Les applications pratiques du contrôle interne révèlent des enjeux cruciaux pour les entreprises en période d’incertitude. Comment les outils et le rôle de l’expert-comptable peuvent-ils transformer l’efficacité du pilotage face aux risques organisationnels croissants ? Une analyse essentielle à découvrir.
Sous-section 3 : Les éléments d’un système de contrôle interne efficace
Selon le cadre conceptuel du contrôle interne du COSO, «apprécier l’efficacité d’un système de contrôle interne est un jugement subjectif fondé sur la présence des cinq éléments (environnement de contrôle, évaluation des risques, activité de contrôle, information et communication et pilotage) et le fonctionnement efficace de ceux-ci. L’efficacité de leur fonctionnement fournit un niveau d’assurance raisonnable quant à la réalisation d’une ou plusieurs catégories d’objectifs. Ainsi, les éléments du contrôle interne constituent également des critères d’efficacité»13.
Toutefois, «ceci n’implique pas que chacun des éléments doive fonctionner de façon identique, ou au même niveau, dans des entreprises différentes. Des compromis entre les éléments peuvent exister. Parce que les contrôles peuvent répondre à plusieurs objectifs, ceux effectués à l’intérieur d’un élément peuvent répondre à des objectifs qui seraient normalement couverts par des contrôles faisant partie d’un autre élément. En outre, des contrôles complémentaires, chacun d’une efficacité limitée, peuvent être globalement satisfaisants»14.
Nous proposons, d’étudier les cinq composantes du système de contrôle interne du COSO, et de déterminer les facteurs ayant un impact sur celles-ci ainsi que les éléments nécessaires pour qu’elles puissent fonctionner efficacement.
§ 1. L’environnement de contrôle
L’environnement de contrôle est un élément important dans la structure du système de contrôle interne. Il détermine le degré de sensibilisation de tout le personnel de l’entreprise à la culture de contrôle et du risque et exerce une influence directe sur la conception et la mise en œuvre de toutes les autres composantes du système de contrôle.
Plusieurs facteurs peuvent avoir un impact sur l’environnement de contrôle. Cependant, l’exemplarité des dirigeants et leur capacité à créer un environnement favorable et à indiquer clairement les objectifs sont des facteurs clés dans l’efficacité du système de contrôle interne. En effet, les dirigeants sont les premiers responsables de la conception et de la mise en œuvre du système de contrôle.
Ils déterminent les contrôles à mettre en œuvre, convainquent le personnel de leur nécessité et veillent à leur application. Ils influencent, également, à travers leurs comportements, l’attitude du personnel vis-à-vis de ces contrôles et propagent leurs propres règles d’éthique. Ainsi, selon A. YAICH, «le rôle des dirigeants étant déterminant, le succès comme l’échec de la mise en place du contrôle interne relève dès lors en premier et dernier ressort de leur entière responsabilité»15.
De même, l’intégrité, l’éthique et la compétence du personnel déterminent le degré d’efficacité des contrôles. La commission Treadway indique qu’«un environnement fortement imprégné d’éthique à tous les niveaux hiérarchiques de l’entreprise est vital au bien-être de celle-ci, à celui des entreprises et des personnes rentrant dans son rayon d’influence et à celui du public en général. Un tel état d’esprit contribue de manière importante à l’efficacité des politiques et des systèmes de contrôle mis en place par l’entreprise et exerce une influence sur les comportements, qui échappent aux systèmes de contrôle, aussi sophistiqués soient-ils»16.
§ 2. L’identification et l’évaluation des risques
Toutes les entreprises, quelque soient leur taille, leur structure, la nature de leurs activités et le secteur économique dans lequel elles évoluent, sont confrontées à des risques de sources externes et internes. Selon le COSO, «sur le plan pratique, il n’existe aucun moyen d’éliminer tous les risques. En effet, le risque est inhérent aux affaires. Il appartient donc aux dirigeants
de déterminer le niveau de risques acceptable, dans le cadre d’une gestion prudente de l’activité, et de s’efforcer de les maintenir à ce niveau»17.
Le dispositif de contrôle permet de maîtriser certains risques, en réduisant leur impact ou leur probabilité de survenance. De ce fait, le processus d’identification et d’évaluation du risque est un élément clé du système de contrôle interne.
Toutefois, il n’existe pas de démarche d’évaluation des risques sans la condition préalable de fixation des objectifs. En effet, un risque est nécessairement lié à un objectif préalablement défini par l’entreprise, et il est susceptible d’avoir un impact sur sa réalisation. Bien que la fixation des objectifs ne soit pas une composante du système de contrôle interne, elle constitue une condition préalable à la bonne conception et au fonctionnement efficace du système.
Le COSO II avance que «la condition préalable pour pouvoir identifier les opportunités et les menaces, les évaluer et y répondre efficacement est la fixation d’objectifs. Les objectifs sont alignés sur l’appétence de l’entité pour le risque, qui détermine le niveau de risque qu’elle accepte de prendre pour atteindre ses objectifs»18.
Selon le COSO, les objectifs peuvent être classés selon quatre catégories :
- Objectifs stratégiques : liés à la stratégie de l’organisation, ils sont en ligne avec sa mission et la supportent ;
- Objectifs opérationnels : visant l’utilisation efficace et efficiente des ressources ;
- Objectifs de reporting : liés à la fiabilité du reporting ;
- Objectifs de conformité : relatifs à la conformité aux lois et aux règlementations en vigueur.
§ 3. Les activités de contrôle
Le cadre conceptuel du contrôle interne COSO précise que « les activités de contrôle peuvent se définir comme l’application des normes et procédures qui contribuent à garantir la mise en œuvre des orientations émanant du management. Ces opérations permettent de s’assurer que les mesures nécessaires sont prises en vue de maîtriser les risques susceptibles d’affecter la réalisation des objectifs de l’entreprise»19.
Ainsi, les activités de contrôle sont au cœur du dispositif de contrôle interne et déterminent le degré d’efficacité et d’efficience de ce dernier. Ils précisent les normes qui définissent ce qui
doit être fait et les procédures qui doivent être conçues et appliquées pour réaliser ces objectifs.
Pour être efficace, les activités de contrôle doivent répondre à certaines conditions à savoir :
- Elles doivent être bien conçues et bien communiquées, comprises et appliquées par tout le personnel concerné ;
- Elles doivent être économiques, pertinentes, fiables et intégrées au tant que possible dans le processus normal des activités de l’entreprise ;
- Elles doivent être suivies, et toute défaillance ou disfonctionnement doit être communiqués et faire l’objet d’actions correctrices.
Ces critères s’appliquent à toutes les activités de contrôle et à toutes les entreprises. Néanmoins, toutes les entreprises ne peuvent avoir les mêmes opérations de contrôles. En effet, chaque entreprise possède ses propres objectifs, sa propre hiérarchie, son environnement de contrôle et ses propres stratégies. Elle doit, par conséquent, concevoir ses propres contrôles.
§ 4. Information et communication
La communication, sous ses différentes formes (formelle, informelles, orale, écrite telle que manuel des procédures, notes de service, tableaux d’affichage), joue un rôle important dans l’efficacité du système de contrôle interne. En effet, elle assure la circulation des informations pertinentes relatives au bon déroulement des opérations de l’entreprise ainsi qu’au bon fonctionnement du système de contrôle.
Pour assurer un fonctionnement efficace du dispositif de contrôle interne, tous les incidents de sources internes ou externe et qui peuvent avoir un impact sur la réalisation des objectifs de l’entreprise doivent être communiqués aux personnes responsables de la prise des mesures nécessaires en temps opportun.
La communication des informations doit être multidirectionnelle, aussi bien à l’intérieur (ascendante, descendante et transversale) qu’à l’extérieur de l’entreprise. Le cadre du COSO affirme que «le management doit transmettre un message très clair à l’ensemble du personnel sur l’importance des responsabilités de chacun en matière de contrôle. Les employés doivent comprendre le rôle qu’ils sont appelés à jouer dans le système de contrôle interne, ainsi que la relation existant entre leurs propres activités et celles des autres membres du personnel. Ils doivent être en mesure de faire remonter les informations importantes. Par ailleurs, une
communication efficace avec les tiers, tels que clients, fournisseurs, autorités de tutelle ou actionnaires, est également nécessaire»20.
Les voies de communication doivent être formalisées dans les entreprises de taille importante et peuvent être intégrées dans le système de contrôle lui-même. Cependant, elles prennent, généralement, des formes moins formelles dans les entreprises de moindre taille, sans toutefois, perdre son importance ni son efficacité. Avec la montée en puissance et la généralisation des technologies de l’information et de communication, les voies de circulation de l’information se sont multipliées et devenues plus facile à mettre en œuvre et plus accessible à toutes les entreprises quelle que soit leur taille.
§ 5. Le pilotage
Le pilotage qui représente l’objet de notre recherche est l’une des composantes les plus déterminantes pour l’efficacité durable du système de contrôle interne. Il permet, comme nous allons le préciser par la suite, de surveiller le système en le dotant d’un dispositif lui assurant raisonnablement une efficacité continue à travers le temps de sorte que l’efficacité du système de contrôle interne dépend, en grande partie, de celle du dispositif de pilotage.
Un pilotage efficace permet de faire évoluer un système moyennement efficace vers un système plus performant alors qu’un pilotage faible dégrade avec le temps un bon système pour le rendre moins efficace voire déficient.
La section qui suit met en valeur la place et l’importance du pilotage dans la structure du système de contrôle interne.
________________________
13 COSO I, Internal Control – Integrated framework, traduit en français par l’IFACI, PricewaterhouseCoopers et LANDWEL, la pratique du contrôle interne, édition d’organisation, deuxième édition, 2004, page 32. ↑
15 A. YAICH, Normes, pratiques et procédures de contrôle interne, 1996, page 25. ↑
16 COSO I, Internal Control – Integrated framework, traduit en français par l’IFACI, PricewaterhouseCoopers et LANDWEL, la pratique du contrôle interne, édition d’organisation, deuxième édition, 2004, (d’après le Report of National Commission on Fraudulent Fiancial Reporting, 1987), page 36. ↑
17 COSO I, Internal Control – Integrated framework, traduit en français par l’IFACI, PricewaterhouseCoopers et LANDWEL, la pratique du contrôle interne, édition d’organisation, deuxième édition, 2004, page 49. ↑
18 COSO II, Internal Control – Integrated framework, traduit en français par l’IFACI, PricewaterhouseCoopers et LANDWEL, Le management des risques de l’entreprise, édition d’organisation, 2007, page 53. ↑
Questions Fréquemment Posées
Quels sont les éléments d’un système de contrôle interne efficace?
Les éléments d’un système de contrôle interne efficace selon le cadre COSO incluent l’environnement de contrôle, l’évaluation des risques, l’activité de contrôle, l’information et la communication, et le pilotage.
Comment l’environnement de contrôle influence-t-il le système de contrôle interne?
L’environnement de contrôle détermine le degré de sensibilisation du personnel à la culture de contrôle et du risque, influençant ainsi la conception et la mise en œuvre des autres composantes du système de contrôle.
Quel est le rôle des dirigeants dans le pilotage du système de contrôle interne?
Les dirigeants sont responsables de la conception et de la mise en œuvre du système de contrôle, déterminent les contrôles à mettre en œuvre et influencent l’attitude du personnel vis-à-vis de ces contrôles.