Contrôle interne , livre ebook
Description
Livre de référence dans son domaine, Contrôle Interne est utilisé par la majorité des Directeurs d'Audit Interne, des Directeurs de Contrôle Interne, des Directeurs de Gestion des risques, des Directeurs de la Conformité, des Directeurs Administratifs et Financiers pour mettre en place au sein de leur organisation un dispositif à valeur ajoutée de contrôle interne et de gestion des risques.
Le contrôle interne a aujourd'hui pour objectif de prévenir tout dysfonctionnement (financier, écologique, industriel, éthique, fraude, social...) susceptible de porter atteinte aux intérêts des actionnaires mais aussi de tous partenaires externes qui s'estimeraient lésés (Etat et collectivités, clients, fournisseurs...).
Or, en période de crise économique et d’affaires politico-financières (utilisation frauduleuse de biens ou d'argent publics), la fraude interne est en pleine essor. Les recherches montrent en effet que le passage à l’acte de fraude est plus fréquent lorsque trois facteurs sont réunis :
- le besoin financier (renforcé en période de crise),
- la perception d'une opportunité (lorsque le dispositif de contrôle interne est défaillant),
- la possibilité de justifier son acte (accentuée dans un environnement politique turbulent).
Ces évolutions contextuelles ont amené les auteurs à proposer cette nouvelle édition, modifiée et complétée par des méthodologies de prévention et de détection du risque de fraude, ainsi que par une présentation des composantes opérationnelles de la gouvernance.
- - La mise en œuvre d’un système de contrôle selon les principes du COSO ;
- - Des exemples d’application de Solvabilité II ;
- - Une démarche opérationnelle de mise en place d’un dispositif de gouvernance efficient ;
- - Une démarche de mise en place d’une gestion des risques de fraude au sein des organisations et un guide d’audit de la fraude ;
- - Une cartographie des risques et un projet de Contrôle Interne au sein d’une entreprise de service ;
- - Une proposition d’organisation d’une Direction de Contrôle Interne ;
- - Des propositions de questionnaires de Contrôle Interne associés à des risques et des bonnes pratiques.
Sujets
Informations
| Publié par | Maxima |
| Date de parution | 05 juin 2013 |
| Nombre de lectures | 1 677 |
| EAN13 | 9782818804391 |
| Langue | Français |
Extrait
Frédéric Bernard est Docteur ès sciences, ancien auditeur IHEST (promotion Desroches Noblecourt), diplômé ESCP, CESA HEC, Mastère Spécialisé de l’École centrale de Marseille. Il est ancien chargé de cours à l’ESG, NEGOSUP et Centrale Marseille ou il a enseigné le marketing achats, la stratégie et le contrôle interne. Il a occupé pendant trois ans le poste de Président et d’enseignant-chercheur au Centre d’Étude et de Recherche Économique de Marseille dans le domaine des sciences de l’information et de la commu nication. Il est actuellement Directeur Général Délégué au sein de la mutuelle UMC où il est notamment en charge de la supervision du dispositif de contrôle interne. Frédéric Bernard a occupé de nombreuses fonctions de Direction dans les secteurs de la mutualité et de l’assurance ou il a développé des démarches complètes de maîtrise des risques.
Rémi Gayraud, Certified Fraud Examiner, Directeur de la Formation de l’Association des Certified Fraud Examiner en France et intervenant à l’ESCP Europe. Après avoir exercé des responsabilités opérationnelles en finance, en France et à l’étranger en tant qu’Auditeur Interne senior et Directeur Administratif & Financier sur le Moyen-Orient chez SANOFI, il a créé avec 2 associés, CBA Management, cabinet spécialisé en Gouvernance, Risques et Contrôle Interne (GRC), Systèmes d’Information (Aligner la stratégie des systèmes d’information aux objectifs business), Performance Opérationnelle et Fraude Interne. CBA Management a rejoint le 6e réseau mondial d’audit et de conseil.
Laurent Rousseau, Diplômé des Arts et Métiers, est spécialisé dans le conseil aux entre prises devant répondre aux nouvelles réglementations (Sarbanes Oxley, Loi de Sécurité Financière, décret du 13 mars 2006, Solvabilité II…). Ancien collaborateur de CBA Management et conseiller indépendant intervenant pour le groupe Ansemble partenaire du réseau Eurus, 3e groupement national de cabinets indépendants d’expertise comptable et d’audit en France. Il a tour à tour occupé des fonctions opérationnelles puis mana gériales dans le domaine financier (comptabilité, contrôle de gestion et audit) au sein de la Mutualité Fonction Publique Services. Il a notamment assuré la formation au contrôle interne de plus de 400 opérationnels. Il a obtenu le certificat de spécialisation en Gestion de Patrimoine du CESB Paris.
Les auteurs peuvent être contactés à l’adresse suivante : controle-interne@maxima.fr
infos/nouveautés/catalogue : www.maxima.fr
8, rue Pasquier, 75008 Paris
Tél. : + 33 1 44 39 74 00 - Fax : + 33 1 45 48 46 88
© Maxima, Paris, 2013.
Tous droits de reproduction, de traduction et...
Préface
Alors que le contrôle interne fait l’ouverture des journaux télévisés et la une de la presse économique la plus réputée, c’est avec un grand honneur que j’ai répondu positivement à la demande de Rémi Gayraud et Frédéric Bernard de préfacer la nouvelle édition de ce manuel de contrôle interne.
En effet, les déficiences de contrôle interne, dont l’une des principales banques françaises a été victime, nous conduisent assez logiquement à mettre en avant ce thème trop souvent en retrait au sein de nos entreprises et organisations.
Le trait ne doit pas être forcé mais le constat s’impose : le contrôle interne ne peut plus se limiter à quelques bonnes paroles et engagements de principes relayés dans un rapport sur le contrôle interne trop souvent perçu comme une obligation de communication. L’obligation n’est pas tant d’émettre un rapport que de mettre en place...
Introduction
Pourquoi une nouvelle édition du livre sur le Contrôle Interne et quel est l’intérêt d’une telle démarche pour les entreprises ?
Avec la Loi de Sécurité Financière (LSF) en France et Sarbanes-Oxley aux États-Unis, exigeant un renforcement de la transparence et du contrôle au sein des entreprises, force est de constater qu’il existe un regain d’intérêt pour le Contrôle Interne, et plus particulièrement pour démontrer à tout protagoniste (management, actionnaires, commissaires aux comptes, autorités de bourse) que le dispositif existant est efficace : opérations maîtrisées à tous les niveaux et pour toutes les activités, états financiers fiables et reflétant la réalité économique de l’entreprise.
Ce regain d’intérêt s’appuie sur la mise en place depuis 5 à 6 ans de nouveaux textes réglementaires tels que le décret du 13 mars 2006 dans le domaine de l’assurance, du 19 mai 2008 en mutualité, le Cadre de Référence de l’Autorité des Marchés Financiers du 22 janvier 2007 revu et augmenté en juin 2010, la loi du 3 juillet 2008, l’ordonnance du 8 décembre 2008 et Solvabilité II sans oublier les démarches volontaristes au sein des organisations.
Celles-ci n’ont pas attendu les nouvelles réglementations pour mettre en place les fondements d’un environnement de contrôle. Cette nécessité s’est imposée de manière plus pointue encore lorsqu’il s’agit de groupes dont les organisations et les activités sont de plus en plus complexes.
En effet, dans un contexte de mondialisation croissante, les grands acteurs économiques se doivent aujourd’hui de penser à l’échelle mondiale quand il s’agit d’asseoir leur position dans n’importe quels industries ou secteurs que ce soit. Ce postulat entraîne pour les groupes français de modeler leur organisation de manière flexible et décentralisée afin d’offrir une réelle efficacité lorsqu’il s’agit de gérer des centaines d’entités juridiques à travers le monde et de jongler avec des organisations matricielles de plus en plus complexes impliquant de multiples strates dans les processus de décision. Une nécessaire subsidiarité,...
Les concepts essentiels
du contrôle interne permanent
I.1 Éléments de définition du contrôle interne
I.1.1 Les approches dites « classique » et « actuelle » du Contrôle Interne
Le terme Contrôle Interne est la traduction littérale de l’expression anglosaxonne : « Internal Control » (ou Business Control pour les Américains) dans lequel le verbe « to control » signifie conserver la maîtrise de la situation alors qu’en français le mot « contrôle » est davantage compris comme le fait d’exercer une action de surveillance sur quelque chose pour l’évaluer.
Nous vous proposons donc la définition suivante du Contrôle Interne au sens « classique » : le Contrôle Interne est un ensemble de dispositifs ayant pour but, d’un côté d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information, de l’autre d’assurer l’application des instructions de la Direction et de favoriser l’amélioration des performances.
L’« Internal Control » se traduit dans les faits par deux aspects complémentaires :
• un état d’esprit dont la responsabilité incombe à toute personne exerçant quelque autorité dans l’organisation : planifier les tâches, organiser les responsabilités, conduire les opérations et en contrôler la bonne marche ;
• un ensemble de moyens, mesures et méthodes pour y parvenir.
Deux grandes catégories de contrôles sont reprises au travers de cette approche classique :
• les contrôles administratifs ou opérationnels dont le but est, pour la Direction, de s’assurer de l’atteinte des objectifs fixés à l’aide de pratiques permettant d’accroître l’efficacité dans toutes les fonctions de l’entreprise. Ces pratiques devront être appliquées par du personnel compétent et dont les opérations devront être supervisées et contrôlées ;
• les contrôles comptables ou financiers qui se caractérisent par une organisation et des procédures directement liées à la préservation des actifs et à la fiabilité des états financiers.
À notre avis, l’approche « actuelle » du contrôle interne correspond à la définition proposée par le CNCC (Compagnie Nationale des Commissaires aux Comptes) qui reflète le mieux l’approche actuelle.
« Les procédures de Contrôle Interne impliquent : le respect des politiques de gestion, la sauvegarde des actifs, la prévention et la détection des fraudes, l’exactitude et l’exhaustivité des enregistrements comptables, l’établissement en temps voulu d’informations comptables et financières stables. » (Norme CNCC 2-301 « Évaluation du risque et Contrôle Interne », para 08, Référentiel normatif CNCC, juillet 2003.)
L’approche actuelle est donc plus large que l’approche classique car :
• le Contrôle Interne est abordé en termes de processus et plus seulement en termes de techniques et de dispositifs de sécurité ;
• elle replace l’ensemble du personnel de l’entreprise au cœur du Contrôle Interne.
I.1.2 Le modèle proposé par le COSO
À la suite d’une série de faillites « anormales » aux États-Unis dans les années 80, une commission, sous la responsabilité du sénateur Treadway, entreprend une étude sur un cadre de contrôle. Ce travail aboutit en 1992 au premier instrument de Contrôle Interne : le COSO. La question élémentaire de ce modèle est « comment faire pour maîtriser au mieux ses activités ? ».
Le COSO propose la définition du Contrôle Interne suivante :
Le Contrôle Interne est un processus mis en œuvre par le Conseil d’Administration, les dirigeants et le personnel d’une organisation, destiné à fournir une assurance raisonnable quant à la réalisation des objectifs suivants :
• la réalisation et l’optimisation des opérations,
• la fiabilité des informations financières,
• la conformité aux lois et aux réglementations en vigueur.
Ainsi le Contrôle Interne n’offre pas de garantie absolue car il ne permet pas de réaliser complètement les objectifs fixés par les responsables d’une organisation, mais fournit uniquement « une assurance raisonnable » quant à l’atteinte de ces objectifs.
En ce sens, nous pouvons ajouter que le Contrôle Interne ne rend pas la fraude impossible, ce n’est qu’un moyen préventif de la limiter au maximum ou de la découvrir aussitôt que possible.
Le COSO découpe les éléments du Contrôle Interne en 5 parties :
• environnement de contrôle,
• évaluation des risques,
• activités de contrôle,
• information et communication,
• pilotage.
Remarque
Le « COSO 2 » est une étude réalisée aux États-Unis à la suite de Sarbanes-Oxley Act (SOX). Il ne propose pas un référentiel de Contrôle Interne (à l’instar du COSO) mais un modèle de gestion des risques. Il s’appuie sur le COSO comme référentiel de Contrôle Interne.
Environnement de contrôle
L’environnement de contrôle constitue la base de la construction du Contrôle Interne COSO. Cette notion d’environnement de contrôle implique une éthique et une politique générale sensibilisée au contrôle.
L’éthique se diffuse grâce à un conseil d’administration et un management conscients de la nécessité de montrer l’exemple (intégrité) et de déployer une culture de l’entreprise valorisant le besoin de contrôle auprès du personnel.
Une politique s’appuie sur des normes et procédures appropriées, sur un code de conduite valorisant l’adhésion aux valeurs de l’organisation, sur une conception des systèmes et une exploitation quotidienne adaptées à l’organisation et sécurisées, et sur des valeurs humaines.
Évaluation des risques
L’évaluation des risques réside dans la détection et l’analyse des facteurs susceptibles de perturber la réalisation des objectifs. C’est un processus continu et répétitif.
Les risques couverts sont aussi bien internes qu’externes, avec une attention particulière aux risques spécifiques et aux changements.
La finalité est d’aboutir à une gestion des risques. Cette gestion présuppose la classification en deux grandes catégories : le risque non acceptable et le risque acceptable et résiduel.
L’étape préliminaire et obligatoire à l’évaluation des risques est la définition des objectifs.
Activités de contrôle
Les activités de contrôle sont le contrôle de la mise en application des normes et des procédures définies par la direction et le management dans la dynamique de la maîtrise des risques.
On peut décliner les activités de contrôle en plusieurs catégories :
• contrôle détectif / contrôle préventif,
• contrôle informatique / contrôle manuel,
• contrôle hiérarchique / contrôle opérationnel.
Une attention particulière sera apportée aux activités informatiques de contrôle. Un exemple de référentiel de Contrôle Interne sur les systèmes d’information avec la formalisation de points de contrôle, de risques associés et de bonnes pratiques est proposé dans le chapitre VII.7.
Information et communication
L’information doit être pertinente, précise, exacte, en temps voulu et diffusée au bon destinataire. Sa circulation doit être multidirectionnelle (descendante, ascendante et transversale), et intégrer les informations externes.
La communication est l’outil indispensable pour la transmission de l’information – notamment les directives de la Direction Générale – et ses caractéristiques essentielles sont l’efficacité et la clarté.
Pilotage
Le système de pilotage permet de valider que le Contrôle Interne est efficace. Il doit intégrer le traitement des faiblesses de Contrôle Interne détectées dans le but de renforcer l’atteinte des objectifs.
Ce système permet au management d’assumer son rôle de maître d’œuvre du dispositif de Contrôle Interne.
Cas pratique d’application au sein d’une société industrielle
Une société, acteur majeur sur son marché, « la distribution », a réalisé un diagnostic sur son environnement de Contrôle Interne afin de rédiger son rapport LSF.
Cette société s’appuie sur une organisation décentralisée, une responsabilisation de ses dirigeants et des modes de gestion différents.
Il ressort de ce diagnostic les dysfonctionnements énumérés ci-dessous.
Absence :
• d’acteur fédérateur au siège et de leader du pilotage pour assurer l’harmonie...
Origine et enjeux
de la gouvernance
II.1 Historique du concept
L’origine du mot est grecque kubernân, il signifie piloter un navire ou un char. Il fut utilisé pour la première fois par Platon pour désigner le fait de gouverner les hommes. Il a donné naissance au verbe latin gubernare. Le mot latin a engendré en Français les notions de gouverner, gouvernement, gouvernance, etc.
Le mot anglais « governance » est apparu dans les années 1990 par des économistes dans le cadre des dérives du système boursier.
Il est également utilisé à cette période par certaines institutions internationales (ONU, Banque mondiale et FMI). Il s’agit de désigner « l’art ou la manière de gouverner », mais avec le souhait de séparer le terme du gouvernement en tant qu’institution, la gouvernance dépasse dans cette optique le simple gouvernement ou président ou chambre des députés… En utilisant restaurant un vocable peu usité, on souhaite promouvoir un nouveau mode de gestion des affaires publiques fondé sur la participation de la société civile à tous les niveaux (national, mais aussi local, régional et international).
Le concept s’inscrit dans une constellation d’idées liées à la mondialisation. Ce serait un processus d’organisation et d’administration des sociétés humaines, dans le respect et l’épanouissement de leurs diversités.
À cette notion s’ajoute celle de « développement durable » apparue dans les années 70. La gouvernance allant au delà du simple gouvernement a pour objectif de promouvoir cette démarche globalisante, intégrant dans les calculs ce qui est oublié (détérioration d’éléments vitaux comme les espèces) et donc contraignant chacun à assumer une juste part du fardeau. Le développement doit intégrer l’idée des générations futures.
II.2 La gouvernance d’entreprise
La gouvernance d’entreprise est l’ensemble des organes et règles de décision, d’information, de transparence et de surveillance permettant aux ayants droit et partenaires d’une institution, de voir leurs intérêts respectés et leurs voix entendues dans le fonctionnement de celle-ci.
En France, c’est la loi du 3 juillet 2008 portant diverses dispositions d’adaptation du droit des sociétés au droit communautaire (dite « loi DDAC ») vient renforcer les lois NRE et sécurité financière. Elle augmente les obligations de transparence des sociétés en matière de gouvernement d’entreprise et de contrôle interne. Ainsi, les articles L. 225-37 et L. 225-68 du Code de commerce prévoient que le président de conseil d’administration ou du conseil de surveillance, de sociétés faisant appel public à l’épargne, doit établir un rapport rendu public précisant :
– la composition, les conditions de préparation et d’organisation des travaux du conseil et les procédures de contrôle interne ;
– le code de gouvernement d’entreprise auquel la société a choisi de se référer ou, à défaut, les règles retenues par cette société en complément des exigences requises par la loi ;
– les modalités particulières relatives à la participation des actionnaires à l’assemblée générale.
La gouvernance d’entreprise est donc basée sur une transparence accrue des décisions, des qualités de chacun, des acteurs de la décision et des comptes eux-mêmes.
II.3 La gouvernance imposée par les lois et les réglementations
Dans un contexte de globalisation croissante, les grands acteurs économiques se doivent aujourd’hui de penser à l’échelle mondiale quand il s’agit d’asseoir leur position dans n’importe quels industries ou secteurs que ce soit. Ce postulat entraîne pour les groupes français de modeler leur organisation de manière flexible et décentralisée afin d’offrir une réelle efficacité lorsqu’il s’agit de gérer des centaines d’entités juridiques à travers le monde et de jongler avec des organisations matricielles de plus en plus complexes impliquant de multiples strates dans les processus de décision.
Une nécessaire subsidiarité, reposant sur la délégation des pouvoirs et la responsabilisation à différents niveaux de l’organisation, s’accompagne systématiquement de mesures et de dispositifs de contrôle pour s’assurer justement que les pouvoirs et les opérations délégués obéissent aux règles et entrent dans un cadre qui a été préalablement fixé.
Dans le cadre de la gouvernance, le législateur qu’il soit américain ou européen a depuis la fin des années 1990 cherché à définir les règles et principes qui régissent la gestion d’entreprise.
La « corporate governance » (cf. supra), concept défini par les...
L’analyse des risques
III.1 Qu’est-ce qu’un risque ?
Dans le chapitre I, nous avons donné au Contrôle Interne la définition suivante :
« Le Contrôle Interne est une démarche permanente de détermination des risques ayant pour objectif la maîtrise permanente des activités. »
Il s’agit donc d’identifier les risques auxquels sont confrontées les organisations pour être en mesure de les gérer.
D’une façon théorique la notion de risque peut se décrire de la façon suivante :
Le risque est la possibilité qu’un événement se produise et ait une incidence défavorable sur la poursuite et/ou l’atteinte des objectifs et/ou sur les actifs de l’entreprise. L’événement doit être potentiel et sa potentialité de survenance doit être évaluée.
La gestion des risques suit quatre phases :
• l’identification des menaces,
• la hiérarchisation des risques identifiés,
• le traitement des risques,
• la mise en adéquation de la responsabilité de leur gestion.
III.1.1 Typologie des risques
L’éventualité de survenue d’un risque repose sur l’existence de causes potentielles qui pèsent de fait sur les organisations. Comme l’indique la figure « Typologie des risques » à la page suivante, nous avons choisi dans notre méthodologie de classer ces menaces/risques selon deux origines et trois grandes catégories :
• celles dues au hasard : aléas naturels,
• celles dues à l’homme : erreurs et malveillance (externe et interne).
III.1.2 Niveaux de risque
Les risques peuvent être de différents niveaux :
III.1.3 La méthode de classement des risques en risques majeurs, courants et de non-qualité
La prise en compte de ces menaces permet d’identifier avec les acteurs concernés des scénarios de risques. En effet, nous verrons un peu plus loin que la découverte des risques et des scénarios associés se fait à l’aide des séances dite de créativité avec les collaborateurs de chaque entité étudiée. L’objectif, comme nous l’avons déjà explicité, est de faire en sorte que chacun des acteurs soit capable de gérer ses propres risques, là où il est pour ce qui le concerne et en toutes circonstances.
Typologie des risques d’après leurs causes
Les aléas naturels | Les erreurs | La malveillance |
|---|---|---|
Catastrophes naturelles : – éruption volcanique, – tremblement de terre, – inondation, avalanche, – glissement de terrain, – orage (perturbations – électromagnétiques, foudre), – cyclone, raz de marée, – pollution naturelle (organique, biologique, etc.). Accidents : – de travail, – de transport (terrestre, maritime, aérien, fluvial), – incendie, – dégât des eaux, – chute, – court-circuit, – explosion, – bris de machine, d’outillage, – de climatisation, de chauffage, Pannes : – franche de matériel, – latente (dysfonctionnements), – de fluide (alimentation, conversion), – de réseau (téléphone, télécom, etc.), – dégradation rapide des performances (temps de réponse, taux d’interruptions, etc.), – vice caché, – « bogue » de constructeur de logiciel, – suite modification des normes techniques. Aléas conjoncturels : – baisse de la demande, – hausse imprévue de la demande. Défaillances en matière de personnel : – maladie contagieuse (incapacité temporaire), – décès, – intoxication (alimentaire, chimique, etc.), – démission, départ en retraite de personnel ou stratégique (unitaire, massif). | – Erreurs de saisie (mauvaise saisie, oubli, etc.). – Erreurs de transmission (courrier, télécom, etc.). – Erreurs d’application de la réglementation. – Erreurs de manipulations. | Sabotages : – de biens matériels (immeubles, mobilier, informatique, etc.), – des données (dossiers manuels ou informatiques, etc.), – des programmes informatiques, – gaspillages (temps perdu, fournitures, etc.). Agressions : – verbales envers le personnel, – physiques du personnel en vue de voler des valeurs. Vols : – vols de biens matériels, – fraudes par accumulation progressive ou gros détournement. Atteintes à la confidentialité : – vol de données, – consultation illicite d’informations, – copie illicite de données, – piratage informatique. |
