Dernière mise à jour le 3 novembre 2022
Le contrôle interne vise à protéger le patrimoine de l’entreprise ainsi qu’à améliorer ses performances. A ce titre, on le retrouve donc dans toutes les activités d’une société, et il doit être pris en compte dans le travail de tous les collaborateurs. Pour ce faire, le contrôle interne est souvent impulsé par la direction qui se chargera directement de sa mise en œuvre dans les petites entreprises ou qui la délèguera à un contrôleur interne voire à une équipe de contrôleurs internes dans les plus grandes entreprises.
Quels sont les objectifs du contrôle interne en entreprise ?
Les objectifs du contrôle interne sont divers :
- Maitriser au mieux les processus de l’entreprise ;
- Assurer la protection du patrimoine de l’entreprise ;
- Assurer la qualité d’information ;
- Vérifier la conformité de l’entreprise vis-à-vis des lois et des règlements ;
- Améliorer les performances de l’entreprise.
Quels sont les activités et les processus directement impactés par le contrôle interne ?
Le contrôle interne touche directement ou indirectement toutes les activités et tous les processus de l’entreprise. Cependant, il est plus souvent associé au domaine financier. En effet, le contrôle interne vise à s’assurer que l’information financière est fidèle à l’activité économique et conforme aux règles en vigueur. Les contrôleurs de gestion doivent donc transmettre une information fiable afin que les dirigeants puissent prendre les meilleures décisions. Les comptables sont aussi impliqués puisqu’ils doivent enregistrer correctement tout ce qui doit l’être et ensuite restituer cette information sur les différents états financiers de l’entreprise (bilan, compte de résultat, liasse fiscale…).
Les autres départements ne sont pas en reste, comme le service achats. D’une intégrité sans faille, il doit permettre à l’entreprise de s’approvisionner afin de disposer des produits et services nécessaires à son activité. A ce titre, le contrôle interne est là pour veiller à ce que les achats soient justifiés et effectués dans l’intérêt de l’entreprise.
Des risques existent également au niveau des stocks, pour les personnes directement en contact avec la marchandise. En cas d’absence de contrôle, la tentation peut parfois être forte de voler certains produits de valeur.
Comment s’assurer de sa correcte mise en œuvre dans l’entreprise ?
Le contrôle interne est exercé de manière continue. Pour s’assurer de sa correcte application, trois points clés sont à mettre en oeuvre :
La définition des processus
Les processus sont un ensemble d’activités interactives qui transforment des éléments entrants en éléments sortants. Chaque tâche s’enchaine, soit de manière informatisée ou de façon manuelle. Pour faire simple, les processus décrivent une activité (par exemple la commercialisation, la fabrication, la livraison…). Ils se matérialisent sous forme de fiches faisant apparaître entre autres les objectifs, les acteurs, les critères de réussite ainsi que la description synthétique des tâches… ;
La rédaction des procédures
Les procédures expliquent les bonnes pratiques pour chaque sujet plus ou moins sensible et plus ou moins risqué au sein de l’entreprise. Une des premières procédures généralement rédigées est celle concernant les achats. Elle permet de s’assurer que les achats soient justifiés et soient réalisés dans l’intérêt de l’entreprise. Pour en savoir plus, consultez notre article sur la mise en place d’une procédure achats.
La réalisation d’une cartographie des risques
La cartographie des risques permet de recenser les risques existants dans l’entreprise et de les analyser afin de comprendre leur importance. Enfin, l’accent est mis sur les moyens mis en place pour diminuer leur importance. Les risques sont généralement regroupés dans ces grandes familles :
- Opérationnels : risques pouvant ralentir, nuire voir mettre à mal l’activité ;
- Financiers : risques de perte en capital ;
- Image : risques pouvant nuire à la réputation et à l’image de marque de la société ;
- Environnement : risques entrainant une atteinte à l’environnement ;
- Conformité : risques de pouvoir se trouver dans une situation de non-conformité par rapport aux lois et aux règles en vigueur ;
- Sociaux : risques pouvant impacter les salariés, notamment leur santé ;
- Information : risques engendrant des pertes ou des fuites d’information, ainsi que des informations erronées.
Identification des risques
L’identification des risques consiste à recenser tous les risques auxquels l’entreprise est confrontée. On est là dans un inventaire assez exhaustif sans tomber toutefois dans le travers de lister tous les risques éventuels et de finir avec un état excessivement long. Une bonne approche consiste à interroger les salariés et à leur demander les risques avérés qu’ils ont déjà rencontrés au cours de leur carrière dans l’entreprise.
Evaluation des risques
Une fois ces risques identifiés, il faut les évaluer, selon deux paramètres : leur probabilité de survenance et leur impact en cas de réalisation. Ces risques seront ensuite reportés dans un tableau indiquant ces deux axes, se représentant de cette façon :
Ils y seront évalués avant la mise en place des contrôles déjà existants (en noir) : on parle des risques bruts. Ils seront également évalués après ces contrôles (en blanc), censés soit atténuer l’impact du risque en cas de survenance, soit réduire la fréquence de survenance.
Traitement des risques
Quatre stratégies de traitement existent :
- L’évitement : on fait tout simplement en sorte de ne plus être confronté à ce risque. Par exemple, un commerçant peut décider de ne plus autoriser les clients à régler en chèque pour éviter les impayés ;
- La réduction : l’entreprise cherche alors à limiter la fréquence de survenance ou l’impact. Reprenons le même exemple : le commerçant demandera la pièce d’identité du client qu’il reproduira accompagné du chèque pour limiter les risques d’impayés liés à ce type de paiement ;
- Le partage ou le transfert : c’est typiquement le cas quand une entreprise contracte avec un assureur. Elle lui transfère le risque, et c’est donc lui qui en assumera la charge en cas de survenance.
- L’acceptation : l’entreprise accepte que le risque pourrait survenir.
Ces trois point clés (processus, procédure et cartographie des risques) doivent fréquemment faire l’objet d’une revue, l’entreprise étant dynamique et en constante évolution, au grès d’un environnement mouvant.
Quelles sont les principales règles à respecter ?
Quelques règles simples doivent être respectées en contrôle interne.
Séparation des tâches
La première est la séparation des tâches. Tous les « pouvoirs » ne doivent pas être exercés par la même personne afin de limiter les risques de fraude ou de détournement. Des contrôles, des validations et des autorisations doivent être réalisés par des personnes différentes. A ce titre, les responsabilités de chacun doivent être clairement définies. La sécurisation des flux passe ainsi par le contrôle des accès au niveau du système d’information, avec des droits différents pour chaque catégorie d’utilisateurs, permettant à certains de pouvoir lire les données et à d’autres de pouvoir les saisir.
Par exemple, dans le cas des achats, la personne qui effectue la commande doit être différente de la personne qui saisit la facture en comptabilité et qui effectue les règlements.
Diffusion des bonnes pratiques
Les informations (procédures, modes opératoires, bonnes pratiques) doivent être diffusées le plus largement possible en interne. Il ne faut pas hésiter à former les personnes, à afficher les informations pertinentes et vérifier qu’elles soient connues du plus grand nombre.
Prenons l’exemple des escroqueries sur les opérations bancaires. Elles sont de plus en plus fréquentes et peuvent affecter n’importe quelle entreprise, peu importe sa taille ou son secteur d’activité. Fraude au président, faux technicien bancaire, faux fournisseur ou logiciel malveillant sont autant d’escroqueries qui peuvent mettre l’entreprise en danger. Pour se prémunir contre ce risque, des règles simples de contrôle interne doivent être définies :
- Prévenir tous les salariés contre ces risques en leur envoyant un mail ;
- Former les personnes les plus à risques comme les comptables ou les trésoriers ;
- Installer des anti-virus efficaces ;
- Effectuer des contrôles renforcés en cas de doute (par exemple vérifier auprès de son fournisseur habituel que ses coordonnées bancaires soient les bonnes) ;
- Ne donner les accès bancaires de l’entreprise qu’à certains salariés à des postes clés ;
- Prévoir un circuit de validation pour les mises en paiement.
Mise en place des contrôles adéquats
Les contrôles peuvent être de différentes natures, comme :
- Des contrôles informatiques (des messages en cas de saisie d’informations erronée, des vérifications lors du passage d’une interface à une autre, des sauvegardes régulières…) ;
- Des plans de continuité d’activité et des procédures à rédiger ;
- Des tests et des mises en situation à simuler (alerte incendie…).
Qui est en charge du contrôle interne en entreprise ?
Au sein des petites entreprises, le contrôle interne est souvent impulsé par le dirigeant qui s’occupe lui-même de sa mise en œuvre ou qui la délègue à un collaborateur. Dans les grandes entreprises, des personnes entièrement dédiées sont chargées de sa mise en œuvre. Il s’agit des contrôleurs internes. Dans les deux cas, il faut bien faire prendre conscience que le contrôle interne est la responsabilité de chacun à son propre niveau.
Qui contrôle le contrôle interne ?
Le contrôle interne est contrôlé par les auditeurs. Il peut s’agir d’auditeurs internes, c’est-à-dire de salariés de l’entreprise. Ils devront toutefois être entièrement indépendants de l’équipe de contrôle interne. Il peut également s’agir d’auditeurs externes. Les auditeurs financiers vont ainsi par exemple évaluer le contrôle interne dans l’entreprise pour savoir où ils doivent davantage pousser leurs analyses.