L’histoire du contrôle interne offre une succession de définitions du concept (Sous-section 1). Au fil du temps, ont été établis plusieurs principes fondamentaux (Sous-section 2), qui aident le contrôle des risques à se positionner dans son environnement organisationnel (Sous- section 3).
Sous-section 2.1.1 - Définitions et éléments constitutifs
Le contrôle interne est un concept d’origine comptable. Lorsque Mikol (1998) établit la liste de ses définitions successives, il remonte à l’ouvrage de Fain et Faure, La révision comptable (1948), qui fixe l’objet premier de ce type de vérification : la lutte contre la fraude. Des mutations successives ont transformé le contrôle interne en gestion des risques. De même, les
méthodologies de Business Risk Audit (BRA) ont opéré une réingénierie de l’audit traditionnel (Knechel, 2007), même si elles ont été présentées comme des innovations majeures à la fin des années quatre-vingt-dix (Curtis et Turley, 2007). Avec le recul, il s’agissait davantage d’une évolution que d’une révolution, voire d’une évolution régressive (Flint, Fraser et Hatherly, 2008). Pour autant, l’ambition initiale était bien d’adopter une approche par les risques pour transformer la technologie de l’audit (Robson, Humphrey, Khlaifa et Jones, 2007).
Comme le souligne Musy (2007), le contrôle interne constitue une transposition discutable de l’anglais internal control. Le contrôle, dans son acception française, induit en effet des notions de vérification ou de domination. En anglais, en revanche, le terme control implique plutôt la maîtrise ou la bonne gestion d’une activité. La nuance pourrait conduire à remplacer « contrôle interne » par « maîtrise des activités ». Pour autant, la traduction la plus naturelle et la plus courante, que nous conserverons, est bien celle de contrôle interne.
Depuis l’ouvrage de Fain et Faure jusqu’au premier référentiel COSO, six définitions du contrôle interne se sont succédé :
Tableau 8 - Chronologie des définitions du contrôle interne (d’après Mikol, 1998) Date Source Définition proposée
1948
Fain et Faure
(La révision comptable, 1948,
p. 33)
« Le contrôle interne consiste en une organisation rationnelle de la comptabilité et du service comptable, visant à prévenir ou, tout au moins, à découvrir sans retard les erreurs ou les fraudes. »
1977
Ordre français des experts-comptables,
(Le contrôle interne
1977, p. 8)
« Le contrôle interne est l’ensemble des sécurités contribuant à la maîtrise de l’entreprise. Il a pour but, d’un côté, d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information, de l’autre, l’application des instructions de la direction et de favoriser l’amélioration des performances. Il se manifeste par l’organisation, les méthodes et procédures de chacune des activités de l’entreprise pour maintenir la pérennité de celle-ci. »
1981 International Federation of Accountants (« Recommandation internationale d’audit », 1981)
« Le système de contrôle interne est constitué de l’organigramme et de l’ensemble des méthodes et procédures adoptées par la direction d’une entité, lui permettant d’assurer, autant que possible, la conduite ordonnée et efficace de ses activités, notamment l’application de sa politique générale, la protection de son patrimoine, la prévention et la détection de fraudes et d’erreurs, l’exactitude et l’exhaustivité des enregistrements comptables et la préparation dans des délais satisfaisants d’une information financière fiable. »
1986
Institut Canadien des Comptables Agréés (Manuel de l’ICCA, 1986, § 5200.05)
« Constituent le contrôle interne la structure administrative de l’entreprise et tous les systèmes coordonnés que la direction met en place en vue d’assurer, dans la mesure du possible, la conduite ordonnée et efficace de ses affaires : notamment la protection des biens, la fiabilité de ses livres et documents comptables et la prompte préparation d’une information financière fiable. »
1987 Compagnie française nationale des commissaires aux comptes (CNCC) (Commentaire de la norme de travail, § 2102-01)
« Le contrôle interne est constitué par l’ensemble des mesures de contrôle, comptable ou autre, que la direction définit, applique et surveille sous sa responsabilité, afin d’assurer la protection du patrimoine de l’entreprise et la fiabilité des enregistrements comptables et des comptes annuels qui en découlent. »
1992
Commission
Tradeway (COSO I, 1992)
« Le contrôle interne est un processus mis en œuvre par le conseil d’administration, les dirigeants et le personnel, destiné à fournir une assurance raisonnable quant à la réalisation des objectifs suivants :
‐ la réalisation et l’optimisation des opérations ; ‐ la fiabilité des informations financières ;
‐ la conformité aux lois et aux réglementations en vigueur.
Les définitions successives du contrôle interne tendent à étendre son objet et, partant, l’éloignent des ses origines comptables. La notion “d’optimisation des opérations” est, de fait, extrêmement vaste et susceptible d’impliquer l’ensemble des services d’une organisation. De
même, “la conformité aux lois et aux réglementations en vigueur” peut concerner toutes les activités opérationnelles et fonctionnelles de l’entreprise. L’objectif de départ, combattre les malversations financières, s’est considérablement élargi, ce qui a facilité la transition du contrôle interne vers le contrôle des risques.
En 2002, le référentiel COSO II formalise l’extension du domaine de contrôle interne, avec l’ajout d’une composante “gestion des risques” et le positionnement renforcé de l’ensemble du personnel de l’organisation au cœur du dispositif de contrôle. C’est ainsi que ce nouveau référentiel fixe les bases de l’Entreprise Risk Management. Avec Bernard, Gayraud et Rousseau (2008), nous pouvons donc distinguer schématiquement une approche classique du contrôle interne et une approche nouvelle, plus large et centrée sur les risques.
Nous approfondirons dans le chapitre 3 l’approche de Power qui synthétise cette transformation sous la formule “Internal control as risk management”. Mais, au-delà des définitions, il importe d’entrer dans la “boîte noire” pour préciser les éléments constitutifs des dispositifs de contrôle tels qu’ils ont été établis par les référentiels COSO I et II.
Le référentiel COSO II établi à la suite du Sarbanes-Oxley Act aux États-Unis ne remplace pas le cadre de COSO I, mais le complète. Il propose, en fait, un modèle de gestion des risques qui s’ajoute au référentiel existant en matière de contrôle interne. Sont ainsi décomposés huit éléments et quatre objectifs de contrôle interne.
Tableau 9 – L’Entreprise Risk Management. D’après COSO II (2002) et Bernard, Gayraud et Rousseau (2008) Éléments de contrôle Description Environnement interne
C’est l’élément de base de la gestion des risques qui s’exerce sous la responsabilité des instances de gouvernance, notamment les conseils de surveillance et/ou d’administration ainsi que la direction générale.
Fixation des objectifs
Les objectifs sont déterminés selon l’appétence (risk appetite) ou l’aversion au risque de l’entreprise. Ils permettent d’évaluer l’acceptabilité des périls et les actions de réduction qui sont mises en œuvre.
Identification des événements
Les événements sont classifiés en fonction d’une typologie des risques (stratégique, financier, réglementaire, opérationnel, image, humain, environnemental, sanitaire) et de l’origine du fait déclencheur (endogène ou exogène).
Évaluation des risques
Traditionnellement, l’évaluation repose sur la gravité (l’impact) et la probabilité d’apparition du risque. L’analyse d’impact peut faire l’objet d’une quantification dans la mesure où les données historiques sont disponibles et exploitables.
Traitement des risques
La maîtrise des risques suppose des actions de réduction ou de transfert des menaces qui pèsent sur l’organisation.
Activités de contrôle
Les actions de contrôle visent à vérifier la bonne mise en œuvre des normes édictées en interne. La qualification des activités repose sur trois dichotomies : contrôle détectif / préventif ; contrôle informatique / manuel ; contrôle hiérarchique / manuel.
Information et communication
L’information est définie par ses qualités attendues – pertinence, précision, ponctualité, etc. La communication permet le transfert de l’information, notamment s’agissant des normes et directives dont l’exécution est vérifiée par le dispositif de contrôle.
Pilotage
Le dispositif de pilotage vise à vérifier la mise en œuvre du processus de contrôle ; il permet, en quelque sorte, qu’un contrôle des contrôles effectivement mis en œuvre par les managers soit effectué.
Objectifs du contrôle :
‐ Stratégiques ‐ Opérationnels ‐ Reporting ‐ Conformité La transition du contrôle interne vers le contrôle des risques, incarnée par le référentiel COSO II et l’Entreprise Risk Management, ne remet pas en cause les principes fondamentaux du contrôle.
Sous-section 2.1.2 - Principes fondamentaux du contrôle interne
Les neuf principes qui structurent le contrôle interne selon Mikol (1998) demeurent valides en dépit de l’élargissement de l’objet du contrôle à la maîtrise des risques. Il s’agit des principes d’organisation, de séparation des fonctions, d’intégration, de bonne information, de la qualité du personnel, d’harmonie, d’universalité, d’indépendance et de permanence.
Tableau 10 - Principes fondamentaux du Contrôle interne. D’après Mikol (1998) et Musy (2007).
Principe Objectif Description
Principe d’organisation
Formaliser l’organisation de l’entreprise et ses procédures de fonctionnement.
L’organisation doit être : ‐ formalisée ; ‐ préalable ; ‐ adaptable ; ‐ vérifiable.
Principe de
séparation Séparer les principales tâches.
En particulier, séparer les fonctions : ‐ de décision ; ‐ de protection et de conservation ; ‐ de comptabilisation ; ‐ de contrôle. Principe d’intégration
Rendre possible l’autocontrôle au sein même de
l’organisation.
L’autocontrôle est rendu possible par : ‐ des recoupements ;
‐ des contrôles réciproques ; ‐ le système d’information.
Principe de bonne information
Fonder le contrôle sur la base d’informations fiables.
L’information utilisée doit être : ‐ pertinente ; ‐ utile ; ‐ objective ; ‐ communicable ; ‐ vérifiable ; ‐ non altérée. Principe de la qualité du personnel Disposer d’un personnel compétent et honnête.
La qualité du personnel repose sur : ‐ la formation et/ou l’expérience ; ‐ l’intégrité ;
‐ le contrôle des personnes.
Principe d’harmonie
Adapter le dispositif de
contrôle interne à la spécificité de l’organisation.
L’harmonie suppose :
‐ une évaluation interne des risques de l’organisation ;
‐ une analyse de l’impact potentiel du risque par rapport au coût de réduction de ce risque.
Principe d’universalité
Impliquer tous les membres de l’organisation, toujours et partout.
Inclure dans les dispositifs de contrôle : ‐ toutes les personnes ;
‐ toutes les activités ; ‐ toutes les unités ;
‐ toutes les étapes des différents processus.
Principe
d’indépendance
Réaliser les objectifs du dispositif de contrôle, quels que soient les pratiques et les outils de l’organisation.
Faire évoluer le dispositif au rythme des changements de procédures et d’outils. Cela évite que le système de contrôle soit dépendant de pratiques obsolètes.
Principe de permanence
Garantir la pérennité et la solidité du contrôle interne.
Distinguer :
‐ la faiblesse du contrôle :
procédures existantes, mais peu efficientes ;
‐ le non-respect du contrôle : les procédures conviennent, mais ne sont pas respectées.
Les principes énoncés ci-dessus peuvent être considérés comme relevant des bonnes pratiques, ce qui est le cas le plus fréquent, ou être précisés dans un cadre réglementaire. Par exemple, l’obligation faite aux organismes d’assurance de produire un rapport de contrôle interne rend coercitif le principe d’organisation.
Parfaite continuité du contrôle interne, le contrôle des risques doit aussi se positionner parmi les différents dispositifs de sécurité mis en place par les organisations. En dépit du caractère globalisant de l’Entreprise Risk Management, le contrôleur des risques n’est pas seul en charge de la gestion des risques de son organisation.
Sous-section 2.1.3 - Contrôle des risques et dispositifs internes de sécurité
Cinq fonctions transverses présentes au sein des grandes organisations peuvent être considérées comme étant partie prenante d’une technologie interne de sécurité (Bernard, Gayraud et Rousseau, 2008) :
‐ l’audit interne ;
‐ la gestion des risques ; ‐ le contrôle de gestion ; ‐ la déontologie ;
‐ la qualité.
S’il peut être confondu avec certaines de ces fonctions (Musy, 2007), le contrôle des risques revêt néanmoins un rôle singulier qui conduit à le différencier des fonctions énoncées ci- dessus :
Tableau 11 - Le contrôle des risques face aux autres dispositifs de sécurité
Fonction Définition Positionnement du contrôle des risques
Audit interne
Activité indépendante qui, par une approche systématique et
méthodique, apporte à une
organisation : un degré satisfaisant de maîtrise de ses opérations ; des conseils pour les améliorer ; une contribution à la création de valeur ajoutée (Renard, 2006).
L’audit interne complète le contrôle des risques : il évalue la maîtrise des risques par l’organisation et propose des mesures en vue de son amélioration.
Gestion des risques
Le risk management envisage de manière globale les menaces endogènes et exogènes auxquelles est confrontée l’organisation (Véret et Mekouar, 2005). Face aux risques et en fonction de leur criticité, le risk manager propose des actions de prévention et de protection.
Le contrôle interne est l’un des éléments, nécessaire, mais pas suffisant, de la politique de gestion de risques. À titre d’exemple, le transfert des risques sur les marchés d’assurance ou les plans de continuité d’activité ne relèvent pas du dispositif de contrôle.
Contrôle de gestion
Le contrôle de gestion vise à assurer la “cohérence des actions des managers” (Bouquin, 2006, p. 9) à travers une meilleure connaissance de l’activité de l’entreprise.
Le contrôle des risques fiabilise le contrôle de gestion dans la mesure où il vérifie la pertinence des informations produites et intégrées dans les systèmes de gestion.
Déontologie
Le déontologue vérifie la conformité des opérations de l’entreprise avec le cadre réglementaire et normatif en vigueur ; il est le garant de l’intégrité de l’organisation.
La déontologie et le respect des
références transmises par le déontologue font partie des éléments que doit vérifier le dispositif de contrôle, notamment pour maîtriser les menaces juridiques ainsi que le risque d’image et de réputation.
Qualité
Personnes en charge des activités opérationnelles utilisées pour satisfaire aux exigences de la qualité, elle-même définie comme l’aptitude à satisfaire des besoins explicites ou implicites (Froman et Gourdon, 2003).
Le management de la qualité s’insère dans le dispositif de contrôle : les objectifs en matière de qualité sont vérifiés par les contrôleurs des risques.
La configuration du dispositif de contrôle varie, naturellement, selon les organisations. Le positionnement du contrôle des risques n’est donc pas intangible. D’autant moins, que la taille de l’entreprise contraint les structures à opérer des regroupements et des confusions entre les différentes fonctions susceptibles d’interagir au sein du dispositif interne de sécurité.
Cela étant, la marge de manœuvre des organisations en cette matière se réduit. En effet, les normes et réglementations publiées ces dernières années encadrent de plus en plus strictement les systèmes de contrôle, notamment dans le secteur de l’assurance.