Etude de Cas Controle Interne

June 27, 2018 | Author: Mohamed Sabahi | Category: Internal Control, Risk, Computer Science, Business, Computing And Information Technology
Share
Report this link


Description

UNIVERSITE ROBERT SCHUMAN Ecole de Management de StrasbourgMaster AUDIT FINANCIER ET OPERATIONNEL 2008-2009 Sujet du Mémoire : Le Contrôle Interne Assisté par Ordinateur Etude de cas : VALDYS Nom et prénom : EZ-ZOUAK Mohammed UNIVERSITE ROBERT SCHUMAN Ecole de Management de Strasbourg Master AUDIT FINANCIER ET OPERATIONNEL 2008-2009 Sujet du Mémoire : Le Contrôle Interne Assisté par Ordinateur Etude de cas : VALDYS Nom et prénom : EZ-ZOUAK Mohammed Organisme de stage : Mutuelle d’Entreprise Sochaux Directeur du mémoire : Pr Pierre SCHEVIN Maître de Stage : Mme Roselyne PATOIS (responsable de la mutuelle) 2 REMERCIEMENTS Ce mémoire pour l’obtention du diplôme M2 Audit Financier et Opérationnel est le résultat d'un effort considérable. Cet effort n'aurait pu aboutir sans la contribution de plusieurs personnes. Ainsi se présente l'occasion de les remercier : Tout d'abord, Au Pr Pierre SCHEVIN, Le Directeur de ce mémoire pendant ce stage pour sa disponibilité et ses conseils A Mme Roselyne PATOIS, Responsable du service «Mutuelle d’Entreprise de Sochaux », mon encadrant professionnel pour son engagement total et ses conseils très constructifs A Mme Nathalie De STEUR, responsable informatique à la MES, pour son assistance et ses instructions. Sans oublier tout le personnel de la Mutuelle sans exception pour leur support moral et pédagogique pendant les 2 mois de ce stage Et enfin, mes parents, ma famille et mon beau frère pour leurs soutien morale et financier pendant cette année d’études 3 1 3.2 Définition et caractéristiques de la démarche de contrôle interne _______________ 16 Analyse de quelques modèles de la démarche de contrôle interne _______________ 17 3 Démarche classique adopté par les éditeurs de logiciels de contrôle interne _______ 19 3.4 1.Introduction _______________________________________________________________ 6 Partie (1) : Introduction au contrôle interne _____________________________________ 9 1 Cadre conceptuel du contrôle interne _______________________________________ 9 1.4 Présentation du logiciel __________________________________________________ 40 L’architecture de Valdys _________________________________________________ 42 Le projet de Contrôle Interne selon Valdys__________________________________ 44 Les documents générés en interne par Valdys _______________________________ 48 Conclusion _______________________________________________________________ 50 Annexes__________________________________________________________________ 52 1 2 3 Annexe (1) : Lexique Valdys _____________________________________________ 53 Annexe (2) : le Macro-processus _________________________________________ 55 Annexe (3) : Arbre des risques____________________________________________ 56 4 .1 2.1 1.3 1.1 3.3 3.2 3.5 1.4 3.3 3.3 L’apport de Contrôle Interne Assisté par Ordinateur _________________________ 31 Les limites du Contrôle Interne Assisté par Ordinateur _______________________ 36 Les clés de réussite d’un projet de Contrôle Interne Assisté par Ordinateur ______ 39 3 Etude de cas logiciel Valdys ______________________________________________ 40 3.2 1.3 Le concept _____________________________________________________________ 26 Les objectifs du Contrôle Interne Assisté par Ordinateur______________________ 27 Les logiciels du contrôle interne sur le marché _______________________________ 29 2 Avantages et limites du Contrôle Interne Assisté par Ordinateur ________________ 31 2.6 Etymologie du mot _______________________________________________________ 9 Définitions du contrôle interne _____________________________________________ 9 Le modèle COSO _______________________________________________________ 11 Sarbanes Oxley_________________________________________________________ 13 La Loi de la Sécurité Financière (LSF) _____________________________________ 14 Comparaison entre la loi Sarbanes Oxley et la loi de la Sécurité Financière _______ 15 2 La démarche du contrôle interne__________________________________________ 16 2.1 2.2 2.1 1.2 1.2 3.5 Identification des processus_______________________________________________ 19 Déclinaison de la stratégie en objectifs _____________________________________ 20 Analyse des processus ___________________________________________________ 21 Evaluation des risques ___________________________________________________ 22 Mise en place des activités de contrôle ______________________________________ 24 Partie (2) : Le Contrôle Interne Assisté par Ordinateur____________________________ 26 1 Introduction au Contrôle Interne Assisté par Ordinateur ______________________ 26 1. 4 5 6 7 8 Annexe (4) : Diagramme de Phase et Logigramme ___________________________ 57 Annexe (5) : Arbre des familles de risque ___________________________________ 58 Annexe (6) : Le modèle nomenclature et le modèle diagramme de structure _______ 59 Annexe (7) : Le modèle arbre des rôles/compétences et la cartographie des risques _ 60 Annexe (8) : Les pages Html_____________________________________________ 61 5 . la différence remarquée entre l’existant et le conceptuel est à la base des résultats et des interprétations obtenus. aujourd’hui.Introduction L’automatisation du traitement de l’information remonte à la date de l’invention du premier ordinateur. c’est au contrôle interne d’intégrer le monde de l’information automatisée et profiter pleinement des contributions de l’informatique dans ce domaine. industrie nucléaire.wikipedia. Ces éditeurs des applications informatiques de gestion et devant la concurrence intense sur le marché des logiciels ont pu s’adapter pour franchir la barrière du savoir limité dans les domaines de gestion. la finance et l’audit financier. financières. Pour ces derniers. 1 http://fr. Jusqu’à aujourd’hui. La miniaturisation des composants et la réduction des coûts de production. Dans cette perspective. commerciales. les symptômes de cette nouvelle vague des éditeurs des solutions informatiques pour entreprises sont déjà sentis. énergie. En effet.) a entraîné une diffusion de l’informatique dans toutes les couches de l’économie comme de la vie de tous les jours. Cependant.org/wiki/Informatique le 17/02/2009 6 . etc.1 Après la comptabilité.…) puis en la croisant avec les pratiques reconnues par les auditeurs dans le secteur et la réglementation en vigueur. toutes les branches de la science et de l’industrie ont tenté d’exploiter les capacités énormes de cet outil surtout celles de calcul et de traitement des données avec une vitesse inimaginable qui dépasse les limites du cerveau humain. Depuis. le « Contrôle Interne Assisté par Ordinateur » marque l’actualité par son apport à l’auditeur interne et externe comme outil d’assistance et de pilotage des missions de contrôle. personne n’a pu percevoir qu’un domaine aussi abstrait et évolutif que le contrôle interne dont la réflexion (risques) et le développement (points de contrôles) jouent un rôle capital ferait appel aux services de l’informatique. C’est alors que l’économie et la finance furent parmi les branches qui ont su profité des avantages du traitement automatisé de l’information. associées à un besoin de plus en plus pressant de traitement des informations de toutes sortes (scientifiques. la solution est de proposer un logiciel qui permet d’aider et d’assister l’auditeur dans la réalisation de sa mission de contrôle interne en exploitant au maximum son savoir faire et ses capacités d’analyse et d’observation dans un domaine particulier (assurance. com/fr/Logiciel_Controle_Interne. Contraction de produit et de logiciel http://www. mon analyse portera sur les deux parties suivantes : La première partie sera consacrée au cadre conceptuel du contrôle interne ou je vais présenter les différentes définitions du contrôle interne.aspx le 17/02/2009 5 http://www.asp le 17/02/2009 4 http://enablon. ISIMAN5 et enfin VALDYS qui fera l’objet d’une étude de cas dans ce mémoire. les approches et la réglementation qui encadrent ce secteur et enfin de décrire la démarche de mise en place d’un système de contrôle interne.).com/produits/gestion-des-risques/controle-permanent. Le deuxième axe de cette partie de ce mémoire est une étude de cas du logiciel VALDYS (logiciel français de contrôle interne développé pour répondre aux besoins des assurances et des mutuelles). Cette partie est un passage incontournable pour mieux comprendre les deux axes qui vont suivre. Toutes ces solutions partent du même principe en constituant une base référentielle de contrôle interne d’un secteur donné pour l’auditeur et en l’assistant dans sa démarche de mise en place et de suivi de la démarche de contrôle interne. on souligne FrontControl3.efront. Cette étude de cas a pour objectif d’illustrer les conclusions et les résultats obtenus. un ensemble de choix diversifié des solutions informatiques de gestion pour gérer les processus de contrôle interne et assurer la conformité avec la réglementation (Loi de la Sécurité Financière. Dans ce mémoire. l’apport du contrôle interne assisté par ordinateur et dans un dernier point je traiterai les limites de ce concept. je vais essayer de traiter et d’analyser la problématique suivante : « Jusqu’à quel point le Contrôle Interne Assisté par Ordinateur peut-il contribuer à l’encadrement et à l’accélération de la mise en place d’un processus de contrôle interne dans une entreprise ? ». loi de Sarbanes-Oxley.Plusieurs progiciels 2 d’audit et de contrôle interne existent sur le marché.htm?gclid=CLK0jd6c65kCFQiF3godMiuuQQ le 17/02/2009 3 2 7 . Parmi ces produits. Pour répondre à cette question. Bale II.keyword. Solvabilité II. Enablon Continuous Assessment4 . Dans la deuxième partie.fr/sitekeyw/html_val/ru$44___. etc. je vais aborder le nœud de la problématique où j’analyserai l’apport de Contrôle Assisté par Ordinateur sur plusieurs dimensions : l’originalité du concept. Dans le même but d’illustration et d’argumentation. puis on présentera un fait ou un cas précis et réel qui concrétise et matérialise les déductions obtenues. on va formuler la problématique. Cette argumentation consiste à utiliser un exemple concret justifiant une affirmation que l’on fait. Le type d’argumentation utilisé est une argumentation par illustration. 8 . et bases documentaires électroniques. Autrement dit. webographiques.L’objectif de ce mémoire avec ces deux parties est de résoudre la problématique soulevée en partant d’un cadre conceptuel vers un cadre empirique. plusieurs sources documentaires seront utilisées partagées entre sources bibliographiques. la direction.1 Etymologie du mot Le mot contrôle vient du mot contre-rôle qui signifie « registre tenu en double»6. suivi des recommandations. Cette divergence de sens entre les deux mots reflète et explique l’étroite différence dans la manière de pratiquer et de mettre en œuvre le processus du contrôle interne entre les entreprises françaises et les entreprises anglosaxonnes. on trouve que le mot « contrôle interne » traduit l’amont et le préventif du processus de contrôle interne par les mesures de surveillance et d’analyse des risques quant au mot « Internal Control » il traduit la dimension en aval et corrective du contrôle interne (identification des éléments de maîtrise. on trouve : 1) Le contrôle interne est un ensemble de dispositifs ayant pour but.wiktionary.2 Définitions du contrôle interne Il existe diverses définitions du contrôle interne. Rémi Gayraud et Laurent Rousseau. Paris. Malgré la ressemblance étymologique et phonétique des deux mots français et anglo-saxon. p 303 6 9 . Dans son ouvrage « Contrôle Interne » Frédéric Bernard fait la distinction entre le mot français « Contrôle » et le mot anglo-saxonne « Control » : « Le terme contrôle interne est la traduction littérale de l’expression anglo-saxonne : Internal Control (ou Business Contrôle pour les américains) dans lequel le verbe « to control » signifie conserver la maîtrise de la situation alors qu’en français le mot « contrôle » est d’avantage compris comme le fait d’exercer une action de surveillance sur quelque chose pour l’évaluer »7. planification des tâches de contrôle. Ed. le personnel et le législateur). etc. la sauvegarde du patrimoine et la qualité de l’information. 2006. Cette multitude et diversité de définitions du concept engendre une confusion de compréhension et de communication des rôles de chaque acteur majeur du contrôle interne (auditeurs internes et externes.MAXIMA. organisation des responsabilités. de l’autre http://fr. Conseil d’Administration. 1.org/wiki/contr%C3%B4le le 19/02/2009 7 Frédéric Bernard. Parmi les définitions adoptées du contrôle interne par les auteurs et les institutions nationales et internationales.). d’un coté d’assurer la protection.Partie (1) : Introduction au contrôle interne 1 Cadre conceptuel du contrôle interne 1. « Contrôle interne ». la prévention et la détection de fraudes et d’erreurs. 1994. « La nouvelle pratique du contrôle interne ». destiné à fournir une assurance raisonnable quand à la réalisation des objectifs suivants : • • • La réalisation et l’optimisation des opérations . en congrès en 1977 : « le contrôle interne est l’ensemble des sécurités contribuant à la maîtrise de l’entreprise.d’assurer l’application des instructions de la Direction et de favoriser l’amélioration des performances. para 08. l’application des instructions de la direction. dans la mesure du possible. La fiabilité des informations financières La conformité aux lois et aux réglementations en vigueur 10 8 9 Frédéric Bernard. »9 4) La définition donnée par la norme 400 de l’IAASB (International Auditing and Assurance Standard Board) : le système de contrôle interne est l’ensemble des politiques et procédures mises en œuvre par la direction d’une entité en vue d’assurer. Ces procédures impliquent le respect des politiques de gestion. la sauvegarde des actifs. la gestion rigoureuse et efficace de ses activités.MAXIMA. les dirigeants et le personnel d’une organisation. Référentiel normatif CNCC. p 378 10 . la prévention et la détection de fraudes. Ed. la sauvegarde des actifs. l’établissement en temps voulu d’informations comptables et financières stables. Il a pour but d’assurer la protection. et de favoriser l’amélioration des performances. 5) La définition donnée par le cabinet Coopers&Lybrand et traduit dans « la nouvelle pratique du contrôle interne » par l’Institut Français des Auditeurs et Consultants internes : Le contrôle interne est un processus mis en œuvre par le Conseil d’Administration. Paris. 2006. » 3) La définition proposée par le CNCC (Compagnie Nationale des Commissaires aux Comptes) reflète le mieux l’approche moderne du concept: « Les procédures de contrôle interne impliquent : le respect des politiques de gestion. Paris. « Contrôle interne ». la sauvegarde du patrimoine et la qualité de l’information d’une part et de l’autre. 8 2) Définition donnée par les experts-comptables. p 303 Norme CNCC 2-301. Rémi Gayraud et Laurent Rousseau. l’exactitude et l’exhaustivité des enregistrements comptables.2003 10 Coopers & Lybrand. l’exhaustivité des enregistrements comptables et l’établissement en temps voulu d’informations financières stables. évaluation du risque et de contrôle interne ». Edition d’organisation. Coopers&Lybrand). leur éthique.11 1. la fiabilité de l’information. D’autre part. IAASB.1 COSO 1 Le contrôle interne est composé de 5 éléments interdépendants qui découlent de la façon dont l’activité est gérée et qui sont intégrés aux processus de gestion : • Environnement du contrôle : présente « l’espace » dans lequel les personnes accomplissent leurs tâches et assument leurs responsabilités en matière de contrôle. l’environnement du contrôle exerce une influence profonde sur la structuration des activités et des procédures. elle évoque pour la première fois le respect de la politique de gestion comme facteur principal dans le système de contrôle interne.wikipedia. Ces éléments sont repris fidèlement dans la première et la deuxième définition sans toutefois sortir du cadre soigneusement tracé par ces composantes. Plus encore. le système d’information et le suivi des recommandations.org/wiki/COSO le 22/02/2009 11 . 11 http://fr. Cette limitation du champ d’interprétation et de réaction a fait du contrôle interne un concept doté d’une structure rigide et difficilement adaptable aux différentes natures et situations d’entreprises.L’étude et l’analyse de ces différentes définitions fondamentales: distingue entre deux approches D’une part. Le référentiel initial appelé COSO 1 a évolué depuis 2002 vers un second corpus dénommé COSO 2.3. Autrement dit. une approche classique qui insiste sur les principes de base du contrôle interne : la sauvegarde du patrimoine. les activités de contrôle. Il sert de référence pour les autres éléments du contrôle interne. Il présente aussi les individus et leurs qualités individuelles. Il est utilisé notamment dans le cadre de la mise en place des dispositions relevant des lois Sarbanes-Oxley ou LSF pour les entreprises assujetties respectivement aux lois américaines ou françaises. leur intégrité. leur compétence. l’évaluation des risques. une approche moderne illustrée par les trois dernières définitions (CNCC.3 Le modèle COSO Le modèle COSO est un référentiel de contrôle interne défini par le « Committee Of Sponsoring Organizations of the Treadway Commission ». 1. la conformité avec la réglementation et l’amélioration de performance. Cette approche inclut la notion du processus ou de procédure dans sa définition et elle implique les acteurs majeurs de la démarche de contrôle interne dans ce processus tout en insistant sur le rôle du personnel. • Pilotage : les systèmes de contrôle interne doivent à leur tour être contrôlés afin d’évaluer dans le temps les performances qualitatives. analyser puis diffuser ces données. Dans ce cadre. • L’information et la communication : l’information pertinente doit être identifiée. Les catégories d’opérations de contrôle se rattachant aux objectifs sont le domaine opérationnel. recueillir. Ainsi. C’est un processus continu et répétitif qui permet de déterminer comment les risques devraient être gérés. L’information doit concerner tous les niveaux de l’entreprise.3. • Les activités de contrôle : les activités de contrôles sont l’application des normes et procédures destinées à garantir l’exécution des directives du management en vue de maîtriser les risques réels et potentiels de l’organisation. recueillie et diffusée sous une forme et dans les délais qui permettent à chacun d’assumer ces responsabilités. Fréderic Bernard définit et explique la dissemblance entre COSO 1 et COSO 2 : « .. l’information financière et la réglementation en vigueur. Le système d’information va permettre de définir.» 12 12 Frédéric Bernard. Rémi Gayraud et Laurent Rousseau.. Paris.• L’évaluation des risques : elle consiste en l’identification et l’analyse des facteurs susceptibles d’affecter la réalisation des objectifs stratégiques de l’entreprise. il est primordial de mettre en place un système de pilotage permanent et de procéder à des évaluations périodiques.MAXIMA. Il ne propose pas un référentiel de contrôle interne (au contraire de COSO) mais un modèle de gestion des risques. Ed. les opérations de pilotage peuvent être pratiquées soit par des activités courantes soit par des évaluations ponctuelles. 2006. « Contrôle interne ». p 303 12 .2 COSO 2 Le modèle COSO 2 constitue une continuité et une suite de COSO 1. 1. Il s’appuie sur le COSO comme référentiel de Contrôle Interne. Il appartient aux dirigeants et aux responsables des services concernés d’évaluer et de fixer un taux de risque admissible. tr/KONTROL_EN/Images/kontrol/coso. COSO 2 rappelle les éléments du COSO 1 et le complète surtout sur la dimension « gestion des risques ». il offre aux auditeurs et contrôleurs internes un repère pour la gestion des risques de l’entreprise (Enterprise Risk Management Framework).jpg visité le 05/03/2009 13 . 13 http://www. Cette loi a été adoptée par le Congrés et fut la plus grande réforme du marché financier américain depuis longtemps. La législation américaine a lancé de nouveaux dispositifs légaux dits « Sarbannes Oxley ». Présentation de la pyramide et du cube de COSO13 1.4 Sarbanes Oxley Suite aux scandales financiers que les Etats-Unis ont connus dans les années 2001-2002. la responsabilité des gestionnaires et l’indépendance des organes d’audit.bumko. Son objectif est de pallier aux insuffisances du contrôle interne. D’autre part. Toutefois. il est nécessaire de prendre en compte l’organisation dans son ensemble pour que COSO 2 puisse être appliqué avec succès. Cependant. Il est donc fondé sur une approche orientée vers la maîtrise des risques de l’entreprise.Parmi les apports de COSO 2 : D’une part. En effet.gov. il présente un cadre plus restreint de décomposition de la structure d’une organisation alors que le COSO 1 ne retient pas de structure de décomposition spécifique. cette répartition entre différents niveaux de l’organisation est très utile pour la démarche de contrôle proposée par le modèle COSO. Ses principes de base sont l’exactitude des informations. l’assurance que porte cette loi pour l’organisation reste une assurance raisonnable contre le risque puisqu’il existe toujours des points de défaillances pour contourner les barrières du contrôle interne. Michael Oxley soutient ce raisonnement dans son interview avec Liz Alderman : « Je n’irai pas jusqu’à dire que la loi Sarbanes-Oxley nous met à l’abri d’un scandale tel que les faillites d’Enron et de Worldcom ni que des individus ne seront pas suffisamment intelligents pour contourner les règles.5 La Loi de la Sécurité Financière (LSF) A l’instar de la loi Sarbanes Oxley.org/files/cr-francais-diner-ifafaf.pdf) visité le 15/03/2009 14 . Après tout le meurtre est illégal dans tous les pays et pourtant des meurtres sont commis tous les jours ». 14 15 Kamal ABOU EL JAOUAD. la Loi de Sécurité Financière a été promulguée à la suite des nombreux scandales financiers pour rétablir la confiance des investisseurs notamment dans les pratiques comptables.14 • • L’alourdissement des sanctions pénales et des montants des amendes en cas de fraude ou de non-conformité. Le but de cette disposition est de responsabiliser les dirigeants aux risques existants dans leurs entreprises. Ce rapport établi par la Direction de l’entreprise doit être validé et certifié par l’auditeur externe.french-american. L’obligation aux entreprises américaines de joindre aux rapports annuels un rapport sur le contrôle interne.Les décisions fondamentales de cette loi sont : • Les états financiers doivent être forcément certifiés par le Directeur Générale (Chief Exécutive Officer) ou le Directeur Financier (Chief Financial Officer). Les services proposés pour la vérification des états financiers par ces auditeurs externes doivent être adaptés à l’activité de l’entreprise (systèmes d’information). « Les enjeux du contrôle interne » Université Clermont http://www. Malgré tous les efforts déployés au niveau de la loi « Sarbanes-Oxley » pour limiter les fraudes financières.15 1. • • • L’obligation de nommer des administrateurs indépendants au comité d’audit du Conseil d’Administration Les avantages particuliers des dirigeants sont de plus en plus encadrés La loi Sarbanes-Oxley impose à l’entreprise une rotation des auditeurs externes. Et la compagnie nationale des Commissaires aux Comptes n’a pas donné de nouvelles instructions concernant le contrôle par les auditeurs légaux du rapport du Président sur le contrôle interne. la LSF concerne toutes les procédures de contrôle interne tandis que la loi Sarbanes-Oxley ne concerne que les informations comptables et financières. Son périmètre est plus large que celui de la loi Sarbanes Oxley qui se limite uniquement aux sociétés cotées. Le grand obstacle pour celle-ci est l’inexistence d’un référentiel français qui encadre le travail des auditeurs.16 Cette loi s’applique à toutes les sociétés anonymes. Aussi. Elle comprend l’obligation pour le président du conseil d’administration ou du conseil de surveillance de rendre compte dans un rapport des procédures de contrôle mises en place par l’entreprise.pdf visité le 15/03/2009 15 . Aussi. la Loi sur la Sécurité Financière est moins exigeante que la loi Sarbanes Oxley et par conséquent elle permet d’ajuster le degré de formalisme du Contrôle Interne par rapport à la taille de l’entreprise. Ainsi.6 Comparaison entre la loi Sarbanes Oxley et la loi de la Sécurité Financière La distinction fondamentale entre la loi de la Sécurité Financière et la loi Sarbanes Oxley est le degré de formalisme qui est clairement défini dans la deuxième loi.L’Assemblée Nationale et le Sénat ont adopté la LOI n° 2003-706 du 1er août 2003 sur la sécurité financière vu la décision n° 2003-479 DC du conseil constitutionnel en date du 30 juillet 2003. 1.org/documents/general/4746_1. Enfin. des référentiels tels que COSO présentent un cadre précis pour les acteurs du contrôle interne. La LSF ne renvoie à aucun référentiel et ne donne même pas de définition au « contrôle interne ». 16 http://www.amf-france. il n’y a aucune nouvelle disposition légale sur le contrôle interne des sociétés anonymes françaises. elle considère que l’établissement d’un rapport sur le contrôle interne est un facteur clé pour la compétitivité et le développement des entreprises privées. Cependant. Elle implique directement le Président du Conseil d’Administration ou du Conseil de Surveillance alors que la loi Sarbanes Oxley engage la direction opérationnelle. Le modèle Européen défendant tout actionnaire de Sociétés Anonymes s’oppose au modèle américain qui ne s’intéresse qu’à l’actionnaire de sociétés faisant appel publique à l’épargne. A l’heure actuelle. toutefois elle complique le travail du Commissaire aux Comptes. La LSF engage toutes les sociétés anonymes. ce n’est pas le cas actuellement pour la loi sur la Sécurité Financière. Aussi. respecter les dates de contrôle périodiques. Son objectif essentiel est de sauvegarder le patrimoine de l’entreprise et de mettre en place un dispositif de maîtrise. et pérenne. risques techniques.1. Concrètement. Le contrôle interne n’est plus une démarche aléatoire qui se fait le jour au jour. cette mise en place doit être toujours précédée par une phase de préparation incluant l’étude de l’environnement de l’entreprise.1. 2. à l’environnement et aux structures spécifiques de celles-ci. fixer les dates de contrôle et de suivi. c’est une démarche de changement : 2. risque humains.1 Une démarche organisée La mise en place d’un dispositif de contrôle interne doit être organisée dans l’axe temps (planifier les dates d’entretiens avec les responsables et le personnel. La taille de celle-ci.2 Une démarche appropriée L’étendue du périmètre de contrôle ainsi que l’importance des ressources humaines et matérielles à investir dépendent largement des propriétés de l’entreprise auditée. appropriée. Elle se fait dans une perspective de 16 . à l’inverse de l’audit financier n’a pas un champ limité d’intervention. il concerne tous les types de risques qui peuvent exister dans l’entreprise (Risques financiers. la nature de la missions et ses attributs peuvent varier d’une entreprise à une autre cependant les fondements de la démarche resteront les mêmes. la complexité de sa structure organisationnelle et la performance de sa gouvernance et de son management. détermine les caractéristiques de la mission du contrôle.…). la démarche du contrôle interne est une démarche organisée.1 Définition et caractéristiques de la démarche de contrôle interne Le contrôle interne. Au contraire. la détermination du périmètre de vérification et l’agencement des ressources et des moyens pour assurer le succès de la mission. 2.2 La démarche du contrôle interne 2. non plus une solution de prêt-à-porter applicable à toutes les entreprises sans adaptation aux contextes. etc. En conséquence. des procédés préventifs et correctifs.1.) en veillant à respecter l’ordre des opérations de contrôle et la durée programmée pour chaque étape.3 Démarche pérenne La mise en place des points de contrôles. se fait dans une optique de continuité de la démarche dans le temps. Visiblement. 2006. La capacité de management à faire passer cette métamorphose dans le fonctionnement et l’organisation au personnel de l’entreprise aura un effet très positif sur le processus de contrôle interne.2 Analyse de quelques modèles de la démarche de contrôle interne 2. Ed. 2.pérennité de l’activité et de la vie de l’entreprise. Paris. une sensibilisation aux impacts des risques sur les processus et une efficacité au niveau de l’application des recommandations et de la mise en place des dispositifs de maîtrise. la démarche contrôle interne est une démarche de moyen et long terme.2. Cependant. Les mutations prévues concernent les outils et les techniques de travail (utilisation de nouveaux logiciels). Ainsi.1. le changement est une préoccupation ou au moins un sujet fondamental de discussion » 17 Le changement dans ce cadre signifie l’acceptation des acteurs de l’entreprise qu’un changement incontournable et radical dans l’organisation interne et le fonctionnement de l’entreprise risque de se produire. la position concurrentielle de l’entreprise et l’actionnariat de l’entreprise) 17 Frédéric Bernard. « Contrôle interne ». Benoît Pigé dans son ouvrage « Audit et contrôle interne » propose la démarche suivante : • La prise de connaissance de l’entreprise qui comprend la compréhension de l’environnement (le secteur d’activité et la situation économique) dans lequel elle se situe ainsi que l’identification des spécificités de l’entreprise (la structure organisationnelle. Rémi Gayraud et Laurent Rousseau. tout acte de refus ou de résistance processus de changement est un phénomène humain et attendu. la politique stratégique de l’entreprise.4 Le changement et la rupture avec le passé « Dans le cadre de la démarche de contrôle interne comme dans toute démarche systématique d’entreprise.1 Démarche de Benoît Pigé La démarche de contrôle interne suit une logique universelle et unique reconnue par la plupart des référentiels et des lois en vigueur.MAXIMA. les méthodes de gestion (passage d’une gestion hiérarchique à une gestion participative) et les valeurs de l’entreprise (transformer une culture de fermeture et de cloisonnement à une culture d’ouverture et de partage). à ce 2. p 303 17 . elle contribuera à une évaluation plus rationnelle des risques. • • L’évaluation des risques particuliers qui peuvent résulter d’une situation financière. Ed EMS. (échantillonnage. ils ont gardé les mêmes composantes et les mêmes outils au niveau de leur démarche.2. La cartographie est obtenue à partir de la réponse des opérationnels aux questionnaires d’analyse des risques • Le plan d’action cadre général du plan destiné à améliorer la vulnérabilité aux risques ainsi identifiés 2. La démarche proposée par cet auteur est décomposée en plusieurs phases : 2. On peut constater la divergence de forme des deux méthodologies précédentes mais une convergence sur le fond.2. • Effectuer les tests de validation du produit. Toutefois. 2001.2.2. d’une situation sociale ou des changements organisationnels internes L’évaluation du contrôle interne consiste à décrire les procédures (l’observation.2. 18 19 Benoît Pigé « Audit et contrôle interne ».1 Phase d’analyse de l’existant et de réalisation des outils Dans cette étape deux outils principaux sont développés : • La cartographie des risques 19 : identification des risques majeurs et puis une représentation graphique de la vulnérabilité de l’entité analysée. les entretiens avec le personnel de l’entreprise et la formalisation) vérifier l’adéquation des procédures aux objectifs à atteindre (fixation des objectifs et mettre en œuvre les moyens nécessaires) effectuer les tests d’application et d’efficacité des procédures de contrôle interne. validation intégrale)18 2. Paris. p210 Voir annexe (7) 18 .2 Phase de mise en œuvre opérationnelle du dispositif du Contrôle Interne Cette phase consiste à documenter les nouveaux outils en rédigeant des modes d’emploi puis de mettre en place pour les opérationnels des sessions de formation à l’utilisation de ces outils.2 Démarche de contrôle interne de Frédéric Bernard D’autres auteurs comme Frédéric Bernard ont décomposé la démarche du contrôle interne en plusieurs phases. Ces actions sont perceptibles à tous les niveaux et sont inhérentes à la façon dont l’activité est gérée »22 http://www.1. il faut faire la distinction entre le terme processus et le terme procédure qui signifie une façon spécifiée d’exercer une activité.21 Pourtant. Edition d’organisation. Les applications de travail coopératif peuvent définir différents processus en fonction de l’organisation et des outils mis en place.knowllence. s’enchaînant afin de produire un résultat. L’identification des processus est la première étape dans la démarche de maîtrise des risques. p 378 21 20 19 .ordinal. c’est une boite noire qui a une finalité (les données de sortie) et qui pour atteindre cette finalité utilise des éléments extérieurs (données d’entrée) et les transforme (en leur donnant une valeur ajoutée) par du travail et des outils (activités et ressources).htm visité le 25/03/2009 22 Coopers & Lybrand. de décrire les processus et de collecter les informations pour l’identification des risques et des contrôles prévus.com/fr/publications/management_processus.fr/html/glossaire.2 Définition 2 Un processus est une succession d’activités à l’intérieur d’une organisation. Elle aide à la compréhension des métiers de l’entreprise et contribue à la pérennisation de la démarche de contrôle interne. Paris. Les opérations de contrôle interne sont très liées à tous les niveaux d’activités de l’organisation.1 Identification des processus 3.1. « La nouvelle pratique du contrôle interne ». Les objectifs de cette phase sont de construire une idée claire et structurée des processus de l’activité. 1994.pdf visité le 25/03/2009 .3 Démarche classique adopté par les éditeurs de logiciels de contrôle interne 3. http://www.20 3. Autrement dit. « Le contrôle interne n’est pas un événement isolé ou une circonstance unique mais une ensemble d’actions qui se répandent à travers toutes les activités de l’entreprise.1 Définition 1 Yvon MOUGIN Consultant et Formateur à Cap Entreprise définit le processus comme un ensemble de ressources et d’activités liées qui transforment des éléments entrants en éléments sortant. L’ensemble de ses activités est constitué d’un nombre indéterminé de processus. puis de définir les liens et les flux dynamiques entre ces activités (les flux d’entrée et les flux de sortie) Les différents niveaux de granularité de la cartographie des risques sont présentés dans le schéma suivant : Macroprocessus . Ils résultent également de la stratégie établie et sont formalisés dans le cadre du processus de pilotage de l’entreprise. Les objectifs fixés globalement au niveau de l’entreprise sont liés à des objectifs plus spécifiques au niveau des « activités ».3. Ces objectifs sont classés en 3 catégories : • • • Des objectifs opérationnels : optimisation de l’utilisation des ressources économiques de l’entreprise Des objectifs financiers : établissement des états financiers fiables et présentant une image fidèle Des objectifs de conformité : conformité avec les lois et les réglementations en vigueur 20 . il est indispensable d’abord de connaître et comprendre les activités. Processus Activité Procédure Pyramide des niveaux de granularité 1 3.1. Chaque entreprise par l’intermédiaire de son management détermine les objectifs et les stratégies pour les atteindre.2 Déclinaison de la stratégie en objectifs Les objectifs expliquent la finalité du processus. Les objectifs doivent être clairement définis et découlent généralement des valeurs de l’entreprise et de sa stratégie globale. Processus Majeur . Ils peuvent être fixés pour l’organisation dans son ensemble ou dirigés sur des activités particulières.3 Cartographie des processus Pour mettre en œuvre une démarche de contrôle interne. 3. garantissant ainsi une optimisation réaliste des moyens réaliste des moyens et des ressources face à des besoins explicités et hiérarchisés. encadrer le processus par un début et une fin. ed LGDJ. l’analyse des processus doit répondre aux questions : Qui fait (rôle)? Quoi (tâche) ? Par quel flux informationnel ? (systèmes d’informations supports) L’analyse des processus est une opération qui requiert un intérêt particulier de l’auditeur puisque c’est à ce niveau qu’il peut prévoir l’existence d’un risque potentiel ou d’un point faillible dans le processus. le degré de vigilance et de précision dans la conception et l’analyse de ces processus permettra d’augmenter la valeur ajoutée de cette étape dans la démarche du contrôle interne. » 23 Aussi. itérative. il faut déterminer avec une précision significative. financiers et techniques nécessaires pour atteindre ses objectifs. il existe une multitude d’indicateurs qui sont définis selon la nature des objectifs et d’autres facteurs. Pour mesurer la performance des résultats obtenus. PARIS. cohérente. chiffrée.Pour illustrer la notion d’un objectif et ses caractéristiques.3 Analyse des processus L’analyse des processus est une étape majeure dans la démarche de contrôle interne. soulever les facteurs clés de succès du processus et les indicateurs clés de performance. Ainsi. permettant tous les choix et arbitrages ( y compris politique). p 183 21 . elle consiste à fixer les objectifs principaux du processus. D’autre part. 2005. on peut faire référence à Alain Gérard-Cohen qui dans son ouvrage « Contrôle interne et audit publics » parle de la déclinaison d’une réflexion par objectifs : « …à travers une réflexion organisée. Exemple grille d’analyse des processus Processus Objectifs Facteurs de Indicateurs de Rôles succès Niveau 1 Niveau 2 Niveau 3 performance Tâche Systèmes d’information 23 Alain-Gérard Cohen. D’une part. « Contrôle interne et audit publics ». de façon claire et transparente. les moyens humains. 1 Notion de risque Danger dont on peut jusqu’à un certain point mesurer l’éventualité. ou une fraude Le risque de contrôle interne : c’est le risque que le système de contrôle présent dans l’entreprise ne peut pas empêcher une inexactitude significative Risque de non détection ou le risque d’audit : le risque que l’audit ne permet pas de détecter une inexactitude significative. dans le cadre des exigences de la future directive Solvency II » 22 . 25 Menace qu’un événement.4. P1383 25 http://fr. une action ou une inaction affecte la capacité de l’entreprise à atteindre ses objectifs et en particulier altère sa performance. Le risque se subdivise en 3 catégories : • • • Le risque inhérent : c’est le risque d’apparition d’une erreur significative dans l’organisation suite à une faute (volontaire ou non). Edition Précis1998. identifiée et quantifiable (enjeux).wikipedia.26 3.org/wiki/Risque visité le 06/04/2009 26 Ernst&Young. associée à la probabilité de l’occurrence d’un événement ou d’une série d’événements.27 24 Dictionnaire encyclopédique universel. 24 Le risque est une perte potentielle.2 L’identification et les différentes catégories de risque La démarche d’identification des risques se fait à partir des processus ou à partir d’une nomenclature donnée : La nomenclature d’un risque peut être structurée en cinq niveaux : • • • • • Risques opérationnels Risques de système d’information Risques humains Risques légaux Risques externes (exogène) Tout risque potentiel ou réel doit être recensé et étudié même si l’on considère qu’il est minimisé par un dispositif de maîtrise approprié. que l’on peut plus ou moins prévoir. inhérente à une situation ou une activité.3.4 Evaluation des risques 3. « Elaborer une cartographie des risques opérationnels.4. « Risques: Perception.3 Processus et caractéristiques de la démarche d’évaluation des risques Toutes les organisations quelques soit leur taille. Evaluation. Edition: 3 De Boeck Université. 253 pages 23 . Gestion ».3. Une bonne évaluation d’un risque prend en considération sa nature différente et ses spécificités par rapport aux autres risques. des circonstances dans lesquelles ils peuvent émerger et de leurs conséquences éventuelles. Evaluation. p 304 28 Seán Cleary. un système efficace de gestion des risques est donc fondé sur la compréhension de l’étendue de chacun d’entre eux. « Risques: Perception. Christian Fischer. Gestion ». 253 pages 29 Seán Cleary. 2006. la nature de leurs activités et le secteur économique dans lequel elles évoluent. Sean Cleart et Thierry Malleret considère deux éléments essentiels pour mesurer le risque : « Le risque est généralement quantifié en considérant deux éléments : la probabilité qu’un événement survienne et son impact le cas échéant _habituellement exprimé en termes d’impact financier et de coût d’opportunité. Editions Maxima. Thierry Malleret Collaborateur Klaus Schwab. « Audit comptable. le management de l’entreprise doit déterminer les axes suivants : • • • • Une projection du risque dans l’horizon temporel pour mesurer le degré d’exposition Les dispositifs et les moyens disponibles destinés à faire face aux événements indésirables qui pourraient se développer Une échelle de risque de référence unique et personnalisée aux spécificités de l’entreprise utilisée pour juger l’exposition au risque Un repère permettant à l’entreprise d’avoir un point de comparaison et un outil de mesure de sa performance. Editions Maxima. Tous les risques ne sont pas identiques. Dans le même ordre. »28 L’optimisation de la maîtrise d’un risque suppose l’existence d’un système d’évaluation fiable et pertinent. Baudouin Theunissen.4. sont confrontées à des risques et ce à tous les niveaux. 2004. Audit informatique ». 2006. 27 Hugues Angot. leur structure. L’ensemble de ses risques identifiés doit faire l’objet d’une évaluation fondée sur l’appréciation de leurs conséquences potentielles et de leur probabilité de survenance. Thierry Malleret Collaborateur Klaus Schwab. 29 Pour élaborer une évaluation efficace des risques. Les activités de contrôle sont réalisées à tous les niveaux hiérarchiques et fonctionnels.4 La criticité La criticité (C) reprend l’ensemble des critères précédant.4. on 24 . « Partant. de la détectabilité et de la gravité .1 Définition des activités de contrôle Les activités de contrôle peuvent se présente comme une application des normes et procédures qui assurent la mise en œuvre des orientations émanant du management.4. 3.5 Mise en place des activités de contrôle 3. 3.1 La fréquence La fréquence F représente le produit entre une probabilité et une fréquence d’exposition.4.4. Ces actes permettent de s’assurer que les mesures nécessaires sont engagées dans l’objectif de maîtriser les risques susceptibles d’affecter la réalisation des objectifs de l’entreprise.5 La maîtrise La maîtrise M représente la capacité de l’organisme à gérer et à maîtriser le risque.4.4 Les critères d’évaluation de risque 3. des procédures.3. La probabilité correspond à la prévision que l’incident/accident se produise tandis que la fréquence d’exposition donne une idée de la sollicitation de la mission susceptible de provoquer le risque.3 La gravité La gravité (ou effet) G donne une indication des dommages et conséquences possibles en cas de survenance de l’accident / incident. La plus courante consiste à faire le produit de la probabilité.2 La détectabilité La détectabilité D représente la capacité de l’organisme à détecter et à repérer les risques. 3. Cette maîtrise peut être appréhendée selon deux paramètres : la conscience ou non du risque ainsi que l’existence ou l’inexistence de barrières. Elle peut se calculer de différentes manières.4.4. 3. de la fréquence.4. C = F x D x G 3. on prendra des dispositions pour limiter la survenance de ces risques ou en tout cas pour en limiter les effets pervers : on appliquera donc des normes.5.4.4.4. 1998. de contrôles manuels ou informatiques ou encore de contrôles hiérarchiques. de sa nature et de son étendue. p 124 25 . Les activités de contrôle constituent ainsi le troisième étage de la fusée. elles sont plus couteuses puisqu’elles interviennent après la survenance du risque en essayant de limiter les dommages causés par ce dernier. Parmi les activités de contrôle. rapprochera. le fait que la plupart des risques majeurs s’avèrent fatales à cause de leur non détectabilité.2 Détermination des points de contrôle et des actions de maîtrise Après l’étape de l’évaluation des risques en combinant plusieurs éléments pour le calcul de la criticité et de l’impact. Editions Maxima. qu’il s’agisse de contrôles orientés vers la prévention ou vers la détection. autorisera. ce qui n’est pas toujours le cas.»30 Il existe de nombreux types d’activités de contrôle. Les expériences vécues dans le domaine du contrôle interne ont démontré que les actions préventives sont les plus efficaces et elles permettent de minimiser le coût du risque. Quant aux actions correctives. Cependant. vérifiera. « MIEUX PILOTER ET MIEUX UTILISER L'AUDIT ». on peut souligner : • • • • • Les analyses exécutées par le management Gestion des activités ou des fonctions Traitement des données Contrôles physiques Indicateurs de performance 3. 30 Étienne Barbier. à l’inverse de l’action préventive.approuvera. à des éléments tangibles du risque. Ajoutant à cela. Le point de contrôle correctif reste le plus évident à établir et à mettre en œuvre puisqu’il touche. la mise en place des actions préventives suppose une connaissance avancée du risque potentiel.5. appréciera tout ce qui doit l’être ou plutôt tout ce qui vaut la peine de l’être. il est temps de décrire des points de contrôle et de mettre en place des actions préventives (actions permettant de maîtriser les effets du risque avant son apparition) et correctives (actions permettant de contrôler le risque après son apparition). v. Être présent à.Partie (2) : Le Contrôle Interne Assisté par Ordinateur 1 Introduction au Contrôle Interne Assisté par Ordinateur 1. Demander. porter assistance à un ami. 1. L’industrie. 2. Désormais. manquer). 2. Tech : équiper d’un dispositif d’assistance. seconder quelqu’un. participer à: Assister à un spectacle de danse (voir. Aider. ind. l’intégration de l’informatique dans tous les domaines de la gestion et dans tous les secteurs économiques et financiers n’est plus qu’une question de temps. assistere. il traduit les données saisies en fonction d’un modèle préprogrammé par l’utilisateur dans le but d’arriver à un résultat précis. Pour essayer d’éclaircir la notion du contrôle interne assisté par ordinateur. Ainsi. Un ordinateur est d’abord un outil d’exécution. Aide apporter à qqn. [1] Etre présent.thefreedictionary. Être le témoin de. Seconder qqn: L’apprenti assiste le chef dans la confection de ce gâteau (aider). la finance ou la télécommunication ont déjà réalisé la nécessité de développer leurs systèmes d’information et de les mettre au centre de développement durable. P1383 26 . le rôle de l’informatique était d’abord d’effectuer des opérations de calcul très complexes que le cerveau humain ne pouvait pas effectuer avec la vitesse et la précision de l’ordinateur. 2. Porter aide ou secours à qqn: La mairie assiste les familles démunies (secourir. La notion de l’assistance par ordinateur constitue une rupture avec l’idée conçue de la fonction de cet outil. assister (lat. délaisser.1 Le concept Aujourd’hui. Assister32 : [asiste]. Au début. Edition Précis1998.t. 31 http://fr. constater: On assiste à une baisse continue du chômage.t. l’application informatique à un nouveau rôle : orienter et assister l’utilisateur dans la réalisation d’une tâche ou d’une activité quelconque.com/assister visité le 15/04/2009 32 Dictionnaire encyclopédique universel. se tenir auprès) 1. négliger). il faut expliquer d’abord la notion de l’assistance : Assister 31: V. l’évolution de l’ordinateur dépend tout d’abord de l’évolution de sa capacité de calcul. 1. d’assurer l’application des instructions de la direction et de favoriser l’amélioration des performances. 27 .Assistance : 1. on peut construire une définition globale pour le « Contrôle Interne Assisté par Ordinateur » par l’accumulation de toutes les interprétations précédentes : Le Contrôle Interne assisté par ordinateur est l’utilisation de l’outil informatique pour aider. 2 Tech : dispositif capable d’amplifier un effort manuel et de le transmettre à un mécanisme Assisté : Tech. d’un coté d’assurer la protection du patrimoine et la qualité de l’information dans l’entreprise. Cette adaptation permet à l’auditeur de se situer à chaque fois par rapport à une référence ou un listing de normes réglementaires.assemblée. Surtout avec l’existence de plusieurs domaines et de secteurs d’application de contrôle interne. L’ensemble des définitions qui existe pour le verbe « assister » ou le mot assistance répète toujours des mots clés comme l’aide. la présence et le dispositif d’assistance. Ces mots récapitulent d’une manière générale l’objet et les objectifs du concept Contrôle Interne Assisté par Ordinateur. de l’autre . La plupart de ces logiciels ont pour point commun l’existence d’une base de données préétablie et qui est bien adaptée au secteur d’activité de l’entreprise ou le domaine de contrôle. orienter et pérenniser la démarche de contrôle interne dans une organisation en mettant en place un ensemble de dispositifs ayant pour but. Freinage assisté.2 Les objectifs du Contrôle Interne Assisté par Ordinateur 1.1 Aider et orienter l’utilisateur dans sa démarche du Contrôle Interne Les logiciels informatiques de contrôle interne ont comme objectif principal d’assister l’auditeur interne ou le responsable du contrôle interne d’une entreprise à réaliser sa mission d’audit dans les meilleures conditions possibles.2. Les applications informatiques de l’audit interne et particulièrement du contrôle interne tournent autour des 3 objectifs suivants : • • • Aider et orienter l’utilisateur dans sa démarche du Contrôle Interne Assurer la continuité et la pérennisation de la démarche dans l’organisation Constituer une référence de base pour l’organisation Ainsi. auditoire. Direction assistée. Muni d’un dispositif d’assistance. 1. statuts. ils constituent un lieu de stockage de la plupart des documents internes de l’entreprise (rapport de gestion.2.2 Assurer la pérennisation de la démarche du contrôle interne et de ses dispositifs dans le temps Le contrôle interne assisté met à la disposition de l’auditeur une sélection de fonctionnalités qui lui permet de sauvegarder et d’archiver l’ensemble de ces travaux réalisés au cours de sa mission d’audit. rapport financier. l’auditeur à la possibilité de revoir l’historique et le développement des indicateurs de risque et de maîtrise sur plusieurs périodes. Ces dernières ne disposant pas des moyens humains et matériels pour assurer la pérennisation de contrôle interne dans l’organisation.2. Ces données sauvegardées peuvent être utilisées et exploitées dans la suite des travaux de contrôle et la mise en place de plan d’action. aucun document de contrôle interne n’est détérioré ou perdu. En fait. documents statistiques. réglementation de secteur. Grâce à un ensemble de moyens de modélisation graphique et logique des procédures qui permet au personnel de revoir les méthodes appliquées pour la réalisation d’une activité donnée et la connaissance des dispositifs de contrôle prévus pour les risques de l’organisation. 28 . elles peuvent servir pour les futures missions de contrôles. Voire. L’ensemble de ce système de solutions motive les acteurs de contrôle interne pour élargir et assurer la continuité de la démarche de contrôle interne.3 Constituer une référence de base pour l’organisation Les logiciels de contrôle interne peuvent constituer une référence de base soit pour le contrôle interne soit pour la gestion de l’entreprise. 1. Aussi. les fiches de poste (suivi de l’écart profilcompétence). Finalement.…) puis il autorise leur liaison avec une activité ou une tâche donnée. Ce qui n’est pas le cas pour les PME actuellement dans le cas d’un contrôle ne faisant pas appel à cet outil. En plus. la plupart de ces logiciels assistent le management pour établir les tableaux de bord. entités • Un référentiel centralisé • facilité d’emploi. son • Un module de gestion et de suivi architecture des opérations 29 .3 Les logiciels du contrôle interne sur le marché Le logiciel Principaux clients Fonctionnalités Points forts VALDYS • Forte capacité de modélisation • Groupe Taitbout • Documentation et formalisation =>Piloter et modéliser le des processus et des risques • Souplesse d’utilisation • Mut’Est contrôle interne et • Formalisation du référentiel de • Granularité très fine • Le cabinet de conseil maîtriser les risques contrôle R & B Partner • Conformité avec Solvency II et opérationnels • Croisement des points de exigences de l’ACAM • AXIEM contrôle avec les processus • Paramétrage selon le métier de • Génération des tableaux de l’entreprise contrôle et des documents d’audit • Traçabilité du contrôle interne • Plan d’action et suivi des résultats Frontcontrol • Cartographie du contrôle interne • La poste • Conformité avec la loi =>Assurer la cohérence du Sarbanes Oxley et la Loi de la • Groupama banque • Génération des formulaires de dispositif de contrôle Sécurité Financière contrôle • Macif interne et les mécanismes • Aide à la rédaction du rapport • Collecte d’informations • Banque PSA Finance d’autoévaluation) de contrôle • Identification des plans d’action • Evolutif et mise à jour de la cartographie • Reporting Enablon Internal Control • Conformité avec la loi • Auchan • Evaluation des contrôles => Une solution de gestion Sarbanes Oxley et la loi de la • IONIS • Testing et de pilotage de contrôle sécurité financière • Reporting interne considérée comme • Grilles d’évaluation • Capitalisation et partage des l’une des solutions de personnalisées aux profils des travaux d’analyse référence du marché.1. Solvency 2 et ACAM Facilité d’utilisation et compatibilité avec Windows et Lunix 30 .• • • Agence Française de Développement • AGIRC-ARRCO • Banque de Gestion Edmond de Rothschild Monaco (BGER) • Groupe Crédit Mutuel : Fédéral Finance • Groupe Malakoff Médéric • IRP Auto PRO BTP • • • • • Tableaux de bords Analyse croisée dynamique des procédures Rattachement contrôle et risque ou objectif Définition des contrôles de niveau 1 et 2 Orchestrer la distribution des fiches de contrôle dans le temps et dans l’organisation permettre les contrôles de contrôles Formulaire des recommandations et des actions de suivi • sa gestion décentralisée et son multilinguisme ISIMAN => créer un référentiel de contrôle interne et le déployer au sein de l’entreprise • • • Saisir les résultats des contrôles en mode déconnecté et ensuite de les importer en une seule opération dans la base de données Conformité avec Bâle II. Plus le logiciel est facilement exploitable et permet d’automatiser plus d’opérations manuelles plus l’utilisateur de logiciel est satisfait. La viabilité de cette attribution est ressentie surtout à la phase d’identification des risques et de définition des points de contrôle.1 Accélération de la mise en œuvre du processus de contrôle interne Parmi les avantages principaux des logiciels de contrôle interne.1.1 L’apport de Contrôle Interne Assisté par Ordinateur 2.). un auditeur débutant ou expérimenté économise beaucoup de temps de recherche et de réflexion pour adapter la mission de contrôle à la nature d’activité de l’entreprise.2 L’existence d’une base de référence dans le domaine d’activité de l’entreprise Concrètement. internet.2 Avantages et limites du Contrôle Interne Assisté par Ordinateur 2. Subséquemment. distribution. etc. etc. assurance et mutualité. En recourant à cette solution. En vérité.1. Le Contrôle Interne Assisté par Ordinateur profite d’une base de référence conforme aux normes et à la législation en vigueur liés à un secteur d’activité donné (exemple : industrie nucléaire. ces éditeurs ont vite compris que le temps pour l’entreprise est une matière rare et couteuse. pour comprendre cet avantage. comment le Contrôle Interne Assisté par Ordinateur permet-il d’accélérer le processus du Contrôle Interne ? 2. 31 .) et qui remplace le recours automatique à la documentation manuelle (ouvrages. documents internes. Alors. le gain de temps énorme dans la réalisation du processus d’audit et de pilotage des missions de contrôle. il faut remonter à la fonction d’assistance et d’orientation de l’auditeur. on assiste à une concurrence très motivée entre les différents éditeurs pour proposer des produits de plus en plus efficaces et performants permettant d’économiser toujours plus de temps de travail de management. 2. un tri et une extraction des données liées à un document concernant une étape spécifique de la démarche d’audit interne.1.1. Tout de suite.4 Le croisement des données L’opération de croisement de données permet de détecter les écarts et les anomalies de la mise en œuvre entre différents niveaux et étapes de contrôle laissant ainsi la possibilité à l’auditeur de rectifier les erreurs de conception et d’estimation commises auparavant (exemple croisement des points de contrôle avec les tâches de contrôle) Cette fonction caractérise quelques logiciels des plus performants sur le marché. Cette génération automatique des documents permet une sélection. l’application injecte ces données dans le document à générer en évitant de cette manière d’effectuer des opérations de recherche et de calcul manuellement. l’introduction de cette option nécessite de l’utilisateur une précision particulière dans le choix et l’établissement de sa terminologie de contrôle interne afin de surmonter le risque de confusion et de mauvaise interprétation par le programme informatique. Il 32 . Ainsi. la communication des informations et des données est devenue une opération simple et de routine pour le personnel d’une entreprise. Le choix de mettre cette option dans une application demande beaucoup de vigilance et d’effort au niveau de programmation.5 Partage et capitalisation des données de contrôle interne Aujourd’hui grâce aux réseaux informatiques. les développeurs ont établis de grands efforts pour automatiser la génération d’un nombre considérable de documents d’audit.2.3 La génération automatique des documents de contrôle La génération automatique de certains documents de base pour la réalisation d’une mission de contrôle interne est une fonction clé et une condition nécessaire pour les clients de ce type de logiciel. Aussi.1. parmi lesquels je souligne : • • • • • • • Fiches d’audit Cartographie des risques Tableaux de bord Plans d’action Tableaux de contrôle Rapport du contrôle interne Tests d’audit … 2. 6. Les logiciels existants sur le marché exploitent les réseaux informatiques internes de la firme pour exécuter un ensemble d’opérations de communication électroniques évitant de cette façon le déplacement. L’ensemble des logiciels de contrôle interne est en conformité avec une ou plusieurs lois dans le domaine. de partager un ensemble de références et de données entre plusieurs services au sein de la même structure ou bien entre un ensemble de sites situés à des endroits espacés.1.1. européen et international impose aux auditeurs de respecter des référentiels strictement définis et en même temps d’être en conformité avec un nombre de normes de pratiques d’audit interne. comme par exemple : • • Loi de la sécurité financière Loi Sarbanes Oxley 33 .lui suffit juste d’une connaissance limitée pour pouvoir partager tous les données concernées en quelques minutes.6 La cohérence du dispositif de contrôle interne 2. le risque de perte des documents papiers lors de leur envoi et le gaspillage de temps nécessaire à leur transfert. Dans ce cadre. le Contrôle Interne Assisté par Ordinateur permet de répondre aux besoins des auditeurs. Parmi les avantages de partage des données entre différentes cellules dans la même structure ou entre plusieurs structures : • Actualisation des données instantanément pour tous les postes liés à la source permettant ainsi d’empêcher les conflits liés au retard de transmission des informations et de garder tous les auditeurs à jour • • Plusieurs utilisateurs peuvent travailler sur la même mission en même temps ou à des moments différés à partir de plusieurs emplacements Possibilité aux auditeurs (selon les droits attribués) de porter des modifications sur la base de données centrale et à porter son avis sur des modifications effectuées par d’autres auditeurs 2.1 Cohérence par rapport aux référentiels La complexité de la réglementation et la législation actuelle au niveau national. 2 Cohérence par rapport à la démarche du contrôle interne L’exécution d’une mission de contrôle interne est un enchaînement de phases (voir partie 1 point B: la démarche du contrôle interne) dont chaque phase correspond bien à un panel d’opérations de contrôle. l’ordinateur lance un message de rappel de cette base de référence ou bloque l’entrée de certaines données incohérentes de cette base initiale. Cette base sera exploitée et respectée tout au long de la démarche d’audit. Cette consigne est respectée à la lettre parce que d’abord la démarche de contrôle interne est conduite par l’application informatique selon un plan bien défini et les étapes sont effectuées et réalisées selon un enchaînement préétabli. Pour faire face à ce problème.3 Cohérence entre les utilisateurs du logiciel La cohérence dans la conception des procédures.1. A chaque fois que l’auditeur intègre des données liées à la cotation d’un risque.6. 2. deux plans d’actions ou deux tâches de contrôle en contradiction ne peuvent jamais être établis pour deux risques identiques. le système demande de déterminer une échelle de référence sur les critères et les méthodes d’évaluation des risques adoptée par le management et le Conseil d’Administration. L’ordonnancement de ces phases obéit à une logique précise et en aucun cas ces phases ne peuvent être réorganisées. 2. le Contrôle Interne Assisté par Ordinateur permet de mettre tous les utilisateurs sur la même onde. Aussi. Subséquemment.1. elle contraint l’utilisateur à respecter la démarche conçue pour l’évaluation même pour les risques qui 34 .• • • Solvency II COSO Bale II Ces logiciels proposent ou obligent l’utilisateur à respecter une norme ou une loi donnée en limitant la marge de manœuvre de l’utilisateur ou en interdisant quelques modifications qui ne sont pas en conformité avec les réglementations du secteur. Tout d’abord. On ne peut imaginer deux méthodes d’évaluation distinctes pour un risque de même nature.1.6. 2.7 Pertinence des mécanismes d’évaluation des risques Le Contrôle Interne Assisté par Ordinateur procure une solution adéquate pour pouvoir réaliser une évaluation de risque pertinente. ainsi que dans l’analyse et les critères l’évaluation doit être respectée par tous les auditeurs. tout conflit ou contradiction est détectable par le système et peut être signalé à l’instant même de sa manifestation. Ainsi. 225-68 du code de commerce 34 Loi n°2005-842 du 26 juillet 2005 pour la confiance et la modernisation de l'économie (loi Breton) 35 . Le rapport de contrôle interne permet à l’entreprise d’avoir une image réelle sur le degré de maturité de ses contrôles et ainsi de traiter les risques associés. cette option permet de détecter des risques considérés acceptables mais qui s’avèrent après la phase de cotation très signifiants.1. La loi n°2003-706 du 1er août 2003 dite loi de Sécurité Financière impose au président du Conseil d’Administration ou de Conseil de Surveillance de rendre compte. G=5 et C=3 est lance un message d’erreur Le calcul de la criticité est automatique seulement si on respecte les critères d’évaluation choisis. dans un rapport joint au rapport de gestion annuel. Exemple : Un auditeur fait le choix de l’échelle de cotation suivant : Détectabilité (D) de 1 à 5. Ces logiciels permettent alors de : • Collecter et trier toutes les informations nécessaires à l’établissement du rapport en se référant à la base de données déjà existante. l’obligation d’établir ce rapport a été ensuite limitée aux seules sociétés faisant appel public à l’épargne34. ainsi que des procédures de contrôle interne mises en place par la société33 .8 Aide à la rédaction du rapport de contrôle interne A l’issue d’une mission de contrôle interne. 33 Article 117 de la loi modifiant les articles L.semblent non significatifs par rapport aux autres. Initialement appliquée à toutes les sociétés anonymes. des conditions de préparation et d’organisation des travaux du conseil. Les logiciels de contrôle interne présentent un moyen efficace pour minimiser les coûts et le temps de réalisation du rapport. 225-37 et L. Gravité (G) de 1 à 4 et Criticité (C) de 1 à 5 C = D*G*C L’ordinateur ne reconnaît pas alors une évaluation de D=6. les auditeurs établissent un rapport de contrôle dans lequel ils présentent le travail de contrôle effectué à toutes les phases d’audit. leurs constations et les recommandations à suivre dans les prochaines étapes. En effet. 2. 2. la valeur ajoutée du Contrôle Interne Assistée par Ordinateur est de pouvoir actualiser les données d’une manière automatique sans être obligé de refaire les même travaux à chaque nouvelle mission d’audit et de historier les changements périodiques à l’aide du logiciel. l’utilisateur peut modifier les caractéristiques d’un risque ou d’un point de contrôle à chaque fois que la situation l’exige. l’auditeur interne est amené à mettre à jour l’évaluation des risques continuellement. En conséquence. En effet. De cette façon. le développeur cherche à limiter la marge de manœuvre de l’utilisateur par le blocage de centaines de fonctionnalités et l’interdiction d’accès à d’autres.9 Pérennisation de la démarche d’audit La mise en place d’un système de contrôle interne est une opération qui ne se limite pas à la durée de la mission de contrôle mais elle continue tout au long de la vie de l’entreprise. il donne la possibilité de suivre et d’observer les évolutions des risques et des contrôles en temps réel. Cette option allège le travail de l’auditeur puisqu’elle permet de partager l’effort réalisé sur toute l’année et évite ainsi une accumulation du travail sur une période particulière. les 36 . Le changement de l’environnement et la métamorphose des risques sont les causes principales de cette mobilisation continue.• • • • Donner le choix à l’utilisateur de faire figurer ou non un nombre d’éléments du rapport selon l’importance de ces derniers pour les organismes de contrôle Automatiser les calculs et la mise en forme des résultats obtenus Permettre une mise à jour automatique du rapport après chaque modification Permet d’avoir une idée générale sur l’avancement du travail à chaque étape de réalisation du rapport.1 Rigidité partielle La fonction principale des logiciels de contrôle interne « assistance de l’auditeur dans sa démarche de contrôle interne » entraîne un déséquilibre entre d’une part la volonté d’une formalisation excessive des procédures des activités de l’entreprise et d’autre part l’utilisation adaptée des techniques d’audit interne. afin de le contraindre à rester en conformité avec les lois et les normes en vigueur. 2. Dans ce cadre. etc. 2.1.2 Les limites du Contrôle Interne Assisté par Ordinateur 2. En effet. à suivre l’application et la mise en œuvre des recommandations et à développer des activités de maîtrise. Par ailleurs. Dans le même but. Access ou MySQL pour la gestion des bases de données. l’utilisateur doit avoir des compétences avancées en informatique et une bonne compréhension de l’architecture du logiciel. les logiciels de contrôle interne présentent quelques points de défaillance qui peuvent nuire à l’utilisateur et l’empêcher de réaliser quelques opérations d’entrée de données. Parmi les erreurs les plus courantes : • • Erreurs d’incompatibilité avec d’autres logiciels ou systèmes d’exploitation Les bugs qui résultent souvent des erreurs de programmation comme les erreurs dans une formule de calcul ou des messages non compréhensibles.2 Maîtrise limité des fonctionnalités du logiciel Pour bénéficier de toutes les fonctionnalités d’une application de contrôle interne. Ces connaissances ne se limitent pas seulement à l’application de contrôle interne mais doit porter aussi sur d’autres outils comme les outils bureautiques. 2. Afin de surmonter cet obstacle. 37 . les éditeurs de logiciels proposent des modules de formation pour leurs logiciels et une assistance à distance pendant la durée de l’utilisation des contrats.3 Les erreurs informatiques A l’instar des autres applications.utilisateurs ont tendance à renoncer à un nombre de constatations ou d’observations dans la mesure où ils n’arrivent pas à les introduire dans le système informatique. 2.2. la gestion des bases de données et l’architecture des réseaux informatiques. la plupart des logiciels de contrôle interne font appel à d’autres ressources externes pour alimenter et réaliser des opérations de calcul (exemple : Word pour génération des documents. En fait. les utilisateurs seront obligés de respecter la méthode d’audit proposée par le système et d’abandonner toute démarche appropriée à l’auditeur ou déjà utilisée par l’entreprise dans les missions précédentes. Ces problèmes sont généralement dus à des erreurs de programmation ou de conception. ils incluent dans leurs applications des outils d’aide et des exercices pratiques pour améliorer et répondre aux questions des utilisateurs. Ainsi. Cette qualité lui autorise une exploitation maximale des outils que procurent le logiciel et une optimisation des résultats recherchés. Excel pour les calculs complexes et les graphiques. de traitement ou de génération de documents. Internet explorer pour la lecture des pages HTML).2. Cela n’a rien d’étonnant. l’existence d’une base de données initiale liée à la nature de l’activité de l’entreprise implique une tendance de l’utilisateur à adopter des solutions prêtes au lieu de faire l’effort d’une analyse structurée. 2. c’est tout-à-fait normal que dans les premiers mois on démarre très lentement puisque c’est la période de formation et de découverte du logiciel. de développement des activités de contrôle et le suivi des plans d’action prennent moins de 38 . En plus. Cependant. les anciennes solutions sur le marché bénéficient toujours d’un pas d’avance par rapport aux autres grâce à une expérience accumulée dans ce domaine. l’utilisation continue et permanente de cet outil peut stimuler une dépendance relative à cet outil et entraîner alors une influence notable sur les choix et les analyses de l’auditeur.5 Gestion de temps irrationnelle Le Contrôle Interne Assisté par Ordinateur demande beaucoup d’investissement en matière de temps.• • • Erreurs d’installation de l’application sur un poste informatique et erreurs de paramétrage Erreurs dans la définition des droits d’accès et de modification Non respect de certaines normes de sécurité de réseau La grande partie de ses problèmes est expliquée par la nouveauté de ces logiciels sur le marché. les développeurs sont toujours en veille pour corriger ces défauts informatiques par des mises à jour régulières dans le cadre de développement de logiciel ou suite à une signalisation d’utilisateur. l’accélération des procédures de mise en place est remarquable. Les premiers mois sont les plus dures. et l’utilisateur à l’impression que le travail avance très lentement. les phases d’analyse des risques. Néanmoins. Ainsi. les solutions préexistantes dans la base de données ne s’appliquent pas toujours à l’organisation auditée. ce sont les premiers mois seulement qui consomment beaucoup de temps parce que c’est une période d’adaptation et de conception.4 Dépendance Le recours au Contrôle Interne Assisté par Ordinateur ne remplace jamais l’esprit analytique et critique de l’auditeur ainsi que sa rationalité dans l’évaluation des risques. 2. Après cette phase. En réalité. Pourtant.2. Il fait appel aussi à sa capacité créative et à son instinct d’auditeur. L’utilisateur rencontre alors un grand nombre de blocages techniques et d’incompréhensions surtout au niveau de la logique de modélisation graphique.2. temps. L’évolution de la mise en place du Contrôle Interne Assisté par Ordinateur dans l’axe temps suit une courbe exponentielle. Avancement de mise en place de CI Phase 3 Phase 2 Phase 1 Temps Graphe représentant l’évolution de la mise en place de CIAO en fonction du temps 2.3 Les clés de réussite d’un projet de Contrôle Interne Assisté par Ordinateur La réussite de l’introduction du Contrôle Interne Assisté par Ordinateur dans organisation passe d’abord par un ensemble de dispositions et de pré-requis : • Une organisation comportant une définition claire des rôles, disposant des moyens nécessaires et des compétences adéquates et s’appuyant sur des systèmes d’information efficaces, sur des procédures ou modes opératoires, des instruments et des dispositifs adaptés. • • Une communication interne pertinente, fiable et efficace qui permet à chacun d’exercer ses responsabilités sans confusion ni désordre. L’existence d’un système permettant de recenser, d’évaluer et d’analyser les principaux risques identifiables, de réaliser les objectifs de l’organisme et de s’assurer de l’existence des procédures de maîtrise de ces risques. • L’existence des activités de contrôle proportionnées aux risques liés à chaque processus, et conçues pour s’assurer que les mesures nécessaires soient prises en vue de maîtriser les risques susceptibles d’affecter la réalisation des objectifs. • Une surveillance permanente portant sur le dispositif de contrôle interne ainsi qu’un examen régulier de son fonctionnement. une 39 3 Etude de cas logiciel Valdys 3.1 Présentation du logiciel 3.1.1 Fonctions majeurs et apport du logiciel Désormais, les sociétés d’assurances et les mutuelles (compagnie, mutuelle ou institution de prévoyance) sont soumises à une réglementation stricte qui leurs impose des connaissances particulières en contrôle interne et une maîtrise totale des risques opérationnels y compris les risques financiers. En effet, le second pilier de la directive Solvabilité 2 oblige les entreprises du secteur des assurances à mettre en œuvre des actions de contrôle interne et de management des risques qui nécessitent le recours à une méthodologie structurée et à des savoirs-faires innovants en contrôle interne. Dans ce cadre, Effisoft (éditeur de solutions informatiques de gestion) a développé l’application Valdys : outil structurant permettant de piloter et de modéliser le contrôle interne. Il apporte une connaissance exhaustive et une maîtrise totale des risques opérationnels liés à la société relevant du contrôle de l’ACAM.35 Valdys permet d’une part de mettre en œuvre le référentiel de contrôle interne en décrivant et en formalisant les processus et les risques au sein d’une démarche structurante intégrant les spécificités des métiers de l’assurance (IARD, santé, prévoyance, retraite, …). Aussi, il intègre la fonction d’évaluation des risques, d’identification des points de contrôle et de leurs croisements avec les processus de l’entreprise. Il permet de générer les tableaux de contrôle interne et les documents d’audit (fiches de contrôles, fiches de tests, plannings d’audit, tableaux de synthèse) ainsi que tous les livrables réclamés dans le cadre du contrôle permanent de l’ACAM. D’autre part, il permet de diffuser le référentiel de contrôle interne et la déclinaison opérationnelle des points de contrôle en générant automatiquement sous forme de documents électroniques, documents papiers ou pages web intranet, les processus, les procédures, l’analyse des risques et les plans d’action et de suivi pour faciliter la diffusion des informations à tous les acteurs concernés. Les fonctionnalités de cet outil sont en général les objectifs concernant le Contrôle Assisté par Ordinateur à savoir : • La réduction du temps de mise en place d’un système de contrôle interne 35 http://www.valdys.com/Pages/Solutions/Solutions.aspx?Action=Valdys 40 • • • • • La sauvegarde et l’archivage des résultats obtenus à un moment donné dans l’objectif de la traçabilité de la démarche La génération automatique d’un ensemble de documents d’audit et du rapport de contrôle interne La conformité aux contraintes liées à Solvabilité 2 L’économie de ressources matérielles et humaines L’assistance en ligne et l’accompagnement technique et professionnel 3.1.2 Caractéristiques techniques Valdys est une solution qui n’est pas très exigeante en performance matérielle des ordinateurs ou des serveurs de réseau. Cette caractéristique renforce son apport en tant que solution économique pour l’entreprise. De ce fait, les clients ne sont pas amenés à avoir des équipements de haute performance pour le mettre en route. Selon les besoins, Valdys peut être installé en client lourd ou léger. Autre avantage, sa compatibilité avec toutes les bases de données du marché (Access, MYSQL,…). La configuration requise est la suivante : • • • • • Espace disque nécessaire : 50Mo Mémoire : 1Go Processeur : Pentium III ou supérieur OS : Windows, Windows NT4 SP6, Windows 2000 SP3, Windows XP IE 5.1 ou supérieur En revanche, certaines défaillances de ce logiciel ont été soulevées : • • • L’installation du logiciel nécessite des connaissances informatiques très avancées. Ces difficultés sont surtout dues à des mesures très strictes contre le piratage du logiciel. Nombre considérable d’erreurs et de bugs informatiques Incompatibilité avec la dernière version de Windows (Vista) et la dernière version Office 2007, pour contourner ce problème l’éditeur propose pour ces clients dotés de ce type de système d’exploitation ,des mises à jour. • L’édition du rapport de contrôle interne demande encore des efforts considérables de l’utilisateur pour l’adapter aux exigences de l’ACAM. 41 2.2.2 L’architecture de Valdys 3. Un projet est un ensemble homogène de points de vue et qui vise à réaliser les objectifs définis de contrôle interne.1 Présentation de l’arborescence de Valdys Globalement. Chaque niveau présente un angle de vue particulier sur le système de contrôle interne paramétrable selon la phase de contrôle à réaliser.2. Bas de données CI Projet 1 Projet 2 Projet 3 Projet 4 Point de vue 1 Point de vue 2 Point de vue 3 Point de vue 4 Modèle 1 Modèle 2 Modèle 3 Modèle 4 Schéma de l’architecture globale de la base de données 3. Les informations générées lors de l’utilisation de Valdys sont enregistrées dans une base de modélisation représentée par un ou plusieurs fichiers.1 Le projet Le premier niveau de structuration de la base de modélisation est le Projet. Il est composé d’un ou 42 . Il est possible de modéliser différents projets au sein d’une même base.3. le point de vue et le modèle 3. le logiciel est conçu sous forme d’une arborescence constituée de plusieurs niveaux. C’est le niveau le plut haut des niveaux de conception d’une base de contrôle interne.2 Le projet.2. Exemple de projet: « Création de base de contrôle interne pour une mutuelle ». 36 Annexe 1 « Lexique Valdys » 37 Annexe 1 « Lexique Valdys » 38 Annexe 1 « Lexique Valdys » 43 . Ces nœuds et liens manipulés par les différents éditeurs de modèles sont donc les représentants graphiques des concepts qui sont stockés dans le Dictionnaire d’éléments.2 Le Point de Vue Ensemble de modèles identiques ou différents s’inscrivant dans un projet et décrivant un éclairage particulier sur l’objet de la modélisation. qui représentent des concepts manipulables. etc.2.2. Il est possible de modéliser différents projets au sein d’une même base. un Modèle est un graphe composé de nœuds et de liens. sous-sous-mission. un point de vue externe) o Complémentarité dans l’espace (un point de vue central.37 Les Points de Vue permettent d’exprimer différentes dimensions complémentaires : o Complémentarité dans le temps (un point de vue actuel.2. de règles de construction et d’outils d’édition offrant une représentation structurée38. 3. Exemples : processus de pilotage. Ce dernier est propre à un Projet et il est partagé par tous les Points de Vue et Modèles d’un seul et même Projet. un point de vue local) Un Point de Vue s’exprime à travers un ou plusieurs Modèles. un point de vue cible) o Complémentarité dans l’organisation (un point de vue interne.Chaque modèle relève d’un type de modèle qui précise les concepts manipulables dans celui-ci.2. D’une manière générale. etc. 3. processus cœur de métier. un modèle de type Arbre des Missions permet de manipuler le concept de mission et les liens permettent de structurer une décomposition de missions en sous missions.plusieurs points de vue jugés pertinents pour la structuration du référentiel de contrôle interne36. Par exemple.3 Le Modèle Ensemble de cadres. 3.3. Les processus support : ils permettent de représenter les moyens nécessaires à la mise en œuvre des processus métiers.1.3 Le projet de Contrôle Interne selon Valdys 3. Les liaisons entre les différents diagrammes de phases sont sous formes de connecteurs d’entrée ou connecteurs de sortie. La phase symbolise une période durant laquelle se déroule un ensemble d’activités au travers d’un découpage temporel.1.1 Le Macro-processus 39 C’est la vision globale du métier de l’entreprise avec une décomposition homogène et cohérente selon ces différentes missions. Les processus de réalisation ou processus métier : ces processus fonctionnement • traitent le de réalisation d’un produit ou d’un service en décortiquant l’enchainement des activités opérationnelles en plusieurs phases.1 Identification/Formalisation des processus La première étape dans la réalisation du projet de mise en place du contrôle interne est de décliner les missions et les objectifs de l’organisme afin d’identifier les processus clés de celui-ci ainsi que les moyens mis en œuvre pour en garantir leur bon fonctionnement. Il y a trois niveaux de conception des processus de l’organisation.2 Le Diagramme de Phase 40 C’est la représentation graphique d’un ensemble d’activités dans le cadre de la même mission de contrôle. 3. selon normes ISO 9000) • • Les processus de direction ou de pilotage : ils retracent la manière avec laquelle la direction de l’entreprise pratique sa politique de pilotage et de gouvernance.3. 39 40 Voir annexe (2) Voir annexe (4) 44 . mission Cœur de métier et mission Support.3.3. La décomposition de l’activité de l’entreprise proposée par Valdys concerne 3 grandes catégories (mission Pilotage. il faut partager les risques en risques exogènes et risques endogènes : 41 Voir annaex (4) 42 Voir annexe (1) 43 Voir annexe (1) 45 .3. un auditeur peut avoir une représentation synthétique d’une activité en modélisant des tâches et les liants avec des flux horizontaux ou verticaux.3. La description des Logigrammes permet donc de formaliser les pratiques opérationnelles existantes et permet éventuellement d’optimiser le système d’information et / le système de production de l’entreprise sur un périmètre donné.3. Le Logigramme décrit de point de vue opérationnel une activité à travers les pratiques des métiers de l’entreprise (une procédure au sens ISO 9000).1 Catégories de risques Après la définition et la modélisation des procédures. Schéma représentant un processus mis en œuvre pour assurer une mission43 Macroprocessus Digramme de phase Logigramme 3.3.2. Grâce à ce schéma.2 Identification et évaluation des risques 3.1. l’auditeur entame la phase d’identification et d’évaluation des risques. la réponse à la question « qui fait quoi ? » est complète. D’abord.3 Le Logigramme 41 Le troisième niveau de vision des procédures est le Logigramme « Schéma représentant un processus mis en œuvre pour assurer une mission42 ». A ce stade. Ces risques en général se produisent dans le cadre de la réalisation des activités de l’entreprise. 44 Voir annexe (5) 46 . etc. L’établissement et l’analyse de procédure est une étape préparatoire à l’identification et l’évaluation des risques. Tout effort réalisé par un auditeur est fondé sur une analyse fiable et rationnelle des risques.2. La première catégorie de risque est modélisée avec des « Arbres des familles de risque»44 pendant que la deuxième catégorie est modélisée sous forme « d’Arbre de risque ». erreur de saisie. La logique de Valdys permet de déduire les risques en analysant les objectifs à réaliser et les contraintes réglementaires à respecter. etc. mauvaise interprétation d’un texte de loi par le personnel. Dans le cas inverse. toute la mission d’audit et les objectifs liés peuvent être condamnés à l’échec. Les risques endogènes se sont les risques liés à des facteurs déclenchés au sein de l’entreprise (fraude interne.• • Les risques exogènes sont des risques d’origine externe à l’entreprise (exemple : les catastrophes naturelles.3. coupures de courant. La représentation graphique de ces arbres met en évidence la relation entre les missions et les objectifs ainsi que les risques liés à chaque objectif (événement indésirable ou classe d’événements indésirables). Ainsi.).2 Evaluation des risques L’évaluation des risques est une phase critique dans la démarche de contrôle interne. la modélisation des risques sous l’appellation « arbre de risque » est la suivante : Objectif Mission Contrainte Evénement indésirable (Risque) ou classe d’événements indésirables Point de contrôle Action corrective Action préventive 3.). Valdys accorde beaucoup de moyens et de ressources pour l’évaluation des risques. …). Pour cela. D’abord. Valdys permet aussi de détailler l’évaluation de la Gravité en la décomposant en plusieurs impacts de différentes natures (impact financier. il est possible de générer la cartographie de risques représentant graphiquement les risques et leur importance. Dans certains cas l’auditeur est amené à prendre en considération le poids significatif d’un des facteurs précédents.Conscient de l’importance stratégique de cette phase.3 Identification des éléments de contrôle et croisement avec les tâches ou activités de contrôle Pour chaque risque majeur ou mineur. impact client. Pour faire. Valdys permet d’identifier un ou plusieurs éléments de maîtrise : • • 45 Action corrective Action préventive Annexe (3) 47 .3. impact fournisseur. G^4*F²*D). Une fois les risques cotés. pour évaluer la criticité d’un risque Valdys intègre 3 facteurs dans la fonction de calcul : • • • Fréquence F (de 1 à 5) Détectabilité D (de 1 à 5) Gravité G (de1 à 5) La formule de calcul de la criticité est : Criticité = Fréquence* Détectabilité*Gravité La criticité est ainsi comprise entre 1 et 100. impact image. Enfin. tous les risques de l’Arbre des risques 45 n’ont pas besoin d’être forcément cotés. le logiciel permet de générer des cartographies de risque. F*G. Il est possible de générer une cartographie des risques pour un seul arbre des risques à la fois ou pour tous les arbres présents dans le modèle « Arbre des risques » ou pour tous les arbres de risques d’un projet 3. Puis. Valdys permet de changer la formule de calcul par une autre comme par exemple (C=F*G². etc.4 Suivi et amélioration Valdys permet de planifier et de mettre en place des plans d’action et de contrôle.3. • Le Tableau de contrôle : il permet de synthétiser le rapprochement entre les risques. Dans ce cadre. pour une période donnée. de réaliser des évaluations de contrôle et de suivre des recommandations. il dispose de plusieurs outils et moyens : • La Fiche de contrôle : elle décrit de quelle manière les risques sont pris en compte au niveau des processus (mode opératoire.1 Le rapport du contrôle interne Le rapport du contrôle interne récapitule l’ensemble des informations intégrées dans Valdys en les organisant d’une manière cohérente et homogène. les points de contrôle et les processus.4. Cette opération de liaison entre les points et les tâches de contrôle est appelée processus de croisement des risques.• Point de contrôle A chaque élément de maîtrise doit correspondre une tâche de contrôle présent au niveau des Logigrammes. 3. Une génération par la suite des tableaux de contrôle nous permettra de détecter les défaillances du système de contrôle interne dans l’entreprise (les risques auxquels ne corresponde aucune tâche de contrôle). la liste des audits à mener et la charge de travail correspondante dans le but de planifier efficacement les évaluations.) dans le but de maîtriser les risques du métier. 3. Le rapport de contrôle interne est notamment destiné aux autorités de tutelle telles que l’ACAM – Autorité de Contrôle des Assurances et des Mutuelles. et ceci.4 Les documents générés en interne par Valdys 3. par période. • Le Planning des actions : il permet de visualiser les actions correctives et préventives puis d’organiser leur suivi. et ceci. 48 . afin d’identifier les écarts. date. fréquence du contrôle. • L’Echéancier d’évaluation : il indique. responsable. type de risque. • Le Tableau de bord : il permet de synthétiser l’avancement des audits et des résultats obtenus. etc. on note l’absence d’une génération automatique d’une note de synthèse sur l’état et l’aboutissement du travail de contrôle effectué par l’auditeur. Ce site web généré peut être consulté et intégré dans l’intranet de l’entreprise ou dans un réseau extranet. Les utilisateurs ayant les droits d’administrateur ont l’option d’interdire et de sécuriser l’accès à des éléments confidentiels. Effectivement. 3. De plus. Un autre inconvénient.2 La génération des pages HTML 46 La génération d’un site web est une fonctionnalité très utile pour la diffusion et le partage d’information entre le personnel. l’auditeur décide de mettre ou non un certain nombre de renseignements dans le rapport de contrôle selon leur degré d’importance et d’utilité. il est invité à fournir un effort considérable pour changer la structure du rapport par défaut. Tout le travail réaliser de la modélisation des procédures jusqu’à la génération du rapport est intégralement consultable. La structure finale du rapport de contrôle interne est modifiable selon les besoins de l’utilisateur. l’utilisateur doit intégrer lui-même un nombre d’informations qui alimentera la base Valdys (exemple : informations sur l’organisation du Conseil d’Administration) et effectuer les modifications finales pour mettre en conformité le rapport avec les exigences de l’ACAM. en conséquence l’utilisateur ne peut pas modifier l’architecture du rapport.Dans ce cadre. Le script utilise toute la base de données disponible et les informations enregistrées par l’auditeur pour générer un rapport de contrôle interne. Valdys permet de générer un rapport de contrôle interne sous forme d’un fichier au format Word. la performance du logiciel dans la génération du rapport reste limitée. 46 Voir annexe (8) 49 . Cela engendre beaucoup de difficultés pour changer ou modifier des éléments du rapport comme le contenu des tableaux ou des graphes. L’utilisateur est confronté alors à des mesures restrictives établies par l’éditeur du logiciel dans le cadre d’encadrer la mission d’audit. le logiciel ne présente qu’un seul choix concernant la structure de rapport .4. Dans ce cas. Ainsi. Néanmoins. en effet la valeur ajoutée de cet outil est de plus en plus remarquable. Les trois axes de ce mémoire démontrent le rôle important du Contrôle Interne Assisté par Ordinateur à la gestion de l’organisation et au processus de maîtrise des risques. Par ailleurs. économie des dépenses liées aux opérations de contrôle. Un effort conjugué entre toutes ces parties peuvent contribuer au développement et à l’amélioration du Contrôle Interne Assisté Par Ordinateur. Finalement. Cependant. il est très tôt de porter un jugement négatif à cause des inconvénients déjà relevés.Conclusion Le Contrôle Interne Assisté par Ordinateur est une option portant une grande valeur ajoutée pour les entreprises et les cabinets d’audit afin d’assister et d’accélérer le processus de mise en œuvre de la démarche de contrôle interne. il faut impliquer dans l’analyse d’autres logiciels et d’autres utilisateurs. Pour généraliser notre étude. cohérence de démarche entre auditeurs. on peut dire qu’à l’instar de toutes les solutions informatiques proposées aux entreprises. 50 . le Contrôle Interne Assisté par Ordinateur connaît un développement rapide et soutenu du nombre de ces clients grâce à un meilleur rapport coût/efficacité et devient ainsi un concurrent redoutable pour les cabinets d’audit. Cette analyse doit faire l’objet de tests pratiques et techniques réalisés par les acteurs et les experts du contrôle interne et les éditeurs et concepteurs de ces solutions de gestion. Notamment parce que notre analyse a porté sur un seul logiciel (Valdys) et aussi en se référant à d’autres ressources documentaires. Accélération de processus. il ne faut pas ignorer l’importance des défaillances constatées et déduites lors de notre analyse du concept et surtout dans notre étude de cas surtout concernant les dimensions techniques et la maîtrise des outils de logiciels. 1998. P1383 Ernst&Young.Bibliographie : • • • • • • • • • • • • Frédéric Bernard.jpg http://www.aspx?Action=Valdys 51 .htm http://fr.wiktionary. 2001. p 183 Dictionnaire encyclopédique universel. P1383 Webographie : • • • • • • • • • • • • http://www.pdf http://www. Christian Fischer. p210 Alain-Gérard Cohen. ed LGDJ. p 303 Norme CNCC 2-301. Edition d’organisation.amf-france. évaluation du risque et de contrôle interne ».com/fr/publications/management_processus.pdf http://www. « Contrôle interne ».aspx http://www.wikipedia.efront.com/assister http://www.2003 Coopers & Lybrand. para 08.com/produits/gestion-des-risques/controle-permanent.tr/KONTROL_EN/Images/kontrol/coso. 2004.pdf) http://www. Evaluation.asp http://enablon. Gestion ».valdys. Baudouin Theunissen. Ed. 1994. Rémi Gayraud et Laurent Rousseau.org/documents/general/4746_1.knowllence. Editions Maxima.bumko. p 378 Kamal ABOU EL JAOUAD. dans le cadre des exigences de la future directive Solvency II » Hugues Angot.gov.org/ http://fr.com/Pages/Solutions/Solutions. Edition Précis1998.MAXIMA. « MIEUX PILOTER ET MIEUX UTILISER L'AUDIT ». Thierry Malleret Collaborateur Klaus Schwab. « Audit comptable.thefreedictionary. Paris.ordinal. « Contrôle interne et audit publics ». Edition: 3 De Boeck Université.fr/sitekeyw/html_val/ru$44___. Paris.french-american. « La nouvelle pratique du contrôle interne ». p 304 Seán Cleary. « Elaborer une cartographie des risques opérationnels. p 124 Dictionnaire encyclopédique universel. 2006. « Risques: Perception. 2005. Paris. « Les enjeux du contrôle interne » Université Clermont Benoît Pigé « Audit et contrôle interne ».fr/html/glossaire. Ed EMS. Audit informatique ».htm?gclid=CLK0jd6c65kCFQiF3godMi uuQQ http://fr.com/fr/Logiciel_Controle_Interne. PARIS. Edition Précis1998.org/wiki/contr%C3%B4le http://www. Référentiel normatif CNCC.org/files/cr-francais-diner-ifafaf.keyword. Editions Maxima. 253 pages Étienne Barbier. 2006. Annexes 52 . 1 Annexe (1) : Lexique Valdys 53 . 54 . 2 Annexe (2) : le Macro-processus 55 . 3 Annexe (3) : Arbre des risques 56 . 4 Annexe (4) : Diagramme de Phase et Logigramme 57 . 5 Annexe (5) : Arbre des familles de risque 58 . 6 Annexe (6) : Le modèle nomenclature et le modèle diagramme de structure 59 . 7 Annexe (7) : Le modèle arbre des rôles/compétences et la cartographie des risques 60 . 8 Annexe (8) : Les pages Html 61 .


Comments

Copyright © 2024 UPDOCS Inc.