Les Fondements Du Contrôle Interne Comme Dispositif Anti-Fraude C
Les Fondements Du Contrôle Interne Comme Dispositif Anti-Fraude C
Les Fondements Du Contrôle Interne Comme Dispositif Anti-Fraude C
ISSN: 2550-469X
Numéro 12 : Spécial JIREF & CCA
BERRADA MOHSIN
Résumé
Les scandales financiers du début du millénaire ont mis au goût du jour ce que tout le monde
savait, mais que beaucoup d’entreprises avaient négligé, l’importance du contrôle interne
comme dispositif de lutte contre les fraudes. Atténuer le risque de fraude en agissant sur le
contrôle interne est un des objectifs à atteindre par ce processus qui consiste, à mettre en place
un ensemble de mesures qui irrigueront l’ensemble de l’organisation sous l’impulsion de sa
direction et avec l’adhésion de l’ensemble de ses composantes.
Si le contrôle interne permet d’atténuer le risque de fraude, il ne le garantit pas entièrement,
soit en raison du coût élevé des mesures qu’il serait nécessaire d’instituer, soit par les
déviations constatées dans son application. Cependant, on peut considérer que la recherche de
mesures suffisantes peut apporter une garantie raisonnable contre la fraude à condition
d’évaluer périodiquement la qualité du contrôle interne.
En mobilisant le Committee Of Sponsoring Organizations (COSO) nous mettons en évidence
les mécanismes de contrôle interne développés et entretenus par l’organisation pour gérer le
risque la fraude interne.
Mots clés : Fraude interne – Typologie - contrôle interne – COSO – Prévention – Détection
Abstract
The financial scandals at the beginning of the millennium brought to light what everyone
knew, but which many companies had neglected, the importance of internal control as a
means of combating fraud. Mitigating the risk of fraud by acting on internal control is one of
the objectives to be achieved by this process, which consists in setting up a set of measures
that will benefit the entire organization under the impetus of its management and with the
support of all its components.
While internal control reduces the risk of fraud, it does not fully guarantee it, either because
of the high cost of the measures that would have to be imposed or because of the deviations
found in its application. However, it can be considered that the search for sufficient measures
can provide a reasonable guarantee against fraud if the quality of internal control is
periodically assessed.
Using the Committee Of Sponsoring Organizations (COSO), we highlight the mechanism of
internal control developed and maintained by the company in order to manage the risk of
internal fraud
Keywords: Internal fraud - Typology - COSO - Prevention - Detection - Internal control
INTRODUCTION
Le modèle COSO est devenu depuis sa publication en 1992, un référentiel incontournable en
matière de contrôle interne. Largement utilisé par de nombreuses organisations pour définir
les bases de leur dispositif de contrôle interne, il est considéré aujourd’hui comme le
référentiel méthodologique d’analyse du contrôle interne. La question élémentaire de ce
modèle est « comment faire pour maîtriser au mieux ses activités ? ». Un système de contrôle
interne ne peut fonctionner et prétendre à l’efficacité que par l’impulsion et l’implication de
tous les acteurs internes à l’entreprise, en premier lieu sa direction.
La fraude en entreprise est non seulement liée à la capacité de l’organisation à mettre en place
des contrôles et à les rendre effectifs (opérationnalité et évaluation), mais aussi à la culture de
celle-ci. Si la culture de contrôle renvoie au respect des lois et règlements, des procédures et
directives internes, leur application renvoie aux organes chargés d’en assurer le contrôle à
travers des évaluations permanentes et périodiques.
interne, tout au long du 20ème siècle et jusqu’à récemment (COSO 2013). Le COSO report
publié en mai 2013 n’est pas un nouveau cadre en soi, il s’agit d’une mise à jour (ou d’une
révision) du cadre définit en 1992 visant trois principaux objectifs : (i) aider les organisations
à s’adapter à la complexité croissante et au rythme du changement ; (ii) atténuer les risques
induits par ces changements et liés à la réalisation des objectifs ; (iii) fournir des informations
fiables pour soutenir le processus décisionnel des organisations.
La version mise à jour du COSO définit le contrôle interne comme « le processus mis en
œuvre par le conseil d’administration, les dirigeants et le personnel d’une entité, destiné à
fournir une assurance raisonnable quant à la réalisation des objectifs liés à la réalisation et
l’optimisation des opérations, la fiabilité du reporting et la conformité aux lois et aux
réglementations en vigueur ».
Figure N°2 : Composantes du référentiel intégré de contrôle interne
À travers ses dimensions fonctionnelles (les trois objectifs), opérationnelles (les cinq
composantes) et structurelles (autant d’activités, d’entités, de Business Unit, etc.), le COSO
va clarifier le véritable objet du contrôle interne qui sera la maîtrise des activités (Yaich,
2011).
Le contrôle interne est axé sur la réalisation d’objectifs dans un ou plusieurs domaines qui
sont distincts, mais qui se recoupent2. Il a pour fonction principale de mettre en place les
dispositions afin de rendre les risques acceptables pour l’entreprise, de maîtriser ses activités
et de clarifier la responsabilité de chacun (Gramet et al., 2008).
L’efficacité du dispositif de contrôle repose sur la déclinaison de cinq
composantes, auxquelles le modèle COSO associe dix-sept principes.
2
Référentiel intégré de contrôle interne – Principes de mise en œuvre et de pilotage, éditions Eyrolles, 2014.
Tableau N°1 : Dix-sept principes sous-jacents aux cinq composantes du contrôle interne
Environnement de contrôle
1 L’organisation manifeste son engagement en faveur de l’intégrité et de valeurs éthiques.
2 Le Conseil fait preuve d’indépendance vis-à-vis du management de L’organisation. Il
surveille la mise en place et le bon fonctionnement du dispositif de contrôle interne.
3 La direction, agissant sous la surveillance du conseil d’administration, définit les
structures, les rattachements, ainsi que les pouvoirs et les responsabilités appropriés pour
atteindre les objectifs.
4 L'organisation démontre son engagement à attirer, former et fidéliser des collaborateurs
compétents conformément aux objectifs.
5 L’organisation instaure pour chacun un devoir de rendre compte de ses responsabilités
en matière de contrôle interne.
Evaluation des risques
6 L'organisation spécifie les objectifs de façon suffisamment claire pour permettre
l'identification et l'évaluation des risques associés aux objectifs.
7 L'organisation identifie les risques associés à la réalisation de ses objectifs dans
l'ensemble de son périmètre de responsabilité et elle procède à leur analyse de façon à
déterminer les modalités de gestion des risques appropriées.
8 L’organisation intègre le risque de fraude dans son évaluation des risques susceptibles de
compromettre la réalisation des objectifs.
9 L’organisation identifie et évalue les changements qui pourraient avoir un impact
significatif sur le système de contrôle interne.
Activités de contrôle
10 L’organisation sélectionne et développe les activités de contrôle qui contribuent à
ramener les risques à des niveaux acceptables les risques associés à la réalisation des
objectifs.
11 L'organisation sélectionne et développe des activités de contrôle général en matière de
système d’information pour faciliter la réalisation des objectifs
12 L'organisation met en place les activités de contrôle par le biais de directives qui
précisent les objectifs poursuivis, et de procédures qui mettent en œuvre ces directives.
Information et communication
13 L'organisation obtient ou génère puis utilise des informations pertinentes et de qualité
pour faciliter le fonctionnement des autres composantes du contrôle interne.
14 L’organisation communique en interne les informations nécessaires au bon
fonctionnement des autres composantes du contrôle interne, notamment en ce qui
concerne les objectifs et les responsabilités associés au contrôle interne.
15 L’organisation communique avec les tiers sur les points qui affectent le fonctionnement
des autres composantes du contrôle interne.
Activités de pilotage
16 L’organisation sélectionne, développe et réalise des évaluations continues et/ou
ponctuelles afin de vérifier si les composantes du contrôle interne sont mises en place et
fonctionnent.
rendre compte (principe n°5), des activités de contrôle permettant de réduire le risque
(principe n°10), un système d’information et de communication effectif (principes n°13 et 14)
et un niveau de supervision permettant d’identifier les éventuelles écarts quant à l’adhésion
aux normes de conduite instaurés afin de proposer des actions correctives opportunes
(principe n°17).
Aussi, le COSO a commandité l’élaboration d’un guide de gestion du risque de fraude 3
cohérent avec le référentiel de 2013 qu’il complète à travers la proposition de bonnes
pratiques et des lignes directrices formulées autour de cinq principes de gestion du risque de
fraude, attachés chacun à une composante du contrôle interne.
Le premier principe de gestion du risque de fraude formulé par le guide COSO insiste sur le
fait que « l’environnement de contrôle établit un cadre propice à l’évaluation des risques
susceptibles d’affecter la réalisation des objectifs »4. La fraude étant un risque opérationnel,
sa gouvernance « fait partie intégrante de la gouvernance de l’organisation et de
l’environnement de contrôle ».
Le second principe précise que la gestion du risque de fraude s’inscrit dans un processus
itératif consistant à identifier et évaluer le risque de fraude, en lien avec les activités de
l’organisation et de proposer les activités de contrôles à même de maîtriser le risque résiduel
et de les mettre en œuvre.
Le troisième principe stipule que « les activités de contrôle de la fraude contribuent à
l’évaluation continue du risque de fraude dans le cadre du dispositif de contrôle interne »5.
Ces activités peuvent avoir soit un caractère préventif, empêchant la fraude de se produire,
soit un caractère détectif, révélant une fraude existante. La conception des activités de
contrôle préventives et détectives de la fraude permet à l’organisation d’être alertée au plus tôt
avant que la fraude et ses effets ne se propagent.
Le quatrième principe insiste sur la mise en place de canaux de communication de
l’information sur les fraudes potentielles et la capacité de l’organisation à planifier les revues,
les investigations et la mise en œuvre d’actions correctives pertinentes pour y remédier.
Le cinquième principe porte sur le pilotage par l’organisation du processus global de gestion
du risque de fraude. Des évaluations de la gestion du risque de fraude sont ainsi menées de
3
Guide gestion du risque de fraude, Synthèse, étude commanditée par Committee of Sponsoring Organizations
of the Treadway Commission, 2016
4
Ibid 3
5
Ibid 3
façon continue et/ou périodique « au cœur des processus métier au niveau de toute
l’organisation »6.
Tableau N°2 : Lien entre les cinq composantes et dix-sept principes du contrôle interne
du Référentiel COSO et les cinq principes de gestion du risque de fraude
Environnement de contrôle
• L’organisation réalise des évaluations globales du risque de fraude pour identifier les
risques de fraude qui lui sont propres, estimer leur probabilité et leur importance,
évaluer les activités de contrôle existantes, et mettre en oeuvre des dispositifs de
maîtrise des risques résiduels de fraude.
Activités de contrôle
Communication et information
Pilotage
• L’organisation sélectionne, développe et réalise des évaluations pour s’assurer que les
cinq principes de gestion du risque de fraude sont mis en place et fonctionnent, et
communique les déficiences du programme de gestion du risque de fraude en temps
voulu aux responsables des mesures correctives, y compris, le cas échéant, à la
direction générale et au Conseil.
Source : https://chapters.theiia.org/montreal/ChapterDocuments/COSO-Fraude-Guide-de-
gestion-du-risque-de-fraude-web.pdf
6
Ibid 3
La gestion du risque de fraude en entreprise doit être appréhendée selon une approche
systématique et méthodique consistant à :
identifier de manière transverse et évaluer les risques de fraude inhérents à
l’ensemble des activités de l’organisation (K.F Reding, 2011) ;
vérifier le dispositif de maîtrise des risques de fraude en s’assurant, à travers des
tests, que les contrôles destinés à réduire le risque de fraude sont bien efficaces.
Cette vérification doit être menée selon une démarche cohérente et structurée liant
organisation et processus ;
effectuer des tests de détection sur les risques résiduels7 en procédant par le biais
de procédures d'analyse (données comptables périodiques, contrôles ciblées) ou de
techniques de vérification informatisée qui mettraient en évidence des exceptions
ou anomalies pouvant se révéler des cas de fraude. Le rapport « Global Fraud
Study » (ACFE, 2016) nous révèle que les entreprises qui utilisent des techniques
d’analyse des données informatiques pour évaluer le risque de fraude, la fraude est
réduite de 54% en coût et de 50% sur la durée ;
rendre systématique les investigations en cas de fraude ou de soupçon ayant pour
finalité de comprendre comment l’acte a été pratiqué, comment il a été dissimulé et
par qui, la durée des agissements, les montants concernés, mais aussi les raisons
pour lesquelles la fraude a pu se produire ;
adopter des mesures disciplinaires (K.F Reding, 2011) voire des poursuites
judiciaires à l'encontre du ou des contrevenants, recouvrer les pertes et réparer les
autres préjudices subis ;
aménager le dispositif de contrôle interne afin de prévenir la répétition des
fraudes ;
améliorer les dispositifs de veille, certains indices ou signaux d’alerte permettent
de détecter les fraudes internes qui sont commises ou dissimulées. Il faut
également tenir compte de ces signaux d’alerte dans le cadre de la conception de
contrôles visant à prévenir ou à atténuer le risque de fraude interne. La découverte
d’un signal d’alerte ne signifie pas nécessairement qu’une fraude a été commise.
7
Un risque résiduel est celui qui subsiste après la mise en œuvre des dispositions de maîtrise du risque,
protection ou prévention, http://www.bivi.maitrise-risques.afnor.org/layout/set/print/sites-autres/mairise-des-
risques/ofm/maitrise-des-risques/ii/ii-40-62/1
Ces signaux indiquent simplement une forte probabilité de fraude interne. Si des
signaux d’alerte sont découverts, l’enquête devrait être poussée afin de déterminer
s’il y a bel et bien eu fraude interne ;
mettre en place un pilotage constant (K.F Reding, 2011), confié, par délégation, à
un organe indépendant des activités opérationnelles, type audit interne.
En matière de lutte contre la fraude interne, on peut considérer que seule la mise en place de
mesures suffisantes, consistant en des moyens de prévention visant à freiner le passage à
l’acte du fraudeur potentiel, constitue un rempart efficace sinon infaillible contre ce crime. On
peut aussi considérer que la recherche de ces mesures peut apporter une garantie raisonnable
contre la fraude à condition d’évaluer périodiquement la qualité du contrôle interne.
Certes, le contrôle interne est évalué en permanence par ceux qui le font vivre au quotidien,
en l’occurrence, les opérationnels et leur hiérarchie (contrôle de 1 er niveau) aidés en cela par
le contrôle de deuxième niveau, toutefois, rien ne remplace l’assurance apportée en la matière
par l’audit interne et/ou un prestataire externe à travers une évaluation indépendante et
objective de l’exposition des activités de l’organisation au risque de fraude ; en effet, l’auto-
évaluation du contrôle interne orienté risque de fraude trouve ses limites dans le fait qu’elle
soit déclarative. Cela ne veut pas dire qu’il faut s’en passer. Au contraire, elle constitue une
première base de d’évaluation qui sera prolongée par l’intervention d’un organe indépendant
de l’opérationnel, qui confirmera ou infirmera les déclarations du management.
L’auditeur interne peut intervenir lorsqu’une fraude est née ou soupçonnée et hors tout
soupçon dans le cadre de l’évaluation du dispositif de contrôle interne orienté fraude.
Toute démarche de contrôle interne est initiée par la direction générale de l’entreprise qui, en
s’appuyant sur une organisation interne et un dispositif approprié, a pour objectif de confirmer
la maîtrise des processus et des risques au sein de l’organisation. Pour s’assurer de sa
performance, la direction générale s’appuiera sur l’audit interne qui évaluera le dispositif tant
sur le plan de sa conception que de son effectivité et fournira des recommandations
pertinentes pour réduire la prime de risque.
L’audit interne est en effet la clé de voûte du système de contrôle interne. C’est une activité
primordiale dans la maîtrise du dispositif de contrôle interne, elle donne l’assurance au
management que son dispositif de contrôle interne est efficace par rapport aux niveaux des
risques que celui-ci a jugé acceptables. L’audit interne procède à une évaluation qualitative
des performances/objectifs, à l’examen de la fiabilité et l’intégrité des informations
L’auditeur doit faire preuve d’esprit critique. Il doit fournir une évaluation indépendante de la
pertinence, de l’application et de l’efficacité des dispositifs de contrôle interne mis en place
par le management pour prévenir le risque de fraude. En d’autres termes, l’audit interne doit
s’assurer que le risque de fraude a été non seulement correctement bien identifié mais qu’il a
été pris en compte par les instances de gouvernance de l’organisation dans sa cartographie des
risques avec la définition des points de contrôle le concernant. Ensuite, l’audit interne doit
assurer ces mêmes organes que les contrôles mis en œuvre sont adaptés au risque et qu’ils
sont efficients et efficaces.
Sur le terrain, l’auditeur doit être imaginatif et créatif et pouvoir de par son expérience
envisager les scénarii de fraudes en fonction des éléments recueillis ; il doit également avoir le
souci du détail en allant parfois vers des points insignifiants pouvant être à la source de la
découverte d’une piste d’audit : le seuil de signification n’a pas sa place en matière d’audit de
la fraude. Aussi, l’auditeur ne doit pas surestimer lors de ses évaluations la fiabilité des
contrôles par sondage, en effet, le traitement de la fraude nécessite des contrôles approfondis.
Ces évaluations s’effectueront en s’appuyant sur le modèle COSO que chaque organisation
adoptera à ses spécificités. Le modèle ci-après, partagé par les praticiens contribuera à une
évaluation structuré du dispositif orienté détection de fraudes potentielles aux fins de
renforcement dudit dispositif.
Tableau N°3 : Tableau d’évaluation du dispositif de contrôle interne orienté détection de fraude
CONCLUSION
La fraude est par définition un phénomène évolutif et évasif et de même elle n’est pas perçue
de manière directe et immédiate, seul un dispositif de contrôle interne conçu, piloté et
régulièrement évalué dans un cadre d’apprentissage collectif, peut prétendre atténuer la
survenance de ce risque : « avec une évaluation des risques et des contrôles appropriés, une
organisation peut réduire efficacement le côté /opportunité/ du triangle »8. Un dispositif de
contrôle interne qui ne traite pas de ce risque et non seulement inutile mais aussi coûteux.
La prévention et la détection de la fraude est une combinaison intelligente d’un contrôle
interne performant, d’une gestion des risques associée à la notion de fraude interne et de la
valeur ajoutée que pourra apporter l’audit interne. La contribution de l’audit interne, en
matière de prévention et de détection de la fraude n’est pas une option, il a de plus en plus un
rôle accru à jouer dans la prévention et la détection de ce risque. Dès lors, il lui est demandé
d’avoir une capacité à comprendre l’ensemble des champs de l’organisation (métier, rouages,
etc.), d’être proche de la réalité de celle-ci, de maîtriser la méthodologie de l’audit et
d’aborder la planification de ses missions par une approche par les risques incorporant ceux
relatifs à la fraude. On pourrait toutefois, se poser la question si l’auditeur interne est
suffisamment formé pour relever ce défi.
8
Richard chambers, Quelques leçons d'audit interne: Les conseils d'un grand professionnel, éditions Eyrolles,
2016, p235
BIBLIOGRAPHIE
ACFE (2016), « Report to the Nation on Occupational Fraud and Abuse », 92 p.
Bergé Françoise et Jourdan Catherine (2013), « COSO 2013 – Que retenir de cette
nouvelle version du référentiel ? », Finance & Gestion, no 314, p. 26-28.
Cressey D. R. (1950), « The Criminal Violation of Financial Trust », American
Sociological Review, vol. 15, no 6, p. 738-743.
Gallet Olivier (2010), Halte aux fraudes – Guide pour auditeurs et dirigeants, 2e éd.,
Dunod, Paris, 270 p.
Gramet Jean-Pierre (2008), Les Bonnes Pratiques en matière de contrôle interne dans
les PME, ouvrage piloté par l’Ordre des experts-comptables région Paris Île-de-
France, Cahiers de l’académie, no 13, Paris, 97 p.
Guide gestion du risque de fraude, Synthèse, étude commanditée par Committee of
Sponsoring Organizations of the Treadway Commission, 2016
IFACI, PWC (2014), COSO Report – Référentiel intégré de contrôle interne –
Principes de mise en œuvre et de pilotage, Eyrolles, Paris, 264 p.
Minot Antoine (2009), « Quand la plus grande richesse de l’entreprise devient sa plus
grande menace », Sécurité et stratégie, vol. 2, no 2, p. 22-29.
Ouaniche Mikael (2015), La Fraude en entreprise – Comment la prévenir, la détecter,
la combattre, 2e éd., Maxima, Paris, 232 p.
Pons Noël et Berche Valérie (2009), Arnaques – Le manuel anti-fraude, CNRS
éditions, Paris, 286 p.
Reding Kurt F. et coll. (2011), Manuel d’audit interne – Améliorer l’efficacité de la
gouvernance, du contrôle interne et du management des risques, IFACI, Paris, 587 p.
Richard chambers, 2016, « Quelques leçons d'audit interne: Les conseils d'un grand
professionnel », éditions Eyrolles, paris, 266 p.
Yaich Raouf (2011), Le Nouveau Contrôle interne – Concepts, composantes et
techniques de contrôle, éditions Raouf Yaich, Tunis, 430 p.