EVALUATION DU CONTROLE INTERNE

Les rcents scandales financiers et les lgislations qui ont vu le jour ces dernires annes ont port un clairage nouveau sur le contrle interne. Cette notion, dont l'appellation ambigu rsulte d'une traduction littrale de l'anglais, recouvre en fait la matrise des activits de l'entreprise et, en particulier, le management de ses risques. Autrement dit, l'objectif ultime du contrle interne est bien la matrise des risques inhrents l'activit d'une entreprise et la conduite de ses oprations de la faon la plus efficiente et scurise possible. Ainsi dfini, le contrle interne comporte une composante oprationnelle forte dont les contours sont assez proches de ceux du management de la qualit.

Une autre facette du contrle interne concerne la fiabilit de l'information financire ; rien d'tonnant ce que le lgislateur ait privilgi cet aspect, compte tenu des nombreuses irrgularits comptables rvles ces dernires annes et de l'branlement de la confiance des investisseurs qui s'en est suivi.

Vu sous cet angle, le contrle interne constitue une des responsabilits fondamentales des dirigeants d'entreprise ; il leur appartient de s'assurer que l'entreprise qu'ils grent est dote d'un dispositif efficace de gestion des risques.

Il est, par consquent, crucial que chaque entreprise, quels que soient sa taille, son secteur ou son mode de financement, soit en mesure d'valuer la qualit de son dispositif de contrle interne afin de s'assurer qu'il ne recle aucune faiblesse significative et que l'exposition aux risques de l'entreprise est en phase avec sa stratgie et ses objectifs.

Cet article se propose d'apporter un certain nombre d'lments mthodologiques pour conduire une valuation du contrle interne : celle-ci a pour point de dpart l'analyse des processus de l'entreprise, puis l'identification des risques et enfin l'valuation des contrles en place.

POURQUOI EVALUER LE CONTROLE INTERNE ?

L'objectif recherch par l'valuation du contrle interne est de deux ordres :

en premier lieu, il s'agit de porter une apprciation sur le dispositif afin de l'optimiser. Comme indiqu prcdemment, un systme de contrle interne, si efficace soit-il, n'est pas en mesure d'liminer totalement la probabilit de survenance d'un risque. Il s'agit, par consquent, de procder une valuation rgulire du contrle interne afin de pouvoir identifier les zones d'amlioration et faire ainsi progresser l'ensemble du dispositif. Ce progrs continu passe ncessairement par une mesure, un tat des lieux du dispositif. en deuxime lieu, l'valuation du contrle interne est ncessaire lorsque l'entreprise est soumise des obligations de communication sur ce thme : c'est le cas, en particulier, des entreprises cotes, soumises la LSF (Loi sur la Scurit Financire en France) ; dans ce contexte, les informations diffuses par le prsident du conseil d'administration doivent s'appuyer sur un dispositif interne de collecte de donnes fiables et exhaustives.

LEVALUATION DU CONTROLE INTERNE

tape 1 : comprendre les processus (voir article du BIOS sur la documentation des processus) L'valuation du contrle interne passe ncessairement par l'analyse des processus de l'entreprise. Cette phase permettra de mettre en vidence les zones de vulnrabilit, point de dpart de la dmarche d'amlioration du dispositif.

tape 2 : identifier et valuer les risques Aprs l'analyse des processus, la deuxime tape de la dmarche d'valuation du contrle interne consiste identifier les risques auxquels l'entreprise est expose, les valuer puis adopter la stratgie de traitement la plus approprie. En tout tat de cause, une attention particulire doit tre porte aux systmes d'information et aux risques qui leur sont associs. Une fois cette identification effectue, il s'agira de mettre sous contrle les risques principaux, en allouant les ressources ncessaires ces contrles.

Identification des risques

L'identification des risques constitue la phase cl d'un projet de contrle interne. dfaut de pouvoir identifier de faon exhaustive tous les risques auxquels l'entreprise est expose, il s'agira, tout au moins, d'en recenser les principaux.

L'identification des risques peut tre conduite de plusieurs faons :

l'analyse dtaille des processus permet de mettre en vidence les zones de vulnrabilit thoriques ;

couple avec l'tude des incidents, cette analyse (thorique) des processus permet de mettre en

exergue les risques.

En pratique, chaque salari sera sollicit pour identifier les risques inhrents aux activits de son primtre de responsabilits.

Evaluation des risques

cette phase d'identification, succdera la phase d'valuation. Il s'agira, en l'occurrence, de qualifier les risques selon deux critres :

1/ probabilit de survenance ;

2/ impact en cas de survenance.

L'impact pourra tre apprci selon de nombreux paramtres : impact financier (sur le chiffre d'affaires, le rsultat...), impact sur l'image de l'entreprise, impact humain (sur la motivation, la sant... des salaris).

Cette valuation des risques selon ces deux critres est, par nature, subjective. Une quantification, prfrable en thorie, sera souvent difficile. En pratique, on optera pour une cotation selon une chelle de type : faible / moyen / lev.

La combinaison du critre 1 (probabilit de survenance) et du critre 2 (impact) permettra d'attribuer au risque considr une cotation globale.

Une autre faon de hirarchiser les risques consiste ne cibler que ceux susceptibles d'avoir un impact sur les comptes.

Cette cotation est destine classer par priorit les diffrents risques identifis afin de s'attaquer en premier lieu aux risques les plus critiques.

Gestion des risques

On distingue traditionnellement cinq stratgies de gestion des risques :

- vitement ;

- prvention ;

- rduction de l'impact ;

- partage ;

- acceptation.

Le produit fini : la matrice des risques

Il peut tre trs utile de formaliser l'analyse des risques sous forme d'une matrice qui synthtise les informations relatives chacun d'eux.

tape 3 : valuer les contrles

Une fois les risques identifis et leur mode de traitement dfini, il est ncessaire d'laborer un plan de mise en uvre. Celui-ci est principalement constitu de contrles ; il s'agira alors de les valuer, tant sur le plan de la qualit de leur conception que sur celui de leur efficacit oprationnelle.

Il s'agit de s'assurer que les contrles effectus sont suffisants pour liminer (totalement ou partiellement) les risques auxquels l'entreprise est expose.

Cette analyse est cruciale dans la mesure o elle aura ncessairement pour consquence des remises en cause de l'organisation existante et des plans d'actions destins renforcer l'efficacit des contrles, ou les mettre en place lorsqu'ils n'existent pas encore.

L'objectif de cette tape consiste dresser un tat des lieux ; comme tout diagnostic, il s'agit de mettre en vidence les forces et les faiblesses du dispositif de contrle interne.

L'tape suivante : les plans d'amlioration

Il convient de ne pas perdre de vue l'objectif ultime de l'valuation du contrle interne, savoir son amlioration. Cette dmarche de progrs s'appuie sur un diagnostic initial (un tat des lieux) qui met en exergue les points forts et les points faibles du dispositif en place. De la qualit de ce diagnostic dpendra l'efficacit des actions de progrs ultrieures.