- 1 -
Articulation entre le contrôle interne et le management des risques
Youssef GHANDARI
Enseignant chercheur, ENCG de Settat
Université Hassan 1er
Khalid KHATOURI
Doctorant, Laboratoire des Etudes en Finance, Comptabilité et Gestion
ENCG de Settat
Résumé
Dans cet article, nous avons pu mettre en articulation le contrôle interne et le management du
risque. La démarche déductive que nous avons adoptée dans ce papier a montré que le
contrôle interne a connu une évolution spectaculaire. Il est passé, dans l’espace de quelques
années, du stade de la bonne pratique dans de nombreuses sociétés à travers le monde vers un
processus normalisé et intégré, cadré par des référentiels reconnus sur le plan international (le
cadre référentiel COSO notamment).
Le contrôle interne a pour objectif de définir les contours du portefeuille de risques et de
fournir une assurance raisonnable quant à la réalisation des objectifs de l’organisation. De son
côté, le management des risques doit augmenter la probabilité de succès et réduire la
probabilité d’échec et l’incertitude qui s’y attache. C’est à ce niveau que se situe l’importance
de traiter l’articulation entre le contrôle interne et le management des risques.
- 2 -
Introduction
Les organisations sont en permanence confrontées à l’amélioration de leurs performances
dans un environnement qu’elles souhaitent sécuriser. Cette amélioration est de plus en plus
recherchée à travers une décentralisation de la prise de décisions pour en assurer la pertinence
et la mise en œuvre rapide. Dans ces conditions, le management d’entreprise est naturellement
amené à s’interroger sur la maîtrise du fonctionnement de l’organisation.
Le présent article porte sur l’articulation entre le contrôle interne et le management des
risques, L’articulation et l’équilibre conjugué des deux dispositifs sont conditionnés par
l’environnement de contrôle, qui constitue leur fondement commun, notamment : la culture
du risque et du contrôle propres à l’organisation et les valeurs éthiques de cette dernière.
1. Cadre conceptuel du contrôle interne et management de risque
Cette section porte sur les aspects conceptuels du contrôle interne et le management des
risques. Il s’agira de présenter le concept du contrôle interne tout en cernant les tenants et les
aboutissants de ce dispositif et en faisant la liaison avec le référentiel COSO.
1.1. Présentation du contrôle interne
Le Système de contrôle interne s’est développé en parallèle avec l’évolution de la taille des
entreprises ainsi que la complexité de l’environnement de l’entreprise , un environnement en
mutation permanente d’où la nécessité d’adopter un dispositif ayant pour finalité de vérifier
que les règles édictées sont respectées et que tous les moyens sont engagés pour atteindre les
objectifs stratégiques de l’entreprise , un dispositif qui n’est autre que le système de contrôle
interne .
Les définitions du Contrôle interne ont été nombreuses et ont eu le plus souvent comme
auteurs des organisations professionnelles de comptables. Elles ont été modifiées au fur et à
mesure que le temps et l'environnement de l'entreprise ont évolué. Il nous semble intéressant
de présenter quelques définitions pertinentes et universelles et qui ont apporté un aperçu
global sur le concept et les objectifs du Contrôle interne.
Selon l'Ordre des Experts Comptables Français en 1977 : « Le Contrôle Interne est
l'ensemble des sécurités contribuant à la maîtrise de l'entreprise. Il a pour but d'assurer la
protection, la sauvegarde du patrimoine et la qualité de l'information, de l'autre l'application
des instructions de la Direction et de favoriser l'amélioration des performances. Il se manifeste
- 3 -
par l'organisation, les méthodes et les procédures de chacune des activités de l'entreprise, pour
maintenir la pérennité de celle-ci ».1
Selon la Compagnie Nationale des Commissaires aux Comptes Français en 1987 : « Le
Contrôle Interne est constitué par l'ensembles des mesures de contrôle comptable , que la
direction définit, applique et surveille, sous sa responsabilité, afin d'assurer la protection du
patrimoine de l'entreprise et la fiabilité des enregistrements comptables et des comptes
annuels qui en découlent »2.
Selon l’IFACI : « Le contrôle interne est un dispositif de la société, défini et mis en œuvre
sous sa responsabilité. Il comprend un ensemble de moyens, de comportements, de
procédures et d’actions adaptés aux caractéristiques propres de chaque société qui contribue à
la maîtrise de ses activités, à l’efficacité de ses opérations et à l’utilisation efficiente de ses
ressources, et doit lui permettre de prendre en compte de manière appropriée les risques
significatifs, qu’ils soient opérationnels, financiers ou de conformité ».3
Toutes ces définitions institutionnelles données au contrôle interne nous ont servi à cerner le
concept de contrôle interne et le présenter comme l’ensemble des procédures, des moyens, des
comportements et des méthodes mis en place et définit par la direction et qui contribuent à la
maitrise des activités.
1.2. Présentation du management des risques
Le management des risques traite des risques et des opportunités ayant une incidence sur la
création ou la préservation de la valeur. Il se définit comme suit :
« Le management des risques est un processus mis en œuvre par le Conseil d’administration,
la direction générale, le management et l'ensemble des collaborateurs de l’organisation. Il est
pris en compte dans l’élaboration de la stratégie ainsi que dans toutes les activités de
l'organisation. Il est conçu pour identifier les événements potentiels susceptibles d’affecter
l’organisation et pour gérer les risques dans les limites de son appétence pour le risque. Il
vise à fournir une assurance raisonnable quant à l'atteinte des objectifs de l'organisation. » 4.
2Grand B, Verdalle B, 1999. Audit Comptable et Financier. Paris, Economica, p63 3Institut français de l’audit et du contrôle interne, www.ifaci.com/ifaci/connaitre-l-audit-et-le-controle-
interne/definitions-de-l-audit-et-du-controle-interne.
- 4 -
Cette définition met l’accent sur certains concepts fondamentaux. Le dispositif de
management des risques :
- Est un processus permanent qui irrigue toute l’organisation,
- Est mis en œuvre par l’ensemble des collaborateurs, à tous les niveaux de
l’organisation,
- Est pris en compte dans l’élaboration de la stratégie,
- Est mis en œuvre à chaque niveau et dans chaque unité de l’organisation et permet
d’obtenir une vision globale de son exposition aux risques,
- Est destiné à identifier les événements potentiels susceptibles d’affecter l’organisation,
et à gérer les risques dans le cadre de l’appétence pour le risque,
- Donne à la direction et au Conseil d’administration une assurance raisonnable (quant à
la réalisation des objectifs de l’organisation),
- Est orienté vers l’atteinte d’objectifs appartenant à une ou plusieurs catégories
indépendantes mais susceptibles de se recouper.
Cette définition est volontairement large. Elle intègre les principaux concepts sur lesquels
s’appuient les entreprises pour définir leur dispositif de management des risques et se veut
une base pour la mise en œuvre d’un tel dispositif au sein d’une organisation, d’un secteur
industriel ou d’un secteur d’activité. Elle est centrée sur l’atteinte des objectifs fixés pour une
organisation donnée, et constitue en cela une base pour la définition d’un dispositif de
management des risques efficace.
L’efficacité d’un dispositif de management des risques peut s’apprécier en vérifiant que
chacun des huit éléments est en place dans l’organisation à savoir5 :
Environnement interne ;
Fixation des objectifs ;
Identification des événements ;
Evaluations des risques ;
Traitement des risques ;
- 5 -
Activités de contrôle ;
Information et communication ;
Pilotage.
L’existence et le bon fonctionnement de ces éléments constituent donc un critère d’efficacité
du dispositif de management des risques. Un dispositif efficace exclut toute faiblesse majeure
dans l’un des éléments, et peut justifier que le niveau des risques est contenu dans les limites
de l’appétence pour le risque de l’organisation.
Lorsque le dispositif de management des risques s’avère être efficacement géré pour chacune
des catégories d’objectifs, le Conseil d’administration et la direction de l’organisation peuvent
considérer qu’ils ont une assurance raisonnable de disposer d’une vision claire sur la façon
dont les objectifs stratégiques et opérationnels de l’entité sont en passe d’être atteints, de la
fiabilité du reporting et du respect des lois et règlements applicables.
2. Cadre référentiel du contrôle interne et management des risques
Compte tenu des objectifs et de l’importance que revêtent le contrôle interne et le
management des risques pour l’entreprise, la mise en place d’un référentiel assurant la
normalisation s’imposait, ce référentiel n’est autre que celui du Committee Of Sponsoring
Organisations of the Treadway Commission (COSO).
2.1. Référentiel COSO (version 1992)
A l’origine, en 1985, cinq associations professionnelles aux Etats-Unis6, se sont alliées pour
la création de la « Treadway Commission ». Cette commission fut chargée de mener une
étude sur les facteurs pouvant inciter à fournir des informations financières frauduleuses ce fut
l’émergence du modèle COSO qui est l’acronyme abrégé de Committee Of Sponsoring
Organisations of the Treadway Commission.
Le COSO a défini dans sa version éditée en 1992 le contrôle interne comme :
un processus mis en œuvre par le Conseil d’Administration, les dirigeants et le personnel d’une
organisation, destiné à fournir une assurance raisonnable quant à la réalisation des 3 objectifs
suivants : La réalisation et l’optimisation des opérations, la fiabilité des informations
6 The American Accounting Association, The American Institute of Certified Public Accountants, Financial Exécutives
International , The Institute of Internal Auditors , The National Association of Accountants maintenant appelé The Institute of Management Accountants.
- 6 -
financières et de gestion, la conformité aux lois et aux réglementations en vigueur. Les
différentes composantes du contrôle interne selon le modèle se présentent comme suit 7 :
- L'environnement du contrôle :
L’environnement de contrôle est un élément très important de la culture d'une entreprise,
puisqu'il détermine le niveau de sensibilisation du personnel au besoin de contrôle et leur
degré d’acceptabilité à l’égard de ce dispositif. Il constitue justement le fondement de tous les
autres éléments de Contrôle Interne.
- L'analyse de risques :
Toute organisation est exposée à une multitude de risques tant externes qu'internes. L'analyse
de risques consiste justement à définir le niveau et le type de risque acceptable, à l’évaluer
régulièrement et à entrevoir des mesures de traitement des risques identifiés soit en subissant
ces risques, ou en les réduisant ou en les transférant.
- Activités de contrôle :
Ce composant inclut toutes les procédures mises en place par le management afin de s’assurer
que les opérations sont effectivement bien exécutées. Ces activités correspondent « à
l'ensemble des politiques et des procédures mises en place pour maîtriser les risques et réaliser
les objectifs de l'organisation. Pour être efficaces, les activités de contrôle doivent être
appropriées ; fonctionner de manière cohérente, conformément aux plans, tout au long de la
période ; respecter un équilibre entre coût et bénéfices ; être exhaustives, raisonnables et
directement liées aux objectifs du contrôle »8.
- Information et communication :
L'information et la communication sont essentielles à la réalisation de l'ensemble des objectifs
du contrôle interne. Elles aident l'organisation à évaluer ses performances et l'efficacité de ses
opérations. Ce composant vise essentiellement le système d’information qui constitue la
plateforme de traitement de stockage et de diffusion de l’information utile aux différents
acteurs au sein de l’entreprise.
7 COSO - Référentiel intégré de contrôle interne : l’évolution du référentiel COSO du contrôle interne au management des
risques, page 122, édition 2014, IFACI et Pricewaterhousecoopers.
8 Comité des normes de contrôle interne (Cour des comptes de Belgique), Lignes directrices sur les normes de contrôle interne à promouvoir dans le secteur public, p31
- 7 -
- Pilotage :
Les systèmes de Contrôle Interne évoluent et changent avec le temps, ainsi que la manière
dont les contrôles sont exécutés. Ils peuvent se révéler efficaces pendant un certain temps, du
fait qu'ils aient été conçus pour répondre à une situation donnée et spécifique, et devenir
insuffisants une fois la situation changée. Le pilotage implique donc « l'évaluation critique,
par le personnel approprié, de la manière dont les contrôles sont conçus, des délais
d'exécution et de la façon dont sont prises les mesures nécessaires »9.
2.2. COSO 2 - version 2004
Le COSO 2 propose un cadre de référence pour la gestion des risques de l’entreprise. Le
management des risques de l’entreprise est un processus mis en œuvre par le conseil
d’administration, les dirigeants et le personnel d’une organisation, exploité pour l’élaboration
de la stratégie et transversal à l’entreprise, destiné à identifier les événements potentiels
pouvant affecter l’organisation, maîtriser les risques afin qu’ils soient dans les limites de
l’appétence au risque et fournir une assurance raisonnable quant à la réalisation des objectifs
de l’organisation.
En effet, l’évolution du contexte économique de plus en plus risqué pousse les entreprises à
se munir d’un processus de maitrise des risques efficace cela nous mène à s’intéresser
davantage aux différences entre le COSO et le COSO 2. Les différences majeures que l’on
peut mettre en exergue entre les deux versions peuvent être résumées comme suit :
Tout d’abord, le COSO 2 a la particularité de parler à la fois de risque quand un
évènement impacte négativement l’entreprise mais aussi d’opportunité quand l’impact
est positif alors que le COSO ne traitait pas la notion de l’opportunité.
Le COSO 2 introduit aussi la notion d’ « appétence au risque » qui se définit comme
étant le niveau de risque auquel l’entreprise est prête à faire face.
Ensuite, le COSO 2 prend en compte les objectifs stratégiques en plus des objectifs
opérationnels, de reporting et de conformité du COSO initial.
Il est finalement nécessaire de soulever aussi que le COSO 2 donne une dimension d’analyse
supplémentaire en instaurant une maitrise des risques de toutes les strates de l’entreprise
(filiale, unité, division). Il en résulte alors que le référentiel COSO est une approche qui a
9 Price Waterhouse, IFACI, 2004. La pratique du Contrôle Interne. Paris, édition d'organisation, p96.
- 8 -
défini les fondamentaux du contrôle interne cependant, pour mieux tenir compte de
l’évolution de l’environnement économique et réglementaire dans lequel évoluent les
organisations et les nouveaux risques auxquels sont confrontées les entreprises une mise à
jour importante du référentiel a vu le jour en 2013.
2.3. COSO 3 - version 2013
Le COSO 2013 a été conçu suite à une révision de l’édition initiale de 1992 dans le but
d’assister les entreprises dans l’adaptation de leur contrôle interne aux enjeux de leur
environnement , dans ce même contexte le COSO 2013 a fourni également des exemples
d’outils d’évaluation de l’efficacité d’un système de contrôle interne afin d’aider les
utilisateurs à documenter leur évaluation des risques, à déterminer le périmètre d’action et à
entreprendre les démarches requises pour maitriser et cerner ces risques. La vocation est
toujours la même celle de fournir une assurance raisonnable à l’organisation quant à la
fiabilité de ses reporting et informations financières, quant à la conformité de ses procédures
aux lois et réglementations professionnelles en vigueur et quant à la réalisation de ses
opérations avec optimisation des ressources.
Il en résulte que l’objectif de la mise à jour du référentiel COSO est l’adaptation du dispositif
de contrôle interne aux enjeux d’aujourd’hui et de demain, justement le projet a permis de
prendre du recul par rapport aux évolutions des vingt dernières années, depuis la parution du
référentiel d’origine ceci nous mène une autre fois à s’interroger davantage sur les apports de
cette publication, qui ne cesse de s’actualiser en vue de répondre aux nouvelles exigences de
l’environnement de l’entreprise, le but justement est de permettre à l’entreprise de mieux
cerner ses activités et mieux appréhender son futur, l’essentiel de ces apports sont les
suivants :
- L’élargissement du domaine d’application au-delà du reporting financier, en effet cette
version met l’action aussi sur la responsabilité sociale et environnementale ;
- Le renforcement des attentes en matière de gouvernance ;
- L’articulation des 3 « lignes de maîtrise » dans l’organisation cette articulation fait
référence aux opérationnels, aux fonctions support, et à l’audit interne ;
Les principales évolutions apportées par cette nouvelle version du référentiel sont aussi
introduites au travers de la codification des 17 principes sous-jacents aux 5 composantes du
- 9 -
contrôle interne, il s’agit autrement dit de points que l’auditeur interne ou bien externe devrait
vérifier en vue de fournir une assurance raisonnable quant à la conformité des procédures aux
règles et instructions édictées par l’entreprise. Il s’agit également de principes qui ont pour
finalité de déceler les nouveaux niveaux de risques auxquels sont confrontées les entreprises
d’aujourd’hui en prenant en considération les différentes évolutions et mutations
technologiques de leur environnements (risques liés aux évolutions technologiques , des
risques liés à la maitrise des fraudes et des risques liés à la sous-traitance et à la qualité des
relations qu’entreprend l’organisation avec ses partenaires externes en général).
3. Articulation entre le contrôle interne et le management des risques
Il appartient à chaque entreprise de mettre en place des dispositifs de gestion des risques et de
contrôle interne adaptés à sa situation.
Dans le cadre d’un groupe, la société mère veille à l’existence de dispositifs de gestion des
risques et de contrôle interne au sein de ses filiales. Ces dispositifs devraient être adaptés à
leurs caractéristiques propres et aux relations entre la société mère et les filiales.
3.1. Processus de contrôle interne et sa mise en place
Techniquement, un « système de contrôle interne » s’articule autour des critères relatifs à
l’organisation, à la documentation et à la traçabilité. Toute entité, tout processus et toute
opération participant à la mise en œuvre d’une politique publique doit intégrer ces trois
critères. Pour maîtriser les risques associés à l’atteinte des objectifs, les tâches individuelles et
collectives doivent être organisées, documentées et traçables.
Pour ce faire, le développement d’un système de contrôle interne doit s’appuyer sur un
processus continu intégrant tous les processus et activités.
3.1.1. Les objectifs et leur déclinaison opérationnelle
Un « système de contrôle interne » ne fait sens qu’en fonction des objectifs de l’entité. Ces
objectifs comprennent les objectifs généraux ou stratégiques, qui concernent l’entité dans son
ensemble, et les objectifs opérationnels, déclinaison des objectifs généraux au niveau de
chaque processus et de chaque activité de l’entité.
Les objectifs d’un processus et d’une activité sont déterminés en fonction des objectifs de
l’échelon supérieur. Les objectifs doivent être significatifs, compréhensibles par tous et
- 10 -
mesurables. La somme des objectifs doit être cohérente avec les missions de l’entité afin d’en
garantir l’alignement stratégique.
La déclinaison des objectifs au sein de l’entité fournit le cadre de travail de chacun des
acteurs. La qualité de la communication des objectifs est donc essentielle pour assurer la
bonne conduite des opérations. Tous les acteurs de l’entité doivent être régulièrement
informés sur les objectifs à poursuivre ainsi que sur les indicateurs permettant de les mesurer.
3.1.2. L’environnement et l’organisation du contrôle interne
La culture de l’entité, dans laquelle s’inscrivent ses missions et objectifs, est un élément
déterminant du contrôle interne. L’identification et le partage des valeurs de l’entité, la
détermination d’un périmètre stable et la clarification des responsabilités des uns et des autres
sont des prérequis pour toute démarche de contrôle interne. Pour être pertinent, un « système
de contrôle interne » doit s’appuyer sur la culture de l’entité, sur ses valeurs et sur tous les
éléments qui influencent le comportement des personnels au quotidien.
Les éléments qui participent à l’appropriation des valeurs de l’entité doivent être formalisés et
faire l’objet de formation et d’actions de communication interne, notamment à l’attention des
nouveaux arrivants. Il peut s’agir, par exemple, d’une charte d’éthique, d’une charte de
valeurs, d’un code de déontologie, d’un document décrivant la politique et les pratiques de
gestion des ressources humaines, d’un règlement intérieur ou de tout autre code de procédures
internes.
Le principe d’exemplarité est fondamental pour la mise en place d’un « système de contrôle
interne ». Le premier responsable et les directeurs de l’entité doivent faire preuve
d’exemplarité dans leurs actions quotidiennes afin d’inspirer à leurs collaborateurs un
comportement en lien avec les valeurs de l’entité. Les règles de conduite et d’intégrité guident
l’activité de l’entité. C’est selon ce contexte, propre à chaque entité et porté au plus haut
niveau hiérarchique, qu’un « système de contrôle interne » efficace pourra se développer.
L’établissement d’une cartographie des processus (processus métiers, supports, de gestion et
de pilotage) et la modélisation de chacun d’eux, est une étape d’analyse nécessaire à la mise
en place d’un « contrôle interne » global, qui ne peut aboutir que grâce à la mobilisation de
tous les échelons de responsabilité de l’entité. Pour la mener à bien, l’entité doit avoir une
vision claire de son périmètre d’intervention et connaître en détail les processus, activités et
- 11 -
fonctions permettant la mise en œuvre de sa politique générale. Sa stratégie et ses objectifs
vont déterminer le périmètre couvert par le « système de contrôle interne ».
La cartographie doit notamment permettre de faire apparaître toutes les relations à l’œuvre
dans l’entité : relations hiérarchiques, relations fonctionnelles, relations contractuelles. Elle
permet également l’identification des instances de gouvernance interne chargée de la
surveillance générale de l’entité. L’organigramme, la cartographie des processus et leur
modélisation, les délégations de pourvoir et de signature, les contrats de gestion ou de service,
les lettres de missions et les fiches de description de poste sont autant d’outils utiles à la
clarification des responsabilités. Grâce à eux, chaque collaborateur connait sa mission, ses
objectifs, ses pouvoirs et se sent pleinement responsable de sa tâche. La structuration des
processus permet de préciser les responsabilités et les pouvoirs de tous les acteurs au sein de
l’entité.
3.2. Management et cartographie des risques
La démarche d’évaluation des risques consiste à identifier les risques susceptibles de
compromettre la réalisation des objectifs de l’entité, d’analyser ces risques et d’assurer le
suivi de leur gestion.
Pour chaque objectif identifié, généraux et opérationnels, un voire plusieurs risques peut être
identifiés. Une fois identifiés, les risques généraux ou stratégiques peuvent servir de facteur
commun (catégories de risques) afin de faciliter l’identification des risques opérationnels
retracés dans les référentiels de contrôle interne.
Le moyen le plus adéquat pour procéder à l’identification des risques associés à chaque
objectif est d’utiliser la cartographie des risques de l’entité, développée en général par un
service spécialisé en gestion des risques, ou le cas échéant en l’absence d’un tel service, avec
l’assistance de l’audit interne.
Au cas où l’entité ne dispose pas de cartographie de ses risques, chaque responsable de
processus doit participer à l’identification des risques le concernant, qui viennent alimenter le
référentiel de contrôle interne. Dans cette situation, plusieurs méthodes sont possibles. L’une
d’entre elles repose sur la conduite d’une démarche au niveau central, coordonnée par une
équipe spécialisée. Dans tous les cas, il importe de conserver une cohérence d’ensemble pour
pouvoir présenter des résultats relatif à l’ensemble des activités de l’entité.
- 12 -
Les résultats de l’analyse des risques donnent une vision des différents niveaux de risques.
Ces résultats apparaissent notamment dans les référentiels de contrôle interne de chaque
processus et activité et pourront alimenter une cartographie des risques.
Cette dernière permet d’afficher le positionnement des risques majeurs ou stratégiques selon
différents axes, tels que l’importance potentielle (impact), la probabilité de survenance ou le
niveau actuel de maîtrise des risques. L’établissement d’une cartographie des risques répond à
différentes finalités, parmi lesquelles :
- aider le management dans l’élaboration de son plan stratégique et sa prise de
décisions. Il s’agit alors d’un outil de pilotage interne ;
- communiquer aux organes de surveillance de l’entité des informations sur la maîtrise
des risques. Conformément aux bonnes pratiques recommandées, il revient au comité
d’audit d’examiner les risques significatifs et leur couverture ;
- orienter le plan d’audit interne en mettant en lumière les processus et activités où se
concentrent les risques majeurs ;
- améliorer ou développer une culture de gestion des risques dans l’entité, notamment
par la mise en place d’outils d’auto-évaluation.
3.3. Articulation entre le contrôle interne et le management des risques
Toute entreprise a pour vocation d’atteindre ses objectifs stratégiques, dans cette perspective
elle doit mettre en place un dispositif capable d’assurer le bon déploiement de ses axes
stratégiques en objectifs à atteindre sur le court et long terme ; un dispositif ayant pour finalité
d’assurer la maitrise des activités internes de l’entreprise et de garantir le respect des
procédures telles qu’elles ont été édictées par les normes en vigueur et les pratiques
professionnelles adoptées dans ce sens. C’est dans cette logique que le contrôle interne trouve
son champ de prédilection. Le contrôle interne fait partie intégrante du dispositif de
management des risques. Ce cadre de référence intègre le contrôle interne, constituant ainsi
une modélisation et un outil de management plus «solide».
Les dispositifs de management des risques et de contrôle interne participent de manière
complémentaire à la maîtrise des activités de l’organisation :
- 13 -
- Le dispositif de management des risques vise à identifier et analyser les principaux
risques de la société. Les risques, dépassant les limites acceptables fixées par
l’organisation, sont traités et le cas échéant, font l’objet de plans d’action. Ces derniers
peuvent prévoir la mise en place de contrôles, un transfert des conséquences
financières (mécanisme d’assurance ou équivalent) ou une adaptation de
l’organisation. Les contrôles à mettre en place relèvent du dispositif de contrôle
interne. Ainsi, ce dernier concourt au traitement des risques auxquels sont exposées les
activités de la société ;
- De son côté, le dispositif de contrôle interne s’appuie sur le dispositif de management
des risques pour identifier les principaux risques à maîtriser ; En outre, ce dernier doit
lui-même intégrer des contrôles, relevant du dispositif de contrôle interne, destinés à
sécuriser son bon fonctionnement.
L’articulation et l’équilibre conjugué des deux dispositifs sont conditionnés par
l’environnement de contrôle, qui constitue leur fondement commun, notamment : la culture
du risque et du contrôle propres à l’organisation et les valeurs éthiques de cette dernière.
Conclusion
Au total, un système de contrôle interne ou système de maîtrise des risques constitue un
système global de gestion des risques à l’échelle d’une entité. La stratégie, les objectifs et les
activités de contrôle des opérations y sont intégrés. Les démarches de contrôle interne et du
management des risques contribuent pleinement au pilotage des politiques menées et, le cas
échéant, permet d’amener l’entité à adapter ses orientations stratégiques dans le but de réduire
son exposition aux risques majeurs.
En cela, la mise en œuvre de tels systèmes favorise l’exercice de la responsabilité par la
sécurisation des procédures (y compris d’allocation des ressources), par l’internalisation et
l’optimisation des contrôles et en fournissant un éclairage dynamique sur la conduite des
opérations.
- 14 -
Notes : 1 Grand B., Verdalle B., 1999. Audit Comptable et Financier. Paris, Economica, p63Grand B,
Verdalle B, 1999. Audit Comptable et Financier. Paris, Economica, p.63
2 Institut français de l’audit et du contrôle interne, www.ifaci.com/ifaci/connaitre-l-audit-et-le-
controle-interne/definitions-de-l-audit-et-du-controle-interne.
3 COSO « Le management des risques de l’entreprise. Cadre de référence », Editions
d’organisation, p.5
4 COSO « Le management des risques de l’entreprise. Cadre de référence », Editions
d’organisation, p.5
5 COSO « Le management des risques de l’entreprise. Cadre de référence », Editions
d’organisation, p.7
6 The American Accounting Association, The American Institute of Certified Public
Accountants, Financial Exécutives International, The Institute of Internal Auditors, The
National Association of Accountants maintenant appelé The Institute of Management
Accountants.
7 COSO - Référentiel intégré de contrôle interne : l’évolution du référentiel COSO du
contrôle interne au management des risques, p.122, édition 2014, IFACI et
Pricewaterhousecoopers.
8 Comité des normes de contrôle interne (Cour des comptes de Belgique), Lignes directrices
sur les normes de contrôle interne à promouvoir dans le secteur public, p.31
9 Price Waterhouse, IFACI, 2004. La pratique du Contrôle Interne. Paris, édition
d'organisation, p.96.
- 15 -
Bibliographie
AMF, Résultats des travaux du groupe de place établi sous l’égide de l’AMF, le dispositif de
contrôle interne : cadre de référence IFACI. Paris Janvier 2007.
CORDEL (Frédéric), LEBEGUE (Daniel) « Gestion des risques et contrôle interne : De la
conformité à l'analyse décisionnelle », Vuibert 2013.
Cour des comptes de Belgique (Comité des normes de contrôle interne), Lignes directrices sur
les normes de contrôle interne à promouvoir dans le secteur public.
DARSA (Jean-David) « La gestion des risques en entreprise » Editeur : Gereso 2013.
Grand B., Verdalle B., 1999. Audit Comptable et Financier. Paris, Economica.
IFACI PRICEWATERHOUSE COOPERS, LANDWELL& ASSOCIES « Le management
des risques de l’entreprise (Rapport COSO II) » Editions d’Organisation, 2006.
IFACI,www.ifaci.com/ifaci/connaitre-l-audit-et-le-controle-interne/definitions-de-l-audit-et-
du-controle-interne.
IFACI, Price Waterhouse Coopers, Pocket guide COSO 2013 : Une opportunité pour
optimiser votre contrôle interne dans un environnement en mutation.
IFACI, Price Waterhouse, la pratique du Contrôle Interne. Paris, édition d'organisation 2004.
RENARD (Jacques), « Théorie et pratique de l’Audit Interne »,8ème édition, Eyrolles 2013.
RENARD (Jacques), « Comprendre et mettre en œuvre le contrôle interne »,Eyrolles 2013.
MASSELIN (Jean-Luc), MADERS (Henri-Pierre) « Contrôle interne des risques - Cibler -
Evaluer - Organiser - Piloter – Maîtriser » Eyrolles 2014.