Système de contrôle interne: 8 conseils pour le mettre en place ou le réorganiser
Christian Feller
Christian Feller, expert comptable diplômé, est partenaire de Audit Suisse AG
Dieter Pfaff
Dieter Pfaff est professeur ordinaire à l'Université de Zurich depuis 1994 et directeur de l'Institut de comptabilité et de contrôle de gestion de cette université. Il enseigne également dans le cadre du programme Executive MBA de cette université depuis 1998.
Système de contrôle interne – Organisation
Nous considérons ici une fondation (fictive) avec un capital d'environ 45 millions de CHF. L'objectif de la fondation est de promouvoir la recherche en sciences économiques et sociales; la fondation ne poursuit ni but lucratif ni but d'entraide. Le but de la fondation est réalisé grâce aux revenus de la fortune de la fondation. En outre, le conseil de la fondation a la possibilité d'utiliser tout ou partie du patrimoine de la fondation pour la réalisation de son objectif. Le conseil de fondation est composé d'au moins cinq professeurs d'université à plein temps en sciences économiques de différentes universités suisses. Le conseil de fondation dirige la fondation conformément à la loi, à l'acte de fondation et aux règlements, selon son pouvoir discrétionnaire; il décide de toutes les modifications dans le domaine des signatures. Les membres du conseil de fondation travaillent en principe à titre bénévole; sous réserve du remboursement des dépenses en espèces et des éventuels frais de transport. Une rémunération modérée peut être versée aux membres du conseil de fondation lorsqu'ils exercent des activités qui dépassent le cadre de l'activité ordinaire. La clôture des comptes a lieu chaque année au 31 décembre. Le conseil de fondation mandate un organe de révision pour les travaux de contrôle prescrits par la loi. La fondation emploie à temps partiel une assistante administrative ainsi qu'un comptable (titulaire d'un brevet fédéral en finance et comptabilité); la direction des affaires est principalement assurée par le président du conseil de fondation. L'administration des salaires est assurée par une fiduciaire.
Objectifs et approche bottom-up
Le conseil de fondation a choisi l'approche dite «bottom-up» pour l'introduction du système de contrôle interne. Le point de départ des réflexions dans ce modèle est constitué par les comptes annuels ainsi que par les principaux processus connus qui peuvent avoir un impact sur les comptes annuels (ou sur le reste du rapport). Le conseil de fondation a vu les calculs correspondants et a pris connaissance du fait que tous les postes du bilan et du compte de résultat d'une valeur supérieure à 5% (décision du conseil de fondation) font partie des risques à couvrir et doivent être implémentés en conséquence dans le système de contrôle interne.
Identification des postes financièrement importants (bilan et compte d'exploitation)
Les postes importants du bilan et du compte d'exploitation sont identifiés sur la base de la limite de 5% fixée auparavant par le conseil de fondation.
Pour le bilan, les avoirs bancaires, les titres ainsi que le capital de la fondation s'avèrent essentiels (illustration 1); dans le compte d'exploitation, ce sont les produits des dividendes, les dépenses, les charges de personnel ainsi que les gains de cours (illustration 2).
Illustration 1: Postes du bilan importants du point de vue financier
Illustration 2: Postes du compte d'exploitation importants du point de vue financier
Objectifs de contrôle financier et évaluation des risques
L'étape suivante consiste à identifier les risques au regard des principales erreurs de reporting financier. Cette analyse sert de point de départ pour déterminer comment les risques doivent être gérés. Dans le présent exemple, on se focalise sur les risques potentiels représentés dans la figure 3, qui se rapportent à la fiabilité du rapport financier. L'évaluation des risques s'effectue de manière simplifiée à l'aide de trois catégories seulement: risque faible, risque moyen et risque élevé. Ainsi, le risque d'évaluation des titres est considéré comme moyennement élevé, alors que le risque de portefeuille est classé comme faible.
Illustration 3: Objectifs du contrôle financier et évaluation des risques
D'autres objectifs de contrôle financier, qui ne jouent toutefois aucun rôle dans l'exemple de cas, peuvent être les suivants:
- Fortune (droits ou obligations)
- Présentation et comptabilisation
Activités de gestion et de contrôle
Les activités de gestion et de contrôle doivent être prises en fonction des risques identifiés, notamment ceux qui présentent un risque moyen ou élevé. Ce faisant, il convient d'atténuer l'impact potentiel de ces risques sur le rapport financier.
Pour élaborer les activités de gestion et de contrôle, il est possible d'utiliser les processus existants et la documentation déjà en place. Des entretiens avec les responsables des processus et leurs collaborateurs sont également utiles les points faibles, les inefficacités ou l'absence de contrôles peuvent ainsi être plus facilement identifiés et communiqués.
Chaque processus sert des objectifs différents. Les risques peuvent être identifiés et analysés à partir des objectifs des processus. Les activités de pilotage et de contrôle doivent être développées en conséquence, en tenant compte des coûts et des avantages. En principe, selon la complexité de l'entreprise, des risques et des activités de gestion et de contrôle, chaque entreprise doit décider elle-même de l'étendue d'une matrice de contrôle des risques. Une telle matrice est un outil important pour la gestion, la représentation et la documentation des risques.
Il est souvent important d'identifier les risques qui peuvent résulter de l'utilisation de l'informatique elle-même. L'aspect selon lequel l'utilisation habile des TI peut contribuer à accroître l'efficacité, par exemple en intégrant largement les activités de pilotage et de contrôle dans les processus existants et en les automatisant si possible, ne doit pas jouer de rôle dans l'exemple de la fondation ABC. L'objectif des contrôles est de «soutenir un fonctionnement sûr et sans perturbation des systèmes informatiques ainsi que de garantir avec une assurance raisonnable la fiabilité de toutes les informations financières générées par les applications informatiques».
Recommandations de produits
La conception des contrôles informatiques dépend des processus, applications et systèmes qui soutiennent le rapport financier. La Fondation ABC utilise un logiciel de comptabilité standardisé avec des fonctions simples et peu d'options de traitement des données et de contrôles standardisés ou facilement configurables.
Plus précisément, un processus pour chacun des composants suivants est identifié, décrit et complété par une matrice de contrôle des risques:
- Accès (poste de travail)
- Autorisations
- Sauvegarde des données
- Disponibilité du logiciel
Les contrôles qui englobent p. ex. le fonctionnement des ordinateurs peuvent être couverts ailleurs (p. ex. dans le système global de gestion des risques). La figure 4 illustre le processus de contrôle d'accès.
Illustration 4: Processus de vérification des accès aux logiciels
Documentation des contrôles
Comme nous l'avons expliqué en introduction, l'organe de révision vérifie l'existence du système de contrôle interne. Mais l'organe de révision ne peut vérifier que ce qui est documenté – à l'exception d'interrogations ou d'interviews. La documentation des processus ainsi que des matrices de contrôle des risques a été décrite dans les paragraphes précédents. Cependant pour savoir si les contrôles ont effectivement lieu et quelles mesures sont prises à cet égard, il faut établir sa propre documentation.
Information et communication
Un reporting compréhensible, clair et actuel aide les décideurs à identifier rapidement les informations pertinentes et à prendre, sur la base de celles-ci, des décisions optimales concernant la gestion des risques. Afin de maintenir le processus aussi léger que possible, les principes suivants sont retenus au sein de la fondation ABC:
- Le reporting se rapporte aux processus financiers ainsi qu'aux processus auxiliaires correspondants.
- Le reporting indique si les processus ont été contrôlés, par qui et quand ils l'ont été, quelles constatations ont été faites et quelles mesures ont été prises le cas échéant.
- Le reporting aux niveaux hiérarchiques supérieurs s'effectue selon le processus présenté dans la figure 5.
Illustration 5: Processus Reporting
Le cycle de reporting peut être effectué une fois par an en raison de la simplicité des rapports. La responsabilité globale de la mise en œuvre opérationnelle correcte incombe au président du conseil de fondation.
Monitoring
En principe, la tâche du monitoring du SCI incombe à la direction (et le cas échéant au conseil de fondation): dans le cadre du monitoring, il faut évaluer «si la conception des composantes de la gestion et du contrôle internes est remise en question même lorsque la situation en matière de risques change et si le système de contrôle interne reste efficace malgré les changements. L'objectif est de maintenir le SCI à jour par des adaptations et des améliorations et de garantir ainsi son fonctionnement durable».
Dans l'exemple de la fondation ABC, l'évaluation et la gestion des risques présentées dans les paragraphes précédents pourraient faire l'objet d'un contrôle de plausibilité annuel. Le président du conseil de fondation examine – en accord avec le conseil de fondation – si des postes de clôture et des processus supplémentaires pertinents pour le SCI doivent être ajoutés ou peuvent être supprimés. Une telle démarche serait par exemple nécessaire si la comptabilité était entièrement confiée à une fiduciaire.
Quelques conseils pour un système de contrôle interne
Les principaux messages sont résumés sous la forme des huit conseils suivants:
Conseil 1: déterminez la matérialité financière sur la base des comptes annuels. Choisissez une valeur de référence pour la matérialité, par exemple 5% du total du bilan et 5% du total des produits.
Conseil 2: identifiez les postes financièrement essentiels (bilan et compte de résultats) sur la base de cette valeur indicative. Vous serez surpris de constater que même dans les grandes entreprises ou organisations, seuls quelques postes sont vraiment essentiels.
Conseil 3: réfléchissez aux objectifs de contrôle financier (stock, exhaustivité, évaluation, saisie et délimitation de la période, risque d'actes délictueux, propriété, présentation) qui sont vraiment pertinents pour les postes identifiés dans les comptes annuels: pour les avoirs bancaires et les participations, il s'agit souvent «seulement» de la position et de l'évaluation.
Conseil 4: identifiez les autres risques pertinents pour le rapport financier, par exemple les risques liés au processus de clôture ou à l'informatique (y compris les logiciels). En ce qui concerne le processus de clôture, c'est surtout l'évaluation qui devrait jouer un rôle.
Conseil 5: Avant de procéder à l'enregistrement des processus et de leurs risques ainsi qu'à l'établissement des listes de contrôle: déterminez votre procédure avec votre organe de révision.
Conseil 6: Dressez maintenant la liste des processus (étapes de travail), des risques, des mesures de contrôle et de la ou des personnes responsables. Notez qu'il peut y avoir plusieurs processus pour un poste du bilan (position bancaire ou liquidités); cela se produit déjà lorsqu'il y a plus d'un objectif de contrôle (p. ex. position et évaluation).
Conseil 7: Documentez tout au long de l'année tous les contrôles et mesures que vous effectuez sur la base des descriptions de processus.
Conseil 8: N'oubliez pas de vérifier chaque année la plausibilité de l'évaluation et du contrôle des risques une fois qu'ils ont été mis en place.
