2.4. Les
composantes du système de contrôle interne
Le COSO a identifié cinq composantes qui
définissent le contrôle interne ; elles sont
représentées par un cube qui relie les cinq composantes du
contrôle interne, les objectifs du contrôle interne ainsi que la
structure organisationnelle de l'entreprise.
Figure 1: Les composantes du contrôle
interne.
Source : Référentiel
intégré de contrôle interne(IFASI, 2018, p.
22).
La figure n° 01 représente un cube avec trois
dimensions la première dimension du cube représente les trois
principaux objectifs (ils sont liés aux opérations, au reporting
et à la conformité); la deuxième dimension
représentes les cinq composants que nous allons citer ci-dessous et la
troisième dimension représente l'entreprise avec ses
différents entités, division, fonctions ...etc. celle qui
constituent sa structure organisationnelle.
Les cinq composantes du contrôle interne selon COSO 1
sont les suivantes :
· Environnement de contrôle
« L'environnement de contrôle est le
milieu dans lequel les personnes accomplissent leurs tâches et assument
leurs responsabilités en matière de
contrôle »(Obert. & Mairesse, 2009, p. 523). C'est
l'ensemble des normes, des processus et des structures qui constituent le socle
de la mise en oeuvre du contrôle interne dans toute l'organisation. Il
est défini par la direction de l'entreprise et le conseil administratif
(Gainnier, 2018, p. 20).
Ce composant intègre cinq principes (Pigé, 2017,
p. 173) :
- Intégrité et éthique : c'est
l'adoption des codes de conduite, que ce soit pour les employés de
l'entreprise ou pour toutes les autres parties prenantes.
- Indépendance et expertise du conseil
d'administration : les responsables de la supervision doivent être
compétents et faire preuve d'objectivité.
- La mise en place de structures, de pouvoirs et de
responsabilités : le rôle du contrôle interne est
principalement de mettre en place les structures qui évitent de placer
les personnes en situation de fragilité ou de tentation.
- L'engagement vers la compétence : la formation
et la fidélisation des collaborateurs : l'exigence de
responsabilité suppose la capacité à remplir ses
fonctions, c'est-à-dire l'adéquation des connaissances et des
expériences professionnelles aux responsabilités
assumées.
- La responsabilisation : la répartition des
responsabilités et les délégations de pouvoirs qui les
accompagnent doivent être cohérent avec les objectifs de
l'entreprise.
· Évaluation des risques
Un risque est défini comme la possibilité
qu'un événement survienne et ait un impact défavorable sur
la réalisation des objectifs, Toute entreprise fait face à
certains risques;
L'évaluation des risques implique un processus
dynamique et itératif d'identification et d'analyse des risques
susceptibles d'affecter la réalisation des objectifs(Gainnier, 2018,
p.21).
L'évaluation des risques reposes sur quatre
principes (Pigé, 2017, p. 181) :
- La spécification des objectifs : les objectifs
de l'entreprise doivent être suffisamment synthétiques pour
donnera une vision d'ensemble de la situation à laquelle l'entreprise
aspire et suffisamment spécifiques pour prendre en compte les
spécificités de l'entreprise, son histoire, ses ressources
disponibles, et son secteurs d'activité.
- L'identification et l'analyse des risques : la
performance de l'entreprise peut être compromise par des facteurs
internes ou externes, qui affectent les objectifs explicites ou implicites. le
processus d'évaluation des risques doit être un perpétuel
recommencement et il doit être intégré au processus de
planification. Il doit porter tant sur les risques généraux de
l'entreprise que sur les risques spécifiques à chaque
activité.
- L'évaluation des risques de fraude : l'ensemble
du système de contrôle interne qui était tendu vers la
lutte contre la fraude.
- L'identification et l'évaluation du changement :
Les mécanismes que l'entreprise devrait mettre en place pour anticiper
le changement doivent permettre d'éviter les problèmes ou d'en
tirer parti.
· Activités de contrôle
Les activités de contrôle désignent les
actions définies par les règles et procédures qui visent
à apporter l'assurance raisonnable que les instructions du management
pour maîtriser les risques susceptibles d'affecter la réalisation
des objectifs sont mises en oeuvre(Gainnier, 2018, p. 21).
Elles correspondent aux trois principes (Pigé , 2017,
p. 185) :
- La sélection et le développement des
activités de contrôle : puisque chaque entreprise poursuit
ses propres objectifs et met en oeuvre sa propre stratégie, les
activités de contrôle interne seront nécessairement
distinctes selon chaque entreprise.
- Les contrôles sur la technologie informatique :
les contrôles des systèmes d'information peuvent être
généraux ou spécifiques à une application
automatique. La cohérence entre les différents mécanismes
de contrôles et la prise en compte des interactions possibles constituent
un enjeu majeur pour la performance et la sécurité des
systèmes d'information.
- Les contrôles généraux couvrent quatre
grands domaines de risques ; le premier concerne les centres
d'informatique, le second domaine de risque est lié aux logiciels ;
le troisième domaine porte sur la sécurité des
accès et le dernier domaine de risques est lié au
développement des systèmes d'information.
- Le déploiement par les règles et les
procédures : les règles et les procédures doivent
permettre de s'assurer que les directives des dirigeants sur le contrôle
des risques sont réellement mises en oeuvre. Ces principes et
procédures peuvent porter sur les aspects opérationnels, sur le
reporting financier ou sur la conformité.
· Information et communication
La communication est le processus continu et itératif
par lequel l'information nécessaire est fournie, partagée et
obtenue.
La communication interne est le vecteur par lequel
l'information est diffusée dans toute l'organisation, en amont, en aval,
et de façon transversale. Elle permet à la direction
générale d'adresser aux collaborateurs un message clair sur
l'importance des responsabilités de chacun en matière de
contrôle.
La communication externe revêt un double aspect : elle
permet de recevoir en interne des informations externes pertinentes et de
fournir des informations aux tiers conformément à leurs exigences
et à leurs attentes (Gainnrier, 2018, p. 22).
Ce composant contient trois principes (Pigé, 2017,
p. 189) :
La pertinence de l'information : l'information doit non
seulement être obtenus, mais elle doit également être
transmise dans les délais aux bons destinataires avec tous les
détails nécessaires pour une utilisation efficace, le
contrôle interne doit permettre d'identifier les retards ou les omissions
dans la fourniture des informations planifiées.
- La communication interne : le système du
contrôle interne doit garantir la communication des comportements non
conformes quand ceux-ci peuvent affecter de façon significative le
fonctionnement de l'organisation.
- La communication externe : le système de
contrôle interne doit assurer un suivi et un archivage tant des
informations communiquées à l'extérieur que des
informations reçues des diverses parties prenantes et ayant conduit
à des prises de décision ou à des actions
significatives.
· Pilotage
Le pilotage (la supervision) vise à s'assurer de
l'efficacité et l'efficience des systèmes du contrôle
interne. Le rôle de la supervision est de s'assurer de la
complémentarité et de la non-redondance des mécanismes de
contrôle interne en place (Pigé, 2017, p. 192),Il contient deux
principes :
- Le contrôle permanant et périodique : une
supervision permanente et efficaces rend moins nécessaire la
réalisation fréquente de supervisions ponctuelles. Inversement,
une supervision courante inadéquate devrait conduire à un
renforcement de la fréquence des supervisions ponctuelles.
- L'évaluation et la communication des
faiblesses : le processus de supervision doit permettre de confirmer
l'efficacité attendue du processus de contrôle interne ou d'en
souligner des déficiences.
Le contrôle interne occupe une place très
importante au sein de l'entreprise, comme étant un mécanisme qui
tient en compte toutes fonctions et unités de l'entreprise ; il est
composé de cinq éléments essentiels à son
application soumis à dix-sept principes, qui encadrent le processus
d'application du contrôle interne. Justement afin de réaliser les
objectifs pour lesquels il était mis en oeuvre ;
l'efficacité et l'efficience des opérations
(opérationnelles), la fiabilité des informations
financières (reporting) et la conformité aux lois et
règlements (conformité).Avec l'arrivée du
référentiel COSO 2 trois composantes ont étaient
ajoutées, mais aussi le contenu des autres composantes a changé,
ils s'appuient d'avantage sur la gestion des risque. Nous allons
détailler les huit composantes selon COSO 2 dans le prochain chapitre
| 
