E.15 Cadres de contrôle interne et de gestion des risques

  1. Les cadres de contrôle et de gestion des risques ont été élaborés pour fournir des structures ou des méthodes communes ou généralement reconnues en matière d’examen et d’évaluation des risques et d’évaluation du caractère adéquat du contrôle par rapport aux risques établis. Les cadres proposent une discipline tout en laissant au Bureau du vérificateur général du Canada (le Bureau) la possibilité de procéder à des adaptations.

  2. Lorsqu’il examine les cadres de contrôle, l’auditeur interne doit garder à l’esprit la définition de « contrôle » de l’Institute of Internal Auditors (IIA), tirée du glossaire des Normes internationales pour la pratique professionnelle de l’audit interne de l’IIA :
    Contrôle : Toute mesure prise par la direction, le Comité d’audit, le vérificateur général et d’autres parties afin de gérer les risques et d’accroître la probabilité que les buts et objectifs fixés seront atteints. La direction planifie, organise et dirige la mise en œuvre de mesures suffisantes pour donner une assurance raisonnable que les buts et objectifs seront atteints. 

Exemples de cadres

COSO – États-Unis

  1. Le rapport intitulé Internal Control – Integrated Framework (Contrôle interne – Cadre intégré) a été réalisé par le COSO (Committee of Sponsoring Organizations of the Treadway Commission), une association des États‑Unis dont l’IIA est membre. Le modèle du COSO donne une définition commune du contrôle interne et fournit un cadre d’évaluation du contrôle interne.

Définition de « contrôle interne » selon le COSO1

  1. Le contrôle interne est défini en général comme un processus mis en œuvre par le conseil d’administration, la direction et d’autres membres du personnel d’une entité, qui vise à donner l’assurance raisonnable que les objectifs de l’entité seront atteints dans les catégories suivantes :

    1. efficacité et efficience des opérations;
    2. fiabilité de l’information financière;
    3. conformité aux lois et règlements applicables.

  2. Ce cadre s’articule autour de cinq composantes interreliées :

    1. environnement de contrôle;
    2. évaluation des risques;
    3. activités de contrôle;
    4. information et communication;
    5. surveillance.

COSO – Gestion du risque d’entreprise (GRÉ)

  1. Le cadre de la gestion du risque d’entreprise (GRÉ) du Committee of Sponsoring Organizations of the Treadway Commission (COSO) élargit les concepts définis dans le guide Internal Control – Integrated Framework pour les axer davantage sur la gestion du risque d’entreprise. Il ne remplace pas le cadre de contrôle, mais l’intègre et l’étend au processus plus général de gestion des risques.

  2. Le COSO définit la GRE comme un processus mis en œuvre par le conseil d’administration, la direction et d’autres membres du personnel d’une entité et qui est appliqué lors de l’établissement des stratégies et à l’échelle de l’entreprise. Ce processus vise à identifier les événements potentiels susceptibles d’affecter l’entité, à gérer les risques selon l’appétence au risque de l’entité et à offrir une assurance raisonnable concernant l’atteinte des objectifs de l’entité.

  3. Selon la GRÉ du COSO, les principaux éléments de la gestion des risques d’entreprise sont les suivants :

    1. harmoniser l’appétence au risque avec la stratégie;
    2. améliorer la réaction au risque;
    3. réduire les imprévus et les pertes opérationnelles;
    4. identifier et gérer les risques multiples et multisectoriels;
    5. saisir les occasions;
    6. améliorer le déploiement du capital.

  4. Le cadre de GRÉ du COSO comprend les composantes suivantes :

    1. environnement interne;
    2. établissement des objectifs;
    3. identification des événements;
    4. évaluation des risques;
    5. réaction au risque;
    6. activités de contrôle;
    7. information et communication.

CCC – Canada

  1. Le Conseil sur les critères de contrôle (CCC) des Comptables professionnels agréés du Canada définit le contrôle interne comme suit2 :
    « Le contrôle est constitué des éléments d’une organisation (y compris les ressources, les systèmes, les processus, la culture, la structure et les tâches) qui, collectivement, aident les gens à réaliser les objectifs de l’organisation. »

  2. Ces contrôles peuvent faire partie d’au moins une des catégories générales suivantes :

    1. efficacité et efficience des opérations;
    2. fiabilité de l’information interne et externe;
    3. conformité aux lois, aux règlements et aux politiques internes.

  3. Le cadre du CCC s’articule autour des éléments suivants :

    1. but;
    2. engagement;
    3. capacité;
    4. surveillance et apprentissage.

Cadre de référence pour entreprises en matière de gouvernance et gestion des technologies de l’information d’entreprise (COBIT®)

  1. Le cadre de référence COBIT® (Control Objectives for Information and Related Technology), ou cadre de référence pour entreprises en matière de gouvernance et gestion des technologies de l’information d’entreprise, a été créé en 1992 par l’Information Systems Audit and Control Association (ISACA) et par l’Information Technology Governance Institute (ITGI). De nombreuses éditions ont été publiées depuis, la plus récente (5) remontant à 2012.

  2. Sa mission est d’effectuer des activités de recherche, de développement, de diffusion et de promotion à l’égard d’un cadre de contrôle de gouvernance des TI officiel à jour, reconnu internationalement, qui puisse être adopté par les entreprises et utilisé couramment par les dirigeants d’entreprise, les professionnels des TI et les professionnels de la certification.

  3. Le cadre de contrôle interne COBIT®, qui est complémentaire au cadre intégré du COSO, vise à :

    1. relier les activités des TI aux objectifs de l’organisation;
    2. établir un modèle de processus de TI généralement reconnu;
    3. déterminer les actifs de TI qui peuvent être exploités efficacement;
    4. définir et évaluer les objectifs de contrôle de la gestion.

  4. Les secteurs d’intérêt en matière de gouvernance des TI énoncés dans le cadre COBIT® sont les suivants :

    1. harmonisation stratégique;
    2. création de valeur;
    3. gestion des ressources;
    4. gestion des risques;
    5. gestion du rendement.

Internal Control: Revised Guidance for Directors on the Combined Code (octobre 2005) – Royaume‑Uni (Turnbull Review Group)

  1. La directive intitulée Internal Control: Revised Guidance for Directors on the Combined Code représente une approche souple et fondée sur des principes qui vise le maintien d’un système robuste de contrôles internes. Ses objectifs sont les suivants :

    1. intégrer les contrôles internes aux processus que les entreprises utilisent pour atteindre leurs objectifs opérationnels;
    2. préserver leur pertinence au fil du temps malgré l’évolution constante du milieu des affaires;
    3. offrir la souplesse nécessaire aux entreprises pour qu’elles puissent adapter la directive à leur situation particulière.

  2. La directive a été conçue parce que les contrôles internes jouent un rôle important à l’égard des objectifs suivants :

    1. atteindre les objectifs opérationnels d’une entreprise;
    2. assurer l’efficacité et l’efficience des opérations, la fiabilité de l’information financière interne et externe, et la conformité aux lois et règlements;
    3. limiter les risques financiers non nécessaires, assurer la fiabilité des documents financiers et protéger adéquatement les actifs;
    4. gérer et contrôler le risque d’entreprise global.

Norme australienne et néo‑zélandaise sur la gestion des risques (AS/NZS 4360: 2004) – Australie et Nouvelle‑Zélande

  1. Le comité mixte Standards Australia / Standards New Zealand Technical Committee a établi cette norme pour aider les entités des secteurs public et privé à mettre en œuvre de saines pratiques de gestion des risques. Selon l’approche décrite dans la norme AS/NZS, les étapes du processus de gestion des risques sont les suivantes :

    1. Définir le contexte de risque (Qu’est‑ce qui est à risque?);
    2. Identifier les risques (Quels sont les risques?);
    3. Analyser les risques (Quelle est l’importance de chaque risque?);
    4. Évaluer les risques (Quelle est l’importance relative de chaque risque par rapport aux autres risques?);
    5. Traiter les risques (Quelle est la mesure appropriée pour gérer les risques?).

  2. De plus, des activités de communication, de consultation, de surveillance et d’examen sont menées à chacune des étapes pour assurer l’exécution réussie de l’ensemble du processus.

Références

1Internal Control – Integrated Framework, Committee of Sponsoring Organizations of the Treadway Commission, 1992, 1994, 2013.

2Recommandations sur le contrôle, publié par le Conseil sur les critères de contrôle de l’Institut Canadien des Comptables Agréés, novembre 1995.

Mise à jour :
2018-04-05