SlideShare une entreprise Scribd logo
Le Contrôle Interne Assisté par Ordinateur
Etude de cas : VALDYS
UNIVERSITE ROBERT SCHUMAN
Ecole de Management de Strasbourg
Master AUDIT FINANCIER
ET OPERATIONNEL
2008-2009
Sujet du Mémoire :
Nom et prénom : EZ-ZOUAK Mohammed
2
Le Contrôle Interne Assisté par Ordinateur
Etude de cas : VALDYS
UNIVERSITE ROBERT SCHUMAN
Ecole de Management de Strasbourg
Master AUDIT FINANCIER
ET OPERATIONNEL
2008-2009
Sujet du Mémoire :
Nom et prénom : EZ-ZOUAK Mohammed
Organisme de stage : Mutuelle d’Entreprise Sochaux
Directeur du mémoire : Pr Pierre SCHEVIN
Maître de Stage : Mme Roselyne PATOIS (responsable de la mutuelle)
3
REMERCIEMENTS
Ce mémoire pour l’obtention du diplôme M2 Audit Financier et Opérationnel est le résultat
d'un effort considérable. Cet effort n'aurait pu aboutir sans la contribution de plusieurs
personnes. Ainsi se présente l'occasion de les remercier : Tout d'abord,
Au Pr Pierre SCHEVIN, Le Directeur de ce mémoire pendant ce stage pour sa disponibilité
et ses conseils
A Mme Roselyne PATOIS, Responsable du service «Mutuelle d’Entreprise de Sochaux »,
mon encadrant professionnel pour son engagement total et ses conseils très constructifs
A Mme Nathalie De STEUR, responsable informatique à la MES, pour son assistance et ses
instructions.
Sans oublier tout le personnel de la Mutuelle sans exception pour leur support moral et
pédagogique pendant les 2 mois de ce stage
Et enfin, mes parents, ma famille et mon beau frère pour leurs soutien morale et financier
pendant cette année d’études
4
Introduction _______________________________________________________________ 6
Partie (1) : Introduction au contrôle interne _____________________________________ 9
1 Cadre conceptuel du contrôle interne _______________________________________ 9
1.1 Etymologie du mot_______________________________________________________ 9
1.2 Définitions du contrôle interne _____________________________________________ 9
1.3 Le modèle COSO _______________________________________________________ 11
1.4 Sarbanes Oxley_________________________________________________________ 13
1.5 La Loi de la Sécurité Financière (LSF) _____________________________________ 14
1.6 Comparaison entre la loi Sarbanes Oxley et la loi de la Sécurité Financière_______ 15
2 La démarche du contrôle interne__________________________________________ 16
2.1 Définition et caractéristiques de la démarche de contrôle interne _______________ 16
2.2 Analyse de quelques modèles de la démarche de contrôle interne _______________ 17
3 Démarche classique adopté par les éditeurs de logiciels de contrôle interne _______ 19
3.1 Identification des processus_______________________________________________ 19
3.2 Déclinaison de la stratégie en objectifs _____________________________________ 20
3.3 Analyse des processus ___________________________________________________ 21
3.4 Evaluation des risques ___________________________________________________ 22
3.5 Mise en place des activités de contrôle______________________________________ 24
Partie (2) : Le Contrôle Interne Assisté par Ordinateur____________________________ 26
1 Introduction au Contrôle Interne Assisté par Ordinateur ______________________ 26
1.1 Le concept_____________________________________________________________ 26
1.2 Les objectifs du Contrôle Interne Assisté par Ordinateur______________________ 27
1.3 Les logiciels du contrôle interne sur le marché _______________________________ 29
2 Avantages et limites du Contrôle Interne Assisté par Ordinateur ________________ 31
2.1 L’apport de Contrôle Interne Assisté par Ordinateur _________________________ 31
2.2 Les limites du Contrôle Interne Assisté par Ordinateur _______________________ 36
2.3 Les clés de réussite d’un projet de Contrôle Interne Assisté par Ordinateur ______ 39
3 Etude de cas logiciel Valdys______________________________________________ 40
3.1 Présentation du logiciel __________________________________________________ 40
3.2 L’architecture de Valdys_________________________________________________ 42
3.3 Le projet de Contrôle Interne selon Valdys__________________________________ 44
3.4 Les documents générés en interne par Valdys _______________________________ 48
Conclusion _______________________________________________________________ 50
Annexes__________________________________________________________________ 52
1 Annexe (1) : Lexique Valdys _____________________________________________ 53
2 Annexe (2) : le Macro-processus _________________________________________ 55
3 Annexe (3) : Arbre des risques____________________________________________ 56
5
4 Annexe (4) : Diagramme de Phase et Logigramme ___________________________ 57
5 Annexe (5) : Arbre des familles de risque ___________________________________ 58
6 Annexe (6) : Le modèle nomenclature et le modèle diagramme de structure _______ 59
7 Annexe (7) : Le modèle arbre des rôles/compétences et la cartographie des risques _ 60
8 Annexe (8) : Les pages Html_____________________________________________ 61
6
Introduction
L’automatisation du traitement de l’information remonte à la date de l’invention du premier
ordinateur. Depuis, toutes les branches de la science et de l’industrie ont tenté d’exploiter les
capacités énormes de cet outil surtout celles de calcul et de traitement des données avec une
vitesse inimaginable qui dépasse les limites du cerveau humain. C’est alors que l’économie et
la finance furent parmi les branches qui ont su profité des avantages du traitement automatisé
de l’information.
La miniaturisation des composants et la réduction des coûts de production, associées à un
besoin de plus en plus pressant de traitement des informations de toutes sortes (scientifiques,
financières, commerciales, etc.) a entraîné une diffusion de l’informatique dans toutes les
couches de l’économie comme de la vie de tous les jours.1
Après la comptabilité, la finance et l’audit financier, aujourd’hui, c’est au contrôle interne
d’intégrer le monde de l’information automatisée et profiter pleinement des contributions de
l’informatique dans ce domaine. Dans cette perspective, le « Contrôle Interne Assisté par
Ordinateur » marque l’actualité par son apport à l’auditeur interne et externe comme outil
d’assistance et de pilotage des missions de contrôle.
Jusqu’à aujourd’hui, personne n’a pu percevoir qu’un domaine aussi abstrait et évolutif que le
contrôle interne dont la réflexion (risques) et le développement (points de contrôles) jouent un
rôle capital ferait appel aux services de l’informatique. Cependant, les symptômes de cette
nouvelle vague des éditeurs des solutions informatiques pour entreprises sont déjà sentis. Ces
éditeurs des applications informatiques de gestion et devant la concurrence intense sur le
marché des logiciels ont pu s’adapter pour franchir la barrière du savoir limité dans les
domaines de gestion. Pour ces derniers, la solution est de proposer un logiciel qui permet
d’aider et d’assister l’auditeur dans la réalisation de sa mission de contrôle interne en
exploitant au maximum son savoir faire et ses capacités d’analyse et d’observation dans un
domaine particulier (assurance, énergie, industrie nucléaire,…) puis en la croisant avec les
pratiques reconnues par les auditeurs dans le secteur et la réglementation en vigueur. En effet,
la différence remarquée entre l’existant et le conceptuel est à la base des résultats et des
interprétations obtenus.
1
http://fr.wikipedia.org/wiki/Informatique le 17/02/2009
7
Plusieurs progiciels 2
d’audit et de contrôle interne existent sur le marché, un ensemble de
choix diversifié des solutions informatiques de gestion pour gérer les processus de contrôle
interne et assurer la conformité avec la réglementation (Loi de la Sécurité Financière, loi de
Sarbanes-Oxley, Bale II, Solvabilité II, etc.). Parmi ces produits, on souligne FrontControl3
,
Enablon Continuous Assessment4
, ISIMAN5
et enfin VALDYS qui fera l’objet d’une étude
de cas dans ce mémoire. Toutes ces solutions partent du même principe en constituant une
base référentielle de contrôle interne d’un secteur donné pour l’auditeur et en l’assistant dans
sa démarche de mise en place et de suivi de la démarche de contrôle interne.
Dans ce mémoire, je vais essayer de traiter et d’analyser la problématique suivante :
« Jusqu’à quel point le Contrôle Interne Assisté par Ordinateur peut-il contribuer à
l’encadrement et à l’accélération de la mise en place d’un processus de contrôle interne
dans une entreprise ? ».
Pour répondre à cette question, mon analyse portera sur les deux parties suivantes :
La première partie sera consacrée au cadre conceptuel du contrôle interne ou je vais présenter
les différentes définitions du contrôle interne, les approches et la réglementation qui
encadrent ce secteur et enfin de décrire la démarche de mise en place d’un système de
contrôle interne. Cette partie est un passage incontournable pour mieux comprendre les deux
axes qui vont suivre.
Dans la deuxième partie, je vais aborder le nœud de la problématique où j’analyserai l’apport
de Contrôle Assisté par Ordinateur sur plusieurs dimensions : l’originalité du concept,
l’apport du contrôle interne assisté par ordinateur et dans un dernier point je traiterai les
limites de ce concept. Le deuxième axe de cette partie de ce mémoire est une étude de cas du
logiciel VALDYS (logiciel français de contrôle interne développé pour répondre aux besoins
des assurances et des mutuelles). Cette étude de cas a pour objectif d’illustrer les conclusions
et les résultats obtenus.
2
Contraction de produit et de logiciel
3
http://www.efront.com/fr/Logiciel_Controle_Interne.asp le 17/02/2009
4
http://enablon.com/produits/gestion-des-risques/controle-permanent.aspx le 17/02/2009
5 http://www.keyword.fr/sitekeyw/html_val/ru$44___.htm?gclid=CLK0jd6c65kCFQiF3godMiuuQQ le
17/02/2009
8
L’objectif de ce mémoire avec ces deux parties est de résoudre la problématique soulevée en
partant d’un cadre conceptuel vers un cadre empirique. Le type d’argumentation utilisé est
une argumentation par illustration. Cette argumentation consiste à utiliser un exemple concret
justifiant une affirmation que l’on fait. Autrement dit, on va formuler la problématique, puis
on présentera un fait ou un cas précis et réel qui concrétise et matérialise les déductions
obtenues.
Dans le même but d’illustration et d’argumentation, plusieurs sources documentaires seront
utilisées partagées entre sources bibliographiques, webographiques, et bases documentaires
électroniques.
9
Partie (1) : Introduction au contrôle interne
1 Cadre conceptuel du contrôle interne
1.1 Etymologie du mot
Le mot contrôle vient du mot contre-rôle qui signifie « registre tenu en double»6
. Dans son
ouvrage « Contrôle Interne » Frédéric Bernard fait la distinction entre le mot français
« Contrôle » et le mot anglo-saxonne « Control » :
« Le terme contrôle interne est la traduction littérale de l’expression anglo-saxonne : Internal
Control (ou Business Contrôle pour les américains) dans lequel le verbe « to control »
signifie conserver la maîtrise de la situation alors qu’en français le mot « contrôle » est
d’avantage compris comme le fait d’exercer une action de surveillance sur quelque chose
pour l’évaluer »7
.
Malgré la ressemblance étymologique et phonétique des deux mots français et anglo-saxon,
on trouve que le mot « contrôle interne » traduit l’amont et le préventif du processus de
contrôle interne par les mesures de surveillance et d’analyse des risques quant au mot
« Internal Control » il traduit la dimension en aval et corrective du contrôle interne
(identification des éléments de maîtrise, planification des tâches de contrôle, organisation des
responsabilités, suivi des recommandations, etc.). Cette divergence de sens entre les deux
mots reflète et explique l’étroite différence dans la manière de pratiquer et de mettre en œuvre
le processus du contrôle interne entre les entreprises françaises et les entreprises anglo-
saxonnes.
1.2 Définitions du contrôle interne
Il existe diverses définitions du contrôle interne. Cette multitude et diversité de définitions du
concept engendre une confusion de compréhension et de communication des rôles de chaque
acteur majeur du contrôle interne (auditeurs internes et externes, Conseil d’Administration, la
direction, le personnel et le législateur). Parmi les définitions adoptées du contrôle interne par
les auteurs et les institutions nationales et internationales, on trouve :
1) Le contrôle interne est un ensemble de dispositifs ayant pour but, d’un coté d’assurer la
protection, la sauvegarde du patrimoine et la qualité de l’information, de l’autre
6
http://fr.wiktionary.org/wiki/contr%C3%B4le le 19/02/2009
7 Frédéric Bernard, Rémi Gayraud et Laurent Rousseau, « Contrôle interne », Ed.MAXIMA, Paris, 2006, p 303
10
d’assurer l’application des instructions de la Direction et de favoriser l’amélioration des
performances. 8
2) Définition donnée par les experts-comptables, en congrès en 1977 : « le contrôle interne
est l’ensemble des sécurités contribuant à la maîtrise de l’entreprise. Il a pour but
d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information d’une
part et de l’autre, l’application des instructions de la direction, et de favoriser
l’amélioration des performances. »
3) La définition proposée par le CNCC (Compagnie Nationale des Commissaires aux
Comptes) reflète le mieux l’approche moderne du concept: « Les procédures de contrôle
interne impliquent : le respect des politiques de gestion, la sauvegarde des actifs, la
prévention et la détection de fraudes, l’exactitude et l’exhaustivité des enregistrements
comptables, l’établissement en temps voulu d’informations comptables et financières
stables. »9
4) La définition donnée par la norme 400 de l’IAASB (International Auditing and
Assurance Standard Board) : le système de contrôle interne est l’ensemble des
politiques et procédures mises en œuvre par la direction d’une entité en vue d’assurer,
dans la mesure du possible, la gestion rigoureuse et efficace de ses activités. Ces
procédures impliquent le respect des politiques de gestion, la sauvegarde des actifs, la
prévention et la détection de fraudes et d’erreurs, l’exhaustivité des enregistrements
comptables et l’établissement en temps voulu d’informations financières stables.
5) La définition donnée par le cabinet Coopers&Lybrand et traduit dans « la nouvelle
pratique du contrôle interne » par l’Institut Français des Auditeurs et Consultants
internes : Le contrôle interne est un processus mis en œuvre par le Conseil
d’Administration, les dirigeants et le personnel d’une organisation, destiné à fournir
une assurance raisonnable quand à la réalisation des objectifs suivants :
• La réalisation et l’optimisation des opérations ;
• La fiabilité des informations financières
• La conformité aux lois et aux réglementations en vigueur 10
8
Frédéric Bernard, Rémi Gayraud et Laurent Rousseau, « Contrôle interne », Ed.MAXIMA, Paris, 2006, p 303
9
Norme CNCC 2-301, évaluation du risque et de contrôle interne », para 08, Référentiel normatif CNCC,2003
10
Coopers & Lybrand, « La nouvelle pratique du contrôle interne », Edition d’organisation, Paris, 1994, p 378
11
L’étude et l’analyse de ces différentes définitions distingue entre deux approches
fondamentales:
D’une part, une approche classique qui insiste sur les principes de base du contrôle interne : la
sauvegarde du patrimoine, la fiabilité de l’information, la conformité avec la réglementation
et l’amélioration de performance. Ces éléments sont repris fidèlement dans la première et la
deuxième définition sans toutefois sortir du cadre soigneusement tracé par ces composantes.
Cette limitation du champ d’interprétation et de réaction a fait du contrôle interne un concept
doté d’une structure rigide et difficilement adaptable aux différentes natures et situations
d’entreprises.
D’autre part, une approche moderne illustrée par les trois dernières définitions (CNCC,
IAASB, Coopers&Lybrand). Cette approche inclut la notion du processus ou de procédure
dans sa définition et elle implique les acteurs majeurs de la démarche de contrôle interne dans
ce processus tout en insistant sur le rôle du personnel. Plus encore, elle évoque pour la
première fois le respect de la politique de gestion comme facteur principal dans le système de
contrôle interne.
1.3 Le modèle COSO
Le modèle COSO est un référentiel de contrôle interne défini par le « Committee Of
Sponsoring Organizations of the Treadway Commission ». Il est utilisé notamment dans le
cadre de la mise en place des dispositions relevant des lois Sarbanes-Oxley ou LSF pour les
entreprises assujetties respectivement aux lois américaines ou françaises. Le référentiel initial
appelé COSO 1 a évolué depuis 2002 vers un second corpus dénommé COSO 2.11
1.3.1 COSO 1
Le contrôle interne est composé de 5 éléments interdépendants qui découlent de la façon dont
l’activité est gérée et qui sont intégrés aux processus de gestion :
• Environnement du contrôle : présente « l’espace » dans lequel les personnes
accomplissent leurs tâches et assument leurs responsabilités en matière de contrôle. Il
sert de référence pour les autres éléments du contrôle interne. Il présente aussi les
individus et leurs qualités individuelles, leur intégrité, leur éthique, leur compétence.
Autrement dit, l’environnement du contrôle exerce une influence profonde sur la
structuration des activités et des procédures, l’évaluation des risques, les activités de
contrôle, le système d’information et le suivi des recommandations.
11
http://fr.wikipedia.org/wiki/COSO le 22/02/2009
12
• L’évaluation des risques : elle consiste en l’identification et l’analyse des facteurs
susceptibles d’affecter la réalisation des objectifs stratégiques de l’entreprise. C’est un
processus continu et répétitif qui permet de déterminer comment les risques devraient
être gérés. Il appartient aux dirigeants et aux responsables des services concernés
d’évaluer et de fixer un taux de risque admissible.
• Les activités de contrôle : les activités de contrôles sont l’application des normes et
procédures destinées à garantir l’exécution des directives du management en vue de
maîtriser les risques réels et potentiels de l’organisation. Les catégories d’opérations
de contrôle se rattachant aux objectifs sont le domaine opérationnel, l’information
financière et la réglementation en vigueur.
• L’information et la communication : l’information pertinente doit être identifiée,
recueillie et diffusée sous une forme et dans les délais qui permettent à chacun
d’assumer ces responsabilités. L’information doit concerner tous les niveaux de
l’entreprise. Le système d’information va permettre de définir, recueillir, analyser puis
diffuser ces données.
• Pilotage : les systèmes de contrôle interne doivent à leur tour être contrôlés afin
d’évaluer dans le temps les performances qualitatives. Dans ce cadre, il est primordial
de mettre en place un système de pilotage permanent et de procéder à des évaluations
périodiques. Ainsi, les opérations de pilotage peuvent être pratiquées soit par des
activités courantes soit par des évaluations ponctuelles.
1.3.2 COSO 2
Le modèle COSO 2 constitue une continuité et une suite de COSO 1. Fréderic Bernard définit
et explique la dissemblance entre COSO 1 et COSO 2 : « ... Il ne propose pas un référentiel de
contrôle interne (au contraire de COSO) mais un modèle de gestion des risques. Il s’appuie
sur le COSO comme référentiel de Contrôle Interne.» 12
12
Frédéric Bernard, Rémi Gayraud et Laurent Rousseau, « Contrôle interne », Ed.MAXIMA, Paris, 2006, p 303
13
Parmi les apports de COSO 2 :
D’une part, il offre aux auditeurs et contrôleurs internes un repère pour la gestion des risques
de l’entreprise (Enterprise Risk Management Framework). En effet, COSO 2 rappelle les
éléments du COSO 1 et le complète surtout sur la dimension « gestion des risques ». Il est
donc fondé sur une approche orientée vers la maîtrise des risques de l’entreprise. D’autre part,
il présente un cadre plus restreint de décomposition de la structure d’une organisation alors
que le COSO 1 ne retient pas de structure de décomposition spécifique. Cependant, cette
répartition entre différents niveaux de l’organisation est très utile pour la démarche de
contrôle proposée par le modèle COSO. Toutefois, il est nécessaire de prendre en compte
l’organisation dans son ensemble pour que COSO 2 puisse être appliqué avec succès.
Présentation de la pyramide et du cube de COSO13
1.4 Sarbanes Oxley
Suite aux scandales financiers que les Etats-Unis ont connus dans les années 2001-2002. La
législation américaine a lancé de nouveaux dispositifs légaux dits « Sarbannes Oxley ». Cette
loi a été adoptée par le Congrés et fut la plus grande réforme du marché financier américain
depuis longtemps. Ses principes de base sont l’exactitude des informations, la responsabilité
des gestionnaires et l’indépendance des organes d’audit. Son objectif est de pallier aux
insuffisances du contrôle interne.
13
http://www.bumko.gov.tr/KONTROL_EN/Images/kontrol/coso.jpg visité le 05/03/2009
14
Les décisions fondamentales de cette loi sont :
• Les états financiers doivent être forcément certifiés par le Directeur Générale (Chief
Exécutive Officer) ou le Directeur Financier (Chief Financial Officer). Le but de cette
disposition est de responsabiliser les dirigeants aux risques existants dans leurs
entreprises.
• L’obligation de nommer des administrateurs indépendants au comité d’audit du
Conseil d’Administration
• Les avantages particuliers des dirigeants sont de plus en plus encadrés
• La loi Sarbanes-Oxley impose à l’entreprise une rotation des auditeurs externes. Les
services proposés pour la vérification des états financiers par ces auditeurs externes
doivent être adaptés à l’activité de l’entreprise (systèmes d’information).14
• L’alourdissement des sanctions pénales et des montants des amendes en cas de fraude
ou de non-conformité.
• L’obligation aux entreprises américaines de joindre aux rapports annuels un rapport
sur le contrôle interne. Ce rapport établi par la Direction de l’entreprise doit être validé
et certifié par l’auditeur externe.
Malgré tous les efforts déployés au niveau de la loi « Sarbanes-Oxley » pour limiter les
fraudes financières, l’assurance que porte cette loi pour l’organisation reste une assurance
raisonnable contre le risque puisqu’il existe toujours des points de défaillances pour
contourner les barrières du contrôle interne. Michael Oxley soutient ce raisonnement dans
son interview avec Liz Alderman : « Je n’irai pas jusqu’à dire que la loi Sarbanes-Oxley nous
met à l’abri d’un scandale tel que les faillites d’Enron et de Worldcom ni que des individus ne
seront pas suffisamment intelligents pour contourner les règles. Après tout le meurtre est illégal
dans tous les pays et pourtant des meurtres sont commis tous les jours ».15
1.5 La Loi de la Sécurité Financière (LSF)
A l’instar de la loi Sarbanes Oxley, la Loi de Sécurité Financière a été promulguée à la suite
des nombreux scandales financiers pour rétablir la confiance des investisseurs notamment
dans les pratiques comptables.
14
Kamal ABOU EL JAOUAD, « Les enjeux du contrôle interne » Université Clermont
15
http://www.french-american.org/files/cr-francais-diner-ifafaf.pdf) visité le 15/03/2009
15
L’Assemblée Nationale et le Sénat ont adopté la LOI n° 2003-706 du 1er
août 2003 sur la
sécurité financière vu la décision n° 2003-479 DC du conseil constitutionnel en date du 30
juillet 2003.16
Cette loi s’applique à toutes les sociétés anonymes. Elle comprend l’obligation pour le
président du conseil d’administration ou du conseil de surveillance de rendre compte dans un
rapport des procédures de contrôle mises en place par l’entreprise. Aussi, elle considère que
l’établissement d’un rapport sur le contrôle interne est un facteur clé pour la compétitivité et
le développement des entreprises privées.
1.6 Comparaison entre la loi Sarbanes Oxley et la loi de la Sécurité Financière
La distinction fondamentale entre la loi de la Sécurité Financière et la loi Sarbanes Oxley est
le degré de formalisme qui est clairement défini dans la deuxième loi. Ainsi, des référentiels
tels que COSO présentent un cadre précis pour les acteurs du contrôle interne. Cependant, ce
n’est pas le cas actuellement pour la loi sur la Sécurité Financière. Le grand obstacle pour
celle-ci est l’inexistence d’un référentiel français qui encadre le travail des auditeurs. La LSF
ne renvoie à aucun référentiel et ne donne même pas de définition au « contrôle interne ».
Aussi, la Loi sur la Sécurité Financière est moins exigeante que la loi Sarbanes Oxley et par
conséquent elle permet d’ajuster le degré de formalisme du Contrôle Interne par rapport à la
taille de l’entreprise, toutefois elle complique le travail du Commissaire aux Comptes.
A l’heure actuelle, il n’y a aucune nouvelle disposition légale sur le contrôle interne des
sociétés anonymes françaises. Et la compagnie nationale des Commissaires aux Comptes n’a
pas donné de nouvelles instructions concernant le contrôle par les auditeurs légaux du rapport
du Président sur le contrôle interne.
La LSF engage toutes les sociétés anonymes. Son périmètre est plus large que celui de la loi
Sarbanes Oxley qui se limite uniquement aux sociétés cotées. Elle implique directement le
Président du Conseil d’Administration ou du Conseil de Surveillance alors que la loi Sarbanes
Oxley engage la direction opérationnelle. Enfin, la LSF concerne toutes les procédures de
contrôle interne tandis que la loi Sarbanes-Oxley ne concerne que les informations
comptables et financières. Le modèle Européen défendant tout actionnaire de Sociétés
Anonymes s’oppose au modèle américain qui ne s’intéresse qu’à l’actionnaire de sociétés
faisant appel publique à l’épargne.
16
http://www.amf-france.org/documents/general/4746_1.pdf visité le 15/03/2009
16
2 La démarche du contrôle interne
2.1 Définition et caractéristiques de la démarche de contrôle interne
Le contrôle interne, à l’inverse de l’audit financier n’a pas un champ limité d’intervention, il
concerne tous les types de risques qui peuvent exister dans l’entreprise (Risques financiers,
risque humains, risques techniques,…). Son objectif essentiel est de sauvegarder le patrimoine
de l’entreprise et de mettre en place un dispositif de maîtrise.
Le contrôle interne n’est plus une démarche aléatoire qui se fait le jour au jour, non plus une
solution de prêt-à-porter applicable à toutes les entreprises sans adaptation aux contextes, à
l’environnement et aux structures spécifiques de celles-ci.
Au contraire, la démarche du contrôle interne est une démarche organisée, appropriée, et
pérenne. Concrètement, c’est une démarche de changement :
2.1.1 Une démarche organisée
La mise en place d’un dispositif de contrôle interne doit être organisée dans l’axe temps
(planifier les dates d’entretiens avec les responsables et le personnel, fixer les dates de
contrôle et de suivi, respecter les dates de contrôle périodiques, etc.) en veillant à respecter
l’ordre des opérations de contrôle et la durée programmée pour chaque étape. Aussi, cette
mise en place doit être toujours précédée par une phase de préparation incluant l’étude de
l’environnement de l’entreprise, la détermination du périmètre de vérification et l’agencement
des ressources et des moyens pour assurer le succès de la mission.
2.1.2 Une démarche appropriée
L’étendue du périmètre de contrôle ainsi que l’importance des ressources humaines et
matérielles à investir dépendent largement des propriétés de l’entreprise auditée. La taille de
celle-ci, la complexité de sa structure organisationnelle et la performance de sa gouvernance
et de son management, détermine les caractéristiques de la mission du contrôle. En
conséquence, la nature de la missions et ses attributs peuvent varier d’une entreprise à une
autre cependant les fondements de la démarche resteront les mêmes.
2.1.3 Démarche pérenne
La mise en place des points de contrôles, des procédés préventifs et correctifs, se fait dans
une optique de continuité de la démarche dans le temps. Elle se fait dans une perspective de
17
pérennité de l’activité et de la vie de l’entreprise. Visiblement, la démarche contrôle interne
est une démarche de moyen et long terme.
2.1.4 Le changement et la rupture avec le passé
« Dans le cadre de la démarche de contrôle interne comme dans toute démarche systématique
d’entreprise, le changement est une préoccupation ou au moins un sujet fondamental de
discussion » 17
Le changement dans ce cadre signifie l’acceptation des acteurs de l’entreprise qu’un
changement incontournable et radical dans l’organisation interne et le fonctionnement de
l’entreprise risque de se produire. Cependant, tout acte de refus ou de résistance à ce
processus de changement est un phénomène humain et attendu.
Les mutations prévues concernent les outils et les techniques de travail (utilisation de
nouveaux logiciels), les méthodes de gestion (passage d’une gestion hiérarchique à une
gestion participative) et les valeurs de l’entreprise (transformer une culture de fermeture et de
cloisonnement à une culture d’ouverture et de partage).
La capacité de management à faire passer cette métamorphose dans le fonctionnement et
l’organisation au personnel de l’entreprise aura un effet très positif sur le processus de
contrôle interne. Ainsi, elle contribuera à une évaluation plus rationnelle des risques, une
sensibilisation aux impacts des risques sur les processus et une efficacité au niveau de
l’application des recommandations et de la mise en place des dispositifs de maîtrise.
2.2 Analyse de quelques modèles de la démarche de contrôle interne
2.2.1 Démarche de Benoît Pigé
La démarche de contrôle interne suit une logique universelle et unique reconnue par la plupart
des référentiels et des lois en vigueur.
Benoît Pigé dans son ouvrage « Audit et contrôle interne » propose la démarche suivante :
• La prise de connaissance de l’entreprise qui comprend la compréhension de
l’environnement (le secteur d’activité et la situation économique) dans lequel elle se
situe ainsi que l’identification des spécificités de l’entreprise (la structure
organisationnelle, la politique stratégique de l’entreprise, la position concurrentielle de
l’entreprise et l’actionnariat de l’entreprise)
17
Frédéric Bernard, Rémi Gayraud et Laurent Rousseau, « Contrôle interne », Ed.MAXIMA, Paris, 2006, p 303
18
• L’évaluation des risques particuliers qui peuvent résulter d’une situation financière,
d’une situation sociale ou des changements organisationnels internes
• L’évaluation du contrôle interne consiste à décrire les procédures (l’observation, les
entretiens avec le personnel de l’entreprise et la formalisation) vérifier l’adéquation
des procédures aux objectifs à atteindre (fixation des objectifs et mettre en œuvre les
moyens nécessaires) effectuer les tests d’application et d’efficacité des procédures de
contrôle interne.
• Effectuer les tests de validation du produit. (échantillonnage, validation intégrale)18
2.2.2 Démarche de contrôle interne de Frédéric Bernard
D’autres auteurs comme Frédéric Bernard ont décomposé la démarche du contrôle interne en
plusieurs phases. Toutefois, ils ont gardé les mêmes composantes et les mêmes outils au
niveau de leur démarche. La démarche proposée par cet auteur est décomposée en plusieurs
phases :
2.2.2.1 Phase d’analyse de l’existant et de réalisation des outils
Dans cette étape deux outils principaux sont développés :
• La cartographie des risques 19
: identification des risques majeurs et puis une
représentation graphique de la vulnérabilité de l’entité analysée. La cartographie
est obtenue à partir de la réponse des opérationnels aux questionnaires d’analyse
des risques
• Le plan d’action cadre général du plan destiné à améliorer la vulnérabilité aux
risques ainsi identifiés
2.2.2.2 Phase de mise en œuvre opérationnelle du dispositif du Contrôle
Interne
Cette phase consiste à documenter les nouveaux outils en rédigeant des modes d’emploi puis
de mettre en place pour les opérationnels des sessions de formation à l’utilisation de ces
outils.
On peut constater la divergence de forme des deux méthodologies précédentes mais une
convergence sur le fond.
18
Benoît Pigé « Audit et contrôle interne », Ed EMS, Paris, 2001, p210
19
Voir annexe (7)
19
3 Démarche classique adopté par les éditeurs de logiciels
de contrôle interne
3.1 Identification des processus
3.1.1 Définition 1
Yvon MOUGIN Consultant et Formateur à Cap Entreprise définit le processus comme un
ensemble de ressources et d’activités liées qui transforment des éléments entrants en éléments
sortant. Autrement dit, c’est une boite noire qui a une finalité (les données de sortie) et qui
pour atteindre cette finalité utilise des éléments extérieurs (données d’entrée) et les transforme
(en leur donnant une valeur ajoutée) par du travail et des outils (activités et ressources).20
3.1.2 Définition 2
Un processus est une succession d’activités à l’intérieur d’une organisation, s’enchaînant afin
de produire un résultat. Les applications de travail coopératif peuvent définir différents
processus en fonction de l’organisation et des outils mis en place.21
Pourtant, il faut faire la distinction entre le terme processus et le terme procédure qui signifie
une façon spécifiée d’exercer une activité.
L’identification des processus est la première étape dans la démarche de maîtrise des risques.
Elle aide à la compréhension des métiers de l’entreprise et contribue à la pérennisation de la
démarche de contrôle interne. Les objectifs de cette phase sont de construire une idée claire et
structurée des processus de l’activité, de décrire les processus et de collecter les informations
pour l’identification des risques et des contrôles prévus.
Les opérations de contrôle interne sont très liées à tous les niveaux d’activités de
l’organisation. L’ensemble de ses activités est constitué d’un nombre indéterminé de
processus. « Le contrôle interne n’est pas un événement isolé ou une circonstance unique
mais une ensemble d’actions qui se répandent à travers toutes les activités de l’entreprise.
Ces actions sont perceptibles à tous les niveaux et sont inhérentes à la façon dont l’activité
est gérée »22
20
http://www.knowllence.com/fr/publications/management_processus.pdf visité le 25/03/2009
21
. http://www.ordinal.fr/html/glossaire.htm visité le 25/03/2009
22 Coopers & Lybrand, « La nouvelle pratique du contrôle interne », Edition d’organisation, Paris, 1994, p 378
20
.
.
Processus
Activité
Procédure
Pyramide des niveaux de granularité 1
Macroprocessus
Processus Majeur
3.1.3 Cartographie des processus
Pour mettre en œuvre une démarche de contrôle interne, il est indispensable d’abord de
connaître et comprendre les activités, puis de définir les liens et les flux dynamiques entre ces
activités (les flux d’entrée et les flux de sortie)
Les différents niveaux de granularité de la cartographie des risques sont présentés dans le
schéma suivant :
3.2 Déclinaison de la stratégie en objectifs
Les objectifs expliquent la finalité du processus. Ils résultent également de la stratégie établie
et sont formalisés dans le cadre du processus de pilotage de l’entreprise. Chaque entreprise
par l’intermédiaire de son management détermine les objectifs et les stratégies pour les
atteindre. Ils peuvent être fixés pour l’organisation dans son ensemble ou dirigés sur des
activités particulières. Les objectifs fixés globalement au niveau de l’entreprise sont liés à des
objectifs plus spécifiques au niveau des « activités ». Les objectifs doivent être clairement
définis et découlent généralement des valeurs de l’entreprise et de sa stratégie globale.
Ces objectifs sont classés en 3 catégories :
• Des objectifs opérationnels : optimisation de l’utilisation des ressources économiques
de l’entreprise
• Des objectifs financiers : établissement des états financiers fiables et présentant une
image fidèle
• Des objectifs de conformité : conformité avec les lois et les réglementations en
vigueur
21
Pour illustrer la notion d’un objectif et ses caractéristiques, on peut faire référence à Alain
Gérard-Cohen qui dans son ouvrage « Contrôle interne et audit publics » parle de la
déclinaison d’une réflexion par objectifs : « …à travers une réflexion organisée, cohérente,
chiffrée, itérative, permettant tous les choix et arbitrages ( y compris politique), de façon
claire et transparente, garantissant ainsi une optimisation réaliste des moyens réaliste des
moyens et des ressources face à des besoins explicités et hiérarchisés. » 23
Aussi, il faut déterminer avec une précision significative, les moyens humains, financiers et
techniques nécessaires pour atteindre ses objectifs. Pour mesurer la performance des résultats
obtenus, il existe une multitude d’indicateurs qui sont définis selon la nature des objectifs et
d’autres facteurs.
3.3 Analyse des processus
L’analyse des processus est une étape majeure dans la démarche de contrôle interne.
D’une part, elle consiste à fixer les objectifs principaux du processus, soulever les facteurs
clés de succès du processus et les indicateurs clés de performance, encadrer le processus par
un début et une fin.
D’autre part, l’analyse des processus doit répondre aux questions : Qui fait (rôle)? Quoi
(tâche) ? Par quel flux informationnel ? (systèmes d’informations supports)
L’analyse des processus est une opération qui requiert un intérêt particulier de l’auditeur
puisque c’est à ce niveau qu’il peut prévoir l’existence d’un risque potentiel ou d’un point
faillible dans le processus. Ainsi, le degré de vigilance et de précision dans la conception et
l’analyse de ces processus permettra d’augmenter la valeur ajoutée de cette étape dans la
démarche du contrôle interne.
Exemple grille d’analyse des processus
Processus Objectifs Facteurs de
succès
Indicateurs de
performance
Rôles Tâche Systèmes
d’information
Niveau 1
Niveau 2
Niveau 3
23 Alain-Gérard Cohen, « Contrôle interne et audit publics », ed LGDJ, PARIS, 2005, p 183
22
3.4 Evaluation des risques
3.4.1 Notion de risque
Danger dont on peut jusqu’à un certain point mesurer l’éventualité, que l’on peut plus ou
moins prévoir. 24
Le risque est une perte potentielle, identifiée et quantifiable (enjeux), inhérente à une situation
ou une activité, associée à la probabilité de l’occurrence d’un événement ou d’une série
d’événements. 25
Menace qu’un événement, une action ou une inaction affecte la capacité de l’entreprise à
atteindre ses objectifs et en particulier altère sa performance.26
3.4.2 L’identification et les différentes catégories de risque
La démarche d’identification des risques se fait à partir des processus ou à partir d’une
nomenclature donnée :
La nomenclature d’un risque peut être structurée en cinq niveaux :
• Risques opérationnels
• Risques de système d’information
• Risques humains
• Risques légaux
• Risques externes (exogène)
Tout risque potentiel ou réel doit être recensé et étudié même si l’on considère qu’il est
minimisé par un dispositif de maîtrise approprié. Le risque se subdivise en 3 catégories :
• Le risque inhérent : c’est le risque d’apparition d’une erreur significative dans
l’organisation suite à une faute (volontaire ou non), ou une fraude
• Le risque de contrôle interne : c’est le risque que le système de contrôle présent dans
l’entreprise ne peut pas empêcher une inexactitude significative
• Risque de non détection ou le risque d’audit : le risque que l’audit ne permet pas de
détecter une inexactitude significative.27
24 Dictionnaire encyclopédique universel. Edition Précis1998. P1383
25 http://fr.wikipedia.org/wiki/Risque visité le 06/04/2009
26 Ernst&Young. « Elaborer une cartographie des risques opérationnels, dans le cadre des exigences de la future
directive Solvency II »
23
3.4.3 Processus et caractéristiques de la démarche d’évaluation des
risques
Toutes les organisations quelques soit leur taille, leur structure, la nature de leurs activités et
le secteur économique dans lequel elles évoluent, sont confrontées à des risques et ce à tous
les niveaux. L’ensemble de ses risques identifiés doit faire l’objet d’une évaluation fondée sur
l’appréciation de leurs conséquences potentielles et de leur probabilité de survenance.
Dans le même ordre, Sean Cleart et Thierry Malleret considère deux éléments essentiels pour
mesurer le risque : « Le risque est généralement quantifié en considérant deux éléments : la
probabilité qu’un événement survienne et son impact le cas échéant _habituellement exprimé
en termes d’impact financier et de coût d’opportunité. »28
L’optimisation de la maîtrise d’un risque suppose l’existence d’un système d’évaluation fiable
et pertinent. Une bonne évaluation d’un risque prend en considération sa nature différente et
ses spécificités par rapport aux autres risques. Tous les risques ne sont pas identiques, un
système efficace de gestion des risques est donc fondé sur la compréhension de l’étendue de
chacun d’entre eux, des circonstances dans lesquelles ils peuvent émerger et de leurs
conséquences éventuelles. 29
Pour élaborer une évaluation efficace des risques, le management de l’entreprise doit
déterminer les axes suivants :
• Une projection du risque dans l’horizon temporel pour mesurer le degré d’exposition
• Les dispositifs et les moyens disponibles destinés à faire face aux événements indésirables
qui pourraient se développer
• Une échelle de risque de référence unique et personnalisée aux spécificités de l’entreprise
utilisée pour juger l’exposition au risque
• Un repère permettant à l’entreprise d’avoir un point de comparaison et un outil de mesure
de sa performance.
27 Hugues Angot, Christian Fischer, Baudouin Theunissen. « Audit comptable, Audit informatique ». Edition: 3
De Boeck Université, 2004. p 304
28 Seán Cleary, Thierry Malleret Collaborateur Klaus Schwab, « Risques: Perception, Evaluation, Gestion ».
Editions Maxima. 2006. 253 pages
29 Seán Cleary, Thierry Malleret Collaborateur Klaus Schwab, « Risques: Perception, Evaluation, Gestion ».
Editions Maxima. 2006. 253 pages
24
3.4.4 Les critères d’évaluation de risque
3.4.4.1 La fréquence
La fréquence F représente le produit entre une probabilité et une fréquence d’exposition. La
probabilité correspond à la prévision que l’incident/accident se produise tandis que la
fréquence d’exposition donne une idée de la sollicitation de la mission susceptible de
provoquer le risque.
3.4.4.2 La détectabilité
La détectabilité D représente la capacité de l’organisme à détecter et à repérer les risques.
3.4.4.3 La gravité
La gravité (ou effet) G donne une indication des dommages et conséquences possibles en cas
de survenance de l’accident / incident.
3.4.4.4 La criticité
La criticité (C) reprend l’ensemble des critères précédant. Elle peut se calculer de différentes
manières. La plus courante consiste à faire le produit de la probabilité, de la fréquence, de la
détectabilité et de la gravité ; C = F x D x G
3.4.4.5 La maîtrise
La maîtrise M représente la capacité de l’organisme à gérer et à maîtriser le risque. Cette
maîtrise peut être appréhendée selon deux paramètres : la conscience ou non du risque ainsi
que l’existence ou l’inexistence de barrières.
3.5 Mise en place des activités de contrôle
3.5.1 Définition des activités de contrôle
Les activités de contrôle peuvent se présente comme une application des normes et procédures
qui assurent la mise en œuvre des orientations émanant du management. Ces actes permettent
de s’assurer que les mesures nécessaires sont engagées dans l’objectif de maîtriser les risques
susceptibles d’affecter la réalisation des objectifs de l’entreprise. Les activités de contrôle sont
réalisées à tous les niveaux hiérarchiques et fonctionnels.
« Partant, on prendra des dispositions pour limiter la survenance de ces risques ou en tout
cas pour en limiter les effets pervers : on appliquera donc des normes, des procédures, on
25
approuvera, autorisera, vérifiera, rapprochera, appréciera tout ce qui doit l’être ou plutôt
tout ce qui vaut la peine de l’être. Les activités de contrôle constituent ainsi le troisième étage
de la fusée.»30
Il existe de nombreux types d’activités de contrôle, qu’il s’agisse de contrôles orientés vers la
prévention ou vers la détection, de contrôles manuels ou informatiques ou encore de contrôles
hiérarchiques. Parmi les activités de contrôle, on peut souligner :
• Les analyses exécutées par le management
• Gestion des activités ou des fonctions
• Traitement des données
• Contrôles physiques
• Indicateurs de performance
3.5.2 Détermination des points de contrôle et des actions de maîtrise
Après l’étape de l’évaluation des risques en combinant plusieurs éléments pour le calcul de la
criticité et de l’impact, il est temps de décrire des points de contrôle et de mettre en place des
actions préventives (actions permettant de maîtriser les effets du risque avant son apparition)
et correctives (actions permettant de contrôler le risque après son apparition).
Les expériences vécues dans le domaine du contrôle interne ont démontré que les actions
préventives sont les plus efficaces et elles permettent de minimiser le coût du risque.
Cependant, la mise en place des actions préventives suppose une connaissance avancée du
risque potentiel, de sa nature et de son étendue, ce qui n’est pas toujours le cas. Ajoutant à
cela, le fait que la plupart des risques majeurs s’avèrent fatales à cause de leur non
détectabilité. Quant aux actions correctives, elles sont plus couteuses puisqu’elles
interviennent après la survenance du risque en essayant de limiter les dommages causés par ce
dernier. Le point de contrôle correctif reste le plus évident à établir et à mettre en œuvre
puisqu’il touche, à l’inverse de l’action préventive, à des éléments tangibles du risque.
30 Étienne Barbier. « MIEUX PILOTER ET MIEUX UTILISER L'AUDIT ». Editions Maxima, 1998. p 124
26
Partie (2) : Le Contrôle Interne Assisté par Ordinateur
1 Introduction au Contrôle Interne Assisté par Ordinateur
1.1 Le concept
Aujourd’hui, l’intégration de l’informatique dans tous les domaines de la gestion et dans tous
les secteurs économiques et financiers n’est plus qu’une question de temps. L’industrie, la
finance ou la télécommunication ont déjà réalisé la nécessité de développer leurs systèmes
d’information et de les mettre au centre de développement durable.
Au début, le rôle de l’informatique était d’abord d’effectuer des opérations de calcul très
complexes que le cerveau humain ne pouvait pas effectuer avec la vitesse et la précision de
l’ordinateur. Ainsi, l’évolution de l’ordinateur dépend tout d’abord de l’évolution de sa
capacité de calcul. Un ordinateur est d’abord un outil d’exécution, il traduit les données
saisies en fonction d’un modèle préprogrammé par l’utilisateur dans le but d’arriver à un
résultat précis.
La notion de l’assistance par ordinateur constitue une rupture avec l’idée conçue de la
fonction de cet outil. Désormais, l’application informatique à un nouveau rôle : orienter et
assister l’utilisateur dans la réalisation d’une tâche ou d’une activité quelconque.
Pour essayer d’éclaircir la notion du contrôle interne assisté par ordinateur, il faut expliquer
d’abord la notion de l’assistance :
Assister 31
:
V.t. assister (lat. assistere, se tenir auprès)
1. Porter aide ou secours à qqn: La mairie assiste les familles
démunies (secourir; délaisser, négliger).
2. Seconder qqn: L’apprenti assiste le chef dans la confection de ce gâteau (aider). v.t. ind.
1. Être présent à; participer à: Assister à un spectacle de danse (voir; manquer).
2. Être le témoin de; constater: On assiste à une baisse continue du chômage.
Assister32
:
[asiste]. [1] Etre présent. 2. Aider, seconder quelqu’un. Tech : équiper d’un dispositif
d’assistance. Aide apporter à qqn. Demander, porter assistance à un ami.
31 http://fr.thefreedictionary.com/assister visité le 15/04/2009
32 Dictionnaire encyclopédique universel. Edition Précis1998. P1383
27
Assistance : 1.assemblée, auditoire. 2 Tech : dispositif capable d’amplifier un effort manuel
et de le transmettre à un mécanisme
Assisté : Tech. Muni d’un dispositif d’assistance. Direction assistée. Freinage assisté.
L’ensemble des définitions qui existe pour le verbe « assister » ou le mot assistance répète
toujours des mots clés comme l’aide, la présence et le dispositif d’assistance. Ces mots
récapitulent d’une manière générale l’objet et les objectifs du concept Contrôle Interne
Assisté par Ordinateur.
Les applications informatiques de l’audit interne et particulièrement du contrôle interne
tournent autour des 3 objectifs suivants :
• Aider et orienter l’utilisateur dans sa démarche du Contrôle Interne
• Assurer la continuité et la pérennisation de la démarche dans l’organisation
• Constituer une référence de base pour l’organisation
Ainsi, on peut construire une définition globale pour le « Contrôle Interne Assisté par
Ordinateur » par l’accumulation de toutes les interprétations précédentes :
Le Contrôle Interne assisté par ordinateur est l’utilisation de l’outil informatique pour
aider, orienter et pérenniser la démarche de contrôle interne dans une organisation en
mettant en place un ensemble de dispositifs ayant pour but, d’un coté d’assurer la
protection du patrimoine et la qualité de l’information dans l’entreprise, de l’autre ,
d’assurer l’application des instructions de la direction et de favoriser l’amélioration des
performances.
1.2 Les objectifs du Contrôle Interne Assisté par Ordinateur
1.2.1 Aider et orienter l’utilisateur dans sa démarche du Contrôle Interne
Les logiciels informatiques de contrôle interne ont comme objectif principal d’assister
l’auditeur interne ou le responsable du contrôle interne d’une entreprise à réaliser sa mission
d’audit dans les meilleures conditions possibles. La plupart de ces logiciels ont pour point
commun l’existence d’une base de données préétablie et qui est bien adaptée au secteur
d’activité de l’entreprise ou le domaine de contrôle. Cette adaptation permet à l’auditeur de se
situer à chaque fois par rapport à une référence ou un listing de normes réglementaires.
Surtout avec l’existence de plusieurs domaines et de secteurs d’application de contrôle
interne.
28
1.2.2 Assurer la pérennisation de la démarche du contrôle interne et de
ses dispositifs dans le temps
Le contrôle interne assisté met à la disposition de l’auditeur une sélection de fonctionnalités
qui lui permet de sauvegarder et d’archiver l’ensemble de ces travaux réalisés au cours de sa
mission d’audit. Ces données sauvegardées peuvent être utilisées et exploitées dans la suite
des travaux de contrôle et la mise en place de plan d’action. Voire, elles peuvent servir pour
les futures missions de contrôles. En fait, aucun document de contrôle interne n’est détérioré
ou perdu. Aussi, l’auditeur à la possibilité de revoir l’historique et le développement des
indicateurs de risque et de maîtrise sur plusieurs périodes.
L’ensemble de ce système de solutions motive les acteurs de contrôle interne pour élargir et
assurer la continuité de la démarche de contrôle interne. Ce qui n’est pas le cas pour les PME
actuellement dans le cas d’un contrôle ne faisant pas appel à cet outil. Ces dernières ne
disposant pas des moyens humains et matériels pour assurer la pérennisation de contrôle
interne dans l’organisation.
1.2.3 Constituer une référence de base pour l’organisation
Les logiciels de contrôle interne peuvent constituer une référence de base soit pour le contrôle
interne soit pour la gestion de l’entreprise. Grâce à un ensemble de moyens de modélisation
graphique et logique des procédures qui permet au personnel de revoir les méthodes
appliquées pour la réalisation d’une activité donnée et la connaissance des dispositifs de
contrôle prévus pour les risques de l’organisation. En plus, la plupart de ces logiciels assistent
le management pour établir les tableaux de bord, les fiches de poste (suivi de l’écart profil-
compétence). Finalement, ils constituent un lieu de stockage de la plupart des documents
internes de l’entreprise (rapport de gestion, rapport financier, statuts, réglementation de
secteur, documents statistiques,…) puis il autorise leur liaison avec une activité ou une tâche
donnée.
29
1.3 Les logiciels du contrôle interne sur le marché
Le logiciel Principaux clients Fonctionnalités Points forts
VALDYS
=>Piloter et modéliser le
contrôle interne et
maîtriser les risques
opérationnels
• Groupe Taitbout
• Mut’Est
• Le cabinet de conseil
R & B Partner
• AXIEM
• Documentation et formalisation
des processus et des risques
• Formalisation du référentiel de
contrôle
• Croisement des points de
contrôle avec les processus
• Génération des tableaux de
contrôle et des documents
d’audit
• Traçabilité du contrôle interne
• Plan d’action et suivi des
résultats
• Forte capacité de modélisation
• Souplesse d’utilisation
• Granularité très fine
• Conformité avec Solvency II et
exigences de l’ACAM
• Paramétrage selon le métier de
l’entreprise
Frontcontrol
=>Assurer la cohérence du
dispositif de contrôle
interne et les mécanismes
d’autoévaluation)
• La poste
• Groupama banque
• Macif
• Banque PSA Finance
• Cartographie du contrôle interne
• Génération des formulaires de
contrôle
• Collecte d’informations
• Identification des plans d’action
et mise à jour de la cartographie
• Reporting
• Conformité avec la loi
Sarbanes Oxley et la Loi de la
Sécurité Financière
• Aide à la rédaction du rapport
de contrôle
• Evolutif
Enablon Internal Control
=> Une solution de gestion
et de pilotage de contrôle
interne considérée comme
l’une des solutions de
référence du marché.
• Auchan
• IONIS
• Evaluation des contrôles
• Testing
• Reporting
• Capitalisation et partage des
travaux d’analyse
• Un référentiel centralisé
• Un module de gestion et de suivi
des opérations
• Conformité avec la loi
Sarbanes Oxley et la loi de la
sécurité financière
• Grilles d’évaluation
personnalisées aux profils des
entités
• facilité d’emploi, son
architecture
30
• Tableaux de bords
• Analyse croisée dynamique des
procédures
• sa gestion décentralisée et son
multilinguisme
ISIMAN
=> créer un référentiel de
contrôle interne et le
déployer au sein de
l’entreprise
• Agence Française de
Développement
• AGIRC-ARRCO
• Banque de Gestion
Edmond de
Rothschild Monaco
(BGER)
• Groupe Crédit
Mutuel : Fédéral
Finance
• Groupe Malakoff
Médéric
• IRP Auto
PRO BTP
• Rattachement contrôle et risque
ou objectif
• Définition des contrôles de
niveau 1 et 2
• Orchestrer la distribution des
fiches de contrôle dans le temps
et dans l’organisation
• permettre les contrôles de
contrôles
• Formulaire des
recommandations et des actions
de suivi
• Saisir les résultats des
contrôles en mode déconnecté
et ensuite de les importer en
une seule opération dans la
base de données
• Conformité avec Bâle II,
Solvency 2 et ACAM
• Facilité d’utilisation et
compatibilité avec Windows et
Lunix
31
2 Avantages et limites du Contrôle Interne Assisté par
Ordinateur
2.1 L’apport de Contrôle Interne Assisté par Ordinateur
2.1.1 Accélération de la mise en œuvre du processus de contrôle
interne
Parmi les avantages principaux des logiciels de contrôle interne, le gain de temps énorme
dans la réalisation du processus d’audit et de pilotage des missions de contrôle.
Subséquemment, on assiste à une concurrence très motivée entre les différents éditeurs pour
proposer des produits de plus en plus efficaces et performants permettant d’économiser
toujours plus de temps de travail de management. En vérité, ces éditeurs ont vite compris que
le temps pour l’entreprise est une matière rare et couteuse. Plus le logiciel est facilement
exploitable et permet d’automatiser plus d’opérations manuelles plus l’utilisateur de logiciel
est satisfait. Alors, comment le Contrôle Interne Assisté par Ordinateur permet-il d’accélérer
le processus du Contrôle Interne ?
2.1.2 L’existence d’une base de référence dans le domaine d’activité de
l’entreprise
Concrètement, pour comprendre cet avantage, il faut remonter à la fonction d’assistance et
d’orientation de l’auditeur. Le Contrôle Interne Assisté par Ordinateur profite d’une base de
référence conforme aux normes et à la législation en vigueur liés à un secteur d’activité donné
(exemple : industrie nucléaire, assurance et mutualité, distribution, etc.) et qui remplace le
recours automatique à la documentation manuelle (ouvrages, documents internes, internet,
etc.).
En recourant à cette solution, un auditeur débutant ou expérimenté économise beaucoup de
temps de recherche et de réflexion pour adapter la mission de contrôle à la nature d’activité de
l’entreprise. La viabilité de cette attribution est ressentie surtout à la phase d’identification des
risques et de définition des points de contrôle.
32
2.1.3 La génération automatique des documents de contrôle
La génération automatique de certains documents de base pour la réalisation d’une mission de
contrôle interne est une fonction clé et une condition nécessaire pour les clients de ce type de
logiciel. Cette génération automatique des documents permet une sélection, un tri et une
extraction des données liées à un document concernant une étape spécifique de la démarche
d’audit interne. Tout de suite, l’application injecte ces données dans le document à générer en
évitant de cette manière d’effectuer des opérations de recherche et de calcul manuellement.
Ainsi, les développeurs ont établis de grands efforts pour automatiser la génération d’un
nombre considérable de documents d’audit, parmi lesquels je souligne :
• Fiches d’audit
• Cartographie des risques
• Tableaux de bord
• Plans d’action
• Tableaux de contrôle
• Rapport du contrôle interne
• Tests d’audit …
2.1.4 Le croisement des données
L’opération de croisement de données permet de détecter les écarts et les anomalies de la mise
en œuvre entre différents niveaux et étapes de contrôle laissant ainsi la possibilité à l’auditeur
de rectifier les erreurs de conception et d’estimation commises auparavant (exemple
croisement des points de contrôle avec les tâches de contrôle)
Cette fonction caractérise quelques logiciels des plus performants sur le marché. Le choix de
mettre cette option dans une application demande beaucoup de vigilance et d’effort au niveau
de programmation. Aussi, l’introduction de cette option nécessite de l’utilisateur une
précision particulière dans le choix et l’établissement de sa terminologie de contrôle interne
afin de surmonter le risque de confusion et de mauvaise interprétation par le programme
informatique.
2.1.5 Partage et capitalisation des données de contrôle interne
Aujourd’hui grâce aux réseaux informatiques, la communication des informations et des
données est devenue une opération simple et de routine pour le personnel d’une entreprise. Il
33
lui suffit juste d’une connaissance limitée pour pouvoir partager tous les données concernées
en quelques minutes.
Dans ce cadre, le Contrôle Interne Assisté par Ordinateur permet de répondre aux besoins des
auditeurs, de partager un ensemble de références et de données entre plusieurs services au sein
de la même structure ou bien entre un ensemble de sites situés à des endroits espacés. Les
logiciels existants sur le marché exploitent les réseaux informatiques internes de la firme pour
exécuter un ensemble d’opérations de communication électroniques évitant de cette façon le
déplacement, le risque de perte des documents papiers lors de leur envoi et le gaspillage de
temps nécessaire à leur transfert.
Parmi les avantages de partage des données entre différentes cellules dans la même structure
ou entre plusieurs structures :
• Actualisation des données instantanément pour tous les postes liés à la source
permettant ainsi d’empêcher les conflits liés au retard de transmission des informations
et de garder tous les auditeurs à jour
• Plusieurs utilisateurs peuvent travailler sur la même mission en même temps ou à des
moments différés à partir de plusieurs emplacements
• Possibilité aux auditeurs (selon les droits attribués) de porter des modifications sur la
base de données centrale et à porter son avis sur des modifications effectuées par
d’autres auditeurs
2.1.6 La cohérence du dispositif de contrôle interne
2.1.6.1 Cohérence par rapport aux référentiels
La complexité de la réglementation et la législation actuelle au niveau national, européen et
international impose aux auditeurs de respecter des référentiels strictement définis et en même
temps d’être en conformité avec un nombre de normes de pratiques d’audit interne.
L’ensemble des logiciels de contrôle interne est en conformité avec une ou plusieurs lois dans
le domaine, comme par exemple :
• Loi de la sécurité financière
• Loi Sarbanes Oxley
34
• Solvency II
• COSO
• Bale II
Ces logiciels proposent ou obligent l’utilisateur à respecter une norme ou une loi donnée en
limitant la marge de manœuvre de l’utilisateur ou en interdisant quelques modifications qui ne
sont pas en conformité avec les réglementations du secteur.
2.1.6.2 Cohérence par rapport à la démarche du contrôle interne
L’exécution d’une mission de contrôle interne est un enchaînement de phases (voir partie 1
point B: la démarche du contrôle interne) dont chaque phase correspond bien à un panel
d’opérations de contrôle. L’ordonnancement de ces phases obéit à une logique précise et en
aucun cas ces phases ne peuvent être réorganisées. Cette consigne est respectée à la lettre
parce que d’abord la démarche de contrôle interne est conduite par l’application informatique
selon un plan bien défini et les étapes sont effectuées et réalisées selon un enchaînement
préétabli.
2.1.6.3 Cohérence entre les utilisateurs du logiciel
La cohérence dans la conception des procédures, ainsi que dans l’analyse et les critères
l’évaluation doit être respectée par tous les auditeurs. On ne peut imaginer deux méthodes
d’évaluation distinctes pour un risque de même nature. Subséquemment, deux plans d’actions
ou deux tâches de contrôle en contradiction ne peuvent jamais être établis pour deux risques
identiques. Pour faire face à ce problème, le Contrôle Interne Assisté par Ordinateur permet
de mettre tous les utilisateurs sur la même onde. Ainsi, tout conflit ou contradiction est
détectable par le système et peut être signalé à l’instant même de sa manifestation.
2.1.7 Pertinence des mécanismes d’évaluation des risques
Le Contrôle Interne Assisté par Ordinateur procure une solution adéquate pour pouvoir
réaliser une évaluation de risque pertinente. Tout d’abord, le système demande de déterminer
une échelle de référence sur les critères et les méthodes d’évaluation des risques adoptée par
le management et le Conseil d’Administration. Cette base sera exploitée et respectée tout au
long de la démarche d’audit. A chaque fois que l’auditeur intègre des données liées à la
cotation d’un risque, l’ordinateur lance un message de rappel de cette base de référence ou
bloque l’entrée de certaines données incohérentes de cette base initiale. Aussi, elle contraint
l’utilisateur à respecter la démarche conçue pour l’évaluation même pour les risques qui
35
semblent non significatifs par rapport aux autres. En effet, cette option permet de détecter des
risques considérés acceptables mais qui s’avèrent après la phase de cotation très signifiants.
Exemple :
Un auditeur fait le choix de l’échelle de cotation suivant :
Détectabilité (D) de 1 à 5, Gravité (G) de 1 à 4 et Criticité (C) de 1 à 5
C = D*G*C
L’ordinateur ne reconnaît pas alors une évaluation de D=6, G=5 et C=3 est lance un message
d’erreur
Le calcul de la criticité est automatique seulement si on respecte les critères d’évaluation
choisis.
2.1.8 Aide à la rédaction du rapport de contrôle interne
A l’issue d’une mission de contrôle interne, les auditeurs établissent un rapport de contrôle
dans lequel ils présentent le travail de contrôle effectué à toutes les phases d’audit, leurs
constations et les recommandations à suivre dans les prochaines étapes.
La loi n°2003-706 du 1er
août 2003 dite loi de Sécurité Financière impose au président du
Conseil d’Administration ou de Conseil de Surveillance de rendre compte, dans un rapport
joint au rapport de gestion annuel, des conditions de préparation et d’organisation des travaux
du conseil, ainsi que des procédures de contrôle interne mises en place par la société33
.
Initialement appliquée à toutes les sociétés anonymes, l’obligation d’établir ce rapport a été
ensuite limitée aux seules sociétés faisant appel public à l’épargne34
.
Le rapport de contrôle interne permet à l’entreprise d’avoir une image réelle sur le degré de
maturité de ses contrôles et ainsi de traiter les risques associés. Les logiciels de contrôle
interne présentent un moyen efficace pour minimiser les coûts et le temps de réalisation du
rapport.
Ces logiciels permettent alors de :
• Collecter et trier toutes les informations nécessaires à l’établissement du rapport en se
référant à la base de données déjà existante.
33 Article 117 de la loi modifiant les articles L. 225-37 et L. 225-68 du code de commerce
34 Loi n°2005-842 du 26 juillet 2005 pour la confiance et la modernisation de l'économie (loi Breton)
36
• Donner le choix à l’utilisateur de faire figurer ou non un nombre d’éléments du rapport
selon l’importance de ces derniers pour les organismes de contrôle
• Automatiser les calculs et la mise en forme des résultats obtenus
• Permettre une mise à jour automatique du rapport après chaque modification
• Permet d’avoir une idée générale sur l’avancement du travail à chaque étape de réalisation
du rapport.
2.1.9 Pérennisation de la démarche d’audit
La mise en place d’un système de contrôle interne est une opération qui ne se limite pas à la
durée de la mission de contrôle mais elle continue tout au long de la vie de l’entreprise. En
effet, l’auditeur interne est amené à mettre à jour l’évaluation des risques continuellement, à
suivre l’application et la mise en œuvre des recommandations et à développer des activités de
maîtrise, etc. Le changement de l’environnement et la métamorphose des risques sont les
causes principales de cette mobilisation continue.
Dans ce cadre, la valeur ajoutée du Contrôle Interne Assistée par Ordinateur est de pouvoir
actualiser les données d’une manière automatique sans être obligé de refaire les même travaux
à chaque nouvelle mission d’audit et de historier les changements périodiques à l’aide du
logiciel. Par ailleurs, il donne la possibilité de suivre et d’observer les évolutions des risques
et des contrôles en temps réel. De cette façon, l’utilisateur peut modifier les caractéristiques
d’un risque ou d’un point de contrôle à chaque fois que la situation l’exige. Cette option
allège le travail de l’auditeur puisqu’elle permet de partager l’effort réalisé sur toute l’année et
évite ainsi une accumulation du travail sur une période particulière.
2.2 Les limites du Contrôle Interne Assisté par Ordinateur
2.2.1 Rigidité partielle
La fonction principale des logiciels de contrôle interne « assistance de l’auditeur dans sa
démarche de contrôle interne » entraîne un déséquilibre entre d’une part la volonté d’une
formalisation excessive des procédures des activités de l’entreprise et d’autre part l’utilisation
adaptée des techniques d’audit interne.
En effet, le développeur cherche à limiter la marge de manœuvre de l’utilisateur par le
blocage de centaines de fonctionnalités et l’interdiction d’accès à d’autres, afin de le
contraindre à rester en conformité avec les lois et les normes en vigueur. En conséquence, les
37
utilisateurs ont tendance à renoncer à un nombre de constatations ou d’observations dans la
mesure où ils n’arrivent pas à les introduire dans le système informatique.
Ainsi, les utilisateurs seront obligés de respecter la méthode d’audit proposée par le système
et d’abandonner toute démarche appropriée à l’auditeur ou déjà utilisée par l’entreprise dans
les missions précédentes.
2.2.2 Maîtrise limité des fonctionnalités du logiciel
Pour bénéficier de toutes les fonctionnalités d’une application de contrôle interne, l’utilisateur
doit avoir des compétences avancées en informatique et une bonne compréhension de
l’architecture du logiciel. Cette qualité lui autorise une exploitation maximale des outils que
procurent le logiciel et une optimisation des résultats recherchés.
Ces connaissances ne se limitent pas seulement à l’application de contrôle interne mais doit
porter aussi sur d’autres outils comme les outils bureautiques, la gestion des bases de données
et l’architecture des réseaux informatiques. En fait, la plupart des logiciels de contrôle interne
font appel à d’autres ressources externes pour alimenter et réaliser des opérations de calcul
(exemple : Word pour génération des documents, Excel pour les calculs complexes et les
graphiques, Access ou MySQL pour la gestion des bases de données, Internet explorer pour la
lecture des pages HTML).
Afin de surmonter cet obstacle, les éditeurs de logiciels proposent des modules de formation
pour leurs logiciels et une assistance à distance pendant la durée de l’utilisation des contrats.
Dans le même but, ils incluent dans leurs applications des outils d’aide et des exercices
pratiques pour améliorer et répondre aux questions des utilisateurs.
2.2.3 Les erreurs informatiques
A l’instar des autres applications, les logiciels de contrôle interne présentent quelques points
de défaillance qui peuvent nuire à l’utilisateur et l’empêcher de réaliser quelques opérations
d’entrée de données, de traitement ou de génération de documents. Ces problèmes sont
généralement dus à des erreurs de programmation ou de conception. Parmi les erreurs les
plus courantes :
• Erreurs d’incompatibilité avec d’autres logiciels ou systèmes d’exploitation
• Les bugs qui résultent souvent des erreurs de programmation comme les erreurs dans
une formule de calcul ou des messages non compréhensibles.
38
• Erreurs d’installation de l’application sur un poste informatique et erreurs de
paramétrage
• Erreurs dans la définition des droits d’accès et de modification
• Non respect de certaines normes de sécurité de réseau
La grande partie de ses problèmes est expliquée par la nouveauté de ces logiciels sur le
marché. Ainsi, les développeurs sont toujours en veille pour corriger ces défauts
informatiques par des mises à jour régulières dans le cadre de développement de logiciel ou
suite à une signalisation d’utilisateur. Néanmoins, les anciennes solutions sur le marché
bénéficient toujours d’un pas d’avance par rapport aux autres grâce à une expérience
accumulée dans ce domaine.
2.2.4 Dépendance
Le recours au Contrôle Interne Assisté par Ordinateur ne remplace jamais l’esprit analytique
et critique de l’auditeur ainsi que sa rationalité dans l’évaluation des risques. Il fait appel
aussi à sa capacité créative et à son instinct d’auditeur. Cependant, l’utilisation continue et
permanente de cet outil peut stimuler une dépendance relative à cet outil et entraîner alors une
influence notable sur les choix et les analyses de l’auditeur.
En plus, l’existence d’une base de données initiale liée à la nature de l’activité de l’entreprise
implique une tendance de l’utilisateur à adopter des solutions prêtes au lieu de faire l’effort
d’une analyse structurée. Pourtant, les solutions préexistantes dans la base de données ne
s’appliquent pas toujours à l’organisation auditée.
2.2.5 Gestion de temps irrationnelle
Le Contrôle Interne Assisté par Ordinateur demande beaucoup d’investissement en matière de
temps. Les premiers mois sont les plus dures, et l’utilisateur à l’impression que le travail
avance très lentement. Cela n’a rien d’étonnant, c’est tout-à-fait normal que dans les premiers
mois on démarre très lentement puisque c’est la période de formation et de découverte du
logiciel. L’utilisateur rencontre alors un grand nombre de blocages techniques et
d’incompréhensions surtout au niveau de la logique de modélisation graphique.
En réalité, ce sont les premiers mois seulement qui consomment beaucoup de temps parce que
c’est une période d’adaptation et de conception. Après cette phase, l’accélération des
procédures de mise en place est remarquable, les phases d’analyse des risques, de
développement des activités de contrôle et le suivi des plans d’action prennent moins de
39
temps. L’évolution de la mise en place du Contrôle Interne Assisté par Ordinateur dans l’axe
temps suit une courbe exponentielle.
Graphe représentant l’évolution de la mise en place de CIAO en fonction du temps
2.3 Les clés de réussite d’un projet de Contrôle Interne Assisté par Ordinateur
La réussite de l’introduction du Contrôle Interne Assisté par Ordinateur dans une
organisation passe d’abord par un ensemble de dispositions et de pré-requis :
• Une organisation comportant une définition claire des rôles, disposant des moyens
nécessaires et des compétences adéquates et s’appuyant sur des systèmes d’information
efficaces, sur des procédures ou modes opératoires, des instruments et des dispositifs
adaptés.
• Une communication interne pertinente, fiable et efficace qui permet à chacun d’exercer
ses responsabilités sans confusion ni désordre.
• L’existence d’un système permettant de recenser, d’évaluer et d’analyser les principaux
risques identifiables, de réaliser les objectifs de l’organisme et de s’assurer de l’existence
des procédures de maîtrise de ces risques.
• L’existence des activités de contrôle proportionnées aux risques liés à chaque processus,
et conçues pour s’assurer que les mesures nécessaires soient prises en vue de maîtriser les
risques susceptibles d’affecter la réalisation des objectifs.
• Une surveillance permanente portant sur le dispositif de contrôle interne ainsi qu’un
examen régulier de son fonctionnement.
Phase 1
Phase 2
Phase 3
Avancement
de mise en
place de CI
Temps
40
3 Etude de cas logiciel Valdys
3.1 Présentation du logiciel
3.1.1 Fonctions majeurs et apport du logiciel
Désormais, les sociétés d’assurances et les mutuelles (compagnie, mutuelle ou institution de
prévoyance) sont soumises à une réglementation stricte qui leurs impose des connaissances
particulières en contrôle interne et une maîtrise totale des risques opérationnels y compris les
risques financiers. En effet, le second pilier de la directive Solvabilité 2 oblige les entreprises
du secteur des assurances à mettre en œuvre des actions de contrôle interne et de management
des risques qui nécessitent le recours à une méthodologie structurée et à des savoirs-faires
innovants en contrôle interne.
Dans ce cadre, Effisoft (éditeur de solutions informatiques de gestion) a développé
l’application Valdys : outil structurant permettant de piloter et de modéliser le contrôle
interne. Il apporte une connaissance exhaustive et une maîtrise totale des risques
opérationnels liés à la société relevant du contrôle de l’ACAM.35
Valdys permet d’une part de mettre en œuvre le référentiel de contrôle interne en décrivant et
en formalisant les processus et les risques au sein d’une démarche structurante intégrant les
spécificités des métiers de l’assurance (IARD, santé, prévoyance, retraite, …). Aussi, il
intègre la fonction d’évaluation des risques, d’identification des points de contrôle et de leurs
croisements avec les processus de l’entreprise. Il permet de générer les tableaux de contrôle
interne et les documents d’audit (fiches de contrôles, fiches de tests, plannings d’audit,
tableaux de synthèse) ainsi que tous les livrables réclamés dans le cadre du contrôle
permanent de l’ACAM.
D’autre part, il permet de diffuser le référentiel de contrôle interne et la déclinaison
opérationnelle des points de contrôle en générant automatiquement sous forme de documents
électroniques, documents papiers ou pages web intranet, les processus, les procédures,
l’analyse des risques et les plans d’action et de suivi pour faciliter la diffusion des
informations à tous les acteurs concernés.
Les fonctionnalités de cet outil sont en général les objectifs concernant le Contrôle Assisté
par Ordinateur à savoir :
• La réduction du temps de mise en place d’un système de contrôle interne
35 http://www.valdys.com/Pages/Solutions/Solutions.aspx?Action=Valdys
41
• La sauvegarde et l’archivage des résultats obtenus à un moment donné dans l’objectif
de la traçabilité de la démarche
• La génération automatique d’un ensemble de documents d’audit et du rapport de
contrôle interne
• La conformité aux contraintes liées à Solvabilité 2
• L’économie de ressources matérielles et humaines
• L’assistance en ligne et l’accompagnement technique et professionnel
3.1.2 Caractéristiques techniques
Valdys est une solution qui n’est pas très exigeante en performance matérielle des ordinateurs
ou des serveurs de réseau. Cette caractéristique renforce son apport en tant que solution
économique pour l’entreprise. De ce fait, les clients ne sont pas amenés à avoir des
équipements de haute performance pour le mettre en route.
Selon les besoins, Valdys peut être installé en client lourd ou léger. Autre avantage, sa
compatibilité avec toutes les bases de données du marché (Access, MYSQL,…).
La configuration requise est la suivante :
• Espace disque nécessaire : 50Mo
• Mémoire : 1Go
• Processeur : Pentium III ou supérieur
• OS : Windows, Windows NT4 SP6, Windows 2000 SP3, Windows XP
• IE 5.1 ou supérieur
En revanche, certaines défaillances de ce logiciel ont été soulevées :
• L’installation du logiciel nécessite des connaissances informatiques très avancées. Ces
difficultés sont surtout dues à des mesures très strictes contre le piratage du logiciel.
• Nombre considérable d’erreurs et de bugs informatiques
• Incompatibilité avec la dernière version de Windows (Vista) et la dernière version
Office 2007, pour contourner ce problème l’éditeur propose pour ces clients dotés de
ce type de système d’exploitation ,des mises à jour.
• L’édition du rapport de contrôle interne demande encore des efforts considérables de
l’utilisateur pour l’adapter aux exigences de l’ACAM.
42
3.2 L’architecture de Valdys
3.2.1 Présentation de l’arborescence de Valdys
Globalement, le logiciel est conçu sous forme d’une arborescence constituée de plusieurs
niveaux. Chaque niveau présente un angle de vue particulier sur le système de contrôle interne
paramétrable selon la phase de contrôle à réaliser. Les informations générées lors de
l’utilisation de Valdys sont enregistrées dans une base de modélisation représentée par un ou
plusieurs fichiers.
Schéma de l’architecture globale de la base de données
3.2.2 Le projet, le point de vue et le modèle
3.2.2.1 Le projet
Le premier niveau de structuration de la base de modélisation est le Projet. Il est possible de
modéliser différents projets au sein d’une même base. Un projet est un ensemble homogène
de points de vue et qui vise à réaliser les objectifs définis de contrôle interne. C’est le niveau
le plut haut des niveaux de conception d’une base de contrôle interne. Il est composé d’un ou
Bas de données CI
Projet 1
Projet 2
Projet 3
Projet 4
Point de vue 1
Point de vue 2
Point de vue 3
Point de vue 4
Modèle 1
Modèle 2
Modèle 3
Modèle 4
43
plusieurs points de vue jugés pertinents pour la structuration du référentiel de contrôle
interne36
. Il est possible de modéliser différents projets au sein d’une même base.
Exemple de projet: « Création de base de contrôle interne pour une mutuelle ».
3.2.2.2 Le Point de Vue
Ensemble de modèles identiques ou différents s’inscrivant dans un projet et décrivant un
éclairage particulier sur l’objet de la modélisation. Exemples : processus de pilotage,
processus cœur de métier, etc.37
Les Points de Vue permettent d’exprimer différentes dimensions complémentaires :
o Complémentarité dans le temps (un point de vue actuel, un point de vue cible)
o Complémentarité dans l’organisation (un point de vue interne, un point de vue
externe)
o Complémentarité dans l’espace (un point de vue central, un point de vue local)
Un Point de Vue s’exprime à travers un ou plusieurs Modèles.
3.2.2.3 Le Modèle
Ensemble de cadres, de règles de construction et d’outils d’édition offrant une représentation
structurée38
.Chaque modèle relève d’un type de modèle qui précise les concepts manipulables
dans celui-ci. Par exemple, un modèle de type Arbre des Missions permet de manipuler le
concept de mission et les liens permettent de structurer une décomposition de missions en
sous missions, sous-sous-mission, etc.
D’une manière générale, un Modèle est un graphe composé de nœuds et de liens, qui
représentent des concepts manipulables. Ces nœuds et liens manipulés par les différents
éditeurs de modèles sont donc les représentants graphiques des concepts qui sont stockés dans
le Dictionnaire d’éléments. Ce dernier est propre à un Projet et il est partagé par tous les
Points de Vue et Modèles d’un seul et même Projet.
36 Annexe 1 « Lexique Valdys »
37 Annexe 1 « Lexique Valdys »
38 Annexe 1 « Lexique Valdys »
44
3.3 Le projet de Contrôle Interne selon Valdys
3.3.1 Identification/Formalisation des processus
La première étape dans la réalisation du projet de mise en place du contrôle interne est de
décliner les missions et les objectifs de l’organisme afin d’identifier les processus clés de
celui-ci ainsi que les moyens mis en œuvre pour en garantir leur bon fonctionnement. Il y a
trois niveaux de conception des processus de l’organisation.
3.3.1.1 Le Macro-processus 39
C’est la vision globale du métier de l’entreprise avec une décomposition homogène et
cohérente selon ces différentes missions. La décomposition de l’activité de l’entreprise
proposée par Valdys concerne 3 grandes catégories (mission Pilotage, mission Cœur de
métier et mission Support, selon normes ISO 9000)
• Les processus de direction ou de pilotage : ils retracent la manière avec laquelle la
direction de l’entreprise pratique sa politique de pilotage et de gouvernance.
• Les processus de réalisation ou processus métier : ces processus traitent le
fonctionnement de réalisation d’un produit ou d’un service en décortiquant
l’enchainement des activités opérationnelles en plusieurs phases.
• Les processus support : ils permettent de représenter les moyens nécessaires à la mise en
œuvre des processus métiers.
3.3.1.2 Le Diagramme de Phase 40
C’est la représentation graphique d’un ensemble d’activités dans le cadre de la même mission
de contrôle. La phase symbolise une période durant laquelle se déroule un ensemble
d’activités au travers d’un découpage temporel. Les liaisons entre les différents diagrammes
de phases sont sous formes de connecteurs d’entrée ou connecteurs de sortie.
39
Voir annexe (2)
40
Voir annexe (4)
45
3.3.1.3 Le Logigramme 41
Le troisième niveau de vision des procédures est le Logigramme « Schéma représentant un
processus mis en œuvre pour assurer une mission42
».
A ce stade, un auditeur peut avoir une représentation synthétique d’une activité en modélisant
des tâches et les liants avec des flux horizontaux ou verticaux. Grâce à ce schéma, la réponse
à la question « qui fait quoi ? » est complète. Le Logigramme décrit de point de vue
opérationnel une activité à travers les pratiques des métiers de l’entreprise (une procédure au
sens ISO 9000). La description des Logigrammes permet donc de formaliser les pratiques
opérationnelles existantes et permet éventuellement d’optimiser le système d’information et /
le système de production de l’entreprise sur un périmètre donné.
Schéma représentant un processus mis en œuvre pour assurer une mission43
3.3.2 Identification et évaluation des risques
3.3.2.1 Catégories de risques
Après la définition et la modélisation des procédures, l’auditeur entame la phase
d’identification et d’évaluation des risques. D’abord, il faut partager les risques en risques
exogènes et risques endogènes :
41
Voir annaex (4)
42 Voir annexe (1)
43
Voir annexe (1)
Macroprocessus
Digramme de phase
Logigramme
46
• Les risques exogènes sont des risques d’origine externe à l’entreprise (exemple : les
catastrophes naturelles, coupures de courant, etc.).
• Les risques endogènes se sont les risques liés à des facteurs déclenchés au sein de
l’entreprise (fraude interne, erreur de saisie, mauvaise interprétation d’un texte de loi par
le personnel, etc.).
La première catégorie de risque est modélisée avec des « Arbres des familles de risque»44
pendant que la deuxième catégorie est modélisée sous forme « d’Arbre de risque ». La
représentation graphique de ces arbres met en évidence la relation entre les missions et les
objectifs ainsi que les risques liés à chaque objectif (événement indésirable ou classe
d’événements indésirables).
L’établissement et l’analyse de procédure est une étape préparatoire à l’identification et
l’évaluation des risques. La logique de Valdys permet de déduire les risques en analysant les
objectifs à réaliser et les contraintes réglementaires à respecter. Ces risques en général se
produisent dans le cadre de la réalisation des activités de l’entreprise. Ainsi, la modélisation
des risques sous l’appellation « arbre de risque » est la suivante :
3.3.2.2 Evaluation des risques
L’évaluation des risques est une phase critique dans la démarche de contrôle interne. Tout
effort réalisé par un auditeur est fondé sur une analyse fiable et rationnelle des risques. Dans
le cas inverse, toute la mission d’audit et les objectifs liés peuvent être condamnés à l’échec.
44
Voir annexe (5)
Mission
Objectif
Contrainte
Evénement
indésirable
(Risque) ou
classe
d’événements
indésirables
Point de contrôle
Action corrective
Action préventive
47
Conscient de l’importance stratégique de cette phase, Valdys accorde beaucoup de moyens et
de ressources pour l’évaluation des risques. D’abord, pour évaluer la criticité d’un risque
Valdys intègre 3 facteurs dans la fonction de calcul :
• Fréquence F (de 1 à 5)
• Détectabilité D (de 1 à 5)
• Gravité G (de1 à 5)
La formule de calcul de la criticité est : Criticité = Fréquence* Détectabilité*Gravité
La criticité est ainsi comprise entre 1 et 100.
Dans certains cas l’auditeur est amené à prendre en considération le poids significatif d’un des
facteurs précédents. Pour faire, Valdys permet de changer la formule de calcul par une autre
comme par exemple (C=F*G², F*G, G^4*F²*D).
Puis, Valdys permet aussi de détailler l’évaluation de la Gravité en la décomposant en
plusieurs impacts de différentes natures (impact financier, impact client, impact image, impact
fournisseur, …).
Enfin, le logiciel permet de générer des cartographies de risque. Une fois les risques cotés, il
est possible de générer la cartographie de risques représentant graphiquement les risques et
leur importance. Pour cela, tous les risques de l’Arbre des risques 45
n’ont pas besoin d’être
forcément cotés. Il est possible de générer une cartographie des risques pour un seul arbre des
risques à la fois ou pour tous les arbres présents dans le modèle « Arbre des risques » ou
pour tous les arbres de risques d’un projet
3.3.3 Identification des éléments de contrôle et croisement avec les
tâches ou activités de contrôle
Pour chaque risque majeur ou mineur, Valdys permet d’identifier un ou plusieurs éléments de
maîtrise :
• Action corrective
• Action préventive
45
Annexe (3)
48
• Point de contrôle
A chaque élément de maîtrise doit correspondre une tâche de contrôle présent au niveau des
Logigrammes. Cette opération de liaison entre les points et les tâches de contrôle est appelée
processus de croisement des risques. Une génération par la suite des tableaux de contrôle
nous permettra de détecter les défaillances du système de contrôle interne dans l’entreprise
(les risques auxquels ne corresponde aucune tâche de contrôle).
3.3.4 Suivi et amélioration
Valdys permet de planifier et de mettre en place des plans d’action et de contrôle, de réaliser
des évaluations de contrôle et de suivre des recommandations. Dans ce cadre, il dispose de
plusieurs outils et moyens :
• La Fiche de contrôle : elle décrit de quelle manière les risques sont pris en compte au
niveau des processus (mode opératoire, responsable, fréquence du contrôle, etc.) dans
le but de maîtriser les risques du métier.
• Le Tableau de contrôle : il permet de synthétiser le rapprochement entre les risques,
les points de contrôle et les processus; et ceci, afin d’identifier les écarts.
• Le Tableau de bord : il permet de synthétiser l’avancement des audits et des résultats
obtenus; et ceci, par période, type de risque, date, etc.
• Le Planning des actions : il permet de visualiser les actions correctives et préventives
puis d’organiser leur suivi.
• L’Echéancier d’évaluation : il indique, pour une période donnée, la liste des audits à
mener et la charge de travail correspondante dans le but de planifier efficacement les
évaluations.
3.4 Les documents générés en interne par Valdys
3.4.1 Le rapport du contrôle interne
Le rapport du contrôle interne récapitule l’ensemble des informations intégrées dans Valdys
en les organisant d’une manière cohérente et homogène. Le rapport de contrôle interne est
notamment destiné aux autorités de tutelle telles que l’ACAM – Autorité de Contrôle des
Assurances et des Mutuelles.
49
Dans ce cadre, Valdys permet de générer un rapport de contrôle interne sous forme d’un
fichier au format Word. Le script utilise toute la base de données disponible et les
informations enregistrées par l’auditeur pour générer un rapport de contrôle interne. La
structure finale du rapport de contrôle interne est modifiable selon les besoins de l’utilisateur.
Ainsi, l’auditeur décide de mettre ou non un certain nombre de renseignements dans le
rapport de contrôle selon leur degré d’importance et d’utilité.
Néanmoins, la performance du logiciel dans la génération du rapport reste limitée.
Effectivement, l’utilisateur doit intégrer lui-même un nombre d’informations qui alimentera la
base Valdys (exemple : informations sur l’organisation du Conseil d’Administration) et
effectuer les modifications finales pour mettre en conformité le rapport avec les exigences de
l’ACAM. L’utilisateur est confronté alors à des mesures restrictives établies par l’éditeur du
logiciel dans le cadre d’encadrer la mission d’audit. Cela engendre beaucoup de difficultés
pour changer ou modifier des éléments du rapport comme le contenu des tableaux ou des
graphes. Un autre inconvénient, le logiciel ne présente qu’un seul choix concernant la
structure de rapport ; en conséquence l’utilisateur ne peut pas modifier l’architecture du
rapport. Dans ce cas, il est invité à fournir un effort considérable pour changer la structure du
rapport par défaut. De plus, on note l’absence d’une génération automatique d’une note de
synthèse sur l’état et l’aboutissement du travail de contrôle effectué par l’auditeur.
3.4.2 La génération des pages HTML 46
La génération d’un site web est une fonctionnalité très utile pour la diffusion et le partage
d’information entre le personnel. Tout le travail réaliser de la modélisation des procédures
jusqu’à la génération du rapport est intégralement consultable. Ce site web généré peut être
consulté et intégré dans l’intranet de l’entreprise ou dans un réseau extranet. Les utilisateurs
ayant les droits d’administrateur ont l’option d’interdire et de sécuriser l’accès à des éléments
confidentiels.
46
Voir annexe (8)
50
Conclusion
Le Contrôle Interne Assisté par Ordinateur est une option portant une grande valeur ajoutée
pour les entreprises et les cabinets d’audit afin d’assister et d’accélérer le processus de mise
en œuvre de la démarche de contrôle interne.
Les trois axes de ce mémoire démontrent le rôle important du Contrôle Interne Assisté par
Ordinateur à la gestion de l’organisation et au processus de maîtrise des risques. Accélération
de processus, économie des dépenses liées aux opérations de contrôle, cohérence de démarche
entre auditeurs, en effet la valeur ajoutée de cet outil est de plus en plus remarquable.
Cependant, il ne faut pas ignorer l’importance des défaillances constatées et déduites lors de
notre analyse du concept et surtout dans notre étude de cas surtout concernant les dimensions
techniques et la maîtrise des outils de logiciels. Par ailleurs, il est très tôt de porter un
jugement négatif à cause des inconvénients déjà relevés. Notamment parce que notre analyse
a porté sur un seul logiciel (Valdys) et aussi en se référant à d’autres ressources
documentaires. Pour généraliser notre étude, il faut impliquer dans l’analyse d’autres logiciels
et d’autres utilisateurs. Cette analyse doit faire l’objet de tests pratiques et techniques réalisés
par les acteurs et les experts du contrôle interne et les éditeurs et concepteurs de ces solutions
de gestion. Un effort conjugué entre toutes ces parties peuvent contribuer au développement
et à l’amélioration du Contrôle Interne Assisté Par Ordinateur.
Finalement, on peut dire qu’à l’instar de toutes les solutions informatiques proposées aux
entreprises, le Contrôle Interne Assisté par Ordinateur connaît un développement rapide et
soutenu du nombre de ces clients grâce à un meilleur rapport coût/efficacité et devient ainsi
un concurrent redoutable pour les cabinets d’audit.
51
Bibliographie :
• Frédéric Bernard, Rémi Gayraud et Laurent Rousseau, « Contrôle interne », Ed.MAXIMA,
Paris, 2006, p 303
• Norme CNCC 2-301, évaluation du risque et de contrôle interne », para 08, Référentiel
normatif CNCC,2003
• Coopers & Lybrand, « La nouvelle pratique du contrôle interne », Edition d’organisation,
Paris, 1994, p 378
• Kamal ABOU EL JAOUAD, « Les enjeux du contrôle interne » Université Clermont
• Benoît Pigé « Audit et contrôle interne », Ed EMS, Paris, 2001, p210
• Alain-Gérard Cohen, « Contrôle interne et audit publics », ed LGDJ, PARIS, 2005, p 183
• Dictionnaire encyclopédique universel. Edition Précis1998. P1383
• Ernst&Young. « Elaborer une cartographie des risques opérationnels, dans le cadre des
exigences de la future directive Solvency II »
• Hugues Angot, Christian Fischer, Baudouin Theunissen. « Audit comptable, Audit
informatique ». Edition: 3 De Boeck Université, 2004. p 304
• Seán Cleary, Thierry Malleret Collaborateur Klaus Schwab, « Risques: Perception,
Evaluation, Gestion ». Editions Maxima. 2006. 253 pages
• Étienne Barbier. « MIEUX PILOTER ET MIEUX UTILISER L'AUDIT ». Editions Maxima,
1998. p 124
• Dictionnaire encyclopédique universel. Edition Précis1998. P1383
Webographie :
• http://www.efront.com/fr/Logiciel_Controle_Interne.asp
• http://enablon.com/produits/gestion-des-risques/controle-permanent.aspx
• http://www.keyword.fr/sitekeyw/html_val/ru$44___.htm?gclid=CLK0jd6c65kCFQiF3godMi
uuQQ
• http://fr.wiktionary.org/wiki/contr%C3%B4le
• http://www.bumko.gov.tr/KONTROL_EN/Images/kontrol/coso.jpg
• http://www.french-american.org/files/cr-francais-diner-ifafaf.pdf)
• http://www.amf-france.org/documents/general/4746_1.pdf
• http://www.knowllence.com/fr/publications/management_processus.pdf
• http://www.ordinal.fr/html/glossaire.htm
• http://fr.wikipedia.org/
• http://fr.thefreedictionary.com/assister
• http://www.valdys.com/Pages/Solutions/Solutions.aspx?Action=Valdys
52
Annexes
53
1 Annexe (1) : Lexique Valdys
54
55
2 Annexe (2) : le Macro-processus
56
3 Annexe (3) : Arbre des risques
57
4 Annexe (4) : Diagramme de Phase et Logigramme
Le Contrôle Interne Assisté par Ordinateur
Le Contrôle Interne Assisté par Ordinateur
Le Contrôle Interne Assisté par Ordinateur
Le Contrôle Interne Assisté par Ordinateur

Contenu connexe

Tendances

12.audit et controle interne
12.audit et controle interne12.audit et controle interne
12.audit et controle interne
OULAAJEB YOUSSEF
 
L'audit comptable et financier
L'audit comptable et financierL'audit comptable et financier
L'audit comptable et financier
Samira RIFKI
 
Role du Controle interne dans la mission d'audit
Role du Controle interne dans la mission d'auditRole du Controle interne dans la mission d'audit
Role du Controle interne dans la mission d'audit
Aymen Foudhaili
 
Conduite d'une mission d'audit interne
Conduite d'une mission d'audit interneConduite d'une mission d'audit interne
Conduite d'une mission d'audit interne
Pasteur_Tunis
 
Projet audit ppt
Projet audit pptProjet audit ppt
Projet audit ppt
Hajar Idehou
 
Guide pratique de l'audit oec maroc
Guide pratique de l'audit   oec marocGuide pratique de l'audit   oec maroc
Guide pratique de l'audit oec maroc
bissa bissa
 
Partie 1 audit comptable et financier
Partie 1 audit comptable et financierPartie 1 audit comptable et financier
Partie 1 audit comptable et financier
Zouhair Aitelhaj
 
Déroulement d'une mission d'audit
Déroulement d'une mission d'auditDéroulement d'une mission d'audit
Déroulement d'une mission d'audit
BRAHIM MELLOUL
 
L'impact de la digitalisation sur les pratiques du contrôle interne dans le s...
L'impact de la digitalisation sur les pratiques du contrôle interne dans le s...L'impact de la digitalisation sur les pratiques du contrôle interne dans le s...
L'impact de la digitalisation sur les pratiques du contrôle interne dans le s...
OmarMOUMINI
 
Audit par cycle
Audit par cycleAudit par cycle
Audit par cycle
nouritta
 
Audit de la fonction vente
Audit de la fonction venteAudit de la fonction vente
Audit de la fonction vente
hicham alaoui
 
Audit.. La démarche d’audit : Les étapes d’une mission d’audit
Audit.. La démarche d’audit : Les étapes d’une mission d’auditAudit.. La démarche d’audit : Les étapes d’une mission d’audit
Audit.. La démarche d’audit : Les étapes d’une mission d’audit
JihaneMozdalif
 
Le champ d'application de l'audit
Le champ d'application de l'auditLe champ d'application de l'audit
Le champ d'application de l'audit
Asmae OULMADOU
 
COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER
Hajar EL GUERI
 
Risque achat , scm
Risque achat , scmRisque achat , scm
Risque achat , scm
Ilham Yachaoui
 
L’histoire de la comptabilité
L’histoire de la comptabilitéL’histoire de la comptabilité
L’histoire de la comptabilité
Allaeddine Makhlouk
 
Rapport de stage controle de gestion
Rapport de stage controle de gestionRapport de stage controle de gestion
Rapport de stage controle de gestion
abdeloahed hamdi
 

Tendances (20)

12.audit et controle interne
12.audit et controle interne12.audit et controle interne
12.audit et controle interne
 
L'audit comptable et financier
L'audit comptable et financierL'audit comptable et financier
L'audit comptable et financier
 
Role du Controle interne dans la mission d'audit
Role du Controle interne dans la mission d'auditRole du Controle interne dans la mission d'audit
Role du Controle interne dans la mission d'audit
 
Conduite d'une mission d'audit interne
Conduite d'une mission d'audit interneConduite d'une mission d'audit interne
Conduite d'une mission d'audit interne
 
Projet audit ppt
Projet audit pptProjet audit ppt
Projet audit ppt
 
Guide pratique de l'audit oec maroc
Guide pratique de l'audit   oec marocGuide pratique de l'audit   oec maroc
Guide pratique de l'audit oec maroc
 
Partie 1 audit comptable et financier
Partie 1 audit comptable et financierPartie 1 audit comptable et financier
Partie 1 audit comptable et financier
 
Déroulement d'une mission d'audit
Déroulement d'une mission d'auditDéroulement d'une mission d'audit
Déroulement d'une mission d'audit
 
L'impact de la digitalisation sur les pratiques du contrôle interne dans le s...
L'impact de la digitalisation sur les pratiques du contrôle interne dans le s...L'impact de la digitalisation sur les pratiques du contrôle interne dans le s...
L'impact de la digitalisation sur les pratiques du contrôle interne dans le s...
 
Guide d'entretien
Guide d'entretienGuide d'entretien
Guide d'entretien
 
Audit par cycle
Audit par cycleAudit par cycle
Audit par cycle
 
Audit de la fonction vente
Audit de la fonction venteAudit de la fonction vente
Audit de la fonction vente
 
Contrôle de gestion
Contrôle de gestionContrôle de gestion
Contrôle de gestion
 
Audit.. La démarche d’audit : Les étapes d’une mission d’audit
Audit.. La démarche d’audit : Les étapes d’une mission d’auditAudit.. La démarche d’audit : Les étapes d’une mission d’audit
Audit.. La démarche d’audit : Les étapes d’une mission d’audit
 
Controle interne
Controle interneControle interne
Controle interne
 
Le champ d'application de l'audit
Le champ d'application de l'auditLe champ d'application de l'audit
Le champ d'application de l'audit
 
COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER
 
Risque achat , scm
Risque achat , scmRisque achat , scm
Risque achat , scm
 
L’histoire de la comptabilité
L’histoire de la comptabilitéL’histoire de la comptabilité
L’histoire de la comptabilité
 
Rapport de stage controle de gestion
Rapport de stage controle de gestionRapport de stage controle de gestion
Rapport de stage controle de gestion
 

Similaire à Le Contrôle Interne Assisté par Ordinateur

Thèse - Mettre les utilisateurs et les métiers au coeur de leur système d'inf...
Thèse - Mettre les utilisateurs et les métiers au coeur de leur système d'inf...Thèse - Mettre les utilisateurs et les métiers au coeur de leur système d'inf...
Thèse - Mettre les utilisateurs et les métiers au coeur de leur système d'inf...
Patrick Faure
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
FINALIANCE
 
Soubki projet
Soubki projetSoubki projet
Soubki projet
s1kor
 
Rapport projet: relisation d'une app desktop
Rapport projet: relisation d'une app desktop Rapport projet: relisation d'une app desktop
Rapport projet: relisation d'une app desktop
amat samiâ boualil
 
Séminaire IDS Scheer Processus Santé part 1
Séminaire IDS Scheer Processus Santé part 1Séminaire IDS Scheer Processus Santé part 1
Séminaire IDS Scheer Processus Santé part 1
SAGIDS1
 
Agile Tour Clermont Ferrand - Michel Lejeune - La contractualisation agile
Agile Tour Clermont Ferrand - Michel Lejeune - La contractualisation agileAgile Tour Clermont Ferrand - Michel Lejeune - La contractualisation agile
Agile Tour Clermont Ferrand - Michel Lejeune - La contractualisation agile
Pig Acube
 
COBIT
COBIT COBIT
Cacti
CactiCacti
Rapport Splunk.pdf
Rapport Splunk.pdfRapport Splunk.pdf
Rapport Splunk.pdf
HichemKhalfi
 
33032701 controle-des-comptes-par-le-commissaire-aux-comptes-a-l-aide-de-l-an...
33032701 controle-des-comptes-par-le-commissaire-aux-comptes-a-l-aide-de-l-an...33032701 controle-des-comptes-par-le-commissaire-aux-comptes-a-l-aide-de-l-an...
33032701 controle-des-comptes-par-le-commissaire-aux-comptes-a-l-aide-de-l-an...
rjimmylee
 
Tirer profit d'un outillage de gestion des exigences
Tirer profit d'un outillage de gestion des exigencesTirer profit d'un outillage de gestion des exigences
Tirer profit d'un outillage de gestion des exigences
EchoesLabs
 
Prototype rapport
Prototype rapportPrototype rapport
Prototype rapport
Ines Ouaz
 
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Anasse Ej
 
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
polenumerique33
 
Le Plan de Reprise d'Activité pour les PME
Le Plan de Reprise d'Activité pour les PMELe Plan de Reprise d'Activité pour les PME
Le Plan de Reprise d'Activité pour les PME
Avignon Delta Numérique
 
550714060-Cahier-Des-Charges-Des-Automatismes.pdf
550714060-Cahier-Des-Charges-Des-Automatismes.pdf550714060-Cahier-Des-Charges-Des-Automatismes.pdf
550714060-Cahier-Des-Charges-Des-Automatismes.pdf
SAID MASHATE
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
etienne
 
Mwa study 2 quantitative investment strategies data-centric tools
Mwa study 2 quantitative investment strategies data-centric toolsMwa study 2 quantitative investment strategies data-centric tools
Mwa study 2 quantitative investment strategies data-centric tools
mwaresearch
 
Hamdaoui abdelilah
Hamdaoui abdelilahHamdaoui abdelilah
Hamdaoui abdelilah
Moez Moezm
 

Similaire à Le Contrôle Interne Assisté par Ordinateur (20)

Thèse - Mettre les utilisateurs et les métiers au coeur de leur système d'inf...
Thèse - Mettre les utilisateurs et les métiers au coeur de leur système d'inf...Thèse - Mettre les utilisateurs et les métiers au coeur de leur système d'inf...
Thèse - Mettre les utilisateurs et les métiers au coeur de leur système d'inf...
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
 
Soubki projet
Soubki projetSoubki projet
Soubki projet
 
Rapport projet: relisation d'une app desktop
Rapport projet: relisation d'une app desktop Rapport projet: relisation d'une app desktop
Rapport projet: relisation d'une app desktop
 
rapport
rapportrapport
rapport
 
Séminaire IDS Scheer Processus Santé part 1
Séminaire IDS Scheer Processus Santé part 1Séminaire IDS Scheer Processus Santé part 1
Séminaire IDS Scheer Processus Santé part 1
 
Agile Tour Clermont Ferrand - Michel Lejeune - La contractualisation agile
Agile Tour Clermont Ferrand - Michel Lejeune - La contractualisation agileAgile Tour Clermont Ferrand - Michel Lejeune - La contractualisation agile
Agile Tour Clermont Ferrand - Michel Lejeune - La contractualisation agile
 
COBIT
COBIT COBIT
COBIT
 
Cacti
CactiCacti
Cacti
 
Rapport Splunk.pdf
Rapport Splunk.pdfRapport Splunk.pdf
Rapport Splunk.pdf
 
33032701 controle-des-comptes-par-le-commissaire-aux-comptes-a-l-aide-de-l-an...
33032701 controle-des-comptes-par-le-commissaire-aux-comptes-a-l-aide-de-l-an...33032701 controle-des-comptes-par-le-commissaire-aux-comptes-a-l-aide-de-l-an...
33032701 controle-des-comptes-par-le-commissaire-aux-comptes-a-l-aide-de-l-an...
 
Tirer profit d'un outillage de gestion des exigences
Tirer profit d'un outillage de gestion des exigencesTirer profit d'un outillage de gestion des exigences
Tirer profit d'un outillage de gestion des exigences
 
Prototype rapport
Prototype rapportPrototype rapport
Prototype rapport
 
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
 
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
 
Le Plan de Reprise d'Activité pour les PME
Le Plan de Reprise d'Activité pour les PMELe Plan de Reprise d'Activité pour les PME
Le Plan de Reprise d'Activité pour les PME
 
550714060-Cahier-Des-Charges-Des-Automatismes.pdf
550714060-Cahier-Des-Charges-Des-Automatismes.pdf550714060-Cahier-Des-Charges-Des-Automatismes.pdf
550714060-Cahier-Des-Charges-Des-Automatismes.pdf
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Mwa study 2 quantitative investment strategies data-centric tools
Mwa study 2 quantitative investment strategies data-centric toolsMwa study 2 quantitative investment strategies data-centric tools
Mwa study 2 quantitative investment strategies data-centric tools
 
Hamdaoui abdelilah
Hamdaoui abdelilahHamdaoui abdelilah
Hamdaoui abdelilah
 

Le Contrôle Interne Assisté par Ordinateur

  • 1. Le Contrôle Interne Assisté par Ordinateur Etude de cas : VALDYS UNIVERSITE ROBERT SCHUMAN Ecole de Management de Strasbourg Master AUDIT FINANCIER ET OPERATIONNEL 2008-2009 Sujet du Mémoire : Nom et prénom : EZ-ZOUAK Mohammed
  • 2. 2 Le Contrôle Interne Assisté par Ordinateur Etude de cas : VALDYS UNIVERSITE ROBERT SCHUMAN Ecole de Management de Strasbourg Master AUDIT FINANCIER ET OPERATIONNEL 2008-2009 Sujet du Mémoire : Nom et prénom : EZ-ZOUAK Mohammed Organisme de stage : Mutuelle d’Entreprise Sochaux Directeur du mémoire : Pr Pierre SCHEVIN Maître de Stage : Mme Roselyne PATOIS (responsable de la mutuelle)
  • 3. 3 REMERCIEMENTS Ce mémoire pour l’obtention du diplôme M2 Audit Financier et Opérationnel est le résultat d'un effort considérable. Cet effort n'aurait pu aboutir sans la contribution de plusieurs personnes. Ainsi se présente l'occasion de les remercier : Tout d'abord, Au Pr Pierre SCHEVIN, Le Directeur de ce mémoire pendant ce stage pour sa disponibilité et ses conseils A Mme Roselyne PATOIS, Responsable du service «Mutuelle d’Entreprise de Sochaux », mon encadrant professionnel pour son engagement total et ses conseils très constructifs A Mme Nathalie De STEUR, responsable informatique à la MES, pour son assistance et ses instructions. Sans oublier tout le personnel de la Mutuelle sans exception pour leur support moral et pédagogique pendant les 2 mois de ce stage Et enfin, mes parents, ma famille et mon beau frère pour leurs soutien morale et financier pendant cette année d’études
  • 4. 4 Introduction _______________________________________________________________ 6 Partie (1) : Introduction au contrôle interne _____________________________________ 9 1 Cadre conceptuel du contrôle interne _______________________________________ 9 1.1 Etymologie du mot_______________________________________________________ 9 1.2 Définitions du contrôle interne _____________________________________________ 9 1.3 Le modèle COSO _______________________________________________________ 11 1.4 Sarbanes Oxley_________________________________________________________ 13 1.5 La Loi de la Sécurité Financière (LSF) _____________________________________ 14 1.6 Comparaison entre la loi Sarbanes Oxley et la loi de la Sécurité Financière_______ 15 2 La démarche du contrôle interne__________________________________________ 16 2.1 Définition et caractéristiques de la démarche de contrôle interne _______________ 16 2.2 Analyse de quelques modèles de la démarche de contrôle interne _______________ 17 3 Démarche classique adopté par les éditeurs de logiciels de contrôle interne _______ 19 3.1 Identification des processus_______________________________________________ 19 3.2 Déclinaison de la stratégie en objectifs _____________________________________ 20 3.3 Analyse des processus ___________________________________________________ 21 3.4 Evaluation des risques ___________________________________________________ 22 3.5 Mise en place des activités de contrôle______________________________________ 24 Partie (2) : Le Contrôle Interne Assisté par Ordinateur____________________________ 26 1 Introduction au Contrôle Interne Assisté par Ordinateur ______________________ 26 1.1 Le concept_____________________________________________________________ 26 1.2 Les objectifs du Contrôle Interne Assisté par Ordinateur______________________ 27 1.3 Les logiciels du contrôle interne sur le marché _______________________________ 29 2 Avantages et limites du Contrôle Interne Assisté par Ordinateur ________________ 31 2.1 L’apport de Contrôle Interne Assisté par Ordinateur _________________________ 31 2.2 Les limites du Contrôle Interne Assisté par Ordinateur _______________________ 36 2.3 Les clés de réussite d’un projet de Contrôle Interne Assisté par Ordinateur ______ 39 3 Etude de cas logiciel Valdys______________________________________________ 40 3.1 Présentation du logiciel __________________________________________________ 40 3.2 L’architecture de Valdys_________________________________________________ 42 3.3 Le projet de Contrôle Interne selon Valdys__________________________________ 44 3.4 Les documents générés en interne par Valdys _______________________________ 48 Conclusion _______________________________________________________________ 50 Annexes__________________________________________________________________ 52 1 Annexe (1) : Lexique Valdys _____________________________________________ 53 2 Annexe (2) : le Macro-processus _________________________________________ 55 3 Annexe (3) : Arbre des risques____________________________________________ 56
  • 5. 5 4 Annexe (4) : Diagramme de Phase et Logigramme ___________________________ 57 5 Annexe (5) : Arbre des familles de risque ___________________________________ 58 6 Annexe (6) : Le modèle nomenclature et le modèle diagramme de structure _______ 59 7 Annexe (7) : Le modèle arbre des rôles/compétences et la cartographie des risques _ 60 8 Annexe (8) : Les pages Html_____________________________________________ 61
  • 6. 6 Introduction L’automatisation du traitement de l’information remonte à la date de l’invention du premier ordinateur. Depuis, toutes les branches de la science et de l’industrie ont tenté d’exploiter les capacités énormes de cet outil surtout celles de calcul et de traitement des données avec une vitesse inimaginable qui dépasse les limites du cerveau humain. C’est alors que l’économie et la finance furent parmi les branches qui ont su profité des avantages du traitement automatisé de l’information. La miniaturisation des composants et la réduction des coûts de production, associées à un besoin de plus en plus pressant de traitement des informations de toutes sortes (scientifiques, financières, commerciales, etc.) a entraîné une diffusion de l’informatique dans toutes les couches de l’économie comme de la vie de tous les jours.1 Après la comptabilité, la finance et l’audit financier, aujourd’hui, c’est au contrôle interne d’intégrer le monde de l’information automatisée et profiter pleinement des contributions de l’informatique dans ce domaine. Dans cette perspective, le « Contrôle Interne Assisté par Ordinateur » marque l’actualité par son apport à l’auditeur interne et externe comme outil d’assistance et de pilotage des missions de contrôle. Jusqu’à aujourd’hui, personne n’a pu percevoir qu’un domaine aussi abstrait et évolutif que le contrôle interne dont la réflexion (risques) et le développement (points de contrôles) jouent un rôle capital ferait appel aux services de l’informatique. Cependant, les symptômes de cette nouvelle vague des éditeurs des solutions informatiques pour entreprises sont déjà sentis. Ces éditeurs des applications informatiques de gestion et devant la concurrence intense sur le marché des logiciels ont pu s’adapter pour franchir la barrière du savoir limité dans les domaines de gestion. Pour ces derniers, la solution est de proposer un logiciel qui permet d’aider et d’assister l’auditeur dans la réalisation de sa mission de contrôle interne en exploitant au maximum son savoir faire et ses capacités d’analyse et d’observation dans un domaine particulier (assurance, énergie, industrie nucléaire,…) puis en la croisant avec les pratiques reconnues par les auditeurs dans le secteur et la réglementation en vigueur. En effet, la différence remarquée entre l’existant et le conceptuel est à la base des résultats et des interprétations obtenus. 1 http://fr.wikipedia.org/wiki/Informatique le 17/02/2009
  • 7. 7 Plusieurs progiciels 2 d’audit et de contrôle interne existent sur le marché, un ensemble de choix diversifié des solutions informatiques de gestion pour gérer les processus de contrôle interne et assurer la conformité avec la réglementation (Loi de la Sécurité Financière, loi de Sarbanes-Oxley, Bale II, Solvabilité II, etc.). Parmi ces produits, on souligne FrontControl3 , Enablon Continuous Assessment4 , ISIMAN5 et enfin VALDYS qui fera l’objet d’une étude de cas dans ce mémoire. Toutes ces solutions partent du même principe en constituant une base référentielle de contrôle interne d’un secteur donné pour l’auditeur et en l’assistant dans sa démarche de mise en place et de suivi de la démarche de contrôle interne. Dans ce mémoire, je vais essayer de traiter et d’analyser la problématique suivante : « Jusqu’à quel point le Contrôle Interne Assisté par Ordinateur peut-il contribuer à l’encadrement et à l’accélération de la mise en place d’un processus de contrôle interne dans une entreprise ? ». Pour répondre à cette question, mon analyse portera sur les deux parties suivantes : La première partie sera consacrée au cadre conceptuel du contrôle interne ou je vais présenter les différentes définitions du contrôle interne, les approches et la réglementation qui encadrent ce secteur et enfin de décrire la démarche de mise en place d’un système de contrôle interne. Cette partie est un passage incontournable pour mieux comprendre les deux axes qui vont suivre. Dans la deuxième partie, je vais aborder le nœud de la problématique où j’analyserai l’apport de Contrôle Assisté par Ordinateur sur plusieurs dimensions : l’originalité du concept, l’apport du contrôle interne assisté par ordinateur et dans un dernier point je traiterai les limites de ce concept. Le deuxième axe de cette partie de ce mémoire est une étude de cas du logiciel VALDYS (logiciel français de contrôle interne développé pour répondre aux besoins des assurances et des mutuelles). Cette étude de cas a pour objectif d’illustrer les conclusions et les résultats obtenus. 2 Contraction de produit et de logiciel 3 http://www.efront.com/fr/Logiciel_Controle_Interne.asp le 17/02/2009 4 http://enablon.com/produits/gestion-des-risques/controle-permanent.aspx le 17/02/2009 5 http://www.keyword.fr/sitekeyw/html_val/ru$44___.htm?gclid=CLK0jd6c65kCFQiF3godMiuuQQ le 17/02/2009
  • 8. 8 L’objectif de ce mémoire avec ces deux parties est de résoudre la problématique soulevée en partant d’un cadre conceptuel vers un cadre empirique. Le type d’argumentation utilisé est une argumentation par illustration. Cette argumentation consiste à utiliser un exemple concret justifiant une affirmation que l’on fait. Autrement dit, on va formuler la problématique, puis on présentera un fait ou un cas précis et réel qui concrétise et matérialise les déductions obtenues. Dans le même but d’illustration et d’argumentation, plusieurs sources documentaires seront utilisées partagées entre sources bibliographiques, webographiques, et bases documentaires électroniques.
  • 9. 9 Partie (1) : Introduction au contrôle interne 1 Cadre conceptuel du contrôle interne 1.1 Etymologie du mot Le mot contrôle vient du mot contre-rôle qui signifie « registre tenu en double»6 . Dans son ouvrage « Contrôle Interne » Frédéric Bernard fait la distinction entre le mot français « Contrôle » et le mot anglo-saxonne « Control » : « Le terme contrôle interne est la traduction littérale de l’expression anglo-saxonne : Internal Control (ou Business Contrôle pour les américains) dans lequel le verbe « to control » signifie conserver la maîtrise de la situation alors qu’en français le mot « contrôle » est d’avantage compris comme le fait d’exercer une action de surveillance sur quelque chose pour l’évaluer »7 . Malgré la ressemblance étymologique et phonétique des deux mots français et anglo-saxon, on trouve que le mot « contrôle interne » traduit l’amont et le préventif du processus de contrôle interne par les mesures de surveillance et d’analyse des risques quant au mot « Internal Control » il traduit la dimension en aval et corrective du contrôle interne (identification des éléments de maîtrise, planification des tâches de contrôle, organisation des responsabilités, suivi des recommandations, etc.). Cette divergence de sens entre les deux mots reflète et explique l’étroite différence dans la manière de pratiquer et de mettre en œuvre le processus du contrôle interne entre les entreprises françaises et les entreprises anglo- saxonnes. 1.2 Définitions du contrôle interne Il existe diverses définitions du contrôle interne. Cette multitude et diversité de définitions du concept engendre une confusion de compréhension et de communication des rôles de chaque acteur majeur du contrôle interne (auditeurs internes et externes, Conseil d’Administration, la direction, le personnel et le législateur). Parmi les définitions adoptées du contrôle interne par les auteurs et les institutions nationales et internationales, on trouve : 1) Le contrôle interne est un ensemble de dispositifs ayant pour but, d’un coté d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information, de l’autre 6 http://fr.wiktionary.org/wiki/contr%C3%B4le le 19/02/2009 7 Frédéric Bernard, Rémi Gayraud et Laurent Rousseau, « Contrôle interne », Ed.MAXIMA, Paris, 2006, p 303
  • 10. 10 d’assurer l’application des instructions de la Direction et de favoriser l’amélioration des performances. 8 2) Définition donnée par les experts-comptables, en congrès en 1977 : « le contrôle interne est l’ensemble des sécurités contribuant à la maîtrise de l’entreprise. Il a pour but d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information d’une part et de l’autre, l’application des instructions de la direction, et de favoriser l’amélioration des performances. » 3) La définition proposée par le CNCC (Compagnie Nationale des Commissaires aux Comptes) reflète le mieux l’approche moderne du concept: « Les procédures de contrôle interne impliquent : le respect des politiques de gestion, la sauvegarde des actifs, la prévention et la détection de fraudes, l’exactitude et l’exhaustivité des enregistrements comptables, l’établissement en temps voulu d’informations comptables et financières stables. »9 4) La définition donnée par la norme 400 de l’IAASB (International Auditing and Assurance Standard Board) : le système de contrôle interne est l’ensemble des politiques et procédures mises en œuvre par la direction d’une entité en vue d’assurer, dans la mesure du possible, la gestion rigoureuse et efficace de ses activités. Ces procédures impliquent le respect des politiques de gestion, la sauvegarde des actifs, la prévention et la détection de fraudes et d’erreurs, l’exhaustivité des enregistrements comptables et l’établissement en temps voulu d’informations financières stables. 5) La définition donnée par le cabinet Coopers&Lybrand et traduit dans « la nouvelle pratique du contrôle interne » par l’Institut Français des Auditeurs et Consultants internes : Le contrôle interne est un processus mis en œuvre par le Conseil d’Administration, les dirigeants et le personnel d’une organisation, destiné à fournir une assurance raisonnable quand à la réalisation des objectifs suivants : • La réalisation et l’optimisation des opérations ; • La fiabilité des informations financières • La conformité aux lois et aux réglementations en vigueur 10 8 Frédéric Bernard, Rémi Gayraud et Laurent Rousseau, « Contrôle interne », Ed.MAXIMA, Paris, 2006, p 303 9 Norme CNCC 2-301, évaluation du risque et de contrôle interne », para 08, Référentiel normatif CNCC,2003 10 Coopers & Lybrand, « La nouvelle pratique du contrôle interne », Edition d’organisation, Paris, 1994, p 378
  • 11. 11 L’étude et l’analyse de ces différentes définitions distingue entre deux approches fondamentales: D’une part, une approche classique qui insiste sur les principes de base du contrôle interne : la sauvegarde du patrimoine, la fiabilité de l’information, la conformité avec la réglementation et l’amélioration de performance. Ces éléments sont repris fidèlement dans la première et la deuxième définition sans toutefois sortir du cadre soigneusement tracé par ces composantes. Cette limitation du champ d’interprétation et de réaction a fait du contrôle interne un concept doté d’une structure rigide et difficilement adaptable aux différentes natures et situations d’entreprises. D’autre part, une approche moderne illustrée par les trois dernières définitions (CNCC, IAASB, Coopers&Lybrand). Cette approche inclut la notion du processus ou de procédure dans sa définition et elle implique les acteurs majeurs de la démarche de contrôle interne dans ce processus tout en insistant sur le rôle du personnel. Plus encore, elle évoque pour la première fois le respect de la politique de gestion comme facteur principal dans le système de contrôle interne. 1.3 Le modèle COSO Le modèle COSO est un référentiel de contrôle interne défini par le « Committee Of Sponsoring Organizations of the Treadway Commission ». Il est utilisé notamment dans le cadre de la mise en place des dispositions relevant des lois Sarbanes-Oxley ou LSF pour les entreprises assujetties respectivement aux lois américaines ou françaises. Le référentiel initial appelé COSO 1 a évolué depuis 2002 vers un second corpus dénommé COSO 2.11 1.3.1 COSO 1 Le contrôle interne est composé de 5 éléments interdépendants qui découlent de la façon dont l’activité est gérée et qui sont intégrés aux processus de gestion : • Environnement du contrôle : présente « l’espace » dans lequel les personnes accomplissent leurs tâches et assument leurs responsabilités en matière de contrôle. Il sert de référence pour les autres éléments du contrôle interne. Il présente aussi les individus et leurs qualités individuelles, leur intégrité, leur éthique, leur compétence. Autrement dit, l’environnement du contrôle exerce une influence profonde sur la structuration des activités et des procédures, l’évaluation des risques, les activités de contrôle, le système d’information et le suivi des recommandations. 11 http://fr.wikipedia.org/wiki/COSO le 22/02/2009
  • 12. 12 • L’évaluation des risques : elle consiste en l’identification et l’analyse des facteurs susceptibles d’affecter la réalisation des objectifs stratégiques de l’entreprise. C’est un processus continu et répétitif qui permet de déterminer comment les risques devraient être gérés. Il appartient aux dirigeants et aux responsables des services concernés d’évaluer et de fixer un taux de risque admissible. • Les activités de contrôle : les activités de contrôles sont l’application des normes et procédures destinées à garantir l’exécution des directives du management en vue de maîtriser les risques réels et potentiels de l’organisation. Les catégories d’opérations de contrôle se rattachant aux objectifs sont le domaine opérationnel, l’information financière et la réglementation en vigueur. • L’information et la communication : l’information pertinente doit être identifiée, recueillie et diffusée sous une forme et dans les délais qui permettent à chacun d’assumer ces responsabilités. L’information doit concerner tous les niveaux de l’entreprise. Le système d’information va permettre de définir, recueillir, analyser puis diffuser ces données. • Pilotage : les systèmes de contrôle interne doivent à leur tour être contrôlés afin d’évaluer dans le temps les performances qualitatives. Dans ce cadre, il est primordial de mettre en place un système de pilotage permanent et de procéder à des évaluations périodiques. Ainsi, les opérations de pilotage peuvent être pratiquées soit par des activités courantes soit par des évaluations ponctuelles. 1.3.2 COSO 2 Le modèle COSO 2 constitue une continuité et une suite de COSO 1. Fréderic Bernard définit et explique la dissemblance entre COSO 1 et COSO 2 : « ... Il ne propose pas un référentiel de contrôle interne (au contraire de COSO) mais un modèle de gestion des risques. Il s’appuie sur le COSO comme référentiel de Contrôle Interne.» 12 12 Frédéric Bernard, Rémi Gayraud et Laurent Rousseau, « Contrôle interne », Ed.MAXIMA, Paris, 2006, p 303
  • 13. 13 Parmi les apports de COSO 2 : D’une part, il offre aux auditeurs et contrôleurs internes un repère pour la gestion des risques de l’entreprise (Enterprise Risk Management Framework). En effet, COSO 2 rappelle les éléments du COSO 1 et le complète surtout sur la dimension « gestion des risques ». Il est donc fondé sur une approche orientée vers la maîtrise des risques de l’entreprise. D’autre part, il présente un cadre plus restreint de décomposition de la structure d’une organisation alors que le COSO 1 ne retient pas de structure de décomposition spécifique. Cependant, cette répartition entre différents niveaux de l’organisation est très utile pour la démarche de contrôle proposée par le modèle COSO. Toutefois, il est nécessaire de prendre en compte l’organisation dans son ensemble pour que COSO 2 puisse être appliqué avec succès. Présentation de la pyramide et du cube de COSO13 1.4 Sarbanes Oxley Suite aux scandales financiers que les Etats-Unis ont connus dans les années 2001-2002. La législation américaine a lancé de nouveaux dispositifs légaux dits « Sarbannes Oxley ». Cette loi a été adoptée par le Congrés et fut la plus grande réforme du marché financier américain depuis longtemps. Ses principes de base sont l’exactitude des informations, la responsabilité des gestionnaires et l’indépendance des organes d’audit. Son objectif est de pallier aux insuffisances du contrôle interne. 13 http://www.bumko.gov.tr/KONTROL_EN/Images/kontrol/coso.jpg visité le 05/03/2009
  • 14. 14 Les décisions fondamentales de cette loi sont : • Les états financiers doivent être forcément certifiés par le Directeur Générale (Chief Exécutive Officer) ou le Directeur Financier (Chief Financial Officer). Le but de cette disposition est de responsabiliser les dirigeants aux risques existants dans leurs entreprises. • L’obligation de nommer des administrateurs indépendants au comité d’audit du Conseil d’Administration • Les avantages particuliers des dirigeants sont de plus en plus encadrés • La loi Sarbanes-Oxley impose à l’entreprise une rotation des auditeurs externes. Les services proposés pour la vérification des états financiers par ces auditeurs externes doivent être adaptés à l’activité de l’entreprise (systèmes d’information).14 • L’alourdissement des sanctions pénales et des montants des amendes en cas de fraude ou de non-conformité. • L’obligation aux entreprises américaines de joindre aux rapports annuels un rapport sur le contrôle interne. Ce rapport établi par la Direction de l’entreprise doit être validé et certifié par l’auditeur externe. Malgré tous les efforts déployés au niveau de la loi « Sarbanes-Oxley » pour limiter les fraudes financières, l’assurance que porte cette loi pour l’organisation reste une assurance raisonnable contre le risque puisqu’il existe toujours des points de défaillances pour contourner les barrières du contrôle interne. Michael Oxley soutient ce raisonnement dans son interview avec Liz Alderman : « Je n’irai pas jusqu’à dire que la loi Sarbanes-Oxley nous met à l’abri d’un scandale tel que les faillites d’Enron et de Worldcom ni que des individus ne seront pas suffisamment intelligents pour contourner les règles. Après tout le meurtre est illégal dans tous les pays et pourtant des meurtres sont commis tous les jours ».15 1.5 La Loi de la Sécurité Financière (LSF) A l’instar de la loi Sarbanes Oxley, la Loi de Sécurité Financière a été promulguée à la suite des nombreux scandales financiers pour rétablir la confiance des investisseurs notamment dans les pratiques comptables. 14 Kamal ABOU EL JAOUAD, « Les enjeux du contrôle interne » Université Clermont 15 http://www.french-american.org/files/cr-francais-diner-ifafaf.pdf) visité le 15/03/2009
  • 15. 15 L’Assemblée Nationale et le Sénat ont adopté la LOI n° 2003-706 du 1er août 2003 sur la sécurité financière vu la décision n° 2003-479 DC du conseil constitutionnel en date du 30 juillet 2003.16 Cette loi s’applique à toutes les sociétés anonymes. Elle comprend l’obligation pour le président du conseil d’administration ou du conseil de surveillance de rendre compte dans un rapport des procédures de contrôle mises en place par l’entreprise. Aussi, elle considère que l’établissement d’un rapport sur le contrôle interne est un facteur clé pour la compétitivité et le développement des entreprises privées. 1.6 Comparaison entre la loi Sarbanes Oxley et la loi de la Sécurité Financière La distinction fondamentale entre la loi de la Sécurité Financière et la loi Sarbanes Oxley est le degré de formalisme qui est clairement défini dans la deuxième loi. Ainsi, des référentiels tels que COSO présentent un cadre précis pour les acteurs du contrôle interne. Cependant, ce n’est pas le cas actuellement pour la loi sur la Sécurité Financière. Le grand obstacle pour celle-ci est l’inexistence d’un référentiel français qui encadre le travail des auditeurs. La LSF ne renvoie à aucun référentiel et ne donne même pas de définition au « contrôle interne ». Aussi, la Loi sur la Sécurité Financière est moins exigeante que la loi Sarbanes Oxley et par conséquent elle permet d’ajuster le degré de formalisme du Contrôle Interne par rapport à la taille de l’entreprise, toutefois elle complique le travail du Commissaire aux Comptes. A l’heure actuelle, il n’y a aucune nouvelle disposition légale sur le contrôle interne des sociétés anonymes françaises. Et la compagnie nationale des Commissaires aux Comptes n’a pas donné de nouvelles instructions concernant le contrôle par les auditeurs légaux du rapport du Président sur le contrôle interne. La LSF engage toutes les sociétés anonymes. Son périmètre est plus large que celui de la loi Sarbanes Oxley qui se limite uniquement aux sociétés cotées. Elle implique directement le Président du Conseil d’Administration ou du Conseil de Surveillance alors que la loi Sarbanes Oxley engage la direction opérationnelle. Enfin, la LSF concerne toutes les procédures de contrôle interne tandis que la loi Sarbanes-Oxley ne concerne que les informations comptables et financières. Le modèle Européen défendant tout actionnaire de Sociétés Anonymes s’oppose au modèle américain qui ne s’intéresse qu’à l’actionnaire de sociétés faisant appel publique à l’épargne. 16 http://www.amf-france.org/documents/general/4746_1.pdf visité le 15/03/2009
  • 16. 16 2 La démarche du contrôle interne 2.1 Définition et caractéristiques de la démarche de contrôle interne Le contrôle interne, à l’inverse de l’audit financier n’a pas un champ limité d’intervention, il concerne tous les types de risques qui peuvent exister dans l’entreprise (Risques financiers, risque humains, risques techniques,…). Son objectif essentiel est de sauvegarder le patrimoine de l’entreprise et de mettre en place un dispositif de maîtrise. Le contrôle interne n’est plus une démarche aléatoire qui se fait le jour au jour, non plus une solution de prêt-à-porter applicable à toutes les entreprises sans adaptation aux contextes, à l’environnement et aux structures spécifiques de celles-ci. Au contraire, la démarche du contrôle interne est une démarche organisée, appropriée, et pérenne. Concrètement, c’est une démarche de changement : 2.1.1 Une démarche organisée La mise en place d’un dispositif de contrôle interne doit être organisée dans l’axe temps (planifier les dates d’entretiens avec les responsables et le personnel, fixer les dates de contrôle et de suivi, respecter les dates de contrôle périodiques, etc.) en veillant à respecter l’ordre des opérations de contrôle et la durée programmée pour chaque étape. Aussi, cette mise en place doit être toujours précédée par une phase de préparation incluant l’étude de l’environnement de l’entreprise, la détermination du périmètre de vérification et l’agencement des ressources et des moyens pour assurer le succès de la mission. 2.1.2 Une démarche appropriée L’étendue du périmètre de contrôle ainsi que l’importance des ressources humaines et matérielles à investir dépendent largement des propriétés de l’entreprise auditée. La taille de celle-ci, la complexité de sa structure organisationnelle et la performance de sa gouvernance et de son management, détermine les caractéristiques de la mission du contrôle. En conséquence, la nature de la missions et ses attributs peuvent varier d’une entreprise à une autre cependant les fondements de la démarche resteront les mêmes. 2.1.3 Démarche pérenne La mise en place des points de contrôles, des procédés préventifs et correctifs, se fait dans une optique de continuité de la démarche dans le temps. Elle se fait dans une perspective de
  • 17. 17 pérennité de l’activité et de la vie de l’entreprise. Visiblement, la démarche contrôle interne est une démarche de moyen et long terme. 2.1.4 Le changement et la rupture avec le passé « Dans le cadre de la démarche de contrôle interne comme dans toute démarche systématique d’entreprise, le changement est une préoccupation ou au moins un sujet fondamental de discussion » 17 Le changement dans ce cadre signifie l’acceptation des acteurs de l’entreprise qu’un changement incontournable et radical dans l’organisation interne et le fonctionnement de l’entreprise risque de se produire. Cependant, tout acte de refus ou de résistance à ce processus de changement est un phénomène humain et attendu. Les mutations prévues concernent les outils et les techniques de travail (utilisation de nouveaux logiciels), les méthodes de gestion (passage d’une gestion hiérarchique à une gestion participative) et les valeurs de l’entreprise (transformer une culture de fermeture et de cloisonnement à une culture d’ouverture et de partage). La capacité de management à faire passer cette métamorphose dans le fonctionnement et l’organisation au personnel de l’entreprise aura un effet très positif sur le processus de contrôle interne. Ainsi, elle contribuera à une évaluation plus rationnelle des risques, une sensibilisation aux impacts des risques sur les processus et une efficacité au niveau de l’application des recommandations et de la mise en place des dispositifs de maîtrise. 2.2 Analyse de quelques modèles de la démarche de contrôle interne 2.2.1 Démarche de Benoît Pigé La démarche de contrôle interne suit une logique universelle et unique reconnue par la plupart des référentiels et des lois en vigueur. Benoît Pigé dans son ouvrage « Audit et contrôle interne » propose la démarche suivante : • La prise de connaissance de l’entreprise qui comprend la compréhension de l’environnement (le secteur d’activité et la situation économique) dans lequel elle se situe ainsi que l’identification des spécificités de l’entreprise (la structure organisationnelle, la politique stratégique de l’entreprise, la position concurrentielle de l’entreprise et l’actionnariat de l’entreprise) 17 Frédéric Bernard, Rémi Gayraud et Laurent Rousseau, « Contrôle interne », Ed.MAXIMA, Paris, 2006, p 303
  • 18. 18 • L’évaluation des risques particuliers qui peuvent résulter d’une situation financière, d’une situation sociale ou des changements organisationnels internes • L’évaluation du contrôle interne consiste à décrire les procédures (l’observation, les entretiens avec le personnel de l’entreprise et la formalisation) vérifier l’adéquation des procédures aux objectifs à atteindre (fixation des objectifs et mettre en œuvre les moyens nécessaires) effectuer les tests d’application et d’efficacité des procédures de contrôle interne. • Effectuer les tests de validation du produit. (échantillonnage, validation intégrale)18 2.2.2 Démarche de contrôle interne de Frédéric Bernard D’autres auteurs comme Frédéric Bernard ont décomposé la démarche du contrôle interne en plusieurs phases. Toutefois, ils ont gardé les mêmes composantes et les mêmes outils au niveau de leur démarche. La démarche proposée par cet auteur est décomposée en plusieurs phases : 2.2.2.1 Phase d’analyse de l’existant et de réalisation des outils Dans cette étape deux outils principaux sont développés : • La cartographie des risques 19 : identification des risques majeurs et puis une représentation graphique de la vulnérabilité de l’entité analysée. La cartographie est obtenue à partir de la réponse des opérationnels aux questionnaires d’analyse des risques • Le plan d’action cadre général du plan destiné à améliorer la vulnérabilité aux risques ainsi identifiés 2.2.2.2 Phase de mise en œuvre opérationnelle du dispositif du Contrôle Interne Cette phase consiste à documenter les nouveaux outils en rédigeant des modes d’emploi puis de mettre en place pour les opérationnels des sessions de formation à l’utilisation de ces outils. On peut constater la divergence de forme des deux méthodologies précédentes mais une convergence sur le fond. 18 Benoît Pigé « Audit et contrôle interne », Ed EMS, Paris, 2001, p210 19 Voir annexe (7)
  • 19. 19 3 Démarche classique adopté par les éditeurs de logiciels de contrôle interne 3.1 Identification des processus 3.1.1 Définition 1 Yvon MOUGIN Consultant et Formateur à Cap Entreprise définit le processus comme un ensemble de ressources et d’activités liées qui transforment des éléments entrants en éléments sortant. Autrement dit, c’est une boite noire qui a une finalité (les données de sortie) et qui pour atteindre cette finalité utilise des éléments extérieurs (données d’entrée) et les transforme (en leur donnant une valeur ajoutée) par du travail et des outils (activités et ressources).20 3.1.2 Définition 2 Un processus est une succession d’activités à l’intérieur d’une organisation, s’enchaînant afin de produire un résultat. Les applications de travail coopératif peuvent définir différents processus en fonction de l’organisation et des outils mis en place.21 Pourtant, il faut faire la distinction entre le terme processus et le terme procédure qui signifie une façon spécifiée d’exercer une activité. L’identification des processus est la première étape dans la démarche de maîtrise des risques. Elle aide à la compréhension des métiers de l’entreprise et contribue à la pérennisation de la démarche de contrôle interne. Les objectifs de cette phase sont de construire une idée claire et structurée des processus de l’activité, de décrire les processus et de collecter les informations pour l’identification des risques et des contrôles prévus. Les opérations de contrôle interne sont très liées à tous les niveaux d’activités de l’organisation. L’ensemble de ses activités est constitué d’un nombre indéterminé de processus. « Le contrôle interne n’est pas un événement isolé ou une circonstance unique mais une ensemble d’actions qui se répandent à travers toutes les activités de l’entreprise. Ces actions sont perceptibles à tous les niveaux et sont inhérentes à la façon dont l’activité est gérée »22 20 http://www.knowllence.com/fr/publications/management_processus.pdf visité le 25/03/2009 21 . http://www.ordinal.fr/html/glossaire.htm visité le 25/03/2009 22 Coopers & Lybrand, « La nouvelle pratique du contrôle interne », Edition d’organisation, Paris, 1994, p 378
  • 20. 20 . . Processus Activité Procédure Pyramide des niveaux de granularité 1 Macroprocessus Processus Majeur 3.1.3 Cartographie des processus Pour mettre en œuvre une démarche de contrôle interne, il est indispensable d’abord de connaître et comprendre les activités, puis de définir les liens et les flux dynamiques entre ces activités (les flux d’entrée et les flux de sortie) Les différents niveaux de granularité de la cartographie des risques sont présentés dans le schéma suivant : 3.2 Déclinaison de la stratégie en objectifs Les objectifs expliquent la finalité du processus. Ils résultent également de la stratégie établie et sont formalisés dans le cadre du processus de pilotage de l’entreprise. Chaque entreprise par l’intermédiaire de son management détermine les objectifs et les stratégies pour les atteindre. Ils peuvent être fixés pour l’organisation dans son ensemble ou dirigés sur des activités particulières. Les objectifs fixés globalement au niveau de l’entreprise sont liés à des objectifs plus spécifiques au niveau des « activités ». Les objectifs doivent être clairement définis et découlent généralement des valeurs de l’entreprise et de sa stratégie globale. Ces objectifs sont classés en 3 catégories : • Des objectifs opérationnels : optimisation de l’utilisation des ressources économiques de l’entreprise • Des objectifs financiers : établissement des états financiers fiables et présentant une image fidèle • Des objectifs de conformité : conformité avec les lois et les réglementations en vigueur
  • 21. 21 Pour illustrer la notion d’un objectif et ses caractéristiques, on peut faire référence à Alain Gérard-Cohen qui dans son ouvrage « Contrôle interne et audit publics » parle de la déclinaison d’une réflexion par objectifs : « …à travers une réflexion organisée, cohérente, chiffrée, itérative, permettant tous les choix et arbitrages ( y compris politique), de façon claire et transparente, garantissant ainsi une optimisation réaliste des moyens réaliste des moyens et des ressources face à des besoins explicités et hiérarchisés. » 23 Aussi, il faut déterminer avec une précision significative, les moyens humains, financiers et techniques nécessaires pour atteindre ses objectifs. Pour mesurer la performance des résultats obtenus, il existe une multitude d’indicateurs qui sont définis selon la nature des objectifs et d’autres facteurs. 3.3 Analyse des processus L’analyse des processus est une étape majeure dans la démarche de contrôle interne. D’une part, elle consiste à fixer les objectifs principaux du processus, soulever les facteurs clés de succès du processus et les indicateurs clés de performance, encadrer le processus par un début et une fin. D’autre part, l’analyse des processus doit répondre aux questions : Qui fait (rôle)? Quoi (tâche) ? Par quel flux informationnel ? (systèmes d’informations supports) L’analyse des processus est une opération qui requiert un intérêt particulier de l’auditeur puisque c’est à ce niveau qu’il peut prévoir l’existence d’un risque potentiel ou d’un point faillible dans le processus. Ainsi, le degré de vigilance et de précision dans la conception et l’analyse de ces processus permettra d’augmenter la valeur ajoutée de cette étape dans la démarche du contrôle interne. Exemple grille d’analyse des processus Processus Objectifs Facteurs de succès Indicateurs de performance Rôles Tâche Systèmes d’information Niveau 1 Niveau 2 Niveau 3 23 Alain-Gérard Cohen, « Contrôle interne et audit publics », ed LGDJ, PARIS, 2005, p 183
  • 22. 22 3.4 Evaluation des risques 3.4.1 Notion de risque Danger dont on peut jusqu’à un certain point mesurer l’éventualité, que l’on peut plus ou moins prévoir. 24 Le risque est une perte potentielle, identifiée et quantifiable (enjeux), inhérente à une situation ou une activité, associée à la probabilité de l’occurrence d’un événement ou d’une série d’événements. 25 Menace qu’un événement, une action ou une inaction affecte la capacité de l’entreprise à atteindre ses objectifs et en particulier altère sa performance.26 3.4.2 L’identification et les différentes catégories de risque La démarche d’identification des risques se fait à partir des processus ou à partir d’une nomenclature donnée : La nomenclature d’un risque peut être structurée en cinq niveaux : • Risques opérationnels • Risques de système d’information • Risques humains • Risques légaux • Risques externes (exogène) Tout risque potentiel ou réel doit être recensé et étudié même si l’on considère qu’il est minimisé par un dispositif de maîtrise approprié. Le risque se subdivise en 3 catégories : • Le risque inhérent : c’est le risque d’apparition d’une erreur significative dans l’organisation suite à une faute (volontaire ou non), ou une fraude • Le risque de contrôle interne : c’est le risque que le système de contrôle présent dans l’entreprise ne peut pas empêcher une inexactitude significative • Risque de non détection ou le risque d’audit : le risque que l’audit ne permet pas de détecter une inexactitude significative.27 24 Dictionnaire encyclopédique universel. Edition Précis1998. P1383 25 http://fr.wikipedia.org/wiki/Risque visité le 06/04/2009 26 Ernst&Young. « Elaborer une cartographie des risques opérationnels, dans le cadre des exigences de la future directive Solvency II »
  • 23. 23 3.4.3 Processus et caractéristiques de la démarche d’évaluation des risques Toutes les organisations quelques soit leur taille, leur structure, la nature de leurs activités et le secteur économique dans lequel elles évoluent, sont confrontées à des risques et ce à tous les niveaux. L’ensemble de ses risques identifiés doit faire l’objet d’une évaluation fondée sur l’appréciation de leurs conséquences potentielles et de leur probabilité de survenance. Dans le même ordre, Sean Cleart et Thierry Malleret considère deux éléments essentiels pour mesurer le risque : « Le risque est généralement quantifié en considérant deux éléments : la probabilité qu’un événement survienne et son impact le cas échéant _habituellement exprimé en termes d’impact financier et de coût d’opportunité. »28 L’optimisation de la maîtrise d’un risque suppose l’existence d’un système d’évaluation fiable et pertinent. Une bonne évaluation d’un risque prend en considération sa nature différente et ses spécificités par rapport aux autres risques. Tous les risques ne sont pas identiques, un système efficace de gestion des risques est donc fondé sur la compréhension de l’étendue de chacun d’entre eux, des circonstances dans lesquelles ils peuvent émerger et de leurs conséquences éventuelles. 29 Pour élaborer une évaluation efficace des risques, le management de l’entreprise doit déterminer les axes suivants : • Une projection du risque dans l’horizon temporel pour mesurer le degré d’exposition • Les dispositifs et les moyens disponibles destinés à faire face aux événements indésirables qui pourraient se développer • Une échelle de risque de référence unique et personnalisée aux spécificités de l’entreprise utilisée pour juger l’exposition au risque • Un repère permettant à l’entreprise d’avoir un point de comparaison et un outil de mesure de sa performance. 27 Hugues Angot, Christian Fischer, Baudouin Theunissen. « Audit comptable, Audit informatique ». Edition: 3 De Boeck Université, 2004. p 304 28 Seán Cleary, Thierry Malleret Collaborateur Klaus Schwab, « Risques: Perception, Evaluation, Gestion ». Editions Maxima. 2006. 253 pages 29 Seán Cleary, Thierry Malleret Collaborateur Klaus Schwab, « Risques: Perception, Evaluation, Gestion ». Editions Maxima. 2006. 253 pages
  • 24. 24 3.4.4 Les critères d’évaluation de risque 3.4.4.1 La fréquence La fréquence F représente le produit entre une probabilité et une fréquence d’exposition. La probabilité correspond à la prévision que l’incident/accident se produise tandis que la fréquence d’exposition donne une idée de la sollicitation de la mission susceptible de provoquer le risque. 3.4.4.2 La détectabilité La détectabilité D représente la capacité de l’organisme à détecter et à repérer les risques. 3.4.4.3 La gravité La gravité (ou effet) G donne une indication des dommages et conséquences possibles en cas de survenance de l’accident / incident. 3.4.4.4 La criticité La criticité (C) reprend l’ensemble des critères précédant. Elle peut se calculer de différentes manières. La plus courante consiste à faire le produit de la probabilité, de la fréquence, de la détectabilité et de la gravité ; C = F x D x G 3.4.4.5 La maîtrise La maîtrise M représente la capacité de l’organisme à gérer et à maîtriser le risque. Cette maîtrise peut être appréhendée selon deux paramètres : la conscience ou non du risque ainsi que l’existence ou l’inexistence de barrières. 3.5 Mise en place des activités de contrôle 3.5.1 Définition des activités de contrôle Les activités de contrôle peuvent se présente comme une application des normes et procédures qui assurent la mise en œuvre des orientations émanant du management. Ces actes permettent de s’assurer que les mesures nécessaires sont engagées dans l’objectif de maîtriser les risques susceptibles d’affecter la réalisation des objectifs de l’entreprise. Les activités de contrôle sont réalisées à tous les niveaux hiérarchiques et fonctionnels. « Partant, on prendra des dispositions pour limiter la survenance de ces risques ou en tout cas pour en limiter les effets pervers : on appliquera donc des normes, des procédures, on
  • 25. 25 approuvera, autorisera, vérifiera, rapprochera, appréciera tout ce qui doit l’être ou plutôt tout ce qui vaut la peine de l’être. Les activités de contrôle constituent ainsi le troisième étage de la fusée.»30 Il existe de nombreux types d’activités de contrôle, qu’il s’agisse de contrôles orientés vers la prévention ou vers la détection, de contrôles manuels ou informatiques ou encore de contrôles hiérarchiques. Parmi les activités de contrôle, on peut souligner : • Les analyses exécutées par le management • Gestion des activités ou des fonctions • Traitement des données • Contrôles physiques • Indicateurs de performance 3.5.2 Détermination des points de contrôle et des actions de maîtrise Après l’étape de l’évaluation des risques en combinant plusieurs éléments pour le calcul de la criticité et de l’impact, il est temps de décrire des points de contrôle et de mettre en place des actions préventives (actions permettant de maîtriser les effets du risque avant son apparition) et correctives (actions permettant de contrôler le risque après son apparition). Les expériences vécues dans le domaine du contrôle interne ont démontré que les actions préventives sont les plus efficaces et elles permettent de minimiser le coût du risque. Cependant, la mise en place des actions préventives suppose une connaissance avancée du risque potentiel, de sa nature et de son étendue, ce qui n’est pas toujours le cas. Ajoutant à cela, le fait que la plupart des risques majeurs s’avèrent fatales à cause de leur non détectabilité. Quant aux actions correctives, elles sont plus couteuses puisqu’elles interviennent après la survenance du risque en essayant de limiter les dommages causés par ce dernier. Le point de contrôle correctif reste le plus évident à établir et à mettre en œuvre puisqu’il touche, à l’inverse de l’action préventive, à des éléments tangibles du risque. 30 Étienne Barbier. « MIEUX PILOTER ET MIEUX UTILISER L'AUDIT ». Editions Maxima, 1998. p 124
  • 26. 26 Partie (2) : Le Contrôle Interne Assisté par Ordinateur 1 Introduction au Contrôle Interne Assisté par Ordinateur 1.1 Le concept Aujourd’hui, l’intégration de l’informatique dans tous les domaines de la gestion et dans tous les secteurs économiques et financiers n’est plus qu’une question de temps. L’industrie, la finance ou la télécommunication ont déjà réalisé la nécessité de développer leurs systèmes d’information et de les mettre au centre de développement durable. Au début, le rôle de l’informatique était d’abord d’effectuer des opérations de calcul très complexes que le cerveau humain ne pouvait pas effectuer avec la vitesse et la précision de l’ordinateur. Ainsi, l’évolution de l’ordinateur dépend tout d’abord de l’évolution de sa capacité de calcul. Un ordinateur est d’abord un outil d’exécution, il traduit les données saisies en fonction d’un modèle préprogrammé par l’utilisateur dans le but d’arriver à un résultat précis. La notion de l’assistance par ordinateur constitue une rupture avec l’idée conçue de la fonction de cet outil. Désormais, l’application informatique à un nouveau rôle : orienter et assister l’utilisateur dans la réalisation d’une tâche ou d’une activité quelconque. Pour essayer d’éclaircir la notion du contrôle interne assisté par ordinateur, il faut expliquer d’abord la notion de l’assistance : Assister 31 : V.t. assister (lat. assistere, se tenir auprès) 1. Porter aide ou secours à qqn: La mairie assiste les familles démunies (secourir; délaisser, négliger). 2. Seconder qqn: L’apprenti assiste le chef dans la confection de ce gâteau (aider). v.t. ind. 1. Être présent à; participer à: Assister à un spectacle de danse (voir; manquer). 2. Être le témoin de; constater: On assiste à une baisse continue du chômage. Assister32 : [asiste]. [1] Etre présent. 2. Aider, seconder quelqu’un. Tech : équiper d’un dispositif d’assistance. Aide apporter à qqn. Demander, porter assistance à un ami. 31 http://fr.thefreedictionary.com/assister visité le 15/04/2009 32 Dictionnaire encyclopédique universel. Edition Précis1998. P1383
  • 27. 27 Assistance : 1.assemblée, auditoire. 2 Tech : dispositif capable d’amplifier un effort manuel et de le transmettre à un mécanisme Assisté : Tech. Muni d’un dispositif d’assistance. Direction assistée. Freinage assisté. L’ensemble des définitions qui existe pour le verbe « assister » ou le mot assistance répète toujours des mots clés comme l’aide, la présence et le dispositif d’assistance. Ces mots récapitulent d’une manière générale l’objet et les objectifs du concept Contrôle Interne Assisté par Ordinateur. Les applications informatiques de l’audit interne et particulièrement du contrôle interne tournent autour des 3 objectifs suivants : • Aider et orienter l’utilisateur dans sa démarche du Contrôle Interne • Assurer la continuité et la pérennisation de la démarche dans l’organisation • Constituer une référence de base pour l’organisation Ainsi, on peut construire une définition globale pour le « Contrôle Interne Assisté par Ordinateur » par l’accumulation de toutes les interprétations précédentes : Le Contrôle Interne assisté par ordinateur est l’utilisation de l’outil informatique pour aider, orienter et pérenniser la démarche de contrôle interne dans une organisation en mettant en place un ensemble de dispositifs ayant pour but, d’un coté d’assurer la protection du patrimoine et la qualité de l’information dans l’entreprise, de l’autre , d’assurer l’application des instructions de la direction et de favoriser l’amélioration des performances. 1.2 Les objectifs du Contrôle Interne Assisté par Ordinateur 1.2.1 Aider et orienter l’utilisateur dans sa démarche du Contrôle Interne Les logiciels informatiques de contrôle interne ont comme objectif principal d’assister l’auditeur interne ou le responsable du contrôle interne d’une entreprise à réaliser sa mission d’audit dans les meilleures conditions possibles. La plupart de ces logiciels ont pour point commun l’existence d’une base de données préétablie et qui est bien adaptée au secteur d’activité de l’entreprise ou le domaine de contrôle. Cette adaptation permet à l’auditeur de se situer à chaque fois par rapport à une référence ou un listing de normes réglementaires. Surtout avec l’existence de plusieurs domaines et de secteurs d’application de contrôle interne.
  • 28. 28 1.2.2 Assurer la pérennisation de la démarche du contrôle interne et de ses dispositifs dans le temps Le contrôle interne assisté met à la disposition de l’auditeur une sélection de fonctionnalités qui lui permet de sauvegarder et d’archiver l’ensemble de ces travaux réalisés au cours de sa mission d’audit. Ces données sauvegardées peuvent être utilisées et exploitées dans la suite des travaux de contrôle et la mise en place de plan d’action. Voire, elles peuvent servir pour les futures missions de contrôles. En fait, aucun document de contrôle interne n’est détérioré ou perdu. Aussi, l’auditeur à la possibilité de revoir l’historique et le développement des indicateurs de risque et de maîtrise sur plusieurs périodes. L’ensemble de ce système de solutions motive les acteurs de contrôle interne pour élargir et assurer la continuité de la démarche de contrôle interne. Ce qui n’est pas le cas pour les PME actuellement dans le cas d’un contrôle ne faisant pas appel à cet outil. Ces dernières ne disposant pas des moyens humains et matériels pour assurer la pérennisation de contrôle interne dans l’organisation. 1.2.3 Constituer une référence de base pour l’organisation Les logiciels de contrôle interne peuvent constituer une référence de base soit pour le contrôle interne soit pour la gestion de l’entreprise. Grâce à un ensemble de moyens de modélisation graphique et logique des procédures qui permet au personnel de revoir les méthodes appliquées pour la réalisation d’une activité donnée et la connaissance des dispositifs de contrôle prévus pour les risques de l’organisation. En plus, la plupart de ces logiciels assistent le management pour établir les tableaux de bord, les fiches de poste (suivi de l’écart profil- compétence). Finalement, ils constituent un lieu de stockage de la plupart des documents internes de l’entreprise (rapport de gestion, rapport financier, statuts, réglementation de secteur, documents statistiques,…) puis il autorise leur liaison avec une activité ou une tâche donnée.
  • 29. 29 1.3 Les logiciels du contrôle interne sur le marché Le logiciel Principaux clients Fonctionnalités Points forts VALDYS =>Piloter et modéliser le contrôle interne et maîtriser les risques opérationnels • Groupe Taitbout • Mut’Est • Le cabinet de conseil R & B Partner • AXIEM • Documentation et formalisation des processus et des risques • Formalisation du référentiel de contrôle • Croisement des points de contrôle avec les processus • Génération des tableaux de contrôle et des documents d’audit • Traçabilité du contrôle interne • Plan d’action et suivi des résultats • Forte capacité de modélisation • Souplesse d’utilisation • Granularité très fine • Conformité avec Solvency II et exigences de l’ACAM • Paramétrage selon le métier de l’entreprise Frontcontrol =>Assurer la cohérence du dispositif de contrôle interne et les mécanismes d’autoévaluation) • La poste • Groupama banque • Macif • Banque PSA Finance • Cartographie du contrôle interne • Génération des formulaires de contrôle • Collecte d’informations • Identification des plans d’action et mise à jour de la cartographie • Reporting • Conformité avec la loi Sarbanes Oxley et la Loi de la Sécurité Financière • Aide à la rédaction du rapport de contrôle • Evolutif Enablon Internal Control => Une solution de gestion et de pilotage de contrôle interne considérée comme l’une des solutions de référence du marché. • Auchan • IONIS • Evaluation des contrôles • Testing • Reporting • Capitalisation et partage des travaux d’analyse • Un référentiel centralisé • Un module de gestion et de suivi des opérations • Conformité avec la loi Sarbanes Oxley et la loi de la sécurité financière • Grilles d’évaluation personnalisées aux profils des entités • facilité d’emploi, son architecture
  • 30. 30 • Tableaux de bords • Analyse croisée dynamique des procédures • sa gestion décentralisée et son multilinguisme ISIMAN => créer un référentiel de contrôle interne et le déployer au sein de l’entreprise • Agence Française de Développement • AGIRC-ARRCO • Banque de Gestion Edmond de Rothschild Monaco (BGER) • Groupe Crédit Mutuel : Fédéral Finance • Groupe Malakoff Médéric • IRP Auto PRO BTP • Rattachement contrôle et risque ou objectif • Définition des contrôles de niveau 1 et 2 • Orchestrer la distribution des fiches de contrôle dans le temps et dans l’organisation • permettre les contrôles de contrôles • Formulaire des recommandations et des actions de suivi • Saisir les résultats des contrôles en mode déconnecté et ensuite de les importer en une seule opération dans la base de données • Conformité avec Bâle II, Solvency 2 et ACAM • Facilité d’utilisation et compatibilité avec Windows et Lunix
  • 31. 31 2 Avantages et limites du Contrôle Interne Assisté par Ordinateur 2.1 L’apport de Contrôle Interne Assisté par Ordinateur 2.1.1 Accélération de la mise en œuvre du processus de contrôle interne Parmi les avantages principaux des logiciels de contrôle interne, le gain de temps énorme dans la réalisation du processus d’audit et de pilotage des missions de contrôle. Subséquemment, on assiste à une concurrence très motivée entre les différents éditeurs pour proposer des produits de plus en plus efficaces et performants permettant d’économiser toujours plus de temps de travail de management. En vérité, ces éditeurs ont vite compris que le temps pour l’entreprise est une matière rare et couteuse. Plus le logiciel est facilement exploitable et permet d’automatiser plus d’opérations manuelles plus l’utilisateur de logiciel est satisfait. Alors, comment le Contrôle Interne Assisté par Ordinateur permet-il d’accélérer le processus du Contrôle Interne ? 2.1.2 L’existence d’une base de référence dans le domaine d’activité de l’entreprise Concrètement, pour comprendre cet avantage, il faut remonter à la fonction d’assistance et d’orientation de l’auditeur. Le Contrôle Interne Assisté par Ordinateur profite d’une base de référence conforme aux normes et à la législation en vigueur liés à un secteur d’activité donné (exemple : industrie nucléaire, assurance et mutualité, distribution, etc.) et qui remplace le recours automatique à la documentation manuelle (ouvrages, documents internes, internet, etc.). En recourant à cette solution, un auditeur débutant ou expérimenté économise beaucoup de temps de recherche et de réflexion pour adapter la mission de contrôle à la nature d’activité de l’entreprise. La viabilité de cette attribution est ressentie surtout à la phase d’identification des risques et de définition des points de contrôle.
  • 32. 32 2.1.3 La génération automatique des documents de contrôle La génération automatique de certains documents de base pour la réalisation d’une mission de contrôle interne est une fonction clé et une condition nécessaire pour les clients de ce type de logiciel. Cette génération automatique des documents permet une sélection, un tri et une extraction des données liées à un document concernant une étape spécifique de la démarche d’audit interne. Tout de suite, l’application injecte ces données dans le document à générer en évitant de cette manière d’effectuer des opérations de recherche et de calcul manuellement. Ainsi, les développeurs ont établis de grands efforts pour automatiser la génération d’un nombre considérable de documents d’audit, parmi lesquels je souligne : • Fiches d’audit • Cartographie des risques • Tableaux de bord • Plans d’action • Tableaux de contrôle • Rapport du contrôle interne • Tests d’audit … 2.1.4 Le croisement des données L’opération de croisement de données permet de détecter les écarts et les anomalies de la mise en œuvre entre différents niveaux et étapes de contrôle laissant ainsi la possibilité à l’auditeur de rectifier les erreurs de conception et d’estimation commises auparavant (exemple croisement des points de contrôle avec les tâches de contrôle) Cette fonction caractérise quelques logiciels des plus performants sur le marché. Le choix de mettre cette option dans une application demande beaucoup de vigilance et d’effort au niveau de programmation. Aussi, l’introduction de cette option nécessite de l’utilisateur une précision particulière dans le choix et l’établissement de sa terminologie de contrôle interne afin de surmonter le risque de confusion et de mauvaise interprétation par le programme informatique. 2.1.5 Partage et capitalisation des données de contrôle interne Aujourd’hui grâce aux réseaux informatiques, la communication des informations et des données est devenue une opération simple et de routine pour le personnel d’une entreprise. Il
  • 33. 33 lui suffit juste d’une connaissance limitée pour pouvoir partager tous les données concernées en quelques minutes. Dans ce cadre, le Contrôle Interne Assisté par Ordinateur permet de répondre aux besoins des auditeurs, de partager un ensemble de références et de données entre plusieurs services au sein de la même structure ou bien entre un ensemble de sites situés à des endroits espacés. Les logiciels existants sur le marché exploitent les réseaux informatiques internes de la firme pour exécuter un ensemble d’opérations de communication électroniques évitant de cette façon le déplacement, le risque de perte des documents papiers lors de leur envoi et le gaspillage de temps nécessaire à leur transfert. Parmi les avantages de partage des données entre différentes cellules dans la même structure ou entre plusieurs structures : • Actualisation des données instantanément pour tous les postes liés à la source permettant ainsi d’empêcher les conflits liés au retard de transmission des informations et de garder tous les auditeurs à jour • Plusieurs utilisateurs peuvent travailler sur la même mission en même temps ou à des moments différés à partir de plusieurs emplacements • Possibilité aux auditeurs (selon les droits attribués) de porter des modifications sur la base de données centrale et à porter son avis sur des modifications effectuées par d’autres auditeurs 2.1.6 La cohérence du dispositif de contrôle interne 2.1.6.1 Cohérence par rapport aux référentiels La complexité de la réglementation et la législation actuelle au niveau national, européen et international impose aux auditeurs de respecter des référentiels strictement définis et en même temps d’être en conformité avec un nombre de normes de pratiques d’audit interne. L’ensemble des logiciels de contrôle interne est en conformité avec une ou plusieurs lois dans le domaine, comme par exemple : • Loi de la sécurité financière • Loi Sarbanes Oxley
  • 34. 34 • Solvency II • COSO • Bale II Ces logiciels proposent ou obligent l’utilisateur à respecter une norme ou une loi donnée en limitant la marge de manœuvre de l’utilisateur ou en interdisant quelques modifications qui ne sont pas en conformité avec les réglementations du secteur. 2.1.6.2 Cohérence par rapport à la démarche du contrôle interne L’exécution d’une mission de contrôle interne est un enchaînement de phases (voir partie 1 point B: la démarche du contrôle interne) dont chaque phase correspond bien à un panel d’opérations de contrôle. L’ordonnancement de ces phases obéit à une logique précise et en aucun cas ces phases ne peuvent être réorganisées. Cette consigne est respectée à la lettre parce que d’abord la démarche de contrôle interne est conduite par l’application informatique selon un plan bien défini et les étapes sont effectuées et réalisées selon un enchaînement préétabli. 2.1.6.3 Cohérence entre les utilisateurs du logiciel La cohérence dans la conception des procédures, ainsi que dans l’analyse et les critères l’évaluation doit être respectée par tous les auditeurs. On ne peut imaginer deux méthodes d’évaluation distinctes pour un risque de même nature. Subséquemment, deux plans d’actions ou deux tâches de contrôle en contradiction ne peuvent jamais être établis pour deux risques identiques. Pour faire face à ce problème, le Contrôle Interne Assisté par Ordinateur permet de mettre tous les utilisateurs sur la même onde. Ainsi, tout conflit ou contradiction est détectable par le système et peut être signalé à l’instant même de sa manifestation. 2.1.7 Pertinence des mécanismes d’évaluation des risques Le Contrôle Interne Assisté par Ordinateur procure une solution adéquate pour pouvoir réaliser une évaluation de risque pertinente. Tout d’abord, le système demande de déterminer une échelle de référence sur les critères et les méthodes d’évaluation des risques adoptée par le management et le Conseil d’Administration. Cette base sera exploitée et respectée tout au long de la démarche d’audit. A chaque fois que l’auditeur intègre des données liées à la cotation d’un risque, l’ordinateur lance un message de rappel de cette base de référence ou bloque l’entrée de certaines données incohérentes de cette base initiale. Aussi, elle contraint l’utilisateur à respecter la démarche conçue pour l’évaluation même pour les risques qui
  • 35. 35 semblent non significatifs par rapport aux autres. En effet, cette option permet de détecter des risques considérés acceptables mais qui s’avèrent après la phase de cotation très signifiants. Exemple : Un auditeur fait le choix de l’échelle de cotation suivant : Détectabilité (D) de 1 à 5, Gravité (G) de 1 à 4 et Criticité (C) de 1 à 5 C = D*G*C L’ordinateur ne reconnaît pas alors une évaluation de D=6, G=5 et C=3 est lance un message d’erreur Le calcul de la criticité est automatique seulement si on respecte les critères d’évaluation choisis. 2.1.8 Aide à la rédaction du rapport de contrôle interne A l’issue d’une mission de contrôle interne, les auditeurs établissent un rapport de contrôle dans lequel ils présentent le travail de contrôle effectué à toutes les phases d’audit, leurs constations et les recommandations à suivre dans les prochaines étapes. La loi n°2003-706 du 1er août 2003 dite loi de Sécurité Financière impose au président du Conseil d’Administration ou de Conseil de Surveillance de rendre compte, dans un rapport joint au rapport de gestion annuel, des conditions de préparation et d’organisation des travaux du conseil, ainsi que des procédures de contrôle interne mises en place par la société33 . Initialement appliquée à toutes les sociétés anonymes, l’obligation d’établir ce rapport a été ensuite limitée aux seules sociétés faisant appel public à l’épargne34 . Le rapport de contrôle interne permet à l’entreprise d’avoir une image réelle sur le degré de maturité de ses contrôles et ainsi de traiter les risques associés. Les logiciels de contrôle interne présentent un moyen efficace pour minimiser les coûts et le temps de réalisation du rapport. Ces logiciels permettent alors de : • Collecter et trier toutes les informations nécessaires à l’établissement du rapport en se référant à la base de données déjà existante. 33 Article 117 de la loi modifiant les articles L. 225-37 et L. 225-68 du code de commerce 34 Loi n°2005-842 du 26 juillet 2005 pour la confiance et la modernisation de l'économie (loi Breton)
  • 36. 36 • Donner le choix à l’utilisateur de faire figurer ou non un nombre d’éléments du rapport selon l’importance de ces derniers pour les organismes de contrôle • Automatiser les calculs et la mise en forme des résultats obtenus • Permettre une mise à jour automatique du rapport après chaque modification • Permet d’avoir une idée générale sur l’avancement du travail à chaque étape de réalisation du rapport. 2.1.9 Pérennisation de la démarche d’audit La mise en place d’un système de contrôle interne est une opération qui ne se limite pas à la durée de la mission de contrôle mais elle continue tout au long de la vie de l’entreprise. En effet, l’auditeur interne est amené à mettre à jour l’évaluation des risques continuellement, à suivre l’application et la mise en œuvre des recommandations et à développer des activités de maîtrise, etc. Le changement de l’environnement et la métamorphose des risques sont les causes principales de cette mobilisation continue. Dans ce cadre, la valeur ajoutée du Contrôle Interne Assistée par Ordinateur est de pouvoir actualiser les données d’une manière automatique sans être obligé de refaire les même travaux à chaque nouvelle mission d’audit et de historier les changements périodiques à l’aide du logiciel. Par ailleurs, il donne la possibilité de suivre et d’observer les évolutions des risques et des contrôles en temps réel. De cette façon, l’utilisateur peut modifier les caractéristiques d’un risque ou d’un point de contrôle à chaque fois que la situation l’exige. Cette option allège le travail de l’auditeur puisqu’elle permet de partager l’effort réalisé sur toute l’année et évite ainsi une accumulation du travail sur une période particulière. 2.2 Les limites du Contrôle Interne Assisté par Ordinateur 2.2.1 Rigidité partielle La fonction principale des logiciels de contrôle interne « assistance de l’auditeur dans sa démarche de contrôle interne » entraîne un déséquilibre entre d’une part la volonté d’une formalisation excessive des procédures des activités de l’entreprise et d’autre part l’utilisation adaptée des techniques d’audit interne. En effet, le développeur cherche à limiter la marge de manœuvre de l’utilisateur par le blocage de centaines de fonctionnalités et l’interdiction d’accès à d’autres, afin de le contraindre à rester en conformité avec les lois et les normes en vigueur. En conséquence, les
  • 37. 37 utilisateurs ont tendance à renoncer à un nombre de constatations ou d’observations dans la mesure où ils n’arrivent pas à les introduire dans le système informatique. Ainsi, les utilisateurs seront obligés de respecter la méthode d’audit proposée par le système et d’abandonner toute démarche appropriée à l’auditeur ou déjà utilisée par l’entreprise dans les missions précédentes. 2.2.2 Maîtrise limité des fonctionnalités du logiciel Pour bénéficier de toutes les fonctionnalités d’une application de contrôle interne, l’utilisateur doit avoir des compétences avancées en informatique et une bonne compréhension de l’architecture du logiciel. Cette qualité lui autorise une exploitation maximale des outils que procurent le logiciel et une optimisation des résultats recherchés. Ces connaissances ne se limitent pas seulement à l’application de contrôle interne mais doit porter aussi sur d’autres outils comme les outils bureautiques, la gestion des bases de données et l’architecture des réseaux informatiques. En fait, la plupart des logiciels de contrôle interne font appel à d’autres ressources externes pour alimenter et réaliser des opérations de calcul (exemple : Word pour génération des documents, Excel pour les calculs complexes et les graphiques, Access ou MySQL pour la gestion des bases de données, Internet explorer pour la lecture des pages HTML). Afin de surmonter cet obstacle, les éditeurs de logiciels proposent des modules de formation pour leurs logiciels et une assistance à distance pendant la durée de l’utilisation des contrats. Dans le même but, ils incluent dans leurs applications des outils d’aide et des exercices pratiques pour améliorer et répondre aux questions des utilisateurs. 2.2.3 Les erreurs informatiques A l’instar des autres applications, les logiciels de contrôle interne présentent quelques points de défaillance qui peuvent nuire à l’utilisateur et l’empêcher de réaliser quelques opérations d’entrée de données, de traitement ou de génération de documents. Ces problèmes sont généralement dus à des erreurs de programmation ou de conception. Parmi les erreurs les plus courantes : • Erreurs d’incompatibilité avec d’autres logiciels ou systèmes d’exploitation • Les bugs qui résultent souvent des erreurs de programmation comme les erreurs dans une formule de calcul ou des messages non compréhensibles.
  • 38. 38 • Erreurs d’installation de l’application sur un poste informatique et erreurs de paramétrage • Erreurs dans la définition des droits d’accès et de modification • Non respect de certaines normes de sécurité de réseau La grande partie de ses problèmes est expliquée par la nouveauté de ces logiciels sur le marché. Ainsi, les développeurs sont toujours en veille pour corriger ces défauts informatiques par des mises à jour régulières dans le cadre de développement de logiciel ou suite à une signalisation d’utilisateur. Néanmoins, les anciennes solutions sur le marché bénéficient toujours d’un pas d’avance par rapport aux autres grâce à une expérience accumulée dans ce domaine. 2.2.4 Dépendance Le recours au Contrôle Interne Assisté par Ordinateur ne remplace jamais l’esprit analytique et critique de l’auditeur ainsi que sa rationalité dans l’évaluation des risques. Il fait appel aussi à sa capacité créative et à son instinct d’auditeur. Cependant, l’utilisation continue et permanente de cet outil peut stimuler une dépendance relative à cet outil et entraîner alors une influence notable sur les choix et les analyses de l’auditeur. En plus, l’existence d’une base de données initiale liée à la nature de l’activité de l’entreprise implique une tendance de l’utilisateur à adopter des solutions prêtes au lieu de faire l’effort d’une analyse structurée. Pourtant, les solutions préexistantes dans la base de données ne s’appliquent pas toujours à l’organisation auditée. 2.2.5 Gestion de temps irrationnelle Le Contrôle Interne Assisté par Ordinateur demande beaucoup d’investissement en matière de temps. Les premiers mois sont les plus dures, et l’utilisateur à l’impression que le travail avance très lentement. Cela n’a rien d’étonnant, c’est tout-à-fait normal que dans les premiers mois on démarre très lentement puisque c’est la période de formation et de découverte du logiciel. L’utilisateur rencontre alors un grand nombre de blocages techniques et d’incompréhensions surtout au niveau de la logique de modélisation graphique. En réalité, ce sont les premiers mois seulement qui consomment beaucoup de temps parce que c’est une période d’adaptation et de conception. Après cette phase, l’accélération des procédures de mise en place est remarquable, les phases d’analyse des risques, de développement des activités de contrôle et le suivi des plans d’action prennent moins de
  • 39. 39 temps. L’évolution de la mise en place du Contrôle Interne Assisté par Ordinateur dans l’axe temps suit une courbe exponentielle. Graphe représentant l’évolution de la mise en place de CIAO en fonction du temps 2.3 Les clés de réussite d’un projet de Contrôle Interne Assisté par Ordinateur La réussite de l’introduction du Contrôle Interne Assisté par Ordinateur dans une organisation passe d’abord par un ensemble de dispositions et de pré-requis : • Une organisation comportant une définition claire des rôles, disposant des moyens nécessaires et des compétences adéquates et s’appuyant sur des systèmes d’information efficaces, sur des procédures ou modes opératoires, des instruments et des dispositifs adaptés. • Une communication interne pertinente, fiable et efficace qui permet à chacun d’exercer ses responsabilités sans confusion ni désordre. • L’existence d’un système permettant de recenser, d’évaluer et d’analyser les principaux risques identifiables, de réaliser les objectifs de l’organisme et de s’assurer de l’existence des procédures de maîtrise de ces risques. • L’existence des activités de contrôle proportionnées aux risques liés à chaque processus, et conçues pour s’assurer que les mesures nécessaires soient prises en vue de maîtriser les risques susceptibles d’affecter la réalisation des objectifs. • Une surveillance permanente portant sur le dispositif de contrôle interne ainsi qu’un examen régulier de son fonctionnement. Phase 1 Phase 2 Phase 3 Avancement de mise en place de CI Temps
  • 40. 40 3 Etude de cas logiciel Valdys 3.1 Présentation du logiciel 3.1.1 Fonctions majeurs et apport du logiciel Désormais, les sociétés d’assurances et les mutuelles (compagnie, mutuelle ou institution de prévoyance) sont soumises à une réglementation stricte qui leurs impose des connaissances particulières en contrôle interne et une maîtrise totale des risques opérationnels y compris les risques financiers. En effet, le second pilier de la directive Solvabilité 2 oblige les entreprises du secteur des assurances à mettre en œuvre des actions de contrôle interne et de management des risques qui nécessitent le recours à une méthodologie structurée et à des savoirs-faires innovants en contrôle interne. Dans ce cadre, Effisoft (éditeur de solutions informatiques de gestion) a développé l’application Valdys : outil structurant permettant de piloter et de modéliser le contrôle interne. Il apporte une connaissance exhaustive et une maîtrise totale des risques opérationnels liés à la société relevant du contrôle de l’ACAM.35 Valdys permet d’une part de mettre en œuvre le référentiel de contrôle interne en décrivant et en formalisant les processus et les risques au sein d’une démarche structurante intégrant les spécificités des métiers de l’assurance (IARD, santé, prévoyance, retraite, …). Aussi, il intègre la fonction d’évaluation des risques, d’identification des points de contrôle et de leurs croisements avec les processus de l’entreprise. Il permet de générer les tableaux de contrôle interne et les documents d’audit (fiches de contrôles, fiches de tests, plannings d’audit, tableaux de synthèse) ainsi que tous les livrables réclamés dans le cadre du contrôle permanent de l’ACAM. D’autre part, il permet de diffuser le référentiel de contrôle interne et la déclinaison opérationnelle des points de contrôle en générant automatiquement sous forme de documents électroniques, documents papiers ou pages web intranet, les processus, les procédures, l’analyse des risques et les plans d’action et de suivi pour faciliter la diffusion des informations à tous les acteurs concernés. Les fonctionnalités de cet outil sont en général les objectifs concernant le Contrôle Assisté par Ordinateur à savoir : • La réduction du temps de mise en place d’un système de contrôle interne 35 http://www.valdys.com/Pages/Solutions/Solutions.aspx?Action=Valdys
  • 41. 41 • La sauvegarde et l’archivage des résultats obtenus à un moment donné dans l’objectif de la traçabilité de la démarche • La génération automatique d’un ensemble de documents d’audit et du rapport de contrôle interne • La conformité aux contraintes liées à Solvabilité 2 • L’économie de ressources matérielles et humaines • L’assistance en ligne et l’accompagnement technique et professionnel 3.1.2 Caractéristiques techniques Valdys est une solution qui n’est pas très exigeante en performance matérielle des ordinateurs ou des serveurs de réseau. Cette caractéristique renforce son apport en tant que solution économique pour l’entreprise. De ce fait, les clients ne sont pas amenés à avoir des équipements de haute performance pour le mettre en route. Selon les besoins, Valdys peut être installé en client lourd ou léger. Autre avantage, sa compatibilité avec toutes les bases de données du marché (Access, MYSQL,…). La configuration requise est la suivante : • Espace disque nécessaire : 50Mo • Mémoire : 1Go • Processeur : Pentium III ou supérieur • OS : Windows, Windows NT4 SP6, Windows 2000 SP3, Windows XP • IE 5.1 ou supérieur En revanche, certaines défaillances de ce logiciel ont été soulevées : • L’installation du logiciel nécessite des connaissances informatiques très avancées. Ces difficultés sont surtout dues à des mesures très strictes contre le piratage du logiciel. • Nombre considérable d’erreurs et de bugs informatiques • Incompatibilité avec la dernière version de Windows (Vista) et la dernière version Office 2007, pour contourner ce problème l’éditeur propose pour ces clients dotés de ce type de système d’exploitation ,des mises à jour. • L’édition du rapport de contrôle interne demande encore des efforts considérables de l’utilisateur pour l’adapter aux exigences de l’ACAM.
  • 42. 42 3.2 L’architecture de Valdys 3.2.1 Présentation de l’arborescence de Valdys Globalement, le logiciel est conçu sous forme d’une arborescence constituée de plusieurs niveaux. Chaque niveau présente un angle de vue particulier sur le système de contrôle interne paramétrable selon la phase de contrôle à réaliser. Les informations générées lors de l’utilisation de Valdys sont enregistrées dans une base de modélisation représentée par un ou plusieurs fichiers. Schéma de l’architecture globale de la base de données 3.2.2 Le projet, le point de vue et le modèle 3.2.2.1 Le projet Le premier niveau de structuration de la base de modélisation est le Projet. Il est possible de modéliser différents projets au sein d’une même base. Un projet est un ensemble homogène de points de vue et qui vise à réaliser les objectifs définis de contrôle interne. C’est le niveau le plut haut des niveaux de conception d’une base de contrôle interne. Il est composé d’un ou Bas de données CI Projet 1 Projet 2 Projet 3 Projet 4 Point de vue 1 Point de vue 2 Point de vue 3 Point de vue 4 Modèle 1 Modèle 2 Modèle 3 Modèle 4
  • 43. 43 plusieurs points de vue jugés pertinents pour la structuration du référentiel de contrôle interne36 . Il est possible de modéliser différents projets au sein d’une même base. Exemple de projet: « Création de base de contrôle interne pour une mutuelle ». 3.2.2.2 Le Point de Vue Ensemble de modèles identiques ou différents s’inscrivant dans un projet et décrivant un éclairage particulier sur l’objet de la modélisation. Exemples : processus de pilotage, processus cœur de métier, etc.37 Les Points de Vue permettent d’exprimer différentes dimensions complémentaires : o Complémentarité dans le temps (un point de vue actuel, un point de vue cible) o Complémentarité dans l’organisation (un point de vue interne, un point de vue externe) o Complémentarité dans l’espace (un point de vue central, un point de vue local) Un Point de Vue s’exprime à travers un ou plusieurs Modèles. 3.2.2.3 Le Modèle Ensemble de cadres, de règles de construction et d’outils d’édition offrant une représentation structurée38 .Chaque modèle relève d’un type de modèle qui précise les concepts manipulables dans celui-ci. Par exemple, un modèle de type Arbre des Missions permet de manipuler le concept de mission et les liens permettent de structurer une décomposition de missions en sous missions, sous-sous-mission, etc. D’une manière générale, un Modèle est un graphe composé de nœuds et de liens, qui représentent des concepts manipulables. Ces nœuds et liens manipulés par les différents éditeurs de modèles sont donc les représentants graphiques des concepts qui sont stockés dans le Dictionnaire d’éléments. Ce dernier est propre à un Projet et il est partagé par tous les Points de Vue et Modèles d’un seul et même Projet. 36 Annexe 1 « Lexique Valdys » 37 Annexe 1 « Lexique Valdys » 38 Annexe 1 « Lexique Valdys »
  • 44. 44 3.3 Le projet de Contrôle Interne selon Valdys 3.3.1 Identification/Formalisation des processus La première étape dans la réalisation du projet de mise en place du contrôle interne est de décliner les missions et les objectifs de l’organisme afin d’identifier les processus clés de celui-ci ainsi que les moyens mis en œuvre pour en garantir leur bon fonctionnement. Il y a trois niveaux de conception des processus de l’organisation. 3.3.1.1 Le Macro-processus 39 C’est la vision globale du métier de l’entreprise avec une décomposition homogène et cohérente selon ces différentes missions. La décomposition de l’activité de l’entreprise proposée par Valdys concerne 3 grandes catégories (mission Pilotage, mission Cœur de métier et mission Support, selon normes ISO 9000) • Les processus de direction ou de pilotage : ils retracent la manière avec laquelle la direction de l’entreprise pratique sa politique de pilotage et de gouvernance. • Les processus de réalisation ou processus métier : ces processus traitent le fonctionnement de réalisation d’un produit ou d’un service en décortiquant l’enchainement des activités opérationnelles en plusieurs phases. • Les processus support : ils permettent de représenter les moyens nécessaires à la mise en œuvre des processus métiers. 3.3.1.2 Le Diagramme de Phase 40 C’est la représentation graphique d’un ensemble d’activités dans le cadre de la même mission de contrôle. La phase symbolise une période durant laquelle se déroule un ensemble d’activités au travers d’un découpage temporel. Les liaisons entre les différents diagrammes de phases sont sous formes de connecteurs d’entrée ou connecteurs de sortie. 39 Voir annexe (2) 40 Voir annexe (4)
  • 45. 45 3.3.1.3 Le Logigramme 41 Le troisième niveau de vision des procédures est le Logigramme « Schéma représentant un processus mis en œuvre pour assurer une mission42 ». A ce stade, un auditeur peut avoir une représentation synthétique d’une activité en modélisant des tâches et les liants avec des flux horizontaux ou verticaux. Grâce à ce schéma, la réponse à la question « qui fait quoi ? » est complète. Le Logigramme décrit de point de vue opérationnel une activité à travers les pratiques des métiers de l’entreprise (une procédure au sens ISO 9000). La description des Logigrammes permet donc de formaliser les pratiques opérationnelles existantes et permet éventuellement d’optimiser le système d’information et / le système de production de l’entreprise sur un périmètre donné. Schéma représentant un processus mis en œuvre pour assurer une mission43 3.3.2 Identification et évaluation des risques 3.3.2.1 Catégories de risques Après la définition et la modélisation des procédures, l’auditeur entame la phase d’identification et d’évaluation des risques. D’abord, il faut partager les risques en risques exogènes et risques endogènes : 41 Voir annaex (4) 42 Voir annexe (1) 43 Voir annexe (1) Macroprocessus Digramme de phase Logigramme
  • 46. 46 • Les risques exogènes sont des risques d’origine externe à l’entreprise (exemple : les catastrophes naturelles, coupures de courant, etc.). • Les risques endogènes se sont les risques liés à des facteurs déclenchés au sein de l’entreprise (fraude interne, erreur de saisie, mauvaise interprétation d’un texte de loi par le personnel, etc.). La première catégorie de risque est modélisée avec des « Arbres des familles de risque»44 pendant que la deuxième catégorie est modélisée sous forme « d’Arbre de risque ». La représentation graphique de ces arbres met en évidence la relation entre les missions et les objectifs ainsi que les risques liés à chaque objectif (événement indésirable ou classe d’événements indésirables). L’établissement et l’analyse de procédure est une étape préparatoire à l’identification et l’évaluation des risques. La logique de Valdys permet de déduire les risques en analysant les objectifs à réaliser et les contraintes réglementaires à respecter. Ces risques en général se produisent dans le cadre de la réalisation des activités de l’entreprise. Ainsi, la modélisation des risques sous l’appellation « arbre de risque » est la suivante : 3.3.2.2 Evaluation des risques L’évaluation des risques est une phase critique dans la démarche de contrôle interne. Tout effort réalisé par un auditeur est fondé sur une analyse fiable et rationnelle des risques. Dans le cas inverse, toute la mission d’audit et les objectifs liés peuvent être condamnés à l’échec. 44 Voir annexe (5) Mission Objectif Contrainte Evénement indésirable (Risque) ou classe d’événements indésirables Point de contrôle Action corrective Action préventive
  • 47. 47 Conscient de l’importance stratégique de cette phase, Valdys accorde beaucoup de moyens et de ressources pour l’évaluation des risques. D’abord, pour évaluer la criticité d’un risque Valdys intègre 3 facteurs dans la fonction de calcul : • Fréquence F (de 1 à 5) • Détectabilité D (de 1 à 5) • Gravité G (de1 à 5) La formule de calcul de la criticité est : Criticité = Fréquence* Détectabilité*Gravité La criticité est ainsi comprise entre 1 et 100. Dans certains cas l’auditeur est amené à prendre en considération le poids significatif d’un des facteurs précédents. Pour faire, Valdys permet de changer la formule de calcul par une autre comme par exemple (C=F*G², F*G, G^4*F²*D). Puis, Valdys permet aussi de détailler l’évaluation de la Gravité en la décomposant en plusieurs impacts de différentes natures (impact financier, impact client, impact image, impact fournisseur, …). Enfin, le logiciel permet de générer des cartographies de risque. Une fois les risques cotés, il est possible de générer la cartographie de risques représentant graphiquement les risques et leur importance. Pour cela, tous les risques de l’Arbre des risques 45 n’ont pas besoin d’être forcément cotés. Il est possible de générer une cartographie des risques pour un seul arbre des risques à la fois ou pour tous les arbres présents dans le modèle « Arbre des risques » ou pour tous les arbres de risques d’un projet 3.3.3 Identification des éléments de contrôle et croisement avec les tâches ou activités de contrôle Pour chaque risque majeur ou mineur, Valdys permet d’identifier un ou plusieurs éléments de maîtrise : • Action corrective • Action préventive 45 Annexe (3)
  • 48. 48 • Point de contrôle A chaque élément de maîtrise doit correspondre une tâche de contrôle présent au niveau des Logigrammes. Cette opération de liaison entre les points et les tâches de contrôle est appelée processus de croisement des risques. Une génération par la suite des tableaux de contrôle nous permettra de détecter les défaillances du système de contrôle interne dans l’entreprise (les risques auxquels ne corresponde aucune tâche de contrôle). 3.3.4 Suivi et amélioration Valdys permet de planifier et de mettre en place des plans d’action et de contrôle, de réaliser des évaluations de contrôle et de suivre des recommandations. Dans ce cadre, il dispose de plusieurs outils et moyens : • La Fiche de contrôle : elle décrit de quelle manière les risques sont pris en compte au niveau des processus (mode opératoire, responsable, fréquence du contrôle, etc.) dans le but de maîtriser les risques du métier. • Le Tableau de contrôle : il permet de synthétiser le rapprochement entre les risques, les points de contrôle et les processus; et ceci, afin d’identifier les écarts. • Le Tableau de bord : il permet de synthétiser l’avancement des audits et des résultats obtenus; et ceci, par période, type de risque, date, etc. • Le Planning des actions : il permet de visualiser les actions correctives et préventives puis d’organiser leur suivi. • L’Echéancier d’évaluation : il indique, pour une période donnée, la liste des audits à mener et la charge de travail correspondante dans le but de planifier efficacement les évaluations. 3.4 Les documents générés en interne par Valdys 3.4.1 Le rapport du contrôle interne Le rapport du contrôle interne récapitule l’ensemble des informations intégrées dans Valdys en les organisant d’une manière cohérente et homogène. Le rapport de contrôle interne est notamment destiné aux autorités de tutelle telles que l’ACAM – Autorité de Contrôle des Assurances et des Mutuelles.
  • 49. 49 Dans ce cadre, Valdys permet de générer un rapport de contrôle interne sous forme d’un fichier au format Word. Le script utilise toute la base de données disponible et les informations enregistrées par l’auditeur pour générer un rapport de contrôle interne. La structure finale du rapport de contrôle interne est modifiable selon les besoins de l’utilisateur. Ainsi, l’auditeur décide de mettre ou non un certain nombre de renseignements dans le rapport de contrôle selon leur degré d’importance et d’utilité. Néanmoins, la performance du logiciel dans la génération du rapport reste limitée. Effectivement, l’utilisateur doit intégrer lui-même un nombre d’informations qui alimentera la base Valdys (exemple : informations sur l’organisation du Conseil d’Administration) et effectuer les modifications finales pour mettre en conformité le rapport avec les exigences de l’ACAM. L’utilisateur est confronté alors à des mesures restrictives établies par l’éditeur du logiciel dans le cadre d’encadrer la mission d’audit. Cela engendre beaucoup de difficultés pour changer ou modifier des éléments du rapport comme le contenu des tableaux ou des graphes. Un autre inconvénient, le logiciel ne présente qu’un seul choix concernant la structure de rapport ; en conséquence l’utilisateur ne peut pas modifier l’architecture du rapport. Dans ce cas, il est invité à fournir un effort considérable pour changer la structure du rapport par défaut. De plus, on note l’absence d’une génération automatique d’une note de synthèse sur l’état et l’aboutissement du travail de contrôle effectué par l’auditeur. 3.4.2 La génération des pages HTML 46 La génération d’un site web est une fonctionnalité très utile pour la diffusion et le partage d’information entre le personnel. Tout le travail réaliser de la modélisation des procédures jusqu’à la génération du rapport est intégralement consultable. Ce site web généré peut être consulté et intégré dans l’intranet de l’entreprise ou dans un réseau extranet. Les utilisateurs ayant les droits d’administrateur ont l’option d’interdire et de sécuriser l’accès à des éléments confidentiels. 46 Voir annexe (8)
  • 50. 50 Conclusion Le Contrôle Interne Assisté par Ordinateur est une option portant une grande valeur ajoutée pour les entreprises et les cabinets d’audit afin d’assister et d’accélérer le processus de mise en œuvre de la démarche de contrôle interne. Les trois axes de ce mémoire démontrent le rôle important du Contrôle Interne Assisté par Ordinateur à la gestion de l’organisation et au processus de maîtrise des risques. Accélération de processus, économie des dépenses liées aux opérations de contrôle, cohérence de démarche entre auditeurs, en effet la valeur ajoutée de cet outil est de plus en plus remarquable. Cependant, il ne faut pas ignorer l’importance des défaillances constatées et déduites lors de notre analyse du concept et surtout dans notre étude de cas surtout concernant les dimensions techniques et la maîtrise des outils de logiciels. Par ailleurs, il est très tôt de porter un jugement négatif à cause des inconvénients déjà relevés. Notamment parce que notre analyse a porté sur un seul logiciel (Valdys) et aussi en se référant à d’autres ressources documentaires. Pour généraliser notre étude, il faut impliquer dans l’analyse d’autres logiciels et d’autres utilisateurs. Cette analyse doit faire l’objet de tests pratiques et techniques réalisés par les acteurs et les experts du contrôle interne et les éditeurs et concepteurs de ces solutions de gestion. Un effort conjugué entre toutes ces parties peuvent contribuer au développement et à l’amélioration du Contrôle Interne Assisté Par Ordinateur. Finalement, on peut dire qu’à l’instar de toutes les solutions informatiques proposées aux entreprises, le Contrôle Interne Assisté par Ordinateur connaît un développement rapide et soutenu du nombre de ces clients grâce à un meilleur rapport coût/efficacité et devient ainsi un concurrent redoutable pour les cabinets d’audit.
  • 51. 51 Bibliographie : • Frédéric Bernard, Rémi Gayraud et Laurent Rousseau, « Contrôle interne », Ed.MAXIMA, Paris, 2006, p 303 • Norme CNCC 2-301, évaluation du risque et de contrôle interne », para 08, Référentiel normatif CNCC,2003 • Coopers & Lybrand, « La nouvelle pratique du contrôle interne », Edition d’organisation, Paris, 1994, p 378 • Kamal ABOU EL JAOUAD, « Les enjeux du contrôle interne » Université Clermont • Benoît Pigé « Audit et contrôle interne », Ed EMS, Paris, 2001, p210 • Alain-Gérard Cohen, « Contrôle interne et audit publics », ed LGDJ, PARIS, 2005, p 183 • Dictionnaire encyclopédique universel. Edition Précis1998. P1383 • Ernst&Young. « Elaborer une cartographie des risques opérationnels, dans le cadre des exigences de la future directive Solvency II » • Hugues Angot, Christian Fischer, Baudouin Theunissen. « Audit comptable, Audit informatique ». Edition: 3 De Boeck Université, 2004. p 304 • Seán Cleary, Thierry Malleret Collaborateur Klaus Schwab, « Risques: Perception, Evaluation, Gestion ». Editions Maxima. 2006. 253 pages • Étienne Barbier. « MIEUX PILOTER ET MIEUX UTILISER L'AUDIT ». Editions Maxima, 1998. p 124 • Dictionnaire encyclopédique universel. Edition Précis1998. P1383 Webographie : • http://www.efront.com/fr/Logiciel_Controle_Interne.asp • http://enablon.com/produits/gestion-des-risques/controle-permanent.aspx • http://www.keyword.fr/sitekeyw/html_val/ru$44___.htm?gclid=CLK0jd6c65kCFQiF3godMi uuQQ • http://fr.wiktionary.org/wiki/contr%C3%B4le • http://www.bumko.gov.tr/KONTROL_EN/Images/kontrol/coso.jpg • http://www.french-american.org/files/cr-francais-diner-ifafaf.pdf) • http://www.amf-france.org/documents/general/4746_1.pdf • http://www.knowllence.com/fr/publications/management_processus.pdf • http://www.ordinal.fr/html/glossaire.htm • http://fr.wikipedia.org/ • http://fr.thefreedictionary.com/assister • http://www.valdys.com/Pages/Solutions/Solutions.aspx?Action=Valdys
  • 53. 53 1 Annexe (1) : Lexique Valdys
  • 54. 54
  • 55. 55 2 Annexe (2) : le Macro-processus
  • 56. 56 3 Annexe (3) : Arbre des risques
  • 57. 57 4 Annexe (4) : Diagramme de Phase et Logigramme