Articulation entre le contrôle interne et le management

- 1 -

Articulation entre le contrôle interne et le management des risques

Youssef GHANDARI

Enseignant chercheur, ENCG de Settat

Université Hassan 1er

Khalid KHATOURI

Doctorant, Laboratoire des Etudes en Finance, Comptabilité et Gestion

ENCG de Settat

Résumé

Dans cet article, nous avons pu mettre en articulation le contrôle interne et le management du

risque. La démarche déductive que nous avons adoptée dans ce papier a montré que le

contrôle interne a connu une évolution spectaculaire. Il est passé, dans l’espace de quelques

années, du stade de la bonne pratique dans de nombreuses sociétés à travers le monde vers un

processus normalisé et intégré, cadré par des référentiels reconnus sur le plan international (le

cadre référentiel COSO notamment).

Le contrôle interne a pour objectif de définir les contours du portefeuille de risques et de

fournir une assurance raisonnable quant à la réalisation des objectifs de l’organisation. De son

côté, le management des risques doit augmenter la probabilité de succès et réduire la

probabilité d’échec et l’incertitude qui s’y attache. C’est à ce niveau que se situe l’importance

de traiter l’articulation entre le contrôle interne et le management des risques.

- 2 -

Introduction

Les organisations sont en permanence confrontées à l’amélioration de leurs performances

dans un environnement qu’elles souhaitent sécuriser. Cette amélioration est de plus en plus

recherchée à travers une décentralisation de la prise de décisions pour en assurer la pertinence

et la mise en œuvre rapide. Dans ces conditions, le management d’entreprise est naturellement

amené à s’interroger sur la maîtrise du fonctionnement de l’organisation.

Le présent article porte sur l’articulation entre le contrôle interne et le management des

risques, L’articulation et l’équilibre conjugué des deux dispositifs sont conditionnés par

l’environnement de contrôle, qui constitue leur fondement commun, notamment : la culture

du risque et du contrôle propres à l’organisation et les valeurs éthiques de cette dernière.

1. Cadre conceptuel du contrôle interne et management de risque

Cette section porte sur les aspects conceptuels du contrôle interne et le management des

risques. Il s’agira de présenter le concept du contrôle interne tout en cernant les tenants et les

aboutissants de ce dispositif et en faisant la liaison avec le référentiel COSO.

1.1. Présentation du contrôle interne

Le Système de contrôle interne s’est développé en parallèle avec l’évolution de la taille des

entreprises ainsi que la complexité de l’environnement de l’entreprise , un environnement en

mutation permanente d’où la nécessité d’adopter un dispositif ayant pour finalité de vérifier

que les règles édictées sont respectées et que tous les moyens sont engagés pour atteindre les

objectifs stratégiques de l’entreprise , un dispositif qui n’est autre que le système de contrôle

interne .

Les définitions du Contrôle interne ont été nombreuses et ont eu le plus souvent comme

auteurs des organisations professionnelles de comptables. Elles ont été modifiées au fur et à

mesure que le temps et l'environnement de l'entreprise ont évolué. Il nous semble intéressant

de présenter quelques définitions pertinentes et universelles et qui ont apporté un aperçu

global sur le concept et les objectifs du Contrôle interne.

Selon l'Ordre des Experts Comptables Français en 1977 : « Le Contrôle Interne est

l'ensemble des sécurités contribuant à la maîtrise de l'entreprise. Il a pour but d'assurer la

protection, la sauvegarde du patrimoine et la qualité de l'information, de l'autre l'application

des instructions de la Direction et de favoriser l'amélioration des performances. Il se manifeste

- 3 -

par l'organisation, les méthodes et les procédures de chacune des activités de l'entreprise, pour

maintenir la pérennité de celle-ci ».1

Selon la Compagnie Nationale des Commissaires aux Comptes Français en 1987 : « Le

Contrôle Interne est constitué par l'ensembles des mesures de contrôle comptable , que la

direction définit, applique et surveille, sous sa responsabilité, afin d'assurer la protection du

patrimoine de l'entreprise et la fiabilité des enregistrements comptables et des comptes

annuels qui en découlent »2.

Selon l’IFACI : « Le contrôle interne est un dispositif de la société, défini et mis en œuvre

sous sa responsabilité. Il comprend un ensemble de moyens, de comportements, de

procédures et d’actions adaptés aux caractéristiques propres de chaque société qui contribue à

la maîtrise de ses activités, à l’efficacité de ses opérations et à l’utilisation efficiente de ses

ressources, et doit lui permettre de prendre en compte de manière appropriée les risques

significatifs, qu’ils soient opérationnels, financiers ou de conformité ».3

Toutes ces définitions institutionnelles données au contrôle interne nous ont servi à cerner le

concept de contrôle interne et le présenter comme l’ensemble des procédures, des moyens, des

comportements et des méthodes mis en place et définit par la direction et qui contribuent à la

maitrise des activités.

1.2. Présentation du management des risques

Le management des risques traite des risques et des opportunités ayant une incidence sur la

création ou la préservation de la valeur. Il se définit comme suit :

« Le management des risques est un processus mis en œuvre par le Conseil d’administration,

la direction générale, le management et l'ensemble des collaborateurs de l’organisation. Il est

pris en compte dans l’élaboration de la stratégie ainsi que dans toutes les activités de

l'organisation. Il est conçu pour identifier les événements potentiels susceptibles d’affecter

l’organisation et pour gérer les risques dans les limites de son appétence pour le risque. Il

vise à fournir une assurance raisonnable quant à l'atteinte des objectifs de l'organisation. » 4.

2Grand B, Verdalle B, 1999. Audit Comptable et Financier. Paris, Economica, p63 3Institut français de l’audit et du contrôle interne, www.ifaci.com/ifaci/connaitre-l-audit-et-le-controle-

interne/definitions-de-l-audit-et-du-controle-interne.

- 4 -

Cette définition met l’accent sur certains concepts fondamentaux. Le dispositif de

management des risques :

- Est un processus permanent qui irrigue toute l’organisation,

- Est mis en œuvre par l’ensemble des collaborateurs, à tous les niveaux de

l’organisation,

- Est pris en compte dans l’élaboration de la stratégie,

- Est mis en œuvre à chaque niveau et dans chaque unité de l’organisation et permet

d’obtenir une vision globale de son exposition aux risques,

- Est destiné à identifier les événements potentiels susceptibles d’affecter l’organisation,

et à gérer les risques dans le cadre de l’appétence pour le risque,

- Donne à la direction et au Conseil d’administration une assurance raisonnable (quant à

la réalisation des objectifs de l’organisation),

- Est orienté vers l’atteinte d’objectifs appartenant à une ou plusieurs catégories

indépendantes mais susceptibles de se recouper.

Cette définition est volontairement large. Elle intègre les principaux concepts sur lesquels

s’appuient les entreprises pour définir leur dispositif de management des risques et se veut

une base pour la mise en œuvre d’un tel dispositif au sein d’une organisation, d’un secteur

industriel ou d’un secteur d’activité. Elle est centrée sur l’atteinte des objectifs fixés pour une

organisation donnée, et constitue en cela une base pour la définition d’un dispositif de

management des risques efficace.

L’efficacité d’un dispositif de management des risques peut s’apprécier en vérifiant que

chacun des huit éléments est en place dans l’organisation à savoir5 :

Environnement interne ;

Fixation des objectifs ;

Identification des événements ;

Evaluations des risques ;

Traitement des risques ;

- 5 -

Activités de contrôle ;

Information et communication ;

Pilotage.

L’existence et le bon fonctionnement de ces éléments constituent donc un critère d’efficacité

du dispositif de management des risques. Un dispositif efficace exclut toute faiblesse majeure

dans l’un des éléments, et peut justifier que le niveau des risques est contenu dans les limites

de l’appétence pour le risque de l’organisation.

Lorsque le dispositif de management des risques s’avère être efficacement géré pour chacune

des catégories d’objectifs, le Conseil d’administration et la direction de l’organisation peuvent

considérer qu’ils ont une assurance raisonnable de disposer d’une vision claire sur la façon

dont les objectifs stratégiques et opérationnels de l’entité sont en passe d’être atteints, de la

fiabilité du reporting et du respect des lois et règlements applicables.

2. Cadre référentiel du contrôle interne et management des risques

Compte tenu des objectifs et de l’importance que revêtent le contrôle interne et le

management des risques pour l’entreprise, la mise en place d’un référentiel assurant la

normalisation s’imposait, ce référentiel n’est autre que celui du Committee Of Sponsoring

Organisations of the Treadway Commission (COSO).

2.1. Référentiel COSO (version 1992)

A l’origine, en 1985, cinq associations professionnelles aux Etats-Unis6, se sont alliées pour

la création de la « Treadway Commission ». Cette commission fut chargée de mener une

étude sur les facteurs pouvant inciter à fournir des informations financières frauduleuses ce fut

l’émergence du modèle COSO qui est l’acronyme abrégé de Committee Of Sponsoring

Organisations of the Treadway Commission.

Le COSO a défini dans sa version éditée en 1992 le contrôle interne comme :

un processus mis en œuvre par le Conseil d’Administration, les dirigeants et le personnel d’une

organisation, destiné à fournir une assurance raisonnable quant à la réalisation des 3 objectifs

suivants : La réalisation et l’optimisation des opérations, la fiabilité des informations

6 The American Accounting Association, The American Institute of Certified Public Accountants, Financial Exécutives

International , The Institute of Internal Auditors , The National Association of Accountants maintenant appelé The Institute of Management Accountants.

http://www.bpms.info/lexique/processus/

- 6 -

financières et de gestion, la conformité aux lois et aux réglementations en vigueur. Les

différentes composantes du contrôle interne selon le modèle se présentent comme suit 7 :

- L'environnement du contrôle :

L’environnement de contrôle est un élément très important de la culture d'une entreprise,

puisqu'il détermine le niveau de sensibilisation du personnel au besoin de contrôle et leur

degré d’acceptabilité à l’égard de ce dispositif. Il constitue justement le fondement de tous les

autres éléments de Contrôle Interne.

- L'analyse de risques :

Toute organisation est exposée à une multitude de risques tant externes qu'internes. L'analyse

de risques consiste justement à définir le niveau et le type de risque acceptable, à l’évaluer

régulièrement et à entrevoir des mesures de traitement des risques identifiés soit en subissant

ces risques, ou en les réduisant ou en les transférant.

- Activités de contrôle :

Ce composant inclut toutes les procédures mises en place par le management afin de s’assurer

que les opérations sont effectivement bien exécutées. Ces activités correspondent « à

l'ensemble des politiques et des procédures mises en place pour maîtriser les risques et réaliser

les objectifs de l'organisation. Pour être efficaces, les activités de contrôle doivent être

appropriées ; fonctionner de manière cohérente, conformément aux plans, tout au long de la

période ; respecter un équilibre entre coût et bénéfices ; être exhaustives, raisonnables et

directement liées aux objectifs du contrôle »8.

- Information et communication :

L'information et la communication sont essentielles à la réalisation de l'ensemble des objectifs

du contrôle interne. Elles aident l'organisation à évaluer ses performances et l'efficacité de ses

opérations. Ce composant vise essentiellement le système d’information qui constitue la

plateforme de traitement de stockage et de diffusion de l’information utile aux différents

acteurs au sein de l’entreprise.

7 COSO - Référentiel intégré de contrôle interne : l’évolution du référentiel COSO du contrôle interne au management des

risques, page 122, édition 2014, IFACI et Pricewaterhousecoopers.

8 Comité des normes de contrôle interne (Cour des comptes de Belgique), Lignes directrices sur les normes de contrôle interne à promouvoir dans le secteur public, p31

- 7 -

- Pilotage :

Les systèmes de Contrôle Interne évoluent et changent avec le temps, ainsi que la manière

dont les contrôles sont exécutés. Ils peuvent se révéler efficaces pendant un certain temps, du

fait qu'ils aient été conçus pour répondre à une situation donnée et spécifique, et devenir

insuffisants une fois la situation changée. Le pilotage implique donc « l'évaluation critique,

par le personnel approprié, de la manière dont les contrôles sont conçus, des délais

d'exécution et de la façon dont sont prises les mesures nécessaires »9.

2.2. COSO 2 - version 2004

Le COSO 2 propose un cadre de référence pour la gestion des risques de l’entreprise. Le

management des risques de l’entreprise est un processus mis en œuvre par le conseil

d’administration, les dirigeants et le personnel d’une organisation, exploité pour l’élaboration

de la stratégie et transversal à l’entreprise, destiné à identifier les événements potentiels

pouvant affecter l’organisation, maîtriser les risques afin qu’ils soient dans les limites de

l’appétence au risque et fournir une assurance raisonnable quant à la réalisation des objectifs

de l’organisation.

En effet, l’évolution du contexte économique de plus en plus risqué pousse les entreprises à

se munir d’un processus de maitrise des risques efficace cela nous mène à s’intéresser

davantage aux différences entre le COSO et le COSO 2. Les différences majeures que l’on

peut mettre en exergue entre les deux versions peuvent être résumées comme suit :

Tout d’abord, le COSO 2 a la particularité de parler à la fois de risque quand un

évènement impacte négativement l’entreprise mais aussi d’opportunité quand l’impact

est positif alors que le COSO ne traitait pas la notion de l’opportunité.

Le COSO 2 introduit aussi la notion d’ « appétence au risque » qui se définit comme

étant le niveau de risque auquel l’entreprise est prête à faire face.

Ensuite, le COSO 2 prend en compte les objectifs stratégiques en plus des objectifs

opérationnels, de reporting et de conformité du COSO initial.

Il est finalement nécessaire de soulever aussi que le COSO 2 donne une dimension d’analyse

supplémentaire en instaurant une maitrise des risques de toutes les strates de l’entreprise

(filiale, unité, division). Il en résulte alors que le référentiel COSO est une approche qui a

9 Price Waterhouse, IFACI, 2004. La pratique du Contrôle Interne. Paris, édition d'organisation, p96.

- 8 -

défini les fondamentaux du contrôle interne cependant, pour mieux tenir compte de

l’évolution de l’environnement économique et réglementaire dans lequel évoluent les

organisations et les nouveaux risques auxquels sont confrontées les entreprises une mise à

jour importante du référentiel a vu le jour en 2013.

2.3. COSO 3 - version 2013

Le COSO 2013 a été conçu suite à une révision de l’édition initiale de 1992 dans le but

d’assister les entreprises dans l’adaptation de leur contrôle interne aux enjeux de leur

environnement , dans ce même contexte le COSO 2013 a fourni également des exemples

d’outils d’évaluation de l’efficacité d’un système de contrôle interne afin d’aider les

utilisateurs à documenter leur évaluation des risques, à déterminer le périmètre d’action et à

entreprendre les démarches requises pour maitriser et cerner ces risques. La vocation est

toujours la même celle de fournir une assurance raisonnable à l’organisation quant à la

fiabilité de ses reporting et informations financières, quant à la conformité de ses procédures

aux lois et réglementations professionnelles en vigueur et quant à la réalisation de ses

opérations avec optimisation des ressources.

Il en résulte que l’objectif de la mise à jour du référentiel COSO est l’adaptation du dispositif

de contrôle interne aux enjeux d’aujourd’hui et de demain, justement le projet a permis de

prendre du recul par rapport aux évolutions des vingt dernières années, depuis la parution du

référentiel d’origine ceci nous mène une autre fois à s’interroger davantage sur les apports de

cette publication, qui ne cesse de s’actualiser en vue de répondre aux nouvelles exigences de

l’environnement de l’entreprise, le but justement est de permettre à l’entreprise de mieux

cerner ses activités et mieux appréhender son futur, l’essentiel de ces apports sont les

suivants :

- L’élargissement du domaine d’application au-delà du reporting financier, en effet cette

version met l’action aussi sur la responsabilité sociale et environnementale ;

- Le renforcement des attentes en matière de gouvernance ;

- L’articulation des 3 « lignes de maîtrise » dans l’organisation cette articulation fait

référence aux opérationnels, aux fonctions support, et à l’audit interne ;

Les principales évolutions apportées par cette nouvelle version du référentiel sont aussi

introduites au travers de la codification des 17 principes sous-jacents aux 5 composantes du

- 9 -

contrôle interne, il s’agit autrement dit de points que l’auditeur interne ou bien externe devrait

vérifier en vue de fournir une assurance raisonnable quant à la conformité des procédures aux

règles et instructions édictées par l’entreprise. Il s’agit également de principes qui ont pour

finalité de déceler les nouveaux niveaux de risques auxquels sont confrontées les entreprises

d’aujourd’hui en prenant en considération les différentes évolutions et mutations

technologiques de leur environnements (risques liés aux évolutions technologiques , des

risques liés à la maitrise des fraudes et des risques liés à la sous-traitance et à la qualité des

relations qu’entreprend l’organisation avec ses partenaires externes en général).

3. Articulation entre le contrôle interne et le management des risques

Il appartient à chaque entreprise de mettre en place des dispositifs de gestion des risques et de

contrôle interne adaptés à sa situation.

Dans le cadre d’un groupe, la société mère veille à l’existence de dispositifs de gestion des

risques et de contrôle interne au sein de ses filiales. Ces dispositifs devraient être adaptés à

leurs caractéristiques propres et aux relations entre la société mère et les filiales.

3.1. Processus de contrôle interne et sa mise en place

Techniquement, un « système de contrôle interne » s’articule autour des critères relatifs à

l’organisation, à la documentation et à la traçabilité. Toute entité, tout processus et toute

opération participant à la mise en œuvre d’une politique publique doit intégrer ces trois

critères. Pour maîtriser les risques associés à l’atteinte des objectifs, les tâches individuelles et

collectives doivent être organisées, documentées et traçables.

Pour ce faire, le développement d’un système de contrôle interne doit s’appuyer sur un

processus continu intégrant tous les processus et activités.

3.1.1. Les objectifs et leur déclinaison opérationnelle

Un « système de contrôle interne » ne fait sens qu’en fonction des objectifs de l’entité. Ces

objectifs comprennent les objectifs généraux ou stratégiques, qui concernent l’entité dans son

ensemble, et les objectifs opérationnels, déclinaison des objectifs généraux au niveau de

chaque processus et de chaque activité de l’entité.

Les objectifs d’un processus et d’une activité sont déterminés en fonction des objectifs de

l’échelon supérieur. Les objectifs doivent être significatifs, compréhensibles par tous et

- 10 -

mesurables. La somme des objectifs doit être cohérente avec les missions de l’entité afin d’en

garantir l’alignement stratégique.

La déclinaison des objectifs au sein de l’entité fournit le cadre de travail de chacun des

acteurs. La qualité de la communication des objectifs est donc essentielle pour assurer la

bonne conduite des opérations. Tous les acteurs de l’entité doivent être régulièrement

informés sur les objectifs à poursuivre ainsi que sur les indicateurs permettant de les mesurer.

3.1.2. L’environnement et l’organisation du contrôle interne

La culture de l’entité, dans laquelle s’inscrivent ses missions et objectifs, est un élément

déterminant du contrôle interne. L’identification et le partage des valeurs de l’entité, la

détermination d’un périmètre stable et la clarification des responsabilités des uns et des autres

sont des prérequis pour toute démarche de contrôle interne. Pour être pertinent, un « système

de contrôle interne » doit s’appuyer sur la culture de l’entité, sur ses valeurs et sur tous les

éléments qui influencent le comportement des personnels au quotidien.

Les éléments qui participent à l’appropriation des valeurs de l’entité doivent être formalisés et

faire l’objet de formation et d’actions de communication interne, notamment à l’attention des

nouveaux arrivants. Il peut s’agir, par exemple, d’une charte d’éthique, d’une charte de

valeurs, d’un code de déontologie, d’un document décrivant la politique et les pratiques de

gestion des ressources humaines, d’un règlement intérieur ou de tout autre code de procédures

internes.

Le principe d’exemplarité est fondamental pour la mise en place d’un « système de contrôle

interne ». Le premier responsable et les directeurs de l’entité doivent faire preuve

d’exemplarité dans leurs actions quotidiennes afin d’inspirer à leurs collaborateurs un

comportement en lien avec les valeurs de l’entité. Les règles de conduite et d’intégrité guident

l’activité de l’entité. C’est selon ce contexte, propre à chaque entité et porté au plus haut

niveau hiérarchique, qu’un « système de contrôle interne » efficace pourra se développer.

L’établissement d’une cartographie des processus (processus métiers, supports, de gestion et

de pilotage) et la modélisation de chacun d’eux, est une étape d’analyse nécessaire à la mise

en place d’un « contrôle interne » global, qui ne peut aboutir que grâce à la mobilisation de

tous les échelons de responsabilité de l’entité. Pour la mener à bien, l’entité doit avoir une

vision claire de son périmètre d’intervention et connaître en détail les processus, activités et

- 11 -

fonctions permettant la mise en œuvre de sa politique générale. Sa stratégie et ses objectifs

vont déterminer le périmètre couvert par le « système de contrôle interne ».

La cartographie doit notamment permettre de faire apparaître toutes les relations à l’œuvre

dans l’entité : relations hiérarchiques, relations fonctionnelles, relations contractuelles. Elle

permet également l’identification des instances de gouvernance interne chargée de la

surveillance générale de l’entité. L’organigramme, la cartographie des processus et leur

modélisation, les délégations de pourvoir et de signature, les contrats de gestion ou de service,

les lettres de missions et les fiches de description de poste sont autant d’outils utiles à la

clarification des responsabilités. Grâce à eux, chaque collaborateur connait sa mission, ses

objectifs, ses pouvoirs et se sent pleinement responsable de sa tâche. La structuration des

processus permet de préciser les responsabilités et les pouvoirs de tous les acteurs au sein de

l’entité.

3.2. Management et cartographie des risques

La démarche d’évaluation des risques consiste à identifier les risques susceptibles de

compromettre la réalisation des objectifs de l’entité, d’analyser ces risques et d’assurer le

suivi de leur gestion.

Pour chaque objectif identifié, généraux et opérationnels, un voire plusieurs risques peut être

identifiés. Une fois identifiés, les risques généraux ou stratégiques peuvent servir de facteur

commun (catégories de risques) afin de faciliter l’identification des risques opérationnels

retracés dans les référentiels de contrôle interne.

Le moyen le plus adéquat pour procéder à l’identification des risques associés à chaque

objectif est d’utiliser la cartographie des risques de l’entité, développée en général par un

service spécialisé en gestion des risques, ou le cas échéant en l’absence d’un tel service, avec

l’assistance de l’audit interne.

Au cas où l’entité ne dispose pas de cartographie de ses risques, chaque responsable de

processus doit participer à l’identification des risques le concernant, qui viennent alimenter le

référentiel de contrôle interne. Dans cette situation, plusieurs méthodes sont possibles. L’une

d’entre elles repose sur la conduite d’une démarche au niveau central, coordonnée par une

équipe spécialisée. Dans tous les cas, il importe de conserver une cohérence d’ensemble pour

pouvoir présenter des résultats relatif à l’ensemble des activités de l’entité.

- 12 -

Les résultats de l’analyse des risques donnent une vision des différents niveaux de risques.

Ces résultats apparaissent notamment dans les référentiels de contrôle interne de chaque

processus et activité et pourront alimenter une cartographie des risques.

Cette dernière permet d’afficher le positionnement des risques majeurs ou stratégiques selon

différents axes, tels que l’importance potentielle (impact), la probabilité de survenance ou le

niveau actuel de maîtrise des risques. L’établissement d’une cartographie des risques répond à

différentes finalités, parmi lesquelles :

- aider le management dans l’élaboration de son plan stratégique et sa prise de

décisions. Il s’agit alors d’un outil de pilotage interne ;

- communiquer aux organes de surveillance de l’entité des informations sur la maîtrise

des risques. Conformément aux bonnes pratiques recommandées, il revient au comité

d’audit d’examiner les risques significatifs et leur couverture ;

- orienter le plan d’audit interne en mettant en lumière les processus et activités où se

concentrent les risques majeurs ;

- améliorer ou développer une culture de gestion des risques dans l’entité, notamment

par la mise en place d’outils d’auto-évaluation.

3.3. Articulation entre le contrôle interne et le management des risques

Toute entreprise a pour vocation d’atteindre ses objectifs stratégiques, dans cette perspective

elle doit mettre en place un dispositif capable d’assurer le bon déploiement de ses axes

stratégiques en objectifs à atteindre sur le court et long terme ; un dispositif ayant pour finalité

d’assurer la maitrise des activités internes de l’entreprise et de garantir le respect des

procédures telles qu’elles ont été édictées par les normes en vigueur et les pratiques

professionnelles adoptées dans ce sens. C’est dans cette logique que le contrôle interne trouve

son champ de prédilection. Le contrôle interne fait partie intégrante du dispositif de

management des risques. Ce cadre de référence intègre le contrôle interne, constituant ainsi

une modélisation et un outil de management plus «solide».

Les dispositifs de management des risques et de contrôle interne participent de manière

complémentaire à la maîtrise des activités de l’organisation :

- 13 -

- Le dispositif de management des risques vise à identifier et analyser les principaux

risques de la société. Les risques, dépassant les limites acceptables fixées par

l’organisation, sont traités et le cas échéant, font l’objet de plans d’action. Ces derniers

peuvent prévoir la mise en place de contrôles, un transfert des conséquences

financières (mécanisme d’assurance ou équivalent) ou une adaptation de

l’organisation. Les contrôles à mettre en place relèvent du dispositif de contrôle

interne. Ainsi, ce dernier concourt au traitement des risques auxquels sont exposées les

activités de la société ;

- De son côté, le dispositif de contrôle interne s’appuie sur le dispositif de management

des risques pour identifier les principaux risques à maîtriser ; En outre, ce dernier doit

lui-même intégrer des contrôles, relevant du dispositif de contrôle interne, destinés à

sécuriser son bon fonctionnement.

L’articulation et l’équilibre conjugué des deux dispositifs sont conditionnés par

l’environnement de contrôle, qui constitue leur fondement commun, notamment : la culture

du risque et du contrôle propres à l’organisation et les valeurs éthiques de cette dernière.

Conclusion

Au total, un système de contrôle interne ou système de maîtrise des risques constitue un

système global de gestion des risques à l’échelle d’une entité. La stratégie, les objectifs et les

activités de contrôle des opérations y sont intégrés. Les démarches de contrôle interne et du

management des risques contribuent pleinement au pilotage des politiques menées et, le cas

échéant, permet d’amener l’entité à adapter ses orientations stratégiques dans le but de réduire

son exposition aux risques majeurs.

En cela, la mise en œuvre de tels systèmes favorise l’exercice de la responsabilité par la

sécurisation des procédures (y compris d’allocation des ressources), par l’internalisation et

l’optimisation des contrôles et en fournissant un éclairage dynamique sur la conduite des

opérations.

- 14 -

Notes : 1 Grand B., Verdalle B., 1999. Audit Comptable et Financier. Paris, Economica, p63Grand B,

Verdalle B, 1999. Audit Comptable et Financier. Paris, Economica, p.63

2 Institut français de l’audit et du contrôle interne, www.ifaci.com/ifaci/connaitre-l-audit-et-le-

controle-interne/definitions-de-l-audit-et-du-controle-interne.

3 COSO « Le management des risques de l’entreprise. Cadre de référence », Editions

d’organisation, p.5





6 The American Accounting Association, The American Institute of Certified Public

Accountants, Financial Exécutives International, The Institute of Internal Auditors, The

National Association of Accountants maintenant appelé The Institute of Management

Accountants.

7 COSO - Référentiel intégré de contrôle interne : l’évolution du référentiel COSO du

contrôle interne au management des risques, p.122, édition 2014, IFACI et

Pricewaterhousecoopers.

8 Comité des normes de contrôle interne (Cour des comptes de Belgique), Lignes directrices

sur les normes de contrôle interne à promouvoir dans le secteur public, p.31

9 Price Waterhouse, IFACI, 2004. La pratique du Contrôle Interne. Paris, édition

d'organisation, p.96.

http://www.ifaci.com/ifaci/connaitre-l-audit-et-le-controle-

http://www.ifaci.com/ifaci/connaitre-l-audit-et-le-controle-

- 15 -

Bibliographie

AMF, Résultats des travaux du groupe de place établi sous l’égide de l’AMF, le dispositif de

contrôle interne : cadre de référence IFACI. Paris Janvier 2007.

CORDEL (Frédéric), LEBEGUE (Daniel) « Gestion des risques et contrôle interne : De la

conformité à l'analyse décisionnelle », Vuibert 2013.

Cour des comptes de Belgique (Comité des normes de contrôle interne), Lignes directrices sur

les normes de contrôle interne à promouvoir dans le secteur public.

DARSA (Jean-David) « La gestion des risques en entreprise » Editeur : Gereso 2013.

Grand B., Verdalle B., 1999. Audit Comptable et Financier. Paris, Economica.

IFACI PRICEWATERHOUSE COOPERS, LANDWELL& ASSOCIES « Le management

des risques de l’entreprise (Rapport COSO II) » Editions d’Organisation, 2006.

IFACI,www.ifaci.com/ifaci/connaitre-l-audit-et-le-controle-interne/definitions-de-l-audit-et-

du-controle-interne.

IFACI, Price Waterhouse Coopers, Pocket guide COSO 2013 : Une opportunité pour

optimiser votre contrôle interne dans un environnement en mutation.

IFACI, Price Waterhouse, la pratique du Contrôle Interne. Paris, édition d'organisation 2004.

RENARD (Jacques), « Théorie et pratique de l’Audit Interne »,8ème édition, Eyrolles 2013.

RENARD (Jacques), « Comprendre et mettre en œuvre le contrôle interne »,Eyrolles 2013.

MASSELIN (Jean-Luc), MADERS (Henri-Pierre) « Contrôle interne des risques - Cibler -

Evaluer - Organiser - Piloter – Maîtriser » Eyrolles 2014.

Documents

Articulation entre le contrôle interne et le management