Contrôle interne: finalité de l'audit interne. Etude de cas: audit du cycle de financement des opérations Commerce extérieur par Crédit Documentaire «Credoc » ; (BNA )

II.2. LE CADRE DE CONTRÔLE

À l'occasion de chaque mission d'audit, les faiblesses, insuffisances, dysfonctionnements ou erreurs relevés par l'auditeur trouveront toujours leur cause première dans la défaillance d'un des dispositifs de contrôle interne mis en place par le responsable (ou qui n'a pas été mis en place). Ces dispositifs peuvent être regroupés sous les rubriques suivantes :

v' les objectifs ;

1' les moyens ;

v' le système d'information ; v' l'organisation ;

v' les procédures ;

1' la supervision.

1) Les objectifs

La politique et l'objet de la mission ayant été précisé, le premier devoir du responsable est de définir les cibles à atteindre, pour remplir la tache assignée.

Ces objectifs doivent naturellement s'insérer dans le cadre des objectifs généraux du contrôle interne, déjà analysés et qu'il nous suffit de rappeler :

· protection du patrimoine ;

· fiabilité des informations ;

· respect des lois, règlements et contrats ;

· efficacité des opérations.⁽¹⁾

Ces objectifs doivent avoir les critères suivants :

-L'adéquation entre objectifs et mission

-Ils doivent être déclinés à l'intérieur du service : chaque objectif spécifique se réalise par la réalisation cumulée de sous-objectifs assignés aux responsables opérationnels du service. En bonne organisation, il doit donc y avoir :

o une construction pyramidale des objectifs dont la totalité concourt à la réalisation de l'objectif général ;

o des performances assignées à chacun en termes d'objectifs afin que ceux-ci soient traduits dans la réalité opérationnelle.

-Ils doivent être mesurables, c'est-à-dire exprimés en termes numériques : valeurs objectives à atteindre ou à dépasser, ratios, indicateurs d'activité ou de qualité.

- Ils doivent pouvoir être suivis par le système d'information à disposition du management, lequel doit être construit en fonction de la nature des objectifs assignés à chacun.

- Ils doivent se situer dans le temps.

¹Jacques Renard ; Théorie et pratique de l'audit interne, op-cit ; 2010 ; pp168-169 .

- Ils doivent être ambitieux, ce qui exclut toute confusion avec la norme.

Tout manquement à ces principes va constituer une faiblesse du système de contrôle interne de l'activité considérée, tout comme l'absence d'objectifs de l'entité est une faiblesse de l'organisation tout entière.

2) Les moyens

Ils permettent la réalisation des objectifs : sont-ils adaptés aux objectifs fixés ? Vérifier l'adaptation des moyens c'est regarder :

a) Les moyens humains

Sans personnel compétent tout système de contrôle interne est condamné et nombreux sont les cas dans lesquels les anomalies rencontrées ont pour cause une formation insuffisante ou, ce qui revient au même, une formation non mise à jour. Cette observation concerne trois activités : (1)

· Le recrutement

· La formation professionnelle permanente

· L'éthique

b) Les moyens financiers Les budgets d'exploitation et d'investissements sont-ils en ligne avec les objectifs ?

c) Les moyens techniques

Il faut comprendre ce terme en son sens le plus large, c'est-à-dire aussi bien techniques industrielles, que techniques de gestion et techniques commerciales.

3) Les systèmes d'information et de pilotage

Troisième dispositif de contrôle interne, et que l'on trouve dans toutes les activités. L'observation des systèmes d'information par l'auditeur interne doit le conduire à examiner les cinq critères qui vont lui permettre de porter un jugement sur la qualité de ces dispositifs.

a) Ils doivent être fiables et vérifiables

On pourrait dire fiables parce que vérifiables. En effet, une information n'est fiable que si elle est vérifiable et elle n'est vérifiable que si on peut l'authentifier.

b) Ils doivent être exhaustifs

Un système de pilotage exhaustif est un système qui comporte un indicateur par objectif individuel. Tous les objectifs assignés à chaque activité doivent pouvoir être mesurés et suivis et le système d'information doit y pourvoir.

c) Ils doivent être disponibles en temps opportun

Il est nécessaire que les informations soient disponibles au moment où l'on en a besoin, ce qui bien évidemment n'est pas toujours le temps réel.

d) Ils doivent être mis-à-jour

e) Ils doivent être utiles et pertinents

Ce qui correspond au critère de la qualité : « satisfaire les besoins des utilisateurs ». La pertinence ajoute à l'utilité en ce sens qu'elle permet de sélectionner parmi les indicateurs et informations « utiles », ceux qui répondent le mieux à l'objectif recherché et qui sont donc les mieux adaptés.

Entendu au sens large « Les systèmes d'information et de pilotage » comportent de nombreux éléments :(1)

· le contrôle de gestion et le contrôle budgétaire ;

· le tableau de bord et ses éléments ;

· tous les tests et contrôles préventifs, défectifs et correctifs. Rentrent en particulier dans cette catégorie tous les contrôles introduits ou à introduire dans les systèmes informatiques, contrôles bloquants ou simples messages d'alerte ;

· toutes les données statistiques utiles à la gestion.

Et nous mettrons sous cette rubrique le système de communication, grâce auquel chacun va avoir accès à l'information dont il a besoin et rien que cela.

C'est-à-dire que les systèmes d'information doivent être allégés de tout ce qui n'est pas utile à l'appréciation de la réalisation des objectifs.

4) L'organisation

Une organisation de qualité doit respecter trois principes généraux, elle se compose de quatre éléments constitutifs :

4.1. Les trois principes à respecter a) L'adaptation

Il n'y a pas de modèle unique qui pourrait servir de référentiel pour tous ; on peut même dire qu'il n'existe pas de panoplie de modèles dans laquelle on pourrait puiser. La diversité des organisations est aussi grande que peut l'être la diversité des entreprises : taille, nature d'activité, objectifs, environnement, structures juridiques... sont autant de variables qui vont générer des organisations différentes. Mais le principe essentiel est que l'organisation doit être « adaptée » à la culture, à l'environnement, à l'activité, etc.

Dans cette adaptation que devront réaliser les managers, trois écueils sont à éviter :

· L'organisation anarchique, à laquelle on peut assimiler l'absence d'organisation : c'est celle dans laquelle les responsabilités ne sont pas définies, on ne sait pas qui fait quoi et l'entité vit au jour le jour.

· L'organisation excessive, qui conduit elle aussi à la paralysie : ici la cohérence est totale, mais la minutie de l'organisation, le pointillisme des règles sont tels que rien ne bouge. Et cette situation est encore aggravée si des sanctions menacent les contrevenants.

· L'organisation immobile : une organisation adaptée, c'est aussi une organisation qui s'adapte. Ce principe d'adaptation doit se conjuguer avec le second principe : l'objectivité.

b) L'objectivité

Une organisation objective est une organisation qui n'est pas construite en fonction des hommes.

c) La sécurité ou la séparation des tâches

S'organiser, et s'organiser avec le maximum de sécurité, c'est répartir les tâches de telle façon que certaines d'entre elles, fondamentalement incompatibles, ne puissent être exercées par une seule et même personne.

· La fonction de décision : c'est celle de l'ordonnateur, détenteur d'un budget d'exploitation ou d'investissement et qui a le pouvoir d'engager l'entreprise dans les limites qui lui ont été attribuées.

· La fonction d'enregistrement : c'est la fonction comptable par laquelle toute opération fait l'objet d'une écriture.

· La fonction financière : c'est l'acte de paiement ou de recette qui doit rester autonome. Cet acte de paiement ou de recette se matérialise de diverses façons : signature ou encaissement de chèques, remise ou encaissement d'espèces, ordres de virement, etc.

· La fonction de détention : les titulaires de la fonction de détention sont ceux qui détiennent et conservent des biens physiques : magasiniers, gestionnaires de stocks. On peut également ajouter les caissiers, à ceci près qu'il n'y a pas d'incompatibilité entre la détention des valeurs et la fonction financière.

· La fonction de contrôle : le mot « contrôle » est ici entendu au sens de vérification, et qui ne s'exerce que dans les cas où les règles de l'entreprise exigent une autorisation supplémentaire pour l'exercice de l'une des fonctions précédentes.

La confusion de deux au moins de ces fonctions crée des situations à risque qui mettent en péril les actifs de la société et, dans le meilleur des cas, crée des risques d'erreurs et de confusions qu'il convient d'éviter.

Dans les cas ou le personnel ou la taille d'une entité sont limités, il n'existe guère que trois façons pour réaliser la sécurité des taches : (1)

v' Faire tourner les tâches, en créant une polyvalence au sein des personnes et en permutant les activités des unes avec les activités des autres. sans modifier les rattachements hiérarchiques,

v' Faire tourner les personnes : on a alors recours à la mutation, qui exige moins de
polyvalence que la formule précédente car elle s'exerce selon un rythme plus lent.

v' Renforcer la vérification

Dans le respect de ces trois principes, le dispositif d'organisation se traduit par la mise en place de quatre éléments constitutifs.

4.2. Les quatre éléments constitutifs

Ce sont :

o l'organigramme, hiérarchique pour savoir qui commande à qui ;

o l'analyse de poste pour savoir qui fait quoi ;

o le recueil des pouvoirs et latitudes pour connaître les limites des pouvoirs de chacun ;

o l'élément matériel qui organise l'environnement.

Pour être bien maîtrisé, tout service, toute fonction doit s'organiser autour de ces quatre points

a)L'organigramme hiérarchique

C'est le premier document que doit se faire communiquer l'auditeur ; l'organigramme hiérarchique permet d'abord de bien comprendre le fonctionnement de l'unité, il peut ensuite et par simple lecture, signaler des pistes intéressantes. L'organigramme hiérarchique doit comporter la mention de la date à laquelle il a été établi.

b) L'analyse de poste

L'analyse de poste (ou description de poste) permet de détecter des situations anormales. Ce document est donc un document descriptif qui précise la nature des tâches effectuées : décision, exécution, contrôle, coordination, information...

Pour que l'analyse de poste joue pleinement son rôle, il ne suffit pas qu'elle existe, encore faut-il qu'elle soit :

· communiquée au personnel concerné ;

· comprise par ce dernier (ce qui veut dire qu'il doit avoir la formation pour comprendre et exécuter) ;

· mise à jour en fonction de l'évolution de l'organisation ;

· archivée, donc conservée, par les responsables.

c)Le recueil des pouvoirs et latitudes

Chacun doit connaître avec précision ce qu'il doit faire, mais chacun doit savoir également dans quelles limites se situent ces délégations de pouvoir.

On perçoit bien que ces délégations doivent être :(1)

I écrites ;

I connues des bénéficiaires et de leur hiérarchie ;

I éventuellement, connues de certains tiers privilégiés (banques, administrations...) I et surtout : mises à jour en fonction des changements, mutations, modifications.

d) L'élément matériel

Les éléments constitutifs de l'organisation s'insèrent et se développent dans un environnement qui doit être organisé pour leur permettre de fonctionner en assurant la protection physique des biens et des personnes.

5) Les méthodes et procédures

Les méthodes de travail et procédures de l'entreprise doivent être définies et concerner toutes les activités et tous les processus. Ces documents doivent être :

· Écrits: Pas de connaissance exclusivement orale ;

· Simples et spécifiques : Ce doivent être des outils de travail auxquels se réfèrent les exécutants pour connaître la norme à respecter ;

· Mis à jour régulièrement : Ce qui implique la responsabilité de la hiérarchie, chargée de définir ses propres méthodes de travail et qui doit donc les mettre à jour. Ce n'est jamais une oeuvre accomplie une fois pour toutes, c'est un travail permanent ;

· Portés à la connaissance des exécutants : On peut même dire « à portée de main » : outil de travail le recueil des procédures ne doit pas être conservé sous clé, à disposition de quelques privilégiés seuls détenteurs du savoir.

On perçoit bien l'importance des procédures dans un dispositif de contrôle interne.

6) La supervision

C'est le sixième et dernier dispositif de regroupement des éléments du contrôle interne dont les auditeurs examineront la qualité.

On peut d'abord définir la supervision par ce qu'elle n'est pas :

~ ce n'est pas refaire le travail de ses subordonnés ;

~ ce n'est pas tendre des pièges pour déceler les erreurs ;

~ ce n'est pas pratiquer en permanence l'examen attentif de ce qui se fait, comme le surveillant dans la classe.⁽¹⁾

Superviser c'est :

> D'abord un acte d'assistance : aider le collaborateur dans les tâches nouvelles et difficiles, lui montrer le chemin, régler les conflits et ce faisant détecter ses points forts et ses points faibles.

> Ensuite un acte gratifiant : montrer aux autres que l'on s'intéresse à leur travail, que leurs efforts ou leurs difficultés ou leurs performances ne sont pas ignorés.

> Enfin un acte de vérification : montrer que de temps à autre, selon une périodicité tout à fait aléatoire, mais certaine, quelqu'un vient regarder et vérifier comment les choses se passent.

> toute supervision doit laisser une trace de son passage : visa, note, compte rendu... la trace est nécessaire pour apprécier la qualité du management et se repérer dans la fréquence des actes de supervision ;

> la supervision doit être universelle : toute tâche, quelle qu'elle soit, doit être supervisée. Seule la fréquence de l'acte de supervision distingue les tâches essentielles des tâches subalternes.

La supervision va de pair avec un bon système d'information et de pilotage qui permet au superviseur de mesurer les progrès réalisés dans la poursuite des objectifs.