E.16 Contrôle interne – cadre intégré du COSO

  1. La présente procédure a pour but de faire connaître le cadre du COSO (Committee of Sponsoring Organizations of the Treadway Commission) à l’ensemble du personnel de direction. Ce document constitue le fondement d’une bonne compréhension du contrôle interne, de ses avantages et de ses limites.

  2. Les informations suivantes sont extraites du sommaire du document Internal Control ‑ Integrated Framework. Cette publication a été rédigée en réponse aux recommandations de la National Commission on Fraudulent Financial Reporting (commission nationale sur l’information financière frauduleuse) des États-Unis, communément appelée Treadway Commission. Le COSO, dont l’Institute of Internal Auditors (IIA) est membre, a été formé en vue de soutenir la mise en œuvre des recommandations de la Treadway Commission.

  3. Les paragraphes qui suivent constituent une analyse introductive du contrôle interne tirée du document Committee of Sponsoring Organizations: Executive Summary, pages 1-5, ©AICPA, originalement reproduit (en anglais) avec la permission de l’American Institute of Certified Public Accountants, Inc., Jersey City, New Jersey.

Ce qu’est le contrôle interne

  1. Le contrôle interne peut revêtir des significations très différentes d’une personne à l’autre, d’où une certaine confusion notamment parmi les gens d’affaires, les législateurs et les organismes de réglementation. Les malentendus et les attentes diverses qui en résultent engendrent des problèmes dans une entreprise. Les problèmes se trouvent aggravés dès que le terme est figé par écrit dans une loi, un règlement ou une règle sans être clairement défini.

  2. Le rapport du COSO traite des besoins et des attentes de la direction et d’autres intervenants. Il définit et décrit le contrôle interne pour :

    1. établir une définition commune qui répond aux besoins des différentes parties;

    2. établir une norme par rapport à laquelle les entreprises et les autres entités – grandes ou petites, du secteur public ou privé, à but lucratif ou non – pourront évaluer leurs systèmes de contrôle et déterminer comment les améliorer.

  3. Le contrôle interne est en général défini comme un processus mis en œuvre par le conseil, la direction et d’autres membres du personnel d’une entité, et destiné à fournir une assurance raisonnable quant à la réalisation d’objectifs regroupés dans les catégories suivantes :

    1. efficacité et efficience des opérations;

    2. fiabilité de l’information financière;

    3. conformité aux lois et règlements applicables.

  4. La première catégorie englobe les objectifs d’exploitation de base d’une entité, à savoir les cibles de rentabilité et de rendement, de même que la protection des ressources. La deuxième catégorie d’objectifs a trait à la préparation et à la publication d’états financiers fiables, y compris les états financiers intérimaires et condensés et les données financières tirées de ces états et publiées, comme les communiqués sur les résultats, et les contrôles servant à la protection des actifs. La troisième catégorie d’objectifs est liée au respect des lois et des règlements auxquels est assujettie l’entité. Ces trois catégories qui se recoupent, tout en étant distinctes, répondent à des besoins différents et permettent d’y répondre de manière ciblée.

  5. Les systèmes de contrôle interne comportent des niveaux variés d’efficacité. Le contrôle interne peut être jugé efficace dans chacune des trois catégories si les membres du conseil d’administration et de la direction reçoivent une assurance raisonnable que :

    1. la mesure dans laquelle les objectifs des opérations sont atteints leur est communiquée;

    2. les états financiers publiés sont préparés de manière fiable;

    3. les lois et les règlements applicables sont respectés.

  6. Alors que le contrôle interne est un processus, son efficacité comme telle renvoie à un état ou une condition dudit processus, qui est par ailleurs observé à un ou plusieurs points dans le temps.

  7. Le contrôle interne comporte cinq composantes qui sont interreliées. Elles découlent de la manière dont la direction mène l’entreprise et elles sont intégrées dans le processus de gestion. Les composantes s’appliquent à toutes les entités, mais les petites et moyennes entreprises peuvent décider de ne pas les appliquer de la même manière que les grandes entreprises. Leurs contrôles pourront être moins formels et moins structurés tout en restant efficaces. Les cinq composantes sont les suivantes :

    1. Environnement de contrôle — L’environnement de contrôle donne le ton à une organisation, influençant l’éveil des gens à la réalité du contrôle. Il est la fondation des autres composantes du contrôle interne, qui instaure une discipline et une structure au sein de l’entité. Les facteurs de l’environnement de contrôle sont l’intégrité, les valeurs éthiques, la compétence du personnel de l’entité, la philosophie et le style de gestion de la direction, la délégation des pouvoirs et des responsabilités, la structure organisationnelle et la formation du personnel, et l’attention et l’orientation données par le conseil d’administration.

    2. Évaluation des risques — Toute entité est confrontée à des risques divers provenant de sources internes et externes et qui doivent être évalués. Pour pouvoir procéder à cette évaluation, il faut avoir préalablement établi des objectifs cohérents aux différents niveaux de l’entité. L’évaluation des risques repose sur l’identification et l’analyse des risques susceptibles d’entraver la réalisation des objectifs, ce qui établit la base sur laquelle la direction se fondera pour décider de la manière de les gérer. Étant donné que les conditions économiques, sectorielles, réglementaires et opérationnelles ne cesseront pas d’évoluer, il faut des mécanismes permettant d’identifier et de traiter les risques associés précisément au changement.

    3. Activités de contrôle — Les activités de contrôle sont les politiques et les procédures qui visent à assurer l’application des directives émanant de la direction en vue d’atténuer les risques qui pourraient compromettre l’atteinte des objectifs de l’entité. Les activités de contrôle sont exercées à tous les niveaux et dans toutes les fonctions de l’organisation. Il peut s’agir des éléments suivants : approbations, autorisations, vérifications, rapprochements, évaluations de la performance opérationnelle, protection des actifs et séparation des tâches.

    4. Information et communication — Il est essentiel que l’information utile soit définie, saisie et communiquée dans une forme appropriée et au moment opportun pour que les personnes soient en mesure de s’acquitter de leurs responsabilités. Les systèmes d’information produisent des rapports contenant des renseignements liés aux activités, aux finances et à la conformité qui permettent de diriger et de contrôler l’entité. L’information ne se limite pas aux données générées à l’interne, elle porte aussi sur les événements, activités et conditions de l’extérieur, ce qui permet la prise de décisions éclairées et la publication de rapports externes. La communication doit aussi se faire de façon plus large, c’est-à-dire circuler au sein de l’organisation en amont, en aval et de façon transversale. La haute direction doit faire savoir clairement à tout le personnel que les responsabilités au regard du contrôle doivent être prises au sérieux. Chacun doit comprendre le rôle qu’il a à jouer dans le système de contrôle interne et de quelle manière ses activités sont liées au travail des autres. Tous doivent pouvoir communiquer l’information d’importance aux échelons supérieurs. Les communications avec les parties de l’extérieur – clients, fournisseurs, organismes de réglementation et actionnaires – se doivent aussi d’être efficaces.

    5. Surveillance — Le système de contrôle interne doit faire l’objet d’une surveillance  — il faut un processus permettant d’évaluer la qualité de la performance du système. Cette surveillance se fait au moyen d’activités continues, d’évaluations ponctuelles ou d’une combinaison des deux. La surveillance continue s’exerce dans le cadre des activités normales. Il peut s’agir d’activités courantes de gestion et de supervision ou d’autres mesures prises par le personnel dans l’exécution de ses fonctions. L’étendue et la fréquence des évaluations ponctuelles dépendront surtout de l’évaluation des risques et de l’efficacité des procédures de surveillance continue. Les déficiences du contrôle interne devraient être signalées en amont, et les problèmes graves signalés à la haute direction et au Conseil.

  8. Il se produit un effet de synergie et d’enchaînement entre les composantes, ce qui donne lieu à un système intégré réagissant de manière dynamique aux nouvelles conditions. Le système de contrôle interne est intimement lié aux activités opérationnelles de l’entité, et existe pour des raisons fondamentales d’affaires. Les contrôles les plus efficaces sont intégrés à l’infrastructure de l’entité et sont inhérents à ses activités. Les contrôles intégrés soutiennent les initiatives visant la qualité et l’habilitation, contribuent à éviter les coûts inutiles et permettent de répondre rapidement aux nouvelles conditions.

  9. Il existe une relation directe entre d’une part les trois catégories d’objectifs, que l’entité vise à réaliser, et d’autre part les composantes, qui représentent ce qu’il faut à l’entité pour y arriver. Toutes les composantes sont pertinentes pour chaque catégorie d’objectifs. Quelle que soit la catégorie, par exemple l’efficacité et l’efficience des opérations, les cinq composantes doivent toutes être présentes et fonctionner efficacement pour que l’on puisse conclure que le contrôle interne des opérations est efficace.

  10. La définition du contrôle interne — et de ses concepts sous-jacents de processus, exécuté par des personnes, procurant une assurance raisonnable — associée au classement des objectifs et aux composantes et critères d’efficacité, de même que les analyses qui s’ensuivent, forment le cadre du contrôle interne.

Ce que peut faire le contrôle interne

  1. Le contrôle interne peut contribuer à l’atteinte des cibles de performance et de rentabilité et prévenir la perte de ressources. Il peut contribuer à la production d’une information financière fiable. Il peut aussi contribuer au respect des lois et des règlements, et éviter à l’entité de voir sa réputation entachée et de devoir supporter d’autres conséquences. En somme, le contrôle interne aide l’entité à se rendre là où elle veut aller, et à éviter les pièges et les imprévus qui pourraient entraver sa route.

Ce que ne peut pas faire le contrôle interne

  1. Malheureusement, certaines personnes ont des attentes trop grandes et irréalistes face au contrôle interne. Elles recherchent la perfection et croient (à tort) que :

    1. Le contrôle interne est un gage de succès — c’est-à-dire qu’il garantira la réalisation des objectifs de base de l’entité ou du moins assurera la survie de celle-ci.
      Même un contrôle interne efficace peut seulement contribuer à l’atteinte des objectifs. Il peut fournir de l’information à la direction au sujet du progrès ou de l’absence de progrès vers l’atteinte des objectifs de l’entité. Le contrôle interne ne peut pas transformer un gestionnaire incompétent en un bon gestionnaire. Il peut arriver aussi que les modifications apportées aux politiques et aux programmes gouvernementaux, les actions prises par les concurrents ou la conjoncture économique soient hors du contrôle de la direction. Le contrôle interne ne peut garantir le succès ni même la survie de l’entité.

    2. Le contrôle interne peut assurer la fiabilité de l’information financière et le respect des lois et des règlements.
      Cette croyance est aussi injustifiée. Un système de contrôle interne, aussi bien conçu et exploité soit-il, ne peut procurer à la direction et aux administrateurs qu’une assurance raisonnable — non absolue — que les objectifs de l’entité seront réalisés. Les limites inhérentes à tous les systèmes de contrôle interne influent sur la probabilité de réalisation. Le fait que les jugements exercés dans la prise de décisions peuvent être erronés ou que des détériorations peuvent se produire à cause d’une simple erreur ou d’une faute sont des exemples de limites inhérentes. De plus, il peut arriver que les mesures de contrôle soient contournées par deux personnes ou plus qui agissent en collusion et que la direction ait la capacité d’outrepasser le système. Autre facteur de limitation : la conception d’un système de contrôle interne doit tenir compte du fait que les ressources sont limitées, et les avantages des contrôles doivent être évalués en fonction de leurs coûts.

  2. Donc, bien qu’il puisse contribuer à la réalisation des objectifs, le contrôle interne n’est pas une panacée.

Rôles et responsabilités

  1. La responsabilité à l’égard du contrôle interne revient à chaque membre de l’organisation :

    1. Direction — Le premier dirigeant est responsable au premier chef du contrôle interne et il devrait « s’approprier » le système. Plus que quiconque, le premier dirigeant donne le ton à l’organisation, ce qui influe sur l’intégrité et l’éthique et d’autres facteurs d’un environnement de contrôle positif. Dans une grande entreprise, le premier dirigeant remplit ce rôle en exerçant un leadership et en donnant des instructions aux cadres supérieurs, et en examinant comment ces derniers contrôlent l’entité. De leur côté, les cadres supérieurs attribuent la responsabilité d’établir des règles et des procédures de contrôles spécifiques au personnel qui s’occupe des fonctions d’une unité. Dans une petite entité, l’influence du premier dirigeant, souvent un propriétaire exploitant, est habituellement plus directe. Quoi qu’il en soit, dans une structure de responsabilité en cascade, un gestionnaire est dans les faits le premier dirigeant de sa sphère de responsabilité. Les responsables des services des finances et les membres de leur personnel, dont les activités de contrôle croisent verticalement, horizontalement et transversalement les unités opérationnelles et autres d’une entité, jouent un rôle particulièrement important.

    2. Comité d’audit — La direction est comptable envers le vérificateur général, qui assure la gouvernance, l’orientation et la surveillance. Les membres d’un comité d’audit efficace sont objectifs, compétents et curieux. Ils connaissent les activités et l’environnement du Bureau du vérificateur général du Canada (le Bureau) et prennent le temps qu’il faut pour s’acquitter de leurs responsabilités. La direction peut être en mesure de contourner les contrôles et de faire la sourde oreille aux messages de ses subalternes, donnant à des dirigeants malhonnêtes ayant l’intention de fausser les résultats le moyen d’effacer les traces de leurs méfaits. Un comité solide et actif, surtout lorsque les canaux de communications en amont sont efficaces et que les activités en matière financière, juridique et d’audit interne sont à la hauteur, est souvent le mieux placé pour repérer et corriger ce genre de problème.

    3. Auditeurs internes — Les auditeurs internes jouent un rôle important en évaluant l’efficacité des systèmes de contrôle et ils concourent au maintien de l’efficacité des opérations. En raison de sa position et de ses pouvoirs au sein d’une entité, la fonction d’audit interne joue souvent un rôle de surveillance important.

    4. Autres employés — Le contrôle interne est dans une certaine mesure la responsabilité de chaque personne participant à une organisation et il devrait être mentionné de manière explicite ou implicite dans la description de travail de chacun. Pratiquement tous les employés produisent de l’information utilisée dans le système de contrôle interne ou prennent d’autres mesures pour que le contrôle soit appliqué. De plus, tous les employés devraient se sentir l’obligation de communiquer aux échelons supérieurs les problèmes opérationnels, les cas de non-conformité au code de conduite ou encore les violations des règles ou les actes illégaux.

  2. Plusieurs parties externes contribuent souvent à la réalisation des objectifs d’une entité. Les auditeurs externes, dont le point de vue est indépendant et objectif, apportent leur contribution de manière directe par l’audit des états financiers et de manière indirecte en fournissant de l’information que la direction et le conseil trouveront utile pour bien s’acquitter de leurs responsabilités. Les législateurs, les organismes de réglementation, les clients et les autres parties transigeant avec l’entité, les analystes financiers, les agences de notation et les médias sont autant de sources d’information utile à un contrôle interne efficace. Toutefois, les parties de l’extérieur n’assument aucune responsabilité et ne font pas partie du système de contrôle interne de l’entité.

Mise à jour :
2018-04-10