Contrôle Entreprise

CONTRÔLE INTERNE
01/03/2018 Henri Faye / UCAO 1

LE CONTRÔLE INTERNE
1. DEFINITION
1. Définition
Par contrôle interne, on entend l’ensemble des sécurités contribuant à
la maîtrise de l’entreprise.
Le contrôle interne a pour objectifs :
1. la protection et la sauvegarde du patrimoine y compris la
prévention de la fraude ;
2. la conformité aux différentes lois et réglementations applicables ;
3. le respect constant des instructions et des règles de gestion
définies par la direction ;
4. la diffusion d’une information financière et non financière fiable,
rapidement et à temps ;
5. le développement de la rigueur et l’amélioration des performances
(efficacité opérationnelle, rationalisation des tâches).

2. RESPONSABILITE
2. Responsabilité
• Le contrôle interne est mis en place et entretenu
par la direction générale de l’entreprise afin de
prévenir et de détecter les erreurs, les fraudes et
les anomalies pouvant affecter les comptes et les
états financiers.
• Quant à l’auditeur, les normes actuelles d’audit
lui prescrivent "d’acquérir une compréhension
suffisante du contrôle interne pour pouvoir
planifier sa mission et concevoir une approche
d’audit efficace".

3. PRINCIPES DE BASE
3. Principes de base du contrôle interne

Organisation (organigramme, manuel de
procédures, définition des tâches, définition
des responsabilités et des pouvoirs de
signature)
Séparation des fonctions (décision, contrôle,
comptabilisation, nécessité de la double
signature et plafond de signature.)

3. PRINCIPES DE BASE
Intégration (ou auto-contrôle) : recoupement et

contrôle mutuel (rotation du personnel).
Qualité du personnel : compétence et
honnêteté.
Harmonie : adéquation aux caractéristiques de
l’entreprise et de son environnement
Universalité : le contrôle interne concerne
toutes les personnes dans l’entreprise, en tout
temps et en tout lieu.
4. ELEMENTS CONSTITUTIFS
4. Les éléments constitutifs du contrôle

interne
1. environnement de contrôle ;
2. identification et évaluation des risques ;
3. activités de contrôle proprement dites ;
4. système d’information ou de communication ;
5. structure pilotage de l’ensemble du dispositif .

4. Les éléments constitutifs du contrôle interne (suite)
4.1. L’environnement de contrôle
L’environnement de contrôle comprend:

- les mécanismes de base (processus et procédures),
- la qualité des structures et des hommes
(infrastructures, ressources humaines),
- les comportements (climat social, style de direction)
l’existence et la mise en œuvre des éléments cités ci-
dessus constituent le fondement sur lequel
s’exercent les procédures de contrôle interne.

a) Structure organisationnelle, répartition des rôles et
responsabilités des dirigeants
- Adéquation de la structure organisationnelle aux
activités ;
- Qualité du gouvernement d’entreprise : compétence et
indépendance des administrateurs par rapport à la
direction, exercice de la responsabilité;
- - Type et qualité des relations entre la direction et le
personnel ;
- Qualité de la circulation de l’information ;
- Existence et efficacité du comité d’audit ;

b) Intégrité et valeur éthiques

- Comportement éthique, intégrité et rigueur des
responsables ;
- Niveau d’intégrité ou de corruption des
responsables et du personnel clé ;
- Place et perception accordée au contrôle interne
par les responsables ;
- Attitude et réactions face aux violations des règles
et procédures : impunité, laxisme ;
- Actualité et fiabilité des états financiers.

c) Politiques et pratiques de gestion des ressources

humaines
- Niveau de compétence et d’expérience des responsables
et du personnel clé ;
- Niveau de formation continue des responsables et du
personnel clé ;
- Maîtrise des opérations ;
- Stabilité ou taux de rotation du personnel (pour les
fonctions cruciales) ;
- Climat social : conflictuel, de méfiance, de suspicion.

d) Philosophie et style de gestion

- Mesures de supervision et de surveillance : effort
de surveillance déployé par les responsables ;
- Exercice et respect de l’autorité ;
- Organisation générale des tâches ;
- Qualité des relations avec les tiers;
- Qualité et niveau d’entretien des moyens
techniques et matériels ;
- Célérité ou délai de réaction.

Lorsque l’environnement de contrôle est

défavorable, les procédures de contrôle
interne ont peu de chances d’être efficaces.

4.2. L’identification et l’évaluation des risques
2)L’identification et l’évaluation des risques

C’est le processus adopté par la direction pour
identifier, analyser et maîtriser les risques
provenant tant de facteurs externes
qu’internes auxquels l’entreprise est exposée.
Il est de la responsabilité de la direction
d’étudier même à l’avance ces risques et
d’élaborer des mesures alternatives dans le
cadre d’un scénario de crise.

Il est important au préalable de définir les

objectifs de l’entreprise et de vérifier
l’existence de contrôle au niveau des
différents processus et activités (dispositif de
maîtrise des risques)

a) Définition des objectifs

La fixation des objectifs constitue une condition
préalable à l'évaluation des risques. En effet, le
management doit se fixer des objectifs avant
d'identifier les risques susceptibles d'avoir un
impact sur leur réalisation et prendre les mesures
nécessaires.
Ces objectifs doivent être clairs et compréhensibles
par les membres de l'organisation. Une
communication de ces objectifs est par
conséquent nécessaire.

b) L'évaluation du dispositif de maîtrise des risques (DMR)
Les dispositifs de maîtrise des risques comportent deux
volets : les dispositifs de prévention, les dispositifs de
protection.
- Les dispositifs de maîtrise préventive des risques : ils sont
destinés à réduire la fréquence d'occurrence du risque;
leur objectif est d'éviter la survenance de l'événement.
- Les dispositifs de maîtrise protection des risques : ils sont
destinés à réduire les impacts des risques, en d'autres
termes, leur objectif est de contenir les conséquences de
l'événement.

Exemple 1 : DMR de prévention des risques d’incendie
DMR de prévention Description Contrôles
Application des lois et

règlements en vigueur dans Interdiction de fumer Dispositif permanent
l’établissement
Contrôle de la température des

salles informatiques,
Maintenance mensuelle
Maintenance des équipements vérification des systèmes
électrique
électriques, suivi et
remplacement du matériel
Information et formation sur la Formation pour les CDI te les

Sensibilisation du personnel
sécurité incendie CDD

Exemple 2 : DMR de protection des risques d’incendie
DMR de Protection Description Contrôles
Exercices d’évacuation des

locaux
Respect des normes de sécurité Présence d’extincteurs Audit annuel de sécurité des
en vigueur Equipement des locaux (portes, locaux
coupe-feu, alarmes, détecteurs
de fumée…)

Pour chaque événement de risque, les

dispositifs de maîtrise existants sont évalués
globalement sur une échelle à 4 à 5 niveaux
en fonction de leur existence et du niveau
d’application :
(voir tableau suivant)

Niveau de
Cote Critères
maitrise
Inexistant 1 Aucun dispositif de contrôle interne n’existe
Le dispositif de contrôle interne existe mais est

Insuffisant 2
appliqué avec beaucoup de lacunes
Moyen 3 Le dispositif est appliqué avec peu de lacunes

Le dispositif est appliqué avec des mesures de
Maitrisé 4
contrôle
Le dispositif et les mesures de contrôle sont

Très maitrisé 5
correctement appliqués

L’existence d’un manuel de procédure peut aider

à l’évaluation du dispositif de contrôle interne.
En effet l’analyse des procédures liées aux
différentes activités peut permettre de
détecter l’existence et l’application des
activités de contrôle.
TD: Mise en place de dispositifs de maitrise des risques (DMR)
CARTOGRAPHIE ISG-ST MICHEL.doc
FICHE D'IDENTITE.doc
PROCEDURE ACCEUIL-ORIENTATION-INSCRIPTION.doc

4.2. L'identification et l’évaluation des risques: Les Approches
L’identification des risques doit être :
• liée aux objectifs de l'organisation;
• Exhaustive
Parmi les différentes approches, nous en avons retenu
quatre que nous allons tour à tour passer en revue:
- le TOP-DOWN;
- le BOTTOM-UP;
- le RISK MANAGER;
- l'approche par le BENCHMARKING ;
4.2. L'identification et l’évaluation des risques: Les approches
• Le Top-down
C'est l'approche dite descendante qui consiste à faire
détecter les risques par la hiérarchie qui les soumet,
pour avis, aux collaborateurs chargés des opérations.
• Le Bottom-up
Cette approche dite ascendante consiste à faire
identifier les risques par les opérationnels c'est-à-
dire ceux chargés d'exécuter quotidiennement les
tâches.

Le Bottom-up (suite)
Cette démarche interactive et participative est
séduisante mais se heurte à d'importantes difficultés
que l'on peut résumer comme suit :
- les participants ont-ils la motivation et la disponibilité,
- les participants ont-ils l'indépendance d'esprit,
- les participants ont-ils le recul et la compétence pour
évaluer eux-mêmes l'état de leur contrôle interne ?

• Le risk manager
L'une des missions du risk manager est d'identifier tous les
risques internes et externes de l'entreprise. Mais, cette
approche connaît des limites car la fonction de risk manager
est méconnue de beaucoup d'entreprises.
• le benchmarking
C'est une approche qui consiste à collecter, auprès des entités
réputées pour leur bonne gestion des risques, les bonnes
pratiques en matière d'identification des risques (séjours,
échanges d'expériences, conférences et d'ateliers de
formations).Une fois en possession des bonnes pratiques,
l'entreprise gagnerait à les mettre en pratique.
4.2. L'identification et l’évaluation des risques
L'identification des risques est une opération

délicate. Sa réussite dépend des méthodes et
des outils utilisés.
l'expérience montre qu’il est possible de classer
les risques en trois grandes catégories :
• Risques associés aux fonctions
• Risques associés aux processus
• Risques associés aux ressources.
4.2. L'identification et l’évaluation des risques
Les risques les plus intéressants sont ceux qui

ont un impact sur une fonction ou une
ressource de l'entreprise.
Plusieurs techniques peuvent être utilisées

pour identifier les risques:

4.2. L'identification et l’évaluation des risques: Les techniques
l'identification basée sur les actifs créateurs

de valeurs :
il s'agit ici de recenser au sein de l'entreprise
tous les risques qui affectent les actifs
intangibles tels que :
- le savoir, la technologie, les relations,
- les logiciels et le système d'information générale,
- l'image de l’entreprise ou d’un produit.

4.2. L'identification et l’évaluation des risques: les techniques
l'identification basée sur l'atteinte des

objectifs
Ces risques, s'ils ne sont pas identifiés et mis
sous contrôle, portent inévitablement atteinte
à la réalisation des objectifs.
Les entreprises qui ont des objectifs stratégiques
doivent s'en prémunir sous peine d'annihiler
leurs plans de développement à long terme.

4.2. L'identification et l’évaluation des risques: les techniques
l'identification basée sur les check-lists :

il s'agit d'identifier les risques opérationnels à
partir d'un répertoire de risques préétabli.
Ces risques sont ensuite analysés pour être
rattachés aux différents processus de l'entité.
Cette technique connaît des limites car cette
liste relève beaucoup plus du général.

l'identification par analyse historique :

Ce procédé vise à faire l'inventaire des risques
opérationnels qui se sont matérialisés
antérieurement.
Cette méthode n'est pas trop conseillée car les
risques identifiés peuvent ne pas être
d'actualité. En effet, ils peuvent avoir disparu
soit par le fait qu'ils ont été traités, soit par la
cessation de l'activité qui y a donné naissance.
l'identification basée sur l'analyse de

l'environnement :
Toute entreprise évolue dans un environnement
externe et interne. La difficulté ici est que
l'environnement externe de l'entreprise étant
en perpétuel changement, les risques
externes vont masquer ceux liés à
l'environnement interne de l'entreprise.

l'identification par analyse des activités :

l'identification des risques se fait à partir des
activités de l'entreprise. Cette méthode
permet de faire un inventaire exhaustif des
risques car elle est basée sur :
– les processus en vigueur dans l'entreprise ;
– les meilleures pratiques d'identification des
risques.

4.2. L'identification et l’évaluation des risques: L es techniques
l'identification par analyse des activités (suite):

L'identification des risques par analyse des
activités est conseillée aux entreprises car elle
est plus réaliste que les précédentes
techniques parce que basée sur les processus
de l'entreprise.

4.2. L'identification et l’évaluation des risques: Les outils
Les outils d'identification des risques

La collecte des données relatives aux risques est
une opération décisive dans l'élaboration du
système de contrôle interne.
Elle nécessite l'utilisation d'outils appropriés qui
sont :
- les outils d'interrogation
- les outils de description
les outils d'interrogation :

- les sondages statistiques: ou échantillonnage qui
n'est autre que la sélection d'une partie dans un tout. Il s'agit
de rassembler les données, de les traiter, et finalement de les
exploiter.
- les interviews avec les acteurs: Une interview est
une conversation entre deux ou plusieurs personnes où des
questions sont posées pour obtenir des informations de la
part de l'interviewé, généralement selon le mode QQOQCCP.

QQOQCCP est l'abréviation d'une méthode qui a pour

but d'obtenir un ensemble d'informations pour
comprendre quels sont les causes et aspects à traiter.
• Qui ? (Catégories de gens concernés)
• Quoi ? (Actions à effectuer)
• Où ? (Domaines, lieux)
• Quand ? (Le temps)
• Comment ? (Moyens et méthodes)
• Combien ? (Quantités et budget)
• Pourquoi ? (Motifs et objectifs)

- Les questionnaires: Cette méthode permet à celui qui va

être interrogé de disposer d'un temps de réflexion pour
améliorer la qualité des réponses.
Le grand avantage du questionnaire par rapport à l'interview,
c'est qu'il permet la collecte de données auprès d'un grand
nombre d'individus, à un coût relativement peu élevé.
L’inconvénient du questionnaire est que contrairement à
l'interview, il ne permet pas au vérificateur de clarifier
certaines questions, de s'assurer de la compréhension des
questions, de demander des éclaircissements ou des
explications sur des réponses, de s'assurer que le répondant
répond à toutes les questions du formulaire.
- les vérifications (audit) ,

- les analyses et les rapprochements divers;
Il s’agit d’analyser les forces et les faiblesses du
système, de faire des rapprochements pour
déceler les défaillances ou non conformités
(rapprochement bancaire, rapprochement
Facture / BC / BL etc.…)

les outils de description :

- l'observation physique:
L’observation physique ou l’inspection peut notamment
permettre de recueillir des informations sur l'entité,
mais également corroborer les résultats des enquêtes,
interviews ou sondages recueillis auprès de la direction
ou d'autres personnes au sein de l'entité (présence
effective des actifs, inventaire des stocks, etc…)

- la narration: Par opposition à l'interview qui est

préparée et réalisée pour un but précis, la narration
n'a d'autre objet que de faire décrire un cadre
général. En effet, on se contente juste d'écouter et
de noter le récit de son interlocuteur. Il est
néanmoins conseillé d'utiliser des entrées de jeu qui
donnent la parole à l'interlocuteur.
L’avantage, est dans la richesse des informations
obtenues. On trouve toujours plus que ce qui était
attendu et bien des renseignements sont à mettre de
côté pour une utilisation ultérieure.
Les Inconvénients de la narration

• Difficulté à trouver les informations cherchées dans le
discours de l'interlocuteur. (les abus, les parenthèses et
détours l'absence de préparation)
• Difficulté de compréhension si le narrateur use et abuse des
sigles, termes techniques et d'autres locutions abrégées.
• Le temps passé peut être également une difficulté, d'autant
que l'usage du magnétophone est toujours déconseillé,
comme il l'est dans l'interview. Tout repose sur l'habilité à
prendre des notes et l'aptitude à les transcrire et à les
interpréter.

- l'organigramme fonctionnel: c’est un outil utilisé

dans l'analyse détaillée des procédures. Il permet l'analyse et
la représentation des fonctions prises indépendamment les
une des autres.
Cet organigramme a comme caractéristique que les mots
figurant dans les cases ne sont pas des noms de personnes
(organigramme hiérarchique) mais des verbes désignant des
fonctions. Exemple
Son exhaustivité permet de ne rien omettre dans la description
d'un existant. Il est aussi un outil communicant, permettant
l'identification et la mise en relief des dysfonctionnements.

- la grille d'analyse des tâches.

La grille d'analyse de tâches est un outil permettant à l'auditeur
de déceler sans erreur possible les manquements à la
séparation des tâches et donc d'y porter remède.
Elle est la photographie à un instant T de la répartition du travail,
elle permet également de faire le premier pas dans l'analyse
des charges de travail de chacun.
Exemple de grille d’analyse des taches

Chaque outil utilisé doit toujours

correspondre à l'objectif poursuivi
qui peut être soit le contrôle (audit),
soit l'élaboration de la cartographie
des risques (dispositif du contrôle
interne).
TD: Grille d’analyse des taches et Identification des risques
Les résultats du processus d’identification des

risques opérationnels peuvent être résumé
dans un tableau selon le modèle suivant:
Taches Objectifs Risques Impacts du DMR Existence
du C.I. opérationnels risque du dispositif
Exemple: Risques liés à l'arrivage des matériels

4.2. L'identification et l’évaluation des risques: La criticité
L’évaluation des risques

Le processus d'évaluation des risques doit
permettre d'identifier et de prendre en
compte les conséquences des risques
significatifs, tant au niveau de l'entité que des
activités de celle-ci.

Un risque se caractérise par deux grandeurs :

• Sa probabilité d'occurrence, ou fréquence (f) ;
• Ses effets, impacts ou gravité (G).
Un risque se mesure par le produit de ces deux

grandeurs, sa criticité (C) : C = f x G

Mais de plus en plus, d'autres dimensions

peuvent être prises en compte dans
l'évaluation du risque ; il s'agit :
- du timing du risque ou le moment de
survenance du risque : en effet le timing du
risque peut changer l'impact du risque en
l'aggravant.
- De la durée des conséquences: plus le risque
survenu dure, plus les conséquences sont lourdes
pour l'entreprise.
D'une manière générale, la quantification du

risque est souvent subjective car elle est
basée sur des perceptions subjectives. Pour
illustrer cette subjectivité de la quantification:
Posons-nous la question suivante : quel est le risque le
plus important ?
- Une machine dangereuse (sans sécurité) utilisée une
fois par an,
- Un escalier glissant utilisé tous les jours (avec une
main courante),
Le choix dépendra de la sensibilité de la

personne qui répond. Soit sa sensibilité est
basée sur la gravité, soit sur la fréquence ».

La probabilité (fréquence) et la gravité du risque

se mesurent par des échelles. Ces dernières
qui comportent une note et une sémantique
du risque peuvent varier de trois à cinq
niveaux. La conception de l’échelle doit être
adapter à l’activité ou au processus concerné.
A titre illustratif, quelques échelles de
probabilité et de gravité à 5 niveaux.

Echelle de probabilité ou fréquence à 5 niveaux
SEMANTIQUE COTE PROBABILITE
Un tel événement a une probabilité de 1 sur

Risque très faible 1
1 000 d’arriver dans la vie de la société.
Evénement qui n’interviendra qu’en cas d’utilisation

Risque faible 2 très abusive ou d’erreur d’application des
procédures.
Risque moyen 3 Quelques cas signalés par le passé
Cas signalés à plusieurs reprises et non maitrisés par
Risque élevé 4
le passé.
1 chance sur 2 de se produire dans la vie de la
Risque très élevé 5
société

Echelle de gravité ou d’impact du risque à 5 niveaux
Exemple 1 : Echelle d’évaluation de la gravité du risque des ouvriers au travail
SEMANTIQUE COTE GRAVITE
Insignifiant 1 La situation de risque conduit à une gêne ou un inconfort.
La situation de risque peut conduire à un accident bénin

Faible 2
donnant lieu à un soin.
La situation de risque peut conduire à un accident sans arrêt de
Moyen 3
travail.
La situation de risque peut conduire à un accident avec arrêt de
travail ou une maladie professionnelle. La victime peut ensuite
Grave 4
reprendre son activité avec éventuellement quelques
restrictions de poste.
La situation de risque peut conduire à un accident ou une
Très Grave 5 maladie professionnelle mortelle ou entrainant un handicap
irréversible.
Echelle de gravité ou d’impact du risque à 5 niveaux
Exemple 2 : Echelle d’évaluation de la gravité du risque lié à un élément d’actif
SEMANTIQUE COTE GRAVITE
Impacts très négligeables des effets du risque en termes de perte

Insignifiant 1
d’actifs, de rapidité et de qualité sur les différentes taches du processus
Conséquences faibles des effets du risque en termes de perte d’actifs,

Faible 2
de rapidité et de qualité sur les différentes taches du processus
Conséquences modérées des effets du risque en termes de perte

Moyen 3
Conséquences fâcheuses des effets du risque en termes de perte

Grave 4
Conséquences financières graves, retard ou interruption des processus,
Très Grave 5 dégradation considérable des informations financières ou non
financières
Il est important de noter que la probabilité du

risque est liée à l’efficacité du dispositif de
maitrise des risques (DMR).
Si le dispositif est maitrisé la probabilité de
survenance du risque est faible. L’appréciation
et la cotation du dispositif de contrôle interne
est issus d’observation physique,
d’exploitation documentaire et de test de
conformité
critères d’appréciation du DMR
Niveau de Cote Critères

maitrise
Inexistant 1 Aucun dispositif de maitrise des risques n’existe
Insuffisant 2 Le dispositif existe mais est appliqué avec beaucoup

de lacunes
Moyen 3 Le dispositif est appliqué avec peu de lacunes
Maitrisé 4 Le dispositif est appliqué avec des mesures de

contrôle
Très maitrisé 5 Le dispositif et les mesures de contrôle sont
correctement appliqués
Il existe donc une Relation inversée entre la

qualité du dispositif de contrôle interne
(DMR) et la probabilité de survenance du
risque.
Le tableau suivant nous présente le lien entre
ces deux éléments:

Qualité du DMR Probabilité de survenance du risque
Sémantique Cote Sémantique Cote
Inexistant 1 Risque très élevé 5
Insuffisant 2 Risque élevé 4
Moyen 3 Risque moyen 3
Maitrisé 4 Risque faible 2
Très maitrisé 5 Risque très faible 1

La qualité du dispositif de contrôle interne

(DMR) permet ainsi d’évaluer les risques
opérationnels selon l’échelle de la probabilité
de survenance.
Le tableau suivant est un outil qui permet de
formaliser le niveau de risque selon la
probabilité en tenant compte de l’existence et
de l’efficacité du dispositif de contrôle interne

Exemple processus arrivage
Appréciation du D.M.R. Probabilité du risque

Risques
Niveau Cote Commentaires Niveau Cote
R1 Inexistant 1 Risque très élevé 5
R2 Maitrisé 4 Risque faible 2
R3 Très maitrisé 5 Risque très faible 1

La hiérarchisation de la criticité des risques

La hiérarchisation des risques s'effectuera suivant la valeur des
paramètres d'évaluation. Trois cas pourront se présenter :
- Probabilité et gravité sont élevées: le risque est qualifié de
MAJEUR. Il remet en cause les objectifs de l'entreprise ;
- Probabilité et gravité sont faibles: le risque est qualifié de
MINEUR. Il ne remet pas en cause les objectifs;
- Les deux paramètres d'évaluation ne sont pas simultanément
élevés ou simultanément faibles: le risque est qualifié
d'INTERMEDIAIRE. Il peut remettre en cause l'atteinte des
objectifs.
Hiérarchiser les risques consiste à les classer par

ordre d'importance afin de faciliter leur
traitement.
Cette étape permet de dégager une liste précise
de risques en fonction du degré de criticité de
chaque risque (C= P x G)
Tableau d’évaluation de la criticité des risques (tableur Excel)
Risques identifiés Cote Probabilité (P) Cote gravité (G) Criticité (P x G)
R1
R2
Présentation et analyse de la matrice des risques

La matrice des risques revêt une grande importance car
elle permet de connaître les profils des risques.
Profil des Commentaires
risques
MAJEUR Les risques ont un niveau élevé alors que le contrôle interne
ne dispose pas d’outils pour les maitriser. Il faut une action
immédiate et forte pour traiter rapidement ces risques
INTERMEDIAIRE Les risques ont un niveau moyen. Leur maitrise passe par
une amélioration du niveau de contrôle interne
MINEUR Les risques ne remettent pas en cause les objectifs fixés

La présentation de la matrice des risques consiste

à formaliser les risques sur une cartographie afin
d'en permettre une bonne lecture. Il s'agit ici de
placer les risques dans une carte en tenant
compte du trio
« Probabilité ou fréquence, maîtrise, gravité »

- les risques majeurs sont représentés dans la

zone rouge : ce sont des risques inacceptables
nécessitant des actions immédiates afin de les
mettre rapidement sous contrôle. Ce profil de
risques nécessite une surveillance accrue en
renforçant l'audit et le contrôle interne.

- les risques intermédiaires sont représentés

dans la zone jaune : ce sont des risques moins
sévères que les premiers. Quoique tolérables,
ces risques doivent faire l'objet d'un suivi et
d'une surveillance réguliers afin de les
ramener à un niveau aussi bas que les
premiers.

- les risques mineurs sont représentés dans la

zone verte : ce sont des risques acceptables
qui ne remettent pas en cause les objectifs
fixés par l’entreprise.
NB : Dans certains cas ou l’échelle est plus importante
(cote de 1 à 20) seuls les risques les plus significatifs,
c'est-à-dire ceux dont la criticité est supérieure ou
égale à dix(10) seront formalisés, pour ne pas
surcharger la cartographie

EXEMPLE TABLEAU DE CRITICITE
Processus arrivage matériel

Analyse de la matrice des risques: Phase Action
Phase Action:
Une fois la cartographie des risques obtenue, il
est nécessaire d'en faire l'analyse afin de
faciliter sa compréhension pour une meilleure
gestion des risques.
Cette analyse oriente le choix des actions à
mettre en œuvre pour gérer convenablement
ces risques.

Une fois l'importance et la probabilité de
survenance du risque évaluées, le
management doit étudier la façon dont il doit
être géré. Pour cela, il doit faire appel à son
jugement, en se basant sur certaines
hypothèses concernant les risques et sur une
analyse raisonnable des coûts qu'il serait
nécessaire d'engager pour les réduire.

La cartographie des risques n'est pas un outil de
contemplation ; au contraire, elle doit susciter
un plan d'action de riposte à la menace que
constituent ces risques pour l'entreprise. En
d'autres termes, il s'agit, par ces actions, de
modifier le profil des risques existant en
ciblant prioritairement ceux dont la cote est
élevée.

L'objectif du plan d'actions est de mettre, à terme,
l'ensemble des risques sous contrôle grâce à la mise
en place de nouvelles politiques et procédures de
traitement des risques.
Un meilleur redéploiement des ressources humaines,
financières et matérielles est souvent nécessaire
dans la nouvelle configuration du C.I.
Enfin, le succès du plan d'action dépendra de la
capacité et du dynamisme des responsables désignés
pour gérer ces risques.
Les mesures de réponse au risque peuvent être
subdivisées en quatre catégories :
a. l'acceptation
On ne fait rien, c'est-à-dire que l'on accepte de
courir le risque. Choix opportun s'il correspond à
la stratégie et aux limites de tolérance définies
par celle-ci.
Mais choix catastrophique s'il n'est que le résultat
du hasard ou du manque d'information.
b. le partage (transfert)
La meilleure réponse à certains risques peut
consister à les transférer. Ce transfert peut revêtir
la forme d'une assurance conventionnelle, ce qui
revient à rémunérer un tiers pour qu'il assume le
risque autrement, ou par le biais de clauses
contractuelles.

c. L'évitement (élimination) On fait disparaître le
risque en cessant l'activité qui le fait naître.
d. la réduction (prévention et protection)
• On prend les mesures nécessaires pour réduire la
probabilité ou l'impact. C'est-à-dire que l'on
améliore le contrôle interne (auditeurs internes).
Le traitement n'a pas nécessairement pour
objectif d'éliminer totalement le risque, mais
plutôt de le maîtriser.
4.3. Les activités de contrôle interne
Les procédures mises en place par une

organisation en vue de gérer le risque sont
appelées activités de contrôle interne.
Elles permettent de s’assurer que les transactions :
- sont autorisées par des personnes responsables ;
- sont enregistrées correctement et exhaustivement;
- sont bien évaluées.

Les activités de contrôle sont présentes partout

dans l'organisation, à tout niveau et dans
toute fonction qu'il s'agisse de contrôles
orientés vers la prévention ou la détection, de
contrôles manuels ou informatiques ou encore
de contrôles hiérarchiques.

Pour être efficaces, les activités de contrôle doivent :

• être appropriées;
• fonctionner de manière cohérente, conformément
aux plans d’actions, tout au long de la période
fixée;
• respecter un équilibre entre coût et bénéfices;
• être exhaustives, raisonnables et directement liées
aux objectifs du contrôle.

1- Procédures d'autorisation et d'approbation

L'autorisation constitue le principal moyen de
garantir que seuls ont lieu des transactions et des
événements validés, conformes aux intentions de
la direction générale.
Elles doivent être documentées et clairement
communiquées aux responsables et aux agents.
Elles doivent aussi prévoir les conditions et les
termes à respecter pour que l'autorisation soit
accordée.
2. Séparation des tâches (autorisation, traitement,

enregistrement, analyse)
En vue de réduire les risques d'erreurs, de gaspillage ou
d'actes illégaux ainsi que le risque de ne pas détecter
ces problèmes, aucun individu ou équipe ne doit
pouvoir contrôler toutes les étapes clés d'une
transaction ou d'un événement.
Il faut veiller à ce que les fonctions et les responsabilités
soient réparties pour garantir l'efficacité des contrôles
et l'existence d'un équilibre des pouvoirs.
3. Contrôle de l'accès aux ressources et aux

documents
L'accès aux ressources et aux documents doit être
limité aux personnes habilitées, qui ont à
répondre de leur garde ou de leur utilisation.
Cette restriction réduit le risque d'utilisation non
autorisée voire de perte pour l'administration et
contribue à mettre en œuvre les lignes directrices
de la direction.
4. Vérifications
Les transactions et les événements importants
doivent être vérifiés avant et après leur
traitement. Par exemple, lorsque des biens sont
livrés, le nombre fourni doit être comparé au
nombre commandé. Par la suite, le nombre de
biens facturés est comparé au nombre
effectivement reçu. Le stock peut aussi être
contrôlé au moyen de comptage.

5. Réconciliations
Les enregistrements sont comparés régulièrement
aux documents appropriés: par exemple, les
pièces comptables relatives aux comptes en
banque sont comparées aux relevés bancaires
correspondants.

6. Analyses de performance opérationnelle

La performance opérationnelle est analysée
régulièrement sur la base d'un ensemble de
normes permettant de mesurer l'efficacité et
l'efficience (ISO; ANAQ; CAMES).
S'il ressort du suivi des performances que les
pratiques réelles ne correspondent pas aux
normes ou objectifs fixés, les processus et
activités liés doivent être revus pour déterminer
quelles améliorations sont nécessaires.
7. Analyses des opérations, des processus et des

activités
Les opérations, les processus et les activités doivent
être périodiquement analysés pour s'assurer
qu'ils sont en accord avec les réglementations,
politiques, procédures et autres exigences
actuelles (Audit interne ou externe).

8. Supervision
La réalisation des objectifs du contrôle interne
suppose également que les superviseurs soient
qualifiés.
Pour confier un travail à un agent, le vérifier et
l'approuver, il est nécessaire de:
- communiquer clairement (quant aux fonctions,
responsabilités et obligations des agents);
- vérifier systématiquement la travail, au degré qui
convient;
8. Supervision (suite)
- approuver le travail à des moments clés pour
s'assurer qu'il se déroule comme prévu.
Le fait pour un superviseur de déléguer une partie
de ses missions ne l'exonère pas de ses
responsabilités et devoirs. Les superviseurs
donnent aussi à leurs agents les directives et la
formation nécessaires pour réduire au minimum
les erreurs.
Cette liste énumère les activités de contrôle les plus

courantes orientées vers la prévention et la
détection .
Les activités de contrôle numérotées :
- de (1) à (3) sont orientées vers la prévention,
 Procédures d'autorisation et d'approbation
 Séparation des tâches
 Contrôle de l'accès aux ressources et aux documents

- de (4) à (6), elles sont davantage orientées

vers la détection,
 Vérifications
 Réconciliations
 Analyses de performance opérationnelle
- de (7) et (8) visent les deux à la fois.
 Analyses des opérations, des processus et des
activités
 Supervision
Les actions correctives et préventives constituent

un complément indispensable aux activités de
contrôle. En outre, il doit être clair que les
activités de contrôle ne constituent qu'un
élément du contrôle interne et qu'elles forment
un tout avec les autres composantes.

4.4. Le système d’information ou de communication
L'information et la communication sont

essentielles à la réalisation de l'ensemble des
objectifs du contrôle interne.
Les systèmes d'information et de communication
permettent au personnel de recueillir et échanger
les informations nécessaires à la conduite, à la
gestion et au contrôle des opérations.
Cette quatrième composante comprend le système
comptable et le système d’information interne.
1. Information
La première des conditions à l'obtention d'une
information fiable et pertinente réside dans
l'enregistrement rapide et le classement convenable
des transactions et des événements.
L'information pertinente doit être identifiée, recueillie
et communiquée sous une forme et dans des délais
qui permettent aux utilisateurs de procéder aux
activités de contrôle interne dont ils ont la charge et
transmettre la bonne information au bon moment
aux bonnes personnes.
La qualité des informations se mesure par les

réponses aux questions suivantes:
• Contenu : l’information est elle complète ?
• Délai : l'information peut-elle être obtenue en temps
voulu ?
• Mise à jour : est-ce la dernière version ?
• Exactitude : l'information est-elle correcte ?
• Accessibilité : les parties intéressées peuvent-elles
obtenir cette information aisément ?

2. Communication
a- Les sens de la communication
La communication interne passe par des voies
différentes selon la position des acteurs au sein de
l’organisation.
Une communication efficace doit circuler de manière
ascendante, transversale et descendante dans
l'organisation, dans toutes ses composantes et dans
l'ensemble de sa structure.
A la base de la communication se trouve l'information.
La communication descendante
L'information est transmise hiérarchiquement
par un supérieur à un ou plusieurs
subordonnés.
Exemples :
1- un chef de service remet un ordre de mission
à un employé.
2- le DG qui sort une note de service
La communication ascendante
L’information est transmise par un membre ou
par l’ensemble du personnel à la hiérarchie.
Exemples :
1- un représentant rend son rapport d’activité
hebdomadaire au directeur commercial.
2- Un auditeur interne qui fait son rapport au
comité d’audit
La communication horizontale
La transmission de l’information est transmise
sur un plan horizontal, c'est-à-dire de collègue
à collègue sans faire intervenir la hiérarchie.
Exemples :
1- la secrétaire distribue à chaque personne du
service le courrier qui lui est destiné.
2- les délégués qui remettent aux membres du
personnel le PV d’une réunion
b- Les objectifs de la communication

b-1. Une bonne exécution du travail
Pour exécuter un travail correctement, il est important
que les bonnes informations passent
au bon moment aux bonnes personnes.
Exemples :
1- pour transmettre des instructions, la direction diffuse une note de
service ;
2- pour répartir le travail décidé en réunion, un compte rendu est
remis aux participants ;
3- pour décrire des opérations à effectuer, une fiche de procédure est
établie.
b-2. Préparer une prise de décision

Afin de préparer convenablement une prise de
décisions, il faut avoir à sa disposition toutes les
informations existantes nécessaires (données
factuelles).
Exemples :
1- pour une décision économique, il est important de connaître tous
les chiffres, les bilans, les statistiques, les tableaux...
2- Les décisions relatives aux ressources humaines s'appuieront en
revanche sur des informations portant sur le personnel (curriculum
vitae, fiche de paye, annonce d'embauche, profil de
candidat/poste...).
b-3. Favoriser le dialogue social

Une bonne communication au sein d'un groupe
favorise la bonne entente, évite les conflits et lui
permet de bien fonctionner.
L'individu se sent alors bien dans le groupe : il
peut s'exprimer facilement, être en confiance.

Le choix du support (mail, courrier, affichage...) de

communication est déterminant car cela favorise
la fluidité de la transmission et l'efficacité de la
prise de décision selon l'objectif qui doit être
atteint.
Il est important d'anticiper cela pour pallier les
différents problèmes qui peuvent entraver la
fluidité de l'information, tels que la rétention ou
la profusion d’informations, la lenteur de
transmission, la véracité et la clarté...
Ainsi La société devrait disposer de processus

assurant la communication d'informations
pertinentes, fiables et diffusées en temps
opportun aux acteurs concernés afin de leur
permettre d'exercer leurs responsabilités.
La direction doit être tenue au courant de la
performance, de l'évolution des risques et du
fonctionnement du contrôle interne.
Elle doit aussi être informé de tous autres
événements et problèmes pertinents.
4.5. Le pilotage du système de contrôle interne
Surveillance et pilotage du SCI:

Un système de contrôle interne n’est pas un
instrument que l’on met en place une fois pour
toutes car de nombreux changements dans
l’environnement peuvent rendre certains aspects
du SCI inadaptés.
C’est pourquoi un système de contrôle interne doit
être lui-même contrôlé, afin qu’en soit évaluée
dans le temps l’efficacité. Cette évaluation peut
par exemple s’orienter selon les critères suivants:
Le pilotage d'un système de contrôle interne

constitue un processus en soi. Ce processus
prend souvent la forme d'une auto-évaluation.
Les personnes responsables d'une unité ou

d'une fonction particulière déterminent elles
mêmes l'efficacité des contrôles s'y
appliquant.
Deux types d’évaluations sont prévues dans le cadre

du pilotage du contrôle interne:
- Les évaluations permanentes
- Les évaluations ponctuelles

1) Evaluations permanentes
Le pilotage ou le suivi permanent du contrôle
interne s'inscrit dans le cadre des activités
d'exploitation courantes et récurrentes d'une
organisation et comprend des contrôles réguliers
effectués par la direction et le personnel
d'encadrement, ainsi que d’autres techniques
utilisées par le personnel à l’occasion de ses travaux.

Il est par exemple recommandé de procéder à

une analyse systématique des erreurs
observées dans le déroulement des
opérations.
Ces erreurs sont des indices importants qui
permettent parfois d’identifier et de traiter
des problèmes récurrents.

Les activités de pilotage permanent portent

ainsi sur chacune des composantes du
contrôle interne.
Elles permettent d’empêcher que les systèmes
de contrôle interne fonctionnent de manière
contraire aux règles, à l'éthique ou aux
critères d'économie, d'efficience et
d'efficacité.

2) Évaluations ponctuelles
Les évaluations ponctuelles varient en étendue et en
fréquence essentiellement en fonction de
l'évaluation des risques et de l'efficacité des
procédures de pilotage permanent. Elles portent sur
l'efficacité du système de contrôle interne et
garantissent que le contrôle interne atteint les
résultats attendus.
Les évaluations ponctuelles peuvent revêtir la forme
d'auto-évaluations ou être réalisées par des
auditeurs externes ouHenri
01/03/2018
internes.
Faye / UCAO 110
Le pilotage permanent est plus efficace que les

évaluations ponctuelles et les actions correctives
sont potentiellement moins coûteuses.
En effet, les évaluations ponctuelles étant effectuées a
posteriori, les opérations courantes de surveillance
permettront souvent une détection plus rapide des
problèmes.
La combinaison du suivi permanent et des évaluations
ponctuelles permettra d'assurer que le système de
contrôle interne conserve son efficacité dans le
temps.
Le suivi et le pilotage du contrôle interne doivent

comprendre des politiques et des procédures
garantissant que les conclusions des audits et
des autres formes d'évaluation sont mises en
œuvre de la manière appropriée et sans retard.
Toutes les faiblesses décelées dans le cadre du suivi
permanent ou à la suite d'évaluations ponctuelles
doivent être signalées aux personnes habilitées à
prendre les mesures nécessaires.

5. Limites du contrôle interne
Limites du contrôle interne

Il faut toujours garder à l’esprit que tout SCI, aussi
bien conçu et appliqué soit-il, ne peut fournir au
plus qu’une assurance raisonnable à la direction
quant à la réalisation des objectifs de l’entreprise.
En effet, étant donné qu’elle est essentiellement
basée sur le facteur humain, le SCI peut être
affectée par une erreur de conception, de
jugement ou d’interprétation, la nonchalance, la
fatigue ou encore la distraction.
Les facteurs suivants peuvent avoir une influence

négative sur l’efficacité du contrôle interne:
1- L’erreur de jugement:
Le risque d’erreur humaine lors de la prise de décisions
peut limiter l’efficacité des contrôles.
En effet, les responsables sont souvent appelées à
prendre des décisions dans un temps limité et face à
la pression liée à la conduite des activités, en se
basant sur les informations disponibles qui peuvent
s’avérer incomplètes.
2- Les dysfonctionnements:
Même les SCI bien conçus peuvent faire l’objet de
dysfonctionnements, par exemple:
- lorsque les collaborateurs interprètent mal les
instructions
- Lorsqu’ils cèdent à la routine et ne sont plus attentifs
aux erreurs.
- Lorsqu’une enquête sur des anomalies diverses n’est
pas poussée assez loin
- Lorsqu’un remplaçant (maladie, vacances) ne
s’acquitte pas convenablement de sa tâche.
- Lorsque des changements dans le système sont
introduits sans que les acteurs n’aient reçu la
formation nécessaire pour réagir correctement.
3- Les contrôles «outrepassés» ou contournés :
Un SCI ne peut pas être plus efficace que les personnes
responsables de son fonctionnement. En effet, un
responsable peut délibérément contourner le SCI.
Il peut déroger de façon illégitime aux normes et
procédures prescrites, pour des intérêts personnels
ou pour dissimuler la non-conformité de ses
pratiques par rapport à certaines obligations légales.
4- La collusion (complicité) et le recours à des faux:
- La séparation des fonctions constitue souvent un
instrument privilégié des SCI. Mais dans la pratique
deux ou plusieurs individus agissant collectivement
peuvent accomplir et dissimuler une action.
- Un employé chargé d’effectuer des contrôles peut
réduire ceux-ci à néant en agissant en collusion avec
d’autres membres du personnel ou des tiers externes
à l’entreprise.
- L’expérience montre aussi que la falsification des
signatures reste un défi auquel doit faire face un SCI.
5- Le rapport coûts/bénéfices:
Les ressources étant limitées, les entreprises
comparent souvent les coûts et les avantages relatifs
des contrôles avant de les mettre en place.
Lorsqu’on cherche à apprécier l’opportunité d’un
nouveau contrôle, il est nécessaire d’étudier non
seulement la criticité du risque, mais également les
coûts qu’entraînerait la mise en place de ce contrôle.
D’une manière générale, il est recommandé d’accorder
la priorité aux contrôles permettant de couvrir les
risques les plus importants.
6. CONCLUSION
Mettre en place un SCI efficace c’est :
1- Créer un environnement de contrôle sain,
2- Etablir une bonne gestion de l’information et de la
communication,
3- Modéliser ses processus et définir les procédures,
4- Définir ses objectifs,
5- Identifier et évaluer les risques de ne pas atteindre
de tels objectifs et
6- Intégrer dans les processus les actions de contrôles
destinés à minimiser ces risques.

6. CONCLUSION
Mais cela ne s’arrête pas là!
Un SCI doit faire l’objet d’une évaluation régulière
quant à son efficience et sa pertinence. Il deviendra
rapidement inefficace s’il reste immobile et statique
alors que l’environnement est, lui, en perpétuelle
mouvance.
La mise en place d’un SCI est la première étape. Le
maintenir efficace est par contre un processus
d’amélioration continu de chaque composantes du
SCI en fonction des innombrables changements qui
peuvent influencer la vie de l’entreprise.

Contrôle Entreprise

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Contrôle Entreprise

Hochgeladen von

Copyright:

Verfügbare Formate

CONTRÔLE INTERNE

01/03/2018 Henri Faye / UCAO 1

01/03/2018 Henri Faye / UCAO 2

01/03/2018 Henri Faye / UCAO 3

3. Principes de base du contrôle interne

01/03/2018 Henri Faye / UCAO 4

Intégration (ou auto-contrôle) : recoupement et

4. Les éléments constitutifs du contrôle

01/03/2018 Henri Faye / UCAO 6

L’environnement de contrôle comprend:

01/03/2018 Henri Faye / UCAO 7

01/03/2018 Henri Faye / UCAO 8

b) Intégrité et valeur éthiques

01/03/2018 Henri Faye / UCAO 9

c) Politiques et pratiques de gestion des ressources

01/03/2018 Henri Faye / UCAO 10

d) Philosophie et style de gestion

01/03/2018 Henri Faye / UCAO 11

Lorsque l’environnement de contrôle est

01/03/2018 Henri Faye / UCAO 12

2)L’identification et l’évaluation des risques

01/03/2018 Henri Faye / UCAO 13

Il est important au préalable de définir les

01/03/2018 Henri Faye / UCAO 14

a) Définition des objectifs

01/03/2018 Henri Faye / UCAO 15

01/03/2018 Henri Faye / UCAO 16

DMR de prévention Description Contrôles

Application des lois et

Contrôle de la température des

Information et formation sur la Formation pour les CDI te les

01/03/2018 Henri Faye / UCAO 17

DMR de Protection Description Contrôles

Exercices d’évacuation des

01/03/2018 Henri Faye / UCAO 18

Pour chaque événement de risque, les

01/03/2018 Henri Faye / UCAO 19

Inexistant 1 Aucun dispositif de contrôle interne n’existe

Le dispositif de contrôle interne existe mais est

Moyen 3 Le dispositif est appliqué avec peu de lacunes

Le dispositif et les mesures de contrôle sont

01/03/2018 Henri Faye / UCAO 20

L’existence d’un manuel de procédure peut aider

01/03/2018 Henri Faye / UCAO 21

01/03/2018 Henri Faye / UCAO 23

01/03/2018 Henri Faye / UCAO 24

L'identification des risques est une opération

Les risques les plus intéressants sont ceux qui

Plusieurs techniques peuvent être utilisées

01/03/2018 Henri Faye / UCAO 27

l'identification basée sur les actifs créateurs

01/03/2018 Henri Faye / UCAO 28

l'identification basée sur l'atteinte des

01/03/2018 Henri Faye / UCAO 29

l'identification basée sur les check-lists :

01/03/2018 Henri Faye / UCAO 30

l'identification par analyse historique :

l'identification basée sur l'analyse de

01/03/2018 Henri Faye / UCAO 32

l'identification par analyse des activités :

01/03/2018 Henri Faye / UCAO 33

l'identification par analyse des activités (suite):

01/03/2018 Henri Faye / UCAO 34