Pris en tant que processus isolé, le contrôle interne peut manquer de pertinence. C’est dans le cadre de la stratégie de gestion des risques qu’il prend toute sa dimension. Étroitement liées, ces deux notions se renforcent mutuellement.
À la fois outil opérationnel et de surveillance, le contrôle interne s’impose à toutes les entreprises, collectivités et administrations publiques désireuses de déployer un management des risques efficace. Processus transversal, le contrôle interne permet non seulement de maîtriser les risques qui menacent l’organisation, mais aussi de vérifier la bonne application et l’efficacité des actions de prévention et de remédiation mises en place. Comment bien intégrer le dispositif de contrôle interne à la gestion des risques et bien protéger votre entreprise ou institution ? Zoom sur quelques bonnes pratiques.
Contrôle interne et gestion des risques : des liens étroits
Le contrôle interne vise à garantir l’efficacité des opérations, la fiabilité des informations financières, la sécurité du patrimoine et des données, la conformité aux lois et règlements. Mot à double sens, contrôler signifie à la fois maîtriser et vérifier.
Le contrôle interne comme bras armé de la maîtrise des risques
Le contrôle interne est le pilier opérationnel de la maîtrise des risques. Il consiste à définir et à appliquer un ensemble de procédures et de contrôles harmonisés et partagés, destinés à sécuriser les processus et activités de l’entreprise, de la collectivité ou de l’administration.
Le contrôle interne concerne toutes les organisations du secteur privé et public. Au vu de l’ampleur et de la diversité des risques, il ne se réduit plus aux seuls aspects comptables, budgétaires et réglementaires. Dans le cadre d’une démarche collective transversale, les actions de contrôle s’appliquent à toutes les strates, fonctions et activités de l’organisation. Elles s’adaptent à ses enjeux et priorités, en fonction des risques identifiés.
Par exemple, une collectivité pourra prioriser la mise en place de procédures claires et structurées pour sécuriser ses procédures de marchés publics. Une entreprise du bâtiment ciblera son dispositif de contrôle interne sur le respect des règles de sécurité physique. Une société du CAC 40 devra respecter une réglementation budgétaire et financière stricte et renforcer ses contrôles en la matière.
Le contrôle interne comme gendarme de la gestion des risques
Le contrôle interne joue également un rôle de surveillance dans la gestion des risques. Il garantit la bonne application, la conformité et l’efficacité des opérations par la mise en place de « contrôles des contrôles ».Les remontées d’informations des collaborateurs et des vérifications régulières et périodiques améliorent en continu le dispositif de contrôle interne afin de l’adapter aux réalités du terrain et à l’évolution des risques.
Comment intégrer le dispositif de contrôle interne à la gestion des risques ?
Pour être efficace, le dispositif de contrôle interne doit être pensé en relation étroite avec la politique de maîtrise des risques, et ce à toutes les étapes de son déploiement.
Lier la gouvernance et les stratégies de contrôle interne et de gestion des risques
Intégrer le contrôle interne à la politique de maîtrise des risques signifie :
- Mettre en place un cadre commun et une gouvernance indépendante, impartiale et partagée de la maîtrise des risques et du contrôle interne.
- Intégrer la planification stratégique avec des objectifs de contrôle interne alignés sur les objectifs stratégiques de l’organisation et sur ses objectifs de maîtrise des risques.
- Impliquer la direction, avec un engagement affirmé des dirigeants et élus envers la maîtrise des risques et le contrôle interne, et l’allocation des ressources financières et humaines nécessaires à ces missions.
- Définir clairement les responsabilités en nommant un chef de projet unique ou en rapprochant les services et experts du contrôle interne et du management des risques.
- Partager la documentation et les référentiels, en combinant les instructions relatives au contrôle interne et les instructions relatives à la maîtrise des risques.
- Diffuser une culture interne d’intégrité et de transparence pour mobiliser l’ensemble des collaborateurs.
Pour harmoniser les dispositifs de contrôle interne et de maîtrise des risques, l’organisation peut s’appuyer sur la norme internationale ISO 31000. Elle trace les grandes lignes directrices du management des risques et de son intégration à la gouvernance, la stratégie, la planification, les valeurs et les processus de l’entreprise ou de la collectivité, dont le contrôle interne.
Imbriquer évaluation des risques et contrôle interne
L’évaluation des risques est une étape préalable incontournable, aussi bien pour élaborer le plan de maîtrise des risques que pour prioriser les contrôles internes.
Les points faibles de l’organisation et leur niveau de criticité sont répertoriés dans la cartographie des risques. Grâce à une méthode de scoring, ce document caractérise et hiérarchise les risques en fonction de leur probabilité de survenance et de leur impact. Les résultats permettent de définir les périmètres, processus et fonctions à contrôler en priorité.
La gestion des risques et le contrôle interne peuvent être déployés dans l’ensemble de l’entreprise ou de la collectivité, ou seulement sur certains sites, filiales, établissements ou activités.
Définir des mesures de contrôle interne proportionnelles aux risques
Les mesures de contrôle interne sont adaptées aux objectifs, enjeux et risques identifiés.
Validation hiérarchique, procédure, règlement, référentiel, grille de séparation des tâches, droits d’accès physiques et informatiques, documentation, équipements de protection, flow chart, etc : la large palette des outils de contrôle offre de multiples solutions aux entreprises et collectivités pour déployer des contrôles de prévention et de détection sur mesure, en phase avec les risques.
Définir des éléments de langage commun
Lier dans les discours la maîtrise des risques au contrôle interne renforce l’efficacité de ce dernier. La gestion des risques donne un sens et une raison d’être au contrôle interne. Elle élève la vision et transforme, dans l’esprit des collaborateurs, des procédures contraignantes en outils facilitateurs, les protégeant des erreurs et préservant leur avenir.
Comprendre les risques aide chacun à comprendre son rôle pour les déjouer. La diffusion d’une culture commune du risque favorise l’adhésion des collaborateurs à la nécessité du contrôle interne.
Les équipes de gestion des risques et du contrôle interne ont la responsabilité de communiquer des informations claires, fiables, régulières et pertinentes. Les dirigeants et élus donnent l’impulsion, en incarnant les valeurs fondamentales de leur entreprise ou collectivité.
Améliorer en continu le contrôle interne pour une maîtrise des risques optimisée
Améliorer en continu le contrôle interne optimise la gestion des risques. Un dispositif de contrôle interne efficace s’appuie sur un suivi régulier et une surveillance permanente incluant :
- Des « contrôles de contrôles »
- Des feed backs des collaborateurs
- Des revues et audits internes périodiques et ciblés
- Des indicateurs de performance KPI
La combinaison de ces outils permet d’ajuster et d’améliorer le dispositif de contrôle interne pour une gestion des risques toujours mieux maîtrisée.
Les bonnes pratiques du contrôle interne pour des risques maîtrisés
Si la mise en œuvre du contrôle interne est propre à chaque organisation en fonction de ses enjeux et de ses risques, quelques pratiques clés aident à l’optimiser. Intégrer ces principes renforce l’efficacité de la gestion des risques, ainsi que la confiance de toutes les parties prenantes, internes et externes.
La séparation des fonctions
La séparation des fonctions est un principe fondamental du contrôle interne. Pour chaque activité et fonction, les responsabilités sont réparties de sorte qu’aucun collaborateur ne contrôle l’ensemble d’un processus de A à Z. La séparation des tâches réduit les risques de fraude, d’erreurs et de corruption.
L’instauration de plusieurs niveaux de contrôle
Le dispositif de contrôle interne peut se structurer en trois niveaux de contrôle :
- Le contrôle de premier niveau exercé par les opérationnels dans le cadre de leurs activités quotidiennes.
- Le contrôle de deuxième niveau exercé par des contrôleurs internes, indépendants des lignes opérationnelles qu’ils contrôlent.
- Le contrôle de troisième niveau exercé par des auditeurs internes impartiaux.
Instaurés à différents stades des opérations, les contrôles détectent les risques et corrigent les dysfonctionnements avant qu’ils n’affectent l’organisation. Les contrôles sont préventifs, pour éviter les incidents, ou détectifs, pour identifier les anomalies après coup et mettre en place des mesures de remédiation.
Le partage de valeurs éthiques
La mise en avant de valeurs éthiques favorise la compréhension et l’acceptation du contrôle interne et de la gestion des risques par les salariés ou agents publics.
Une culture d’entreprise forte, ancrée dans des valeurs d’intégrité, de transparence et de responsabilité encourage les bons comportements des collaborateurs, le respect des règles et l’application des mesures de contrôle interne.
Le partage de valeurs éthiques
La mise en avant de valeurs éthiques favorise la compréhension et l’acceptation du contrôle interne et de la gestion des risques par les salariés ou agents publics.
Une culture d’entreprise forte, ancrée dans des valeurs d’intégrité, de transparence et de responsabilité encourage les bons comportements des collaborateurs, le respect des règles et l’application des mesures de contrôle interne.
La formation continue du personnel
Les risques évoluent. Un contrôle interne efficace nécessite la formation continue du personnel, notamment des collaborateurs les plus exposés aux risques.
Pour bien comprendre et appliquer les contrôles, ils doivent bénéficier de formations régulières sur les procédures de contrôle interne, les nouvelles règles et les meilleures pratiques.
Des contrôles internes automatisés
Transversal à toute l’organisation, le dispositif de contrôle interne peut s’avérer complexe. Les outils de GRC (Gouvernance Risque Conformité) et tous les logiciels dédiés à la gestion des risques et au contrôle permettent, grâce à des fonctionnalités de suivi et d’automatisation, d’éviter les erreurs humaines et les oublis.
Le recours à des outils ergonomiques et intuitifs facilite le travail collaboratif et l’engagement de tous dans la maîtrise des risques. Les contrôles automatisés offrent également une traçabilité et une transparence accrues, facilitant les audits et les revues.
La synergie entre le contrôle interne et la gestion des risques assure la pérennité et la performance des entreprises, collectivités et administrations publiques. A contrario, déployer une gestion des risques sans contrôle interne, ou déployer un dispositif de contrôle interne sans gestion des risques, fait perdre en efficacité et pertinence. C’est en liant les deux que l’organisation maximise sa protection, tout en optimisant ses performances opérationnelles. Adopter une approche intégrée et proactive du contrôle interne et de la gestion des risques est la clé de la réussite à long terme. C’est en cultivant cette approche que les entreprises, collectivités et administrations publiques maximiseront leur résilience et leur capacité à prospérer dans un environnement en constante évolution.