Le cadre théorique du contrôle interne révèle une réalité surprenante : 70 % des entreprises échouent à s’adapter aux risques organisationnels. Cette recherche met en lumière les outils et démarches essentiels pour optimiser le pilotage, tout en soulignant le rôle clé de l’expert-comptable dans cette transformation cruciale.
Sous-section 3 : Les personnes devant être informées
Les personnes devant être informées des résultats des activités de pilotage peuvent être déterminées en fonction du risque et des contrôles liés ainsi que de la structure de l’organisation et des règlementations dans certains cas.
Ces personnes peuvent être interne à l’organisation (§1) ou externes dans le cadre des règlementations ou dans le cadre de collaboration avec les auditeurs indépendants et les commissaires aux comptes (§2).
63 COSO I, Internal Control – Integrated framework, traduit en français par l’IFACI, PricewaterhouseCoopers et LANDWEL, la pratique du contrôle interne, édition d’organisation, deuxième édition, 2004, page 104.
64 COSO, Internal Control – Integrated Framework, Guidance on Monitoring, janvier 2009, (traduction libre).
65 COSO, op.cit.
§ 1. Communication interne
Les défaillances et faiblesses de contrôle identifiées doivent être communiquées aux responsables et aux personnes qui ont le pouvoir d’agir. Le responsable d’une fonction ou d’une activité doit être informé de tous les problèmes qui touchent les contrôles qui le concernent.
Celui-ci doit prendre toutes les mesures correctives qu’il juge nécessaires et informer son supérieur hiérarchique. Ainsi, ce processus permettra d’avoir l’assurance qu’au moins deux responsables hiérarchiques soient informés de toutes les défaillances de contrôle qui entrent dans leur champ de responsabilité.
Le guide de pilotage COSO avance que «dans tous les cas (sauf dans le cas où une fraude est soupçonnée) les défaillances de contrôle devraient être signalées à la personne directement responsable de l’opération et au moins à son supérieur hiérarchique directe ou indirecte dans la structure.
Etablir des rapports au moins à ces deux niveaux donne l’assurance que la personne responsable dispose de l’information nécessaire pour corriger la défaillance et permet de garantir que des gens objectifs sont inclus dans la vérification de la gravité du problème et le suivi des actions correctrices»66.
Toutefois, dans le cas où la défaillance est jugée suffisamment importante ou elle est susceptible d’affecter gravement la réalisation d’un ou plusieurs objectifs organisationnels, elle doit être communiquée à la direction et/ou au conseil d’administration qui sont les plus aptes dans de tel cas de prendre les mesures et les actions nécessaires.
Le cadre COSO avance qu’«un Président-Directeur Général souhaitera, par exemple, être tenu informé des graves manquements aux normes et procédures. Il demandera également des explications sur la nature des problèmes pouvant avoir des conséquences financières significatives, des implications stratégiques ou susceptibles de ternir la réputation de l’organisation»67.
Ce processus de remontée de l’information peut être formalisé en précisant le niveau hiérarchique à informer pour chaque type de défaillance. Le COSO ajoute que «les destinataires des informations concernant les faiblesses de contrôle interne peuvent parfois émettre des directives spécifiques, précisant ce qui doit être signalé.
Un conseil d’administration ou un comité d’audit, par exemple, peut demander aux dirigeants ou aux auditeurs, internes ou externes, que lui soient indiquées les seules faiblesses dépassant un
66 COSO, Internal Control – Integrated Framework, Guidance on Monitoring, janvier 2009, (traduction libre).
67 COSO I, Internal Control – Integrated framework, traduit en français par l’IFACI, PricewaterhouseCoopers et LANDWEL, la pratique du contrôle interne, édition d’organisation, deuxième édition, 2004, page 104.
seuil donné de gravité ou d’importance. Dans la profession comptable, ce seuil est désigné par ‘faiblesse à signaler’»68.
Dans le cas particulier où une fraude est soupçonnée, l’information peut ne pas être communiquée à la personne directement responsable de l’exécution du contrôle. Elle doit être signalée, directement, à la direction générale et au conseil d’administration.
§ 2. Communication externe
La communication externe des résultats des activités de pilotage peut être envisagée dans le cadre de l’obligation de publication de rapport sur l’efficacité du système de contrôle ou même l’attestation imposée par certaines règlementations.
Ainsi, la loi Sarbanes-Oxley publiée en 2002 aux Etats Unis d’Amérique qui a influé toutes les réformes en matière de sécurité financière à travers le monde, précise dans sa section 404, dédiée à l’évaluation du niveau de contrôle interne par la direction générale (Management Assessment of Internal Controls) que reporting financier annuel doit contenir un rapport sur le contrôle interne.
En Tunisie, l’article 13 (quinter) du Code de Sociétés Commerciales prévoit que les organes de direction et les chargés des affaires financières et comptables des sociétés commerciales, soumises à l’obligation de désigner un ou plusieurs commissaires aux comptes inscrits au tableau de l’Ordre des Experts Comptable de Tunisie, sont tenus de signer une déclaration annuelles présentée aux commissaires aux comptes.
Selon l’arrêté du Ministre des Finance (arrêté du 17 Juin 2006) qui fixe le contenu de cette déclaration, les dirigeants sociaux et les directeurs financiers et comptables doivent affirmer, entre autre, qu’ils n’ont «connaissance d’aucune irrégularité, concernant la direction ou les employés qui jouent un rôle important dans la définition et le fonctionnement des systèmes comptables et de contrôle interne, susceptible d’avoir une incidence significative sur les états financiers»69.
De même, les sociétés faisant appel public à l’épargne sont tenues de publier un rapport annuel sur la gestion de la société70. Selon l’article 44 du règlement du marché financier relatif à l’appel public à l’épargne, ce rapport doit contenir, entre autres, des éléments sur le contrôle interne.
D’après le modèle du rapport de gestion publié en annexe du même règlement (points 9), «Les dirigeants doivent présenter les principales caractéristiques du système de contrôle interne et de gestion des risques conformément au cadre général de
68 COSO I, Internal Control – Integrated framework, traduit en français par l’IFACI, PricewaterhouseCoopers et LANDWEL, la pratique du contrôle interne, édition d’organisation, deuxième édition, 2004, page 105.
69 Arrêté du ministre des finances du 17 juin 2006, portant fixation du contenu de la déclaration annuelle signée et présentée aux commissaires aux comptes (JORT n°50 du 23 Juin 2006).
70 Prévu par l’article 3 de la loi n°94-117 du 14 Novembre 1994 portant réorganisation du marché financier.
contrôle interne prévu par la législation comptable en vigueur. Le rapport fait état de la manière avec laquelle la société a pris en considération l’ensemble des composantes du contrôle interne»71.
Parallèlement, les commissaires aux comptes peuvent demander à ce que les résultats des activités de pilotage leur soient communiqués. Ils doivent à leur tour, effectuer leur propre évaluation de l’efficacité du système de contrôle interne.
71 Annexe 12 du règlement du marché financier relative à l’appel public à l’épargne, www.cmf.org.tn (visité le 03/12/2009).
________________________
63 COSO I, Internal Control – Integrated framework, traduit en français par l’IFACI, PricewaterhouseCoopers et LANDWEL, la pratique du contrôle interne, édition d’organisation, deuxième édition, 2004, page 104. ↑
64 COSO, Internal Control – Integrated Framework, Guidance on Monitoring, janvier 2009, (traduction libre). ↑
66 COSO, Internal Control – Integrated Framework, Guidance on Monitoring, janvier 2009, (traduction libre). ↑
67 COSO I, Internal Control – Integrated framework, traduit en français par l’IFACI, PricewaterhouseCoopers et LANDWEL, la pratique du contrôle interne, édition d’organisation, deuxième édition, 2004, page 104. ↑
68 COSO I, Internal Control – Integrated framework, traduit en français par l’IFACI, PricewaterhouseCoopers et LANDWEL, la pratique du contrôle interne, édition d’organisation, deuxième édition, 2004, page 105. ↑
69 Arrêté du ministre des finances du 17 juin 2006, portant fixation du contenu de la déclaration annuelle signée et présentée aux commissaires aux comptes (JORT n°50 du 23 Juin 2006). ↑
70 Prévu par l’article 3 de la loi n°94-117 du 14 Novembre 1994 portant réorganisation du marché financier. ↑
71 Annexe 12 du règlement du marché financier relative à l’appel public à l’épargne, www.cmf.org.tn (visité le 03/12/2009). ↑
Questions Fréquemment Posées
Qui doit être informé des défaillances de contrôle interne?
Les défaillances et faiblesses de contrôle identifiées doivent être communiquées aux responsables et aux personnes qui ont le pouvoir d’agir, y compris au moins deux responsables hiérarchiques.
Comment les défaillances de contrôle sont-elles signalées?
Les défaillances de contrôle devraient être signalées à la personne directement responsable de l’opération et au moins à son supérieur hiérarchique directe ou indirecte dans la structure.
Que se passe-t-il si une fraude est suspectée dans le contrôle interne?
Dans le cas particulier où une fraude est soupçonnée, l’information doit être signalée directement à la direction générale et au conseil d’administration, sans être communiquée à la personne directement responsable de l’exécution du contrôle.