1.4.2. Identification des
spécifiques du contrôle interne
Nous avons vu que le contrôle interne a six dispositifs
permanents et généraux interne, ce que l'on nomme les dispositifs
spécifiques (ou encore activités decontrôle).
Ces contrôles internes spécifiques se classent en
trois groupes, classement parnature qui se superpose au classement par
destination permanents de contrôle interne (Renard ,2009,p.193):
Ø Les contrôles internes spécifiques (les
séparations de tâches, Les mots de passe, Les dispositifs de
sécurité...)
Ø Les contrôles internes détecteurs(Les
actes de vérification,Les comptes rendus,Les rapprochements...)
Ø Les contrôles internes directifs (Les
procédures, La formation,Le visa pour autorisation...)
On peut également les classer en contrôle
interne actif (visas, actes de vérification,rapprochements, etc.) et
passif (séparation des tâches, mots de passe, etc.)
Il existe
de beaucoup de classements, mais l'important est de savoir comment s'y prendre
pour mettre en oeuvre et identifier.
Afin d'identifier ces dispositifs, il faut suivre quatre
étapes (Renard ,2009, p.195) :
Première étape :
Découper l'activité ou le processus en taches
élémentaires
Ce découpage sera
réalisé en premier lieu au niveau de l'entreprise (domaine
stratégique, yinclus les menaces extérieures), ensuite pour
chaque activité (domaine opérationnel).
L'auditeur interne
connaît bien cette démarche,car il l'utilise pour identifierles
zones à risques et pour construire son questionnaire de contrôle
interne. De la même façonle responsable va identifier et lister
toutes les tâches élémentaires de son activité et,
lorsquec'est possible, de façon séquentielle, il connaît
bien son activité, donc pour lui c'est un travail plus facile à
réaliser que pourl'auditeur.
Plus le découpage sera fin et précis, plus le
dispositif de contrôle interne mis en place serarigoureux et efficace.
Exemple : Découpage en
tâches élémentaires d'un processus d'achat :
-Mise à jour des dossiers fournisseurs.
-Demande
d'achat de matières et/ou services.
-Lancement d'un appel d'offre et
choix d'un fournisseur.
-Rédaction du bon de
commande.
-Réception de la matière
demandée.
-Réception de la facture.
-Règlement de la
facture.
Soit ici 7 opérations élémentaires, mais
on pourrait découper davantage.
Deuxième étape : Identifier le ou les
risques attachés à chaque tâche et les
évaluer
C'est de savoir les conséquences si cette
tâche était mal faite oun'était pas faite du tout, Cette
identification sera heureusement réalisée en travail de groupe:
deux à trois personnes, connaissant bien la fonction ou le processus,
afin d'être sûr de ne rienomettre.Pour chacune de ces
identifications, on procédera à une évaluation du risque
pour savoir s'ilest :
-Important (I),
-Moyen (M) ou,
-Faible (F).
Cette évaluation, qui n'est pas celle de la
cartographie des risques, ne peut êtrescientifique et exacte, elle reste
aléatoire et approximative.
À chaque fois qu'il y aura possibilité de
quantifier, on le fera mais dans la plupart des cas cesera une estimation
qualitative. Cette estimation permettra de mesurer l'absolue
nécessité dudispositif identifié ou de l'apprécier
comme un perfectionnement non indispensable. (Renard ,2009,p.196)
Exemple : En reprenant l'exemple
précédent du processus d'achats:
· Si la mise à jour des dossiers est mal
faite
Risque :
- Le fournisseur qui ne devrait plus être
payé et va l'être (I) ;
- Le fournisseur qui devrait être
payé et ne va pas l'être (I) ;
- erreur sur le montant (I)
;
-erreur sur la qualité(I).
· Demande d'achat de matières et/ou
services
- Demande d'une matière déjà disponible au
stock (F) ;
- Demande de matières qui ne correspondent pas aux
besoins de l'entreprise (I).
· Lancement d'un appel d'offre et choix d'un
fournisseur
- Un certain nombre de fournisseurs ne soit pas informé
de cet appel d'offre (M);
-Choix d'un fournisseur qui ne répond pas
aux exigences de l'entreprise en matière de qualitéet de prix
(M)
Certains apprécient le risque de façon plus
rigoureuse (en apparence) et se livrent à descalculs permettant une
quantification plus précise. Mais pour réaliser le présent
objectif pointn'est besoin d'aller aussi loin. Il s'agit simplement de savoir
si l'on doit prévoir des dispositifsprécis, multiples, rigoureux
ou si l'on peut se contenter d'un moyen simple et
relativementélémentaire : dans le premier cas, il s'agit de tout
mettre en oeuvre pour éviter que ne semanifeste un risque grave ; dans
le second cas, face à un risque jugé faible, une
barrièreraisonnable suffit. Nous retrouvons ici la notion de
relativité.
Troisième étape : Identifier les
dispositifs
Dans cette étape on va déterminer pour chacun de
ces risques, le dispositif spécifique de contrôle interne
adéquat ; c'est-à-dire que l'on va trouver des solutions pour que
les risques identifiés ne se manifestent pas.(Renard ,2009, p.197)
Exemple : En reprenant l'exemple
précédent, nous identifierons les dispositifs suivants, qui ne
sont pasexclusifs.
· Mise à jour des dossiers
- Fournisseur payé à tort ;
- Fournisseur non
payé :
-Rapprochement bon de commande /facture ;
· Demande d'achat de matières et/ou
services
- Visa du magasinier pour s'assurer de non
disponibilité de la matière au stock ;
- Vérifier que
les matières demandées répondent aux besoins de
l'entreprise par le chef duservice demandeur.
· Lancement d'un appel d'offre et choix d'un
fournisseur
- L'appel d'offre doit être diffusé dans des
revues spécialisées et dans différents médias
;
- Établissement d'une fiche comparative des fournisseurs.
On obtient ainsi la liste théorique des dispositifs
nécessaires pour une bonne maîtrise de chaque tâche
élémentaire. Mais il est essentiel de ne pas perdre de vue du
résultat relatif de cette démarche : un risque ne peut jamais
être totalement éliminé. On peut seulement prétendre
en réduire la probabilité. (Renard ,2009, p.198)
D'où l'importance d'une quantification du risque afin
de définir priorités et classement des risques entre eux pour
limiter l'aléa lorsque le risque est important.
Quatrième étape : Qualification
Ces dispositifs spécifiques étant identifiés,
il reste à les qualifier, c'est-à-dire à les rattacher
àleur famille d'origine, au dispositif permanent de contrôle
interne dont ils font partie :Objectifs, moyens, système d'information,
organisation, méthodes et procédures, supervision. (Renard ,2009,
p.198)
Exemple : En poursuivant avec le même
exemple:
· Mise à jour des dossiers
- Fournisseur payé à tort (organisation)
;
-Fournisseur non payé (organisation) ;
-Rapprochement bon de
commande /facture (supervision).
· Demande d'achat de matières et/ou
services
-Visa du magasinier pour s'assurer de non disponibilité
de la matière au stock(supervision) ;
-Vérifier que les
matières demandées répondent aux besoins de l'entreprise
par le chef duservice demandeur (supervision) ;
-Lancement d'un appel d'offre et choix d'un fournisseur
;
-L'appel d'offre doit être diffusé dans des revues
spécialisées et dans différents
médias(système d'information) ;
-Établissement d'une
fiche comparative des fournisseurs (Procédure).
| 
