2.1 De l’assurance à la fiabilité des comptes
2.1.1 Les objectifs dans un cadre général
Les objectifs de mission correspondent aux différents points de contrôle, aux activités, dont l’auditeur doit s’assurer qu’ils sont sous la maîtrise de l’entité auditée sous peine de dysfonctionnements préjudiciables à l’organisation.
Les objectifs d’une mission d’audit sont déterminés en mettant la priorité sur les domaines d’activité les plus sensibles de l’entité auditée en considérant soit :
– L’importance de l’activité
– Les risques inhérents à cette activité.
Lorsque l’organisation dispose d’un dispositif de management des risques, les objectifs de la mission découlent de l’évaluation préalable à la détermination du plan d’audit.
En effet, l’identification de ce plan repose sur l’évaluation de la maîtrise des risques des entités opérationnelles :
Plus une activité (une entité, un processus, etc.) présente des risques élevés non maîtrisés, plus elle est priorisée et inscrite dans le plan d’audit.
L’auditeur s’appuie donc sur cette évaluation du management des risques de l’activité (ou de l’entité) pour identifier les points de bonne gestion auxquels renvoient les risques les plus critiques et en fait ces objectifs de mission.
Si l’entreprise ne dispose pas d’un système de gestion des risques, l’auditeur s’appuie sur les motivations (craintes du management, dysfonctionnements avérés, assurance à obtenir, etc.) qui ont conduit à retenir la réalisation de la mission d’audit afin d’en déterminer les objectifs.
L’audit interne devra dans tous les cas assumer les objectifs de mission préalablement définis et s’assurer qu’il ne se fait dévier de sa mission initiale par l’entité auditée.
L’objectif principal étant de garantir la fiabilité des comptes financiers ou des données financières.
Néanmoins il existe plusieurs sortes d’audit et il est indispensable à mon sens de bien connaitre et cerner les différentes missions variées que serait amené à explorer l’audit interne.
2.1.2 Dans le cadre d’un audit financier
L’audit financier s’efforce d’exprimer une opinion sur la régularité, la sincérité et l’image fidèle des comptes de l’entreprise.
Il constitue donc le pilier essentiel du dispositif de sécurité associé à la communication et à l’utilisation des publications financières.
Parce qu’elle constitue des zones de risques spécifiques, une attention particulière est portée sur le traitement des opérations ayant une incidence significative sur les états financiers de l’entreprise et sur la production des comptes.
Au-delà du contrôle des comptes et de la force de son indépendance, l’auditeur interne apporte toute sa compétence et sa maitrise afin d’évaluer l’entreprise dans ses problématiques comptables et réglementaires.
Pour atteindre cet objectif, il est indispensable de réunir un ensemble de facteurs, essentiellement humains et qualités requises:
– Equipe très bien formée pourvue de qualités humaines et techniques de haut niveau.
– Très bonne connaissance de l’entreprise et de son fonctionnement
– Très bonne technique de recherche des risques
– Rigueur dans la préparation et l’orientation de la mission.
On peut se faire une idée précise du rôle de l’audit interne dans le cadre d’un audit financier par le schéma suivant :
Figure 1 – Rôle de l’audit financier dans l’entreprise(3)
L’audit financier a très longtemps été le sujet phare de l’audit interne mais au fil des années et des organisations, l’audit interne s’est intéressé à toutes les composantes de l’entreprise car la gestion du risque dépasse largement uniquement les risques liées aux indicateurs financiers, mais concerne aussi de plus en plus l’activité des entités opérationnelles.
2.1.3 Dans le cadre d’un audit opérationnel
Le contrôle de la réalisation d’une opération de gestion par l’auditeur interne ne saurait rester subjectif.
Il doit nécessairement se fonder sur un certain nombre de règles et de principes qui constituent les procédures internes de l’entreprise ; c’est là le point commun entre l’audit financier et l’audit opérationnel.
Comme nous l’avons évoqué dans la présentation du SMQ et dans le positionnement du système de la qualité par rapport à l’audit interne, le contrôle des procédures internes s’appuie beaucoup sur le contrôle interne et de plus en plus sur le SMQ.
J’avais expliqué précédemment, il y a beaucoup d’interaction entre le contrôle interne et le SMQ, pour preuve au sein du groupe France Telecom la préparation des audits internes opérationnels, même si c’est bien les risques financiers qui sont évalués, sont réalisés conjointement et en collaboration entre l’audit interne et le responsable national de processus qualité de l’activité auditée.
Toutes les procédures internes au sein du groupe France Telecom Orange s’articulent autour des items suivants :
– Le besoin du client et /ou prospects
– La satisfaction et la fidélité des clients
La démarche qualité au sein des entités opérationnelles ne répond pas uniquement à un besoin de certification à une norme qualité quelconque mais vient maitriser toute l’activité, par la formalisation et par la mesure de la performance des procédures internes.
Dans le schéma à la page suivante nous remarquerons que toutes les composantes de l’entreprise sont engagées dans la satisfaction du client, à savoir :
– L’avant-vente (technico commerciaux, service contrat, marketing,…)
– La vente
– L’administration de la vente
– La facturation et le recouvrement
– L’assistance aux clients
– Le SAV
– La gestion des réclamations
Dans cette procédure macroscopique autour de la satisfaction client, le contrôle interne est omniprésent et associe la gestion des risques qu’ils soient financiers ou opérationnels dans toute démarche qualité.
Figure 2 – Cartographie générale « Servir le marché B to B (Business to business) – Orange
Figure 3 – Cartographie détaillée « Servir le marché B to B (Business to business)- Orange
Toutes ces procédures de management de la qualité ou SMQ sont déclinées dans le schéma dE la page précédente.
Elles s’associent sur la partie des risques inhérents à telles ou telles activités, au Contrôle interne et chaque procédure liée à un risque fait appel à une « A.C.T » qui veut dire une Activité de Contrôle des Activités chez Orange, et qui par définition est une procédure de contrôle interne.
Ces A.C.T sont labellisées par le contrôle interne du groupe et font l’objet d’un audit interne au moins une fois par an.
Toutes les procédures qui concernent la démarche qualité sont auditées par l’audit interne qualité et les risques financiers par l’audit interne du groupe.
Il existe bien entendu des audits opérationnels dans toutes les composantes de l’entreprise, à titre d’exemple :
L’audit opérationnel des ressources humaines, où va être évalué l’organisation humaine de l’entreprise dont l’organigramme, les descriptions de postes, la politique d’évaluation du personnel, les procédures de recrutement, la formation, etc.
Nous pouvons dire aujourd’hui que l’audit opérationnel devient et est devenu incontournable pour les auditeurs internes car le risque concerne toute l’organisation de l’entreprise.
NB : dans le schéma 2 la ligne représentée en couleur jaune est l’activité qui fera l’objet de mon étude terrain.
2.1.4 Dans le cadre d’un audit stratégique
Au-delà de l’audit financier et opérationnel, de nouveaux besoins se font jour dans les entreprises et les institutions en voie d’internationalisation de leurs activités.
Les organes de contrôle comme le Conseil d’administration ou le Conseil de surveillance et les dirigeants de l’entreprise souhaitent de plus en plus conforter leurs réflexions par l’analyse indépendante, objective et fiable de leur stratégie d’entreprise.
L’audit stratégique est appelé à répondre ce type de demande.
D’autres personnes ont une approche différente de l’audit stratégique qu’il considère comme un moyen d’évaluer la performance au sein de l’entreprise et utilisent des outils aujourd’hui pour mesurer l’atteinte de cet objectif.
Cependant nous pouvons nous interroger sur la véritable capacité de l’audit interne au sein de l’organisation à établir un audit stratégique de façon indépendante compte tenu de son rattachement à ces mêmes instances qui le dirige.
A mon sens l’audit stratégique tel que défini dans tous les ouvrages que j’ai étudié n’est pas à contrario réellement du ressort de l’audit interne, mais une mission que peut mener un auditeur externe qui bien entendu doit être impérativement partenaire de l’organisation ou de l’entreprise car les éléments d’une politique stratégique sont très sensibles.
Je vois plutôt l’audit stratégique s’inscrire dans une démarche d’audit interne pour bien vérifier ou évaluer que les orientations stratégiques édictés par les organes de gouvernance ont bien été comprises par toutes les composantes de l’organisation et respectés.
Figure 4 – Les composantes de l’audit stratégique(4)
Dans le schéma ci-dessus dans la partie coloriée en rouge, cet aspect-là « de démarche et de choix » ne peut être à mon sens mené par l’audit interne de par son rattachement au CA.
On peut se poser la question si l’audit interne a réellement une liberté de parole pour venir discuter des choix stratégiques avec la gouvernance d’entreprise.
2.2 A l’évaluation du contrôle interne(5)
2.2.1 Définition du contrôle interne
Parce qu’il s’intéresse aux hommes et à leurs activités, le contrôle interne est avant tout une responsabilité managériale.
Toute entreprise se doit d’atteindre ses objectifs opérationnels et ce dans le respect des lois et règlements en vigueur.
Pour y parvenir, l’entreprise met en place un certain nombre de pratiques et d’outils qui contribuent à couvrir les principaux risques pouvant affecter la réalisation de ses objectifs.
L’ensemble de ces outils et leur bonne utilisation, notamment par les managers, constituent ce qu’on appelle le contrôle interne.
Décliné à tous les niveaux de l’entreprise, le contrôle interne est une démarche essentielle pour l’entreprise, car il permet aux managers et à leurs équipes de mieux atteindre leurs objectifs.
En maîtrisant les dépenses, en étant vigilant sur les risques de fraude interne et externe, en protégeant les actifs, en s’assurant de la compétence des salariés, en veillant à ce que l’offre de services donne réellement satisfaction aux clients.
La démarche se veut raisonnée et ne cherche pas à couvrir tous les risques, mais seulement ceux qui sont considérés comme les plus importants.
La mise en place de contrôles destinés à limiter les risques permet à l’entreprise d’utiliser ses ressources de manière plus efficace, dans le respect des règlements et lois en vigueur.
D’une manière générale, les contrôles importants existent déjà dans l’entreprise, mais cependant, ils ne sont pas toujours suffisamment formalisés.
Or, la formalisation des contrôles est nécessaire, car elle permet, d’une part, de faciliter par exemple la prise de poste d’un nouvel arrivant et, d’autre part, de procéder à une analyse globale et approfondie de la couverture des risques.
Un dispositif de contrôle interne se traduit de manière opérationnelle par des contrôles visant à éviter ce qui pourrait mal se passer dans la conduite des opérations.
Il compare les résultats aux objectifs et, le cas échéant, met en place des actions correctives; il auto évalue périodiquement son système de contrôle interne.
Le contrôle interne est effectivement intégré dans le quotidien du manager.
Tous les niveaux hiérarchiques de l’entreprise participent au fonctionnement et à l’évolution du dispositif.
Ainsi, chaque salarié de l’entreprise est responsable du bon déroulement des activités de contrôle le concernant, prévues dans les procédures et modes opératoires.
Toutefois, les managers opérationnels ont une responsabilité plus large, parce qu’ils doivent maîtriser leurs activités et parce qu’ils ont un rôle de superviseur des activités menées et de relais des politiques de l’entreprise.
En tant qu’aide à l’atteinte des objectifs, le contrôle interne doit s’intégrer dans les pratiques quotidiennes.
Dans ce contexte, les managers doivent favoriser le développement et l’appropriation de la culture de contrôle interne au sein de leurs équipes.
2.2.2 Qui est responsable du contrôle interne ?
On peut citer, entre autres des politiques Groupe (ressources humaines, anti-fraude, systèmes d’information, éthique et déontologie…), déclinées dans les entités, dont l’application est évaluée régulièrement, exemples :
– une publication financière de qualité, de nature à rassurer les marchés financiers par la mise sous contrôle des processus impactant les comptes : c’est la certification Sarbanes-Oxley ;
– des produits et services de qualité, notamment par la mise sous contrôle des étapes du processus de développement Time to Market ;
– une vigilance accrue au niveau des réglementations en vigueur, par exemple sur les aspects sécurité, droit du travail et concurrence ; au niveau des entités, des procédures à jour et prenant en compte les risques importants pouvant affecter la réalisation des objectifs.
Pour ces raisons, la robustesse du système de contrôle interne doit être régulièrement évaluée.
C’est même une obligation légale pour ce qui concerne les aspects comptables et financiers.
Comme on l’a constaté dans d’autres entreprises, les faiblesses de contrôle interne peuvent conduire par exemple à des fraudes, avec pour conséquences des pertes financières parfois très importantes et des poursuites juridiques coûteuses ; des violations de lois pouvant entraîner un risque d’image, de réputation ; la perte de confiance des actionnaires, clients, fournisseurs ; la déstabilisation, voire le départ, du management en place ; des pertes de chiffre d’affaires dues à des facturations incomplètes ou inexactes.
La responsabilité du contrôle interne est finalement l’affaire de tous et concerne toutes les composantes de l’entreprise.
2.2.3 Et si le système de contrôle interne est défaillant ?
Le contrôle interne n’offre pas de garantie contre tous les risques, d’autres dispositifs sont nécessaires.
Notamment, la loi américaine Sarbanes-Oxley (Sox), à laquelle les entreprises sont assujetties en raison de leur cotation sur la bourse de New York, leur impose certaines obligations.
Les entreprises doivent ainsi rendre compte de leur système de contrôle interne sur les aspects comptables et financiers, en mettant sous contrôle les activités qui permettent d’éviter les erreurs importantes, volontaires ou involontaires, dans les comptes publiés.
La conformité aux lois financières est effectivement un aspect important du contrôle interne.
Dans le contexte de la loi Sarbanes – Oxley, le management doit réaliser des travaux d’évaluation lui permettant de rendre compte de la qualité de son contrôle interne.
A l’issue des phases d’évaluation de l’efficacité opérationnelle de l’environnement de contrôle et des contrôles opérationnels menées par l’entité, les auditeurs internes et les commissaires aux comptes ainsi qu’à l’issue des audits financiers menés par ces derniers, l’ensemble des « problèmes » / « issues » relatifs au reporting financier sont identifiés.
Tous les « problèmes » / « issues » non résolus à la fin de l’exercice SOX font l’objet d’une analyse afin de déterminer :
– si ceux- ci doivent être considérés comme une lacune de contrôle interne financier ;
– l’impact de la lacune.
Il est ensuite de la responsabilité de la Direction du contrôle interne (DCI) de centraliser ces informations et de qualifier ou non ces lacunes en défaillances au niveau du Groupe.
Une défaillance de contrôle interne financier est soit une lacune, soit une agrégation de lacunes observées dans une ou plusieurs entités.
Les défaillances de Contrôle Interne sont qualifiées par la DCI, selon un ordre croissant de gravité, de :
1. Simple (Définition du PCAOB* AS5 , Annexe A, §A3 : Deficiency)
2. Significative (Définition du PCAOB AS5, Annexe A, §A 11 : Significant Deficiency)
3. Majeure (Définition du PCAOB AS5, Annexe A, §A 7 : Material weakness)
Nous pouvons distinguer ci-dessous quelques exemples de défaillances majeures de Contrôle Interne Financier :
– Problèmes de contrôle interne en rapport avec les transactions d’inventaire
– Erreurs de calcul de l’impôt sur les sociétés
– Faiblesse de contrôle interne relative au design et aux politiques de reconnaissance du chiffre d’affaire
– Faiblesse de contrôle interne dans la contractualisation avec les clients
– Faiblesse des procédures de séparation des tâches (par exemple, manque de séparation pour certaines tâches entre le personnel chargé de la paie et celui chargé de la comptabilisation).
Figure 5 – Processus d’analyse et de reporting des défaillances du contrôle interne financier chez France Telecom Orange.
Les étapes du processus sont les suivantes :
– Etape 1 : Chaque «problème» / « issue » non résolu à la fin de l’exercice est une lacune potentielle.
Une lacune de contrôle interne financier est une absence ou un défaut d’un contrôle ou un mauvais fonctionnement, ne permettant pas à la direction de l’entreprise de prévoir ou de détecter des erreurs dans la production des données financières.
Elle est identifiée au niveau local.
– Etape 2 : Le Contrôle interne local fait appel à toutes les compétences nécessaires pour mener à bien cette analyse, comme les responsables des processus concernés, les contrôleurs de gestion, etc.
Une analyse de l’impact du risque résiduel doit être effectuée quant au fonctionnement du processus concerné et ainsi que les éventuels effets collatéraux, l’impact financier et la probabilité de survenance.
Une recherche d’éventuels contrôles compensatoires doit être effectuée pour diminuer, voire couvrir entièrement le risque résiduel.
Ces contrôles compensatoires devront avoir été préalablement évalués à maturité 3.
– Etape 3 : Le Contrôle interne Local qualifie la lacune dans le SI en complétant les champs ad hoc de l’issue déclarée.
Le management de l’entité est informé de l’ensemble des lacunes validées.
– Etape 4 : La DCI Groupe rassemble et analyse l’ensemble des lacunes de contrôle opérationnel puis les regroupe domaine fonctionnel.
– Etape 5 : La DCI Groupe conduit l’analyse finale au niveau consolidé afin de qualifier les défaillances de Contrôle Interne Financier du Groupe comme simples, significatives ou majeures.
Cette analyse se fait en collaboration avec les Contrôle internes locaux, et avec l’Audit Interne dont les travaux, en particulier sur l’environnement de contrôle, peuvent conduire à compléter ou modifier le résultat de l’analyse.
Les valorisations financières des impacts résiduels sont agrégées.
– Etape 6 : La DCI Groupe rédige une synthèse et présente le résultat de ses travaux au management, dont le comité des risques, et au Comité d’audit Groupe.
Les défaillances majeures de Contrôle Interne Financier sont communiquées au Comité d’Audit et publiées dans le document de référence.
Les défaillances significatives sont communiquées au Comité d’Audit, mais non publiées.
Les défaillances dont l’impact financier est supérieur à 5 M€ sont également portées à la connaissance du Comité d’Audit.
L’exemple de défaillances et faillites des entreprises, comme Worldcom ou Enron démontre le rôle important du contrôle interne dans l’entreprise, mais aussi du rôle majeur de l’audit interne.
2.2.4 C’est ce qu’on appelle la conformité Sarbanes-Oxley ?
Les points de contrôle qui couvrent les risques importants font l’objet de tests d’efficacité par des équipes spécialisées d’auditeurs internes et externes.
La confiance dans le dispositif ne peut être obtenue que si le taux de succès des tests est très élevé, ce qui accroît la nécessité pour le manager de motiver ses équipes autour de l’application stricte des procédures.
Dans ce contexte, les recommandations éventuelles des auditeurs constituent de précieux leviers pour améliorer ou corriger les contrôles défaillants.
Quant aux contrôles qui ne sont pas dans le périmètre des tests, il est tout aussi fondamental pour le management de les piloter, car ils contribuent à la robustesse du dispositif.
L’entreprise doit démontrer dans le cadre de la conformité Sarbanes-Oxley que le dispositif de contrôle interne documenté est correctement appliqué.
2.2.5 Qui est impliqué dans l’évaluation du dispositif de contrôle, et à quoi ça sert ?
Tout manager peut être sollicité, par exemple par le responsable du contrôle, pour fournir les preuves matérielles des contrôles effectués.
La démarche de contrôle interne, même si elle s’est Jusqu’à présent surtout inscrite dans un contexte de sécurisation des comptes et de conformité aux lois, se traduit sur le terrain par des pratiques de bon sens.
Les démarches qualité et contrôle interne ont été mises en place pour répondre à des objectifs complémentaires :
Satisfaction des clients pour la qualité et satisfaction des autres parties prenantes en particulier actionnaires et autorités de marché pour le contrôle interne.
Il y a cependant beaucoup de points communs entre qualité et contrôle interne, par exemple l’approche processus, la dynamique d’amélioration permanente et la dimension managériale, l’exemplarité, l’implication et l’intégration nécessaire dans les pratiques managériales.
2.2.6 Composantes du contrôle interne
Selon le COSO (Committee Of Sponsoring Organisations), l’atteinte de chacun des objectifs, ci-dessous:
– la conformité aux lois et règlements,
– l’application des instructions et orientations fixées par la direction de l’entreprise,
– le bon fonctionnement des processus internes de l’entreprise,
– la fiabilité des informations financiers,
– la maîtrise des activités, l’efficacité des opérations,
– L’utilisation efficiente des ressources.
L’atteinte de chacun de ces objectifs est donc conditionné par 5 facteurs appelés les composantes du contrôle interne.
Celles-ci sont liées les unes aux autres comme le symbolise le schéma en page suivante et forment un système plus ou moins homogène dont dépendra la performance globale du contrôle interne.
Figure 6 – Pyramide du COSO(6)
Ce sont ces composantes qui structurent l’ensemble de toute approche en matière de Contrôle Interne.
L’environnement de contrôle est un élément très important de la culture d’une entreprise, puisqu’ il détermine le niveau de sensibilisation du personnel au besoin de contrôles
Toute entreprise est confrontée à des risques externes et internes qui doivent être indéniablement évalués.
Sur le plan pratique, il n’existe aucun moyen d’éliminer tous les risques et ceux-ci peuvent mettre en cause la survie de l’entreprise, sa compétitivité au sein du secteur économique, sa situation financière, son image de marque, la qualité de ses produits, de ses services et de son personnel.
Les activités de contrôle sont menées à tous les niveaux hiérarchiques et fonctionnels de la structure et comprennent des actions aussi variées qu’approuver et autoriser, vérifier et rapprocher, apprécier les performances opérationnelles, la protection des actifs ou la séparation des fonctions.
Le contrôle interne doit lui-même être contrôler à son tour.
Pour cela, il convient de mettre en place un système de suivi permanent ou de procéder à des évaluations périodiques, ou encore de combiner les deux méthodes.
L’étendue et la fréquence des évaluations périodiques dépendront essentiellement de l’évaluation des risques et de l’efficacité du processus de surveillance permanent.
Le management doit transmettre un message clair à l’ensemble du personnel sur l’importance des responsabilités en matière de contrôle.
Le personnel doit comprendre le rôle qu’il est amené à jouer dans le système de contrôle interne, ainsi que la relation existante entre leurs propres activités et celles des autres membres du personnel et doit être en mesure de faire remonter les informations importantes.
Tous les membres du personnel ont donc une responsabilité, plus ou moins grande, en matière de contrôle interne.
Toutefois, la responsabilité du système de contrôle interne, relève en tout premier lieu du management.
Le Directeur de l’unité opérationnelle à titre d’exemple est porteur de la démarche de contrôle interne.
Sa responsabilité est de montrer la voie à suivre aux différents acteurs de l’unité et de superviser la façon dont ils contrôlent l’activité.
Il peut ensuite s’appuyer sur les autres managers qui jouent un rôle important en ayant la charge du contrôle des activités des départements ou services dont ils ont la responsabilité.
Le rôle principal de l’audit interne sera d’évaluer le contrôle interne et sa capacité à couvrir les risqué identifiés.
3 Schéma issue du livre Audit & contrôle interne, aspects financiers, opérationnels et stratégiques – Lionel Collins, Gérard Vallin – Editions DALLOZ .
4 Schéma issue du livre Audit & contrôle interne, aspects financiers, opérationnels et stratégiques – Lionel Collins, Gérard Vallin – Editions DALLOZ.
5 Une partie du chapitre « L’évaluation du contrôle interne » a été rédigée avec l’aide du site intranet ToniC dédié au contrôle interne et la charte du contrôle interne du groupe France Telecom Orange.
6 Pyramide du COSO (Committee Of Sponsoring Organisation of the tradeway commission) source http://www.procomptable.com/qualite/controle_interne.htm
Page suivante : DEUXIEME PARTIE, L'AUDIT INTERNE, FACTEUR DE PERFORMANCE ?
Retour au menu : L’audit interne, facteur de performance dans l’entreprise ?