proportionne au risque. Elle est cense limiter lespertes un niveau jug acceptable au regard de laversion au risque de lorganisation.Lenvironnement en matire de risque change continuellement et la hirarchie des objectifs etle poids corrlatif des risques voluent galement. Cest pourquoi il est fondamental quelvaluation des risques suive un processus itratif et continu de manire dtecter leschangements (cycle dvaluation des risques) et prendre des mesures correctrices

ncessaires. Les profils de risques et les contrles y affrents doivent tre rviss etrexamins rgulirement pour sassurer que le profil de risque reste pertinent, que les


13/60

~ 13 ~

rponses aux risques restent adquatement cibles et proportionnes, et que les contrles quivisent attnuer les risques restent efficaces quand les risques eux-mmes voluent dans letemps.

2.3.Activits de contrle :Les activits de contrle correspondent lensemble des politiques et des procdures

mises en place pour matriser les risques et raliser les objectifs de lorganisation.Pour tre efficaces, les activits de contrle doivent :

- tre appropries (cest--dire le bon contrle, au bon endroit et dans une justeproportion par rapport au risque encouru);

- fonctionner de manire cohrente, conformment aux plans, tout au long de la priode(cest--dire quelles doivent tre respectes par tous les agents concerns et quelles nedoivent pas tre violes quand les principaux responsables sont absents ou la charge de travailest leve) ;

- respecter un quilibre entre cots et bnfices (cest--dire que le cot de mise enuvre du contrle ne doit pas dpasser les bnfices qui en sont tirs) ;

- tre exhaustives, raisonnables et directement lies aux objectifs du contrle.Les activits de contrle peuvent tre dclines en plusieurs catgories :

- Contrle dtectif / contrle prventif,- Contrle informatique / contrle manuel,- Contrle hirarchique.

a. Politiques et pratiques de contrle interne :Les activits de contrle sont prsentes travers toute lorganisation, tous les

niveaux et dans toutes les fonctions. Elles comprennent: Des procdures dautorisation et dapprobation : Les transactions et autres

vnements ne peuvent tre respectivement autoriss et excuts que par les personnes qui ysont spcialement habilites. Lautorisation constitue le principal moyen de garantir que seulsont lieu des transactions et des vnements valides, conformes aux intentions de la direction.Les procdures dautorisation, qui doivent tre documentes et clairement communiquesaux responsables et aux agents, doivent prvoir les conditions et les termes respecter pourque lautorisation soit accorde.

La sparation des fonctions (autorisation, traitement, enregistrement, vrification) :En vue de rduire les risques derreurs, de gaspillage ou dactes illgaux ainsi que le risquede ne pas dtecter ces problmes, aucun individu ou quipe ne doit pouvoir contrler toutesles tapes cls dune transaction ou dun vnement. Il faut au contraire veiller ce que lesfonctions et les responsabilits soient systmatiquement rparties entre plusieurs personnesafin de garantir lefficacit des contrles et lexistence dun quilibre des pouvoirs.Parmi ces fonctions cls : lautorisation et lenregistrement des transactions, leur traitement,et lanalyse ou le contrle des mmes transactions.

Les contrles portant sur laccs aux ressources et aux documents : La restriction delaccs aux ressources quelques personnes rduit le risque dutilisation non autorise et laperte et contribue mettre en uvre les lignes directrices de la direction. Le degr ncessaire


14/60

~ 14 ~

de restriction dpend de la vulnrabilit de la ressource protger et le niveau peru durisque de perte ou dusage impropre, qui doivent tre tous deux priodiquement valus.

Les vrifications : Les transactions et les vnements importants doivent tre vrifisavant et aprs leur traitement.

Par exemple, lorsque des biens sont livrs, le nombre fourni doit tre compar au nombrecommand. Par la suite, le nombre de biens facturs est compar au nombre effectivementreu. Le stock peut aussi tre contrl au moyen de sondages.

Les rconciliations : Les enregistrements sont compars rgulirement auxdocuments appropris. Par exemple, les pices comptables relatives aux comptes en banquesont compares aux relevs bancaires correspondants.

Les analyses de performance oprationnelle : La performance oprationnelle estanalyse rgulirement sur la base dun ensemble de normes permettant de mesurer

lefficacit et lefficience.

Les analyses doprations, de processus et dactivits : Les oprations, les processuset les activits doivent tre priodiquement analyss pour sassurer quils sont en accord avecles rglementations, politiques, procdures et autres exigences actuelles.

La supervision (affectation, analyse et approbation, directives et formation) : Laralisation des objectifs du contrle interne suppose que les superviseurs soient qualifis.Pour confier un travail un agent, le vrifier et lapprouver, il est ncessaire de:

- communiquer clairement chaque membre du personnel les fonctions, lesresponsabilits et les obligations de rendre compte qui lui sont assigns;

- vrifier systmatiquement le travail de chaque membre du personnel;- approuver le travail des moments cls pour sassurer quil se droule comme prvu.

Le fait quun superviseur dlgue une partie de ses missions ; ne lexonre pas de sesresponsabilits et devoirs.Les superviseurs donnent leurs agents les directives et la formation ncessaires pour rduireles erreurs, le gaspillage et les actes illgaux et pour veiller ce que les instructions de ladirection soient bien comprises et appliques.

b. Activits de contrle relatives la technologie de linformation :Les systmes dinformation impliquent certaines activits de contrle spcifiques. Ils

se rpartissent en deux grandes catgories:

Des contrles globaux : Ces contrles sont constitus la fois par la structure et parles politiques et procdures applicables lensemble ou un segment important des systmesdinformation dune organisation (les serveurs, les mini-ordinateurs, le rseau, etlarchitecture client-serveur) et qui contribuent assurer leur fonctionnement correct. Ilscrent lenvironnement dans lequel les systmes applicatifs et les contrles fonctionnent.

Les principales catgories de contrles globaux sont:

- La planification et la gestion du programme de scurit lchelle de lorganisation:fournissent un cadre et un cycle permanent dactivit pour la gestion des risques, le


15/60

~ 15 ~

dveloppement de politiques de scurit, lattribution de responsabilits, et la vrification deladquation des contrles informatiss de lorganisation.

- Les contrles daccs- Les contrles du dveloppement, de la maintenance et de la modification des

applications- Le contrle des logiciels dexploitation: limitent et surveillent laccs aux

programmes puissants et aux fichiers sensibles qui contrlent le matriel informatique et,scurisent les applications utilises dans le systme.

- La sparation des fonctions- Les contrles de la continuit du service : garantissent quen cas de survenance dun

vnement inattendu, les oprations de base seront poursuivies sans interruption ou serontreprises promptement, et que les donnes critiques et vulnrables seront protges.

Des contrles applicatifs (spcifiques aux applications) : sont constitus par lastructure, les politiques et les procdures lies des systmes dapplication individuelsdistincts (le traitement des dettes fournisseurs, du stock, la gestion des salaires, lesprocdures de subventions ou de prts) et sont conus pour couvrir le traitement des donnesdans le cadre dapplications informatiques spcifiques.Ces contrles sont gnralement conus pour prvenir, dtecter et corriger les erreurs et lesirrgularits affectant les flux des donnes qui transitent par les systmes dinformation.

Les contrles applicatifs et la manire dont les informations transitent par lessystmes dinformation peuvent tre rpartis en trois phases dun cycle de traitement :

- Intrant: les donnes introduites sont autorises puis converties dans un formatautomatis et introduites dans lapplication de manire correcte, exhaustive et en temps voulu.

- Traitement: les donnes sont traites de manire adquate par lordinateur et lesfichiers sont correctement mis jour.

- Extrant: les fichiers et les rapports gnrs par lapplication concernent destransactions ou des vnements qui ont effectivement eu lieu et donnent une image fidle desrsultats du traitement; les rapports sont contrls et distribus aux utilisateurs habilits.

Les contrles applicatifs peuvent galement tre regroups en fonction des typesdobjectifs de contrle auxquels ils se rapportent, tels que lautorisation, lexhaustivit,

lexactitude et la validit des transactions et des informations :- Les contrles de lautorisationconcernent la validit des transactions et contribuent garantir quelles correspondent des vnements qui ont effectivement eu lieu au cours dunepriode donne.

- Les contrles de lexhaustivit ont trait la question de savoir si les transactionsvalides sont toutes enregistres et correctement classes.

- Les contrles de lexactitudeconsistent vrifier si les transactions sont enregistrescorrectement et si tous les lments dinformation sont exacts.

- Les contrles applicatifscomportent la fois des techniques de contrle programmes,telles que ldition automatise de rapports, et le suivi manuels dextrants gnrs par


16/60

~ 16 ~

lordinateur comme lanalyse de rapports identifiant des informations rejetes ouinhabituelles.

Les contrles globaux et applicatifs sont interdpendants et les deux sont ncessairespour assurer un traitement exhaustif et correct des donnes. Ces contrles doivent sadapter

aux nouvelles technologies de linformation.

Lutilisation des systmes automatiss pour traiter linformation induit de nouveauxrisques que lorganisation doit prendre en compte. Ces risques sont lis, notamment :

- au traitement uniforme des transactions,- au dclenchement automatis de certaines transactions par les systmes dinformation,- la probabilit accrue de survenance derreurs non dtectes,- au degr de traabilit des oprations,- la nature du matriel et des logiciels utiliss et-

aux modalits denregistrement des transactions inhabituelles ou qui ne suivent pas lesroutines informatiques habituelles.

Lefficacit des contrles globaux est dterminante pour lefficacit des contrlesapplicatifs. La faiblesse des contrles globaux a pour effet de rduire svrement la fiabilitdes contrles lis aux applications individuelles.

2.4.Information et Communication :Linformation doit tre pertinente, prcise, exacte, en temps voulu et diffuse au bon

destinataire. Sa circulation doit tre multidirectionnelle (descendante, ascendante, et

transversale), et intgrer les informations externes.La communication efficace et claire est loutil indispensable pour la transmission delinformation (les directives de la Direction Gnrale).

a. Information :La premire condition pour lobtention dune information susceptible dtre juge

fiable et pertinente rside dans lenregistrement rapide et le classement convenable destransactions et des vnements.

Linformation pertinente doit tre identifie, recueillie et communique sous uneforme et dans des dlais qui permettent au personnel de procder aux activits de contrle

interne dont il a la charge et dassumer ses autres responsabilits (transmettre la bonneinformation au bon moment aux bonnes personnes).

Les systmes dinformation produisent des rapports contenant des informationsoprationnelles, financires et non financires, ainsi que des informations lies au respect desobligations lgales et rglementaires qui permettent de grer et de contrler les activits.Ils traitent non seulement les donnes produites en interne, mais galement linformation lieaux vnements externes, aux activits et aux conditions ncessaires la prise de dcisions et ltablissement de rapports.

La capacit des responsables prendre les dcisions appropries est conditionne par

la qualit de linformation; il sagit donc quelle soit adquate, disponible en temps opportun, jour, exacte et accessible.


17/60

~ 17 ~

En vue de garantir la qualit de linformation et des rapports, de sacquitter desactivits de contrle interne et des responsabilits et daccrotre lefficacit et lefficience dusuivi, le systme de contrle interne en tant que tel et lensemble des transactions et desvnements importants doivent faire lobjet dune documentation exhaustive et claire (parexemple, par le biais dorganigrammes et de descriptifs). La documentation existante devrapouvoir tre consulte tout moment.La documentation du systme de contrle interne doit comprendre lidentification de lastructure et des politiques dune organisation et de ses catgories doprations, ainsi que sesobjectifs et procdures de contrle. Toute organisation doit disposer de documents critsreprenant les composantes du processus de contrle interne, notamment ses objectifs et sesactivits de contrle. Lampleur de la documentation relative au contrle interne duneorganisation varie en fonction de la taille de lorganisation, de sa complexit, de la naturedactivit, de limportance de loutil informatique

b. Communication :Une communication efficace doit circuler de manire ascendante, transversale et

descendante dans lorganisation, dans toutes ses composantes et dans lensemble de sastructure.Les plus hauts responsables de lorganisation doivent transmettre un message clair tous lesmembres du personnel sur limportance des responsabilits de chacun en matire de contrleinterne. Tous doivent comprendre le rle quils sont appels jouer dans le systme decontrle interne, ainsi que la manire dont leurs propres activits sarticulent avec celles desautres membres du personnel.La ncessit dune communication efficace sentend galement des relations avec lextrieurde lorganisation.En se basant sur les donnes provenant de la communication la fois interne et externe, lemanagement doit prendre les actions ncessaires et entreprendre temps des oprations desuivi.

2.5.Pilotage ou Suivi des contrles :Le systme de pilotage permet de valider que le contrle interne est efficace. Il doit

intgrer le traitement des faiblesses du systme de contrle interne dtectes dans le but derenforcer latteinte des objectifs.

Comme tout systme, le dispositif de contrle interne doit faire lobjet dune surveillancepermanente. Il sagit de vrifier sa pertinence et son adquation aux objectifs de la socit.Mise en uvre par le management sous le pilotage de la direction gnrale ou du directoire,cette surveillance prend en compte lanalyse des principaux incidents constats, le rsultat descontrles raliss ainsi que des travaux effectus par laudit interne.Cette surveillance sappuie sur les remarques formules par les commissaires aux comptes etpar les ventuelles instances rglementaires de supervision.Le suivi des contrles est exerc au travers de contrles continus, dvaluations ponctuellesou dune combinaison des deux.


18/60


19/60

~ 19 ~

En gnral, la combinaison du suivi permanent et des valuations ponctuelles permetdassurer que le systme de contrle interne conserve son efficacit dans le temps.Toutes les faiblesses dceles dans le cadre du suivi permanent ou la suite dvaluationsponctuelles doivent tre signales aux personnes habilites prendre les mesures ncessaires.Les faiblesses peuvent correspondre :

- une carence perue, potentielle ou avre,- une opportunit de renforcer le contrle interne afin daccrotre la probabilit

datteindre les objectifs gnraux de lorganisation.

Il est crucial de communiquer les informations ncessaires relatives aux faiblesses ducontrle interne aux personnes concernes. Dans cette perspective, il est ncessaire dtablirdes rgles dfinissant quelles sont les informations ncessaires un niveau donn pourpermettre la prise de dcisions. De telles rgles sont fondes sur le principe gnral quunresponsable doit tre au courant de ce qui a une incidence sur les actions ou le comportement

des personnes places sous sa responsabilit, de mme quil doit tre en possession de touteinformation lie la ralisation de ses objectifs spcifiques.Les informations produites par lorganisation dans le cadre de ses activits circulentgnralement le long des circuits habituels de communication, et parviennent donc au moins

jusqu la personne responsable de la fonction concerne et son suprieur hirarchiquedirect. Toutefois, des voies de communication alternatives doivent tre prvues pourpermettre la transmission des informations sensibles, telles que celles qui portent sur desagissements incorrects ou illgaux.

Les responsables doivent :

- valuer rapidement les conclusions des audits, les autres personnes mandates pourvaluer les activits de contrle interne, et des autres formes dvaluation, diagnostiquer lesfaiblesses et les recommandations,

- dterminer les mesures appropries prendre pour donner suite aux conclusions et auxrecommandations et,

- prendre, dans des dlais prdfinis, toutes les mesures visant corriger les dfautsports leur attention ou rsoudre les problmes qui en dcoulaient.

Le processus de rsolution commence ds que les rsultats daudit ou de toute autre

analyse sont communiqus la direction et ne sachve quaprs ladoption dune mesurequi :- porte remde aux faiblesses identifies,- apporte des amliorations ou- dmontre que les conclusions et les recommandations de lvaluation ne justifient pas

que la direction prenne des mesures.


20/60

~ 20 ~

3. Le dispositif de management des risques :Lincertitude est une donne intrinsque la vie de toute organisation. Ainsi, lun des

principaux dfis pour la direction est la dtermination dun degr dincertitude acceptable afindoptimiser la cration de valeur. Lobjectif de cration de valeur est considr comme

postulat de base dans le concept deManagementdes Risques.Lincertitude est source de risques et dopportunits, susceptibles de crer ou dedtruire de la valeur. Le management des risques offre la possibilit dapporter une rponseefficace aux risques et aux opportunits associes aux incertitudes auxquelles lorganisationfait face, renforant ainsi la capacit de cration de valeur de lorganisation.

La valeur de lorganisation est maximise :- lorsque la direction labore une stratgie et fixe des objectifs afin de parvenir un

quilibre optimal entre les objectifs de croissance et de rendement et les risques associs, et- lorsquelle dploie les ressources adaptes permettant datteindre ces objectifs.3.1.Dfinition du Management des Risques :

Le COSO a dfinit le Management des Risques comme: un processus mis enuvre par le conseil dadministration, la direction gnrale, le management et lensemble descollaborateurs de lorganisation. Il est pris en compte dans llaboration de la stratgie ainsique dans toutes les activits de lorganisation. Il est conu pour identifier les vnements

potentiels susceptibles daffecter lorganisation et pour grer les risques dans les limites deson apptence pour le risque. Il vise fournir une assurance raisonnable quant latteintedes objectifs de lorganisation .Cette dfinition reflte certains concepts fondamentaux. Le dispositif de management desrisques :

- est un processus permanent qui irrigue toute lorganisation,- est mis en uvre par lensemble des collaborateurs, tous les niveaux de

lorganisation,- est pris en compte dans llaboration de la stratgie,- est mis en uvre chaque niveau et dans chaque unit de lorganisation et permet

dobtenir une vision globale de son exposition aux risques,- est destin identifier les vnements potentiels susceptibles daffecter lorganisation,

et grer les risques dans le cadre de lapptence pour le risque,

- donne la direction et au conseil dadministration une assurance raisonnable (quant la ralisation des objectifs),

- est orient vers latteinte dobjectifs appartenant une ou plusieurs catgoriesindpendantes mais susceptibles de se recouper.

3.2.Fixation des objectifs :Dans le cadre de la mission de lorganisation ainsi que de sa vision, la direction

dtermine des objectifs stratgiques, conoit une stratgie et dcline les objectifs qui endcoulent tous les niveaux de lentit.

Do quatre catgories dobjectifs :


21/60

~ 21 ~

- Objectifs stratgiques: refltent le choix de la direction dans le cadre de son effort decration de valeur. Lorganisation dtermine ses objectifs stratgiques qui dcoulent de sonobjet et de sa mission, puis elle identifie un ventail de choix stratgiques pour les atteindre,identifie les risques associs et prend en considration leurs implications, pour enfinslectionner la stratgie la plus approprie.

- Objectifs oprationnelsvisant lutilisation efficace et efficiente des ressources.- Objectifs de Reportinglis la fiabilit des informations prsentes.- Objectifs de conformitaux lois et aux rglementations en vigueur.3.3.lments du dispositif de management des risques :

Le dispositif de management des risques comprend 8lments. Ces lments rsultentde la faon dont lorganisation est gre et sont intgrs au processus de management.

- Environnement interne: englobe la culture et lesprit de lorganisation. Il structure lafaon dont les risques sont apprhends et pris en compte par lensemble des collaborateurs

de lentit, et plus particulirement la conception du management et son apptence pour lerisque, lintgrit et les valeurs thiques, et lenvironnement dans lequel lorganisation opre ;

- Fixation des objectifs : les objectifs doivent tre pralablement dfinis pour que lemanagement puisse identifier les vnements potentiels susceptibles den affecter laralisation. Le management des risques permet de sassurer que la direction a mis en place unprocessus de fixation des objectifs et que ces objectifs sont en ligne avec la mission de lentitainsi quavec son apptence pour le risque.

- Identification des vnements: Les vnements internes et externes susceptiblesdaffecter latteinte des objectifs dune organisation doivent tre identifis en faisant ladistinction entre risques et opportunits. Les opportunits sont prises en compte lors dellaboration de la stratgie ou au cours du processus de fixation des objectifs.

- valuation des risques: Les risques sont analyss, tant en fonction de leur probabilitque de leur impact, cette analyse servant de base pour dterminer la faon dont ils doivent tregrs. Les risques inhrents et les risques rsiduels sont valus.

- Traitement des risques: Le management dfinit des solutions permettant de faire faceaux risques (vitement, acception, rduction ou partage). Pour ce faire le management laboreun ensemble de mesures permettant de mettre en adquation le niveau des risques avec leseuil de tolrance et lapptence pour le risque de lorganisation.

- Activits de contrle : Des politiques et procdures sont dfinies et dployes afin deveiller la mise en place et lapplication effective des mesures de traitement des risques.

- Information et communication: Les informations utiles sont identifies, collectes, etcommuniques sous un format et dans des dlais permettant aux collaborateurs dexercerleurs responsabilits. Plus globalement, la communication doit circuler verticalement ettransversalement au sein de lorganisation de faon efficace.

- Pilotage : Le processus de management des risques est pilot dans sa globalit etmodifi en fonction des besoins. Le pilotage seffectue au travers des activits permanentes demanagement ou par le biais dvaluations indpendantes ou encore par une combinaison deces deux modalits.


22/60

~ 22 ~

Le management des risques nest pas un processus squentiel dans lequel un lmentaffecte uniquement le suivant. Cest un processus multidirectionnel et itratif par lequelnimporte quel lment a une influence immdiate et directe sur les autres.

4. Liens entre le contrle interne et le management des risques :Le dispositif de management des risques englobe la notion de contrle interne au sens

o le contrle interne fait partie intgrante du management des risques, sauf que ce dernierprsente une notion plus large et plus solide en matire de traitement des risques.De ce fait, le contrle interne doit tre mis en application en cohrence avec :

- les objectifs dcoulant de la stratgie,- lapptence au risque,- le profil des risques.4.1.Gestion des risques, contrle interne et stratgie :

La dtermination de la stratgie oriente le management des risques et la conceptiondes contrles appropris. En effet, chaque choix stratgique engendre un ensemble de risquesou opportunits qui sont traits de manires diffrentes par le mangement des risques.Les choix stratgiques procurent aussi un ensemble dobjectifs associs, qui seront soutenuspar les contrles internes, conus pour garantir une assurance raisonnable quant leur atteinte.Pour choisir les contrles pertinents et adquats le management doit sassurer que le rapportcot / avantage est favorable.Le management des risques et le contrle interne eux-mmes soutiennent et faonnent lastratgie. En effet, ils permettent de saisir lensemble des opportunits, menaces et intgrentdes facteurs de contingence qui psent sur lorganisation et qui pourraient affecter lapertinence des choix stratgiques.De plus, le dispositif de management des risques soumet les hypothses, objectifs et plans delorganisation des critiques et remises en cause continuelles. Ceci permet de sassurer de lapertinence de la stratgie, et sa validit au fil du temps.Lautre avantage du dispositif de management des risques consiste la surveillancestratgique qui consiste anticiper les vnements susceptibles de conduire une crise etdenvisager les rponses appropries qui devraient, le cas chant, tre apportes le plusrapidement possible.

4.2.Lapptence au risque dtermine le niveau de contrle appropri :Le choix stratgique prend en considration le degr dapptence de lorganisationpour le risque, lequel est tay par le dispositif de management des risques.Dans la phase du choix stratgique, le management dfini lapptence de lorganisation pourle risque et fixe le seuil de tolrance, lesquels serviront de repre pour la dtermination desobjectifs associs et leur mise en application et surtout pour affecter de manire optimale lesressources entre les diffrentes units.Le contrle interne assure la ralisation de ces objectifs associs (oprationnels, Reporting etde conformit) affects par lapptence de lorganisation pour le risque.Aussi, lapptence au risque dtermine lampleur et les outils de contrle qui permettentdaider lentit raliser les objectifs et traiter les risques jusqu les rduire un niveau


23/60

~ 23 ~

acceptable. Ceci dit, si le risque se situe dans la fourchette de tolrance aucune mesurecorrective de contrle interne coteuse ne sera justifie.

4.3.Lanalyse des risques dtermine les contrles internes pertinents :La nature des risques, leurs impacts ainsi que leurs probabilits doccurrence

dterminent les modles de contrle interne mettre en place.Pour cela le management recourt lanalyse des risques servant dfinir le profil du risque.Ce profil classe les risques identifis et met en vidence leurs importances relatives, puis ildcrit les principaux moyens de les matriser. Le contrle interne sera dtermin la lumiredu profil des risques. Cest ainsi quun niveau lev de risque, qui se manifeste par une forteprobabilit doccurrence ou un impact accablant ncessitera un contrle interne rigoureux etexhaustif, alors quun profil maigre du risque ne demandera que de simples procdures decontrles routiniers.

5. Les acteurs et les bnficiaires du contrle interne :5.1.Les acteurs du contrle interne :

Le contrle interne est laffaire de tous, des organes de gouvernance lensemble descollaborateurs de la socit.En effet, chacun, au sein dune organisation, a une part de responsabilit dans le contrleinterne, mais le directeur gnral en est le propritaire et en assume la responsabilit.Les autres managers soutiennent la culture en matire de management des risques, ils uvrentpour sa mise en conformit avec lapptence pour le risque et grent les risques au sein de leurprimtre de responsabilit dans les limites de la tolrance au risque.

Le risk manager , le directeur financier, lauditeur interne et dautres intervenants,assument habituellement des responsabilits fondamentales de support en matire demanagement des risques.Les autres collaborateurs de lorganisation sont responsables du dispositif de management desrisques conformment aux protocoles existants.Le conseil dadministration exerce une activit de surveillance sur le dispositif demanagement des risques, il a connaissance et valide lapptence pour le risque delorganisation.Certains tiers, tels que les clients, les fournisseurs, les partenaires commerciaux, les auditeurs

externes, les rgulateurs et les analystes financiers fournissent frquemment des informationsutiles au dispositif de management des risques, mais ils ne sont pas responsables de sonefficacit et ne participent pas sa mise en uvre.

5.1.1. Le managementLe Management peut inclure le conseil dadministration et le comit daudit.

Il est directement responsable de lensemble des activits de lorganisation, ce qui inclut laconception, la mise en uvre, le fonctionnement adquat, le maintien et la documentation dusystme de contrle interne.


24/60

~ 24 ~

a. Le conseil dadministration :Le niveau dimplication du conseil dadministration ou de surveillance dans le

dispositif de contrle interne varie dune socit lautre.Il appartient la direction gnrale ou au directoire de rendre compte au conseil

dadministration (ou son comit daudit lorsquil existe) des caractristiques essentielles dudispositif de contrle interne. Le conseil dadministration peut faire usage de ses pouvoirsgnraux pour faire procder par la suite aux contrles et vrifications quil juge opportuns ouprendre toute autre initiative quil estime approprie en la matire.

En effet, le conseil dadministration joue un rle de plus en plus actif dans le riskmanagement . Cest lui que revient la tche didentifier les risques importants lis laralisation des objectifs, et mettre en place un systme de contrle interne fiable pour vitercertains risques et grer efficacement les autres. En effet, dans une conomie de marchconcurrentiel, une socit ne peut pas rduire ses activits qua celle ne prsentant aucunrisque, car elle sexposerait ce faisant passer ct de rendements levs. Le conseil

dadministration peut donc tre amen conclure, aprs analyse, que la socit a intrt saisir certaines opportunits, et donc prendre plus de risques, pour atteindre ses buts longterme. Mais, tout cela exige des membres du conseil dadministration une vision prcise desobjectifs de la socit, de son activit prsente ainsi que de ses buts stratgiques long terme.Cest donc le conseil dadministration qui :

- dtermine le profil de risque de la socit , c'est--dire son positionnement sur sonmarch se traduisant par un niveau de risques connu et accept. cest lui qui

- dcide des risques inacceptables et acceptables. ensuite, il- pilote et surveille le dispositif de contrle interne et notamment certains risques,- choisit le personnel de direction, lui fixe les objectifs stratgiques,- prend connaissance des travaux du comit daudit et des auditeurs et veille leur

indpendance vis--vis de lorganisation.

b. Le comit daudit :Le comit daudit doit effectuer une surveillance attentive et rgulire du systme de

contrle interne. Il est charg de :- superviser le systme de contrle interne,- assurer lindpendance des auditeurs vis--vis du management,- approuver la politique daudit interne,- approuver le programme daudit interne pluriannuel,- examiner la qualit du contrle interne,- choisir les auditeurs externes,- approuver leur programme.

Pour exercer ses responsabilits en toute connaissance de cause, le comit daudit peutentendre le responsable de laudit interne, donner son avis sur lorganisation de son service ettre inform de son travail. Il doit tre en consquence destinataire des rapports dauditinterne ou dune synthse priodique de ces rapports.


25/60

~ 25 ~

c. La direction gnrale / le directoire :La direction gnrale ou le directoire sont chargs de dfinir, dimpulser et de

surveiller le dispositif le mieux adapt la situation et lactivit de la socit. Dans ce cadre,ils se tiennent rgulirement informs des dysfonctionnements, des insuffisances et desdifficults dapplication, voire des excs du systme de contrle interne et veillent lengagement des actions correctives ncessaires.

5.1.2. Les auditeurs internesLe service daudit interne a la responsabilit dvaluer le fonctionnement du dispositif

de contrle interne et de faire toutes prconisations pour amliorer. Il sensibilise et formehabituellement lencadrement au contrle interne mais nest pas directement impliqu dans lamise en place et la mise en uvre quotidienne du dispositif.

Le responsable de laudit interne rend compte la direction gnrale et, selon desmodalits dtermines par chaque socit aux organes sociaux, des principaux rsultats de la

surveillance exerce.En effet, les auditeurs internes fournissent de manire rgulire de linformation sur lefonctionnement du contrle interne en accordant une attention particulire sur lvaluation dela conception et des oprations du contrle interne. Ils communiquent de linformation sur lesforces et les faiblesses du contrle interne et formulent des recommandations en vue de sonamlioration. Leur indpendance et leur objectivit doivent tre garanties, de manire fournir lorganisation une assurance sur le degr de matrise de ses oprations, lui apporteses conseils pour les amliorer, et contribue crer de la valeur ajoute.Il laide atteindre ses objectifs en valuant, par une approche systmatique et mthodique,ses processus de management des risques, de contrle et de gouvernement dentreprise et enfaisant des propositions pour renforcer leur efficacit.

Pour que la fonction daudit interne soit efficace, il est essentiel que lquipe dauditinterne soit indpendante de la direction, travaille de manire impartiale, correcte et honnteet quelle rende compte directement au niveau hirarchique le plus lev de lorganisation. Dela sorte, les auditeurs internes peuvent prsenter des avis impartiaux sur lvaluation dusystme de contrle interne et prsenter objectivement des propositions visant corriger lesdfauts quils auront dcouverts.

Outre son rle de suivi des contrles internes dune organisation, laudit interne peut

contribuer lefficience des activits daudit externe en apportant une assistance directe lauditeur externe. La nature, ltendue ou la dure des procdures daudit externe peuventdpendre du degr de collaboration entre lauditeur externe et lauditeur interne.

Donc, les auditeurs internes :- aident le management oprationnel remplir ses responsabilits,- interviennent priodiquement,- examinent et valuent le caractre suffisant et lefficacit du contrle interne,- recommandent des amliorations.

Ils contribuent donc lefficacit du systme de contrle interne bien quils ne soient pas lespremiers responsables de sa mise en place ni de son maintien.


26/60


27/60

~ 27 ~

Les auditeurs externes jouent un rle important en contribuant la ralisation desobjectifs du contrle interne, en particulier en ce qui concerne le respect des obligations derendre compte et la protection des ressources. Les audits externes des rapports et informationsfinancires font partie intgrante de lobligation de rendre compte et de la bonne gouvernance.Les audits externes constituent encore un mcanisme de base que les parties prenantesexternes utilisent pour suivre la performance, ct des informations non financires.

b. Le pouvoir lgislatif :La contribution du pouvoir lgislatif et rglementaire au contrle interne peut

contribuer favoriser une comprhension commune de la dfinition du contrle interne et desobjectifs atteindre. Ils peuvent aussi dicter les politiques auxquelles les acteurs internes etexternes sont tenus de se conformer dans lexercice de leurs rles et responsabilits respectifsen matire de contrle interne.

5.2.Les bnficiaires du dispositif du contrle interne :Le dispositif du contrle interne efficace doit satisfaire un grand nombre de

bnficiaires internes et externes lentreprise :- Les clients attendent des produits et services conformes au cahier de charge de ce

quils ont achet ou qui leur est d.- Les actionnairesattendent une certaine prennit de leurs investissements et donc une

valorisation du titre de lentreprise.- Les administrateurs et socitaires attendent un niveau de qualit de linformation,

notamment comptable, leur permettant la prise des dcisions stratgiques qui relvent de leurresponsabilit.

- La direction gnraleattend une qualit dinformation qui rend possible les dcisionsde pilotage appropries et vite toute poursuite pnale.

- Lencadrement et les agents de matrise attendent une visibilit sur les activits deleur responsabilit, tant sur les aspects de conformit que financiers.

- Les employs et les ouvriersattendent un feed-back sur la qualit du travail ralis etnotamment une mise en vidence des progrs raliser par chacun dans le cadre de son postede travail.

- Les impts attendent une information fiscale exacte, et limitent ainsi les risquesderreur ou de malversation.

- Les fournisseurs et les sous-traitantsattendent le rglement de leurs factures.- Les syndicats attendent une bonne sant de lentreprise, et donc des garanties pour

lemploi, des augmentations de pouvoir dachat et des avantages sociaux.- Les autorits judiciaires attendent une rduction des possibilits de dtournement,

abus de biens sociaux- Le pouvoir lgislatifattend une identification des manquements devant faire lobjet de

nouvelles rglementations.- Les marchs financiers et analystesattendent une bonne estimation de la valeur relle

de lentreprise dans le temps.

-

Les banquiers attendent des lments leur garantissant des informations fiablespermettant dvaluer les risques en termes de financement des investissements et du cycle


28/60

~ 28 ~

dexploitation. Il en est de mme pour la dtermination des conditions de tarification desoprations et de conditions pour les produits dpargne.

- Les auditeurs externesattendent des informations fiables pour fonder leurs analyses etconclusions sur les donnes comptables relles et sincres.

6. Les limites du contrle interne :Le dispositif de contrle interne aussi bien conu et aussi bien appliqu, ne peut

fournir une garantie absolue quant la ralisation des objectifs de la socit.La probabilit datteindre ces objectifs ne rvle pas de la seule volont de la socit.

Il existe en effet, des limites inhrentes tout systme de contrle interne. Ces limitesrsultent de nombreux facteurs, notamment des incertitudes du monde extrieur, de lexercicede la facult de jugement ou de dysfonctionnements pouvant survenir en raison dunedfaillance humaine ou dune simple erreur. En outre, lors de la mise en place des contrles, ilest ncessaire de tenir compte du rapport cot / bnfice et de ne pas dvelopper des systmes

de contrle interne inutilement coteux quitte accepter un certain niveau de risque.Le contrle interne peut fournir des informations au management pour son valuation

du degr de ralisation des objectifs qui lui sont fixs. Le management na aucun contrlesur les changements qui peuvent intervenir dans la politique ou les programmes dugouvernement, ou dans le contexte dmographique ou conomique de son action. De telschangements peuvent imposer aux managers de revoir les contrles et dajuster le niveau derisque acceptable.

Un systme de contrle interne efficace rduit la probabilit de ne pas atteindre lesobjectifs. Il nen limine pas pour autant le risque toujours prsent que le contrle interne

soit mal conu ou ne fonctionne pas comme prvu. En effet, dans la mesure o le contrleinterne repose sur le facteur humain, il est susceptible de ptir derreurs de conception, dejugement ou dinterprtation, de malentendus, de ngligence, de la fatigue ou de ladistraction, voire de manuvres telles que collusion, abus ou transgression.

Une autre limite tient au fait que la conception dun systme de contrle interne doittenir compte de contraintes financires. Les bnfices tirs des contrles doivent trevalus par rapport leur cot. La volont de faire fonctionner un systme de contrleinterne qui permet dliminer tout risque de perte, nest pas raliste et sa mise en uvre estplus coteuse que ne le justifierait le bnfice qui en dcoulerait dans les faits. Pourdterminer si un contrle particulier doit tre mis en place, on doit prendre en compte nonseulement la probabilit de survenance du risque correspondant et son incidence potentiellesur lorganisation mais aussi les cots affrents la mise en place de ce nouveau contrle.Il y a lieu de souligner les limites de lefficacit du contrle interne afin dviter de crer desattentes exagres qui tiendraient une perception errone de sa porte.

Les changements organisationnels et lattitude du management peuvent avoir unimpact rel sur lefficacit du contrle interne et sur le personnel qui le met en uvre. Cestpourquoi il est ncessaire que la direction vrifie et actualise continuellement les contrles,communique les changements au personnel et montre lexemple en se conformant elle-mme ces contrles.


29/60

~ 29 ~

Chapitre 2

LES TAPES DVALUATION DU CONTRLE INTERNE

Les grandes tapes de l'valuation du contrle interne comprennent :

- La prise de connaissance des procdures.- L'valuation du contrle.- Lexploitation de l'valuation du contrle interne.

La dmarche de l'auditeur doit galement prendre en compte l'environnement gnralde contrle interne, dont la qualit conditionne directement l'efficacit des procdures misesen place. Par ailleurs, lorsqu'un service d'audit interne existe dans la socit, l'auditeurfinancier examine la possibilit d'utiliser ses travaux dans le cadre de sa mission.

1. Connaissance des procdures :En rgle gnrale, la prise de connaissance doit tre formalise dans une descriptionpermettant d'identifier :

- Les acteurs de la procdure et leur rle (services et/ou personnes concernes) ;- Les flux physiques;- Les flux d'informations;- Les points de contrles.

L'objectif de l'auditeur n'est pas en soi de dcrire exhaustivement la procdure tudie.Il doit disposer d'une bonne comprhension du fonctionnement et surtout faire ressortir leslments cls qui lui permettront d'en faire l'valuation.

Les lments cls de la procdure peuvent tre dfinis comme ceux qui concourent lafiabilit du contrle interne, ou sont au contraire constitutifs de points faibles. Ilscomprennent des lments relativement standard, que l'on retrouve dans la majeure partie desentreprises, et des lments qui sont la consquence directe des risques inhrents.Il est donc essentiel que l'auditeur reprenne, en abordant la description des procdures,l'valuation des risques inhrents qu'il a mise en uvre dans la phase de prise deconnaissance.Les points cls des fonctions classiques de lentreprise peuvent tre dtermins facilement carils se retrouvent dans tous les types dorganisation.

Par exemple, en matire de traitement des commandes clients, l'auditeur s'assure qu'il existebien une sparation nette des tches de livraison, de facturation et d'encaissement. Il vrifieque l'mission des avoirs fait l'objet d'une procdure spcifique, etc.

1.1. Mthodes de description des procdures :Dans la mesure du possible, l'auditeur utilise les descriptions existantes (tablies par la

socit ou par d'autres auditeurs) et les met jour. A dfaut, ou si celles qui existent ne luiparaissent pas pertinentes, l'auditeur doit procder lui-mme la description. Les techniquesusuelles sont :

- La description narrative;- Le diagramme de circulation (flow-chart).


30/60

~ 30 ~

Lauditeur qui souhaite dcrire un systme doit prendre les prcautions suivantes :- Il lui faut disposer d'interlocuteurs fiables, connaissant les procdures tudies.- Il doit viter de raliser une description trop dtaille et superflue au regard de ses

objectifs. Une telle description est consommatrice de temps. Elle peut nuire l'obtention d'unevision suffisamment synthtique.Nanmoins, une description dtaille peut s'avrer ncessaire :

- pour dcrire une activit ou une partie d'activit complexe;- pour rpondre une proccupation de l'entreprise qui souhaite disposer d'une

modlisation de ses processus.

De manire pragmatique, la prise de connaissance des procdures donne lieu :- l'tablissement d'une description schmatique et rapide de la procdure (prsentation

des principaux acteurs et de leur rle) ;- la description des points cls de la procdure. Ces points cls pouvant tre identifis,

en prenant en compte les risques inhrents et en utilisant un questionnaire de contrle internefaisant ressortir les assertions d'audit concernes par la procdure examine.

Lavantage de lapproche par diagramme de circulation rside l'exhaustivit d'examende la procdure. Toutefois, cette approche est relativement rare en pratique compte tenu deson caractre chronophage . En revanche, des schmas ponctuels sont couramment utilisspour dtailler ou complter tel aspect particulier d'une description narrative de la procdure.

1.2. Tests de conformit ou de comprhension :Les tests de conformit permettent lauditeur de s'assurer que sa comprhension des

procdures et des points cls mis en place est juste. Ils consistent:- mettre en uvre des tests de cheminement permettant de drouler une procdure

complte partir de quelques oprations slectionnes;- raliser des tests spcifiques sur des points de procdure particuliers paraissant peu

clairs ;- oprer aux acteurs intresss la restitution de la description, en vue de recueillir leurs

commentaires.Cette formule prsente l'avantage de la simplicit et implique davantage les audits auxtravaux de l'auditeur. Elle permet de garantir l'auditeur qu'il n'a pas oubli un point

important.

2. valuation du contrle interne :2.1. Identification des forces et faiblesses :

La dmarche de l'auditeur est guide par son valuation du risque d'audit, c'est--diredu risque d'mettre une opinion errone. La prise de connaissance a permis l'auditeur deraliser une premire approche des risques possibles. L'valuation du contrle interne doit luipermettre d'aller beaucoup plus loin en identifiant de manire prcise les assertions d'auditqui sont susceptibles de ne pas tre respectes.


31/60

~ 31 ~

L'auditeur procde en deux temps :- dans un premier temps, il opre une valuation thorique du contrle interne,

consistant identifier les points faibles et les points forts;- il s'assure ensuite de la ralit des points forts pour donner un caractre dfinitif son

valuation.2.2. valuation thorique du contrle interne :

Sur la base de sa prise de connaissance des procdures et de l'identification des pointscls, l'auditeur recense les points forts et les points faibles de la procdure, c'est--dire :

- les verrous de contrle interne dont le respect conditionne le respect des assertionsd'audit (dtermination des points forts ou contrles cls) ;Par exemple, la numrotation squentielle des factures d'achat l'arrive dans l'entreprise peutconstituer une garantie du respect de l'exhaustivit des enregistrements dans le cycle achats.

- les dfaillances de procdure qui laissent craindre que certaines assertions d'audit nesoient pas respectes (dtermination des faiblesses).

Par exemple, le fait d'envoyer au service acheteur les factures d'achat sans les rpertorier l'arrive dans l'entreprise peut laisser craindre que certaines charges payer ne soient pascomptabilises enfin d'exercice, ce fait portant atteinte la fois l'exhaustivit et la coupuredes enregistrements.

Une faiblesse de contrle interne a pour consquence un risque possible, rsultant deprocdures insuffisantes. Pour rduire le risque potentiel un niveau acceptable, les faiblessesidentifies sont prises en compte par l'auditeur directement dans l'exploitation de l'valuationdu contrle interne.

Un point fort correspond une procdure existante qui, par sa prsence, couvre

compltement ou partiellement un risque potentiel. Il contribue par son existence le rduirede manire significative. Avant de pouvoir prendre en compte l'existence de ce point fort,l'auditeur doit toutefois vrifier son fonctionnement effectif.

2.3. Tests de procdure sur points forts :Les points forts correspondent des procdures sur lesquelles l'auditeur financier

s'appuie pour dfinir son programme de travail. Par dfinition, un point fort donne l'auditeurune assurance raisonnable sur la couverture d'un risque. Il devient par consquent inutile pourlui de mettre en uvre certains contrles visant s'assurer que le risque envisag ne s'est pasconcrtis.

Il revient lauditeur de vrifier si le point fort identifi est rel et apprhend sonjuste niveau : il en ressort la ncessit de mettre en uvre des tests de permanence.Les tests de permanence ont pour objectif de valider l'existence de points forts, et d'enmesurer l'impact rel sur la couverture des risques. Ils permettent d'amender ou de complterl'apprciation du risque de non-matrise examin prcdemment.Si le test de procdures sur les points forts permet de conclure la solidit et la permanencede fonctionnement du point fort, l'auditeur peut le prendre en compte dans son exploitation del'valuation du contrle interne. Dans le cas contraire, le point fort doit galement tre pris encompte, mais au titre des faiblesses de contrle interne.


32/60

~ 32 ~

3. Exploitation de l'valuation du contrle interne :L'exploitation de l'valuation dfinitive du contrle interne consiste pour l'auditeur

tirer la consquence de son apprciation des procdures en s'appuyant sur les points fortsrelevs et en renforant ses contrles lorsqu'il a identifi des points faibles.

Toute la difficult en pratique consiste tablir un lien entre l'valuation desprocdures et le programme de rvision des comptes. L'auditeur financier ne peut y parvenirque dans la mesure o il garde comme fil conducteur de sa dmarche le contrle du respectdes assertions d'audit. Il convient, en effet, que l'auditeur tablisse une distinction dans lescontrles substantifs qu'il envisage de mettre en uvre:

- certains des contrles substantifs sont lis au contrle d'assertions directementconcernes par la qualit des procdures. II en est ainsi en particulier des assertions relativesaux enregistrements des oprations, qui sont le plus souvent largement conditionnes par laqualit des procdures. II en est de mme, mais de manire moins directe, pour les assertionsrelatives aux soldes des comptes ;

- certains des contrles substantifs sont indpendants de la qualit du contrle interne: ilen est ainsi notamment des assertions relatives l'information financire.

Dans tous les cas, l'auditeur porte une attention particulire au risque de fraudes etd'erreurs rsultant de son valuation du risque inhrent et du risque li au contrle (prenant encompte le rsultat des tests de procdures) : le commissaire aux comptes dtermine lescontrles substantifs appropris pour rduire un niveau acceptable le risque que desanomalies rsultant de fraudes ou d'erreurs, significatives au regard des comptes pris dans leurensemble, ne soient pas dtectes. Dans la conception de ces contrles substantifs, le

commissaire aux comptes prend en compte les facteurs de risque de fraudes qu'il a identifisdans l'entit .

4. valuation de la fonction informatique :L'approche de l'auditeur financier doit prendre en compte l'environnement

informatique. Bien que ses objectifs soient les mmes que pour les autres procdures, lesmodalits de l'valuation prsentent une certaine spcificit et peuvent diffrer suivant ledegr d'informatisation du systme d'information.Dans un environnement informatique utilisant des systmes importants et complexes, lecommissaire aux comptes acquiert galement la connaissance de cet environnement et

dtermine si celui-ci peut influencer l'valuation du risque inhrent et l'valuation du risqueli au contrle... Les risques, ainsi que les contrles mis en uvre, lis aux caractristiquesdu systme informatique, ont une incidence potentielle sur l'valuation du risque d'audit parle commissaire aux comptes, et sur la nature, le calendrier et l'tendue des procduresd'audit.


33/60

~ 33 ~

4.1. Risques Spcifiques :Les principaux risques lis aux systmes informatiques et pouvant entraner des pertes

financires significatives sont :- le risque de pertes d'informations ou de mauvais fonctionnement du systme:

ralentissement de l'activit, perte d'efficacit, ralisation d'erreurs ou de fraudes nondtectes

- le risque relatif la continuit d'exploitation: en cas de destruction du systme(incendie, explosion...) ou de blocage total momentan (panne, virus.. .), la poursuite del'activit de l'entreprise peut dans certains cas tre remise en question;

- le risque de perte de matrise ou de cot excessif li la dficience du cadre juridiquergissant les relations de l'entreprise avec ses prestataires informatiques ;

- le risque fiscal rsultant de la perte d'archivage fiscal ou d'un archivage de mauvaisequalit, qui expose l'entreprise des sanctions fiscales.

4.2. Mthodologie d'valuation :La mthodologie suivie est la mme que pour les autres procdures, mais elle doit

prendre en compte la spcificit de cette fonction.

4.2.1. Environnement informatique :L'auditeur apprhende la place des systmes informatiques dans le fonctionnement de

l'entreprise. Il peut apprcier le risque global li au systme d'information et valuer le risqueinhrent. La prise de connaissance vise notamment :

- l'organisation de la fonction informatique dans l'entreprise;- la politique en matire de personnel;- la stratgie informatique (schma directeur, documentation, etc.) ;- les contraintes lgales et rglementaires auxquelles l'entreprise est soumise;- les applications existantes (leur rle, leurs liens rciproques...) ;- les prestataires informatiques de l'entreprise.

4.2.2. Dispositif gnral de contrle interne :Cette phase suit en gnral de trs prs la phase de prise de connaissance. L'auditeur

examine les procdures dfinies par l'entreprise afin de couvrir les risques. Il examinenotamment :

-

l'application pratique du principe de sparation des fonctions;- les rgles de scurit physique;- les rgles de scurit logique;- les rgles de sauvegarde des donnes et applications;- les plans de secours;- l'alimentation du systme comptable (nature des flux d'informations, contrles de ces

flux...);- l'organisation de la fonction dveloppement;- l'organisation de la fonction exploitation.


34/60

~ 34 ~

4.2.3. Procdures informatiques :Les procdures informatiques doivent tre examines du point de vue de :

- la scurit physique;- la scurit logique et la sauvegarde des informations.

La fonction informatique doit permettre de reconstituer la piste d'audit.Sagissant de la scurit physique, le contrle interne doit garantir la scurit des

matriels contre toute dtrioration accidentelle ou intentionnelle. Les points examiner parlauditeur sont les suivants :

Risques inhrents Points de contrle interne- Survenance dvnement naturel telquincendie, foudre, inondation.

-Systme anti-incendie- Plan de back-up

- Panne lectronique - Systme lectrogne- Installation donduleur

- Installation malveillante (interne ou externe) - Contrle strict des entres dans les locaux

sensibles.- Limitation des accs du personnel.

S'agissant de la scurit logique et de la sauvegarde des donnes, le contrle internedoit garantir la scurit des applications et des donnes contre toute dtrioration accidentelleou intentionnelle. Les points examiner par l'auditeur sont les suivants :

Risques inhrents Points de contrle interne- Perte de connaissance des systmes etapplications

- Existence dune documentation des applications,accessible et rgulirement mise jour.

- Sparation des fonctions pour viter uneconcentration des connaissances.-Formalisation juridique des relations avec lesprestataires extrieurs.

- Altration des applications - Limitation des accs aux programmes.- Ralisation de sauvegardes accessibles etprotges.- Supervision des travaux

- Perte ou altration de donnes - Sauvegarde rgulire des donnes.- Limitation des accs aux applications et donnesaux seules personnes ayant besoin rgulirement deces accs (gestion des habilitations, mise en place demots de passe, contrle du caractre bloquant desmots de passe).

- Donnes mal archives ou archives nonaccessibles ou perte darchives.

- Procdure darchivages scurises et garantissant lapermanence des accs (externalisation, coffre.).

- Diffusion dinformations confidentielles. - Contrle des accs.- Diffusion dun virus portant atteinte auxapplications et/ou aux donnes.

- Diffusion dantivirus rgulirement mis jour.

- Infiltration dun tiers via internet. - Mise en place de firewall.- Mise en uvre de fraude. - Sparation des fonctions renforce par la limitation

des accs aux applications et donnes.


35/60

~ 35 ~

4.3. Tests des procdures informatiques :Les tests susceptibles d'tre mis en uvre sur la fonction informatique sont :

- des audits d'applications spcifiques,- des analyses de donnes.

4.3.1. Audit dapplication :Laudit dapplication consiste dans le contrle du fonctionnement dune application

particulire. Lobjet de la dmarche est de comprendre les flux dinformation passant parlapplication concerne et de retracer tout le cheminement des donnes du dbut la fin duprocessus afin davoir un

Cours Controle Interne 2008 2009

Documents

Transcript of Cours Controle Interne 2008 2009