Le contrôle interne est un pilier opérationnel de la gestion des risques dans les entreprises, collectivités et administrations publiques. Les objectifs ? Assurer l’efficacité des opérations, sécuriser le patrimoine et les données, garantir la conformité aux lois et règlements. En adoptant des mesures de contrôle interne, les acteurs publics et privés assurent leur pérennité et gagnent la confiance de leurs partenaires.
Bras armé du management des risques, le contrôle interne repose sur quelques principes de base. Issus du référentiel COSO (Committee Of Sponsoring Organizations of the Treadway Commission), ils sont destinés à protéger les actifs, prévenir les cas de fraudes, les erreurs et la corruption, et optimiser l’efficacité quotidienne et la performance à long terme. Zoom sur ces grands principes, gage de stabilité et d’efficacité pour les entreprises et collectivités.
Qu’est-ce que le contrôle interne ?
Le contrôle interne est un processus opérationnel continu, transversal et partagé de gestion des risques. Il vise d’une part à maîtriser les risques auxquels l’entreprise ou la collectivité est exposée, et d’autre part à vérifier la bonne application des actions de prévention et de remédiation de ces risques.
Le contrôle interne repose sur un ensemble de règles, de procédures, de méthodes et d’opérations de contrôle, intégrées aux missions opérationnelles quotidiennes des collaborateurs.
Le contrôle interne n’est pas une obligation pour les entreprises, collectivités et administrations publiques. Légalement, il ne s’applique qu’aux banques, sociétés de financement et établissements de paiement réglementés par le Code monétaire et financier. Dans la pratique, aucune politique de gestion des risques performante ne peut faire l’impasse sur le contrôle interne, seul à même de constater et d’assurer l’efficacité du système de contrôle mis en place.
1er principe : un environnement de contrôle intègre et solide
Le contrôle interne exige une organisation structurelle intègre et rigoureuse. L’environnement de contrôle constitue la fondation de l’ensemble du dispositif de contrôle interne et influence le comportement des collaborateurs.
Le contrôle interne repose sur plusieurs principes clés :
- Une gouvernance indépendante et impartiale de la gestion des risques et un engagement de la direction et du management envers le contrôle interne : nommer un chef de projet dédié au management des risques – ou risk manager – garantit la définition, la mise en œuvre, le pilotage et le suivi d’un contrôle interne efficace.
- Une définition claire des responsabilités et des rapports hiérarchiques, basée sur l’engagement envers les compétences : l’organisation doit s’assurer que chaque collaborateur dispose des compétences nécessaires pour remplir leurs fonctions.
- La défense de l’intégrité et de valeurs éthiques : incarnées par la direction, elles peuvent être édictées dans un code de conduite interne diffusé à l’ensemble du personnel.
- La séparation des fonctions et des tâches de décision, de détention matérielle des valeurs et des biens, d’enregistrement et de contrôle. Au niveau informatique, cela se traduit concrètement par la mise en place de droits utilisateurs stricts avec un accès limité aux informations les plus sensibles.
- Des ressources humaines, financières et informatiques adéquates pour soutenir l’efficacité du contrôle interne.
2ème principe : une évaluation des risques rigoureuse
Un système de contrôle interne efficace cible les processus et les opérations les plus à risques. L’évaluation des risques est une étape préalable incontournable. Elle s’appuie sur la cartographie des risques.
La cartographie des risques identifie et hiérarchise les risques qui pèsent sur l’entreprise ou la collectivité, quelle que soit leur nature (risque financier, risque juridique, risque environnemental, risque humain, risque opérationnel, risque de réputation, risque de cybersécurité…) La cartographie classe les risques en tenant compte de leur probabilité de survenance et de leur impact potentiel sur l’entreprise ou l’institution publique. Ses résultats orientent les ressources du contrôle interne vers les fonctions et processus les plus à risques.
Processus dynamique et itératif, l’évaluation des risques doit être actualisée de façon périodique. Cette mise à jour permet d’intégrer les nouveaux risques et de constater l’évolution des menaces existantes à la hausse ou à la baisse.
3ème principe : des activités de contrôle proportionnées et flexibles
Les activités de contrôle participent à la prévention, à l’atténuation ou à la suppression des risques. Elles sont proportionnées aux objectifs, aux enjeux et aux risques de l’organisation et de chaque processus.
Les mesures de contrôle interne prennent plusieurs formes. Par exemple, elles s’appuient souvent sur l’élaboration de nouvelles procédures pour fiabiliser et sécuriser les opérations quotidiennes. Elles peuvent aussi aboutir à la séparation des fonctions pour éviter les risques d’erreurs, de fraude et de corruption. Elles peuvent encore consister à mettre en place des contrôles physiques et informatiques pour protéger les actifs, les locaux et les données. Les solutions de contrôle interne sont nombreuses et variées. Le défi pour le responsable de la gestion des risques ? Résister à la tentation de monter des « usines à gaz » opérationnelles qui décourageraient la mise en œuvre du dispositif de contrôle interne par les collaborateurs. S’il est exigeant et précis, le contrôle interne continu ne doit pas moins en rester flexible pour s’adapter aux évolutions de l’environnement interne et externe à l’organisation.
4ème principe : une information et une communication claires
Le contrôle interne bouleverse les habitudes quotidiennes de travail. L’implémentation d’un nouveau logiciel informatique, l’application d’une nouvelle procédure ou encore l’instauration d’un contrôle hiérarchique supplémentaire peuvent se heurter à la résistance au changement du personnel.
Une information, une documentation et des formations pédagogiques et adaptées aident à lever les freins et obtenir l’adhésion. La réussite du contrôle interne et son intégration dans le quotidien des collaborateurs reposent sur la promotion d’une véritable culture interne de contrôle, de transparence, d’intégrité et de responsabilité.
L’instauration d’un esprit d’entreprise éthique s’appuie sur une communication interne claire sur les objectifs et les responsabilités du contrôle interne. Elle exige aussi l’engagement et la participation active de la direction. Ce sont les conditions sine qua non pour que chaque collaborateur appréhende le contrôle interne non comme une contrainte, mais comme un atout qui sécurise son travail au quotidien.
L’entreprise ou la collectivité doit aussi soigner sa communication externe avec toutes les parties prenantes et partenaires pour expliquer et rassurer.
5ème principe : des activités de suivi et de surveillance permanentes
Les processus et contrôles en place doivent eux-mêmes être régulièrement contrôlés pour s’assurer de leur bonne application et de leur efficacité.
La performance du contrôle interne peut être analysée en continu via les retours d’expérience des collaborateurs et des « contrôles de contrôles », ou ponctuellement via des audits internes ciblés et approfondis.
Les auditeurs internes évaluent de manière indépendante, impartiale et objective le contrôle interne, identifient ses points forts et ses points d’amélioration, et proposent des pistes d’améliorations.
Un contrôle interne performant nécessite un cadre strict et intègre, reposant sur cinq principes : un environnement de contrôle solide, une évaluation des risques rigoureuse, des activités de contrôle proportionnées et efficientes, une communication claire et un suivi continu. Le contrôle interne exige l’engagement de tous, de la direction aux opérationnels. Processus transversal et complexe, il s’applique à tous les niveaux, tous les processus et toutes les fonctions. Le recours à un logiciel dédié sécurise le système de contrôle interne, simplifie sa mise en œuvre, facilite son pilotage et son suivi et favorise le travail collaboratif, pour un contrôle interne et une gestion des risques sûrs, efficaces et proactifs.