L'évaluation du contrôle interne dans la nouvelle réglementation Tunisienne( Télécharger le fichier original )par Amin SMAOUI OECT - Expert comptable stagiaire 2006 |
PLAN 1. PEUT-ON DÉFINIR LE CONTRÔLE INTERNE ? 3 A. DÉFINITION DE LA LOI 96-112 RELATIVE AU SYSTÈME COMPTABLE DES ENTREPRISES : 3 B. DÉFINITION DU COSO (COMMITTEE OF SPONSORING ORGANIZATIONS) : 4 A. L'ÉTENDU ET LE CALENDRIER D'INTERVENTION SELON LA LOI TUNISIENNE : 6 B. L'ÉTENDU SELON LES NORMES DE L'IFAC : 9 i. Etendu des tests de contrôles : 9 ii. Calendrier d'application des tests de contrôles : 10 3. LA DOCUMENTATION DES TRAVAUX : 11 A. LA DOCUMENTATION SELON LA LOI TUNISIENNE : 11 B. LA DOCUMENTATION SELON LES NORMES DE L'IFAC : 12 4. LE RÉSULTAT DE L'ÉVALUATION DU CONTRÔLE INTERNE PAR LE COMMISSAIRE AUX COMPTES : 13 A. LE RÉSULTAT DE L'ÉVALUATION DU CONTRÔLE INTERNE SELON LA LOI TUNISIENNE 13 i. Cas des sociétés faisant appel public à l'épargne : 13 ii. Cas des sociétés ne faisant pas appel public à l'épargne : 14 iii. Cas des établissements publics à caractère industriel et commercial : 14 B. LE RÉSULTAT DE L'ÉVALUATION DU CONTRÔLE INTERNE SELON L'IFAC : 14
IntroductionSarbanes-Oxley Act, Loi de Sécurité Financière, Kon TraG en Allemagne, Dutch Corporate Gouvernance Code, Directive européenne et enfin les loi 2005-65 et 2005-96 en Tunisie... le contrôle interne est sous les feux des projecteurs des régulateurs. Cette pression pour une mise en oeuvre d'un contrôle interne de qualité, visant à rétablir la confiance des marchés financiers, ne doit pas occulter le fait que le contrôle interne est avant tout un dispositif de maîtrise des activités mis en place par l'Entreprise, pour l'Entreprise. L'incitation plus ou moins vive du législateur est donc un catalyseur qui aujourd'hui doit être perçu comme l'opportunité d'améliorer le fonctionnement de l'entreprise, et ce au travers d'une gouvernance claire et d'un contrôle interne adapté et efficace. En ce qui concerne le rôle des auditeurs, Il est actuellement admis qu'une révision comptable intégrale n'est ni possible ni souhaitable en raison de son coût prohibitif. L'auditeur comptable procède dès lors par sondages, l'étendue de ceux-ci étant fonction de la confiance qu'il peut accorder à l'organisation du contrôle interne dans l'entreprise (dont l'évaluation est devenu une obligation pour le commissaire aux comptes). Il importe donc que l'auditeur comptable maîtrise parfaitement la notion de contrôle interne. Les autorités de réglementation tunisiennes étant consciente de l'importance du rôle du contrôle interne dans la vie des entreprises et celui du commissaire aux comptes dans l'évaluation de la situation des entreprises, elle a instauré, par la loi 2005-65 modifiant et complétant le code des sociétés commerciales, une obligation pour les commissaires aux comptes de toutes les sociétés commerciales qu'elles fassent appel public à l'épargne ou non, de vérifier périodiquement l'efficacité du contrôle interne. 1. Peut-on définir le contrôle interne ? La loi ne définit pas le « contrôle interne » auquel elle fait référence dans l'article 266 (nouveau) du code des sociétés commerciales. Le contrôle interne dépend de l'activité, de l'organisation et des modes de fonctionnement de l'entreprise : il est propre à chaque entreprise et résulte d'une démarche rigoureuse d'analyse des enjeux et de mise en place de dispositifs adaptés et efficaces. Après débats entre les différents acteurs de place impliqués dans l'évaluation ou la gestion du contrôle interne de l'entreprise, un consensus est apparu pour considérer que la loi couvre le champ complet du contrôle interne, c'est-à-dire, l'ensemble des politiques et procédures mises en oeuvre dans l'entreprise, destinées à fournir une assurance raisonnable quant à la gestion rigoureuse et efficace de ses activités. Le contrôle interne a ainsi trait à la maîtrise de l'ensemble des activités de l'entreprise et n'est pas limité aux informations comptables et financières. Par essence, il apporte une « assurance raisonnable », et non une certitude, quant à la réalisation des objectifs de l'entreprise. Les dispositifs de prévention de la fraude font partie du contrôle interne. Nous allons étudié, dans ce qui suit, quelques définitions plus ou moins globale qui ont été données par différents organismes nationaux et internationaux.
Le contrôle interne est défini, globalement, comme étant un processus mis en oeuvre par la direction, la hiérarchie, le personnel d'une entreprise, et destiné à fournir une assurance raisonnable quant à la réalisation des objectifs ci-dessus énoncés. Le contrôle interne comporte cinq composantes qui sont : · L'environnement de contrôle, · L'évaluation et la maîtrise des risques, · Les activités de contrôle, · L'information et la communication, · Le pilotage. L'objectif du volet consacré au contrôle interne est de permettre aux entreprises d'évaluer leurs dispositifs de contrôle interne et de déterminer comment les améliorer. Les petites et moyennes entreprises peuvent s'en inspirer, compte tenu de l'environnement de leur contrôle. Pour que l'information produite par la comptabilité puisse vérifier les caractéristiques qualitatives prévues par le cadre conceptuel, l'entreprise doit mettre en place des systèmes de contrôle interne efficaces. De tels systèmes ont pour objectifs de : · Promouvoir l'efficience et l'efficacité, · Protéger les actifs, · Garantir la fiabilité de l'information financière, · Assurer la conformité aux dispositions légales et réglementaires.
L'outil type reconnu par tous sur le plan international en matière d'organisation du contrôle interne est le « framework COSO ». Le COSO (Committee Of Sponsoring Organizations) regroupe aux USA les associations et instituts dans les domaines de la Comptabilité et de l'Audit Interne qui ont sponsorisés les travaux de cette Commission et qui sur la base de ses recommandations ont rédigé le « COSO Framework » ou référentiel COSO publié en 1992. Selon le COSO, le contrôle interne est constitué de cinq composantes, en étroite corrélation les unes avec les autres : environnement de contrôle, évaluation des risques, activités de contrôle, information et communication, surveillance. On entend par ISA les internationals standards on auditing, c'est-à-dire les principes d'audit internationaux. Ils sont fixés par l'international auditing and assurance standards boards (IAASB), organe indépendant placé sous l'égide de l'international fédération of accountants (IFAC). Cet organe définit des normes mondiales d'audit et émet des directives en la matière. En ce qui concerne la définition du contrôle interne, il convient de mentionner l'ISA 315 entrée en vigueur à partir du 15 décembre 2004 qui précise que le contrôle interne consiste dans les composantes suivantes : 1. l'environnement de contrôle : Il donne le ton d'une organisation en influençant la prise de conscience du contrôle par les membres de cette organisation. Il constitue la base d'un contrôle interne efficace, et permet l'établissement de la discipline et d'une structure. Il comprend 7 éléments :
2. le processus d'appréciation des risques de l'entité : il correspond au processus de repérage et de traitement des risques d'entreprise suivi par l'entité et aux résultats de ce processus. 3. le système d'information et les processus connexes liés à l'information financière et à la communication : Un système d'information se compose d'une infrastructure (composantes physique et matérielle), de logiciels, de personnes, de procédures et de données. 4. les procédures de contrôle : Ce sont les politiques et les procédures qui contribuent à faire en sorte que les directives de la direction soient appliquées, par exemple que les mesures nécessaires soient prises pour faire face aux risques qui constituent une menace à l'atteinte des objectifs de l'entité. 5. la surveillance des contrôles : C'est un processus qui vise à évaluer la qualité du fonctionnement du contrôle interne au fil du temps. Elle suppose l'évaluation de la conception et du fonctionnement des contrôles en temps opportun et l'apport des correctifs nécessaires. Cette surveillance a pour but d'assurer que les contrôles continuent à fonctionner efficacement. 2. étendu et diligences du commissaire aux comptes : L'évaluation de la conception des contrôles internes vise à déterminer que ces contrôles ont été mis en place et sont tels que les états financiers destinés à l'externe puissent être préparés de façon fiable et conforme aux principes comptables généralement reconnus. L'évaluation de l'efficacité des contrôles internes va bien au-delà de l'évaluation de leur conception. Elle implique une appréciation de la question de savoir si les contrôles internes fonctionnent comme prévu, généralement sur une longueur de temps. Habituellement, elle implique aussi une appréciation de la question de savoir si les personnes qui exécutent les contrôles disposent des pouvoirs et des compétences leur permettant de les exécuter de façon efficace. Nous allons développer dans ce qui suit, l'étendu et le calendrier d'intervention du commissaire aux comptes selon la réglementation tunisienne et selon les normes de l'IFAC.
La nouvelle obligation qui incombe au commissaire aux comptes pèse lourd. Selon la nouvelle rédaction de l'article 266 du code des sociétés commerciales « Le commissaire aux comptes certifie la sincérité et la régularité des comptes annuels de la société conformément à la loi en vigueur relative au système comptable des entreprises. Il vérifie périodiquement l'efficacité du système de contrôle interne ». La loi n'a fixé ni les modalités pratiques de mise en oeuvre des nouvelles dispositions ni la périodicité de cette vérification. La loi en exigeant la vérification périodique de l'efficacité du système de contrôle interne, suppose que les sociétés disposent toutes de système de contrôle interne. Or la majorité des sociétés tunisienne sont des PME qui n'ont pas de système de contrôle interne. La question qui se pose est quel sera l'étendu de la mission du commissaire aux comptes en cas ou la société ne dispose pas d'un système de contrôle interne en place ? En combinant les différents textes de la loi tunisienne, nous pouvons mettre en évidence que l'étendu de cette évaluation dépend aussi de la société auditée. Le rapport de gestion est obligatoire pour les sociétés suivantes, par application des différents textes de lois suivants : · Société à Responsabilité Limitée : Article 128 du code des sociétés commerciales. · Société Anonyme : Article 201 du code des sociétés commerciales. · Société mère tête du groupe : Article 472 du code des sociétés commerciales. · Société anonyme faisant appel public à l'épargne : Article 42 et 44 du règlement du CMF. Toutefois, l'obligation pour le commissaire aux comptes de vérifier l'exactitude des informations données dans ce rapport n'est requise que pour les sociétés anonymes. Aux termes de l'article 266 du code des sociétés commerciales « le commissaire aux comptes a mandat de vérifier ... l'exactitude des informations données sur les comptes dans le rapport du conseil d'administration ou du directoire. », et les sociétés anonymes faisant appel public à l'épargne. La loi tunisienne étant ambiguë, elle n'a pas réglementée le contenu de ce rapport. Toutefois, d'après les praticiens tunisiens, et selon l'Institut Canadien des Comptables Agréés (ICCA) « le rapport de gestion devrait comporter une déclaration concernant la responsabilité de la direction quant à l'existence de systèmes d'information, de procédures et de contrôles adéquats permettant d'assurer que l'information utilisée à l'interne et diffusée à l'externe est complète et fiable. Le rapport de gestion devrait également comporter une déclaration concernant le rôle de surveillance assumé par le conseil d'administration et le comité d'audit afin d'assurer l'intégrité de l'information communiquée. » D'après cette définition, le rapport de gestion doit contenir ainsi des informations concernant le système de contrôle interne installé au sein de la société. Mais, est ce qu'il suffit au commissaire aux comptes de vérifier l'exactitude de ces informations ? Ou doit il propager ses travaux pour englober d'autres volets du contrôle interne non mentionné dans le rapport de gestion ? En ce qui concerne les autres types de sociétés, le commissaire aux comptes n'a pas l'obligation de vérifier le contenu du rapport de gestion, en revanche il doit vérifier l'efficacité du contrôle interne, par analogie, nous pouvons conclure que l'évaluation de l'efficacité du contrôle interne des sociétés anonymes ne doit pas se limiter à la vérification des données contenues dans le rapport de gestion. Aux termes de l'article 269 alinéa 2 (nouveau) « Les commissaires aux comptes doivent déclarer expressément dans leur rapport qu'ils ont effectué un contrôle conformément aux normes d'audit d'usage et qu'ils approuvent expressément ou sous réserves les comptes ou qu'ils les désapprouvent. » La nouvelle rédaction du deuxième alinéa de l'article 269 a levé l'ambiguïté qui entourait l'étendu de la mission du commissaire aux comptes en remplaçant le terme « contrôle détaillé » par « contrôle conformément aux normes d'audit d'usage ». Les normes d'audit et d'usage visées par cet article, sont constituées par les normes publiées par l'OECT ou adoptées par cet organisme : normes de l'IFAC en vigueur (point qui sera étudié ultérieurement). D'après la question numéro 35 soulevée dans le cadre des travaux parlementaires ayant précédé l'adoption de la loi 2005-65, nous constatons que la périodicité visée par le législateur est annuelle. ÊÓá ÇááÌäÉ íãÇ ÊÊãËá ãåãÉ ÇáÊßÏ ãä äÌÇÚÉ ÇáÑÞÇÈÉ ÇáÏÇÎáíÉ ÇáÊí ÓäÏÊ Åáì ãÑÇÞÈ ÇáÍÓÇÈÇÊ ÈãÞÊÖì ÇáÕá 266 í ÞÑÊå ÇáËÇäíÉ ÌÏíÏÉ ãÚ ÊÍÏíÏ ÇáÏæÑíÉ áåÐå ÇáÚãáíÉ. ÇáÌæÇÈ: áÞÏ ÕÈÍÊ ÇáãÚÇííÑ ÇáãÚÊãÏÉ ÚÑíÇ æÚÇáãíÇ í ãÌÇá ÇáÊÏÞíÞ æãÑÇÞÈÉ ÇáÍÓÇÈÇÊ ÊÞÊÖí ä áÇ íÞÊÕÑ ÏæÑ ãÑÇÞÈ ÇáÍÓÇÈÇÊ Úáì ãÑÇÌÚÉ ÇáãÍÇÓÈÉ (ÇáÞæÇÆã ÇáãÇáíÉ) Èá ÊÊÚÏì Ðáß Åáì ãÑÇÞÈÉ ãÏì äÌÇÚÉ äÙÇã ÇáÑÞÇÈÉ ÇáÏÇÎáíÉ"Système de contrôle interne" í ßííÉ ÊäÙíã ÇáÚãá Èíä ÚæÇä ÇáãÄÓÓÉ æåíÇßáåÇ æßííÉ ÅÌÑÇÁ ÇáÑÞÇÈÉ ãä ÞÈá ÈÚÖåÇ Úáì ÈÚÖ ÈãÇ íãßøä ãä ÊÇÏí ÇáæÖÇÚ æÇáÚãÇá ÇáÊí ÊÖÑ ÈãÓÊÞÈá ÇáÔÑßÉ æÇáÊÏÞÇÊ ÇáäÞÏíÉ ÏÇÎá ÇáÔÑßÉ æãÓÇÑÇÊåÇ æÂáíÇÊ ÇáÑÞÇÈÉ Úáì ÇáãÚÇãáÇÊ ÇáãÇáíÉ ãÚ ÇáÍÑÇÁ æÇáãÒæÏíä. æÊÞÚ ãÑÇÞÈÉ äÌÇÚÉ äÙãÉ ÇáÑÞÇÈÉ ÇáÏÇÎáíÉ ãÑÉ ßá ÓäÉ í ÈÇáÊæÇÒí ãÚ ãÑÇÞÈÉ ÇáÞæÇÆã ÇáãÇáíÉ áä ãÑÇÞÈ ÇáÍÓÇÈÇÊ íÚÏ ãÈÏÆíÇ ÊÞÑíÑÇ ÓäæíÇ íÑÚ Åáì ÇáÌáÓÉ ÇáÚÇãÉ ÇáÓäæíÉ ÅáÇ ÅÐÇ ØáÈÊ ãäå ãåãÉ ÇÓÊËäÇÆíÉ ãÊÚáÞÉ ÈÚãáíÉ ãÚíäÉ æåæ ãÇ áÇ íäØÈÞ Úáì åÐÇ ÇáÑÚ ãä ÇáÑÞÇÈÉ. L'étendu selon les normes de l'IFAC :Le commissaire aux comptes ne participe pas au contrôle interne, mais tient compte de son organisation et de sa qualité dans le cadre de la vérification orientée risques. Les normes d'audit de l'IFAC traitent entre autre de l'incorporation du contrôle interne dans la planification et l'exécution de la vérification des comptes. Les commissaires aux comptes doivent par conséquent axer leurs interventions sur les risques de contrôle. L'étendu de la vérification du contrôle interne est prévu par deux normes : · ISA 315 : « Compréhension de l'entité et de son environnement et appréciation des risques d'inexactitudes significatives » ; · ISA 330 : « Procédures mises en oeuvre par l'auditeur pour tenir compte des risques évalués ». L'ISA 315 prévoit que l'auditeur doit mettre en oeuvre des procédés d'appréciation des risques qui lui permettront d'acquérir une compréhension des composantes du contrôle interne. L'étendu de la compréhension de ces composantes est fonction des éléments suivants : · Le jugement de l'auditeur au sujet de l'importance relative ; · La taille de l'entité ; · La structure et le mode de propriété de l'entité ; · La nature des activités de l'entité ; · La diversité et la complexité des activités de l'entité ; · Les exigences légales et réglementaires applicables ; · La nature et la complexité des systèmes qui font partie du contrôle interne de l'entité, y compris lorsque celle-ci a recours à des organismes de services. L'ISA 315 précise que l'acquisition d'une compréhension du contrôle interne implique l'évaluation de la conception du contrôle en cause et la détermination de la question de savoir s'il a été mis en oeuvre. L'ISA 330 précise que l'auditeur doit mettre en oeuvre des tests des contrôles afin de réunir des éléments suffisants et adéquats indiquant que les contrôles fonctionnaient efficacement aux moments pertinents au cours de la période visée par la vérification, lorsque l'appréciation de l'auditeur des risques d'inexactitudes importantes au niveau des assertions repose sur l'hypothèse d'un fonctionnement efficace des contrôles. Il choisit des procédés de vérification visant à lui procurer l'assurance que les contrôles fonctionnent efficacement. En ce qui concerne le calendrier d'application des tests de contrôles, prévu par l'ISA 330, il dépend de l'objectif de l'auditeur qu détermine la période pour laquelle il peut s'appuyer sur ces contrôles. En outre, lorsqu'il réunit des éléments probants sur l'efficacité du fonctionnement des contrôles pendant une partie de la période, l'auditeur doit déterminer les éléments probants supplémentaires à réunir relativement au reste de la période. Si l'auditeur prévoit s'appuyer sur des éléments probants concernant l'efficacité des contrôles recueillis lors de missions de vérification antérieures, il doit réunir des éléments probants quant à la possibilité que des changements touchant les contrôles en cause soient survenus depuis. Si l'auditeur prévoit s'appuyer sur des contrôles ayant subi des modifications depuis la dernière fois qu'ils ont été testés, il doit tester l'efficacité du fonctionnement de ces contrôles dans le cadre de la mission en cours. D'autre part, s'il prévoit s'appuyer sur des contrôles qui n'ont subi aucune modification depuis qu'ils ont été testés la dernière fois, il doit tester l'efficacité du fonctionnement de ces contrôles au moins lors d'une mission sur trois (3 années). Enfin, lorsqu'il existe un certain nombre de contrôles pour lesquels le vérificateur détermine qu'il est approprié de s'appuyer sur les éléments probants réunis au cours de missions d'audit antérieures, l'auditeur doit tester l'efficacité du fonctionnement d'une partie de ces contrôles lors de chaque mission d'audit. 3. La documentation des travaux du commissaire aux comptes : Une question importante a été largement débattue aux États-Unis, soit celle de l'ampleur de la documentation qu'il est nécessaire de constituer pour étayer l'évaluation finale du contrôle interne. La documentation des contrôles internes prend beaucoup de temps, surtout la première année. Aux États-Unis, la direction est tenue de documenter le déclenchement, l'autorisation, le traitement et l'enregistrement de tous les ensembles d'opérations importants. La direction devrait évaluer soigneusement la nécessité de créer une telle documentation du « déroulement des opérations », et déterminer ce qui conviendrait comme ampleur de la documentation nécessaire. La loi 2005-65 obligeant le commissaire aux comptes à évaluer le contrôle interne des sociétés n'a pas prévu quel documentation doit être tenue par le commissaire aux comptes pour démontrer qu'il a accompli ses travaux, et pour s'en baser lors du contrôle des comptes. La norme n°10 de l'OECT datant de Mars 1984 mais qui reste toujours applicable en exécution de l'article premier de l'arrêté du ministre de finances à la date du 28 février 2003 et de l'article 269 (nouveau) du code des sociétés commerciales, prévoit que les documents de travail de l'auditeur doivent faire ressortir de façon explicite à quelles vérifications ils se rapportent, quel a été le résultat du travail effectué et quelles conclusions ont été tirées de ce travail. Pour le reste, ils doivent être adaptés aux circonstances et aux besoins du réviseur pour la mission dont il s'agit. Il convient de garder présent à l'esprit qu'ils ne doivent pas être établis que sur les points pour lesquels cela est utile et ils doivent être considérés comme un moyen d'atteindre un but et non comme une fin en soi. L'ISA 230 relative à la documentation d'audit prévoit qu'en général, les dossiers de travail de l'auditeur comprennent, entre autres : · Les informations recueillies lors de la prise de connaissance de l'entité et de son environnement, y compris de son contrôle interne · Des informations faisant apparaître que l'auditeur a pris en compte les travaux de l'audit interne et la conclusion de ces travaux. L'ISA 315 prévoit que l'auditeur doit consigner en dossier des informations sur la compréhension acquise à l'égard de chacun des aspects de l'entité et de son environnement, y compris chacune des composantes du contrôle interne, pour apprécier les risques d'inexactitudes importantes dans les états financiers ; les sources de l'information sur laquelle s'appuie cette compréhension, et des procédés appliqués aux fins de l'appréciation du risque. L'auditeur fait appel à son jugement professionnel pour déterminer la manière dont ces questions sont consignées en dossier. Parmi les techniques couramment utilisées, seules ou en combinaison avec d'autres, citons les descriptions rédigées, les questionnaires, les listes de contrôle, les graphiques d'acheminement et les organigrammes. La forme et l'étendue de cette documentation dépendent de la nature, de la taille et de la complexité de l'entité et de son contrôle interne. Par exemple, la documentation à l'appui de la compréhension d'un système d'information complexe dans lequel un important volume d'opérations sont déclenchées, enregistrées, traitées ou communiquées peut comprendre des graphiques d'acheminement, des organigrammes, des questionnaires ou des tables de décision. Dans le cas d'un système d'information qui est peu ou pas informatisé ou qui traite peu d'opérations (par exemple, les opérations relatives aux dettes à long terme), une note peut constituer une documentation suffisante. Habituellement, plus la complexité de l'entité et de son environnement de contrôle est grande, plus les procédés de vérifications mis en oeuvre par l'auditeur sont poussées, et plus la documentation établie sera étendue. Les méthodes et les techniques d'audit employées au cours d'un audit influent également sur la forme et l'étendue de la documentation. |
|