Les perspectives futures du contrôle interne révèlent des enjeux cruciaux dans un environnement économique en mutation. Cette recherche met en lumière les outils indispensables et le rôle clé de l’expert-comptable pour naviguer efficacement à travers les risques organisationnels contemporains.
Section 2:
Conception des outils et exécution des procédures de pilotage
Avant de procéder à la conception et l’exécution des outils et des procédures de pilotage, la direction doit identifier les risques les plus significatifs qui peuvent avoir un impact important sur la réalisation des objectifs. Cette étape permet d’identifier les contrôles clés et les informations probantes permettant de conclure sur l’efficacité du système.
La direction doit considérer ces contrôles comme étant prioritaires dans la conception et la mise en œuvre des procédures de pilotage et déterminer les outils lui permettant de disposer des informations probantes concernant leur efficacité.
Toutefois, ceci ne veut pas dire que les autres contrôles seront exclus des activités de pilotage. En effet, tous les contrôles liés à un risque jugé significatif doivent faire l’objet de surveillance, mais sans que cela ne puisse épuiser les moyens disponibles de l’entreprise au détriment des activités de pilotage des contrôles clés liés aux risques jugé plus significatifs. Cette démarche permet de maximiser l’efficacité et l’efficience du système de pilotage.
Nous proposons donc d’étudier la classification des risques par priorité et l’identification des contrôles clés (sous-section 1), l’identification des informations probantes et la conception et l’élaboration des outils de pilotage (sous-section 2) et la mise en œuvre des procédures de pilotage (sous-section 3).
Sous-section 1 : Classer les risques par priorité et identifier les contrôles clés
§ 1. Classer les risques par priorité
1. Définition et contexte de la classification des risques
Le rapport COSO II, dédié au management des risques, définit le risque comme «représentant la possibilité qu’un événement survienne et nuise à l’atteinte d’objectifs»41. Il ajoute que «l’incertitude relative aux événements potentiels porte sur leur probabilité d’occurrence et leur impact.
La probabilité représente la possibilité qu’un événement donné survienne, tandis que l’impact en représente les conséquences»42.
Ainsi, un risque est un événement à impact négatif qui peut affecter l’atteinte d’un ou de plusieurs objectifs organisationnels et qui pourrait survenir à court, moyen ou long terme. Il est inhérent à la vie et aux affaires, et ne peut, en aucun cas, être totalement éliminé.
Toutefois, l’entreprise peut, à travers la composante analyse des risques du contrôle interne, identifier et évaluer les risques liés à la réalisation des objectifs qu’elle s’est fixés. Cette démarche permet à l’entreprise de concevoir un système de contrôle interne qui comprend toutes les cinq composantes, lui permettant de gérer ou de réduire les risques identifiés et d’avoir, par la suite, une assurance raisonnable quant à la réalisation des objectifs.
Le classement des risques par priorité est donc naturellement inclus dans la composante analyse des risques ; le fait de l’introduire dans la démarche de pilotage ne veut pas dire qu’il doit faire l’objet d’une fonction séparée.
Cependant, les résultats du processus d’analyse des risques et le classement de ceux-ci par priorité affecteront les décisions quant aux types, aux choix et à l’étendue des outils et des procédures de pilotage.
La fréquence de la revue de la classification des risques varie d’une organisation à une autre. Une grande organisation pourrait exécuter des évaluations annuelles ou même plus fréquentes, alors que celle de taille moyenne ou petite pourrait mettre à jour son évaluation d’une façon moins fréquente en utilisant des moyens moins complexes.
Toutefois, si des changements importants interviennent dans l’environnement de l’organisation, elle doit procéder à une revue de la classification des risques et ce, quelle que soit sa taille.
2. Les techniques et les critères de classification des risques
Plusieurs techniques et méthodes peuvent être utilisées dans l’évaluation et la classification des risques de l’entreprise. Ces techniques et méthodes peuvent être quantitatives ou qualitatives, selon la nature du risque, l’activité et la complexité de l’entreprise.
Le COSO II avance que «les techniques d’évaluation qualitatives sont souvent utilisées lorsque les risques ne se prêtent pas à une quantification ou qu’il n’y a pas suffisamment de données fiables pour effectuer une évaluation quantitative ou encore lorsqu’il n’est pas possible d’obtenir ou d’analyser ces données moyennant un coût raisonnable.
Les techniques quantitatives sont habituellement plus précises et sont utilisées dans des activités plus complexes et sophistiquées afin d’apporter un complément aux techniques qualitatives. La mise en œuvre des techniques d’évaluation quantitatives nécessite en règle générale un investissement et une rigueur plus importants, et requiert parfois l’utilisation de modèles mathématiques.
La fiabilité de ces techniques repose largement sur la qualité des données et des hypothèses sous-jacents du modèle aussi conviennent-elles mieux aux événements pour lesquels l’entité dispose de suffisamment de données historiques pour pouvoir établir des prévisions fiables»43.
Quelque soit la technique utilisée pour l’évaluation du risque, l’entreprise doit avoir une mesure fiable quant à sa probabilité d’occurrence et son impact sur l’objectif ou les objectifs liés. Deux grandeurs de mesure sont donc à prendre en considération pour évaluer un risque :
- L’impact sur la réalisation des objectifs : il représente les conséquences de la survenance du risque sur la réalisation des objectifs liés.
- La probabilité d’occurrence : elle représente la probabilité de réalisation du risque. Elle est fonction de plusieurs facteurs externes et internes à l’organisation qui peuvent parfois échapper à sa volonté.
Indépendamment de ce qui précède, le guide de pilotage du COSO avance l’idée que «l’évaluation doit envisager l’importance du risque sans tenir compte de l’efficacité attendue du contrôle interne»44.
En effet, classer un risque comme étant non significatif dans la mesure où le système de contrôle interne permettra de réduire son impact ou d’empêcher sa réalisation, pourrait mener à l’exclusion inadéquate d’important risque et par la suite d’important contrôle à piloter.
En outre, l’entreprise doit prendre en considération pour la classification des risques le risque inhérent auquel elle est exposée en l’absence de mesures correctives et non pas le risque résiduel qui représente celui auquel l’entité reste exposée après la prise en compte des solutions mises en œuvre par la direction.
§ 2. L’identification des contrôles clés
Après avoir classé les risques par priorité, la direction doit procéder à l’identification des contrôles clés qui s’attaquent aux risques significatifs. Cette démarche permet d’augmenter l’efficacité et l’efficience du système de pilotage, en mettant l’accent sur les contrôles dont l’échec peut avoir un impact important sur la réalisation des objectifs, ainsi que, ceux qui sont les plus susceptibles d’échouer et affecter l’efficacité du système de contrôle interne.
Afin d’identifier les contrôles clés, la direction doit déterminer les contrôles qui gèrent ou réduisent les risques significatifs (§2.1) et déterminer les facteurs qui peuvent augmenter le risque d’échec du système de contrôle (§2.2).
2.1. La détermination des contrôles qui gèrent ou réduisent les risques significatifs
Pour pouvoir identifier les contrôles clés, la direction doit avoir une compréhension claire du fonctionnement du système de contrôle. Ainsi, c’est le dispositif global qui doit être pris en considération pour déterminer les contrôles permettant de gérer ou réduire les risques significatifs.
Le guide de pilotage COSO avance que «les contrôles clés peuvent comprendre ceux qui représentent le point d’échec le plus probable vis-à-vis des risques significatifs. Mais également, d’autres contrôles peuvent être identifiés comme clés du fait que leur fonctionnement peut empêcher d’autres échecs de contrôles, ou qu’ils peuvent détecter et corriger d’autres faiblesses de contrôles ayant un impact important sur la réalisation des objectifs avant qu’ils ne se concrétisent»45.
Les contrôles clés présentent donc l’une ou les deux caractéristiques suivantes :
- Leurs disfonctionnements, défaillances ou faiblesses pourraient affecter la réalisation des objectifs de l’organisation ; et/ou
- Leur fonctionnement efficace pourrait empêcher ou détecter les faiblesses ou les échecs d’autres contrôles.
Le guide COSO ajoute que «la qualification des contrôles comme étant des contrôles clés ou non peut varier entre un niveau et un autre (ou entre une activité et une autre) au sein de la même organisation.
Ainsi par exemple, les contrôles qui s’attaquent aux risques significatifs pour un directeur d’usine peuvent être considérés comme des contrôles clés à ce niveau, sans toutefois, l’être pour un haut responsable qui raisonne au niveau de l’organisation toute entière»46.
Chaque responsable doit donc identifier les contrôles clés selon son niveau hiérarchique et selon l’activité qu’il dirige, sans que cela ne puisse créer des conflits ou générer des procédures de pilotage inutiles.
L’identification des contrôles clés peut aider l’organisation à affecter plus de ressources de pilotage là où ils peuvent fournir la plus grande utilité. Toutefois, un pilotage efficace du système de contrôle interne doit empêcher raisonnablement toutes les faiblesses et tous les disfonctionnements des contrôles qui peuvent affecter l’efficacité du dispositif.
La direction doit donc identifier les facteurs qui peuvent augmenter le risque d’échec des contrôles.
2.2. Les facteurs qui peuvent augmenter le risque d’échec d’un contrôle
La conception des contrôles varie d’une organisation à une autre même pour deux organisations similaires ou présentant des caractéristiques communes. Toutefois, les facteurs qui peuvent augmenter le risque d’échec d’un contrôle sont généralement semblables pour la majorité des organisations quelque soit leur taille ou leur secteur d’activité.
Ces facteurs de risque doivent être analysés par la direction et chaque contrôle susceptible d’avoir mais de probabilité d’échouer doit faire l’objet d’une surveillance, à travers les activités de pilotage.
Les facteurs de risques d’échec d’un contrôle sont multiples et diversifiés. Ils peuvent être en relation avec l’organisation, l’environnement interne et externe, la taille ou le contrôle lui-même.
Plusieurs données propres à chaque organisation peuvent aggraver ou diminuer l’impact de ces facteurs. Le guide de pilotage COSO nous propose quelques facteurs de risque que nous citons à titre d’illustration :
- La complexité : les contrôles qui nécessitent des compétences spécialisées ou une formation spécifique sont typiquement plus exposés à l’échec que les contrôles simples ;
- Le jugement : les contrôles qui exigent un haut niveau de jugement, telles que les estimations hautement dépendantes de l’expérience et de la formation du personnel responsable, sont souvent considérées comme associées aux risques significatifs ;
- Contrôles manuels ou automatisés : les contrôles manuels s’exposent plus à l’erreur humaine que les contrôles automatisés, et sont par la suite souvent sujets à différents niveaux de pilotage. Cependant, quand les contrôles automatiques échouent, ils ont tendance à échouer de façon répétée dans les mêmes circonstances et, par conséquent, nécessitent un niveau approprié de pilotage.
- Défaillances de contrôle connues : les défaillances de contrôle identifiées précédemment sont une indication claire de la nécessité d’augmenter les activités de pilotage jusqu’à ce que les actions correctrices soient efficacement mises en place pour gérer ou éliminer les causes des défaillances ;
- Compétence et expérience du personnel : le manque de qualification ou d’expérience dans l’exécution d’un contrôle donné augmente la probabilité de son échec ;
- Risques de contournement par la direction : les contrôles qui pourraient être contournés par la direction doivent faire l’objet d’une attention spécifique, lors de la conception et la mise en œuvre du pilotage du système de contrôle.
- La probabilité de la détection de l’échec : l’échec d’un contrôle peut parfois être détecté, à travers la mise en œuvre efficace d’autres contrôles au sein du système. Dans ce cas, la probabilité de détection de tel échec est élevée. Au contraire, si un échec de contrôle ne peut pas être détecté à travers l’exécution d’autres contrôles, le système de pilotage doit assumer pleinement ce rôle en assurant un suivi particulier à ce genre de contrôle.
Tous ces facteurs doivent être pris en considération lors de la conception du système de pilotage. Ainsi, un pilotage efficace peut assurer raisonnablement le bon fonctionnement des contrôles qui gèrent les risques significatifs ainsi que ceux qui présentent une probabilité d’échec importante.
________________________
41 COSO II, Internal Control – Integrated framework, traduit en français par l’IFACI, PricewaterhouseCoopers et LANDWEL, Le management des risques de l’entreprise, édition d’organisation, 2007, page 23. ↑
42 COSO II, op.cit, page 75. ↑
43 COSO II, Internal Control – Integrated framework, traduit en français par l’IFACI, PricewaterhouseCoopers et LANDWEL, Le management des risques de l’entreprise, édition d’organisation, 2007, page 78. ↑
44 COSO, Internal Control – Integrated Framework, Guidance on Monitoring, janvier 2009, (traduction libre). ↑
45 COSO, Internal Control – Integrated Framework, Guidance on Monitoring, janvier 2009, (traduction libre). ↑
Questions Fréquemment Posées
Quels sont les risques significatifs à considérer dans le pilotage du contrôle interne?
La direction doit identifier les risques les plus significatifs qui peuvent avoir un impact important sur la réalisation des objectifs.
Comment classer les risques par priorité dans le système de contrôle interne?
Le classement des risques par priorité est inclus dans la composante analyse des risques et affecte les décisions quant aux types, aux choix et à l’étendue des outils et des procédures de pilotage.
Quelle est l’importance de la revue de la classification des risques?
La fréquence de la revue de la classification des risques varie d’une organisation à une autre, mais si des changements importants interviennent dans l’environnement de l’organisation, elle doit procéder à une revue de la classification des risques.