Les meilleures pratiques en audit externe révèlent que 70 % des entreprises sous-estiment l’importance d’un contrôle interne rigoureux. Cette étude met en lumière le rôle essentiel des experts-comptables dans l’optimisation des systèmes de pilotage, avec des implications cruciales pour la pérennité des organisations face aux défis contemporains.
Sous-section 3 : Audit externe (Commissaire aux comptes)
L’audit externe (commissaire aux comptes) est une fonction indépendante de l’entreprise dont la mission est de certifier la régularité, la sincérité et l’image fidèle des comptes et états financiers. Elle s’exerce, généralement, dans un cadre règlementaire (audit légal) par un ou plusieurs experts-comptables.
Pour accomplir efficacement la mission de certification des comptes de l’entreprise, l’auditeur externe évalue la capacité du système de contrôle interne à gérer les risques liés aux objectifs organisationnels, et en particulier, ceux qui peuvent affecter la fiabilité et la sincérité des information financières.
Sont successivement présentés les obligations de l’auditeur externe vis-à-vis du contrôle interne (§1) et le rôle de l’audit externe dans le pilotage du système de contrôle (§2)
154 P. NOIROT, J. WALTER, le contrôle interne pour créer de la valeur, édition AFNOR, 2008, page 170.
155 L’audit interne vers une collaboration renforcée avec ses partenaires externe, site Internet IFACI, Septembre 1998, www.ifaci.com, (visité le 17/12/2009).
156 Voir les résultats détaillés de l’enquête en annexe 3.
§ 1. Obligation règlementaires et normatives vis-à-vis du contrôle interne
- Obligations règlementaires
L’article 266 (alinéa 2, § 2) du Code des Sociétés Commerciales dispose que «le commissaire aux comptes certifie la sincérité et la régularité des comptes annuels de la société conformément à la loi en vigueur relative au système comptable des entreprises. Il vérifie périodiquement l’efficacité du système de contrôle interne».
«Selon une réponse du ministre de la justice dans les débats parlementaires préparatoires, le commissaire aux comptes procède annuellement à la vérification de l’efficacité du système de contrôle interne en parallèle avec le contrôle des états financiers pour établir son rapport général à l’assemblée générale annuelle.
Ainsi, les insuffisances significatives du système de contrôle interne doivent faire l’objet d’une mention dans le rapport général du commissaire aux comptes qui peut, si le volume des remarques est important, renvoyer à un rapport séparé communiqué à l’assemblée»157.
Pour les sociétés faisant appel public à l’épargne, l’article 3 nouveau de la loi n°94-117 du 14 Novembre 1994 portant réorganisation du marché financier prévoit, entre autres, que le rapport du ou des commissaires aux comptes qui doit être adressé, sur support papier et magnétique, au conseil du marché financier et à la bourse des valeurs mobilières de Tunis, doit contenir une évaluation générale du contrôle interne.
En France, «le Président du conseil des sociétés dont les titres sont admis sur un marché réglementé établit un rapport annuel sur le contrôle interne. Le commissaire aux comptes présente, dans un rapport joint à son rapport général, ses observations sur le rapport du Président pour la partie des procédures de contrôle interne qui sont relatives à l’élaboration et au traitement de l’information comptable et financière (article L.225-235 du code de commerce)»158.
- Obligations normatives (Normes Internationales d’Audit)
Selon la Norme Internationale d’Audit (ISA 315), «l’auditeur doit acquérir une connaissance de l’entité et de son environnement, y compris de son contrôle interne, qui soit suffisante pour lui permettre d’identifier et d’évaluer le risque que les états financiers contiennent des
157 A. YAICH, le nouveau droit des sociétés commerciales, les Editions Raouf YAICH, deuxième édition, Juillet 2006, page 187.
158 A. YAICH, op.cit, page 188.
anomalies significatives que celles-ci résultent de fraudes ou d’erreurs, et de concevoir et de mettre en œuvre des procédures d’audit complémentaires» 159.
Ainsi, selon la même norme «la prise de connaissance du contrôle interne implique l’évaluation de la conception d’un contrôle et la vérification de sa mise en application. L’évaluation de la conception d’un contrôle implique de considérer si ce contrôle, seul ou combiné avec d’autres, est capable de prévenir efficacement ou de détecter puis de corriger des anomalies significatives»160.
Selon la norme (ISA 265) dédié à la communication des défaillances du contrôle interne aux responsables de la gouvernance et à la direction, «l’objectif de l’auditeur est de communiquer de façon appropriée aux responsables de la gouvernance et à la direction les déficiences du contrôle interne qu’il a relevées au cours de l’audit et qui, selon son jugement professionnel, sont suffisamment préoccupantes pour nécessiter leur attention respective»161.
Ainsi, l’auditeur doit comprendre dans quelle mesure, et de quelle manière, l’entreprise peut prévenir, ou détecter et corriger, des anomalies significatives dans les flux d’opérations, dans les soldes de comptes ou dans les informations fournies dans les états financiers. Il doit également communiquer à la direction et aux responsables de l’entreprise toutes les défaillances et anomalies identifiées durant le déroulement de la mission d’audit.
§ 2. Apport de l’audit externe pour le pilotage du contrôle interne
L’audit externe peut aider l’organisation dans sa démarche de pilotage en lui offrant une évaluation indépendante et objective de l’efficacité du système de contrôle (§1) ainsi que celle du dispositif de pilotage lui-même (§2).
- Evaluation objective de l’efficacité du contrôle interne
Les conclusions avancées par l’auditeur externe quant à l’efficacité du contrôle interne sont d’une grande utilité pour aider l’organisation à piloter et à améliorer son système de contrôle. Ces conclusions présentent l’avantage d’être parfaitement objectives du fait qu’elles proviennent de personnes ou organismes totalement indépendants de l’entreprise.
159 Norme Internationale d’Audit, ISA 315, connaissance de l’entité et de son environnement et évaluation du risque d’anomalies significatives, version Juin 2006, paragraphe 2.
160 Norme Internationale d’Audit, ISA 315, op.cit, paragraphe 54.
161 Norme Internationale d’Audit, ISA 265, Communication des défaillances du contrôle interne aux responsables de la gouvernance et à la direction, publiée en anglais par l’International Federation of Accountants (IFAC) en avril 2009, a été traduite en français par l’Institut Canadien des Comptables Agréés (ICCA) et The Canadian Institute of Chartered Accountants (CICA) en mai 2009, paragraphe 5.
Selon la norme (ISA 265), «La communication par écrit des déficiences importantes aux responsables de la gouvernance reflète l’importance du sujet et aide les responsables de la gouvernance à s’acquitter de leurs responsabilités de surveillance»162.
Les travaux de l’auditeur externe sont généralement orientés vers les contrôles concernant les risques liés à l’objectif de la fiabilité des informations financières. Toutefois, l’auditeur doit évaluer l’efficacité des contrôles liés à d’autres risques jugés significatifs, tels que, les contrôles liés à un risque important compromettant la continuité d’exploitation de l’entreprise ou des risques liés à la conformité aux lois et réglementations.
Selon les résultats de notre enquête163, la majorité (62%) des personnes interrogées parmi les chefs et cadres d’entreprises confirment que les évaluations du contrôle interne sont, généralement, assurées par le ou les commissaires aux comptes. Ils précisent également que la découverte des anomalies du contrôle interne est généralement faite après l’intervention des auditeurs externes.
- Evaluation de l’efficacité du dispositif de pilotage
Le guide de pilotage COSO souligne que «si le travail des auditeurs externes permet d’identifier des erreurs ou des défaillances de contrôle, l’organisation devrait envisager ces résultats dans la mise en œuvre de son propre pilotage»164.
Les conclusions et résultats des travaux de l’auditeur externe peuvent identifier des faiblesses et des anomalies dans le dispositif de pilotage du contrôle interne de l’entreprise. En effet, la direction peut se rendre compte, en se basant sur les conclusions de l’auditeur externe, que le dispositif de pilotage qu’elle a mis en place n’a pas pu identifier des anomalies significatives dans le système de contrôle. La direction doit dans ce cas analyser la situation et étudier les causes possibles d’une telle défaillance en vue de prendre les mesures adéquates.
Ainsi, les travaux et conclusions de l’auditeur externe peuvent aider l’organisation à évaluer, voire améliorer, l’efficacité du dispositif de pilotage en plus de remédier, le cas échéant, aux faiblesses et anomalies. Toutefois, le fait que l’auditeur externe n’a identifié aucune anomalie de contrôle dans un domaine déterminé, ne veut pas dire nécessairement que la direction a mis en place le meilleur dispositif de pilotage possible ou qu’elle peut réduire la fréquence ou l’ampleur des activités s’y rattachant.
162 Norme Internationale d’Audit, ISA 265, Communication des défaillances du contrôle interne aux responsables de la gouvernance et à la direction, publiée en anglais par l’International Federation of Accountants (IFAC) en avril 2009, a été traduite en français par l’Institut Canadien des Comptables Agréés (ICCA) et The Canadian Institute of Chartered Accountants (CICA) en mai 2009, paragraphe A12.
163 Voir les résultats détaillés de l’enquête en annexe 3.
164 COSO, Internal Control – Integrated Framework, Guidance on Monitoring, janvier 2009, (traduction libre).
En effet, «L’importance d’une déficience ou d’une combinaison de déficiences du contrôle interne n’est pas liée uniquement au fait qu’une anomalie se soit produite ou non, mais dépend aussi de la probabilité qu’une anomalie se produise et de l’ampleur qu’elle pourrait prendre. Il peut donc exister des déficiences importantes même si l’auditeur n’a pas relevé d’anomalies au cours de l’audit»165.
Dans ce sens, le guide de pilotage affirme que «la direction ainsi que le conseil d’administration ne devraient pas réduire leurs efforts de pilotage dans un domaine simplement parce que l’auditeur externe n’a pas trouvé d’erreurs ou de défaillances de contrôles»166.
165 Norme Internationale d’Audit, ISA 265, Communication des défaillances du contrôle interne aux responsables de la gouvernance et à la direction, publiée en anglais par l’International Federation of Accountants (IFAC) en avril 2009, a été traduite en français par l’Institut Canadien des Comptables Agréés (ICCA) et The Canadian Institute of Chartered Accountants (CICA) en mai 2009, paragraphe A5.
166 COSO, Internal Control – Integrated Framework, Guidance on Monitoring, janvier 2009, (traduction libre).
________________________
154 P. NOIROT, J. WALTER, le contrôle interne pour créer de la valeur, édition AFNOR, 2008, page 170. ↑
155 L’audit interne vers une collaboration renforcée avec ses partenaires externe, site Internet IFACI, Septembre 1998, www.ifaci.com, (visité le 17/12/2009). ↑
156 Voir les résultats détaillés de l’enquête en annexe 3. ↑
157 A. YAICH, le nouveau droit des sociétés commerciales, les Editions Raouf YAICH, deuxième édition, Juillet 2006, page 187. ↑
158 A. YAICH, op.cit, page 188. ↑
159 Norme Internationale d’Audit, ISA 315, connaissance de l’entité et de son environnement et évaluation du risque d’anomalies significatives, version Juin 2006, paragraphe 2. ↑
160 Norme Internationale d’Audit, ISA 315, op.cit, paragraphe 54. ↑
161 Norme Internationale d’Audit, ISA 265, Communication des défaillances du contrôle interne aux responsables de la gouvernance et à la direction, publiée en anglais par l’International Federation of Accountants (IFAC) en avril 2009, a été traduite en français par l’Institut Canadien des Comptables Agréés (ICCA) et The Canadian Institute of Chartered Accountants (CICA) en mai 2009, paragraphe 5. ↑
162 Norme Internationale d’Audit, ISA 265, Communication des défaillances du contrôle interne aux responsables de la gouvernance et à la direction, publiée en anglais par l’International Federation of Accountants (IFAC) en avril 2009, a été traduite en français par l’Institut Canadien des Comptables Agréés (ICCA) et The Canadian Institute of Chartered Accountants (CICA) en mai 2009, paragraphe A12. ↑
163 Voir les résultats détaillés de l’enquête en annexe 3. ↑
164 COSO, Internal Control – Integrated Framework, Guidance on Monitoring, janvier 2009, (traduction libre). ↑
165 Norme Internationale d’Audit, ISA 265, Communication des défaillances du contrôle interne aux responsables de la gouvernance et à la direction, publiée en anglais par l’International Federation of Accountants (IFAC) en avril 2009, a été traduite en français par l’Institut Canadien des Comptables Agréés (ICCA) et The Canadian Institute of Chartered Accountants (CICA) en mai 2009, paragraphe A5. ↑
166 COSO, Internal Control – Integrated Framework, Guidance on Monitoring, janvier 2009, (traduction libre). ↑
Questions Fréquemment Posées
Quelles sont les obligations réglementaires de l’auditeur externe concernant le contrôle interne?
L’article 266 du Code des Sociétés Commerciales dispose que le commissaire aux comptes certifie la sincérité et la régularité des comptes annuels de la société et vérifie périodiquement l’efficacité du système de contrôle interne.
Quel est le rôle de l’audit externe dans le pilotage du système de contrôle interne?
L’auditeur externe évalue la capacité du système de contrôle interne à gérer les risques liés aux objectifs organisationnels, en particulier ceux qui peuvent affecter la fiabilité et la sincérité des informations financières.
Comment l’auditeur externe évalue le contrôle interne selon les normes internationales?
Selon la Norme Internationale d’Audit (ISA 315), l’auditeur doit acquérir une connaissance suffisante de l’entité et de son environnement, y compris de son contrôle interne, pour identifier et évaluer le risque que les états financiers contiennent des anomalies significatives.