etude de cas controle interne

of 61/61
Le Contrôle Interne Assisté par Ordinateur Etude de cas : VALDYS UNIVERSITE ROBERT SCHUMAN Ecole de Management de Strasbourg Master AUDIT FINANCIER ET OPERATIONNEL 2008-2009 Sujet du Mémoire : Nom et prénom : EZ-ZOUAK Mohammed

Post on 03-Jul-2015

3.302 views

Category:

Documents

3 download

Embed Size (px)

TRANSCRIPT

UNIVERSITE ROBERT SCHUMAN Ecole de Management de Strasbourg

Master AUDIT FINANCIER ET OPERATIONNEL 2008-2009

Sujet du Mmoire :

Le Contrle Interne Assist par Ordinateur Etude de cas : VALDYS

Nom et prnom : EZ-ZOUAK Mohammed

UNIVERSITE ROBERT SCHUMAN Ecole de Management de Strasbourg

Master AUDIT FINANCIER ET OPERATIONNEL 2008-2009

Sujet du Mmoire :

Le Contrle Interne Assist par Ordinateur Etude de cas : VALDYS

Nom et prnom : EZ-ZOUAK Mohammed Organisme de stage : Mutuelle dEntreprise Sochaux Directeur du mmoire : Pr Pierre SCHEVIN Matre de Stage : Mme Roselyne PATOIS (responsable de la mutuelle)

2

REMERCIEMENTS

Ce mmoire pour lobtention du diplme M2 Audit Financier et Oprationnel est le rsultat d'un effort considrable. Cet effort n'aurait pu aboutir sans la contribution de plusieurs personnes. Ainsi se prsente l'occasion de les remercier : Tout d'abord, Au Pr Pierre SCHEVIN, Le Directeur de ce mmoire pendant ce stage pour sa disponibilit et ses conseils A Mme Roselyne PATOIS, Responsable du service Mutuelle dEntreprise de Sochaux , mon encadrant professionnel pour son engagement total et ses conseils trs constructifs A Mme Nathalie De STEUR, responsable informatique la MES, pour son assistance et ses instructions. Sans oublier tout le personnel de la Mutuelle sans exception pour leur support moral et pdagogique pendant les 2 mois de ce stage Et enfin, mes parents, ma famille et mon beau frre pour leurs soutien morale et financier pendant cette anne dtudes

3

Introduction _______________________________________________________________ 6 Partie (1) : Introduction au contrle interne _____________________________________ 9 1 Cadre conceptuel du contrle interne _______________________________________ 91.1 1.2 1.3 1.4 1.5 1.6 Etymologie du mot _______________________________________________________ 9 Dfinitions du contrle interne _____________________________________________ 9 Le modle COSO _______________________________________________________ 11 Sarbanes Oxley_________________________________________________________ 13 La Loi de la Scurit Financire (LSF) _____________________________________ 14 Comparaison entre la loi Sarbanes Oxley et la loi de la Scurit Financire _______ 15

2

La dmarche du contrle interne__________________________________________ 162.1 2.2 Dfinition et caractristiques de la dmarche de contrle interne _______________ 16 Analyse de quelques modles de la dmarche de contrle interne _______________ 17

3

Dmarche classique adopt par les diteurs de logiciels de contrle interne _______ 193.1 3.2 3.3 3.4 3.5 Identification des processus_______________________________________________ 19 Dclinaison de la stratgie en objectifs _____________________________________ 20 Analyse des processus ___________________________________________________ 21 Evaluation des risques ___________________________________________________ 22 Mise en place des activits de contrle ______________________________________ 24

Partie (2) : Le Contrle Interne Assist par Ordinateur____________________________ 26 1 Introduction au Contrle Interne Assist par Ordinateur ______________________ 261.1 1.2 1.3 Le concept _____________________________________________________________ 26 Les objectifs du Contrle Interne Assist par Ordinateur______________________ 27 Les logiciels du contrle interne sur le march _______________________________ 29

2

Avantages et limites du Contrle Interne Assist par Ordinateur ________________ 312.1 2.2 2.3 Lapport de Contrle Interne Assist par Ordinateur _________________________ 31 Les limites du Contrle Interne Assist par Ordinateur _______________________ 36 Les cls de russite dun projet de Contrle Interne Assist par Ordinateur ______ 39

3

Etude de cas logiciel Valdys ______________________________________________ 403.1 3.2 3.3 3.4 Prsentation du logiciel __________________________________________________ 40 Larchitecture de Valdys _________________________________________________ 42 Le projet de Contrle Interne selon Valdys__________________________________ 44 Les documents gnrs en interne par Valdys _______________________________ 48

Conclusion _______________________________________________________________ 50 Annexes__________________________________________________________________ 52 1 2 3 Annexe (1) : Lexique Valdys _____________________________________________ 53 Annexe (2) : le Macro-processus _________________________________________ 55 Annexe (3) : Arbre des risques____________________________________________ 56 4

4 5 6 7 8

Annexe (4) : Diagramme de Phase et Logigramme ___________________________ 57 Annexe (5) : Arbre des familles de risque ___________________________________ 58 Annexe (6) : Le modle nomenclature et le modle diagramme de structure _______ 59 Annexe (7) : Le modle arbre des rles/comptences et la cartographie des risques _ 60 Annexe (8) : Les pages Html_____________________________________________ 61

5

IntroductionLautomatisation du traitement de linformation remonte la date de linvention du premier ordinateur. Depuis, toutes les branches de la science et de lindustrie ont tent dexploiter les capacits normes de cet outil surtout celles de calcul et de traitement des donnes avec une vitesse inimaginable qui dpasse les limites du cerveau humain. Cest alors que lconomie et la finance furent parmi les branches qui ont su profit des avantages du traitement automatis de linformation. La miniaturisation des composants et la rduction des cots de production, associes un besoin de plus en plus pressant de traitement des informations de toutes sortes (scientifiques, financires, commerciales, etc.) a entran une diffusion de linformatique dans toutes les couches de lconomie comme de la vie de tous les jours.1 Aprs la comptabilit, la finance et laudit financier, aujourdhui, cest au contrle interne dintgrer le monde de linformation automatise et profiter pleinement des contributions de linformatique dans ce domaine. Dans cette perspective, le Contrle Interne Assist par Ordinateur marque lactualit par son apport lauditeur interne et externe comme outil dassistance et de pilotage des missions de contrle. Jusqu aujourdhui, personne na pu percevoir quun domaine aussi abstrait et volutif que le contrle interne dont la rflexion (risques) et le dveloppement (points de contrles) jouent un rle capital ferait appel aux services de linformatique. Cependant, les symptmes de cette nouvelle vague des diteurs des solutions informatiques pour entreprises sont dj sentis. Ces diteurs des applications informatiques de gestion et devant la concurrence intense sur le march des logiciels ont pu sadapter pour franchir la barrire du savoir limit dans les domaines de gestion. Pour ces derniers, la solution est de proposer un logiciel qui permet daider et dassister lauditeur dans la ralisation de sa mission de contrle interne en exploitant au maximum son savoir faire et ses capacits danalyse et dobservation dans un domaine particulier (assurance, nergie, industrie nuclaire,) puis en la croisant avec les pratiques reconnues par les auditeurs dans le secteur et la rglementation en vigueur. En effet, la diffrence remarque entre lexistant et le conceptuel est la base des rsultats et des interprtations obtenus.

1

http://fr.wikipedia.org/wiki/Informatique le 17/02/2009

6

Plusieurs progiciels

2

daudit et de contrle interne existent sur le march, un ensemble de

choix diversifi des solutions informatiques de gestion pour grer les processus de contrle interne et assurer la conformit avec la rglementation (Loi de la Scurit Financire, loi de Sarbanes-Oxley, Bale II, Solvabilit II, etc.). Parmi ces produits, on souligne FrontControl3, Enablon Continuous Assessment4 , ISIMAN5 et enfin VALDYS qui fera lobjet dune tude de cas dans ce mmoire. Toutes ces solutions partent du mme principe en constituant une base rfrentielle de contrle interne dun secteur donn pour lauditeur et en lassistant dans sa dmarche de mise en place et de suivi de la dmarche de contrle interne. Dans ce mmoire, je vais essayer de traiter et danalyser la problmatique suivante : Jusqu quel point le Contrle Interne Assist par Ordinateur peut-il contribuer lencadrement et lacclration de la mise en place dun processus de contrle interne dans une entreprise ? . Pour rpondre cette question, mon analyse portera sur les deux parties suivantes : La premire partie sera consacre au cadre conceptuel du contrle interne ou je vais prsenter les diffrentes dfinitions du contrle interne, les approches et la rglementation qui

encadrent ce secteur et enfin de dcrire la dmarche de mise en place dun systme de contrle interne. Cette partie est un passage incontournable pour mieux comprendre les deux axes qui vont suivre. Dans la deuxime partie, je vais aborder le nud de la problmatique o janalyserai lapport de Contrle Assist par Ordinateur sur plusieurs dimensions : loriginalit du concept, lapport du contrle interne assist par ordinateur et dans un dernier point je traiterai les limites de ce concept. Le deuxime axe de cette partie de ce mmoire est une tude de cas du logiciel VALDYS (logiciel franais de contrle interne dvelopp pour rpondre aux besoins des assurances et des mutuelles). Cette tude de cas a pour objectif dillustrer les conclusions et les rsultats obtenus.

Contraction de produit et de logiciel http://www.efront.com/fr/Logiciel_Controle_Interne.asp le 17/02/2009 4 http://enablon.com/produits/gestion-des-risques/controle-permanent.aspx le 17/02/2009 5 http://www.keyword.fr/sitekeyw/html_val/ru$44___.htm?gclid=CLK0jd6c65kCFQiF3godMiuuQQ le 17/02/20093

2

7

Lobjectif de ce mmoire avec ces deux parties est de rsoudre la problmatique souleve en partant dun cadre conceptuel vers un cadre empirique. Le type dargumentation utilis est une argumentation par illustration. Cette argumentation consiste utiliser un exemple concret justifiant une affirmation que lon fait. Autrement dit, on va formuler la problmatique, puis on prsentera un fait ou un cas prcis et rel qui concrtise et matrialise les dductions obtenues. Dans le mme but dillustration et dargumentation, plusieurs sources documentaires seront utilises partages entre sources bibliographiques, webographiques, et bases documentaires lectroniques.

8

Partie (1) : Introduction au contrle interne 1 Cadre conceptuel du contrle interne1.1 Etymologie du motLe mot contrle vient du mot contre-rle qui signifie registre tenu en double6. Dans son ouvrage Contrle Interne Frdric Bernard fait la distinction entre le mot franais

Contrle et le mot anglo-saxonne Control : Le terme contrle interne est la traduction littrale de lexpression anglo-saxonne : Internal Control (ou Business Contrle pour les amricains) dans lequel le verbe to control signifie conserver la matrise de la situation alors quen franais le mot contrle est davantage compris comme le fait dexercer une action de surveillance sur quelque chose pour lvaluer 7. Malgr la ressemblance tymologique et phontique des deux mots franais et anglo-saxon, on trouve que le mot contrle interne traduit lamont et le prventif du processus de contrle interne par les mesures de surveillance et danalyse des risques quant au mot Internal Control il traduit la dimension en aval et corrective du contrle interne (identification des lments de matrise, planification des tches de contrle, organisation des responsabilits, suivi des recommandations, etc.). Cette divergence de sens entre les deux mots reflte et explique ltroite diffrence dans la manire de pratiquer et de mettre en uvre le processus du contrle interne entre les entreprises franaises et les entreprises anglosaxonnes.

1.2 Dfinitions du contrle interneIl existe diverses dfinitions du contrle interne. Cette multitude et diversit de dfinitions du concept engendre une confusion de comprhension et de communication des rles de chaque acteur majeur du contrle interne (auditeurs internes et externes, Conseil dAdministration, la direction, le personnel et le lgislateur). Parmi les dfinitions adoptes du contrle interne par les auteurs et les institutions nationales et internationales, on trouve : 1) Le contrle interne est un ensemble de dispositifs ayant pour but, dun cot dassurer la protection, la sauvegarde du patrimoine et la qualit de linformation, de lautre

http://fr.wiktionary.org/wiki/contr%C3%B4le le 19/02/2009 7 Frdric Bernard, Rmi Gayraud et Laurent Rousseau, Contrle interne , Ed.MAXIMA, Paris, 2006, p 303

6

9

dassurer lapplication des instructions de la Direction et de favoriser lamlioration des performances. 8 2) Dfinition donne par les experts-comptables, en congrs en 1977 : le contrle interne est lensemble des scurits contribuant la matrise de lentreprise. Il a pour but dassurer la protection, la sauvegarde du patrimoine et la qualit de linformation dune part et de lautre, lapplication des instructions de la direction, et de favoriser lamlioration des performances.

3) La dfinition propose par le CNCC (Compagnie Nationale des Commissaires aux Comptes) reflte le mieux lapproche moderne du concept: Les procdures de contrle interne impliquent : le respect des politiques de gestion, la sauvegarde des actifs, la prvention et la dtection de fraudes, lexactitude et lexhaustivit des enregistrements comptables, ltablissement en temps voulu dinformations comptables et financires stables. 9 4) La dfinition donne par la norme 400 de lIAASB (International Auditing and Assurance Standard Board) : le systme de contrle interne est lensemble des politiques et procdures mises en uvre par la direction dune entit en vue dassurer, dans la mesure du possible, la gestion rigoureuse et efficace de ses activits. Ces procdures impliquent le respect des politiques de gestion, la sauvegarde des actifs, la prvention et la dtection de fraudes et derreurs, lexhaustivit des enregistrements comptables et ltablissement en temps voulu dinformations financires stables. 5) La dfinition donne par le cabinet Coopers&Lybrand et traduit dans la nouvelle pratique du contrle interne par lInstitut Franais des Auditeurs et Consultants internes : Le contrle interne est un processus mis en uvre par le Conseil dAdministration, les dirigeants et le personnel dune organisation, destin fournir une assurance raisonnable quand la ralisation des objectifs suivants : La ralisation et loptimisation des oprations ; La fiabilit des informations financires La conformit aux lois et aux rglementations en vigueur 10

8 9

Frdric Bernard, Rmi Gayraud et Laurent Rousseau, Contrle interne , Ed.MAXIMA, Paris, 2006, p 303 Norme CNCC 2-301, valuation du risque et de contrle interne , para 08, Rfrentiel normatif CNCC,2003 10 Coopers & Lybrand, La nouvelle pratique du contrle interne , Edition dorganisation, Paris, 1994, p 378

10

Ltude et lanalyse de ces diffrentes dfinitions fondamentales:

distingue entre deux approches

Dune part, une approche classique qui insiste sur les principes de base du contrle interne : la sauvegarde du patrimoine, la fiabilit de linformation, la conformit avec la rglementation et lamlioration de performance. Ces lments sont repris fidlement dans la premire et la deuxime dfinition sans toutefois sortir du cadre soigneusement trac par ces composantes. Cette limitation du champ dinterprtation et de raction a fait du contrle interne un concept dot dune structure rigide et difficilement adaptable aux diffrentes natures et situations dentreprises. Dautre part, une approche moderne illustre par les trois dernires dfinitions (CNCC, IAASB, Coopers&Lybrand). Cette approche inclut la notion du processus ou de procdure dans sa dfinition et elle implique les acteurs majeurs de la dmarche de contrle interne dans ce processus tout en insistant sur le rle du personnel. Plus encore, elle voque pour la premire fois le respect de la politique de gestion comme facteur principal dans le systme de contrle interne.

1.3 Le modle COSOLe modle COSO est un rfrentiel de contrle interne dfini par le Committee Of Sponsoring Organizations of the Treadway Commission . Il est utilis notamment dans le cadre de la mise en place des dispositions relevant des lois Sarbanes-Oxley ou LSF pour les entreprises assujetties respectivement aux lois amricaines ou franaises. Le rfrentiel initial appel COSO 1 a volu depuis 2002 vers un second corpus dnomm COSO 2.11

1.3.1 COSO 1Le contrle interne est compos de 5 lments interdpendants qui dcoulent de la faon dont lactivit est gre et qui sont intgrs aux processus de gestion : Environnement du contrle : prsente lespace dans lequel les personnes accomplissent leurs tches et assument leurs responsabilits en matire de contrle. Il sert de rfrence pour les autres lments du contrle interne. Il prsente aussi les individus et leurs qualits individuelles, leur intgrit, leur thique, leur comptence. Autrement dit, lenvironnement du contrle exerce une influence profonde sur la structuration des activits et des procdures, lvaluation des risques, les activits de contrle, le systme dinformation et le suivi des recommandations.11

http://fr.wikipedia.org/wiki/COSO le 22/02/2009

11

Lvaluation des risques : elle consiste en lidentification et lanalyse des facteurs susceptibles daffecter la ralisation des objectifs stratgiques de lentreprise. Cest un processus continu et rptitif qui permet de dterminer comment les risques devraient tre grs. Il appartient aux dirigeants et aux responsables des services concerns dvaluer et de fixer un taux de risque admissible.

Les activits de contrle : les activits de contrles sont lapplication des normes et procdures destines garantir lexcution des directives du management en vue de matriser les risques rels et potentiels de lorganisation. Les catgories doprations de contrle se rattachant aux objectifs sont le domaine oprationnel, linformation financire et la rglementation en vigueur.

Linformation et la communication : linformation pertinente doit tre identifie, recueillie et diffuse sous une forme et dans les dlais qui permettent chacun dassumer ces responsabilits. Linformation doit concerner tous les niveaux de lentreprise. Le systme dinformation va permettre de dfinir, recueillir, analyser puis diffuser ces donnes.

Pilotage : les systmes de contrle interne doivent leur tour tre contrls afin dvaluer dans le temps les performances qualitatives. Dans ce cadre, il est primordial de mettre en place un systme de pilotage permanent et de procder des valuations priodiques. Ainsi, les oprations de pilotage peuvent tre pratiques soit par des activits courantes soit par des valuations ponctuelles.

1.3.2 COSO 2Le modle COSO 2 constitue une continuit et une suite de COSO 1. Frderic Bernard dfinit et explique la dissemblance entre COSO 1 et COSO 2 : ... Il ne propose pas un rfrentiel de contrle interne (au contraire de COSO) mais un modle de gestion des risques. Il sappuie sur le COSO comme rfrentiel de Contrle Interne. 12

12

Frdric Bernard, Rmi Gayraud et Laurent Rousseau, Contrle interne , Ed.MAXIMA, Paris, 2006, p 303

12

Parmi les apports de COSO 2 : Dune part, il offre aux auditeurs et contrleurs internes un repre pour la gestion des risques de lentreprise (Enterprise Risk Management Framework). En effet, COSO 2 rappelle les lments du COSO 1 et le complte surtout sur la dimension gestion des risques . Il est donc fond sur une approche oriente vers la matrise des risques de lentreprise. Dautre part, il prsente un cadre plus restreint de dcomposition de la structure dune organisation alors que le COSO 1 ne retient pas de structure de dcomposition spcifique. Cependant, cette rpartition entre diffrents niveaux de lorganisation est trs utile pour la dmarche de contrle propose par le modle COSO. Toutefois, il est ncessaire de prendre en compte lorganisation dans son ensemble pour que COSO 2 puisse tre appliqu avec succs.

Prsentation de la pyramide et du cube de COSO13

1.4 Sarbanes OxleySuite aux scandales financiers que les Etats-Unis ont connus dans les annes 2001-2002. La lgislation amricaine a lanc de nouveaux dispositifs lgaux dits Sarbannes Oxley . Cette loi a t adopte par le Congrs et fut la plus grande rforme du march financier amricain depuis longtemps. Ses principes de base sont lexactitude des informations, la responsabilit des gestionnaires et lindpendance des organes daudit. Son objectif est de pallier aux insuffisances du contrle interne.

13

http://www.bumko.gov.tr/KONTROL_EN/Images/kontrol/coso.jpg visit le 05/03/2009

13

Les dcisions fondamentales de cette loi sont : Les tats financiers doivent tre forcment certifis par le Directeur Gnrale (Chief Excutive Officer) ou le Directeur Financier (Chief Financial Officer). Le but de cette disposition est de responsabiliser les dirigeants aux risques existants dans leurs entreprises. Lobligation de nommer des administrateurs indpendants au comit daudit du Conseil dAdministration Les avantages particuliers des dirigeants sont de plus en plus encadrs La loi Sarbanes-Oxley impose lentreprise une rotation des auditeurs externes. Les services proposs pour la vrification des tats financiers par ces auditeurs externes doivent tre adapts lactivit de lentreprise (systmes dinformation).14 Lalourdissement des sanctions pnales et des montants des amendes en cas de fraude ou de non-conformit. Lobligation aux entreprises amricaines de joindre aux rapports annuels un rapport sur le contrle interne. Ce rapport tabli par la Direction de lentreprise doit tre valid et certifi par lauditeur externe.

Malgr tous les efforts dploys au niveau de la loi Sarbanes-Oxley pour limiter les fraudes financires, lassurance que porte cette loi pour lorganisation reste une assurance raisonnable contre le risque puisquil existe toujours des points de dfaillances pour contourner les barrires du contrle interne. Michael Oxley soutient ce raisonnement dans son interview avec Liz Alderman : Je nirai pas jusqu dire que la loi Sarbanes-Oxley nousmet labri dun scandale tel que les faillites dEnron et de Worldcom ni que des individus ne seront pas suffisamment intelligents pour contourner les rgles. Aprs tout le meurtre est illgal dans tous les pays et pourtant des meurtres sont commis tous les jours .15

1.5 La Loi de la Scurit Financire (LSF)A linstar de la loi Sarbanes Oxley, la Loi de Scurit Financire a t promulgue la suite des nombreux scandales financiers pour rtablir la confiance des investisseurs notamment dans les pratiques comptables.

14

15

Kamal ABOU EL JAOUAD, Les enjeux du contrle interne Universit Clermont http://www.french-american.org/files/cr-francais-diner-ifafaf.pdf) visit le 15/03/2009

14

LAssemble Nationale et le Snat ont adopt la LOI n 2003-706 du 1er aot 2003 sur la scurit financire vu la dcision n 2003-479 DC du conseil constitutionnel en date du 30 juillet 2003.16 Cette loi sapplique toutes les socits anonymes. Elle comprend lobligation pour le prsident du conseil dadministration ou du conseil de surveillance de rendre compte dans un rapport des procdures de contrle mises en place par lentreprise. Aussi, elle considre que ltablissement dun rapport sur le contrle interne est un facteur cl pour la comptitivit et le dveloppement des entreprises prives.

1.6 Comparaison entre la loi Sarbanes Oxley et la loi de la Scurit FinancireLa distinction fondamentale entre la loi de la Scurit Financire et la loi Sarbanes Oxley est le degr de formalisme qui est clairement dfini dans la deuxime loi. Ainsi, des rfrentiels tels que COSO prsentent un cadre prcis pour les acteurs du contrle interne. Cependant, ce nest pas le cas actuellement pour la loi sur la Scurit Financire. Le grand obstacle pour celle-ci est linexistence dun rfrentiel franais qui encadre le travail des auditeurs. La LSF ne renvoie aucun rfrentiel et ne donne mme pas de dfinition au contrle interne . Aussi, la Loi sur la Scurit Financire est moins exigeante que la loi Sarbanes Oxley et par consquent elle permet dajuster le degr de formalisme du Contrle Interne par rapport la taille de lentreprise, toutefois elle complique le travail du Commissaire aux Comptes. A lheure actuelle, il ny a aucune nouvelle disposition lgale sur le contrle interne des socits anonymes franaises. Et la compagnie nationale des Commissaires aux Comptes na pas donn de nouvelles instructions concernant le contrle par les auditeurs lgaux du rapport du Prsident sur le contrle interne. La LSF engage toutes les socits anonymes. Son primtre est plus large que celui de la loi Sarbanes Oxley qui se limite uniquement aux socits cotes. Elle implique directement le Prsident du Conseil dAdministration ou du Conseil de Surveillance alors que la loi Sarbanes Oxley engage la direction oprationnelle. Enfin, la LSF concerne toutes les procdures de contrle interne tandis que la loi Sarbanes-Oxley ne concerne que les informations comptables et financires. Le modle Europen dfendant tout actionnaire de Socits Anonymes soppose au modle amricain qui ne sintresse qu lactionnaire de socits faisant appel publique lpargne.

16

http://www.amf-france.org/documents/general/4746_1.pdf visit le 15/03/2009

15

2

La dmarche du contrle interne

2.1 Dfinition et caractristiques de la dmarche de contrle interneLe contrle interne, linverse de laudit financier na pas un champ limit dintervention, il concerne tous les types de risques qui peuvent exister dans lentreprise (Risques financiers, risque humains, risques techniques,). Son objectif essentiel est de sauvegarder le patrimoine de lentreprise et de mettre en place un dispositif de matrise. Le contrle interne nest plus une dmarche alatoire qui se fait le jour au jour, non plus une solution de prt--porter applicable toutes les entreprises sans adaptation aux contextes, lenvironnement et aux structures spcifiques de celles-ci. Au contraire, la dmarche du contrle interne est une dmarche organise, approprie, et prenne. Concrtement, cest une dmarche de changement :

2.1.1 Une dmarche organiseLa mise en place dun dispositif de contrle interne doit tre organise dans laxe temps (planifier les dates dentretiens avec les responsables et le personnel, fixer les dates de contrle et de suivi, respecter les dates de contrle priodiques, etc.) en veillant respecter lordre des oprations de contrle et la dure programme pour chaque tape. Aussi, cette mise en place doit tre toujours prcde par une phase de prparation incluant ltude de lenvironnement de lentreprise, la dtermination du primtre de vrification et lagencement des ressources et des moyens pour assurer le succs de la mission.

2.1.2 Une dmarche approprieLtendue du primtre de contrle ainsi que limportance des ressources humaines et matrielles investir dpendent largement des proprits de lentreprise audite. La taille de celle-ci, la complexit de sa structure organisationnelle et la performance de sa gouvernance et de son management, dtermine les caractristiques de la mission du contrle. En consquence, la nature de la missions et ses attributs peuvent varier dune entreprise une autre cependant les fondements de la dmarche resteront les mmes.

2.1.3 Dmarche prenneLa mise en place des points de contrles, des procds prventifs et correctifs, se fait dans une optique de continuit de la dmarche dans le temps. Elle se fait dans une perspective de

16

prennit de lactivit et de la vie de lentreprise. Visiblement, la dmarche contrle interne est une dmarche de moyen et long terme.

2.1.4 Le changement et la rupture avec le pass Dans le cadre de la dmarche de contrle interne comme dans toute dmarche systmatique dentreprise, le changement est une proccupation ou au moins un sujet fondamental de discussion 17 Le changement dans ce cadre signifie lacceptation des acteurs de lentreprise quun changement incontournable et radical dans lorganisation interne et le fonctionnement de lentreprise risque de se produire. Cependant, tout acte de refus ou de rsistance processus de changement est un phnomne humain et attendu. Les mutations prvues concernent les outils et les techniques de travail (utilisation de nouveaux logiciels), les mthodes de gestion (passage dune gestion hirarchique une gestion participative) et les valeurs de lentreprise (transformer une culture de fermeture et de cloisonnement une culture douverture et de partage). La capacit de management faire passer cette mtamorphose dans le fonctionnement et lorganisation au personnel de lentreprise aura un effet trs positif sur le processus de contrle interne. Ainsi, elle contribuera une valuation plus rationnelle des risques, une sensibilisation aux impacts des risques sur les processus et une efficacit au niveau de lapplication des recommandations et de la mise en place des dispositifs de matrise. ce

2.2 Analyse de quelques modles de la dmarche de contrle interne2.2.1 Dmarche de Benot PigLa dmarche de contrle interne suit une logique universelle et unique reconnue par la plupart des rfrentiels et des lois en vigueur. Benot Pig dans son ouvrage Audit et contrle interne propose la dmarche suivante : La prise de connaissance de lentreprise qui comprend la comprhension de lenvironnement (le secteur dactivit et la situation conomique) dans lequel elle se situe ainsi que lidentification des spcificits de lentreprise (la structure organisationnelle, la politique stratgique de lentreprise, la position concurrentielle de lentreprise et lactionnariat de lentreprise)17

Frdric Bernard, Rmi Gayraud et Laurent Rousseau, Contrle interne , Ed.MAXIMA, Paris, 2006, p 303

17

Lvaluation des risques particuliers qui peuvent rsulter dune situation financire, dune situation sociale ou des changements organisationnels internes Lvaluation du contrle interne consiste dcrire les procdures (lobservation, les entretiens avec le personnel de lentreprise et la formalisation) vrifier ladquation des procdures aux objectifs atteindre (fixation des objectifs et mettre en uvre les moyens ncessaires) effectuer les tests dapplication et defficacit des procdures de contrle interne.

Effectuer les tests de validation du produit. (chantillonnage, validation intgrale)18

2.2.2 Dmarche de contrle interne de Frdric BernardDautres auteurs comme Frdric Bernard ont dcompos la dmarche du contrle interne en plusieurs phases. Toutefois, ils ont gard les mmes composantes et les mmes outils au niveau de leur dmarche. La dmarche propose par cet auteur est dcompose en plusieurs phases :

2.2.2.1 Phase danalyse de lexistant et de ralisation des outilsDans cette tape deux outils principaux sont dvelopps : La cartographie des risques19

: identification des risques majeurs et puis une

reprsentation graphique de la vulnrabilit de lentit analyse. La cartographie est obtenue partir de la rponse des oprationnels aux questionnaires danalyse des risques Le plan daction cadre gnral du plan destin amliorer la vulnrabilit aux risques ainsi identifis

2.2.2.2 Phase de mise en uvre oprationnelle du dispositif du Contrle InterneCette phase consiste documenter les nouveaux outils en rdigeant des modes demploi puis de mettre en place pour les oprationnels des sessions de formation lutilisation de ces outils. On peut constater la divergence de forme des deux mthodologies prcdentes mais une convergence sur le fond.

18 19

Benot Pig Audit et contrle interne , Ed EMS, Paris, 2001, p210 Voir annexe (7)

18

3 Dmarche classique adopt par les diteurs de logiciels de contrle interne3.1 Identification des processus3.1.1 Dfinition 1Yvon MOUGIN Consultant et Formateur Cap Entreprise dfinit le processus comme un ensemble de ressources et dactivits lies qui transforment des lments entrants en lments sortant. Autrement dit, cest une boite noire qui a une finalit (les donnes de sortie) et qui pour atteindre cette finalit utilise des lments extrieurs (donnes dentre) et les transforme (en leur donnant une valeur ajoute) par du travail et des outils (activits et ressources).20

3.1.2 Dfinition 2Un processus est une succession dactivits lintrieur dune organisation, senchanant afin de produire un rsultat. Les applications de travail coopratif peuvent dfinir diffrents processus en fonction de lorganisation et des outils mis en place.21 Pourtant, il faut faire la distinction entre le terme processus et le terme procdure qui signifie une faon spcifie dexercer une activit. Lidentification des processus est la premire tape dans la dmarche de matrise des risques. Elle aide la comprhension des mtiers de lentreprise et contribue la prennisation de la dmarche de contrle interne. Les objectifs de cette phase sont de construire une ide claire et structure des processus de lactivit, de dcrire les processus et de collecter les informations pour lidentification des risques et des contrles prvus. Les oprations de contrle interne sont trs lies tous les niveaux dactivits de

lorganisation. Lensemble de ses activits est constitu dun nombre indtermin de processus. Le contrle interne nest pas un vnement isol ou une circonstance unique mais une ensemble dactions qui se rpandent travers toutes les activits de lentreprise. Ces actions sont perceptibles tous les niveaux et sont inhrentes la faon dont lactivit est gre 22

http://www.knowllence.com/fr/publications/management_processus.pdf visit le 25/03/2009 . http://www.ordinal.fr/html/glossaire.htm visit le 25/03/2009 22 Coopers & Lybrand, La nouvelle pratique du contrle interne , Edition dorganisation, Paris, 1994, p 37821

20

19

3.1.3 Cartographie des processusPour mettre en uvre une dmarche de contrle interne, il est indispensable dabord de connatre et comprendre les activits, puis de dfinir les liens et les flux dynamiques entre ces activits (les flux dentre et les flux de sortie) Les diffrents niveaux de granularit de la cartographie des risques sont prsents dans le schma suivant :

Macroprocessus .

Processus Majeur .

Processus Activit ProcdurePyramide des niveaux de granularit 1

3.2 Dclinaison de la stratgie en objectifsLes objectifs expliquent la finalit du processus. Ils rsultent galement de la stratgie tablie et sont formaliss dans le cadre du processus de pilotage de lentreprise. Chaque entreprise par lintermdiaire de son management dtermine les objectifs et les stratgies pour les atteindre. Ils peuvent tre fixs pour lorganisation dans son ensemble ou dirigs sur des activits particulires. Les objectifs fixs globalement au niveau de lentreprise sont lis des objectifs plus spcifiques au niveau des activits . Les objectifs doivent tre clairement dfinis et dcoulent gnralement des valeurs de lentreprise et de sa stratgie globale. Ces objectifs sont classs en 3 catgories : Des objectifs oprationnels : optimisation de lutilisation des ressources conomiques de lentreprise Des objectifs financiers : tablissement des tats financiers fiables et prsentant une image fidle Des objectifs de conformit : conformit avec les lois et les rglementations en vigueur

20

Pour illustrer la notion dun objectif et ses caractristiques, on peut faire rfrence Alain Grard-Cohen qui dans son ouvrage Contrle interne et audit publics parle de la dclinaison dune rflexion par objectifs : travers une rflexion organise, cohrente, chiffre, itrative, permettant tous les choix et arbitrages ( y compris politique), de faon claire et transparente, garantissant ainsi une optimisation raliste des moyens raliste des moyens et des ressources face des besoins explicits et hirarchiss. 23 Aussi, il faut dterminer avec une prcision significative, les moyens humains, financiers et techniques ncessaires pour atteindre ses objectifs. Pour mesurer la performance des rsultats obtenus, il existe une multitude dindicateurs qui sont dfinis selon la nature des objectifs et dautres facteurs.

3.3 Analyse des processusLanalyse des processus est une tape majeure dans la dmarche de contrle interne. Dune part, elle consiste fixer les objectifs principaux du processus, soulever les facteurs cls de succs du processus et les indicateurs cls de performance, encadrer le processus par un dbut et une fin. Dautre part, lanalyse des processus doit rpondre aux questions : Qui fait (rle)? Quoi (tche) ? Par quel flux informationnel ? (systmes dinformations supports) Lanalyse des processus est une opration qui requiert un intrt particulier de lauditeur puisque cest ce niveau quil peut prvoir lexistence dun risque potentiel ou dun point faillible dans le processus. Ainsi, le degr de vigilance et de prcision dans la conception et lanalyse de ces processus permettra daugmenter la valeur ajoute de cette tape dans la dmarche du contrle interne. Exemple grille danalyse des processus Processus Objectifs Facteurs de Indicateurs de Rles succs Niveau 1 Niveau 2 Niveau 3 performance Tche Systmes dinformation

23 Alain-Grard Cohen, Contrle interne et audit publics , ed LGDJ, PARIS, 2005, p 183

21

3.4

Evaluation des risques

3.4.1 Notion de risqueDanger dont on peut jusqu un certain point mesurer lventualit, que lon peut plus ou moins prvoir. 24 Le risque est une perte potentielle, identifie et quantifiable (enjeux), inhrente une situation ou une activit, associe la probabilit de loccurrence dun vnement ou dune srie dvnements. 25 Menace quun vnement, une action ou une inaction affecte la capacit de lentreprise atteindre ses objectifs et en particulier altre sa performance.26

3.4.2 Lidentification et les diffrentes catgories de risqueLa dmarche didentification des risques se fait partir des processus ou partir dune nomenclature donne : La nomenclature dun risque peut tre structure en cinq niveaux : Risques oprationnels Risques de systme dinformation Risques humains Risques lgaux Risques externes (exogne)

Tout risque potentiel ou rel doit tre recens et tudi mme si lon considre quil est minimis par un dispositif de matrise appropri. Le risque se subdivise en 3 catgories : Le risque inhrent : cest le risque dapparition dune erreur significative dans lorganisation suite une faute (volontaire ou non), ou une fraude Le risque de contrle interne : cest le risque que le systme de contrle prsent dans lentreprise ne peut pas empcher une inexactitude significative Risque de non dtection ou le risque daudit : le risque que laudit ne permet pas de dtecter une inexactitude significative.27

24 Dictionnaire encyclopdique universel. Edition Prcis1998. P1383 25 http://fr.wikipedia.org/wiki/Risque visit le 06/04/2009 26 Ernst&Young. Elaborer une cartographie des risques oprationnels, dans le cadre des exigences de la future directive Solvency II

22

3.4.3 Processus et caractristiques de la dmarche dvaluation des risquesToutes les organisations quelques soit leur taille, leur structure, la nature de leurs activits et le secteur conomique dans lequel elles voluent, sont confrontes des risques et ce tous les niveaux. Lensemble de ses risques identifis doit faire lobjet dune valuation fonde sur lapprciation de leurs consquences potentielles et de leur probabilit de survenance. Dans le mme ordre, Sean Cleart et Thierry Malleret considre deux lments essentiels pour mesurer le risque : Le risque est gnralement quantifi en considrant deux lments : la probabilit quun vnement survienne et son impact le cas chant _habituellement exprim en termes dimpact financier et de cot dopportunit. 28 Loptimisation de la matrise dun risque suppose lexistence dun systme dvaluation fiable et pertinent. Une bonne valuation dun risque prend en considration sa nature diffrente et ses spcificits par rapport aux autres risques. Tous les risques ne sont pas identiques, un systme efficace de gestion des risques est donc fond sur la comprhension de ltendue de chacun dentre eux, des circonstances dans lesquelles ils peuvent merger et de leurs consquences ventuelles. 29 Pour laborer une valuation efficace des risques, le management de lentreprise doit dterminer les axes suivants : Une projection du risque dans lhorizon temporel pour mesurer le degr dexposition Les dispositifs et les moyens disponibles destins faire face aux vnements indsirables qui pourraient se dvelopper Une chelle de risque de rfrence unique et personnalise aux spcificits de lentreprise utilise pour juger lexposition au risque Un repre permettant lentreprise davoir un point de comparaison et un outil de mesure de sa performance.

27 Hugues Angot, Christian Fischer, Baudouin Theunissen. Audit comptable, Audit informatique . Edition: 3 De Boeck Universit, 2004. p 304 28 Sen Cleary, Thierry Malleret Collaborateur Klaus Schwab, Risques: Perception, Evaluation, Gestion . Editions Maxima. 2006. 253 pages 29 Sen Cleary, Thierry Malleret Collaborateur Klaus Schwab, Risques: Perception, Evaluation, Gestion . Editions Maxima. 2006. 253 pages

23

3.4.4 Les critres dvaluation de risque

3.4.4.1 La frquenceLa frquence F reprsente le produit entre une probabilit et une frquence dexposition. La probabilit correspond la prvision que lincident/accident se produise tandis que la frquence dexposition donne une ide de la sollicitation de la mission susceptible de provoquer le risque.

3.4.4.2 La dtectabilitLa dtectabilit D reprsente la capacit de lorganisme dtecter et reprer les risques.

3.4.4.3 La gravitLa gravit (ou effet) G donne une indication des dommages et consquences possibles en cas de survenance de laccident / incident.

3.4.4.4 La criticitLa criticit (C) reprend lensemble des critres prcdant. Elle peut se calculer de diffrentes manires. La plus courante consiste faire le produit de la probabilit, de la frquence, de la dtectabilit et de la gravit ; C = F x D x G

3.4.4.5 La matriseLa matrise M reprsente la capacit de lorganisme grer et matriser le risque. Cette matrise peut tre apprhende selon deux paramtres : la conscience ou non du risque ainsi que lexistence ou linexistence de barrires.

3.5 Mise en place des activits de contrle3.5.1 Dfinition des activits de contrleLes activits de contrle peuvent se prsente comme une application des normes et procdures qui assurent la mise en uvre des orientations manant du management. Ces actes permettent de sassurer que les mesures ncessaires sont engages dans lobjectif de matriser les risques susceptibles daffecter la ralisation des objectifs de lentreprise. Les activits de contrle sont ralises tous les niveaux hirarchiques et fonctionnels. Partant, on prendra des dispositions pour limiter la survenance de ces risques ou en tout cas pour en limiter les effets pervers : on appliquera donc des normes, des procdures, on 24

approuvera, autorisera, vrifiera, rapprochera, apprciera tout ce qui doit ltre ou plutt tout ce qui vaut la peine de ltre. Les activits de contrle constituent ainsi le troisime tage de la fuse.30 Il existe de nombreux types dactivits de contrle, quil sagisse de contrles orients vers la prvention ou vers la dtection, de contrles manuels ou informatiques ou encore de contrles hirarchiques. Parmi les activits de contrle, on peut souligner : Les analyses excutes par le management Gestion des activits ou des fonctions Traitement des donnes Contrles physiques Indicateurs de performance

3.5.2 Dtermination des points de contrle et des actions de matriseAprs ltape de lvaluation des risques en combinant plusieurs lments pour le calcul de la criticit et de limpact, il est temps de dcrire des points de contrle et de mettre en place des actions prventives (actions permettant de matriser les effets du risque avant son apparition) et correctives (actions permettant de contrler le risque aprs son apparition). Les expriences vcues dans le domaine du contrle interne ont dmontr que les actions prventives sont les plus efficaces et elles permettent de minimiser le cot du risque. Cependant, la mise en place des actions prventives suppose une connaissance avance du risque potentiel, de sa nature et de son tendue, ce qui nest pas toujours le cas. Ajoutant cela, le fait que la plupart des risques majeurs savrent fatales cause de leur non dtectabilit. Quant aux actions correctives, elles sont plus couteuses puisquelles interviennent aprs la survenance du risque en essayant de limiter les dommages causs par ce dernier. Le point de contrle correctif reste le plus vident tablir et mettre en uvre puisquil touche, linverse de laction prventive, des lments tangibles du risque.

30 tienne Barbier. MIEUX PILOTER ET MIEUX UTILISER L'AUDIT . Editions Maxima, 1998. p 124

25

Partie (2) : Le Contrle Interne Assist par Ordinateur 1 Introduction au Contrle Interne Assist par Ordinateur1.1 Le conceptAujourdhui, lintgration de linformatique dans tous les domaines de la gestion et dans tous les secteurs conomiques et financiers nest plus quune question de temps. Lindustrie, la finance ou la tlcommunication ont dj ralis la ncessit de dvelopper leurs systmes dinformation et de les mettre au centre de dveloppement durable. Au dbut, le rle de linformatique tait dabord deffectuer des oprations de calcul trs complexes que le cerveau humain ne pouvait pas effectuer avec la vitesse et la prcision de lordinateur. Ainsi, lvolution de lordinateur dpend tout dabord de lvolution de sa capacit de calcul. Un ordinateur est dabord un outil dexcution, il traduit les donnes saisies en fonction dun modle prprogramm par lutilisateur dans le but darriver un rsultat prcis. La notion de lassistance par ordinateur constitue une rupture avec lide conue de la fonction de cet outil. Dsormais, lapplication informatique un nouveau rle : orienter et assister lutilisateur dans la ralisation dune tche ou dune activit quelconque. Pour essayer dclaircir la notion du contrle interne assist par ordinateur, il faut expliquer dabord la notion de lassistance : Assister 31:V.t.

assister (lat. assistere, se tenir auprs)

1. Porter aide ou secours qqn: La mairie assiste les familles dmunies (secourir; dlaisser, ngliger). 2. Seconder qqn: Lapprenti assiste le chef dans la confection de ce gteau (aider). v.t. ind. 1. tre prsent ; participer : Assister un spectacle de danse (voir; manquer). 2. tre le tmoin de; constater: On assiste une baisse continue du chmage. Assister32 : [asiste]. [1] Etre prsent. 2. Aider, seconder quelquun. Tech : quiper dun dispositif dassistance. Aide apporter qqn. Demander, porter assistance un ami.31 http://fr.thefreedictionary.com/assister visit le 15/04/2009 32 Dictionnaire encyclopdique universel. Edition Prcis1998. P1383

26

Assistance : 1.assemble, auditoire. 2 Tech : dispositif capable damplifier un effort manuel et de le transmettre un mcanisme Assist : Tech. Muni dun dispositif dassistance. Direction assiste. Freinage assist. Lensemble des dfinitions qui existe pour le verbe assister ou le mot assistance rpte toujours des mots cls comme laide, la prsence et le dispositif dassistance. Ces mots rcapitulent dune manire gnrale lobjet et les objectifs du concept Contrle Interne Assist par Ordinateur. Les applications informatiques de laudit interne et particulirement du contrle interne tournent autour des 3 objectifs suivants : Aider et orienter lutilisateur dans sa dmarche du Contrle Interne Assurer la continuit et la prennisation de la dmarche dans lorganisation Constituer une rfrence de base pour lorganisation

Ainsi, on peut construire une dfinition globale pour le Contrle Interne Assist par Ordinateur par laccumulation de toutes les interprtations prcdentes : Le Contrle Interne assist par ordinateur est lutilisation de loutil informatique pour aider, orienter et prenniser la dmarche de contrle interne dans une organisation en mettant en place un ensemble de dispositifs ayant pour but, dun cot dassurer la protection du patrimoine et la qualit de linformation dans lentreprise, de lautre , dassurer lapplication des instructions de la direction et de favoriser lamlioration des performances.

1.2 Les objectifs du Contrle Interne Assist par Ordinateur1.2.1 Aider et orienter lutilisateur dans sa dmarche du Contrle InterneLes logiciels informatiques de contrle interne ont comme objectif principal dassister lauditeur interne ou le responsable du contrle interne dune entreprise raliser sa mission daudit dans les meilleures conditions possibles. La plupart de ces logiciels ont pour point commun lexistence dune base de donnes prtablie et qui est bien adapte au secteur dactivit de lentreprise ou le domaine de contrle. Cette adaptation permet lauditeur de se situer chaque fois par rapport une rfrence ou un listing de normes rglementaires. Surtout avec lexistence de plusieurs domaines et de secteurs dapplication de contrle interne.

27

1.2.2 Assurer la prennisation de la dmarche du contrle interne et de ses dispositifs dans le tempsLe contrle interne assist met la disposition de lauditeur une slection de fonctionnalits qui lui permet de sauvegarder et darchiver lensemble de ces travaux raliss au cours de sa mission daudit. Ces donnes sauvegardes peuvent tre utilises et exploites dans la suite des travaux de contrle et la mise en place de plan daction. Voire, elles peuvent servir pour les futures missions de contrles. En fait, aucun document de contrle interne nest dtrior ou perdu. Aussi, lauditeur la possibilit de revoir lhistorique et le dveloppement des indicateurs de risque et de matrise sur plusieurs priodes. Lensemble de ce systme de solutions motive les acteurs de contrle interne pour largir et assurer la continuit de la dmarche de contrle interne. Ce qui nest pas le cas pour les PME actuellement dans le cas dun contrle ne faisant pas appel cet outil. Ces dernires ne disposant pas des moyens humains et matriels pour assurer la prennisation de contrle interne dans lorganisation.

1.2.3 Constituer une rfrence de base pour lorganisationLes logiciels de contrle interne peuvent constituer une rfrence de base soit pour le contrle interne soit pour la gestion de lentreprise. Grce un ensemble de moyens de modlisation graphique et logique des procdures qui permet au personnel de revoir les mthodes appliques pour la ralisation dune activit donne et la connaissance des dispositifs de contrle prvus pour les risques de lorganisation. En plus, la plupart de ces logiciels assistent le management pour tablir les tableaux de bord, les fiches de poste (suivi de lcart profilcomptence). Finalement, ils constituent un lieu de stockage de la plupart des documents internes de lentreprise (rapport de gestion, rapport financier, statuts, rglementation de secteur, documents statistiques,) puis il autorise leur liaison avec une activit ou une tche donne.

28

1.3 Les logiciels du contrle interne sur le marchLe logiciel Principaux clients Fonctionnalits Points forts VALDYS Forte capacit de modlisation Groupe Taitbout Documentation et formalisation =>Piloter et modliser le des processus et des risques Souplesse dutilisation MutEst contrle interne et Formalisation du rfrentiel de Granularit trs fine Le cabinet de conseil matriser les risques contrle R & B Partner Conformit avec Solvency II et oprationnels Croisement des points de exigences de lACAM AXIEM contrle avec les processus Paramtrage selon le mtier de Gnration des tableaux de lentreprise contrle et des documents daudit Traabilit du contrle interne Plan daction et suivi des rsultats Frontcontrol Cartographie du contrle interne La poste Conformit avec la loi =>Assurer la cohrence du Sarbanes Oxley et la Loi de la Groupama banque Gnration des formulaires de dispositif de contrle Scurit Financire contrle Macif interne et les mcanismes Aide la rdaction du rapport Collecte dinformations Banque PSA Finance dautovaluation) de contrle Identification des plans daction Evolutif et mise jour de la cartographie Reporting Enablon Internal Control Conformit avec la loi Auchan Evaluation des contrles => Une solution de gestion Sarbanes Oxley et la loi de la IONIS Testing et de pilotage de contrle scurit financire Reporting interne considre comme Grilles dvaluation Capitalisation et partage des lune des solutions de personnalises aux profils des travaux danalyse rfrence du march. entits Un rfrentiel centralis facilit demploi, son Un module de gestion et de suivi architecture des oprations

29

Agence Franaise de Dveloppement AGIRC-ARRCO Banque de Gestion Edmond de Rothschild Monaco (BGER) Groupe Crdit Mutuel : Fdral Finance Groupe Malakoff Mdric IRP Auto PRO BTP

Tableaux de bords Analyse croise dynamique des procdures Rattachement contrle et risque ou objectif Dfinition des contrles de niveau 1 et 2 Orchestrer la distribution des fiches de contrle dans le temps et dans lorganisation permettre les contrles de contrles Formulaire des recommandations et des actions de suivi

sa gestion dcentralise et son multilinguisme

ISIMAN => crer un rfrentiel de contrle interne et le dployer au sein de lentreprise

Saisir les rsultats des contrles en mode dconnect et ensuite de les importer en une seule opration dans la base de donnes Conformit avec Ble II, Solvency 2 et ACAM Facilit dutilisation et compatibilit avec Windows et Lunix

30

2

Avantages et limites du Contrle Interne Assist par Ordinateur

2.1 Lapport de Contrle Interne Assist par Ordinateur2.1.1 Acclration de la mise en uvre du processus de contrle interneParmi les avantages principaux des logiciels de contrle interne, le gain de temps norme dans la ralisation du processus daudit et de pilotage des missions de contrle. Subsquemment, on assiste une concurrence trs motive entre les diffrents diteurs pour proposer des produits de plus en plus efficaces et performants permettant dconomiser toujours plus de temps de travail de management. En vrit, ces diteurs ont vite compris que le temps pour lentreprise est une matire rare et couteuse. Plus le logiciel est facilement exploitable et permet dautomatiser plus doprations manuelles plus lutilisateur de logiciel est satisfait. Alors, comment le Contrle Interne Assist par Ordinateur permet-il dacclrer le processus du Contrle Interne ?

2.1.2 Lexistence dune base de rfrence dans le domaine dactivit de lentreprise

Concrtement, pour comprendre cet avantage, il faut remonter la fonction dassistance et dorientation de lauditeur. Le Contrle Interne Assist par Ordinateur profite dune base de rfrence conforme aux normes et la lgislation en vigueur lis un secteur dactivit donn (exemple : industrie nuclaire, assurance et mutualit, distribution, etc.) et qui remplace le recours automatique la documentation manuelle (ouvrages, documents internes, internet, etc.). En recourant cette solution, un auditeur dbutant ou expriment conomise beaucoup de temps de recherche et de rflexion pour adapter la mission de contrle la nature dactivit de lentreprise. La viabilit de cette attribution est ressentie surtout la phase didentification des risques et de dfinition des points de contrle.

31

2.1.3 La gnration automatique des documents de contrleLa gnration automatique de certains documents de base pour la ralisation dune mission de contrle interne est une fonction cl et une condition ncessaire pour les clients de ce type de logiciel. Cette gnration automatique des documents permet une slection, un tri et une extraction des donnes lies un document concernant une tape spcifique de la dmarche daudit interne. Tout de suite, lapplication injecte ces donnes dans le document gnrer en vitant de cette manire deffectuer des oprations de recherche et de calcul manuellement. Ainsi, les dveloppeurs ont tablis de grands efforts pour automatiser la gnration dun nombre considrable de documents daudit, parmi lesquels je souligne : Fiches daudit Cartographie des risques Tableaux de bord Plans daction Tableaux de contrle Rapport du contrle interne Tests daudit

2.1.4 Le croisement des donnesLopration de croisement de donnes permet de dtecter les carts et les anomalies de la mise en uvre entre diffrents niveaux et tapes de contrle laissant ainsi la possibilit lauditeur de rectifier les erreurs de conception et destimation commises auparavant (exemple croisement des points de contrle avec les tches de contrle) Cette fonction caractrise quelques logiciels des plus performants sur le march. Le choix de mettre cette option dans une application demande beaucoup de vigilance et deffort au niveau de programmation. Aussi, lintroduction de cette option ncessite de lutilisateur une prcision particulire dans le choix et ltablissement de sa terminologie de contrle interne afin de surmonter le risque de confusion et de mauvaise interprtation par le programme informatique.

2.1.5 Partage et capitalisation des donnes de contrle interneAujourdhui grce aux rseaux informatiques, la communication des informations et des donnes est devenue une opration simple et de routine pour le personnel dune entreprise. Il

32

lui suffit juste dune connaissance limite pour pouvoir partager tous les donnes concernes en quelques minutes. Dans ce cadre, le Contrle Interne Assist par Ordinateur permet de rpondre aux besoins des auditeurs, de partager un ensemble de rfrences et de donnes entre plusieurs services au sein de la mme structure ou bien entre un ensemble de sites situs des endroits espacs. Les logiciels existants sur le march exploitent les rseaux informatiques internes de la firme pour excuter un ensemble doprations de communication lectroniques vitant de cette faon le dplacement, le risque de perte des documents papiers lors de leur envoi et le gaspillage de temps ncessaire leur transfert. Parmi les avantages de partage des donnes entre diffrentes cellules dans la mme structure ou entre plusieurs structures : Actualisation des donnes instantanment pour tous les postes lis la source permettant ainsi dempcher les conflits lis au retard de transmission des informations et de garder tous les auditeurs jour Plusieurs utilisateurs peuvent travailler sur la mme mission en mme temps ou des moments diffrs partir de plusieurs emplacements Possibilit aux auditeurs (selon les droits attribus) de porter des modifications sur la base de donnes centrale et porter son avis sur des modifications effectues par dautres auditeurs

2.1.6 La cohrence du dispositif de contrle interne

2.1.6.1 Cohrence par rapport aux rfrentielsLa complexit de la rglementation et la lgislation actuelle au niveau national, europen et international impose aux auditeurs de respecter des rfrentiels strictement dfinis et en mme temps dtre en conformit avec un nombre de normes de pratiques daudit interne. Lensemble des logiciels de contrle interne est en conformit avec une ou plusieurs lois dans le domaine, comme par exemple : Loi de la scurit financire Loi Sarbanes Oxley

33

Solvency II COSO Bale II

Ces logiciels proposent ou obligent lutilisateur respecter une norme ou une loi donne en limitant la marge de manuvre de lutilisateur ou en interdisant quelques modifications qui ne sont pas en conformit avec les rglementations du secteur.

2.1.6.2 Cohrence par rapport la dmarche du contrle interneLexcution dune mission de contrle interne est un enchanement de phases (voir partie 1 point B: la dmarche du contrle interne) dont chaque phase correspond bien un panel doprations de contrle. Lordonnancement de ces phases obit une logique prcise et en aucun cas ces phases ne peuvent tre rorganises. Cette consigne est respecte la lettre parce que dabord la dmarche de contrle interne est conduite par lapplication informatique selon un plan bien dfini et les tapes sont effectues et ralises selon un enchanement prtabli.

2.1.6.3 Cohrence entre les utilisateurs du logicielLa cohrence dans la conception des procdures, ainsi que dans lanalyse et les critres lvaluation doit tre respecte par tous les auditeurs. On ne peut imaginer deux mthodes dvaluation distinctes pour un risque de mme nature. Subsquemment, deux plans dactions ou deux tches de contrle en contradiction ne peuvent jamais tre tablis pour deux risques identiques. Pour faire face ce problme, le Contrle Interne Assist par Ordinateur permet de mettre tous les utilisateurs sur la mme onde. Ainsi, tout conflit ou contradiction est dtectable par le systme et peut tre signal linstant mme de sa manifestation.

2.1.7 Pertinence des mcanismes dvaluation des risquesLe Contrle Interne Assist par Ordinateur procure une solution adquate pour pouvoir raliser une valuation de risque pertinente. Tout dabord, le systme demande de dterminer une chelle de rfrence sur les critres et les mthodes dvaluation des risques adopte par le management et le Conseil dAdministration. Cette base sera exploite et respecte tout au long de la dmarche daudit. A chaque fois que lauditeur intgre des donnes lies la cotation dun risque, lordinateur lance un message de rappel de cette base de rfrence ou bloque lentre de certaines donnes incohrentes de cette base initiale. Aussi, elle contraint lutilisateur respecter la dmarche conue pour lvaluation mme pour les risques qui

34

semblent non significatifs par rapport aux autres. En effet, cette option permet de dtecter des risques considrs acceptables mais qui savrent aprs la phase de cotation trs signifiants. Exemple : Un auditeur fait le choix de lchelle de cotation suivant : Dtectabilit (D) de 1 5, Gravit (G) de 1 4 et Criticit (C) de 1 5 C = D*G*C Lordinateur ne reconnat pas alors une valuation de D=6, G=5 et C=3 est lance un message derreur Le calcul de la criticit est automatique seulement si on respecte les critres dvaluation choisis.

2.1.8 Aide la rdaction du rapport de contrle interneA lissue dune mission de contrle interne, les auditeurs tablissent un rapport de contrle dans lequel ils prsentent le travail de contrle effectu toutes les phases daudit, leurs constations et les recommandations suivre dans les prochaines tapes. La loi n2003-706 du 1er aot 2003 dite loi de Scurit Financire impose au prsident du Conseil dAdministration ou de Conseil de Surveillance de rendre compte, dans un rapport joint au rapport de gestion annuel, des conditions de prparation et dorganisation des travaux du conseil, ainsi que des procdures de contrle interne mises en place par la socit33 . Initialement applique toutes les socits anonymes, lobligation dtablir ce rapport a t ensuite limite aux seules socits faisant appel public lpargne34. Le rapport de contrle interne permet lentreprise davoir une image relle sur le degr de maturit de ses contrles et ainsi de traiter les risques associs. Les logiciels de contrle interne prsentent un moyen efficace pour minimiser les cots et le temps de ralisation du rapport. Ces logiciels permettent alors de : Collecter et trier toutes les informations ncessaires ltablissement du rapport en se rfrant la base de donnes dj existante.

33 Article 117 de la loi modifiant les articles L. 225-37 et L. 225-68 du code de commerce 34 Loi n2005-842 du 26 juillet 2005 pour la confiance et la modernisation de l'conomie (loi Breton)

35

Donner le choix lutilisateur de faire figurer ou non un nombre dlments du rapport selon limportance de ces derniers pour les organismes de contrle Automatiser les calculs et la mise en forme des rsultats obtenus Permettre une mise jour automatique du rapport aprs chaque modification Permet davoir une ide gnrale sur lavancement du travail chaque tape de ralisation du rapport.

2.1.9 Prennisation de la dmarche dauditLa mise en place dun systme de contrle interne est une opration qui ne se limite pas la dure de la mission de contrle mais elle continue tout au long de la vie de lentreprise. En effet, lauditeur interne est amen mettre jour lvaluation des risques continuellement, suivre lapplication et la mise en uvre des recommandations et dvelopper des activits de matrise, etc. Le changement de lenvironnement et la mtamorphose des risques sont les causes principales de cette mobilisation continue. Dans ce cadre, la valeur ajoute du Contrle Interne Assiste par Ordinateur est de pouvoir actualiser les donnes dune manire automatique sans tre oblig de refaire les mme travaux chaque nouvelle mission daudit et de historier les changements priodiques laide du logiciel. Par ailleurs, il donne la possibilit de suivre et dobserver les volutions des risques et des contrles en temps rel. De cette faon, lutilisateur peut modifier les caractristiques dun risque ou dun point de contrle chaque fois que la situation lexige. Cette option allge le travail de lauditeur puisquelle permet de partager leffort ralis sur toute lanne et vite ainsi une accumulation du travail sur une priode particulire.

2.2 Les limites du Contrle Interne Assist par Ordinateur2.2.1 Rigidit partielleLa fonction principale des logiciels de contrle interne assistance de lauditeur dans sa dmarche de contrle interne entrane un dsquilibre entre dune part la volont dune formalisation excessive des procdures des activits de lentreprise et dautre part lutilisation adapte des techniques daudit interne. En effet, le dveloppeur cherche limiter la marge de manuvre de lutilisateur par le blocage de centaines de fonctionnalits et linterdiction daccs dautres, afin de le

contraindre rester en conformit avec les lois et les normes en vigueur. En consquence, les

36

utilisateurs ont tendance renoncer un nombre de constatations ou dobservations dans la mesure o ils narrivent pas les introduire dans le systme informatique. Ainsi, les utilisateurs seront obligs de respecter la mthode daudit propose par le systme et dabandonner toute dmarche approprie lauditeur ou dj utilise par lentreprise dans les missions prcdentes.

2.2.2 Matrise limit des fonctionnalits du logicielPour bnficier de toutes les fonctionnalits dune application de contrle interne, lutilisateur doit avoir des comptences avances en informatique et une bonne comprhension de larchitecture du logiciel. Cette qualit lui autorise une exploitation maximale des outils que procurent le logiciel et une optimisation des rsultats recherchs. Ces connaissances ne se limitent pas seulement lapplication de contrle interne mais doit porter aussi sur dautres outils comme les outils bureautiques, la gestion des bases de donnes et larchitecture des rseaux informatiques. En fait, la plupart des logiciels de contrle interne font appel dautres ressources externes pour alimenter et raliser des oprations de calcul (exemple : Word pour gnration des documents, Excel pour les calculs complexes et les graphiques, Access ou MySQL pour la gestion des bases de donnes, Internet explorer pour la lecture des pages HTML). Afin de surmonter cet obstacle, les diteurs de logiciels proposent des modules de formation pour leurs logiciels et une assistance distance pendant la dure de lutilisation des contrats. Dans le mme but, ils incluent dans leurs applications des outils daide et des exercices pratiques pour amliorer et rpondre aux questions des utilisateurs.

2.2.3 Les erreurs informatiquesA linstar des autres applications, les logiciels de contrle interne prsentent quelques points de dfaillance qui peuvent nuire lutilisateur et lempcher de raliser quelques oprations dentre de donnes, de traitement ou de gnration de documents. Ces problmes sont gnralement dus des erreurs de programmation ou de conception. Parmi les erreurs les plus courantes : Erreurs dincompatibilit avec dautres logiciels ou systmes dexploitation Les bugs qui rsultent souvent des erreurs de programmation comme les erreurs dans une formule de calcul ou des messages non comprhensibles.

37

Erreurs dinstallation de lapplication sur un poste informatique et erreurs de paramtrage Erreurs dans la dfinition des droits daccs et de modification Non respect de certaines normes de scurit de rseau

La grande partie de ses problmes est explique par la nouveaut de ces logiciels sur le march. Ainsi, les dveloppeurs sont toujours en veille pour corriger ces dfauts informatiques par des mises jour rgulires dans le cadre de dveloppement de logiciel ou suite une signalisation dutilisateur. Nanmoins, les anciennes solutions sur le march bnficient toujours dun pas davance par rapport aux autres grce une exprience accumule dans ce domaine.

2.2.4 DpendanceLe recours au Contrle Interne Assist par Ordinateur ne remplace jamais lesprit analytique et critique de lauditeur ainsi que sa rationalit dans lvaluation des risques. Il fait appel aussi sa capacit crative et son instinct dauditeur. Cependant, lutilisation continue et permanente de cet outil peut stimuler une dpendance relative cet outil et entraner alors une influence notable sur les choix et les analyses de lauditeur. En plus, lexistence dune base de donnes initiale lie la nature de lactivit de lentreprise implique une tendance de lutilisateur adopter des solutions prtes au lieu de faire leffort dune analyse structure. Pourtant, les solutions prexistantes dans la base de donnes ne sappliquent pas toujours lorganisation audite.

2.2.5 Gestion de temps irrationnelleLe Contrle Interne Assist par Ordinateur demande beaucoup dinvestissement en matire de temps. Les premiers mois sont les plus dures, et lutilisateur limpression que le travail avance trs lentement. Cela na rien dtonnant, cest tout--fait normal que dans les premiers mois on dmarre trs lentement puisque cest la priode de formation et de dcouverte du logiciel. Lutilisateur rencontre alors un grand nombre de blocages techniques et dincomprhensions surtout au niveau de la logique de modlisation graphique. En ralit, ce sont les premiers mois seulement qui consomment beaucoup de temps parce que cest une priode dadaptation et de conception. Aprs cette phase, lacclration des procdures de mise en place est remarquable, les phases danalyse des risques, de dveloppement des activits de contrle et le suivi des plans daction prennent moins de

38

temps. Lvolution de la mise en place du Contrle Interne Assist par Ordinateur dans laxe temps suit une courbe exponentielle.

Avancement de mise en place de CI

Phase 3

Phase 2

Phase 1

Temps

Graphe reprsentant lvolution de la mise en place de CIAO en fonction du temps

2.3 Les cls de russite dun projet de Contrle Interne Assist par OrdinateurLa russite de lintroduction du Contrle Interne Assist par Ordinateur dans organisation passe dabord par un ensemble de dispositions et de pr-requis : Une organisation comportant une dfinition claire des rles, disposant des moyens ncessaires et des comptences adquates et sappuyant sur des systmes dinformation efficaces, sur des procdures ou modes opratoires, des instruments et des dispositifs adapts. Une communication interne pertinente, fiable et efficace qui permet chacun dexercer ses responsabilits sans confusion ni dsordre. Lexistence dun systme permettant de recenser, dvaluer et danalyser les principaux risques identifiables, de raliser les objectifs de lorganisme et de sassurer de lexistence des procdures de matrise de ces risques. Lexistence des activits de contrle proportionnes aux risques lis chaque processus, et conues pour sassurer que les mesures ncessaires soient prises en vue de matriser les risques susceptibles daffecter la ralisation des objectifs. Une surveillance permanente portant sur le dispositif de contrle interne ainsi quun examen rgulier de son fonctionnement. une

39

3 Etude de cas logiciel Valdys3.1 Prsentation du logiciel3.1.1 Fonctions majeurs et apport du logicielDsormais, les socits dassurances et les mutuelles (compagnie, mutuelle ou institution de prvoyance) sont soumises une rglementation stricte qui leurs impose des connaissances particulires en contrle interne et une matrise totale des risques oprationnels y compris les risques financiers. En effet, le second pilier de la directive Solvabilit 2 oblige les entreprises du secteur des assurances mettre en uvre des actions de contrle interne et de management des risques qui ncessitent le recours une mthodologie structure et des savoirs-faires innovants en contrle interne. Dans ce cadre, Effisoft (diteur de solutions informatiques de gestion) a dvelopp lapplication Valdys : outil structurant permettant de piloter et de modliser le contrle interne. Il apporte une connaissance exhaustive et une matrise totale des risques oprationnels lis la socit relevant du contrle de lACAM.35 Valdys permet dune part de mettre en uvre le rfrentiel de contrle interne en dcrivant et en formalisant les processus et les risques au sein dune dmarche structurante intgrant les spcificits des mtiers de lassurance (IARD, sant, prvoyance, retraite, ). Aussi, il intgre la fonction dvaluation des risques, didentification des points de contrle et de leurs croisements avec les processus de lentreprise. Il permet de gnrer les tableaux de contrle interne et les documents daudit (fiches de contrles, fiches de tests, plannings daudit, tableaux de synthse) ainsi que tous les livrables rclams dans le cadre du contrle permanent de lACAM. Dautre part, il permet de diffuser le rfrentiel de contrle interne et la dclinaison oprationnelle des points de contrle en gnrant automatiquement sous forme de documents lectroniques, documents papiers ou pages web intranet, les processus, les procdures, lanalyse des risques et les plans daction et de suivi pour faciliter la diffusion des informations tous les acteurs concerns. Les fonctionnalits de cet outil sont en gnral les objectifs concernant le Contrle Assist par Ordinateur savoir : La rduction du temps de mise en place dun systme de contrle interne

35 http://www.valdys.com/Pages/Solutions/Solutions.aspx?Action=Valdys

40

La sauvegarde et larchivage des rsultats obtenus un moment donn dans lobjectif de la traabilit de la dmarche La gnration automatique dun ensemble de documents daudit et du rapport de contrle interne La conformit aux contraintes lies Solvabilit 2 Lconomie de ressources matrielles et humaines Lassistance en ligne et laccompagnement technique et professionnel

3.1.2 Caractristiques techniquesValdys est une solution qui nest pas trs exigeante en performance matrielle des ordinateurs ou des serveurs de rseau. Cette caractristique renforce son apport en tant que solution conomique pour lentreprise. De ce fait, les clients ne sont pas amens avoir des quipements de haute performance pour le mettre en route. Selon les besoins, Valdys peut tre install en client lourd ou lger. Autre avantage, sa compatibilit avec toutes les bases de donnes du march (Access, MYSQL,). La configuration requise est la suivante : Espace disque ncessaire : 50Mo Mmoire : 1Go Processeur : Pentium III ou suprieur OS : Windows, Windows NT4 SP6, Windows 2000 SP3, Windows XP IE 5.1 ou suprieur

En revanche, certaines dfaillances de ce logiciel ont t souleves : Linstallation du logiciel ncessite des connaissances informatiques trs avances. Ces difficults sont surtout dues des mesures trs strictes contre le piratage du logiciel. Nombre considrable derreurs et de bugs informatiques Incompatibilit avec la dernire version de Windows (Vista) et la dernire version Office 2007, pour contourner ce problme lditeur propose pour ces clients dots de ce type de systme dexploitation ,des mises jour. Ldition du rapport de contrle interne demande encore des efforts considrables de lutilisateur pour ladapter aux exigences de lACAM.

41

3.2 Larchitecture de Valdys3.2.1 Prsentation de larborescence de ValdysGlobalement, le logiciel est conu sous forme dune arborescence constitue de plusieurs niveaux. Chaque niveau prsente un angle de vue particulier sur le systme de contrle interne paramtrable selon la phase de contrle raliser. Les informations gnres lors de lutilisation de Valdys sont enregistres dans une base de modlisation reprsente par un ou plusieurs fichiers.

Bas de donnes CI

Projet 1 Projet 2 Projet 3 Projet 4

Point de vue 1 Point de vue 2 Point de vue 3 Point de vue 4

Modle 1 Modle 2 Modle 3 Modle 4

Schma de larchitecture globale de la base de donnes

3.2.2 Le projet, le point de vue et le modle

3.2.2.1 Le projetLe premier niveau de structuration de la base de modlisation est le Projet. Il est possible de modliser diffrents projets au sein dune mme base. Un projet est un ensemble homogne de points de vue et qui vise raliser les objectifs dfinis de contrle interne. Cest le niveau le plut haut des niveaux de conception dune base de contrle interne. Il est compos dun ou

42

plusieurs points de vue jugs pertinents pour la structuration du rfrentiel de contrle interne36. Il est possible de modliser diffrents projets au sein dune mme base. Exemple de projet: Cration de base de contrle interne pour une mutuelle .

3.2.2.2 Le Point de VueEnsemble de modles identiques ou diffrents sinscrivant dans un projet et dcrivant un clairage particulier sur lobjet de la modlisation. Exemples : processus de pilotage, processus cur de mtier, etc.37 Les Points de Vue permettent dexprimer diffrentes dimensions complmentaires : o Complmentarit dans le temps (un point de vue actuel, un point de vue cible) o Complmentarit dans lorganisation (un point de vue interne, un point de vue externe) o Complmentarit dans lespace (un point de vue central, un point de vue local) Un Point de Vue sexprime travers un ou plusieurs Modles.

3.2.2.3 Le ModleEnsemble de cadres, de rgles de construction et doutils ddition offrant une reprsentation structure38.Chaque modle relve dun type de modle qui prcise les concepts manipulables dans celui-ci. Par exemple, un modle de type Arbre des Missions permet de manipuler le concept de mission et les liens permettent de structurer une dcomposition de missions en sous missions, sous-sous-mission, etc. Dune manire gnrale, un Modle est un graphe compos de nuds et de liens, qui reprsentent des concepts manipulables. Ces nuds et liens manipuls par les diffrents diteurs de modles sont donc les reprsentants graphiques des concepts qui sont stocks dans le Dictionnaire dlments. Ce dernier est propre un Projet et il est partag par tous les Points de Vue et Modles dun seul et mme Projet.

36 Annexe 1 Lexique Valdys 37 Annexe 1 Lexique Valdys 38 Annexe 1 Lexique Valdys

43

3.3 Le projet de Contrle Interne selon Valdys3.3.1 Identification/Formalisation des processusLa premire tape dans la ralisation du projet de mise en place du contrle interne est de dcliner les missions et les objectifs de lorganisme afin didentifier les processus cls de celui-ci ainsi que les moyens mis en uvre pour en garantir leur bon fonctionnement. Il y a trois niveaux de conception des processus de lorganisation.

3.3.1.1 Le Macro-processus 39Cest la vision globale du mtier de lentreprise avec une dcomposition homogne et cohrente selon ces diffrentes missions. La dcomposition de lactivit de lentreprise propose par Valdys concerne 3 grandes catgories (mission Pilotage, mission Cur de mtier et mission Support, selon normes ISO 9000) Les processus de direction ou de pilotage : ils retracent la manire avec laquelle la direction de lentreprise pratique sa politique de pilotage et de gouvernance. Les processus de ralisation ou processus mtier : ces processus fonctionnement traitent le

de ralisation dun produit ou dun service en dcortiquant

lenchainement des activits oprationnelles en plusieurs phases. Les processus support : ils permettent de reprsenter les moyens ncessaires la mise en uvre des processus mtiers.

3.3.1.2 Le Diagramme de Phase 40Cest la reprsentation graphique dun ensemble dactivits dans le cadre de la mme mission de contrle. La phase symbolise une priode durant laquelle se droule un ensemble dactivits au travers dun dcoupage temporel. Les liaisons entre les diffrents diagrammes de phases sont sous formes de connecteurs dentre ou connecteurs de sortie.

39 40

Voir annexe (2) Voir annexe (4)

44

3.3.1.3 Le Logigramme 41Le troisime niveau de vision des procdures est le Logigramme Schma reprsentant un processus mis en uvre pour assurer une mission42 . A ce stade, un auditeur peut avoir une reprsentation synthtique dune activit en modlisant des tches et les liants avec des flux horizontaux ou verticaux. Grce ce schma, la rponse la question qui fait quoi ? est complte. Le Logigramme dcrit de point de vue oprationnel une activit travers les pratiques des mtiers de lentreprise (une procdure au sens ISO 9000). La description des Logigrammes permet donc de formaliser les pratiques oprationnelles existantes et permet ventuellement doptimiser le systme dinformation et / le systme de production de lentreprise sur un primtre donn. Schma reprsentant un processus mis en uvre pour assurer une mission43

Macroprocessus

Digramme de phase

Logigramme

3.3.2 Identification et valuation des risques

3.3.2.1 Catgories de risquesAprs la dfinition et la modlisation des procdures, lauditeur entame la phase didentification et dvaluation des risques. Dabord, il faut partager les risques en risques exognes et risques endognes :

41

Voir annaex (4) 42 Voir annexe (1) 43 Voir annexe (1)

45

Les risques exognes sont des risques dorigine externe lentreprise (exemple : les catastrophes naturelles, coupures de courant, etc.). Les risques endognes se sont les risques lis des facteurs dclenchs au sein de lentreprise (fraude interne, erreur de saisie, mauvaise interprtation dun texte de loi par le personnel, etc.).

La premire catgorie de risque est modlise avec des Arbres des familles de risque44 pendant que la deuxime catgorie est modlise sous forme dArbre de risque . La reprsentation graphique de ces arbres met en vidence la relation entre les missions et les objectifs ainsi que les risques lis chaque objectif (vnement indsirable ou classe dvnements indsirables). Ltablissement et lanalyse de procdure est une tape prparatoire lidentification et lvaluation des risques. La logique de Valdys permet de dduire les risques en analysant les objectifs raliser et les contraintes rglementaires respecter. Ces risques en gnral se produisent dans le cadre de la ralisation des activits de lentreprise. Ainsi, la modlisation des risques sous lappellation arbre de risque est la suivante :

Objectif Mission

Contrainte

Evnement indsirable (Risque) ou classe dvnements indsirables

Point de contrle Action corrective Action prventive

3.3.2.2 Evaluation des risquesLvaluation des risques est une phase critique dans la dmarche de contrle interne. Tout effort ralis par un auditeur est fond sur une analyse fiable et rationnelle des risques. Dans le cas inverse, toute la mission daudit et les objectifs lis peuvent tre condamns lchec.

44

Voir annexe (5)

46

Conscient de limportance stratgique de cette phase, Valdys accorde beaucoup de moyens et de ressources pour lvaluation des risques. Dabord, pour valuer la criticit dun risque Valdys intgre 3 facteurs dans la fonction de calcul : Frquence F (de 1 5) Dtectabilit D (de 1 5) Gravit G (de1 5)

La formule de calcul de la criticit est : Criticit = Frquence* Dtectabilit*Gravit La criticit est ainsi comprise entre 1 et 100. Dans certains cas lauditeur est amen prendre en considration le poids significatif dun des facteurs prcdents. Pour faire, Valdys permet de changer la formule de calcul par une autre comme par exemple (C=F*G, F*G, G^4*F*D). Puis, Valdys permet aussi de dtailler lvaluation de la Gravit en la dcomposant en plusieurs impacts de diffrentes natures (impact financier, impact client, impact image, impact fournisseur, ). Enfin, le logiciel permet de gnrer des cartographies de risque. Une fois les risques cots, il est possible de gnrer la cartographie de risques reprsentant graphiquement les risques et leur importance. Pour cela, tous les risques de lArbre des risques45

nont pas besoin dtre

forcment cots. Il est possible de gnrer une cartographie des risques pour un seul arbre des risques la fois ou pour tous les arbres prsents dans le modle Arbre des risques ou pour tous les arbres de risques dun projet

3.3.3 Identification des lments de contrle et croisement avec les tches ou activits de contrlePour chaque risque majeur ou mineur, Valdys permet didentifier un ou plusieurs lments de matrise : 45

Action corrective Action prventive

Annexe (3)

47

Point de contrle

A chaque lment de matrise doit correspondre une tche de contrle prsent au niveau des Logigrammes. Cette opration de liaison entre les points et les tches de contrle est appele processus de croisement des risques. Une gnration par la suite des tableaux de contrle nous permettra de dtecter les dfaillances du systme de contrle interne dans lentreprise (les risques auxquels ne corresponde aucune tche de contrle).

3.3.4 Suivi et amliorationValdys permet de planifier et de mettre en place des plans daction et de contrle, de raliser des valuations de contrle et de suivre des recommandations. Dans ce cadre, il dispose de plusieurs outils et moyens : La Fiche de contrle : elle dcrit de quelle manire les risques sont pris en compte au niveau des processus (mode opratoire, responsable, frquence du contrle, etc.) dans le but de matriser les risques du mtier. Le Tableau de contrle : il permet de synthtiser le rapprochement entre les risques, les points de contrle et les processus; et ceci, afin didentifier les carts. Le Tableau de bord : il permet de synthtiser lavancement des audits et des rsultats obtenus; et ceci, par priode, type de risque, date, etc. Le Planning des actions : il permet de visualiser les actions correctives et prventives puis dorganiser leur suivi. LEchancier dvaluation : il indique, pour une priode donne, la liste des audits mener et la charge de travail correspondante dans le but de planifier efficacement les valuations.

3.4 Les documents gnrs en interne par Valdys3.4.1 Le rapport du contrle interneLe rapport du contrle interne rcapitule lensemble des informations intgres dans Valdys en les organisant dune manire cohrente et homogne. Le rapport de contrle interne est notamment destin aux autorits de tutelle telles que lACAM Autorit de Contrle des Assurances et des Mutuelles. 48

Dans ce cadre, Valdys permet de gnrer un rapport de contrle interne sous forme dun fichier au format Word. Le script utilise toute la base de donnes disponible et les informations enregistres par lauditeur pour gnrer un rapport de contrle interne. La structure finale du rapport de contrle interne est modifiable selon les besoins de lutilisateur. Ainsi, lauditeur dcide de mettre ou non un certain nombre de renseignements dans le rapport de contrle selon leur degr dimportance et dutilit. Nanmoins, la performance du logiciel dans la gnration du rapport reste limite. Effectivement, lutilisateur doit intgrer lui-mme un nombre dinformations qui alimentera la base Valdys (exemple : informations sur lorganisation du Conseil dAdministration) et effectuer les modifications finales pour mettre en conformit le rapport avec les exigences de lACAM. Lutilisateur est confront alors des mesures restrictives tablies par lditeur du logiciel dans le cadre dencadrer la mission daudit. Cela engendre beaucoup de difficults pour changer ou modifier des lments du rapport comme le contenu des tableaux ou des graphes. Un autre inconvnient, le logiciel ne prsente quun seul choix concernant la structure de rapport ; en consquence lutilisateur ne peut pas modifier larchitecture du rapport. Dans ce cas, il est invit fournir un effort considrable pour changer la structure du rapport par dfaut. De plus, on note labsence dune gnration automatique dune note de synthse sur ltat et laboutissement du travail de contrle effectu par lauditeur.

3.4.2 La gnration des pages HTML 46

La gnration dun site web est une fonctionnalit trs utile pour la diffusion et le partage dinformation entre le personnel. Tout le travail raliser de la modlisation des procdures jusqu la gnration du rapport est intgralement consultable. Ce site web gnr peut tre consult et intgr dans lintranet de lentreprise ou dans un rseau extranet. Les utilisateurs ayant les droits dadministrateur ont loption dinterdire et de scuriser laccs des lments confidentiels.

46

Voir annexe (8)

49

Conclusion

Le Contrle Interne Assist par Ordinateur est une option portant une grande valeur ajoute pour les entreprises et les cabinets daudit afin dassister et dacclrer le processus de mise en uvre de la dmarche de contrle interne. Les trois axes de ce mmoire dmontrent le rle important du Contrle Interne Assist par Ordinateur la gestion de lorganisation et au processus de matrise des risques. Acclration de processus, conomie des dpenses lies aux oprations de contrle, cohrence de dmarche entre auditeurs, en effet la valeur ajoute de cet outil est de plus en plus remarquable. Cependant, il ne faut pas ignorer limportance des dfaillances constates et dduites lors de notre analyse du concept et surtout dans notre tude de cas surtout concernant les dimensions techniques et la matrise des outils de logiciels. Par ailleurs, il est trs tt de porter un jugement ngatif cause des inconvnients dj relevs. Notamment parce que notre analyse a port su