En tant que professionnels de l’audit, nous avons plus ou moins conscience que le contrôle interne ne se limite pas à la mise en œuvre d’un éventail de procédures. En pratique, nous avons cependant (trop souvent) tendance, à réduire l’évaluation du contrôle interne à l’examen des procédures. Cette évaluation fait pourtant partie des diligences les plus importantes à mettre en œuvre dans le cadre de nos missions d’audits interne et externe.
Auditeur confirmé ou débutant? Cet article est le premier d’une série de X qui vous fournira des indications sur comment évaluer efficacement le contrôle interne au sein de votre organisation. Le sujet étant vaste, je n’ai pas encore réussi à déterminer le nombre exact d’épisodes que comportera cette nouvelle série, d’où le X. 😉
La répétition étant pédagogique, commençons donc avec ce premier épisode consacré aux fondamentaux.
QU’EST CE QUE LE CONTRÔLE INTERNE ?
Selon le référentiel « La pratique du contrôle interne – COSO Report » du Committee of Sponsoring Organizations of the Treadway Commission, le contrôle interne est un processus exécuté par le Conseil d’Administration, la direction et les autres membres du personnel et conçu pour fournir une assurance raisonnable concernant la réalisation des objectifs :
- d’efficacité et d’efficience des opérations
- de fiabilité du reporting financier
- de conformité avec les lois et règlements applicables.
Le controle interne n’est donc pas seulement une affaire de procedures. Il s’agit plutot d’un ensemble d’activites mises en oeuvre par l’ensemble du personnel dans le but d’aider l’organisation à atteindre ses objectifs.
Bien que les organisations soient libres de définir les modalités de mise en place du contrôle interne, le recours à un cadre de référence permet de:
- garantir la présence de tous les éléments du contrôle interne,
- documenter les contrôles mis en œuvre et
- rendre compte de leur pertinence en facilitant le suivi de leur mise en œuvre.
Les cadres de référence les plus fréquemment utilisés sont les suivants :
- Le COSO : cadre de référence publié par le Committee of Sponsoring Organizations of the Treadway Commission
- Le CoCo : publié par le Canadian Institute of Chartered Accountants
- Le modèle Cadbury de l’Institute of Chartered Accountants in England and Wales.
Le COBIT élaboré par l’ISACA fournit quant à lui un cadre de référence pour la gouvernance et la gestion des systèmes d’information. Il prend donc en compte le controle interne specifique à ce domaine.
QUELS SONT LES OBJECTIFS DE L’EVALUATION DU CONTRÔLE INTERNE ?
1. Pour les auditeurs internes
La norme internationale pour la pratique professionnelle de l’audit interne 2130 « Contrôle » indique que « l’audit interne doit aider l’organisation à maintenir des contrôles adéquats en évaluant leur efficacité et leur efficience et en encourageant leur amélioration continue ».
L’évaluation du contrôle interne effectuée par les auditeurs internes entre donc dans le cadre de l’amélioration des processus de gestion des risques, de contrôle et de gouvernance (GRC) et contribue par conséquent à la finalité de l’audit interne telle que reprise dans la définition donnée par l’IIA :
« L’audit interne (…) aide une organisation à atteindre ses objectifs en apportant une approche systématique et rigoureuse pour évaluer et améliorer l’efficacité des processus de gestion des risques, de contrôle et de gouvernance ».
2. Pour les auditeurs externes
La norme ISA 315 dispose que « L’auditeur est tenu de prendre connaissance du contrôle interne pertinent pour l’audit lors de l’identification et de l’évaluation des risques d’anomalies significatives. En procédant à cette évaluation des risques, l’auditeur prend en considération le contrôle interne afin de définir des procédures d’audit appropriées en la circonstance, mais non dans le but d’exprimer une opinion sur l’efficacité du contrôle interne de l’entité. L’auditeur peut identifier des faiblesses du contrôle interne non seulement au cours de ce processus d’évaluation des risques mais aussi à tout autre stade de l’audit. »
L’évaluation effectuée par l’auditeur externe n’est donc pas destinée à fournir une assurance sur l’efficacité du contrôle interne, mais plutôt à :
- faciliter le processus d’identification et d’évaluation des risques significatifs dans le cadre de la planification de l’audit.
- déterminer si l’auditeur peut se reposer ou non sur les contrôles en place au sein de l’entité et définir en conséquence l’étendue des tests substantifs à mettre en œuvre.
L’auditeur externe ne s’intéresse dans le cadre de cette évaluation qu’aux risques susceptibles d’avoir une incidence significative sur les comptes et à l’évaluation de la conception et du fonctionnememt des contrôles-clés mis en place dans le but de les couvrir. Seuls les contrôles pertinents pour l’audit sont donc examinés.
QUE FAUT-IL EVALUER ?
Un contrôle interne efficace nécessite l’existence d’un certain nombre de composantes-clés auxquelles sont rattachées des principes. Ces composantes varient en fonction du cadre de référence retenu par l’organisation.
Le référentiel du COSO, que nous retiendrons dans notre série d’articles, définit 5 composantes du contrôle interne :
- L’environnement de contrôle
- L’évaluation des risques
- Les activités de contrôle
- L’information et la communication
- La surveillance ou monitoring.
L’évaluation doit donc porter sur chacune de ces composantes mais également sur leur fonctionnement conjoint, leur intégration et leurs interactions. Les différentes composantes ne devraient donc pas être prises isolément, car elles sont souvent interdépendantes.
Si vous avez aimé cet article, n’hésitez pas à me laisser un commentaire et à le partager avec vos contacts. 😉
Vous pouvez aussi vous inscrire gratuitement à ma newsletter (ci-dessous) pour ne pas rater les suivants. Vous recevrez en bonus mon livre « RAI – 5 clés pour construire l’équipe d’audit de vos rêves« . 😊
A très vite pour l’episode suivant! 😁