le contrôle interne assisté par ordinateur

61
Le Contrôle Interne Assisté par Ordinateur Etude de cas : VALDYS UNIVERSITE ROBERT SCHUMAN Ecole de Management de Strasbourg Master AUDIT FINANCIER ET OPERATIONNEL 2008-2009 Sujet du Mémoire : Nom et prénom : EZ-ZOUAK Mohammed

Upload: mohammed-ezzouak

Post on 27-Jul-2015

338 views

Category:

Documents


4 download

TRANSCRIPT

Page 1: Le Contrôle Interne Assisté par Ordinateur

Le Contrôle Interne Assisté par Ordinateur

Etude de cas : VALDYS

UNIVERSITE ROBERT SCHUMAN

Ecole de Management de Strasbourg

Master AUDIT FINANCIER

ET OPERATIONNEL

2008-2009

Sujet du Mémoire :

Nom et prénom : EZ-ZOUAK Mohammed

Page 2: Le Contrôle Interne Assisté par Ordinateur

2

Le Contrôle Interne Assisté par Ordinateur

Etude de cas : VALDYS

UNIVERSITE ROBERT SCHUMAN

Ecole de Management de Strasbourg

Master AUDIT FINANCIER

ET OPERATIONNEL

2008-2009

Sujet du Mémoire :

Nom et prénom : EZ-ZOUAK Mohammed

Organisme de stage : Mutuelle d’Entreprise Sochaux

Directeur du mémoire : Pr Pierre SCHEVIN

Maître de Stage : Mme Roselyne PATOIS (responsable de la mutuelle)

Page 3: Le Contrôle Interne Assisté par Ordinateur

3

REMERCIEMENTS

Ce mémoire pour l’obtention du diplôme M2 Audit Financier et Opérationnel est le résultat

d'un effort considérable. Cet effort n'aurait pu aboutir sans la contribution de plusieurs

personnes. Ainsi se présente l'occasion de les remercier : Tout d'abord,

Au Pr Pierre SCHEVIN, Le Directeur de ce mémoire pendant ce stage pour sa disponibilité

et ses conseils

A Mme Roselyne PATOIS, Responsable du service «Mutuelle d’Entreprise de Sochaux »,

mon encadrant professionnel pour son engagement total et ses conseils très constructifs

A Mme Nathalie De STEUR, responsable informatique à la MES, pour son assistance et ses

instructions.

Sans oublier tout le personnel de la Mutuelle sans exception pour leur support moral et

pédagogique pendant les 2 mois de ce stage

Et enfin, mes parents, ma famille et mon beau frère pour leurs soutien morale et financier

pendant cette année d’études

Page 4: Le Contrôle Interne Assisté par Ordinateur

4

Introduction _______________________________________________________________ 6

Partie (1) : Introduction au contrôle interne _____________________________________ 9

1 Cadre conceptuel du contrôle interne _______________________________________ 9

1.1 Etymologie du mot _______________________________________________________ 9

1.2 Définitions du contrôle interne _____________________________________________ 9

1.3 Le modèle COSO _______________________________________________________ 11

1.4 Sarbanes Oxley_________________________________________________________ 13

1.5 La Loi de la Sécurité Financière (LSF) _____________________________________ 14

1.6 Comparaison entre la loi Sarbanes Oxley et la loi de la Sécurité Financière_______ 15

2 La démarche du contrôle interne__________________________________________ 16

2.1 Définition et caractéristiques de la démarche de contrôle interne _______________ 16

2.2 Analyse de quelques modèles de la démarche de contrôle interne _______________ 17

3 Démarche classique adopté par les éditeurs de logiciels de contrôle interne _______ 19

3.1 Identification des processus_______________________________________________ 19

3.2 Déclinaison de la stratégie en objectifs _____________________________________ 20

3.3 Analyse des processus ___________________________________________________ 21

3.4 Evaluation des risques ___________________________________________________ 22

3.5 Mise en place des activités de contrôle______________________________________ 24

Partie (2) : Le Contrôle Interne Assisté par Ordinateur____________________________ 26

1 Introduction au Contrôle Interne Assisté par Ordinateur ______________________ 26

1.1 Le concept_____________________________________________________________ 26

1.2 Les objectifs du Contrôle Interne Assisté par Ordinateur______________________ 27

1.3 Les logiciels du contrôle interne sur le marché _______________________________ 29

2 Avantages et limites du Contrôle Interne Assisté par Ordinateur ________________ 31

2.1 L’apport de Contrôle Interne Assisté par Ordinateur _________________________ 31

2.2 Les limites du Contrôle Interne Assisté par Ordinateur _______________________ 36

2.3 Les clés de réussite d’un projet de Contrôle Interne Assisté par Ordinateur ______ 39

3 Etude de cas logiciel Valdys______________________________________________ 40

3.1 Présentation du logiciel __________________________________________________ 40

3.2 L’architecture de Valdys_________________________________________________ 42

3.3 Le projet de Contrôle Interne selon Valdys__________________________________ 44

3.4 Les documents générés en interne par Valdys _______________________________ 48

Conclusion _______________________________________________________________ 50

Annexes__________________________________________________________________ 52

1 Annexe (1) : Lexique Valdys _____________________________________________ 53

2 Annexe (2) : le Macro-processus _________________________________________ 55

3 Annexe (3) : Arbre des risques____________________________________________ 56

Page 5: Le Contrôle Interne Assisté par Ordinateur

5

4 Annexe (4) : Diagramme de Phase et Logigramme ___________________________ 57

5 Annexe (5) : Arbre des familles de risque ___________________________________ 58

6 Annexe (6) : Le modèle nomenclature et le modèle diagramme de structure _______ 59

7 Annexe (7) : Le modèle arbre des rôles/compétences et la cartographie des risques _ 60

8 Annexe (8) : Les pages Html_____________________________________________ 61

Page 6: Le Contrôle Interne Assisté par Ordinateur

6

Introduction

L’automatisation du traitement de l’information remonte à la date de l’invention du premier

ordinateur. Depuis, toutes les branches de la science et de l’industrie ont tenté d’exploiter les

capacités énormes de cet outil surtout celles de calcul et de traitement des données avec une

vitesse inimaginable qui dépasse les limites du cerveau humain. C’est alors que l’économie et

la finance furent parmi les branches qui ont su profité des avantages du traitement automatisé

de l’information.

La miniaturisation des composants et la réduction des coûts de production, associées à un

besoin de plus en plus pressant de traitement des informations de toutes sortes (scientifiques,

financières, commerciales, etc.) a entraîné une diffusion de l’informatique dans toutes les

couches de l’économie comme de la vie de tous les jours.1

Après la comptabilité, la finance et l’audit financier, aujourd’hui, c’est au contrôle interne

d’intégrer le monde de l’information automatisée et profiter pleinement des contributions de

l’informatique dans ce domaine. Dans cette perspective, le « Contrôle Interne Assisté par

Ordinateur » marque l’actualité par son apport à l’auditeur interne et externe comme outil

d’assistance et de pilotage des missions de contrôle.

Jusqu’à aujourd’hui, personne n’a pu percevoir qu’un domaine aussi abstrait et évolutif que le

contrôle interne dont la réflexion (risques) et le développement (points de contrôles) jouent un

rôle capital ferait appel aux services de l’informatique. Cependant, les symptômes de cette

nouvelle vague des éditeurs des solutions informatiques pour entreprises sont déjà sentis. Ces

éditeurs des applications informatiques de gestion et devant la concurrence intense sur le

marché des logiciels ont pu s’adapter pour franchir la barrière du savoir limité dans les

domaines de gestion. Pour ces derniers, la solution est de proposer un logiciel qui permet

d’aider et d’assister l’auditeur dans la réalisation de sa mission de contrôle interne en

exploitant au maximum son savoir faire et ses capacités d’analyse et d’observation dans un

domaine particulier (assurance, énergie, industrie nucléaire,…) puis en la croisant avec les

pratiques reconnues par les auditeurs dans le secteur et la réglementation en vigueur. En effet,

la différence remarquée entre l’existant et le conceptuel est à la base des résultats et des

interprétations obtenus.

1 http://fr.wikipedia.org/wiki/Informatique le 17/02/2009

Page 7: Le Contrôle Interne Assisté par Ordinateur

7

Plusieurs progiciels 2 d’audit et de contrôle interne existent sur le marché, un ensemble de

choix diversifié des solutions informatiques de gestion pour gérer les processus de contrôle

interne et assurer la conformité avec la réglementation (Loi de la Sécurité Financière, loi de

Sarbanes-Oxley, Bale II, Solvabilité II, etc.). Parmi ces produits, on souligne FrontControl3,

Enablon Continuous Assessment4 , ISIMAN5 et enfin VALDYS qui fera l’objet d’une étude

de cas dans ce mémoire. Toutes ces solutions partent du même principe en constituant une

base référentielle de contrôle interne d’un secteur donné pour l’auditeur et en l’assistant dans

sa démarche de mise en place et de suivi de la démarche de contrôle interne.

Dans ce mémoire, je vais essayer de traiter et d’analyser la problématique suivante :

« Jusqu’à quel point le Contrôle Interne Assisté par Ordinateur peut-il contribuer à

l’encadrement et à l’accélération de la mise en place d’un processus de contrôle interne

dans une entreprise ? ».

Pour répondre à cette question, mon analyse portera sur les deux parties suivantes :

La première partie sera consacrée au cadre conceptuel du contrôle interne ou je vais présenter

les différentes définitions du contrôle interne, les approches et la réglementation qui

encadrent ce secteur et enfin de décrire la démarche de mise en place d’un système de

contrôle interne. Cette partie est un passage incontournable pour mieux comprendre les deux

axes qui vont suivre.

Dans la deuxième partie, je vais aborder le nœud de la problématique où j’analyserai l’apport

de Contrôle Assisté par Ordinateur sur plusieurs dimensions : l’originalité du concept,

l’apport du contrôle interne assisté par ordinateur et dans un dernier point je traiterai les

limites de ce concept. Le deuxième axe de cette partie de ce mémoire est une étude de cas du

logiciel VALDYS (logiciel français de contrôle interne développé pour répondre aux besoins

des assurances et des mutuelles). Cette étude de cas a pour objectif d’illustrer les conclusions

et les résultats obtenus.

2 Contraction de produit et de logiciel 3 http://www.efront.com/fr/Logiciel_Controle_Interne.asp le 17/02/2009 4 http://enablon.com/produits/gestion-des-risques/controle-permanent.aspx le 17/02/2009 5 http://www.keyword.fr/sitekeyw/html_val/ru$44___.htm?gclid=CLK0jd6c65kCFQiF3godMiuuQQ le 17/02/2009

Page 8: Le Contrôle Interne Assisté par Ordinateur

8

L’objectif de ce mémoire avec ces deux parties est de résoudre la problématique soulevée en

partant d’un cadre conceptuel vers un cadre empirique. Le type d’argumentation utilisé est

une argumentation par illustration. Cette argumentation consiste à utiliser un exemple concret

justifiant une affirmation que l’on fait. Autrement dit, on va formuler la problématique, puis

on présentera un fait ou un cas précis et réel qui concrétise et matérialise les déductions

obtenues.

Dans le même but d’illustration et d’argumentation, plusieurs sources documentaires seront

utilisées partagées entre sources bibliographiques, webographiques, et bases documentaires

électroniques.

Page 9: Le Contrôle Interne Assisté par Ordinateur

9

Partie (1) : Introduction au contrôle interne

1 Cadre conceptuel du contrôle interne

1.1 Etymologie du mot

Le mot contrôle vient du mot contre-rôle qui signifie « registre tenu en double»6. Dans son

ouvrage « Contrôle Interne » Frédéric Bernard fait la distinction entre le mot français

« Contrôle » et le mot anglo-saxonne « Control » :

« Le terme contrôle interne est la traduction littérale de l’expression anglo-saxonne : Internal

Control (ou Business Contrôle pour les américains) dans lequel le verbe « to control »

signifie conserver la maîtrise de la situation alors qu’en français le mot « contrôle » est

d’avantage compris comme le fait d’exercer une action de surveillance sur quelque chose

pour l’évaluer »7.

Malgré la ressemblance étymologique et phonétique des deux mots français et anglo-saxon,

on trouve que le mot « contrôle interne » traduit l’amont et le préventif du processus de

contrôle interne par les mesures de surveillance et d’analyse des risques quant au mot

« Internal Control » il traduit la dimension en aval et corrective du contrôle interne

(identification des éléments de maîtrise, planification des tâches de contrôle, organisation des

responsabilités, suivi des recommandations, etc.). Cette divergence de sens entre les deux

mots reflète et explique l’étroite différence dans la manière de pratiquer et de mettre en œuvre

le processus du contrôle interne entre les entreprises françaises et les entreprises anglo-

saxonnes.

1.2 Définitions du contrôle interne

Il existe diverses définitions du contrôle interne. Cette multitude et diversité de définitions du

concept engendre une confusion de compréhension et de communication des rôles de chaque

acteur majeur du contrôle interne (auditeurs internes et externes, Conseil d’Administration, la

direction, le personnel et le législateur). Parmi les définitions adoptées du contrôle interne par

les auteurs et les institutions nationales et internationales, on trouve :

1) Le contrôle interne est un ensemble de dispositifs ayant pour but, d’un coté d’assurer la

protection, la sauvegarde du patrimoine et la qualité de l’information, de l’autre

6 http://fr.wiktionary.org/wiki/contr%C3%B4le le 19/02/2009 7 Frédéric Bernard, Rémi Gayraud et Laurent Rousseau, « Contrôle interne », Ed.MAXIMA, Paris, 2006, p 303

Page 10: Le Contrôle Interne Assisté par Ordinateur

10

d’assurer l’application des instructions de la Direction et de favoriser l’amélioration des

performances. 8

2) Définition donnée par les experts-comptables, en congrès en 1977 : « le contrôle interne

est l’ensemble des sécurités contribuant à la maîtrise de l’entreprise. Il a pour but

d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information d’une

part et de l’autre, l’application des instructions de la direction, et de favoriser

l’amélioration des performances. »

3) La définition proposée par le CNCC (Compagnie Nationale des Commissaires aux

Comptes) reflète le mieux l’approche moderne du concept: « Les procédures de contrôle

interne impliquent : le respect des politiques de gestion, la sauvegarde des actifs, la

prévention et la détection de fraudes, l’exactitude et l’exhaustivité des enregistrements

comptables, l’établissement en temps voulu d’informations comptables et financières

stables. »9

4) La définition donnée par la norme 400 de l’IAASB (International Auditing and

Assurance Standard Board) : le système de contrôle interne est l’ensemble des

politiques et procédures mises en œuvre par la direction d’une entité en vue d’assurer,

dans la mesure du possible, la gestion rigoureuse et efficace de ses activités. Ces

procédures impliquent le respect des politiques de gestion, la sauvegarde des actifs, la

prévention et la détection de fraudes et d’erreurs, l’exhaustivité des enregistrements

comptables et l’établissement en temps voulu d’informations financières stables.

5) La définition donnée par le cabinet Coopers&Lybrand et traduit dans « la nouvelle

pratique du contrôle interne » par l’Institut Français des Auditeurs et Consultants

internes : Le contrôle interne est un processus mis en œuvre par le Conseil

d’Administration, les dirigeants et le personnel d’une organisation, destiné à fournir

une assurance raisonnable quand à la réalisation des objectifs suivants :

• La réalisation et l’optimisation des opérations ;

• La fiabilité des informations financières

• La conformité aux lois et aux réglementations en vigueur 10

8 Frédéric Bernard, Rémi Gayraud et Laurent Rousseau, « Contrôle interne », Ed.MAXIMA, Paris, 2006, p 303 9 Norme CNCC 2-301, évaluation du risque et de contrôle interne », para 08, Référentiel normatif CNCC,2003 10 Coopers & Lybrand, « La nouvelle pratique du contrôle interne », Edition d’organisation, Paris, 1994, p 378

Page 11: Le Contrôle Interne Assisté par Ordinateur

11

L’étude et l’analyse de ces différentes définitions distingue entre deux approches

fondamentales:

D’une part, une approche classique qui insiste sur les principes de base du contrôle interne : la

sauvegarde du patrimoine, la fiabilité de l’information, la conformité avec la réglementation

et l’amélioration de performance. Ces éléments sont repris fidèlement dans la première et la

deuxième définition sans toutefois sortir du cadre soigneusement tracé par ces composantes.

Cette limitation du champ d’interprétation et de réaction a fait du contrôle interne un concept

doté d’une structure rigide et difficilement adaptable aux différentes natures et situations

d’entreprises.

D’autre part, une approche moderne illustrée par les trois dernières définitions (CNCC,

IAASB, Coopers&Lybrand). Cette approche inclut la notion du processus ou de procédure

dans sa définition et elle implique les acteurs majeurs de la démarche de contrôle interne dans

ce processus tout en insistant sur le rôle du personnel. Plus encore, elle évoque pour la

première fois le respect de la politique de gestion comme facteur principal dans le système de

contrôle interne.

1.3 Le modèle COSO

Le modèle COSO est un référentiel de contrôle interne défini par le « Committee Of

Sponsoring Organizations of the Treadway Commission ». Il est utilisé notamment dans le

cadre de la mise en place des dispositions relevant des lois Sarbanes-Oxley ou LSF pour les

entreprises assujetties respectivement aux lois américaines ou françaises. Le référentiel initial

appelé COSO 1 a évolué depuis 2002 vers un second corpus dénommé COSO 2.11

1.3.1 COSO 1

Le contrôle interne est composé de 5 éléments interdépendants qui découlent de la façon dont

l’activité est gérée et qui sont intégrés aux processus de gestion :

• Environnement du contrôle : présente « l’espace » dans lequel les personnes

accomplissent leurs tâches et assument leurs responsabilités en matière de contrôle. Il

sert de référence pour les autres éléments du contrôle interne. Il présente aussi les

individus et leurs qualités individuelles, leur intégrité, leur éthique, leur compétence.

Autrement dit, l’environnement du contrôle exerce une influence profonde sur la

structuration des activités et des procédures, l’évaluation des risques, les activités de

contrôle, le système d’information et le suivi des recommandations. 11 http://fr.wikipedia.org/wiki/COSO le 22/02/2009

Page 12: Le Contrôle Interne Assisté par Ordinateur

12

• L’évaluation des risques : elle consiste en l’identification et l’analyse des facteurs

susceptibles d’affecter la réalisation des objectifs stratégiques de l’entreprise. C’est un

processus continu et répétitif qui permet de déterminer comment les risques devraient

être gérés. Il appartient aux dirigeants et aux responsables des services concernés

d’évaluer et de fixer un taux de risque admissible.

• Les activités de contrôle : les activités de contrôles sont l’application des normes et

procédures destinées à garantir l’exécution des directives du management en vue de

maîtriser les risques réels et potentiels de l’organisation. Les catégories d’opérations

de contrôle se rattachant aux objectifs sont le domaine opérationnel, l’information

financière et la réglementation en vigueur.

• L’information et la communication : l’information pertinente doit être identifiée,

recueillie et diffusée sous une forme et dans les délais qui permettent à chacun

d’assumer ces responsabilités. L’information doit concerner tous les niveaux de

l’entreprise. Le système d’information va permettre de définir, recueillir, analyser puis

diffuser ces données.

• Pilotage : les systèmes de contrôle interne doivent à leur tour être contrôlés afin

d’évaluer dans le temps les performances qualitatives. Dans ce cadre, il est primordial

de mettre en place un système de pilotage permanent et de procéder à des évaluations

périodiques. Ainsi, les opérations de pilotage peuvent être pratiquées soit par des

activités courantes soit par des évaluations ponctuelles.

1.3.2 COSO 2

Le modèle COSO 2 constitue une continuité et une suite de COSO 1. Fréderic Bernard définit

et explique la dissemblance entre COSO 1 et COSO 2 : « ... Il ne propose pas un référentiel de

contrôle interne (au contraire de COSO) mais un modèle de gestion des risques. Il s’appuie

sur le COSO comme référentiel de Contrôle Interne.» 12

12 Frédéric Bernard, Rémi Gayraud et Laurent Rousseau, « Contrôle interne », Ed.MAXIMA, Paris, 2006, p 303

Page 13: Le Contrôle Interne Assisté par Ordinateur

13

Parmi les apports de COSO 2 :

D’une part, il offre aux auditeurs et contrôleurs internes un repère pour la gestion des risques

de l’entreprise (Enterprise Risk Management Framework). En effet, COSO 2 rappelle les

éléments du COSO 1 et le complète surtout sur la dimension « gestion des risques ». Il est

donc fondé sur une approche orientée vers la maîtrise des risques de l’entreprise. D’autre part,

il présente un cadre plus restreint de décomposition de la structure d’une organisation alors

que le COSO 1 ne retient pas de structure de décomposition spécifique. Cependant, cette

répartition entre différents niveaux de l’organisation est très utile pour la démarche de

contrôle proposée par le modèle COSO. Toutefois, il est nécessaire de prendre en compte

l’organisation dans son ensemble pour que COSO 2 puisse être appliqué avec succès.

Présentation de la pyramide et du cube de COSO13

1.4 Sarbanes Oxley

Suite aux scandales financiers que les Etats-Unis ont connus dans les années 2001-2002. La

législation américaine a lancé de nouveaux dispositifs légaux dits « Sarbannes Oxley ». Cette

loi a été adoptée par le Congrés et fut la plus grande réforme du marché financier américain

depuis longtemps. Ses principes de base sont l’exactitude des informations, la responsabilité

des gestionnaires et l’indépendance des organes d’audit. Son objectif est de pallier aux

insuffisances du contrôle interne.

13 http://www.bumko.gov.tr/KONTROL_EN/Images/kontrol/coso.jpg visité le 05/03/2009

Page 14: Le Contrôle Interne Assisté par Ordinateur

14

Les décisions fondamentales de cette loi sont :

• Les états financiers doivent être forcément certifiés par le Directeur Générale (Chief

Exécutive Officer) ou le Directeur Financier (Chief Financial Officer). Le but de cette

disposition est de responsabiliser les dirigeants aux risques existants dans leurs

entreprises.

• L’obligation de nommer des administrateurs indépendants au comité d’audit du

Conseil d’Administration

• Les avantages particuliers des dirigeants sont de plus en plus encadrés

• La loi Sarbanes-Oxley impose à l’entreprise une rotation des auditeurs externes. Les

services proposés pour la vérification des états financiers par ces auditeurs externes

doivent être adaptés à l’activité de l’entreprise (systèmes d’information).14

• L’alourdissement des sanctions pénales et des montants des amendes en cas de fraude

ou de non-conformité.

• L’obligation aux entreprises américaines de joindre aux rapports annuels un rapport

sur le contrôle interne. Ce rapport établi par la Direction de l’entreprise doit être validé

et certifié par l’auditeur externe.

Malgré tous les efforts déployés au niveau de la loi « Sarbanes-Oxley » pour limiter les

fraudes financières, l’assurance que porte cette loi pour l’organisation reste une assurance

raisonnable contre le risque puisqu’il existe toujours des points de défaillances pour

contourner les barrières du contrôle interne. Michael Oxley soutient ce raisonnement dans

son interview avec Liz Alderman : « Je n’irai pas jusqu’à dire que la loi Sarbanes-Oxley nous

met à l’abri d’un scandale tel que les faillites d’Enron et de Worldcom ni que des individus ne

seront pas suffisamment intelligents pour contourner les règles. Après tout le meurtre est illégal

dans tous les pays et pourtant des meurtres sont commis tous les jours ».15

1.5 La Loi de la Sécurité Financière (LSF)

A l’instar de la loi Sarbanes Oxley, la Loi de Sécurité Financière a été promulguée à la suite

des nombreux scandales financiers pour rétablir la confiance des investisseurs notamment

dans les pratiques comptables.

14 Kamal ABOU EL JAOUAD, « Les enjeux du contrôle interne » Université Clermont

15 http://www.french-american.org/files/cr-francais-diner-ifafaf.pdf) visité le 15/03/2009

Page 15: Le Contrôle Interne Assisté par Ordinateur

15

L’Assemblée Nationale et le Sénat ont adopté la LOI n° 2003-706 du 1er août 2003 sur la

sécurité financière vu la décision n° 2003-479 DC du conseil constitutionnel en date du 30

juillet 2003.16

Cette loi s’applique à toutes les sociétés anonymes. Elle comprend l’obligation pour le

président du conseil d’administration ou du conseil de surveillance de rendre compte dans un

rapport des procédures de contrôle mises en place par l’entreprise. Aussi, elle considère que

l’établissement d’un rapport sur le contrôle interne est un facteur clé pour la compétitivité et

le développement des entreprises privées.

1.6 Comparaison entre la loi Sarbanes Oxley et la loi de la Sécurité Financière

La distinction fondamentale entre la loi de la Sécurité Financière et la loi Sarbanes Oxley est

le degré de formalisme qui est clairement défini dans la deuxième loi. Ainsi, des référentiels

tels que COSO présentent un cadre précis pour les acteurs du contrôle interne. Cependant, ce

n’est pas le cas actuellement pour la loi sur la Sécurité Financière. Le grand obstacle pour

celle-ci est l’inexistence d’un référentiel français qui encadre le travail des auditeurs. La LSF

ne renvoie à aucun référentiel et ne donne même pas de définition au « contrôle interne ».

Aussi, la Loi sur la Sécurité Financière est moins exigeante que la loi Sarbanes Oxley et par

conséquent elle permet d’ajuster le degré de formalisme du Contrôle Interne par rapport à la

taille de l’entreprise, toutefois elle complique le travail du Commissaire aux Comptes.

A l’heure actuelle, il n’y a aucune nouvelle disposition légale sur le contrôle interne des

sociétés anonymes françaises. Et la compagnie nationale des Commissaires aux Comptes n’a

pas donné de nouvelles instructions concernant le contrôle par les auditeurs légaux du rapport

du Président sur le contrôle interne.

La LSF engage toutes les sociétés anonymes. Son périmètre est plus large que celui de la loi

Sarbanes Oxley qui se limite uniquement aux sociétés cotées. Elle implique directement le

Président du Conseil d’Administration ou du Conseil de Surveillance alors que la loi Sarbanes

Oxley engage la direction opérationnelle. Enfin, la LSF concerne toutes les procédures de

contrôle interne tandis que la loi Sarbanes-Oxley ne concerne que les informations

comptables et financières. Le modèle Européen défendant tout actionnaire de Sociétés

Anonymes s’oppose au modèle américain qui ne s’intéresse qu’à l’actionnaire de sociétés

faisant appel publique à l’épargne.

16 http://www.amf-france.org/documents/general/4746_1.pdf visité le 15/03/2009

Page 16: Le Contrôle Interne Assisté par Ordinateur

16

2 La démarche du contrôle interne

2.1 Définition et caractéristiques de la démarche de contrôle interne

Le contrôle interne, à l’inverse de l’audit financier n’a pas un champ limité d’intervention, il

concerne tous les types de risques qui peuvent exister dans l’entreprise (Risques financiers,

risque humains, risques techniques,…). Son objectif essentiel est de sauvegarder le patrimoine

de l’entreprise et de mettre en place un dispositif de maîtrise.

Le contrôle interne n’est plus une démarche aléatoire qui se fait le jour au jour, non plus une

solution de prêt-à-porter applicable à toutes les entreprises sans adaptation aux contextes, à

l’environnement et aux structures spécifiques de celles-ci.

Au contraire, la démarche du contrôle interne est une démarche organisée, appropriée, et

pérenne. Concrètement, c’est une démarche de changement :

2.1.1 Une démarche organisée

La mise en place d’un dispositif de contrôle interne doit être organisée dans l’axe temps

(planifier les dates d’entretiens avec les responsables et le personnel, fixer les dates de

contrôle et de suivi, respecter les dates de contrôle périodiques, etc.) en veillant à respecter

l’ordre des opérations de contrôle et la durée programmée pour chaque étape. Aussi, cette

mise en place doit être toujours précédée par une phase de préparation incluant l’étude de

l’environnement de l’entreprise, la détermination du périmètre de vérification et l’agencement

des ressources et des moyens pour assurer le succès de la mission.

2.1.2 Une démarche appropriée

L’étendue du périmètre de contrôle ainsi que l’importance des ressources humaines et

matérielles à investir dépendent largement des propriétés de l’entreprise auditée. La taille de

celle-ci, la complexité de sa structure organisationnelle et la performance de sa gouvernance

et de son management, détermine les caractéristiques de la mission du contrôle. En

conséquence, la nature de la missions et ses attributs peuvent varier d’une entreprise à une

autre cependant les fondements de la démarche resteront les mêmes.

2.1.3 Démarche pérenne

La mise en place des points de contrôles, des procédés préventifs et correctifs, se fait dans

une optique de continuité de la démarche dans le temps. Elle se fait dans une perspective de

Page 17: Le Contrôle Interne Assisté par Ordinateur

17

pérennité de l’activité et de la vie de l’entreprise. Visiblement, la démarche contrôle interne

est une démarche de moyen et long terme.

2.1.4 Le changement et la rupture avec le passé

« Dans le cadre de la démarche de contrôle interne comme dans toute démarche systématique

d’entreprise, le changement est une préoccupation ou au moins un sujet fondamental de

discussion » 17

Le changement dans ce cadre signifie l’acceptation des acteurs de l’entreprise qu’un

changement incontournable et radical dans l’organisation interne et le fonctionnement de

l’entreprise risque de se produire. Cependant, tout acte de refus ou de résistance à ce

processus de changement est un phénomène humain et attendu.

Les mutations prévues concernent les outils et les techniques de travail (utilisation de

nouveaux logiciels), les méthodes de gestion (passage d’une gestion hiérarchique à une

gestion participative) et les valeurs de l’entreprise (transformer une culture de fermeture et de

cloisonnement à une culture d’ouverture et de partage).

La capacité de management à faire passer cette métamorphose dans le fonctionnement et

l’organisation au personnel de l’entreprise aura un effet très positif sur le processus de

contrôle interne. Ainsi, elle contribuera à une évaluation plus rationnelle des risques, une

sensibilisation aux impacts des risques sur les processus et une efficacité au niveau de

l’application des recommandations et de la mise en place des dispositifs de maîtrise.

2.2 Analyse de quelques modèles de la démarche de contrôle interne

2.2.1 Démarche de Benoît Pigé

La démarche de contrôle interne suit une logique universelle et unique reconnue par la plupart

des référentiels et des lois en vigueur.

Benoît Pigé dans son ouvrage « Audit et contrôle interne » propose la démarche suivante :

• La prise de connaissance de l’entreprise qui comprend la compréhension de

l’environnement (le secteur d’activité et la situation économique) dans lequel elle se

situe ainsi que l’identification des spécificités de l’entreprise (la structure

organisationnelle, la politique stratégique de l’entreprise, la position concurrentielle de

l’entreprise et l’actionnariat de l’entreprise)

17 Frédéric Bernard, Rémi Gayraud et Laurent Rousseau, « Contrôle interne », Ed.MAXIMA, Paris, 2006, p 303

Page 18: Le Contrôle Interne Assisté par Ordinateur

18

• L’évaluation des risques particuliers qui peuvent résulter d’une situation financière,

d’une situation sociale ou des changements organisationnels internes

• L’évaluation du contrôle interne consiste à décrire les procédures (l’observation, les

entretiens avec le personnel de l’entreprise et la formalisation) vérifier l’adéquation

des procédures aux objectifs à atteindre (fixation des objectifs et mettre en œuvre les

moyens nécessaires) effectuer les tests d’application et d’efficacité des procédures de

contrôle interne.

• Effectuer les tests de validation du produit. (échantillonnage, validation intégrale)18

2.2.2 Démarche de contrôle interne de Frédéric Bern ard

D’autres auteurs comme Frédéric Bernard ont décomposé la démarche du contrôle interne en

plusieurs phases. Toutefois, ils ont gardé les mêmes composantes et les mêmes outils au

niveau de leur démarche. La démarche proposée par cet auteur est décomposée en plusieurs

phases :

2.2.2.1 Phase d’analyse de l’existant et de réalisation des outils Dans cette étape deux outils principaux sont développés :

• La cartographie des risques 19 : identification des risques majeurs et puis une

représentation graphique de la vulnérabilité de l’entité analysée. La cartographie

est obtenue à partir de la réponse des opérationnels aux questionnaires d’analyse

des risques

• Le plan d’action cadre général du plan destiné à améliorer la vulnérabilité aux

risques ainsi identifiés

2.2.2.2 Phase de mise en œuvre opérationnelle du dispositif du Contrôle Interne

Cette phase consiste à documenter les nouveaux outils en rédigeant des modes d’emploi puis

de mettre en place pour les opérationnels des sessions de formation à l’utilisation de ces

outils.

On peut constater la divergence de forme des deux méthodologies précédentes mais une

convergence sur le fond.

18 Benoît Pigé « Audit et contrôle interne », Ed EMS, Paris, 2001, p210 19 Voir annexe (7)

Page 19: Le Contrôle Interne Assisté par Ordinateur

19

3 Démarche classique adopté par les éditeurs de log iciels

de contrôle interne

3.1 Identification des processus

3.1.1 Définition 1

Yvon MOUGIN Consultant et Formateur à Cap Entreprise définit le processus comme un

ensemble de ressources et d’activités liées qui transforment des éléments entrants en éléments

sortant. Autrement dit, c’est une boite noire qui a une finalité (les données de sortie) et qui

pour atteindre cette finalité utilise des éléments extérieurs (données d’entrée) et les transforme

(en leur donnant une valeur ajoutée) par du travail et des outils (activités et ressources).20

3.1.2 Définition 2

Un processus est une succession d’activités à l’intérieur d’une organisation, s’enchaînant afin

de produire un résultat. Les applications de travail coopératif peuvent définir différents

processus en fonction de l’organisation et des outils mis en place.21

Pourtant, il faut faire la distinction entre le terme processus et le terme procédure qui signifie

une façon spécifiée d’exercer une activité.

L’identification des processus est la première étape dans la démarche de maîtrise des risques.

Elle aide à la compréhension des métiers de l’entreprise et contribue à la pérennisation de la

démarche de contrôle interne. Les objectifs de cette phase sont de construire une idée claire et

structurée des processus de l’activité, de décrire les processus et de collecter les informations

pour l’identification des risques et des contrôles prévus.

Les opérations de contrôle interne sont très liées à tous les niveaux d’activités de

l’organisation. L’ensemble de ses activités est constitué d’un nombre indéterminé de

processus. « Le contrôle interne n’est pas un événement isolé ou une circonstance unique

mais une ensemble d’actions qui se répandent à travers toutes les activités de l’entreprise.

Ces actions sont perceptibles à tous les niveaux et sont inhérentes à la façon dont l’activité

est gérée »22

20 http://www.knowllence.com/fr/publications/management_processus.pdf visité le 25/03/2009 21 . http://www.ordinal.fr/html/glossaire.htm visité le 25/03/2009 22 Coopers & Lybrand, « La nouvelle pratique du contrôle interne », Edition d’organisation, Paris, 1994, p 378

Page 20: Le Contrôle Interne Assisté par Ordinateur

20

.

.

Processus

Activité

Procédure Pyramide des niveaux de granularité 1

Macroprocessus

Processus Majeur

3.1.3 Cartographie des processus

Pour mettre en œuvre une démarche de contrôle interne, il est indispensable d’abord de

connaître et comprendre les activités, puis de définir les liens et les flux dynamiques entre ces

activités (les flux d’entrée et les flux de sortie)

Les différents niveaux de granularité de la cartographie des risques sont présentés dans le

schéma suivant :

3.2 Déclinaison de la stratégie en objectifs

Les objectifs expliquent la finalité du processus. Ils résultent également de la stratégie établie

et sont formalisés dans le cadre du processus de pilotage de l’entreprise. Chaque entreprise

par l’intermédiaire de son management détermine les objectifs et les stratégies pour les

atteindre. Ils peuvent être fixés pour l’organisation dans son ensemble ou dirigés sur des

activités particulières. Les objectifs fixés globalement au niveau de l’entreprise sont liés à des

objectifs plus spécifiques au niveau des « activités ». Les objectifs doivent être clairement

définis et découlent généralement des valeurs de l’entreprise et de sa stratégie globale.

Ces objectifs sont classés en 3 catégories :

• Des objectifs opérationnels : optimisation de l’utilisation des ressources économiques

de l’entreprise

• Des objectifs financiers : établissement des états financiers fiables et présentant une

image fidèle

• Des objectifs de conformité : conformité avec les lois et les réglementations en

vigueur

Page 21: Le Contrôle Interne Assisté par Ordinateur

21

Pour illustrer la notion d’un objectif et ses caractéristiques, on peut faire référence à Alain

Gérard-Cohen qui dans son ouvrage « Contrôle interne et audit publics » parle de la

déclinaison d’une réflexion par objectifs : « …à travers une réflexion organisée, cohérente,

chiffrée, itérative, permettant tous les choix et arbitrages ( y compris politique), de façon

claire et transparente, garantissant ainsi une optimisation réaliste des moyens réaliste des

moyens et des ressources face à des besoins explicités et hiérarchisés. » 23

Aussi, il faut déterminer avec une précision significative, les moyens humains, financiers et

techniques nécessaires pour atteindre ses objectifs. Pour mesurer la performance des résultats

obtenus, il existe une multitude d’indicateurs qui sont définis selon la nature des objectifs et

d’autres facteurs.

3.3 Analyse des processus

L’analyse des processus est une étape majeure dans la démarche de contrôle interne.

D’une part, elle consiste à fixer les objectifs principaux du processus, soulever les facteurs

clés de succès du processus et les indicateurs clés de performance, encadrer le processus par

un début et une fin.

D’autre part, l’analyse des processus doit répondre aux questions : Qui fait (rôle)? Quoi

(tâche) ? Par quel flux informationnel ? (systèmes d’informations supports)

L’analyse des processus est une opération qui requiert un intérêt particulier de l’auditeur

puisque c’est à ce niveau qu’il peut prévoir l’existence d’un risque potentiel ou d’un point

faillible dans le processus. Ainsi, le degré de vigilance et de précision dans la conception et

l’analyse de ces processus permettra d’augmenter la valeur ajoutée de cette étape dans la

démarche du contrôle interne.

Exemple grille d’analyse des processus

Processus Objectifs Facteurs de

succès

Indicateurs de

performance

Rôles Tâche Systèmes

d’information

Niveau 1

Niveau 2

Niveau 3

23 Alain-Gérard Cohen, « Contrôle interne et audit publics », ed LGDJ, PARIS, 2005, p 183

Page 22: Le Contrôle Interne Assisté par Ordinateur

22

3.4 Evaluation des risques

3.4.1 Notion de risque

Danger dont on peut jusqu’à un certain point mesurer l’éventualité, que l’on peut plus ou

moins prévoir. 24

Le risque est une perte potentielle, identifiée et quantifiable (enjeux), inhérente à une situation

ou une activité, associée à la probabilité de l’occurrence d’un événement ou d’une série

d’événements. 25

Menace qu’un événement, une action ou une inaction affecte la capacité de l’entreprise à

atteindre ses objectifs et en particulier altère sa performance.26

3.4.2 L’identification et les différentes catégorie s de risque

La démarche d’identification des risques se fait à partir des processus ou à partir d’une

nomenclature donnée :

La nomenclature d’un risque peut être structurée en cinq niveaux :

• Risques opérationnels

• Risques de système d’information

• Risques humains

• Risques légaux

• Risques externes (exogène)

Tout risque potentiel ou réel doit être recensé et étudié même si l’on considère qu’il est

minimisé par un dispositif de maîtrise approprié. Le risque se subdivise en 3 catégories :

• Le risque inhérent : c’est le risque d’apparition d’une erreur significative dans

l’organisation suite à une faute (volontaire ou non), ou une fraude

• Le risque de contrôle interne : c’est le risque que le système de contrôle présent dans

l’entreprise ne peut pas empêcher une inexactitude significative

• Risque de non détection ou le risque d’audit : le risque que l’audit ne permet pas de

détecter une inexactitude significative.27

24 Dictionnaire encyclopédique universel. Edition Précis1998. P1383 25 http://fr.wikipedia.org/wiki/Risque visité le 06/04/2009 26 Ernst&Young. « Elaborer une cartographie des risques opérationnels, dans le cadre des exigences de la future directive Solvency II »

Page 23: Le Contrôle Interne Assisté par Ordinateur

23

3.4.3 Processus et caractéristiques de la démarche d’évaluation des

risques

Toutes les organisations quelques soit leur taille, leur structure, la nature de leurs activités et

le secteur économique dans lequel elles évoluent, sont confrontées à des risques et ce à tous

les niveaux. L’ensemble de ses risques identifiés doit faire l’objet d’une évaluation fondée sur

l’appréciation de leurs conséquences potentielles et de leur probabilité de survenance.

Dans le même ordre, Sean Cleart et Thierry Malleret considère deux éléments essentiels pour

mesurer le risque : « Le risque est généralement quantifié en considérant deux éléments : la

probabilité qu’un événement survienne et son impact le cas échéant _habituellement exprimé

en termes d’impact financier et de coût d’opportunité. »28

L’optimisation de la maîtrise d’un risque suppose l’existence d’un système d’évaluation fiable

et pertinent. Une bonne évaluation d’un risque prend en considération sa nature différente et

ses spécificités par rapport aux autres risques. Tous les risques ne sont pas identiques, un

système efficace de gestion des risques est donc fondé sur la compréhension de l’étendue de

chacun d’entre eux, des circonstances dans lesquelles ils peuvent émerger et de leurs

conséquences éventuelles. 29

Pour élaborer une évaluation efficace des risques, le management de l’entreprise doit

déterminer les axes suivants :

• Une projection du risque dans l’horizon temporel pour mesurer le degré d’exposition

• Les dispositifs et les moyens disponibles destinés à faire face aux événements indésirables

qui pourraient se développer

• Une échelle de risque de référence unique et personnalisée aux spécificités de l’entreprise

utilisée pour juger l’exposition au risque

• Un repère permettant à l’entreprise d’avoir un point de comparaison et un outil de mesure

de sa performance.

27 Hugues Angot, Christian Fischer, Baudouin Theunissen. « Audit comptable, Audit informatique ». Edition: 3 De Boeck Université, 2004. p 304 28 Seán Cleary, Thierry Malleret Collaborateur Klaus Schwab, « Risques: Perception, Evaluation, Gestion ». Editions Maxima. 2006. 253 pages 29 Seán Cleary, Thierry Malleret Collaborateur Klaus Schwab, « Risques: Perception, Evaluation, Gestion ». Editions Maxima. 2006. 253 pages

Page 24: Le Contrôle Interne Assisté par Ordinateur

24

3.4.4 Les critères d’évaluation de risque

3.4.4.1 La fréquence

La fréquence F représente le produit entre une probabilité et une fréquence d’exposition. La

probabilité correspond à la prévision que l’incident/accident se produise tandis que la

fréquence d’exposition donne une idée de la sollicitation de la mission susceptible de

provoquer le risque.

3.4.4.2 La détectabilité

La détectabilité D représente la capacité de l’organisme à détecter et à repérer les risques.

3.4.4.3 La gravité

La gravité (ou effet) G donne une indication des dommages et conséquences possibles en cas

de survenance de l’accident / incident.

3.4.4.4 La criticité

La criticité (C) reprend l’ensemble des critères précédant. Elle peut se calculer de différentes

manières. La plus courante consiste à faire le produit de la probabilité, de la fréquence, de la

détectabilité et de la gravité ; C = F x D x G

3.4.4.5 La maîtrise

La maîtrise M représente la capacité de l’organisme à gérer et à maîtriser le risque. Cette

maîtrise peut être appréhendée selon deux paramètres : la conscience ou non du risque ainsi

que l’existence ou l’inexistence de barrières.

3.5 Mise en place des activités de contrôle

3.5.1 Définition des activités de contrôle

Les activités de contrôle peuvent se présente comme une application des normes et procédures

qui assurent la mise en œuvre des orientations émanant du management. Ces actes permettent

de s’assurer que les mesures nécessaires sont engagées dans l’objectif de maîtriser les risques

susceptibles d’affecter la réalisation des objectifs de l’entreprise. Les activités de contrôle sont

réalisées à tous les niveaux hiérarchiques et fonctionnels.

« Partant, on prendra des dispositions pour limiter la survenance de ces risques ou en tout

cas pour en limiter les effets pervers : on appliquera donc des normes, des procédures, on

Page 25: Le Contrôle Interne Assisté par Ordinateur

25

approuvera, autorisera, vérifiera, rapprochera, appréciera tout ce qui doit l’être ou plutôt

tout ce qui vaut la peine de l’être. Les activités de contrôle constituent ainsi le troisième étage

de la fusée.»30

Il existe de nombreux types d’activités de contrôle, qu’il s’agisse de contrôles orientés vers la

prévention ou vers la détection, de contrôles manuels ou informatiques ou encore de contrôles

hiérarchiques. Parmi les activités de contrôle, on peut souligner :

• Les analyses exécutées par le management

• Gestion des activités ou des fonctions

• Traitement des données

• Contrôles physiques

• Indicateurs de performance

3.5.2 Détermination des points de contrôle et des actions de maîtrise

Après l’étape de l’évaluation des risques en combinant plusieurs éléments pour le calcul de la

criticité et de l’impact, il est temps de décrire des points de contrôle et de mettre en place des

actions préventives (actions permettant de maîtriser les effets du risque avant son apparition)

et correctives (actions permettant de contrôler le risque après son apparition).

Les expériences vécues dans le domaine du contrôle interne ont démontré que les actions

préventives sont les plus efficaces et elles permettent de minimiser le coût du risque.

Cependant, la mise en place des actions préventives suppose une connaissance avancée du

risque potentiel, de sa nature et de son étendue, ce qui n’est pas toujours le cas. Ajoutant à

cela, le fait que la plupart des risques majeurs s’avèrent fatales à cause de leur non

détectabilité. Quant aux actions correctives, elles sont plus couteuses puisqu’elles

interviennent après la survenance du risque en essayant de limiter les dommages causés par ce

dernier. Le point de contrôle correctif reste le plus évident à établir et à mettre en œuvre

puisqu’il touche, à l’inverse de l’action préventive, à des éléments tangibles du risque.

30 Étienne Barbier. « MIEUX PILOTER ET MIEUX UTILISER L'AUDIT ». Editions Maxima, 1998. p 124

Page 26: Le Contrôle Interne Assisté par Ordinateur

26

Partie (2) : Le Contrôle Interne Assisté par Ordina teur

1 Introduction au Contrôle Interne Assisté par Ordi nateur

1.1 Le concept

Aujourd’hui, l’intégration de l’informatique dans tous les domaines de la gestion et dans tous

les secteurs économiques et financiers n’est plus qu’une question de temps. L’industrie, la

finance ou la télécommunication ont déjà réalisé la nécessité de développer leurs systèmes

d’information et de les mettre au centre de développement durable.

Au début, le rôle de l’informatique était d’abord d’effectuer des opérations de calcul très

complexes que le cerveau humain ne pouvait pas effectuer avec la vitesse et la précision de

l’ordinateur. Ainsi, l’évolution de l’ordinateur dépend tout d’abord de l’évolution de sa

capacité de calcul. Un ordinateur est d’abord un outil d’exécution, il traduit les données

saisies en fonction d’un modèle préprogrammé par l’utilisateur dans le but d’arriver à un

résultat précis.

La notion de l’assistance par ordinateur constitue une rupture avec l’idée conçue de la

fonction de cet outil. Désormais, l’application informatique à un nouveau rôle : orienter et

assister l’utilisateur dans la réalisation d’une tâche ou d’une activité quelconque.

Pour essayer d’éclaircir la notion du contrôle interne assisté par ordinateur, il faut expliquer

d’abord la notion de l’assistance :

Assister 31:

V.t. assister (lat. assistere, se tenir auprès)

1. Porter aide ou secours à qqn: La mairie assiste les familles

démunies (secourir; délaisser, négliger).

2. Seconder qqn: L’apprenti assiste le chef dans la confection de ce gâteau (aider). v.t. ind.

1. Être présent à; participer à: Assister à un spectacle de danse (voir; manquer).

2. Être le témoin de; constater: On assiste à une baisse continue du chômage.

Assister32 :

[asiste]. [1] Etre présent. 2. Aider, seconder quelqu’un. Tech : équiper d’un dispositif

d’assistance. Aide apporter à qqn. Demander, porter assistance à un ami. 31 http://fr.thefreedictionary.com/assister visité le 15/04/2009 32 Dictionnaire encyclopédique universel. Edition Précis1998. P1383

Page 27: Le Contrôle Interne Assisté par Ordinateur

27

Assistance : 1.assemblée, auditoire. 2 Tech : dispositif capable d’amplifier un effort manuel

et de le transmettre à un mécanisme

Assisté : Tech. Muni d’un dispositif d’assistance. Direction assistée. Freinage assisté.

L’ensemble des définitions qui existe pour le verbe « assister » ou le mot assistance répète

toujours des mots clés comme l’aide, la présence et le dispositif d’assistance. Ces mots

récapitulent d’une manière générale l’objet et les objectifs du concept Contrôle Interne

Assisté par Ordinateur.

Les applications informatiques de l’audit interne et particulièrement du contrôle interne

tournent autour des 3 objectifs suivants :

• Aider et orienter l’utilisateur dans sa démarche du Contrôle Interne

• Assurer la continuité et la pérennisation de la démarche dans l’organisation

• Constituer une référence de base pour l’organisation

Ainsi, on peut construire une définition globale pour le « Contrôle Interne Assisté par

Ordinateur » par l’accumulation de toutes les interprétations précédentes :

Le Contrôle Interne assisté par ordinateur est l’utilisation de l’outil informatique pour

aider, orienter et pérenniser la démarche de contrôle interne dans une organisation en

mettant en place un ensemble de dispositifs ayant pour but, d’un coté d’assurer la

protection du patrimoine et la qualité de l’information dans l’entreprise, de l’autre ,

d’assurer l’application des instructions de la direction et de favoriser l’amélioration des

performances.

1.2 Les objectifs du Contrôle Interne Assisté par Ordinateur

1.2.1 Aider et orienter l’utilisateur dans sa démar che du Contrôle Interne

Les logiciels informatiques de contrôle interne ont comme objectif principal d’assister

l’auditeur interne ou le responsable du contrôle interne d’une entreprise à réaliser sa mission

d’audit dans les meilleures conditions possibles. La plupart de ces logiciels ont pour point

commun l’existence d’une base de données préétablie et qui est bien adaptée au secteur

d’activité de l’entreprise ou le domaine de contrôle. Cette adaptation permet à l’auditeur de se

situer à chaque fois par rapport à une référence ou un listing de normes réglementaires.

Surtout avec l’existence de plusieurs domaines et de secteurs d’application de contrôle

interne.

Page 28: Le Contrôle Interne Assisté par Ordinateur

28

1.2.2 Assurer la pérennisation de la démarche du co ntrôle interne et de

ses dispositifs dans le temps

Le contrôle interne assisté met à la disposition de l’auditeur une sélection de fonctionnalités

qui lui permet de sauvegarder et d’archiver l’ensemble de ces travaux réalisés au cours de sa

mission d’audit. Ces données sauvegardées peuvent être utilisées et exploitées dans la suite

des travaux de contrôle et la mise en place de plan d’action. Voire, elles peuvent servir pour

les futures missions de contrôles. En fait, aucun document de contrôle interne n’est détérioré

ou perdu. Aussi, l’auditeur à la possibilité de revoir l’historique et le développement des

indicateurs de risque et de maîtrise sur plusieurs périodes.

L’ensemble de ce système de solutions motive les acteurs de contrôle interne pour élargir et

assurer la continuité de la démarche de contrôle interne. Ce qui n’est pas le cas pour les PME

actuellement dans le cas d’un contrôle ne faisant pas appel à cet outil. Ces dernières ne

disposant pas des moyens humains et matériels pour assurer la pérennisation de contrôle

interne dans l’organisation.

1.2.3 Constituer une référence de base pour l’orga nisation

Les logiciels de contrôle interne peuvent constituer une référence de base soit pour le contrôle

interne soit pour la gestion de l’entreprise. Grâce à un ensemble de moyens de modélisation

graphique et logique des procédures qui permet au personnel de revoir les méthodes

appliquées pour la réalisation d’une activité donnée et la connaissance des dispositifs de

contrôle prévus pour les risques de l’organisation. En plus, la plupart de ces logiciels assistent

le management pour établir les tableaux de bord, les fiches de poste (suivi de l’écart profil-

compétence). Finalement, ils constituent un lieu de stockage de la plupart des documents

internes de l’entreprise (rapport de gestion, rapport financier, statuts, réglementation de

secteur, documents statistiques,…) puis il autorise leur liaison avec une activité ou une tâche

donnée.

Page 29: Le Contrôle Interne Assisté par Ordinateur

29

1.3 Les logiciels du contrôle interne sur le marché

Le logiciel Principaux clients Fonctionnalités Points forts VALDYS =>Piloter et modéliser le contrôle interne et maîtriser les risques opérationnels

• Groupe Taitbout • Mut’Est • Le cabinet de conseil

R & B Partner • AXIEM

• Documentation et formalisation des processus et des risques

• Formalisation du référentiel de contrôle

• Croisement des points de contrôle avec les processus

• Génération des tableaux de contrôle et des documents d’audit

• Traçabilité du contrôle interne • Plan d’action et suivi des

résultats

• Forte capacité de modélisation • Souplesse d’utilisation • Granularité très fine • Conformité avec Solvency II et

exigences de l’ACAM • Paramétrage selon le métier de

l’entreprise

Frontcontrol =>Assurer la cohérence du dispositif de contrôle interne et les mécanismes d’autoévaluation)

• La poste • Groupama banque • Macif • Banque PSA Finance

• Cartographie du contrôle interne • Génération des formulaires de

contrôle • Collecte d’informations • Identification des plans d’action

et mise à jour de la cartographie • Reporting

• Conformité avec la loi Sarbanes Oxley et la Loi de la Sécurité Financière

• Aide à la rédaction du rapport de contrôle

• Evolutif

Enablon Internal Control => Une solution de gestion et de pilotage de contrôle interne considérée comme l’une des solutions de référence du marché.

• Auchan • IONIS

• Evaluation des contrôles • Testing • Reporting • Capitalisation et partage des

travaux d’analyse • Un référentiel centralisé • Un module de gestion et de suivi

des opérations

• Conformité avec la loi Sarbanes Oxley et la loi de la sécurité financière

• Grilles d’évaluation personnalisées aux profils des entités

• facilité d’emploi, son architecture

Page 30: Le Contrôle Interne Assisté par Ordinateur

30

• Tableaux de bords • Analyse croisée dynamique des

procédures

• sa gestion décentralisée et son multilinguisme

ISIMAN

=> créer un référentiel de contrôle interne et le déployer au sein de l’entreprise

• Agence Française de Développement

• AGIRC-ARRCO • Banque de Gestion

Edmond de Rothschild Monaco (BGER)

• Groupe Crédit Mutuel : Fédéral Finance

• Groupe Malakoff Médéric

• IRP Auto PRO BTP

• Rattachement contrôle et risque ou objectif

• Définition des contrôles de niveau 1 et 2

• Orchestrer la distribution des fiches de contrôle dans le temps et dans l’organisation

• permettre les contrôles de contrôles

• Formulaire des recommandations et des actions de suivi

• Saisir les résultats des contrôles en mode déconnecté et ensuite de les importer en une seule opération dans la base de données

• Conformité avec Bâle II, Solvency 2 et ACAM

• Facilité d’utilisation et compatibilité avec Windows et Lunix

Page 31: Le Contrôle Interne Assisté par Ordinateur

31

2 Avantages et limites du Contrôle Interne Assisté par

Ordinateur

2.1 L’apport de Contrôle Interne Assisté par Ordinateur

2.1.1 Accélération de la mise en œuvre du processu s de contrôle

interne

Parmi les avantages principaux des logiciels de contrôle interne, le gain de temps énorme

dans la réalisation du processus d’audit et de pilotage des missions de contrôle.

Subséquemment, on assiste à une concurrence très motivée entre les différents éditeurs pour

proposer des produits de plus en plus efficaces et performants permettant d’économiser

toujours plus de temps de travail de management. En vérité, ces éditeurs ont vite compris que

le temps pour l’entreprise est une matière rare et couteuse. Plus le logiciel est facilement

exploitable et permet d’automatiser plus d’opérations manuelles plus l’utilisateur de logiciel

est satisfait. Alors, comment le Contrôle Interne Assisté par Ordinateur permet-il d’accélérer

le processus du Contrôle Interne ?

2.1.2 L’existence d’une base de référence dans le d omaine d’activité de

l’entreprise

Concrètement, pour comprendre cet avantage, il faut remonter à la fonction d’assistance et

d’orientation de l’auditeur. Le Contrôle Interne Assisté par Ordinateur profite d’une base de

référence conforme aux normes et à la législation en vigueur liés à un secteur d’activité donné

(exemple : industrie nucléaire, assurance et mutualité, distribution, etc.) et qui remplace le

recours automatique à la documentation manuelle (ouvrages, documents internes, internet,

etc.).

En recourant à cette solution, un auditeur débutant ou expérimenté économise beaucoup de

temps de recherche et de réflexion pour adapter la mission de contrôle à la nature d’activité de

l’entreprise. La viabilité de cette attribution est ressentie surtout à la phase d’identification des

risques et de définition des points de contrôle.

Page 32: Le Contrôle Interne Assisté par Ordinateur

32

2.1.3 La génération automatique des documents de c ontrôle

La génération automatique de certains documents de base pour la réalisation d’une mission de

contrôle interne est une fonction clé et une condition nécessaire pour les clients de ce type de

logiciel. Cette génération automatique des documents permet une sélection, un tri et une

extraction des données liées à un document concernant une étape spécifique de la démarche

d’audit interne. Tout de suite, l’application injecte ces données dans le document à générer en

évitant de cette manière d’effectuer des opérations de recherche et de calcul manuellement.

Ainsi, les développeurs ont établis de grands efforts pour automatiser la génération d’un

nombre considérable de documents d’audit, parmi lesquels je souligne :

• Fiches d’audit

• Cartographie des risques

• Tableaux de bord

• Plans d’action

• Tableaux de contrôle

• Rapport du contrôle interne

• Tests d’audit …

2.1.4 Le croisement des données

L’opération de croisement de données permet de détecter les écarts et les anomalies de la mise

en œuvre entre différents niveaux et étapes de contrôle laissant ainsi la possibilité à l’auditeur

de rectifier les erreurs de conception et d’estimation commises auparavant (exemple

croisement des points de contrôle avec les tâches de contrôle)

Cette fonction caractérise quelques logiciels des plus performants sur le marché. Le choix de

mettre cette option dans une application demande beaucoup de vigilance et d’effort au niveau

de programmation. Aussi, l’introduction de cette option nécessite de l’utilisateur une

précision particulière dans le choix et l’établissement de sa terminologie de contrôle interne

afin de surmonter le risque de confusion et de mauvaise interprétation par le programme

informatique.

2.1.5 Partage et capitalisation des données de cont rôle interne

Aujourd’hui grâce aux réseaux informatiques, la communication des informations et des

données est devenue une opération simple et de routine pour le personnel d’une entreprise. Il

Page 33: Le Contrôle Interne Assisté par Ordinateur

33

lui suffit juste d’une connaissance limitée pour pouvoir partager tous les données concernées

en quelques minutes.

Dans ce cadre, le Contrôle Interne Assisté par Ordinateur permet de répondre aux besoins des

auditeurs, de partager un ensemble de références et de données entre plusieurs services au sein

de la même structure ou bien entre un ensemble de sites situés à des endroits espacés. Les

logiciels existants sur le marché exploitent les réseaux informatiques internes de la firme pour

exécuter un ensemble d’opérations de communication électroniques évitant de cette façon le

déplacement, le risque de perte des documents papiers lors de leur envoi et le gaspillage de

temps nécessaire à leur transfert.

Parmi les avantages de partage des données entre différentes cellules dans la même structure

ou entre plusieurs structures :

• Actualisation des données instantanément pour tous les postes liés à la source

permettant ainsi d’empêcher les conflits liés au retard de transmission des informations

et de garder tous les auditeurs à jour

• Plusieurs utilisateurs peuvent travailler sur la même mission en même temps ou à des

moments différés à partir de plusieurs emplacements

• Possibilité aux auditeurs (selon les droits attribués) de porter des modifications sur la

base de données centrale et à porter son avis sur des modifications effectuées par

d’autres auditeurs

2.1.6 La cohérence du dispositif de contrôle intern e

2.1.6.1 Cohérence par rapport aux référentiels

La complexité de la réglementation et la législation actuelle au niveau national, européen et

international impose aux auditeurs de respecter des référentiels strictement définis et en même

temps d’être en conformité avec un nombre de normes de pratiques d’audit interne.

L’ensemble des logiciels de contrôle interne est en conformité avec une ou plusieurs lois dans

le domaine, comme par exemple :

• Loi de la sécurité financière

• Loi Sarbanes Oxley

Page 34: Le Contrôle Interne Assisté par Ordinateur

34

• Solvency II

• COSO

• Bale II

Ces logiciels proposent ou obligent l’utilisateur à respecter une norme ou une loi donnée en

limitant la marge de manœuvre de l’utilisateur ou en interdisant quelques modifications qui ne

sont pas en conformité avec les réglementations du secteur.

2.1.6.2 Cohérence par rapport à la démarche du contrôle interne

L’exécution d’une mission de contrôle interne est un enchaînement de phases (voir partie 1

point B: la démarche du contrôle interne) dont chaque phase correspond bien à un panel

d’opérations de contrôle. L’ordonnancement de ces phases obéit à une logique précise et en

aucun cas ces phases ne peuvent être réorganisées. Cette consigne est respectée à la lettre

parce que d’abord la démarche de contrôle interne est conduite par l’application informatique

selon un plan bien défini et les étapes sont effectuées et réalisées selon un enchaînement

préétabli.

2.1.6.3 Cohérence entre les utilisateurs du logiciel

La cohérence dans la conception des procédures, ainsi que dans l’analyse et les critères

l’évaluation doit être respectée par tous les auditeurs. On ne peut imaginer deux méthodes

d’évaluation distinctes pour un risque de même nature. Subséquemment, deux plans d’actions

ou deux tâches de contrôle en contradiction ne peuvent jamais être établis pour deux risques

identiques. Pour faire face à ce problème, le Contrôle Interne Assisté par Ordinateur permet

de mettre tous les utilisateurs sur la même onde. Ainsi, tout conflit ou contradiction est

détectable par le système et peut être signalé à l’instant même de sa manifestation.

2.1.7 Pertinence des mécanismes d’évaluation des ri sques

Le Contrôle Interne Assisté par Ordinateur procure une solution adéquate pour pouvoir

réaliser une évaluation de risque pertinente. Tout d’abord, le système demande de déterminer

une échelle de référence sur les critères et les méthodes d’évaluation des risques adoptée par

le management et le Conseil d’Administration. Cette base sera exploitée et respectée tout au

long de la démarche d’audit. A chaque fois que l’auditeur intègre des données liées à la

cotation d’un risque, l’ordinateur lance un message de rappel de cette base de référence ou

bloque l’entrée de certaines données incohérentes de cette base initiale. Aussi, elle contraint

l’utilisateur à respecter la démarche conçue pour l’évaluation même pour les risques qui

Page 35: Le Contrôle Interne Assisté par Ordinateur

35

semblent non significatifs par rapport aux autres. En effet, cette option permet de détecter des

risques considérés acceptables mais qui s’avèrent après la phase de cotation très signifiants.

Exemple :

Un auditeur fait le choix de l’échelle de cotation suivant :

Détectabilité (D) de 1 à 5, Gravité (G) de 1 à 4 et Criticité (C) de 1 à 5

C = D*G*C

L’ordinateur ne reconnaît pas alors une évaluation de D=6, G=5 et C=3 est lance un message

d’erreur

Le calcul de la criticité est automatique seulement si on respecte les critères d’évaluation

choisis.

2.1.8 Aide à la rédaction du rapport de contrôle in terne

A l’issue d’une mission de contrôle interne, les auditeurs établissent un rapport de contrôle

dans lequel ils présentent le travail de contrôle effectué à toutes les phases d’audit, leurs

constations et les recommandations à suivre dans les prochaines étapes.

La loi n°2003-706 du 1er août 2003 dite loi de Sécurité Financière impose au président du

Conseil d’Administration ou de Conseil de Surveillance de rendre compte, dans un rapport

joint au rapport de gestion annuel, des conditions de préparation et d’organisation des travaux

du conseil, ainsi que des procédures de contrôle interne mises en place par la société33 .

Initialement appliquée à toutes les sociétés anonymes, l’obligation d’établir ce rapport a été

ensuite limitée aux seules sociétés faisant appel public à l’épargne34.

Le rapport de contrôle interne permet à l’entreprise d’avoir une image réelle sur le degré de

maturité de ses contrôles et ainsi de traiter les risques associés. Les logiciels de contrôle

interne présentent un moyen efficace pour minimiser les coûts et le temps de réalisation du

rapport.

Ces logiciels permettent alors de :

• Collecter et trier toutes les informations nécessaires à l’établissement du rapport en se

référant à la base de données déjà existante.

33 Article 117 de la loi modifiant les articles L. 225-37 et L. 225-68 du code de commerce 34 Loi n°2005-842 du 26 juillet 2005 pour la confiance et la modernisation de l'économie (loi Breton)

Page 36: Le Contrôle Interne Assisté par Ordinateur

36

• Donner le choix à l’utilisateur de faire figurer ou non un nombre d’éléments du rapport

selon l’importance de ces derniers pour les organismes de contrôle

• Automatiser les calculs et la mise en forme des résultats obtenus

• Permettre une mise à jour automatique du rapport après chaque modification

• Permet d’avoir une idée générale sur l’avancement du travail à chaque étape de réalisation

du rapport.

2.1.9 Pérennisation de la démarche d’audit

La mise en place d’un système de contrôle interne est une opération qui ne se limite pas à la

durée de la mission de contrôle mais elle continue tout au long de la vie de l’entreprise. En

effet, l’auditeur interne est amené à mettre à jour l’évaluation des risques continuellement, à

suivre l’application et la mise en œuvre des recommandations et à développer des activités de

maîtrise, etc. Le changement de l’environnement et la métamorphose des risques sont les

causes principales de cette mobilisation continue.

Dans ce cadre, la valeur ajoutée du Contrôle Interne Assistée par Ordinateur est de pouvoir

actualiser les données d’une manière automatique sans être obligé de refaire les même travaux

à chaque nouvelle mission d’audit et de historier les changements périodiques à l’aide du

logiciel. Par ailleurs, il donne la possibilité de suivre et d’observer les évolutions des risques

et des contrôles en temps réel. De cette façon, l’utilisateur peut modifier les caractéristiques

d’un risque ou d’un point de contrôle à chaque fois que la situation l’exige. Cette option

allège le travail de l’auditeur puisqu’elle permet de partager l’effort réalisé sur toute l’année et

évite ainsi une accumulation du travail sur une période particulière.

2.2 Les limites du Contrôle Interne Assisté par Ordinateur

2.2.1 Rigidité partielle

La fonction principale des logiciels de contrôle interne « assistance de l’auditeur dans sa

démarche de contrôle interne » entraîne un déséquilibre entre d’une part la volonté d’une

formalisation excessive des procédures des activités de l’entreprise et d’autre part l’utilisation

adaptée des techniques d’audit interne.

En effet, le développeur cherche à limiter la marge de manœuvre de l’utilisateur par le

blocage de centaines de fonctionnalités et l’interdiction d’accès à d’autres, afin de le

contraindre à rester en conformité avec les lois et les normes en vigueur. En conséquence, les

Page 37: Le Contrôle Interne Assisté par Ordinateur

37

utilisateurs ont tendance à renoncer à un nombre de constatations ou d’observations dans la

mesure où ils n’arrivent pas à les introduire dans le système informatique.

Ainsi, les utilisateurs seront obligés de respecter la méthode d’audit proposée par le système

et d’abandonner toute démarche appropriée à l’auditeur ou déjà utilisée par l’entreprise dans

les missions précédentes.

2.2.2 Maîtrise limité des fonctionnalités du logici el

Pour bénéficier de toutes les fonctionnalités d’une application de contrôle interne, l’utilisateur

doit avoir des compétences avancées en informatique et une bonne compréhension de

l’architecture du logiciel. Cette qualité lui autorise une exploitation maximale des outils que

procurent le logiciel et une optimisation des résultats recherchés.

Ces connaissances ne se limitent pas seulement à l’application de contrôle interne mais doit

porter aussi sur d’autres outils comme les outils bureautiques, la gestion des bases de données

et l’architecture des réseaux informatiques. En fait, la plupart des logiciels de contrôle interne

font appel à d’autres ressources externes pour alimenter et réaliser des opérations de calcul

(exemple : Word pour génération des documents, Excel pour les calculs complexes et les

graphiques, Access ou MySQL pour la gestion des bases de données, Internet explorer pour la

lecture des pages HTML).

Afin de surmonter cet obstacle, les éditeurs de logiciels proposent des modules de formation

pour leurs logiciels et une assistance à distance pendant la durée de l’utilisation des contrats.

Dans le même but, ils incluent dans leurs applications des outils d’aide et des exercices

pratiques pour améliorer et répondre aux questions des utilisateurs.

2.2.3 Les erreurs informatiques

A l’instar des autres applications, les logiciels de contrôle interne présentent quelques points

de défaillance qui peuvent nuire à l’utilisateur et l’empêcher de réaliser quelques opérations

d’entrée de données, de traitement ou de génération de documents. Ces problèmes sont

généralement dus à des erreurs de programmation ou de conception. Parmi les erreurs les

plus courantes :

• Erreurs d’incompatibilité avec d’autres logiciels ou systèmes d’exploitation

• Les bugs qui résultent souvent des erreurs de programmation comme les erreurs dans

une formule de calcul ou des messages non compréhensibles.

Page 38: Le Contrôle Interne Assisté par Ordinateur

38

• Erreurs d’installation de l’application sur un poste informatique et erreurs de

paramétrage

• Erreurs dans la définition des droits d’accès et de modification

• Non respect de certaines normes de sécurité de réseau

La grande partie de ses problèmes est expliquée par la nouveauté de ces logiciels sur le

marché. Ainsi, les développeurs sont toujours en veille pour corriger ces défauts

informatiques par des mises à jour régulières dans le cadre de développement de logiciel ou

suite à une signalisation d’utilisateur. Néanmoins, les anciennes solutions sur le marché

bénéficient toujours d’un pas d’avance par rapport aux autres grâce à une expérience

accumulée dans ce domaine.

2.2.4 Dépendance

Le recours au Contrôle Interne Assisté par Ordinateur ne remplace jamais l’esprit analytique

et critique de l’auditeur ainsi que sa rationalité dans l’évaluation des risques. Il fait appel

aussi à sa capacité créative et à son instinct d’auditeur. Cependant, l’utilisation continue et

permanente de cet outil peut stimuler une dépendance relative à cet outil et entraîner alors une

influence notable sur les choix et les analyses de l’auditeur.

En plus, l’existence d’une base de données initiale liée à la nature de l’activité de l’entreprise

implique une tendance de l’utilisateur à adopter des solutions prêtes au lieu de faire l’effort

d’une analyse structurée. Pourtant, les solutions préexistantes dans la base de données ne

s’appliquent pas toujours à l’organisation auditée.

2.2.5 Gestion de temps irrationnelle

Le Contrôle Interne Assisté par Ordinateur demande beaucoup d’investissement en matière de

temps. Les premiers mois sont les plus dures, et l’utilisateur à l’impression que le travail

avance très lentement. Cela n’a rien d’étonnant, c’est tout-à-fait normal que dans les premiers

mois on démarre très lentement puisque c’est la période de formation et de découverte du

logiciel. L’utilisateur rencontre alors un grand nombre de blocages techniques et

d’incompréhensions surtout au niveau de la logique de modélisation graphique.

En réalité, ce sont les premiers mois seulement qui consomment beaucoup de temps parce que

c’est une période d’adaptation et de conception. Après cette phase, l’accélération des

procédures de mise en place est remarquable, les phases d’analyse des risques, de

développement des activités de contrôle et le suivi des plans d’action prennent moins de

Page 39: Le Contrôle Interne Assisté par Ordinateur

39

temps. L’évolution de la mise en place du Contrôle Interne Assisté par Ordinateur dans l’axe

temps suit une courbe exponentielle.

Graphe représentant l’évolution de la mise en place de CIAO en fonction du temps

2.3 Les clés de réussite d’un projet de Contrôle Interne Assisté par Ordinateur

La réussite de l’introduction du Contrôle Interne Assisté par Ordinateur dans une

organisation passe d’abord par un ensemble de dispositions et de pré-requis :

• Une organisation comportant une définition claire des rôles, disposant des moyens

nécessaires et des compétences adéquates et s’appuyant sur des systèmes d’information

efficaces, sur des procédures ou modes opératoires, des instruments et des dispositifs

adaptés.

• Une communication interne pertinente, fiable et efficace qui permet à chacun d’exercer

ses responsabilités sans confusion ni désordre.

• L’existence d’un système permettant de recenser, d’évaluer et d’analyser les principaux

risques identifiables, de réaliser les objectifs de l’organisme et de s’assurer de l’existence

des procédures de maîtrise de ces risques.

• L’existence des activités de contrôle proportionnées aux risques liés à chaque processus,

et conçues pour s’assurer que les mesures nécessaires soient prises en vue de maîtriser les

risques susceptibles d’affecter la réalisation des objectifs.

• Une surveillance permanente portant sur le dispositif de contrôle interne ainsi qu’un

examen régulier de son fonctionnement.

Phase 1

Phase 2

Phase 3

Avancement de mise en place de CI

Temps

Page 40: Le Contrôle Interne Assisté par Ordinateur

40

3 Etude de cas logiciel Valdys

3.1 Présentation du logiciel

3.1.1 Fonctions majeurs et apport du logiciel

Désormais, les sociétés d’assurances et les mutuelles (compagnie, mutuelle ou institution de

prévoyance) sont soumises à une réglementation stricte qui leurs impose des connaissances

particulières en contrôle interne et une maîtrise totale des risques opérationnels y compris les

risques financiers. En effet, le second pilier de la directive Solvabilité 2 oblige les entreprises

du secteur des assurances à mettre en œuvre des actions de contrôle interne et de management

des risques qui nécessitent le recours à une méthodologie structurée et à des savoirs-faires

innovants en contrôle interne.

Dans ce cadre, Effisoft (éditeur de solutions informatiques de gestion) a développé

l’application Valdys : outil structurant permettant de piloter et de modéliser le contrôle

interne. Il apporte une connaissance exhaustive et une maîtrise totale des risques

opérationnels liés à la société relevant du contrôle de l’ACAM.35

Valdys permet d’une part de mettre en œuvre le référentiel de contrôle interne en décrivant et

en formalisant les processus et les risques au sein d’une démarche structurante intégrant les

spécificités des métiers de l’assurance (IARD, santé, prévoyance, retraite, …). Aussi, il

intègre la fonction d’évaluation des risques, d’identification des points de contrôle et de leurs

croisements avec les processus de l’entreprise. Il permet de générer les tableaux de contrôle

interne et les documents d’audit (fiches de contrôles, fiches de tests, plannings d’audit,

tableaux de synthèse) ainsi que tous les livrables réclamés dans le cadre du contrôle

permanent de l’ACAM.

D’autre part, il permet de diffuser le référentiel de contrôle interne et la déclinaison

opérationnelle des points de contrôle en générant automatiquement sous forme de documents

électroniques, documents papiers ou pages web intranet, les processus, les procédures,

l’analyse des risques et les plans d’action et de suivi pour faciliter la diffusion des

informations à tous les acteurs concernés.

Les fonctionnalités de cet outil sont en général les objectifs concernant le Contrôle Assisté

par Ordinateur à savoir :

• La réduction du temps de mise en place d’un système de contrôle interne 35 http://www.valdys.com/Pages/Solutions/Solutions.aspx?Action=Valdys

Page 41: Le Contrôle Interne Assisté par Ordinateur

41

• La sauvegarde et l’archivage des résultats obtenus à un moment donné dans l’objectif

de la traçabilité de la démarche

• La génération automatique d’un ensemble de documents d’audit et du rapport de

contrôle interne

• La conformité aux contraintes liées à Solvabilité 2

• L’économie de ressources matérielles et humaines

• L’assistance en ligne et l’accompagnement technique et professionnel

3.1.2 Caractéristiques techniques

Valdys est une solution qui n’est pas très exigeante en performance matérielle des ordinateurs

ou des serveurs de réseau. Cette caractéristique renforce son apport en tant que solution

économique pour l’entreprise. De ce fait, les clients ne sont pas amenés à avoir des

équipements de haute performance pour le mettre en route.

Selon les besoins, Valdys peut être installé en client lourd ou léger. Autre avantage, sa

compatibilité avec toutes les bases de données du marché (Access, MYSQL,…).

La configuration requise est la suivante :

• Espace disque nécessaire : 50Mo

• Mémoire : 1Go

• Processeur : Pentium III ou supérieur

• OS : Windows, Windows NT4 SP6, Windows 2000 SP3, Windows XP

• IE 5.1 ou supérieur

En revanche, certaines défaillances de ce logiciel ont été soulevées :

• L’installation du logiciel nécessite des connaissances informatiques très avancées. Ces

difficultés sont surtout dues à des mesures très strictes contre le piratage du logiciel.

• Nombre considérable d’erreurs et de bugs informatiques

• Incompatibilité avec la dernière version de Windows (Vista) et la dernière version

Office 2007, pour contourner ce problème l’éditeur propose pour ces clients dotés de

ce type de système d’exploitation ,des mises à jour.

• L’édition du rapport de contrôle interne demande encore des efforts considérables de

l’utilisateur pour l’adapter aux exigences de l’ACAM.

Page 42: Le Contrôle Interne Assisté par Ordinateur

42

3.2 L’architecture de Valdys

3.2.1 Présentation de l’arborescence de Valdys

Globalement, le logiciel est conçu sous forme d’une arborescence constituée de plusieurs

niveaux. Chaque niveau présente un angle de vue particulier sur le système de contrôle interne

paramétrable selon la phase de contrôle à réaliser. Les informations générées lors de

l’utilisation de Valdys sont enregistrées dans une base de modélisation représentée par un ou

plusieurs fichiers.

Schéma de l’architecture globale de la base de données

3.2.2 Le projet, le point de vue et le modèle

3.2.2.1 Le projet

Le premier niveau de structuration de la base de modélisation est le Projet. Il est possible de

modéliser différents projets au sein d’une même base. Un projet est un ensemble homogène

de points de vue et qui vise à réaliser les objectifs définis de contrôle interne. C’est le niveau

le plut haut des niveaux de conception d’une base de contrôle interne. Il est composé d’un ou

Bas de données CI

Projet 1

Projet 2

Projet 3

Projet 4

Point de vue 1

Point de vue 2 Point de vue 3 Point de vue 4

Modèle 1

Modèle 2

Modèle 3

Modèle 4

Page 43: Le Contrôle Interne Assisté par Ordinateur

43

plusieurs points de vue jugés pertinents pour la structuration du référentiel de contrôle

interne36. Il est possible de modéliser différents projets au sein d’une même base.

Exemple de projet: « Création de base de contrôle interne pour une mutuelle ».

3.2.2.2 Le Point de Vue

Ensemble de modèles identiques ou différents s’inscrivant dans un projet et décrivant un

éclairage particulier sur l’objet de la modélisation. Exemples : processus de pilotage,

processus cœur de métier, etc.37

Les Points de Vue permettent d’exprimer différentes dimensions complémentaires :

o Complémentarité dans le temps (un point de vue actuel, un point de vue cible)

o Complémentarité dans l’organisation (un point de vue interne, un point de vue

externe)

o Complémentarité dans l’espace (un point de vue central, un point de vue local)

Un Point de Vue s’exprime à travers un ou plusieurs Modèles.

3.2.2.3 Le Modèle

Ensemble de cadres, de règles de construction et d’outils d’édition offrant une représentation

structurée38.Chaque modèle relève d’un type de modèle qui précise les concepts manipulables

dans celui-ci. Par exemple, un modèle de type Arbre des Missions permet de manipuler le

concept de mission et les liens permettent de structurer une décomposition de missions en

sous missions, sous-sous-mission, etc.

D’une manière générale, un Modèle est un graphe composé de nœuds et de liens, qui

représentent des concepts manipulables. Ces nœuds et liens manipulés par les différents

éditeurs de modèles sont donc les représentants graphiques des concepts qui sont stockés dans

le Dictionnaire d’éléments. Ce dernier est propre à un Projet et il est partagé par tous les

Points de Vue et Modèles d’un seul et même Projet.

36 Annexe 1 « Lexique Valdys » 37 Annexe 1 « Lexique Valdys » 38 Annexe 1 « Lexique Valdys »

Page 44: Le Contrôle Interne Assisté par Ordinateur

44

3.3 Le projet de Contrôle Interne selon Valdys

3.3.1 Identification/Formalisation des processus

La première étape dans la réalisation du projet de mise en place du contrôle interne est de

décliner les missions et les objectifs de l’organisme afin d’identifier les processus clés de

celui-ci ainsi que les moyens mis en œuvre pour en garantir leur bon fonctionnement. Il y a

trois niveaux de conception des processus de l’organisation.

3.3.1.1 Le Macro-processus 39

C’est la vision globale du métier de l’entreprise avec une décomposition homogène et

cohérente selon ces différentes missions. La décomposition de l’activité de l’entreprise

proposée par Valdys concerne 3 grandes catégories (mission Pilotage, mission Cœur de

métier et mission Support, selon normes ISO 9000)

• Les processus de direction ou de pilotage : ils retracent la manière avec laquelle la

direction de l’entreprise pratique sa politique de pilotage et de gouvernance.

• Les processus de réalisation ou processus métier : ces processus traitent le

fonctionnement de réalisation d’un produit ou d’un service en décortiquant

l’enchainement des activités opérationnelles en plusieurs phases.

• Les processus support : ils permettent de représenter les moyens nécessaires à la mise en

œuvre des processus métiers.

3.3.1.2 Le Diagramme de Phase 40

C’est la représentation graphique d’un ensemble d’activités dans le cadre de la même mission

de contrôle. La phase symbolise une période durant laquelle se déroule un ensemble

d’activités au travers d’un découpage temporel. Les liaisons entre les différents diagrammes

de phases sont sous formes de connecteurs d’entrée ou connecteurs de sortie.

39 Voir annexe (2) 40 Voir annexe (4)

Page 45: Le Contrôle Interne Assisté par Ordinateur

45

3.3.1.3 Le Logigramme 41

Le troisième niveau de vision des procédures est le Logigramme « Schéma représentant un

processus mis en œuvre pour assurer une mission42 ».

A ce stade, un auditeur peut avoir une représentation synthétique d’une activité en modélisant

des tâches et les liants avec des flux horizontaux ou verticaux. Grâce à ce schéma, la réponse

à la question « qui fait quoi ? » est complète. Le Logigramme décrit de point de vue

opérationnel une activité à travers les pratiques des métiers de l’entreprise (une procédure au

sens ISO 9000). La description des Logigrammes permet donc de formaliser les pratiques

opérationnelles existantes et permet éventuellement d’optimiser le système d’information et /

le système de production de l’entreprise sur un périmètre donné.

Schéma représentant un processus mis en œuvre pour assurer une mission43

3.3.2 Identification et évaluation des risques

3.3.2.1 Catégories de risques

Après la définition et la modélisation des procédures, l’auditeur entame la phase

d’identification et d’évaluation des risques. D’abord, il faut partager les risques en risques

exogènes et risques endogènes :

41 Voir annaex (4) 42 Voir annexe (1) 43 Voir annexe (1)

Macroprocessus

Digramme de phase

Logigramme

Page 46: Le Contrôle Interne Assisté par Ordinateur

46

• Les risques exogènes sont des risques d’origine externe à l’entreprise (exemple : les

catastrophes naturelles, coupures de courant, etc.).

• Les risques endogènes se sont les risques liés à des facteurs déclenchés au sein de

l’entreprise (fraude interne, erreur de saisie, mauvaise interprétation d’un texte de loi par

le personnel, etc.).

La première catégorie de risque est modélisée avec des « Arbres des familles de risque»44

pendant que la deuxième catégorie est modélisée sous forme « d’Arbre de risque ». La

représentation graphique de ces arbres met en évidence la relation entre les missions et les

objectifs ainsi que les risques liés à chaque objectif (événement indésirable ou classe

d’événements indésirables).

L’établissement et l’analyse de procédure est une étape préparatoire à l’identification et

l’évaluation des risques. La logique de Valdys permet de déduire les risques en analysant les

objectifs à réaliser et les contraintes réglementaires à respecter. Ces risques en général se

produisent dans le cadre de la réalisation des activités de l’entreprise. Ainsi, la modélisation

des risques sous l’appellation « arbre de risque » est la suivante :

3.3.2.2 Evaluation des risques

L’évaluation des risques est une phase critique dans la démarche de contrôle interne. Tout

effort réalisé par un auditeur est fondé sur une analyse fiable et rationnelle des risques. Dans

le cas inverse, toute la mission d’audit et les objectifs liés peuvent être condamnés à l’échec.

44 Voir annexe (5)

Mission

Objectif

Contrainte

Evénement indésirable (Risque) ou classe d’événements indésirables

Point de contrôle

Action corrective

Action préventive

Page 47: Le Contrôle Interne Assisté par Ordinateur

47

Conscient de l’importance stratégique de cette phase, Valdys accorde beaucoup de moyens et

de ressources pour l’évaluation des risques. D’abord, pour évaluer la criticité d’un risque

Valdys intègre 3 facteurs dans la fonction de calcul :

• Fréquence F (de 1 à 5)

• Détectabilité D (de 1 à 5)

• Gravité G (de1 à 5)

La formule de calcul de la criticité est : Criticité = Fréquence* Détectabilité*Gravité

La criticité est ainsi comprise entre 1 et 100.

Dans certains cas l’auditeur est amené à prendre en considération le poids significatif d’un des

facteurs précédents. Pour faire, Valdys permet de changer la formule de calcul par une autre

comme par exemple (C=F*G², F*G, G^4*F²*D).

Puis, Valdys permet aussi de détailler l’évaluation de la Gravité en la décomposant en

plusieurs impacts de différentes natures (impact financier, impact client, impact image, impact

fournisseur, …).

Enfin, le logiciel permet de générer des cartographies de risque. Une fois les risques cotés, il

est possible de générer la cartographie de risques représentant graphiquement les risques et

leur importance. Pour cela, tous les risques de l’Arbre des risques 45 n’ont pas besoin d’être

forcément cotés. Il est possible de générer une cartographie des risques pour un seul arbre des

risques à la fois ou pour tous les arbres présents dans le modèle « Arbre des risques » ou

pour tous les arbres de risques d’un projet

3.3.3 Identification des éléments de contrôle et cr oisement avec les

tâches ou activités de contrôle

Pour chaque risque majeur ou mineur, Valdys permet d’identifier un ou plusieurs éléments de

maîtrise :

• Action corrective

• Action préventive

45 Annexe (3)

Page 48: Le Contrôle Interne Assisté par Ordinateur

48

• Point de contrôle

A chaque élément de maîtrise doit correspondre une tâche de contrôle présent au niveau des

Logigrammes. Cette opération de liaison entre les points et les tâches de contrôle est appelée

processus de croisement des risques. Une génération par la suite des tableaux de contrôle

nous permettra de détecter les défaillances du système de contrôle interne dans l’entreprise

(les risques auxquels ne corresponde aucune tâche de contrôle).

3.3.4 Suivi et amélioration

Valdys permet de planifier et de mettre en place des plans d’action et de contrôle, de réaliser

des évaluations de contrôle et de suivre des recommandations. Dans ce cadre, il dispose de

plusieurs outils et moyens :

• La Fiche de contrôle : elle décrit de quelle manière les risques sont pris en compte au

niveau des processus (mode opératoire, responsable, fréquence du contrôle, etc.) dans

le but de maîtriser les risques du métier.

• Le Tableau de contrôle : il permet de synthétiser le rapprochement entre les risques,

les points de contrôle et les processus; et ceci, afin d’identifier les écarts.

• Le Tableau de bord : il permet de synthétiser l’avancement des audits et des résultats

obtenus; et ceci, par période, type de risque, date, etc.

• Le Planning des actions : il permet de visualiser les actions correctives et préventives

puis d’organiser leur suivi.

• L’Echéancier d’évaluation : il indique, pour une période donnée, la liste des audits à

mener et la charge de travail correspondante dans le but de planifier efficacement les

évaluations.

3.4 Les documents générés en interne par Valdys

3.4.1 Le rapport du contrôle interne

Le rapport du contrôle interne récapitule l’ensemble des informations intégrées dans Valdys

en les organisant d’une manière cohérente et homogène. Le rapport de contrôle interne est

notamment destiné aux autorités de tutelle telles que l’ACAM – Autorité de Contrôle des

Assurances et des Mutuelles.

Page 49: Le Contrôle Interne Assisté par Ordinateur

49

Dans ce cadre, Valdys permet de générer un rapport de contrôle interne sous forme d’un

fichier au format Word. Le script utilise toute la base de données disponible et les

informations enregistrées par l’auditeur pour générer un rapport de contrôle interne. La

structure finale du rapport de contrôle interne est modifiable selon les besoins de l’utilisateur.

Ainsi, l’auditeur décide de mettre ou non un certain nombre de renseignements dans le

rapport de contrôle selon leur degré d’importance et d’utilité.

Néanmoins, la performance du logiciel dans la génération du rapport reste limitée.

Effectivement, l’utilisateur doit intégrer lui-même un nombre d’informations qui alimentera la

base Valdys (exemple : informations sur l’organisation du Conseil d’Administration) et

effectuer les modifications finales pour mettre en conformité le rapport avec les exigences de

l’ACAM. L’utilisateur est confronté alors à des mesures restrictives établies par l’éditeur du

logiciel dans le cadre d’encadrer la mission d’audit. Cela engendre beaucoup de difficultés

pour changer ou modifier des éléments du rapport comme le contenu des tableaux ou des

graphes. Un autre inconvénient, le logiciel ne présente qu’un seul choix concernant la

structure de rapport ; en conséquence l’utilisateur ne peut pas modifier l’architecture du

rapport. Dans ce cas, il est invité à fournir un effort considérable pour changer la structure du

rapport par défaut. De plus, on note l’absence d’une génération automatique d’une note de

synthèse sur l’état et l’aboutissement du travail de contrôle effectué par l’auditeur.

3.4.2 La génération des pages HTML 46

La génération d’un site web est une fonctionnalité très utile pour la diffusion et le partage

d’information entre le personnel. Tout le travail réaliser de la modélisation des procédures

jusqu’à la génération du rapport est intégralement consultable. Ce site web généré peut être

consulté et intégré dans l’intranet de l’entreprise ou dans un réseau extranet. Les utilisateurs

ayant les droits d’administrateur ont l’option d’interdire et de sécuriser l’accès à des éléments

confidentiels.

46 Voir annexe (8)

Page 50: Le Contrôle Interne Assisté par Ordinateur

50

Conclusion

Le Contrôle Interne Assisté par Ordinateur est une option portant une grande valeur ajoutée

pour les entreprises et les cabinets d’audit afin d’assister et d’accélérer le processus de mise

en œuvre de la démarche de contrôle interne.

Les trois axes de ce mémoire démontrent le rôle important du Contrôle Interne Assisté par

Ordinateur à la gestion de l’organisation et au processus de maîtrise des risques. Accélération

de processus, économie des dépenses liées aux opérations de contrôle, cohérence de démarche

entre auditeurs, en effet la valeur ajoutée de cet outil est de plus en plus remarquable.

Cependant, il ne faut pas ignorer l’importance des défaillances constatées et déduites lors de

notre analyse du concept et surtout dans notre étude de cas surtout concernant les dimensions

techniques et la maîtrise des outils de logiciels. Par ailleurs, il est très tôt de porter un

jugement négatif à cause des inconvénients déjà relevés. Notamment parce que notre analyse

a porté sur un seul logiciel (Valdys) et aussi en se référant à d’autres ressources

documentaires. Pour généraliser notre étude, il faut impliquer dans l’analyse d’autres logiciels

et d’autres utilisateurs. Cette analyse doit faire l’objet de tests pratiques et techniques réalisés

par les acteurs et les experts du contrôle interne et les éditeurs et concepteurs de ces solutions

de gestion. Un effort conjugué entre toutes ces parties peuvent contribuer au développement

et à l’amélioration du Contrôle Interne Assisté Par Ordinateur.

Finalement, on peut dire qu’à l’instar de toutes les solutions informatiques proposées aux

entreprises, le Contrôle Interne Assisté par Ordinateur connaît un développement rapide et

soutenu du nombre de ces clients grâce à un meilleur rapport coût/efficacité et devient ainsi

un concurrent redoutable pour les cabinets d’audit.

Page 51: Le Contrôle Interne Assisté par Ordinateur

51

Bibliographie :

• Frédéric Bernard, Rémi Gayraud et Laurent Rousseau, « Contrôle interne », Ed.MAXIMA,

Paris, 2006, p 303

• Norme CNCC 2-301, évaluation du risque et de contrôle interne », para 08, Référentiel

normatif CNCC,2003

• Coopers & Lybrand, « La nouvelle pratique du contrôle interne », Edition d’organisation,

Paris, 1994, p 378

• Kamal ABOU EL JAOUAD, « Les enjeux du contrôle interne » Université Clermont

• Benoît Pigé « Audit et contrôle interne », Ed EMS, Paris, 2001, p210

• Alain-Gérard Cohen, « Contrôle interne et audit publics », ed LGDJ, PARIS, 2005, p 183

• Dictionnaire encyclopédique universel. Edition Précis1998. P1383

• Ernst&Young. « Elaborer une cartographie des risques opérationnels, dans le cadre des

exigences de la future directive Solvency II »

• Hugues Angot, Christian Fischer, Baudouin Theunissen. « Audit comptable, Audit

informatique ». Edition: 3 De Boeck Université, 2004. p 304

• Seán Cleary, Thierry Malleret Collaborateur Klaus Schwab, « Risques: Perception,

Evaluation, Gestion ». Editions Maxima. 2006. 253 pages

• Étienne Barbier. « MIEUX PILOTER ET MIEUX UTILISER L'AUDIT ». Editions Maxima,

1998. p 124

• Dictionnaire encyclopédique universel. Edition Précis1998. P1383

Webographie :

• http://www.efront.com/fr/Logiciel_Controle_Interne.asp

• http://enablon.com/produits/gestion-des-risques/controle-permanent.aspx

• http://www.keyword.fr/sitekeyw/html_val/ru$44___.htm?gclid=CLK0jd6c65kCFQiF3godMi

uuQQ

• http://fr.wiktionary.org/wiki/contr%C3%B4le

• http://www.bumko.gov.tr/KONTROL_EN/Images/kontrol/coso.jpg

• http://www.french-american.org/files/cr-francais-diner-ifafaf.pdf)

• http://www.amf-france.org/documents/general/4746_1.pdf

• http://www.knowllence.com/fr/publications/management_processus.pdf

• http://www.ordinal.fr/html/glossaire.htm

• http://fr.wikipedia.org/

• http://fr.thefreedictionary.com/assister

• http://www.valdys.com/Pages/Solutions/Solutions.aspx?Action=Valdys

Page 52: Le Contrôle Interne Assisté par Ordinateur

52

Annexes

Page 53: Le Contrôle Interne Assisté par Ordinateur

53

1 Annexe (1) : Lexique Valdys

Page 54: Le Contrôle Interne Assisté par Ordinateur

54

Page 55: Le Contrôle Interne Assisté par Ordinateur

55

2 Annexe (2) : le Macro-processus

Page 56: Le Contrôle Interne Assisté par Ordinateur

56

3 Annexe (3) : Arbre des risques

Page 57: Le Contrôle Interne Assisté par Ordinateur

57

4 Annexe (4) : Diagramme de Phase et Logigramme

Page 58: Le Contrôle Interne Assisté par Ordinateur

58

5 Annexe (5) : Arbre des familles de risque

Page 59: Le Contrôle Interne Assisté par Ordinateur

59

6 Annexe (6) : Le modèle nomenclature et le modèle diagramme de structure

Page 60: Le Contrôle Interne Assisté par Ordinateur

60

7 Annexe (7) : Le modèle arbre des rôles/compétence s et la cartographie des risques

Page 61: Le Contrôle Interne Assisté par Ordinateur

61

8 Annexe (8) : Les pages Html