L’évaluation du contrôle interne fait partie intégrante de votre mission d’auditeur interne ou externe. Pour réussir cette tâche et effectuer une évaluation à la fois complète et pertinente, il est important de tenir compte de toutes les composantes du contrôle interne selon le COSO à savoir :
- l’environnement de contrôle,
- l’évaluation des risques
- les activités de contrôle
- l’information et la communication
- le monitoring.
Cet article vous fournit des orientations et astuces pratiques pour évaluer la composante “activités de contrôle“ du contrôle interne dans le cadre de vos travaux d’audit.
Retrouvez les 4 premiers articles de la série via les liens ci-dessous si vous les aviez ratés.
- Evaluer le contrôle interne – Les bases
- Environnement de contrôle – Comment l’évaluer? (1/2)
- Environnement de contrôle – Comment l’évaluer? (2/2)
- Evaluer le processus d’évaluation des risques
Les activités de contrôle au cœur du contrôle interne
Le COSO définit les activités de contrôle comme des « actions définies par les règles et procédures qui visent à apporter l’assurance raisonnable que les instructions du management pour maîtriser les risques susceptibles d’affecter la réalisation des objectifs sont mises en œuvre. »
En termes plus simples, il s’agit :
- des actions définies par le management à travers les procédures de l’organisation
- dans le but de couvrir les risques identifiés lors de l’évaluation des risques.
C’est donc à juste titre que beaucoup d’auditeurs assimilent le contrôle interne aux activités de contrôle et aux procédures qui en découlent. En effet, bien que toutes les composantes du contrôle interne soient importantes voire indispensables, ce sont les activités de contrôle qui en constituent le cœur puisque toutes les autres composantes y sont reliées. Nous avons ainsi d’un côté, l’évaluation des risques qui détermine la nature des activités de contrôle à mettre en place au sein de l’organisation et l’environnement de contrôle instauré par le management, qui influence l’effectivité de leur mise en œuvre ; Et de l’autre, la communication et le monitoring qui dépendent de la nature des activités de contrôle en place au sein de l’organisation.
Que doit-on évaluer ?
Les activités de contrôle ont pour but de couvrir les risques susceptibles d’empêcher l’organisation d’atteindre ses objectifs. Pour être efficaces, elles doivent être :
- être bien conçues, c’est-à-dire pertinentes au regard des risques identifiées et des mesures de mitigation retenues par l’organisation. On parle d’adéquation des mesures de contrôle.
- être mises en œuvre de manière effective : A quoi sert-il d’avoir des contrôles sur le papier, mais qui ne sont pas effectivement mis en œuvre dans la réalité. 🤷♂️
- Fonctionner correctement sur la durée : réaliser les contrôles de manière sporadique ne suffit pas ! Encore faut-il les mettre en œuvre de manière systématique, chaque fois que nécessaire.
L’évaluation des activités de contrôle porte donc sur ces trois aspects et l’auditeur doit par conséquent se prononcer sur leur conception, leur mise en œuvre et leur fonctionnement effectif.
Comment mettre en œuvre l’évaluation des activités de contrôle?
1. Subdiviser l’entité ou le processus en cycles d’opérations homogènes
La première étape de l’évaluation des activités de contrôle consiste à subdiviser l’entité ou le processus en cycles de transactions homogènes, compte tenu de la connaissance que vous avez de l’organisation. La subdivision permet de circonscrire de manière précise les activités de chaque cycle et les contrôles correspondants, de faciliter la répartition des travaux d’évaluation entre les membres de l’équipe d’audit et d’éviter d’omettre ou de répéter les travaux portant sur un aspect donné.
Dans la plupart des entreprises commerciales, on distingue les cycles suivants:
- Ventes et créances clients : Il comprend la gestion des commandes, des livraisons, de la facturation et des clients, ainsi que leurs incidences comptables.
- Achats et fournisseurs: il comprend la gestion des achats hors immobilisations depuis l’expression du besoin jusqu’à la livraison et la comptabilisation, la gestion des fournisseurs, etc.
- Immobilisations : Il concerne la gestion des immobilisations et des investissements de l’organisation, leur protection, etc.
- Stocks : ce cycle couvre la gestion des entrées et sorties ainsi que le suivi, la protection et la valorisation des stocks de l’organisation.
- Trésorerie : il inclut la gestion des recettes, des dépenses, des avoirs, des crédits de trésorerie et emprunts ainsi que la protection des actifs de trésorerie et quasi-disponibilités de l’organisation.
- Personnel et paie : Il couvre la gestion des ressources humaines et de la paie.
- Comptabilité générale: Il prend en compte le système d’information relatif à l’élaboration de l’information financière, la gestion comptable et budgétaire ainsi que certains aspects de la gouvernance de l’organisation.
La répartition par cycle doit être adaptée à la nature des activités de chaque organisation. Par exemple un cycle Production peut être ajouté dans les entreprises industrielles ou les cycles Engagements hors bilan et Epargne et Crédits dans les institutions financières.
2. Prendre connaissance des contrôles clés et évaluer leur conception
Prise de connaissance et compréhension des contrôles
Les activités de contrôle peuvent être manuelles et/ou informatisées. Elles sont identifiées pour chaque cycle d’opérations défini au cours de la phase précédente. Les techniques utilisées comprennent des entretiens avec les intervenants clés du processus ou de l’activité concernée, des revues documentaires, notamment, la revue du manuel de procédures, de la cartographie des risques s’il en existe une, des diagrammes de circulation, etc. Elles vous permettent :
- d’acquérir une compréhension détaillée des processus et des contrôles mis en place par l’organisation pour couvrir les risques identifiés précédemment.
- de vérifier si une mesure de traitement du risque a été mise en place pour chaque risque identifié.
Évaluation de la conception des contrôles
Evaluer la conception des contrôles consiste à vérifier que les activités de contrôle :
- sont conformes à la méthode de traitement du risque retenue par l’organisation
- sont suffisantes pour couvrir effectivement le risque identifié
- ne sont pas excessives au regard du risque à couvrir.
Par exemple, dans le cadre de l’évaluation du contrôle interne relatif au cycle trésorerie, un auditeur a identifié un risque de décaissements frauduleux par la banque. La mesure de traitement de ce risque retenue dans la cartographie des risques consiste à le réduire et l’activité de contrôle mise en place à cet effet consiste à mettre en place une signature conjointe obligatoire sur tous les comptes bancaires de la société.
L’activité de contrôle prévue est cohérente avec la stratégie de réduction du risque définie dans la cartographie. Cependant, l’auditeur estime que le contrôle n’est pas suffisant car il ne couvre pas les cas de collusion entre deux signataires ou de falsification de la signature de l’un des signataires. D’ailleurs, la revue de l’historique de fraude de la société a révélé qu’un détournement de fonds par falsification de la signature du Directeur financier s’était produit par le passé. L’auditeur conclura donc que le contrôle n’est pas correctement conçu car il est insuffisant compte tenu du risque identifié.
Au terme de l’évaluation de la conception du contrôle vous devez être en mesure de :
- comprendre le contrôle mis en place
- déterminer s’il est adéquat
- identifier les acteurs du contrôle (les personnes qui mettent en oeuvre le contrôle) et
- déterminer les documents de référence sur lesquels le contrôle est formalisé.
Outils d’évaluation
Les questionnaires de contrôle interne peuvent faciliter la mise en œuvre de cette phase. L’auditeur les administre lui-même ou les envoie aux acteurs du processus qui le remplissent et le lui renvoient. Je recommande pour ma part la première méthode car elle vous permet non seulement de clarifier les réponses et d’observer les indices de comportement des interviewés, mais également de valider sur place, dans la mesure du possible, les résultats de l’évaluation.
Les questionnaires peuvent être complétés ou remplacés par des diagrammes de circulation et/ou un texte descriptif. Quels que soient les outils retenus, ils doivent mettre en évidence les contrôles clés, les propriétaires de contrôles, les documents de référence correspondants et la conclusion relative à la conception de chaque contrôle.
Un aspect important de l’évaluation de la conception des contrôles concerne l’analyse de la séparation des tâches qui consiste à rechercher les éventuels cumuls de fonctions inappropriés. Les grilles d’analyse de la séparation des tâches facilitent le travail de repérage des cumuls de fonctions.
3. Évaluer la correcte implémentation des activités de contrôle
Cette étape permet de vérifier que le contrôle, tel que décrit par les acteurs lors de la phase d’évaluation de la conception, existe réellement et est effectivement mis en œuvre. En pratique, cette étape s’effectue en même temps que l’évaluation de la conception des contrôles.
Les tests de cheminement constituent la principale technique à mettre en œuvre à cette étape. Ils vous permettent de vérifier l’état réel des contrôles et d’identifier les défaillances au niveau de leur exécution.
Ils consistent à :
- Sélectionner au hasard un nombre limité de transactions (au moins 1) et
- suivre le processus de leur mise en œuvre en remontant jusqu’à leur origine et en descendant jusqu’à leur dénouement et obtenir pour chacune les documents de référence identifiés lors de l’analyse de la conception du contrôle
- vérifier l’existence et la mise en œuvre des contrôles à tester grâce à l’analyse des documents de référence.
Si au cours de cette phase vos tests révèlent que les contrôles mis en œuvre sont différents de ceux décrits, ces derniers doivent être corrigés.
La vérification de l’implémentation des contrôles, vous permet d’identifier :
- les contrôles qui existent conformément à la description (points forts) et
- ceux qui ne sont pas correctement mis en œuvre (points faibles). Ces derniers font l’objet d’une analyse complémentaire afin de déterminer si des contrôles alternatifs ou de remplacement sont en place, avant de conclure à une défaillance du contrôle.
4. Vérifier le fonctionnement des activités de contrôle
La vérification du fonctionnement des contrôles permet de s’assurer que ceux-ci sont appliqués de manière permanente. Elle ne s’applique qu’aux points forts identifiés à l’étape précédente et consiste à s’assurer que ces contrôles ont bien fonctionné comme cela était prévu et sur l’ensemble de la période objet de la revue.
De manière pratique, il s’agit de :
- constituer par sondage un échantillon de transactions : La taille de l’échantillon dépend de votre jugement professionnel et de la nature du contrôle. Ainsi, pour un contrôle informatique automatisé, la vérification d’une seule transaction peut être suffisante pour conclure sur l’ensemble de la période car on part du principe que si le contrôle fonctionne une fois, il fonctionnera de manière continue sur la durée.
- vérifier l’effectivité du contrôle sur chacune des transactions de l’échantillon.
- conclure sur la base des résultats de l’échantillon, sur l’effectivité ou non du contrôle sur l’ensemble de la population.
5. Conclure l’évaluation
Compte tenu des résultats identifiés lors des étapes précédentes, vous pouvez conclure votre évaluation des activités de contrôle en faisant la synthèse des points forts et des défaillances des activités de contrôle. Deux types de défaillances sont à distinguer :
- les défaillances liées à la conception lorsqu’un contrôle n’est pas correctement conçu.
- Et celles relatives à la mise en œuvre lorsque le contrôle est bien conçu mais n’est pas implémenté de manière adéquate.
Les défaillances identifiées sont par ailleurs analysées afin de déterminer :
- leurs causes
- Si elles ont effectivement conduit à des erreurs ou irrégularités
- leurs incidences sur la suite des travaux, lorsque l’évaluation du contrôle interne est effectuée dans le cadre d’un audit.
Les défaillances du contrôle interne font l’objet de recommandations de la part de l’auditeur.
Si vous avez aimé le contenu de cet article, laissez-moi un commentaire et partagez-le avec vos contacts.
Vous pouvez aussi vous inscrire gratuitement à ma newsletter (ci-dessous) pour ne pas rater les ressources suivantes. Vous recevrez en bonus mon livre « RAI – 5 clés pour construire l’équipe d’audit de vos rêves« . 😊
A bientôt!
Cet article a 6 commentaires
Bonjour Eunice, j’ai lu cet article captivant avec intérêt qui est de bonne facture👍. Pour ma part un article pratique sur l’audit des comptes serait le bien venu, pour une application effective de notre métier 😊 avec des outils pertinents à l’appui 😊. Merci pour cet article 💪👍.
Merci M. Ouedraogo pour votre retour! Et votre requête est bien notée également. Seulement il serait difficile de résumer une mission d’audit entière en un seul article. Cela dit le sujet sera abordé sans aucun doute puisqu’il s’agi de l’objet même de ce blog! 🙂
Merci pour cet article
Avec plaisir Aboubakry! 🙂
BONJOUR CHER EUNICE, ARTICLE TRES EDIFIANT. JE CONSTATE TOUT DE MEME QUE LA CONFIANCE RELATIVEMENT ELEVE POUR UN CONTROLE AUTOMATIQUE REDUIT A UNE SEULE TRANSACTION. JE CIRCONSCRIS MON OPINION DANS LE DOMAINE FINANCIER A DEVISE MULTIPLE. JE SOUHAITERAIS QUE LE CONTROLE S ÉLARGISSE PAR EN EXEMPLE A UN POURCENTAGE DE VARIATION DU YAUX DE CHANGE AU COURS D UNE PERIODE LORSQU ON SE RETROUVE DANS UN MILIEU OU LA MONNAIE DE TRANSACTION NE CONNAIT PAS UNE STABILITÉ PAR RAPPORT A LA PRINCIPALE DEVISE DE RÉFÉRENCE.
Merci Chrispin pour votre contribution ! 😊