Embed Size (px)
Citation preview
mardi 9 janvier 2018
Sommaire
BM&AConduite opérationnelle d'un diagnostic du dispositif de contrôle interneRevue Française De Comptabilité - 01/01/2018
4
BM&A
Conduite opérationnelled'un diagnosticdu dispositif decontrôle interneIl relève de la responsabilité des dirigeants de connaîtreles risques auxquels leur entreprise est exposée et deles anticiper plutôt que de les subir, en procédant àdes arbitrages réfléchis et mesurés quant à la manièrede les gérer. L'entreprise qui souhaite évaluer l'efficacitéde son contrôle interne peut alors faire appel à son départementd'audit interne ou à un prestataire externe capable d'exercerun œil critique et constructif sur le dispositif mis en place.
Objectifs de l'évaluationpériodique du dispositifde contrôle interneL'évaluation du dispositif de contrôle interne
a pour objet de s'assurer que la conceptiondu dispositif dans son ensemble (à savoir les
5 composantes du contrôle interne selon le
cadre de référence de l'AMF ou du COSO 1)
est efficace et que les activités de contrôleprévues lors de la phase de conception sonteffectivement mises en œuvre. Les attendus
de cette évaluation seront différents selon lepoint de vue des acteurs de l'organisation.
Objectifs pour la direction générale :
• obtenir une vision d'ensemble sur la qualitédu contrôle interne aux différents niveauxde l'organisation ;
•disposer d'une évaluation du niveaud'exposition résiduel de l'entreprise auxdifférents risques (il s'agit de la criticité desrisques inhérents ou bruts après prise encompte de la qualité du contrôle interne,
dits risques résiduels ou risques nets) ;
• apprécier l'ampleur et le contenu du pland'actions à mettre en oeuvre.
Objectifs pour les opérationnels et le mana-
gement :• s'assurer que les principaux risques de leurs
activités sont couverts par des mesures de
précaution ;• vérifier que les mesures de précaution sont
correctement mises en œuvre ;
• s'assurer que les ressources allouées à la
sécurisation des opérations sont utiliséesde façon optimale.
Objectifs pour l'audit interne :
• identifier précisément les faiblesses de
contrôle interne ;
• enrichir ou amender le plan d'audit del'audit interne et le programme de travail
de chaque mission.
Objectifs pour les autres fonctions de
l'organisation (département des risques,
du contrôle interne...) :
• vérifier la conformité aux lois et réglemen-tations ;
• répondre aux demandes des autorités de
tutelle ;• sensibiliser le management au contrôle
interne, sa mise en œuvre et sa surveillance ;• évaluer la maîtrise du risque de fraude.
Méthodes d'évaluation dudispositif de contrôle interneIl existe deux méthodes d'évaluation, quipeuvent être utilisées seules ou en combi-
naison :• l'auto-évaluation « déclarative » par les
opérationnels eux-mêmes chargés des'assurer au quotidien que les opérationsrelevant de leur périmètre de responsa-
bilité sont traitées conformément auxobjectifs de l'entreprise et dans le respect
des principes du contrôle interne et des
Par Yukiko LegrandSenior manager
BM&A, CIA, CFE,expert-comptable mémorialiste
et Alain NauleauAssocié BM&A,
Pôle Support Opérationnel,en charge de la ligne de service
Processus-Risques-Systèmes d'information
procédures internes de l'entreprise : cette
auto-évaluation peut être déployée sous
la forme d'un questionnaire ou d'ateliers ;
• l'évaluation du dispositif par le biais detests réalisés par un tiers indépendant desopérationnels (interne ou externe), qui va
collecter des preuves probantes sur le res-
pect des politiques et procédures internes
et la mise en œuvre effective des activités
de contrôle.
L'auto-évaluation, organisée sous la forme
de questionnaires ou d'ateliers, est uneméthode efficace dans une organisationoù la culture du contrôle interne est faible.
En effet, l'auto-évaluation déclarative peutconstituer une première base du diagnostic,qui présente l'avantage d'impliquer totale-
Notes1. Cadre de référence de l'AMF sur les dispositifs degestion des risques et de contrôle interne, révisé enjuillet 2010, destiné aux sociétés françaises cotéessur un marché réglementé, soumises à l'obligationde rendre compte des procédures de gestion desrisques et de contrôle interne.Le référentiel international COSO 2013. (Committeeof Sponsoring Organizations of the TreadwayCommission), imposé par la loi américaine Sarbanes-Oxley.
Tous droits de reproduction réservés
Revue Française de
PAYS : France PAGE(S) : 35-39SURFACE : 439 %PERIODICITE : Bimestriel
DIFFUSION : 6544
1 janvier 2018 - N°516
Page 4
ment les managers et de les inciter à s'inter-roger quant à la pertinence et l'efficacitédu contrôle interne sur leur périmètre deresponsabilité ainsi que sur la satisfactiondes attentes de la direction générale enmatière de contrôle interne.
Les questionnaires d'auto-évaluation sontdes outils pratiques, qui peuvent êtredéployés rapidement à l'échelle d'un groupeet sont faciles d'utilisation. Toutefois, lequestionnaire devant être applicable au plusgrand nombre, il ne permet d'aborder que lesproblématiques communes et a contrario nepermet pas d'appréhender les spécificités.
Choix de la méthoded'évaluationSi le principe de l'évaluation périodique dudispositif de contrôle interne est générale-ment acquis, le choix de la méthode ainsi quesa mise en œuvre posent un certain nombrede questions aux entreprises.
Enfin, la fiabilité des informations remontéesest, de facto, plus limitée.
Les auto-évaluations organisées sous formed'ateliers offrent l'occasion de s'assurer dela bonne compréhension des conceptsde contrôle interne et des attentes de ladirection en la matière et d'effectuer desrappels le cas échéant. En revanche, cettetechnique ne permet pas d'obtenir unecouverture importante et les informationsremontées sont hétérogènes car fortementdépendantes de facteurs humains tels quela qualité de l'animateur et des participantsainsi que de la dynamique du groupe.
En pratique, le choix de la méthode d'éva-luation dépend de plusieurs facteurs : laculture de l'entreprise, son type de mana-gement, le degré de sensibilisation de sesmembres pour le contrôle interne, la taillede l'entreprise, les moyens et temps allouéspour l'évaluation, les objectifs de l'évaluation
L'évaluation du dispositif sur la base detests permet de pallier les faiblesses del'auto-évaluation, à savoir la fiabilité desrésultats, tout en offrant l'opportunitéd'aborder les spécificités et de faire de lapédagogie lors des entretiens. Toutefois,cette démarche nécessite un travail pré-paratoire significatif, la mobilisation deressources importantes par l'évalué, et dutemps pour être déployée à l'échelle d'uneorganisation.
Le tableau ci-dessous synthétise les princi-paux avantages et inconvénients de chacunedes méthodes.
(niveau de couverture recherché, évaluation
du niveau de conformité du groupe, appré-hension des risques spécifiques), le niveaude formalisation du dispositif du contrôleinterne et des contrôles réalisés, etc.
Avantages Inconvénients
Auto-évaluation déclarative - Mode Questionnaire
• Diffusion rapide et facile• Simple d'utilisation• Exploitation des résultats facilitée pour les questions fermées
(de type oui-non-non applicable)• Identification rapide des forces et faiblesses• Questionnement périodique du management sur la maîtrise
de ses opérations• Obtention de la vision du management local sur le niveau de
maîtrise de ses opérations• Engagement de la part du management local
• Sincérité et fiabilité des réponses éventuellement contestable• Degré d'implication variable du management local (par exemple,
si le questionnaire est délégué à un collaborateur et les réponsesne sont pas revues)
• Portée pédagogique limitée• Difficulté pour dimensionner le questionnaire à un nombre de questions
raisonnable tout en couvrant tous les domaines• Difficulté pour rédiger des questions claires,exemptes de toute ambiguïté• Uniformité du questionnaire : impossibilité d'aborder des points
spécifiques à une filiale, division ou unité opérationnelle sauf à déclinerle questionnaire par activités, domaines etc
• Résultatsdifficilement exploitables par l'audit interne ou les auditeursexternes sans travaux complémentaires
Auto-évaluation déclarative - Mode Atelier
• Renforcement de la culture de contrôle interne• Partage de la vision sur les risques et les mesures de précaution
à prendre• Echanges de bonnes pratiques• Forte implication des participants, qui pourront devenir ensuite
les « sponsors » du contrôle interne en dehors des ateliers
• Consommateurs de temps• Couverture très partielle• Difficulté pour choisir les participants• Difficulté pour trouver un animateur disposant de toutes
les compétences nécessaires (connaissance des métiersde l'entreprise, des concepts de contrôle interne et qualité d'animation)
• Résultats non homogènes et fortement dépendants de facteurshumains (qualité des participants et dynamique du groupe)
Evaluation par un tiers sur la base d'entretiens et de tests
• Développement de compétences en interne pour évaluer demanière indépendante un dispositif de contrôle interne
• Fiabilité des résultats• Résultats exploitables par l'audit interne ou les auditeurs
externes• Possibilité d'élargir ou d'adapter les sujets abordés aux
spécificités de chaque structure de l'organisation
• Nécessité de disposer d'une organisation dédiée et formée• Effort important pour définir le périmètre à tester : tronc commun
et spécificités de chaque structure• Effort important pour rédiger les plans de tests• Mobilisation de ressources importantes par l'évalué• Non homogénéité des informations remontées si le périmètre testé
n'est pas identique pour chaque structure
Tous droits de reproduction réservés
Revue Française de
PAYS : France PAGE(S) : 35-39SURFACE : 439 %PERIODICITE : Bimestriel
DIFFUSION : 6544
1 janvier 2018 - N°516
Page 5
En fonction du contexte, il est donc possible
de définir la méthode la plus adaptée.
Le choix de la méthode d'évaluation n'est pas
irréversible : il peut évoluer dans le temps, au
fur et à mesure de la montée en maturité de
l'organisation sur le plan du contrôle interne.
En outre, les deux méthodes (auto-évalua-
tion déclarative versus évaluation par des
tests) ne sont pas exclusives l'une de l'autre.
L'auto-évaluation déclarative peut constituer
une première base du diagnostic. Les résul-
tats de cette auto-évaluation peuvent ensuite
être revus et contrôlés par le biais de tests
par un tiers indépendant (l'audit interne par
exemple), qui va confirmer ou infirmer les
déclarations du management.
Contenu du diagnostic dudispositif de contrôle interneD'un point de vue opérationnel, la démarche
d'évaluation doit nécessairement tenir
compte de la maturité du dispositif de
contrôle interne. Ainsi, l'évaluation com-
mencera par le recensement de l'existant
au regard des 5 composantes du contrôle
interne. Le tableau ci-après donne des
exemples de questions génériques à se poser
dans le cadre d'un diagnostic, déclinées sui-
vant le référentiel COSO (ses 5 composantes
interdépendantes et ses 17 principes).
Composante du contrôle interne Questions génériques à poser dans le cadre d'un diagnostic
1. Environnement de contrôle
Définition - Objectifs :
« L'environnement de contrôle est l'ensemble des normes, des processus et des structures qui constituent le socle de la mise en œuvre du
contrôle interne dans toute l'organisation. »
1. L'organisation démontre son engagement enfaveur de l'intégrité et des valeurs éthiques.
• Existe-t-il un code éthique ? A-t-il été diffusé au personnel ? S'est-on assuré que les règlesont été comprises ?
2. Le conseil fait preuve d'indépendance
vis-à-vis du management. Il surveille la
mise en place et le bon fonctionnementdu système de contrôle interne.
• Le conseil a-t-il défini la stratégie en matière de gestion des risques et l'allocation
de moyens (niveau d'acceptabilité des risques et mode de traitement des risques -
accepter, réduire, supprimer ou transférer le risque) ?
• Existe-t-il un dispositif de gestion des risques (comprenant une organisation,
un processus et un pilotage dédiés) ?
• Existe-t-il un dispositif de contrôle interne pour chacune de ses 5 composantes ?
3. Le management, agissant sous la
surveillance du conseil, définit les
structures, les rattachements ainsique les pouvoirs et les responsabilités
appropriés pour atteindre les objectifs.
• Existe-t-il un organigramme à jour ?
• Les rôles et responsabilités de chacun sont-ils clairement définis et communiquésaux personnes (fiches de poste) ?
• Les délégations de pouvoirs et de signatures, y incluant les limites d'autorisation,sont-elles formalisées et actualisées ?
• La séparation des fonctions est-t-elle assurée, y compris dans les systèmes d'information ?
4. L'organisation démontre sonengagement à attirer, former et
fidéliser des personnes compétentes
conformément
aux objectifs.
• Existe-t-il un processus visant à identifier les ressources humaines nécessaires (effectifs etcompétences) au regard de la taille, de la complexité des activités et des évolutions à venir ?
• Existe-t-il une politique pour identifier des hommes-clés, les former et les fidéliser ?
• Le responsable de la gestion des risques dispose-t-il de compétences suffisantes et
a-t-il l'appui du conseil et de la direction pour exercer ses missions à tous les niveaux de
la hiérarchie de l'organisation ?
5. L'organisation instaure pour chacunun devoir de rendre compte de ses
responsabilités en matière de contrôle
interne.
• Les rôles et responsabilités de chacun en matière de gestion des risques et de contrôle
interne sont-ils clairement définis et communiqués aux personnes concernées ?
2. Evaluation des risques
Définition - Objectifs :
« L'évaluation des risques implique un processus dynamique et itératif d'identification et d'analyse des risques susceptibles d'affecter la
réalisation des objectifs. Le management tient compte des éventuelles évolutions dans l'environnement externe et dans son propre modèle
économique susceptibles de l'empêcher d'atteindre ses objectifs. »
6. L'organisation définit des objectifs
de façon suffisamment claire pour
permettre l'identification et l'évaluation
des risques susceptibles d'affecter leurréalisation.
• L'entité a-t-elle défini et communiqué ses objectifs stratégiques ?
• Ses objectifs stratégiques ont-ils été déclinés en objectifs opérationnels ?
Ont-ils été communiqués ?
Tous droits de reproduction réservés
Revue Française de
PAYS : France PAGE(S) : 35-39SURFACE : 439 %PERIODICITE : Bimestriel
DIFFUSION : 6544
1 janvier 2018 - N°516
Page 6
7. L'organisation identifie les risquessusceptibles d'affecter la réalisation de ses
objectifs dans l'ensemble de son périmètreet procède à leur analyse de façon àdéterminer comment ils doivent être gérés.
• Existe-t-il une organisation et un processus d'identification des risques / facteurs
de risque sur l'ensemble du groupe ?
• Quelles sont les parties prenantes à l'élaboration de la cartographie des risques ?
• Existe-t-il une analyse d'impact pour chaque risque / facteur de risque ?
8. L'organisation intègre le risque de fraudedans son évaluation des risques.
• La cartographie des risques intègre-t-elle le risque de fraude ?
• Existe-t-il une cartographie des risques dédiée au risque de fraude ?
9. L'organisation identifie et évalue leschangements qui pourraient avoir unimpact significatif sur le système decontrôle interne.
• La cartographie des risques est-elle régulièrement mise à jour ?
• Les déficiences constatées sont-elles prises en compte dans le cadre de la mise à jour ?
• La mise à jour de la cartographie des risques tient-elle compte des évolutionsexternes ou internes ? (par exemple, prise en compte d'un changement de
réglementation tel que le risque de corruption suite à la loi Sapin II
ou d'une nouvelle activité acquise)
3. Activités de contrôle
Définition - Objectifs :« Les activités de contrôle désignent les actions définies par les règles et procédures, qui visent à apporter l'assurance raisonnable que lesinstructions du management pour maîtriser les risques susceptibles d'affecter la réalisation des objectifs sont mises en oeuvre. »
10. L'organisation sélectionne et développedes activités de contrôle qui visentà maîtriser et à ramener à un niveau
acceptable les risques susceptiblesd'affecter la réalisation des objectifs.
• Des mesures de précaution ont-elles été définies en réponse à l'évaluation des risques,
y compris le risque de fraude ?
• Existe-t-il une analyse d'impact du risque résiduel (i.e après prise en compte
des mesures de précaution) ?• Les activités de contrôle définies sont-elles mises en œuvre ? Leur mise en œuvre
est-elle supervisée ?
11.L'organisation sélectionne et développedes contrôles généraux informatiquespour faciliter la réalisation des objectifs.
• L'organisation dispose-t-elle d'un processus et de contrôles permettant de sécuriserles accès physiques et logiques ?
• L'organisation dispose-t-elle d'une méthodologie et d'un processus de gestion
des changements et des évolutions de ses systèmes et applications ?
• L'organisation dispose-t-elle d'une méthodologie et d'un processus de gestiondes projets informatiques ?
• L'organisation a-t-elle mis en place des contrôles garantissant l'intégrité des sauvegardes
en fonction de la criticité des données ?• L'organisation a-t-elle mis en place des moyens assurant une continuité de services
sur tout ou partie des ressources en fonction de leur criticité métier ?• L'organisation a-t-elle mis en place des moyens pour se protéger des attaques internes
ou externes ?• L'organisation a-t-elle mis en place un processus pour garantir la conformité
aux différentes réglementations en vigueur (RGDP par exemple) ?
12.L'organisation déploie les activitésde contrôle par le biais de règles quiprécisent les objectifs, et de procéduresqui permettent de mettre en œuvre cesrègles.
• Le dispositif de contrôle interne s'appuie-t-il sur un référentiel de contrôle interne(reconnu ou propre à l'entité) ?
• Existe-t-il un manuel des procédures de contrôle interne permettant de faire le lien entreles objectifs, les risques et les activités de contrôle attendues ?
4. Information et communication
Définition - Objectifs :<•<• La communication est à la fois interne et externe et fournit à l'organisation l'information nécessaire à l'exercice de ses contrôles courants. Lacommunication permet aux collaborateurs de comprendre les responsabilités liées au contrôle interne et leur importance pour la réalisationdes objectifs. »
13. L'organisation obtient, produit et utilisedes informations pertinentes et dequalité pour faciliter le fonctionnementdu contrôle interne.
• Existe-t-il un dispositif de suivi des indicateurs-clés de performance de la gestiondes risques et du contrôle interne ?
• Le conseil (ou le comité d'audit) est-il régulièrement informé de l'efficacité du dispositif(indicateurs, avancement du plan d'audit, avancement des plans de remédiation, risquesavérés... ) ?
Tous droits de reproduction réservés
Revue Française de
PAYS : France PAGE(S) : 35-39SURFACE : 439 %PERIODICITE : Bimestriel
DIFFUSION : 6544
1 janvier 2018 - N°516
Page 7
14. L'organisation communique en internel'information nécessaire au bon
fonctionnement du contrôle interne,notamment les informations relatives
aux objectifs et aux responsabilitésdu contrôle interne.
• L'analyse de risques et le plan de réponse aux risques sont-ils partagés par la directionavec les personnes chargées de sa mise en œuvre ?
• Chaque collaborateur a-t-il connaissance du manuel des procédures de contrôle interneet des activités de contrôle dont il a la charge ?
15. L'organisation communiqueaux tiers les éléments qui peuventaffecter le fonctionnementdu contrôle interne ?
• Les fournisseurs sont-ils informés du code de conduite de l'entité ?
• Existe-t-il des canaux de communication pour les tiers, tel un dispositif d'alerte ?
5. Pilotage
Définition - Objectifs :
« L'organisation procède à des évaluations continues et ponctuelles, ou à une combinaison de ces deux formes d'évaluation pour assurer quechacune des cinq composantes du contrôle interne et les principes qui leur sont associés sont mis en place et fonctionnent. Les constats sont
évalués et les déficiences sont communiquées en temps voulu, les points importants étant signalés à la direction générale et au conseil. »
16. L'organisation sélectionne, développeet réalise des évaluations continues et/ou ponctuelles pour s'assurer que lescomposantes du contrôle interne sontmises en place et fonctionnent.
• Existe-t-il un département d'audit interne ? Son rattachement hiérarchique permet-ilde garantir son indépendance ? Les pouvoirs qui lui sont accordés lui permettent-ilde couvrir tous les domaines ?
• Existe-t-il des procédures d'auto-évaluation / d'évaluation des activités de contrôle ?Sont-elles revues par l'audit interne ou par un prestataire externe ?
17.L'organisation évalue et communique lesdéficiences de contrôle interne en tempsvoulu aux responsables des mesures
correctives, y compris le cas échéant à ladirection générale et le conseil.
• Existe-t-il un processus de recensement et d'analyse des incidents ?
• Existe-t-il des plans de remédiation (précisant la personne en charge, la nature de l'actionet l'échéance) ? Font-ils l'objet d'un suivi régulier ?
les intéressés ont compris ses apports et que
les moyens engagés ou les efforts consentis
sont adaptés au niveau de risque identifié.
^
Les référentiels disponibles, tels que le COSO
ou le cadre de référence de l'AMF, sont desguides structurants qui facilitent la réalisationdes diagnostics de dispositifs de contrôle
interne, car les concepts qui y sont définissont largement répandus et partagés.Toutefois, le diagnostic du contrôle interne
doit être adapté au contexte et à la maturitéde chaque structure. Il nécessite égalementun travail important de préparation, d'accom-
pagnement voire de pédagogie. C'est à cettecondition que le diagnostic peut constituerun réel outil de pilotage de l'amélioration de
la performance. •
Points d'attention pour lamise en œuvre du diagnosticPour garantir le succès d'un diagnostic
portant sur le dispositif de contrôle interne,les trois points suivants, facteurs clés desuccès, nécessitent une attention particulière
en ce qui concerne l'accompagnement et lapréparation de la démarche.
Rôle de sponsor de la directionLa direction doit être un sponsor impliquédès le début du diagnostic dans la définition
des domaines à couvrir. Ainsi, le périmètre dudiagnostic doit être validé par la direction :quelle(s) composante(s) ? quel(s) proces-sus ? quelle(s) entité(s) ? quel calendrier ?
Par ailleurs, la direction générale doit claire-
ment se positionner comme « sponsor » dela démarche et être perçue comme telle parles entités afin qu'elles perçoivent les enjeux
du diagnostic et y consacrent les effortsnécessaires.
Importance du travail préparatoire
Des travaux préparatoires importants et
structurants sont à prévoir par l'évaluateur :• prise de connaissance de l'ensemble de la
documentation y afférente ;
• détermination de la méthode d'évaluation
afin de concilier précision, niveau de risque,effort de réalisation, déficiences déjàconstatées sur le périmètre et calendrier
global ;• adaptation des questions génériques pré-
sentées ci-avant ;
• identification des activités de contrôle clésà tester par processus métier ;
• Rédaction des plans de tests lecas échéant(correspond au programme de travaildétaillé de l'évaluateur).
Une fois la méthode de l'évaluation définie,celle-ci doit être communiquée le plus tôt
possible à l'entité afin qu'elle mobilise lesressources nécessaires et adéquates.
Inscrire le diagnostic dans unedémarche de progrès continu
Au-delà de la simple annonce du lancement
de la démarche, la direction générale doitrappeler que le diagnostic s'inscrit dans unedémarche d'amélioration continue, a fortiori
lorsqu'il s'agit du premier diagnostic, avecdes apports à tous les niveaux de l'organi-sation. Cette communication contribue àinscrire le contrôle interne dans une dyna-
mique de fond, mieux acceptée dès lors que
Tous droits de reproduction réservés
Revue Française de
PAYS : France PAGE(S) : 35-39SURFACE : 439 %PERIODICITE : Bimestriel
DIFFUSION : 6544
1 janvier 2018 - N°516
Page 8
