Contrôle interne

COMPÉTENCES ATTENDUES
◾ Faire le lien entre les principes du contrôle interne et l’organisation d’une entité.
◾ Savoir situer l’appréciation du contrôle interne dans la démarche d’audit.
 Audi
t

PLAN DU CHAP PLAN DU CHAPITRE

ITRE PLAN DU CHAPITRE Plan du chapitre

1. Présentation et définitions

2. COSO

3. Principes fondamentaux de contrôle

interne

4. Avantages et limites du contrôle interne

5. Procédures contrôlées par

l’auditeur

6. Technique d’appréciation du contrôle interne : les tests de

procédures

7. Communication des faiblesses de contrôle interne

8. Recommandations de contrôle interne

1
 Contrôle interne

1-Présentation et définitions
A Contrôle interne de toute l’entité et contrôles internes comptables

Le contrôle interne est avant tout un système d’organisation. Nulle entreprise ne

peut vivre sans une organisation stable et adaptée à ses besoins.
Selon les définitions le contrôle interne est :
– soit restreint aux procédures liées à la bonne comptabilisation des opérations
comptables, avec pour principal objectif la sauvegarde du patrimoine (éviter les
erreurs et les fraudes) et l’établissement de comptes fiables ;
– soit étendu à l’ensemble des procédures de l’entreprise, avec pour objectif
général l’amélio- ration des performances. En ce cas, le contrôle interne peut être
assimilé au système qualité de l’entreprise ; son champ d’application n’est pas
limité aux procédures comptables mais il s’étend à des procédures de suivi des
affaires en cours, de réassortiment de stocks, d’optimisation de la trésorerie,
d’amélioration de la rapidité du système d’information... La vérification de ces
dernières n’entre pas dans la mission de certification mais elle relève des
missions de l’auditeur interne ou de l’auditeur contractuel.

B Le contrôle interne auquel l’auditeur s’intéresse

Pour l’auditeur qui a pour objectif la certification de l’image fidèle des comptes
annuels sans avoir le droit de s’immiscer dans la gestion des entreprises qu’il
audite, le contrôle interne est un système d’organisation qui comprend :
– les procédures de traitement de l’information comptable d’une entité,
– et, inhérent à ce traitement, les procédures de vérification du bon traitement de
cette information comptable. Par « information comptable », on entend ici toutes
les opérations ayant un lien avec l’établissement des comptes annuels et la
diffusion d’informations financières liées à la comptabilité.
La partie du contrôle interne auquel l’auditeur s’intéresse est celle liée :
– à la sauvegarde du patrimoine (éviter les erreurs et les fraudes),
– au respect des lois et des textes en vigueur,
– à l’établissement et à la diffusion d’informations financières fidèles.
 Audi
t

C Contrôles intégrés au système de contrôle interne

Les contrôles intégrés dans le système de contrôle interne sont de deux types :
contrôles de prévention et contrôles de détection.

1 Contrôles de prévention
Ils ont pour objet d’empêcher une erreur.
De nombreux contrôles de prévention sont basés sur des procédures
programmées, à savoir des procédures électroniques, automatiques et
systématiques de vérification des traitements, intégrées à ces traitements. Les
procédures programmées permettent d’éviter le plus grand nombre possible
d’anomalies prévisibles,
Exemples :
– lors de la saisie, le système d’information est programmé pour signaler un
traitement comptable qui sort de l’ordinaire : la référence d’un article facturé est
incomplète, ou bien la référence alphanumérique indiquée ne correspond à rien,
ou encore un compte a été débité alors qu’il est usuellement crédité... ; de manière
encore plus simple : quand on achète un billet de train aller-retour, une procédure
programmée empêche de prendre le retour à une date antérieure à celle de
l’aller ;
– On peut encore citer les contrôles des liens : le but de cette catégorie de contrôles
de prévention est de détecter des liens incompatibles à l’intérieur d’un
enregistrement ou entre enregistrements. Par exemple, la procédure prévoit de
comparer le fichier des immobilisations corporelles en début d’année avec ce
même fichier en fin d’année en tenant compte d’une part de toutes les
acquisitions enregistrées au journal des achats et, d’autre part, des cessions. Un
écart pourrait par exemple signifier qu’une acquisition a été enregistrée en fichier
sans l’être sur le journal des achats.

2 Contrôles de détection
Ils ont pour objet de détecter une erreur qui se serait quand même produite. Pour
ce faire, le système d’information lancera une alerte, par exemple dans les cas
suivants :
– soldes fournisseurs débiteurs et soldes clients créditeurs ;
– commandes anciennes non soldées ;
– écarts budgétaires sur achats et sur investissements ;
– mouvements anormaux de marges bénéficiaires sur des produits vendus et de
marges sur achats sur des produits achetés ;
– salaire versé à un employé qui n’est pas référencé dans un fichier maître.
Ces faits pour lesquels le système d’information lance une alerte sont peut-être
parfaitement explicables et justifiables mais, s’ils ne le sont pas, les contrôles de
détection du contrôle interne de l’entité auront fonctionné utilement.
Autrefois faits à la main à partir de volumineux listings papier, la plupart de ces
contrôles de détection sont aujourd’hui automatisés et seules les anomalies
significatives sont signalées pour qu’elles soient examinées par un être humain.
 Contrôle interne

2-COSO

A Les publications du COSO

La National Commission on Fraudulent Financial Reporting (États-Unis), avait pour
but d’identifier les facteurs se trouvant à l’origine de la présentation de fausses
informations financières, et d’émettre des recommandations visant à en limiter
l’incidence. il était composée de représentants de grandes entreprises, de cabinets
d’audit et de membres de l’IIA.
Les travaux de la commission Treadway ont ensuite été repris et développés par le
Committee of Sponsoring Organizations (COSO) of the Treadway Commission, puis
publiés aux États-Unis en 1992 sous le nom de Internal control integrated
framework. Les recommandations du COSO portent toutes sur le contrôle
interne et la gestion des risques.
En mai 2013, le COSO a publié la version actualisée du Référentiel de contrôle interne (COSO
– Internal Control – Integrated Framework), rédigé, ainsi que ses documents
connexes, par PwC, sous la direction du conseil d’administration du COSO. Ce
référentiel a pour objectif d’aider les organisations à faire évoluer leur dispositif de
contrôle interne et de gestion des risques dans un environnement toujours plus

B Définition du contrôle interne par le COSO

Le contrôle interne est un processus mis en œuvre par le conseil d’administration, les
dirigeants et le personnel d’une organisation, destiné à fournir une assurance raisonnable
quant à la réalisation des objectifs suivants :
– la réalisation et l’optimisation des opérations ;
– la fiabilité des informations financières
– la conformité aux lois et aux réglementations en vigueur .

complexe.

Cette définition donnée par le COSO est proche de celle proposée par l’Ordre
des experts-comptables : « Le contrôle interne est l’ensemble des sécurités
contribuant à la maîtrise de l’entreprise. Il a pour but d’un côté, d’assurer la
protection, la sauvegarde du patrimoine et la qualité de l’information, de l’autre,
l’application des instructions de la direction et de favoriser l’amélioration des
performances ».
 Audi
t

Pour le COSO comme pour l’OEC, le contrôle interne est donc un système, au sens
général, qui doit à la fois :
– assurer la fiabilité de l’information financière (on disait autrefois la fiabilité de la
comptabilité générale),
– améliorer les performances.
L’auditeur qui exerce la mission de certification ne s’intéresse qu’à la partie du
contrôle interne liée à l’établissement des comptes annuels et à la sauvegarde du
patrimoine ; l’optimisation des opérations et l’amélioration des performances sont
des fonctionnalités du système qui n’inté- ressent pas la mission de certification. Il
est néanmoins entendu que le commissaire aux comptes n’est pas aveugle : en cas
de défaillance flagrante d’un processus, par exemple une mauvaise procédure
automatisée de réassortiment des stocks qui conduit à des ruptures de stock
systématiques, le commissaire devra tenir compte de l’impact de cette défaillance
sur la sauvegarde du patrimoine.

C Efficacité du contrôle interne

Pour le COSO, elle est appréciée à partir de 5 éléments interdépendants :
1.Environnement de contrôle (control environment)
2.Évaluation des risques (risk assessment)
3.Activités de contrôle (control activities)
4.Information et communications (information and communications)
5.Pilotage (monitoring)
Ces cinq éléments sont présentés par le COSO sous la forme d’un cube ou d’une pyramide.

1 Environnement de contrôle
Il est lié à la sensibilisation des dirigeants et du personnel au besoin de contrôle ; il
correspond au risque inhérent. L’environnement de contrôle est un élément qui
s’apparente à la culture d’une entreprise en matière de contrôle, à la prise de
conscience de la nécessité de bonnes procédures de contrôle interne, aux valeurs
de l’entreprise. Cet environnement constitue le fondement de tous les autres
éléments du contrôle interne puisque de celui-ci découlent la discipline et
l’organisation de l’entreprise.
En ce même sens : « Environnement de contrôle, qui se traduit par le comportement
des personnes constituant le gouvernement d’entreprise et de la direction, leur
degré de sensibilité et les actions qu’ils mènent en matière de contrôle interne ».
À contrôler par l’auditeur :
 Contrôle interne

– l’intégrité et la compétence des dirigeants ;

 Audi
t

– leur implication dans la mise en place d’un bon contrôle interne ;

– les procédures de gouvernance dont en particulier l’existence d’un comité d’audit.

2 Évaluation
;
des risques
L’entité doit être consciente des risques qu’elle encourt et en tenir compte dans ses
activités commerciales, financières, de production... et lors de l’établissement des
comptes annuels. Elle doit identifier et analyser tout ce qui pourrait nuire à la
réalisation de ses objectifs. L’entité essaie de déterminer :
– la probabilité de survenance de chaque risque identifié et sa gravité.
L’entité peut ainsi construire une cartographie des risques pour définir les
risques qu’elle considère comme acceptables et ceux pour lesquels des
améliorations rapides doivent être mises en œuvre.
À contrôler par l’auditeur :
– les mécanismes pour identifier, anticiper et réagir aux changements et aux risques ;
– les réseaux de communication ;
– la présence d’un risk manager et d’un responsable process quality.

3 Activités de contrôle
Elles doivent être élaborées et appliquées pour s’assurer que les mesures
nécessaires à la réduction des risques sont exécutées efficacement. Les activités de
contrôle sont les réponses directes au risque de non contrôle.
À contrôler par l’auditeur :
les procédures de contrôle interne ont été conçues dans le respect des principes
fondamen taux du contrôle interne, et sont respectées en permanence ;
– les systèmes budgétaires sont en mesure d’identifier les écarts et ceux-ci sont analysés ;
– il existe une fonction de responsable de la sécurité informatique.

4 Information et communications
L’objectif d’un système d’information et de communication efficace est de permettre au
personnel de recueillir et d’échanger les informations nécessaires à la conduite, à la
gestion et au contrôle des opérations. En outre, l’information pertinente doit être
identifiée, recueillie et diffusée sous une forme et dans des délais qui permettent à
chacun d’assumer ses responsabilités.
À contrôler par l’auditeur :
– la structure du système d’information, son efficacité ;
– les informations diffusées sont suffisamment détaillées et transmises à
temps. Faiblesses classiques :
– l’entreprise ne dispose pas d’un système d’information unifié, celui-ci s’étant
construit par strates successives tout au long du développement de l’entité ;
– le service du contentieux ne communique pas au service comptable des données
récentes sur les litiges en cours.

5 Pilotage
L’ensemble des procédures de contrôle interne doit être contrôlé à la fois de
manière continue par les dirigeants et au travers d’évaluations ponctuelles de la
part d’instances n’ayant ni autorité ni responsabilité directes sur les opérations.
 Contrôle interne

À contrôler par l’auditeur :

– les procédures de contrôle interne sont régulièrement évaluées en interne
(département d’audit interne) et en externe (auditeur externe) ;
– il existe un système de remontée des faiblesses ; les dirigeants tiennent compte
des recommandations faites par les auditeurs internes et externes ;
– il existe un comité d’audit ou un risk manager qui vérifie que les faiblesses ont
bien été transmises et qu’elles ont été corrigées.
Faiblesse classique : des faiblesses sont mises en évidence mais les procédures de
contrôle interne ne sont pas modifiées car les dirigeants jugent que les risques
potentiels sont négligeables.

3-Principes fondamentaux de contrôle interne

Le contrôle interne repose, comme la comptabilité, sur des principes. De ces

principes découlent ensuite, comme en comptabilité, un certain nombre de
techniques.

A Principe d’organisation
B
Une entreprise doit être organisée rationnellement. Ses structures doivent être
décrites dans un organigramme, ses procédures doivent être écrites et rassemblées
dans un manuel. En un mot : les procédures doivent être formalisées.
Cette propriété implique l’existence d’une piste d’audit, autrefois appelée chemin
de révision, qu’il doit être possible de suivre quel que soit le degré d’informatisation
de la comptabilité et la complexité des traitements dématérialisés. L’existence
d’une piste d’audit est indissociable du principe de contrôle interne d’organisation.
Le maintien de la piste d’audit passe nécessairement par l’existence d’une
documentation écrite dans laquelle les traitements informatiques et les liens entre
les divers programmes et sous-programmes sont décrits de manière claire et
exhaustive. Cette règle de simple bon sens n’est pourtant pas communément
respectée.»
 Audi
t

C Principe de séparation des fonctions

La séparation des fonctions est difficile à respecter dans la petite entreprise qui
n’emploie qu’un ou deux comptables, mais cette réalité est sans conséquence sur la
sauvegarde du patrimoine si le dirigeant est la seule personne qui dispose de la
signature sociale (et en posant bien évidemment pour hypothèse qu’il ne se livre
pas à des abus de biens sociaux au détriment de sa propre entreprise). En effet,
dans cette situation, le dirigeant est à même de contrôler les chèques qu’il signe ou
qu’il endosse avec tout justificatif nécessaire, ou de vérifier que toutes les sommes
que l’entreprise devrait recevoir ont réellement été encaissées.
Le principe de la séparation des fonctions ne se pose qu’à partir du moment où,
l’entreprise ayant grandi, il existe des délégations de pouvoir dont, en particulier,
des délégations de signature sociale. Il est alors nécessaire de séparer les trois
fonctions fondamentales suivantes et de les attribuer à trois personnes différentes
afin qu’elles puissent se contrôler mutuellement :
– fonction de décision (d’engagement ou d’autorisation des dépenses),
– fonction de détention de valeurs monétaires (avoir le droit de signer des
chèques ou des virements, de manipuler des espèces ou des chèques reçus de
clients),
– fonction de comptabilisation (avoir accès au logiciel de comptabilité).
Exemple de faiblesse : imaginons que le trésorier ait accès au logiciel de
comptabilité. Il comptabilise d’abord une charge puis paie la dette fictive avec un
virement dont il est lui-même le bénéficiaire direct ou indirect (par exemple via le
compte bancaire d’un membre de sa famille). Certes, le comptable peut déceler le
vol en vérifiant les justificatifs de charges, mais il est nettement plus simple
d’empêcher ce type de vol en interdisant au trésorier l’accès au logiciel de
comptabilité.
La séparation des tâches permet des contrôles réciproques et des recoupements.
Le contrôle réciproque est, dans son acception la plus simple, le travail qui en
prolonge un autre tout en permettant de contrôler ce dernier ; par exemple le suivi
des comptes clients est effectué par une personne autre que celle chargée
d’encaisser les chèques ; dans le cas contraire, l’employé qui aurait volé le chèque
adressé par un client s’abstiendrait de relancer ce client dont le compte indique qu’il
n’a pas payé.
Le recoupement consiste à justifier une information à partir de sources différentes.
Par exemple, une facture émanant d’un fournisseur d’immobilisation est comparée
avec le bon de commande et avec le budget des investissements avant d’être
approuvée puis enregistrée.
 Contrôle interne

D Principe d’universalité
Le contrôle interne concerne toutes les personnes dans l’entreprise, à toute époque
et en tout lieu : il n’y a pas de personnes privilégiées, pas de moment où les
procédures ne sont plus appliquées (durant les congés d’été par exemple), pas
d’usine où les procédures ne sont pas appliquées.
Le principe d’universalité est probablement le principe le plus souvent bafoué, soit
au nom de la confidentialité, soit au nom du manque de temps, soit par crainte
d’une baronnie qui s’est créée au sein de l’entité. Ainsi, des clauses particulières
figurant dans le contrat de travail des proches collaborateurs du directeur général
ne seront-elles pas vérifiées par le département juridique, le budget alloué à tel
directeur délégué ne sera pas justifié poste par poste mais accordé globalement, les
frais de déplacement de tel directeur ne seront pas justifiés par des factures mais
par un relevé de carte bancaire, les activités de tel département placé sous
l’autorité directe du président échapperont aux procédures usuelles, etc.

E Autres principes
1 Principe de vigilance
Il existe un dispositif de gestion des risques visant à recenser, analyser et traiter les
principaux risques identifiés au regard des objectifs et de l’activité de l’entité.

2 Principe de bonne information

L’information doit être pertinente (adaptée à son objet et à son utilisation), objective
(non déformée) et vérifiable.
 Audi
t

3 Principe de qualité du personnel

Tout système de contrôle interne est, sans un personnel de qualité, voué à l’échec.
La qualité du personnel comprend la compétence et l’honnêteté (l’intégrité).
Néanmoins, aucun système ne peut éviter la fraude par collusion, par exemple un
comptable et un trésorier qui se mettent d’accord pour frauder.

4 Principe d’harmonie
Les procédures mises en place doivent être adaptées à chaque entité. Même si les
contrôles de prévention et de détection sont bien souvent les mêmes d’une
entreprise à l’autre, chaque procédure doit être adaptée à l’entité et à son
environnement en fonction de l’importance des risques qu’elle évite et du coût de
sa mise en œuvre.

5 Principe de permanence
Le principe de permanence du contrôle interne est similaire au principe comptable
de perma- nence imposé. les procédures utilisées par l’entreprise doivent être
pérennes, étant entendu que pérennité ne signifie pas rigidité : quand l’entité
évolue, les procédures évoluent également.
Lorsque l’auditeur détecte des changements affectant les procédures de contrôle
interne, il teste leur efficacité au titre de l’exercice sur lequel porte sa mission .

4-Avantages et limites du contrôle interne

A Efficacité du contrôle interne : la logique organisationnelle

Les risques inhérents à toute activité économique et évités par un bon contrôle
interne sont liés à la vie quotidienne de l’entreprise ; par exemple :
– des moyens matériels de protection évitent l’insécurité dans les bureaux et les
aires de stockage ;
– une procédure d’approbation et de suivi des commandes-fournisseurs évite de
payer trop cher des marchandises et des services, ou de les payer deux fois,
et évite la conclusion de contrats inutiles et coûteux ;
– une procédure de suivi des prises de commandes-clients évite aussi bien les
ventes expédiées trop tard que les ventes en faveur de clients notoirement
défaillants ;
– le suivi de l’utilisation des immobilisations, en particulier celui des automobiles et
des matériels de bureau, évite aussi bien le vol que l’acquisition d’immobilisations
qui s’avèrent en définitive inadaptées aux besoins ;
– une procédure rigoureuse de suivi des opérations financières complexes permet à
la direction générale de s’assurer qu’elle est réellement au courant de tous les
risques potentiels liés à celles-ci ;
– une délégation des responsabilités correctement formalisée permet d’identifier
sans peine les responsables concernés et d’éviter, dans le cas d’une action
pénale, la mise en cause systématique du dirigeant de l’entreprise.
On voit ainsi que de nombreuses procédures de contrôle interne relèvent de la
simple logique organisationnelle. Le principal apport des principes et des techniques
du contrôle interne est d’apporter systématiquement les verrous nécessaires à la
sauvegarde du patrimoine (éviter les vols, les gaspillages, les dépenses inutiles, les
factures payées deux fois, la perte de justificatifs...) dans toutes les activités de
l’entreprise, mais tout en veillant au rapport coût de la procédure / avantage
obtenu.
 Contrôle interne

B Limites du contrôle interne

Même si les procédures sont bien conçues et bien appliquées, les principales limites
à un bon contrôle interne sont les suivantes :
– l’environnement de contrôle est mauvais : les dirigeants ne croient pas aux
bienfaits d’un bon contrôle interne même s’ils ont payé des spécialistes pour
installer des bonnes procédures ;
– coût d’une procédure par rapport aux avantages obtenus (cost / advantage) : les
dirigeants de l’entité refusent de mettre en place une procédure car ils jugent
sont coût trop élevé par rapport aux conséquences du risque potentiel ;
– confiance envers le personnel : les dirigeants refusent de mettre en place une
procédure parce qu’ils ont confiance dans leur personnel ; l’exemple le plus
classique est de confier la signature sociale au chef comptable, jusqu’à un certain
montant, parce que le dirigeant a confiance dans ce chef comptable ; pourtant
une bonne procédure est liée à une fonction, non à un homme, car cet homme
peut partir en congé ou quitter l’entreprise et laisser une mauvaise procédure
entre les mains d’un successeur moins intègre ;
– fraude par collusion : la séparation des tâches existe mais le comptable et le
trésorier se mettent d’accord pour frauder ensemble ;
– accident : une procédure n’est pas respectée par fatigue, par distraction, par
mauvaise compréhension ou encore par mauvais encadrement : le principe
d’universalité n’est pas respecté.

5-Procédures contrôlées par l’auditeur

A Procédures répétitives
L’appréciation du contrôle interne porte sur les opérations courantes et répétitives :
achats, ventes, paie, opérations bancaires...
Pour les opérations ponctuelles (versement d’acomptes sur dividendes,
augmentation de capital...) ou exceptionnelles (cession d’un terrain, procès très
important...) qui par nature ne sont ni répétitives ni courantes, il est plus efficace de
discuter avec les responsables puis de vérifier directement les justificatifs
appropriés.
 Audi
t

L’auditeur apprécie l’environnement de contrôle puis il apprécie les procédures de

contrôle interne à l’aide des tests de procédure, mais il n’a pas à mener ces tests
sur toutes les procédures de contrôle interne : il ne teste que les procédures qui
lui permettent de répondre aux risques d’anomalies significatives dans les comptes.
l’auditeur fait tout particulièrement attention aux procédures par lesquelles
transitent des montants importants ou qui présentent des risques spécifiques.
La situation est différente pour l’auditeur interne ou l’auditeur contractuel : ayant
une mission précise que la direction générale lui a confiée, il apprécie la ou les
procédures entrant dans le champ de sa mission.

B Procédures significatives
Tout système de traitement des informations comptables qui a une incidence
significative sur les comptes annuels est significatif. Les systèmes de traitement des
informations des cycles d’achat, de stock, de vente, de trésorerie, de paie et
d’immobilisation, sont en général tous significatifs. Les risques que recèlent ces
systèmes doivent néanmoins être appréciés en fonction des réalités de l’entreprise ;
par exemple :
– le système de paie recèle moins de risques dans une entreprise dont les effectifs
sont stables et localisés dans un seul lieu, que dans une entreprise aux effectifs
très changeants et éparpillés sur plusieurs sites (ex. : une grande entreprise du
secteur du bâtiment) ;
– le système des achats recèle moins de risques dans une société qui procède à peu
d’achats auprès d’un nombre limité de fournisseurs, que dans une société qui doit
gérer de multiples sources d’approvisionnement (ex. : un hypermarché).
En outre, l’auditeur tient compte de sa connaissance de l’entreprise, qui s’améliore
chaque année, pour déterminer les procédures qui présentent des risques
particuliers et décider celles sur lesquelles il portera une attention accrue.

Les systèmes d’information sont bien entendu significatifs, mais là aussi l’auditeur
adapte ses contrôles à la réalité de l’entreprise :
– les risques de traitements erronés sont faibles si l’entité auditée utilise, sans
l’avoir modifié, un logiciel commercialisé par une société réputée,
– les risques sont déjà plus importants si le logiciel a été modifié par l’entité auditée.

6-Technique d’appréciation du contrôle interne : les tests de procédures

Le plus couramment, après une approche globale qui comprend une appréciation de
l’environ- nement de contrôle, l’auditeur mène des tests de procédures : « Parmi les
procédures d’audit, les tests de procédures permettent de collecter des éléments en
vue d’apprécier l’efficacité des contrôles conçus et mis en œuvre par l’entité pour
prévenir, détecter ou corriger les anomalies significatives au niveau des assertions »
.
 Contrôle interne

La démarche de l’auditeur pour mener un test de procédure est bien entendu liée à
la taille de l’entité et à ses particularités mais, dans tous les cas, un test de
procédure comprend les deux étapes fondamentales suivantes :
– appréciation de la conception de la procédure,
– vérification du fonctionnement de la procédure.

A Appréciation de conception de la procédure

La méthode la plus fréquemment utilisée pour évaluer les systèmes de contrôle
interne repose sur l’utilisation de questionnaires de contrôle interne (QCI) qui,
pour chaque fonction de l’entreprise (achats, ventes, paie...) et chaque assertion
(existence, exhaustivité...), donnent la liste des principaux points de contrôle interne
qu’il est généralement nécessaire de vérifier. Ces points portent à la fois sur les
procédures de traitement et sur les procédures de vérification intégrées aux
traitements.

Exemple de questions figurant dans un questionnaire de contrôle interne

relatif aux achats de marchandises
e Toutes les commandes de marchandises donnent-elles lieu à un bon de commande approuvé par
un responsable habilité ?
e Toutes les commandes donnent-elles lieu à une réception de marchandise dans les délais
contractuels ?
e Les réceptions donnent-elles lieu à l’émission d’un bon de réception ?
e La correspondance entre le bon de commande et le bon de réception est-elle vérifiée ?
e La correspondance entre le bon de réception et le mouvement enregistré en informatique dans
l’inventaire comptable permanent est-elle vérifiée ?
e La correspondance entre le bon de réception et la facture du fournisseur est-elle vérifiée au
moment de l’enregistrement au journal des achats ?

Exemple de questions figurant dans un questionnaire de contrôle interne

relatif aux transactions avec les parties liées
e Les transactions entre parties liées ont-elles été réalisées aux conditions normales de marché ? Si
non, la justification a-t-elle été obtenue et cohérente ?
e Les transactions entre parties liées importantes qui n’entrent pas dans l’activité normale de l’entité
ont-elles été analysées ? Comportent-elles des anomalies ?
e Les transactions avec les parties liées ont-elles pu être réalisées dans un but frauduleux ?
e Les conditions des transactions réalisées avec les parties liées peuvent-elles porter préjudice à
l’intérêt social de la société ?
e Les conventions et transactions conclues entre l’entité et les dirigeants ont-elles été examinées ?
e Les avances de trésorerie intra-groupe sont-elles rémunérées ?
e Les nouvelles conventions réglementées ont-elles été soumises aux procédures d’autorisation ?

On distingue les questionnaires fermés, auxquels l’auditeur répond par oui ou par non (ou par
« non applicable »), et les questionnaires ouverts qui obligent l’auditeur à rédiger une réponse.
– Questionnaire fermé : le bon d’expédition est-il comparé au bon de commande ?
– Questionnaire ouvert : avec quel(s) documents(s) le bon d’expédition est-il comparé ?
Narrations et diagrammes
La NEP 315-23 précise que l’auditeur peut également opter pour une description
sous forme narrative, ou sous forme de diagrammes de circulation (flowchart), c’est-
à-dire de schémas montrant l’enchaînement des opérations dans le temps.
 Audi
t

B Vérification du fonctionnement de la procédure

L’objectif est ici de vérifier que les procédures décrites sont celles qui sont réellement
utilisées, et qu’elles le sont en permanence (principe d’universalité ; principe de
permanence).

NEP 330-11
Pour être en mesure de conclure quant à l’efficacité ou non du contrôle mis en
œuvre par l’entité, le commissaire aux comptes, en plus des demandes
d’information, utilise une ou plusieurs autres techniques de contrôle comme, par
exemple, les procédures analytiques, l’observation physique, l’inspection, la ré-
exécution de certains contrôles réalisés par l’entité. Les tests de procédures ne se
limitent pas à des demandes d’information.

Il convient ici d’insister sur la ré-exécution, c’est-à-dire la répétition, par l’auditeur,

des traitements et des contrôles de prévention et de détection mis en place par
l’entité auditée. Selon le degré d’informatisation de l’entité, la ré-exécution conduit
l’auditeur à vérifier des documents papier et/ou à tester des documents
dématérialisés figurant dans le système d’information de l’entité auditée.
Cette ré-exécution prend appui sur des tests de cheminement (walk through tests),
c’est-à-dire des tests qui permettent de retracer des opérations du début à la fin, y
compris l’exécution des contrôles de prévention et de détection. Il convient de noter
que les NEP 330 et 500 évoquent seulement la ré-exécution. Les notions de tests de
cheminement, de tests de conformité, de tests decompréhension,
detestsdepermanence... ontuneorigineprofessionnellemaisnonnormative.
En général fort longs, les tests de cheminement complètent de manière indissociable les QCI.

Exemple simplifié d’un test de cheminement pour le cycle

achat/fournisseur
L’auditeur sélectionne quelques achats puis il vérifie en particulier les éléments
suivants :
– des fournisseurs ont été sélectionnés,
– la commande de la marchandise M est bien adressée au fournisseur F précédemment
sélectionné,
– le bon de commande est approuvé par une personne autorisée (par une personne
ayant le droit d’approuver la commande),
– la marchandise reçue est comparée au bon de commande approuvé,
– elle est contrôlée (qualité, quantité),
– elle donne lieu à un bon de réception (papier ou dématérialisé) visé (signé) par un
magasinier,
– la facture du fournisseur est arithmétiquement vérifiée,
– elle est comparée au bon de commande approuvé et au bon de réception visé
quand elle est comptabilisée au journal des achats,
L’étendue des travaux de ré-exécution menés sur chaque élément dépend bien
entendu du secteur d’activité de l’entité auditée, de sa taille et de son niveau
d’informatisation. La vérification du choix du fournisseur, par exemple, peut
être assez longue s’il s’agit de sous-traitants d’une entreprise du secteur du
bâtiment car, en ce cas, il faut vérifier la prise en compte de plusieurs critères :
– historique des relations avec le sous-traitant,
– références techniques du sous-traitant,
– solidité financière,
– compétitivité au niveau des prix, des délais et de la qualité,
– existence d’une structure pouvant répondre aux travaux proposés,
 Contrôle interne
– contraintes imposées par le client (le maître d’ouvrage).
 Audi
t

Les tests de cheminement étant très longs à réaliser, ils ne sont menés que sur
quelques achats, quelques ventes, quelques salaires..., la quantité exacte étant liée à la
taille et aux spécificités de l’entité auditée et justifiée dans le plan de mission. D’un
autre côté, les tests de cheminement sont l’occasion de découvrir la réalité de
nombreux services de l’entité auditée et d’acquérir une connaissance de
l’entreprise qui enrichit le jugement professionnel et l’esprit critique de l’auditeur.
Un test de cheminement sur le cycle achat/fournisseurs, par exemple, donne
l’occasion de découvrir les services commandes/achats, stocks, comptabilité
fournisseur et trésorerie. Après un tel test, il n’est pas rare qu’un auditeur, même
débutant, en sache plus sur le fonctionnement de l’entrepôt de stockage que
l’employé responsable de la comptabilité des fournisseurs.
Aucune norme ni aucun texte professionnel n’indiquent quelles procédures
l’auditeur doit tester, quels contrôles de substance il doit mener, quelle quantité de
justificatifs il doit contrôler : tout dépend des spécificités de l’entité auditée, des
risques d’anomalies significatives et du jugement professionnel de l’auditeur.

8 Communication des faiblesses de contrôle interne

(NEP/ISA 260 et 265)
Il convient de distinguer deux catégories de communication (orale / écrite) liées à
deux niveaux de faiblesses de contrôle interne.

A Communication orale
Le commissaire aux comptes communique à la direction, au niveau de
responsabilité approprié, les faiblesses du contrôle interne qu’il estime d’une
importance suffisante pour mériter son attention (NEP 265-05). Par « direction », il
convient d’entendre les interlocuteurs habituels du commissaire aux comptes : chef
comptable, directeur financier...
Les faiblesses du contrôle interne qui font l’objet d’une communication orale
sont liées à l’information comptable et financière et « se caractérisent par :
– l’absence d’un contrôle nécessaire pour prévenir, détecter ou corriger des
anomalies dans les comptes ; ou
– l’incapacité d’un contrôle à prévenir, détecter ou corriger des anomalies dans les
comptes du fait de sa conception, de sa mise en œuvre ou de son fonctionnement
» (NEP 260-01).
On retrouve ici les deux notions de contrôles de prévention et de contrôle de détection.

B Communication écrite des faiblesses significatives

NEP 265-02 : faiblesse significative

Une faiblesse significative du contrôle interne est une faiblesse ou un ensemble de
faiblesses du contrôle interne lié à l’information comptable et financière suffisamment
importante pour mériter l’attention de l’organe collégial chargé de l’administration ou de
l’organe chargé de la direction et de l’organe de surveillance, ainsi que, le cas échéant,
du comité spécialisé.

Le commissaire aux comptes communique par écrit les faiblesses significatives, à la

fois à la direction et aux organes de l’article L. 823-16 (NEP 265-05 et 265-06).
Les organes de l’article L. 823-16 sont les mandataires sociaux au sens large :
conseil d’admi- nistration, conseil de surveillance, gérant de la SARL, président de la
SAS, « comité de direction » d’une association...
 Contrôle interne

La NEP 260-04 indique elle aussi que la communication est faite par écrit aux organes de l’article
L. 823-16 et précise qu’elle est également faite au comité d’audit s’il en existe un (NEP 260-05).
 Audi
t

C Comité d’audit
La 8e directive confie notamment au comité d’audit le suivi de l’efficacité du contrôle interne.

Extrait de l’art. 39-6 de la 8e directive du 17 mai 2006 (modifiée

par la directive du 16 avril 2014)
Sans préjudice des responsabilités des membres de l’organe d’administration, de
direction ou de surveillance ou des autres membres désignés par l’assemblée générale
des actionnaires de l’entité contrôlée, le comité d’audit est notamment chargé des
missions suivantes :
[...]
c) suivi de l’efficacité des systèmes internes de contrôle qualité et de gestion des risques
de l’entreprise ainsi que, le cas échéant, de l’audit interne de l’entreprise, en ce qui concerne
l’information financière de l’entité contrôlée, sans qu’il soit porté atteinte à son

En France, dans les entités soumises aux dispositions de l’article L. 823-19 du Code
de commerce (entités cotées sur EUROLIST et établissements de crédit) et dans les
entités qui se sont volontairement dotées d’un comité d’audit, les commissaires aux
comptes portent à la connaissance du comité d’audit les faiblesses significatives du
contrôle interne, pour ce qui concerne les procédures relatives à l’élaboration et au
traitement de l’information comptable et financière.

9 Recommandations de contrôle interne

A Une consultation rendue à la demande de l’entité auditée

Les recommandations pour améliorer le contrôle interne ne relèvent pas de l’audit
mené par le commissaire aux comptes qui, rappelons-le, mène une mission de
certification des comptes et non pas une mission de conseil. Néanmoins, à la
demande des dirigeants, le commissaire aux comptes n’hésitera pas à rédiger des
recommandations pour améliorer le contrôle interne de l’entité qu’il audite car, une
fois les faiblesses de procédure corrigées, les causes à l’origine des erreurs
disparaissent et les comptes donnent une meilleure image fidèle.
En cela, le commissaire aux comptes se conforme à la doctrine internationale et à
celle de la Compagnie nationale des commissaires aux comptes qui ont toujours
encouragé les auditeurs à tout mettre en œuvre pour pouvoir certifier l’image fidèle
des comptes.
Dans le cadre d’un contrat, il est très fréquent qu’un expert-comptable soit
missionné pour détecter des faiblesses de procédure de contrôle interne et proposer
des améliorations, ou bien pour mettre en place des procédures fiables et
efficientes.
Si les NEP 260 et 265 prévoient une communication des faiblesses de contrôle
interne (significatives ou non significatives), cette communication se borne à
une description des faiblesses et de leurs effets potentiels sur les comptes (NEP
265-07) : c’est, à la demande du dirigeant, que le commissaire aux comptes va
proposer des recommandations car celles-ci ne relèvent pas d’un service interdit.
Elles peuvent porter sur les forces et faiblesses d’éléments du contrôle interne à
l’état de projet ou en cours de mise en œuvre ou encore sur les procédures de la
mère ou de la fille en contrôle exclusif de l’entité contrôlée.
Bien évidemment, le commissaire aux comptes n’ayant pas le droit de s’immiscer
dans la gestion de l’entité qu’il audite, il n’appartient pas au commissaire aux
comptes de participer à des prises de décision, de mettre en place des procédures
 Contrôle interne
de contrôle interne ou de mettre en œuvre des recommandations qu’il aurait
formulées.
 Audi
t

B Le rapport de recommandation
L’usage veut que le rapport de l’auditeur comprenne, pour chaque faiblesse relevée :
– la description de la procédure telle qu’elle existe,
– la description de la faiblesse qu’elle contient,
– le risque qui découle de cette faiblesse,
– la recommandation qui éliminera la faiblesse.

Exemple lié au cycle achat/fournisseur

1. Description de la procédure
Les marchandises sont reçues dans l’entrepôt de Gennevilliers (Hauts-de-Seine) et donnent lieu à
l’émission de bons de réception conservés à Gennevilliers. Les factures correspondantes sont directement
adressées par les fournisseurs au siège social parisien. Sur son logiciel, un comptable parisien compare la
facture avec le bon de commande, puis il comptabilise la facture au journal informatisé des achats.
2.Faiblesse de contrôle interne
Les factures des fournisseurs sont comptabilisées alors que le siège social n’a pas la preuve de la réception des
matières matérialisée par le bon de réception visé (signé) par le magasinier de l’entrepôt de Gennevilliers.
3.Description des risques
– Payer des matières qui n’ont jamais été reçues.
– Payer des matières reçues mais qui ne coïncident pas avec celles qui avaient été commandées.
– Payer des matières dont la qualité laisse à désirer.
4. Recommandations de contrôle interne
– Le siège social parisien doit recevoir de l’entrepôt de Gennevilliers un exemplaire (dématérialisé) du bon
de réception visé (signé) par le magasinier, sur lequel figurent, si nécessaire, des remarques sur la qualité,
la nature et la quantité des matières reçues.
– Le comptable du siège compare ce bon de réception avec le bon de commande et avec la facture. Il
comptabilise la facture au journal informatisé des achats quand tous leurs éléments coïncident.
Exemple
 Contrôle interne

SYNTHÈS
E
◾ Le contrôle interne est un système d’organisation mis en place par l’entité. Les
risques inhérents à toute activité économique et évités par un bon contrôle
interne sont liés à l’activité quotidienne de l’entreprise.
◾ Le contrôle interne porte sur tous les systèmes d’information de l’entité mais,
dans le cadre d’une certification des comptes, l’auditeur ne s’intéresse qu’aux
procédures de contrôle interne et de gestion des risques relatives à l’élaboration
et au traitement de l’information comptable et financière.
◾ L’auditeur apprécie l’environnement de contrôle de l’entité, puis il apprécie les
procédures de contrôle interne à l’aide des tests de procédure, mais il n’a pas à
mener ces tests sur toutes les procédures de contrôle interne.
◾ L’appréciation du contrôle interne permet à l’auditeur de déterminer, en
fonction de la bonne ou de la mauvaise qualité du contrôle interne, le nombre
de contrôles de substance qu’il mènera lors de l’étape de réponse à l’évaluation
du risque d’anomalies significatives.
◾ Son appréciation s’achève sur des recommandations et, en France pour les
sociétés cotées, par des observations (ou une absence d’observations) qui
figurent dans le rapport sur les comptes du commissaire aux comptes.
Audi
t