Cadre Reglementaire Et Conceptuel Du Controle Interne, Proposition D'Une Methodologie D'Evaluation

Cadre réglementaire et conceptuel du contrôle interne, proposition d’une méthodologie d’évaluation
UNIVERSITE DE MANOUBA
INSTITUT SUPERIEUR DE COMPTABILITE ET

D’ADMINISTRATION DES ENTREPRISES
___________________________________________________________________________
COMMISSION D’EXPERTISE COMPTABLE
CADRE REGLEMENTAIRE ET
CONCEPTUEL DU CONTROLE INTERNE,
PROPOSITION D’UNE METHODOLOGIE
D’EVALUATION
MEMOIRE ELABORE EN VUE DE L’OBTENTION DU

DIPLOME NATIONAL D’EXPERTISE COMPTABLE
Elaboré par : Directeur de recherche :

M. Med Moez KTARI M. Sami BOUASSIDA
Avril 2007
1
Dédicaces
Je dédie ce travail :
- A mes parents pour leur dévouement et leurs sacrifices

- A ma chérie et la femme de ma vie
- A mes frères et ma sœur pour leurs encouragements
- A mes proches pour leur affection
- A mes amis pour leur soutien
- A la mémoire de mon cher et regretté grand père BACHRA
2
Remerciements
Ce mémoire présente le fruit d’une recherche de longue haleine dans laquelle j’ai eu la chance de recevoir
l’aide et les conseils de plusieurs personnes. En tête figure, évidemment, mon encadreur M. Sami
BOUASSIDA pour son appui, sa disponibilité, et ces précieux conseils. Mes remerciements s’adressent
également à mon ami Abderrahméne MARRAKCHI qui était à l’origine de la première idée et des premiers
documents relatifs à ce mémoire. Je voudrais aussi remercier mes maîtres de stage pour la formation
qu’ils m’ont donné, à savoir, Mr Adnén ZEGHIDI, Mr Imed ENNOURI et Mr Ahmed MANSOUR. Enfin je remercie
tous ceux qui ont contribué, de prés ou de loin, à la réalisation de cette étude.
Mohamed Moez KTARI
3
Table des Matières
Introduction……………………………………………………………………………….........1
1ère Partie
CADRES REGLEMENTAIRE ET CONCEPTUEL
DU CONTROLE INTERNE
CHAPITRE 1 : CADRE REGLEMENTAIRE DU CONTROLE INTERNE……..11
Section 1 : Obligations légales sur le plan international en matière de contrôle interne.12
§ 1 : Apport de la loi Sarbane-Oxley en matière de réglementation du contrôle interne12

1) Renforcement de la responsabilité des dirigeants en ce qui concerne le contrôle
interne……………………………………………………………………..……..14
2) Evaluation du système de contrôle interne………………..…………….……….17
§ 2 : Apport de la loi française de sécurité financière en matière de réglementation du

contrôle interne…………………………………………………………………....17
1) Principales dispositions de la loi française de sécurité financière …..………….18
2) Le contrôle interne dans la loi française de sécurité financière…….…………...19
Section 2 : Obligations légales sur le plan national en matière de contrôle interne …....21
§ 1 : Cadre réglementaire du contrôle interne avant l’apparition de la loi n°2005-65

complétant et modifiant le code des sociétés commerciales …………………..…21
1) Décret n° 87-529 du 1er avril 1987, fixant les conditions et les modalités de la révision des comptes
des établissements publics à caractère industriel et commercial et des sociétés dont le capital est
totalement détenu par
l’Etat.………………………………………………………………...………….22
2) Norme comptable générale n°1 de la loi n°96-112 relative au système comptable des
entreprises…………………………………………………………………..23
3) Règlement général de la bourse des valeurs mobilières de Tunis……………….24
§ 2 : Apport des récentes réformes juridiques en matière de contrôle interne ...………26

1) Article 266 du code des sociétés commerciale, tel que modifié par la loi n° 2005-65 du 27
juillet 2005.…………………………….……………….……26
2) Loi n°2005-96 du 18 octobre 2005, relative au renforcement de la sécurité des relations
financières……………………………………………………….…….27
4
CHAPITRE 2 : CADRE CONCEPTUEL DU CONTROLE INTERNE…………..34
Section 1 : Définition et évolution du contrôle interne ……………….…………………..34
§ 1 : Définition et objectifs du contrôle interne……………………..………………….34

1) Définition du contrôle interne …………………………………………………..34
2) Objectifs généraux………….………………………………………………...….35
3) Limites du contrôle interne ……………………………………………………..37
§ 2 : Evolution du concept de contrôle interne….……………………………………...38

1) Contrôle interne outil d’inspection …………………….......................................38
2) Contrôle interne outil de gestion du risque …………………..…………………40
Section 2 : Les fondements d’un système de contrôle interne conformément au référentiel

COSO……………………………………………...……………………………..41
§ 1 : Composantes du contrôle interne …………………………………………….…..43

1) Environnement de contrôle ……………………………………………..………44
2) Evaluation des risques……………………...………………..…………………..47
3) Activités de contrôle……………………...………………..…………...………..50
4) Information et communication…………...………………..…………...………..54
5) Pilotage…………...………………………………………..…………...………..56
§ 2 : Rôles et responsabilités en matière de contrôle interne…………………………...58

1) Les parties internes …………………………………...…………………………58
2) Les parties externes ……………………………………………………………..60
5
2ème Partie
CADRE REGLEMENTAIRE ET NORMATIF EN MATERE
D’EVALUATION DE CONTROLE INTERNE
CHAPITRE 1 : CADRE REGLEMENTAIRE EN MATIERE D’EVALUATION DU

CONTROLE INTERNE …………...…………………………..64
Section 1 : Obligations légales sur le plan international en matière d’évaluation du

contrôle interne………..……………………………………………………...…64
§ 1 : Apport de la loi Sarbane-Oxley en matière d’évaluation du contrôle interne…….64

1) Evaluation du contrôle interne par les dirigeants de la
société ………………....64
2) Attestation par l’auditeur externe de l’évaluation du contrôle interne réalisée par la direction de la
société……………………………………………………...…67
§ 2 : Apport de la loi française de sécurité financière en matière d’évaluation du

contrôle interne …………………………………………………………………...68
1) Obligation en matière de contrôle interne incombant
aux dirigeants de l’entité .68
2) Rôle du commissaire aux comptes……………………………………………....72
Section 2 : Obligations légales sur le plan national en matière d’évaluation de contrôle

interne…………………………………………………………………………....73
§ 1 : Réglementation de l’évaluation du contrôle interne avant l’apparition de la Loi

n°2005-65 complétant et modifiant le code des sociétés commerciales……….....73
1) Décret n° 87-529 du 1er avril 1987, fixant les
conditions et les modalités de la révision des
comptes des établissements publics à caractère
industriel et commercial et des sociétés dont le
capital est totalement détenu par
l’Etat………………..…………………………………………
………………...73
2) Règlement général de la Bourse de Valeurs Mobilières de Tunis………………74
§ 2 : Apport des récentes réformes juridiques en matière d’évaluation du contrôle

interne en Tunisie….……………………………………………………………...75
1) Article 266 du code des sociétés commerciales, tel
que modifié par la loi n° 2005-65 du 27 juillet
2005.……………………………………….………….75
2) Loi n°2005-96 du 18 octobre 2005, relative au renforcement de la sécurité des relations
financières…………………………………..……………...………….77
6
CHAPITRE 2 : NORMALISATION EN MATIERE D’EVALUATION DU CONTROLE

INTERNE…………………………………………....81
Section 1 : Normes de l’IFAC………………………………………………………………81
§ 1 : Cas d’une mission autonome d’assurance concernant l’efficacité du contrôle

interne (ISAE 3000 R)………………………………………………………….…81
1) Relation des trois parties de la mission ………………..………………………..83
2) L’objet ou le sujet de la mission d’assurance …………...………………………85
3) Etapes de la mission d’assurance………………………………………………..85
§ 2 : Evaluation du contrôle interne intégrée à la mission d’audit des comptes

(ISA 315)…………………………………………………………………………..95
1) Prise de connaissance de l’entité ou procédure d’évaluation des risques...……..96
2) Vérification du fonctionnement effectif des contrôles ………………………….98
Section 2 : Normes du PCAOB.……………………………………………………….…..102
§ 1 : Apport des normes du PCAOB en matière d’évaluation du contrôle interne …..102
§ 2 : Adéquation des normes internationales avec le cadre tunisien.………..………..111

1) Champ d’intervention ……………………………………………………….…112
2) Implication des organes de la société dans le processus d’évaluation du contrôle
interne…………………………………………………………….……………113
3) Différence des objectifs recherchés par les normes d’audit et ceux de la nouvelle mission du
commissaire aux comptes prévue par la loi 2005-96……………...114
7
3ème Partie
METHODOLOGIE ET OUTILS D’EVALUATION DU
CONTROLE INTERNE
CHAPITRE 1 : DEVELOPPEMENT D’UN PROGRAMME DE TRAVAIL A SUIVRE PAR LE

COMMISSAIRE AUX COMPTES POUR L’EVALUATION DU CONTROLE
INTERNE EN TUNISIE...118
Section 1 : Méthodologie à adopter par le commissaire aux comptes pour la réalisation

de la mission d’évaluation du contrôle interne………………..……………..119
§ 1 : Identification des risques encourus par la société et des contrôles mis en place par
la société pour les maîtriser ……………………………………………………...119
1) Identification des risques encourus par la société ……………….…………….119
2) Identification des contrôles mis en place par l’entité ………….………………124
§ 2 : Détection des risques non couverts par des contrôles …………………………..126
Section 2 : Prise en comptes des travaux de l’audit interne……………………………..128
§ 1 : Prise de connaissance et évaluation des travaux de l’audit interne …………..…129
§ 2 : Liaisons et coordination avec les auditeurs internes de la société……………….132
CHAPITRE 2 : FORME ET CONTENU DE L’EVALUATION GENERALE A PRESENTER

DANS LE RAPPORT GENERAL DU COMMISSAIRE AUX
COMPTES..…………………………...…134
Section 1 : Matérialisation de l’évaluation faite par le professionnel du contrôle

Interne………………………………………………………………………….134
§ 1 : Collecte des faiblesses relevées par le professionnel durant son intervention ….134
§ 2 : Appréciation de l’impact cumulé qu’ils peuvent avoir sur l’opinion du

Commissaire aux comptes ………………………………………………………136
Section 2 : Présentation de l’évaluation générale du contrôle interne dans le rapport

général du commissaire aux comptes………………………………………...138
§ 1 : Positionnement de l’évaluation générale du contrôle interne dans le rapport du

commissaire aux comptes ……………………………………………………….138
§ 2 : Les mentions obligatoires composant l’évaluation générale du contrôle interne

figurant dans le rapport général du commissaire aux comptes … …139
Conclusion……………………………………………………………………………..……142
Liste des abréviations…………………………………………………………………..……142
8
Bibliographie………………………………………………………………………………...150
Annexes……………………………………………………………………………………...161
9
INTRODUCTION
10
Le débat sur le contrôle interne n’a jamais été aussi intense qu’à l’heure actuelle. En
raison de crises au sein des entreprises et de ruines lourdes de conséquences, le besoin
d’agir le plus rapidement possible en matière de surveillance des entreprises s’est fait
clairement ressentir.
En effet, les dernières années ont été marquées par une succession de scandales qui ont
affecté les marchés financiers les plus importants de la planète et qui ont été à l’origine
d’une crise de confiance généralisée.
Pour remédier à cette situation, les gouvernements ont réagi en engageant des processus
législatifs pour renforcer leur structure juridique. Ceci a abouti à l’adoption des lois sur la
sécurité financière telles que le Sarbanes-Oxley act (SOX) aux Etats-Unis et la loi de
sécurité financière (LSF) en France.
De ce fait, le cadre réglementaire du contrôle interne a été institué ou renforcé par

l’apparition de lois, aussi bien à l’échelle nationale qu’à l’étranger.
A l’étranger, la promulgation du Sarbanes-Oxley act a provoqué tout un mouvement de

réformes juridiques sur le plan mondial. Le SOX, duquel se sont inspirés la plupart des
législateurs à travers le monde, fût voté à la suite de scandales financiers majeurs dans
lesquels les rapports d’activité des sociétés ne reflétaient pas la gravité des problèmes
existants. En réaction, le SOX a cherché à restaurer la confiance des investisseurs dans les
sociétés côtés en bourse, et dans la crédibilité des rapports qu’elles émettent.
Guidé par trois grands principes soit, l'exactitude et l'accessibilité de l'information, la

responsabilité des gestionnaires et l'indépendance des vérificateurs, le SOX vise à
augmenter la responsabilité corporative et à mieux protéger les investisseurs pour rétablir
leur confiance dans le marché.1
1
M. Rioux « A la rescousse du capitalisme américain: la loi Sarbanes-Oxley » Observatoire des Amériques, janvier
2003
11
La section 404 du SOX exige que les rapports d’activité certifiés, fournis annuellement à
la SEC, incluent une section contenant une évaluation de l’efficacité du contrôle interne à
l’égard de l’information financière. Cette évaluation, réalisée par le directeur général
(Chief Executive Officer) et le directeur financier (Chief Financial Officer), devrait être
attestée par l’auditeur de la société. La Securities and Exchange Commission a publié sa
réglementation finale en août 2003 en y spécifiant le contenu de cette section ainsi que la
procédure générale à suivre pour cette évaluation.
Dans la foulée de la loi américaine, on a noté l’apparition de tout un courant de réformes

semblables sur le plan européen, notamment, la loi française de sécurité financière du 1er
août 2003
En Tunisie, le législateur, souciant de suivre le courant mondial et particulièrement les

pays développés et afin de se prévenir contre la survenance de scandales financiers, a
promulgué la loi n°2005-96 du 18 octobre 2005, relative au renforcement de la sécurité
des relations financières
L’un des principaux volets abordé par cette loi est le renforcement du contrôle interne mis
en place par les sociétés tunisiennes, et ce par l’implication des dirigeants des sociétés et
essentiellement leurs commissaires aux comptes, dans un processus d’évaluation annuelle
de celui-ci. A ce sujet, l’article 266 du code des sociétés commerciale, tel que modifié par
la loi n° 2005-65 du 27 juillet 2005, a ajoutée que le commissaire aux comptes doit, dans
le cadre de l’exécution de sa mission, « vérifier périodiquement l’efficacité du système de
contrôle interne ». Cette évaluation générale du contrôle interne sera, en ce qui concerne
les sociétés faisant appel public à l’épargne, présentée par le commissaire aux comptes
dans son rapport général sur les comptes, et ce conformément à l’article 15 de la loi 2005-
96 du 18 octobre 2005.
Il y a lieu de rappeler qu’avant cette réforme, le commissaire aux comptes tunisien s’est
déjà vu investir d’une mission d’évaluation du contrôle interne. Cette mission est prévue,
par le décret n° 87-529 du 1er avril 1987, en ce qui concerne les établissements publics à
caractère industriel et commercial et des sociétés dont le capital est totalement détenu par
12
l’Etat et par le règlement général de la bourse des valeurs mobilières de Tunis tel que
modifié par l’arrêté du ministre des finances du 24 septembre 2005, en ce qui concerne
les sociétés dont les titres font l’objet d’une demande d’admission à la BVMT.
Bien que l’apport de la loi 2005-96 parait évident notamment, en instituant le système de
rotation des commissaire aux comptes des sociétés cotées en bourse, et en obligeant
celles-ci de créer un comité d’audit dont le rôle principal consiste à « veiller au respect
par la société de la mise en place d’un système de contrôle interne performant »2, celle ci
présente certaines insuffisances. En effet, certaines dispositions de la loi ne sont pas
suffisamment claires et explicites. C’est notamment le cas des dispositions relatives aux
obligations en matière de contrôle interne qui sont à la charge des dirigeants et des
commissaires aux comptes des sociétés faisant appel public à l’épargne. De ce fait, il y a
lieu de procéder à une analyse critique de la loi à travers une étude comparative avec les
lois similaires et spécialement celles américaine et française, en se focalisant sur l’apport
de cette loi à la profession et sur les nouvelles obligations qui incombent aux
commissaires aux comptes.
Bien que notre législation comporte plus qu’une obligation se rattachant au contrôle
interne, aucun cadre de référence en la matière n’a été établi ou adopté. Même la
présentation du contrôle interne, exposée par la norme comptable générale n°1 du
système comptable des entreprises tunisien, nous parait insuffisante vu l’importance
croissante qu’est entrain d’occuper le contrôle interne dans la scène économique
mondiale et nationale.
D’ailleurs, le principal problème qui s’est posé en France et qui risque, donc, de se poser
en Tunisie, c’est l’absence de référentiel en matière de contrôle interne.
Notons à cet égard que le principal référentiel en matière de contrôle interne a été institué
par le Committee of Sponsoring Organizations (COSO), dont les prescriptions en matière
de contrôle interne sont reconnues par la SEC pour l'application des dispositions de la
section 404 du SOX, traitant des obligations liées au contrôle interne.
2
Article 12 de la loi 2005-96 ajoutant l’article 256 bis du Code des Sociétés Commerciales, § 4
13
En effet, l’apparition de telles obligations légales, se rattachant au contrôle interne, rend

nécessaire l’utilisation d’un référentiel reconnu en la matière. L’outil type, reconnu sur le
plan international en matière d’organisation de contrôle interne, est le référentiel COSO,
dont la première version « COSO Internal Control Integrated Framework » a été publiée
en 1992, puis mise à jour par la publication du « COSO Enterprise risk management
Integrated Framework » en octobre 2004 et par la publication pour commentaire, pendant
la période allant de septembre 2005 à décembre 2005, du « COSO Internal control-
Integrated framework : Guidance for smaller public campanies reporting on internal
control over financial reporting ».
A côté du modèle américain, on peut citer d’autres expériences édifiantes comme ;

le Criteria of Control Committee of the Canadian Institute of Chartered Accountants
(COCO) canadien, les lignes directrices sur les normes de contrôle interne à promouvoir
dans le secteur public publiées par l’INTOSAI3, et le COBIT4 en ce qui concerne les
contrôles informatiques.
Bien que la mise en place d’un système de contrôle interne soit du ressort des dirigeants
de la société, l’évaluation de celui-ci sera assurée, conformément à l’article 266 du code
des sociétés commerciale tel que modifié par la loi n° 2005-65 du 27 juillet 2005, par son
organe de contrôle, à savoir le commissaire aux comptes, qui a été fortement impliqué
dans les réformes juridiques mises en place au niveau mondial et local comme étant le
garant de la fiabilité de l’information financière.
Cette fiabilité ne peut être établie que si elle est issue d’un processus d’élaboration (et
donc de contrôle interne) lui-même fiable. C’est pour cela qu’il à été chargé, à travers les
différentes réformes juridiques entreprises au niveau mondial, de procéder à
l’appréciation du bien fondé de l’évaluation du contrôle interne réalisée par les dirigeants
des entreprises.
3
L’Organisation internationale des institutions supérieures de contrôle des finances publiques
4
Control Objectives for Information and related Technology
14
A ce sujet et dans le cadre de la loi Sarbanes-Oxley (sections 101-109), un nouvel

organisme de réglementation et de surveillance a été créé ; le Public Company
Accounting Oversight Board (PCAOB). Cet organisme doit superviser les cabinets
d’audit, établir des normes, mener des enquêtes et sanctionner les personnes physiques ou
morales qui commettent des infractions aux règles établies.
En vu d’organiser les nouvelles obligations prévues par la section 404 du SOX, le

PCAOB a publié, le 9 mars 2004, l’Auditing Standard No. 2 “An Audit of Internal
Control over Financial Reporting Performed in Conjunction With an Audit of Financial
Statements”.
Parallèlement, les organismes normalisateurs en matière d’audit ont déclenché des

programmes d’amélioration de leurs normes et réglementations. Nous citons notamment
les efforts de l’IFAC, reconnu comme étant l’organe suprême de normalisation en matière
d’audit financier à l’échelle internationale, ainsi que les travaux de l'Organisation
Internationale des Commissions de Valeurs (OICV), l’organe réunissant les régulateurs
publics au niveau mondial.
En effet, L'International Auditing and Assurance Standards Board (IAASB) a publié en

2003 les « Exposure drafts » des nouveaux standards « Modèles de risques d’audit », dont
la version définitive a été approuvée en octobre 2003.
Concrètement, il s’agit des ISAs-315 et 330, de même que les nouvelles versions des
ISAs 500 (relative aux éléments probants) et 200 (concernant le but / l’objectif d’un
audit). En février 2004, une nouvelle version de l’ISA-240 (traitant de la fraude) a aussi
été publiée, puis en juin 2004 une version adaptée de l’ISA-300 sur la planification de
l’audit. Les standards précités remplacent les ISAs-310, 400 et 401 (de même que les
versions précédentes des ISAs-500, 200, 240 et 300) pour les audits des états financiers
dont l’exercice débute le 15 décembre 2004 ou à une date ultérieure.5
5
“handbook of international auditing, assurance, and ethics pronouncements” 2004
15
L’ISA 3156, traitant de la « compréhension de l'entité et de son environnement et

appréciation des risques d'inexactitudes importantes », a présenté, en détails, les objectifs
recherchés par l’auditeur à travers l’évaluation du contrôle interne à l’égard de
l’information financière ainsi que les diligences de celui-ci en la matière. Elle a, en outre,
présenté la définition du contrôle interne ainsi qu’un exposé détaillé des éléments qui le
composent.
De ce fait, un exposé des approches, sur le plan international, en matière d’évaluation de

contrôle interne est indispensable afin de guider les professionnels dans l’exécution de
leur mission.
L’article 15 de la loi 2005-96, relative au renforcement de la sécurité des relations

financières, abrogeant et remplaçant l’article 3 (nouveau) de la loi 94-117 du 14
novembre 1994 met l’obligation d’évaluer le système de contrôle interne à la charge du
commissaire aux comptes de la société, contrairement aux lois, américaine et française,
qui la mettent à la charge des dirigeants et le commissaire aux comptes ne procède qu’à la
vérification du bien fondé de cette évaluation.
La difficulté de mise en pratique de cette obligation légale, incombant aux commissaires

aux comptes tunisiens et l’impact qu’elle peut avoir sur la prise de décision des différents
intervenants dans le marché financier, rend nécessaire l’élaboration de normes
professionnelles fixant les diligences et les obligations des professionnels en matière
d’évaluation du contrôle interne et standardisant la forme et le contenu de cette évaluation
générale à présenter dans leur rapport général sur les comptes.
Pour l’accomplissement de cette mission, le commissaire aux comptes pourrait s’appuyer

sur les travaux du service audit interne de la société et ce, conformément aux règles
prévues par l’ISA 610 « Prise en compte des travaux de l’audit interne » d’autant plus que
l’article 38 du règlement général de la bourse des valeurs mobilières de Tunis tel que
modifié par l’arrêté du ministre des finances du 24 septembre 2005 exige des sociétés,
6
understanding the entity and its environment and assessing the risks of material misstatement
16
dont les titres font l’objet d’une demande d’admission au marché (BVMT), de justifier
l’existence d’une structure d’audit interne qui doit faire l’objet d’une appréciation du
commissaire aux comptes dans son rapport sur le système de contrôle interne de la
société.
Si jusqu’à présent la mission d’audit des comptes était orientée par l’appréciation globale
du dispositif de contrôle interne, dorénavant, l’auditeur serait-il amené à apprécier le
contrôle interne pris isolement, en tant que finalité en soi, et non plus comme une étape
intermédiaire dans sa démarche globale ? Dans l’affirmative, l’ISAE 3000 (révisée) :
« Expression d’assurance autres que l’audit ou l’examen limité de l’information
financière historique » serait-elle la norme professionnelle à appliquer par le
professionnel ?
En effet le législateur ne précise pas qu’est ce qu’il entend par « évaluation générale du
contrôle interne ». S’agit-t-il d’évaluation générale par opposition à une évaluation
détaillée ? Cette évaluation concernera-t-elle uniquement les contrôles liés au système
comptable ou la totalité des contrôles mises en place par l’entreprise ? Une multitude de
questions et de zones d’ombre que peuvent rencontrer les professionnels au cours de
l’accomplissement de leur mission et qui méritent à notre avis plus d’éclaircissement.
A cet égard, il est important de préciser que l’expression d’une opinion sans réserve dans
le rapport de l’auditeur ne signifie pas implicitement que l’entité dispose d’un contrôle
interne efficace. Il est, en effet, tout à fait concevable que le gérant exécute tous les
redressements des comptes annuels jugés nécessaires par l’auditeur, alors qu’il subsiste
des faiblesses dans le contrôle interne de l’entité. Il s’agit naturellement des faiblesses
d’une importance relative moins élevée pour les comptes annuels. Ceci démontre que le
rapport d’audit en soi ne représente pas un rapport sur la conception et le fonctionnement
du contrôle interne.
17
En réponse à ces questionnements ce mémoire sera articulé autour de trois parties.
La première partie sera consacrée au cadre réglementaire et conceptuel du contrôle

interne. Elle comprendra deux chapitres ; le premier traitera du cadre réglementaire du
contrôle interne aussi bien sur le plan international que national, le second présentera le
cadre conceptuel de celui-ci, et précisément celui proposé par le référentiel COSO
La deuxième partie portera sur le cadre réglementaire et normatif en matière d’évaluation

du contrôle interne. Elle comprendra deux chapitres ; le premier traitera du cadre
réglementaire en matière d’évaluation du contrôle interne aussi bien sur le plan
international que national, le second décrira les normalisations en matière d’évaluation du
contrôle interne, à travers, la présentation des normes du PCAOB et de l’IFAC tout
récemment publiées, et l’étude de leur adéquation avec le cadre tunisien.
La troisième partie sera consacrée à l’étude de la méthodologie et des outils d’évaluation

de contrôle interne. Elle comprendra deux chapitres ; le premier sera consacré au
développement d’un programme de travail à suivre par le commissaire aux comptes pour
l’évaluation du contrôle interne, et ce en proposant la méthodologie à adopter par le
professionnel pour réaliser cette mission, notamment, en cas de prise en compte des
travaux de l’audit interne, le second concernera la matérialisation et le mode de
présentation du jugement du professionnel concernant le contrôle interne de la société
auditée
18
PREMIERE PARTIE :
CADRES REGLEMENTAIRE ET CONCEPTUEL
DU CONTROLE INTERNE
19
Afin de mieux comprendre la mission du commissaire aux comptes concernant le

contrôle interne, il y a lieu de préciser, d’abord, le cadre réglementaire de celui-ci à
l’échelle nationale et internationale, et ensuite, son cadre conceptuel.
Chapitre 1 : Cadre réglementaire du contrôle interne
Comme présenté dans l’introduction, le cadre réglementaire du contrôle interne a été

institué par l’apparition de lois, tant à l’échelle internationale qu’à l’échelle nationale.
L’avènement de la loi américaine de Sarbanes-Oxley a déclenché un ensemble de

réformes juridiques sur le plan mondial dont on citera, à titre principal, la loi française de
sécurité financière du 1er août 2003.
Localement, la loi n°2005-96 du 18 octobre 2005 relative au renforcement de la sécurité

des relations financières, précisément les articles 12 et 15 ainsi que l’article 266 du code
des sociétés commerciale tel que modifié par la loi n° 2005-65 du 27 juillet 2005, est
venue consolider la place accordée par le législateur tunisien au contrôle interne,
notamment par le biais du décret n° 87-529 du 1er avril 1987, fixant les conditions et les
modalités de la révision des comptes des établissements publics à caractère industriel et
commercial et des sociétés dont le capital est totalement détenu par l’Etat.
Il est plus utile de commencer par la présentation du cadre juridique du contrôle interne
développé à l’échelle internationale, pour mieux comprendre celui mis en place en
Tunisie, étant donné que le législateur tunisien s’est largement inspiré des lois apparues à
l’étranger.
20
Section 1 : Obligations légales sur le plan international en matière de contrôle

interne
§ 1 : Apport de la loi Sarbane-Oxley en matière de réglementation du

contrôle interne
L’économie américaine, portée par la nouvelle économie, la globalisation et les nouveaux

instruments financiers, et alimentée par des marchés financiers en pleine euphorie, a
enregistré tout au long des années 1990 sa croissance la plus longue de l’après guerre.
Cette évolution s’est appuyée sur des schémas simples : une forte exigence de la part des
investisseurs en matière de rentabilité, une augmentation dans des proportions très fortes
de la valeur boursière de certaines valeurs dites « Technologiques », plus-value colossale
réalisée en bourse, une stratégie de croissance externe démesurée…7
Confrontés à des obligations de rentabilité et à une pression soutenue de la part des

différents partenaires de la société, certains dirigeants ont eu recours à certaines pratiques
comptables visant à modifier le niveau du résultat ou la présentation des états financiers.
Les procédés mis en œuvre s’appuient sur les choix offerts par la réglementation
comptable ainsi que sur les possibilités ouvertes par les faiblesses ou les carences des
textes comptables, mais aussi sur des montages juridico-financiers sur lesquels la
comptabilité peut intervenir.
La grande crise boursière mondiale de l’année 2000 a provoqué l’éclatement de la bulle

spéculative et a précipité la découverte de nombreuses pratiques évoquées ci-dessus. A ce
sujet, il a été notamment prouvé qu’Enron a utilisé ses propres titres comme garantie dans
de nombreux montages et que la chute des cours de bourse a fait effondrer les montages
comme un château de carte.
7
Hervé Stolowy, Edouard Pujol, Mauro Polinari « Audit financier et contrôle interne : apport de la loi Sarbanes-
Oxley », 2004. p 1
21
Les nombreux scandales qui ont alors frappé les Etats Unis en 2001 et au début de
l’année 2002 (avec Enron, en tête, mais aussi Adelphia, Xerox et surtout WorldCom) ont
entraîné, comme le rappelle Descheemaeker (2003), une réaction brutale du législateur
américain et l’adoption de la loi dite « Sarbanes Oxley », votée par le Congrès des Etats
Unis et ratifiée par le président Bush le 30 juillet 2002.8
Le SOX vise, alors principalement, la restauration de la confiance des investisseurs dans

les sociétés cotées et dans la crédibilité de leurs états financiers. Pour atteindre ces
objectifs, le législateur américain s’est basé sur trois principes majeurs :
- Exactitude et accessibilité de l’information financière.

- Responsabilité des dirigeants.
- Indépendance des auditeurs.9
Les principales dispositions apportées par la loi Sarbanes Oxley, se résument dans les
points suivants :
 Création du Public Company Accounting Oversight Board (PCAOB)
 Renforcement de l’indépendance de l’auditeur, principalement, par l’institution

d’un système de rotation des auditeurs externes (section 203) et par l’interdiction
aux professionnels de fournir aux sociétés, dont ils sont auditeurs, des services
autres que ceux se rattachant directement à l’audit (section 201).
 Consolidation et augmentation de la responsabilité des dirigeants en les obligeant

de certifier les états financiers publiés au moyen d’une déclaration signée
(section 302), l’interdiction de mener des actions en vu d’influencer, contraindre,
manipuler, ou induire en erreur les auditeurs externes (section 303), et enfin,
l’obligation des entreprises de mettre en place un comité d’audit indépendant pour
superviser le processus de vérification (section 301).
8
Oxley », 2004. p 2
9
Laurent de Jerphanion « Sarbanes-Oxley Compliance and Identity and Access Management » Evidian, 2005. p 4
22
 Renforcement de la divulgation de l’information financière, tout d’abord, par

l’obligation de communiquer à la SEC tout rapport financier contenant les états
financiers de la société (périodiques ou annuels) après audit (section 401), par la
suite, par l’obligation de révéler à la SEC toute transaction réalisée directement ou
par personnes interposées, par le directeur, les administrateurs, ou les principaux
actionnaires (détenant plus que 10% du capital), avec la société (section 403),
enfin par l’obligation, du directeur général et du directeur financier, de prévoir
dans leur rapport d’activité générale certifié de fournir annuellement à la SEC une
section contenant une évaluation de l’efficacité du contrôle interne à l’égard de
l’information financière (section 404).
 Création et renforcement des sanctions pénales relatives aux crimes de fraudes.

Nous citons à titre d’exemple, la certification d’états financiers non conformes à la
réglementation (section 906) et la falsification de documents dans le but de faire
obstacle à une enquête (section 802). Cette nouvelle sanction semble être l’une des
conséquences de la destruction des documents de la société Enron par le bureau du
cabinet Andersen à Houston.
L’aspect, qui nous intéresse le plus dans le cadre de notre étude, est l’importance et la
place accordée au contrôle interne dans le cadre de cette loi. Nous relevons, à ce sujet,
deux principales dispositions ; celle prévue par le titre III relative au renforcement de la
responsabilité des dirigeants notamment en ce qui concerne le contrôle interne, et celle
prévue par la section 404 mettant à la charge des dirigeants l’obligation d’évaluer
annuellement leur système de contrôle interne et de l’auditeur d’en attester le bien fondé.
1) Renforcement de la responsabilité des dirigeants en ce qui concerne le contrôle

interne
Les manipulations et pratiques frauduleuses qui ont été à l’origine de la majorité des
scandales financiers, tel que l’affaire Enron, ont eu pour conséquence la fragilisation,
sinon la perte de la confiance entre les investisseurs et les dirigeants des sociétés. Pour
23
une économie capitaliste à outrance comme celle des Etats-Unis d’Amérique, cela
représente une menace à prendre très au sérieux et à combattre âprement.
Les outils par lesquels les politiciens américains pouvaient intervenir dans ce sens sont,
en premier lieu, la condamnation des auteurs des manœuvres frauduleuses précédemment
citées et prononcer à leur encontre les plus dures sanctions, en second lieu, accorder des
garanties aux investisseurs, sous forme de nouvelles obligations et responsabilités à la
charge des dirigeants, dans le but de rassurer les investisseurs et de restaurer leur
confiance dans la gestion des sociétés.
Le renforcement de la responsabilité des dirigeants a été particulièrement développé par

le titre III de la loi Sarbanes-Oxley, "Corporate Responsibility", et plus précisément, la
section 301 traitant le renforcement du rôle et de la responsabilité du comité d’audit ainsi
que l’indépendance de ses membres et la section 302 traitant le renforcement de la
responsabilité des dirigeants à l’égard de l’information financière, notamment en ce qui
concerne le système de contrôle interne.
1.1. Fonctionnement du comité d’audit
La loi Sarbanes-Oxley a renforcé le rôle et la responsabilité des comités d’audit des

sociétés cotées. Elle a insisté essentiellement sur l’indépendance de tous ses membres vis-
à-vis de la société.
Ce comité a pour rôle d’encadrer la réalisation des missions d’audit. Ainsi, il est
responsable de la nomination et de la surveillance des auditeurs externes. Ces derniers
doivent lui remettre un rapport relatif aux principes et pratiques comptables adoptés, aux
méthodes proposées et discutées avec la direction de la société, ainsi que tout autre
information importante en la matière.10
10
Public Law 107-204 July 30,2002 « Sarbanes-Oxley Act of 2002, Corporate responsibility ». Section 301. p32 (2)
24
Par ailleurs le comité d’audit doit également mettre en place des procédures pour recevoir
et traiter les réclamations mettant en cause la comptabilité et l’information financière de
la société.11
Les réclamations à recevoir par le comité d’audit, concernent également les anomalies et
problèmes relatifs au contrôle interne, relevées ou rencontrées par quiconque dans la
société lors de l’exécution de ses fonctions.
1.2. Renforcement de la responsabilité des dirigeants à l’égard de l’information

financière, notamment en ce qui concerne le système de contrôle interne
Aux termes de la section 302 du SOX, le directeur général, le directeur financier, ou tout
autre personne occupant de pareilles fonctions doivent, entre autres, attester dans chaque
rapport annuel ou trimestriel que :
- la direction est responsable de la mise en place et du maintien du contrôle interne
- que la direction a conçu le système de contrôle interne de telle sorte que toute
information significative concernant l’entreprise ou l’une de ses filiales sera
connue par les dirigeants, notamment pendant la période de préparation des
rapports périodiques.
Le législateur américain, entend par ces dispositions, annoncer d’une manière claire et
précise la responsabilité juridique de la direction, de la mise en place et du bon
fonctionnement du contrôle interne, et de préciser les objectifs à atteindre par tout
système de contrôle interne à l’égard de l’information financière.
11
Pierre-Yves Fagot « Une Sarbanes-Oxley à la française » L’informatique professionnel, mai 2005
25
2) Evaluation du système de contrôle interne
La section 404 de la loi Sarbanes-Oxley met à la charge des dirigeants de la société,

précisément son directeur général et son directeur financier, l’obligation d’évaluer
annuellement le contrôle interne à l’égard de l’information financière de l’entité. Cette
obligation quoique entachée d’incompatibilité, puisque la direction est responsable
également de la mise en place du contrôle interne, constituera, néanmoins, pour la société
une occasion d’auto évaluer périodiquement son système de contrôle interne. Elle
apportera des garanties aux investisseurs, essentiellement, en ce qui concerne le maintien
de son contrôle interne, d’autant plus que cette évaluation sera attestée par un auditeur
externe.
Ce volet de la SOX sera développé, en détail, lors de l’étude du cadre réglementaire en

matière d’évaluation du contrôle interne.
§ 2 : Apport de la loi française de sécurité financière en matière de

réglementation du contrôle interne
La loi de sécurité financière du 1er août 2003 s’inscrit pour rétablir la confiance des
investisseurs dans la transparence de l’information financière. Cette loi est dans la
continuité de la loi américaine de Sarbanes-Oxley avec laquelle elle présente des
similitudes mais également des différences.
La LSF a introduit des nouvelles obligations d’information des actionnaires et du marché

sur les procédures de contrôle interne mises en place par les sociétés anonymes cotées et
non cotées, contrairement au SOX qui concerne uniquement les sociétés faisant appel
public à l’épargne. En effet, le président du conseil d’administration ou du conseil de
surveillance rend compte, dans un rapport joint au rapport annuel de gestion, des
procédures de contrôle interne mises en place par la société. Les commissaires aux
comptes devront, dans un rapport joint à leur rapport général, présenter leurs observations
sur les procédures de contrôle interne décrites par le président.
26
Avant de développer d’avantage les obligations, apportées par cette loi, en matière de
contrôle interne, il serait intéressant de passer en revue les principales dispositions qu’a
comporté la loi française de sécurité financière, principalement, en matière de
modernisation des autorités de contrôle et de renforcement du contrôle légal des comptes
et de transparence des sociétés.
1) Principales dispositions de la loi française de sécurité financière
Les principales dispositions apportées par la loi française de sécurité financière se

résument dans les points suivants :
 Création d’un ensemble d’organismes ayant pour mission l’organisation de la

profession et sa surveillance, ainsi que la représentation et la préservation de
l’indépendance de ses membres. Ces organismes sont : la Compagnie Nationale
des Commissaires aux Comptes, la Compagnie Régionale des Commissaires aux
Comptes, et le Haut Conseil du Commissariat aux Comptes
 Renforcement de l’indépendance des commissaires aux comptes :

L’implication des professionnels dans certains scandales financiers a mis le
législateur devant l’obligation de mettre en place de nouvelles règles de nature à
renforcer le statut, de professionnel indépendant, du commissaire aux comptes. Ces
nouvelles règles se résument ainsi :
o Interdiction aux commissaires aux comptes de percevoir, directement ou
indirectement, de la société contrôlée un avantage quelconque autre que
celui provenant de la mission de commissariat aux comptes.
o Les commissaires aux comptes et les membres signataires d'une société de
commissaires aux comptes ne peuvent être nommés dirigeants ou salariés
des personnes morales qu'ils contrôlent, moins de cinq années après la
cessation de leurs fonctions.
27
o Les personnes ayant été dirigeants ou salariés d'une personne morale ne

peuvent être nommées commissaires aux comptes de cette personne morale
moins de cinq années après la cessation de leurs fonctions.
o Pendant le même délai, elles ne peuvent être nommées commissaires aux
comptes des personnes morales possédant au moins 10 % du capital de la
personne morale dans laquelle elles exerçaient leurs fonctions, ou dont
celle-ci possédait au moins 10 % du capital lors de la cessation de leurs
fonctions.
 Rotation des commissaires aux comptes

Il est interdit au commissaire aux comptes, personne physique, ainsi qu'au membre
signataire d'une société de commissaires aux comptes, de certifier durant plus de
six exercices consécutifs les comptes des personnes morales faisant appel public à
l'épargne.
 Renforcement de la transparence des entreprises

Les articles 117 et 120, de la loi de sécurité financière, ont apporté de nouvelles
obligations incombant aux dirigeants et commissaires aux comptes des entreprises
françaises.
Le président du conseil d’administration ou du conseil de surveillance devra, dans
un rapport joint au rapport de gestion sur les comptes sociaux et les comptes
consolidés, rendre compte des procédures de contrôle interne mis en place dans la
société. Les commissaires aux comptes devront, dans un rapport joint à leur
rapport général, présenter leurs observations sur les procédures de contrôle interne
décrites par le président, pour celles relatives à l’élaboration et au traitement de
l’information comptable et financière.
2) Le contrôle interne dans la loi française de sécurité financière
La loi de sécurité financière n° 2003-706 du 1er août 2003 a introduit l’obligation, pour le
président du conseil d’administration ou de surveillance, de rendre compte, dans un
rapport joint au rapport annuel, des conditions de fonctionnement du conseil et des
28
procédures de contrôle interne. Ces nouvelles obligations apportées par l’article 117 de la
LSF, viennent modifier les articles L. 225-37 et L. 225-68 du code de commerce français.
Elles sont donc d’application générale pour toutes les sociétés anonymes sans exception.
Les commissaires aux comptes présentent leurs observations sur ce rapport. De plus, si
une société fait publiquement appel à l’épargne, les dispositions spéciales, du code
monétaire et financier, imposent une publicité de ces informations dans les conditions
fixées par le règlement général de l’Autorité des marchés financiers.
L’existence et la documentation du contrôle interne dans un rapport n’est pas une idée
nouvelle en France. Par exemple, le Plan Comptable Général prescrit aux entreprises
d’établir et de mettre à jour un document décrivant leurs procédures et leur organisation
comptable. Toutefois, ce document n’est pas destiné au public. 12
La LSF française et le SOX américain se rejoignent sur la nécessité d’amélioration de la

transparence de l’information financière. Elles reposent sur le constat que la fiabilité de
cette information dépend de la fiabilité du contrôle interne. La responsabilité des
dirigeants et des auditeurs sur ce thème de contrôle interne va donc s’étendre.
Dans son article « La normalisation du contrôle interne : esquisse des conséquences

organisationnelles de la loi de sécurité financière », Laurent CAPPELLETTI a identifié,
en adoptant la méthode d’explication des hypothèses d’une démonstration de Savall et
Zardet (2004), trois hypothèses sous-jacentes de la loi de sécurité financière :
- La qualité du contrôle interne assure la fiabilité et la transparence de l’information

financière.
- Une information comptable et financière, fiable et transparente, rassure les

investisseurs en donnant une représentation fidèle de la performance de
l’entreprise.
12
Laurent Cappelletti « La normalisation du contrôle interne : esquisse des conséquences organisationnelles de la
loi de sécurité financière » ISEOR, 2005. p 4
29
- Une normalisation du contrôle interne, de son évaluation et de sa documentation

permettra d’améliorer la qualité du contrôle interne (et donc de fiabiliser
l’information financière ce qui rassure les investisseurs).
Deux remarques méritent d’être soulevées à propos de ces hypothèses identifiées ; la

première concernant la troisième hypothèse qui parle de normalisation du contrôle
interne, alors que l’une des principales lacunes en France est l’absence de référentiel en la
matière, la seconde a trait au fait que ces hypothèses concernent le contrôle interne à
l’égard de l’information financière et négligent par conséquent les deux autres objectifs
du contrôle interne, à savoir l’efficacité et l’efficience des opérations et la conformité à la
réglementation en vigueur.
Section 2 : Obligations légales sur le plan national en matière de contrôle interne
§ 1 : Cadre réglementaire du contrôle interne avant l’apparition de la loi

n°2005-65 complétant et modifiant le code des sociétés
commerciales
La promulgation de la loi n° 2005-65 du 27 juillet 2005, modifiant et complétant le code

des sociétés commerciales et précisément les modifications apportées à l’article 266 du
dit code, constituent un changement de fond de la perception du contrôle interne par le
législateur tunisien et du rôle qu’il peut jouer dans le renforcement du rapport de
confiance entre les investisseurs locaux ou étrangers et l’entreprise tunisienne.
Autrefois, l’obligation de mettre en place un système de contrôle interne fiable incombait,

d’une part, aux établissements publics à caractère industriel et commercial et des sociétés
dont le capital est totalement détenu par l’Etat, et d’autre part, aux sociétés faisant appel
public à l’épargne. En outre, il est à préciser que la norme comptable générale n°1 de la
loi n°96-112 relative au système comptable tunisien a présenté le cadre général de
l’organisation comptable, y compris le contrôle interne à l’égard de l’information
financière, que devrait suivre toute entreprise.
30
1) Décret n° 87-529 du 1er avril 1987, fixant les conditions et les modalités de la
révision des comptes des établissements publics à caractère industriel et
commercial et des sociétés dont le capital est totalement détenu par l’Etat.
L’article 6 du décret n° 87-529 du 1er avril 1987, fixant les conditions et les modalités de
la révision des comptes des établissements publics à caractère industriel et commercial et
des sociétés dont le capital est totalement détenu par l’Etat, met à la charge « des
réviseurs désignés en vertu des dispositions du présent décret, l’obligation de s’assurer de
manière permanente de la fiabilité du système de contrôle interne et de procéder
annuellement aux investigations nécessaires en vue d’apprécier notamment les procédures
administratives, financières, et comptables en vigueur au sein de l’établissement ou de la
société. Les modalités d’établissement des budgets de fonctionnement et d’investissement
ainsi que celles afférentes à la passation des marchés font obligatoirement partie des
procédures examinées. Les remarques, observations et conclusions du réviseur relatives
au contrôle interne et aux procédures doivent être consignées dans un rapport distinct à
adresser, en 20 exemplaires, au conseil d’administration de l’établissement ou de la
société deux mois au plus tard après la fin de chaque exercice ».
Ces diligences, à accomplir par le réviseur légal, mettaient indirectement à la charge des
établissements publics l’obligation de mettre en place un système de contrôle interne
fiable et efficace, sans pour autant se référer à des normes en la matière. Le législateur a
désigné comme garant de l’application de cette obligation les réviseurs légaux, qui
procèdent annuellement aux investigations nécessaires en vue d’apprécier les contrôles
conçus et instaurés an sein de l’établissement. Les travaux accomplis par le réviseur légal,
ainsi que les résultats et les observations relevés, sont matérialisés dans un rapport
distinct habituellement appelé « Rapport sur le contrôle interne » ou « Lettre au conseil »
.
L’article 6 du décret n° 87-529 délimite bien le champ d’intervention du réviseur légal
aux procédures administratives, financières, et comptables. L’esprit du texte de loi à
l’époque tendait vers l’objectif de vérification du respect de la réglementation régissant le
fonctionnement des entreprises publiques, ainsi que de la bonne application de certaines
procédures prévues dans les décrets et les lois organisant le fonctionnement des
entreprises publiques, principalement ceux relatifs aux établissements des budgets de
31
fonctionnement et d’investissement et celles afférentes à la passation des marchés, tel que

le décret n°2002-3158 du 17 décembre 2002, remplaçant le décret 89-442 du 1er avril
1989, portant la réglementation des marchés publics. D’ailleurs, ce rapport, élaboré par le
réviseur légal, est destiné au conseil d’administration qui est constitué généralement des
représentants de l’autorité de tutelle.
Le contrôle interne était, plutôt, un outil d’inspection utilisé et exigé par les autorités en
vue de garantir l’application de la réglementation en vigueur relative au fonctionnement
des établissement publics. Le réviseur légal était, en quelque sorte, mandaté par
l’administration publique en tant que garant de la fiabilité de celui-ci.
2) Norme comptable générale n°1 de la loi n°96-112 relative au système comptable

des entreprises
La deuxième partie de la norme comptable générale n°1 de la loi n°96-112 du 30

décembre 1996, relative au système comptable des entreprises, intitulée « Dispositions
relatives à l’organisation comptable », présente le cadre général de l’organisation du
système comptable que devrait suivre toute entreprise pour parvenir à produire
l’information financière requise. Elle précise que l’organisation comptable est « une
composante de base de l’organisation générale de l’entreprises dans la mesure où elle va
permettre de saisir et de mesurer l’ensemble de ses éléments en vue de les refléter et de
les maîtriser ».
Aux termes de cette norme, l’organisation générale d’une entité suppose l’existence d’un
système de contrôle interne efficace dont l’une des composantes est constituée par
l’organisation et la tenue de la comptabilité financière. En effet, l’un des objectifs de tout
système de contrôle interne, outre l’efficacité et l’efficience des opérations et la
conformité à la réglementation en vigueur, c’est la fiabilité de l’information comptable.
Il est à préciser qu’en plus des objectifs de contrôle interne ci-dessus cités, prévus par la
quasi-totalité des référentiels en la matière, la norme comptable générale du système
comptable tunisien prévoit l’objectif de la protection des actifs.
32
La norme comptable générale a repris les mêmes composantes de contrôle interne,

prévues par le référentiel COSO, que nous développerons d’avantage au cours de cette
étude. Ces composantes qui ont été brièvement présentées par la norme en question sont :
l’environnement de contrôle, l’évaluation et la maîtrise des risques, les activités de
contrôle, l’information et la communication, et le pilotage.
3) Règlement général de la bourse des valeurs mobilières de Tunis
L’article 38 du règlement général de la bourse de valeurs mobilières de Tunis, tel que

modifié par l’arrêté du ministre des finances du 24 septembre 2005, exige « des sociétés
dont les titres font l’objet d’une demande d’admission au marché (BVMT), de justifier de
l’existence :
- d’un manuel de procédure d’organisation, de gestion, et de divulgation des

informations financières ;
- d’une structure d’audit interne qui doit faire l’objet d’une appréciation du
Commissaire aux Comptes dans son rapport sur le système de contrôle interne de
la société ;
- d’une structure de contrôle de gestion. »
Ces conditions, exigées par la bourse des valeurs mobilières de Tunis des sociétés dont
les titres font l’objet d’une demande d’admission au marché (BVMT), constituent
l’ossature d’un système de contrôle interne que doit avoir chaque société faisant appel
public à l’épargne. Ces éléments énumérés par l’article 38 du règlement général de la
BVMT, représentent la garantie d’une gestion seine et transparente, et l’assurance de
production d’une information financière sincère et régulière.
Conformément à l’article 38 ci-dessus exposé, la société en question doit justifier de

l’existence d’un manuel de procédure d’organisation, de gestion, et de divulgation des
informations financières, sans pour autant exiger une appréciation du contenu de celui-ci.
En effet, rien ne garanti que ce manuel ne contienne pas certaines lacunes et faiblesses
33
pouvant remettre en question la fiabilité et l’efficacité du système de contrôle interne de

la société.
Les sociétés concernées doivent, en outre, justifier l’existence d’une structure de contrôle
de gestion et d’audit interne, devant faire l’objet d’une appréciation par le commissaire
aux comptes dans son rapport sur le système de contrôle interne de la société. Ce rapport
est-t-il à remettre par le commissaire aux comptes de la société en question, à l’occasion
de l’admission de ses titres à la BVMT ? Le règlement général de la bourse des valeurs
mobilières de Tunis ne le précise pas. Auparavant, aucun texte de loi, autre que le décret
n° 87-529, ne prévoit un tel rapport.
Ces éléments ont été exigés par l’article 38 du règlement général de la Bourse des Valeurs
Mobilières de Tunis, en vue de s’assurer de l’existence d’un système de contrôle interne
formalisé (manuel de procédure) et efficace (rapport du commissaire sur le contrôle
interne) au moment de l’introduction des titres de la société en question au marché de la
BVMT, et de garantir la permanence et le maintien de cette situation, par une structure
d’audit interne performante.
Cependant, rien ne garantit, qu’après l’introduction des titres de la société en bourse, que
la structure et l’efficacité du système de contrôle interne préalablement apprécié soient
maintenues. Même le commissaire aux comptes, comme précisé précédemment, n’a pas
l’obligation d’apprécier le système de contrôle interne. Il peut le faire dans cadre de sa
mission de certification des comptes, sans obligation de divulguer les résultats de ces
travaux.
34
§ 2 : Apport des récentes réformes juridiques en matière de contrôle

interne
La réforme juridique orchestrée, fin 2005 au niveau national, est venue, d’abord, dans le
but de suivre le courant mondial et particulièrement les pays développés qui ont procédé
en majorité à des réformes juridiques pour se prévenir contre la survenance de scandales
financiers, et ensuite, pour chasser le doute qui s’est installé chez les différents opérateurs
économiques, concernant l’efficacité des procédures de contrôle mises en place au niveau
du marché financier tunisien et le rôle dédié aux commissaires aux comptes en tant que
garant de la fiabilité de l’information financière, et ce suite à certaines affaires survenues
au cours de ces dernières années, telles que l’affaire du groupe BATAM.
L’un des principaux volets abordé par cette réforme est le renforcement du contrôle
interne mis en place par les sociétés tunisiennes, et ce par l’implication des dirigeants des
sociétés et essentiellement leurs commissaires aux comptes dans un processus
d’évaluation annuelle de celui-ci, et ce en application de l’article 266 du code des sociétés
commerciale, tel que modifié par la loi n° 2005-65 du 27 juillet 2005, qui a ajouté que le
commissaire aux comptes doit, dans le cadre de l’exécution de sa mission, « vérifier
périodiquement l’efficacité du système de contrôle interne ». Cette évaluation générale du
contrôle interne sera, en ce qui concerne les sociétés faisant appel public à l’épargne,
présentée par le commissaire aux comptes dans son rapport général sur les comptes, et ce
conformément à l’article 15 de la loi 2005-96 du 18 octobre 2005.
1) Article 266 du code des sociétés commerciale, tel que modifié par la loi
n° 2005-65 du 27 juillet 2005.
Plusieurs modifications ont été apportées au code des sociétés commerciales par le biais
de la loi n° 2005-65 du 27 juillet 2005. Celle qui nous intéresse le plus et qui est en
relation directe avec le sujet de notre étude, est celle correspondant à l’article 266 du
code. Après modifications, le deuxième alinéa de cet article se présente comme suit : « Le
commissaire aux comptes certifie la sincérité et la régularité des comptes annuels de la
35
société conformément à la loi en vigueur relative au système comptable des entreprises. Il

vérifie périodiquement l'efficacité du système de contrôle interne ».
L’obligation, incombant, dorénavant, aux commissaires aux comptes de vérifier

périodiquement l’efficacité du système de contrôle interne, est une obligation tacite, de la
part du législateur tunisien, aux professionnels de passer nécessairement par une phase
intérimaire dans laquelle ils procèdent à l’évaluation du contrôle interne de la société,
avant la phase finale de contrôle des comptes proprement dite.
Par cette modification, le législateur a voulu principalement vulgariser et mettre en valeur

l’importance du contrôle interne et le rôle qu’il peut jouer dans la transparence et la bonne
gestion de l’entreprise. Il vise, par cette nouvelle disposition, à pousser les chefs
d’entreprises de concevoir et de mettre en place un système de contrôle interne, en cas de
défaut, et de procéder aux actions correctives pour ceux qui disposent d’un système de
contrôle interne défaillant, et ce afin d’éviter les faiblesses et les observations
éventuellement divulguées par le commissaire aux comptes.
2) Loi n°2005-96 du 18 octobre 2005, relative au renforcement de la sécurité des

relations financières
Par le biais de la loi n°2005-96 du 18 octobre 2005, le législateur tunisien a procédé à la

modification et à l’ajout de nouvelles dispositions au code des sociétés commerciales et à
la loi n° 94-117 du 14 novembre 1994, portant réorganisation du marché financier, tel que
modifiée et complétée par les textes subséquents, et ce en vu de renforcer la sécurité des
relations financières.
Les principales dispositions apportées par la loi n°2005-96, se résument ainsi :
 Révision des règles de désignation ou de nomination des commissaires aux

comptes.
 Institution du système de rotation des commissaires aux comptes.
36
 Obligation de pluralité des commissaires aux comptes inscrits au tableau de l’ordre

des experts comptables de Tunisie, pour certains types de sociétés.
 Nouvelles obligations de divulgation à la Banque Centrale de Tunisie et au Conseil

du Marché Financier de la part du commissaire aux comptes.
 Obligation des dirigeants de signer et de présenter annuellement aux commissaires

aux comptes une lettre d’affirmation (un modèle de lettre d’affirmation a été
fourni par l’arrêté du ministre des finances du 17 juin 2006).
 Institution d’une nouvelle sanction pénale d’un emprisonnement de six mois et

d’une amende de cinq mille dinars ou de l’une de ces deux peines, pour tout
entrave aux travaux du ou des commissaires aux comptes ou refus de fournir les
documents nécessaires à l’exercice de leurs missions.
 Obligation pour certaines sociétés de créer un comité d’audit.
 Réorganisation des obligations de divulgation à la charge des sociétés faisant appel

public à l’épargne, à leurs actionnaires et aux organes de contrôle de la bourse,
notamment en ce qui concerne le rapport du commissaire aux comptes, qui doit,
dorénavant, contenir une évaluation générale du contrôle interne.
Cette nouvelle loi se présente comme un texte d'équilibre qui apporte, tant aux
commissaires aux comptes qu'aux investisseurs, de réelles opportunités de
développement. Elle répond aux besoins légitimement attendus d'indépendance, de
transparence et d'efficacité du contrôle des comptes dans une économie qui repose
largement sur la confiance des épargnants et des investisseurs. Elle vient couronner tout
un dispositif de textes relatifs à l'actionnariat, à la Bourse, au Marché financier, au
fonctionnement des sociétés de capitaux ou de personnes.13
13
Rached FOURATI « La loi relative au renforcement de la sécurité financière : une avancée incontestable dans la
consolidation de l’actionnariat en Tunisie » L’Economiste, janvier 2006
37
L’un des principaux sujets traité par le législateur, à travers la loi 2005-96, est le contrôle
interne. En effet le législateur a voulu, à travers les articles 12 et 15 de la dite loi, relative
respectivement à la création du comité d’audit et à la présentation par le commissaire aux
comptes, dans son rapport général, d’une évaluation générale du contrôle interne, suivre
le courant d’idées véhiculé par les lois publiées sur le plan international et,
principalement, instaurer au sein des entreprises tunisiennes des pratiques de gestion et
des méthodes de fonctionnement à travers la mise en place d’un système de contrôle
interne fiable et efficace, de nature à restaurer la confiance ébranlée ces derniers temps.
2.1. Création d’un comité d’audit
L’article 12 de la loi n°2005-96 du 18 octobre 2005 a ajouté au code des sociétés

commerciales l’article 256 bis. Il stipule que : « La création d’un comité permanent
d’audit est obligatoire pour :
- les sociétés faisant appel public à l'épargne à des sociétés classées comme telles
du fait de l’émission d’obligations,
- la société mère lorsque le total de son bilan au titre des états financiers
consolidés dépasse un montant fixé par décret,
- les sociétés qui remplissent les limites chiffrées fixées par décret relatives au
total du bilan et au total de leurs engagements auprès des établissements de crédit
et de l’encours de leurs émissions obligataires.
Le comité permanent d’audit veille au respect par la société de la mise en place de

système de contrôle interne performant de nature à promouvoir l’efficience, l’efficacité,
la protection des actifs de la société, la fiabilité de l’information financière et le respect
des dispositions légales et réglementaires. Le comité assure le suivi des travaux des
organes de contrôle de la société, propose la nomination du ou des commissaires aux
comptes et agrée la désignation des auditeurs internes.
38
Le comité permanent d’audit est composé de trois membres, au moins, désignés selon le
cas par le conseil d’administration ou le conseil de surveillance parmi leurs membres.
Ne peut être membre du comité permanent d’audit, le président-directeur général ou le

directeur général ou le directeur général adjoint.
Les membres du comité permanent d’audit peuvent recevoir, en rémunération de

l’exercice de leur activité, une somme fixée et imputée selon les conditions mentionnées
à l’article 204 du code des sociétés commerciales relatif aux jetons de présence ».
La Securities Exchange Act de 1934 a prévu, elle aussi, l’obligation de créer un comité
d’audit (Audit Commitee). Cette obligation a été renforcée et développée d’avantage en
ce qui concerne les sociétés cotées en bourse par la loi américaine de Sarbanes-Oxley. En
France, les rapports VIENOT (1995 et 1999) puis BOUTON (2002) ont insisté sur
l’importance du rôle des comités spécialisés, notamment le comité d’audit, dans le bon
fonctionnement des conseils d’administration. D’ailleurs, le législateur tunisien s’en est
largement inspiré.
La loi de Sarbanes Oxley définit le comité d’audit comme étant :
- tout comité établi par et parmi le conseil d’administration de la société dans

l’objectif de superviser le processus de reporting comptable et financier de la
société, ainsi que l’audit de ses états financiers
- le conseil d’administration lui même en cas de défaut de création d’un tel comité
39
Contrairement à la loi tunisienne, la loi Sarbanes oxley a consacré tout un volet à

l’indépendance des membres de ce comité. Elle précise, à ce sujet, que chaque membre ne
doit pas, sauf en sa qualité de membre du comité d’audit ou du conseil d’administration :
- accepter tout honoraire en contre partie de consultation, conseil, ou tout autre

service rendu à la société
- avoir une relation d’affaire avec la société ou l’une de ses filiales
Outre le rôle principal assigné au comité d’audit par la loi Sarbanes Oxley et repris par la
loi n°2005-96 relative au renforcement de la sécurité des relations financières, la loi
américaine a prévu un rôle secondaire consistant à établir des procédures pour :
- la réception, la conservation et le traitement des réclamations, reçues par la société,

liées à la comptabilité, au contrôle interne, ou l’audit ; et
- la révélation, confidentielle et anonyme, par les employés de la société de situations

douteuses liées à la comptabilité et à l’audit de la société.
Les rapports VIENOT (1995), VIENOT (1999) et BOUTON (2002), ont traité,
abondamment, le sujet des comités d’audit. En effet, le rapport VIENOT (1995), intitulé
« Le conseil d’administration des sociétés cotées », précise que « chaque conseil
d’administration peut, s’il le souhaite, se doter de comités spécialisés correspondant à
telle ou telle préoccupation particulière ». Les comités spécialisés auxquels le conseil a, le
plus, recours sont ; le comité de rémunération chargé essentiellement de proposer la
rémunération des mandataires sociaux, et le comité des comptes ou d’audit dont les
taches sont principalement :
- Examen des comptes,

- Suivi de l’activité audit interne,
- Sélection des commissaires aux comptes.
40
Le rapport BOUTON précise que « les membres des comités d’audit, qui doivent avoir
une compétence comptable et financière, devraient bénéficier, lors de leur nomination,
d’une information sur les spécificités comptables, financières et opérationnelles de
l’entreprise ». A l’image du SOX américain, il insiste sur le fait que ces comités devraient
être composés en majorité de membres indépendants. Il recommande de relever à deux
tiers, au moins, la part des administrateurs indépendants dans le comité d’audit.
On constate que, contrairement à ses homologues américains et français, le législateur

tunisien ne s’est pas soucié du niveau de compétence et d’indépendance que doivent avoir
les membres constituant le comité d’audit. Cet aspect nous paraît, pourtant, nécessaire
pour assurer un apport réel de ce comité et lui permettre de remplir efficacement le rôle
pour lequel il a été institué
2.2. Evaluation du contrôle interne
L’article 15 de la loi 2005-96, relatif au renforcement de la sécurité des relations

financières, prévoit de la part des commissaires aux comptes des sociétés faisant appel
public à l’épargne, une obligation de communication des résultats de l’évaluation de
l’efficacité du contrôle interne dans son rapport sur les comptes, à remettre dans un délai
de quatre mois, au plus tard, de la clôture de l’exercice comptable et quinze jours, au
moins, avant la tenue de l’assemblée générale ordinaire. Cette communication destinée au
CMF et à la BVMT et, par conséquent, aux actionnaires de la société, met les
commissaires aux comptes devant l’obligation d’émettre un avis concernant l’efficacité
du contrôle interne.
Si jusqu’à présent la mission d’audit des comptes était orientée par l’appréciation globale
du dispositif de contrôle interne ; dorénavant, l’auditeur sera amené à apprécier le
contrôle interne pris isolement, en tant que finalité en soi, et non plus comme une étape
intermédiaire dans sa démarche globale.
41
En outre, l’article 3 (nouveau) de la loi n° 94-117 du 14 novembre 1994, portant

réorganisation du marché financier, promulgué par la loi 2005-96, prévoit que parmi les
informations que doit contenir le rapport annuel sur la gestion, à remettre au CMF et à la
BVMT par les sociétés cotées en bourse, il y a entre autre « des éléments sur le contrôle
interne ».
En l’absence de décret expliquant qu’entend dire le législateur par « éléments de contrôle

interne », le contenu de cette information à exposer dans le rapport annuel de gestion
restera sujet à interprétation de la part des personnes concernées.
Sur le plan international, le législateur français n’a pas été plus clair. En effet l’un des
principaux sujets qui fait débat, c’est, qu’est ce qu’entend le législateur français par
l’obligation mise à la charge du président du conseil d’administration de « rendre compte
des procédures de contrôle interne mise en place par la société » ? S’agit-il d’une
évaluation ou d’une simple description des procédures ?
Le législateur américain était le plus explicite, puisqu’il a clairement chargé le directeur

général et le directeur financier d’évaluer annuellement l’efficacité du contrôle interne à
l’égard de l’information financière.
En utilisant l’expression « éléments de contrôle interne », le législateur tunisien semble

tendre plus vers l’obligation prévue par son homologue français, d’autant plus, que la
mission d’évaluation de l’efficacité du contrôle a été assignée aux commissaires aux
comptes. Cette obligation souffre, par conséquent, des mêmes lacunes que la loi
française, à savoir, absence de cadre de référence du contrôle interne et le manque de
précision des modalités d’application. En plus le législateur tunisien a omis de préciser à
qui incombe exactement cette obligation, contrairement à son homologue français qui a
chargé le président du conseil d’administration ou de surveillance de réaliser cette tâche.
42
Chapitre 2 : Cadre conceptuel du contrôle interne
Section 1 : Définition et évolution du contrôle interne
§ 1 : Définition et objectifs du contrôle interne
1) Définition du contrôle interne
Le COSO définit le contrôle interne comme étant : « un processus intégré mis en oeuvre
par les responsables et le personnel d’une organisation et destiné à traiter les risques et à
fournir une assurance raisonnable quant à la réalisation des objectifs généraux suivants:
- exécution d’opérations efficientes et efficaces,

- respect des obligations de rendre compte;
- conformité aux lois et réglementations en vigueur »
L’Institut Français d’Audit et de Contrôle Interne (IFACI), affilié à l’Institute of Internal

Auditors (IIA), définit le contrôle interne comme étant : « un processus mis en œuvre par
les dirigeants et le personnel d’une organisation à quelque niveau que ce soit, destiné à
leur donner en permanence une assurance raisonnable que :
- les opérations sont réalisées, sécurisées, optimisées et permettent ainsi à

l’organisation d’atteindre ses objectifs de base, de performance, de rentabilité et de
protection de patrimoine,
- les informations financières sont fiables,
- les lois, les réglementations, et les directives de l’organisation sont respectées.
43
La norme générale n°1 du système comptable tunisien définit le contrôle interne comme
étant un processus mis en oeuvre par la direction, la hiérarchie, le personnel d'une
entreprise, et destiné à fournir une assurance raisonnable quant à la réalisation des
objectifs suivants :
- promouvoir l'efficience et l'efficacité,

- protéger les actifs,
- garantir la fiabilité de l'information financière,
- assurer la conformité aux dispositions légales et réglementaires.
La norme comptable tunisienne a, pratiquement, repris la même définition que celle

prévue par le COSO, à la seule différence, qu’elle prévoit un quatrième objectif du
contrôle interne, à savoir, protéger les actifs.
Le contrôle interne est, par conséquent, un processus intégré et dynamique qui s’adapte
constamment aux changements auxquels une organisation est confrontée. Le management
et le personnel, à tous les niveaux, doivent être impliqués dans ce processus afin de traiter
les risques et fournir une assurance raisonnable quant à la réalisation des missions de
l’organisation et des objectifs généraux.
Les objectifs que nous allons adopter durant notre étude, sont ceux prévus par le
référentiel COSO. Ils nous paraissent les plus représentatifs et les plus complets.
2) Objectifs généraux
Le contrôle interne est conçu en vue de la réalisation d’une série d’objectifs généraux
distincts mais interdépendants. Ces objectifs généraux sont réalisés par le biais de
nombreux sous objectifs, fonctions, processus et activités spécifiques.
44
Les objectifs généraux prévus par le COSO sont les suivants:
2.1 Exécution d’opérations efficientes et efficaces
Les opérations effectuées par l’entité doivent être efficientes et efficaces. Elles doivent
être cohérentes par rapport à sa mission.
L’objectif « exécution d’opération » est relatif à l’utilisation efficiente et efficace des

ressources de l’entité, à savoir, le matériel, le personnel, le fond de l’entité, l’image de
marque…etc.
« Efficient » se rapporte à la relation entre les ressources utilisées et les résultats produits
pour atteindre les objectifs fixés. Cela implique l’utilisation de minimum de ressources
pour atteindre une quantité et une qualité données de résultats ou de produits ou réaliser
un maximum de produits et de résultat avec une quantité et une qualité données de
ressources.
« Efficace » se rapporte au degré de réalisation des objectifs ou des résultats attendus.

Plus le pourcentage de réalisation est important plus l’entité est efficace.
2.2 Respect des obligations de rendre compte
« Rendre compte » correspond à l’exigence que l’entité et les personnes qui la composent
rendent compte et répondent de leurs décisions et de leurs actes.
Le respect de ce principe passe par le développement, le maintien et la mise à disposition
d’informations, financières et non financières, fiables et pertinentes et au moyen d’une
publication correcte de ces informations dans des rapports établis en temps opportun à
l’intention de l’ensemble des parties prenantes, tant en interne qu’en externe.14
14
Comité des normes de contrôle interne de l’INTOSAI « Lignes directrices sur les normes de contrôle interne à
promouvoir dans le secteur public », 2004. p 12
45
Les informations non financières visées ci-dessus peuvent se rapporter par exemple au
contrôle interne et à son efficacité.
2.3 Conformité aux lois et réglementations en vigueur
L’entité est tenue de respecter un grand nombre de lois et de réglementations tel que le
droit commercial, le droit et les normes comptables, le droit fiscal, le droit social, ainsi
que ceux régissant des activités spécifiques tel que le secteur bancaire, le secteur des
hydrocarbures…etc.
Sous cet objectif, le contrôle interne est considéré efficace lorsque les responsables de la
société ont une assurance raisonnable que les lois et règlementations en vigueur sont
respectées par l’entité.
3) Limites du contrôle interne
Le contrôle interne ne peut, à lui seul, garantir la réalisation des objectifs généraux définis
plus haut.
Un système de contrôle interne efficace, aussi bien conçu et appliqué soit-il, ne peut
fournir à la direction qu’une assurance raisonnable (et non absolue) quant à la réalisation
des objectifs d’une entité ou à sa pérennité. Le contrôle interne peut fournir des
informations au management pour son évaluation du degré de réalisation des objectifs qui
lui sont fixés mais il ne peut pas transformer un mauvais manager en un bon manager.15
Le contrôle interne est un processus qui nécessite l’intervention du facteur humain, par
conséquent, il est susceptible de comporter des erreurs de conception, d’interprétation, ou
de négligence. Il peut souffrir de manoeuvres telles que les collusions et les abus.
15
46
D’un autre coté, la mise en place d’un système de contrôle interne a un coût. Les
bénéfices tirés des contrôles doivent, par conséquent, être évalués par rapport à leur coût.
Pour déterminer si un contrôle particulier doit être mis en place, on doit prendre en
compte non seulement la probabilité de survenance du risque correspondant et son
incidence potentielle sur l’entité mais aussi les coûts afférents à la mise en place de ce
nouveau contrôle.
L’attitude du management peut avoir un impact réel sur l’efficacité du contrôle interne et
sur le personnel qui le met en oeuvre. C’est pourquoi il est nécessaire que la direction
vérifie et actualise continuellement les contrôles, qu’elle communique les changements au
personnel et qu’elle montre l’exemple en se conformant elle-même à ces contrôles.
§ 2 : Evolution du concept de contrôle interne
1) Contrôle interne outil d’inspection
Le contrôle interne et le gouvernement des entreprises, même s’ils n’ont pas pris de
l’importance que récemment, sont nés des analyses de Berle et Means (1932) dans les
années trente.16
La notion de contrôle, au sens large, a beaucoup évolué aussi bien au sein de l’entreprise
qu’au sein de l’administration publique.
La fonction de contrôle a d’abord revêtu le caractère de l’inspection qui observe, examine

et rend compte avec la casquette policière et l’esprit suspicieux, puis, elle est passée au
stade du contrôle qui inspecte par rapport à une norme imposée ou à une règle 17. C’est le
cas par exemple de l’article 6 du décret n° 87-529 du 1er avril 1987, fixant les conditions
et les modalités de la révision des comptes des établissements publics à caractère
16
Lamia ABDMOULEH « Efficacité du système de gouvernance : Rotation du dirigeant et performance de la firme
» ISCAE, année universitaire 2003-2004. p 7
17
Mostapha FAIK « Contrôle interne et culture de l’éthique dans les organisations publiques : Expérience
marocaine », mai 2003. p 4
47
industriel et commercial et des sociétés dont le capital est totalement détenu par l’Etat,
dont l’esprit tendait, plutôt, vers l’objectif de vérification de la bonne application de
certaines procédures prévues dans les décrets et lois organisant le fonctionnement des
entreprises publiques. D’ailleurs, le rapport sur le contrôle interne à élaborer par le
réviseur légal n’était pas destiné au publique mais plutôt au conseil d’administration qui
est constitué généralement des représentants de l’autorité de tutelle.
Le contrôle interne était, plutôt, un outil d’inspection utilisé et exigé par le législateur
tunisien, dans les établissements publics, afin de garantir l’application de la
réglementation en vigueur relative au fonctionnement de ceux-ci. Le réviseur légal était
désigné par l’administration publique en tant que garant de la fiabilité de celui-ci.
Le contrôle interne comme outil d’inspection, était utilisé à deux niveaux. Par les
actionnaires qui inspectaient les dirigeants de la société et par les dirigeants qui
inspectaient les fonctionnaires de celle-ci et vérifiaient l’application de leurs consignes.
Les dirigeants mandataires des actionnaires, géraient en fonction de leurs seuls intérêts
particuliers et au détriment de ceux des actionnaires, voire des autres « stakeholders » de
l’entreprise (créanciers, salariés, clients, fournisseurs…). Certains scandales, par exemple
ceux du Crédit Lyonnais ou d’Eurotunnel, semblent corroborer cette vision conflictuelle
et l’absence d’une discipline suffisante des dirigeants. En réaction à ces affaires et
également sous l’influence grandissante des investisseurs, un certain nombre de
mécanismes et de procédures a été mis en place en vue de renforcer le contrôle des
dirigeants, notamment en préconisant un plus grand activisme et une plus grande
indépendance des conseils d’administration.18
Rappelons brièvement le rôle des dirigeants, tel qu’il apparaît dans les articles fondateurs
de la théorie contractuelle des organisations (théorie de l’agence et théorie des coûts de
transaction). Dans le travail pionnier d’Alchian et Demsetz (1972), le dirigeant est chargé
de contrôler la performance des autres membres composant la firme. Son contrôle est
sensé être assuré par un certain nombre de mécanismes disciplinaires (la concurrence sur
le marché de différents facteurs, le statut de créancier résiduel, marché des dirigeants, la
18
Gérard Charreaux «Pour une véritable théorie de la latitude managériale et du gouvernement des entreprises»
Revue française de gestion n°111, 1996
48
menace de licenciement). Mais le dirigeant occupe une part très réduite dans cette
discussion, ses objectifs et ses possibilités d’action ne sont jamais évoqués.
Progressivement, la fonction de contrôle s’est transformée en l’audit qui contrôle par

rapport à une norme, identifie les causes de l’écart et propose les solutions ou les conseils.
2) Contrôle interne outil de gestion du risque
Environnement complexe, fluctuant et souvent difficile à maîtriser. Concurrence de plus

en plus féroce. Progrès économique et technologique en perpétuelle évolution.
Contraintes et obligations auxquelles devrait répondre l’entité. C’est l’ensemble de
problèmes et opportunités auxquels, le manager d’aujourd’hui est, constamment,
confronté.19
Une approche passive basée sur l’inspection et le contrôle des activités de l’entité, devient
inefficace et même contraignante pour le fonctionnement et l’évolution de celle-ci.
Certains événements survenus sont de nature à porter préjudice à la vie d’une entreprise.
Ils peuvent être causés soit par une omission, une faute ou une absence de maîtrise de
situation ; soit par une rupture de l’activité due à une prise de décision insuffisamment
étudiée. Quelle est la stratégie à adopter par l’entreprise pour faire face aux événements
imprévus qui peuvent survenir durant son existence ?
Jusqu’à aujourd’hui les risques sont couverts par des assurances. En effet, le gestionnaire
des contrats d’assurance était désigné comme « Insurance Manager » au début des années
cinquante aux Etats-Unis d’Amérique ; Wayne SNIDER (1955), professeur d’assurance,
a annoncé que « le gestionnaire d’assurance professionnel devient un gestionnaire de
risque ou risk manager », d’où l’apparition de la notion de "gestion des risques"
développée plus tard pour couvrir toute activité de l’entreprise20
19
Mohamed IBRAHIM « Risk management : Ebauche d’une politique de gestion des risques dans l’entreprise
tunisienne», septembre 1997. p 1
20
49
En fait, au fil des événements le contrôle interne tendait de plus en plus vers la fonction
gestion des risques. Les deux fonctions deviennent inters reliées. Certains avancent même
que la vraie réponse à la crise de confiance recherchée par le régulateur et attendue par les
investisseurs pourrait être au-delà du contrôle interne ; le développement du risque
management.21
Mêmes les définitions récentes du contrôle interne, telle que celle prévue par le COSO, le
considèrent comme un outil servant à traiter et à maîtriser les risques susceptibles
d’empêcher l’entité de réaliser ses objectifs
En effet, selon le COSO, l’évaluation des risques constitue une composante de base par
laquelle doit passer toute entité désirant concevoir un système de contrôle interne
efficace. Elle est considérée comme une étape essentielle pour la mise en place des
contrôles susceptibles de maîtriser les risques empêchant l’entité de réaliser ses objectifs.
Section 2 : Les fondements d’un système de contrôle interne conformément au

référentiel COSO
Bien que notre législation comporte plus qu’une obligation se rattachant au contrôle
interne, aucun cadre de référence ou normalisateur en la matière n’a été établi ou adopté.
D’ailleurs, le principal problème qui s’est posé en France et qui risque, donc, de se poser
en Tunisie, c’est l’absence de référentiel en matière de contrôle interne.
En effet, l’apparition de telles obligations légales, se rattachant au contrôle interne, rend

nécessaire l’utilisation d’un référentiel reconnu en la matière. L’outil type, reconnu sur le
plan international en matière d’organisation de contrôle interne, est le référentiel COSO,
dont la première version « COSO Internal Control Integrated Framework » a été publiée
en 1992, puis mise à jour par la publication du « COSO Enterprise risk management
Integrated Framework » en octobre 2004.
21
« Contrôle interne concept et réalité : Résultat de l’enquête 2003 sur la sensibilisation et la préparation des
entreprise aux dispositions de la loi de sécurité financière » Mazars, février 2004. p 3
50
Le COSO a été explicitement reconnu, aussi bien, par la SEC que par le PCAOB pour
l'application des dispositions de la section 404 du SOX, traitant des obligations liées au
contrôle interne dans l’optique de la fiabilité de l’information financière délivrée
Le COSO ou « Committee of Sponsoring Organizations of the Treadway Commission »,

est un organisme privé indépendant créé en 1985 auprès d'une commission nationale de
l'information financière, elle-même issue du secteur privé et présidée par M. James
Treadway. Cet organisme est destiné à améliorer et faire progresser la qualité de
l’information financière à travers un contrôle interne efficace.
A côté du modèle américain, on peut citer d’autres expériences édifiantes comme le

COCO22 canadien, les lignes directrices sur les normes de contrôle interne à promouvoir
dans le secteur public, publiées par l’INTOSAI23, et le COBIT24 en ce qui concerne les
contrôles informatiques.
Le COSO définit à la fois un cadre de référence pour le contrôle interne à mettre en place
dans la société et un référentiel possible pour l’évaluation du contrôle interne. L’approche
qu’il présente a vocation à s’appliquer à l’ensemble des aspects du fonctionnement d’une
entité. Il ne fournit ni politiques, ni procédures, ni pratiques pour mettre en oeuvre le
contrôle interne mais il fournit plutôt un large cadre dans lequel les sociétés peuvent
développer de tels contrôles détaillés.
22
Criteria of Control Committee of the Canadian Institute of Chartered Accountants
23
L’Organisation internationale des institutions supérieures de contrôle des finances publiques
24
Control Objectives for Information and related Technology
51
§ 1 : Composantes du contrôle interne
Le contrôle interne étant un processus mis en place par l’entité en vue de maîtriser les
risques pouvant empêcher l’entité d’atteindre ses objectifs. La fixation d’objectifs clairs
constitue, alors, une condition préalable à la conception d’un processus de contrôle
interne efficace.
La manière, dont le contrôle interne est conçu et mis en œuvre, varie en fonction de la
taille et de la complexité d’une entité. En particulier, les petites entités peuvent utiliser
des moyens moins structurés, des processus et des procédures plus simples afin
d’atteindre leurs objectifs. Par exemple, de petites entités, dans lesquelles la direction
participe activement au processus d’élaboration de l’information financière, ne disposent
pas nécessairement d’une description écrite détaillée des procédures et des principes
comptables. Pour certaines entités, en particulier les très petites, le propriétaire gérant
peut exécuter des fonctions qui, dans une entité plus importante, seraient considérées
comme appartenant à plusieurs des composantes du contrôle interne. Ainsi, les
composantes du contrôle interne peuvent ne pas être clairement distinguées dans les
petites entités, bien que les objectifs sous-jacents demeurent identiques.25
Ces composantes définissent une méthode de référence pour la conception d’un système
de contrôle interne dans une entité économique et fournissent une base d’évaluation
possible du contrôle interne. Ils renferment :
- L’environnement de contrôle
- L’évaluation des risques
- Les activités de contrôle
- L’information et la communication
- Le pilotage
25
ISA 315 « Compréhension de l'entité et de son environnement et appréciation des risques d'inexactitudes
importantes » IFAC 2004
52
1) Environnement de contrôle.
L’environnement de contrôle reflète la culture d’une société puisqu’il détermine le niveau

de sensibilisation de son personnel au besoin du contrôle. Il constitue le fondement de
toutes les autres composantes du contrôle interne, en fournissant une discipline et une
structure.
Les facteurs constitutifs de l’environnement de contrôle sont:
a) l’intégrité et les valeurs éthiques des responsables et du personnel;

b) l’engagement à un niveau de compétence;
c) la philosophie et le style de management ;
d) la structure de l’organisation;
e) les politiques et les pratiques en matière de ressources humaines.
1.1 L’intégrité et les valeurs éthiques des responsables et du personnel
L’intégrité et les valeurs éthiques des responsables et du personnel doivent se concrétiser

par une attitude d’adhésion permanente à l’égard du contrôle interne et dans l’ensemble
de la société. Elle pourrait se traduire par un code de conduite.
Chaque élément de l’entité, qu’il s’agisse des responsables ou du personnel, doit prouver
son intégrité personnelle et professionnelle, et son respect de l’éthique; par exemple, en
s’obligeant, d’une part, à déclarer les intérêts financiers personnels qu’ils peuvent avoir,
les fonctions qu’ils pourraient exercer en dehors de l’organisation ou les dons qu’ils
reçoivent et, d’autre part, à signaler tout conflit d’intérêts.26
26
53
1.2 L’engagement à un niveau de compétence
La compétence est la connaissance et la qualification nécessaires pour accomplir les

tâches qui constituent le travail de l’individu. L’engagement de compétence inclut
l’appréciation par la direction des niveaux de compétence pour les divers fonctions de
l’entité et la manière dont ces niveaux sont traduits en qualifications et en connaissances
requises.
Les responsables et le personnel doivent veiller à garder un niveau de compétence qui

leur permette de comprendre toute l’importance d’élaborer, de mettre en oeuvre, et de
maintenir un bon contrôle interne et de s’acquitter de leurs tâches en vue de réaliser les
objectifs généraux du contrôle interne et la mission de l’organisation. Chacun, au sein
d’une organisation, participe au contrôle interne à son niveau et dans les limites de ses
responsabilités.27
A travers des actions de formation, par exemple, on peut arriver à accroître l’importance
accordée par le personnel aux objectifs du contrôle interne et, en particulier, à l’objectif
d’opérations éthiques, On pourra ainsi les aider à comprendre les objectifs du contrôle
interne et à développer leur aptitude à traiter des problèmes qui s’y rattachent.
1.3 La philosophie et le style de management
La philosophie et le style de management sont reflétés par l’attitude permanente de la

direction d’adhésion au contrôle interne, son indépendance, sa compétence et sa volonté
de montrer l’exemple.
En effet, si la direction croit à l’importance du contrôle interne, les membres de l’entité y

seront sensibilisés et réagiront en respectant consciencieusement les contrôles établis. Par
exemple, la création d’un service d’audit interne, faisant partie intégrante du système de
27
« An overview of the COSO Internal control-Integrated Framework » Protiviti-Independent Risk Consulting,
2004. p 40
54
contrôle interne, est un signal fort par lequel le management montre l’importance du
contrôle interne.
Si, au contraire, le personnel de l’organisation a le sentiment que le contrôle n’est pas une
préoccupation majeure de la direction et qu’il est soutenu de manière formelle plutôt que
réelle, il est pratiquement certain que les objectifs de contrôle de l’organisation ne seront
pas effectivement atteints.
Par conséquent, il est extrêmement important que la direction fasse la démonstration et

qu’elle insiste sur ce qui est une conduite éthique si elle veut atteindre les objectifs de
contrôle interne.
1.4 La structure de l’organisation
L’organigramme d’une entité fournit le cadre dans lequel ses activités sont planifiées,
exécutées, contrôlées et revues pour atteindre les objectifs de l’entité au sens large.
L’établissement d’une structure organisationnelle appropriée inclut la prise en
considération des postes-clés d’autorité et de responsabilité ainsi que des procédures
appropriées de communications. Une entité développe une structure organisationnelle
appropriée à ses besoins. Le caractère adapté de la structure organisationnelle dépend, en
partie, de sa taille et de la nature de ses activités.
La structure organisationnelle peut inclure un service d’audit interne qui doit être
indépendant du management et faire rapport directement au plus haut niveau de
responsabilité de la société.28
L’organisation générale de l’entité fera l’objet d’avantage de développement dans le

paragraphe 2, relatif aux rôles et aux responsabilités.
28
55
1.5 Les politiques et les pratiques en matière de ressources humaines
C’est au personnel que revient la mise en application du système de contrôle interne. En

l’absence de personnel motivé, conscient de l’enjeu et de l’importance du contrôle interne
et suffisamment compétent, un contrôle interne, même conçu à la perfection, devient
inutile.
A partir de là, les politiques et les pratiques de gestion des ressources humaines prennent
toutes leurs dimensions, et les éléments qui la composent, à savoir, le recrutement, la
gestion des carrières, la formation, le niveau des étude, les évaluations et les conseils au
personnel, les promotions et la rémunération, ainsi que les mesures correctives, doivent
être pris au sérieux et gérer avec le plus gros soin.
La présence de managers et de personnel qui comprennent bien les contrôles internes et

qui sont prêts à prendre des responsabilités dans ce cadre est indispensable, si l’on veut
disposer d’un contrôle interne efficace.
2) Evaluation des risques
Les risques à identifier sont ceux pouvant constituer un obstacle à la réalisation des
objectifs de l’entité. Pour pouvoir le faire, la direction de la société doit fixer ses objectifs
avec détail et précision. En effet, une surestimation ou une sous-estimation de ceux-ci
pourrait causer la défaillance de tout le processus.
Par conséquence, la définition des objectifs de l’entité doit précéder l’évaluation des
risques. La séquence normale est donc la suivante : tout d’abord, l’étape de détermination
des objectifs qui permettra aux responsables d’identifier les risques susceptibles d’avoir
un impact sur leur réalisation et de prendre les mesures nécessaires à la gestion de ces
risques. Cela implique un processus continu d’évaluation des risques et de gestion de leur
impact en tenant compte du rapport coût-efficacité et à l’aide d’un personnel possédant
les compétences requises pour identifier et apprécier les risques potentiels.
56
2.1 Identification des risques
Les performances d’une société peuvent être menacées par des facteurs aussi bien
externes qu’internes, dont l’impact peut se mesurer tant à l’échelle de l’organisation
qu’au niveau d’une activité en générale.
L’évaluation des risques doit prendre en compte tous les risques susceptibles de survenir.
Il faut par conséquent que l’identification des risques soit exhaustive. L’identification des
risques doit constituer un processus continu et permanant.
2.2 Evaluation des risques
Pour pouvoir décider de la manière avec laquelle sera géré ce risque, il est essentiel de ne
pas se contenter d’identifier les risques que peut courir l’entité mais il faut aussi évaluer
son impact éventuel et sa probabilité de survenance.
La méthode à adopter pour évaluer ce risque varie selon la nature du risque. Elle est plus
subjective pour les risques difficilement quantifiables. Toutefois, l’utilisation de critères
systématiques d’estimation des risques atténuera la subjectivité du processus en
fournissant un cadre pour les jugements à poser.
L’un des principaux buts de l’évaluation des risques consiste à attirer l’attention de la
direction sur les domaines de risque qui appellent des mesures et sur leur degré de
priorité. A cet effet, il sera habituellement nécessaire de développer un cadre pour classer
l’ensemble des risques, par exemple, comme élevé, moyen ou bas. Il est généralement
préférable de réduire au minimum le nombre de ces catégories.29
Pour pouvoir formuler la stratégie et les orientations de l’entité en matière de risques, il

est nécessaire d’estimer le degré d’aversion au risque de l’entité. Le degré d’aversion au
29
57
risque, ou d’appétence pour le risque30, d’une entité correspond au niveau de risque au-
delà duquel elle estime qu’il est nécessaire d’intervenir.
Le degré d’aversion au risque d’une entité dépendra de sa perception de l’importance des

risques. Par exemple, le niveau maximal de perte financière tolérable peut varier en
fonction d’un certain nombre d’éléments, dont l’origine de la perte ou les risques associés
au même événement, comme le risque qu’il s’accompagne d’une publicité défavorable à
l’entité.
2.3 Réponses à apporter aux risques
Les étapes précédemment décrites permettront de dresser un profil ou une cartographie de

risque pour l’entité. Une fois celui ou celle-ci élaboré, les réponses appropriées pour
chaque risque peuvent être définit.
Pour remédier à ces risques, quatre catégories de réponses peuvent être adoptées par
l’entité.
La meilleure réponse à certains risques peut consister à les transférer. Ce transfert peut
revêtir la forme d’une assurance, ce qui revient à rémunérer un tiers pour qu’il assume le
risque à la place de l’entité.
La capacité à remédier à certains risques peut être limitée ou le coût d’une action
quelconque disproportionné par rapport au bénéfice potentiel retiré. Dans ce cas, la
solution peut consister à tolérer ces risques.
Certains risques ne pourront être traités ou limités à des niveaux acceptables qu’en
mettant un terme à l’activité.
30
Expression adoptée par l’« Enterprise risk management-Integrated framework: Executive summary framework »
pour exprimer le degré d’aversion au risque
58
Cependant, dans la plupart des cas, le risque devra être traité et l’entité devra mettre en
œuvre et maintenir un système de contrôle interne efficace afin de le maintenir à un
niveau acceptable, au regard de l’aversion au risque de l’organisation.
La variabilité et l’évolution des données politiques, économiques, industrielles,

réglementaires et opérationnelles, rendent l’environnement de toute entité en matière de
risque en perpétuel changement. Il est, par conséquent, fondamental que l’évaluation des
risques soit régulièrement suivie de manière à détecter les changements et à prendre des
mesures correctrices nécessaires. Les cartographies de risques et les contrôles y afférents
doivent être révisés et réajustés en permanence.31
3) Activités de contrôle
Dans la plupart des cas l’entité choisie de traiter le risque par la mise en place d’un
ensemble de politiques et de procédures pour le maîtriser, appelés activités de contrôle.
Pour être efficaces, les activités de contrôle doivent répondre à plusieurs critères:
- être appropriées (c’est-à-dire le bon contrôle, au bon endroit et dans une juste
proportion par rapport au risque encouru);
- fonctionner conformément aux plans et de manière cohérente tout au long de la

période;
- respecter un équilibre entre coût et bénéfices;
- être exhaustives, raisonnables et directement liées aux objectifs du contrôle.
31
The committee of sponsoring organisation of the treadway commission « Enterprise risk management-Integrated
framework: Executive summary framework » (COSO), septembre 2004 p 54.
59
Le COSO propose les activités de contrôle suivantes :
3.1 Procédures d’autorisation et d’approbation
Les transactions et autres événements ne peuvent être respectivement autorisés et

exécutés que par les personnes qui y sont habilitées.
L’autorisation constitue le principal moyen de garantir que seuls ont lieu des transactions
et des événements valides, conformes aux intentions de la direction. Les procédures
d’autorisation, qui doivent être documentées et clairement communiquées aux
responsables et au personnel, doivent prévoir les conditions et les termes à respecter pour
que l’autorisation soit accordée.
3.2 Séparation des tâches
En vue de réduire les risques d’erreurs, de gaspillage ou d’actes illégaux ainsi que le
risque de ne pas détecter ces problèmes, aucun individu ou équipe ne doit pouvoir
contrôler toutes les étapes clés d’une transaction ou d’un événement. Il faut au contraire
veiller à ce que les fonctions et les responsabilités soient systématiquement réparties entre
plusieurs personnes afin de garantir l’efficacité des contrôles et l’existence d’un équilibre
des pouvoirs. Parmi ces fonctions clés, on peut retenir l’autorisation et l’enregistrement
des transactions, leur traitement, ainsi que l’analyse ou le contrôle des mêmes
transactions.
La collusion entre le personnel et l’insuffisance de celui-ci dans le cas des entités de

petite taille, constituent les limites naturelles de cette technique et peuvent, par
conséquent, réduire sensiblement l’efficacité de cette technique de contrôle interne. Dans
ces cas, la direction doit être consciente des risques et les compenser par la mise en place
d’autres contrôles, à titre d’exemple, la rotation du personnel.
60
3.3 Contrôle de l’accès aux ressources et aux documents
L’accès aux ressources et aux documents doit être limité aux personnes habilitées, qui ont
à répondre de leur garde ou de leur utilisation. La restriction de l’accès aux ressources à
quelques personnes réduit le risque d’utilisation non autorisée voire de perte pour l’entité.
Le degré nécessaire de restriction variera suivant la vulnérabilité de la ressource à
protéger et le niveau perçu du risque de perte.
3.4 Vérifications
Les transactions et les événements importants doivent être vérifiés avant et après leur
traitement. Par exemple, lorsque des biens sont livrés, le nombre fourni doit être comparé
au nombre commandé. Par la suite, le nombre de biens facturé est comparé au nombre
effectivement reçu. Le stock peut aussi être contrôlé au moyen de sondages.
3.5 Réconciliations
Les enregistrements sont comparés régulièrement aux documents appropriés:par exemple,

les pièces comptables relatives aux comptes en banque sont comparées aux relevés
bancaires correspondants.
3.6 Analyses de performance opérationnelle
La performance opérationnelle est analysée régulièrement sur la base d’un ensemble de

normes permettant de mesurer l’efficacité et l’efficience.
S’il ressort du suivi des performances que les réalisations réelles ne rencontrent pas les
normes ou objectifs fixés, les processus et activités établis pour atteindre les objectifs
doivent être revus pour déterminer quelles sont les améliorations nécessaires.
61
3.7 Analyses des opérations, des processus et des activités
Les opérations, les processus et les activités doivent être périodiquement analysés pour
s’assurer qu’ils sont en accord avec les réglementations, politiques, procédures et autres
exigences actuelles. Ce type d’analyse des opérations réalisées effectivement par une
organisation est à distinguer clairement du suivi du contrôle interne, lequel est examiné
séparément au cours de la dernière composante du contrôle interne, le pilotage.
3.8 Supervision
La réalisation des objectifs du contrôle interne suppose également que les superviseurs
soient qualifiés. Pour confier un travail à un membre du personnel, le vérifier et
l’approuver, il est nécessaire de:
- communiquer clairement à chaque membre du personnel les fonctions, les

responsabilités et les obligations de rendre compte qui lui sont assignées;
- vérifier, systématiquement et convenablement, le travail de chaque membre du
personnel;
- approuver le travail à des moments clés pour s’assurer qu’il se déroule comme
prévu.
Cette liste n’est pas exhaustive, mais énumère les activités de contrôle les plus courantes.
Les trois premières activités de contrôle sont orientées vers la prévention, alors que les
trois suivantes sont davantage orientées vers la détection, tandis que les deux dernières
visent les deux à la fois. Les entités doivent atteindre un équilibre adéquat entre les
activités de contrôle orientées vers la détection et celles orientées vers la prévention, une
combinaison de contrôles étant souvent utilisée à cet égard afin de compenser les
inconvénients de chaque contrôle spécifique.
62
Une fois mises en place, les activités de contrôles doivent être suivies et les actions
correctives, jugées nécessaires, opérées. En outre, il doit être clair que les activités de
contrôle ne constituent qu’un élément du contrôle interne et qu’elles forment un tout avec
les quatre autres composantes.
4) Information et communication
L’information et la communication sont essentielles à la réalisation de l’ensemble des

objectifs du contrôle interne. Par exemple, l’un de ces objectifs consistant à remplir les
obligations de rendre compte publiquement, pour l’atteindre il faut élaborer et tenir à jour
des informations, financières et non financières, fiables et pertinentes et de les rendre
publiques au travers de rapports publiés en temps opportun. De même, l’information et la
communication sur la performance de l’entité aideront à évaluer l’efficience et l’efficacité
des opérations. Enfin, dans de nombreux cas, ce sont des dispositions légales et
réglementaires qui exigent la production de certaines informations ou certaines actions de
communication.
4.1 Information
Pour que chaque membre de l’entité puisse procéder aux activités de contrôle interne dont
il a la charge et assumer les responsabilités auxquelles elles se rattachent, un ensemble
d’informations pertinentes, fiables et appropriées doivent être identifiées, recueillies et
diffusées sous une forme et dans des délais convenables. Ces informations doivent, en
outre, être rapidement enregistrées et classées convenablement, de telle manière qu’elles
seront facilement accessibles et qu’elles conservent sa pertinence et sa valeur pour les
personnes concernées.32
32
63
La capacité des responsables à prendre les décisions appropriées dépend fortement de la

qualité de l’information; celle-ci doit donc satisfaire aux critères suivants:
- adéquate;
- disponible à temps;
- à jour ou actuelle;
- exacte;
- accessible.
En vue de garantir la qualité de l’information et des rapports, de s’acquitter des activités

de contrôle interne et des responsabilités et d’accroître l’efficacité et l’efficience du suivi,
le système de contrôle interne en tant que tel et l’ensemble des transactions et des
événements importants doivent faire l’objet d’une documentation exhaustive et claire.
La documentation du système de contrôle interne doit comprendre l’identification de la

structure et des politiques de l’entité et de ses catégories d’opérations, ainsi que ses
objectifs et procédures de contrôle. Toute organisation doit disposer de documents écrits
reprenant les composantes du processus de contrôle interne, notamment ses objectifs et
ses activités de contrôle.. C’est ce qu’on appelle communément, le manuel des
procédures.
4.2 Communication
Une communication efficace doit circuler de manière ascendante, transversale et

descendante dans l’entité, dans toutes ses composantes et dans l’ensemble de sa structure.
L’un des canaux de communication essentiels est celui qui relie la direction à son
personnel. La direction doit être tenue au courant de la performance, de l’évolution, des
risques et du fonctionnement du contrôle interne, ainsi que de tous les autres événements
et problèmes pertinents. Par le même canal, la direction signale à son personnel les
informations dont elle a besoin, lui renvoie son appréciation sur ses activités et lui fait
64
connaître ses consignes. Elle doit également assurer une communication spécifique et
ciblée sur les comportements qu’elle souhaite le voir adopter. Il doit en résulter une
déclaration claire sur la philosophie et l’approche de l’entité en matière de contrôle
interne, ainsi que des délégations de pouvoir explicites.33
Outre la communication interne, la direction doit assurer l’existence de moyens de

communication adéquats avec les interlocuteurs externes et recueillir des informations de
ces interlocuteurs, étant donné que la communication externe peut fournir une
information susceptible d’avoir un impact sur la réalisation, par l’organisation, de ses
objectifs.
En se basant sur les données provenant de la communication à la fois interne et externe, le

management doit prendre les actions nécessaires et entreprendre à temps des opérations
de suivi.
5) Pilotage
Le suivi du contrôle interne garantit que les contrôles fonctionnent comme prévu et qu’ils
sont mis à jour en fonction de l’évolution de l’environnement dans lequel opère l’entité.
Le suivi doit aussi évaluer si, les objectifs généraux, repris dans la définition du contrôle
interne, ont été atteints. Pour cela, il convient de mettre en place un ensemble d’activités
permanentes de pilotage, des évaluations ponctuelles ou de combiner les deux méthodes,
afin d’assurer que le contrôle interne continue à s’appliquer à tous les niveaux et dans
toute l’entité et qu’il produit les résultats escomptés.
Le pilotage permanent du contrôle interne s’inscrit dans le cadre des opérations courantes
et récurrentes de l’entité. Il s’opère en continu et en temps réel, réagit en direct à
l’évolution de la situation et se trouve intégré dans les opérations de l’organisation. Dès
lors, il est plus efficace que les évaluations ponctuelles et les actions correctives sont
potentiellement moins coûteuses. Les évaluations ponctuelles étant effectuées a
33
The committee of sponsoring organisation of the treadway commission « Enterprise risk management-Integrated
framework: Executive summary framework » (COSO), septembre 2004 p 113
65
posteriori, les opérations courantes de surveillance permettront souvent une détection plus
rapide des problèmes.34
Les évaluations ponctuelles doivent varier en étendue et en fréquence essentiellement en

fonction de l’évaluation des risques et de l’efficacité des procédures de pilotage
permanent. A cet égard, l’organisation doit prendre en compte la nature et l’importance
des changements occasionnés, tant par les événements internes qu’externes, ainsi que les
risques correspondants, les compétences et l’expérience du personnel chargé de la mise
en oeuvre des contrôles, de même que les résultats du pilotage permanent. Les
évaluations ponctuelles du contrôle peuvent aussi s’avérer utiles du fait qu’elles se
focalisent sur l’efficacité des contrôles à un moment précis.35
En général, la combinaison du suivi permanent et des évaluations ponctuelles permettra

d’assurer que le système de contrôle interne conserve son efficacité dans le temps.
Toutes les faiblesses décelées dans le cadre du suivi permanent ou à la suite d’évaluations
ponctuelles doivent être signalées aux personnes habilitées à prendre les mesures
nécessaires. Le terme «faiblesse» définit un état susceptible d’avoir une incidence sur la
capacité d’une organisation à réaliser ses objectifs généraux. Une faiblesse peut, dès lors,
correspondre à une carence perçue, potentielle ou avérée, ou à une opportunité de
renforcer le contrôle interne afin d’accroître la probabilité d’atteindre les objectifs
généraux de l’organisation.
Le suivi et le pilotage du contrôle interne doivent comprendre des politiques et des

procédures garantissant que les conclusions des audits et des autres formes d’évaluation
sont mises en oeuvre de la manière appropriée et sans retard.
34
35
promouvoir dans le secteur public », 2004. p 4-
66
§ 2 : Rôles et responsabilités en matière de contrôle interne
La mise en place d’un système de contrôle interne nécessite l’intervention et la

collaboration de différentes parties dans et en dehors de la société.
Les parties prenantes internes incluent les responsables, le conseil d’administration y

compris le comité d’audit s’il existe, les auditeurs internes et le personnel.
Les parties prenantes externes, ne participent pas au fonctionnement proprement dit du

contrôle interne, mais peuvent exercer une influence non négligeable. Ils comprennent les
auditeurs externes, les banques, les pouvoirs législatifs et réglementaires et d’autres tiers.
1) Les parties internes
1.1 Les managers
L’ensemble du personnel de l’entité joue un rôle important dans la mise en oeuvre du

système de contrôle interne. Toutefois, c’est à la direction qu’incombe la responsabilité
globale de la conception, l’application et le maintien de celui-ci, ainsi que de sa
documentation.
On entend par direction, toute personne responsable de la gestion et du fonctionnement de

l’entité. Elle peut inclure le conseil d’administration et le comité d’audit.
1.2 Les auditeurs internes
La fonction audit interne devient de plus en plus présente dans l’organisation générale de
l’entité. Cette dernière la conçoit généralement comme faisant partie intégrante de son
système de contrôle interne et l’utilise dans le cadre du suivi et du pilotage de l’efficacité
du système de contrôle interne. Les auditeurs internes fournissent de manière régulière de
67
l’information sur le fonctionnement du contrôle interne en se concentrant, avec une

attention particulière, sur l’évaluation de la conception et des opérations du contrôle
interne. Ils communiquent des informations sur les forces et les faiblesses du contrôle
interne et formulent des recommandations en vue de son amélioration. Leur indépendance
et leur objectivité doivent toutefois être garanties.
Par conséquent, l’audit interne devrait être une activité indépendante et objective qui
donne à une organisation une assurance sur le degré de maîtrise de ses opérations, qui lui
apporte ses conseils pour les améliorer, et qui contribue à créer de la valeur ajoutée.
Pour que la fonction d’audit interne soit efficace, il est essentiel que l’équipe d’audit
interne soit indépendante de la direction, travaille de manière impartiale, correcte et
honnête et qu’elle rende compte directement au niveau hiérarchique le plus élevé de
l’organisation. De la sorte, les auditeurs internes peuvent présenter des avis impartiaux
sur l’évaluation du système de contrôle interne et présenter objectivement des
propositions visant à corriger les défauts qu’ils auront découverts.36
Il est recommandé que les auditeurs internes aient recours à des référentiels régissant
leurs activités tel que l’Institute of Internal Auditors (IIA) ou l’Institut français de l’audit
et du contrôle internes (IFACI) affilié à l’IIA.
1.3 Les membres du personnel
Le reste du personnel, quel que soit son niveau, influe également sur le contrôle interne.
Ce sont souvent ceux qui sont placés en première ligne qui appliquent et supervisent
certains contrôles, les analysent et prennent les mesures correctives nécessaires si les
contrôles sont mal mis en oeuvre; par ailleurs, ils sont bien placés pour identifier dans le
cours de leurs activités quotidiennes des problèmes qui appellent des réponses qui sont de
l’ordre du contrôle interne. A partir de ce constat, certaines écoles en matière de
36
68
conception ou d’évaluation de contrôle interne ont bâti leur méthodologie sur l’apport du
personnel, telle que la méthode d’auto-évaluation des contrôles.
2) Les parties externes
Le second groupe majeur de partenaires du contrôle interne est constitué par des tiers
extérieurs, tels que les auditeurs externes, le pouvoir législatif et réglementaire, ainsi que
d’autres tiers. Tous peuvent contribuer à la réalisation des objectifs de l’organisation ou
fournir des informations utiles à la mise en oeuvre du contrôle interne.
Cependant, ils n’ont aucune responsabilité dans la conception, la mise en oeuvre, le

fonctionnement adéquat, la maintenance ou la documentation du système de contrôle
interne de l’organisation.
2.1 Les auditeurs externes
Les missions des parties externes, et plus particulièrement celles des auditeurs externes
comprennent l’évaluation du fonctionnement du système de contrôle interne et la
transmission de leurs conclusions au management de l’entité auditée. L’examen du
système de contrôle interne par les parties externes est toutefois déterminé en fonction de
leur mandat.
Le COSO propose les étapes suivantes pour l’évaluation des procédures de contrôle
interne par les auditeurs externes:
- déterminer l’importance du risque et le degré de sensibilité au risque du

programme dont les contrôles sont évalués;
- évaluer le risque d’utilisation abusive des ressources, de non-réalisation des
objectifs en matière d’éthique, d’économie, d’efficience et d’efficacité, de non-
respect des obligations de rendre compte et de non-conformité aux lois et
règlements;
69
- identifier et comprendre les contrôles pertinents;

- faire le point sur ce que l’on sait déjà de l’efficacité du contrôle;
- apprécier le caractère adéquat de la conception du contrôle;
- déterminer par des tests si les contrôles sont efficaces;
- rendre compte de l’appréciation qu’ils portent sur le contrôle interne et discuter les
mesures correctives nécessaires.
L’auditeur externe a tout intérêt à veiller à ce que des services d’audit interne solides
existent là où ils sont nécessaires. Ces services d’audit constituent un élément important
du contrôle interne, car elles sont un vecteur permanent d’amélioration de la manière dont
les activités d’une organisation sont conduites. Cependant, dans certains pays, les services
d’audit interne peuvent souffrir d’un manque d’indépendance, être faibles, quand ils ne
sont pas purement et simplement inexistants. Dans ces cas, l’auditeur externe doit, autant
que possible, proposer aide et accompagnement en vue de leur mise en place et de leur
développement, et contribuer à garantir l’indépendance des activités de l’auditeur interne.
Cette assistance pourrait passer par des détachements ou des prêts de personnel,
l’organisation de conférences, la mise en commun de supports de formation et
l’élaboration de méthodologies et de programmes de travail. Cela doit toutefois être
réalisé sans menacer l’indépendance de l’auditeur externe.37
Les auditeurs externes jouent un rôle important en contribuant à la réalisation des

objectifs du contrôle interne, en particulier en ce qui concerne le respect des obligations
de rendre compte et la protection des ressources.. Les audits externes constituent encore
un mécanisme de base que les parties prenantes externes utilisent pour suivre la
performance, à côté des informations non financières.
37
70
2.2 Le pouvoir législatif et réglementaire
Enfin, la contribution du pouvoir législatif et réglementaire au contrôle interne peut

contribuer à favoriser une compréhension commune de la définition du contrôle interne et
des objectifs à atteindre. Ils peuvent aussi édicter les politiques auxquelles les acteurs
internes et externes sont tenus de se conformer dans l’exercice de leurs rôles et
responsabilités respectifs en matière de contrôle interne.
71
DEUXIEMME PARTIE :
CADRE REGLEMENTAIRE ET NORMATIF EN MATERE
D’EVALUATION DE CONTROLE INTERNE
72
Chapitre 1 : Cadre réglementaire en matière d’évaluation du contrôle interne
Section 1 : Obligations légales sur le plan international en matière d’évaluation du

contrôle interne
§ 1 : Apport de la loi Sarbane-Oxley en matière d’évaluation du contrôle

Interne
La loi Sarbanes-Oxley constitue la plus importante réforme aux Etats Unis depuis la crise
des années 1930 et le Securities Exchange act de 1934 qui régit encore largement le
monde de la finance aux Etats-Unis.
L’un des principaux changements apportés par la loi Sarbanes-Oxley, est celui se
rapportant aux nouvelles obligations en matière de contrôle interne, prévues par sa section
404. Conformément à cette section, les dirigeants des sociétés, dont les titres s’échangent
dans les bourses américaines, ont l’obligation d’évaluer l’efficacité et la qualité de leur
système de contrôle interne. Les auditeurs de ces sociétés doivent attester le bien fondé de
cette évaluation.
1) Evaluation du contrôle interne par les dirigeants de la société
Aux termes de la section 302 du SOX, le directeur général, le directeur financier, ou tout
autre personne occupant de pareilles fonctions doivent, entre autres, attester, dans chaque
rapport annuel ou trimestriel, que :
- Ils ont évalué l’efficacité du contrôle interne de l’entité, à moins de 90 jours de la

date de publication du rapport.
- Ils ont présenté, dans leur rapport, leurs conclusions concernant l’efficacité du
contrôle interne fondées sur leur évaluation.
73
Ils doivent, en outre, fournir, à l’auditeur externe et au comité d’audit, les défaillances
dans le contrôle interne et les fraudes liées au contrôle interne. Enfin les dirigeants
doivent mentionner dans leur rapport s’il y a eu des changements significatifs dans le
contrôle interne après la date de l’évaluation.
Le paragraphe (a) de la section 404 de la loi Sarbanes Oxley stipule, de son coté, que :
« Le rapport annuel de direction doit contenir, dorénavant, un rapport sur le contrôle
interne, qui doit :
- préciser la responsabilité de la direction dans la mise en place et la gestion d’une

structure de contrôle interne adéquate et de procédures pour la communication
financière.
- contenir une évaluation de l’efficacité de la structure de contrôle interne et des

procédures de communication financière, à la date de clôture des comptes.
Par ces dispositions la SOX a mis en place les règles régissant et organisant cette nouvelle
obligation, relative à l’évaluation de l’efficacité du contrôle interne, incombant aux
organes suprêmes de direction des sociétés cotées aux Etats-Unis.
La SEC précise dans son règlement final38 publié le 14 août 2003, que pour l’évaluation
de l’efficacité de son contrôle interne à l’égard de l’information financière, la direction
doit se baser sur un cadre de contrôle approprié et reconnu, établi par un organisme ou un
groupe d’experts suivant une procédure officielle qui comprend la diffusion générale du
cadre proposé afin de recueillir les commentaires du public à son sujet.
La SEC ne propose pas de procédures spécifiques pour diriger cette évaluation. Chaque
entité doit plutôt développer des procédures qui s’adaptent le mieux à sa gestion et au
déroulement de ses activités. A ce sujet, The Institute of Internal Auditors recommande,
aux entreprises, la méthode de l’autoévaluation des contrôles (Control self-assessment)
pour l’évaluation de leur système de contrôle interne.
38
« Final Rule: Management's Reports on Internal Control Over Financial Reporting and Certification of Disclosure
in Exchange Act Periodic Reports » SEC, août 2003
74
En vertu du règlement final de la SEC, le rapport annuel de direction doit contenir un

rapport sur le contrôle interne, qui renfermera :
- une déclaration sur la responsabilité de la direction relativement à l’établissement

et au maintien d’un contrôle interne adéquat à l’égard de l’information financière
de l’entité;
- une déclaration identifiant le cadre utilisé par la direction pour procéder à

l’appréciation, qu’elle est tenue à faire, de l’efficacité du contrôle interne à l’égard
de l’information financière de l’entité;
- une appréciation de l’efficacité du contrôle interne à l’égard de l’information

financière de l’entité à la date de clôture de son dernier exercice, y compris une
déclaration explicite sur la question de savoir si le contrôle interne à l’égard de
l’information financière est efficace;
- une déclaration selon laquelle le cabinet d’experts-comptables inscrit, qui a

procédé à la vérification les états financiers compris dans le rapport annuel, a
délivré un rapport de certification de l’appréciation, faite par la direction, du
contrôle interne à l’égard de l’information financière de l’entité.
Le règlement final de la SEC présente, en outre, des modèles du rapport annuel de gestion
et d’autres documents exigés des sociétés cotés en bourse, compte tenu des modifications
et des nouvelles obligations apportées par le SOX, notamment celle se rattachant à
l’évaluation de l’efficacité du système de contrôle interne.
75
2) Attestation par l’auditeur externe de l’évaluation du contrôle interne réalisée par la

direction de la société
Le paragraphe (b) de la section 404 du SOX stipule que l’auditeur doit attester et élaborer
un rapport au sujet de l’appréciation, faite par la direction, de l’efficacité du contrôle
interne à l’égard de l’information financière. Cette mission d’attestation doit être réalisée
conformément aux normes publiées par le PCAOB. Elle ne doit pas faire l’objet d’un
engagement séparé de celui relatif à l’audit des états financiers.
A ce sujet, le PCAOB a publié le 9 mars 2004 l’AS 2 intitulé : « Vérification du contrôle

interne à l’égard de l’information financière effectuée conjointement avec un audit des
états financiers », dans lequel il précise que pour pouvoir attester l’évaluation de
l’efficacité du contrôle interne à l’égard de l’information financière faite par la direction,
l’auditeur externe doit nécessairement évaluer lui-même l’efficacité du contrôle interne à
l’égard de l’information financière de l’entité.
Par conséquent, l’intervention de l’auditeur aura deux objectifs :
- exprimer une opinion sur l’appréciation, faite par la direction, de l’efficacité du

contrôle interne à l’égard de l’information financière de l’entité; et
- exprimer une opinion sur l’efficacité du contrôle interne à l’égard de l’information

financière.
Afin de disposer d’une base lui permettant d’exprimer les opinions requises dans le cadre
d’une vérification du contrôle interne à l’égard de l’information financière, l’auditeur doit
planifier et exécuter sa mission de façon à obtenir l’assurance raisonnable que l’entité
maintenait, à tous les égards importants, un contrôle interne efficace à l’égard de
l’information financière à la date spécifiée dans l’appréciation de la direction.
76
Le maintien d’un contrôle interne efficace à l’égard de l’information financière se traduit

par l’absence de faiblesse importante. Par conséquent, l’objectif de la vérification du
contrôle interne à l’égard de l’information financière est d’obtenir une assurance
raisonnable quant à l’absence de faiblesse importante à la date spécifiée dans
l’appréciation faite par la direction.
Il y a lieu de signaler, enfin, que les exigences de la loi Sarbanes Oxley sur la validation
du contrôle interne augmenteront sensiblement le coût de l’audit pour les groupes cotés
aux Etats-Unis. Les auditeurs voudront avoir la certitude que le processus de contrôle
choisi par le management est rigoureux, ce qui comportera un renforcement des
vérifications. Les contrôles financiers devront être documentés et communiqués à toutes
les personnes concernées, et leur efficacité testée.39
§ 2 : Apport de la loi française de sécurité financière en matière

d’évaluation du contrôle interne
La Loi de Sécurité Financière, et plus particulièrement les articles L.225-37, L.225-68 et

L.225-235 du Code de Commerce, fixe de nouvelles obligations relatives aux procédures
de contrôle interne. Ces obligations ne sont pas aussi explicites que le SOX américain.
1) Obligation en matière de contrôle interne incombant aux dirigeants de l’entité
Le dernier alinéa de l'article L 225-37 du code de commerce résultant de l’article 117 de

la loi de sécurité financière du 1er août 2003 stipule que « le président du conseil
d'administration rend compte, dans un rapport joint au rapport mentionné aux articles
L. 225-100, L. 225-102, L. 225-102-1 et L. 233-26 (rapport annuel de gestion), des
conditions de préparation et d'organisation des travaux du conseil ainsi que des
procédures de contrôle interne mises en place par la société. Sans préjudice des
39
Oxley », 2004
77
dispositions de l'article L. 225-56, le rapport indique en outre les éventuelles limitations

que le conseil d'administration apporte aux pouvoirs du directeur général ».
La LSF précise que ces dispositions entrent en vigueur pour les exercices comptables
ouverts à partir du 1er janvier 2003.
L'article L 225-68 du code de commerce impose la même obligation au président du

conseil de surveillance.
En outre, l'article L 621-18-3 du code monétaire et financier prévoit que "les personnes
morales faisant appel public à l'épargne rendent publiques les informations relevant des
matières mentionnées au dernier alinéa des articles L. 225-37 et L. 225-68 du code de
commerce dans des conditions fixées par le règlement général de l'Autorité des marchés
financiers. Celle-ci établit chaque année un rapport sur la base de ces informations" (art.
122 LSF)
1.1 Champ d'application des articles L 225-37 et L 225-68 du code de commerce
Contrairement au SOX, la LSF concerne la totalité des sociétés, et pas uniquement celles
faisant appel public à l’épargne.
D’un autre côté, les articles L. 225-37 et L. 225-68 concernent le fonctionnement de deux
organes sociaux propres aux sociétés anonymes, par conséquent, sont exclus du champ
d’application de ces articles les autres formes de sociétés, à savoir, les sociétés à
responsabilité limitée, les sociétés en commandite simple et les sociétés en commandite
par action.
Si une société fait publiquement appel à l’épargne, des dispositions spéciales du code
monétaire et financier (art. L 621-18-3) imposent une publicité de ces informations dans
les conditions fixées par le règlement général de l’Autorité des marchés financiers.
78
1.2 Responsabilités du président du conseil
Il ne faut pas confondre les responsabilités de chaque organe social à l’égard

respectivement des procédures et du rapport. C’est le directeur général qui est responsable
de l’établissement des procédures et des moyens mis en oeuvre pour les faire fonctionner
ou en contrôler l’application ; c’est le conseil qui est responsable du contrôle des
procédures ; quant au président, il est responsable du seul rapport joint.
La loi n’oblige le président qu’à « rendre compte » : il s'agit pour le président de rendre
compte d'une situation de fait, d'indiquer ce qui existe en matière de contrôle interne dans
sa société. Sa mission se borne à constater des faits et à les décrire, sans avoir à préciser
ce qui n'existe pas, ni à apprécier personnellement l'efficacité des procédures, à en
concevoir de nouvelles ou à les mettre en place. Le président ne dispose en effet d’aucun
pouvoir propre ni d’aucun moyen d’investigation pour émettre une telle appréciation.
Pour ce faire, il aurait fallu qu’il puisse utiliser un système d’appréciation, ce qui aurait
impliqué d’avoir recours à une référence externe, capable de porter un jugement objectif
sur les procédures de la société. Ce qui n’est pas le cas.40
En effet, seul le conseil d'administration ou le conseil de surveillance peut procéder aux

contrôles et vérifications qu'il juge opportuns (art. L 225-35 et L 225-68). Le conseil
d'administration peut seul se saisir de toute question intéressant la bonne marche de la
société et les régler par ses délibérations.
Pour accomplir sa mission d’établissement du rapport joint, le président peut évidemment

saisir la direction générale d'une demande de renseignements nécessaires à l'établissement
du rapport ou saisir le conseil pour que celui-ci examine les procédures, le cas échéant à
travers un comité des comptes, afin de lui fournir la matière du rapport.
40
Comité juridique de l’ANSA « Commentaires relatifs au rapport sur le contrôle interne prévu par la LSF » ANSA,
novembre 2003. p 5
79
Ainsi, le président du conseil d’administration et le président du conseil de surveillance

n'assument que la responsabilité de l'existence même du rapport et de la réunion des
informations nécessaires à l'établissement de celui ci.
En conclusion, les dispositions du code de commerce ne chargent pas le président de se
prononcer sur l l'efficacité du contrôle interne. Sa mission consiste à établir un rapport
décrivant l’existant en matière de contrôle interne. Il reste, cependant, libre de déterminer
le degré de précision et de détail de sa description.
1.3 Contenu du rapport du président
« Les procédures de contrôle interne », concernent-elles exclusivement celles qui ont

directement trait à l'information financière ou également les contrôles divers, par
exemple : les contrôles en matière de sécurité, de qualité, de respect de
l'environnement…?
L'objet du rapport du président est d'ordre général. Il lui appartient de décrire

sommairement toutes les procédures de contrôle interne effectivement mises en place,
quel que soit leur objet. Ceci étant, les risques de toute nature finissent par avoir un
impact financier.
Il s'agit de fournir des indications factuelles, synthétiques et significatives sur les

caractéristiques propres de ces procédures de contrôle interne, permettant
raisonnablement d’assurer la réalisation des opérations et de réduire les risques que
celles-ci engendrent, d’en vérifier l’efficacité et de s'assurer de la fiabilité du système
comptable et de l’information financière.41
Il ne s'agit pas de communiquer sur l'objet de ces procédures, c'est-à-dire sur le contenu
de l'information, ce qui relève d'autres documents (rapport annuel de gestion, documents
comptables, document de référence).
41
Comité juridique de l’ANSA « Commentaires relatifs au rapport sur le contrôle interne prévu par la LSF » ANSA,
novembre 2003. p 9
80
2) Rôle du commissaire aux comptes
Selon le dernier alinéa de l'article L 225-235 du code de commerce, « les commissaires

aux comptes présentent, dans un rapport joint au rapport mentionné au deuxième alinéa
de l'article L. 225-100, leurs observations sur le rapport mentionné, selon le cas, à l'article
L. 225-37 ou à l'article L. 225-68, pour celles des procédures de contrôle interne qui sont
relatives à l'élaboration et au traitement de l'information comptable et financière »
(article120 de la LSF).
Le commissaire aux comptes doit exposer ses observations sur le rapport du président
« pour celles des procédures de contrôle interne qui sont relatives à l'élaboration et au
traitement de l'information comptable et financière. » (Article L. 225-235 dernier alinéa)
Le commissaire aux comptes n’a pas à porter un jugement sur l'efficacité du contrôle
interne.
Il faut souligner que la rédaction de cet article L. 225-235 est plus restrictive que celle de
l'article L 225-37 puisqu'elle ne vise que les procédures relatives à l'information
comptable et financière.
Le commissaire aux comptes doit donc vérifier l’exactitude des faits décrits dans le
rapport joint du président ; si tous ces faits sont exacts. En principe le commissaire n’a
aucun commentaire à présenter. En revanche, en cas d’inexactitude, le commissaire doit
la signaler.
81
Section 2 : Obligations légales sur le plan national en matière d’évaluation de

contrôle interne
§ 1 : Réglementation de l’évaluation du contrôle interne avant

l’apparition de la loi n°2005-65 complétant et modifiant le code
des sociétés commerciales
Avant l’apparition de loi n°2005-65 complétant et modifiant le code des sociétés

commerciales, l’obligation d’évaluer le système de contrôle interne de l’entité incombait
aux réviseurs légaux des établissements publics à caractère industriel et commercial et
des sociétés dont le capital est totalement détenu par l’Etat et ce conformément au décret
n° 87-529 du 1er avril 1987 et aux sociétés dont les titres font l’objet d’une demande
d’admission au marché (BVMT) et ce conformément au règlement général de la Bourse
des Valeurs Mobilières de Tunis tel que modifié par l’arrêté du ministre des finances du
24 septembre 2005.
1) Décret n° 87-529 du 1er avril 1987, fixant les conditions et les modalités de la
révision des comptes des établissements publics à caractère industriel et
commercial et des sociétés dont le capital est totalement détenu par l’Etat
Les réviseurs légaux des établissements publics régis par le décret n° 87-529 du 1er avril
1987 sont tenus, tout au long de leur mandat, de vérifier la fiabilité de leur système de
contrôle interne. Cette vérification doit couvrir tous les aspects administratifs, financiers,
et comptables de l’établissement. Les travaux effectués par le professionnel doivent lui
permettre de former une idée précise des faiblesses et anomalies du contrôle interne de
l’entité. Ces faiblesses et anomalies feront l’objet d’un rapport à présenter distinctement
de son rapport général.
82
Concrètement, ce rapport comporte, habituellement, les points faibles relevés par le

réviseur légal, durant son intervention dans chaque cycle d’exploitation. Généralement,
on entend par faiblesse, soit l’absence d’une procédure, soit la mauvaise conception de
celle-ci, ou enfin, son non application ou son application partielle.
Le réviseur légal n’a pas l’obligation d’exprimer un avis sur l’efficacité du système de
contrôle interne. En effet le législateur précise bien dans le texte de l’article 6 de la loi
que « Les remarques, observations et conclusions du réviseur relatives au contrôle interne
et aux procédures doivent être consignées dans un rapport distinct ». Il s’agit d’un
rapport complémentaire à émettre par le réviseur légal des entreprises publiques. Ce
rapport est destiné uniquement au conseil d’administration et à l’autorité de tutelle, il ne
peut pas être communiqué au public.
2) Règlement général de la Bourse des Valeurs Mobilières de Tunis
L’article 38 du règlement général de la BVMT tel que modifié par l’arrêté du ministre des
finances du 24 septembre 2005, exige des sociétés désirant faire appel public à l’épargne
de justifier de l’existence de toutes les composantes d’une gestion financière, comptable
et administrative efficace et transparente. Ceci se traduit par un système de contrôle
interne efficace et formalisé et une fonction d’audit interne et contrôle de gestion garant
de son bon fonctionnement.
A partir des dispositions de cet article, on peut déduire que le système de contrôle interne,
des sociétés dont les titres font l’objet d’une demande d’admission à la BVMT, doit faire
l’objet d’un rapport établi par leurs commissaires aux comptes, dans lequel sera apprécié
notamment sa structure d’audit interne. A qui ce rapport doit être remis ? Au CMF ? A la
société ? Sera-t-il à la portée du public ? S’agira-t-il d’une évaluation du système de
contrôle interne ou d’une simple description de l’existant ?
83
Cette obligation exigée des désirant intégrer la BVMT, semble s’inscrire dans le même
esprit de l’obligation prévue par l’article 15 de la loi 2005-96. En effet les sociétés
actuellement côtés en bourse feront l’objet, dorénavant, d’une évaluation générale de leur
système de contrôle interne, celles postulant à intégrer la côte de la bourse doivent
naturellement passer par cette même évaluation de leur contrôle interne pour pouvoir
accéder à la BVMT. Dans le même ordre d’idées, cette évaluation de l’efficacité du
contrôle interne exigée par l’article 38 du règlement générale de la BVMT, est destinée à
donner plus de garanties aux éventuels souscripteurs à l’offre publique de vente des
actions de la société concernée. Les résultats de cette évaluation devraient, à notre avis,
être publiés pour pouvoir être consultés par toute personne intéressée.
§ 2 : Apport des récentes réformes juridiques en matière d’évaluation du

contrôle interne en Tunisie
1) Article 266 du code des sociétés commerciales, tel que modifié par la loi
n° 2005-65 du 27 juillet 2005.
Le deuxième alinéa de l’article 266 du code des sociétés commerciale, tel que modifié par
la loi n° 2005-65 du 27 juillet 2005 stipule que : « Le commissaire aux comptes certifie la
sincérité et la régularité des comptes annuels de la société conformément à la loi en
vigueur relative au système comptable des entreprises. Il vérifie périodiquement
l'efficacité du système de contrôle interne ».
Par cette modification apportée à l’article 266 du code des sociétés commerciales, le
législateur tunisien instaure une diligence supplémentaire à la charge du commissaire aux
comptes dans le cadre de ces travaux d’audit, consistant à vérifier périodiquement
l’efficacité du contrôle interne. Le fait de prévoir cette nouvelle diligence dans l’article
266 du code et pas séparément dans un autre article, montre que le législateur tunisien
prévoit cette diligence dans le cadre de l’audit des comptes et pas en tant qu’obligation
séparée et indépendante de celui-ci.
84
D’autre part, prévoir cette diligence dans le cadre de l’audit des comptes, ne fait-t-il pas
pencher la balance en faveur d’une vérification concernant les contrôles à l’égard de
l’information financière plutôt que la totalité des contrôles mis en place par la société,
d’autant plus que la loi n° 96-112 du 30 décembre 1996, relative au système comptable
des entreprises, prévoit dans sa norme comptable générale que : « le système comptable
des entreprises doit être organisé de manière efficace pour être à même de produire
l’information financière requise ». Cette norme précise, dans le cadre des dispositions
relatives à l’organisation comptable, que : « l’organisation générale suppose l’existence
de systèmes de contrôle interne efficaces dans l’une des composantes est constituée par
l’organisation et la tenue de la comptabilité financière ».
De même, l’alinéa 2 de l’article 269 du CSC tel que modifié par la loi 2005-65 stipule
que : « les commissaires aux comptes doivent déclarer expressément dans leur rapport
qu'ils ont effectué un contrôle conformément aux normes d'audit d'usage et qu'ils
approuvent expressément ou sous réserves les comptes ou qu'ils les désapprouvent ».
Parmi les normes d’audit d’usage figurent essentiellement ceux de l’IAASB, qui
prévoient, dans les normes ISA 315 et 330, l’obligation de l’auditeur d’informer, dés que
possible, les personnes constituant le gouvernement de l’entreprise ou la direction au
niveau approprié de responsabilité, des faiblesses majeurs qu’il a relevé dans la
conception ou la mise en œuvre du contrôle interne, ainsi que dans le processus
d’évaluation des risque de l’entité. Cette communication doit être faite selon les
dispositions de l’ISA 260 « Communication des questions soulevées à l’occasion de
l’audit aux personnes constituant le gouvernement de l’entreprise »
A partir des éléments ci-dessus développés, le commissaire aux comptes se trouve,

désormais, devant une nouvelle obligation d’information au sujet du contrôle interne de
l’entité auditée. Cette information se limite, à priori, aux organes sociaux ou à ceux
chargés du gouvernement de celle-ci
85
Cependant, en cas de défaut ou de défaillance grave du système de contrôle interne mis

en place par la société, aucune disposition exposant, les actions à entreprendre par le
commissaire aux comptes ni les conséquences qui peuvent découler de la non révélation
de ces faits, n’a été prévue. Autrement dit, le professionnel, a-t-il l’obligation d’en
informer les actionnaires dans son rapport sur les comptes ?
Le législateur n’a pas était suffisamment clair et explicite. Il n’a pas précisé les objectifs
recherchés ni les modalités d’application de cette nouvelle obligation incombant aux
commissaires aux comptes. Ce flou juridique et ce vide organisationnel de la profession a
eu pour conséquences, des pratiques et des initiatives personnelles et non standardisées,
qui ne peuvent que porter atteinte à l’image de marque et à la crédibilité de la profession.
2) Loi n°2005-96 du 18 octobre 2005, relative au renforcement de la sécurité des

relations financières
L’article 3 (nouveau) de la loi n°94-117 du 14 novembre 1994, portant réorganisation du

marché financier, promulgué par la loi n° 2005-96 du 18 octobre 2005 relative au
renforcement de la sécurité des relations financières, prévoit que parmi les documents à
déposer, dans un délai de quatre mois, au plus tard, de la clôture de l’exercice comptable
et quinze jours, au moins, avant la tenue de l’assemblée générale ordinaire, par les
sociétés faisant appel public au CMF et à la BVMT, figure « les rapports du ou des
commissaires aux comptes visés, selon le cas, aux articles 200, 269 et 472 du code des
sociétés commerciales. Les dits rapports doivent contenir une évaluation générale du
contrôle interne ».
Exiger, des commissaires aux comptes des sociétés côtés en bourse, de prévoir dans leur
rapport une évaluation générale du contrôle interne, constitue une nouvelle obligation à
la charge des professionnels. A première vue, elle parait la continuité de l’obligation
prévue par l’article 266 du code des sociétés commerciales, mais si on s’attarde un peu on
s’apercevra qu’elles comportent plusieurs divergences.
86
En effet, l’évaluation du contrôle interne requise par la loi n°2005-96 du 18 octobre 2005,
est différente de celle prévue par l’article 266 du code des sociétés commerciales, requise
dans le cas d’une certification des comptes par des auditeurs externes. Cette différence
provient essentiellement d’une différence d’objectifs. Pour l’auditeur externe, la
vérification du contrôle interne en application de l’article 266 du CSC n’est qu’une
procédure d’audit parmi d’autres qui se fait sur les contrôles clés. Dans l’esprit de la loi
relative au renforcement de la sécurité des relations financières, l’évaluation générale du
contrôle interne a pour but d’exprimer une opinion sur l’efficacité du contrôle interne au
cours de la période considérée. Son champ d’application est donc plus vaste, puisque
toutes les transactions, routinières, non routinières, et estimation financières sont
concernées.
Le législateur tunisien n’a pas précisé si cette évaluation concerne la totalité du système
de contrôle interne mis en place par la société ou uniquement celui lié à l’établissement
de l’information financière.
Le fait de charger le commissaire aux comptes garant de la fiabilité et de la régularité des

états financiers de cette mission, nous laisse croire que dans l’esprit le législateur visait
les contrôles liés à l’établissement de l’information financière. D’autant plus que sur le
plan international et plus précisément au niveau du SOX américain et de la LSF française,
l’auditeur externe a toujours été chargé d’évaluer ou d’attester le contrôle interne lié à
l’information financière.
Ceci étant, rien n’empêche le législateur d’exiger que cette vérification concerne la
totalité du contrôle interne mis en place par la société, partant du principe que ces
contrôles sont mis en place en vue de maîtriser les risques qu’encours ou que risque
d’encourir l’entité et que chaque risque a, directement ou indirectement, un impact sur
l’information financière.
87
En outre, le législateur n’a pas précisé les responsabilités du commissaire aux comptes
découlant de cette nouvelle mission. S’agit-il d’une mission spéciale à la charge des
commissaires aux comptes des sociétés faisant appel public à l’épargne ? Faut-il prévoir
des honoraires supplémentaires ?
A notre avis, il s’agit bien d’une mission différente et indépendante, de la mission

principale du commissaire aux compte, nécessitant une planification spécifique ainsi
qu’un calendrier, une nature et une étendue des travaux qui dépassent ceux adoptés par le
commissaire aux compte pour la planification de la phase intérimaire de l’audit des
comptes. De même, le commissaire aux comptes, en présentant une évaluation générale
du contrôle interne, devra exprimer une opinion sur l’efficacité de celui-ci. Par
conséquent, sa responsabilité sera engagée non plus au sujet des états financiers
uniquement, mais aussi concernant le système de contrôle interne. ceci nous porte à
penser, qu’il serait opportun de considérer cette obligation incombant aux commissaires
aux comptes des sociétés faisant appel public, comme une mission spéciale, réaliser par
les professionnels en sus de leur mission principale de certification des comptes et
nécessitant, par conséquent, des honoraires additionnels.
Par ailleurs, aucun cadre de référence, ni pour la mise en place ni pour l’évaluation du
système de contrôle interne, n’a été prévu ni adopté par le législateur pour la mise en
application de cette nouvelle obligation. De même, il n’a pas prévu les modalités
d’application de cette obligation à la charge des commissaires aux comptes.
On entend par modalité d’application, tout ce qui se rattache à la présentation de cette

évaluation générale dans le rapport du commissaire aux comptes, son contenu, les
différentes formes d’opinion sur le contrôle interne pouvant être exprimées.
Aucune norme professionnelle organisant cette nouvelle obligation incombant aux

commissaires aux comptes des sociétés cotées en bourse n’a vu le jour jusqu'à
maintenant, contrairement qu’aux Etats-Unis, où le PCAOB à publié en août 2004 l’AS
n°2 traitant de vérification du contrôle interne à l’égard de l’information financière
effectuée conjointement avec un audit des états financiers.
88
Pour pallier à ces insuffisances, et en attendant les actions à entreprendre par les organes
législatifs et professionnels nationaux, le commissaire aux comptes devrait, à notre avis
avoir recours aux normalisations internationales, et ce en matière de contrôle interne
proprement dit, tel que le référentiel COSO par exemple, ou en matière d’évaluation du
contrôle interne.
En matière d’évaluation ou d’audit du contrôle interne, les organismes qui ont le plus
traité le sujet d’évaluation de l’efficacité du système de contrôle interne, sont l’IFAC, et
récemment, suite à son institution par la loi Sarbanes-Oxley, le PCAOB par le biais de
l’AS 2 publiée le 9 mars 2004.
89
Chapitre 2 : Normalisation en matière d’évaluation du contrôle interne
Section 1 : Normes de l’IFAC
§ 1 : Cas d’une mission autonome d’assurance concernant l’efficacité du

contrôle interne (ISAE 3000 R)
Les normes internationales de missions d’assurance (International Standards on

Assurance Engagements, ISAE) s’appliquent aux missions d’assurances relatives à des
sujets autres que des informations financières historiques. En vertu de ces missions, le
praticien exprime ses conclusions dans le but d’augmenter le degré de confiance, des
potentiels utilisateurs autres que les personnes responsables, dans le résultat de
l’évaluation ou de la mesure du sujet de la mission, selon des critères.
Le résultat de l’évaluation ou de la mesure du sujet, c’est l’information résultant de

l’application des critères au sujet. Par exemple :
- La reconnaissance, la mesure, la présentation et la communication présente dans les

états financiers (Résultat) résulte de l’application d’un cadre d’information
financier pour la reconnaissance, la mesure, la présentation et la communication,
tel que l’International Financial Reporting Standard (IFRS) (Critère), à la situation
financière, la performance et les flux financiers d’une entité (Sujet).
- Affirmation concernant l’efficacité du contrôle interne (Résultat) résultant de
l’application d’un référentiel d’évaluation de l’efficacité du contrôle interne, tel
que le COSO ou le COCO (Critère), au système de contrôle interne (Sujet).
Dans certaines missions d’assurance, l’évaluation ou la mesure du sujet de la mission est

réalisée par la partie responsable et l’information relative au sujet de la mission a la forme
d’une affirmation de la part de la partie responsable, qui est mise à la disposition des
utilisateurs potentiels. Cette mission est appelée « missions basées sur des affirmations ».
C’est le cas de l’obligation incombant aux dirigeants américains d’évaluer l’efficacité du
contrôle interne, prévue par le SOX. Dans d’autres missions d’assurance, le praticien, soit
90
réalise lui même l’évaluation ou la mesure du sujet de la mission, soit obtient une
confirmation de la part de la partie responsable, qui a réalisé l’évaluation ou la mesure,
qu’elle ne l’a pas mise à la disposition des utilisateurs potentiels. L’information relative
au sujet de la mission est fournie aux utilisateurs potentiels dans le rapport d’assurance.
Cette mission est appelée « mission d’information directe ». C’est le cas de l’obligation
incombant aux commissaires aux comptes tunisiens, en application de l’article 15 de la
loi 2005-96.
Deux niveaux d’engagement peuvent être atteints par le praticien ; « Engagement

d’assurance raisonnable » et « Engagement d’assurance limité ».
L’objectif de l’engagement d’assurance raisonnable est la réduction du risque de la

mission d’assurance à un niveau assez faible dans le cadre des circonstances de la
mission, de telle sorte qu’une forme positive de conclusion puisse être exprimée par le
praticien.
L’objectif de l’engagement d’assurance limitée est la réduction du risque de la mission

d’assurance à un niveau acceptable dans les circonstances de la mission, de telle sorte
qu’une forme négative de conclusion puisse être exprimée par le praticien.
La norme ISAE 3000 (révisée) intitulée : « Missions d’expression d’assurance autres que
l’audit ou l’examen limité de l’information financière historique » est applicable à partir
du 1er janvier 2005. Elle établit les principes de base et les procédures essentielles pour
toutes les missions de certification à l’exception des missions de vérification ou d’examen
d’informations financières historiques, qui sont couverte par les normes ISA. Elle doit
être comprise dans le contexte du « cadre international de l’engagement d’assurance »
(International Framework for Assurance Engagements), qui définit et décrit les éléments
et les objectifs des missions d’assurance.
L’ISAE 3000 révisée remplace l’ISAE 3000, qui à son tour remplaçait l’ISA 100. Elle
concerne la vérification des données non financières. Elle détaille la démarche à suivre
pour atteindre les niveaux d’engagement d’« assurance raisonnable » ou d’« assurance
limitée ».
91
Ce standard est destiné aux professionnels de l’audit appelés à intervenir sur des données
extra financières, y compris celles qui ne sont pas organisées par un standard spécifique.
Il fournit aussi des recommandations au sujet de la relation avec les experts, auxquels
peut avoir recours le professionnel, et sur la forme que doit prendre le rapport
d’expression d’assurance.
Les éléments d’une « mission d’assurance » sont :
1) Relation des trois parties de la mission
La mission d’assurance implique trois parties ; Le praticien, la personne ou l’organe

responsable et les utilisateurs potentiels.
1.1 Le praticien
Le terme praticien est utilisé pour les personnes engagées pour réaliser la mission
d’assurance, comme c’est le cas de l’auditeur qui utilise les normes ISA et ISRE pour
l’audit ou la revue des informations financières historiques.
Dans le cadre de notre étude, c’est le commissaire aux comptes des sociétés faisant appel
public à l’épargne qui est le praticien, puisqu’il a été désigné, par l’article 15 de la loi
2005-96, pour procéder à l’évaluation de l’efficacité du contrôle interne.
Le praticien est responsable de la détermination de la nature, du calendrier et de l’étendue

des procédures qu’il compte mettre en application au cours de son intervention.
Le praticien peut être sollicité pour réaliser des missions d’assurance de grande envergure
nécessitant des connaissances et des compétences spécifiques, d’où la nécessité d’avoir
recours, dans certains cas, à des experts et des spécialistes d’autres disciplines.
92
1.2 Personne responsable
C’est l’organe responsable de l’objet ou du sujet de la mission d’assurance.

Dans le cas de l’évaluation du contrôle interne, c’est la direction de l’entité qui reste
l’organe responsable de la conception et de la mise en place du système de contrôle
interne.
La personne responsable peut être celui qui engage le praticien. Dans notre situation, ce
n’est pas le cas puisque ce sont les actionnaires qui nomment le commissaire aux
comptes, qui à son tour est chargé par la loi n°2005-96 de remettre, dans leur rapport, une
évaluation générale du contrôle interne.
1.3 Utilisateurs potentiels
Les utilisateurs potentiels sont la personne ou groupe de personnes à qui est destiné le
rapport d’expression d’assurance préparé par le praticien.
Généralement l’utilisateur potentiel est la partie qui engage le praticien (engaging party).
Il doit préciser avec le concours de la partie responsable et du praticien lui-même, avec
détail et d’une manière claire, le sujet de la mission.
Dans notre cas, les utilisateurs potentiels de l’évaluation générale du contrôle interne, à
présenter par le commissaire aux comptes des sociétés faisant appel public à l’épargne,
peuvent être les actionnaires de l’entité, les investisseurs potentiels, le marché de la
bourse, les institutions financières et d’une manière générale tous les partenaires
économiques de l’entité.
93
2) L’objet ou le sujet de la mission d’assurance
Il peut prendre plusieurs formes
- Performances et conditions financières (exemple : la situation financière, les

performances financières et les flux financiers, historiques ou prévisionnels) pour
lesquelles les "informations relatives au sujet de la mission" (résultat de
l’évaluation et la mesure du sujet de la mission) peut être la reconnaissance,
mesure et présentation, présente dans les états financiers.
- Performances et conditions non financières (exemple performance d’une entité)

pour lesquelles l’"information relative au sujet de la mission" peut être les
indicateurs clés d’efficience et d’efficacité.
- Système ou processus (exemple le système de contrôle interne de l’entité ou son

système informatique) pour lequel l’ "information relative au sujet" de la mission »
peut être une affirmation de l’efficacité.
3) Etapes de la mission d’assurance
3.1 Acceptation de la mission d’assurance
Le praticien ne doit pas accepter une mission d’assurance que lorsqu’il est clairement
établi que le sujet de la mission d’assurance est la responsabilité d’une personne autre que
les utilisateurs potentiels et le praticien lui-même. Dans notre cas, cette condition est
satisfaite, puisque la conception et la mise en place du système de contrôle interne est la
responsabilité de la direction, alors que l’évaluation générale à réaliser et à présenter par
le commissaire aux compte est destinée au public et plus précisément aux actionnaires de
l’entité.
94
3.2 Planification de la mission d’assurance
Un plan de mission consiste en une approche détaillée dans laquelle sont précisés, la
nature, le calendrier et l’étendue des procédures de collecte des éléments probants à
réaliser et les raisons qui ont poussé le praticien de les choisir.
Un plan de mission bien établi permet au praticien de s’assurer de la couverture de toutes

les parties composant la mission d’assurance et que celle-ci sera effectuée de la manière
la plus efficace et efficiente. Il permet une meilleure répartition des taches entre les
membres de l’équipe intervenante et d’identifier le besoin de faire appel à des experts.
La nature et l’étendu des activités et procédures à planifier, dépendent des circonstances

dans lesquelles se déroule la mission d’assurance, notamment :
- Les termes de la mission

- Les caractéristiques du sujet de la mission
- La compréhension qu’a le praticien de l’entité et de son environnement
- L’identification des utilisateurs et de leurs besoins
- Le seuil de signification
- Les sources d’éléments probants
- Le besoin en personnels et en experts
La planification doit être continuellement adaptée durant le déroulement de la mission, en

fonction des événements et conditions rencontrés par le praticien.
95
Les étapes préalables à la planification de l’engagement sont :
a) Compréhension du sujet de la mission et des critères d’évaluation
Le praticien doit acquérir une compréhension suffisante du sujet de la mission et des

circonstances de cette mission, pour identifier et évaluer le risque que des informations
rattachées au sujet de la mission soient incorrectes et pour pouvoir concevoir et réaliser
d’avantage de procédures pour la collecte d’éléments probants.
La compréhension du sujet de la mission fournit aux praticiens un cadre de référence pour

l’exercice du jugement professionnel tout au long de la mission d’assurance.
Le praticien doit juger si le sujet de la mission est approprié et ce en vérifiant si :
- Il est identifiable, évaluable et mesurable selon les critères relevés

- Ies informations relatives peuvent leurs être appliquées les procédures nécessaires
pour la collecte de suffisamment d’éléments probants appropriés, pour justifier les
conclusions d’assurance raisonnable ou limitée
Le praticien doit en outre identifier les caractéristiques du sujet de la mission qui sont
particulièrement importants aux yeux des utilisateurs potentiels et qui seront décrites dans
le rapport d’expression d’assurance.
En outre, le praticien doit procéder à l’évaluation du caractère approprié des critères

utilisés pour évaluer ou mesurer le sujet de la mission. Ces critères peuvent être formels,
comme par exemple les normes IFRS et IPSAS pour l’établissement des états financiers
et le référentiel COSO en ce qui concerne l’évaluation du contrôle interne. Ils peuvent
aussi être développés en interne, tel que un niveau de performance ou des objectifs de
contrôle conçus par l’entité.
96
Le critère approprié doit contenir les caractéristiques suivantes :
- Pertinence: un critère pertinent aboutit aux conclusions qui aident à la prise des
décisions appropriées de la part des utilisateurs potentiels.
- Complet : les critères sont complets lorsque aucun facteur, susceptible d’affecter les
conclusions tirées dans le contexte de la mission, n’a été omis.
- Fiabilité : les critères sont fiables lorsque, en cas de leur utilisation par deux
praticiens suffisamment qualifiés et dans les mêmes conditions, donneront les
mêmes évaluations et mesures du sujet de la mission.
- Neutralité : les critères qui conduisent à des conclusions non biaisées.
- Compréhensibles ou intelligible : les critères qui contribuent à des conclusions
explicites, claires, concises et non sujettes à aucune interprétation.
L’évaluation du sujet de la mission sur la base des attentes, jugement et expériences

personnelles du praticien, ne constituent pas des critères appropriés.
Les critères établis par un référentiel sont généralement appropriés, comme par exemple ;
le référentiel COSO pour l’évaluation de l’efficacité du contrôle interne. Cependant, les
utilisateurs spécifiques de la mission d’assurance peuvent exiger des critères établis par
un référentiel particulier ou exiger d’autres critères en plus de ceux prévus par le
référentiel. En Tunisie, le législateur n’a pas prévu ou adopté un référentiel en matière de
contrôle interne. Pour pallier à cette carence réglementaire, le commissaire aux comptes
pourra se référer aux référentiels disponibles sur la scène internationale.
b) Seuil de signification et risque de la mission d’assurance
Le seuil de signification est nécessaire pour le praticien lors de la détermination de la

nature, le calendrier et l’étendu des procédures de collecte des éléments probants, et lors
de l’évaluation de la significativité des erreurs ou des défaillances contenues dans
l’information relative au sujet de la mission.
97
Pour la détermination du seuil de signification, le praticien doit prendre en considération

et évaluer les facteurs qualitatifs et quantitatifs pouvant influencer les décisions à prendre
par les utilisateurs potentiels.
Le risque de la mission d’assurance est le risque que le praticien tire des conclusions
inappropriées lorsque l’information relative au sujet de la mission comporte des
anomalies significatives. Autrement dit le praticien a conclu par erreur que le sujet de la
mission d’assurance est conforme aux critères dans tous leurs aspects significatifs.
Dans le cas de l’évaluation du contrôle interne, le praticien exprime par erreur, qu’à son
avis, le contrôle interne de l’entité est efficace en se basant sur les critères du référentiel
COSO, dans tous leurs aspects significatifs.
c) Utilisation d’un travail d’un expert
Au cas où le praticien ait recours à un expert (pour des disciplines qui ne font pas partie
de ses compétences) pour la collecte et l’évaluation des éléments probants, tous les deux
doivent posséder les connaissances nécessaires concernant le sujet de la mission et les
critères nécessaires pour l’obtention de suffisamment d’éléments probants appropriés.
Dans notre cas, ça peut être un ingénieur informatique pour l’audit des contrôles
informatiques.
L’expert auquel a recours le praticien doit avoir suffisamment de maîtrise et de
compétence. Le praticien reste, cependant, le seul responsable de la mission d’assurance.
La force probante des conclusions ou éléments probants fournis par l’expert dépend de :
- la compétence, l’expérience et l’objectivité de l’expert

- le caractère raisonnable de la méthodologie de travail utilisée
- la cohérence des conclusions de l’expert par rapport, à ceux du praticien et aux
circonstances de la mission en générale
98
d) Nature, calendrier et étendu des procédures de collecte d’éléments probants
La nature, le calendrier et l’étendue des procédures de collecte d’éléments probant varient

d’une mission à une autre et dépendent du niveau de risque d’existence d’anomalie
importantes dans l’information relative au sujet de la mission, estimé au moment de la
prise de connaissance du sujet de la mission. En théorie il y a une infinité de procédures
susceptibles d’être mises en œuvre, en pratique ce n’est pas toujours évident.
Le praticien détermine la nature, le calendrier et l’étendue de ces procédures en vue de

collecter suffisamment d’éléments probants lui permettant d’atteindre une assurance
raisonnable concernant les conclusions à tirer.
Qu’il s’agisse d’une assurance raisonnable ou d’une assurance limitée, cela nécessite
l’application de techniques et de compétences relatives à l’assurance recherchée, ainsi
que la collecte de suffisamment d’éléments probants appropriés, dans le cadre d’un
processus lié à la mission, périodique et systématique, qui incluent la compréhension du
sujet de la mission.
3.3 Obtention d’éléments probants
Le praticien planifie et accomplit une mission d’assurance, avec une attitude critique,
pour obtenir suffisamment d’éléments probants appropriés, sur lesquels se baseront ses
conclusions.
Le praticien prend en considération le seuil de signification, le risque de la mission

d’assurance et la qualité et quantité des éléments probants disponibles, lors de la
planification et l’accomplissement de la mission, particulièrement au moment de la
détermination de la nature, du calendrier et de l’étendu des procédures de collecte des
éléments probants.
99
a) Affirmation de la partie responsable
Pour éviter tout désaccord ou mésentente, il est préférable que le praticien obtienne de la
partie responsable une « Lettre d’affirmation », précisant, qu’elle est et elle demeure la
partie responsable du sujet de la mission d’assurance, qu’elle a fourni tous les documents
nécessaires au praticien pour accomplir sa mission et qu’elle est garante de la fiabilité des
documents et informations qui lui ont été fournis.
En outre, le praticien doit obtenir, auprès de la partie responsable, des déclarations

concernant l’évaluation et la mesure du sujet de la mission par rapport aux critères
relevés. Ces déclarations doivent être confirmées par écrit pour éviter tout malentendu
entre le praticien et la partie responsable.
Les déclarations de la partie responsable peuvent être à l’origine de la collecte de certains

éléments probants, mais ne suffit pas à elles seules. Elles doivent être corroborées par
d’autres sources d’éléments probants.
b) Eléments probants suffisants et appropriés
« Suffisant » représente le critère de mesure de la quantité des éléments probant, alors

que, « approprié » représente le critère de mesure de leur qualité.
La quantité d’éléments probants requise dépend du risque que l’information relative au

sujet de la mission soit significativement erronée, ainsi que, de la qualité des éléments
probants collectés. Autrement dit, plus le risque d’erreur est important plus d’éléments
probants sont requis et plus les éléments probants sont de qualité plus le nombre requis
est inférieur.
Accomplir d’avantage de procédures destinées directement aux risques identifiés,

procéder à la combinaison de ; l’inspection, l’observation, la confirmation, contrôle
arithmétique, re-exécution, procédures analytiques et entretien. Ces procédures
100
comportent des contrôles substantifs, y compris les éléments collectés à partir de source
indépendante de l’entité, et selon la nature du sujet de la mission, des tests d’efficacité des
contrôles internes opérés.
Le principal critère de mesure de la qualité des éléments probants, c’est la fiabilité.

Celle-ci dépend de la nature des éléments probants recueillis et des sources desquels ils
sont obtenus. A titre d’exemple des éléments probants son plus fiables lorsqu’ils existent
en forme de document (document, fichier ou tout autre support) que communiqués
oralement et lorsqu’ils sont obtenus d’une source indépendante et externe qu’interne.
Le praticien tire plus d’assurance d’un élément probant obtenu de différentes sources et
de différentes natures. Cela lui permet de recouper entre ces différents éléments probants.
Si les éléments probants obtenus sont incohérents cela signifie qu’il doit ajouter des
procédures de collecte d’éléments probants supplémentaires pour corroborer ses
conclusions.
La quantité et qualité des éléments probants disponibles sont affectées par :
- Les caractéristiques du sujet de la mission et de l’information relative au sujet de la

mission. Exemple : moins d’éléments seront normalement collectés en cas
d’information prévisionnelle qu’en cas d’information historique.
- Rareté des éléments probants
- Date d’engagement du praticien
- Rétention de documents de la part de l’entité
- Restrictions imposées par la partie responsable
c) Prise en considération des événements postérieurs
Le praticien doit prendre en considération l’effet sur l’information relative au sujet de la

mission et sur le rapport d’expression d’assurance, des événements jusqu’à la date du
rapport.
101
Le degré de prise en considération des événements postérieurs dépend de la capacité d’un

tel événement d’influencer l’information relative au sujet de la mission et d’influencer les
conclusions du praticien.
Par analogie, le commissaire aux comptes doit être à l’affût de tout événement ou action
entreprise par l’entité postérieurement à la date de clôture de l’exercice et susceptible
d’avoir un impact sur son opinion sur le contrôle interne. En effet, conformément à
l’article 269 du CSC : « les commissaires aux comptes sont tenus de présenter leur
rapport dans le mois qui suit la communication qui leur est faite des états financiers de la
société ». L’évaluation générale du contrôle interne étant présentée dans le même
document que le rapport sur les comptes, le commissaire aux comptes doit au même titre
que les événements pouvant impacter les comptes de la société, prendre en considération
tout fait susceptible d’influer son avis sur l’efficacité du contrôle interne de l’entité.
d) Documentation
Le praticien doit documenter et fournir les preuves à l’appui des éléments qui lui ont
permis d’obtenir les éléments probants qui justifient ces conclusions figurant dans son
rapport d’expression d’assurance et qui justifient que la mission a été accomplie
conformément aux normes ISAE.
La documentation inclut les notes du praticien en conclusion d’éléments importants

demandant l’exercice de son jugement professionnel. Elle inclut tous les documents
relatifs aux travaux corroborant ses conclusions.
En effet, aussi bien son opinion sur les comptes de la société que celle sur l’efficacité du
contrôle interne, doivent être fondés sur des preuves tangibles et une méthodologie claire
et vraisemblable
102
3.4 Rapport d’assurance
Le praticien doit prendre en considération tous les éléments probants réunis, qu’ils
corroborent ou contredisent l’information relative au sujet de la mission.
Le praticien fournit un rapport écrit contenant les conclusions traduisant l’assurance

obtenue concernant l’information relative au sujet de la mission. Ces conclusions doivent
être clairement exprimées pour éviter tout malentendu ou incompréhension.
Dans le cas de « missions basées sur des affirmations » (Assertion-based engagement),

les conclusions du praticien peuvent être formulées de la manière suivante :
- En ce qui concerne les affirmations de la partie responsable. Exemple : A notre avis

l’affirmation donnée par la partie responsable que le contrôle interne est efficace
est présentée fidèlement, dans tous leurs aspects significatifs, sur la base des
critères XYZ. (En cas d’assurance de l’évaluation faite par les dirigeants)
- Directement en ce qui concerne le sujet de la mission et les critères. Exemple : A
notre avis le contrôle interne est efficace dans tous leurs aspects significatifs sur la
base des critères XYZ. (évaluation du contrôle interne directement par le praticien)
En cas de « mission d’information directe », les conclusions du praticien peuvent être

formulées directement en ce qui concerne le sujet de la mission et les critères.
Ces formes d’expressions positives d’opinion sont adoptées lorsqu’il s’agit d’assurance
raisonnable.
En cas d’assurance limitée, c’est la forme négative d’opinion qui est adoptée et qui prend
la forme suivante : « Conformément à nos travaux décrits dans ce rapport, nous pouvons
affirmer que rien n’a attiré notre attention, qui nous laisse croire que le contrôle interne
n’est pas efficace, dans tous leurs aspects significatifs, sur la base des critères XYZ ».
103
Lorsque l’opinion du praticien est autre que pure et simple, il doit présenter une
explication claire des raisons qui l’ont poussé à avoir cette opinion. Le praticien exprime
une opinion non favorable lorsque :
- Il y a limitation de l’étendue des travaux du praticien

- Lorsque la conclusion du praticien est formulée concernant les affirmations de la
partie responsable et ces affirmations ne sont pas fidèlement présentées dans tous
leurs aspects significatifs
- Lorsque les conclusions du praticien sont formulées directement concernant le sujet
de la mission et les critères et les informations relatives au sujet de l’engagement
sont significativement erronées (incorrectement présentées)
- Lorsque le praticien a découvert après l’acceptation de la mission que les critères
et/ou le sujet sont inappropriés par rapport à la mission d’assurance.
Dans tous les cas, si le praticien juge que l’effet de l’anomalie ou de la limitation relevé
n’est pas tellement significatif pour émettre un avis défavorable ou une limitation, il
exprimera dans ce cas une opinion favorable assortie de réserve.
§ 2 : Evaluation du contrôle interne intégrée à la mission d’audit des

comptes (ISA 315 et ISA 330)
Les normes ISA étant établies en totalité dans le contexte de l’audit de l’information
financière, l’ISA 315 intitulée : « connaissance de l’entité et de son environnement et
évaluation du risque d’anomalie significative » ne s’écarte pas de ce cadre, puisqu’elle
« requiert que l’auditeur procède à l’évaluation des risques au niveau des états financiers
et des assertions sous-tendant leur établissement, basée sur une connaissance appropriée
de l’entité et de son environnement, y compris de son contrôle interne ».
Par conséquent, la norme ISA 315 organise les étapes préliminaires de l’intervention de
l’auditeur. Elle permet au professionnel d’acquérir la connaissance des aspects
spécifiques de l’entité et de son environnement, ainsi que les composantes de son contrôle
104
interne, afin d’identifier et d’évaluer le risque d’anomalie significative au niveau des états
financiers.
A partir de là, c’est plutôt l’obligation, prévue par l’article 266 du CSC tel que modifiée
par la loi n°2005-65, de vérifier périodiquement l'efficacité du système de contrôle
interne, qui est concernée par les dispositions de la norme ISA 315.
D’après l’ISA 315, la prise de connaissance du contrôle interne et de ces composantes fait
partie de la connaissance de l’entité et de son environnement, qui constitue une étape
nécessaire et précédant la planification de la mission d’audit de l’information financière.
En revanche les tests sur le fonctionnement effectif des contrôles sont décrits en détail par
la Norme ISA 330 intitulée « Procédures à mettre en œuvre par l’auditeur en fonction de
son évaluation des risques ».
1) Prise de connaissance de l’entité ou procédure d’évaluation des risques
D’après l’ISA 315 et « comme décrit dans la Norme ISA 500, les procédures d’audit
destinées à acquérir la connaissance de l’entité, sont désignées sous le terme «procédures
d’évaluation des risques » car une partie de l’information obtenue en mettant en oeuvre
de telles procédures peut être utilisée par l’auditeur comme éléments probants pour
conforter l’évaluation du risque d’anomalies significatives. En outre, en mettant en
oeuvre des procédures d’évaluation des risques, l’auditeur peut recueillir des éléments
probants tant au sujet des flux de transactions, des soldes de comptes ou des informations
fournies dans les états financiers et des assertions correspondantes, qu’au niveau de
l’efficacité des contrôles internes opérés, bien que de telles procédures d’audit n’aient pas
été spécifiquement planifiées en tant que contrôles de substance ou comme tests de
procédures du contrôle interne ».
Il s’agit en fait d’un recensement des risques encourus ou que peut encourir l’entité et qui
pourront engendrer des anomalies significatives au niveau des états financiers
105
Les principales catégories de procédures d’évaluation des risques à mettre en œuvre par
l’auditeur dans le but d’acquérir la connaissance de l’entité et de son environnement, y
compris de son contrôle interne, sont :
- les demandes d’informations auprès de la direction et d’autres personnes au sein

de l’entité,
- les procédures analytiques,
- les observations physiques et l’inspection.
La connaissance qu’a l’auditeur de l’entité et de son environnement consiste en la prise

de connaissance des caractéristiques suivantes :
- secteur d’activité, environnement réglementaire et autres facteurs externes, y

compris le référentiel comptable applicable,
- nature de l’entité, y compris le choix et l’application des principes comptables
retenus par celle-ci,
- objectifs, stratégies et risques qui leur sont liés et qui peuvent avoir comme
conséquence une anomalie significative dans les états financiers,
- mesure et analyse des performances financières de l’entité,
- contrôle interne.
Concrètement, l’auditeur procède à une large enquête de tous les aspects qui concernent
l’entité, qu’ils soient liés à son fonctionnement ou à son environnement. Au fur et à
mesure du déroulement de cette enquête, l’auditeur décèle et identifie les risques
d’anomalies significatives relatives à l’élaboration de l’information financière. Après
avoir procédé au recensement de tous ces risques, l’auditeur procédera à l’évaluation du
système de contrôle interne mis en place par l’entité pour maîtriser ces risques. Par
conséquent, la préoccupation principale de l’auditeur est de comprendre dans quelle
mesure, et de quelle manière, un contrôle particulier prévient, ou détecte et corrige, des
anomalies significatives dans les flux d’opérations, dans les soldes de comptes ou dans
106
les informations fournies dans les états financiers, ainsi que dans les assertions
afférentes.42
Les contrôles mis en place par l’entité concourent à la réalisation des objectifs de contrôle
généraux, à savoir, la fiabilité de l’information financière, l’efficacité et l’efficience des
opérations et la conformité aux lois et réglementations en vigueur. Les contrôles
pertinents pour l’auditeur, sont ceux mis en place par l’entité en vue de maîtriser les
risques pouvant affecter la réalisation de l’objectif de l’entité de présenter des états
financiers destinés à des tiers, donnant une image fidèle, conformément au référentiel
applicable.
Chaque entité dispose, bien évidemment, de contrôles relatifs à des objectifs, qui ne sont
pas pertinents pour l’audit et ne sont donc pas à prendre en considération. Par exemple,
une entité peut se reposer sur un système sophistiqué de contrôle informatisé permettant
d’optimiser l’efficience et l’efficacité des opérations (tel que le système de contrôle
informatisé d’une compagnie aérienne pour respecter les horaires de vol), mais ces
contrôles ne sont généralement pas pertinents pour l’audit.
Les contrôles relatifs à des opérations ou à des objectifs de conformité peuvent,

cependant, être pertinents pour l’audit lorsqu’ils concernent des données que l’auditeur
évalue ou utilise dans la mise en oeuvre des procédures d’audit. Des contrôles qui
s’avèrent pertinents pour l’audit sont par exemple :
- des contrôles relatifs à des données non financières que l’auditeur utilise dans ses
procédures analytiques, telles que des statistiques de production; ou
- des contrôles portant sur la détection du non-respect des textes législatifs ou
réglementaires qui peuvent avoir une incidence directe et significative sur les
comptes, tels que des contrôles relatifs au respect des dispositions fiscales,
réglementaires et applicables pour la détermination de la provision pour impôt sur
les bénéfices.
42
importantes » IFAC 2004. p 19
107
La prise de connaissance du contrôle interne implique l’évaluation de la conception d’un

contrôle et la vérification de sa mise en application, à travers l’analyse de chaque
composante du contrôle interne. L’évaluation de la conception d’un contrôle implique de
considérer si ce contrôle, seul ou combiné avec d’autres, est capable de prévenir
efficacement ou de détecter puis de corriger, des anomalies significatives. La mise en
application d’un contrôle signifie que le contrôle existe et que l’entité l’applique.
L’auditeur examine la conception d’un contrôle pour déterminer s’il doit vérifier sa mise
en application. Un contrôle conçu de manière inappropriée peut constituer une faiblesse
majeure dans le contrôle interne de l’entité et la vérification de sa mise en application
devient par conséquent inutile.
La prise de connaissance des contrôles mis en place dans une entité n’est pas suffisante
pour tester l’efficacité opérationnelle de ces contrôles. En effet, la mise en application
d’un contrôle à un moment précis n’apporte pas d’éléments probants quant à l’efficacité
de l’exécution du contrôle à des moments différents au cours de la période auditée. Pour
vérifier la permanence de l’application des contrôles conçus par l’entité, les tests sur le
fonctionnement effectif des contrôles décrits dans la norme ISA 330, sont nécessaires.
2) Vérification du fonctionnement effectif des contrôles
L’objectif recherché par l’auditeur à travers l’évaluation du système de contrôle interne,

c’est de s’assurer si les risques d’anomalies significatives relevés sont suffisamment
maîtrisés par les contrôles mis en place par l’entité.
Pour parvenir à ses fins, l’auditeur a procédé, dans un premier temps, lors de la phase de
prise de connaissance de l’entité, à l’évaluation de la conception des contrôles et de la
vérification de leur mise en application. Cependant pour affirmer qu’une anomalie est
suffisamment maîtrisée, il ne suffit pas que le contrôle correspondant soit bien conçu et
réellement appliqué par l’entité, il faut aussi qu’il fonctionne efficacement et d’une
manière permanente tout au long de la période auditée.
108
Ainsi, ces risques d’anomalies, pouvant engendrer des erreurs ou des inexactitudes
importantes au niveau de l’information financière produite par l’entité, sont réduit à un
niveau acceptable par l’auditeur, compte tenu, évidemment, du seuil de signification
auparavant déterminé.
L’ISA 330 intitulée « Procédures à mettre en œuvre par l’auditeur en fonction de son
évaluation des risques », dont l’objet est de définir des procédures et des principes
fondamentaux et de préciser leurs modalités d’application relatives à la définition de
réponses globales et de procédures d’audit complémentaires à mettre en oeuvre en
fonction de l’évaluation du risque d’anomalies significatives au niveau des états
financiers et des assertions dans le cadre de l’audit des états financiers, traite des
procédures d’audit complémentaires à définir et à mettre en œuvre par l’auditeur, y
compris des tests portant sur l’efficacité du fonctionnement des contrôles.
Ces tests portant sur l’efficacité du fonctionnement des contrôles, appelés dans la norme
ISA 330 « tests de procédures », sont mis en œuvre par l’auditeur pour recueillir des
éléments probants suffisants et appropriés montrant que les contrôles fonctionnaient
efficacement au moment opportun au cours de la période auditée. En effet, en vue de
réduire le risque d’anomalie significative se rattachant à la production de l’information
financière, relevé par le professionnel au cours de la phase de prise de connaissance de
l’entité, à un niveau faible acceptable, le professionnel doit s’assurer de la permanence du
fonctionnement efficace des contrôle dont il a vérifié la bonne conception auparavant
En outre, l’auditeur peut se trouver dans l’impossibilité de concevoir des contrôles de

substance efficaces qui fournissent par eux-mêmes des éléments probants suffisants et
appropriés au niveau des assertions, c’est le cas par exemple, lorsqu’une entité conduit
son activité en utilisant un système informatique et qu’aucune documentation des
opérations n’est produite ou conservée autrement que par le système informatique. Pour
pallier à ce fait, l’auditeur doit réaliser des tests sur les contrôles pour recueillir des
éléments probants quant à l’efficacité de leur fonctionnement.
109
Outre la permanence de l’application des procédures de contrôle interne sur toute la durée
de l’exercice, l’auditeur doit s’assurer de la constance du respect de ces procédures dans
le temps, c’est dire au fil des exercices. A ce sujet, deux cas de figure peuvent se
présenter : soit le contrôle qui été testé durant le précèdent exercice a connu des
changements, soit il est resté le même. Les diligences à accomplir par le professionnel
diffèrent selon le cas.
Conformément au paragraphe 40 de l’ISA 330, si l’auditeur prévoit de s’appuyer sur des

contrôles qui ont changé depuis qu’ils ont été testés pour la dernière fois, il doit en tester
l’efficacité de fonctionnement lors de l’audit en cours. Par contre, le paragraphe 41 de
l’ISA 330 prévoit que l’efficacité de ces contrôles doit être testée au moins une fois tous
les trois audits en cas où ils sont restés inchangés.
Cependant, l’ISA 330 précise bien que la décision de l’auditeur de s’appuyer ou non sur
des éléments probants recueillis lors d’audits précédents pour d’autres contrôles est une
question de jugement professionnel. De plus la durée de la période pouvant s’écouler
avant de re-tester ces contrôles est aussi une question de jugement professionnel, mais ne
peut excéder deux ans. En effet, la durée de la période pouvant s’écouler avant de re-
tester un contrôle dépend des éléments suivants :
- l’efficacité des autres éléments de contrôle, y compris l’environnement de contrôle,

le suivi effectué par l’entité elle-même sur ses contrôles, et le processus
d’évaluation du risque par l’entité,
- les risques provenant des caractéristiques du contrôle, notamment si ce contrôle est
manuel ou automatisé,
- l’efficacité des contrôles généraux sur le système informatique,
- l’efficacité du contrôle et son application par l’entité, notamment la nature et
l’étendu des déviations constatées dans l’application des contrôle lors des tests
d’efficacité du fonctionnement lors des audits précédents.
110
De même, lorsque le professionnel estime qu’un risque identifié d’anomalies

significatives au niveau d’une assertion est significatif, il doit tester le fonctionnement des
contrôles relatifs chaque exercice.
On voit bien, que dans le cadre de l’audit des comptes, l’évaluation du système de
contrôle interne est réalisée par l’auditeur, dans le seul et unique but de réduire, à un
niveau faible acceptable, le risque d’anomalies significatives pouvant engendrer des
erreurs et des inexactitudes importantes au niveau des états financiers. L’efficacité du
contrôle interne, en tant que processus organisant le fonctionnement de l’entité,
garantissant sa conformité aux règles établis, et permettant de produire des informations,
financières et non financière, de qualité, ne l’intéresse pas plus que ça du moment que ça
lui permet pas de collecter des éléments probants quant à la régularité et la sincérité des
états financiers élaborés par l’entité.
Section 2 : Normes du PCAOB
§ 1 : Apport des normes du PCAOB en matière d’évaluation du contrôle

interne
Le Public Company Accounting Oversight Board (PCAOB) est un organisme de

supervision comptable institué par la loi Sarbanes-Oxley. Il a pour mission :
- de créer des normes et des règles comptables (règle d’indépendance, de contrôle,

d’éthique et de qualité),
- de veiller au respect du SOX, des règles du PCAOB, des normes professionnelles,
ainsi que des lois boursières concernant les activités d’audit,
- d’enregistrer les auditeurs des sociétés cotées et d’inspecter les cabinets d’audit
enregistrés
111
Le PCAOB dispose du pouvoir de sanctionner les auditeurs dans les deux cas suivants :
non-respect des dispositions financières et comptables et défaut de supervision.43
L’AS2, première norme publiée par le PCAOB, établit des exigences et fournit des
indications qui s’appliquent lorsque l’auditeur a pour mission de vérifier à la fois les états
financiers d’une entité et l’efficacité du contrôle interne à l’égard de l’information
financière. Cette norme a été élaborée dans le but d’organiser et standardiser les nouvelles
obligations à la charge des auditeurs américains prévues par la section 404 du SOX.
Le PCAOB considère que l’audit du contrôle interne à l’égard de l’information financière

s’entend d’une mission qui comprend à la fois l’attestation par l’auditeur de
l’appréciation, faite par la direction, de l’efficacité du contrôle interne à l’égard de
l’information financière et l’appréciation, faite par l’auditeur lui-même, de l’efficacité de
ce contrôle interne.
Afin de disposer d’une base lui permettant d’exprimer les opinions requises dans le cadre
de cette évaluation du contrôle interne à l’égard de l’information financière, l’auditeur
doit planifier et exécuter la mission de façon à obtenir l’assurance raisonnable que l’entité
maintenait, à tous les égards importants, un contrôle interne efficace à l’égard de
l’information financière à la date spécifiée dans l’appréciation de la direction.44
Le maintien d’un contrôle interne efficace à l’égard de l’information financière se traduit

par l’absence de faiblesse importante. Par conséquent, l’objectif de la vérification du
contrôle interne à l’égard de l’information financière est d’obtenir une assurance
raisonnable quant à l’absence de faiblesse importante durant la période couverte par
l’appréciation faite par la direction.45
43
Pierre-Yves Fagot « Une Sarbanes-Oxley à la française » L’informatique professionnel, mai 2005
44
The Auditing Standard No. 2 « An Audit of Internal Control over Financial Reporting Performed in Conjunction
with an Audit of Financial Statements » the Public Company Accounting Oversight Board, mars 2004
45
« Vérification du contrôle interne à l’égard de l’information financière effectuée conjointement avec une
vérification d’états financiers – version soumise au vote » Les Autorités canadiennes en valeurs mobilières (ACVM),
avril 2005
112
Pour obtenir cette assurance raisonnable, l’auditeur évalue l’appréciation faite par la
direction, et il réunit et évalue des éléments probants afin de déterminer si le contrôle
interne à l’égard de l’information financière a été conçu et mis en application de façon
efficace. L’auditeur peut obtenir ces éléments probants de diverses sources, notamment
en utilisant le travail effectué par des tiers et en mettant en oeuvre lui-même des procédés
d’audit qu’il juge adéquats.
L’AS2 a précisé trois degrés de défaillances au niveau d’un système de contrôle interne à
l’égard de l’information financière ; le premier c’est la déficience du contrôle, le second
c’est la déficience significative et le dernier c’est la faiblesse importante.
Il y a déficience du contrôle lorsque la conception ou le fonctionnement d’un contrôle ne

permet pas à la direction ou au personnel, dans l’exécution normale des fonctions qui leur
sont assignées, de prévenir ou de détecter les inexactitudes en temps opportun.
Il y a déficience dans la conception :
- soit lorsqu’un contrôle nécessaire à l’atteinte d’un objectif de contrôle est absent,
- soit lorsqu’un contrôle existant n’a pas été conçu adéquatement, de sorte que
même si le contrôle fonctionne comme prévu, l’objectif de contrôle n’est pas
nécessairement atteint.
Il y a déficience dans le fonctionnement lorsqu’un contrôle conçu adéquatement ne

fonctionne pas comme prévu, ou lorsque la personne qui applique le contrôle ne possède
pas l’autorité ou les qualifications nécessaires pour le faire efficacement.
Une déficience significative s’entend d’une déficience du contrôle, ou d’une combinaison

de déficiences du contrôle, ayant une incidence négative sur la capacité de l’entité de
générer, d’autoriser, d’enregistrer, de traiter ou de communiquer des informations
financières à usage externe de façon fiable selon les principes comptables généralement
reconnus. Cette incidence est telle qu’il n’est pas très improbable (probable ou
113
raisonnablement possible) qu’une inexactitude qui n’est pas sans conséquence dans les
états financiers annuels ou intermédiaires ne soit pas détectée ou prévenue.46
Une faiblesse importante s’entend d’une déficience significative, ou d’une combinaison

de déficiences significatives, faisant en sorte qu’il ne soit pas très improbable (probable
ou raisonnablement possible) qu’une inexactitude importante dans les états financiers
annuels ou intermédiaires ne soit pas détectée ou prévenue.
L’AS2 s’est largement inspirée de la norme 3000 révisée publiée par l’IAASB le 23
janvier 2004. En effet, cette norme traite, pratiquement, d’une missions d’assurance dont
l’évaluation ou la mesure du sujet de la mission est réalisée par la partie responsable et
l’information relative au sujet de la mission a la forme d’une affirmation de la part de la
partie responsable, à savoir, l’évaluation faite par la direction de l’efficacité du système
de contrôle interne. Cette mission est appelée « mission d’assurance basée sur des
affirmations ».
Les éléments composant cette mission d’assurance, relative à l’attestation de l’évaluation,

faite par la direction, de l’efficacité du contrôle interne à l’égard de l’information
financière, sont :
- Le sujet de la mission d’assurance : l’efficacité du contrôle interne à l’égard de

l’information financière de l’entité
- L’information relative au sujet de la mission d’assurance : l’évaluation de
l’efficacité du contrôle interne à l’égard de l’information financière faite par la
direction de l’entité
- Les critères d’évaluation : le référentiel en matière de contrôle interne jugé
adéquat de la part de l’entité. Cependant l’AS2 a recommandé le référentiel COSO
- La partie responsable : la direction de l’entité
- Le praticien : l’auditeur externe de l’entité
- Les utilisateurs potentiels : les actionnaires et les différents partenaires
économiques de l’entité
46
avril 2005
114
Au même titre que l’ISAE 3000, l’AS2 prévoit, de la part de l’auditeur, la nécessité de
passer par une phase préliminaire, comprenant : un recensement des risques pouvant avoir
une incidence sur le procédé d’établissement de l’information financière, suivi par une
identification des contrôles mis en place par l’entité pour maîtriser ces risques. Il doit
dans le cadre de la planification de son intervention former un jugement préliminaire sur
le seuil d’importance relative, les risques et d’autres facteurs liés à la détermination d’une
faiblesse importante et prendre connaissance du processus auquel la direction a recours
pour apprécier l’efficacité du contrôle interne à l’égard de l’information financière de
l’entité en se fondant sur des critères de contrôle.
En outre, le praticien doit procéder à l’évaluation du caractère approprié des critères

utilisés pour évaluer ou mesurer le sujet de la mission. A ce sujet l’AS2 précise que : « La
direction doit fonder son appréciation de l’efficacité du contrôle interne à l’égard de
l’information financière de l’entité sur un cadre de contrôle approprié et reconnu, établi
par un groupe d’experts suivant une procédure officielle qui comprend la diffusion
générale du cadre proposé afin de recueillir les commentaires du public à son sujet.
En plus d’être accessible aux utilisateurs des rapports de la direction, un cadre n’est
approprié que lorsque les conditions suivantes sont réunies :
- il est exempt de parti pris;

- il permet d’effectuer une évaluation qualitative et quantitative, d’une manière
raisonnablement uniforme, du contrôle interne à l’égard de l’information
financière d’une entité;
- il est suffisamment complet et n’omet pas les facteurs pertinents qui seraient
susceptibles de modifier une conclusion tirée quant à l’efficacité du contrôle
interne à l’égard de l’information financière d’une entité;
- il est pertinent pour l’évaluation du contrôle interne à l’égard de l’information
financière;
- il est compréhensible et n’est pas susceptible de faire l’objet d’interprétations
significativement divergentes de la part des utilisateurs prévus. »
115
A ce titre, le PCAOB a rejoint la SEC en adoptant le référentiel du Committee of

Sponsoring Organizations (COSO), comme cadre de référence en matière d’évaluation de
l’efficacité du contrôle interne.
L’auditeur doit acquérir une compréhension de la conception de contrôles spécifiques.

L’auditeur acquiert une telle compréhension par la mise en oeuvre de procédés tels que
les suivants :
- la prise de renseignements auprès des membres appropriés de la direction, du

personnel de supervision et du personnel fonctionnel
- l’inspection de documents de l’entité;
- l’observation de l’application de contrôles spécifiques;
- le suivi du cheminement d’opérations à travers le système d’information pertinent
pour l’information financière.
Le vérificateur doit acquérir une compréhension de la conception des contrôles relatifs à

chacune des composantes du contrôle interne à l’égard de l’information financière.
Selon l’AS2, étant donné l’importance que peuvent revêtir les informations obtenues au
cours de la vérification des états financiers pour l’auditeur lorsqu’il tire des conclusions
sur l’efficacité du contrôle interne à l’égard de l’information financière, celui-ci ne peut
pas exécuter une vérification du contrôle interne à l’égard de l’information financière
sans vérifier aussi les états financiers.
En effet, le processus d’évaluation préconisé par la norme commence par la

détermination des comptes significatifs en évaluant les facteurs qualitatifs et quantitatifs
qui y sont rattachés, puis par la détermination des assertions pertinentes contenues dans
les états financiers en établissant la source des inexactitudes potentielles susceptibles de
toucher chacun de ces comptes significatifs, et enfin, par la détermination de tous les
processus significatifs pour chacune des grandes catégories d’opérations touchant des
comptes ou groupes de comptes significatifs.
116
La norme exige de la part de l’auditeur « d’exécuter au moins un test de cheminement

pour chaque grande catégorie d’opérations. Dans un test de cheminement, l’auditeur suit
une opération dans les systèmes d’information de l’entité, de son origine jusqu’aux
rapports financiers dans lesquels elle est présentée. Les tests de cheminement fournissent
au vérificateur des éléments probants pour :
- confirmer sa compréhension du déroulement des opérations;

- confirmer sa compréhension de la conception des contrôles recensés pour les cinq
composantes du contrôle interne à l’égard de l’information financière, y compris
ceux qui ont trait à la prévention ou à la détection des fraudes;
- confirmer que sa compréhension du processus est complète, car ils permettent
d’évaluer si tous les points du processus où une inexactitude pourrait survenir ont
été recensés relativement à chacune des assertions pertinentes contenues dans les
états financiers;
- évaluer l’efficacité de la conception des contrôles;
- confirmer la mise en oeuvre des contrôles.
Souvent, l’auditeur peut procéder simultanément à l’acquisition d’une compréhension du

cheminement des opérations, au recensement des contrôles, à l’acquisition d’une
compréhension de ceux-ci et aux tests de cheminement. »
En quelque sorte le test de cheminement, représente l’étape qui clôture la phase de prise
de connaissance et de planification et qui prépare la phase de réalisation des tests de
contrôle de la part de l’auditeur.
Lors de la réalisation des tests, l’objectif recherché par l’auditeur est de réunir des
éléments probants de l’efficacité des contrôles pour toutes les assertions pertinentes
relatives à chaque compte significatif et à chaque information significative contenus dans
les états financiers
117
A l’image de l’ISA 315 et l’ISA 330 développés par le paragraphe 2 du chapitre

précédent, ces tests concerneront ; la conception et le fonctionnement de ces contrôles.
Qu’elles soient de prévention, de détection ou une combinaison des deux.
L’auditeur évalue, par test, l’efficacité de la conception des contrôles pour déterminer si
l’entité dispose de contrôles qui permettent d’atteindre les objectifs des critères de
contrôle, pour cela l’auditeur doit avoir recours à des procédés qui comprennent la prise
de renseignements, l’observation, les tests de cheminement, l’inspection de la
documentation pertinente, ainsi qu’une évaluation portant spécifiquement sur la question
de savoir si les contrôles, lorsqu’ils sont appliqués comme prévu par des personnes ayant
des qualifications appropriées, peuvent vraisemblablement prévenir ou détecter les
erreurs ou les fraudes qui pourraient aboutir à des inexactitudes.
L’auditeur évalue, par test, l’efficacité du fonctionnement d’un contrôle en déterminant si

le contrôle fonctionne comme prévu et si la personne qui l’exerce possède l’autorité et les
qualifications nécessaires pour le mettre en oeuvre efficacement. L’évaluation de
l’efficacité du fonctionnement d’un contrôle, comprend concrètement, la vérification de
l’application et du respect des contrôles préalablement conçus par l’entité et évalué par
l’auditeur et la vérification de la permanence de l’application de ces contrôles durant la
période couverte par le rapport de l’auditeur.
Les tests des contrôles mis en oeuvre par l’auditeur à l’égard de l’efficacité du
fonctionnement doivent comprendre une combinaison des procédés suivants : prise de
renseignements auprès du personnel approprié, inspection de la documentation pertinente,
observation des activités de l’entité et reprise de l’application du contrôle. Ils doivent être
effectués sur une période de temps adéquate pour lui permettre de déterminer si, à la date
spécifiée dans le rapport de la direction, les contrôles nécessaires à l’atteinte des objectifs
des critères de contrôle fonctionnaient efficacement.47
47
with an Audit of Financial Statements » the Public Company Accounting Oversight Board, mars 2004
118
En outre, conformément à la section 404 du SOX, l’auditeur doit attester l’évaluation du

contrôle interne réalisée par la direction et présentée dans son rapport annuel de gestion.
Dans ce cadre, la PCAOB recommande à l’auditeur de juger essentiellement ; si la
direction a déclaré clairement sa responsabilité à l’égard de l’établissement et du maintien
d’un contrôle interne adéquat à l’égard de l’information financière, si elle a utilisé un
cadre approprié pour mener son évaluation, tel que le cadre présenté par le COSO par
exemple, et si l’appréciation, faite par la direction, de l’efficacité du contrôle interne à
l’égard de l’information financière à la date de clôture du dernier exercice de l’entité, est
exempte d’inexactitude importante.
Sur la base des éléments probants réunis au cours des différentes phases constituant son
intervention, à savoir ; la compréhension de l’entité, de son environnement et de son
système de contrôle interne, l’évaluation de la conception des contrôles, l’évaluation du
fonctionnement des contrôles et l’attestation de l’évaluation de l’efficacité du contrôle
interne réalisée par la direction, l’auditeur formera son opinion sur l’efficacité du contrôle
interne à l’égard de l’information financière de l’entité.
Pour former son opinion, l’auditeur doit évaluer les déficiences du contrôle qui ont été
détectées et déterminer si elles constituent, prises individuellement ou combinées avec
d’autres, des déficiences significatives ou des faiblesses importantes, puisque qu’il ne doit
exprimer une opinion sans réserve que lorsque aucune faiblesse importante n’a été
relevée.
119
L’évaluation du caractère significatif d’une déficience doit comporter tant des facteurs
qualitatifs que quantitatifs. L’auditeur doit juger du caractère significatif d’une déficience
du contrôle interne à l’égard de l’information financière en déterminant d’abord les
éléments suivants :
- la probabilité que la déficience, seule ou en combinaison avec d’autres, puisse

aboutir à une inexactitude dans un solde de compte ou une information;
- l’ampleur de l’inexactitude potentielle résultant de la déficience ou des
déficiences.
En conclusion, l’auditeur émet un avis défavorable concernant l’efficacité du contrôle

interne à l’égard de l’information financière lorsqu’il relève une faiblesse importante ou
lorsqu’il y a eu limitation de ces travaux. Le passage de l’opinion avec réserve au refus ou
l’impossibilité d’exprimer une opinion dépend de l’ampleur de la faiblesse relevée ou de
la limitation rencontrée. 48
§ 2 : Adéquation des normes internationales avec le cadre tunisien
Après avoir effectué une revue des principales normes, disponibles sur le plan
international, en matière d’évaluation de contrôle interne, il y a lieu d’analyser leurs
degrés d’applicabilité et d’adéquation au contexte tunisien.
A l’image de l’obligation, à la charge du commissaire aux comptes tunisien, apportée par

l’article 15 de la loi 2005-96, chacune des normes précédemment présentées ; a son
propre cadre réglementaire, est élaboré pour un environnement économique bien
déterminé et concourt à la réalisation d’objectifs bien définis. Ceci entraîne, forcément,
des inadéquations et des incompatibilités par rapport au contexte tunisien.
48
avril 2005. p 58
120
En outre, la loi tunisienne n°2005-96 relative au renforcement de la sécurité des relations

financières ne prévoit pas l’élaboration de norme, tenant compte des spécificités
tunisienne, organisant l’obligation incombant aux commissaires aux comptes d’évaluer
l’efficacité du système de contrôle interne. Elle ne prévoit pas non plus un cadre de
référence en matière de contrôle interne.
Pour pallier à ces lacunes entourant l’application de cette nouvelle obligation à sa charge,
le commissaire aux comptes devra s’inspirer de la normalisation en la matière disponible
sur le plan internationale. Pour cela, il est essentiel d’identifier les inadéquations et
incompatibilités de ces normes avec le contexte tunisien, pour pouvoir les adapter et
permettre par conséquent aux professionnels de s’acquitter de leur nouvelle mission dans
les meilleures conditions.
1) Champ d’intervention
Le premier point de discorde a trait au champ d’application. En effet, l’article 15 de la loi

2005-96, parle d’« évaluation générale du contrôle interne » sans préciser s’il s’agit de la
totalité du système de contrôle interne ou uniquement celui à l’égard de l’information
financière.
Les législateurs américains et français, précisent clairement et sans équivoque que

l’intervention de l’auditeur externe couvre uniquement le contrôle interne relatif à
l'élaboration et au traitement de l'information comptable et financière, d’ailleurs la norme
AS2 publiée par le PCAOB traite, comme l’indique son titre, de « L’audit du contrôle
états financiers ». Le législateur tunisien ne l’a pas fait laissant planer le doute sur le
champ d’intervention du commissaire aux comptes.
Cependant, le fait de charger le commissaire aux comptes lui-même de réaliser cette

mission et de lui demander de présenter cette évaluation générale dans son rapport
général sur les comptes et pas dans un rapport distinct, nous emmène à pencher vers un
121
champ d’intervention couvrant uniquement le contrôle interne à l’égard de l’information

financière.
Ceci dit, tant que le législateur n’a pas adopté une position précise à ce sujet, à travers un
texte de loi ou une doctrine administrative, il restera sujet à interprétation de la part des
différents intervenants et particulièrement de la part des professionnels.
2) Implication des organes de la société dans le processus d’évaluation du contrôle

interne
Aussi bien la législation française que tunisienne, est restée timide à ce sujet, seul le SOX
américain a fortement impliqué les organes de la société dans le processus d’évaluation
du contrôle interne à l’égard de l’information financière de l’entité.
L’article 117 de la LSF française, prévoit un simple compte rendu des procédures de
contrôle interne mises en place par la société à préparer par le président du conseil
d’administration ou de surveillance. L’article 15 de la loi 2005-96, relative au
renforcement de la sécurité des relations financières, prévoit à son tour, que le rapport
annuel sur la gestion de la société doit comporter des éléments sur le contrôle interne,
sans préciser le contenu et les modalités de préparation de cette information à fournir par
le conseil d’administration.
Le SOX américain a par contre prévu à la charge du directeur financier et du directeur

général l’obligation d’évaluer l’efficacité du contrôle interne à l’égard de l’information
financière. Celle évaluation sera attestée par l’auditeur externe de l’entité. L’AS2 a été
élaborée par le PCAOB en vue de normaliser et d’organiser cette nouvelle mission à
réaliser par l’auditeur externe.
122
Quoique, l’AS2 considère que dans le cadre de l’audit du contrôle interne l’auditeur doit
évaluer lui-même l’efficacité du contrôle interne à l’égard de l’information financière,
une large partie de la norme traite de l’évaluation du contrôle interne à l’égard de
l’information financière effectuée par la direction et de la procédure à suivre par
l’auditeur pour vérifier le bien fondé de celle-ci.
En outre, l’opinion de l’auditeur porte sur l’efficacité du contrôle interne à l’égard de

l’information financière, ainsi que sur l’appréciation, faite par la direction, de l’efficacité
du contrôle interne à l’égard de l’information financière.
Cet aspect relatif à l’évaluation de l’efficacité du contrôle interne à l’égard de

l’information financière, est spécifique au contexte juridique des Etats-Unis d’Amérique
et non applicable en Tunisie. Par conséquent, tout ce qui a trait à cet aspect dans l’AS2,
ne pourra pas être retenu pour l’organisation de la mission d’évaluation du contrôle
interne à la charge du commissaire aux comptes tunisien.
3) Différence des objectifs recherchés par les normes d’audit et ceux de la nouvelle
mission du commissaire aux comptes prévue par la loi 2005-96
Les normes ISA 315 et 330, comme la totalité des normes internationales d’audit
s’appliquent aux missions d’audit d’information financière historique. Elles sont, par
conséquent, élaborées dans le but de permettre à l’auditeur d’émettre une opinion
concernant la fiabilité de l’information financière produite par l’entité. L’évaluation du
système de contrôle interne lié à l’établissement de l’information financière constitue,
donc, une étape du processus d’audit des états financiers de l’entité, au cours de laquelle
l’auditeur cherche à savoir s’il pourra se baser sur le contrôle interne pour l’audit de
certains comptes et déterminera en conséquence, la nature, le calendrier et l’étendue des
tests substantifs qu’il aura à réaliser sur les comptes.
123
En outre, pour les normes ISA la seule opinion à exprimer par l’auditeur, c’est celle
relative aux états financiers de l’entité. Il n’a pas à exprimer d’opinion sur le contrôle
interne de l’entité.
L’article 15 de la loi 2005-96, a demandé aux professionnels de présenter annuellement

dans leur rapport général une évaluation générale du contrôle interne. Une opinion est,
par conséquent, exigée concernant l’efficacité de celui-ci. Il est vrai que le fait de charger
le commissaire aux comptes de l’entité, et non un autre professionnel, de cette mission, le
met dans une situation telle qu’il a tendance d’émettre un avis sur l’efficacité du contrôle
interne sur la base des procédures d’audit qu’il a l’habitude de réaliser dans le cadre de
l’audit des comptes.
En adoptant ce comportement le professionnel risque de commettre une grave erreur, car,

exprimer une opinion sur l’efficacité du contrôle interne fait augmenter sa responsabilité
vis-à-vis des différents partenaires économiques de l’entité. C’est différent d’une simple
étape d’audit. Son champ d’application est beaucoup plus vaste, puisque tous les aspects
relatifs au contrôle interne doivent être examinés.
Malgré tout, la nature des procédures d’audit et l’approche générale prévue par l’ISA 315
et l’ISA 330 peuvent, en grande partie, être maintenues par l’auditeur pour l’évaluation de
l’efficacité du contrôle interne, c’est l’étendus et le calendrier de son intervention qu’il
devra adapter.
On peut conclure, que pour s’acquitter de sa mission d’évaluation de l’efficacité du

contrôle interne, le commissaire aux comptes devra, désormais, s’inspirer de toutes ces
normes, en retenant de chacune ce qui s’adapte le mieux avec le contexte tunisien. Il
devra, à notre avis, suivre la démarche proposée par de l’ISAE 3000, traitant des missions
d’expression d’assurance autres que l’audit ou l’examen limité de l’information
financière historique. Cependant, la norme ISAE 3000 n’étant pas spécifique aux
missions d’assurance relative à l’efficacité du contrôle interne, elle devra être adaptée à
cette mission en s’inspirant des dispositions apportées par l’AS2 et l’ISA 315 et 330.
124
Il est important de préciser, que le professionnel devra, dans le cadre de l’application de

l’ISAE 3000, planifier sa mission dans le but d’atteindre un niveau d’engagement
d’ « assurance raisonnable » et non d’ « assurance limitée ».
125
TROISIEMME PARTIE :
METHODOLOGIE ET OUTILS D’EVALUATION
DU CONTROLE INTERNE
126
A partir du 18 octobre 2005, le commissaire aux comptes se trouve dans l’obligation

d’exprimer une opinion sur l’efficacité du contrôle interne. Cette obligation implique,
outre la remise d’un rapport à ce sujet, la planification du professionnel de son
intervention de tel manière qu’il acquiert une assurance raisonnable que le système de
contrôle interne de l’entité ne contient pas de faiblesses ou d’anomalies importantes
pouvant mettre en cause l’efficacité du contrôle interne et empêcher l’entité d’atteindre
ses objectifs.
Chapitre1 : Développement d’un programme de travail à suivre par le

commissaire aux comptes pour l’évaluation du contrôle interne en
Tunisie
En utilisant la normalisation disponible sur le plan international et compte tenue du

contexte tunisien, nous allons développer dans cette partie une méthodologie à suivre par
le commissaire aux comptes pour pouvoir formuler son opinion sur l’efficacité du
contrôle interne.
Le lien très étroit du contrôle interne et la notion de gestion des risques, pousse certains
jusqu’à la confusion. Le traitement des risques étant une composante de base du système
de contrôle interne, notre méthodologie va graviter autour de cette notion
Pour pouvoir tirer des conclusions et former un avis concernant l’efficacité du contrôle
interne, le commissaire aux comptes devra, en premier lieu, recenser les risques pouvant
constituer un obstacle pour l’atteinte des objectifs de l’entité; en second lieu, identifier les
réponses adoptées par l’entité, y compris les contrôles mis en place pour les maîtriser, et
juger le caractère approprié de ces contrôles et leur adéquation par rapport aux risques
correspondants.
Cette démarche permettra à l’auditeur de détecter les risques non traités ou négligés par
l’entité et de déceler ceux dont les réponses sont inappropriées. Ces anomalies seront par
la suite évaluées pour pouvoir juger leur degré de significativité.
127
Section1 : Méthodologie à adopter par le commissaire aux comptes pour la

réalisation de la mission d’évaluation du contrôle interne
§ 1 : Identification des risques encourus par la société et des contrôles

mis en place par la société pour les maîtriser
1) Identification des risques encourus par la société
1.1 notion du risque
Selon le dictionnaire Larousse, le risque est défini comme étant une « éventualité d’un
événement incertain qui peut causer un dommage ou une perte ».
Mohamed IBRAHIM, dans son mémoire d’expertise comptable : « Risk management :

Ebauche d’une politique de gestion des risques dans l’entreprise tunisienne», propose à
partir d’un recueil de définitions de la littérature spécialisée la définition suivante du
risque : « Le risque est un événement incertain, qui se manifeste inopinément, implique
des pertes ou des conséquences plus ou moins graves. Il constitue selon les cas un péril
mesurable susceptible de perturber la réalisation des objectifs et d’affecter la pérennité et
l’indépendance d’un groupement économique ».
Le risque est donc tout événement pouvant empêcher l’entité de réaliser ses objectifs à
tous les niveaux. Par conséquent, pour pouvoir recenser les risques encourus par l’entité,
il faut connaître ses objectifs.
Il est indispensable que les objectifs fixés par les responsables soient non seulement
connus en détail et clairement définis, mais aussi quantifiés et exprimés :
- du point de vue économique (chiffre d’affaires, marge brute, résultat économique

avant impôt et frais financiers, résultat brut d’exploitation, coût, rentabilité
financière des capitaux propres, …etc.),
128
- du point de vue politique générale (caractère familial, actionnariat importante, etc..),
- du point de vue social (taux d’encadrement, limitation de licenciement, etc..).49
Ces objectifs fixés et formalisés constituent les éléments de base pour la mise en place
d’un plan d’action pour l’identification des risques.
Tout ce qui est susceptible de causer des dommages ou des pertes et tout ce qui peut
mettre en péril la continuité d’exploitation d’une entité constitue, également, un risque.
1.2 Identification des risques
L’étendue de cette opération dépend du champ d’intervention du commissaire aux

comptes, concerne-t-il la totalité du contrôle interne de l’entité ou uniquement celui à
l’égard de l’information financière ? Dans la première alternative, c’est la totalité des
risques encourus qui doivent être identifiés, dans la seconde, c’est uniquement les risques
pouvant engendrer une inexactitude significative dans les états financiers.
Cette phase consiste à dresser un inventaire des événements perturbateurs qui pèsent
lourdement sur la marche de l’entité. Un examen très succinct des risques devrait être
effectué pour savoir s’ils doivent figurer ou non sur la liste des événements.50
Ce recensement des risques sera réalisé durant la phase de prise de connaissance de

l’entité. A ce sujet, l’ISA 315 préconise la demande d’information, les procédures
analytiques, ainsi que l’observation physique.
49
50
129
La demande d’information représente, à notre avis, la plus importante source

d’identification de risques. Elle consiste, essentiellement, à distribuer des questionnaires
et à organiser des entretiens, individuels et collectifs, avec, non seulement, les dirigeants
mais aussi, avec les employés de l’entité.
En outre, l’entité pourrait renfermer une fonction gestion des risques ou toute autre
fonction, ayant procédé dans le cadre de l’exercice de ces activités à un recensement des
risques pouvant perturber la réalisation des objectifs de l’entité. Dans ce cas, l’auditeur
pourra récupérer cette situation et y apporter les rectifications qu’il juge nécessaires
compte tenue de ses investigations. L’auditeur pourrait aussi, à partir d’événements
survenus antérieurement causant des dommages à l’entité, déceler des risques éventuels.
La demande d’information peut être réalisée sous forme de questionnaire concernant la

situation étudiée. Cette méthode est peu coûteuse et peut fournir un nombre important
d’informations utiles pour l’auditeur. Le questionnaire doit être simple, clair et facilement
compréhensible pour être convenablement exploité par l’auditeur. Les réponses peuvent
être fermées ou ouvertes.
Les procédures analytiques sont utilisées essentiellement pour les risques relatifs à la
fiabilité de l’information financière. Elles permettent d’identifier des opérations ou des
événements inhabituels, des montants, des ratios et des tendances pouvant faire apparaître
des éléments ayant une incidence sur les états financiers. En mettant en oeuvre des
procédures analytiques en tant que procédures d’évaluation des risques, l’auditeur projette
les résultats attendus sur la base d’hypothèses plausibles. Lorsque la comparaison du
résultat attendu avec les montants enregistrés ou les ratios constatés sur la base des
réalisations conduit à des variations inhabituelles ou inattendues, il prend en compte ces
constatations lors de l’identification du risque d’anomalies significatives.51
51
importantes » IFAC 2004. P 8
130
L’observation physique et l’inspection peuvent corroborer les informations obtenues par

les demandes d’informations auprès de la direction et d’autres personnes, et fournir
également des informations relatives à l’entité et à son environnement. De telles
procédures comportent généralement les aspects suivants :
- observation des activités et des opérations de l’entité;

- inspection des documents (tels que business plans et plans stratégiques), des états
comptables et des manuels de contrôle interne,
- lecture des rapports de gestion de la direction (tels que des rapports trimestriels ou
les états financiers intermédiaires) et des rapports des personnes constituant le
gouvernement d’entreprise (tels que les procès-verbaux des réunions de l’organe
compétent),
- visite des locaux et des sites de production de l’entité,
- pointage des opérations dans le système d’élaboration de l’information financière
(tests de conformité).52
Les visites des locaux et des différentes installations permettent à l’auditeur de suivre le
déroulement de l’activité de l’entité et d’interroger les personnes sur place. Cette
technique présente l’avantage que l’auditeur acquiert une connaissance et des
informations collectées par lui-même directement, cependant elle engendre une perte de
temps pour les deux parties. C’est pourquoi, avant d’entamer une visite, il serait
souhaitable de procéder à une organisation rigoureuse pour éviter tout gaspillage et de
préparer un programme de travail ou de visite en précisant les participants, les sujets à
aborder, les lieux de visite, les documents à consulter, le temps alloué, … etc.53
En outre, Il est nécessaire de se doter d’outils appropriés pour identifier les risques. Les
deux techniques les plus communément utilisées sont ; « la commande d’une analyse des
risques » et « l’autoévaluation des risques ».
52
importantes » IFAC 2004. P 9
53
131
L’analyse des risques est une procédure du sommet à la base (top-down). L’équipe
d’audit examine l’ensemble des opérations et des activités de l’organisation à la lumière
de ses objectifs et identifie les risques qui en découlent. L’équipe mène une série
d’entretiens avec les membres importants du personnel à tous les niveaux de l’entité afin
de dresser un profil de risque pour toutes les activités et d’identifier ainsi les domaines,
les activités et les fonctions stratégiques susceptibles d’être particulièrement vulnérables
aux risques (tels que le risque de fraude et de corruption).54
L’autoévaluation des risques est une approche de la base au sommet (bottom-up). Chaque
niveau et partie de l’organisation, est invité à revoir ses activités et à faire remonter vers
le haut son diagnostic des risques. Cette démarche peut revêtir la forme d’une procédure
documentaire (avec un cadre de diagnostic établi par le biais de questionnaires) ou via
une approche avec groupe de travail. Cette technique requiert une collaboration
importante de la part de la société.55
Ces deux approches ne s’excluent pas. D’ailleurs il est souhaitable d’exploiter les
données combinées obtenues ainsi dans le cadre du processus d’évaluation des risques
pour faciliter l’identification des risques à la fois au niveau de l’organisme et des
activités.
L’auditeur peut avoir recours à des experts ou spécialistes pour l’identification des
risques relatifs à des domaines n’appartenant pas à son champ de compétence. C’est le
cas par exemple des risques liés à l’utilisation de l’informatique pour lesquels il peut
avoir recours à un auditeur informatique, c’est le cas aussi, des risques liés au cycle de
production pour lequel le recours à un expert en la matière (ingénieur, auditeur
opérationnel) peut s’avérer nécessaire.
Après avoir dressé un inventaire des risques ou établi une cartographie de ceux-ci, une
analyse succincte de ces risques devra être faite par l’auditeur. Celle analyse vise à
vérifier la cohérence générale de ces risques avec le contexte de la mission, la couverture
54
55
James K.Kincaid, William J.Sampias, et Albert J.Marcella Jr « Certification in Control Self-Assessment – Study
Guide » The institute of Internal Auditors Research Foundation, 2004. p 8
132
de la totalité des activités de l’entité et l’élimination des risques doublement prises en

compte ou ceux à très faible impact.
Le commissaire aux comptes doit actualiser tout au long de son mandat cette cartographie
des risques. Pour cela il doit être à l’affût de toute nouveauté ou événement affectant
l’activité de la société ou son environnement et pouvant constituer un élément aggravant
ou atténuant des risques auparavant recensés de la société.
2) Identification des contrôles mis en place par l’entité
Face à ces risques menaçant le déroulement normale de son activité en vu de réaliser ses
objectifs, toute entité opte dans la majeur partie des cas pour la mise en place de contrôles
lui permettant de les maîtriser. Cependant, ces contrôles risquent de souffrir de certaines
erreurs de conception ou d’insuffisances par rapport aux risques pouvant constituer un
obstacle face à la réalisation de l’entité de ses objectifs.
De même que la phase l’identification des risques, durant la prise de connaissance de

l’entité, l’auditeur doit acquérir une compréhension de la conception de contrôles
spécifiques. Le vérificateur acquiert une telle compréhension par la mise en oeuvre de
procédés tels que les suivants :
- la prise de renseignements auprès des membres appropriés de la direction, du

personnel de supervision et du personnel fonctionnel;
- l’inspection des documents de l’entité;
- l’observation de l’application de contrôles spécifiques;
- le suivi du cheminement des opérations à travers le système d’information.56
La prise de connaissance du système de contrôle interne de l’entité est réalisée en passant

par ses différentes composantes, à savoir, l’environnement de contrôle, l’évaluation des
risques, les activités de contrôle, l’information et la communication et le pilotage.
56
with an Audit of Financial Statements » the Public Company Accounting Oversight Board, mars 2004. p 21
133
L’auditeur devra déterminer tous les processus significatifs pour chacune des grandes
catégories d’opérations entrant dans le cadre de fonctionnement de l’entité. En effet,
l’entité est formée d’un ensemble de processus mis en place par l’entité pour parvenir à
atteindre ses objectifs. Généralement, chaque processus renferme un ensemble de risques
et donc un ensemble de contrôles pour les maîtriser, en vue de permettre le bon
déroulement du processus. Pour cela, les vérifications de l’auditeur sont opérées par
processus relatif à chaque grande opération.
Outre l’identification des contrôles mis en œuvre par l’entité, l’auditer doit vérifier
l’efficacité de leur conception. Un contrôle est conçu efficacement lorsqu’on peut
s’attendre à ce que le respect des contrôles permette de prévenir ou de détecter le risque
au moment de sa survenance.
L’AS2 recommande la méthode des tests de cheminement comme moyen d’identification

et de vérification des contrôles instaurés par la société. Elle prévoit que l’auditeur doit
exécuter cette méthode pour chaque grande catégorie d’opérations. Elle précise que, dans
un test de cheminement, l’auditeur doit suivre l’opération dans les systèmes
d’information de la société, de son origine jusqu’à son achèvement.
Dans un test de cheminement, à chaque point, où une procédure ou un contrôle est mis en
oeuvre, le vérificateur interroge le personnel de l’entité pour savoir si ce dernier
comprend les exigences des procédures et des contrôles établis par l’entité, et il détermine
si ces procédures sont exécutées comme prévu initialement et en temps opportun. (Les
contrôles peuvent être mis en oeuvre en temps opportun même s’ils ne sont pas mis en
oeuvre régulièrement.). Tout au long du test de cheminement, le vérificateur demeure à
l’affût d’exceptions aux procédures et contrôles établis par l’entité.57
57
134
En outre, l’adoption par l’entité d’un référentiel, tel que le COSO, pour la mise en place
de son système de contrôle interne, constitue pour l’auditeur une garantie d’efficacité et
de fiabilité de cette conception. Encore faut-il que le professionnel vérifie la fiabilité de
ce référentiel et le respect par l’entité des règles prévues par celui-ci.
Un contrôle, bien conçu, ne peut atteindre les objectifs qui lui sont relatifs s’il ne
fonctionne pas convenablement. Pour cela l’auditeur doit évaluer l’efficacité du
fonctionnement d’un contrôle en déterminant s’il fonctionne comme prévu et si la
personne qui l’exerce possède l’autorité et les qualifications nécessaires pour le mettre en
oeuvre efficacement.58
Pour évaluer l’efficacité du fonctionnement, l’auditeur devra appliquer les dispositions

prévues par les ISA 315 et 330. Les tests des contrôles, mis en oeuvre par l’auditeur à
l’égard de l’efficacité du fonctionnement, doivent couvrir la totalité de la période
concernée par l’évaluation et comprendre une combinaison des procédés suivants : prise
de renseignements auprès du personnel approprié, inspection de la documentation
pertinente, observation des activités de l’entité et ré-exécution de l’application du
contrôle. En outre, le commissaire aux comptes, doit s’assurer de la permanence de la
bonne application de ces contrôles
Il est important de signaler qu’en application des paragraphes 39 à 41 de l’ISA 330, à

chaque fois que la société procède à un changement au niveau d’un contrôle, le
commissaire aux comptes doit le tester durant l’année en cours. Dans tous les cas tout
contrôle mis en place par l’entité audité doit être testé au moins une fois tous les trois
audits, autrement dit par mandat.
58
135
§ 2 : Détection des risques non couverts par des contrôles
A la fin des travaux effectués par l’auditeur, ci-dessus développés, on va se retrouver

devant quatre éventualités :
1- Des risques pour lesquels l’entité n’a pas prévu de contrôles pour les maîtriser.
2- Des risques pour lesquels l’entité a prévu des contrôles mais qui sont mal conçus.
3- Des risques pour lesquels l’entité a prévu des contrôles qui sont bien conçus mais
qui ne fonctionnent pas efficacement.
4- Des risques pour lesquels l’entité a prévu des contrôles qui sont bien conçus et qui
fonctionnent efficacement.
Les risques, appartenant aux trois premiers cas de figure, demeurent des menaces pour la
réalisation des objectifs de l’entité. L’auditeur doit s’assurer que ces risques ne sont pas
maîtrisés par un moyen autre que ces contrôles, comme contracter une police d’assurance
pour couvrir ce risque par exemple.
Les risques maintenus par l’auditeur au cours de la phase d’identification des risques,
étant ceux jugés significatifs par celui-ci ou par un expert auquel il a eu éventuellement
recours. Ceux restant constituent des risques non maîtrisés ou pour lesquels il a été prévu
des contrôles défaillants. L’auditeur formera son opinion, sur l’efficacité du système de
contrôle interne, sur la base de ces risques non maîtrisés.
Les risques non maîtrisés constituent des déficiences de contrôles que l’auditeur doit
évaluer et déterminer si elles constituent, prises individuellement ou combinées avec
d’autres, des faiblesses importantes. L’évaluation du caractère significatif d’une
déficience doit comporter aussi bien des facteurs qualitatifs que quantitatifs.59
59
136
Une faiblesse ou anomalie importante s’entend d’une déficience de contrôle, ou d’une

combinaison de déficiences de contrôles, dont l’impact influera négativement sur la
bonne marche de l’entité et sur sa capacité de réaliser ses objectifs.
Seules les faiblesses ou anomalies importantes sont prises en compte par l’auditeur pour
l’expression de son opinion. Evidemment, les limitations des travaux de l’auditeur
constituent, également, un motif d’expression d’une opinion défavorable.
Section 2 : Prise en comptes des travaux de l’audit interne
Dans un audit du contrôle interne, l’auditeur doit effectuer suffisamment de travaux

d’audit lui-même, de sorte que son propre travail soit à l’origine des principaux éléments
probants à l’appui de son opinion. L’auditeur peut cependant utiliser le travail d’autres
personnes pour modifier la nature, le calendrier d’application ou l’étendue des travaux
qu’il aurait par ailleurs effectués. A cet égard, le travail d’autres personnes comprend les
travaux pertinents exécutés par l’audit interne, le personnel de l’entité (en sus de l’audit
interne) et les tiers travaillant selon les instructions de la direction ou du comité d’audit
ou son équivalent, qui fournissent des renseignements sur l’efficacité du contrôle
interne.60
La fonction audit interne a vu le jour au cours de la période de l’après guerre II,

c'est-à-dire au cours de la période des années quarante.
A l’époque, les entreprises commençaient à prendre de la taille et de l’envergure. Les

managers commencent alors à trouver des difficultés à maintenir et gérer les activités de
la société et à se poser plusieurs questions concernant l’efficience de leur gestion,
l’exécution de leurs instructions, la rationalité des dépenses engagées, … etc.
60
137
Depuis la profession d’audit interne a parcouru du chemin pour devenir une profession à
part entière, représentée mondialement par l’Institut of Internal Auditor (The IIA) et ces
90 000 membres à travers le monde.61
L’instauration d’une fonction audit interne au sein des sociétés, étant de plus en plus
perçue comme une garantie d’une gestion fiable et transparente, elle devient fréquemment
exigée au sein des sociétés cotées en bourse, que ce soit sur le plan national ou
international. C’est ainsi que parmi les exigences prévues par le règlement général de la
Bourse des Valeurs Mobilières de Tunis, pour qu’une société puisse être admise au
marché de la BVMT, figure la justification de l’existence d’une structure d’audit interne
qui doit faire l’objet d’une appréciation de la part du commissaire aux comptes de la
société. C’est le cas aussi pour les sociétés cotés à la bourse de New York, qui a exigé,
parmi sa liste de conditions révisée en octobre 2004, l’obligation des sociétés qui y sont
cotées, d’avoir un service audit interne efficace et performant.
L’ampleur du rôle qu’est entrain de prendre la profession d’audit interne et la place

privilégiée qu’elle occupe au sein de la société, conduit le commissaire aux comptes à
chercher de collaborer avec cet organe. Cependant, pour pouvoir le faire en toute
assurance, il doit, en première étape, prendre connaissance et évaluer les composantes et
les activités de cette fonction, et en seconde étape, déterminer en concertation avec les
auditeurs internes et en tenant compte des objectifs de son intervention, les bases de cette
collaboration.
§ 1 : Prise de connaissance et évaluation des travaux de l’audit interne
L’audit interne désigne une fonction de contrôle au sein d’une entité effectuant des
vérifications pour le compte de cette dernière. Cette fonction vise notamment à assurer le
suivi du contrôle interne62. Elle fonctionne sous la supervision du comité d’audit ou du
conseil d’administration. Elle constitue l’organe responsable de la composante
« Pilotage » du système de contrôle interne.
61
«Guide to internal audit: frequently asked questions about the NYSE (New York Stock Exchange) requirements
and developing an effective internal audit function» Protiviti-Independent Risk Consulting, 2004. p 5
62
ISA 610 « Prise en compte des travaux de l’audit interne » IFAC 2001. p 2
138
L’une des principales responsabilités de la fonction audit interne, c’est le suivi et la

vérification de l’application des instructions et du fonctionnement des contrôles mis en
place par la direction dans le cadre de l’instauration du système de contrôle interne, ainsi
que la formulation des recommandations qu’elle juge nécessaires.
L’auditeur externe doit évaluer l’efficacité des travaux de l’audit interne pour décider s’il
va ou non s’y baser. Pour cela une prise de connaissance et une évaluation de la fonction
audit interne est nécessaire.
Pour la prise de connaissance et l’évaluation de la fonction d’audit interne, l’ISA 610

recommande à l’auditeur externe de prendre en considération les critères suivants :
- statut dans l’organisation : statut spécifique de l’audit interne dans l’entité et

incidence de ce statut sur son objectivité. Dans une situation idéale, l’audit interne
communiquera les résultats de ses travaux à l’échelon de direction le plus élevé et
n’assumera aucune autre responsabilité opérationnelle dans l’entité. Toute
limitation ou restriction imposée à l’audit interne par la direction sera
soigneusement examinée. Notamment, il sera nécessaire que les auditeurs internes
restent libres de communiquer sur tous les sujets avec l’auditeur externe.
- étendue de la fonction : nature et étendue des missions effectuées par l’audit
interne. L’auditeur externe aura à vérifier si la direction agit en fonction des
recommandations de l’audit interne et la façon dont celles-ci sont documentées.
- compétences techniques : réalisation des travaux par des personnes disposant
d’une formation technique adaptée et d’une bonne expérience en tant qu’auditeur
interne. L’auditeur externe peut par exemple consulter les politiques de
recrutement et de formation des collaborateurs de l’audit interne et revoir leur
expérience et leurs qualifications professionnelles.
- diligences professionnelles : planification, supervision, revue et documentation
correcte des travaux. L’existence de manuels d’audit, de programmes de travail et
de dossiers de travail appropriés est prise en compte à cette occasion.
139
En sus de ces critères, la norme SAS 65 de l’AICPA (American Institut of Certified

Public Accountants) prévoit les éléments suivants à évaluer par l’auditeur externe pour
juger s’il est opportun de s’appuyer sur les travaux de l’audit interne:
- Application ou utilisation des normes professionnelles

- La confidentialité, la liberté et l’indépendance du travail de l’audit interne
- Qualité des papiers de travail matérialisant les travaux des auditeurs internes, des
rapports émis et des recommandations
- Autoévaluation des performances des auditeurs internes
- Le degré de prise en compte des recommandations de l’audit interne par la direction
et le suivi de l’application de ceux-ci par le comité d’audit ou par le conseil
d’administration
- Disponibilité et collaboration des organes de direction et des employés de l’entité en
général avec les auditeurs internes63
L’adoption et le respect des normes de l’IIA par la fonction audit interne de la société,
constitue selon l’AS2 un garant de fiabilité pouvant augmenter, le degré de confiance
qu’a l’auditeur externe dans les travaux réalisés par l’audit interne, et par conséquent les
chances de s’appuyer dessus. A ce sujet, la section 1000 des normes de l’IIA exige de la
direction l’élaboration de statut et de fiches de fonction de l’auditeur interne, dans
lesquels sont prévus les objectifs, les pouvoirs, et les responsabilités de la fonction audit
interne au sein de la société.64
Néanmoins, même si compte tenu des critères ci-dessus développés l’efficacité de la

fonction audit interne est établie, l’auditeur externe doit tester par sondages le travail
effectué par celle-ci afin d’en évaluer la qualité et l’efficacité.
63
64
140
Lorsqu’il évalue la qualité et l’efficacité du travail de l’audit interne, l’auditeur doit

notamment se demander :
- si l’étendue du travail est suffisante pour atteindre les objectifs;

- si les programmes de travail sont adéquats;
- si le travail effectué fait l’objet d’une documentation adéquate qui comporte
notamment des traces de supervision et de révision;
- si les conclusions sont appropriées aux circonstances;
- si les rapports produits sont cohérents avec les résultats du travail effectué.65
§ 2 : Liaisons et coordination avec les auditeurs internes de la société
Le commissaire aux comptes restera le premier et le seul responsable de l’évaluation du

contrôle interne. Par conséquent, les liens et la coordination avec la fonction audit interne
doivent être déterminés de telle manière qu’il sera consulté sur tout élément concernant la
planification des travaux à réaliser par l’audit interne et qu’il sera tenu au courant de toute
question significative pouvant influencer la nature, l’étendue ou le calendrier de son
intervention. Il devra, en outre :
- définir ou du moins adapter les travaux à réaliser par la fonction audit interne de
telle manière qu’ils seront en phase avec les objectifs de sa mission,
- estimer le caractère raisonnable des hypothèses, des méthodes et des sources de

données utilisées par l’audit interne et proposer, éventuellement, les modifications
qu’il juge nécessaires,
- Apprécier des conclusions de l’audit interne en les comparant à ses conclusions

(tests de cohérence par exemple) et en tenant compte des circonstances de la
mission.
65
141
Cependant, l’AS2 pose le principe selon lequel l’auditeur doit réunir par lui-même les
principaux éléments probants à l’appui de son opinion, et ce partant de l’hypothèse que
les éléments probants que l’auditeur obtient directement par la connaissance personnelle,
l’observation, l’inspection et la ré-exécution sont plus convaincants que les
renseignements qu’il obtient indirectement d’autres personnes telles que les auditeurs
internes.
Par conséquent, les éléments du contrôle interne, jugés par le commissaire aux comptes
comme significatifs et déterminants pour l’expression de son opinion, doivent être audités
directement par lui-même et non sur la base des travaux de l’audit interne.
142
Chapitre 2 : Forme et contenu de l’évaluation générale à présenter dans le

rapport général du commissaire aux comptes
La nouvelle obligation à la charge des commissaires aux comptes, de présenter dans son
rapport général une évaluation générale du contrôle interne, met la profession devant la
nécessité de préciser la forme et surtout le contenu de celle-ci.
En l’absence de normalisation tunisienne en la matière, nous allons essayer, en s’inspirant

de la normalisation disponible sur le plan international, de proposer un modèle
d’« Evaluation générale du contrôle interne » que les commissaires aux comptes des
sociétés faisant appel public à l’épargne devront, désormais, présenter dans leur rapport
général sur les comptes.
Section1 : Matérialisation de l’évaluation faite par le professionnel du contrôle

interne
§ 1 : Collecte des faiblesses relevées par le professionnel durant son

intervention
Pour se former une opinion sur l’efficacité du contrôle interne de l’entité, l’auditeur doit
collecter les éléments probants de toute provenance. Quoique les sources de collecte
d’éléments probants soient nombreuses, la responsabilité d’exprimer une opinion et de
faire un rapport sur l’efficacité du contrôle interne incombe entièrement à l’auditeur.
Les éléments probants collectés par l’auditeur doivent être appropriés et justifiés. Tous les
éléments ou les pièces qui les corroborent doivent être classés et clairement expliqués
dans son dossier de travail.
143
L’auditeur peut recueillir des éléments probants à partir :
- Des résultats des travaux qu’il a effectué lui-même.

- Des résultats des travaux effectués par un expert ou un spécialiste, auquel l’auditeur
a eu recours.
- Des résultats des travaux effectués par l’audit interne, si l’auditeur a jugé bon de
s’en appuyer.
L’auditeur doit obtenir une déclaration (lettre d’affirmation) écrite auprès de la direction
affirmant sa responsabilité de la mise en œuvre et du maintien d’un contrôle interne
efficace et affirmant qu’elle a mis à la disposition de l’auditeur tous les éléments et les
données nécessaires pour s’acquitter de sa mission, d’évaluation de l’efficacité du
contrôle interne, dans les meilleures conditions.
A partir des travaux qu’il a effectués dans le cadre de son intervention, l’auditeur doit
réunir suffisamment d’éléments probants sur la base desquels son opinion se formera. Ces
éléments probants sont constitués des faiblesses ou anomalies importantes relevées. Ces
anomalies ou faiblesses importantes représentent une déficience de contrôle, seules ou
cumulées avec d’autres, dont l’impact sur l’entité et sur sa capacité d’atteindre ses
objectifs, est jugé significatif par l’auditeur.
Constituent des déficiences de contrôle tout :
- Risque pour lequel l’entité n’a pas prévu de contrôle pour le maîtriser.
- Risque pour lequel l’entité a prévu un contrôle qu’elle a mal conçu.
- Risque pour lequel l’entité a conçu efficacement un contrôle qui ne fonctionne pas
comme prévu.
De même, constituent des éléments probants sur lesquelles peut s’appuyer l’auditeur pour
la formation de son opinion, les conclusions fournies par l’expert ou le spécialiste auquel
a eu, éventuellement, recours l’auditeur. Le profil de l’expert et sa méthodologie de
travail ayant été vérifiés par le professionnel l’occasion de son engament, ses conclusions
144
doivent être corroborées par des tests de cohérence par rapport à ceux de l’auditeur et
avec les circonstances de la mission en générale.66
Par ailleurs, comme nous l’avons déjà signalé, l’auditeur cherchera à collaborer avec
l’audit interne de l’entité, pour cela il tachera à s’assurer de l’efficacité de son
fonctionnement. Si l’auditeur déciderait de s’appuyer sur les travaux effectués par les
auditeurs internes, il retiendra les conclusions qu’ils ont pu tirer parmi les éléments
probants sur la base desquels il formera son opinion.
Les éléments probants relevés directement par l’auditeur restent, cependant, les plus
convaincants et la proportion de celles-ci par rapport aux autres sources de collecte
d’éléments probants reste soumise à l’appréciation de l’auditeur. D’ailleurs, certains tests
ne peuvent pas être délégués à d’autres personnes, tel que les tests de cheminement qui
doivent être effectués par l’auditeur lui-même en raison de la part de jugement que ce
travail comporte
§ 2 : Appréciation de l’impact cumulé qu’ils peuvent avoir sur l’opinion du

commissaire aux comptes
Les déficiences de contrôle détectées doivent être évaluées afin de déterminer si elles
constituent, prises individuellement ou combinées avec d’autres, des faiblesses ou
anomalies importantes. Sachant que seules ces dernières (avec les cas de limitation)
pourront conduire l’auditeur à exprimer une opinion défavorable. Les autres déficiences
de contrôles n’entrant pas en considération pour la formation de l’opinion de l’auditeur,
seront cependant signalées à la direction.
66
ISAE 3000 (Révisée) « Expression d’assurance autres que l’audit ou l’examen limité de l’information financière
historique » IFAC 2004. P 917 du hadbook 2004
145
L’évaluation du caractère significatif d’une déficience doit comporter tant des facteurs
qualitatifs que quantitatifs. Pour cela, l’auditeur prendra en considération les éléments
suivants :
- la probabilité que la déficience, seule ou en combinaison avec d’autres, puisse

influencer négativement la marche de l’entité et sa capacité de réaliser ses
objectifs;
- l’ampleur de l’impact potentiel résultant de la déficience ou des déficiences.
En effet, après avoir collecté suffisamment d’éléments probants appropriés, il faut

procéder à leur évaluation ou leur quantification si possible, c'est-à-dire à la mesure de
leurs impacts et de leurs conséquences sur les objectifs et sur les enjeux de l’entité
(environnement, patrimoine, commercial, financier, etc..). Cette évaluation s’effectue sur
la base des deux paramètres principaux : la gravité (ampleur de l’impact) et la fréquence
d’apparition (probabilité et nombre de survenance).
En ce qui concerne les domaines n’entrant pas dans son champ de compétence, l’auditeur
peut avoir recours à des experts ou spécialistes, pour l’estimation de la fréquence ou de la
gravité des risques relatifs.
L’impact qu’aura une déficience de contrôle peut être quantifiable ou ayant un effet
comptable (par exemple : risque fiscal, inexactitude comptable, détournement de fonds,
vol d’un matériel, …etc), comme il peut être intangible et non quantifiable (par exemple :
altération de l’image de marque, risque de cessation de payement, personnel non qualifié,
…etc), par conséquent, l’auditeur doit faire appel dans une large part, à son jugement
professionnel.
L’AS2 prévoit un raisonnement que doit suivre le commissaire aux comptes pour évaluer
la significativité d’une déficience de contrôle. Elle précise que, lorsqu’il évalue le
caractère significatif d’une déficience dans le contrôle interne, l’auditeur doit déterminer
le niveau de détail et le degré d’assurance satisfaisant qui permettraient à des dirigeants
prudents d’avoir, dans la conduite de leurs propres affaires, une assurance raisonnable
146
que les opérations se déroulent normalement, de telle manière, que la bonne marche de
l’entité est assurée et la réalisation de ses objectifs n’est pas menacée. Si l’auditeur
détermine que la déficience empêcherait des dirigeants prudents de conclure qu’ils
disposent de cette assurance raisonnable dans la conduite de leurs propres affaires, il doit
considérer que la déficience constitue à tout le moins une déficience significative. Ayant
ainsi déterminé que la déficience est significative, l’auditeur doit poursuivre son
évaluation de cette déficience afin de déterminer si elle constitue, seule ou combinée avec
d’autres, une faiblesse importante.67
En outre, le commissaire aux comptes doit communiquer par écrit, à la direction et au

comité d’audit, toute déficience de contrôle, qu’elle constitue ou non, une anomalie ou
faiblesse significative. Cette communication a pour objectif, d’abord, de donner la
possibilité aux organes responsables de la gouvernance de l’entité de contester la
déficience relevée et présenter les justificatifs dans ce sens, et ensuite, les tenir au courant
de tous les points relevés pour assurer le suivi de leur régularisation.
Seuls les risques jugés significatifs et représentant une réelle menace pour l’entité seront
maintenus pour servir de base à l’opinion de l’auditeur concernant l’efficacité du contrôle
interne.
Section 2 : Présentation de l’évaluation générale du contrôle interne dans le rapport

général du commissaire aux comptes
§ 1 : Positionnement de l’évaluation générale du contrôle interne dans le

rapport du commissaire aux comptes
Au terme de l’article 15 de la loi 2005-96, les rapports visés, selon le cas, aux articles
200, 269 et 472 du CSC et établis par le ou les commissaires aux comptes à destination
des sociétés faisant appel public à l’épargne, doivent dorénavant contenir une évaluation
générale du contrôle interne.
67
147
Par conséquent, cette évaluation de l’efficacité du contrôle interne réalisée par le

commissaire aux comptes ne fait pas l’objet d’un rapport distinct, elle fait partie du
rapport général sur les comptes préparé annuellement par le commissaire aux comptes de
l’entité. Elle figurera à l’image du rapport spécial, sur les conventions réglementées,
prévu par l’article 200 du code des sociétés commerciales, dans une partie à part du
rapport général.
Cette évaluation générale fait l’objet de diligences spécifiques à réaliser par le

commissaire aux comptes. Ces diligences conduiront le professionnel à exprimer une
opinion sur l’efficacité du contrôle interne.
§ 2 : Les mentions obligatoires composant l’évaluation générale du

contrôle interne figurant dans le rapport général du commissaire
aux comptes
La présentation de l’« évaluation générale du contrôle interne » étant une obligation

légale à la charge du commissaire aux comptes des sociétés côtés en bourse, elle devrait,
normalement, être organisée et standardisée par une norme professionnelle établie par les
organismes normalisateurs du pays. A défaut de création de tel organisme, à l’image du
PCAB par le SOX américain et le Haut Conseil du Commissariat aux Comptes par le LSF
française, le recours aux normes internationales parait inévitable pour le professionnel
tunisien.
148
En s’inspirant de l’ISAE 3000 révisée de l’IFAC, le rapport d’expression d’assurance sur

l’efficacité du système de contrôle interne doit contenir les éléments de base suivants:
- Le titre : qui doit indiquer clairement la nature de la mission d’assurance, à savoir,

une évaluation générale de contrôle interne.
- L’adresse de la personne à qui ce rapport est destiné (les utilisateurs potentiels) :
Bien que le rapport soit adressé aux actionnaires, le destinataire peut être une autre
partie. L’auditeur détermine à qui il convient d’adresser le rapport en se fondant
sur les conditions de la mission et les exigences des lois ou règlements pertinents.
- Identification et description de l’information relative au contrôle interne. Ceci
inclu :
● La date ponctuelle ou la période de temps à laquelle l’évaluation du

contrôle interne se rapporte.
● La raison sociale de l’entité ou les composantes (succursales, activités,…)
de l’entité auxquelles le contrôle interne se rapporte.
● Présentation des caractéristiques du contrôle interne desquelles les
utilisateurs potentiels doivent être informés et comment ces caractéristiques
peuvent influencer la précision de l’évaluation de celui-ci par rapport aux
critères relevés.
- Identification des critères ou en faire référence lorsqu’ils sont formels et accessibles

aux utilisateurs potentiels, tel que le référentiel COSO.
- L’auditeur identifie dans l’« évaluation générale du contrôle interne » les critères
par rapport auxquels le contrôle interne a été évalué ou mesuré pour que
l’utilisateur potentiel puisse comprendre la base sur laquelle reposent ses
conclusions.
- Si le commissaire aux comptes le juge nécessaire ; une description de toute
limitation inhérente, jugée significative, relative à l’évaluation du contrôle interne
par rapport à des critères.
Par exemple, pour le cas d’un rapport d’assurance relatif à l’efficacité du contrôle
interne, préciser que cette évaluation quoique favorable risque de ne pas être
149
maintenue dans le futur, en raison du changement des conditions et de la

détérioration du degré de conformité avec les règles et procédures.
- Identification de la partie responsable et précision de ses obligations ainsi que celles
de l’auditeur
En cas de mission d’information directe (direct reporting engagement) la
responsabilité de la partie responsable porte sur le sujet de l’engagement. C’est le
cas, par exemple, d’une évaluation de l’efficacité du contrôle interne faite
directement par l’auditeur, comme c’est prévu par la loi 2005-96.
En cas de mission basée sur une assertion (engagement based-assertion), la
responsabilité de la partie responsable porte sur l’information relative au sujet de
la mission. C’est le cas, par exemple, d’une évaluation de l’efficacité du contrôle
interne faite par la partie responsable puis attestée par l’auditeur, comme c’est
prévu par la loi américaine de Sarbane-Oxley.
- La déclaration que la mission d’évaluation du contrôle interne a été accomplie
conformément aux normes ISAE
- Sommaire des travaux accomplis : Ceci permet aux utilisateurs potentiels de mieux
comprendre la nature de l’assurance traduite par l’évaluation générale du contrôle
interne.
- Conclusion ou opinion de l’auditeur.
- Date du rapport : cette date sert pour informer les utilisateurs potentiels que
l’auditeur a pris en considération tous les événements postérieurs à son
intervention jusqu’à la date du rapport.
- Le nom de firme ou de l’auditeur et ses coordonnés, notamment l’adresse de son
siége social.
Des modèles du rapport (inspirés de la version soumise au vote de la norme élaborée par
les Autorités canadiennes en Valeurs Mobilières, intitulée : « Vérification du contrôle
états financiers ») relatif à l’évaluation du contrôle interne, à établir par le commissaire
aux comptes, sont annexées à ce mémoire.
150
CONCLUSION
151
Suite aux modifications apportées au code des sociétés commerciales par la loi 2005-65 et
à l’apparition de la loi 2005-96 du 18 octobre 2005, relative au renforcement de la
sécurité des relations financières, le commissaire aux comptes s’est trouvé chargé d’une
nouvelle obligation consistant en l’évaluation de l’efficacité du contrôle interne des
sociétés tunisiennes.
Le législateur a exigé explicitement dans l’article 15 de la loi 2005-95 que les résultats de
cette évaluation soient, en ce qui concerne les sociétés faisant appel public à l’épargne,
présentés dans son rapport général sur les comptes. L’article 266 (nouveau) du CSC
exige, quant à lui, des commissaires aux comptes de procéder périodiquement à une
vérification de l’efficacité du système de contrôle interne. Cependant, en application de
l’article 269 (nouveau) de ce code, les professionnels doivent déclarer expressément dans
leur rapport qu'ils ont effectué leurs contrôles conformément aux normes d'audit d'usage.
Or, conformément aux ISA’s 315 et 330, l’auditeur doit informer, dés que possible, les
personnes constituant le gouvernement de l’entreprise ou la direction au niveau approprié
de responsabilité, des faiblesses majeurs se rattachant au système de contrôle interne qu’il
a pu relevé au cours de son intervention.
En pratique, l’application de l’article 266 du CSC a laissé apparaître différentes

interprétations du texte de loi, ce qui a eu pour conséquence des pratiques et des prises de
position personnelles de la part des professionnels. Cet état de fait, a eu pour conséquence
une absence d’uniformisation de la traduction de cette nouvelle disposition du CSC dans
les rapports des commissaires aux comptes.
Dans le but d’instaurer un climat de confiance entre les divers partenaires économiques et
la direction de la société et en vu de préserver la crédibilité de la profession, on estime
qu’il serait opportun de généraliser, d’une manière explicite et sans ambiguïté,
l’obligation prévue par l’article 15 de la loi 2005-96 à toutes les sociétés tunisiennes.
152
En outre, cette nouvelle obligation, incombant aux commissaires aux comptes, a été
promulguée sans préciser ses modalités d’application, malgré qu’elle soit d’application
immédiate. En effet, pour pouvoir évaluer le système de contrôle interne d’une entité,
deux éléments de base doivent être fournis ; d’une part, un cadre de référence reconnu
auquel aura recours l’entité pour la mise en place de son système de contrôle interne et
auquel se référera le commissaire aux comptes durant l’accomplissement de l’évaluation,
et d’autre part, une normalisation organisant et précisant la démarche à suivre et les
diligences à respecter par le professionnel pour la réalisation de cette mission.
Pour pallier à cette carence législatives et pour permettre aux commissaires aux comptes
d’accomplir leur nouvelle mission dans les meilleurs conditions, nous nous sommes
référés aux réformes similaires qui ont eux lieu à travers le monde et particulièrement la
loi sur la sécurité financière en France et la loi Sarbanes-Oxley aux Etats-Unis
d’Amérique.
A travers l’étude que nous avons mené sur ces deux réformes, le SOX s’est avéré le
mieux conçu, le plus complet et le seul qui s’est doté des mécanismes nécessaires pour
assurer son applicabilité.
Les dispositions apportées par la section 404 du SOX sont légèrement différentes de
celles prévues par la législation tunisienne, puisque l’obligation d’évaluer l’efficacité du
contrôle interne incombe au directeur général et au directeur financier de l’entité ;
l’auditeur n’a qu’une obligation l’attestation de cette évaluation.
Cependant, le PCAOB, organe de supervision comptable institué par le SOX, prévoit

dans sa norme AS2, que dans le cadre de l’attestation de l’évaluation faite par les
dirigeants de l’entité, l’auditeur externe doit procéder lui-même à l’évaluation de
l’efficacité du contrôle interne à l’égard de l’information financière.
153
Par ailleurs, à l’image de la SEC, l’AS2 insiste sur le fait que l’appréciation de l’efficacité
du contrôle interne doit se fonder sur un cadre de contrôle approprié, reconnu et établi par
un groupe d’experts suivant une procédure officielle qui comprend la diffusion générale
du cadre proposé afin de recueillir les commentaires du public à son sujet68. Elle a rejoint
la SEC en adoptant le rapport intitulé «Internal Control – Integrated Framework» du
Committee of Sponsoring Organizations (COSO), comme cadre de référence en matière
d’évaluation de l’efficacité du contrôle interne
De même, l’ISAE 3000 (révisé) intitulée : « Missions d’expression d’assurance autres

que l’audit ou l’examen limité de l’information financière historique » précise que
l’auditeur doit procéder à l’évaluation du caractère approprié des critères utilisés pour
évaluer ou mesurer le sujet de la mission. Ces critères peuvent être formels, tel que le
référentiel COSO, en ce qui concerne l’évaluation du contrôle interne.
Toutefois, le fait d’avoir un référentiel de contrôle interne ne permet pas, à lui seul, à
l’auditeur d’évaluer l’efficacité du contrôle interne. Comme c’est le cas pour l’audit des
comptes, le fait d’avoir des normes comptables, comme les normes comptables
tunisiennes ou les normes comptables internationales (IAS), ne permettent pas à lui seul
d’auditer les comptes, c’est pour cette raison que les normes internationales d’audit (ISA)
ont été élaborées. Il est, par conséquent, nécessaire, d’établir une norme professionnelle
organisant l’évaluation de l’efficacité du contrôle interne.
En l’absence de normalisation de la mission d’évaluation du contrôle interne à l’échelle

nationale, on s’est référé aux normes traitant ce sujet sur le plan international. Nos
recherches nous ont permis de déceler trois normes: L’AS2 publiée par le PCAOB et
intitulée : « Vérification du contrôle interne à l’égard de l’information financière
effectuée conjointement avec l’audit des états financiers », les ISA 315 et 330 intitulées
respectivement : « connaissance de l’entité et de son environnement et évaluation du
risque d’anomalie significative » et « Procédures à mettre en œuvre par l’auditeur en
fonction de son évaluation des risques » et l’ISAE 3000 (révisée) intitulée : « Missions
68
154
d’expression d’assurance autres que l’audit ou l’examen limité de l’information

financière historique ».
L’AS2 a été élaborée dans le but d’organiser et standardiser les nouvelles obligations à la
charge des auditeurs américains prévues par la section 404 du SOX, à savoir l’attestation
de l’évaluation de l’efficacité du contrôle interne, à l’égard de l’information financière,
délivrée par les dirigeants de l’entité. Elle considère que l’auditeur doit, dans le cadre de
cette mission, évaluer lui-même l’efficacité du contrôle interne à l’égard de l’information
financière. Cette norme diverge du contexte tunisien en ce qui concerne le champ
d’intervention, puisque le législateur tunisien n’a pas spécifié s’il s’agit du contrôle
interne dans sa globalité ou uniquement à l’égard de l’information financière.
Les ISA 315 et 330 traitent l’évaluation du système de contrôle interne à réaliser par
l’auditeur dans le cadre de sa mission d’audit des comptes. Cette évaluation permettra à
l’auditeur de décider s’il va s’appuyer sur les contrôles mis en place par l’entité et par
conséquent d’en tenir compte lors de la détermination de la nature, le calendrier et
l’étendue des tests substantifs sur les comptes. Elle représente donc une étape
intermédiaire de la mission d’audit des comptes, contrairement, à la nouvelle obligation
apportée par la loi 2005-96 dont elle constitue l’objectif final.
L’ISAE 3000 (révisée) établit les principes de base et les procédures essentielles pour
toutes les missions de certification, à l'exception des missions de vérification ou d'examen
d'informations financières historiques, qui sont couvertes par les normes ISA. Par
conséquent, la mission de certification ou d’évaluation de l’efficacité du contrôle interne
fait partie de son champ d’application. Cette norme parait la plus adéquate et la plus
conforme aux exigences du contexte tunisien.
Pour pouvoir concevoir la méthodologie à suivre par le commissaire aux comptes pour
accomplir sa nouvelle mission, nous avons opté pour la démarche proposée par l’ISAE
3000 (révisée) tout en l’adaptant à la mission d’évaluation de l’efficacité du contrôle
interne en s’inspirant des normes, AS2 publié par le PCAOB et ISA 315 et 330 publié par
l’IFAC. Nous nous sommes inspirés de la définition même du contrôle interne, qui
155
consiste en un processus mis en place par les dirigeants et le personnel de l’entité en vu

de maîtriser les risques susceptibles d’empêcher l’entité de réaliser ses objectifs.
Cette méthodologie consiste, tout d’abord, à identifier les risques qui pouvent représenter
un obstacle à la réalisation des objectifs de l’entité, ces derniers sont sensés être
formalisés, détaillés et clairement définis, puis, identifier et évaluer les contrôles mis en
place par l’entité pour maîtriser ces risques, ensuite, relever les déficiences de contrôle
qui peuvent résulter d’une absence de contrôle, d’une mauvaise conception du contrôle ou
d’un disfonctionnement du contrôle, et enfin, évaluer le degré de significativité de chaque
déficience pour apprécier si elle constitue, seule ou combinée avec d’autres, une anomalie
ou une faiblesse importante.
Sur la base des anomalies ou faiblesses importantes relevées le commissaire aux comptes
bâtira son opinion sur l’efficacité du contrôle interne. Selon l’importance de celles-ci le
professionnel déterminera s’il s’agit d’une opinion favorable, avec réserves ou
défavorable.
Pour permettre au commissaire aux comptes de mieux cerner sa mission, une précision de
son champ d’intervention nous parait nécessaire. Autrement dit, l’évaluation portera-t-elle
sur le contrôle interne dans sa globalité ou seulement celui lié à l’établissement de
l’information financière. Cette précision aura un impact conséquent, essentiellement, en
ce qui concerne l’étendue des travaux de l’auditeur.
De même une adoption d’un cadre de référence du contrôle interne de la part du CMF, tel
que le COSO, et sa diffusion dans le marché local, aura un effet bénéfique non seulement
pour l’application des dispositions juridiques, mais aussi sur la vulgarisation de
l’importance du contrôle interne et sa consolidation dans la culture managériale en
Tunisie.
A l’image de la France et des Etats-Unis d’Amérique, la création d’un organisme de

supervision indépendant ayant comme prérogatives, entre autres, l’organisation et la
normalisation en matière d’audit (ou de commissariat aux comptes), ainsi que la
156
supervision des firmes comptables, devient une nécessité pour la sauvegarde de la

profession et son développement.
La profession se trouve, désormais, confrontée à de nouveaux enjeux de taille dont la

réussite conditionnera son développement. Ces enjeux concerneront, notamment, leurs
jugements en matière d’évaluation du contrôle interne.
Les efforts fournis par l’Ordre des Experts Comptables dans ce sens sont louables mais
doivent être appuyés par un organisme indépendant, particulièrement en matière de
normalisation et de supervision des missions d’audit.
157
Liste des Abréviations
BVMT : Bourse des Valeurs Mobilière de Tunis
CMF : Conseil du Marché Financier
COSO : Committee of Sponsoring Organizations of the Treadway Commission
CSC : Code des sociétés commerciales
IASSB : International Auditing and Assurance Standards Board
IFAC : International Federation of Accountants
INTOSAI : L’Organisation internationale des institutions supérieures de contrôle des finances publiques
ISA : International Standards on Auditing
ISAE : International Standards on Assurance Engagements
ISRE : International Standards on Review Engagements
LSF : Loi de Sécurité Financière
PCAOB : Public Company Accounting Oversight Board
SEC : Securities and Exchange Commission
SOX : loi Sarbanes-Oxley
158
BIBLIOGRAPHIE
159
1. OUVRAGES SPECIALISES :
 The committee of sponsoring organisation of the treadway commission avec la

participation de PricewaterhouseCoopers LLP « Enterprise risk management-
Integrated framework: Executive summary framework » The committee of
sponsoring organisation of the treadway commission (COSO), septembre 2004.

participation de PricewaterhouseCoopers LLP « Enterprise risk management-
Integrated framework: Application Techniques » The committee of sponsoring
organisation of the treadway commission (COSO), septembre 2004.
 The committee of sponsoring organisation of the treadway commission « Internal

control-Integrated framework: Guidance for smaller public companies reporting on
internal control over financial reporting » The committee of sponsoring
organisation of the treadway commission (COSO), octobre 2005.
 « An overview of the COSO Internal control-Integrated Framework » Protiviti-

Independent Risk Consulting, 2004.
 Jacques Villeneuve « Le contrôle interne : guide de procédures » Direction du

développement des entreprises et des affaires du Québec, juillet 2003.
 « Guide to internal audit: frequently asked questions about the NYSE (New York
Stock Exchange) requirements and developing an effective internal audit function »
Protiviti-Independent Risk Consulting, 2004.
 « Preparing for internal control reporting : A guide for management’s assessment

under section 404 of the Sarbanes-Oxley act » Ernst & Young, 2002.
 James K.Kincaid, William J.Sampias, et Albert J.Marcella Jr « Certification in

Control Self-Assessment – Study Guide » The institute of Internal Auditors
Research Foundation, 2004.
160
2. NORMES ET REFERENTIEL :
 The Auditing Standard No. 2 « An Audit of Internal Control over Financial

Reporting Performed in Conjunction with an Audit of Financial Statements » the
Public Company Accounting Oversight Board, mars 2004.
 « Vérification du contrôle interne à l’égard de l’information financière effectuée

conjointement avec une vérification d’états financiers – version soumise au vote »
Les Autorités canadiennes en valeurs mobilières (ACVM), avril 2005
 Norme comptable générale n°1 du système comptable des entreprises Tunisien
 ISA 315 « Compréhension de l'entité et de son environnement et appréciation des

risques d'inexactitudes importantes » IFAC 2004
 ISA 330 « Procédés mis en œuvre par le vérificateur pour tenir compte des risques
évalués » IFAC 2004
 ISA 610 « Prise en compte des travaux de l’audit interne » IFAC 2001
 « Code of ethics for professional accountants » IFAC, juillet 1996 révisé en janvier
1998 et novembre 2001

participation de PricewaterhouseCoopers LLP « Internal control-Integrated
framework » The committee of sponsoring organisation of the treadway
commission (COSO) 1992.
 Comité des normes de contrôle interne de l’INTOSAI « Lignes directrices sur les
normes de contrôle interne à promouvoir dans le secteur public », 2004.
 Commission Corporate Governance « Le Code Belge de Gouvernance des

Entreprises » ou « Code Lippens », décembre 2004.
 Association Suisse des Banquiers « Directives pour le contrôle interne », juin 2002.
 « Final Rule: Management's Reports on Internal Control Over Financial Reporting

and Certification of Disclosure in Exchange Act Periodic Reports » SEC, août
2003.
 ISAE 3000 (Révisée) « Expression d’assurance autres que l’audit ou l’examen

limité de l’information financière historique » IFAC 2004
 « International Framework for Assurance Engagements » IFAC 2004.

161
3. MEMOIRES D’EXPERTISE COMPTABLE :
 Amélie JUSTIN « L'évolution du gouvernement d'entreprise et du contrôle légal

depuis l'affaire Enron: un thème prioritaire pour les instances réglementaires et
professionnelles françaises et internationales - La démarche du commissaire aux
comptes dans le cadre de la certification du contrôle interne», mai 2004.
 Mohamed IBRAHIM « Risk management : Ebauche d’une politique de gestion des

risques dans l’entreprise tunisienne», septembre 1997.
 Mongi HAMBLI « L’utilisation des travaux des auditeurs internes dans le cadre
d’un audit externe: limites et perspective dans le contexte tunisien », 1998.
 Mohammed AFFES « L’appréciation du contrôle interne et son incidence sur le

programme de contrôle des comptes », mai 1979
4. MEMOIRES POUR L’OBTENTION DU DEA EN COMPTABILITE :
 Samia KADDOUR GHORBEL « Mécanisme de gouvernance interne, contrôle par

le marché financier et performance de l’entreprise » ISCAE, année universitaire
2002-2003.
 Lamia ABDMOULEH « Efficacité du système de gouvernance : Rotation du

dirigeant et performance de la firme » ISCAE, année universitaire 2003-2004
5. ARTICLES :
 Anis Wahabi « Loi sur la sécurité financière et nouveaux enjeux de la profession

comptable » Audit net Tunisie, 2005
 « Compliance with laws and regulations and guidance on compliance

implementation » The institute of internal auditors, 2003
 Hervé Stolowy, Edouard Pujol, Mauro Polinari « Audit financier et contrôle

interne : apport de la loi Sarbanes-Oxley », 2004
162
 « Sarbanes-Oxley Act of 2002 – Frequently Asked Questions » SEC, novembre

2002
 M. Rioux « A la rescousse du capitalisme américain: la loi Sarbanes-Oxley »

Observatoire des Amériques, janvier 2003
 « How the Sarbanes-Oxley Act of 2002 Impacts » the Accounting Profession

American Institute of Certified Public Accountants (AICPA), août 2002
 Rich Miller « Additional Aspects of Sarbanes-Oxley Act Explained » the

Accounting Profession American Institute of Certified Public Accountants
(AICPA), 2002
 Laurent de Jerphanion « Sarbanes-Oxley Compliance and Identity and Access

Management » Evidian, 2005.
 « Contrôle interne concept et réalité : Résultat de l’enquête 2003 sur la

sensibilisation et la préparation des entreprise aux dispositions de la loi de sécurité
financière » Mazars, février 2004
 Pierre-Yves Fagot « Une Sarbanes-Oxley à la française » L’informatique

professionnel, mai 2005.
 BPMS.info « LSF, Sarbanes-Oxley, Bâle 2 : quelles obligations ?», avril 2005.
 Steve Stanek « Canada develops Sarbanes-like reporting requirements » Protiviti

knowledgeleader, juillet 2005.
 « Protiviti's Sarbanes-Oxley Section 404 Compliance Initiatives Methodology »

Protiviti knowledgeleader, janvier 2006.
 « Pour un meilleur gouvernement des entreprises cotées » Rapport du groupe de

travail présidé par Daniel Bouton, septembre 2002
 « Le conseil d’administration des sociétés cotées » Rapport du groupe de travail de

l’Association Française des Entreprises Privées et du Conseil National du Patronat
Français, juillet 1995
 « Rapport du comite sur le gouvernement d’entreprise présidé par M. Marc

VIENOT » Association Française des Entreprises Privées (A F E P) et Mouvement
des Entreprises de France (M E D E F), juillet 1999.
163
 Anita Campion « Améliorer le contrôle interne » MicroFinance Network, juin 2003
 Laurent Cappelletti « La normalisation du contrôle interne : esquisse des

conséquences organisationnelles de la loi de sécurité financière » ISEOR, 2005.
 Tone at the Top « Putting COSO’s Theory into Pratice » The institute of internal
auditors, novembre 2004.
 KPMG consulting « Le “Code Lippens”: un nouveau code qui stimule l'efficacité

des pratiques de gouvernance d'entreprise des sociétés belges cotées en bourse »,
juin 2005
 « COBIT : évaluer l’adéquation du contrôle interne » Association Française de

l'Audit et du conseil Informatique, 2003
 « Comment concerning the Guidance for Smaller Public Companies Reporting on

Internal Control over Financial Reporting Exposure Draft » ISACA and the IT
Governance Institute (ITGI), janvier 2006
 By Janet L. Colbert et Paul L. Bowen « A Comparison of Internal Controls:

COBIT®, SAC, COSO and SAS 55/78 ».
 « The Combined Code of Corporate Governance (Turnbull Report) – UK » Protiviti

knowledgeleader, mai 2005.
 Marcel Borysiak, Markus Geginat, et Ronny Herkes « BALE 2, Risque

opérationnel : comment modéliser dans le cadre de l’approche AMA » Riskpartner,
mars 2003.
 Abderraouf Yaïch « Description normative des procédures de contrôle interne de la

comptabilité financière ».
 Julien Batac et David Carassus « Evolution des normes de contrôle organisationnel:

degrés d’application du contexte public local » 2001.
:
 « Gouvernance d’entreprise un tremplin pour nos gestionnaires de risques » AON,
2005.
 Hamid Bouchikhi « Le gouvernement des entreprises françaises de demain» Revue

française de gestion n°100, décembre 1994.
164
 Gérard Charreaux « Pour une véritable théorie de la latitude managériale et du

gouvernement des entreprises » Revue française de gestion n°111, 1996.
 « Projet de règles canadienne sur les rapports sur le contrôle interne » KPMG,
février 2005.
 « Practice Advisory 2030-2: SEC External Auditor Independence Requirements for

Providing Internal Audit Services » The institute of internal auditors, octobre 2001
 « Aperçu des normes internationales en matière de comptabilité, d’audit et de

contrôle interne dans le secteur public » le secrétariat du programme d’examen des
dépenses publiques et d’évaluation de la responsabilité financière (PEFA), mars
2003
 « Le commissaire aux comptes dans les PME : Livre blanc » Institut français des
experts-comptables et des commissaires aux comptes, janvier 2005
 « Politiques et normes d’audit de la cour » Cour des comptes européenne, mai

2000.
 « IAASB annual report 2003 » IFAC 2004
 « Le nouveau modèle de risque d’audit » Bulletin d’information IRE n° 5/2005
 Michael Ramos « Evaluate the Control Environment » American Institute of

Certified Public Accountants (AICPA) 2005.
 « Proposed statement on auditing standards: communication of internal control

related matters noted in an audit » American Institute of Certified Public
Accountants (AICPA), décembre 2005
 Christophe Puigbo, Jean-Michel Mathieu, Frédéric Chanfrau « La sécurité de votre

ERP : évaluer les risques et maîtriser les points clés » Ernst & Young, avril 2004
 Ashley Hartley « Assessing ERP Systems and Internal Controls Effectiveness »

Protiviti knowledgeleader, mai 2003.
 Agence financière, Ambassade de France à Washington « Contrôle interne: Après

la SEC, le PCAOB s’apprête à publier une règle imposant aux auditeurs externes
des standards rigoureux en matière d’audit du contrôle interne » février 2004.
165
 Robert Durak « GAAS and PCAOB Standards: Applicability and Integration » the
Accounting Profession American Institute of Certified Public Accountants
(AICPA) 2004
 « Internal control assessment by management: key issues for management the

Accounting Profession » American Institute of Certified Public Accountants
(AICPA), mars 2003
 KPMG Suisse et l’institut de comptabilité et de controlling de l’Université de

Zurich « Le contrôle interne dans la pratique Suisse actuelle » KPMG holding
2005.
 Deloitte France « Premier bilan des rapports sur le contrôle interne », mai 2004.
 Deloitte France « rapport sur le contrôle interne connaît une deuxième année
d’application en demi-teinte », mai 2005
 « Le contrôle interne informatique face à la loi de sécurité financière »

Protiviti knowledgeleader, mai 2004
 « Rapports sur le contrôle interne à l'égard de l'information financière » Institut

Canadien des Experts- Comptables (CICA) 2005
.
 Mostapha FAIK « Contrôle interne et culture de l’éthique dans les organisations
publiques : Expérience marocaine », mai 2003.
 PricewaterhouseCoopers « Way Risk Management Matters: COSO’s “Enterprise

Risk Management Integrated Framework” », novembre 2004.
 The institute of internal auditors « Internal Audit Standards: Why They Matter »
2005.
 John Frank « Clock ticking for Standard 1312 compliance » Protiviti

knowledgeleader, janvier 2005.
 Steve Stanek « Reporting on the Effectiveness of Internal Controls »

Protiviti knowledgeleader, septembre 2002.
 « Section 404 Internal Control Material Weakness Dashboard Results for the first 3
Quarters of Section 404 Disclosures Based on filings as of November 15, 2005 »
Audit Analytics, novembre 2005
166
 Parveen P. Gupta « SEC Material Weakness Reports: Reported Control Problems »

septembre 2004.
 The Bulletin « Wanted: A Cost-Effective Approach to Validating Performance of

the Internal Control Structure » Protiviti knowledgeleader, 2005.
 The Bulletin « Section 404 Compliance: Planning for Next Year »

Protiviti knowledgeleader, 2005.
 « Assessing Risks and Internal controls » Protiviti knowledgeleader, 2004.
 L’AGEFI « La qualité du contrôle interne, un nouveau critère de valorisation des

sociétés cotées »
 Deloitte « Le contrôle interne est un point de plus en plus présent à l'ordre du jour
» mars 2005
 Deloitte Canada « Cap sur l’attestation des contrôles de communication de

l’information » 2005
 Steve Stanek « Assessing internal controls under Sarbanes-Oxley »

Protiviti knowledgeleader, mars 2003.
 Karen Titus « Internal and external audit: an evolving relationship »

Protiviti knowledgeleader, novembre 2003.
 « Contrôle interne et organisation comptable de l’entreprises » Les Editions Raouf

Yaich, 2000.
 Nancy A.Bagranoff and Laurie Henry « Choosing and using Sarbanes-Oxley

software » Information Systems Control Journal, Volume 2, 2005
 John Frank & Jeff Barrett « Control Self-Assessment: A Sarbanes-Oxley and

Enterprise Risk Management Tool » Protiviti knowledgeleader, mars 2004.
 Karen Titus « Self-Assessment: A tool for more effective corporate risk

management » Protiviti knowledgeleader, décembre 2002.
 Faiçal DERBEL « Transparence d’entreprise » Le Temps Economia, mai 2006
167
 Rached FOURATI « La loi relative au renforcement de la sécurité financière : une

avancée incontestable dans la consolidation de l’actionnariat en Tunisie »
L’Economiste, janvier 2006.
 Comité juridique de l’ANSA « Commentaires relatifs au rapport sur le contrôle

interne prévu par la LSF » ANSA, novembre 2003.
6. DICTIONNAIRES :
 Encyclopédie BORDAS, volume 7, janvier 1995.
 Grand LAROUSSE en 10 volumes, volume 8, mars 1995.
 ENCYCLOPAEDIA UNIVERSALIS, corpus 17, 1995.
7. TEXTES REGLEMENTAIRES :
 Loi n° 2005-96 du 18 octobre 2005, relative au renforcement de la sécurité des

relations financières.
 Loi n° 2000-93 du 3 novembre 2000, portant promulgation du code des sociétés

commerciales, tel que modifié par la loi n° 2005-65 du 27 juillet 2005.
 Loi n° 2001-117 du 6 décembre 2001, complétant le code des sociétés

commerciales.
 Loi n° 2005-12 du 26 janvier 2005, portant modification de quelques dispositions

du code des sociétés commerciales.
 Loi n° 2005-65 du 27 juillet 2005, complétant et modifiant le code des sociétés

commerciales.
 Loi n° 94-117 du 14 novembre 1994, portant réorganisation du marché financier.
 Arrêté du ministre des finances du 13 février 1997, portant visa du règlement

général de la bourse des valeurs mobilières de Tunis, tel que modifié par arrêtés du
ministre du finance du 9 septembre 1999 et du 24 septembre 2005.
168
 décret n° 87-529 du 1er avril 1987, fixant les conditions et les modalités de la
révision des comptes des établissements public à caractère industriel et commercial
et des sociétés dont le capital est totalement détenu par l’état
 Public Law 107-204 July 30,2002 « Sarbanes-Oxley Act of 2002, Corporate

responsibility ».
 Loi française de sécurité financière n° 2003-706 du 1er août 2003.
 Règlement canadien n° 52-111 sur les rapports sur le contrôle interne à l’égard de
l’information financière
8. SITES INTERNET :
 IFAC : International Federation of Accountants : WWW.IFAC.ORG
 ISACA : Information Systems Audit and Control Association : WWW.ISACA.ORG
 The Institute of Internal Auditor : WWW.THEIIA.ORG
 AFAI : Association Française de l’Audit et du conseil Informatique :

WWW.AFAI.ASSO.FR
 Ernest & Young : WWW.EY.COM
 Deloitte Touche Tohmatsu : WWW.DELOITTE.COM
 PriceWaterhouseCoopers : WWW.PWC.COM
 KPMG : WWW.KPMG.COM
 Committee of Sponsoring Organizations of the Treadway Commission :

WWW.COSO.ORG
 American Institute of Certified Public Accountants : WWW.AICPA.ORG
 Protiviti knowledgeleader : WWW.KNOWLEDGELEADER.COM
169
ANNEXES
170
Annexe : Proposition de modèles d’évaluation du contrôle interne selon

le type de jugement exprimé par le professionnel
EXEMPLE A
Modèle de rapport comportant une opinion sans réserve sur l’efficacité du contrôle interne
EVALUATION GENERALE DU CONTROLE INTERNE
Aux actionnaires de la Société W ltée,
J’ai vérifié l’efficacité du contrôle interne de la Société W ltée au 31 décembre 200N

selon [des critères de contrôle valables, par exemple «les critères établis dans le rapport
“Internal Control — Integrated Framework” publié par le Committee of Sponsoring
Organizations (COSO) de la Treadway Commission»]. La direction de la Société W ltée
est responsable du maintien d’un contrôle interne efficace. Ma responsabilité consiste à
exprimer une opinion sur l’efficacité du contrôle interne de la société en me fondant sur
ma vérification.
Conformément au COSO le contrôle interne étant un processus intégré mis en oeuvre par
les responsables et le personnel d’une organisation et destiné à traiter les risques et à
1) exécution d’opérations efficientes et efficaces ; 2) respect des obligations de rendre
compte ; 3) conformité aux lois et réglementations en vigueur.
Ma vérification de l’efficacité du contrôle interne de la Société W ltée a été accomplie

conformément aux normes ISAE relatives aux missions d’assurance. Ces normes exigent
que l’audit soit planifié et exécuté de manière à fournir l’assurance raisonnable qu’un
contrôle interne efficace était maintenu, à tous les égards importants. Ma vérification a
compris l’acquisition d’une compréhension du contrôle interne, la mise en oeuvre de tests
171
et l’évaluation de l’efficacité de la conception et du fonctionnement du contrôle interne

ainsi que la mise en oeuvre d’autres procédés que j’ai jugés nécessaires dans les
circonstances. J’estime que ma vérification constitue une base raisonnable à l’expression
de mon opinion.
A mon avis, la Société W ltée maintenait, à tous les égards importants, un contrôle interne
efficace au 31 décembre 200N selon [des critères de contrôle valables pour l’appréciation
de l’efficacité du contrôle interne à l’égard de l’information financière et la délivrance
d’un rapport à l’issue de cette appréciation].
En raison des limites qui lui sont inhérentes, il se peut que le contrôle interne ne permette
pas de prévenir ou de détecter certaines inexactitudes. De plus, toute projection du
résultat d’une évaluation de son efficacité sur des périodes futures est exposée au risque
que les contrôles deviennent inadéquats en raison de changements de situation ou d’une
détérioration du niveau de respect des politiques ou des procédures.
[Lieu] (Signature)
[Date] COMMISSAIRE AUX COMPTES
172
EXEMPLE B
Modèle de rapport comportant une opinion défavorable sur l’efficacité du contrôle interne en raison de
l’existence d’une faiblesse importante

ma vérification.
Conformément au COSO, le contrôle interne étant un processus intégré mis en oeuvre par
Ma vérification de l’efficacité du contrôle interne de la Société W ltée a été accomplie

conformément aux normes ISAE relatives aux missions d’assurance. Ces normes exigent
que l’audit soit planifié et exécutée de manière à fournir l’assurance raisonnable qu’un
contrôle interne efficace était maintenu, à tous les égards importants. Ma vérification a
compris l’acquisition d’une compréhension du contrôle interne, la mise en oeuvre de tests
et l’évaluation de l’efficacité de la conception et du fonctionnement du contrôle interne
ainsi que la mise en oeuvre d’autres procédés que j’ai jugés nécessaires dans les
circonstances. J’estime que ma vérification constitue une base raisonnable à l’expression
de mon opinion.
173
Une faiblesse ou anomalie importante est une déficience du contrôle, ou une combinaison
de déficiences du contrôle, dont l’impact sur l’entité et sur sa capacité d’atteindre ces
objectifs, est jugé significatif. [Description de la faiblesse importante et de son incidence
sur l’atteinte des objectifs des critères de contrôle].
A mon avis, en raison de l’effet de la faiblesse importante décrite ci-dessus sur l’atteinte
des objectifs des critères de contrôle, la Société W ltée ne maintenait pas un contrôle
interne efficace au 31 décembre 200N selon [des critères de contrôle valables, par
exemple «les critères établis dans le rapport “Internal Control — Integrated Framework”
publié par le Committee of Sponsoring Organizations (COSO) de la Treadway
Commission»].
En raison des limites qui lui sont inhérentes, il se peut que le contrôle interne ne permette
pas de prévenir ou de détecter certaines inexactitudes. De plus, toute projection du résultat
d’une évaluation de son efficacité sur des périodes futures est exposée au risque que les
contrôles deviennent inadéquats en raison de changements de situation ou d’une
détérioration du niveau de respect des politiques ou des procédures.
[Lieu] (Signature)
174
EXEMPLE C
Modèle de rapport comportant une opinion avec réserve sur l’efficacité du contrôle interne en raison d’une
limitation du travail de vérification

ma vérification.
Conformément au COSO, le contrôle interne étant un processus intégré mis en oeuvre par
A l’exception de ce qui est mentionné dans les paragraphes suivants, ma vérification de

l’efficacité du contrôle interne de la Société W ltée a été accomplie conformément aux
normes ISAE relatives aux missions d’assurance. Ces normes exigent que l’audit soit
planifié et exécuté de manière à fournir l’assurance raisonnable qu’un contrôle interne
efficace était maintenu, à tous les égards importants. Ma vérification a compris
l’acquisition d’une compréhension du contrôle interne, la mise en oeuvre de tests et
l’évaluation de l’efficacité de la conception et du fonctionnement du contrôle interne ainsi
que la mise en oeuvre d’autres procédés que j’ai jugés nécessaires dans les circonstances.
175
J’estime que ma vérification constitue une base raisonnable à l’expression de mon

opinion.
Une faiblesse ou anomalie importante est une déficience du contrôle, ou une combinaison
de déficiences du contrôle, dont l’impact sur l’entité et sur sa capacité d’atteindre ces
objectifs, est jugé significatif. [Description d’anomalie ou de la faiblesse importante et de
son incidence sur l’atteinte des objectifs des critères de contrôle.].
Exemple d’anomalie ou de faiblesse importante :

Avant le 20 décembre 200N, le système dont disposait la Société W ltée pour enregistrer
ses encaissements était inadéquat, ce qui aurait pu faire en sorte que des encaissements
sur les comptes clients de la société ne soient pas comptabilisés correctement et en
totalité. Par conséquent, les sommes reçues auraient pu être détournées à des fins non
autorisées, être perdues, ou ne pas être portées correctement au crédit des comptes clients.
A mon avis, cette situation constituait une faiblesse importante dans la conception ou le
fonctionnement du contrôle interne à l’égard de l’information financière de la Société W
ltée avant le 20 décembre 200N. Bien que la société ait mis en place un nouveau système
de traitement des encaissements le 20 décembre 200N, celui-ci n’a pas fonctionné
pendant une période suffisamment longue pour me permettre de réunir des éléments
probants suffisants de son fonctionnement efficace.
A mon avis, à l’exception de l’effet des problèmes que j’aurais pu découvrir si j’avais pu
examiner des éléments probants de l’efficacité du nouveau système de traitement des
encaissements, la Société W ltée maintenait, à tous les égards importants, un contrôle
interne efficace au 31 décembre 200N selon [des critères de contrôle valables, par
exemple «les critères établis dans le rapport “Internal Control — Integrated Framework”
publié par le Committee of Sponsoring Organizations (COSO) de la Treadway
Commission»].
176
En raison des limites qui lui sont inhérentes, il se peut que le contrôle interne à l’égard de
l’information financière ne permette pas de prévenir ou de détecter certaines
inexactitudes. De plus, toute projection du résultat d’une évaluation de son efficacité sur
des périodes futures est exposée au risque que les contrôles deviennent inadéquats en
raison de changements de situation ou d’une détérioration du niveau de respect des
politiques ou des procédures.
[Lieu] (Signature)
177
EXEMPLE D
Modèle de rapport comportant une impossibilité d’exprimer une opinion sur l’efficacité du contrôle interne
en raison d’une limitation du travail de vérification
On m’a confié la mission de vérifier l’efficacité du contrôle interne de la Société W ltée

au 31 décembre 200N selon [des critères de contrôle valables, par exemple «les critères
établis dans le rapport “Internal Control — Integrated Framework” publié par le
Committee of Sponsoring Organizations (COSO) de la Treadway Commission»]. La
direction de la Société W ltée est responsable du maintien d’un contrôle interne efficace.
Ma responsabilité consiste à exprimer une opinion sur l’efficacité du contrôle interne de
la société en me fondant sur ma vérification.
Conformément au COSO le contrôle interne étant un processus intégré mis en oeuvre par
[Paragraphe d’énoncé de restriction décrivant la limitation généralisée du travail de

vérification.]
En raison de la limitation généralisée de mon travail de vérification qui est décrite au

paragraphe précédent, je suis dans l’impossibilité d’exprimer une opinion, et je n’exprime
aucune opinion sur l’efficacité du contrôle interne de la Société W ltée.
En raison des limites qui lui sont inhérentes, il se peut que le contrôle interne à l’égard de
l’information financière ne permette pas de prévenir ou de détecter certaines
178
inexactitudes. De plus, toute projection du résultat d’une évaluation de son efficacité sur
des périodes futures est exposée au risque que les contrôles deviennent inadéquats en
raison de changements de situation ou d’une détérioration du niveau de respect des
politiques ou des procédures.
[Lieu] (Signature)
179

Cadre Reglementaire Et Conceptuel Du Controle Interne, Proposition D'Une Methodologie D'Evaluation

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Cadre Reglementaire Et Conceptuel Du Controle Interne, Proposition D'Une Methodologie D'Evaluation

Încărcat de

Drepturi de autor:

Formate disponibile

Cadre réglementaire et conceptuel du contrôle interne, proposition d’une méthodologie d’évaluation

INSTITUT SUPERIEUR DE COMPTABILITE ET

COMMISSION D’EXPERTISE COMPTABLE

MEMOIRE ELABORE EN VUE DE L’OBTENTION DU

Elaboré par : Directeur de recherche :

- A mes parents pour leur dévouement et leurs sacrifices

Mohamed Moez KTARI

Table des Matières

CHAPITRE 1 : CADRE REGLEMENTAIRE DU CONTROLE INTERNE……..11

Section 1 : Obligations légales sur le plan international en matière de contrôle interne.12

§ 1 : Apport de la loi Sarbane-Oxley en matière de réglementation du contrôle interne12

§ 2 : Apport de la loi française de sécurité financière en matière de réglementation du

§ 1 : Cadre réglementaire du contrôle interne avant l’apparition de la loi n°2005-65

§ 2 : Apport des récentes réformes juridiques en matière de contrôle interne ...………26

CHAPITRE 2 : CADRE CONCEPTUEL DU CONTROLE INTERNE…………..34

Section 1 : Définition et évolution du contrôle interne ……………….…………………..34

§ 1 : Définition et objectifs du contrôle interne……………………..………………….34

§ 2 : Evolution du concept de contrôle interne….……………………………………...38

Section 2 : Les fondements d’un système de contrôle interne conformément au référentiel

§ 1 : Composantes du contrôle interne …………………………………………….…..43

§ 2 : Rôles et responsabilités en matière de contrôle interne…………………………...58

CHAPITRE 1 : CADRE REGLEMENTAIRE EN MATIERE D’EVALUATION DU

Section 1 : Obligations légales sur le plan international en matière d’évaluation du

§ 1 : Apport de la loi Sarbane-Oxley en matière d’évaluation du contrôle interne…….64

§ 2 : Apport de la loi française de sécurité financière en matière d’évaluation du

Section 2 : Obligations légales sur le plan national en matière d’évaluation de contrôle

§ 1 : Réglementation de l’évaluation du contrôle interne avant l’apparition de la Loi

§ 2 : Apport des récentes réformes juridiques en matière d’évaluation du contrôle

CHAPITRE 2 : NORMALISATION EN MATIERE D’EVALUATION DU CONTROLE

Section 1 : Normes de l’IFAC………………………………………………………………81

§ 1 : Cas d’une mission autonome d’assurance concernant l’efficacité du contrôle

§ 2 : Evaluation du contrôle interne intégrée à la mission d’audit des comptes

Section 2 : Normes du PCAOB.……………………………………………………….…..102

§ 1 : Apport des normes du PCAOB en matière d’évaluation du contrôle interne …..102

§ 2 : Adéquation des normes internationales avec le cadre tunisien.………..………..111

CHAPITRE 1 : DEVELOPPEMENT D’UN PROGRAMME DE TRAVAIL A SUIVRE PAR LE

Section 1 : Méthodologie à adopter par le commissaire aux comptes pour la réalisation

§ 2 : Détection des risques non couverts par des contrôles …………………………..126

Section 2 : Prise en comptes des travaux de l’audit interne……………………………..128

§ 1 : Prise de connaissance et évaluation des travaux de l’audit interne …………..…129

§ 2 : Liaisons et coordination avec les auditeurs internes de la société……………….132

CHAPITRE 2 : FORME ET CONTENU DE L’EVALUATION GENERALE A PRESENTER

Section 1 : Matérialisation de l’évaluation faite par le professionnel du contrôle

§ 2 : Appréciation de l’impact cumulé qu’ils peuvent avoir sur l’opinion du

Section 2 : Présentation de l’évaluation générale du contrôle interne dans le rapport

§ 1 : Positionnement de l’évaluation générale du contrôle interne dans le rapport du

§ 2 : Les mentions obligatoires composant l’évaluation générale du contrôle interne

Liste des abréviations…………………………………………………………………..……142

De ce fait, le cadre réglementaire du contrôle interne a été institué ou renforcé par

A l’étranger, la promulgation du Sarbanes-Oxley act a provoqué tout un mouvement de

Guidé par trois grands principes soit, l'exactitude et l'accessibilité de l'information, la

Dans la foulée de la loi américaine, on a noté l’apparition de tout un courant de réformes

En Tunisie, le législateur, souciant de suivre le courant mondial et particulièrement les

En effet, l’apparition de telles obligations légales, se rattachant au contrôle interne, rend

A côté du modèle américain, on peut citer d’autres expériences édifiantes comme ;

A ce sujet et dans le cadre de la loi Sarbanes-Oxley (sections 101-109), un nouvel

En vu d’organiser les nouvelles obligations prévues par la section 404 du SOX, le

Parallèlement, les organismes normalisateurs en matière d’audit ont déclenché des

En effet, L'International Auditing and Assurance Standards Board (IAASB) a publié en

L’ISA 3156, traitant de la « compréhension de l'entité et de son environnement et

De ce fait, un exposé des approches, sur le plan international, en matière d’évaluation de

L’article 15 de la loi 2005-96, relative au renforcement de la sécurité des relations

La difficulté de mise en pratique de cette obligation légale, incombant aux commissaires