Quel contrôle interne pour une maitrise des risques associés au processus de mise en œuvre du budget programme au Burkina Faso ?

Section 2 - Généralités sur le contrôle interne et le risque

Cette section sera consacrée à la présentation théorique du contrôle interne dans sa notion d'une part et des éléments qui le composent d'autre part.

I. Notions et référentiels du contrôle interne et de risque

Après avoir développé les courants sur le contrôle interne, nous présenterons les différents référentiels et leurs éléments.

A. Notions du contrôle interne et de risque

De l'exploitation de plusieurs ouvrages, il ressort que la notion de contrôle interne n'a pas encore fait l'unanimité dans la littérature de gestion. Toutefois plusieurs perceptions de la notion ont été développées et dans ce sens nous retenons deux approches possibles. Une approche dite classique qui s'apparente au contrôle dit répressif avec une vision ex post c'est-à-dire que l'idée du contrôle ici renvoi a celle d'un gendarme tandis que l'approche dite « moderne » suppose un contrôle pro actif, cherchant avant tout à se positionner ex ante.

20

1. Notion de contrôle interne

Approche classique du contrôle interne

Le terme Contrôle Interne est la traduction littérale de l'expression anglo-saxonne: « Internal Control» (ou Business Control pour les Américains) dans lequel le verbe « to control» signifie conserver la maîtrise de la situation alors qu'en français le mot «contrôle» est davantage compris comme le fait d'exercer une action de surveillance sur quelque chose pour l'évaluer. Dans une conception classique, ALAIN MIKOL³ dans son ouvrage «Le contrôle interne», appréhendais le contrôle interne comme un système d'organisation qui comprend les procédures de traitement de l'information comptable d'une entreprise, et les procédures de vérification du bon traitement de cette information comptable. Selon lui, le contrôle interne a pour but :

y' de sauvegarder le patrimoine, par la mise en oeuvre de procédures qui évitent les erreurs et les fraudes ;

y' d'améliorer les performances de l'entreprise, par la mise en oeuvre de procédures efficientes.

Le Contrôle Interne est «un ensemble de dispositifs ayant pour but d'assurer la protection, la sauvegarde du patrimoine et la qualité de l'information, d'une part et d'assurer l'application des instructions de la Direction et de favoriser l'amélioration des performances » d'autre part.

Approche moderne du Contrôle Interne

La notion de contrôle interne est diversement appréhendée par les auteurs. Toutefois, le principe général «est de s'assurer qu'une organisation exerce ses activités dans le cadre juridique de sa compétence et qu'elle atteint les objectifs de sa mission.» (OCDE, 2005, p. 1). La notion du contrôle interne (traduction de « Internal control »),dans sa traduction en français, peut se rapporter aux activités de contrôle, vérifications, d'inspection et non à celle de la maîtrise des activités. En effet, le contrôle interne est un outil de management centré sur l'atteinte des objectifs, et non l'exercice d'un contrôle à proprement dit.

Pour l'INTOSAI, «Le contrôle interne est un processus intégré mis en oeuvre par les responsables et le personnel d'une organisation et destiné à traiter les risques et à fournir une

³ Expert-comptable diplômé Commissaire aux comptes Professeur à l'École Supérieure de Commerce de Paris dans son ouvrage « Le contrôle interne » 1 édition : 1998, février (c) Presses Universitaires de France.

21

assurance raisonnable quant à la réalisation, dans le cadre de la mission de l'organisation, des

objectifs généraux suivants:

- exécution d'opérations ordonnées, éthiques, économiques, efficientes et efficaces;

- respect des obligations de rendre compte ;

- conformité aux lois et réglementations en vigueur;

- protection des ressources contre les pertes, les mauvais usages et les dommages.» 4

L'approche actuelle est donc plus large que l'approche classique (voir article 13 de la directive n°06/2009 de l'UEMOA sur les Lois de finances et 14, 15 de la LOLF) : y' le Contrôle Interne est abordé en termes de processus et plus seulement en termes de techniques et de dispositifs de sécurité;

y' elle replace l'ensemble du personnel de l'organisation au coeur du metier.

y' le management et les Instances dirigeantes ne peuvent attendre du contrôle interne

qu'une assurance raisonnable, et non une assurance absolue ; y' le contrôle interne est axé sur la réalisation d'objectifs dans un ou plusieurs domaines

qui sont distincts mais qui se recoupent.

Le COSO (Committee of Sponsoring Organizations of the Treadway Commission (COSO) 2013 définit le contrôle interne en ces termes : «Le contrôle interne est un processus mis en oeuvre par le conseil, le management et les collaborateurs, et qui est destiné à fournir une assurance raisonnable quant à la réalisation d'objectifs liés aux opérations, au reporting et à la conformité. ».

2. Notion de risque

Selon petit Robert⁵, le risque est un danger éventuel plus ou moins prévisible ou le fait de s'exposer à un danger.

Pour Serge Braudo⁶, Un "risque" est un événement dont l'arrivé aléatoire, est susceptible de causer un dommage aux personnes ou aux biens ou aux deux à la fois.

Quant à Dusaulx⁷, le risque représente un danger éventuel, plus ou moins prévisible, inhérent à une situation ou à une activité.

⁴ INTOSAI, 2004, p7.

⁵ https://www.lerobert.com

⁶ Dictionnaire juridique de Serge Braudo en partenariat avec Baumann ( https://www.dictionnaire-juridique.com/definition/risque.php)

22

Qu'il s'agisse d'un danger ou de l'éventualité, nous retrouvons dans les définitions des différents auteurs des éléments communs qui nous permettent de dire que le risque est la menace qu'un événement, une action ou une inaction affecte la capacité d'une entité à atteindre ses objectifs.

Le risque peut être également considéré comme un évènement ou une action dont la survenance est de nature à empêcher l'atteinte des objectifs.

Le développement d'un contrôle interne efficace ne peut se concevoir sans une analyse préalable et pertinente des risques. En effet le contrôle interne s'appuie sur une analyse des risques dont le résultat est formalisé dans une cartographie des risques consistant à :

- identifier et valider les processus et sous-processus ;

- identifier, analyser et évaluer par processus, les risques potentiels par la mesure de la

probabilité de survenance et de leur impact;

- hiérarchiser ces risques ;

- recenser et apprécier les dispositifs existants visant à évaluer et à maîtriser les

risques les plus importants ;

- évaluer les modalités de traitement des risques, compte tenu du niveau d'appétence ;

- proposer des actions prioritaires de maîtrise retracées dans le plan d'action.

Ces étapes donnent une première vision du degré de la maîtrise des risques, elles permettent

d'identifier les zones d'absence de contrôle interne, les zones de sur-contrôle ou de contrôle

interne défaillant.

Pour porter un jugement sur la réductibilité des risques, le contrôle interne est analysé en

fonction de trois critères :

- capacité de prévention ;

- capacité de détection ;

- capacité à réduire l'impact du risque.

Un plan d'action permet ensuite le cas échéant de faire évoluer et de compléter les dispositifs

de maîtrise des risques.

Référentiels du contrôle interne

Un cadre de référence (ou référentiel) peut être défini comme est un ensemble de lignes, de principes directeurs qui encadrent les pratiques dans une organisation.

⁷ Dusaulx,Voy. Barège, t. 1, 1796, p. 223

23

Il est important de distinguer les différents cadres de référence, notamment :

V' ceux relatifs à l'ERM (Entreprise Risk Management) consacrés au management des risques ;

V' et ceux plus particulièrement conçus pour le contrôle interne.

1. Référentiels mondialement reconnus pour le contrôle interne

Les cadres de référence les plus reconnus mondialement par les professionnels sont :

V' La nouvelle pratique du contrôle interne, publiée par le COSO en 1992 et traduit en 1993 en français par l'IFACI et PWC ; Recommandations sur le contrôle (révisé en 2013 et entré en vigueur le 15 décembre 2014) ;

V' Lignes directrices publiées par l'Organisation internationale des institutions supérieures de contrôle des finances publiques (INTOSAI) sur les normes de contrôle interne à promouvoir dans le secteur public, prenant en compte les prescriptions du cadre de référence du contrôle interne du Committee of Sponsoring Organizations of the Treadway Commission (COSO1 1992) ;

V' Les Recommandations sur le contrôle (CoCo), de l'Institut canadien des comptables agréés, Canada, 1995 ;

V' Internal Control : Revised Guide for Directors on the Combined Code (connu sous le nom de rapport Turnbull), Financial Reporting Council, 2005 ;

V' Référentiel « AMF », Autorité des Marchés Financiers, 2007 et 2010 (France) ;

V' COBIT 4.0, IT Governance Institute, États-Unis, 2007 (cadre de contrôle interne des systèmes d'information (SI)).

Pour cette approche théorique sur le contrôle interne, notre étude va s'intéresser plus sur le COSO1 et les normes INTOSAI.

2. Cadre de management des risques d'entreprise mondialement reconnus

Les cadres de référence les plus reconnus mondialement par les professionnels sont :

V' Australian/NewZealand Standard Risk Management (AustraWan Standard 4360), Joint Technical Committee OB/7-- Risk Management, Australie/Nouvelle-Zélande, révision 2004.

V' Le management des risques de l'entreprise -- Cadre de référence (COSO), Committee of Sponsoring Organizations of the Treadway Commission, États-Unis, 2004, révisé en septembre 2017.

24

y' Lignes directrices de l'INTOSAI sur les normes de contrôle interne à promouvoir dans le secteur public - Informations complémentaires sur la gestion des risques des entités prenant en compte les développements en matière d'Enterprise Risk Management émanant du COSO2 de 2004 (INTOSAI GOV 9130).

y' Référentiel FERMA (Fédération Européenne des associations de Risk Management). y' Cadre de référence de l'AMF « Les dispositifs de gestion des risques et le contrôle interne », juillet 2010 (France).

Éléments du contrôle interne

Les éléments du contrôle interne seront rangés et développés par référentiel.

Toutefois tous les référentiels développés plus haut ne vont pas faire l'objet de détails dans cette partie. Aussi, avons-nous choisi dans cette approche théorique, de présenter essentiellement le COSO 1 au titre des référentiels particulièrement conçus pour le contrôle interne d'une part, le COSO2 au titre des référentiels relatifs à l'ERM (Entreprise Risk Management) consacrés au management des risques d'autre part et enfin les normes IFPP/ISSAI (INTOSAI) pour le contrôle interne à promouvoir dans le secteur public.