Votre entreprise est-elle bien protégée contre les erreurs et la fraude ? Vérifiez-le à l’aide des 10 étapes essentielles du contrôle interne.
Le contrôle interne est un élément central pour diminuer les risques d’erreur ou de fraude. Il n’est pourtant pas toujours facile pour une entreprise de s’y retrouver au milieu des recommandations telles que celles du COSO (Committee Of Sponsoring Organizations of the Treadway Commission).
Dans les 10 étapes ci-dessous, découvrez les astuces acquises sur le terrain ces 20 dernières années.
1- Définition du périmètre du contrôle interne
En premier lieu, le périmètre d’action du contrôle interne doit être défini. C’est certainement l’étape la plus importante, celle qui va donner au contrôle interne sa colonne vertébrale. Trois plans permettent de fournir un cadre de départ clair et complet :
- Le cadre géographique qui permet de formaliser les lieux qui seront inclus dans le contrôle interne.
- Les activités ou processus concernés.
- Les familles de risques (appelés « objectifs » dans COSO) que le contrôle interne va permettre de mieux maîtriser.
Donc trois questions essentielles sont à se poser pour définir ce périmètre d’action :
- Quels sites et filiales sont concernés ?
- Quelles sont les activités (processus) concernées ?
- Quelles sont les familles de risques que le contrôle interne va permettre de diminuer ?
Les familles de risques peuvent être les suivantes :
- Financier : risques pouvant faire perdre de l’argent à l’établissement
- État financier (ou reporting) : risques d’anomalies dans les comptes, d’informations comptables erronées
- Conformité : risques pouvant mettre l’entreprise dans une situation non conforme aux normes ou lois
- Opérationnel : risques qui peuvent empêcher l’entreprise de remplir la mission qu’elle s’est fixée
- Santé des personnes : risques pouvant atteindre la santé physique ou psychologique des personnes en lien avec l’entreprise
- Sécurité de l’information : risques portant atteinte à la confidentialité, l’intégrité et l’accessibilité de l’information
- Image : risques pouvant toucher la réputation de l’entreprise
- Environnement : risques qui peuvent porter atteinte à l’environnement (air, eau, sol, espace, matières premières, énergie, etc.)
Puisque le contrôle interne est issu du domaine comptable, il couvre souvent au minimum les risques liés aux états financiers (reporting).
2- Identification des activités réalisées
Ensuite, une fois le périmètre d’action défini, il est nécessaire de lister les activités (ou processus) réalisées par l’entreprise afin d’identifier, dans un second temps, les risques liés à chaque processus. L’idée est de répondre simplement à la question « Qu’est-ce que l’on fait dans l’entreprise ? ».
Les activités sont variables d’une entreprise à l’autre et il est essentiel de faire ressortir les activités propres à chaque établissement.
Autrement dit, le niveau de détail dans l’identification des activités doit être approprié et uniforme selon les secteurs. Par exemple, les trois phrases suivantes concernent le même processus mais ne donnent pas les mêmes niveaux d’information :
- « Je fais de la comptabilité »
- « Je paie les factures fournisseurs »
- « Je saisis des données comptables »
C’est pourquoi il faut définir le juste milieu qui permet d’identifier les activités qui sont réalisées, sans tomber dans une liste de microtâches.
3- Identification des risques
Les risques auxquels est exposée l’entreprise découlent principalement des activités réalisées. Dans cette étape, il faut donc se poser la question, pour chaque activité : « Quels sont les risques en lien avec les familles de risques retenues ? ». Par exemple, pour le processus « Paiement des factures fournisseurs », quels sont les risques financiers, opérationnels ou liés au reporting financier ?
L’identification des risques peut donner lieu à un inventaire incommensurable de risques possibles. Même si de nombreux risques sont envisageables, il faut veiller à rester proche de la réalité. L’une des solutions est de commencer par des situations déjà vécues par l’entreprise ou dans son secteur d’activité. Par exemple, si votre entreprise a déjà réalisé des erreurs dans les salaires, vous savez qu’il existe ce risque dont il faudra vous prémunir.
4- Identification des contrôles existants
Dans le cadre du contrôle interne, le mot « contrôle » couvre tous les moyens pour maîtriser un risque : action de contrôle, procédure, règlement, logiciel de contrôle, mesure de protection tangible, etc.
De par ses expériences passées et la connaissance de son secteur d’activité, chaque entreprise possède déjà des contrôles internes et des procédures effectives pour maîtriser certains risques. Il est important de les recenser. Souvent, 90% des contrôles existent déjà mais ne sont pas formalisés.
En face de chaque risque, il suffit donc d’identifier les moyens de maîtrise.
En plus, on ajoutera ici les « contrôles des contrôles » (ou surveillances des contrôles) s’il en existe déjà. Par exemple : vérification trimestrielle de la réalisation du « contrôle mensuel de salaires ».
5- Évaluation des risques
Tous les risques ne se valent pas et toutes les entreprises ne sont pas exposées de la même manière à un risque. Il s’agit alors d’évaluer les risques, en lien avec la réalité de l’entreprise pour définir si les moyens de maîtrise sont suffisants et s’il faut ajouter des contrôles.
Même si cette étape n’est pas obligatoire et peut sembler chronophage, établir la « criticité » permet de trier les risques selon leur importance. Cette « criticité » prend en compte la probabilité qu’un risque se produise et l’impact s’il survient.
Par exemple, lors de l’édition des fiches de paie, les erreurs sont très probables, pourtant l’impact de ce risque sur la survie de l’entreprise est plutôt modéré. À l’inverse, le risque de fraude pour un établissement bancaire aurait un impact critique, mais a également une probabilité élevée si aucune mesure de contrôle n’est mise en place. Le risque sera donc grave, avec un score maximal de 90, indiquant une priorité absolue.
6- Traitement des risques
Il existe quatre stratégies de traitement possible des risques lors de la mise en place du contrôle interne : éviter le risque, le réduire, le transférer ou le partager et l’accepter.
Prenons l’exemple de l’encaissement des factures en espèces. Pour encaisser des factures, les erreurs humaines ou logiciels sont toujours possibles, voire fortement probables. Il existe donc des risques liés à cette activité. Voici les quatre stratégies possibles à adopter pour traiter ces risques :
- Éviter : Ne plus encaisser les factures en espèces. Il n’y aura plus d’argent liquide dans l’entreprise. Ceci permettra d’éviter (d’éliminer) le « Risque d’erreur de caisse » ou le « Risque de vol d’argent dans la caisse ».
- Réduire : Mettre en place un contrôle de l’encaissement des factures avec une étape de vérification du montant de la caisse, cela revient à réduire le risque.
- Transférer ou partager : Souscrire une assurance spécifique pour le vol, cela revient à transférer ou partager le risque.
- Accepter : Ne pas en faire une priorité et accepter que parfois, l’encaissement des factures comportera des erreurs dont il faudra régler les conséquences au cas par cas, cela revient à accepter le risque.
Si les contrôles existants ne sont pas suffisants selon « l’appétit » au risque de l’entreprise, il faut mettre en place des moyens de maîtrise supplémentaires et donc initier des « projets de diminution de risque ».
7- Description des moyens de maîtrise
Il ne s’agit pas ici de créer des montagnes de documents qui seront oubliées sur une étagère, mais bien d’opérer une sélection. L’objectif est d’identifier les moyens de maîtrise nécessaires à documenter pour réduire les risques.
Ainsi, il s’agit de décrire des actions de contrôle, des processus, des procédures, des règlements, etc.
Par exemple, lorsque plusieurs services travaillent ensemble, il est pertinent de décrire le processus transversal pour améliorer la coopération entre les services et réduire les risques dus à une mauvaise coordination.
Documenter un moyen de maîtrise doit permettre :
- De diminuer les erreurs
- De clarifier les responsabilités des collaborateurs
- De garantir que les contrôles soient toujours réalisés de manière homogène
- D’assurer la continuité de l’activité en cas d’absence d’un collaborateur
La documentation doit être adaptée. Il peut s’agir d’une simple check-list à un règlement complet, ou encore une vidéo explicative. L’important est de trouver la forme adéquate qui va apporter de la valeur ajoutée par sa clarté.
8- Identification des contrôles clés et description des surveillances
Il est indispensable de décider quels contrôles méritent d’être contrôlés. Cette surveillance permet de s’assurer que les contrôles sont « faits et bien faits ».
Par exemple, si vous avez mis en place un contrôle mensuel pour vérifier les accès informatiques, il peut être judicieux d’établir une surveillance sur ce point. Cela peut passer par l’instauration d’un contrôle annuel pour valider que le « contrôle des accès informatiques » est correctement effectué. Et ce afin de réduire le plus possible les risques liés à la sécurité de l’information.
Trop de contrôles tuent le contrôle ! Il faut éviter de définir trop de contrôles clés car il faudra ensuite investir un temps précieux dans leur réalisation.
9- Communication et formation des collaborateurs pour mettre en place le contrôle interne
Le contrôle interne ne deviendra une réalité et un outil efficace de gestion des risques que lorsque les collaborateurs en verront l’utilité. Ne négligez pas le travail de communication et de formation nécessaire pour que chacun y adhère.
Il est essentiel que les personnes en charge du contrôle interne communiquent à chaque collaborateur les actions qu’il aura à faire afin de mener à bien les contrôles de son périmètre. Vous éviterez ainsi les erreurs, faciliterez les contrôles en cas d’audit et aurez le soutien de toute l’entreprise.
Certes il est important de montrer l’utilité du contrôle interne en lien avec les obligations légales, mais il faut surtout démontrer aux collaborateurs que le contrôle interne leur apportera de la sérénité, moins d’erreurs et moins d’oublis. Ils seront rassurés de travailler dans un environnement où les risques sont maîtrisés.
10- Gestion du contrôle interne dans le temps
Finalement, même si à ce stade, votre système de contrôle interne est effectif, il est important de comprendre qu’il va vivre et évoluer avec l’entreprise. Ce n’est pas un acte ponctuel et isolé traité une bonne fois pour toute.
Afin qu’il soit toujours utile et efficace, il faut :
- Réévaluer les risques une fois par année
- Assurer la conformité avec les nouvelles lois
- Maintenir à jour la documentation
- Suivre la bonne réalisation des contrôles et surveillances
- Suivre les projets de diminution des risques
- Suivre les incidents survenus et les traiter comme source d’amélioration
Évidemment, les changements et les adaptations doivent être suivis dans la mise à jour de la documentation et avec une communication claire et efficace.
L’utilisation d’un logiciel de contrôle interne peut grandement vous faciliter la description et la gestion régulière de votre système.
En bref, ces 10 étapes structurent la mise en place du contrôle interne et son suivi. Elles vous permettront de tirer tous les bénéfices d’un contrôle interne efficace et adapté à votre entreprise pour la plus grande satisfaction des collaborateurs et du management. Pour plus d’exemples et de cas pratiques, découvrez notre vidéo « Comment mettre un contrôle interne utile et efficace? »
