UNIVERSITE ROBERT SCHUMAN Ecole de Management de Strasbourg
Master AUDIT FINANCIER ET OPERATIONNEL 2008-2009
Sujet du Mémoire :
Le Contrôle Interne Assisté par Ordinateur Etude de cas : VALDYS
Nom et prénom : EZ-ZOUAK Mohammed
UNIVERSITE ROBERT SCHUMAN Ecole de Management de Strasbourg
Master AUDIT FINANCIER ET OPERATIONNEL 2008-2009
Sujet du Mémoire :
Le Contrôle Interne Assisté par Ordinateur Etude de cas : VALDYS
Nom et prénom : EZ-ZOUAK Mohammed Organisme de stage : Mutuelle d’Entreprise Sochaux Directeur du mémoire : Pr Pierre SCHEVIN Maître de Stage : Mme Roselyne PATOIS (responsable de la mutuelle)
2
UNIVERSITE ROBERT SCHUMAN Ecole de Management de Strasbourg
Master AUDIT FINANCIER ET OPERATIONNEL 2008-2009
Sujet du Mémoire :
Le Contrôle Interne Assisté par Ordinateur Etude de cas : VALDYS
Nom et prénom : EZ-ZOUAK Mohammed Organisme de stage : Mutuelle d’Entreprise Sochaux Directeur du mémoire : Pr Pierre SCHEVIN Maître de Stage : Mme Roselyne PATOIS (responsable de la mutuelle)
2
REMERCIEMENTS
Ce mémoire pour l’obtention du diplôme M2 Audit Financier et Opérationnel est le résultat d'un effort considérable. Cet effort n'aurait pu aboutir sans la contribution de plusieurs personnes. Ainsi se présente l'occasion de les remercier : Tout d'abord, Au Pr Pierre SCHEVIN , Le Directeur de ce mémoire pendant ce stage pour sa disponibilité et ses conseils A Mme Roselyne PATOIS, Responsable du service «Mutuelle d’Entreprise de Sochaux », mon encadrant professionnel pour son engagement total et ses conseils très constructifs A Mme Nathalie De STEUR, responsable informatique à la MES, pour son assistance et ses instructions. Sans oublier tout le personnel de la Mutuelle sans exception pour leur support moral et pédagogique pendant les 2 mois de ce stage Et enfin, mes parents, ma famille et mon beau frère pour leurs soutien morale et financier pendant cette année d’études
3
Introduction _______________________________________________________________ 6 Partie (1) : Introduction au contrôle interne _____________________________________ 9 1
2
3
Cadre conceptuel du contrôle interne _______________________________________ 9 1.1
Etymologie du mot _______________________________________________________ 9
1.2
Définitions du contrôle interne _____________________________________________ 9
1.3
Le modèle COSO _______________________________________________________ 11
1.4
Sarbanes Oxley_________________________________________________________ 13
1.5
La Loi de la Sécurité Financière (LSF) _____________________________________ 14
1.6
Comparaison entre la loi Sarbanes Oxley et la loi de la Sécurité Financière _______ 15
La démarche du contrôle interne__________________________________________ 16 2.1
Définition et caractéristiques de la démarche de contrôle interne _______________ 16
2.2
Analyse de quelques modèles de la démarche de contrôle interne _______________ 17
Démarche classique adopté par les éditeurs de logiciels de contrôle interne _______ 19 3.1
Identification des processus_______________________________________________ 19
3.2
Déclinaison de la stratégie en objectifs _____________________________________ 20
3.3
Analyse des processus ___________________________________________________ 21
3.4
Evaluation des risques ___________________________________________________ 22
3.5
Mise en place des activités de contrôle ______________________________________ 24
Partie (2) : Le Contrôle Interne Assisté par Ordinateur____________________________ 26 1
2
3
Introduction au Contrôle Interne Assisté par Ordinateur ______________________ 26 1.1
Le concept _____________________________________________________________ 26
1.2
Les objectifs du Contrôle Interne Assisté par Ordinateur______________________ 27
1.3
Les logiciels du contrôle interne sur le marché _______________________________ 29
Avantages et limites du Contrôle Interne Assisté par Ordinateur ________________ 31 2.1
L’apport de Contrôle Interne Assisté par Ordinateur _________________________ 31
2.2
Les limites du Contrôle Interne Assisté par Ordinateur _______________________ 36
2.3
Les clés de réussite d’un projet de Contrôle Interne Assisté par Ordinateur ______ 39
Etude de cas logiciel Valdys______________________________________________ 40 3.1
Présentation du logiciel __________________________________________________ 40
3.2
L’architecture de Valdys_________________________________________________ 42
3.3
Le projet de Contrôle Interne selon Valdys__________________________________ 44
3.4
Les documents générés en interne par Valdys _______________________________ 48
Conclusion _______________________________________________________________ 50 Annexes__________________________________________________________________ 52 1
Annexe (1) : Lexique Valdys _____________________________________________ 53
2
Annexe (2) : le Macro-processus _________________________________________ 55
3
Annexe (3) : Arbre des risques____________________________________________ 56
4
4
Annexe (4) : Diagramme de Phase et Logigramme ___________________________ 57
5
Annexe (5) : Arbre des familles de risque ___________________________________ 58
6
Annexe (6) : Le modèle nomenclature et le modèle diagramme de structure _______ 59
7
Annexe (7) : Le modèle arbre des rôles/compétences et la cartographie des risques _ 60
8
Annexe (8) : Les pages Html_____________________________________________ 61
5
Introduction L’automatisation du traitement de l’information remonte à la date de l’invention du premier ordinateur. Depuis, toutes les branches de la science et de l’industrie ont tenté d’exploiter les capacités énormes de cet outil surtout celles de calcul et de traitement des données avec une vitesse inimaginable qui dépasse les limites du cerveau humain. C’est alors que l’économie et la finance furent parmi les branches qui ont su profité des avantages du traitement automatisé de l’information. La miniaturisation des composants et la réduction des coûts de production, associées à un besoin de plus en plus pressant de traitement des informations de toutes sortes (scientifiques, financières, commerciales, etc.) a entraîné une diffusion de l’informatique dans toutes les couches de l’économie comme de la vie de tous les jours. 1
Après la comptabilité, la finance et l’audit financier, aujourd’hui, c’est au contrôle interne d’intégrer le monde de l’information automatisée et profiter pleinement des contributions de l’informatique dans ce domaine. Dans cette perspective, le « Contrôle Interne Assisté par Ordinateur » marque l’actualité par son apport à l’auditeur interne et externe comme outil d’assistance et de pilotage des missions de contrôle. Jusqu’à aujourd’hui, personne n’a pu percevoir qu’un domaine aussi abstrait et évolutif que le contrôle interne dont la réflexion (risques) et le développement (points de contrôles) jouent un rôle capital ferait appel aux services de l’informatique. Cependant, les symptômes de cette nouvelle vague des éditeurs des solutions informatiques pour entreprises sont déjà sentis. Ces éditeurs des applications informatiques de gestion et devant la concurrence intense sur le marché des logiciels ont pu s’adapter pour franchir la barrière du savoir limité dans les domaines de gestion. Pour ces derniers, la solution est de proposer un logiciel qui permet d’aider et d’assister l’auditeur dans la réalisation de sa mission de contrôle interne en exploitant au maximum son savoir faire et ses capacités d’analyse et d’observation dans un domaine particulier (assurance, énergie, industrie nucléaire,…) puis en la croisant avec les pratiques reconnues par les auditeurs dans le secteur et la réglementation en vigueur. En effet, la différence remarquée entre l’existant et le conceptuel est à la base des résultats et des interprétations obtenus. 1
http://fr.wikipedia.org/wiki/Informatique le 17/02/2009
6
Plusieurs progiciels 2 d’audit et de contrôle interne existent sur le marché, un ensemble de choix diversifié des solutions informatiques de gestion pour gérer les processus de contrôle interne et assurer la conformité avec la réglementation (Loi de la Sécurité Financière, loi de Sarbanes-Oxley, Bale II, Solvabilité II, etc.). Parmi ces produits, on souligne FrontControl3, Enablon Continuous Assessment4 , ISIMAN5 et enfin VALDYS qui fera l’objet d’une étude de cas dans ce mémoire. Toutes ces solutions partent du même principe en constituant une base référentielle de contrôle interne d’un secteur donné pour l’auditeur et en l’assistant dans sa démarche de mise en place et de suivi de la démarche de contrôle interne. Dans ce mémoire, je vais essayer de traiter et d’analyser la problématique suivante : « Jusqu’à quel point le Contrôle Interne Assisté par Ordinateur peut-il contribuer à l’encadrement et à l’accélération de la mise en place d’un processus de contrôle interne dans une entreprise ? ».
Pour répondre à cette question, mon analyse portera sur les deux parties suivantes : La première partie sera consacrée au cadre conceptuel du contrôle interne ou je vais présenter les différentes définitions
du contrôle interne, les approches et la réglementation qui
encadrent ce secteur et enfin de décrire la démarche de mise en place d’un système de contrôle interne. Cette partie est un passage incontournable pour mieux comprendre les deux axes qui vont suivre. Dans la deuxième partie, je vais aborder le nœud de la problématique où j’analyserai l’apport de Contrôle Assisté par Ordinateur sur plusieurs dimensions : l’originalité du concept, l’apport du contrôle interne assisté par ordinateur et dans un dernier point je traiterai les limites de ce concept. Le deuxième axe de cette partie de ce mémoire est une étude de cas du logiciel VALDYS (logiciel français de contrôle interne développé pour répondre aux besoins des assurances et des mutuelles). Cette étude de cas a pour objectif d’illustrer les conclusions et les résultats obtenus.
2
Contraction de produit et de logiciel http://www.efront.com/fr/Logiciel_Controle_Interne.asp le 17/02/2009 4 http://enablon.com/produits/gestion-des-risques/controle-permanent.aspx le 17/02/2009 5 http://www.keyword.fr/sitekeyw/html_val/ru$44___.htm?gclid=CLK0jd6c65kCFQiF3godMiuuQQ le 17/02/2009 3
7
L’objectif de ce mémoire avec ces deux parties est de résoudre la problématique soulevée en partant d’un cadre conceptuel vers un cadre empirique. Le type d’argumentation utilisé est une argumentation par illustration. Cette argumentation consiste à utiliser un exemple concret justifiant une affirmation que l’on fait. Autrement dit, on va formuler la problématique, puis on présentera un fait ou un cas précis et réel qui concrétise et matérialise les déductions obtenues. Dans le même but d’illustration et d’argumentation, plusieurs sources documentaires seront utilisées partagées entre sources bibliographiques, webographiques, et bases documentaires électroniques.
8
Partie (1) : Introduction au contrôle interne 1 Cadre conceptuel du contrôle interne 1.1 Etymologie du mot Le mot contrôle vient du mot contre-rôle qui signifie « registre tenu en double»6. Dans son ouvrage « Contrôle Interne » Frédéric Bernard fait la distinction entre le mot français « Contrôle » et le mot anglo-saxonne « Control » : « Le
terme contrôle interne est la traduction littérale de l’expression anglo-saxonne : Internal
Control (ou Business Contrôle pour les américains) dans lequel le verbe « to control » signifie conserver la maîtrise de la situation alors qu’en français le mot « contrôle » est d’avantage compris comme le fait d’exercer une action de surveillance sur quelque chose 7
pour l’évaluer » .
Malgré la ressemblance étymologique et phonétique des deux mots français et anglo-saxon, on trouve que le mot « contrôle interne » traduit l’amont et le préventif du processus de contrôle interne par les mesures de surveillance et d’analyse des risques quant au mot « Internal Control » il traduit la dimension en aval et corrective du contrôle interne (identification des éléments de maîtrise, planification des tâches de contrôle, organisation des responsabilités, suivi des recommandations, etc.). Cette divergence de sens entre les deux mots reflète et explique l’étroite différence dans la manière de pratiquer et de mettre en œuvre le processus du contrôle interne entre les entreprises françaises et les entreprises anglosaxonnes.
1.2 Définitions du contrôle interne Il existe diverses définitions du contrôle interne. Cette multitude et diversité de définitions du concept engendre une confusion de compréhension et de communication des rôles de chaque acteur majeur du contrôle interne (auditeurs internes et externes, Conseil d’Administration, la direction, le personnel et le législateur). Parmi les définitions adoptées du contrôle interne par les auteurs et les institutions nationales et internationales, on trouve : 1) Le contrôle interne est un ensemble de dispositifs ayant pour but, d’un coté d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information, de l’autre
6
http://fr.wiktionary.org/wiki/contr%C3%B4le le 19/02/2009 7 Frédéric Bernard, Rémi Gayraud et Laurent Rousseau, « Contrôle interne », Ed .MAXIMA, Paris, 2006, p 303
9
d’assurer l’application des instructions de la Direction et de favoriser l’amélioration des performances. 8 2) Définition donnée par les experts-comptables, en congrès en 1977 : « le contrôle interne est l’ensemble des sécurités contribuant à la maîtrise de l’entreprise. Il a pour but d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information d’une part et de l’autre, l’application des instructions de la direction, et de favoriser l’amélioration des performances. » 3) La définition proposée par le CNCC (Compagnie Nationale des Commissaires aux Comptes) reflète le mieux l’approche moderne du concept: « Les procédures de contrôle interne impliquent : le respect des politiques de gestion, la sauvegarde des actifs, la prévention et la détection de fraudes, l’exactitude et l’exhaustivité des enregistrements comptables, l’établissement en temps voulu d’informations comptables et financières stables. »9 4) La définition donnée par la norme 400 de l’IAASB (International Auditing and Assurance Standard Board) : le système de contrôle interne est l’ensemble des politiques et procédures mises en œuvre par la direction d’une entité en vue d’assurer, dans la mesure du possible, la gestion rigoureuse et efficace de ses activités. Ces procédures impliquent le respect des politiques de gestion, la sauvegarde des actifs, la prévention et la détection de fraudes et d’erreurs, l’exhaustivité des enregistrements comptables et l’établissement en temps voulu d’informations financières stables. 5) La définition donnée par le cabinet Coopers&Lybrand et traduit dans « la nouvelle pratique du contrôle interne » par l’Institut Français des Auditeurs et Consultants internes : Le contrôle interne est un processus mis en œuvre par le Conseil d’Administration, les dirigeants et le personnel d’une organisation, destiné à fournir une assurance raisonnable quand à la réalisation des objectifs suivants : •
La réalisation et l’optimisation des opérations ;
•
La fiabilité des informations financières
•
La conformité aux lois et aux réglementations en vigueur 10
8
Frédéric Bernard, Rémi Gayraud et Laurent Rousseau, « Contrôle interne », Ed.MAXIMA, Paris, 2006, p 303 Norme CNCC 2-301, évaluation du risque et de contrôle interne », para 08 , Référentiel normatif CNCC,2003 10 Coopers & Lybrand, « La nouvelle pratique du contrôle interne », Edition d’organisation, Paris, 1994, p 378 9
10
L’étude et l’analyse de ces différentes définitions
distingue entre deux approches
fondamentales: D’une part, une approche classique qui insiste sur les principes de base du contrôle interne : la sauvegarde du patrimoine, la fiabilité de l’information, la conformité avec la réglementation et l’amélioration de performance. Ces éléments sont repris fidèlement dans la première et la deuxième définition sans toutefois sortir du cadre soigneusement tracé par ces composantes. Cette limitation du champ d’interprétation et de réaction a fait du contrôle interne un concept doté d’une structure rigide et difficilement adaptable aux différentes natures et situations d’entreprises. D’autre part, une approche moderne illustrée par les trois dernières définitions (CNCC, IAASB, Coopers&Lybrand). Cette approche inclut la notion du processus ou de procédure dans sa définition et elle implique les acteurs majeurs de la démarche de contrôle interne dans ce processus tout en insistant sur le rôle du personnel. Plus encore, elle évoque pour la première fois le respect de la politique de gestion comme facteur principal dans le système de contrôle interne.
1.3 Le modèle COSO Le modèle COSO est un référentiel de contrôle interne défini par le « Committee Of Sponsoring Organizations of the Treadway Commission ». Il est utilisé notamment dans le cadre de la mise en place des dispositions relevant des lois Sarbanes-Oxley ou LSF pour les entreprises assujetties respectivement aux lois américaines ou françaises. Le référentiel initial appelé COSO 1 a évolué depuis 2002 vers un second corpus dénommé COSO 2.11
1.3.1 COSO 1 Le contrôle interne est composé de 5 éléments interdépendants qui découlent de la façon dont l’activité est gérée et qui sont intégrés aux processus de gestion : •
Environnement du contrôle : présente « l’espace » dans lequel les personnes accomplissent leurs tâches et assument leurs responsabilités en matière de contrôle. Il sert de référence pour les autres éléments du contrôle interne. Il présente aussi les individus et leurs qualités individuelles, leur intégrité, leur éthique, leur compétence. Autrement dit, l’environnement du contrôle exerce une influence profonde sur la structuration des activités et des procédures, l’évaluation des risques, les activités de contrôle, le système d’information et le suivi des recommandations.
11
http://fr.wikipedia.org/wiki/COSO le 22/02/2009
11
•
L’évaluation des risques : elle consiste en l’identification et l’analyse des facteurs susceptibles d’affecter la réalisation des objectifs stratégiques de l’entreprise. C’est un processus continu et répétitif qui permet de déterminer comment les risques devraient être gérés. Il appartient aux dirigeants et aux responsables des services concernés d’évaluer et de fixer un taux de risque admissible.
•
Les activités de contrôle : les activités de contrôles sont l’application des normes et procédures destinées à garantir l’exécution des directives du management en vue de maîtriser les risques réels et potentiels de l’organisation. Les catégories d’opérations de contrôle se rattachant aux objectifs sont le domaine opérationnel, l’information financière et la réglementation en vigueur.
•
L’information et la communication : l’information pertinente doit être identifiée, recueillie et diffusée sous une forme et dans les délais qui permettent à chacun d’assumer ces responsabilités. L’information doit concerner tous les niveaux de l’entreprise. Le système d’information va permettre de définir, recueillir, analyser puis diffuser ces données.
•
Pilotage : les systèmes de contrôle interne doivent à leur tour être contrôlés afin d’évaluer dans le temps les performances qualitatives. Dans ce cadre, il est primordial de mettre en place un système de pilotage permanent et de procéder à des évaluations périodiques. Ainsi, les opérations de pilotage peuvent être pratiquées soit par des activités courantes soit par des évaluations ponctuelles.
1.3.2 COSO 2 Le modèle COSO 2 constitue une continuité et une suite de COSO 1. Fréderic Bernard définit et explique la dissemblance entre COSO 1 et COSO 2 : « ... Il ne propose pas un référentiel de contrôle interne (au contraire de COSO) mais un modèle de gestion des risques. Il s’appuie sur le COSO comme référentiel de Contrôle Interne.» 12
12
Frédéric Bernard, Rémi Gayraud et Laurent Rousseau, « Contrôle interne », Ed.MAXIM A, Paris, 2006, p 303
12
Parmi les apports de COSO 2 : D’une part, il offre aux auditeurs et contrôleurs internes un repère pour la gestion des risques de l’entreprise (Enterprise Risk Management Framework). En effet, COSO 2 rappelle les éléments du COSO 1 et le complète surtout sur la dimension « gestion des risques ». Il est donc fondé sur une approche orientée vers la maîtrise des risques de l’entreprise. D’autre part, il présente un cadre plus restreint de décomposition de la structure d’une organisation alors que le COSO 1 ne retient pas de structure de décomposition spécifique. Cependant, cette répartition entre différents niveaux de l’organisation est très utile pour la démarche de contrôle proposée par le modèle COSO. Toutefois, il est nécessaire de prendre en compte l’organisation dans son ensemble pour que COSO 2 puisse être appliqué avec succès.
Présentation de la pyramide et du cube de COSO 13
1.4 Sarbanes Oxley Suite aux scandales financiers que les Etats-Unis ont connus dans les années 2001-2002. La législation américaine a lancé de nouveaux dispositifs légaux dits « Sarbannes Oxley ». Cette loi a été adoptée par le Congrés et fut la plus grande réforme du marché financier américain depuis longtemps. Ses principes de base sont l’exactitude des informations, la responsabilité des gestionnaires et l’indépendance des organes d’audit. Son objectif est de pallier aux insuffisances du contrôle interne. 13
http://www.bumko.gov.tr/KONTROL_EN/Images/kontrol/coso.jpg visité le 05/03/2009
13
Les décisions fondamentales de cette loi sont : •
Les états financiers doivent être forcément certifiés par le Directeur Générale (Chief Exécutive Officer) ou le Directeur Financier (Chief Financial Officer). Le but de cette disposition est de responsabiliser les dirigeants aux risques existants dans leurs entreprises.
•
L’obligation de nommer des administrateurs indépendants au comité d’audit du Conseil d’Administration
•
Les avantages particuliers des dirigeants sont de plus en plus encadrés
•
La loi Sarbanes-Oxley impose à l’entreprise une rotation des auditeurs externes. Les services proposés pour la vérification des états financiers par ces auditeurs externes doivent être adaptés à l’activité de l’entreprise (systèmes d’information).14
•
L’alourdissement des sanctions pénales et des montants des amendes en cas de fraude ou de non-conformité.
•
L’obligation aux entreprises américaines de joindre aux rapports annuels un rapport sur le contrôle interne. Ce rapport établi par la Direction de l’entreprise doit être validé et certifié par l’auditeur externe.
Malgré tous les efforts déployés au niveau de la loi « Sarbanes-Oxley » pour limiter les fraudes financières, l’assurance que porte cette loi pour l’organisation reste une assurance raisonnable contre le risque puisqu’il existe toujours des points de défaillances pour contourner les barrières du contrôle interne. Michael Oxley soutient ce raisonnement dans son interview avec Liz Alderman : « Je n’irai pas jusqu’à dire que la loi Sarbanes-Oxley nous met à l’abri d’un scandale tel que les faillites d’Enron et de Worldcom ni que des individus ne seront pas suffisamment intelligents pour contourner les règles. Après tout le meurtre est illégal dans tous les pays et pourtant des meurtres sont commis tous les jours
».15
1.5 La Loi de la Sécurité Financière (LSF) A l’instar de la loi Sarbanes Oxley, la Loi de Sécurité Financière a été promulguée à la suite des nombreux scandales financiers pour rétablir la confiance des investisseurs notamment dans les pratiques comptables.
14
15
Kamal ABOU EL JAOUAD, « Les enjeux du contrôle interne » Université Clermont http://www.french-american.org/files/cr-francais-diner-ifafaf.pdf) visité le 15/03/2009
14
L’Assemblée Nationale et le Sénat ont adopté la LOI n° 2003-706 du 1er août 2003 sur la sécurité financière vu la décision n° 2003-479 DC du conseil constitutionnel en date du 30 juillet 2003.
16
Cette loi s’applique à toutes les sociétés anonymes. Elle comprend l’obligation pour le président du conseil d’administration ou du conseil de surveillance de rendre compte dans un rapport des procédures de contrôle mises en place par l’entreprise. Aussi, elle considère que l’établissement d’un rapport sur le contrôle interne est un facteur clé pour la compétitivité et le développement des entreprises privées.
1.6 Comparaison entre la loi Sarbanes Oxley et la loi de la Sécurité Financière La distinction fondamentale entre la loi de la Sécurité Financière et la loi Sarbanes Oxley est le degré de formalisme qui est clairement défini dans la deuxième loi. Ainsi, des référentiels tels que COSO présentent un cadre précis pour les acteurs du contrôle interne. Cependant, ce n’est pas le cas actuellement pour la loi sur la Sécurité Financière. Le grand obstacle pour celle-ci est l’inexistence d’un référentiel français qui encadre le travail des auditeurs. La LSF ne renvoie à aucun référentiel et ne donne même pas de définition au « contrôle interne ». Aussi, la Loi sur la Sécurité Financière est moins exigeante que la loi Sarbanes Oxley et par conséquent elle permet d’ajuster le degré de formalisme du Contrôle Interne par rapport à la taille de l’entreprise, toutefois elle complique le travail du Commissaire aux Comptes. A l’heure actuelle, il n’y a aucune nouvelle disposition légale sur le contrôle interne des sociétés anonymes françaises. Et la compagnie nationale des Commissaires aux Comptes n’a pas donné de nouvelles instructions concernant le contrôle par les auditeurs légaux du rapport du Président sur le contrôle interne. La LSF engage toutes les sociétés anonymes. Son périmètre est plus large que celui de la loi Sarbanes Oxley qui se limite uniquement aux sociétés cotées. Elle implique directement le Président du Conseil d’Administration ou du Conseil de Surveillance alors que la loi Sarbanes Oxley engage la direction opérationnelle. Enfin, la LSF concerne toutes les procédures de contrôle interne tandis que la loi Sarbanes-Oxley ne concerne que les informations comptables et financières. Le modèle Européen défendant tout actionnaire de Sociétés Anonymes s’oppose au modèle américain qui ne s’intéresse qu’à l’actionnaire de sociétés faisant appel publique à l’épargne.
16
http://www.amf-france.org/documents/general/4746_1.pdf visité le 15/03/2009
15
2
La démarche du contrôle interne
2.1 Définition et caractéristiques de la démarche de contrôle interne Le contrôle interne, à l’inverse de l’audit financier n’a pas un champ limité d’intervention, il concerne tous les types de risques qui peuvent exister dans l’entreprise (Risques financiers, risque humains, risques techniques,…). Son objectif essentiel est de sauvegarder le patrimoine de l’entreprise et de mettre en place un dispositif de maîtrise. Le contrôle interne n’est plus une démarche aléatoire qui se fait le jour au jour, non plus une solution de prêt-à-porter applicable à toutes les entreprises sans adaptation aux contextes, à l’environnement et aux structures spécifiques de celles-ci. Au contraire, la démarche du contrôle interne est une démarche organisée, appropriée, et pérenne. Concrètement, c’est une démarche de changement : 2.1.1 Une démarche organisée
La mise en place d’un dispositif de contrôle interne doit être organisée dans l’axe temps (planifier les dates d’entretiens avec les responsables et le personnel, fixer les dates de contrôle et de suivi, respecter les dates de contrôle périodiques, etc.) en veillant à respecter l’ordre des opérations de contrôle et la durée programmée pour chaque étape. Aussi, cette mise en place doit être toujours précédée par une phase de préparation incluant l’étude de l’environnement de l’entreprise, la détermination du périmètre de vérification et l’agencement des ressources et des moyens pour assurer le succès de la mission. 2.1.2 Une démarche appropriée
L’étendue du périmètre de contrôle ainsi que l’importance des ressources humaines et matérielles à investir dépendent largement des propriétés de l’entreprise auditée. La taille de celle-ci, la complexité de sa structure organisationnelle et la performance de sa gouvernance et de son management, détermine les caractéristiques de la mission du contrôle. En conséquence, la nature de la missions et ses attributs peuvent varier d’une entreprise à une autre cependant les fondements de la démarche resteront les mêmes. 2.1.3 Démarche pérenne
La mise en place des points de contrôles, des procédés préventifs et correctifs, se fait dans une optique de continuité de la démarche dans le temps. Elle se fait dans une perspective de
16
pérennité de l’activité et de la vie de l’entreprise. Visiblement, la démarche contrôle interne est une démarche de moyen et long terme. 2.1.4 Le changement et la rupture avec le passé
« Dans le cadre de la démarche de contrôle interne comme dans toute démarche systématique d’entreprise, le changement est une préoccupation ou au moins un sujet fondamental de discussion »
17
Le changement dans ce cadre signifie l’acceptation des acteurs de l’entreprise qu’un changement incontournable et radical dans l’organisation interne et le fonctionnement de l’entreprise risque de se produire. Cependant, tout acte de refus ou de résistance
à ce
processus de changement est un phénomène humain et attendu. Les mutations prévues concernent les outils et les techniques de travail (utilisation de nouveaux logiciels), les méthodes de gestion (passage d’une gestion hiérarchique à une gestion participative) et les valeurs de l’entreprise (transformer une culture de fermeture et de cloisonnement à une culture d’ouverture et de partage). La capacité de management à faire passer cette métamorphose dans le fonctionnement et l’organisation au personnel de l’entreprise aura un effet très positif sur le processus de contrôle interne. Ainsi, elle contribuera à une évaluation plus rationnelle des risques, une sensibilisation aux impacts des risques sur les processus et une efficacité au niveau de l’application des recommandations et de la mise en place des dispositifs de maîtrise.
2.2 Analyse de quelques modèles de la démarche de contrôle interne 2.2.1 Démarche de Benoît Pigé
La démarche de contrôle interne suit une logique universelle et unique reconnue par la plupart des référentiels et des lois en vigueur. Benoît Pigé dans son ouvrage « Audit et contrôle interne » propose la démarche suivante : •
La prise de connaissance de l’entreprise qui comprend la compréhension de l’environnement (le secteur d’activité et la situation économique) dans lequel elle se situe ainsi que l’identification des spécificités de l’entreprise (la structure organisationnelle, la politique stratégique de l’entreprise, la position concurrentielle de l’entreprise et l’actionnariat de l’entreprise)
17
Frédéric Bernard, Rémi Gayraud et Laurent Rousseau, « Contrôle interne », Ed.MAXIM A, Paris, 2006, p 303
17
•
L’évaluation des risques particuliers qui peuvent résulter d’une situation financière, d’une situation sociale ou des changements organisationnels internes
•
L’évaluation du contrôle interne consiste à décrire les procédures (l’observation, les entretiens avec le personnel de l’entreprise et la formalisation) vérifier l’adéquation des procédures aux objectifs à atteindre (fixation des objectifs et mettre en œuvre les moyens nécessaires) effectuer les tests d’application et d’efficacité des procédures de contrôle interne.
•
Effectuer les tests de validation du produit. (échantillonnage, validation intégrale)18
2.2.2 Démarche de contrôle interne de Frédéric Bernard
D’autres auteurs comme Frédéric Bernard ont décomposé la démarche du contrôle interne en plusieurs phases. Toutefois, ils ont gardé les mêmes composantes et les mêmes outils au niveau de leur démarche. La démarche proposée par cet auteur est décomposée en plusieurs phases : 2.2.2.1 Phase d’analyse de l’existant et de réalisation des outils Dans cette étape deux outils principaux sont développés : •
La cartographie des risques
19
: identification des risques majeurs et puis une
représentation graphique de la vulnérabilité de l’entité analysée. La cartographie est obtenue à partir de la réponse des opérationnels aux questionnaires d’analyse des risques •
Le plan d’action cadre général du plan destiné à améliorer la vulnérabilité aux risques ainsi identifiés
2.2.2.2 Phase de mise en œuvre opérationnelle du dispositif du Contrôle Interne Cette phase consiste à documenter les nouveaux outils en rédigeant des modes d’emploi puis
de mettre en place pour les opérationnels des sessions de formation à l’utilisation de ces outils. On peut constater la divergence de forme des deux méthodologies précédentes mais une convergence sur le fond.
18 19
Benoît Pigé « Audit et contrôle interne », Ed EMS, Paris, 2001, p210 Voir annexe (7)
18
3 Démarche classique adopté par les éditeurs de logiciels de contrôle interne 3.1 Identification des processus 3.1.1 Définition 1
Yvon MOUGIN Consultant et Formateur à Cap Entreprise définit le processus comme un ensemble de ressources et d’activités liées qui transforment des éléments entrants en éléments sortant. Autrement dit, c’est une boite noire qui a une finalité (les données de sortie) et qui pour atteindre cette finalité utilise des éléments extérieurs (données d’entrée) et les transforme (en leur donnant une valeur ajoutée) par du travail et des outils (activités et ressources).20 3.1.2 Définition 2
Un processus est une succession d’activités à l’intérieur d’une organisation, s’enchaînant afin de produire un résultat. Les applications de travail coopératif peuvent définir différents processus en fonction de l’organisation et des outils mis en place.21 Pourtant, il faut faire la distinction entre le terme processus et le terme procédure qui signifie une façon spécifiée d’exercer une activité. L’identification des processus est la première étape dans la démarche de maîtrise des risques. Elle aide à la compréhension des métiers de l’entreprise et contribue à la pérennisation de la démarche de contrôle interne. Les objectifs de cette phase sont de construire une idée claire et structurée des processus de l’activité, de décrire les processus et de collecter les informations pour l’identification des risques et des contrôles prévus. Les opérations de contrôle interne
sont très liées à tous les niveaux d’activités de
l’organisation. L’ensemble de ses activités est constitué d’un nombre indéterminé de processus. « Le contrôle interne n’est pas un événement isolé ou une circonstance unique mais une ensemble d’actions qui se répandent à travers toutes les activités de l’entreprise. Ces actions sont perceptibles à tous les niveaux et sont inhérentes à la façon dont l’activité est gérée »
22
20
http://www.knowllence.com/fr/publications/management_processus.pdf visité le 25/03/2009 . http://www.ordinal.fr/html/glossaire.htm visité le 25/03/2009 22 Coopers & Lybrand, « La nouvelle pratique du contrôle interne », Edition d’organisation, Paris, 1994, p 378 21
19
3.1.3 Cartographie des processus
Pour mettre en œuvre une démarche de contrôle interne, il est indispensable d’abord de connaître et comprendre les activités, puis de définir les liens et les flux dynamiques entre ces activités (les flux d’entrée et les flux de sortie) Les différents niveaux de granularité de la cartographie des risques sont présentés dans le schéma suivant :
Macroprocessus .
Processus . Ma eur
Procédure Pyramide des niveaux de granularité 1
3.2 Déclinaison de la stratégie en objectifs Les objectifs expliquent la finalité du processus. Ils résultent également de la stratégie établie et sont formalisés dans le cadre du processus de pilotage de l’entreprise. Chaque entreprise par l’intermédiaire de son management détermine les objectifs et les stratégies pour les atteindre. Ils peuvent être fixés pour l’organisation dans son ensemble ou dirigés sur des activités particulières. Les objectifs fixés globalement au niveau de l’entreprise sont liés à des objectifs plus spécifiques au niveau des « activités ». Les objectifs doivent être clairement définis et découlent généralement des valeurs de l’entreprise et de sa stratégie globale. Ces objectifs sont classés en 3 catégories : •
Des objectifs opérationnels : optimisation de l’utilisation des ressources économiques de l’entreprise
•
Des objectifs financiers : établissement des états financiers fiables et présentant une image fidèle
•
Des objectifs de conformité : conformité avec les lois et les réglementations en vigueur
20
Pour illustrer la notion d’un objectif et ses caractéristiques, on peut faire référence à Alain Gérard-Cohen qui dans son ouvrage « Contrôle interne et audit publics » parle de la déclinaison d’une réflexion par objectifs : « …à travers une réflexion organisée, cohérente, chiffrée, itérative, permettant tous les choix et arbitrages ( y compris politique), de façon claire et transparente, garantissant ainsi une optimisation réaliste des moyens réaliste des moyens et des ressources face à des besoins explicités et hiérarchisés. »
23
Aussi, il faut déterminer avec une précision significative, les moyens humains, financiers et techniques nécessaires pour atteindre ses objectifs. Pour mesurer la performance des résultats obtenus, il existe une multitude d’indicateurs qui sont définis selon la nature des objectifs et d’autres facteurs.
3.3 Analyse des processus L’analyse des processus est une étape majeure dans la démarche de contrôle interne. D’une part, elle consiste à fixer les objectifs principaux du processus, soulever les facteurs clés de succès du processus et les indicateurs clés de performance, encadrer le processus par un début et une fin. D’autre part, l’analyse des processus doit répondre aux questions : Qui fait (rôle)? Quoi (tâche) ? Par quel flux informationnel ? (systèmes d’informations supports) L’analyse des processus est une opération qui requiert un intérêt particulier de l’auditeur puisque c’est à ce niveau qu’il peut prévoir l’existence d’un risque potentiel ou d’un point faillible dans le processus. Ainsi, le degré de vigilance et de précision dans la conception et l’analyse de ces processus permettra d’augmenter la valeur ajoutée de cette étape dans la démarche du contrôle interne. Exemple grille d’analyse des processus
Processus
Objectifs
Facteurs de Indicateurs de Rôles succès
Tâche
performance
Systèmes d’information
Niveau 1 Niveau 2 Niveau 3
23 Alain-Gérard Cohen, « Contrôle interne et audit publics », ed LGDJ, PARIS, 2005, p 183
21
3.4
Evaluation des risques
3.4.1 Notion de risque
Danger dont on peut jusqu’à un certain point mesurer l’éventualité, que l’on peut plus ou moins prévoir. 24 Le risque est une perte potentielle, identifiée et quantifiable (enjeux), inhérente à une situation ou une activité, associée à la probabilité de l’occurrence d’un événement ou d’une série d’événements. 25 Menace qu’un événement, une action ou une inaction affecte la capacité de l’entreprise à atteindre ses objectifs et en particulier altère sa performance.26 3.4.2 L’identification et les différentes catégories de risque
La démarche d’identification des risques se fait à partir des processus ou à partir d’une nomenclature donnée : La nomenclature d’un risque peut être structurée en cinq niveaux : •
Risques opérationnels
•
Risques de système d’information
•
Risques humains
•
Risques légaux
•
Risques externes (exogène)
Tout risque potentiel ou réel doit être recensé et étudié même si l’on considère qu’il est minimisé par un dispositif de maîtrise approprié. Le risque se subdivise en 3 catégories : •
Le risque inhérent
: c’est le risque d’apparition d’une erreur significative dans
l’organisation suite à une faute (volontaire ou non), ou une fraude •
Le risque de contrôle interne :
c’est le risque que le système de contrôle présent dans
l’entreprise ne peut pas empêcher une inexactitude significative •
Risque de non détection ou le risque d’audit
: le risque que l’audit ne permet pas de
détecter une inexactitude significative.27 24 Dictionnaire encyclopédique universel. Edition Précis1998. P1383 25 http://fr.wikipedia.org/wiki/Risque visité le 06/04/2009 26 Ernst&Young. « Elaborer une cartographie des risques opérationnels, dans le cadre des exigences de la future directive Solvency II »
22
3.4.3 Processus et caractéristiques de la démarche d’évaluation des risques
Toutes les organisations quelques soit leur taille, leur structure, la nature de leurs activités et le secteur économique dans lequel elles évoluent, sont confrontées à des risques et ce à tous les niveaux. L’ensemble de ses risques identifiés doit faire l’objet d’une évaluation fondée sur l’appréciation de leurs conséquences potentielles et de leur probabilité de survenance. Dans le même ordre, Sean Cleart et Thierry Malleret considère deux éléments essentiels pour mesurer le risque : « Le risque est généralement quantifié en considérant deux éléments : la probabilité qu’un événement survienne et son impact le cas échéant _habituellement exprimé en termes d’impact financier et de coût d’opportunité . »
28
L’optimisation de la maîtrise d’un risque suppose l’existence d’un système d’évaluation fiable et pertinent. Une bonne évaluation d’un risque prend en considération sa nature différente et ses spécificités par rapport aux autres risques. Tous les risques ne sont pas identiques, un système efficace de gestion des risques est donc fondé sur la compréhension de l’étendue de chacun d’entre eux, des circonstances dans lesquelles ils peuvent émerger et de leurs conséquences éventuelles. 29 Pour élaborer une évaluation efficace des risques, le management de l’entreprise doit déterminer les axes suivants : •
Une projection du risque dans l’horizon temporel pour mesurer le degré d’exposition
•
Les dispositifs et les moyens disponibles destinés à faire face aux événements indésirables qui pourraient se développer
•
Une échelle de risque de référence unique et personnalisée aux spécificités de l’entreprise utilisée pour juger l’exposition au risque
•
Un repère permettant à l’entreprise d’avoir un point de comparaison et un outil de mesure de sa performance.
27 Hugues Angot, Christian Fischer, Baudouin Theunissen. « Audit comptable, Audit informatique ». Edition: 3 De Boeck Université, 2004. p 304 28 Seán Cleary, Thierry Malleret Collaborateur Klaus Schwab, « Risques: Perception, Evaluation, Gestio n ». Editions Maxima. 2006. 253 pages 29 Seán Cleary, Thierry Malleret Collaborateur Klaus Schwab, « Risques: Perception, Evaluation, Gestion ». Editions Maxima. 2006. 253 pages
23
3.4.4 Les critères d’évaluation de risque
3.4.4.1 La fréquence
La fréquence F représente le produit entre une probabilité et une fréquence d’exposition. La probabilité correspond à la prévision que l’incident/accident se produise tandis que la fréquence d’exposition donne une idée de la sollicitation de la mission susceptible de provoquer le risque. 3.4.4.2 La détectabilité
La détectabilité D représente la capacité de l’organisme à détecter et à repérer les risques. 3.4.4.3 La gravité
La gravité (ou effet) G donne une indication des dommages et conséquences possibles en cas de survenance de l’accident / incident. 3.4.4.4 La criticité
La criticité (C) reprend l’ensemble des critères précédant. Elle peut se calculer de différentes manières. La plus courante consiste à faire le produit de la probabilité, de la fréquence, de la détectabilité et de la gravité ; C = F x D x G 3.4.4.5 La maîtrise
La maîtrise M représente la capacité de l’organisme à gérer et à maîtriser le risque. Cette maîtrise peut être appréhendée selon deux paramètres : la conscience ou non du risque ainsi que l’existence ou l’inexistence de barrières.
3.5 Mise en place des activités de contrôle 3.5.1 Définition des activités de contrôle
Les activités de contrôle peuvent se présente comme une application des normes et procédures qui assurent la mise en œuvre des orientations émanant du management. Ces actes permettent de s’assurer que les mesures nécessaires sont engagées dans l’objectif de maîtriser les risques susceptibles d’affecter la réalisation des objectifs de l’entreprise. Les activités de contrôle sont réalisées à tous les niveaux hiérarchiques et fonctionnels. « Partant, on prendra des dispositions pour limiter la survenance de ces risques ou en tout cas pour en limiter les effets pervers : on appliquera donc des normes, des procédures, on
24
approuvera, autorisera, vérifiera, rapprochera, appréciera tout ce qui doit l’être ou plutôt tout ce qui vaut la peine de l’être. Les activités de contrôle constituent ainsi le troisième étage 30
de la fusée. »
Il existe de nombreux types d’activités de contrôle, qu’il s’agisse de contrôles orientés vers la prévention ou vers la détection, de contrôles manuels ou informatiques ou encore de contrôles hiérarchiques. Parmi les activités de contrôle, on peut souligner : •
Les analyses exécutées par le management
•
Gestion des activités ou des fonctions
•
Traitement des données
•
Contrôles physiques
•
Indicateurs de performance
3.5.2 Détermination des points de contrôle et des actions de maîtrise
Après l’étape de l’évaluation des risques en combinant plusieurs éléments pour le calcul de la criticité et de l’impact, il est temps de décrire des points de contrôle et de mettre en place des actions préventives (actions permettant de maîtriser les effets du risque avant son apparition) et correctives (actions permettant de contrôler le risque après son apparition). Les expériences vécues dans le domaine du contrôle interne ont démontré que les actions préventives sont les plus efficaces et elles permettent de minimiser le coût du risque. Cependant, la mise en place des actions préventives suppose une connaissance avancée du risque potentiel, de sa nature et de son étendue, ce qui n’est pas toujours le cas. Ajoutant à cela, le fait que la plupart des risques majeurs s’avèrent fatales à cause de leur non détectabilité. Quant aux actions correctives, elles sont plus couteuses puisqu’elles interviennent après la survenance du risque en essayant de limiter les dommages causés par ce dernier. Le point de contrôle correctif reste le plus évident à établir et à mettre en œuvre puisqu’il touche, à l’inverse de l’action préventive, à des éléments tangibles du risque.
30 Étienne Barbier. « MIEUX PILOTER ET MIEUX UTILISER L'AUDIT ». Editions Maxima, 1998. p 124
25
Partie (2) : Le Contrôle Interne Assisté par Ordinateur 1 Introduction au Contrôle Interne Assisté par Ordinateur 1.1 Le concept Aujourd’hui, l’intégration de l’informatique dans tous les domaines de la gestion et dans tous les secteurs économiques et financiers n’est plus qu’une question de temps. L’industrie, la finance ou la télécommunication ont déjà réalisé la nécessité de développer leurs systèmes d’information et de les mettre au centre de développement durable. Au début, le rôle de l’informatique était d’abord d’effectuer des opérations de calcul très complexes que le cerveau humain ne pouvait pas effectuer avec la vitesse et la précision de l’ordinateur. Ainsi, l’évolution de l’ordinateur dépend tout d’abord de l’évolution de sa capacité de calcul. Un ordinateur est d’abord un outil d’exécution, il traduit les données saisies en fonction d’un modèle préprogrammé par l’utilisateur dans le but d’arriver à un résultat précis. La notion de l’assistance par ordinateur constitue une rupture avec l’idée conçue de la fonction de cet outil. Désormais, l’application informatique à un nouveau rôle : orienter et assister l’utilisateur dans la réalisation d’une tâche ou d’une activité quelconque. Pour essayer d’éclaircir la notion du contrôle interne assisté par ordinateur, il faut expliquer d’abord la notion de l’assistance : Assister 31:
.t. assister (lat. assistere, se tenir auprès)
V
1. Porter aide ou secours à qqn: La mairie assiste les familles démunies (secourir; délaisser, négliger). 2. Seconder qqn: L’apprenti assiste le chef dans la confection de ce gâteau (aider). v.t. ind. 1. Être présent à; participer à: Assister à un spectacle de danse (voir; manquer). 2. Être le témoin de; constater: On assiste à une baisse continue du chômage. Assister32 :
[asiste]. [1] Etre présent. 2. Aider, seconder quelqu’un. Tech : équiper d’un dispositif d’assistance. Aide apporter à qqn. Demander, porter assistance à un ami. 31 http://fr.thefreedictionary.com/assister visité le 15/04/2009 32 Dictionnaire encyclopédique universel. Edition Précis1998. P1383
26
Assistance :
1.assemblée, auditoire. 2 Tech : dispositif capable d’amplifier un effort manuel
et de le transmettre à un mécanisme Assisté : Tech. Muni d’un dispositif d’assistance. Direction assistée. Freinage assisté.
L’ensemble des définitions qui existe pour le verbe « assister » ou le mot assistance répète toujours des mots clés comme l’aide, la présence et le dispositif d’assistance. Ces mots récapitulent d’une manière générale l’objet et les objectifs du concept Contrôle Interne Assisté par Ordinateur. Les applications informatiques de l’audit interne et particulièrement du contrôle interne tournent autour des 3 objectifs suivants : •
Aider et orienter l’utilisateur dans sa démarche du Contrôle Interne
•
Assurer la continuité et la pérennisation de la démarche dans l’organisation
•
Constituer une référence de base pour l’organisation
Ainsi, on peut construire une définition globale pour le « Contrôle Interne Assisté par Ordinateur » par l’accumulation de toutes les interprétations précédentes : Le Contrôle Interne assisté par ordinateur est l’utilisation de l’outil informatique pour aider, orienter et pérenniser la démarche de contrôle interne dans une organisation en mettant en place un ensemble de dispositifs ayant pour but, d’un coté d’assurer la protection du patrimoine et la qualité de l’information dans l’entreprise, de l’autre , d’assurer l’application des instructions de la direction et de favoriser l’amélioration des performances.
1.2 Les objectifs du Contrôle Interne Assisté par Ordinateur 1.2.1 Aider et orienter l’utilisateur dans sa démarche du Contrôle Interne
Les logiciels informatiques de contrôle interne ont comme objectif principal d’assister l’auditeur interne ou le responsable du contrôle interne d’une entreprise à réaliser sa mission d’audit dans les meilleures conditions possibles. La plupart de ces logiciels ont pour point commun l’existence d’une base de données préétablie et qui est bien adaptée au secteur d’activité de l’entreprise ou le domaine de contrôle. Cette adaptation permet à l’auditeur de se situer à chaque fois par rapport à une référence ou un listing de normes réglementaires. Surtout avec l’existence de plusieurs domaines et de secteurs d’application de contrôle interne. 27
1.2.2 Assurer la pérennisation de la démarche du contrôle interne et de ses dispositifs dans le temps
Le contrôle interne assisté met à la disposition de l’auditeur une sélection de fonctionnalités qui lui permet de sauvegarder et d’archiver l’ensemble de ces travaux réalisés au cours de sa mission d’audit. Ces données sauvegardées peuvent être utilisées et exploitées dans la suite des travaux de contrôle et la mise en place de plan d’action. Voire, elles peuvent servir pour les futures missions de contrôles. En fait, aucun document de contrôle interne n’est détérioré ou perdu. Aussi, l’auditeur à la possibilité de revoir l’historique et le développement des indicateurs de risque et de maîtrise sur plusieurs périodes. L’ensemble de ce système de solutions motive les acteurs de contrôle interne pour élargir et assurer la continuité de la démarche de contrôle interne. Ce qui n’est pas le cas pour les PME actuellement dans le cas d’un contrôle ne faisant pas appel à cet outil. Ces dernières ne disposant pas des moyens humains et matériels pour assurer la pérennisation de contrôle interne dans l’organisation. 1.2.3 Constituer une référence de base pour l’organisation
Les logiciels de contrôle interne peuvent constituer une référence de base soit pour le contrôle interne soit pour la gestion de l’entreprise. Grâce à un ensemble de moyens de modélisation graphique et logique des procédures qui permet au personnel de revoir les méthodes appliquées pour la réalisation d’une activité donnée et la connaissance des dispositifs de contrôle prévus pour les risques de l’organisation. En plus, la plupart de ces logiciels assistent le management pour établir les tableaux de bord, les fiches de poste (suivi de l’écart profilcompétence). Finalement, ils constituent un lieu de stockage de la plupart des documents internes de l’entreprise (rapport de gestion, rapport financier, statuts, réglementation de secteur, documents statistiques,…) puis il autorise leur liaison avec une activité ou une tâche donnée.
28
1.3 Les logiciels du contrôle interne sur le marché Le logiciel Principaux clients VALDYS Groupe Taitbout • =>Piloter et modéliser le Mut’Est • contrôle interne et Le cabinet de conseil • maîtriser les risques R & B Partner opérationnels AXIEM •
Frontcontrol =>Assurer la cohérence du dispositif de contrôle interne et les mécanismes d’autoévaluation)
Enablon Internal Control => Une solution de gestion et de pilotage de contrôle interne considérée comme l’une des solutions de référence du marché.
• • • •
• •
La poste Groupama banque Macif Banque PSA Finance
Auchan IONIS
Fonctionnalités Documentation et formalisation • des processus et des risques Formalisation du référentiel de • contrôle Croisement des points de • contrôle avec les processus Génération des tableaux de • contrôle et des documents d’audit Traçabilité du contrôle interne • Plan d’action et suivi des • résultats Cartographie du contrôle interne • Génération des formulaires de • contrôle Collecte d’informations • Identification des plans d’action • et mise à jour de la cartographie Reporting • Evaluation des contrôles • Testing • Reporting • Capitalisation et partage des • travaux d’analyse Un référentiel centralisé • Un module de gestion et de suivi • des opérations
Points forts Forte capacité de modélisation • Souplesse d’utilisation • Granularité très fine • Conformité avec Solvency II et • exigences de l’ACAM Paramétrage selon le métier de • l’entreprise
•
•
•
•
•
•
Conformité avec la loi Sarbanes Oxley et la Loi de la Sécurité Financière Aide à la rédaction du rapport de contrôle Evolutif Conformité avec la loi Sarbanes Oxley et la loi de la sécurité financière Grilles d’évaluation personnalisées aux profils des entités facilité d’emploi, son architecture
29
• •
ISIMAN => créer un référentiel de contrôle interne et le déployer au sein de l’entreprise
Agence Française de Développement AGIRC-ARRCO • Banque de Gestion • Edmond de Rothschild Monaco (BGER) Groupe Crédit Mutuel : Fédéral Finance Groupe Malakoff • Médéric IRP Auto • PRO BTP •
•
•
•
•
•
•
Tableaux de bords Analyse croisée dynamique des procédures
•
sa gestion décentralisée et son multilinguisme
Rattachement contrôle et risque ou objectif Définition des contrôles de niveau 1 et 2 Orchestrer la distribution des fiches de contrôle dans le temps et dans l’organisation permettre les contrôles de contrôles Formulaire des recommandations et des actions de suivi
•
Saisir les résultats des contrôles en mode déconnecté et ensuite de les importer en une seule opération dans la base de données Conformité avec Bâle II, Solvency 2 et ACAM Facilité d’utilisation et compatibilité avec Windows et Lunix
•
•
30
• •
ISIMAN
Agence Française de Développement AGIRC-ARRCO • Banque de Gestion • Edmond de Rothschild Monaco (BGER) Groupe Crédit Mutuel : Fédéral Finance Groupe Malakoff • Médéric IRP Auto • PRO BTP •
=> créer un référentiel de contrôle interne et le déployer au sein de l’entreprise
•
•
•
•
•
•
Tableaux de bords Analyse croisée dynamique des procédures
•
sa gestion décentralisée et son multilinguisme
Rattachement contrôle et risque ou objectif Définition des contrôles de niveau 1 et 2 Orchestrer la distribution des fiches de contrôle dans le temps et dans l’organisation permettre les contrôles de contrôles Formulaire des recommandations et des actions de suivi
•
Saisir les résultats des contrôles en mode déconnecté et ensuite de les importer en une seule opération dans la base de données Conformité avec Bâle II, Solvency 2 et ACAM Facilité d’utilisation et compatibilité avec Windows et Lunix
•
•
30
2
Avantages et limites du Contrôle Interne Assisté par Ordinateur
2.1 L’apport de Contrôle Interne Assisté par Ordinateur 2.1.1 Accélération de la mise en œuvre du processus de contrôle interne
Parmi les avantages principaux des logiciels de contrôle interne, le gain de temps énorme dans la réalisation du processus d’audit et de pilotage des missions de contrôle. Subséquemment, on assiste à une concurrence très motivée entre les différents éditeurs pour proposer des produits de plus en plus efficaces et performants permettant d’économiser toujours plus de temps de travail de management. En vérité, ces éditeurs ont vite compris que le temps pour l’entreprise est une matière rare et couteuse. Plus le logiciel est facilement exploitable et permet d’automatiser plus d’opérations manuelles plus l’utilisateur de logiciel est satisfait. Alors, comment le Contrôle Interne Assisté par Ordinateur permet-il d’accélérer le processus du Contrôle Interne ?
2
Avantages et limites du Contrôle Interne Assisté par Ordinateur
2.1 L’apport de Contrôle Interne Assisté par Ordinateur 2.1.1 Accélération de la mise en œuvre du processus de contrôle interne
Parmi les avantages principaux des logiciels de contrôle interne, le gain de temps énorme dans la réalisation du processus d’audit et de pilotage des missions de contrôle. Subséquemment, on assiste à une concurrence très motivée entre les différents éditeurs pour proposer des produits de plus en plus efficaces et performants permettant d’économiser toujours plus de temps de travail de management. En vérité, ces éditeurs ont vite compris que le temps pour l’entreprise est une matière rare et couteuse. Plus le logiciel est facilement exploitable et permet d’automatiser plus d’opérations manuelles plus l’utilisateur de logiciel est satisfait. Alors, comment le Contrôle Interne Assisté par Ordinateur permet-il d’accélérer le processus du Contrôle Interne ? 2.1.2 L’existence d’une base de référence dans le domaine d’activité de l’entreprise
Concrètement, pour comprendre cet avantage, il faut remonter à la fonction d’assistance et d’orientation de l’auditeur. Le Contrôle Interne Assisté par Ordinateur profite d’une base de référence conforme aux normes et à la législation en vigueur liés à un secteur d’activité donné (exemple : industrie nucléaire, assurance et mutualité, distribution, etc.) et qui remplace le recours automatique à la documentation manuelle (ouvrages, documents internes, internet, etc.). En recourant à cette solution, un auditeur débutant ou expérimenté économise beaucoup de temps de recherche et de réflexion pour adapter la mission de contrôle à la nature d’activité de l’entreprise. La viabilité de cette attribution est ressentie surtout à la phase d’identification des risques et de définition des points de contrôle.
31
2.1.3 La génération automatique des documents de contrôle
La génération automatique de certains documents de base pour la réalisation d’une mission de contrôle interne est une fonction clé et une condition nécessaire pour les clients de ce type de logiciel. Cette génération automatique des documents permet une sélection, un tri et une extraction des données liées à un document concernant une étape spécifique de la démarche d’audit interne. Tout de suite, l’application injecte ces données dans le document à générer en évitant de cette manière d’effectuer des opérations de recherche et de calcul manuellement. Ainsi, les développeurs ont établis de grands efforts pour automatiser la génération d’un nombre considérable de documents d’audit, parmi lesquels je souligne : •
Fiches d’audit
•
Cartographie des risques
•
Tableaux de bord
•
Plans d’action
•
Tableaux de contrôle
•
Rapport du contrôle interne
•
Tests d’audit …
2.1.4 Le croisement des données
L’opération de croisement de données permet de détecter les écarts et les anomalies de la mise en œuvre entre différents niveaux et étapes de contrôle laissant ainsi la possibilité à l’auditeur de rectifier les erreurs de conception et d’estimation commises auparavant (exemple croisement des points de contrôle avec les tâches de contrôle) Cette fonction caractérise quelques logiciels des plus performants sur le marché. Le choix de mettre cette option dans une application demande beaucoup de vigilance et d’effort au niveau de programmation. Aussi, l’introduction de cette option nécessite de l’utilisateur une précision particulière dans le choix et l’établissement de sa terminologie de contrôle interne afin de surmonter le risque de confusion et de mauvaise interprétation par le programme informatique. 2.1.5 Partage et capitalisation des données de contrôle interne
Aujourd’hui grâce aux réseaux informatiques, la communication des informations et des données est devenue une opération simple et de routine pour le personnel d’une entreprise. Il
32
lui suffit juste d’une connaissance limitée pour pouvoir partager tous les données concernées en quelques minutes. Dans ce cadre, le Contrôle Interne Assisté par Ordinateur permet de répondre aux besoins des auditeurs, de partager un ensemble de références et de données entre plusieurs services au sein de la même structure ou bien entre un ensemble de sites situés à des endroits espacés. Les logiciels existants sur le marché exploitent les réseaux informatiques internes de la firme pour exécuter un ensemble d’opérations de communication électroniques évitant de cette façon le déplacement, le risque de perte des documents papiers lors de leur envoi et le gaspillage de temps nécessaire à leur transfert. Parmi les avantages de partage des données entre différentes cellules dans la même structure ou entre plusieurs structures : •
Actualisation des données instantanément pour tous les postes liés à la source permettant ainsi d’empêcher les conflits liés au retard de transmission des informations et de garder tous les auditeurs à jour
•
Plusieurs utilisateurs peuvent travailler sur la même mission en même temps ou à des moments différés à partir de plusieurs emplacements
•
Possibilité aux auditeurs (selon les droits attribués) de porter des modifications sur la base de données centrale et à porter son avis sur des modifications effectuées par d’autres auditeurs
2.1.6 La cohérence du dispositif de contrôle interne
2.1.6.1 Cohérence par rapport aux référentiels
La complexité de la réglementation et la législation actuelle au niveau national, européen et international impose aux auditeurs de respecter des référentiels strictement définis et en même temps d’être en conformité avec un nombre de normes de pratiques d’audit interne. L’ensemble des logiciels de contrôle interne est en conformité avec une ou plusieurs lois dans le domaine, comme par exemple : •
Loi de la sécurité financière
•
Loi Sarbanes Oxley
33
•
Solvency II
•
COSO
•
Bale II
Ces logiciels proposent ou obligent l’utilisateur à respecter une norme ou une loi donnée en limitant la marge de manœuvre de l’utilisateur ou en interdisant quelques modifications qui ne sont pas en conformité avec les réglementations du secteur. 2.1.6.2 Cohérence par rapport à la démarche du contrôle interne
L’exécution d’une mission de contrôle interne est un enchaînement de phases (voir partie 1 point B: la démarche du contrôle interne) dont chaque phase correspond bien à un panel d’opérations de contrôle. L’ordonnancement de ces phases obéit à une logique précise et en aucun cas ces phases ne peuvent être réorganisées. Cette consigne est respectée à la lettre parce que d’abord la démarche de contrôle interne est conduite par l’application informatique selon un plan bien défini et les étapes sont effectuées et réalisées selon un enchaînement préétabli. 2.1.6.3 Cohérence entre les utilisateurs du logiciel
La cohérence dans la conception des procédures, ainsi que dans l’analyse et les critères l’évaluation doit être respectée par tous les auditeurs. On ne peut imaginer deux méthodes d’évaluation distinctes pour un risque de même nature. Subséquemment, deux plans d’actions ou deux tâches de contrôle en contradiction ne peuvent jamais être établis pour deux risques identiques. Pour faire face à ce problème, le Contrôle Interne Assisté par Ordinateur permet de mettre tous les utilisateurs sur la même onde. Ainsi, tout conflit ou contradiction est détectable par le système et peut être signalé à l’instant même de sa manifestation. 2.1.7 Pertinence des mécanismes d’évaluation des risques
Le Contrôle Interne Assisté par Ordinateur procure une solution adéquate pour pouvoir réaliser une évaluation de risque pertinente. Tout d’abord, le système demande de déterminer une échelle de référence sur les critères et les méthodes d’évaluation des risques adoptée par le management et le Conseil d’Administration. Cette base sera exploitée et respectée tout au long de la démarche d’audit. A chaque fois que l’auditeur intègre des données liées à la cotation d’un risque, l’ordinateur lance un message de rappel de cette base de référence ou bloque l’entrée de certaines données incohérentes de cette base initiale. Aussi, elle contraint l’utilisateur à respecter la démarche conçue pour l’évaluation même pour les risques qui 34
semblent non significatifs par rapport aux autres. En effet, cette option permet de détecter des risques considérés acceptables mais qui s’avèrent après la phase de cotation très signifiants. Exemple :
Un auditeur fait le choix de l’échelle de cotation suivant : Détectabilité (D) de 1 à 5, Gravité (G) de 1 à 4 et Criticité (C) de 1 à 5 C = D*G*C L’ordinateur ne reconnaît pas alors une évaluation de D=6, G=5 et C=3 est lance un message d’erreur Le calcul de la criticité est automatique seulement si on respecte les critères d’évaluation choisis. 2.1.8 Aide à la rédaction du rapport de contrôle interne
A l’issue d’une mission de contrôle interne, les auditeurs établissent un rapport de contrôle dans lequel ils présentent le travail de contrôle effectué à toutes les phases d’audit, leurs constations et les recommandations à suivre dans les prochaines étapes. La loi n°2003-706 du 1er août 2003 dite loi de Sécurité Financière impose au président du Conseil d’Administration ou de Conseil de Surveillance de rendre compte, dans un rapport joint au rapport de gestion annuel, des conditions de préparation et d’organisation des travaux du conseil, ainsi que des procédures de contrôle interne mises en place par la société33 . Initialement appliquée à toutes les sociétés anonymes, l’obligation d’établir ce rapport a été ensuite limitée aux seules sociétés faisant appel public à l’épargne34. Le rapport de contrôle interne permet à l’entreprise d’avoir une image réelle sur le degré de maturité de ses contrôles et ainsi de traiter les risques associés. Les logiciels de contrôle interne présentent un moyen efficace pour minimiser les coûts et le temps de réalisation du rapport. Ces logiciels permettent alors de : •
Collecter et trier toutes les informations nécessaires à l’établissement du rapport en se référant à la base de données déjà existante.
33 Article 117 de la loi modifiant les articles L. 225-37 et L. 225-68 du code de commerce 34 Loi n°2005-842 du 26 juillet 2005 pour la confiance et la modernisation de l'économie (loi Breton)
35
•
Donner le choix à l’utilisateur de faire figurer ou non un nombre d’éléments du rapport selon l’importance de ces derniers pour les organismes de contrôle
•
Automatiser les calculs et la mise en forme des résultats obtenus
•
Permettre une mise à jour automatique du rapport après chaque modification
•
Permet d’avoir une idée générale sur l’avancement du travail à chaque étape de réalisation du rapport.
2.1.9 Pérennisation de la démarche d’audit
La mise en place d’un système de contrôle interne est une opération qui ne se limite pas à la durée de la mission de contrôle mais elle continue tout au long de la vie de l’entreprise. En effet, l’auditeur interne est amené à mettre à jour l’évaluation des risques continuellement, à suivre l’application et la mise en œuvre des recommandations et à développer des activités de maîtrise, etc. Le changement de l’environnement et la métamorphose des risques sont les causes principales de cette mobilisation continue. Dans ce cadre, la valeur ajoutée du Contrôle Interne Assistée par Ordinateur est de pouvoir actualiser les données d’une manière automatique sans être obligé de refaire les même travaux à chaque nouvelle mission d’audit et de historier les changements périodiques à l’aide du logiciel. Par ailleurs, il donne la possibilité de suivre et d’observer les évolutions des risques et des contrôles en temps réel. De cette façon, l’utilisateur peut modifier les caractéristiques d’un risque ou d’un point de contrôle à chaque fois que la situation l’exige. Cette option allège le travail de l’auditeur puisqu’elle permet de partager l’effort réalisé sur toute l’année et évite ainsi une accumulation du travail sur une période particulière.
2.2 Les limites du Contrôle Interne Assisté par Ordinateur 2.2.1 Rigidité partielle
La fonction principale des logiciels de contrôle interne « assistance de l’auditeur dans sa démarche de contrôle interne » entraîne un déséquilibre entre d’une part la volonté d’une formalisation excessive des procédures des activités de l’entreprise et d’autre part l’utilisation adaptée des techniques d’audit interne. En effet, le développeur cherche à limiter la marge de manœuvre de l’utilisateur par le blocage de centaines de fonctionnalités et l’interdiction d’accès à d’autres, afin de le contraindre à rester en conformité avec les lois et les normes en vigueur. En conséquence, les
36
utilisateurs ont tendance à renoncer à un nombre de constatations ou d’observations dans la mesure où ils n’arrivent pas à les introduire dans le système informatique. Ainsi, les utilisateurs seront obligés de respecter la méthode d’audit proposée par le système et d’abandonner toute démarche appropriée à l’auditeur ou déjà utilisée par l’entreprise dans les missions précédentes. 2.2.2 Maîtrise limité des fonctionnalités du logiciel
Pour bénéficier de toutes les fonctionnalités d’une application de contrôle interne, l’utilisateur doit avoir des compétences avancées en informatique et une bonne compréhension de l’architecture du logiciel. Cette qualité lui autorise une exploitation maximale des outils que procurent le logiciel et une optimisation des résultats recherchés. Ces connaissances ne se limitent pas seulement à l’application de contrôle interne mais doit porter aussi sur d’autres outils comme les outils bureautiques, la gestion des bases de données et l’architecture des réseaux informatiques. En fait, la plupart des logiciels de contrôle interne font appel à d’autres ressources externes pour alimenter et réaliser des opérations de calcul (exemple : Word pour génération des documents, Excel pour les calculs complexes et les graphiques, Access ou MySQL pour la gestion des bases de données, Internet explorer pour la lecture des pages HTML). Afin de surmonter cet obstacle, les éditeurs de logiciels proposent des modules de formation pour leurs logiciels et une assistance à distance pendant la durée de l’utilisation des contrats. Dans le même but, ils incluent dans leurs applications des outils d’aide et des exercices pratiques pour améliorer et répondre aux questions des utilisateurs. 2.2.3 Les erreurs informatiques
A l’instar des autres applications, les logiciels de contrôle interne présentent quelques points de défaillance qui peuvent nuire à l’utilisateur et l’empêcher de réaliser quelques opérations d’entrée de données, de traitement ou de génération de documents. Ces problèmes sont généralement dus à des erreurs de programmation ou de conception. Parmi les erreurs les plus courantes : •
Erreurs d’incompatibilité avec d’autres logiciels ou systèmes d’exploitation
•
Les bugs qui résultent souvent des erreurs de programmation comme les erreurs dans une formule de calcul ou des messages non compréhensibles.
37
•
Erreurs d’installation de l’application sur un poste informatique et erreurs de paramétrage
•
Erreurs dans la définition des droits d’accès et de modification
•
Non respect de certaines normes de sécurité de réseau
La grande partie de ses problèmes est expliquée par la nouveauté de ces logiciels sur le marché. Ainsi, les développeurs sont toujours en veille pour corriger ces défauts informatiques par des mises à jour régulières dans le cadre de développement de logiciel ou suite à une signalisation d’utilisateur. Néanmoins, les anciennes solutions sur le marché bénéficient toujours d’un pas d’avance par rapport aux autres grâce à une expérience accumulée dans ce domaine. 2.2.4 Dépendance
Le recours au Contrôle Interne Assisté par Ordinateur ne remplace jamais l’esprit analytique et critique de l’auditeur ainsi que sa rationalité dans l’évaluation des risques. Il fait appel aussi à sa capacité créative et à son instinct d’auditeur. Cependant, l’utilisation continue et permanente de cet outil peut stimuler une dépendance relative à cet outil et entraîner alors une influence notable sur les choix et les analyses de l’auditeur. En plus, l’existence d’une base de données initiale liée à la nature de l’activité de l’entreprise implique une tendance de l’utilisateur à adopter des solutions prêtes au lieu de faire l’effort d’une analyse structurée. Pourtant, les solutions préexistantes dans la base de données ne s’appliquent pas toujours à l’organisation auditée. 2.2.5 Gestion de temps irrationnelle
Le Contrôle Interne Assisté par Ordinateur demande beaucoup d’investissement en matière de temps. Les premiers mois sont les plus dures, et l’utilisateur à l’impression que le travail avance très lentement. Cela n’a rien d’étonnant, c’est tout-à-fait normal que dans les premiers mois on démarre très lentement puisque c’est la période de formation et de découverte du logiciel. L’utilisateur rencontre alors un grand nombre de blocages techniques et d’incompréhensions surtout au niveau de la logique de modélisation graphique. En réalité, ce sont les premiers mois seulement qui consomment beaucoup de temps parce que c’est une période d’adaptation et de conception. Après cette phase, l’accélération des procédures de mise en place est remarquable, les phases d’analyse des risques, de développement des activités de contrôle et le suivi des plans d’action prennent moins de
38
temps. L’évolution de la mise en place du Contrôle Interne Assisté par Ordinateur dans l’axe temps suit une courbe exponentielle.
Avancement de mise en place de CI
Phase 3
Phase 2 Phase 1 Temps
Graphe représentant représentant l’évolution de la mise en place de CIAO en fonction du temps
2.3 Les clés de réussite d’un projet de Contrôle Interne Assisté par Ordinateur La réussite de l’introduction l’introductio n du Contrôle Interne Interne Assisté Assisté par Ordinateur dans
une
organisation passe d’abord par un ensemble de dispositions et de pré-requis : •
Une organisation comportant une définition claire des rôles, disposant des moyens nécessaires et des compétences adéquates et s’appuyant sur des systèmes d’information efficaces, sur des procédures ou modes opératoires, des instruments et des dispositifs adaptés.
•
Une communication interne pertinente, fiable et efficace qui permet à chacun d’exercer ses responsabilités sans confusion ni désordre.
•
L’existence d’un système permettant de recenser, d’évaluer et d’analyser les principaux risques identifiables, de réaliser les objectifs de l’organisme et de s’assurer de l’existence des procédures de maîtrise de ces risques.
•
L’existence des activités de contrôle proportionnées aux risques liés à chaque processus, et conçues pour s’assurer que les mesures nécessaires soient prises en vue de maîtriser les risques susceptibles d’affecter la réalisation des objectifs.
•
Une surveillance permanente portant sur le dispositif de contrôle interne ainsi qu’un examen régulier de son fonctionnement.
39
3 Etude de cas logiciel Valdys 3.1 Présentation du logiciel 3.1.1 Fonctions majeurs et apport apport du logiciel
Désormais, les sociétés d’assurances et les mutuelles (compagnie, mutuelle ou institution de prévoyance) sont soumises à une réglementation stricte qui leurs impose des connaissances particulières en contrôle interne et une maîtrise totale des risques opérationnels y compris les risques financiers. En effet, le second pilier de la directive Solvabilité 2 oblige les entreprises du secteur des assurances à mettre en œuvre des actions de contrôle interne et de management des risques qui nécessitent le recours à une méthodologie structurée et à des savoirs-faires innovants en contrôle interne. Dans ce cadre, Effisoft (éditeur de solutions informatiques de gestion) a développé l’application Valdys Vald ys : outil structurant struct urant permettant de piloter et de modéliser mod éliser le contrôle interne. Il apporte une connaissance exhaustive et une maîtrise totale des risques opérationnels liés à la société relevant du contrôle de l’ACAM.35 Valdys permet d’une part de mettre en œuvre le référentiel de contrôle interne en décrivant et en formalisant les processus et les risques au sein d’une démarche structurante intégrant les spécificités des métiers de l’assurance (IARD, santé, prévoyance, retraite, …). Aussi, il intègre la fonction d’évaluation des risques, d’identification des points de contrôle et de leurs croisements avec les processus de l’entreprise. Il permet de générer les tableaux de contrôle interne et les documents d’audit (fiches de contrôles, fiches de tests, plannings d’audit, tableaux de synthèse) ainsi que tous les livrables réclamés dans le cadre du contrôle permanent de l’ACAM. D’autre part, il permet de diffuser le référentiel de contrôle interne et la déclinaison opérationnelle des points de contrôle en générant automatiquement sous forme de documents électroniques, documents papiers ou pages web intranet, les processus, les procédures, l’analyse des risques et les plans d’action et de suivi pour faciliter la diffusion des informations à tous les acteurs concernés. Les fonctionnalités de cet outil sont en général les objectifs concernant le Contrôle Assisté par Ordinateur à savoir : •
La réduction du temps de mise en place d’un système de contrôle interne
35 http://www.valdys.com/Pages/Solutions/Solutions.aspx?Action=Valdys
40
•
La sauvegarde et l’archivage des résultats obtenus à un moment donné dans l’objectif de la traçabilité de la démarche
•
La génération automatique d’un ensemble de documents d’audit et du rapport de contrôle interne
•
La conformité aux contraintes liées à Solvabilité 2
•
L’économie de ressources matérielles et humaines
•
L’assistance en ligne et l’accompagnement technique et professionnel
3.1.2 Caractéristiques techniques
Valdys est une solution qui n’est pas très exigeante en performance matérielle des ordinateurs ou des serveurs de réseau. Cette caractéristique renforce son apport en tant que solution économique pour l’entreprise. De ce fait, les clients ne sont pas amenés à avoir des équipements de haute performance pour le mettre en route. Selon les besoins, Valdys peut être installé en client lourd ou léger. Autre avantage, sa compatibilité avec toutes les bases de données du marché (Access, MYSQL,…). La configuration requise est la suivante : •
Espace disque nécessaire : 50Mo
•
Mémoire : 1Go
•
Processeur : Pentium III ou supérieur
•
OS : Windows, Windows NT4 SP6, Windows 2000 SP3, Windows XP
•
IE 5.1 ou supérieur
En revanche, certaines défaillances de ce logiciel ont été soulevées : •
L’installation du logiciel nécessite des connaissances informatiques très avancées. Ces difficultés sont surtout dues à des mesures très strictes contre le piratage du logiciel.
•
Nombre considérable d’erreurs et de bugs informatiques
•
Incompatibilité avec la dernière version de Windows (Vista) et la dernière version Office 2007, pour contourner ce problème l’éditeur propose pour ces clients dotés de ce type de système d’exploitation ,des mises à jour.
•
L’édition du rapport de contrôle interne demande encore des efforts considérables de l’utilisateur pour l’adapter aux exigences de l’ACAM.
41
3.2 L’architecture de Valdys 3.2.1 Présentation de l’arborescence de Valdys
Globalement, le logiciel est conçu sous forme d’une arborescence constituée de plusieurs niveaux. Chaque niveau présente un angle de vue particulier sur le système de contrôle interne paramétrable selon la phase de contrôle à réaliser. Les informations générées lors de l’utilisation de Valdys sont enregistrées dans une base de modélisation représentée par un ou plusieurs fichiers.
Bas de données CI
Pro et 1
Point de vue 1
Modèle 1
Pro et 2
Point de vue 2
Modèle 2
Pro et 3
Point de vue 3
Pro et 4
Point de vue 4
Modèle 3 Modèle 4
Schéma de l’architecture globale de la base de données
3.2.2 Le projet, le point de vue et le modèle
3.2.2.1 Le projet
Le premier niveau de structuration de la base de modélisation est le Projet. Il est possible de modéliser différents projets au sein d’une même base. Un projet est un ensemble homogène de points de vue et qui vise à réaliser les objectifs définis de contrôle interne. C’est le niveau le plut haut des niveaux de conception d’une base de contrôle interne. Il est composé d’un ou
42
plusieurs points de vue jugés pertinents pour la structuration du référentiel de contrôle interne36. Il est possible de modéliser différents projets au sein d’une même base. Exemple de projet: « Création de base de contrôle interne pour une mutuelle ». 3.2.2.2 Le Point de Vue
Ensemble de modèles identiques ou différents s’inscrivant dans un projet et décrivant un éclairage particulier sur l’objet de la modélisation. Exemples : processus de pilotage, processus cœur de métier, etc.37 Les Points de Vue permettent d’exprimer différentes dimensions complémentaires : o
Complémentarité dans le temps (un point de vue actuel, un point de vue cible)
o
Complémentarité dans l’organisation (un point de vue interne, un point de vue externe)
o
Complémentarité dans l’espace (un point de vue central, un point de vue local)
Un Point de Vue s’exprime à travers un ou plusieurs Modèles. 3.2.2.3 Le Modèle
Ensemble de cadres, de règles de construction et d’outils d’édition offrant une représentation structurée38.Chaque modèle relève d’un type de modèle qui précise les concepts manipulables dans celui-ci. Par exemple, un modèle de type Arbre des Missions permet de manipuler le concept de mission et les liens permettent de structurer une décomposition de missions en sous missions, sous-sous-mission, etc. D’une manière générale, un Modèle est un graphe composé de nœuds et de liens, qui représentent des concepts manipulables. Ces nœuds et liens manipulés par les différents éditeurs de modèles sont donc les représentants graphiques des concepts qui sont stockés dans le Dictionnaire d’éléments. Ce dernier est propre à un Projet et il est partagé par tous les Points de Vue et Modèles d’un seul et même Projet.
36 Annexe 1 « Lexique Valdys » 37 Annexe 1 « Lexique Valdys » 38 Annexe 1 « Lexique Valdys »
43
3.3 Le projet de Contrôle Interne selon Valdys 3.3.1 Identification/Formalisation des processus
La première étape dans la réalisation du projet de mise en place du contrôle interne est de décliner les missions et les objectifs de l’organisme afin d’identifier les processus clés de celui-ci ainsi que les moyens mis en œuvre pour en garantir leur bon fonctionnement. Il y a trois niveaux de conception des processus de l’organisation. 3.3.1.1 Le Macro-processus 39
C’est la vision globale du métier de l’entreprise avec une décomposition homogène et cohérente selon ces différentes missions. La décomposition de l’activité de l’entreprise proposée par Valdys concerne 3 grandes catégories (mission Pilotage, mission Cœur de métier et mission Support, selon normes ISO 9000) •
Les processus de direction ou de pilotage : ils retracent la manière avec laquelle la direction de l’entreprise pratique sa politique de pilotage et de gouvernance.
•
Les processus de réalisation ou processus métier : ces processus fonctionnement
traitent le
de réalisation d’un produit ou d’un service en décortiquant
l’enchainement des activités opérationnelles en plusieurs phases. •
Les processus support : ils permettent de représenter les moyens nécessaires à la mise en œuvre des processus métiers.
3.3.1.2 Le Diagramme de Phase 40
C’est la représentation graphique d’un ensemble d’activités dans le cadre de la même mission de contrôle. La phase symbolise une période durant laquelle se déroule un ensemble d’activités au travers d’un découpage temporel. Les liaisons entre les différents diagrammes de phases sont sous formes de connecteurs d’entrée ou connecteurs de sortie.
39 40
Voir annexe (2) Voir annexe (4)
44
3.3.1.3 Le Logigramme 41
Le troisième niveau de vision des procédures est le Logigramme « Schéma représentant un processus mis en œuvre pour assurer une mission42 ». A ce stade, un auditeur peut avoir une représentation synthétique d’une activité en modélisant des tâches et les liants avec des flux horizontaux ou verticaux. Grâce à ce schéma, la réponse à la question « qui fait quoi ? » est complète. Le Logigramme décrit de point de vue opérationnel une activité à travers les pratiques des métiers de l’entreprise (une procédure au sens ISO 9000). La description des Logigrammes permet donc de formaliser les pratiques opérationnelles existantes et permet éventuellement d’optimiser le système d’information et / le système de production de l’entreprise sur un périmètre donné. Schéma représentant un processus mis en œuvre pour assurer une mission 43
Macroprocessus Digramme de phase Logigramme
3.3.2 Identification et évaluation des risques
3.3.2.1 Catégories de risques
Après la définition et la modélisation des procédures, l’auditeur entame la phase d’identification et d’évaluation des risques. D’abord, il faut partager les risques en risques exogènes et risques endogènes :
41
Voir annaex (4) 42 Voir annexe (1) 43 Voir annexe (1)
45
•
sont des risques d’origine externe à l’entreprise (exemple : les
Les risques exogènes
catastrophes naturelles, coupures de courant, etc.). •
Les risques endogènes
se sont les risques liés à des facteurs déclenchés au sein de
l’entreprise (fraude interne, erreur de saisie, mauvaise interprétation d’un texte de loi par le personnel, etc.). La première catégorie de risque est modélisée avec des « Arbres des familles de risque»44 pendant que la deuxième catégorie est modélisée sous forme « d’Arbre de risque ». La représentation graphique de ces arbres met en évidence la relation entre les missions et les objectifs ainsi que les risques liés à chaque objectif (événement indésirable ou classe d’événements indésirables). L’établissement et l’analyse de procédure est une étape préparatoire à l’identification et l’évaluation des risques. La logique de Valdys permet de déduire les risques en analysant les objectifs à réaliser et les contraintes réglementaires à respecter. Ces risques en général se produisent dans le cadre de la réalisation des activités de l’entreprise. Ainsi, la modélisation des risques sous l’appellation « arbre de risque » est la suivante :
Objectif Mission Contrainte
Evénement indésirable (Risque) ou classe d’événements indésirables
Point de contrôle Action corrective Action préventive
3.3.2.2 Evaluation des risques
L’évaluation des risques est une phase critique dans la démarche de contrôle interne. Tout effort réalisé par un auditeur est fondé sur une analyse fiable et rationnelle des risques. Dans le cas inverse, toute la mission d’audit et les objectifs liés peuvent être condamnés à l’échec.
44
Voir annexe (5)
46
Conscient de l’importance stratégique de cette phase, Valdys accorde beaucoup de moyens et de ressources pour l’évaluation des risques. D’abord, pour évaluer la criticité d’un risque Valdys intègre 3 facteurs dans la fonction de calcul : •
Fréquence F (de 1 à 5)
•
Détectabilité D (de 1 à 5)
•
Gravité G (de1 à 5)
La formule de calcul de la criticité est : Criticité = Fréquence* Détectabilité*Gravité La criticité est ainsi comprise entre 1 et 100. Dans certains cas l’auditeur est amené à prendre en considération le poids significatif d’un des facteurs précédents. Pour faire, Valdys permet de changer la formule de calcul par une autre comme par exemple (C=F*G², F*G, G^4*F²*D). Puis, Valdys permet aussi de détailler l’évaluation de la Gravité en la décomposant en plusieurs impacts de différentes natures (impact financier, impact client, impact image, impact fournisseur, …). Enfin, le logiciel permet de générer des cartographies de risque. Une fois les risques cotés, il est possible de générer la cartographie de risques représentant graphiquement les risques et leur importance. Pour cela, tous les risques de l’Arbre des risques
45
n’ont pas besoin d’être
forcément cotés. Il est possible de générer une cartographie des risques pour un seul arbre des risques à la fois ou pour tous les arbres présents dans le modèle « Arbre des risques » ou pour tous les arbres de risques d’un projet 3.3.3 Identification des éléments de contrôle et croisement avec les tâches ou activités de contrôle
Pour chaque risque majeur ou mineur, Valdys permet d’identifier un ou plusieurs éléments de maîtrise :
45
•
Action corrective
•
Action préventive
Annexe (3)
47
•
Point de contrôle
A chaque élément de maîtrise doit correspondre une tâche de contrôle présent au niveau des Logigrammes. Cette opération de liaison entre les points et les tâches de contrôle est appelée processus de croisement des risques. Une génération par la suite des tableaux de contrôle nous permettra de détecter les défaillances du système de contrôle interne dans l’entreprise (les risques auxquels ne corresponde aucune tâche de contrôle). 3.3.4 Suivi et amélioration
Valdys permet de planifier et de mettre en place des plans d’action et de contrôle, de réaliser des évaluations de contrôle et de suivre des recommandations. Dans ce cadre, il dispose de plusieurs outils et moyens : •
La Fiche de contrôle : elle décrit de quelle manière les risques sont pris en compte au niveau des processus (mode opératoire, responsable, fréquence du contrôle, etc.) dans le but de maîtriser les risques du métier.
•
Le Tableau de contrôle : il permet de synthétiser le rapprochement entre les risques, les points de contrôle et les processus; et ceci, afin d’identifier les écarts.
•
Le Tableau de bord : il permet de synthétiser l’avancement des audits et des résultats obtenus; et ceci, par période, type de risque, date, etc.
•
Le Planning des actions : il permet de visualiser les actions correctives et préventives puis d’organiser leur suivi.
•
L’Echéancier d’évaluation : il indique, pour une période donnée, la liste des audits à mener et la charge de travail correspondante dans le but de planifier efficacement les évaluations.
3.4 Les documents générés en interne par Valdys 3.4.1 Le rapport du contrôle interne
Le rapport du contrôle interne récapitule l’ensemble des informations intégrées dans Valdys en les organisant d’une manière cohérente et homogène. Le rapport de contrôle interne est notamment destiné aux autorités de tutelle telles que l’ACAM – Autorité de Contrôle des Assurances et des Mutuelles. 48
Dans ce cadre, Valdys permet de générer un rapport de contrôle interne sous forme d’un fichier au format Word. Le script utilise toute la base de données disponible et les informations enregistrées par l’auditeur pour générer un rapport de contrôle interne. La structure finale du rapport de contrôle interne est modifiable selon les besoins de l’utilisateur. Ainsi, l’auditeur décide de mettre ou non un certain nombre de renseignements dans le rapport de contrôle selon leur degré d’importance et d’utilité. Néanmoins, la performance du logiciel dans la génération du rapport reste limitée. Effectivement, l’utilisateur doit intégrer lui-même un nombre d’informations qui alimentera la base Valdys (exemple : informations sur l’organisation du Conseil d’Administration) et effectuer les modifications finales pour mettre en conformité le rapport avec les exigences de l’ACAM. L’utilisateur est confronté alors à des mesures restrictives établies par l’éditeur du logiciel dans le cadre d’encadrer la mission d’audit. Cela engendre beaucoup de difficultés pour changer ou modifier des éléments du rapport comme le contenu des tableaux ou des graphes. Un autre inconvénient, le logiciel ne présente qu’un seul choix concernant la structure de rapport ; en conséquence l’utilisateur ne peut pas modifier l’architecture du rapport. Dans ce cas, il est invité à fournir un effort considérable pour changer la structure du rapport par défaut. De plus, on note l’absence d’une génération automatique d’une note de synthèse sur l’état et l’aboutissement du travail de contrôle effectué par l’auditeur. 3.4.2 La génération des pages HTML 46
La génération d’un site web est une fonctionnalité très utile pour la diffusion et le partage d’information entre le personnel. Tout le travail réaliser de la modélisation des procédures jusqu’à la génération du rapport est intégralement consultable. Ce site web généré peut être consulté et intégré dans l’intranet de l’entreprise ou dans un réseau extranet. Les utilisateurs ayant les droits d’administrateur ont l’option d’interdire et de sécuriser l’accès à des éléments confidentiels.
46
Voir annexe (8)
49
Conclusion Le Contrôle Interne Assisté par Ordinateur est une option portant une grande valeur ajoutée pour les entreprises et les cabinets d’audit afin d’assister et d’accélérer le processus de mise en œuvre de la démarche de contrôle interne. Les trois axes de ce mémoire démontrent le rôle important du Contrôle Interne Assisté par Ordinateur à la gestion de l’organisation et au processus de maîtrise des risques. Accélération de processus, économie des dépenses liées aux opérations de contrôle, cohérence de démarche entre auditeurs, en effet la valeur ajoutée de cet outil est de plus en plus remarquable. Cependant, il ne faut pas ignorer l’importance des défaillances constatées et déduites lors de notre analyse du concept et surtout dans notre étude de cas surtout concernant les dimensions techniques et la maîtrise des outils de logiciels. Par ailleurs, il est très tôt de porter un jugement négatif à cause des inconvénients déjà relevés. Notamment parce que notre analyse a porté sur un seul logiciel (Valdys) et aussi en se référant à
d’autres ressources
documentaires. Pour généraliser notre étude, il faut impliquer dans l’analyse d’autres logiciels et d’autres utilisateurs. Cette analyse doit faire l’objet de tests pratiques et techniques réalisés par les acteurs et les experts du contrôle interne et les éditeurs et concepteurs de ces solutions de gestion. Un effort conjugué entre toutes ces parties peuvent contribuer au développement et à l’amélioration du Contrôle Interne Assisté Par Ordinateur. Finalement, on peut dire qu’à l’instar de toutes les solutions informatiques proposées aux entreprises, le Contrôle Interne Assisté par Ordinateur connaît un développement rapide et soutenu du nombre de ces clients grâce à un meilleur rapport coût/efficacité et devient ainsi un concurrent redoutable pour les cabinets d’audit.
50
Bibliographie : •
Frédéric Bernard, Rémi Gayraud et Laurent Rousseau, « Contrôle interne », Ed.MAXIMA, Paris, 2006, p 303
•
Norme CNCC 2-301, évaluation du risque et de contrôle interne », para 08, Référentiel normatif CNCC,2003
•
Coopers & Lybrand, « La nouvelle pratique du contrôle interne », Edition d’organisation, Paris, 1994, p 378
•
Kamal ABOU EL JAOUAD, « Les enjeux du contrôle interne » Université Clermont
•
Benoît Pigé « Audit et contrôle interne », Ed EMS, Paris, 2001, p210
•
Alain-Gérard Cohen, « Contrôle interne et audit publics », ed LGDJ, PARIS, 2005, p 183
•
Dictionnaire encyclopédique universel. Edition Précis1998. P1383
•
Ernst&Young. « Elaborer une cartographie des risques opérationnels, dans le cadre des exigences de la future directive Solvency II »
•
Hugues Angot, Christian Fischer, Baudouin Theunissen. « Audit comptable, Audit informatique ». Edition: 3 De Boeck Université, 2004. p 304
•
Seán Cleary, Thierry Malleret Collaborateur Klaus Schwab, « Risques: Perception, Evaluation, Gestion ». Editions Maxima. 2006. 253 pages
•
Étienne Barbier. « MIEUX PILOTER ET MIEUX UTILISER L'AUDIT ». Editions Maxima, 1998. p 124
•
Dictionnaire encyclopédique universel. Edition Précis1998. P1383
Webographie :
•
http://www.efront.com/fr/Logiciel_Controle_Interne.asp
•
http://enablon.com/produits/gestion-des-risques/controle-permanent.aspx
•
http://www.keyword.fr/sitekeyw/html_val/ru$44___.htm?gclid=CLK0jd6c65kCFQiF3godMi uuQQ
•
http://fr.wiktionary.org/wiki/contr%C3%B4le
•
http://www.bumko.gov.tr/KONTROL_EN/Images/kontrol/coso.jpg
•
http://www.french-american.org/files/cr-francais-diner-ifafaf.pdf)
•
http://www.amf-france.org/documents/general/4746_1.pdf
•
http://www.knowllence.com/fr/publications/management_processus.pdf
•
http://www.ordinal.fr/html/glossaire.htm
•
http://fr.wikipedia.org/
•
http://fr.thefreedictionary.com/assister
•
http://www.valdys.com/Pages/Solutions/Solutions.aspx?Action=Valdys
51
Annexes
52
1 Annexe (1) : Lexique Valdys
53
54
2 Annexe (2) : le Macro-processus
55
3 Annexe (3) : Arbre des risques
56
4 Annexe (4) : Diagramme de Phase et Logigramme
57
5 Annexe (5) : Arbre des familles de risque
58
6 Annexe (6) : Le modèle nomenclature et le modèle diagramme de structure
59
7 Annexe (7) : Le modèle arbre des rôles/compétences et la cartographie des risques
60
