2. Le cadre normatif du contrôle interne
Les normalisateurs privés du référentiel du contrôle interne :
Etats – Unis: le COSO (Committee Of Sponsoring Organization de la Commission Treadway, groupe de
réflexion américain qui a développé un référentiel méthodologique d’analyse du contrôle interne, dénommé
“le COSO” publié en 1992 et réformé en 2013.
Royaume – Uni: le Comité Cadbury
Canada: Le CoCo
France: l’IFACI
Le cadre réglementaire
La loi initiatrice : la loi américaine Sarbanes-Oxley de 2002
Loi française de sécurité financière de 2003
Les autres dispositions françaises spécifiques à certains secteurs économiques
HERVÉ BOULLANGER
3. Définition 1 du contrôle
interne (définition du COSO)
HERVÉ BOULLANGER
Processus mis en œuvre par les dirigeants et le personnel
d’une organisation, à quelque niveau que ce soit.
Destiné à leur donner en permanence une assurance
raisonnable quant à la réalisation des objectifs de
l’organisation
4. Deux types d’objectifs pour une organisation
- Protéger ses activités contre les risques de toute nature
inacceptables pour les parties prenantes (gaspillage ou vol de
ressources ou de données, investissements injustifiés, …)
- Saisir les opportunités
HERVÉ BOULLANGER
5. Le contrôle interne : Un concept ancien évoluant vers
de nouveaux enjeux
Un monde de la communication en temps réel
Un environnement évolutif et global
Des risques accrus en nombre et importance
Des attentes renforcées des parties prenantes et de la gouvernance de
l’organisation
D’une vision financière vers une approche opérationnelle et stratégique des
risques, tournée vers la recherche d’opportunités
HERVÉ BOULLANGER
6. Évolution récente du contrôle interne
13 – Evolution du contrôle interne à partir des années 2000
HERVÉ BOULLANGER
Menaces Opportunités
Financier
Opérationnel
Stratégique
Focalisation
classique du
risque
7. Un exemple de règles classiques de contrôle interne : l’organisation des tâches
financières pour garantir la sécurité dans le paiement des dépenses.
● La séparation des tâches
● le contrôle mutuel
● la supervision
● des règles de rotation sur les fonctions
sensibles
HERVÉ BOULLANGER
8. Récapitulation : Le contrôle interne - un concept à plusieurs entrées
Les objectifs :
La maîtrise des activités
La gestion des risques
La performance (efficacité, efficience)
Le périmètre : tous les domaines de l’organisation
Le champ financier : budgétaire et comptable
Le champ opérationnel
Les moyens/outils :
Les procédures (et organigrammes) ou « process »
Les systèmes (informatiques) : pour le budget, la comptabilité, la trésorerie …
Les contrôles eux-mêmes : contrôle ex ante ou ex post
HERVÉ BOULLANGER
9. Exercice – révision : Synthèse des
définitions
HERVÉ BOULLANGER
Périmètre
Responsables
Objectif
Définition
Le contrôle interne est l’ensemble des dispositifs (quels qu’ils soient) choisis par
l’encadrement et mis en œuvre par les responsables de tout niveau pour maîtriser
(control) le fonctionnement de leurs activités. Ces dispositifs sont destinés à fournir une
assurance raisonnable quant à la réalisation des objectifs de l’organisation.
l’ensemble des dispositifs (quels qu’ils soient) choisis par l’encadrement
mis en œuvre par les responsables de tout niveau
maîtriser (control) le fonctionnement des activités et fournir une assurance raisonnable
quant à la réalisation des objectifs de l’organisation.
10. Ce que n’est pas le contrôle interne
L’audit interne
L’inspection (lutte contre la fraude)
L’audit externe
Le contrôle hiérarchique
Le contrôle de gestion
HERVÉ BOULLANGER
11. Définition de l’audit
- Expertise professionnelle sous forme d’évaluation ou contrôle
- par une personne ou une équipe indépendante
- sur la base d’une conformité à une norme ou à des bonnes pratiques
- réalisé à la demande des dirigeants ou imposé par un partenaire financier ou par la loi
- L'audit peut porter sur :
◦ l'organisation du travail, notamment la répartition des tâches et des responsabilités (audit
organisationnel) ;
◦ le respect des procédures ou de la réglementation au sein d'une entité (audit de conformité) ;
◦ la validité des états financiers émis par une organisation (audit financier ou audit légal).
◦ Les trois « e » : efficacité, efficience, économie (audit de performance)
«Audit is not control».
HERVÉ BOULLANGER
12. L’audit peut être interne ou externe
«L’audit interne est une activité indépendante et objective qui donne à une
organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses
conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette
organisation à atteindre ses objectifs en évaluant, par une approche systématique et
méthodique, ses processus de management des risques, de contrôle, et de pilotage, et
en faisant des propositions pour renforcer leur efficacité».
Définition de l’IFACI (institut français de l’audit et du contrôle interne)
Les référentiels applicables sont les normes de l’IIA
L'audit externe est une activité de contrôle et de conseil menée par une personne
extérieure à une organisation. Les référentiels applicables sont les normes ISA.
HERVÉ BOULLANGER
13. Définition de l’inspection
L’inspection est dépêché par la direction générale pour effectuer des contrôles ponctuels dans
les différentes entités de l’entreprise (agences, filiales, services locaux...). Elle examine les
comptes, s'assure de l'application de la réglementation et des procédures internes, contrôle le
fonctionnement des dispositifs de sécurité et les activités du personnel.
L’inspection est un service très présent dans les entreprises ayant un fort risque de fraude
interne et externe (ex: banque) et dans l’administration.
HERVÉ BOULLANGER
14. Définition du contrôle hiérarchique
-Le responsable est chargé de diriger les salariés qui lui sont subordonnés,
-Chaque employé est tenu de rendre des comptes à son unique supérieur hiérarchique.
HERVÉ BOULLANGER
15. Définition du contrôle de gestion
Définition
Système de pilotage en vue d’améliorer le rapport entre les moyens engagés et les résultats obtenus
dans le cadre déterminé par une démarche stratégique préalablement fixée.
Étapes
● Première étape : définition d’un cadre stratégique
- cahier des charges = définition des objectifs (résultats et bénéfices attendus par l’organisation)
- planification : quand, comment, par et avec qui : calendrier, ressources allouées, responsables
- Mesure : indicateurs de résultats et comptabilité analytique.
● Deuxième étape : suivi des réalisations (exécution du budget et résultats des indicateurs)
● Troisième étape : analyse des résultats, prise d’actions correctives
HERVÉ BOULLANGER
16. Ponctuelle
Direction générale
Inspection
Périodicité
Rattachement
Objet
Régularité des
opérations et
honnêteté des
personnes
Audit Contrôle interne Contrôle de gestion
Référentiels
Produits finis
Métiers
Périodique Permanente Permanente
Direction générale
Intégré dans chaque
service
Direction financière
Organisation,
conformité, états
financiers et
performance
Maîtrise des risques
Suivi des coûts et des
résultats
Guides et circulaires
internes
Normes IIA et ISA
COSO + Référentiels CI
internes
Stratégie interne de
l’organisation
Sanctions Recommandations
Carte des risques et Plan
d’action
Analyse des
indicateurs et compta
analytique
« Policier » Auditeur Manageur et référent CI Contrôleur de gestion
HERVÉ BOULLANGER
17. La structuration du contrôle interne
La structuration du CI vue par le COSO, normalisateur international
La structuration du CI par les outils du contrôle interne
HERVÉ BOULLANGER
18. La structuration du contrôle interne selon le
référentiel international COSO
Le C.O.S.O. structure l’analyse du contrôle interne selon cinq composantes :
1/ L’environnement de contrôle,
2/ L’évaluation des risques,
3/ Les activités de contrôle, c’est-à-dire la définition des mesures de contrôle interne
4/ L’information et la communication
5/ Le pilotage (du contrôle interne).
HERVÉ BOULLANGER
20. Environnement de contrôle
1. L'organisation démontre son engagement en faveur de l'intégrité et de valeurs éthiques.
2. Le conseil d’administration fait preuve d'indépendance vis-à-vis du management. Il
surveille la mise en place et le bon fonctionnement du système de contrôle interne.
3. La direction, agissant sous la surveillance du conseil d’administration, définit les
structures, les rattachements, ainsi que les pouvoirs et les responsabilités appropriés pour
atteindre les objectifs.
4. L'organisation démontre son engagement à attirer, former et fidéliser des collaborateurs
compétents conformément aux objectifs.
5. L'organisation instaure pour chacun un devoir de rendre compte de ses responsabilités en
matière de contrôle interne.
HERVÉ BOULLANGER
21. Évaluation des risques
6. L'organisation spécifie les objectifs de façon suffisamment claire pour permettre
l'identification et l'évaluation des risques associés aux objectifs.
7. L'organisation identifie les risques associés à la réalisation de ses objectifs dans
l'ensemble de son périmètre de responsabilité et elle procède à leur analyse de façon à
déterminer les modalités de gestion des risques appropriées.
8. L'organisation intègre le risque de fraude dans son évaluation des risques susceptibles
de compromettre la réalisation des objectifs.
9. L'organisation identifie et évalue les changements qui pourraient avoir un impact
significatif sur le système de contrôle interne.
HERVÉ BOULLANGER
22. Activités de contrôle
10. L'organisation sélectionne et développe les activités de contrôle qui contribuent à
ramener à des niveaux acceptables les risques associés à la réalisation des objectifs.
11. L'organisation sélectionne et développe des activités de contrôle général en matière de
système d’information pour faciliter la réalisation des objectifs.
12. L'organisation met en place les activités de contrôle par le biais de directives qui
précisent les objectifs poursuivis, et de procédures qui mettent en œuvre ces directives.
HERVÉ BOULLANGER
23. Information et communication
13. L'organisation obtient ou génère puis utilise des informations pertinentes et de qualité
pour faciliter le fonctionnement des autres composantes du contrôle interne.
14. L'organisation communique en interne les informations nécessaires au bon
fonctionnement des autres composantes du contrôle interne, notamment en ce qui concerne les
objectifs et les responsabilités associés au contrôle interne.
15. L'organisation communique avec les tiers au sujet des facteurs qui affectent le bon
fonctionnement des autres composantes du contrôle interne.
HERVÉ BOULLANGER
24. Pilotage
16. L'organisation sélectionne, met au point et réalise des évaluations continues et/ou
ponctuelles afin de vérifier si les composantes du contrôle interne sont bien mises en place et
fonctionnent.
17. L'organisation évalue et communique les faiblesses de contrôle interne en temps voulu
aux responsables des mesures correctrices, notamment à la direction générale et au conseil
d’administration.
HERVÉ BOULLANGER
25. La structuration du contrôle interne par les outils du
contrôle interne
◊ Gouvernance et pilotage du contrôle interne
◊ La cartographie et la documentation des processus
◊ La carte des risques
◊ Le plan d’action
◊ Le reporting des actions et contrôles
HERVÉ BOULLANGER
26. La gouvernance et le pilotage du contrôle interne
1/ La gouvernance : le comité de maîtrise des risques
● Définit les orientations annuelles du contrôle interne ;
● Constitue une véritable instance de dialogue portant sur les différents chantiers du
déploiement du contrôle interne
● Assure la veille et suivre les risques retracés dans la carte des risques, en définissant la
stratégie de couverture des risques et en arbitrant les actions prioritaires, retracées dans le plan
d’action ;
● Valide la documentation des processus et risques et les outils de contrôle interne propres à
l’entreprise.
Le comité de gouvernance est placé sous la présidence de la direction générale (SG) et regroupe
les responsables de la direction des affaires financières et des autres directions opérationnelles
et des représentants des différentes entités de l’entreprise (agences, filiales, services locaux...).
HERVÉ BOULLANGER
27. La gouvernance et le pilotage du contrôle interne
2/ Le pilotage : La direction du contrôle interne ou de maîtrise des risques/les référents locaux
Acteurs de l’organisation chargés d’animer, de diffuser, d’accompagner et de mettre en œuvre le
contrôle interne, de suivre les indicateurs de déploiement du CI, régulièrement actualisés, et
d’analyser les actions mises en œuvre et des résultats des contrôles internes.
-Le Référent promoteur au siège (la DCI est la direction chargée d'impulser la diffusion du
contrôle interne dans l’entreprise, mais aussi d'en arrêter la stratégie de déploiement, de valider
et de suivre le plan d'action),
-Les référents techniques locaux (personnes chargées d'assurer la mission de pilotage,
d'animation et d’accompagnement des entités dans le déploiement du contrôle interne et des
directions métiers/services gestionnaires).
HERVÉ BOULLANGER
29. Documentation et cartographie des processus
Définition : documentation de référence organisée, formalisée et permanente à la disposition
des opérationnels décrivant les tâches (procédures et processus de travail) et les types de
contrôle périodiques
Deux outils :
- Les organigrammes fonctionnels : définition et organisation des tâches, des acteurs et des
contrôles) ;
- Les référentiels de contrôle interne (RCI) : description des processus, procédures et traçabilité
des opérations.
HERVÉ BOULLANGER
30. Documentation des processus
Exemple : macro-processus « traitement d’une réclamation
individuelle » dans une organisation
Chaque macro-processus est subdivisé en processus et sous-processus permettant d’identifier
les zones de risques :
1) Traiter le courrier entrant : tri, recevabilité, première mis en l’état, orientation dans les
services, choisir un mode d’intervention (téléphone, réponse écrite, traitement local par un
responsable territorial…) ;
2) Instruire : mener des investigations, consulter la réglementation, organiser une réunion
interne, produire des observations en justice ;
3) Le retour d’instruction : formuler des recommandations pour éviter de nouvelles réclamations,
rédiger un courrier de clôture soumis à signature, enregistrer le dossier, le pré archiver.
HERVÉ BOULLANGER
32. Exemple: le processus Achats
20 – Notion de processus
HERVÉ BOULLANGER
Les structures sont volatiles – Les processus sont stables
Direction des
achats
Direction
Logistique
Direction
Finance
Choisir les
fournisseurs
Émettre les commandes Payer
Achats
Structure
Processus
33. La carte des risques
Recense de façon synthétique les risques majeurs et les
hiérarchise en croisant les critères suivants :
- L’impact potentiel
- La probabilité de survenance
HERVÉ BOULLANGER
34. Top 10 des risques dans les organisations en
2018 (7ème édition baromètre des risques d'Allianz publié par Allianz Global Corporate & Specialty AGCS)
1/ Interruption d’activités : risques classiques (incendie, catastrophes naturelles, chaîne
logistique) comme nouveaux (numérique, interconnexion), mais aussi de « pannes de systèmes
informatiques essentiels, d'actes de terrorisme ou de violence politique, de défaillances de
qualité des produits ou d'évolutions réglementaires imprévues
2/ Incidents cyber : attaques comme celle de WannaCry ou plus fréquemment aux défaillances
de systèmes
3/ catastrophes naturelles, et la montée corrélée des risques liés au changement climatique, à la
dixième place
7/ le risque lié aux nouvelles technologies
HERVÉ BOULLANGER
35. Deux natures de risques peuvent être identifiées : les
risques inhérents et les risques résiduels.
Le risques inhérent est le risque lié à l’environnement de
l’établissement ou à la nature de ses activités. Ex : lacunes de
formation et de compétence du personnel, changements non
maîtrisés des structures et des dispositifs juridiques, absence de
prise en compte des évolutions technologiques, manquements
déontologiques et événements extérieurs.
Le risque résiduel est le risque qui subsiste après avoir pris
différentes mesures à un risque donné. C’est la partie du risque
qu’une organisation entend conserver volontairement ou qu’elle doit
supporter.
HERVÉ BOULLANGER
36. Exemple d’identification détaillée des risques résiduels majeurs du processus réclamations
R1 : imparfaite reconnaissance du type de courrier réceptionné (administratifs/juridiques/gestion
etc.) donc tri inadéquat et risque de manquement à la confidentialité.
R2: rattachement erroné et/ou numérisation inadéquate d’un courrier d’instruction ou d’une pièce
reçue ultérieurement: source d’erreurs, doublons, perte de temps.
R3 : diversité des sources de saisine ( courrier, formulaire, fiche délégué, mails, Gouvernance) qui
rendent la procédure plus complexe et qui donne lieu à des doublons, des omissions ou à une
retranscription du dossier papier, incomplète ou tardive.
R4 : non prise en compte de la pluriqualification du dossier au moment de son orientation. Risque
d’absence de traitement ou de traitement inadéquat, connaissance imparfaite de l’activité des
différents services de l’organisation.
R5 : délais de traitement et d’orientation trop importants à la direction juridique.
HERVÉ BOULLANGER
37. Facteurs d’impact
5–Critèresd’impactd’unrisque(1)
SIGNIFICATIF TRES SIGNIFICATIF CRITIQUE
Financier
. Impact négatifsur CA ou marge d'un
montant supérieur à MEUR. 2 et inférieur à
MEUR. 10
. Audit externe à identifié quelques points
d'audit
. Impact négatifsur CA ou marge d'un
montant supérieur à MEUR. 10 et inférieur à
MEUR. 15
. Audit externe à identifié quelques points
d'audit importants
. Impact négatifsur CA ou marge d'un
montant supérieur à MEUR. 15
. Réserves de la part des auditeurs externes
Capacité
production et
délai de
livraison
. Problème mineur pour produire ou
expédier des produits aux clients
. Léger retard de production
. Difficulté pour produire ou expédier des
produits aux clients conformément à certains
engagements
. Retard de production important
. Difficulté pour produire ou expédier des
produits aux clients conformément à la
pluspart des engagements
. Arrêt de la production
Qualité service
. Pas de réduction dans les litiges clients
. Retours clients augmentent jusqu'à X %
. Légère augmentation des litiges clients
. Retours clients augmentent de X à X %
. Augmentation importante des litiges clients
. Retours clients augmentent de plus de X %
ECHELLECRITERES
D'IMPACT
HERVÉ BOULLANGER
38. HERVÉ BOULLANGER
SIGNIFICATIF TRES SIGNIFICATIF CRITIQUE
Financier
. Impact négatifsur CA oumarge d'un
montant supérieur à MEUR. 2 et inférieur à
MEUR. 10
. Audit externe à identifié quelques points
d'audit
. Impact négatifsur CA oumarge d'un
montant supérieur à MEUR. 10 et inférieur à
MEUR. 15
. Audit externe à identifié quelques points
d'audit importants
. Impact négatifsur CA oumarge d'un
montant supérieur à MEUR. 15
. Réserves de la part des auditeurs externes
Capacité
productionet
délai de
livraison
. Problème mineur pour produire ou
expédier des produits auxclients
. Léger retard de production
. Difficulté pour produire ouexpédier des
produits auxclients conformément à certains
engagements
. Retard de productionimportant
. Difficulté pour produire ouexpédier des
produits auxclients conformément à la
pluspart des engagements
. Arrêt de la production
Qualité service
. Pas de réductiondans les litiges clients
. Retours clients augmentent jusqu'à X %
. Légère augmentationdes litiges clients
. Retours clients augmentent de X à X %
. Augmentationimportante des litiges clients
. Retours clients augmentent de plus de X %
ECHELLECRITERES
D'IMPACT
40. Facteurs de probabilité de survenance d’un risque (liste non
exhaustive)
HERVÉ BOULLANGER
Pression concurrentielle
Rapide évolution technologique
Mode de commercialisation
Réputation
Changement récent
d’Organisation
Pression environnementale
Choix technologiques
Complexité, sensibilité des
informations
Refonte du système
d’information
Survenance d’un risque
important
Opinion du dernier Audit
Ancienneté du dernier Audit
41. Deux modes de représentation hiérarchisée de la carte
des risques
Le graphique
Le tableau
HERVÉ BOULLANGER
42. Représentation hiérarchisée en tableau d’une carte des risques
Processus Sous-processus N° du risques Libellé du risque Niveau du
risque
Gestion
administrative
Réclamations R1 imparfaite reconnaissance du type
de courrier
R2 numérisation inadéquate d’un
courrier
R3 Doublon de saisie
R4 non prise en compte de la
pluriqualification du dossier au
moment de son orientation
R5 Délais de traitement trop long
HERVÉ BOULLANGER
43. Présentation de la carte des risques sous forme
graphique
3 – Composantes d’un risque
HERVÉ BOULLANGER
Faible Modéré Elevé
FaibleModéréeElevée
Probabilité
Impact
Probabilité * Impact de l’évènement
45. F A I B L E
impact
Probabilité
Fort
Mod
éré
Faible Modéré Fort
R2
R1
R4
R7
R5
R8
R9
R11
Exemple de graphique pour le
traitement des réclamations
individuelles
R10
R12
46. Étapes du processus Risques dans le processus achats
Spécifications techniques
du besoin
Inutilité du marché, Imprécision ou critères excessifs dans le recensement du
besoin, absence de transparence pour les candidats, absence d’efforts dans le
sourcing, divulgation d’informations confidentielles, possibilités cachées
d’élargissement ultérieur du contrat
Catégories de marché :. Montage contractuel inadapté aux besoins (type juridique, durée,
allotissement…), non respect des seuils de mise en concurrence.
Publicité de l’appel d’offre Absence de formalisme et de clarté dans le dossier de consultation (pondération
et hiérarchisation des critères, système de notation des offres…)
Sélection des candidats Choix injustifiable techniquement et juridiquement, phase de négociation non
transparente
Attribution du marché Mauvaise information des candidats éliminés, non-respect des délais, contrat
mal rédigé,
Exécution du marché Mauvaise réception physique des prestations, gonflement artificiel du volume
des travaux, mauvaise qualité, Absence de sanctions ou sanctions impropres du
titulaire : Pénalités de retard et résiliation du marché, bons de commande non
conformes, Dérapage financier par rapport au budget initial…
Archivage Pertes et manquants, mauvaise traçabilité des échanges avec le prestataire,
HERVÉ BOULLANGER
47. Méthode pour établir la carte des risques
1/ Faire un état des lieux de l’ensemble des risques, sans porter de
jugement et en laissant la place à l’expression de tous.
2/ Sélectionner les risques à plus fort enjeux (en croisant impact et
probabilité de survenance)
HERVÉ BOULLANGER
48. Le plan d’action et de contrôles
- détaille les mesures à mettre en œuvre pour fiabiliser les
procédures, maîtriser les risques et obtenir une assurance
raisonnable de maîtrise des risques.
- désigne les acteurs responsables de la mise en œuvre des
actions et les échéances.
- se fonde sur les constats opérés par les acteurs du
contrôle interne et les auditeurs.
HERVÉ BOULLANGER
49. Plan d’action (volet hors contrôles)
Exemple : service réclamations
A1 : 5 actions à mettre en place pour réduire le risque d’erreur sur la destination du courrier
1) réduire les délais de traitement : identifier les délais constatés à chaque stade de
transmission du dossier créé. Former l’équipe courrier à l’usage de fiches de procédure.
2) Mettre en place des directives à destination du service courrier.
3) Sensibiliser les correspondants à la personnalisation de leurs envois (en mentionnant la
qualification du service).
4) Numériser tous les courriers de l’entreprise, y compris administratifs.
5) Faire mention du caractère confidentiel du courrier (courrier détenu).
A2 : 2 actions identifiées pour réduire le risque de mauvais rattachement d’une pièce associée
à un dossier déjà existant: systématiser les numérisations du courrier entrant (voir action
supra) et assurer un contrôle de supervision renforcé pour les documents difficilement
identifiables.
HERVÉ BOULLANGER
50. Plan d’action (volet hors contrôles)
service réclamations
A3: 2 actions à mettre en œuvre pour réduire la complexité de la procédure de
saisine: prévoir un retour systématique de tous les documents de nature juridique
à la direction juridique. Instaurer une procédure pour les transmissions urgentes
en cas de numérisation des courriers transmis par d’autres voies (mails,
gouvernance, etc.).
A4 : 1 action identifiée pour réduire le risque de traitement inadéquat d’un dossier
en lieu en lien avec la pluri qualification de ce dernier: renforcer les moyens
d’analyse à disposition des agents de la direction juridique en s’appuyant
notamment sur la mission expertise placée auprès du secrétaire général.
A5 : 1 action à mettre en place pour réduire les délais de traitement de la direction
juridique: réexaminer et simplifier l’ensemble des procédures mises en œuvre au
sein du service.
HERVÉ BOULLANGER
51. Le volet contrôles du plan d’action
Types de contrôles
● Les contrôles de 1er niveau (auto contrôle, contrôle mutuel) : contrôles préventifs et
détectifs intégrés au fonctionnement courant du service
● Les contrôles de 2ème niveau : contrôle de supervision contemporain et à posteriori
effectués par les chefs de service et fixés en lien avec le référent contrôle interne
● Les contrôles de 3ème niveau : équipe extérieur au service dédiée aux contrôles
● Les contrôles des SI : contrôle de saisie, de cohérence des données
Objet
- séparer les tâches incompatibles pour organiser des contrôles mutuels,
- définir précisément les modalités de contrôle attendues de chacun,
- insérer dans la procédure des contrôles-clé.
HERVÉ BOULLANGER
52. Représentation hiérarchisée en tableau d’une carte des risques
comprenant un plan d’actions
Processus Sous-
processus
N° du
risque
s
Libellé du risque Nivea
u du
risque
Actions à
mettre en
œuvre
Respon
sables
des
actions
Gestion
administrative
Réclamations R1 imparfaite reconnaissance du
type de courrier
Réaliser une
fiche procédure
DCI
R2 numérisation inadéquate Contrôle de
supervision
DAF
R3 Doublon de saisie Numérisation
systématique
DSI
R4 non prise en compte de la
pluriqualification du dossier
Passage obligé à
la DJ
DJ
R5 Délais de traitement trop
long
Former l’équipe DRH
HERVÉ BOULLANGER
53. Méthode pour établir le plan d’action
1/ Dégager des pistes d’actions permettant:
- soit de réduire la probabilité de réalisation du risque,
- soit de réduire l’impact du dysfonctionnement par
rapport à l’objectif du processus.
2/ Sélectionner les actions prioritaires en fonction des
résultats attendus et du coût de chaque mesure et les
points de contrôles importants à mettre en œuvre
HERVÉ BOULLANGER
54. L’actualisation annuelle de la carte des
risques et du plan d’action
- Enrichir la version antérieure à partir des
évolutions observées tirées de l’analyse des
résultats et des audits de l’année précédente
- Redéfinir l’échéancier du fait de contraintes
imprévues,
- Expurger les risques devenus faibles et les
actions ayant déjà été réalisées.
HERVÉ BOULLANGER
55. Exemple détaillé : une centrale d’achat
Distribution de la carte des risques et du plan d’action d’une centrale d’achat : commentaire et
réponse aux questions
HERVÉ BOULLANGER
56. Le reporting des actions et contrôles
● Créer des indicateurs clés pour : rendre compte du déploiement
des outils de contrôle interne, mesurer l’évolution des risques et la
réalisation des actions, relever les anomalies identifiées par les
contrôles.
● Agréger au niveau du siège, ces informations et procéder à leurs
analyse.
● Transmettre régulièrement ces analyses aux instances de
gouvernance.
HERVÉ BOULLANGER
60. Erreurs classiques dans l’élaboration de
la carte des risques et du plan d’action
- Carte des risques : les risques sélectionnés ne sont pas
ceux à plus fort enjeux (en croisant impact et probabilité de
survenance) ;
- Plan d’action : Les actions ne permettent pas de réduire ni
la probabilité de réalisation du risque ni son impact. Il n’y a
pas de contrôles prévus.
- Ensemble : Ni les risques ni les actions ne sont SMART
HERVÉ BOULLANGER
61. Risques, Actions et questions de l’auditeur
= SMART
HERVÉ BOULLANGER
Simple, Spécifique, formulé avec précision et sans ambiguïté (clair)
Mesurable, Spécifique, vérifiable, préciser la qualité ou la quantité
Atteignable, mais Ambitieux (pour être motivant)
Réaliste, Compatibles avec les Ressources affectées et la situation
actuelle, fondé sur des indices
Temporellement défini, inscrits dans des délais avec une date limite,
révisable
62. Évaluation du contrôle interne
18 – Les 5 âges du contrôle Interne
HERVÉ BOULLANGER
Le degré O
. absence de
procédures
. Contrôle à
l’initiative de chacun
. Pas d’identification
des risques
Les balbutiements
. procédures non
exhaustives et non
communiquées
. un système de
contrôle réduit
. des risques connus
mais non formalisés
La maturité
. des procédures
formalisées, mises à
jour et
communiquées:
système animé
. un système de
contrôle opérationnel
autant que financier
. une réflexion
généralisée sur les
risques
Les premières
poussées
. des procédures
formalisées et
communiquées
. un système de
contrôle organisé à
partir d’informations
financières
. une formalisation
des principaux risques
Le champion
. réflexion de tous sur
les procédures
. un système de
pilotage orienté vers
l’autocontrôle
. la formalisation de la
carte des risques
. pas de fonction
contrôle interne
. des opérationnels
réfractaires au mot
contrôle
« La gestion de
crises »
. une fonction contrôle
interne informelle
entre les mains de
« bénévoles »
. des objectifs
opérationnels
« La culture
orale »
. La fonction contrôle
interne rattachée aux
finances
. des objectifs
formalisés et suivis
« La gestion
orientée finance »
. une fonction contrôle
interne / contrôle de
gestion rattachée à la
DG
. Formalisation,
contractualisation
d’objectifs
opérationnels
« La gestion
contractuelle »
. Un contrôle de
gestion en réseau
. Une veille
permanente des
services
« Le management
des risques »
Management des risques
CI
Absence
de CI
Qualification
de
l’organisation
63. Évaluation du contrôle interne
par l’auditeur
HERVÉ BOULLANGER
1/ Comprendre le processus
2/ Identifier et évaluer les risques
3/ Identifier les dispositifs de maîtrise
4/ Tester la bonne application des dispositifs
5/ Conclure sur la fiabilité du contrôle interne
Restituer le processus dans l’organisation
et les conflits d’intérêt
Décomposer le processus en sous-
processus et étapes
Identifier les flux d’information et
contrôles adéquats
Comprendre l’utilisation du système
d’information
Comprendre les contraintes de
ressources
Analyser les outils de pilotage par
niveaux de responsabilité et fonctions
65. Item Questions Pièces à présenter
1. Pilotage du
contrôle interne
1.1. Existe-t-il au sein de votre organisme une
structure de pilotage du contrôle interne ? Si oui,
quelle est sa composition, son rôle et à quelle
fréquence se réunit-elle ?
1.2. Existe-t-il un référent contrôle interne ? Si
oui, quel est son champ d’action, ses moyens et
son positionnement au sein de l’établissement ?
(Décrire) Quelles actions particulières ce référent
a-t-il mené vis-à-vis des services opérationnels de
l’établissement depuis 20yy?
1.3. Quel est le rôle du de la direction financière
dans l’organisation du contrôle interne et dans
l’actualisation et la formalisation des outils du
contrôle interne ?
Documentation de
présentation ou
d’organisation du contrôle
interne au sein de votre
organisme
HERVÉ BOULLANGER
66. Items Questions Pièces
2.
Actualisati
on et
formalisati
on des
cartes des
processus
et des
risques
2.1. Décrire la démarche mise en place par votre
organisme pour recenser et actualiser ses processus de
gestion à enjeux financiers significatifs et pour
identifier, évaluer et hiérarchiser les risques pesant sur
ces processus.
2.2. L’établissement dispose-t-il d’une carte des risques
unique qui regroupe dans un même document les
risques métiers et les risques comptables ?
2.3. De quand la dernière actualisation de ces cartes
(processus et risques) date-t-elle ? La périodicité est-elle
annuelle ? Cette actualisation fait-elle l’objet d’une
validation par la structure de pilotage du CI? Sinon,
qui valide les risques majeurs identifiés ?
Procédure
d’actualisation de la
carte des processus
et de la carte des
risques
La carte des
processus
actualisée, si elle
existe
Dernières cartes des
risques actualisées
HERVÉ BOULLANGER
67. 3. Plan d’action
du contrôle
interne
3.1. Quels sont les acteurs et l’organisation de la mise à jour et
du suivi du plan d’action du contrôle interne de votre
organisme ? Qui définit et valide les actions à mettre en œuvre,
les responsables des actions et les échéances ? Comment
s’assure-t-on que tous les risques figurant dans la carte des
risques font l’objet d’une ou plusieurs actions inscrites au plan
d’action ? Comment s’assure-t-on de la cohérence avec la carte
des risques ?
3.2. À quelle fréquence le plan d’action est-il mis à jour ? Son
actualisation fait-elle l’objet d’une validation par la structure
de pilotage du CI. De quand date la dernière mise à jour du
plan d’action ?
3.3. Toutes les actions du plan d’action comportent-elles un
niveau de priorité, une échéance et un responsable ?
3.4. Quelles ont été les principales difficultés rencontrées
depuis 20yy dans la mise en œuvre du plan d’action ?
3.5. La structure de pilotage est-elle régulièrement informée de
l’état d’avancement des actions du plan d’action ? Une analyse
des éventuels retards dans la mise en œuvre du plan d’action
lui est-elle communiquée ?
Tout document
d’organisation, CR ou
PV de réunions
décrivant la mise à
jour du plan d’action
ou les acteurs qui en
sont chargés
Derniers plans
d’action actualisés
Procédure
d’actualisation du
plan d’action
HERVÉ BOULLANGER
68. 4. Le
reportin
g du
contrôle
interne.
4.1. Un dispositif de reporting du contrôle interne a-t-
il été mis en place? Sous quelle forme de support ce
reporting est-il formalisé ? Quelles sont les
informations fournies par le reporting ? À quelle
fréquence ? Quels en sont les destinataires ? Les
éléments issus du reporting font-ils l’objet d’une
synthèse et d’une analyse ? Si oui, à quelle fréquence ?
Quels ont été sur la période 20xx-2016 les principaux
enseignements tirés du reporting ? Des suites y ont-
elles été données (actions correctrices, audits pour en
rechercher les causes, etc.) ?
Tous documents
relatifs au
reporting du CI
(textes,
procédures,
restitutions, etc.)
Synthèse et
analyse le cas
échéant des
reportings 20dd
et 20zz de
l’établissement
HERVÉ BOULLANGER