ENCG SETTAT

M2 CCA
CONTRÔLE INTERNE

Cours préparé par:

Mr Hicham Rafouk

Passer à la
première page
 Plan du cours
 Définition des risques
 Aperçu sur la démarche de l’auditeur
 Définition du CI
 Caractéristiques du COSO
 Finalité du CI

Passer à la
première page
 Définitions
 Le risque se définit comme la « possibilité que se
produise un événement qui aura un impact sur la
réalisation des objectifs. Le risque se mesure en
termes de conséquences et de probabilité »
 Cette obligation de mesure des risques s'impose à
l'auditeur, comme suit : « Le responsable de l'audit
doit établir une planification fondée sur les risques
afin de définir les priorités cohérentes avec les
objectifs de l’organisation. Le programme des
missions d’audit doit s'appuyer sur une évaluation
des risques».

Passer à la
première page
 Définitions
 le « risque d’audit » est le risque que l’auditeur
financier exprime une opinion incorrecte du fait
d’anomalies significatives contenues dans les
comptes et non détectées. Il se subdivise en trois
composants : le risque inhérent, le risque lié au
contrôle et le risque de non détection,

Passer à la
première page
 Définitions
 le « risque inhérent » est la possibilité que le solde d’un compte ou
qu’une catégorie d’opérations comporte des anomalies significatives
isolées ou cumulées avec des anomalies dans d’autres soldes ou
catégories d’opérations, nonobstant les contrôles internes existants,

 Le risque inhérent correspond à la possibilité que, sans tenir compte

du contrôle interne qui pourrait exister dans l'entité, une anomalie
significative se produise dans les comptes

Passer à la
première page
 Définitions
 le « risque lié au contrôle » est le risque qu’une anomalie dans un
solde de compte ou dans une catégorie d’opérations, prise isolément
ou cumulée avec des anomalies dans d’autres soldes de comptes ou
d’autres catégories d’opérations, soit significative et ne soit ni
prévenue, ni détectée par les systèmes comptable et de contrôle
interne et donc non corrigée en temps voulu,

 Le risque lié au contrôle correspond au risque qu'une anomalie

significative ne soit ni prévenue ni détectée par le contrôle interne de
l'entité et donc non corrigée en temps voulu.

Passer à la
première page
 Définitions
 le « risque de non détection » est le risque que les contrôles mis en
œuvre par l’auditeur financier ne parvienne pas à détecter une
anomalie dans un solde de compte ou dans une catégorie
d’opérations qui, isolée ou cumulée avec des anomalies dans
d’autres soldes de comptes ou d’autres catégories d’opérations,
serait significative.

Passer à la
première page
Exemples risques inhérents

Passer à la
première page
 Exemples risques liés aux
contrôles
 Mouvements physiques non comptabilisés
(exhaustivité)
 Fuited'information
 Doublon
 Cut-off erroné

 Mouvements comptables non justifiés

(exactitude / réalité)
 Absence de justificatif
 Fausse facture
Passer à la
première page
 Exemples risques liés aux
contrôles
 Mouvements comptables mal calculés
(exactitude / intégrité)
 Données de base inexactes
 Mécanique de calcul erronée

 Mouvements comptables non conformes

aux règles (exactitude / conformité)
 Confusion charges / immobilisations

Passer à la
première page
 La démarche de l’audit
financier
 Acceptation de la mission,
 La prise de connaissance générale de
l’entreprise et évaluation des risques
 L’évaluation du contrôle interne,
 Mise en œuvre des procédures d’audit,
 Synthèse et rapport.

Passer à la
première page
 Le Contrôle Interne
COSO (Committee Of Sponsoring Organizations of
the Treadway Commission):

une commission à but non lucratif qui a établi en 1992 une

définition standard du contrôle interne et a créé un cadre pour
évaluer son efficacité. Par extension ce standard s'appelle aussi
COSO.

Passer à la
première page
 Définition du contrôle
Interne
 Ensemble des politiques et procédures mises en œuvre par
la direction d'une entité en vue d'assurer, dans la mesure du
possible, la gestion rigoureuse et efficace de ses activités.
 Ces procédures impliquent :
 le respect des politiques de gestion,
 la sauvegarde des actifs,
 la prévention et la détection des irrégularités et inexactitudes,
 l'exactitude et l'exhaustivité des enregistrements comptables
 l'établissement en temps voulu d'informations financières ou
comptables fiables.
 Le système de contrôle interne s'entend au-delà des
questions directement liées au système comptable.

Passer à la
première page
 Les dimensions du CI
 La lutte contre la fraude.

 La sincérité des comptes des entreprises.

 La mise en place d'une organisation plus efficace et plus

performante.

Passer à la
première page
 Les principes du CI
Les principes COSO 1:
Le référentiel COSO 1 est basé sur les principes de base
suivants :
 Le contrôle interne est un processus : ça nécessite
l’implication de tous les intervenants à chaque niveau de
l’organisation.
 Le contrôle interne doit procurer l’assurance raisonnable
(mais non absolue) d’un management et d’une direction
respectueuse des lois.
 Le contrôle interne est adapté à la réalisation effective
des objectifs.

Passer à la
première page
 Objectifs du contrôle
interne:
Le contrôle interne a pour objectif de renforcer et de
systématiser les dispositifs de contrôle permettant de
s'assurer que les opérations courantes de l'entreprise
se déroulent normalement.
Traditionnellement les contrôles se faisaient de
manières ponctuelles comme des audits. Dans une
démarche de contrôle interne, on cherche à mettre en
place des contrôles permanents.
Parallèlement on assiste à l'apparition dans les
entreprises de Directions du Contrôle Interne et de
Directions des Risques chargées de prendre en
compte l'ensemble de ces opérations Passer à la
première page
 Le besoin du contrôle
interne
Le développement du contrôle interne correspond à trois besoins
différents :
 la dérive des pratiques des entreprises. Elles sont de différentes
natures comme le laxisme de l'application des règles de gestion,
l'oubli des règles de contrôle ou de sécurité, les fraudes internes, ...
 la montée des risques liée à la globalisation, à la dématérialisation
des opérations, la financiarisation, ...
 le développement des systèmes d'information. En soit, c'est une
bonne nouvelle mais l'expérience montre que des applications mal
conçues ou insuffisamment protégées peuvent se traduire par des
fragilités importantes.

Passer à la
première page
 Les interlocuteurs du CI
Le contrôle interne concerne l'ensemble des organes de direction d'une
entreprise et notamment :
 le Conseil d'Administration. Il représente les actionnaires et il est à
ce titre directement intéressé par le niveau de contrôle interne de
l'entreprise.
 le Comité d'audit est composé d'administrateurs indépendants
chargés d'initier et de suivre les missions d'audit. À ce titre il a pour
mission de demander le renforcement des procédures de contrôle
interne.
 le Commissaire aux comptes doit, dans le cadre de sa mission
légale, s'assurer de l'existence et de l'efficacité des procédures de
contrôle interne. Dans les grandes entreprises il doit évaluer le
rapport de la direction générale sur l'ensemble des procédures de
l'entreprise.

Passer à la
première page
 Les interlocuteurs du CI
 la direction générale a la responsabilité de mettre en place des
procédures de contrôle interne.

 le comité de direction est souvent amené à s'intéresser aux

pratiques de contrôle interne mis en œuvre par les principaux
décideurs de l'entreprise qui en font partie.

 la direction de l'audit doit veiller à la mise en place des règles de

contrôle interne. Il a la responsabilité de s'assurer qu'elles sont
effectivement appliquées et donnent les résultats attendus.

 la direction des risques a la mission de les évaluer. Ils peuvent être

liés à l'activité principale de l'entreprise (risques métiers) mais aussi
aux activités accessoires dont l'informatique (risques opérationnels).

Passer à la
première page
 Les interlocuteurs du CI
 la direction financière est particulièrement intéressée par la mise en
œuvre des règles de contrôle interne. La sincérité des comptes est
directement liée à leur application.
 la direction juridique doit s'assurer que tous les contrats signés avec
les clients, les fournisseurs et les salariés sont conformes aux règles
contractuelles se trouvant dans la charte juridique de l'entreprise.
 la direction des systèmes d'information est au cœur de l'application
des règles de contrôle interne. Les programmes les exécutent. Il faut
s'assurer qu'ils fonctionnent correctement et donnent les résultats
attendus.

Toutes les unités de l'entreprise sont concernées par le contrôle interne.

Il s'agit de l'affaire de tous.

Passer à la
première page
 Les règles du CI
Il existe de nombreuses règles de contrôle interne et parmi celles-ci on
peut distinguer des règles générales et des règles particulières.
 Les règles générales s'appliquent à toutes les fonctions et à tous les
processus de l'entreprise :
 la séparation des fonctions. une même personne ne soit pas à la
fois chargée d'une action et en même temps d'en contrôler
l'exécution,
 tracer les transactions. Il est nécessaire d'enregistrer toutes les
opérations effectuées permettant ensuite de reconstituer les
opérations,
 la conservation des documents. Il faut pouvoir retrouver les
pièces justificatives des opérations.
 la surveillance des opérations permet de s'assurer que les
opérations se déroulent normalement sans incident,
 la sécurité des opérations. Il faut pouvoir assurer un bon niveau
de sécurité de façon à pouvoir redémarrer rapidement après un
incident sans perdre d'information significative. Passer à la
première page
 Les règles du CI
Il existe aussi des règles particulières propre à une activité spécifique :
 la gestion d'un projet. Il existe un certain nombre de règles
permettant de réduire les risques de dérives.
 la prise d'une commande et la facturation doivent appliquer des
règles spécifiques liées à la nature de l'activité.
 l'établissement de la paie doit aussi appliquer des règles très
strictes.

Passer à la
première page
 Caractéristiques du
contrôle interne: Les
cinq composants
Le contrôle interne, tel que défini par le COSO 1, comporte cinq
composants:
 L’environnement de contrôle, qui correspond, pour l'essentiel, aux
valeurs diffusées dans l'entreprise ;
 L'évaluation des risques en relation avec leur importance et
fréquence ;
 Les activités de contrôle, définies comme les règles et procédures
mises en œuvre pour traiter les risques, le COSO imposant la
matérialisation factuelle des contrôles ;
 L'information et la communication, qu'il s'agit d'optimiser ;
 Le pilotage, c'est-à-dire le « contrôle du contrôle » interne.

Passer à la
première page
 Caractéristiques COSO
Le référentiel initial appelé COSO 1 a évolué depuis 2002 vers
un second corpus dénommé COSO 2.
Le contrôle interne est un processus mis en œuvre par le conseil
d’administration, les dirigeants et le personnel d’une
organisation, destiné à fournir une assurance raisonnable quant
à la réalisation des objectifs suivants :
 L'efficacité et l'efficience des opérations,
 La fiabilité des informations financières,
 La conformité aux lois et aux réglementations en vigueur.

Passer à la
première page
 Caractéristiques COSO
Le COSO 2 propose un cadre de référence pour la gestion des
risques de l’entreprise (Enterprise Risk Management Framework).
La gestion des risques de l’entreprise est un processus mis en
œuvre par le conseil d’administration, les dirigeants et le personnel
d’une organisation, exploité pour l’élaboration de la stratégie et
transversal à l’entreprise, destiné à:
 Identifier les événements potentiels pouvant affecter
l’organisation,
 Maîtriser les risques afin qu’ils soient dans les limites du « Risk
Appetite (appétence au risque)»,
 Fournir une assurance raisonnable quant à la réalisation des
objectifs de l’organisation.

Passer à la
première page
Caractéristiques COSO
2013

Passer à la
première page
 Caractéristiques COSO
2013
Les principales nouveautés sont :
1. L’élargissement du domaine d’application au-delà du reporting
financier (par ex. : responsabilité sociale et environnementale)
2. Le renforcement des attentes en matière de gouvernance (par
ex : les rôles des comités et l’alignement avec le business
model).
3. La gestion des collaborateurs clés au contrôle interne (par ex:
la direction générale).
4. L’articulation des « 3 lignes de défense » dans l’organisation
(à savoir les opérationnels, les fonctions support et l’audit
interne).
5. Le rapprochement entre risque, performance et rémunération
(notamment l’un des principes portant sur la responsabilisation
pour le contrôle interne) Passer à la
première page
 Caractéristiques COSO
2013
3- Caractéristiques COSO 2013 – Mise à jour
Les principales nouveautés sont :
6. L’articulation du « tone at the top »avec les comportements à
travers l’entreprise (« tone in the middle »)
7. La prise en compte des sous-traitants / autres intervenants
clés (par ex. : leur adhésion au code de conduite, respect des
contrôles au-delà du reporting financier).
8. L’exigence de l’adaptabilité et l’adéquation du dispositif par
rapport à l’évolution de l’entreprise (telles que de nouveaux
processus, rôles, structures, SI, CSP, périmètre d’activité, etc.

Passer à la
première page
 Caractéristiques COSO
2013
Les 17 principes
Environnement de contrôle
1. L'organisation démontre son engagement en faveur de l'intégrité
et de valeurs éthiques.
2. Le conseil d’administration fait preuve d'indépendance vis-à-vis
du management. Il surveille la mise en place et le bon
fonctionnement du système de contrôle interne.
3. La direction, agissant sous la surveillance du conseil
d’administration, définit les structures, les rattachements, ainsi que
les pouvoirs et les responsabilités appropriés pour atteindre les
objectifs.
4. L'organisation démontre son engagement à attirer, former et
fidéliser des collaborateurs compétents conformément aux objectifs.
5. L'organisation instaure pour chacun un devoir de rendre compte
de ses responsabilités en matière de contrôle interne
Passer à la
première page
 Caractéristiques COSO
2013
– Les 17 principes
Evaluation des risques
6.L'organisation spécifie les objectifs de façon suffisamment claire
pour permettre l'identification et l'évaluation des risques associés
aux objectifs.
7.L'organisation identifie les risques associés à la réalisation de ses
objectifs dans l'ensemble de son périmètre de responsabilité et elle
procède à leur analyse de façon à déterminer les modalités de
gestion des risques appropriées.
8.L'organisation intègre le risque de fraude dans son évaluation des
risques susceptibles de compromettre la réalisation des objectifs.
9.L'organisation identifie et évalue les changements qui pourraient
avoir un impact significatif sur le système de contrôle interne

Passer à la
première page
 Caractéristiques COSO
2013
Les 17 principes
Activités de contrôle
10.L'organisationsélectionne et développe les activités de contrôle
qui contribuent à ramener à des niveaux acceptables les risques
associés à la réalisation des objectifs.
11.L'organisation sélectionne et développe des activités de contrôle
général en matière de système d’information pour faciliter la
réalisation des objectifs.
12.L'organisation met en place les activités de contrôle par le biais
de directives qui précisent les objectifs poursuivis, et de procédures
qui mettent en œuvre ces directives.

Passer à la
première page
 Caractéristiques COSO
2013
– Les 17 principes
Information et Communication
13.L'organisation obtient ou génère puis utilise des informations
pertinentes et de qualité pour faciliter le fonctionnement des
autres composantes du contrôle interne.
14.L'organisationcommunique en interne les informations
nécessaires au bon fonctionnement des autres composantes du
contrôle interne, notamment en ce qui concerne les objectifs et
les responsabilités associés au contrôle interne.
15.L'organisationcommunique avec les tiers au sujet des
facteurs qui affectent le bon fonctionnement des autres
composantes du contrôle interne

Passer à la
première page
 Caractéristiques COSO
2013
– Les 17 principes
Pilotage
16.L'organisation sélectionne, met au point et réalise des
évaluations continues et/ou ponctuelles afin de vérifier si les
composantes du contrôle interne sont bien mises en place et
fonctionnent.
17.L'organisationévalue et communique les faiblesses de
contrôle interne en temps voulu aux responsables des mesures
correctrices, notamment à la direction générale et au conseil
d’administration.

Passer à la
première page
 L’importance du

reporting du CI
Les opérations de contrôle interne sont nombreuses et variées. Elles
se traduisent par de nombreux signalements qui indiquent que tout
se passe bien ou bien que quelque chose d'anormal est survenu. Ce
sont souvent des dysfonctionnements ou des incidents. Ces
événements doivent rapidement remonter vers les décideurs pour
que des mesures soient prises. C'est la base du contrôle interne.
 Ainsi une base de données des contrôles effectués, des anomalies
constatées, des suites données aux incidents, ... est constituée. Elle
permet de suivre les incidents et ainsi apprécier le degré de maîtrise
des processus de l'entreprise.
 Il est pour cela nécessaire d'établir périodiquement une synthèse
des incidents constatés, des corrections effectuées mais aussi
rendre compte des contrôles positifs effectués. Pour cela, à partir de
la base de données du contrôle interne on va établir un tableau de
bord du contrôle interne de l'entreprise, du processus ou de la
fonction concernée.

Passer à la
première page
 Caractéristiques CI
L’auditeur financier effectue une étude et une
évaluation des systèmes qu’il a jugés significatifs en
vue d’identifier:
 Les contrôles internes sur lesquels il souhaite
s’appuyer
 Les risques d’erreurs dans le traitement des
données
Afin d’en déduire un programme de contrôle des
comptes adaptés

Passer à la
première page
 Caractéristiques CI
l’auditeur financier s’intéresse notamment :
 aux catégories d’opérations ayant un caractère
significatif,
 aux procédures, informatisées ou manuelles à
caractère comptable
 aux traitements d’évènements ponctuels
susceptibles d’engendrer un risque d’anomalies
significatives
 au processus d’élaboration des comptes
 à la façon dont l’entité communique sur les
éléments significatifs de l’information financière

Passer à la
première page