Memoire de med Nizar Taiech

Transcription

La certification du contrôle interne : Proposition d’un référentiel
Vers une approche combinée COSO et la norme d’audit 5 du PCAOB
PLAN DETAILLE
Introduction
Première partie : Le contrôle interne et l’évolution du contexte législatif
Chapitre 1 : Le contrôle interne
Section 1 : Définitions
1. Définition du système comptable des entreprises Tunisien
2. Définition du contrôle interne à l‟échelle Internationale
A. Définition de l'International Federation of Accountants (IFAC)
B. Définition du Committee of Sponsoring Organization (COSO)
C. Définition du Public Company Accounting Board (PCAOB)
D. Définition de l'Autorite des Marches FGinanciers (AMF)
3. Définition du contrôle interne à l‟égard de l‟information financière
Section 2 : Objectifs suivi par le contrôle interne
1. Fiabilisation des données
2. Prévention et sauvegarde du patrimoine
3. Optimisation des ressources
4. Prévention et détection des erreurs et des fraudes
Section 3 : La responsabilité des différents intervenants en matière de contrôle
interne
1. Responsabilité du maintien d‟un bon système de contrôle interne
2. La responsabilité de la direction
3. La responsabilité des organes de contrôle
A. Les organes de vérification internes
B. Les auditeurs externs
Chapitre 2 : Le contexte réglementaire évolutif en matière de contrôle interne
Section 1 : Les obligations inhérentes au contrôle interne et leur évolution
Sous section 1 : Les obligations à la charge des organes de direction
1. Les obligations à l‟échelle internationale
A. Aux USA
B. En France
2. Les obligations en Tunisie
Sous section 2 : Les obligations à la charge des auditeurs et l’élargissement
de leurs missions
1. Les obligations à l‟échelle internationale
A. Aux USA
B. En France
2. Les obligations en Tunisie
Section 2 : L’évolution de la normalisation en matière de contrôle interne
Sous section 1 : Cadre de références pour le contrôle interne
1. Le COSO 1: Internal control – Integrated framework
A. Historique
1
Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech
Page
-5-10-11-11-11-12-12-13-14-15-17-18-18-18-18-18-20-20-21-23-23-24-26-26-26-26-27-29-31-35-35-35-37-40-43-43-44-44-
1
B. Les principes
C. Le cadre cubique du COSO
i. Les 3 objectifs
ii. Les 5 composantes du contrôle interne
2. Le COSO 2: Entreprise risk management framework
A. Positionnement du COSO 2 par rapport au COSO1
B. Les nouvelles notions introduites par COSO 2
C. Le cadre cubique du COSO 2
i. Niveaux de l‟organisation
ii. Gestion des risques : Les 8 composantes
iii. Objectifs
Sous section 2: Normes d’audit et l’apparition de l’AS 5
1. Les normes de l’IFAC
A. Le contrôle interne et la définition de la méthodologie d‟audit
B. Le risque de contrôle et son impact sur la mission d‟audit
2. Les normes d’audit du PCAOB
A. Présentation
B. Nouveautés de l‟approche d‟audit
i. Un double objectif
ii. Concept du contrôle interne relatif à la publication des états financiers
iii.
Limites inhérentes au contrôle interne, assurance raisonnable et
matérialité
iv. Approche d‟audit
Section 3 : Analyse des pratiques du contrôle interne en Tunisie
1. Pratiques des directions en matière du contrôle interne en Tunisie
2. Pratiques des auditeurs en matière du contrôle interne en Tunisie
-45-45-46-46-48-48-48-49-49-50-52-53-53-53-55-57-57-57-57-58-59-
Conclusion de la première partie
-71-
-61-62-63-66-
Deuxième partie : Démarche d’évaluation du système de contrôle interne : Le
COSO et l’AS 5
-72-
Chapitre 1 : Référentiels et composantes
Section 1 : Présentation
1. COSO
2. Standard d‟audit n°5 du PCAOB (AS5)
Section 2 : Composantes du contrôle interne à l’égard des deux référentiels
1. Les cinq composantes COSO
A. Environnement de contrôle
B. Evaluation du risque
C. Activités de contrôle
D. Information et communication
E. Pilotage et suivi
2. L’AS 5 : Approche top down ou l’approche par les risques
-73-73-73-76-79-79-80-80-81-81-82-83-
2
2
A. Les contrôles au sein de l‟entreprise (L‟environnement de contrôle)
B. Les comptes
C. Les process
D. Les risques
E. Les contrôles à tester
Chapitre 2 : Evaluation du contrôle interne : Vers l’utilisation d’une approche
combinée
Section 1 : L’environnement du contrôle interne
1. Intégrité et éthique
2. Organisation et style de gouvernance
3. Pouvoir et responsabilités
4. Règles et pratiques
5. Les ressources humaines et la valorisation de la compétence
Section 2 : Le contrôle interne à l’égard de l’information financière
1. Définition des comptes significatifs
2. Les assertions
3. Identification des process et des flux de transactions significatives
4. Cartographie des risques d‟erreurs au niveau des états financiers
Section 3 : Evaluation des risques : COSO Entreprise Risk Management
1. Objectifs du reporting financier
2. Risques au niveau du reporting financier
3. Risque de fraudes
Section 4 : Les contrôles au niveau de l’entreprise
1. Les contrôles instaurés par la direction
2. L‟auto contrôle
3. Le process de clôture
4. Les normes et sécurités comptables
5. Les sécurités au niveau du système d‟information
6. Documentation
Section 5 : Tests et évaluation des contrôles : Evaluation des risques
1. Contrôles à tester
2. Tests de cheminement
3. Tests d‟efficacité de la conception
A. Contrôles manuels
B. Contrôles automatisés (système d‟information)
4. Tests d‟évaluation du fonctionnement
5. Etendue des tests et jugement professionnel
6. Utilisation de travaux d‟autrui
7. Finalisation et documentation
Section 6 : Appréciation globale et proposition d’axes d’amélioration :
Rapport d’évaluation, pilotage et suivi de la mise en place
1. Conditions quant à l’évaluation
A. Normes de travail
B. Formation technique, compétence et connaissances des éléments à évaluer
3
-83-84-85-86-86-87-87-87-89-90-91-92-92-92-94-96-97-98-98-99-100-102-102-104-105-106-106-107-108-108-108-110-110-111-111-112-112-113-115-115-115-116-
3
C. Compétence, objectivité et indépendance
D. Diligences
E. Planification et déroulement de la mission
F. Responsabilité
2. Conclusion des travaux et rapport
A. Rapport de la direction
B. Evaluation du rapport de la direction
C. Rapport de l‟auditeur
i. Formulation du rapport
ii. Modification du rapport
iii. Rapport distincts ou combines
iv. Date d‟émission du rapport
v. Evénements postérieurs à la date de clôture
vi.
Effets de la formulation d‟un avis motive sur le contrôle interne sur
l‟attestation des états financiers
vii. Lettre d‟affirmation
viii. Autres communications
ix. La notion de l‟assurance raisonnable
Section 7 : Le pilotage et le suivi
1. Le pilotage permanent
2. Les évaluations ponctuelles
-117-118-119-122-123-123-126-128-129-132-134-134-135-136-
Conclusion de la deuxième partie
-141-
Troisième partie : Etude empirique : Mise en place du référentiel COSO et de la
norme d‟audit 5 du PCAOB en tant que référentiels de certification du contrôle
interne : Etude d‟impact et de faisabilité.
Section 1 : Présentation du questionnaire
1. Méthodologie
2. Champ d‟application et caractéristiques de l‟échantillon
Section 2 : Synthèse
1. Présentation des résultats
2. Conclusion de l‟enquête
-136-138-139-139-139-140-
-143-
-144-143-155-156-156-167-
Conclusion générale
-168-
Bibliographie
-171-
4
4
INTRODUCTION GENERALE
Pouvant être délaissé parfois, par les responsables des entreprises et sacrifié au détriment des
bonnes performances économiques, situation ayant été à l‟origine de nombreux scandales
financiers, le contrôle interne, a été remis sur la sellette, et est redevenu depuis quelques
années un sujet d‟actualité, et au centre d‟une réglementation qui ne cesse d‟évoluer et de
devenir de plus en plus contraignante tant au niveau national qu‟international.
En effet, les autorités et les gouvernements ont été incités, à instaurer rapidement de nouvelles
lois, permettant de renforcer la sécurité financière et de redonner confiance aux investisseurs.
Dans un contexte d‟affaiblissement de la confiance des bailleurs de fonds, les législateurs de
nombreux pays, ont eu des réactions fortes afin d‟amener les sociétés à une plus grande
transparence et à fiabiliser les informations financières qu‟elles publient.
C‟est ainsi que la loi de sécurité financière Américaine, le « Sarbanes Oxley Act », que la loi
de sécurité financière Française et que la loi de sécurité financière Tunisienne, lois citées à
titre limitatif et pour les besoins du présent travail, ont été promulguées1.
Ces lois ont instauré de nouvelles obligations, tant pour les organes de direction, que pour les
organes de contrôle. Ces obligations ont pour finalité de réinstaurer un climat de confiance
pour les actionnaires et de fiabiliser et d‟écourter les délais de production des informations
financières et surtout de mettre en place des règles encore plus contraignantes pour permettre
une bonne gouvernance.
Ces nouvelles obligations visent trois axes majeurs, à savoir, l‟exactitude des informations
financières publiées, le renforcement de la responsabilité des gestionnaires et l‟indépendance
des organes de vérification.
1
Ces lois ont été cités à titre limitatif pour le besoin de ce travail et du fait que la loi Américaine constitue le
texte précurseur ayant crée un précédent en matière de sécurités financières, alors que la loi Française a été citée
vu la forte connexité des lois Tunisiennes aux textes de lois Français.
5
5
Cette évolution a été initiée essentiellement par la loi Américaine2, ayant créé un précédent en
la matière, qui a mis l‟accent surtout, sur l‟amélioration des informations financières et ce
notamment par l‟accroissement de l‟importance donnée au système de contrôle interne.
La réglementation Américaine a introduit une obligation d‟auto-évaluation par les organes de
direction et l‟appréciation de cette auto-évaluation par les auditeurs. En effet, la loi oblige les
organes de direction de procéder à l‟auto-évaluation de leur système de contrôle interne,
d‟émettre un rapport à ce sujet, et de soumettre ce rapport d‟évaluation à l‟auditeur, qui en
évalue la portée.
Pour la France, la loi de sécurité financière Française3, à l‟instar de la loi américaine, avait
pour finalité de restaurer la confiance des investisseurs dans les marchés financiers et dans les
entreprises. La loi Française a porté une refonte des organes de contrôle du secteur financier
français créant ainsi deux grandes autorités de contrôle dotées de pouvoirs forts et étendus4.
Elle a mis en place des mesures pour sécuriser les épargnants et les assurés 5. De plus, elle a
surtout mis en place un système de renforcement des sécurités financières entraînant ainsi, la
nécessité pour les dirigeants des entreprises d‟avoir un regard nouveau sur le contrôle interne.
Le président de toute société anonyme (à conseil d‟administration ou à conseil de
surveillance), cotée ou non cotée, doit, en effet, dès les exercices ouverts à compter du 1er
janvier 2003, présenter un rapport joint au rapport de gestion sur les conditions de préparation
et d‟organisation des travaux du conseil, ainsi que sur les procédures de contrôle interne mises
en place par la société. Ce rapport, fait en outre, l‟objet d‟un rapport du commissaire aux
comptes, joint au rapport général et portant sur les procédures de contrôle interne relatives à
l‟élaboration et au traitement de l‟information comptable et financière.
En Tunisie, la loi 2005-96 du 18 Octobre 2005 ayant instauré le renforcement de la sécurité
des relations financières, a mis en place les obligations de renforcement de l‟obligation de
2
Le sarbanes-oxley Act : Loi adoptée le 30/07/2002
3
Loi 2003-706 portant loi de sécurité financière Française, loi adoptée par le parlement Français le 17 Juillet
2003 et approuvée pat le conseil constitutionnel Français en date du 02/08/2003.
4
L‟autorité des marchés financiers et la commission de contrôle des assurances, des mutuelles et des institutions
de prévoyance ont vu le jour en lieu et place des organes de contrôles existants auparavant
5
Titre II de la loi de sécurités financières Française
6
6
dépôt, de communication, de divulgation et de publication des informations financières, de
mise en place et renforcement des organes de contrôle au sein des entreprises (Comités
d‟audit), de renforcement de l‟indépendance des auditeurs et ce par la délimitation des
prestations à offrir, par la mise en place d‟un système de rotation obligatoire, par la mise en
place du Co-commissariat aux comptes…
Et surtout l‟accroissement du rôle donné au système de contrôle interne et ce par la mise en
place d‟obligations à la charge des organes de direction et à la charge des auditeurs légaux.
C‟est ainsi que les termes de la loi renforçant les sécurités financières combinée avec les lois
94-117 du 14 novembre 1994 et la loi 2005-65 du 27 juillet 2005 ayant modifié et complété le
code des sociétés commerciales, ont mis à la charge des organes de direction l‟obligation
d‟insérer « des éléments sur le contrôle interne » au niveau du rapport de gestion6, et de
communiquer aux commissaires aux comptes « une déclaration annuelle…pour attester qu‟ils
ont fourni les diligences nécessaires pour garantir l‟exhaustivité et la conformité des états
financiers à la législation comptable…» .
De plus, la lecture combinée de ces lois (la loi renforçant les sécurités financières et la loi
2005-65 du 27 Juillet 20057), fait ressortir l‟obligation, pour les commissaires aux comptes,
de revue périodique des systèmes de contrôle interne8, Cette revue doit être couronnée par
l‟insertion d‟un paragraphe au niveau du rapport général, portant une évaluation du contrôle
interne, pour ce qui est des sociétés faisant appel public à l‟épargne9.
Le législateur Tunisien, et à l‟instar de ses homologues à l‟étranger, a accentué et renforcé ces
obligations, aussi bien celles incombant aux organes de contrôle qu‟aux organes de direction
en matière d‟évaluation et d‟attestation du bon fonctionnement de ces systèmes de contrôle
interne. Ces dispositifs sont considérés comme pouvant contribuer à l‟amélioration de la
qualité de l‟information financière.
6
Article 3 nouveau de la loi n 94-117 du 14 Novembre 1994
7
Article 266 alinéa 2 nouveau de la loi 2005-65 loi modifiant et complétant le code des sociétés commerciales
8
L‟article 266 au niveau de son alinéa 2 (nouveau) stipule que : « Le commissaire aux comptes certifie la
sincérité et la régularité des comptes annuels de la société…Il vérifie périodiquement l‟efficacité du système de
contrôle interne »
9
Article 3 nouveau de la loi 2005-96 ayant modifie l‟article 14 de la loi 94-117 du 14 novembre 1994 portant
réorganisation du marche financier.
7
7
Cependant, les nouvelles dispositions législatives introduites par la loi renforçant les sécurités
financières, n‟ont pas été suffisamment étayées, et posent, à notre sens, un problème de mise
en place et d‟application.
C‟est ainsi qu‟aucun référentiel permettant d‟attester les systèmes de contrôle interne n‟a été
prévu par cette loi et qu‟aucune norme professionnelle n‟a été mise en place pour faire face à
cette obligation, à ce jour, et bien qu‟on ait adopté les normes de l‟IFAC, lesdites normes
n‟ont pas prévu de référentiel permettant l‟évaluation du contrôle interne10.
C‟est à ce titre, qu‟il nous parait opportun, d‟analyser les expériences des autres pays, et
notamment celles où des démarches concrètes et concluantes ont été mis en place. L‟exemple
américain nous parait être le mieux adapté pour cela, étant donné que ces obligations ont été
édictées par la loi de sécurités financières américaine, une loi considérée comme le texte
législatif le plus important en matière de gouvernance d‟entreprise. Elle est la première loi
ayant vu le jour. Elle a une portée extraterritoriale11, et surtout elle a été développée et
enrichie par des textes de mise en application développés et retraités pour tenir compte des
difficultés de sa mise en place..
Le présent mémoire a pour objectif d‟éclaircir la mise en place de ces obligations ainsi que
leur impact sur les travaux d‟audit, et porte sur l‟étude du référentiel le plus connu à l‟échelle
internationale, à savoir le référentiel COSO ainsi que la norme d‟audit 5 du PCAOB. Il tente
d‟aboutir à la proposition d‟un guide permettant la certification du contrôle interne.
Pour se faire, nous nous proposons de structurer notre travail en trois parties
- La première partie traitera le contrôle interne et l‟évolution du contexte réglementaire y
afférent. Nous nous proposons de passer en revue les définitions données au contrôle interne,
les objectifs visés par la mise en place d‟un bon système de contrôle interne ainsi que les
responsabilités incombant aux différents intervenants en la matière, avant de passer en revue
10
Pour les établissements financiers, la BCT dans sa circulaire 2006-19 a défini un cadre permettant la mise en
place d‟un bon système de contrôle interne. Cette circulaire ne sera pas étudiée dans le présent mémoire (Cf
limites du sujet)
11
Le SOX act s‟applique a toutes les sociétés cotées aux USA et pourrait s‟appliquer même aux filiales des
groupes étrangers implantes en Tunisie
8
8
les évolutions des contextes légaux en Tunisie et à l‟international en matière de gouvernance
et surtout en matière de contrôle interne et les obligations qui ont été introduites par les lois de
sécurités financières en la matière. Cette première partie sera couronnée par la présentation de
l‟état des lieux des pratiques des entreprises Tunisiennes en la matière.
- La deuxième partie sera, quant à elle, consacrée à l‟étude du référentiel COSO et de la
norme d‟audit 5 du PCAOB parmi les référentiels les plus utilisés pour la certification du
contrôle interne et elle aboutira à la proposition d‟une démarche combinée pour l‟évaluation
du contrôle interne.
- La troisième partie portera sur l‟étude de faisabilité de la mise en place du référentiel COSO
et de la norme d‟audit 5 du PCAOB en tant que référentiels pour la certification du contrôle
interne dans le contexte Tunisien et sera matérialisée et enrichie par les résultats d‟un
questionnaire à adresser aux professionnels tunisiens.
9
9
Première partie :
Le contrôle interne et l’évolution du contexte législatif
10
10
Chapitre 1 : Le contrôle interne
Le contrôle interne est un dispositif, défini et mis en œuvre par plusieurs intervenants au sein
de l‟entreprise et sous leurs responsabilités. Il a été défini par de nombreuses organisations
professionnelles. Dans ce qui suit, nous allons présenter les différentes définitions du contrôle
interne en Tunisie et à l‟échelle internationale, les objectifs qui lui sont assignés, avant de
délimiter les responsabilités des divers intervenants en la matière.
Section 1 : Définitions
Les définitions du contrôle interne sont nombreuses et ont eu le plus souvent comme auteurs
des organisations professionnelles de comptables.
Dans ce qui suit, nous allons présenter la définition fournie par le système comptable tunisien,
et celles des principales organisations professionnelles à l‟échelle internationale, avant de
définir le contrôle interne à l‟égard de l‟information financière.
Paragraphe 1 : Définition du système comptable tunisien
La définition du contrôle interne a été présentée au niveau de la norme comptable générale du
système comptable des entreprises, tunisien promulgué par la loi n° 96-112 du 30 décembre
199612.
Le contrôle interne est défini “comme étant un processus, mis en œuvre par la direction, la
hiérarchie, le personnel d'une entreprise, et destiné à fournir une assurance raisonnable quant
à la réalisation des objectifs suivants:
• promouvoir l'efficience et l'efficacité,
• protéger les actifs,
• garantir la fiabilité de l'information financière,
• assurer la conformité aux dispositions légales et réglementaires”.
12
Deuxième partie de la norme comptable générale : Dispositions relatives à l'organisation comptable
11
11
Le système de contrôle interne, ainsi, mis en place, a pour finalité
de permettre à
l'information produite par la comptabilité de vérifier les caractéristiques qualitatives prévues
par le cadre conceptuel13. .
Ces caractéristiques sont « les attributs que doit revêtir l'information financière véhiculée dans
les états financiers et qui sont indispensables pour garantir la production et la divulgation
d'informations financières utiles à la prise de décision14», à savoir une information intelligible,
pertinente, fiable et comparable.
Paragraphe 2 : Définition du contrôle interne à l’échelle Internationale
A l‟échelle internationale, diverses définitions ont été données au contrôle interne, par des
organisations professionnelles. Pour les besoins de ce travail, nous présenterons la définition
donnée par l‟International Federation of Accountants (IFAC), le Public Company Accountng
Oversight Board (PCAOB), le Committe of Sponsoring Organizations of the Traedway
Commission (COSO) et l‟Autorité des Marchés Financiers (AMF) Française.
A. Définition de l’International Federation of Accountants (IFAC)
Le contrôle interne, a été défini au niveau de la norme internationale d‟audit 315 :
« Connaissance de l‟entité et de son environnement et évaluation du risque d‟anomalies
significatives ».
Ladite norme, a présenté le contrôle interne, comme étant un processus, conçu et mis en place
par les personnes constituant le gouvernement d‟entreprise, la direction et d‟autres membres
du personnel, pour fournir une assurance raisonnable quant à la réalisation des objectifs de
l'entité en ce qui concerne la fiabilité de l‟information financière, l'efficacité et l'efficience des
opérations, ainsi que leur conformité avec les textes législatifs et réglementaires applicables.
13
Les caractéristiques qualitatives de l‟information financière ont été décrites au niveau du paragraphe 19, du
décret n° 96-2459 du 30 décembre 1996, portant approbation du cadre conceptuel de la comptabilité
14
Les caractéristiques qualitatives de l‟information financière ont été décrites au niveau du paragraphe 19, du
décret n° 96-2459 du 30 décembre 1996, portant approbation du cadre conceptuel de la comptabilité.
12
12
Il en résulte que le contrôle interne est conçu et mis en œuvre pour répondre aux risques
identifiés, qui sont liés à l‟activité, et qui menacent la réalisation des objectifs suivis par
l‟entreprise.
Le contrôle interne est constitué par :
(a) l‟environnement de contrôle ;
(b) le processus d‟évaluation des risques de l'entité ;
(c) le système d'information, y compris les processus opérationnels y afférents, relatif à
l‟information financière et à sa communication ;
(d) les activités de contrôle ;
(e) le suivi des contrôles.
Notons enfin que les normes techniques de l‟IFAC ont été adoptées par l‟ordre des experts
comptables Tunisiens et qu‟il s‟en suit que cette définition ait été adoptée par le même corps
en Tunisie.
Notons que la définition de l‟IFAC a été reprise par le Compagnie Nationale des
Commissaires aux Comptes (CNCC) pour qui le contrôle interne est : « l‟ensemble des
politiques et procédures (contrôles internes) mises en œuvre par la direction d‟une entité en
vue d‟assurer, dans la mesure du possible, la gestion rigoureuse et efficace de ses activités.
Ces procédures impliquent le respect des politiques de gestion, la sauvegarde des actifs, la
prévention et la détection des irrégularités et inexactitudes, l‟exactitude et l‟exhaustivité des
enregistrements comptables et l‟établissement en temps voulu d‟informations financières ou
comptables fiables. Le système de contrôle interne s‟entend au-delà des domaines directement
liés au système comptable 15».
B. Définition du Committe of Sponsoring Organizations of the Traedway
Commission (COSO)
COSO est l‟acronyme abrégé de Committee Of Sponsoring Organizations of the Treadway
Commission, une commission à but non lucratif qui établit en 1992 une définition standard du
contrôle interne et crée un cadre pour évaluer son efficacité.
15
Norme 2-301 du CNCC. Evaluation du risque et contrôle interne
13
13
COSO a défini le contrôle interne, comme suit : « Le contrôle interne est un processus, mis en
œuvre par le conseil d‟administration, les dirigeants et le personnel d‟une organisation destiné
à fournir une assurance raisonnable quant à la réalisation d‟objectifs entrant dans les
catégories suivantes :
La réalisation et l‟optimisation des opérations ;
La fiabilité des informations financières ;
La conformité aux lois et réglementations en vigueur. »
Pour chaque activité de l‟entreprise, le contrôle interne se doit d‟être analysé selon ces 3
objectifs et au niveau de 5 composantes qui sont :
L‟environnement de contrôle;
L‟évaluation des risques ;
Les activités de contrôle,
L‟information et la communication ;
Le pilotage du contrôle interne. »
La définition donnée par le COSO, ressemble largement à celle préconisée par le système
comptable tunisien, étant donné que le système comptable tunisien a été promulgué en 1996,
alors que le COSO avait émis son rapport en 1992 et que le système comptable avait repris la
définition donnée par le cadre COSO.
C. Définition du Public Company Accounting Oversight Board (PCAOB)
Le Public Company Accouting Oversight Board est un organisme privé, à but non lucratif,
ayant été créé en 2002 par le Sarbanes_Oxley Act. Le PCAOB a été crée, dans l‟objectif de
superviser les travaux des auditeurs des sociétés faisant appel public à l‟épargne et de
s‟assurer de la qualité de leurs travaux et de leur indépendance, avec pour objectif ultime de
protéger les intérêts des investisseurs et autres bailleurs de fonds.
Le PCAOB, dans la loi organique l‟ayant crée, a été accrédité du pouvoir de légiférer dans le
cadre des attributions qui lui ont été conférés. Le PCAOB a émis un ensemble de normes
portant sur la mise en place des obligations insérées par la loi de sécurité financière
Américaine et notamment sur la mise en application de la norme permettant l‟auto-évaluation
14
14
du contrôle interne par la direction et l‟expression d‟une opinion par les auditeurs sur cette
même évaluation.
Le contrôle interne a été défini au niveau de la norme d‟audit No. 5, ayant abrogé et remplacé
la norme No. 216, comme étant un processus mis en place par, ou sous, la responsabilité de la
direction, les principaux responsables, et impacté par le conseil d‟administration, le
management et le personnel, et qui a pour finalité de donner une assurance raisonnable quant
à la fiabilité du reporting financier et le déroulement des conditions de sa préparation. Il
englobe toutes les règles et procédures permettant de :
S‟assurer de l‟exhaustivité des enregistrements comptables et de leur représentation
fidèle des transactions et des mouvements ayant eu lieu sur les actifs de l‟entreprise ;
Fournir une assurance raisonnable que la totalité des transactions de l‟entreprise ont
été traduites de façon fidèle au niveau des états financiers et que ces mêmes
transactions ont été autorisées et approuvées par la direction, et :
Fournir une assurance raisonnable quant à la prévention et la détection en temps
opportun des acquisitions, utilisations et cessions non autorisées et qui ont un impact
sur les états financiers de l‟entreprise.
D. Définition de l’Autorité des Marchés Financiers (AMF)
L'Autorité des marchés financiers (AMF) est l'autorité française de régulation des marchés
financiers. Elle a été instaurée par la loi n°2003-706 du 1er août 2003 complétée par le décret
n°2003-1109 du 21 novembre 2003 (modifié par le décret n°2005-131 du 14 février 2005).
L‟AMF est venu se substituer aux autorités existantes préalablement : Elle est issue de la
fusion de la Commission des opérations de bourse (COB), du Conseil des marchés financiers
(CMF) et du Conseil de discipline de la gestion financière (CDGF).
16
Auditing standard No. 2 – An Audit of Internal Control Over Financial Reporting Performed in Conjunction
with An Audit of Financial Statements ayant vu le jour le 09/03/204, abrogée et remplacée en date du
12/07/2007 par Auditing Standard No. 5 – An Audit of Internal Control Over Financial ReportingThat Is
Integrated with An Audit of Financial Statements
15
15
l‟AMF, dans sa publication : « Le dispositif de Contrôle Interne : Cadre de référence17 », a
défini le contrôle interne de la manière suivante: « le contrôle interne est l‟ensemble des
sécurités contribuant à la maîtrise de l‟entreprise. Il a pour but d‟un côté d‟assurer la
protection, la sauvegarde du patrimoine et la qualité de l‟information, de l‟autre l‟application
des instructions de la direction et favoriser l‟amélioration des performances. Il se manifeste
par l‟organisation, les méthodes et les procédures de chacune des activités de l‟entreprise,
pour maintenir la pérennité de celle-ci »
Vers une définition générale du contrôle interne :
Il ressort des définitions précitées, que le contrôle interne est un système ou processus ;
ensemble de procédures et de sécurités; qui sont mises en place par les diverses parties
prenantes de l‟entreprise et par les diverses hiérarchies, telle une culture, et qui touchent la
totalité des activités d‟une entreprise, qui fonctionnent efficacement et de façon efficiente,
afin de permettre à l‟entreprise d‟atteindre ses objectifs, tout en lui permettant de protéger ses
avoirs et en identifiant et maitrisant les risques inhérents à la réalisation de ses objectifs
stratégiques, de lui permettre de se conformer aux obligations légales et réglementaires dont
elle est sujette, et de produire une information financière conforme à la réalité économique,
raisonnablement exempte d‟erreurs et de manipulations.
Un système de contrôle interne qui fonctionne bien, est un système qui fonctionne de façon
efficace et efficiente: L‟efficience nous amène à l‟une des hypothèses sous-jacentes à la
publication de l‟information financière, à savoir l‟avantage/coût. Un contrôle interne efficient
est, par suite, un système dont la mise en place entraîne des avantages, tel que les coûts de
mise en place engagés auparavant ne sont plus ressentis.
17
Dans le cadre des obligations prévues par le code de commerce pour les sociétés faisant appel public à
l‟épargne, l‟AMF a publié en 2006 un cadre de référence qui a fait l‟objet d‟une recommandation de l‟AMF le
22 janvier 2007 et sera applicable pour les exercices ouverts à compter du 1er janvier 2007.
Ce cadre de référence sur le contrôle interne prévoit que "chaque société est responsable de son organisation
propre et donc de son contrôle interne" et que le cadre de référence "n‟a pas vocation à être imposé aux sociétés"
mais à être utilisé par celles-ci "pour superviser ou, le cas échéant, développer leur dispositif de contrôle interne,
sans cependant constituer des directives sur la façon de concevoir leur organisation".
16
16
L‟efficacité a trait au bon fonctionnement du système. Un système qui fonctionne de façon
efficace, est un système fonctionnant correctement et de façon pertinente. Toutefois,
l‟efficacité ne devrait pas être considérée comme une notion absolue. Un système qui
fonctionne, ne veut en aucun cas dire que c‟est un système où il n y‟a pas d‟écarts de
conformité, mais c‟est un système où les écarts, s‟ils existent, sont non significatifs. Ceci veut
dire qu‟un système qui fonctionne, c‟est un système qui permet de déceler les écarts et les
fraudes importantes.
Le système de contrôle interne ainsi mis en place, permet de fournir une assurance
raisonnable quant à son bon fonctionnement. Cette assurance, ne peut en aucun cas être
absolue, du fait du risque inhérent au contrôle interne provenant du jugement humain y
intervenant d‟une part, et de l‟arbitrage avantage/cout, découlant de sa mise en place, d‟autre
part.
Paragraphe 3 : Définition du contrôle interne à l’égard de l’information financière
Le système de contrôle interne à l‟égard de l‟information financière est défini comme étant un
processus, conçu par le chef de la direction et le chef des finances ou par des personnes
exerçant des fonctions analogues, ou sous leur supervision, et mis en œuvre par le conseil
d'administration, la direction ou d'autres employés, pour fournir une assurance raisonnable
que l'information financière est fiable et que les états financiers ont été établis, aux fins de la
publication de l'information financière, conformément aux principes et normes comptables y
compris les politiques et procédures qui :
a) concernent la tenue de dossiers suffisamment détaillés qui donnent une image fidèle et qui
reflètent la réalité des opérations et des cessions d'actifs de l'entreprise;
b) fournissent une assurance raisonnable que les opérations sont enregistrées correctement
pour établir les états financiers conformément aux normes et principes comptables admis et
que les encaissements et décaissements de l‟entreprise ne sont faits qu'avec l'autorisation de la
direction et du conseil d'administration;
c) fournissent une assurance raisonnable que toute acquisition, utilisation ou cession non
autorisée des actifs de l'émetteur qui pourrait avoir une incidence importante sur les états
financiers est soit interdite, soit détectée à temps;18
18
PCAOB Audit standard # 5 / Appendix A : Definition
17
17
Il s‟agit donc ici, d‟opérer une distinction entre le contrôle interne d‟une société en général et
le contrôle interne relatif à l‟élaboration et au traitement de l‟information comptable et
financière d‟autre part.
Le contrôle interne à l‟égard de l‟information financière est donc le processus de contrôle
interne mis en place pour assurer le bon fonctionnement de la seule fonction financière et
comptable au sein de l‟entreprise. Ce système de contrôle interne a pour finalité d‟assurer la
fiabilité de l‟information financière publiée et sa conformité à la réalité économique de la
totalité des transactions ayant eu lieu.
Il s‟agit donc, d‟une des composantes du système de contrôle interne d‟une entreprise, et
même sa principale composante, qui a pour objectif de concourir à la production d‟une
information fiable, en conformité à la réalité économique, d‟une part, et aux lois et règlements
d‟autres part .
Le contrôle interne à l‟égard de l‟information financière, concentre ainsi, son champ
d‟application sur la seule fonction financière et comptable, alors que le système comptable
des entreprises Tunisiennes semble consacrer le contrôle interne en sa globalité, c‟est à dire le
contrôle interne touchant la totalité des activités de l‟entreprise et non de sa seule fonction
comptable et financière.
A l‟instar du contrôle interne de l‟entreprise, le contrôle interne comptable et financier ne peut
fournir qu‟une assurance raisonnable quant à la réalisation de ses objectifs. En effet, aussi
bien conçu et structuré soit-il, le contrôle interne comptable et financier ne peut fournir une
garantie absolue, vu les limites inhérentes à la fonction comptable et financière, dues à la part
importante du jugement d‟une part, et des dysfonctionnements pouvant y survenir d‟autre
part, et ce en dépit de la volonté de l‟entreprise et des responsables chargés de sa mise en
place.
Section 2 : Objectifs suivi par le contrôle interne
Les objectifs suivis par le contrôle interne se détaillent comme suit :
- Fiabilisation des données
18
18
- Prévention et sauvegarde du patrimoine
- Optimisation des ressources
- Prévention et détection des erreurs et des fraudes
Ces objectifs ont été repris par la totalité des autorités législatives aussi bien en Tunisie qu‟à
l‟échelle internationale.
Ces objectifs peuvent être regroupés comme suit :
Objectifs opérationnels : Ces objectifs ont trait à l‟optimisation des ressources et à
l‟utilisation efficace et efficiente de ces dernières.
Objectifs d‟information : Il s‟agit des objectifs de fiabilité des communications
financières en interne et celles destinées au public, ainsi que la détection des erreurs
qui peuvent s‟y insérer.
Objectifs de conformité : Il s‟agit de la conformité aux lois et règlements applicables
et par suite à la prévention et détection d‟éventuelles fraudes.
Les objectifs opérationnels de contrôle interne concernent l'efficacité et l'efficience de
l‟entreprise dans l'utilisation de ses actifs, et ses autres ressources, qu‟ils soient corporels ou
incorporels, ainsi que dans sa protection en cas de pertes. L‟efficacité a trait à une vision
unique du personnel qui œuvrerait avec droiture afin de réaliser les objectifs fixés de façon
efficiente ; C‟est à dire sans occasionner de coûts imprévus, ou excessifs, ni privilégier des
intérêts, autres, que ceux de l'établissement.
L‟efficacité n‟est pas, toutefois, à portée absolue, car un système qui fonctionne, ne veut en
aucun cas dire, que c‟est un système où il n y‟a pas d‟écarts de conformité, mais c‟est un
système où les écarts s‟ils existent, seraient non significatifs. Ceci veut dire qu‟un système qui
fonctionne permettrait de déceler les écarts et les fraudes importantes et ainsi les objectifs de
conformité suivis.
Les objectifs de conformité garantissent que toute l'activité est conduite en conformité avec
les lois ou réglementations et exigences prudentielles applicables, ainsi qu'avec les politiques
19
19
et procédures internes. Cet objectif doit être satisfait pour préserver les droits et la réputation
de l‟entreprise.
L‟entreprise est appelée à inventorier la totalité de ces lois et règlements, à leur mise à jour, à
les insérer dans ses procédures internes et à en informer et former ses employés.
Les objectifs d'information portent sur la préparation de rapports fiables et aussi récents que
possible, indispensables à la prise de décision au sein de l‟entreprise.
La fiabilité est l‟une des caractéristiques qualitative requise de l‟information financière. Les
critères constituant les composantes du concept de fiabilité sont essentiellement la
représentation fidèle, la neutralité et la vérifiabilité19.
Ces objectifs couvrent la totalité des communications financières et autres, qu‟elles soient
destinées aux autorités gouvernementales, ou à d'autres usages, externes ou internes. Les
données reçues par la direction, le conseil d'administration, les actionnaires et les autorités de
contrôle devraient être d'une qualité et d'une intégrité, suffisantes, pour que leurs bénéficiaires
puissent s'y référer pour fonder leurs décisions.
Section 3 : La responsabilité des différents intervenants en matière de contrôle interne
Après avoir défini le contrôle interne et les objectifs provenant de sa mise en place, nous
allons à ce niveau définir les responsabilités des différents intervenants en la matière
Paragraphe 1 : Responsabilité pour le maintien d’un bon système de contrôle interne
Tel que défini auparavant, le contrôle interne est, donc, un système ou processus, ou encore,
ensemble de procédures et de sécurités; qui sont mises en place par les diverses parties
19
Décret n° 96-2459 du 30 décembre 1996, portant approbation du cadre conceptuel de la Comptabilité /
Paragraphe 25 à 28 : La notion de fiabilité, se rapporte à la préparation de documents établis sur une base sincère
à partir de principes et règles comptables exhaustifs et bien définis. Pour se faire elle doit représenter fidèlement
à savoir correspondre ou concorder avec la réalité des événements et leurs traductions dans les communications
de l‟entreprise, être neutre sans parti pris, et vérifiable qui repose sur des données probantes et sur des
évaluations dont les méthodes sont divulguées avec l'information elle-même.
20
20
prenantes de l‟entreprise et par les diverses hiérarchies, qui touchent la totalité de ses activités
et qui fonctionnent efficacement et de façon efficiente.
Le contrôle interne donc, fait intervenir la totalité des parties prenantes au sein d‟une
entreprise, et à divers échelons, qu‟ils soient le conseil d‟administration, les dirigeants ou le
personnel. Ces organes, internes à l‟entreprise, ont à leur charge la responsabilité de sa mise
en place et de veille sur son bon fonctionnement.
Mais le contrôle interne ne fait pas intervenir que des organes internes ; En effet, les lois, et
notamment les lois de sécurités financières, que ça soit en Tunisie ou à l‟étranger, ont conféré
un rôle très important en la matière pour les auditeurs légaux : Ces derniers sont appelés à en
attester et certifier le bon fonctionnement.
Dans ce qui suit, nous allons présenter les responsabilités des directions d‟une part, et des
organes de contrôle, internes et externes, d‟autre part, dans l‟implémentation et le maintien
d‟un bon système de contrôle interne.
Paragraphe 2 : La responsabilité de la direction
La direction est le pilier, et le garant de la mise en place d‟un système de contrôle interne.
Selon le code des sociétés commerciales, la direction d‟une entreprise bénéficie « des
pouvoirs les plus étendus pour agir en toutes circonstances au nom de la société …20»
Il s‟en suit que, la direction bénéficie en vertu des pouvoirs qui lui sont conférés par le conseil
d‟administration, des pouvoirs les plus étendus pour mettre en œuvre les stratégies et
politiques approuvées par le conseil, permettant d‟atteindre les objectifs fixés.
Il en découle donc, que la direction est responsable de la mise en place des politiques de
contrôle interne appropriées et de s‟assurer de leurs bons fonctionnement.
La direction générale, responsable de la gestion quotidienne de l‟entreprise et la définition de
sa structure organisationnelle, est chargée de définir, d'impulser et de surveiller le dispositif
20
Article 211 de la loi 2000-93 du 3 Novembre 2000 portant promulgation du code des sociétés commerciales
21
21
de contrôle interne, le mieux adapté qui soit, à la situation et aux activités de l‟entreprise, qui
est apte à déceler ses dysfonctionnements, ses insuffisances et les difficultés de sa mise en
application, et qui veille à l'engagement des actions correctives, s‟il y a lieu de le faire.
La direction est donc le seul garant de la discipline et de l‟organisation au sein de l‟entreprise.
Elle est responsable de véhiculer ces éléments au sein d‟elle et ainsi au sein des ressources
humaines dont elle dispose. Ces éléments constituent l‟environnement de contrôle de
l‟entreprise21.
La direction définit la structure de l‟entreprise, attribue les pouvoirs et les restreints dans le
but de mener à bien ses actions et atteindre ses objectifs. Il s‟en suit, qu‟elle est la seule
garante de la mise en place d‟un bon système de contrôle interne.
Ce rôle a été consacré par le législateur tunisien au niveau de plusieurs lois. Les termes de la
loi renforçant les sécurités financières. combinée avec les lois 94-117 du 14 novembre 1994 et
la loi 2005-65 du 27 juillet 2005 ayant modifié et complété le code des sociétés
commerciales22, ont mis à la charge des organes de direction, l‟obligation d‟insérer « des
éléments sur le contrôle interne » au niveau du rapport de gestion23, et de communiquer aux
commissaires aux comptes « une déclaration annuelle…pour attester qu‟ils ont fourni les
diligences nécessaires pour garantir l‟exhaustivité et la conformité des états financiers à la
législation comptable…» ; Le texte de cette déclaration, défini par l‟arrêté du ministre des
finances du 17 Juin 2006, inclut une attestation, sur le bon fonctionnement du système de
contrôle interne de l‟entreprise.24 La déclaration précitée, est signée par les organes de
direction et par les chargés des affaires financières et comptables.
21
Norme comptable générale / Partie 2 : Dispositions relatives à l‟organisation comptable / Paragraphe 9 :
Environnement de contrôle
22
Article 13 quinter du code des sociétés commerciales
23
24
Le paragraphe 2 de la lettre d‟affirmation annexe a l‟arrêté stipule « Nous n‟avons connaissance d‟aucune
irrégularités concernant…la définition et le bon fonctionnement des systèmes comptables et de contrôle
interne… »
22
22
Paragraphe 3 : La responsabilité des organes de contrôle
A présent nous allons présenter les limites de la responsabilité des organes de vérification
internes et externes en matière de contrôle interne.
A. Les organes de vérification internes : Les comités d’audit
Tant à l‟échelle nationale, qu‟internationale, les comités d‟audit sont considérés comme étant
les garants privilégiés des mécanismes permettant d‟améliorer le gouvernement des
entreprises, et de s'assurer de la pertinence et de la permanence des méthodes comptables
adoptées pour l'établissement des comptes sociaux, et de vérifier que les procédures internes
de collecte et de contrôle des informations garantissent celles-ci. Ceci a pour effet, de
renforcer le contrôle interne et remonter les défaillances au conseil d‟administration le cas
échéant.
De même, responsable du pilotage de la procédure de sélection des commissaires aux
comptes, ainsi que de leur rémunération25, le comité d‟audit a un rôle prépondérant dans la
garantie de la réalisation d‟un contrôle externe de qualité.
En Tunisie et selon le code des sociétés commerciales, « le comité permanent d'audit veille au
respect par la société de la mise en place de systèmes de contrôle interne performant, de
nature à promouvoir l'efficience, l'efficacité, la protection des actifs de la société, la fiabilité
de l'information financière et le respect des dispositions légales et réglementaires. Le comité
assure le suivi des travaux des organes de contrôle de la société, propose la nomination du ou
des commissaires aux comptes et agrée la désignation des auditeurs internes26»
Le comité d‟audit a donc un rôle de contrôle important et central, qui permet la mise en place
d‟un bon système de contrôle interne fonctionnant de la façon escomptée.
25
Les honoraires des commissaires aux comptes en Tunisie sont prévus par un barème et sont par suite plafonnés
26
Article 256 bis du code des sociétés commerciales ajouté par la loi 2005-96 du 18 Octobre 2005 relative à la
loi renforçant les sécurités financières.
23
23
Dans le cadre de ses attributions, le comité d‟audit est assisté, d‟une part, par l‟audit interne,
en tant qu'élément interne majeur de la surveillance continue du système de contrôle interne,
et également les auditeurs externes pour qui, il est l'interlocuteur privilégié.
B. Les organes de vérification externes : Les auditeurs externes
Le rôle des auditeurs externes en matière de contrôle interne a été consacré en Tunisie à
plusieurs niveaux, que ce soit par le Code des Sociétés Commerciales et les lois subséquentes
l‟ayant modifiée, la loi renforçant les sécurités financières ou encore les normes d‟exercice
professionnel régissant la profession de l‟audit légal, à savoir les normes internationales
d‟audit de l‟IFAC.
L‟article 266 alinéa 2 nouveau la loi 2005-65 du 27 Juillet 2005 ayant modifiée et complétée
le code des sociétés commerciales, a mis à la charge des commissaires aux comptes des
sociétés faisant appel public à l‟épargne l‟obligation de revue périodique des systèmes de
contrôle interne27,
Les termes de la loi renforçant les sécurités financières, ont accentué la teneur de cette
obligation, en mettant à la charge des commissaires aux comptes l‟obligation de revue
périodique des systèmes de contrôle interne28, Ladite revue doit être couronnée par l‟insertion
d‟un paragraphe portant une appréciation du contrôle interne, au niveau du rapport général du
commissaire aux comptes, pour ce qui est des sociétés faisant appel public à l‟épargne.
De leur part, les normes techniques de l‟IFAC, adoptées en tant que normes techniques
régissant l‟exercice de l‟audit légal en Tunisie29, mettent le contrôle interne au centre des
préoccupations de l‟auditeur légal, dans le cours de la réalisation de sa mission d‟audit.
27
28
29
le Conseil de l'Ordre des experts-comptables a adopté les normes ISA de l'IFAC, d'application obligatoire à
partir de l'année 2000 comme étant le cadre de référence pour l‟exercice des missions d‟audit en Tunisie suite
24
24
Ces normes, définissent les principes fondamentaux concernant la prise de connaissance du
système de contrôle interne et des composantes du risque d‟audit, notamment le risque de
contrôle, et précisent leurs modalités d‟application.
Dans le cadre de sa mission d‟audit, le commissaire aux comptes organise ses travaux sur le
contrôle interne dans le but de la certification des comptes. Pour se faire, le commissaire aux
comptes définit une stratégie d‟audit adaptée permettant de produire une opinion de qualité.
Dans ce cadre d‟idée, l‟évaluation du contrôle interne, n‟est pas une fin en soi, mais une
composante principale permettant de délimiter le champ des travaux à effectuer par l‟auditeur
légal, et de mettre en place une stratégie structurée lui permettant de certifier et de formuler,
de façon claire, son opinion d‟audit.
aux insuffisances relevées au niveau des normes que l‟OECT avait publié et rendu obligatoire pour les
professionnels au cours de la période 1984-1999.
25
25
Chapitre 2 : Le contexte réglementaire évolutif en matière de contrôle interne
Les lois de sécurités financières, ont pour finalité d‟atteindre l‟objectif ultime de
rétablissement de la confiance des investisseurs, et autres bailleurs de fonds, suite aux
nombreuses défaillances financières enregistrées dans divers horizons.
Ces lois, qui ont couvert, par ailleurs, une multitude de thèmes, ont été considérées comme les
textes législatifs les plus importants, en matière de gouvernance et de publications financières.
Bien que certains thèmes de ces lois ne sont pas directement liés à l‟objet du présent mémoire,
nous passerons en revue, dans ce qui suit, l‟évolution enregistrée au niveau de
l‟environnement légal ayant accompagné l‟apparition de ces nouvelles obligations en matière
de contrôle interne, en Tunisie et à l‟étranger, et ce aussi bien pour les organes de direction
que pour les auditeurs.
Section 1 : Les obligations inhérentes au contrôle interne et leur évolution
Dans ce qui suit, nous allons présenter la portée des nouvelles obligations inhérentes au
contrôle interne, pour les directions et les organes de contrôles, et qui ont été introduites par
les lois des sécurités financières, en Tunisie et à l‟échelle internationale.
Sous section 1 : Les obligations à la charge des organes de direction
De nouvelles obligations inhérentes au contrôle interne ont été introduites par les lois des
sécurités financières, aussi bien en Tunisie qu‟à l‟étranger. Dans ce qui suit, nous allons
présenter, la portée de ces obligations pour ce qui est des organes de direction.
Paragraphe 1 : Les obligations à l’échelle internationale
Dans ce qui suit, nous allons présenter, l‟étendue de ces obligations au niveau des contextes
Américain et Français.
26
26
A.
Aux USA
La survenance de plusieurs scandales financiers outre atlantique, a engendré de vives
réactions, visant à terme, à réinstaurer un climat de confiance au sein des marchés. La réaction
du législateur Américain a été vive en donnant naissance à une loi renforçant la gouvernance
et le contrôle interne, à savoir la loi Sarbanes-Oxley30, loi qui reste à ce jour, la loi la plus
importante en la matière.
La loi Américaine, s‟est focalisée sur 3 axes majeurs, à savoir, l‟exactitude et l‟accessibilité
de l‟information financière, la responsabilité des gestionnaires et l‟indépendance des organes
vérificateurs31.
La loi Américaine est venue accentuer les obligations en matière de bonne gouvernance, en
rendant obligatoire des pratiques considérées jusque là, comme bonnes mais n‟ayant pas de
force de loi, et en insérant un volet pénal pour sanctionner le non respect de ces obligations.
C‟est ainsi que la loi SOX est venue renforcer le rôle conféré aux organes de contrôle au sein
des entreprises (Comités d‟audit), obligeant celles faisant appel public à l‟épargne aux Etats
Unis de se prémunir de tels corps. Elle a en outre, consacré l‟indépendance des membres le
formant, et l‟a rendu le seul vis-à-vis des auditeurs externes.
D‟autre part, SOX a contribué à l‟amélioration de la qualité des reportings financiers, exigeant
une information détaillée et plus complète sur les engagements hors bilan d‟une part, et une
information en pro-forma si nécessaire, d‟autre part. Les entreprises, sont aussi obligées de
divulguer les ajustements comptables identifiés par les auditeurs et informer sur les richesses
des dirigeants
Mais surtout,
des mesures de certification et d‟attestation personnelle des reportings
financiers et des systèmes de contrôle interne ont été mises à la charge des organes de
30
Sarbanes-Oxley Act ayant vu le jour le 23 Juillet 2002 Loi au nom de ces 2 auteurs, le sénateur Sarbanes et le
membre de la chambre des députés Oxley.
31
Le rôle des organes de vérification externe sera développé au niveau de la section 2.2.2 Les obligations à la
charge des auditeurs et l‟élargissement de leurs missions
27
27
direction. Il s‟agit là, des mesures les plus importantes qui ont accrues l‟importance donnée
aux systèmes de contrôle interne. Cet accroissement a été consacré par l‟insertion d‟une
obligation de description et d‟auto-évaluation par les organes de direction de ce dispositif, et
l‟exigence d‟émettre un rapport à ce sujet. Ledit rapport porte, en outre, un engagement, de la
part du management, sur la mise en place et la bonne tenue de procédures de contrôle interne
adéquates, pour permettre le bon fonctionnement de l‟entreprise (Le management en la
personne des CEO et des CFO sont responsables du contrôle interne au sein de l‟entreprise).
En effet, c‟est au niveau de ses sections 30232 et 40433 que SOX a mis l‟accent sur la qualité
du contrôle interne au sein de l‟entreprise.
L‟article 302 portant sur la certification des états financiers par les dirigeants34, a obligé les
dirigeants à attester qu‟ils :
Sont responsables de la mise en place et du maintien du contrôle interne ;
Ont conçu ce dispositif de telle sorte que toute information significative concernant
l‟entreprise est connue par eux
Ont évalué l‟efficacité du contrôle interne à moins de 90 jours de la publication du
rapport ;
Ont présenté dans leur rapport leurs conclusions sur le dispositif de contrôle interne
suite à son évaluation et notifié les auditeurs et le comité d‟audit des déficiences et
fraudes relevés ainsi que tous les changements qui y étaient intervenus.
L‟article 404 pour sa part, traitant « L‟évaluation du contrôle interne », exige que chaque
rapport annuel contienne un rapport sur le contrôle interne qui :
Confirme que la direction est responsable de la mise en place et de la gestion des
procédures et autres structures de contrôle interne pour la communication financière ;
32
SOX Act / Title 3 : Corporate responsibility for financial reports
33
SOX Act / Title 4 : Management assesment of internal controls
34
Le CEO et le CFO doivent préparer une déclaration, accompagnant le rapport des auditeurs, qui certifie la
validité des états financiers et des indicateurs présentés en hors bilan contenues dans le rapport annuel. La
déclaration doit aussi signaler que les états financiers présentent de manière sincère, dans tous leurs aspects
significatifs, la situation financière et les résultats de l‟activité de l‟entreprise.
28
28
Contienne une évaluation de l‟efficacité de ce qui est mis en place à la date de clôture
des états financiers35.
Notons que la loi Américaine a limité la notion du contrôle interne à son seul volet financier
et que la SEC a reconnu le référentiel COSO, dont nous développerons les composantes plus
tard, come étant le référentiel permettant d‟atteindre les obligations qu‟elle a édicté.
Enfin la loi SOX, a instauré un cadre légal plus contraignant permettant de sanctionner
lourdement les contrevenants en la matière, accroissant, ainsi, les responsabilités et prévoyant
des peines pénales aussi bien pour les organes de direction que pour les organes de
vérification.
B.
En France
Dans le même contexte de l‟adoption de la loi Sarbanes-Oxley aux États-Unis, une loi de
sécurités financières a été adoptée en France36, avec pour ambition la restauration de la
confiance sur les marchés financiers, ébranlés par la crise ouverte née des scandales financiers
aux États-Unis. Les différentes dispositions, de la loi Française, s‟articulent autour de trois
axes majeurs:
La modernisation des autorités de contrôle avec la création de l‟Autorité des marchés
financiers ;
Le renforcement de la sécurité des épargnants et,
L‟amélioration du contrôle des comptes des entreprises.
35
L‟article 404 a prévu également que les auditeurs évaluent, dans leur rapport, l‟évaluation du contrôle interne
faite par les dirigeants et insèrent leurs conclusions sur cette dernière au niveau de leur rapport. Cette partie sera
développée au niveau de la section 2.2.2 Les obligations à la charge des auditeurs et l‟élargissement de leurs
missions
36
Loi de sécurité financière n° 2003-706 du 1er août 2003 (JO du 2 août 2003)12
29
29
La loi Française, a porté une refonte des organes de contrôle du secteur financier français
créant ainsi deux grandes autorités de contrôle, dotées de pouvoirs forts et étendus37. Elle a
mis en place des mesures pour sécuriser les épargnants et les assurés 38. De plus, elle a surtout
mis en place un système de renforcement des sécurités financières, amenant, les dirigeants
d‟entreprise à avoir un regard nouveau sur le contrôle interne.
Ces nouvelles dispositions, rendent obligatoire à tout président de toute société anonyme (à
conseil d‟administration ou à conseil de surveillance), cotée ou non cotée, à partir des
exercices ouverts à compter du 1er janvier 2003, de présenter un rapport joint au rapport de
gestion sur les conditions de préparation et d‟organisation des travaux du conseil, ainsi que
sur les procédures de contrôle interne mises en place par la société39.
Ce rapport fait en outre, l‟objet d‟une évaluation par le commissaire aux comptes. Ce dernier
doit joindre à son rapport général, un rapport40 portant sur les procédures de contrôle interne
relatives à l‟élaboration et au traitement de l‟information comptable et financière.
Concrètement, le fait de joindre le rapport sur le contrôle interne au rapport de gestion, offre
l‟avantage de rendre public le rapport joint, puisqu‟il sera déposé au greffe comme le rapport
de gestion.
Notons enfin qu‟une distinction est à opérer entre le contrôle interne d‟une société en général
et le contrôle interne relatif à l‟élaboration et au traitement de l‟information comptable et
financière. La LSF se distingue dès lors de la loi SOX qui s‟intéresse au seul volet comptable
et financier du contrôle interne.
L‟étendue et la portée de la notion du contrôle interne en France, n‟a pas été clairement
circonscrite par la LSF. A ce même titre aucun cadre de référence n‟a été édictée par la loi
37
L‟autorité des marchés financiers et la commission de contrôle des assurances, des mutuelles et des institutions
de prévoyance ont vu le jour en lieu et place des organes de contrôles existants auparavant
38
Titre II de la loi de sécurités financières Francise
39
Titre III « Modernisation du contrôle légal des comptes et transparence », chapitre II « De la transparence dans
les entreprises », l‟article 117
40
Ce rapport, ainsi que son contenu sera présenté au niveau de la sous section 2. Les obligations à la charge des
auditeurs et l‟élargissement de leurs missions.
30
30
pour faire face à ces nouvelles obligations. Dés lors, l‟AMF, l‟autorité des marchés financiers,
telle que redéfinie par la loi de sécurités financières Française, a alors demandé à un Groupe
de travail nommé Groupe de la Place, d'élaborer un cadre de référence pour le contrôle
interne.
Ce groupe de travail, a publié en mai 2006 un cadre de référence, dont l‟utilisation a été
recommandée à l‟ensemble des sociétés faisant appel public à l‟épargne en France. Ce cadre
comprend les principes généraux portant sur l‟ensemble des processus de contrôle interne de
la société. Il a été complété en décembre 2006 par un guide d‟application pour les procédures
de contrôle interne relatives à l‟élaboration et au traitement de l‟information financière et
comptable publiée41.
Paragraphe 2 : Les obligations en Tunisie
En Tunisie, la loi 2005-96 du 18 Octobre 2005, relative au renforcement de la sécurité des
relations financières, a mis en place à la charge des organes de direction42 les obligations
suivantes :
-
Mise en place et renforcement de l‟indépendance des organes de contrôle au sein des
entreprises (Comités d‟audit). La loi oblige, désormais, les sociétés faisant appel
public à l‟épargne, les sociétés mères des groupes Tunisiens dont le total bilan dépasse
les cinquante Millions de Dinars43, et les sociétés qui remplissent les limites chiffrées
fixées par décret relatives au total du bilan44 et au total de leurs engagements auprès
des établissements de crédit et de l'en-cours de leurs émissions obligataires45, de
nommer un comité d‟audit. Ledit comité, aura, principalement, à sa charge de veiller
« au respect par la société de la mise en place de système de contrôle interne
performant… »
41
Le cadre de référence de l4AMF est consultable sur le site de l‟AMF
www.amf-france.org/documents/general/7602_1.pdf)
42
Ces obligations ont été prévues au niveau du Titre 2 : Renforcement de la politique de divulgation financière
des sociétés et de leur bonne gouvernance
43
Décret n° 2006-1546 du 6 juin 2006
44
Le décret n° 2006-1546 du 6 juin 2006 a fixé cette limite à cinquante millions de dinars (50 MDT)
45
Le décret n° 2006-1546 du 6 juin 2006 a fixé cette limite à vingt cinq millions de dinars (25 MDT)
31
31
Le comité d‟audit est composé de 3 membres au moins désignés par le conseil
d‟administration, ou le conseil de surveillance, parmi leurs membres. Ne peut être
membre du comité permanent d'audit, le président-directeur général ou le directeur
général ou le directeur général adjoint, afin de garantir l‟indépendance de ce corps,
Le législateur a mis l‟accent sur le maintien d‟un bon système de contrôle interne au
sein des entreprises, et a consacré le rôle central du comité d‟audit dans cette tache.
-
Renforcement de l‟obligation de dépôt, de communication, de divulgation et de
publication des informations financières : Toute personne morale, ainsi que toute
société mère46, est tenue de déposer ses états financiers approuvés ainsi que la liste de
son actionnariat au registre de commerce et ce au plus tard dans sept mois de la date
de clôture47.
Bien que cette mesure, soit de nature à améliorer la qualité de l‟information financière
et sa disponibilité, il nous parait opportun, à l‟instar des législations Américaine et
française, d‟exiger le dépôt d‟autres documents qui amélioreraient la lecture des états
financiers et qui donneraient une information efficiente à ses lecteurs, à savoir le
rapport de gestion et le rapport sur le contrôle interne.
Ces mêmes sociétés sont obligées, au même titre, d‟adresser leurs états financiers,
leurs rapport sur la gestion de l‟exercice ainsi que les rapports de leurs commissaires
aux comptes au Conseil du Marché Financier ainsi qu‟à la Bourse des Valeurs
Mobilières de Tunisie, au stade de projet et après leurs approbation par l‟AGO de leurs
actionnariats. Notons à ce niveau, que le rapport de gestion se doit d‟inclure «des
éléments sur le contrôle interne ».
46
L‟obligation en question s‟applique aux sociétés mères tel que définies à l‟article 461 du code des sociétés
commerciales
47
Le dépôt devrait être effectué dans un mois de l‟approbation des états financiers par l‟assemblée générale des
actionnaires réunis de façon ordinaire et dans tous les cas au plus tard dans sept mois de la date de clôture. Il est
à noter aussi que la loi a prévu que d‟autres documents peuvent être ajoutés sur décision du ministère de la
justice. A ce jour aucun arrêté n‟a prévu d‟autres documents à annexer aux états financiers et qui devraient par
suite être déposés au registre de commerce
32
32
-
Aussi, la consécration du rôle important du contrôle interne dans une optique de bonne
gouvernance, a poussé le législateur à accroitre l‟importance du rôle donné au système
de contrôle interne. C‟est ainsi que les termes de la loi renforçant les sécurités
financières combinée avec les lois 94-117 du 14 novembre 1994 et la loi 2005-65 du
27 juillet 2005 ayant modifié et complété le code des sociétés commerciales, ont mis
à la charge des organes de direction l‟obligation d‟insérer « des éléments sur le
contrôle interne » au niveau du rapport de gestion48, et de communiquer aux
commissaires aux comptes « une déclaration annuelle…pour attester qu‟ils ont fourni
les diligences nécessaires pour garantir l‟exhaustivité et la conformité des états
financiers à la législation comptable…» ;
Le texte de cette déclaration, paru par arrête du ministre des finances en date du 17
Juin 2006, inclut une attestation, similaire à celle prévue par le Sarbanes-oxley act,
sur le bon fonctionnement du système de contrôle interne de l‟entreprise. 49 La
déclaration précitée, est signée par les organes de direction et par les chargés des
affaires financières et comptables.
Bien que la loi ait voulu consacrer le contrôle interne, en tant que garant d‟une
gouvernance seine, la loi est restée assez vague sur la divulgation nécessaire sur le
contrôle interne, parlant d‟éléments à insérer au niveau du rapport de gestion ou à
annexer à ce rapport. On se pose alors la question de savoir s‟il s‟agit d‟insérer une
description sommaire, ou détaillée du contrôle interne de la société ? Ou de présenter
une évaluation proprement dite de ce dernier ?
Le texte présente à notre avis, une ambiguïté à ce niveau et aurait dû être plus
explicite. Certes l‟évaluation proprement dite, est un exercice complexe, qui doit être
effectué selon une démarche bien structurée, et nécessite, des préalables à mettre en
48
49
Le paragraphe 2 de la lettre d‟affirmation annexe a l‟arrêté stipule « Nous n‟avons connaissance d‟aucune
irrégularités concernant…la définition et le bon fonctionnement des systèmes comptables et de contrôle
interne… »
33
33
œuvre, tel la définition d‟un cadre de référence permettant à la direction de formuler
une telle évaluation.
Toutefois, et hormis le secteur financier qui a défini un cadre sommaire pour les
institutions financières en Tunisie50, aucun cadre n‟a été reconnu, come étant le cadre
de référence permettant la bonne mise en place et l‟évaluation du contrôle interne
d‟une entreprise.
Ceci étant, l‟arrêté ayant exigé l‟engagement de la direction sur la mise en place d‟un
bon système de contrôle interne, conforte l‟idée de l‟évaluation de ce dernier ; La
question qui se pose alors, serait de savoir comment une direction peut-elle prouver
qu‟elle a mis en place un bon système de contrôle interne si elle n‟arrive pas à
démontrer les travaux qu‟elle a demandé, effectué et documenté en la matière ?
Les obligations introduites par le législateur tunisien sont restées vagues et peu
précises, en matière de divulgation sur le contrôle interne par les directions. En effet,
ces obligations nécessitent des préalables à mettre en œuvre avant d‟exiger clairement
une évaluation proprement dite de ce dernier. Une démarche s‟inscrivant dans une
perspective dynamique pourrait être suivie et aboutirait à terme à une évaluation du
contrôle interne.
50
Circulaire 2006-19 de la Banque Central Tunisienne ayant pour objet la mise en place par les établissements
de crédit et les banques non résidentes d‟un système de contrôle interne et l‟institution d‟un comité permanent
d‟audit interne
34
34
Sous section 2 : Les obligations à la charge des auditeurs et l’élargissement de leurs
missions
A l‟instar des nouvelles obligations insérées par les lois de sécurités financières, et mises à la
charge des organes de direction, de nouvelles mesures à la charge des auditeurs ont été
prévus. A présent nous allons étudier la teneur de ces obligations.
Paragraphe 1 : Les obligations à l’échelle internationale
A.
Aux USA
A l‟instar des obligations apportées par SOX concernant les directions, la loi Américaine a
apporté des nouveautés pour la profession de l‟audit aux USA. La loi Américaine a instauré
les obligations suivantes :
-
Création d‟un organisme de surveillance de la profession des auditeurs et de l‟exercice
de leur profession, à savoir le Public Company Accounting Oversight Board
(PCAOB).
Le PCAOB est un organisme, autonome51, à but non lucratif qui a pour objectif de
contrôler les travaux effectués par les cabinets d‟audit en effectuant les contrôles
qualité nécessaires et en réprimant, le cas échéant par la mise en place de sanctions
disciplinaires, à l‟encontre de cabinets ne répondant pas aux obligations édictées par la
profession d‟audit ainsi que les obligations insérées par SOX.
En outre le PCAOB a été accrédité de légiférer pour améliorer la qualité de la
profession d‟audit en mettant en place des normes relatives aux travaux d‟audit et aux
contrôles qualité, et s‟assurer de l‟application de ces normes. Le PCAOB s‟est vu
donc, attribuer un rôle allant à l‟encontre de l‟autorégulation caractérisant le système
Américain.
51
Le PCAOB établit son propre budget de fonctionnement. Les cabinets d‟audit s‟enregistrent auprès du
PCAOB et payent des redevances qui constituent les ressources financières de cet organisme
35
35
-
Renforcement de l‟indépendance des auditeurs en délimitant les missions qu‟ils
peuvent offrir et en rendant obligatoire leur rotation. Il s‟en est suivi que la
superposition des missions d‟audit et des missions de conseil a été interdite52, et que
l‟obtention de certaines missions est devenue tributaire de l‟approbation préalable du
comité d‟audit.
-
Accroissement de la teneur des sanctions à l‟égard des auditeurs. A l‟instar de ce qui a
été prévu pour les organes de directions, la loi a instauré ainsi, un cadre légal plus
contraignant en levant la teneur des sanctions encourues par les auditeurs
contrevenants.
-
Les auditeurs. Sont tenus, en outre, d‟émettre un rapport sur l‟évaluation du contrôle
interne effectuée par les organes de direction53 et d‟insérer un paragraphe au niveau de
leur rapport d‟audit sur le bon fonctionnement de ce dernier54.
Cette obligation, est venue consacrer l‟importance du contrôle interne dans le maintien
d‟une bonne gouvernance au sein de l‟entreprise et le rôle central conféré à l‟auditeur
en tant que meilleur garant de celle ci.
Bien que l‟évaluation du contrôle interne ne constitue pas une nouveauté en soi pour
les auditeurs, de part leur mission d‟audit et la concomitance de l‟évaluation du
contrôle interne dans celle ci, cette mesure constitue à notre sens un élargissement du
champ d‟application de la mission de l‟auditeur. Désormais l‟auditeur n‟évalue plus le
contrôle interne dans le cadre de son évaluation du risque d‟audit, mais évalue le
contrôle interne proprement dit, ainsi que les états financiers qu‟il est appelé à
certifier.
Cette norme est venue encadrer le travail d'attestation des vérificateurs externes pour
SOX-404 : Elle permet de délivrer une opinion quant à la question de savoir si
l‟évaluation de la direction au sujet du contrôle interne donne une image fidèle et si la
société a maintenu un contrôle interne efficace.
52
La section 201 de SOX définit les prestations prohibées pour un client audit
53
SOX Act / Section 404
54
Obligation insérée par l‟audit standard # 5 du PCAOB
36
36
La loi Américaine renforçant les sécurités financières, a certes délimité les missions
qui peuvent être offerts par un auditeur, mais a accru les diligences à prévoir au cours
d‟une mission d‟audit, engendrant l‟accroissement du volume horaire alloué aux
missions d‟audit et par suite les honoraires des auditeurs aux USA.
L‟attestation du contrôle interne, insérée par l‟article 404 de SOX, est un exercice
complexe, nécessitant la mise en place de travaux étendus et structurés, et a nécessité
la mise en place d‟une nouvelle norme d‟audit visant l‟atteinte du double objectif visé
par la certification, à savoir l‟évaluation du contrôle interne, d‟une part, et l‟expression
d‟une opinion d‟audit, d‟autre part. Cette norme a été élaborée par le PCAOB et
s‟intitule : « Audit du contrôle interne à l‟égard de l‟information financière effectué
conjointement avec un audit d‟états financiers55 ». Cette norme publiée56, modifiée par
suite et puis abrogée57 et remplacée par la norme 5 s‟intitulant : « Audit du contrôle
interne à l‟égard de l‟information financière intégré à un audit d‟états financiers » pour
tenir compte, de la lourdeur de mise en place, de point de vue du volume horaire et des
coûts qu‟elle a engendré, et respecter ainsi le rapport avantages/ coûts en découlant. Le
contenu de cette norme sera développé au niveau du 2.3.2.2 Les normes d’audit du
PCAOB
B.
En France
A l‟instar de la loi Américaine, la loi Française a mis en place plusieurs obligations à la
charge des auditeurs, qui ont pour finalité d‟accroitre la transparence de l‟information
financière et d‟en améliorer la qualité.
55
An audit of internal control over financial reporting performed in conjunction with an audit of financial
statements
56
Le standard # 2 a été publié le 9/3/2004 et approuvé par la SEC en date du 17/06/2004 pour devenir applicable
à partir des arrêtés postérieurs à la date du 15/07/2005.
57
Le standard 2 a été abrogé et remplacé par le standard d‟audit # 5 en date du 25/07/2007, après approbation de
la SEC et est rentré en vigueur pour les arrêtés postérieurs à la date du 15/11/2007.
37
37
Les dispositions, ayant impacté les travaux des auditeurs ont été prévues au niveau du Titre 3
intitulé « Modernisation du contrôle légal des comptes et transparence » et touchent,
principalement, les axes suivants :
-
Création du Haut Conseil du Commissariat aux Comptes (H3C)58, comme autorité
habilitée à contrôler la profession et les professionnels, à garantir l‟indépendance et la
discipline des auditeurs, ainsi que l‟autorité des commissaires aux comptes Français.
La loi a, en outre, a octroyé une consécration législative pour la Compagnie Nationale
des Commissaires aux Comptes, qui s‟est vu chargée, au même titre que le Haut
Conseil du Commissariat aux Comptes, d‟assurer la surveillance de la profession et le
respect de la déontologie et de l‟indépendance des commissaires aux comptes.
-
Séparation des missions d‟audit et de conseil par la délimitation des services à offrir
aux clients audit et l‟interdiction d‟exercer des missions de conseil et des missions
d‟audit pour un même client. Il s‟agit d‟une disposition garante de l‟indépendance des
commissaires aux comptes. Elle prévient les conflits d‟intérêts pouvant provenir du
cumul de ces deux types de services. Notons enfin, que le H3C a été appelé à mettre
en place une norme périmètre qui délimitera la typologie des missions qu‟un
commissaire aux compte pourrait cumuler avec sa mission de commissariat aux
comptes.
-
La mise en place d‟un système de rotation obligatoire obligeant le remplacement
obligatoire des commissaires aux comptes personnes physiques au-delà de 6 ans.
-
Accroissement de l‟importance donnée au rôle du commissaire aux comptes, sa
crédibilité et par suite sa responsabilité. Désormais, le commissaire aux comptes
assiste à toutes les réunions du conseil d‟administration ou du directoire et du conseil
de surveillance, ainsi qu‟à toutes les assemblées générales des actionnaires. En contre
partie, la loi a accru aussi, les sanctions qui peuvent être infligées à un commissaire
aux comptes.
58
Article 100 de la loi de sécurités financières Française ; Le H3C a été mis en place par le décret 2003-1121 en
date du 25/11/2003. Ses premiers membres ont été nommés par le même décret pour une période de 6 ans.
38
38
-
Et surtout, la mise à la charge des commissaires aux comptes, de la totalité des
sociétés anonymes Françaises, l‟obligation de présenter leurs observations sur le
rapport du président59 au niveau d‟un rapport sur les procédures de contrôle interne et
qui ont trait à l‟élaboration et au traitement de l‟information comptable et financière.
Ledit rapport est annexé à leur rapport sur les comptes.
La loi Française, a consacré, donc, le rôle central du contrôle interne dans la mise en
place et le maintien d‟une bonne gouvernance au sein de l‟entreprise et couronner,
aussi, le rôle conféré à l‟auditeur dans le maintien de celui-ci.
Toutefois, il convient de relever à ce niveau, que la loi Française a été plus clémente
que la loi Américaine ; En effet, alors que la loi Américaine exige une évaluation
proprement dite du contrôle interne, la loi Française, s‟insère dans une optique de
confirmation de la sincérité de l‟évaluation faite par le président et la concordance de
son rapport avec la réalité de l‟entreprise.
La CNCC, dans son avis technique, du 23 Mars 2004 au titre des bonnes pratiques
professionnelles sur le 1er exercice d‟application des dispositions de l‟article 225-235
du code de commerce, a stipulé que « les observations formulées par le commissaire
aux comptes dans son rapport, portent sur les informations et, le cas échéant, les
déclarations, contenues dans le rapport du président, portant sur les procédures, de
contrôle interne relatives à l‟élaboration et au traitement de l‟information comptable et
financière, et concernent la sincérité des informations et déclarations. Les observations
du commissaire aux comptes ne portent donc pas sur les procédures de contrôle
interne en tant que telles ». Le commissaire aux comptes examine alors « la pertinence
du processus d‟évaluation mis en place et des tests réalisés ».
Bien que sur le fond les deux lois ont visé les mêmes résultats, il semblerait que les
prises de positon du H3C et du CNCC aient favorisé un contrôle purement formel,
relativisant la portée de cette loi.
59
Il s‟agit du président du conseil d‟administration ou du président du conseil de surveillance si la société opte
pour une gestion à directoire et conseil de surveillance (Article 120 de la LSF Française)
39
39
Notons enfin, que la loi Française, et au niveau du même article 120, a mis à la charge
des commissaires aux comptes, l‟obligation de justification de leurs appréciations en
insérant un paragraphe au niveau de leurs rapports d‟audit se rapportant aux
appréciations prises, et concernant les éléments significatifs. Ce paragraphe est distinct
de l‟opinion d‟audit, et le cas échéant, de la formulation d‟une réserve, et est présenté
en post-opinion.
Paragraphe 2: Les obligations en Tunisie
En Tunisie, la loi 2005-96, relative au renforcement de la sécurité des relations financières, a
inclus plusieurs dispositions ayant impacté l‟exercice de l‟audit légal. Ces dispositions se
présentent comme suit :
L‟instauration de la rotation des commissaires aux comptes
-
A partir du premier Janvier 2009, les mandats de commissariat aux comptes seront limités
dans le temps. Désormais toute société soumise à l'obligation de désigner un commissaire aux
comptes membre de l'OECT devra assurer la rotation de ses auditeurs. Cette mesure
promulguée par l‟article 3 ayant modifié l‟article 13 bis du code des sociétés commerciales.
Le nouvel article stipule que le nombre de mandats ne peut excéder les trois mandats, pour les
commissaires aux comptes personnes physiques, et les cinq pour les sociétés ayant trois
membres de l'OECT au moins comme associés, sous condition, de changer l‟équipe chargée
du dossier une fois les 3 mandats passés (l'associé signataire et les collaborateurs chargés du
dossier)
-
L‟instauration du Co-Commissariat aux comptes
Le chapitre trois de la loi, intitulé « Renforcement du contrôle des comptes des sociétés » a
prévu des mesures prévoyant l‟obligation de nommer deux commissaires aux comptes
membres de l‟OECT pour les sociétés suivantes : Les institutions financières faisant appel
public à l‟épargne, les sociétés d‟assurance multi branches, les sociétés tenues d'établir des
états financiers consolidés60 ainsi que les sociétés dont le total des engagements auprès des
60
Le décret 2006-1546 du 06/06/2006 a prévu un total bilan au titre des comptes consolidés de plus que 100
Millions de Dinars
40
40
établissements de crédit et de l'encours d'emprunt obligataire dépasse un montant fixé par
décret61,
« Tel que rédigé, le texte laisse entendre un double commissariat, dans la mesure où l'examen
contradictoire suppose que le même élément ait fait l'objet d'un double contrôle. Chacun des
commissaires procède aux contrôles qu'il juge nécessaires pour asseoir son opinion, pour
confronter ensuite leurs constatations et conclusions selon la procédure de l'examen
contradictoire 62».
Notons enfin, que la restriction de cette obligation n‟est d‟application qu‟aux seuls
commissaires aux comptes Experts Comptables. Le renouvellement illimité des mandants
pour les techniciens de la comptabilité est autorisé.
-
Communication avec les autorités de tutelle et de contrôle
A l‟instar des institutions financières et des sociétés cotées, les commissaires aux comptes,
doivent transmettre, à la Banque Centrale de Tunisie et au CMF, pour les sociétés qui font
appel public à l'épargne, et à la Banque Centrale de Tunisie, pour les sociétés tenues d'établir
des états financiers consolidés si le total du bilan consolidé dépasse un montant fixé par
décret ; ou, dont le total des engagements auprès des établissements de crédit et de l'encours
d'emprunts obligataires dépasse un montant fixé par décret, une copie de chaque rapport qu‟ils
émettent
à
l‟attention
de
l‟actionnariat,
qu‟ils
soient
réunis
ordinairement
ou
extraordinairement
Aussi les commissaires aux comptes des sociétés faisant appel public à l‟épargne, doivent
notifier au conseil du marché financier (CMF) tout fait de nature à mettre en péril les intérêts
de la société ou les porteurs de ses titres.
61
Le décret 2006-1546 du 06/06/2006 a prévu un engagement dépssant les 25 Millions de Dinars
62
Faycal DERBEL : Le C.A.C est le maillon essentiel du processus de transparence paru sur Audinet Tunisie
41
41
-
Communication sur le contrôle interne
La loi de sécurité financière Tunisienne a accentué le rôle conféré au contrôle interne.
Désormais les commissaires aux comptes ont pour obligation de revoir, et de façon
périodique, les systèmes de contrôle interne63 des sociétés auditées64.
Cette revue devrait être couronnée par l‟insertion d‟un paragraphe au niveau du rapport
général du commissaire aux comptes, portant une évaluation du contrôle interne, pour ce qui
est des sociétés faisant appel public à l‟épargne65.
Cette mesure, et bien qu‟elle soit primordiale dans le maintien d‟une bonne gouvernance, est
restée sans suite pour les sociétés autres que les établissements financiers66, les assurances67,
les OPCVM68 ainsi que les associations autorisées à accorder des microcrédits69. En effet,
aucun cadre de référence, guide opératoire, ou norme professionnelle régissant les diligences
des auditeurs en la matière, à l‟instar de ce qui a été le cas à l‟échelle internationale, n‟ont vu
le jour, rendant la nature et l‟étendue des travaux, d‟une part, et les communications sur le
contrôle interne, d‟autre part, superflues.
La loi tunisienne, a certes, mis en place de nouvelles dispositions législatives en matière de
contrôle interne, mais elle ne l‟est a pas suffisamment étayées, ce qui pose, à notre sens, un
problème de mise en place et d‟application.
63
64
Les termes de la loi renforçant les sécurités financières et la loi 2005-65 du 27 Juillet 2005Article 266 alinéa 2
nouveau de la loi 2005-65 loi modifiant et complétant le code des sociétés commerciales
65
66
Circulaire 2006-19 de la Banque Central Tunisienne ayant pour objet la mise en place par les établissements
de crédit et les banques non résidentes d‟un système de contrôle interne et l‟institution d‟un comité permanent
d‟audit interne et la norme comptable 22 intitulée Le contrôle interne et l‟organisation comptable dans les
établissements bancaires
67
Norme comptable 27 : Le contrôle interne et l‟organisation comptable dans les entreprises d‟assurance et / ou
de réassurance
68
69
Norme comptable 18 : Contrôle interne et organisation comptable dans les OPCVM
Norme comptable 33 : Le contrôle interne et l'organisation comptable dans les associations autorisées a
accorder des micro-crédits
42
42
C‟est ainsi qu‟aucun référentiel permettant d‟attester les systèmes de contrôle interne n‟a été
prévu par cette loi et qu‟aucune norme professionnelle n‟a été mise en place pour faire face à
cette obligation. A ce jour, et bien qu‟on ait adopté les normes de l‟IFAC, les dites normes
n‟ont pas prévu de référentiel permettant l‟évaluation du contrôle interne70.
C‟est à ce titre, qu‟il nous parait opportun, d‟analyser les référentiels utilisés à l‟échelle
internationale afin de s‟en inspirer.
A présent, nous passerons en revue les évolutions qui ont eu lieu sur la normalisation en
matière de contrôle interne à l‟échelle internationale.
Section 2 : L’évolution de la normalisation en matière de contrôle interne
Les risques économiques accrus, d‟une part, et les défaillances des entreprises, d‟autre part,
ont fait ressurgir, à l‟ordre du jour, la nécessité de renforcer les systèmes de pilotage et de
contrôle.
Cette nécessité à amener, les diverses organismes professionnels compétents en la matière,
dans divers pays, à mettre en place des préalables requis afin d‟atteindre ces objectifs. C‟est
ainsi que des études ont été menées et que des cadres de références et des normes d‟audit ont
été adoptés.
Dans ce qui suit, nous allons présenter les cadres de références COSO, en une première étape,
avant de nous intéresser à l‟évolution enregistrée au niveau des normes d‟audit et la
promulgation des normes d‟audit du PCAOB, dans une seconde étape.
Sous section 1 : Cadre de références pour le contrôle interne
COSO, acronyme abrégé de Committee Of Sponsoring Organizations of the Treadway
Commission, est une commission à but non lucratif qui a établi en 1992 une définition
70
Pour les établissements financiers, la BCT dans sa circulaire 2006-19 a défini un cadre permettant la mise en
place d‟un bon système de contrôle interne pour les établissements de crédits
43
43
standard du contrôle interne et créé un cadre pour évaluer son efficacité. Par extension ce
standard a été appelé aussi COSO.
En 2002, le Congrès américain, en réponse aux scandales financiers et comptables
(Enron, Worldcom, ...), promulgue la loi Sarbanes–Oxley (the Sarbanes-Oxley Act
ou SOX act). Cette loi oblige les sociétés faisant appel à l‟épargne publique à évaluer leur
contrôle interne et à en publier leurs conclusions dans les états demandés par la SEC.
imposant en outre, l'utilisation d'un cadre conceptuel : Le SOX act a favorisé l'adoption du
COSO comme référentiel. En France, la loi LSF (Loi de Sécurité Financière) promulguée peu
après en 2003, a également contribué à la diffusion de ce référentiel.
Paragraphe 1: Le COSO 1: Internal control – Integrated framework
A.
Historique
Les pratiques frauduleuses des entreprises Américaine durant les années 70, ont amené le
congress Américain et la SEC à mettre en place une loi anti-corruption71 (FCPA) Cette loi a
institué la responsabilité pénale des auteurs de ces manœuvres d‟une part, et l‟obligation pour
les entreprises américaines de se munir d‟un bon système de contrôle interne, d‟autre part.
Faisant suite à ces nouvelles obligations, et à l‟initiative, des principaux organismes
professionnels privés72 compétents en la matière, une commission nationale73 a été formée en
1985, dont l‟objectif était de cerner les causes des manœuvres frauduleuses entachant les
reportings financiers ; Cette commission était plus connue sous le nom de son premier
président, le sénateur Treadway.
Le premier rapport émis en 1987 a recommandé, le développement d‟un cadre de référence
pour le contrôle interne et c‟est ainsi que le Committee of Sponsoring Organizations (COSO)
71
Foreign Corrupt Practices Act (FCPA) of 1977
72
Il s‟agit des différentes corporations en matière comptable et principalement American Institute of Certified
Public
Accountants (AICPA), American
International (FEI), The
Institute
of
Accounting
Internal
Association (AAA), Financial
Auditors (IIA)
and The
Institute
of
Executives
Management
Accountants (IMA).
73
National Commission on Fraudulent Financial Reporting
44
44
ait été formé. L‟organisme privé ainsi institué, a confié au cabinet Coopers & Lybrand de
préparer un cadre de référence pour le contrôle interne. Les travaux de ce cabinet ont été
couronnés par l‟émission d‟un rapport en 1992 et connu sous le nom du COSO1.
Ce cadre constitue le cadre le plus important et le plus utilisé en matière de contrôle interne et
a été depuis développé pour tenir compte des recommandations qu‟on lui adressé pour donner
lieu en 2002 au COSO 2 Enterprise Risk Management Framework (COSO ERM).
Dans ce qui suit nous allons présenter les 2 référentiels COSO 1 et COSO 2 et le
positionnement du premier par rapport au second.
B.
Les principes
Le COSO se base sur les principes suivants :
-
Le contrôle interne est un processus.
-
Le contrôle interne est l‟affaire de tous, car il est mis en place par le personnel de
l‟entreprise à divers échelons.
-
Le contrôle interne ne donne qu‟une assurance raisonnable quant à l‟atteinte des
objectifs de fiabilité des processus.
Ainsi il ressort des ces principes que le contrôle interne selon COSO est un processus, un
moyen, pas une fin, qui ne se cantonne pas à un recueil de procédures mais qui nécessite
l‟implication de tous, et à chaque niveau de l‟organisation, et qui en tous états de causes ne
donne qu‟une assurance raisonnable quant à l‟atteinte des objectifs de fiabilité, vu les
limitations inhérentes à sa mise en place. Ces limitations découleraient de la part importante
du jugement humain dans la mise en place d‟un tel système.
C.
Le cadre cubique du COSO
Dans ce qui suit nous allons présenter les objectifs et les composantes du contrôle interne
selon le cadre cubique du COSO.
45
45
i.
Les 3 objectifs du contrôle interne selon COSO
COSO a classé les objectifs suivis par le contrôle interne en trois catégories:
Objectifs opérationnels : Ces objectifs ont trait à l‟optimisation des ressources et à
l‟utilisation efficace et efficiente de ces dernières. Ce premier objectif, renvoi à la
réalisation optimale, efficace et efficiente, de l‟objet social de l‟entreprise
Objectifs d‟information : Il s‟agit des objectifs de fiabilité des communications
financières en interne et celles destinées au public, ainsi que la détection des erreurs
qui peuvent s‟y insérer.
Une information financière fiable, est une information régulière, sincère et conforme à
des principes et règles comptables connus et reconnus et qui vérifient les
caractéristiques
qualitatives
requises
de
l‟information
financière,
à
savoir,
l'intelligibilité, la pertinence, la fiabilité et la comparabilité, d‟une part, et s‟appuyant
sur un ensemble de principes sous-tendant la production de l‟information financière, à
savoir, l‟existence, l‟exhaustivité, les droits et obligations, l‟évaluation et le
rattachement ainsi que la présentation.
Objectifs de conformité : Il s‟agit de la conformité aux lois et réglementations
applicables et par suite à la prévention et détection des fraudes éventuelles.
L‟entreprise doit disposer d‟une organisation lui permettant de connaitre les diverses
lois qui lui sont applicables, d‟avoir une veille juridique lui permettant d‟être informé
à temps des divers changements qui y interviennent, de transcrire ces règles dans ses
procédures internes et d‟en tenir informé et former ses différents collaborateurs de ces
lois et règlements ainsi que de leur portées et étendues.
ii.
Les 5 composantes du contrôle interne selon
COSO
COSO répartit le contrôle interne en cinq composantes, existantes au sein de toutes les
entreprises, inter reliées, s‟insérant dans le cadre de la réalisation de ses affaires et qui
dépendent principalement du style de gestion et de la taille de celles-ci.
46
46
Ces cinq composantes se détaillent comme suit :
1. L‟environnement de contrôle : Il s‟agit du principal pilier des autres composantes.
Il s‟agit du « terrain » où les différents intervenants, réalisent leurs taches et
exercent leurs responsabilités en matière de contrôle.
2. L‟évaluation du risque : C‟est au niveau de l‟environnement de contrôle que le
management évalue les risques susceptibles d‟entacher la réalisation des objectifs
visés par l‟entreprise.
3. Les activités de contrôle : Il s‟agit de toutes les procédures et règles de contrôle qui
sont mises en place par le management, et contrôlées par celui-ci, en vue de
contrecarrer les risques identifiés au sein de l‟environnement de contrôle. Ces
opérations permettent de s'assurer que les mesures nécessaires sont prises en vue
de maîtriser les risques susceptibles d'affecter la réalisation des objectifs de
l'entreprise. Les activités de contrôle, sont menées à tous les niveaux hiérarchiques
et fonctionnels de la structure.
4. Information et communication : Les informations pertinentes, efficaces, efficientes
et claires, notamment celles d‟origine financières, sont recueillies et diffusées au
sein de l‟environnement de contrôle, pour permettre la bonne conduite et l‟atteinte
des objectifs de l‟entreprise.
5. Le pilotage : Il s‟agit de toutes les actions et mécanismes mis en place, qui
permettent d‟assurer un suivi du système et qui peuvent donner lieu à des
ajustements ou encore des actions correctives. Ces actions sont apportées au
système, en vue de lui permettre de fonctionner convenablement.
Ces cinq composantes seront développées plus en détail, au niveau de la Deuxième partie :
Démarche d‟évaluation du système de contrôle interne : Le COSO et l‟AS 5 / Chapitre 1 :
Référentiels et composantes / 1.1.1.1 Environnement de contrôle
47
47
Paragraphe 2: Le COSO 2: Entreprise Risk management framework
A.
Positionnement du COSO 2 par rapport au COSO1
Bien que COSO 1 constitue le cadre de référence en matière de contrôle interne, des critiques
lui ont été adressées. Ces critiques, se fondaient sur le fait que COSO 1 se basait sur une
approche d‟ordre procédurale, se focalisant sur les contrôles existants au sein de l‟entreprise,
leur description et évaluation.
COSO 1 vise à mettre en place un bon système de contrôle interne, qui a pour finalité de
maitriser les risques faisant face à l‟entreprise : COSO 1 a été jugé, par suite, comme statique
se focalisant sur une orientation fonctionnelle.
COSO 2 est venu palier à ces insuffisances, et compléter le premier cadre, en mettant en place
un cadre réactif, un cadre de gestion de risque, proprement dit.
COSO 2 est donc un cadre de référence de gestion du risque. Un cadre bâti sur la base des
principes de COSO 1 et donc un cadre à forte connexité avec le cadre de référence de contrôle
interne. En effet, COSO 2 englobe COSO 1 étant donné qu‟il considère le contrôle interne
comme étant une composante importante et primordiale dans la gestion du risque.
B.
Les nouvelles notions introduites par COSO 2
COSO 2 a défini le management des risques come étant : « …un processus mis en œuvre par
le conseil d‟administration, la direction générale, le management et l'ensemble des
collaborateurs de l‟organisation. Il est pris en compte dans l’élaboration de la stratégie
ainsi que dans toutes les activités de l'organisation. Il est conçu pour identifier les
événements potentiels susceptibles d’affecter l’organisation et pour gérer les risques
dans les limites de son appétence pour le risque. Il vise à fournir une assurance
raisonnable quant à l'atteinte des objectifs de l'organisation ».
COSO 2 repose, donc, sur les incertitudes auxquelles l‟entreprise est confrontée dans le cours
de réalisation de ses objectifs. Les incertitudes ont trait, aux événements futurs, qui peuvent
48
48
englober les événements favorables, il s‟agit alors des opportunités, et ceux qui sont
défavorables, et qui sont les risques rencontrées dans le cours de réalisation des objectifs de
l‟entreprise.
Le référentiel de management du risque a donc pour finalité, d‟octroyer une assurance
raisonnable quant à la gestion du risque, déterminant par suite, un degré d‟incertitude et de
prise de risque acceptable qui permettrait à l‟entreprise, de réaliser ses objectifs et d‟accroitre
sa valeur : Il s‟agit donc là, de la totalité des objectifs poursuivis par l‟entreprise, dont
notamment les objectifs stratégiques et opérationnels, qui comportent une part de risque
importante, étant donné qu‟ils dépendent d‟éléments externes à l‟entreprise.
En outre, COSO 2, se propose de développer les modalités de traitement de ce risque, de
l‟identifier et de le gérer, afin de délimiter les pertes opérationnelles dues aux incertitudes
rencontrées, et de saisir les opportunités, si de telles opportunités se présentent à elle : « Le
management des risques offre la possibilité d‟apporter une réponse efficace aux risques et aux
opportunités qui sont associés aux incertitudes auxquelles l‟organisation fait face, renforçant
ainsi sa capacité de création de valeur de l‟organisation74 ».
C.
Le cadre cubique du COSO 2
Le cadre cubique COSO 2 présente une subdivision en 8 composantes du risque, 4 types
d‟objectifs, qui sont appliqués aux 4 niveaux de l‟organisation.
i.
Niveaux de l’organisation
COSO 2, présente un découpage détaillé de la totalité de l‟entreprise. Afin de garantir son
efficacité, COSO 2 doit être appliqué à l‟entreprise en sa totalité et à l‟ensemble de ses
activités. Ces activités sont considérées en fonction de leur positionnement au sein de
l‟organisation.
74
COSO : Le management des risques de l entreprise Cadre de Référence-Synthèse
49
49
COSO 2 a adapté son découpage de l‟entreprise en 4 niveaux : l‟organisation, les unités de
métier, les processus métier et enfin les projets qui ne sont pas encore rattachés à l‟une de ses
catégories.
L‟organisation a trait aux activités de planification stratégiques et d‟allocation des ressources,
les business units, ainsi que les processus métiers ont quant à eux trait aux activités
opérationnelles de l‟entreprise.
L‟efficacité du cadre de référence de la gestion de risque, repose sur l‟application de ces
derniers à tous les niveaux de l‟entreprise et l‟adhésion de la totalité du personnel de celle-ci à
la notion de gestion de risque et son importance dans la réalisation des objectifs de
l‟entreprise et l‟accroissement de sa valeur.
ii.
Gestion des risques : Les 8 composantes
Le dispositif de management du risque, se décompose en huit éléments, soit trois de plus par
rapport au cadre de référence du contrôle interne, le COSO 1. Ces trois nouveaux éléments,
constituent les nouveautés qui ont été introduites par COSO 2, à savoir la notion des objectifs
stratégiques, de l‟identification des événements et de la gestion du risque proprement dit.
Les éléments de management du risque résultent de la façon dont l‟organisation est gérée, et
sont intégrés au processus de management. Ces éléments sont les suivants :
L‟environnement de contrôle : Comme c‟est le cas pour COSO1, il s‟agit du principal
pilier des autres composantes étant donné qu‟il s‟agit du « terrain » où les différents
intervenants réalisent leurs taches et exercent leurs responsabilités. Il s‟agit de la
culture et l‟esprit de l‟organisation. Il structure la façon dont les risques sont
appréhendées et pris en compte par l‟ensemble des collaborateurs de l‟entité, et plus
particulièrement la conception du management et son appétence pour le risque,
l‟intégrité et les valeurs éthiques, et l‟environnement dans lequel l‟organisation opère.
Fixation des objectifs : Les objectifs doivent avoir été préalablement définis, pour que
le management puisse identifier les événements potentiels et susceptibles d‟en affecter
50
50
la réalisation. Le management des risques permet de s‟assurer que la direction a mis
en place, un processus de fixation des objectifs et que ces objectifs sont en ligne avec
la mission de l‟entité ainsi qu‟avec son appétence pour le risque.
Identification des événements Les événements internes et externes, susceptibles
d‟affecter l‟atteinte des objectifs d‟une organisation, doivent être identifiés, en faisant
la distinction entre risques et opportunités. Les opportunités sont prises en compte lors
de l‟élaboration de la stratégie ou au cours du processus de fixation des objectifs.
L‟évaluation du risque : Le risque est appréhendé selon la possibilité de sa survenance,
et l‟impact qu‟il pourrait avoir.
Traitement du risque : Il s‟agit de la panoplie de solutions permettant de faire face aux
risques : Evitement, acceptation, réduction ou partage. Pour ce faire, le management
élabore un ensemble de mesures, permettant de mettre en adéquation le niveau des
risques avec le seuil de tolérance et l‟appétence pour le risque de l‟organisation.
Activités de contrôle : C‟est l‟ensemble des politiques et procédures qui sont définies
et déployées, afin de veiller à la mise en place et l‟application effective des mesures de
traitement des risques.
Information et communication : Afin de se faire, les informations pertinentes,
efficaces, efficientes et claires, sont recueillies et diffusées pour permettre la bonne
conduite et l‟atteinte des objectifs de l‟entreprise. La communication doit circuler
verticalement et transversalement au sein de l‟organisation de façon efficace.
Le pilotage : Il s‟agit de toutes les actions et mécanismes, mis en place, qui permettent
d‟assurer un suivi du système et qui peuvent donner lieu à des ajustements, ou encore
à des actions correctives, qui sont apportées au système de management du risque, en
vu de lui permettre de fonctionner convenablement.
L‟efficacité du dispositif, est appréciée si les huit éléments le constituant, sont mis en place et
fonctionnent efficacement. Le fonctionnement efficace, signifie l‟absence de défaillances
significatives dans l‟une de ces composantes qui permettent de générer un niveau de risque
qui s‟insère dans le niveau admis par l‟entreprise.
51
51
iii.
Objectifs
L es objectifs visés par COSO 2 sont répartis en quatre types : Les objectifs stratégiques,
opérationnels, de conformité et de reporting.
On notera à ce niveau que les trois derniers types d‟objectifs sont identiques aux objectifs
poursuivis par COSO 1, seul l‟objectif stratégique, objectif servant la réalisation proprement
dite de la mission de l‟entreprise, constitue donc, une nouveauté apportée par COSO 2. Aussi,
le dernier objectif est-il élargi pour tenir compte, outre des informations financières, des
informations qualitatives d‟ordre non financier.
L‟organisation, et de part le fait qu‟elle a le contrôle sur les objectifs relatifs à la fiabilité du
reporting et à la conformité aux lois et aux règlements, il lui est légitime d‟attendre du
processus de management des risques, une assurance raisonnable, quant à l‟atteinte de ces
objectifs. En revanche, l‟atteinte des objectifs stratégiques et opérationnels, dépend parfois
d‟événements extérieurs qui peuvent échapper au contrôle de l‟entreprise. Par conséquent, le
management des risques, ne peut donner qu‟une assurance raisonnable, que la direction et le
conseil d‟administration, dans son rôle de supervision, sont informés en temps utile de l‟état
de progression de l‟organisation vers l‟atteinte de ses objectifs.
Notons enfin, que les éléments du dispositif de management du risque, tel que défini par
COSO 2, constituent les outils nécessaires permettant à une entreprise d‟atteindre ses
objectifs. Le management du risque peut donc être traité dans sa globalité ou bien par
catégories d‟objectifs, par élément, par unité ou en les combinant, à condition de fonctionner
efficacement et de fournir l‟assurance raisonnable quant à la maitrise des risques et sa
délimitation par le niveau de l‟appétence du risque de l‟entreprise.
Le COSO 2 peut être synthétisé par suite comme suit75 :
75
Entreprise Risk Management – Integrated framework : Executive Summary – September 2004
52
52
Sous section 2 : Normes d’audit et l’apparition du standard d’audit 5 du PCAOB
A l‟instar de l‟évolution enregistrée au niveau de la normalisation en matière de contrôle
interne, et l‟insertion de nouvelles obligations en la matière, tel que traité précédemment, des
évolutions ont suivi en matière de la normalisation d‟audit.
Dans ce qui suit, nous allons retracer l‟évolution enregistrée au niveau de cette normalisation.
Paragraphe 1: Les normes de l’IFAC
A. Le contrôle interne et la définition de la méthodologie d’audit
Le contrôle interne prend une place centrale au niveau de la méthodologie d‟audit ; En effet,
la méthodologie d‟audit, se basant sur les risques encourus par l‟entreprise, nécessite
l‟évaluation proprement dite, et préalable, du contrôle interne.
C‟est au niveau de la norme internationale d‟audit 315 « Connaissances de l‟entité et de son
environnement et évaluation du risque d‟anomalies significatives » que cette obligation ait été
insérée au niveau de la méthodologie d‟audit. Cette norme requiert une compréhension
approfondie de l'entreprise, de son environnement et de son contrôle interne, pour pouvoir
exécuter la mission d‟audit et formuler une opinion d‟audit.
53
53
L'auditeur prend connaissance du contrôle interne, pour identifier les types d‟anomalies
potentielles, pour évaluer les facteurs pouvant engendrer des risques d‟anomalies
significatives et pour définir la nature, le calendrier et l‟étendue des procédures d'audit
nécessaires à mettre en œuvre, pour la formulation de son opinion d‟audit.
ISA 315 exige d‟identifier, évaluer et donner la priorité aux risques d'anomalies significatives
dans les états financiers, afin que l'effort le plus important soit axé en priorité sur les secteurs
à risques les plus significatifs. Pour se faire, il est donc impératif de comprendre le
fonctionnement de l‟entreprise, de cerner les spécificités de son environnement et d‟évaluer
les contrôles internes qui sont mis en place.
ISA 315 interdit donc, à l‟auditeur de se baser sur une stratégie où les risques sont considérés
à un niveau maximal, niveau où la direction ne met pas en place de contrôles satisfaisants,
pour s'affranchir de l'analyse des risques et planifier directement les procédures de
vérifications des comptes, et ce, quelle que soit l'activité et l'importance de l'entité contrôlée.
L'auditeur doit inéluctablement comprendre l‟entité, son fonctionnement et évaluer son
système de contrôle interne.
Les étapes suivantes sont alors recommandées par ISA 315 pour évaluer les risques
d‟anomalies significatives sur les états financiers :
Compréhension de l'entreprise, de son environnement et de son contrôle interne.
Prise en considération du risque de fraude.
Liens entre les objectifs de l'entreprise, les risques s'y rapportant et les contrôles mis
en place.
Identification des risques pertinents pour l'audit.
On notera, à ce niveau, que ces obligations ont été insérées au niveau de la nouvelle version
de la norme76, donnant lieu ainsi, à une évolution considérable de la perception que les
normes internationales d‟audit, ont de l‟importance du contrôle interne. En effet, il n‟est plus
permis de passer directement aux contrôles substantifs et ignorer les systèmes de contrôle
interne existants.
76
La dernière version de la norme ISA 315 a vu le jour le 29 Juin 2006.
54
54
Bien que l‟objectif de la méthodologie d‟audit par les risques ne change pas, il s‟agit d‟une
approche nouvelle, voulue par les ISA. Cette nouvelle perception, et les étapes préconisées
pour se faire, sont à notre sens, à forte corrélation avec les dispositions du cadre de référence
COSO et proviennent des obligations qui ont été insérées par la loi de sécurité financière
Américaine. Il s‟agit, à notre sens, d‟un rapprochement voulu entre les normes internationales
d‟audit et les normes d‟audit émises par le Public Company Accounting Oversight Board
(PCAOB).
B. Le risque de contrôle et son impact sur la mission d’audit
L‟auditeur est donc appelé de part la norme ISA 315, à évaluer le système de contrôle interne.
Il doit planifier et effectuer son audit, dans l‟objectif de réduire le risque d‟audit à un niveau
faible et acceptable.
Le risque d‟audit est scindé en trois catégories :
Le risque inhérent : Il s‟agit du risque lié à la nature de l‟activité de l‟entreprise, à son
environnement et son organisation.
Le risque de contrôle : Il s‟agit du risque que des anomalies significatives puissent
survenir au niveau des contrôles mis en place par l‟entreprise, pour faire face aux
risques encourus, sans être prévenues ou détectées à temps. Ce risque dépend de la
conception et de l‟efficacité de fonctionnement des contrôles mis en place, qui
permettent à l‟entreprise, d‟établir et de présenter des états financiers fiables, reflétant
la réalité économique de l‟entreprise.
Le risque de non détection : C‟est le risque lié à l‟audit lui-même ; L‟auditeur doit
limiter l‟étendu de ce risque.
L‟auditeur doit limiter le risque que les états financiers de l‟entreprise ne comportent pas
d‟anomalies significatives, et évaluer ainsi les trois catégories de risque qui viennent d‟être
citées. Le troisième risque devrait être toujours tiré à son niveau le plus bas, et ce par le biais
d‟une bonne planification et exécution de la mission d‟audit. Les deux premiers risques, quant
à eux, sont des risques liés à l‟entreprise.
55
55
La méthodologie d‟audit et l‟étendue des travaux de l‟auditeur dépendent, donc, largement du
risque lié au contrôle : En effet, un risque de contrôle faible, signifie l‟existence d‟un bon
système de contrôle interne fonctionnant convenablement : L‟auditeur, par suite, pourrait se
baser sur ce système de contrôle interne, et ses tests substantifs seront limités. Un risque lié au
contrôle élevé, donnerait lieu à des tests substantifs étendus permettant d‟affirmer,
raisonnablement, que les états financiers ne comportent pas d‟anomalies significatives.
L‟évaluation du contrôle interne, donc, est primordiale dans une mission d‟audit, selon les
normes de l‟IFAC. Cette évaluation, permet de mettre en place, une méthodologie d‟audit
appropriée, qui permet de cerner et diminuer les risques liés au contrôle, et d‟exprimer une
opinion d‟audit adéquate. L‟évaluation du contrôle interne, s‟insère, donc, dans un objectif
méthodologique permettant d‟aboutir à l‟expression d‟une opinion sur les états financiers.
Cette évaluation, n‟étant pas une fin en soi, mais une composante principale dans la
méthodologie d‟audit, permettant de délimiter le champ des travaux à effectuer et de mettre en
place une stratégie structurée, permettant à l‟auditeur de certifier et de formuler, de façon
claire, son opinion d‟audit.
Ceci ne répond plus aux obligations d‟évaluation du contrôle interne tel qu‟il a été exigé de le
faire par les lois de sécurités financières, le cas échéant la loi de sécurité financière tunisienne,
qui a rendu obligatoire l‟évaluation périodique, du contrôle interne77 des sociétés auditées78, et
la formulation d‟une opinion à insérer au niveau du rapport général du commissaire aux
comptes, pour ce qui est des sociétés faisant appel public à l‟épargne79.
A l‟échelle internationale, notamment aux USA, le PCAOB a été appelé à légiférer en la
matière, et a émis une norme répondant aux besoins nouveaux requis par la loi de sécurités
77
78
Les termes de la loi renforçant les sécurités financières et la loi 2005-65 du 27 Juillet 2005Article 266 alinéa 2
nouveau de la loi 2005-65 loi modifiant et complétant le code des sociétés commerciales
79
56
56
financières Américaine : A savoir une norme qui répond au double objectif de la certification
du contrôle interne et de la certification des états financiers.
Paragraphe 2: Les normes d’audit du PCAOB
A. Présentation
Le PCAOB, dans la loi organique l‟ayant crée, a été accrédité de la possibilité de légiférer
dans le cadre des attributions qui lui ont été conférées. C‟est dans ce cadre, que le PCAOB a
émis un ensemble de normes portant sur la mise en place des obligations insérées par la loi de
sécurités financières Américaine, et notamment sur la mise en application de la norme
permettant l‟auto-évaluation du contrôle interne par la direction et l‟expression d‟une opinion
par les auditeurs sur cette même évaluation. C‟est ainsi que la norme d‟audit No. 2 “An Audit
of Internal Control Over Financial Reporting Performed in Conjunction with An Audit of
Financial Statements80” a vu le jour le 09/03/2004. Cette norme, a été depuis, abrogée et
remplacée en date du 12/07/2007 par la norme d‟audit No. 5 “An Audit of Internal Control
Over Financial Reporting That Is Integrated with An Audit of Financial Statements”.
B. Nouveautés de l’approche d’audit
i.
Un double objectif
La loi de sécurité financière, prévoit que la mission visant la publication d'un rapport sur le
contrôle interne et la mission de vérification des états financiers, sont effectuées par le même
auditeur, que les deux missions sont concomitantes; et que la direction a l'obligation légale de
fournir une appréciation de l'efficacité du contrôle interne exercé sur l'information financière,
sur laquelle le vérificateur se prononce.
80
Le PCAOB a publié en date du 16 Mai 2005, un texte d‟application a portée pratique intitulé : « Policy
statement regarding implementation of Auditing standard No. 2 », et qui a eu pour objectif de détailler
l‟approche à mettre en œuvre par les auditeurs pour atteindre une application efficace et efficiente de la norme
d‟audit.
57
57
Il s‟agit donc, pour l‟auditeur, de donner son avis sur l‟évaluation du contrôle interne, par la
direction d‟une part, d‟évaluer le contrôle interne par ses propres moyens, d‟autre part, et
d‟exprimer une opinion d‟audit sur les états financiers in-fine. L‟auditeur doit donc, se
prononcer sur le contrôle interne, et ce de façon indépendante de sa mission d‟audit et la
stratégie qu‟il a mis en œuvre pour certifier les états financiers.
L‟auditeur poursuit donc, deux objectifs différents, mais se doit de planifier et exécuter ses
travaux pour atteindre ses objectifs dans une seule mission, une mission d‟audit intégrée : Ces
deux objectifs sont :
Evaluer le système de contrôle interne relatif à la préparation du reporting financier et
exprimer une opinion sur ce système, à la date de clôture, et sur l‟évaluation qui en est
faite par la direction.
Exprimer une opinion sur les états financiers.
La norme d‟audit du PCAOB est venue donc, répondre aux obligations mises en place par la
loi de sécurité financière, et pallier à la situation de vide qui a découlé de ces obligations, vu
que les normes déjà existantes, notamment celles de l‟IFAC, ne permettaient pas de répondre
aux obligations mises en place par la loi de sécurités financières Américaine.
En Tunisie, et bien que des obligations similaires avaient été mises en place par la loi
renforçant les sécurités financières, aucune norme permettant d‟atteindre ce double objectif
d‟évaluation du contrôle interne et de certification des états financiers, n‟a été adoptée.
ii.
Concept du contrôle interne relatif à la publication des états
financiers
Pour rappel, le système de contrôle interne à l‟égard de l‟information financière, est défini
comme étant un processus, conçu par le chef de la direction et le chef des finances, ou par des
personnes exerçant des fonctions analogues, ou sous leur supervision, et mis en œuvre par le
conseil d'administration, la direction ou d'autres employés, pour fournir une assurance
raisonnable que l'information financière est fiable et que les états financiers ont été établis,
58
58
aux fins de sa publication, conformément aux principes et normes comptables, y compris les
politiques et procédures qui :
a) concernent la tenue de dossiers suffisamment détaillés, qui donnent une image fidèle et qui
reflètent la réalité des opérations et des cessions d'actifs de l'entreprise;
b) fournissent une assurance raisonnable, que les opérations sont enregistrées comme il se
doit, pour établir les états financiers conformément aux normes et principes comptables
admis, et que les encaissements et décaissements de l‟entreprise ne sont faits qu'avec
l'autorisation de la direction et du conseil d'administration;
c) fournissent une assurance raisonnable, que toute acquisition, utilisation ou cession, non
autorisée, des actifs de l'émetteur, qui pourrait avoir une incidence importante sur les états
financiers est soit interdite, soit détectée à temps;81
Le contrôle interne à l‟égard de l‟information financière, est donc le processus de contrôle
interne, mis en place pour assurer le bon fonctionnement de la fonction financière et
comptable au sein de l‟entreprise. Ce système a pour finalité, d‟assurer, raisonnablement, la
fiabilité de l‟information financière publiée et sa conformité à la réalité économique, c'est-àdire la traduction fidèle de la totalité des transactions ayant eu lieu au niveau du reporting
financier.
iii.
Limites
inhérentes
au
contrôle
interne,
assurance
raisonnable et matérialité
Le dispositif de contrôle interne, aussi bien conçu et aussi bien appliqué soit-il, ne peut, en
aucun cas, fournir une garantie absolue quant à la réalisation des objectifs d‟une organisation.
Il existe en effet, des limites inhérentes à tout contrôle interne. Ces limites résultent de
nombreux facteurs, notamment des incertitudes du monde extérieur, de l‟exercice de la faculté
de jugement ou des dysfonctionnements pouvant survenir
en raison d‟une défaillance
humaine, d‟une simple erreur ou d‟une fraude.
81
PCAOB Audit standard # 5 / Appendix A : Definition
59
59
Ces limites inhérentes au contrôle interne, le cas échéant celui relatif à l‟information
financière, rendent possible, le risque de survenance de défaillances significatives, qui
seraient, ni prévenues, ni détectées à temps, au niveau du contrôle interne relatif à la
publication du reporting financier. Par suite, le contrôle interne relatif à l‟information
financière ne peut, en aucun cas, délivrer une assurance absolue, mais ne peut délivrer qu‟une
assurance raisonnable que les objectifs suivis par ce dernier soient atteints.
L‟assurance raisonnable, a trait donc, au fait d‟amener le risque de non prévention et de non
détection d‟anomalies significatives au niveau du contrôle interne relatif à la préparation du
reporting financier, à son niveau le plus bas.
Il s‟agit donc, d‟apprécier le risque de survenance d‟anomalies significatives, qui ne seraient,
ni prévenues, ni détectées, à temps. La notion de significativité, tient au fait qu‟une décision
économique puisse être modifiée suite à sa survenance.
Ceci nous amène à traiter la notion de matérialité : A ce niveau, les principes qui ont été
reconduits par AS 5, sont identiques, à ceux prévus pour la conduite d‟une mission d‟audit
d‟états financiers.
En effet, la norme d‟audit PCAOB 5, renvoie à la norme d‟audit Américaine AU sec 31282,
Les dispositions de cette norme sont, à leur tour, conformes aux principes retenus par les
normes internationales d‟audit83 (ISA), ainsi qu‟aux normes d‟audit de la CNCC84
(Française).
82
Norme Américaine d‟audit intitulée: Audit risk and materiality in concluding an audit (Source SAS 47, SAS
82, SAS 96, SAS 98
83
La notion de matérialité a été traitée par la norme internationale d‟audit 320 : « Caractère significatif en
matière d‟audit »
84
Les Normes d‟Exercice Professionnel (NEP) de la Compagnie Nationale de Commissariat aux
Comptes(CNCC) ont reconduit les mêmes obligations que ceux édictés par les normes internationales d‟audit
(ISA) ; La notion de matérialité a été reconduite par la NEP 320 : « Anomalies significatives et seuil de
signification ». Cette norme d'exercice professionnel, correspond à l'adaptation de la norme ISA 320 a été
homologuée par arrêté du 6 octobre 2006 publié au J.O. n° 239 du 14 octobre 2006.
60
60
Selon ces normes, la notion de matérialité tient au fait qu‟une information comptable ou
financière inexacte, insuffisante ou omise, en raison d'erreurs ou de fraude, d'une importance
telle que, seule ou cumulée avec d'autres, elle peut influencer le jugement de l'utilisateur de
cette information.
Au niveau de la mission d‟audit, l‟auditeur fixe un seuil de signification correspondant au
seuil au-delà duquel les décisions économiques ou le jugement fondé sur les comptes sont
susceptibles d'être influencés ; ce seuil correspond au seuil au-delà duquel une erreur ou
omission est considérée, par suite, comme étant significative.
L‟utilisation de ces mêmes critères de matérialité permet à l‟auditeur d‟effectuer ces travaux,
de sorte à couvrir la totalité des risques, et de concentrer ces travaux au niveau des risques, de
défaillances significatives85 qui pourraient survenir au niveau du contrôle interne pour la
préparation du reporting financier.
iv.
Approche d’audit
La norme d‟audit 5 du PCAOB préconise l‟utilisation d‟une approche d‟audit basée sur les
risques : Une approche dite top-down. Cette approche se base sur la connaissance de
l‟auditeur des risques de contrôle interne sous tendant la préparation et la communication des
états financiers. Il s‟agit d‟une approche qui se base sur les principes utilisés pour les besoins
de l‟audit d‟états financiers proprement dit.
L‟auditeur et grâce à sa maitrise des zones de risque sous tendant la préparation et la
publication d‟états financiers, focalise ses travaux sur les contrôles mis en place et effectués
par l‟entreprise, et exerce son jugement professionnel pour se concentrer sur ces zones.
Une fois les contrôles délimités, l‟auditeur détermine les comptes et le groupe de transactions
significatifs et concentre ses travaux d‟évaluation sur les contrôles au niveau de toutes les
assertions relevant de ces comptes et transactions significatifs, notamment ceux qui pourraient
85
Il convient de noter à ce niveau que dans une mission d‟audit intégré d‟états financiers et de contrôle interne
du reporting financier n‟ont pour finalité que de détecter les défaillances, qui prises de façon individuelle ou de
façon cumulée sont considérées comme significatives : AU sec 312 Note du paragraphe 5
61
61
comporter des erreurs significatives au niveau du reporting et autres communications
financières.
Section 3 : Analyse des pratiques du contrôle interne en Tunisie
A présent, nous allons nous intéresser aux pratiques du contrôle interne en Tunisie. Nous
allons analyser les pratiques des différents intervenants en la matière, à savoir les directions,
d‟une part, et les auditeurs d‟autre part.
La présente section, retracera l‟évolution des pratiques de contrôle interne, suite à l‟émission
des obligations ayant été introduites par la loi ayant renforcé les sécurités financières.
La présente analyse, a porté sur la totalité des entreprises, autres que les sociétés financières,
admises à la cote de la bourse de Tunis, et pour qui les obligations introduites par la loi
renforçant les sécurités financières s‟appliquent. L‟échantillon observé a couvert les 29
sociétés admises à la cote de la bourse de Tunis à la date du 31/12/2009, et s‟est détaillé come
suit :
Sociétés admises à la cote de la bourse autres que financières
(à la date du 31/12/2009)
30
20
Sociétés admises à la cote de la bourse
autres que financières
10
0
Etats financiers disponibles
Etats financiers non disponibles
Notre travail, s‟est focalisé sur les informations publiées et celles qui ont été rendues
disponibles, des sociétés faisant appel public à l‟épargne en Tunisie. Ce travail a porté par
suite sur l‟analyse des rapports des commissaires aux comptes des sociétés cotés, et sur les
rapports de gestion des dites sociétés86.
86
Notre travail a été fait sur les rapports de gestion et les rapports des commissaires aux comptes de l‟exercice
clos le 31/12/2009
62
62
Notre travail, s‟est focalisé sur l‟analyse des pratiques des organes de direction, d‟une part, et
sur les pratiques des commissaires aux comptes des dites sociétés en matière de contrôle
interne, d‟autre part.
1. Pratiques des directions en matière du contrôle interne en Tunisie
Notre étude a porté sur l‟analyse du contenu des rapports de gestion en matière de contrôle
interne : Nous avons étudié à ce niveau, la conformité des rapports de gestion avec les
obligations ayant été insérées et mises à la charge des organes de direction en matière
d‟information sur le contrôle interne, et tel qu‟il a été stipulé par les dispositions de la loi
renforçant les sécurités financières combinées avec les termes des lois 94-117 du 14
novembre 1994 et 2005-65 du 27 juillet 2005 ayant modifié et complété le code des sociétés
commerciales, et qui ont mis à la charge de ces organes, l‟obligation d‟insérer au niveau de
leurs rapports de gestion, des éléments sur le contrôle interne.
A ce niveau on note, que les sociétés cotées Tunisiennes ne sont obligées, que de publier leurs
états financiers, et que par suite les rapports de gestion restent dans la majorité des cas non
disponibles, alors qu‟ils devraient être communiqués au public. Seules quelques entreprises
procèdent à la publication de leurs rapports de gestion (rapports publiés au niveau des sites
web pour certaines entreprises qui en possèdent).
Les termes de la loi, restés vagues, et n‟ayant pas spécifié le contenu que devrait revêtir un
rapport de gestion, font de ce dernier, un rapport descriptif, comportant, principalement, une
compilation des données financières contenues au niveau des états financiers de l‟entreprise,
alors que ces états financiers et le rapport du commissaire aux comptes sur ces derniers, font
partie intégrante de ce rapport. Les entreprises cotées tunisiennes, semblent reconduire donc
les mêmes informations requises par le CMF concernant les rapports d‟activités publiées
trimestriellement.
Au niveau du contrôle interne, et bien que la loi ait obligé les sociétés cotées à insérer des
éléments sur ce dernier au niveau de leurs rapports de gestion, aucune de ces sociétés ne
semble se conformer à ces obligations. En effet, aucun des rapports de gestion, des trois
63
63
derniers exercices, des sociétés autres que financières, admises à la cote de bourse des valeurs
mobilières de Tunis, ne comporte d‟éléments sur le contrôle interne.
Les termes de la loi, restés très vagues et non sanctionnés, expliquent, à notre sens, le non
respect de ces obligations.
Ces termes gagneraient, par suite, à être plus explicites et plus clairs. A notre avis, le contenu
du rapport de gestion gagnerait à être plus détaillé et même standardisé, à l‟instar de ce qui est
fait à l‟échelle internationale et notamment aux Etas Unis. En effet, le contenu du rapport de
gestion émis par les sociétés cotées aux USA, se doit de se conformer aux détails insérés par
la norme 20-F87. Cette norme a présenté, et de façon détaillée, le contenu que devrait revêtir
un rapport de gestion.
La norme de la SEC a inclus un ensemble d‟instructions à respecter par les sociétés cotées
pour l‟établissement de leurs rapports de gestion. Ces instructions ont été déclinées en 19
chapitres88 . C‟est au niveau du chapitre 1589 intitulé Procédures et contrôles, qu‟ont été
présentées, les informations à publier concernant le contrôle interne.
87
88
http://www.sec.gov/about/forms/form20-f.pdf
La norme F20 a décliné les informations à présenter au niveau du rapport de gestion en 19 chapitres se
détaillant comme suit :
Item 1. Identity of Directors, Senior Management and Advisers
Item 2. Offer Statistics and Expected Timetable
Item 3. Key Information
Item 4. Information on the Company
Item 5. Operating and Financial Review and Prospects
Item 6. Directors, Senior Management and Employees
Item 7. Major Shareholders and Related Party Transactions
Item 8. Financial Information
Item 9. The Offer and Listing.
Item 10. Additional Information.
Item 11. Quantitative and Qualitative Disclosures About Market Risk.
Item 12. Description of Securities Other than Equity Securities.
Item 13. Defaults, Dividend Arrearages and Delinquencies.
Item 14. Material Modifications to the Rights of Security Holders and Use of Proceeds.
Item 15. Controls and Procedures.
Item 16.[Reserved]
Item 17. Financial Statements.
Item 18. Financial Statements.
Item 19. Exhibits.
64
64
Le chapitre 15, oblige les sociétés cotées aux USA d‟insérer les éléments suivants au niveau
de leurs rapports de gestion :
Divulguer les conclusions sur l‟efficacité du contrôle interne : Les responsables des
fonctions comptables et financières présentent à ce niveau leurs conclusions et
informations sur le contrôle interne.
Le rapport annuel de la direction sur le contrôle interne relatif à l‟information
financière : Le rapport contient une évaluation proprement dite du contrôle interne à
l‟information financière. Le rapport se doit d‟inclure la déclaration de la direction
quant à sa responsabilité pour la mise en place et le maintien d‟un tel contrôle interne,
le cadre de référence utilisé par la direction pour l‟atteinte de cet objectif, ainsi que
l‟auditeur ayant procédé à l‟évaluation de ce rapport.
Le rapport de l‟auditeur sur l‟évaluation de la direction de son contrôle interne relatif à
l‟information financière.
Les changements ayant intervenus sur le contrôle interne relatif à l‟information
financière depuis la date de la dernière clôture.
De plus, ces sociétés sont tenues, obligatoirement, par la publication de leurs rapports au
niveau de leurs sites web.
La norme américaine, a bien détaillé le contenu du rapport de gestion à émettre par toute
société admise à la cote de la bourse Américaine. Ceci est de nature à enlever toute ambigüité
concernant les informations que devrait communiquer les directions de ces entreprises.
La loi tunisienne, en absence de standardisation et de définition claire du contenu des rapports
de gestion, gagnerait à devenir plus explicite à ce niveau et par suite sur le contenu des
éléments sur le contrôle interne que doit inclure ce rapport.
88
Item 15. Controls and Procedures
65
65
2. Pratiques des auditeurs en matière du contrôle interne en Tunisie
A ce niveau nous allons procéder à l‟analyse des rapports des commissaires aux comptes des
sociétés pour lesquelles on a procédé à l‟analyse des pratiques des directions en matière de
contrôle interne.
L‟analyse a porté sur l‟étude de conformité desdits rapports aux dispositions de l‟article 3
nouveau de la loi 2005-96, loi pour le renforcement des sécurités financières90. L‟article
précité a mis à la charge des commissaires aux comptes des sociétés faisant appel public à
l‟épargne, l‟obligation de revue périodique des systèmes de contrôle interne, et la
matérialisation de cette revue par l‟insertion d‟un paragraphe au niveau de leur rapport
général de commissariat aux comptes,
L‟observation de ces rapports nous a permis de relever les points suivants :
Certains rapports des commissaires aux comptes des sociétés cotées à la bourse des
valeurs mobilières de Tunis, et bien qu‟ils devraient être publiées dans un délai de
quatre mois, au plus tard, de la clôture de l‟exercice comptable 91 ne sont pas en
conformité avec ces délais.
Globalement, les rapports des commissaires aux comptes ont été en conformité, aux
normes d‟audit adoptés en Tunisie92, et ont inclus un paragraphe comportant la
responsabilité de la direction dans la préparation, l‟établissement et la présentation des
états financiers93. Les rapports déclarent la responsabilité totale et complète dans la
mise en place d‟un bon système de contrôle interne de celle ci. Cette responsabilité
« inclut la définition, la mise en place et le suivi d'un contrôle interne sur
90
L‟article 3 a modifie l‟article 14 de la loi 94-117 du 14 novembre 1994 portant réorganisation du marche
financier des sociétés faisant appel public à l‟épargne
91
Article 15 de la loi 2005-96 du 18 Octobre 2005, relative au renforcement de la sécurité des relations
financières, ayant modifié les dispositions de l‟article 3 de la loi 94-117 du 14 Novembre 1994
92
Les normes internationales d‟audit ont été adoptées, en 1999, par l‟Ordre des Experts Comptables de Tunisie
en tant que normes d‟exercice professionnel en Tunisie
93
Seuls 3 rapports n‟ont pas inclus de paragraphe mentionnant la responsabilité de la direction
66
66
l'établissement et la présentation sincère d'états financiers ne comportant pas
d'anomalies significatives, qu'elles résultent de fraudes ou d'erreurs94».
21
6
Obligation non respectée
Obligation respectée
Responsabilité de la direction en matière de contrôle interne
Les commissaires aux comptes semblent se conformer à l‟obligation de matérialisation
de leurs revues périodiques du contrôle interne, tel qu‟édicté par les termes de l‟article
3 nouveau de la loi 2005-96. Cette matérialisation s‟est traduite par l‟insertion d‟un
paragraphe au niveau de leurs rapports. En effet, uniquement 3 rapports des
commissaires aux comptes des sociétés, non financières cotées à la bourse des valeurs
mobilières de Tunis sur les 27 exploités, n‟ont pas insérés de paragraphe sur le
contrôle interne au niveau de leurs rapports relatifs à l‟exercice 2009.
Insertion d'un paragraphe d'évaluation sur le contrôle interne
Existence de paragraphe
d'évaluation
24
Absence de paragraphe
d'évaluation
3
Absence de paragraphe d'évaluation
94
Existence de paragraphe d'évaluation
ISA 700 « Rapport de l‟auditeur (indépendant) sur un jeu complet d‟états financiers à caractère général » a
présenté le contenu du rapport d‟audit / Paragraphe 28
67
67
Le paragraphe d‟évaluation du contrôle interne a été majoritairement (21 sur un total
de 24) inséré après l‟opinion d‟audit95, principalement au niveau des vérifications
spécifique (21 rapports). Uniquement trois commissaires aux comptes ont inséré le
paragraphe en question au niveau d‟un paragraphe précédant leurs opinions d‟audit
pour les états financiers de 2009.
Paragraphe d'évaluation du contrôle interne
Paragraphe d'évaluation du contrôle interne
Rapport général
- Avant opinion
Rapport général
- Post Opinion
Rapport général
- Vérifications
spécifiques
Rapport spécial
3
2
18
1
La formulation utilisée fait ressortir que l‟évaluation du contrôle interne est effectuée
pour les besoins de la fixation de la stratégie d‟audit et non en tant qu‟évaluation
proprement dite de ce dispositif (18 rapports sur un total de 27). 5 rapports font
mention d‟une mission d‟évaluation proprement dite sans pour autant préciser le cadre
de référence, alors que les 4 cas restants ne mentionnent rien.
5 des rapports des commissaires aux comptes, des sociétés autres que financières
admises à la cote de la bourse des valeurs mobilières de Tunis, relatifs à l‟exercice
2009, renvoient à un rapport sur le contrôle interne qui aurait été émis à l‟attention de
la direction générale.
95
Le positionnement d‟un tel paragraphe a été prévu par le paragraphe 28 de l‟ISA 700 : « Lorsque l'auditeur
traite de ces autres obligations dans le rapport d'audit sur les états financiers, celles-ci doivent faire l'objet d'une
partie distincte du rapport, après l'opinion exprimée »
68
68
Formulation d'une opinion sur l'évaluation du contrôle interne
19
5
3
Référence à un rapport adressé à
la DG
Pas de paragraphe d'évaluation
Formulation négative de l'opinion
sans renvoi àaucu autre rapport
A notre sens un tel renvoi (à la lettre de contrôle interne), nous semble inapproprié du
fait que l‟accès à cette lettre n‟est pas du ressort public, et qu‟elle n‟est destinée qu‟à
l‟attention de la seule direction.
11% des rapports ne font mention d‟aucun paragraphe d‟évaluation du contrôle
interne, et ne respectent pas par suite les obligations de la loi de renforcement des
sécurités des relations financières.
Sur la population ayant inclus un paragraphe d‟évaluation du contrôle interne, 79%96
des rapports des commissaires aux comptes, sur les états financiers des sociétés autres
que financières de l‟exercice 2009, comportent une affirmation négative. Le reliquat
de la population, soit 21%97 ne contiennent aucune affirmation et font un simple
renvoi à la lettre de contrôle interne.
Notons à ce niveau, que l‟expression d‟une assurance négative en matière d‟audit, a
été prévu pour fournir un niveau d'assurance modéré que les informations examinées
ne comportent pas d'anomalies significatives. Les commissaires aux comptes ne
produisent donc, qu‟un niveau d‟assurance modéré sur le contrôle interne relatif à la
présentation et la préparation des états financiers. L‟assurance modérée provient du
fait que les diligences ayant eu lieu sur ce dernier, sont limitées et ne permettent en
aucun cas la formulation d‟un avis revêtant les caractéristiques d‟assurance délivrée
par une opinion d‟audit.
96
19 sociétés sur une population totale de 24 sociétés
97
5 sociétés sur une population totale de 24 sociétés
69
69
L‟assurance positive quant à elle, nous parait fortuite, du fait de l‟absence d‟un cadre
de référence qui permet la délivrance d‟un tel niveau d‟assurance.
Le renvoi à la lettre de contrôle interne est inapproprié du fait que l‟accès à cette lettre
n‟est pas du ressort public, et qu‟elle n‟est destinée qu‟à l‟attention de la seule
direction.
Notons enfin, que les auditeurs américains ne sont pas autorisés à délivrer une
affirmation négative sur l‟évaluation faite du contrôle interne : En effet la volonté du
législateur Américain, était d‟assurer la mise en place des meilleures règles possibles
en matière de gouvernance, et de garantir l‟évaluation du système de contrôle interne
mis en place pour atteindre cet objectif. Le législateur américain requiert, donc, la
délivrance d‟un niveau d‟assurance élevé de la part des auditeurs Américains en ce qui
concerne le contrôle interne, à l‟instar de ce qui est requis pour l‟opinion sur les états
financiers publiés.
L‟absence d‟un cadre légal clair, rend la tâche des commissaires aux comptes tunisiens
délicate pour pouvoir délivrer une opinion avec un niveau d‟assurance raisonnable que le
contrôle interne ne comporte pas d‟anomalies significatives et fonctionne convenablement.
Les termes de la loi de renforcement des sécurités financières, et bien qu‟ils ne soient pas très
clairs, viseraient à aboutir à une certification du contrôle interne par les commissaires aux
comptes. L‟état des lieux actuel, en ce qui concerne la normalisation de la profession d‟audit
légal en Tunisie, ne permet en aucun cas, l‟atteinte d‟un tel objectif.
En effet, la normalisation tunisienne actuelle se caractérise par l‟absence d‟une norme d‟audit
permettant l‟atteinte de cet objectif ou de norme professionnelle prévoyant les diligences à
mettre en œuvre par les auditeurs pour exprimer une certification conjointe des états
financiers et du contrôle interne, à l‟instar de la norme d‟audit du PCAOB.
70
70
Conclusion de la première partie
Les lois de sécurités financières publiées un peu partout dans le monde, ont consacré les
règles et principes de bonne et saine gouvernance, mettant en place centrale, pour l‟atteinte de
celle-ci, le contrôle interne.
Les législateurs ont pris conscience de l‟importance conférée au contrôle interne en tant que
garant de la pérennité des entreprises et des sécurités des transactions financières de celles ci.
Les nouvelles obligations apportées par les lois de sécurités financières ont exigé
l‟amélioration des communications destinées à l‟actionnariat et aux marchés concernant le
contrôle interne. Ces obligations ont été mises à la charge des organes de direction et des
auditeurs, et se sont traduites, par la mise en place de modèles évaluatifs dans la plupart des
pays et notamment aux USA, où le modèle adopté constitue le modèle le plus utilisé à
l‟échelle internationale.
En Tunisie, et bien que de meilleures communications sur le contrôle interne aient été mises
en place et exigées par la loi de renforcement des sécurités des transactions financières, cellesci ne semblent pas s‟améliorer de façon considérable, pour autant. L‟absence d‟un modèle
évaluatif, c'est-à-dire, d‟un cadre de référence permettant l‟amélioration de ces
communications concernant le contrôle interne nous semble à l‟origine de celui-ci.
Dans la deuxième partie, nous nous proposerons d‟étudier le modèle évaluatif le plus répandu
et le plus développé à l‟échelle internationale, à savoir le modèle américain. Cette partie sera
consacrée à l‟étude du référentiel COSO et de la norme d‟audit 5 du PCAOB parmi les
référentiels les plus utilisés pour la certification du contrôle interne et elle aboutirait à la
proposition d‟une démarche combinée pour l‟évaluation du contrôle interne.
71
71
Deuxième partie :
Démarche d’évaluation du système de contrôle interne : Le
COSO et le standard d’audit 5 du PCAOB
72
72
Chapitre 1 : Référentiels et composantes
Section 1 : Présentation
Les nouvelles obligations apportées par les lois de sécurités financières ont exigé,
l‟amélioration des communications destinées à l‟actionnariat et aux marchés concernant le
contrôle interne.
Ces obligations ont été mises à la charge des organes de direction et des auditeurs, et se sont
traduites, par la mise en place de modèles évaluatifs pour se faire. Aux USA, ces modèles ont
été développés sous forme de norme d‟audit, à utiliser pour aboutir à la certification du
contrôle interne à l‟égard de l‟information financière et des états financiers et ce de façon
concomitante.
La norme 5 du PCAOB ainsi que le volume 3 du COSO ayant trait aux petites entreprises
(Small business) constituent à notre sens, des références normatives en la matière.
En ce qui suit, nous nous proposerons d‟étudier ce modèle évaluatif qui est considéré parmi
les référentiels les plus utilisés pour la certification du contrôle interne, en premier lieu, avant
de proposer une démarche combinée pour l‟évaluation du contrôle interne en deuxième lieu.
Paragraphe 1 : COSO
L‟adoption de la loi SOX aux USA, a fait que COSO internal control framework, soit reconnu
par la SEC et autres organismes professionnels, comme étant, le cadre conceptuel le plus
approprié pour aider les entreprises à évaluer et améliorer leurs systèmes de contrôle interne,
et répondre ainsi, aux exigences qu‟il a introduit.
Pour rappel, le cadre de référence de contrôle interne du COSO, a été émis en 1992, suite à la
mission qui a été confiée à un cabinet d‟audit indépendant en 1987. Les travaux de ce cabinet
ont été couronnés par l‟émission d‟un rapport sur le contrôle interne. Ce rapport, et en dépit
des années passées, a conservé toute sa pertinence et est considéré, unanimement, à cette date,
comme étant, « le » cadre conceptuel pour le contrôle interne, « le » cadre de contrôle interne
73
73
le plus approprié et le plus adapté et développé et qui est devenu depuis, la référence
commune qui imprègne largement toute réflexion sur le contrôle interne.
Le cadre de référence du contrôle interne, nommé COSO 1, a défini un ensemble de règles et
principes, permettant la mise en place d‟un bon système de contrôle interne, son évaluation
ainsi que son amélioration.
La cadre de référence du contrôle interne a été depuis sa rédaction, développé pour tenir
compte, des difficultés pratiques de son application et la lourdeur de sa mise en place
rencontrée, notamment, par les sociétés à tailles réduites. Ces dernières, ont fait face à des
couts imprévus pour la mise en place d‟un bon système de contrôle interne en conformité avec
les principes du COSO 1.
Pour palier à ses difficultés, COSO a émis en 200698, un document en trois volumes, intitulé
« Contrôle interne sur l‟information financière : Lignes directrices à l‟intention des petites
sociétés ouvertes ».
Ce document, a présenté des lignes directrices pour l‟application des dispositions du COSO 1,
par les sociétés de moindres tailles, les petites sociétés faisant appel public à l‟épargne.
Ces lignes directrices, constituent une aide aux dirigeants, pour établir et maintenir un
contrôle interne adéquat à l‟égard de l‟information financière, d‟une part, mais aussi pour leur
permettre d‟évaluer le caractère satisfaisant du contrôle interne avec beaucoup plus
d‟efficience, d‟autre part.
En effet, le document de Juin 2006 a été émis en trois volumes99, dont le troisième a été dédié
« aux outils pratiques pour évaluer le contrôle interne100 », sur lesquels, les dirigeants des
98
Le document a été émis en Juin 2006 et s‟intitule COSO internal control framework : Guidance for smaller
public companies
99
Le volume 1 contient un Résumé destiné aux conseils d‟administration et aux cadres dirigeants.
Le volume 2 offre un aperçu du contrôle sur l‟information financière pour les plus petites entreprises et présente
20 principes fondamentaux ainsi que les approches à adopter par les petites entreprises pour bien appliquer le
cadre.
Le volume 3contient des outils pratiques pour l‟évaluation du contrôle interne
74
74
petites sociétés ouvertes américaines, peuvent s‟appuyer et utiliser afin de « déterminer si la
société a appliqué les principes efficacement 101»
Le document a présenté les caractéristiques des plus petites entreprises 102, mettant l‟accent
surtout sur la taille et ce en dépit de la façon dont on l‟évalue à savoir, par les produits, le
personnel, les actifs ou d‟autres critères.
Le document, a présenté, et à titre indicatif, les caractéristiques suivantes comme indicateurs
des plus petites entreprises :
« - Un moins grand nombre de branches d’activité et de produits offerts par branche
d’activité ;
-
La concentration des activités de commercialisation, par circuit de distribution ou par
secteur géographique ;
-
Des dirigeants possédant une participation ou des droits de propriété importants ;
-
Un moins grand nombre de niveaux de direction et des responsabilités plus étendues ;
-
Des systèmes et protocoles de traitement des opérations moins complexes ;
-
Un moins grand nombre d’employés ayant des responsabilités plus vastes ;
-
Une capacité limitée à affecter des ressources aux positions hiérarchiques et
fonctionnelles, notamment en ce qui a trait aux affaires juridiques, aux ressources
humaines, à la comptabilité et à la vérification interne. »
La définition donnée par ces lignes directrices, aux plus petites entreprises, peut, à notre sens,
correspondre à toutes les entreprises tunisiennes et non seulement les PME.
100
Contrôle interne sur l‟information financière _ lignes directrices à l‟intention des petites sociétés ouvertes /
Volume 1 : Résumé – Juin 2006
101
Contrôle interne sur l‟information financière _ lignes directrices à l‟intention des petites sociétés ouvertes /
Volume 1 : Résumé – Juin 2006
102
Les lignes directrices de Juin 2006 ne contiennent pas de définition des petites entreprises : Elles ont parlé
« de « plus petites entreprises » pour indiquer qu‟elles visent une grande variété d‟entreprises, notamment celles
de plus au moins grandes tailles, mais pour qui ces lignes seraient suffisantes pour se conformer aux dispositions
du COSO 1
75
75
Dans ce qui suit, et pour les besoins de mise en place, de la démarche d‟évaluation proposée,
nous allons focaliser nos travaux sur les lignes directrices de Juin 2006 et notamment le
volume 3 ayant introduits les outils nécessaires pour l‟évaluation du contrôle interne sur
Paragraphe 2 : Standard d’audit n°5 du PCAOB (AS 5)
Le PCAOB, organisme soumis à la surveillance de la SEC103, a été accrédité de pouvoir
émettre des normes d‟audit qui permettent de répondre aux obligations introduites par la loi
SOX.
Au début du mois de mars 2004, le PCAOB a approuvé la version définitive d‟une norme
d‟audit intitulée « An Audit of Internal Control Over Financial Reporting Performed in
Conjunction with an Audit of Financial Statements 104».
La norme du PCAOB a défini des exigences, et a énoncé un ensemble de directives en matière
d‟évaluation du contrôle interne à l‟égard de l‟information financière. Ces directives, se
fondent sur les principes énoncés par le cadre de référence du contrôle interne du COSO.
En application de cette norme, les auditeurs sont tenus de délivrer une opinion sur la fiabilité
et sincérité de l‟évaluation du contrôle interne qui est effectuée par la direction et sur
l‟efficacité du dispositif de contrôle interne mis en place.
Cette norme a été depuis abrogée et remplacée par la norme intitulée « An audit of internal
control over financial reporting that is integrated with an audit of financial statements105 ».
103
Le PCAOB est composé de cinq membres nommés pour une durée de cinq ans par la SEC (« Securities and
Exchange Commission ») et leur mandat est renouvelable une seule fois. Deux personnes au plus parmi les cinq
membres peuvent être ou avoir été auditeurs, « certified public accountants ». Si le Président du PCAOB est une
de ces personnes, il convient qu‟il n‟ait plus exercé la profession d‟auditeur pendant au moins cinq ans à dater de
sa nomination comme Président
104
Norme d‟audit No. 2 du PCAOB
105
Norme d‟audit No. 5 du PCAOB promulguée en date du 12/07/2007
76
76
En effet, le PCAOB, et à l'issue de deux années de mise en œuvre de la loi SOX, et suite au
feedback provenant de l‟expérience accumulée, et les remarques et réserves formulées par les
auditeurs et par les entreprises Américaines, s‟est proposé de réviser la norme d'audit No. 2,
afin de recentrer l'auditeur sur des problématiques plus importantes et d'aider les auditeurs à
auditer de manière plus simple les petites entreprises.
La norme d‟audit du PCAOB se fonde sur le principe que l‟intégrité de l‟information
financière est la pierre d‟assise des marchés financiers : L‟évaluation du contrôle interne à
l‟égard de l‟information financière d‟une société, et les rapports y afférents, peuvent aider la
direction à établir un contrôle interne, ou à maintenir et améliorer celui qui existe déjà.
Les évaluations peuvent aider à repérer les procédures qui sont inefficaces compte tenu des
coûts, à réduire les coûts de traitement des informations comptables, à accroître la
productivité de la fonction Finances de la société et à simplifier les systèmes de contrôle
financier. Elles peuvent également réduire le nombre de retraitements dont les états financiers
font l‟objet, ainsi que le nombre de litiges.
Le principal avantage des évaluations, réside toutefois, dans le fait qu‟elles procurent une base
raisonnable et fiable en vue de la communication d‟une information financière fiable et
intègre.
L‟objectif poursuivi par la norme d‟audit du PCAOB, est de permettre de fournir un niveau
d'assurance élevé, et d'étayer une opinion sur l'efficacité du contrôle interne à l‟égard de
l‟information financière, ainsi qu‟une opinion sur les états financiers.
La norme est parue sous une forme générique, c'est-à-dire basée sur un ensemble de principes
et directives, en conformité avec les dispositions du cadre COSO, de sorte qu‟elle puisse
s‟appliquer à toutes les situations dans lesquelles une entité est tenue ou choisit de faire
vérifier l'efficacité de son contrôle interne à l‟égard de l‟information financière.
La norme répond aux exigences édictées par la loi SOX et permet à l‟auditeur de satisfaire
conjointement ces deux objectifs :
77
77
Appréciation du dispositif de contrôle interne relatif à la préparation du reporting
financier et la formulation d‟une opinion sur celui-ci, à la date de clôture, et sur
l‟évaluation qui en est faite par la direction.
Formulation d‟une opinion d‟audit sur les états financiers.
Cette norme constitue à cette date, la principale référence normative en matière d‟une double
certification : La certification du contrôle interne et la certification des états financiers.
La norme a été depuis enrichie par un guide d‟application pour les plus petites entreprises. La
dernière version de ce guide a été émise en date du 23/01/2009. Ce guide d‟application,
constitue une traduction pratique pour la mise en application de la norme d‟audit PCAOB 5
dans la double certification du contrôle interne et des états financiers des plus petites
entreprises.
Pour les besoins de notre travail, nous présenterons une démarche de certification basée sur
cette norme et sur les lignes directrices de Juin 2006 du volume 3 du COSO, pour répondre
aux obligations introduites par la loi de sécurités financières Tunisienne en matière de
certification du contrôle interne.
En effet, et bien que les obligations introduites par la loi Tunisienne en matière de
certification du contrôle interne, sont assez semblables à celles introduites par la loi
Américaine, aucune norme d‟audit permettant l‟atteinte de cet objectif de certification n‟a vu
le jour à cette date.
Ce vide normatif fait que ces obligations sont respectées de façon rudimentaire, et ne
corrobore en aucun cas l‟achèvement de l‟objectif visé par le législateur en matière de
contrôle interne, à savoir une évaluation proprement dite et une certification d‟un niveau
équivalent à celui exprimé au niveau d‟une opinion d‟audit.
Ceci se traduit généralement par l‟expression d‟une formulation négative au niveau de des
rapports d‟audit des auditeurs légaux tunisiens.
78
78
Section 2 : Composantes du contrôle interne à l’égard des deux référentiels
Dans ce qui suit, nous allons présenter les composantes du contrôle interne des deux
référentiels retenus, à savoir le cadre de référence COSO et la norme d‟audit No.5 du
PCAOB.
Paragraphe 1 : Les cinq composantes COSO
COSO définit le contrôle interne comme un processus intégré, qui est l‟affaire de tous au sein
de l‟entreprise, visant à donner une assurance raisonnable que l‟information financière est
fiable. COSO s‟articule sur cinq composantes, reliées de façon logique, fonctionnant de
concert pour permettre l‟atteinte des objectifs de l‟entreprise en matière de fiabilisation de
Le processus de contrôle interne, commence avec la fixation, par la direction, des objectifs en
matière d‟information financière et la détermination et l‟évaluation des risques qui leur sont
associés, ainsi que la façon avec laquelle ces risques sont gérés et traités, et ce par le biais
d‟activités de contrôles claires et pertinentes. Ces informations sont diffusées et
communiquées au sein de l‟entreprise, au sein de l‟environnement de contrôle, pour
fonctionner convenablement étant donné, que le contrôle interne est l‟affaire de tous. Un suivi
est mis en place, finalement, pour s‟assurer que les contrôles continuent à fonctionner de la
façon escomptée.
Il s‟en suit, que l‟évaluation du contrôle interne, vise à vérifier, que les cinq composantes
fonctionnent concrètement, car chaque composante est importante pour l‟atteinte de l‟objectif
de communication d‟une information financière fiable. Ces composantes, en fonctionnant de
concert, visent à prévenir, détecter et mettre en place des actions correctives, quant à
d‟éventuelles inexactitudes significatives qui peuvent être inclues dans les rapports financiers.
Ces cinq composantes se détaillent donc comme suit :
79
79
A. Environnement de contrôle
La culture d‟une entreprise, est un élément très important de l‟environnement de contrôle,
puisqu‟elle détermine le niveau de sensibilisation du personnel au besoin de contrôles. Elle
constitue le fondement de tous les autres éléments du contrôle interne, en imposant discipline
et organisation.
Le contrôle interne est mis en œuvre par des personnes. Ce n‟est pas simplement un ensemble
de manuels, de procédures et de documents. Il est assuré par des personnes, à tous les niveaux
de la hiérarchie, qui concourent à la réalisation de cet objectif commun : Le contrôle interne
est l‟affaire de la direction, des cadres et des autres membres du personnel : Les individus en
fixent les objectifs et le mettent en place
Les facteurs ayant un impact sur l‟environnement de contrôle comprennent notamment
l‟intégrité, l‟éthique et la compétence du personnel ; la philosophie des dirigeants et le style
de management ; et enfin la politique de délégation des responsabilités, d‟organisation et de
formation.
La mise en place d‟un environnement de contrôle est la première étape de l‟établissement
d‟un système de contrôle interne. Il constitue un élément de base, indispensable à la création
et au maintien d‟un système de contrôle interne efficace.
B. Evaluation du risque
Chaque entreprise, et dans le cours de réalisation de ses activités, est confrontée à un
ensemble de risques externes et internes qui doivent être évalués.
L‟évaluation des risques consiste en l‟identification et l‟analyse des facteurs susceptibles
d‟affecter la réalisation des objectifs relatifs à l‟information financière, à savoir la
communication d‟une information financière fiable : Il s‟agit d‟un processus qui permet de
déterminer comment ces risques doivent-ils être gérés.
80
80
Compte tenu de l‟évolution permanente de l‟environnement économique, du contexte légal et
réglementaire ainsi que des conditions de travail, il est nécessaire de disposer de méthodes
permettant d‟identifier et de maîtriser les risques auxquels l‟entreprise fait face.
Une fois les risques inventoriés, une phase d‟analyse est lancée, afin de déterminer la
probabilité de survenance d‟un risque et les impacts qu‟il peut générer sur l‟information
financière. Il s‟agit donc, enfin de décider si un risque doit être évité, limité, assuré ou
accepté.
C. Activités de contrôle
Différents risques peuvent entraver l‟atteinte des objectifs d‟une entreprise. Il s‟agit de mettre
en place des mesures pour y faire face, ainsi que les contrôles nécessaires afin que ces
mesures soient effectives.
Les activités de contrôle sont menées à tous les niveaux hiérarchiques et fonctionnels d‟une
entreprise et comprennent des actions très variées : Approuver et autoriser, vérifier et
rapprocher, apprécier les performances, la sécurité des actifs ou encore la séparation des
fonctions. Ces activités sont mises en place en respectant le rapport avantages / couts.
D. Information et communication
L‟information pertinente doit être identifiée, recueillie et diffusée sous une forme et dans des
délais opportuns, qui permettent à chacun d‟assumer ses responsabilités et qui permettent
l‟atteinte des objectifs relatifs à l‟information financière.
Les systèmes d‟information produisent, entre autres, des données opérationnelles, financières,
ou encore liées au respect des obligations légales et réglementaires, qui permettent de gérer et
de contrôler l‟activité. Ces systèmes traitent, non seulement les données produites par
l‟entreprise, mais également celles qui, liées à son environnement externe, sont nécessaires à
la prise de décisions.
81
81
La direction doit transmettre un message très clair à l‟ensemble du personnel sur les
responsabilités de chacun en matière de contrôle. Les employés doivent comprendre le rôle
qu‟ils sont appelés à jouer, ainsi que la relation existant entre leurs propres activités et celles
des autres membres du personnel. Ils doivent être en mesure de faire remonter les
informations importantes : Il s‟agit à ce niveau de la communication interne : Celle-ci est
jugée efficace s‟elle est faite de façon multidirectionnelle, c‟est-à-dire ascendante,
descendante et transversale.
E. Pilotage et suivi
Un système de contrôle interne à l‟égard de l‟information financière est un système
dynamique où de nombreux changements peuvent survenir et rendre certains de ses aspects
inadaptés.
C‟est pourquoi ce système doit faire l‟objet de contrôles, permettant d‟en évaluer l‟efficacité
continue. Pour cela, il convient de mettre en place un système de pilotage permanent, de
procéder à des évaluations périodiques ou encore de combiner les deux méthodes.
Le pilotage permanent s‟inscrit dans le cadre des activités courantes et comprend des
contrôles réguliers, effectués par la direction et le personnel d‟encadrement ainsi que d‟autres
techniques utilisées par le personnel à l‟occasion de ses travaux.
L‟étendue et la fréquence des évaluations dépendent essentiellement du niveau de risques et
de l‟efficacité du processus permanent de surveillance. Les faiblesses du contrôle interne
doivent être portées à l‟attention de la hiérarchie et les lacunes les plus graves doivent être
signalées à la direction, et ce dans l‟objectif d‟y apporter des actions correctives permettant au
système de contrôle interne à l‟égard de l‟information financière de fonctionner
convenablement et efficacement.
82
82
Paragraphe 2 : L’AS 5 : Approche top down ou l’approche par les risques
A. Les contrôles au sein de l’entreprise (L’environnement de
contrôle)
L‟auditeur, et grâce à sa maitrise des zones de risque sous tendant la préparation et la
publication d‟états financiers, concentre ses travaux sur les contrôles mis en place et effectués
par l‟entreprise, et exerce son jugement professionnel pour se focaliser sur ces zones.
Les contrôles au sein de l‟entreprise, sont tous les mécanismes, procédures et autre
organisation qui sont mis au sein de l‟entreprise pour détecter et/ou prévenir le risque de
survenance d‟erreurs significatives au niveau du reporting financier et atteindre ainsi l‟objectif
visé par le contrôle interne à l‟égard de l‟information financière.
Ces contrôles, et pour être efficaces, se doivent d‟être appropriés, fonctionner de façon
continue et cohérente, être exhaustifs et directement liés aux objectifs suivis et assurer
raisonnablement un équilibre entre le cout de leur mise en place et les bénéfices qui en
découleraient.
Les contrôles au sein de l‟entreprise, doivent être traités selon leur nature et leurs liens avec
les composantes du reporting financier : Ils sont par suite, soit directs, soit indirects.
Les contrôles indirects sont ceux qui ont trait à l‟environnement de contrôle lui-même. En
effet, un bon environnement de contrôle permet, de façon indirecte, de détecter et/ou même
prévenir, le risque de survenance d‟erreurs significatives au niveau du reporting financier. Ces
contrôles peuvent affecter, la nature, la périodicité et l‟étendue des contrôles à effectuer.
Les contrôles indirects, nous renvoient donc, à la première des cinq composantes du COSO, à
savoir « L‟environnement de contrôle » et inclut notamment, l‟existence de code de conduite
au sein de l‟entreprise l‟intégrité, l‟éthique et la compétence du personnel ; la philosophie des
dirigeants, le style de management, la politique de délégation des responsabilités,
d‟organisation et de formation...
83
83
Les contrôles directs, sont ceux qui sont mis en place pour permettre de détecter et/ou
prévenir le risque de survenance d‟erreurs significatives au niveau des assertions : Ces
contrôles peuvent être scindés en contrôles de conformité ou contrôles applicatifs, préventifs
et de détection et autres contrôles compensatoires.
Ces contrôles ont trait principalement à l‟importance de l‟implication de la direction dans la
gestion courante et le risque qu‟elle outre passe les contrôles mis en place, l‟implication du
conseil d‟administration et du comité d‟audit dans les règles de gouvernance, l‟existence de
processus d‟évaluation des risques ainsi que de mécanismes anti fraudes, le contrôle des
opérations, ainsi que le contrôle du processus de clôture des comptes …
La compréhension suffisante des contrôles existants au sein de l‟entreprise, offre à l‟auditeur
la capacité d‟évaluer les risques significatifs au niveau des comptes, et groupe de comptes
significatifs et les assertions qui y sont reliés.
B. Les comptes et les assertions
Pour délimiter les zones de risques, les comptes significatifs et les assertions qui y sont reliés,
sous tendant l‟établissement des états financiers, doivent être déterminés.
Les comptes significatifs et les assertions sont déterminés, de façon identique, que pour une
mission d‟audit. Il s‟agit des comptes et groupe de comptes, pouvant contenir un risque
important de survenance d‟erreurs, pouvant engendrer des erreurs et défaillances
significatives au niveau des états financiers, et tel que ces derniers ne reflèteraient plus
fidèlement, la réalité économique de l‟entreprise. Ces risques sont évalués, aussi bien, d‟un
point de vue quantitatif, que d‟un point qualitatif.
Les comptes et assertions significatifs, sont jugés, par rapport, à l‟importance et/ou la
complexité des flux et des transactions au sein d‟un compte, la nature de ces transactions, le
risque de survenance d‟erreurs et de fraudes au niveau de ces comptes, la complexité des
traitements comptables y associés et des obligations de divulgation sur le contenu de certains
types de comptes (parties liées…), ou encore ceux contenant un changement significatif ayant
intervenu par rapport au dernier arrêté…
84
84
Les assertions, sont celles sous tendant l‟établissement des états financiers et qui peuvent
contenir des défaillances majeures qui pourraient engendrer des erreurs significatives au
niveau des états financiers.
Les erreurs pouvant survenir au niveau d‟un compte sont ceux qui proviennent d‟erreurs au
niveau des écritures comptables, d‟écritures comptables manquantes, ou encore d‟erreurs
d‟imputations comptables (Un compte est mouvementé alors qu‟un autre compte aurait du
l‟être).
S‟assurer du solde d‟un compte, requiert donc, que les enregistrements comptables répondent
aux assertions sous tendant la préparation des états financiers, à savoir aux assertions qui ont
trait aux flux d‟opérations et les événements survenus au cours de la période106, celles
concernant les soldes des comptes en fin de période107 ainsi que celles concernant la
présentation et les informations fournies dans les états financiers108.
Les comptes et les assertions qui y sont reliées doivent être classés selon leur importance
relative ; Cette importance, est jugée par rapport au risque de survenance d‟erreurs
significatives au niveau des états financiers.
C. Les process
Les comptes ainsi que les assertions qui y sont rattachées, doivent être ensuite affectés aux
divers process majeurs de l‟entreprise
Les process significatifs, ou encore majeurs, sont ceux qui englobent les
transactions
significatives de l‟entreprise, qui impactant à leur tour les comptes significatifs et les
assertions y afférentes et sont par suite, ceux qui influent l‟évaluation du contrôle interne à
l‟égard de l‟information financière.
106
ISA 500 « Eléments probants » : Survenance, exhaustivité, exactitude, séparation des périodes et imputation
comptable
107
ISA 500 « Eléments probants » : Existence, droits et obligations, exhaustivité, valorisation et affectation
108
ISA 500 « Eléments probants »: Survenance, exhaustivité, classification et compréhension, exactitude et
valorisation
85
85
Déterminer et documenter les process significatifs, a pour objectif de faciliter la détermination
des risques au niveau des états financiers, permettant ainsi, de fournir une base adéquate pour
identifier et évaluer les contrôles interne à l‟égard de l‟information financière. Ceci, fournit
des éléments probants et suffisants, constituant une base raisonnable pour l‟évaluation du
contrôle interne à l‟égard de l‟information financière.
Notons enfin, que les transactions d‟une entreprise peuvent être scindées en trois types : Les
transactions routinières, non routinières et les estimations comptables.
D. Les risques
Les risques doivent être déterminés et rattachés à chaque process. Les risques associés à la
communication de l‟information financière, une information financière fiable, doivent être
identifiés : Ces risques consistent en la possibilité de survenance d‟anomalies significatives,
tel que l‟objectif poursuivi par le contrôle interne à l‟égard de l‟information financière, ne soit
plus atteint, à savoir la présentation d‟une information financière fiable.
Les risques liés à chaque activité ou encore chaque process, en rapport avec l‟information
financière, et pour être identifiés et gérés, se doivent d‟être précédés par une définition et une
conception claire des objectifs visés par le contrôle interne à l‟égard de l‟information
financière.
Les assertions significatives ainsi que le risque de survenance d‟inexactitudes dus à des
fraudes sont à prendre aussi en considération pour la détermination des risques significatifs.
Les risques sont les événements, actions ou encore l‟absence d‟actions, qui peuvent engendrer
des erreurs significatives au niveau des comptes significatifs et les assertions qui y sont
relatives.
E. Les contrôles à tester
Les contrôles à tester, sont ceux qui permettent de répondre aux risques d‟erreurs
significatives : Il s‟agit de tous les mécanismes, procédures et autre organisation, qui sont mis
86
86
au sein de l‟entreprise, pour détecter et/ou prévenir le risque de survenance d‟erreurs
significatives au niveau du reporting financier.
continue et cohérente, être exhaustifs et directement liés aux objectifs suivis, et assurer
découleraient.
Chapitre 2 : Evaluation du contrôle interne : Vers l’utilisation d’une approche combinée
Section 1 : L’environnement du contrôle interne
L‟évaluation du contrôle interne, suppose tout d‟abord, une bonne compréhension de
l‟environnement de contrôle et de son fonctionnement.
La mise en place d‟un environnement de contrôle, est la pierre angulaire de l‟édification d‟un
système de contrôle interne efficace. Son évaluation, constitue par suite, la première étape
pour l‟évaluation du contrôle interne à l‟égard de l‟information financière d‟une entreprise.
Le contrôle interne est mis en œuvre par des personnes, et est assuré par des personnes, à tous
les niveaux de la hiérarchie, qui concourent à la réalisation de ses objectifs.
Pour évaluer l‟environnement de contrôle, les facteurs ayant un impact sur ce dernier doivent
être évalués : Il s‟agit donc d‟évaluer l‟intégrité, l‟éthique et la compétence du personnel, la
philosophie des dirigeants et le style de management et enfin la politique de délégation des
responsabilités, d‟organisation et de formation.
Paragraphe 1 : Intégrité et éthique
L‟intégrité est définie par Larousse comme étant la : « qualité de quelqu'un, de son
comportement, d'une institution qui est intègre, honnête ».
87
87
L‟éthique, quant à elle, nous revoit à la morale, qui est définie par Larousse comme étant un :
« ensemble de règles de conduite, considérées comme bonnes de façon absolue ou découlant
d'une certaine conception de la vie ».
L‟intégrité et l‟éthique sont donc, des qualités ayant trait à la moralité des dirigeants, leur
comportement et leur conception et vision de l‟entreprise et la discipline et autres lignes de
conduite au sein de celle-ci.
L‟intégrité et l‟éthique constituent donc, les qualités essentielles et primordiales que doit
revêtir un environnement de contrôle. Elles sont les principales caractéristiques que devrait
contenir l‟environnement de contrôle, car elles sont les garantes de l‟efficacité du
fonctionnement de ce dernier.
Une parfaite intégrité et de solides valeurs éthiques, bien diffusés et bien comprises,
détermine la ligne de conduite à l‟égard de l‟information financière.
Selon les normes internationales d‟audit : « L'intégrité et les valeurs éthiques sont les
éléments essentiels de l'environnement de contrôle qui influencent l'efficacité de la
conception, de la gestion et du suivi des autres composantes du contrôle interne. L'intégrité et
le comportement éthique sont le produit des normes d'éthique et de comportement de l’entité,
de la manière dont elles sont communiquées et dont elles sont mises en œuvre en pratique.
Elles incluent les actions de la direction pour supprimer ou réduire les incitations et les
tentations qui pourraient amener le personnel à effectuer des actes malhonnêtes, illégaux ou
non éthiques 109».
Evaluer ces règles d‟intégrité et d‟éthique revient donc à effectuer les travaux suivants :
Evaluer les règles d‟éthique et d‟intégrité, leur définition par le top management, ainsi
que leur diffusion au sein de l‟entreprise, et leur compréhension à tous les échelons de
celle-ci.
109
ISA 315 « Connaissance de l‟entité et de son environnement et évaluation du risque d‟anomalies
significatives»
88
88
Evaluer les mécanismes mis en place pour assurer le pilotage et le suivi de l‟adhésion
du personnel à ces règles.
Evaluer la réactivité des mécanismes mis en place, pour déceler toutes les déviations,
par rapport à ces règles d‟éthique et d‟intégrité. Ces mécanismes, doivent être capables
de déceler ces défaillances à temps et engendrer des actions du top management pour
lutter contre ces défaillances.
Paragraphe 2 : Organisation et style de gouvernance
Le niveau d‟organisation et le style de management impactent considérablement l‟efficacité
du contrôle interne à l‟égard de l‟information financière.
Une organisation est une structure régulée, englobant un système de communication pour
faciliter la circulation de l‟information, dans le but de répondre à des besoins et d'atteindre
des objectifs déterminés.
Un dispositif de contrôle interne efficace, doit prévoir une organisation appropriée, qui fournit
le cadre dans lequel les activités nécessaires à la réalisation des objectifs sont planifiées,
exécutées, suivies et contrôlées, comportant une définition claire des responsabilités,
disposant des ressources et des compétences adéquates et s‟appuyant sur des procédures, des
systèmes d‟information, des outils et des pratiques bien définis et bien clairs.
Une attention particulière doit être donnée, aux mécanismes mis en place par la direction en
matière de maintien d‟une structure organisationnelle, permettant un fonctionnement effectif
du système de contrôle interne à l‟égard de l‟information financière.
La régulation de l‟organisation, est assurée par la direction et son style de gouvernance. A ce
niveau une attention particulière doit être portée au style de management au sein de
l‟entreprise, car divers styles existent :
89
89
Le style autoritaire caractérisé par la centralisation de prise de décision au sommet de
la hiérarchie et l‟absence de délégation du pouvoir, où le système est rigide et peu
impliquant où crainte et sanction sont les mots d‟ordre110.
Le style consultatif où le personnel est consulté avant la prise de décision mais sans
aller au-delà111.
Le style participatif caractérisé par une forte implication de tous les acteurs au sein de
l‟entreprise et leur forte coopération. L‟ensemble de la structure organisationnelle est
concerné par la prise de décision, qui se fait et s‟exprime là où elle s‟applique,
favorisant ainsi l‟autonomie et la participation et ce de façon concomitante112.
Le style de management de l‟entreprise doit être analysé avec les autres composantes de
l‟environnement de contrôle, dans l‟objectif de déceler l‟impact d‟un tel style sur le contrôle
interne à l‟égard de l‟information financière. En effet, un style autoritaire, combiné avec un
faible sens d‟intégrité et d‟éthique pourrait renseigner sur des risques importants au niveau du
fonctionnement du contrôle interne à l‟égard de l‟information financière et la possibilité
d‟existence de défaillances majeures au sein de celui-ci. A contrario, un style participatif
combiné avec des valeurs éthiques importantes minimiserait l‟existence d‟un tel risque.
Paragraphe 3 : Pouvoirs et responsabilités
L‟analyse du style de gouvernance et de l‟organisation au sein de l‟entreprise, doit être suivi
par l‟analyse des pouvoirs et des responsabilités.
Le pouvoir, est la capacité à influer des résultats en fonction de ses objectifs. Il peut provenir
de la fonction hiérarchique, ou encore de la maitrise d‟un savoir faire, d‟une compétence ou
encore d‟une information. Généralement ces pouvoirs coïncident.
Analyser les pouvoirs au sein de l‟entreprise permet d‟appréhender encore plus l‟organisation,
et de cerner encore plus les risques pouvant survenir au niveau du contrôle interne à l‟égard
de l‟information financière.
110
G. Lécrivain – Management des organisations et stratégies – Pouvoir et gouvernance dans l‟organisation
112
111
90
90
Le pouvoir rime toujours, avec la responsabilité, car on ne peut avoir de pouvoir sans en être
responsabilisé. La responsabilité est la capacité, d‟une personne de pouvoir prendre des
décisions sans en référer au préalable à une autorité supérieure, de donner les motifs de ces
actes, et d‟être jugé sur ces derniers.
A ce niveau, les systèmes de délégation des pouvoirs doivent être aussi analysés.
Les responsabilités et pouvoirs, doivent être « clairement définis et accordés aux personnes
appropriées en fonction des objectifs de la société. Ils peuvent être formalisés et
communiqués au moyen de descriptions de tâches ou de fonctions, d’organigrammes
hiérarchiques et fonctionnels, de délégations de pouvoirs et devraient respecter le principe de
séparation des tâches113 ».
Paragraphe 4 : Règles et pratiques
Il s‟agit, de l‟ensemble des règles et pratiques, diffusées au sein de l‟entreprise,
communément admises au sein de celle ci, et qui en édictent les lignes de conduite.
Les règles correspondent à toutes les procédures, qui peuvent être très diverses et plus ou
moins explicitées dans des codes ou des recueils (plan comptable) s'imposant à tous les
acteurs au sein de l‟entreprise. Elles peuvent concerner tant les modalités de collecte et de
diffusion de l'information utile sur le fonctionnement des entités que les voies et moyens pour
effectuer des opérations bien définies (par exemple, une fusion avec une autre entreprise).
La pratique, est l‟ensemble de « procédures » informelles qui influencent les comportements
au sein de l‟entreprise. Les comportements complètent la chaine de valeurs au sein de
l‟entreprise, en apportant à l‟ensemble des règles et procédures en place, une dimension
fondamentale, sans laquelle elles restent, pour l'essentiel, formelles.
Les bonnes pratiques, la déontologie ou, à l'opposé, l‟absence de scrupules et les déviations
ont une part majeure dans l‟évaluation de l‟environnement de contrôle, et par suite l'efficacité
du système de contrôle interne à l‟égard de l‟information financière, à l'instar de tout système
humain
113
Le dispositif du contrôle interne : Cadre de référence Français - Les composantes du contrôle interne
91
91
Paragraphe 5 : Les ressources humaines et la valorisation de la compétence
Le contrôle interne à l‟égard de l‟information financière est mis en œuvre, par les ressources
humaines de l‟entreprise. Ces dernières constituent, par suite, l‟une des conditions nécessaires
pour l‟atteinte de ses objectifs.
Les politiques et les pratiques de gestion des ressources humaines mises en œuvre, doivent
concourir à la mise en place et l‟efficacité de fonctionnement du système de contrôle interne à
l‟égard de l‟information financière. Cet objectif est atteint, notamment, par l‟emploi de
personnes compétentes en matière d‟information et communication financières et les activités
de contrôle et de surveillance y afférentes. Les procédures de recrutement de l‟entreprise, se
doivent donc, d‟être basées sur des principes d‟intégrité, et des procédures permettant de
déceler les talents nécessaires pour les principaux postes de contrôle et de surveillance,
notamment, au sein du département financier de l‟entreprise.
Les ressources humaines se doivent d‟avoir les moyens et l‟accès aux ressources nécessaires
pour l‟exercice de leurs fonctions en matière de reporting financier. Elles doivent être suivies,
et leurs performances appréciées à leurs justes valeurs par le top management de l‟entreprise.
Ces règles sont à tenir en ligne de compte pour l‟évaluation de l‟efficacité de l‟environnement
de contrôle et par suite le contrôle interne à l‟égard de l‟information financière.
Section 2 : Le contrôle interne à l’égard de l’information financière
Paragraphe 1 : Définition des comptes significatifs
Les comptes significatifs sont les comptes présentant un risque de survenance d‟erreurs
significatives, c'est-à-dire les comptes pouvant contenir des erreurs, et tel que ces dernières
pourraient avoir un impact significatif sur les états financiers.
Un compte est considéré comme significatif par rapport à des facteurs de risques ou s‟il est
défini comme tel par la direction. Les facteurs de risques, doivent être définis par rapport à
92
92
des facteurs, aussi bien quantitatifs, que qualitatifs. L‟évaluateur devrait par suite focaliser ces
travaux sur les comptes aux spécificités suivantes114 :
Montant et composition du compte ;
Possibilité de survenance de pertes dues à des erreurs ou à des fraudes ;
Volume des opérations, complexité et homogénéité des transactions individuelles
comptabilisées au niveau de ce compte ;
Nature du compte ;
Difficultés des traitements comptables appliqués à ce compte ;
Les transactions enregistrées au niveau du compte peuvent générer des passifs ;
Le compte regroupe les transactions avec les parties liées ;
Des changements importants ont eu lieu au niveau du compte, et de ses
caractéristiques, depuis la dernière date d‟arrêté comptable.
Les comptes significatifs, quand ils sont déterminés, sont regroupés par nature de risques
encourus et des contrôles qui sont mis en place pour les contrecarrer, ainsi que par la nature
des transactions reflétées au niveau de ces comptes.
Evaluer les contrôles sur les transactions alimentant les comptes significatifs, nécessite la
prise en considération des assertions comptables sous tendant l‟établissement des états
financiers.
114
PCAOB / AS 5 / Identifying significant accounts and disclosures and their relevant assertions / Paragraphe 29
à 33
93
93
Paragraphe 2 : Les assertions
Les assertions sous tendant la préparation des états financiers on été traités au niveau du
paragraphe 28 de la norme d‟audit 5 du PCAOB.
Les assertions significatives, au terme de la norme 5, sont celles sous tendant la préparation
des états financiers, pouvant contenir des erreurs, tel que les états financiers ne
représenteraient plus fidèlement, la réalité économique de l‟entreprise115.
L‟évaluateur, identifie les assertions pour chacun des comptes significatifs déterminés
préalablement, pour délimiter, donc, les sources de survenance d‟anomalies significatives, au
niveau de ces comptes.
La norme ISA 500 « Eléments probants » a défini les assertions suivantes:
(a) assertions concernant les flux d’opérations et les événements survenus au cours de la
période auditée:
(i) survenance – les opérations et les événements qui ont été enregistrés se sont produits et se
rapportent à l‟entité ;
(ii) exhaustivité – toutes les opérations et tous les événements qui auraient dû être enregistrés,
sont comptabilisés ;
(iii) exactitude – les montants et autres données relatives aux opérations et événements ont
été correctement enregistrés ;
(iv) séparation des périodes – les opérations et les événements ont été enregistrés dans la
bonne période comptable ;
(v) imputation comptable – les opérations et les événements ont été enregistrés dans les
comptes appropriés.
115
La définition retenue par la norme 5 est identique donc à celle prévue par les normes de l‟IFAC
94
94
(b) assertions concernant les soldes des comptes en fin de période:
(i) existence – les actifs, les passifs et les fonds propres existent ;
(ii) droits et obligations – l‟entité détient ou contrôle les droits sur les actifs, et les dettes
correspondent aux obligations de l‟entité ;
(iii) exhaustivité – tous les actifs, les passifs et les fonds propres qui auraient dû être
enregistrés l'ont bien été ;
(iv) valorisation et affectation – les actifs, les passifs et les fonds propres sont portés dans les
états financiers pour leur bonne valeur et tous les ajustements résultant de leur valorisation ou
de leur affectation sont enregistrés de façon appropriée.
(c) assertions concernant la présentation et les informations fournies dans les états
financiers:
(i) survenance, droits et obligations – les événements, les transactions et les autres
informations fournies se sont produits et se rapportent à l‟entité ;
(ii) exhaustivité – toutes les informations se rapportant aux états financiers qui doivent être
fournies dans ces états l'ont bien été ;
(iii) classification et compréhension – l‟information financière est présentée et décrite de
manière pertinente, et les informations fournies dans les états financiers sont clairement
présentées ;
(iv) exactitude et valorisation – les informations financières et les autres informations sont
fournies sincèrement et pour des montants corrects.
95
95
Paragraphe 3 : Identification des process et des flux de transactions significatives
Un process, ou encore processus, est un ensemble d‟activités corrélées et organisées dans le
temps, permettant, et de façon optimale, de coordonner et d‟organiser les activités de travail,
ainsi que l‟information et les connaissances, et qui concourent à l‟élaboration, la production,
le traitement d‟informations, de produits ou de services.
Les comptes significatifs, sont alimentés par un ensemble de transactions, initiées, traitées et
contrôlées au niveau des process de l‟entreprise, y compris le process comptable et le process
annuel de clôture et d‟établissement des états financiers.
L‟évaluateur du contrôle interne à l‟égard de l‟information financière, se doit donc, de
déterminer les process importants et les transactions significatives, impactant les comptes
significatifs, et par suite les états financiers de l‟entreprise.
Il s‟agit donc, et sur la base de la connaissance de l‟entreprise et de son environnement de
contrôle, d‟inventorier les divers process de l‟entreprise, et les transactions qui les alimentent,
et d‟en délimiter les plus importants, du point de vue de leur impact sur les états financiers.
L‟évaluateur devrait comprendre les flux de transactions, pour chaque process majeur,
identifier les zones de risques, y compris le risque de fraude, sur la base des assertions sous
tendant l‟établissement des états financiers, et identifier les contrôles mis en place pour
répondre à ces risques.
Evaluer le contrôle interne à l‟égard de l‟information financière, revient à évaluer tous les
process, à savoir opérationnels, de supports ou encore et surtout comptable, du fait que le
risque d‟erreurs peut provenir de l‟un des process opérationnels ou de supports, alors même
que le contrôle interne sur le process comptable et financier est jugé efficace et fonctionnant
convenablement.
Notons enfin, qu‟au sein d‟un même process, certaines transactions, de part leurs natures,
peuvent présenter des risques différents, et doivent par suite être analysées et traitées de façon
96
96
différenciée. Il convient donc, de traiter les transactions en distinguant les transactions
répétitives, non répétitives et celles ayant trait aux estimations.
Les processus significatifs, doivent faire l‟objet d‟une documentation satisfaisante et
détaillée ; L‟enchainement des taches depuis l‟initialisation du process jusqu‟à son
dénouement, ainsi que les différents intervenants, et les procédures de contrôle mises en place
devraient être étayées de façon claire et bien documentée.
Paragraphe 4 : Cartographie des risques d’erreurs au niveau des états financiers
A ce niveau, une cartographie des risques pouvant survenir au niveau de chaque process, doit
être dressée.
Ces risques, doivent être analysés en fonction de leur impact sur l‟information comptable et
financière et en fonction des assertions déterminées auparavant; En effet, toutes les assertions
doivent être analysées au niveau de chaque process significatif et par suite au niveau de
chaque transaction ou groupe de transactions significatives.
Les risques sont analysés en terme d‟événement, action ou encore l‟absence d‟action, pouvant
engendrer des erreurs importantes, au niveau des comptes significatifs, et par suite au niveau
des états financiers.
Les risques importants, sont les risques qui peuvent empêcher l‟atteinte des objectifs affectés
à un process, notamment la traduction fidèle de la performance économique et qui peuvent
raisonnablement survenir et engendrer des erreurs significatives.
Ces risques doivent être classés selon leurs importances et leurs impacts au niveau des
process, ainsi que la possibilité de leurs survenances ; L‟évaluation de ces risques impacte
donc, la méthodologie de la double certification, à savoir celle du contrôle interne d‟une part,
et celle des états financiers, d‟autre part.
97
97
Section 3 : Evaluation des risques : COSO Entreprise Risk Management
Paragraphe 1 : Objectifs du reporting financier
Le reporting financier a été défini par le cadre conceptuel de la comptabilité financière
comme « une représentation financière structurée des événements affectant une entreprise et
des transactions réalisées par elle ».
L'objectif poursuivi par le reporting financier, est de fournir une information sur la situation
financière, la performance et les flux de trésorerie d'une entreprise, information utile à une
gamme variée d'utilisateurs pour la prise de décisions économiques.
Pour atteindre cet objectif, le reporting financier doit être fiable, et établi conformément à un
référentiel bien déterminé, et des normes adéquates et adaptées aux circonstances et utilisées
convenablement et de façon permanente, et conformément aux caractéristiques qualitatives
requises de l‟information financière.
L‟objectif ultime, est donc, de fournir une information financière fiable, reflétant fidèlement
la réalité économique de l‟entreprise, permettant une bonne prise de décision.
Il en découle que, la direction doit implémenter et entretenir un système de contrôle interne
pour la réalisation des objectifs d‟efficacité et d‟efficience, d‟un reporting financier fiable et
assurant la conformité aux lois et règlements en vigueur.
L‟identification des objectifs doit être effectuée de façon claire et adéquate afin de mettre en
place, une stratégie, permettant d‟atteindre ces objectifs, et d‟identifier les risques qui peuvent
l‟empêcher d‟atteindre les objectifs de fiabilité du reporting financier.
Il appartient, par suite, au management d‟identifier les risques internes et externes
susceptibles de compromettre la réalisation des objectifs poursuivis par le reporting financier.
98
98
Paragraphe 2 : Risques au niveau du reporting financier
Le contrôle interne à l‟égard de l‟information financière doit fournir une assurance
raisonnable, que les risques significatifs au niveau du reporting financier sont contrôlés, et que
les contrôles en question fonctionnent efficacement, de sorte à permettre la communication
d‟une information financière fiable et fidèle.
Les risques au niveau du reporting financier, doivent être identifiés et analysés, afin de
permettre de définir une stratégie, permettant de les gérer et de les contrôler, ce qui permettra,
in fine, d‟atteindre les objectifs poursuivis par le reporting financier.
Les risques au niveau du reporting financier, doivent être intégrés et reliés aux contrôles mis
en place. Ces risques se doivent d‟être intégrés dans un processus d‟évaluation, incluant
l‟estimation de l‟importance de ces risques, l‟évaluation de la probabilité de leurs survenances
et la détermination des actions entreprises pour y faire face.
A ce niveau, le processus doit permettre d‟identifier les changements significatifs dans la
normalisation comptable, dans le choix des normes comptables adoptées par l‟entreprise, ou
encore dans les pratiques opérationnelles ou de supports et qui peuvent affecter les
enregistrements comptables des transactions ou les procédures de contrôle interne à l‟égard de
l‟information financière, qui sont mis en place.
L‟évaluateur du contrôle interne à l‟égard de l‟information financière, doit s‟assurer que:
l‟entreprise a inventorié la totalité des process ayant un impact sur le reporting
financier ainsi que sur les notes aux états financiers,
le process d‟identification des risques au niveau du reporting financier, prend en
considération l‟existence de ressources humaines compétentes, intègres et ayant une
bonne moralité,
99
99
le process de détermination des risques au niveau du reporting financier, englobe une
évaluation des technologies de l‟information, utilisées pour le traitement et la
traduction des transactions au niveau du reporting financier,
des mécanismes de détermination et d‟évaluation effectifs des risques, internes et
externes, au niveau du reporting financier sont mis en place,
les risques identifiés sont traités au niveau d‟un process individualisé, permettant
d‟évaluer la probabilité de survenance de ces risques et leurs impacts potentiels,
Paragraphe 3 : Risque de fraudes
L‟évaluation des risques au niveau du reporting financier, doit inclure et prendre en
considération, la vulnérabilité de l‟entreprise face à d‟éventuelles manœuvres frauduleuses,
des manœuvres, qui peuvent exister au sein de n‟importe quelle organisation, peu importe sa
taille, le volume de ses transactions ou la complexité de son business.
La fraude est « un acte intentionnel commis par un ou plusieurs dirigeants, par des personnes
constituant le gouvernement d'entreprise, par des employés ou par des tiers, impliquant des
manœuvres dolosives dans le but d'obtenir un avantage indu ou illégal…entraînant des
anomalies significatives dans les états financiers 116».
La fraude est tributaire, donc, de l‟existence d‟un mécanisme triangulaire consistant en :
L‟existence de pressions exercées sur le gouvernement d‟entreprise sur la performance
économique de l‟entreprise ;
L‟existence d‟opportunité, qui correspond à l‟existence d‟un terrain propice pour la
réalisation de fraudes qui ne sauraient être détectées ;
La légitimité de l‟acte frauduleux, qui passe par l‟existence de moyens de justification
de ces manœuvres frauduleuses.
116
Norme internationale d‟audit 240 / La responsabilité de l‟auditeur dans la prise en considération de fraudes
dans l‟audit d‟états financiers / Paragraphe 6
100
100
Le risque de fraude, au niveau du reporting financier, est le risque d‟occurrence d‟anomalies
intentionnelles liées à la présentation d‟un reporting financier erroné, induisant à une
mauvaise prise de décision, ou encore, à des détournements d‟actifs.
Le risque de fraude lié à la présentation d‟un reporting financier erroné, est le risque de
survenance de manipulations, de falsifications, ou d'altérations de documents comptables,
d'une fausse traduction ou présentation de faits dans les états financiers, ou d'une omission
intentionnelle de ceux-ci, de transactions ou autres informations importantes, ou encore de
l'application volontaire de méthodes comptables incorrectes, ou inappropriées, relatives à
l'évaluation de postes, leur classification, leur présentation ou à l' information les concernant
fournie au niveau des notes aux états financiers.
Un détournement d'actifs implique le vol de biens appartenant à l'entité et est en général
commis par les employés pour des montants relativement faibles ou non significatifs.
Cependant, il peut également impliquer les dirigeants qui sont généralement plus à même de
déguiser ou de dissimuler des détournements de façon plus difficile à détecter. Le
détournement d'actifs peut être perpétré de différentes manières (en s'appropriant des recettes,
en dérobant des actifs corporels ou en portant atteinte à la propriété intellectuelle, en faisant
payer l'entité des biens ou des services qu‟elle n'a pas ou dont elle n‟a pas besoin, en utilisant
les actifs de l'entité à des fins personnels. Il s'accompagne le plus souvent d'enregistrements
comptables ou de documents falsifiés ou trompeurs, destinés à dissimuler la disparition de
certains actifs ou le fait qu'ils ont été donnés en garantie sans autorisation appropriée117.
L‟évaluateur du contrôle interne à l‟égard de l‟information financière, et grâce à sa
connaissance de l‟environnement de contrôle, doit s‟assurer des mécanismes mis en place
permettant d‟identifier et de répondre au risque de fraudes, ainsi que des contrôles construits,
pour réduire et maitriser ces risques.
L‟évaluateur doit être sensible au processus de communication avec les employés, notamment
ceux impliqués directement dans le processus d‟élaboration du reporting financier, sur les
117
Norme internationale d‟audit 240 / La responsabilité de l‟auditeur dans la prise en considération de fraudes
dans l‟audit d‟états financiers / Paragraphe 11
101
101
pratiques opérationnelles et le comportement intègre et éthique au sein de l‟entreprise, ainsi
que sur d‟éventuels cas de fraudes, qui ont déjà eu lieu au sein de celle-ci.
L‟évaluateur du contrôle interne à l‟égard de l‟information financière, doit identifier et
évaluer, donc, les risques d'anomalies significatives provenant de fraudes, et apprécier en
conséquence, la conception des contrôles mis en place par l'entité et destinés à les prévenir, y
compris les activités de contrôle qui y sont relatives, et déterminer si ces contrôles ont été mis
en place, c'est-à-dire la façon avec laquelle ces risques sont gérés.
Section 4 : Les contrôles au niveau de l’entreprise
Une fois les zones de risque délimitées, les efforts doivent être focalisés sur les contrôles, au
sein de l‟entreprise et qui sont mis en place par la direction, pour contrecarrer les risques
décelés.
Les contrôles au sein de l‟entreprise sont tous les mécanismes, procédures et autre
organisation, qui sont mis au sein de l‟entreprise, pour détecter et/ou prévenir le risque de
survenance d‟erreurs significatives au niveau du reporting financier.
continue et cohérente, être exhaustifs et directement liés aux objectifs suivis, et assurer
découleraient.
Ces contrôles, se focalisent sur plusieurs axes, et peuvent être regroupés comme suit : Les
contrôles instaurés par la direction, les mécanismes d‟auto contrôle, les contrôles liés au
process de clôture, les contrôles ayant trait aux sécurités comptables et au système
d‟information.
Paragraphe 1 : Les contrôles instaurés par la direction
Pour rappel, les contrôles au sein de l‟entreprise, doivent être traités selon leur nature et leurs
liens avec les composantes du reporting financier : Ils sont par suite, soit directs ou indirects.
102
102
Les contrôles indirects sont ceux qui ont trait à l‟environnement de contrôle lui-même. En
effet, un bon environnement de contrôle permet, de façon indirecte, de détecter et/ou même
prévenir, le risque de survenance d‟erreurs significatives au niveau du reporting financier. Ils
incluent, notamment, l‟existence de code de conduite au sein de l‟entreprise l‟intégrité,
l‟éthique et la compétence du personnel ; la philosophie des dirigeants, le style de
management, la politique de délégation des responsabilités, d‟organisation et de formation...
Les contrôles directs, quant à eux, sont ceux qui sont mis en place pour permettre de détecter
et/ou prévenir le risque de survenance d‟erreurs significatives ou de fraudes au niveau du
reporting financier.
Ces contrôles peuvent être scindés en contrôles de conformité ou contrôles applicatifs,
préventifs et de détection et autres contrôles compensatoires. Ces contrôles sont effectués, par
suite, soit en amont du processus ou des transactions, au sein d‟un processus, ou encore en
aval de celui-ci.
La direction, en tant que responsable de la mise en place d‟un dispositif de pilotage des
risques ayant un impact potentiel sur l‟élaboration de l‟information financière publiée par la
société, doit s‟assurer que les normes et procédures diffusées au sein de la société sont en
conformité avec les obligations réglementaires et l‟évolution de celles-ci.
Elle définit et s‟assure de la mise en place de mécanismes et dispositifs permettant d‟assurer
les objectifs de fiabilité de l‟information comptable et financière publiée, et ce par la mise en
place d‟un dispositif de contrôle de gestion, d‟un système permettant de valider les systèmes
d‟information non comptable utilisé à des fins de pilotage de ces activités et comme outil pour
le rapprochement avec le système d‟information comptable, de mécanismes assurant la qualité
des communications financières publiées.
La direction effectue une revue formalisée des principes comptables retenus qui ont un impact
significatif sur la présentation des états financiers. Elle doit mettre en place des mécanismes
pour s‟assure que le dispositif de contrôle interne à l‟égard de l‟information financière fait
l'objet d'une surveillance et qu‟elle est tenue informée des dysfonctionnements, insuffisances
et des difficultés d‟application, et veille à ce que des actions correctives soient mises en
œuvre.
103
103
Paragraphe 2 : L’auto contrôle
Le contrôles au niveau de l‟entreprise, doivent être intégrés au fonctionnement de celle ci, et
sont effectués soit à priori, soit de façon concomitante, soit à posteriori. L‟autocontrôle
constitue un contrôle de premier niveau, exercé par un opérationnel sur ses propres
opérations, à priori ou de façon concomitante.
L‟auto contrôle, doit s‟insérer dans un processus intégré, mis en place au sein de l‟entreprise,
pour permettre l‟atteinte des objectifs suivis par le contrôle interne à l‟égard de l‟information
financière.
L‟auto contrôle est donc, effectué par tous les intervenants au niveau de l‟entreprise et dont
les actions ont une incidence sur le reporting financier.
La qualité et la valeur de l‟auto contrôle en place est appréciée, par rapport à l‟environnement
de contrôle de l‟entreprise : L‟existence de ressources humaines compétentes, intègres et
possédant une bonne moralité, combiné à des règles d‟éthique bien diffusées au sein de
l‟entreprise par le top management, et une organisation bien claire, et des procédures de
travail bien définies, contribueraient à l‟appréciation de la valeur des auto contrôles mis en
place.
L‟évaluateur du contrôle interne à l‟égard de l‟information financière, doit revoir les
mécanismes d‟auto contrôle existant au sein de l‟entreprise, afin d‟en évaluer la fiabilité.
Ces contrôles, se doivent d‟être matérialisés, et doivent être appréciés pour savoir s‟ils vont
permettre de détecter et/ou prévenir le risque de survenance d‟erreurs significatives au niveau
du reporting financier.
104
104
Paragraphe 3 : Le process de clôture
Le process de clôture des comptes est un processus, contenant un nombre important de
contrôle mis en place au sein de l‟entreprise, du fait de son impact direct sur le reporting
financier et notamment le raccourcissement des délais de publication des reportings
financiers.
Un bon processus de clôture des comptes, est un processus, permettant de fournir une
information comptable et financière de qualité, produite dans des délais raisonnables et avec
des coûts maîtrisés.
Le processus de clôture doit généralement être structuré et organisé, de façon à inclure une
définition claire des responsabilités des intervenants, un Workflow et des outils de
coordination. Il devrait en outre inclure des mécanismes d‟autocontrôles permettant de
détecter, d‟éventuelles défaillances au sein du processus.
L‟évaluateur du contrôle interne à l‟égard de l‟information financière, ayant déjà une
appréciation bien claire de l'alimentation de la comptabilité par les différents processus
opérationnels situés en amont, se doit de :
confirmer son évaluation de l‟organisation de la fonction comptable, notamment son
processus de clôture des comptes,
Passer en revue la définition des responsabilités en matière de comptabilisation
d‟approbation et de revue des écritures comptables relatives au processus de clôture,
qu‟elles soient routinières ou pas et notamment celles liées aux estimations
comptables,
Revoir le processus de compilation du reporting financier et sa revue,
Revoir les mécanismes de contrôles mis en place, à savoir le non cumul de taches, les
réconciliations des comptes…
105
105
Evaluer les technologies de l‟information utilisées et les sécurités qu‟elles contiennent,
du fait que ces dernières ne prennent pas seulement en charge le processus de clôture,
mais elle en fait partie intégrante. Les sécurités au niveau du système d‟information
seront traitées au niveau du paragraphe 5. Les sécurités au niveau du système
d‟information de cette section
Paragraphe 4 : Les normes et sécurités comptables
Un manuel de procédures comptables précisant les concepts et principes comptables utilisés
par l‟entreprise et identifiant le traitement des opérations doit exister au sein de l‟entreprise.
Ce manuel est mis à jour pour tenir compte des changements intervenus au niveau des
procédures de l‟entreprise et des modifications enregistrées au niveau des textes légaux.
A ce niveau une veille réglementaire permettant d‟appréhender et d‟anticiper les évolutions de
l‟environnement de la société devrait exister pour déceler toutes les nouveautés
réglementaires ayant vu le jour et l‟impact qu‟elles pourraient avoir sur l‟entreprisse et
l‟information financière qu‟elle publie.
Une attention particulière est donnée aussi aux sécurités de l‟organisation comptable mis en
place ; Il s‟agit ici, de toutes les sécurités ayant trait à la protection physique des documents,
mais surtout à celles ayant trait au système d‟information.
Paragraphe 5 : Les sécurités au niveau du système d’information
L‟information financière est produite par des systèmes d‟information. Afin d‟atteindre
l‟objectif de fiabilité de celle-ci des sécurités doivent être implémentées afin de protéger
l‟outil qui produit cette information et en assurer la pérennité.
La comptabilité étant généralement tenue au moyen de systèmes informatisés, ces systèmes
doivent être développés avec pour objectif de satisfaire les exigences de sécurité, de fiabilité,
de disponibilité et de pertinence de l‟information comptable et financière ; Ils doivent être, par
suite, sécurisés physiquement et logiquement, et décrits de façon claire et bien formalisée
pour permettre l‟atteinte de cet objectif ; Des règles précises en matière d‟accès au système,
106
106
de validation des traitements et de procédure de clôture, de conservation des données, et de
vérifications des enregistrements comptables, du paramétrage du système ainsi que de sa
satisfaction des obligations légales et réglementaires auxquelles l‟entreprise est sujette.
Le système d‟information relatif à l‟information comptable et financière doit être capable de
s‟adapter et pour évoluer avec les besoins de l‟entreprise; Néanmoins les modifications qui en
sont apportées devraient être documentées et soumises à des approbations préalables.
Paragraphe 6 : Documentation
Un système de contrôle interne à l‟égard de l‟information financière est efficace si les
contrôles prescrits sont exécutés et surveillés de manière fiable. Une documentation
appropriée permet de garantir la traçabilité des contrôles effectués. Un de contrôle interne à
l‟égard de l‟information financière est efficient si son élaboration est guidée par des réflexions
concrètes en matière de coûts et d‟utilité et s‟il s‟oriente résolument sur la structure des
risques inhérents à l‟entreprise.
La qualité de chaque contrôle est mesurée selon des critères d‟efficacité, de traçabilité et
d‟efficience : La traçabilité peut être vérifiée notamment à partir de la documentation des
risques et activités de contrôle et de la représentation du processus.
La documentation du contrôle interne peut prendre des formes variées, parmi lesquelles des
diagrammes de flux, des manuels relatifs aux politiques et procédures ainsi que des
descriptions narratives ou encore des questionnaires.
Dans le cadre de l‟évaluation du contrôle interne à l‟égard de l‟information financière, les
auditeurs devraient accorder une attention toute particulière au processus de documentation
des contrôles, car ils devront s‟appuyer sur ces documents et la fiabilité de la documentation
qu‟ils pourraient collecter.
107
107
Section 5 : Tests et évaluation des contrôles : Evaluation des risques
A ce stade, l‟auditeur, et après s‟être forgé une bonne connaissance des risques quant à
l‟information financière, d‟une part, et recensé les contrôles, mis en place par la direction,
pour contrecarrer les risques décelés, d‟autre part, se doit de tester et évaluer tous ces
mécanismes, procédures et autre organisation, qui sont mis au sein de l‟entreprise pour
s‟assurer de leur bon fonctionnement et de leur fiabilité.
Paragraphe 1 : Contrôles à tester
Les contrôles à tester, sont ceux qui permettent de répondre à l‟objectif de contrôle, à savoir,
détecter et/ou prévenir le risque de survenance d‟erreurs significatives au niveau du reporting
financier. Ces contrôles sont considérés, comme étant des contrôles clés, s‟ils répondent de
façon singulière à cet objectif. Si tel n‟est pas le cas, d‟autres contrôles devraient lui être
joints et ce jusqu‟à ce que le risque soit couvert en totalité.
Il en découle, que l‟auditeur se doit de tester et d‟évaluer tous les contrôles mis en place par la
direction, dans l‟objectif de détecter ou prévenir le risque de survenance d‟erreurs
significatives au niveau du reporting financier. Il s‟en suit, donc, qu‟une couverture efficace,
pourrait nécessiter, dans certains cas, la combinaison de contrôles au niveau des processus et
de contrôles généraux.
A présent, nous allons passer en revue les différents types de tests de contrôles qui peuvent
être exercés par l‟auditeur pour s‟assurer de la réalisation de l‟objectif de contrôle.
Paragraphe 2 : Tests de cheminement
Une fois les contrôles à tester sont délimités, l‟auditeur se doit de confirmer sa compréhension
du fonctionnement de ces contrôles. A ce niveau, des tests de cheminement doivent être mis
en place. Ces tests permettent d‟étayer la compréhension qu‟a l‟auditeur de ces contrôles qui
sont mis en place et de l‟application de ces derniers.
108
108
Les tests de cheminement sont des méthodes qui permettent de reconstituer des opérations du
début à la fin, y compris les documents qui les supportent. Ils constituent, donc, des
opérations de contrôle efficaces et nécessaires pour démontrer l‟existence d‟un bon système
de contrôle interne à l‟égard de l‟information financière, et sont appliqués pour l‟évaluation
de la mise en œuvre et du respect de ce dernier.
Lors de l‟évaluation de la conception des contrôles, il a été recommandé par la norme
Américaine, de procéder à des tests de cheminement. Ces tests fournissent des éléments
probants qui permettent :
• de confirmer la compréhension du cheminement des opérations liées à un processus;
• de confirmer la compréhension du fait que la description des activités est exhaustive, en
déterminant si tous les points où des inexactitudes sont susceptibles de se produire ont été
identifiés;
• d‟évaluer l‟efficacité de la conception des contrôles;
• de confirmer si les contrôles ont été mis en œuvre.
Les tests de cheminement, permettent donc, d‟évaluer la qualité des éléments probants
obtenus, de suivre le cheminement d‟opérations réelles en se servant des mêmes documents et
des mêmes technologies de l‟information que ceux qui ont été utilisés à l‟origine et en parlant
aux personnes chargées des aspects significatifs des activités ou des contrôles.
Dans le cadre de ces tests, des questions de suivi pourraient permettre d‟acquérir des points de
vue qui seraient utiles aux fins de l‟évaluation de la conception du contrôle interne à l‟égard
de l‟information financière.
Les tests de cheminement permettent à l‟auditeur donc, de confirmer sa compréhension des
flux et transactions u sein des processus, de confirmer la compréhension de la conception
des contrôles identifiés et leur caractère suffisant, et de confirmer enfin, leur mise en place
et leur application.
109
109
Paragraphe 3 : Tests d’efficacité de la conception
L'évaluation de la conception d‟un contrôle implique de considérer si ce contrôle, seul ou
combiné avec d'autres, est capable de prévenir efficacement ou de détecter puis de corriger,
des anomalies significatives.
L'auditeur examine la conception d‟un contrôle pour déterminer s‟il doit vérifier sa mise en
application. Un contrôle conçu de manière inappropriée peut constituer une faiblesse majeure
dans le contrôle interne de l'entité.
Un contrôle de conception est un contrôle préventif ou de détection c'est-à-dire un contrôle
qui est mis en place soit pour agir en amont, en cours ou en aval du processus.
Tester l‟efficacité de la conception d‟un contrôle passe par le biais d‟entretiens avec le
personnel de l'entité, l‟observation de la mise en œuvre de contrôles spécifiques, l‟inspection
de documents et de rapports, ainsi que le suivi des opérations à travers le système
d'information relatif à l‟élaboration de l‟information financière. Les entretiens seuls ne sont
pas suffisants pour évaluer la conception d‟un contrôle pertinent pour l‟audit ou pour
déterminer s‟il est bien mis en application.
Tester l‟efficacité de la conception d‟un contrôle, revient donc, à tester toutes les modalités de
sa réalisation, qu‟ils soient manuels, automatisés ou encore semi-automatisés.
A. Contrôles manuels
Les contrôles manuels sont les contrôles matériels, ne se reposant pas sur l‟environnement
informatisé d‟une entreprise. Il s‟agit donc, de tous les rapprochements et autres autorisations
matérielles qui sont effectués par les différents intervenants en matière de contrôle interne à
l‟égard de l‟information financière et ne se basant pas sur le système d‟information.
110
110
B. Contrôles automatisés (système d’information)
Il s‟agit des contrôles informatisés qui sont mis en place au niveau du système d‟information
et qui fonctionneraient de façon automatique et sans intervention humaine.
Il existe encore un autre type de contrôles, qui se classerait de façon intermédiaire entre ces
deux types de contrôles déjà présentées ; Il s‟agit des contrôles semi-informatisés et qui se
reposeraient partiellement sur les deux contrôles automatisés et manuels et dont l‟efficacité
reposerait sur l‟efficacité de ces deux types de contrôles.
Paragraphe 4 : Tests d’évaluation du fonctionnement
L'évaluation du fonctionnement d‟un contrôle revient à vérifier que si ce contrôle ait été bien
conçu, il est aussi correctement appliqué.
Il s‟agit pour l‟auditeur de vérifier la réalité des contrôles et ce par le biais de tests de
conformité ; Ces tests permettent de s‟assurer que pour les processus significatifs toutes les
étapes du processus et les contrôles qui ont été décrits sont appliqués, par un personnel ayant
l‟autorité et la compétence, nécessaires, pour réaliser de façon effective ces contrôles.
Ces tests permettent à l‟auditeur du contrôle interne à l‟égard de l‟information financière de
vérifier que les contrôles, mis en place, ne peuvent être contournés.
L‟auditeur doit par le biais d‟entretiens approfondis du personnel adéquat, d‟inspection
physique de la documentation et surtout par le biais de tests de cheminement (re-performance)
s‟assurer que ces contrôles fonctionnent convenablement et de façon continue118.
118
Public Company Accounting Oversight Board – Bylaws and Rules – Standards – AS5 – Paragraphe 44 & 45
111
111
Paragraphe 5 : Etendue des tests et jugement professionnel
En effectuant ses travaux d‟évaluation de l‟efficacité du contrôle interne à l‟égard de
l‟information financière, l‟auditeur doit se faire prévaloir d‟un esprit critique. En effet, et en
dépit de sa connaissance de la société, de son environnement de contrôle, l‟auditeur se doit de
rester attentif et vigilant aux erreurs matérielles qui pourraient résulter de fraudes. Il doit
obtenir des éléments probants solides et ce en dépit de son niveau de confiance (même si son
niveau de confiance est bon).
L‟auditeur du contrôle interne à l‟égard de l‟information financière doit donc, se baser sur son
jugement professionnel et se forger une appréciation détaillée de ce dernier afin de mettre en
place une approche d‟évaluation adéquate.
L‟étendue des travaux dépend donc, de l‟appréciation que l‟auditeur s‟est forgé des contrôles
internes de l‟entreprise, et de son jugement professionnel.
Paragraphe 6 : Utilisation de travaux d’autrui
L‟auditeur du contrôle interne à l‟égard de l‟information financière doit, certes, réaliser ses
propres tests de procédures, afin de disposer d‟éléments probants lui permettant d‟étayer son
opinion, il peut, toutefois, utiliser les résultats des tests et travaux réalisés par d‟autres
intervenants au niveau du contrôle interne : Il s‟agit, à ce niveau, des travaux réalisés par les
auditeurs internes, et toute autres personne, interne ou encore externe, diligentée par le comité
d‟audit ou par la direction pour évaluer l‟efficacité du contrôle interne à l‟égard de
Il s‟agit donc, pour l‟auditeur, d‟évaluer la pertinence d‟utilisation des résultats des travaux
d‟autrui, afin de déterminer leur degré de fiabilité. L‟auditeur devrait, donc, évaluer la nature
et l‟étendue des contrôles réalisés ainsi que l‟objectivité et la compétence de ceux qui les ont
réalisés.
L‟auditeur doit, cependant, évaluer minutieusement l‟étendue des travaux réalisés par autrui,
pour pouvoir les utiliser et ce en fonction de la nature des contrôles : Les travaux effectués par
112
112
l‟auditeur doit être plus approfondi sur tout contrôle jugé important : Les contrôles au niveau
de l‟entité, doivent, cependant, être testés par l‟auditeur lui-même, vu la large couverture de
ces derniers.
Pratiquement, l‟auditeur doit, d‟une part, effectuer des tests de procédures complets sur les
tests qu‟il a sélectionné et réaliser, d‟autre part, des tests partiels sur les autres et ce en
s‟appuyant sur les tests réalisés par les autres intervenants. Les premiers tests serviront de
base pour l‟évaluation de l‟efficacité du contrôle interne, alors que les seconds permettraient
de s‟assurer de la qualité des travaux effectués par la direction et le comité d‟audit sur le
contrôle interne à l‟égard de l‟information financière.
Paragraphe 7 : Finalisation et documentation
La documentation joue un rôle essentiel pour l‟auditeur car elle lui permet de procéder à
l'attestation du contrôle interne à l'égard de l'information financière.
Elle permet à l‟auditeur de produire son attestation sur la conception du contrôle interne et son
efficacité et elle constitue une base pour l'élaboration des tests qui faciliteront l'évaluation de
l'efficacité du fonctionnement.
Sans une documentation bien étayée, l‟auditeur du contrôle interne à l‟égard de l‟information
financière ne peut supporter sa compréhension des activités exercées pour atteindre les
objectifs de contrôle et par conséquent, les lacunes existantes dans ces contrôles.
La documentation apparait donc, comme l'une des étapes indispensables pour se préparer à
l'attestation de la conception et de l'efficacité du fonctionnement du contrôle interne à l'égard
de l'information financière.
Un processus de documentation efficace s'appuie à la fois sur des entrevues et sur un suivi du
cheminement des principales activités de contrôle devant permettre de comprendre et de
confirmer la conception des contrôles internes.
L‟auditeur peut, en outre, juger quant à l‟opportunité de se baser sur la documentation déjà
existante ou non
113
113
Pour ce qui est du format de la documentation, les descriptions narratives119, matrices des
contrôles internes120 et organigrammes121 constituent les formats de documentation les plus
utilisés.
Le processus de documentation constitue pour l‟auditeur du contrôle interne à l‟égard de
l‟information financière, la dernière étape dans sa phase de tests d‟évaluation des contrôles.
L‟ampleur de la documentation dépend des principaux contrôles plutôt que tous les contrôles
sans distinction ; ceci préviendrait l‟auditeur de la constitution d‟une documentation
excessive, un exercice à la fois coûteux et inutile.
Notons enfin, qu‟une base de documentation solide, facilite la compréhension des contrôles
internes instaurés et de leur fonctionnement, ainsi que la réalisation des tests permettant leur
évaluation, et qui contribue à l'efficience du processus d'attestation visé par l‟auditeur.
119
Une description narrative donne une vue d'ensemble du processus documenté et doit, entre autres, porter sur
les principaux contrôles, indiquer qui est responsable de l'exécution du contrôle et mentionner quels sont les
principaux contrôles des applications et du système
120
La matrice des contrôles internes est un tableau qui, une fois rempli, indique les activités de contrôle établies
par la société pour atteindre ses objectifs de contrôle et les assertions connexes des états financiers. Elle formule
aussi des conclusions au sujet de l'efficacité de la conception et du fonctionnement et présente un programme de
tests et les résultats de ces tests
121
Un organigramme est un document qui résume graphiquement la description narrative des processus, y
compris les principaux points de contrôle
114
114
Section 6 : Appréciation globale et proposition d’axes d’amélioration : Rapport
d’évaluation, pilotage et suivi de la mise en place
Une fois les tests effectués et bien documentés, l‟auditeur est amené à exprimer une opinion
portant une appréciation globale du contrôle interne à l‟égard de l‟information financière et
émettre un rapport pour matérialiser celle-ci.
Dans ce qui suit, nous présenterons les préalables à mettre en œuvre par l‟auditeur, afin de lui
permettre d‟exprimer une opinion sur le contrôle interne à l‟égard de l‟information financière
et de supporter son opinion, d‟une part, la compilation des résultats des travaux effectués sur
les tests de contrôles et l‟émission de son rapport d‟évaluation, d‟autre part.
Paragraphe 1 : Conditions quant à l’évaluation
A. Normes de travail
L‟évolution de la réglementation en termes de maitrise des risques et de contrôle interne, ne
s‟est pas accompagnée par une évolution des normes régissant la profession de l‟audit en
Tunisie, afin de permettre de donner une place plus large au concept général de contrôle
interne dans la mission de certification des états financiers, et incluant aussi, une certification,
proprement dite, du contrôle interne
Bien que l‟ISA 315122, préconise une approche, ne se limitant pas au seul aspect comptable du
contrôle interne, mais une approche permettant d‟acquérir une connaissance générale de
l‟entité et de son environnement, y compris de son contrôle interne, les normes d‟exercice
professionnelles régissant les missions d‟audit d‟états financiers en Tunisie, à savoir les
normes internationales d‟audit ISA, ne s‟étaient pas adaptées au nouveau contexte
réglementaire, permettant une double certification : La certification des états financiers d‟une
part, et la certification du contrôle interne, d‟autre part.
122
Norme de l‟IFAC 315 intitulée Connaissance de l‟entité et de son environnement et évaluation du risque
d‟anomalies significatives
115
115
C‟est ainsi, que la norme internationale d‟audit ISA 700, devrait être adaptée pour tenir
compte de ces obligations, au niveau du texte du rapport d‟audit, et modifier le contenu dudit
rapport, pour tenir compte des nouvelles dispositions réglementaires en la matière.
L‟ordre des experts comptables, doit donc, adapter, revoir ou ré-observer ses normes de
travail, pour tenir compte des obligations introduites par les nouvelles dispositions légales en
matière de divulgation sur le contrôle interne. Pour se faire le cadre COSO et surtout la norme
d‟audit 5 du PCAOB devraient, à notre sens, être utilisées comme cadre de référence, voir
même adoptées, pour permettre la mise en place de ces obligations de doble certification, du
contrôle interne d‟une part, et des états financiers, d„autre art, et ce de façon conjointe.
Ces normes devraient donc, être adoptées par l‟OECT comme les normes régissant l‟exercice
de l‟audit légal en Tunisie pour les sociétés faisant appel public à l‟épargne, notamment.
B. Formation technique, compétence et Connaissances des
éléments à évaluer
Les compétences de l'expert-comptable, le premier partenaire conseil de l'entreprise, associées
à sa proximité avec les dirigeants, ainsi que la diversité de ses missions et de ses secteurs
d'intervention, font de lui l‟acteur principal en matière de certification du contrôle interne à
l‟égard de l‟information financière.
En effet, le contrôle interne à l‟égard de l‟information financière est un sujet au cœur des
préoccupations de l'expert comptable : L'expert comptable dans l'ensemble des missions
d'attestation de l'information financière, qu'elle que soit leur nature (audit, examen limité)
s'intéresse toujours au contrôle interne.
Ses compétences techniques, ses expériences et sa compréhension des processus liés à
l'établissement des états financiers, lui permettent, d‟une part, d‟évaluer le contrôle interne à
l‟égard de l„information financière pour les besoins de sa mission de certification, et font de
lui, par ailleurs, un bon partenaire pour assister une société dans l'identification des risques et
des contrôles, la description de ses processus et la mise en couvre de programmes de tests
permettant d'évaluer l'efficacité des systèmes de contrôle interne mis en place.
116
116
Notons enfin, que la loi Sarbanes-Oxley de part son extrême exigence a ouvert des champs de
missions longues et variées sur les différents aspects du contrôle interne, raison pour laquelle,
des cabinets et des professionnels, Américains, spécialisés dans le domaine du contrôle
interne et de la gestion du risque, se sont tournés résolument vers une pratique professionnelle
de conseil sur les problématiques liées au contrôle interne à l‟égard de l‟information
financière et la préparation des états financiers.
C. Compétence, objectivité et indépendance
Les normes professionnelles recommandent habituellement à l‟auditeur d‟être à la fois
compétent et indépendant, c‟est-à-dire que l‟auditeur doit être d‟une part, capable, doté de
bonnes connaissances, suffisamment expérimenté pour réaliser de manière satisfaisante
l‟ensemble des diligences d‟audit et d‟autre part, être mentalement capable d‟analyser et de
rendre compte dans son rapport de façon non biaisée, objective et sans causer de préjudice
aux tiers.
La compétence constitue donc, le niveau d‟expertise suffisant pour atteindre les objectifs
explicites de la mission d‟audit, d‟une part, et de la certification du contrôle interne à l‟égard
de l‟information financière, d‟autre part.
La compétence et l‟indépendance sont les ingrédients d‟un audit réussi. Ils sont aussi les
ingrédients nécessaires, pour la réussite de la certification du contrôle interne à l‟égard de
l‟information financière. L‟indépendance quant à elle, définie comme étant le niveau de
technicité, de connaissances et d‟expérience de l‟auditeur, peut précéder la compétence.
Toutefois, un auditeur peut difficilement être indépendant s‟il n‟est pas compétent. La
compétence de l‟auditeur est une condition nécessaire à son indépendance. La décision de
l‟auditeur d‟être dépendant ou indépendant, ne peut être prise que si sa compétence lui permet
d‟accomplir, de manière totalement satisfaisante, l‟ensemble de ses travaux d‟audit. La
maîtrise technique est nécessaire pour pouvoir exprimer un jugement et résister à des
pressions non fondées.
117
117
Il s‟agit donc de la sensibilité éthique123 de l‟auditeur, c'est-à-dire sa capacité à interpréter une
situation donnée et à se rendre compte qu‟un problème moral existe.
L‟auditeur, expert comptable Tunisien, et de part son appartenance à l‟Ordre des Experts
Comptables de Tunisie, dont les valeurs sont « Science, Conscience et indépendance »,
présente les garanties suffisantes pour mener à bon port sa mission de double certification, des
états financiers d‟une part, et l‟expression d‟une opinion d‟audit sur ceux-ci, et du contrôle
interne à l‟égard de l‟information financière et la certification de celui-ci, d‟autre part.
D. Diligences
S‟agissant d‟une mission concomitante à sa mission d‟audit, les diligences à respecter par
l‟auditeur légal, le commissaire aux comptes expert comptable le cas échéant, sont identiques
à celles relatives à sa mission d‟audit, sa mission de certification des états financiers
Selon les obligations légales régissant les missions d‟audit en Tunisie, le commissaire aux
comptes certifie la sincérité et la régularité des comptes annuels de la société conformément à
la loi en vigueur relative au système comptable des entreprises. Il vérifie périodiquement
l'efficacité
du
système
de
contrôle
interne.
Le commissaire aux comptes a mandat de vérifier aussi l'exactitude des informations données
sur les comptes de la société dans le rapport du conseil d'administration ou du directoire.
Il a droit à effectuer toutes les investigations qu‟il juge nécessaire selon son jugement
professionnel et qui lui permettent de certifier les états financiers et le contrôle interne, de
celle-ci, le cas échéant.
123
La sensibilité éthique est la capacité à interpréter une situation donnée et à se rendre compte qu‟un problème
moral existe La sensibilité éthique permet à l‟auditeur de franchir quatre étapes psychologiques, pour se
comporter de manière éthique. Tout d‟abord, il doit interpréter une situation donnée comme un problème
éthique. Cette étape inclut le fait d‟identifier les options possibles et leurs conséquences. En second, l‟individu
doit décider quelle option est correcte du point de vue moral. Ensuite, il doit avoir la volonté de se comporter de
manière éthique, même si son propre intérêt lui dicte une attitude contraire. Enfin, l‟individu doit avoir une force
de caractère suffisante pour se comporter de manière conforme à son intention éthique.
118
118
Les commissaires aux comptes peuvent également, le cas échéant, par ordonnance du juge
compétent, recueillir toutes informations utiles à l'exercice de leurs missions auprès des tiers
qui ont conclu des contrats avec la société ou pour son compte.
L‟auditeur légal est amené pour se faire, à se doter d‟un esprit critique, lui permettant de
déceler les situations pouvant conduire à des anomalies significatives dans le système de
contrôle interne mis en place, et par suite au niveau des comptes, tout en respectant les textes
régissant sa mission, notamment les dispositions du Code de déontologie de la profession. Il
réalise sa mission d'audit des comptes conformément aux textes légaux et aux normes
d'exercice professionnel relatives à cette mission.
À ce titre, le commissaire aux comptes évalue de façon critique la validité des éléments
collectés au cours de ses travaux, et reste attentif aux informations qui contredisent ou
remettent en cause la fiabilité des éléments obtenus.
Par ailleurs, tout au long de ses travaux, le commissaire aux comptes exerce son jugement
professionnel, notamment pour décider de la nature, du calendrier et de l'étendue des
procédures d'audit à mettre en œuvre, et pour conclure à partir des éléments collectés.
E. Planification et déroulement de la mission
La mission conjointe de double certification par le commissaire aux comptes appelé, à
certifier les comptes d'une entité et son contrôle interne, se doit de faire l'objet d'une
planification. Cette planification est formalisée notamment dans un plan de mission, un
programme de travail et une lettre de mission, au même titre que la seule mission classique
d‟audit.
La norme ISA 300 « Planification d‟une mission d‟audit d‟états financiers », norme ayant
défini la démarche que devrait suivre le commissaire aux comptes pour la planification de son
audit des comptes et l'élaboration du plan de mission et du programme de travail, pourrait être
reconduite pour la planification de cette mission de double certification.
119
119
L'auditeur, et pour les besoins de sa mission de double certification et d‟audit conjoint, doit
planifier sa mission afin que cette dernière soit réalisée de manière efficace.
Il doit donc, établir un plan de mission décrivant la stratégie générale adoptée pour sa mission
et développer un programme de travail dans le but de réduire le risque d'audit à un niveau
faible acceptable
Une planification adéquate permet de s'assurer qu'une attention particulière est portée aux
aspects essentiels de la mission, que les problèmes potentiels sont identifiés et résolus en
temps voulu et que la mission est correctement organisée et administrée afin qu'elle soit
menée d'une manière efficace et efficiente.
Une planification adéquate permet également l'attribution des travaux aux membres de
l'équipe affectée à la mission, facilite la direction et la supervision de ceux-ci ainsi que la
revue de leurs travaux et, enfin, facilite, le cas échéant, la coordination des travaux avec
d‟autres auditeurs.
La nature et l'étendue du processus de planification variera en fonction de la taille et de la
complexité de l'entité, de l'expérience passée de l'auditeur dans l'entité, ainsi que des
changements de situations qui peuvent intervenir au cours de la mission
Le plan de mission, selon ISA 300, « fixe l'étendue, le calendrier et la démarche d’audit, et
donne des lignes directrices pour la préparation d'un programme de travail plus détaillé.
L'établissement du plan de mission implique:
(a) de déterminer les caractéristiques de la mission qui définissent son étendue, telles que: le
référentiel comptable suivi, les règles spécifiques de présentation des états financiers requises
dans le secteur d'activité concerné et la localisation des composants de l'entité ;
(b) de s'assurer des objectifs de la mission en terme de rapport à émettre afin de planifier un
calendrier pour effectuer les travaux ainsi que la nature des communications demandées, tels
que les dates limites pour signer le rapport intercalaire ou final, et les dates-clés pour les
120
120
communications prévues à la direction et aux personnes constituant le gouvernement
d'entreprise ;
(c) de prendre en compte les facteurs importants qui détermineront les aspects qui feront
l'objet d'une attention toute particulière de l'équipe affectée à la mission, tels que la fixation
de seuils de signification appropriés… »
Le plan de mission permet à l‟auditeur de définir les ressources nécessaires pour le bon
déroulement et exécution de sa mission, d‟allouer ces dernières pour mener à bien sa double
mission de certification et de définir les dates de leur déploiement.
Une fois le plan de mission arrêté, l‟auditeur met en place un programme de travail
définissant la nature, le calendrier et l'étendue des procédures d'audit à mettre en œuvre par les
membres de l'équipe affectée à la mission afin de recueillir des éléments probants suffisants et
appropriés pour réduire le risque d'audit à un niveau faible acceptable. La documentation du
programme de travail sert également à garder la trace de la planification et de la réalisation
des procédures d'audit qui peuvent être revues et approuvées avant la mise en œuvre de
procédures d'audit additionnelles et qui permettraient de formuler cette double opinion sur le
contrôle interne et sur les états financiers.
Pour favoriser le bon déroulement de sa mission visant à exprimer une double opinion sur le
contrôle interne et les états financiers, il est nécessaire pour le commissaire aux comptes de
définir les termes et conditions de la mission et de les consigner dans une lettre de mission et
ce préalablement à la mise en œuvre de travaux de vérification et de contrôle.
Le commissaire aux comptes consignera par suite, les éléments suivants au niveau de sa lettre
de mission :
la nature et l'étendue des interventions qu'il entend mener conformément aux normes
d'exercice professionnel ;
la façon dont seront portées à la connaissance des organes dirigeants les conclusions
issues de ses interventions ;
les dispositions relatives aux signataires, aux intervenants et au calendrier ;
121
121
la nécessité de l'accès sans restriction à tout document comptable, pièce justificative
ou autre information demandée dans le cadre de ses interventions ;
le rappel des informations et documents que la personne ou l'entité doit lui
communiquer ou mettre à sa disposition ;
le souhait de recevoir une confirmation écrite des organes dirigeants de la personne ou
de l'entité pour ce qui concerne les déclarations faites au commissaire aux comptes en
lien avec sa mission ;
le budget d'honoraires et les conditions de facturation.
F. Responsabilité
Pour les besoins de sa mission d‟audit et la formulation de la double certification du contrôle
interne et des états financiers, et s‟agissant d‟une mission conjointe à sa mission d‟audit légal,
le commissaire aux comptes a, une obligation de moyens et non de résultat c‟est-à-dire qu‟on
ne peut pas lui reprocher une faute dès lors qu‟il met en ouvre l‟ensemble des procédures et
des règles applicables à sa mission.
Toutefois, et pour les besoins de sa mission, le commissaire aux comptes engage, au même
titre que sa mission d‟audit légal sa triple responsabilité, à savoir, sa responsabilité civile,
pénale et professionnelle.
Trois conditions sont nécessaires pour engager la responsabilité civile de l‟auditeur. La
première condition est celle de la faute qui résulte d‟un manquement à une obligation de
moyens qui pèse sur le commissaire aux comptes. La seconde condition est celle du préjudice
subi alors que la troisième condition est l‟existence d‟un lien de cause à effet entre la faute du
commissaire et le préjudice allégué. Quelles que soient les insuffisances de contrôle, le
commissaire n‟est civilement pas responsable dès lors que le demandeur ne peut justifier que
son préjudice est en relation de causalité juridiquement utile. Cependant, si le manquement à
l‟obligation professionnelle de comportement normalement diligent est accompagné d‟une
expression de contrôle de nature à tromper le demandeur, alors le lien de causalité est établi.
La réunion des ces trois conditions est ainsi fondamentale afin d‟engager la responsabilité
civile du commissaire aux comptes.
122
122
La responsabilité pénale est engagée, principalement, dans les cas suivant :
L‟exercice illégal de la profession.
La confirmation d‟informations mensongères.
La non révélation de faits délictueux.
La violation du secret professionnel auquel le commissaire aux comptes et ses
collaborateurs sont astreints.
La responsabilité professionnelle est encourue du fait de l„appartenance à l‟Ordre des Experts
Comptables de Tunisie, et pourrait résulter des fautes précitées ou du non respect du code de
déontologie et des devoirs professionnels à la charge des commissaires aux comptes experts
comptables.
Paragraphe 2 : Conclusion des travaux et rapport
A. Rapport de la direction
Comme il a été mentionné auparavant la loi renforçant les sécurités financières en Tunisie a
mis à la charge des organes de direction l‟obligation d‟insérer « des éléments sur le contrôle
interne » au niveau du rapport de gestion124, et de communiquer aux commissaires aux
comptes « une déclaration annuelle…pour attester qu‟ils ont fourni les diligences nécessaires
pour garantir l‟exhaustivité et la conformité des états financiers à la législation comptable…»,
la présente déclaration sera traitée plus tard au niveau de la lettre d‟affirmation ;
Bien que la loi ait voulu consacrer le contrôle interne, en tant que garant d‟une gouvernance
seine, la loi est restée assez vague sur les divulgations nécessaires en la matière, parlant
d‟éléments à insérer au niveau du rapport de gestion ou à annexer à ce rapport.
On se
poserait alors la question de savoir s‟il s‟agit d‟insérer une description sommaire, ou détaillée
du contrôle interne de la société ? Ou de présenter une évaluation proprement dite de ce
dernier ?
Le texte présente à notre avis, une ambiguïté à ce niveau, et aurait dû être plus explicite.
Certes l‟évaluation proprement dite, est un exercice complexe, qui devrait être effectué selon
124
123
123
une démarche bien structurée, et nécessiterait à notre sens, des préalables à mettre en œuvre,
tel la définition d‟un cadre de référence qui permettrait à la direction de formuler une telle
évaluation.
Ceci étant, l‟arrêté ayant exigé l‟engagement de la direction sur la mise en place d‟un bon
système de contrôle interne conforterait l‟idée de l‟évaluation de ce dernier ; La question qui
se poserait alors, serait de savoir comment une direction pourrait-elle prouver qu‟elle a mis en
place un bon système de contrôle interne si elle n‟arrive pas à démontrer les travaux qu‟elle a
demandé, effectué et documenté en la matière ?
En Farnce, le président de toute société anonyme (à conseil d‟administration ou à conseil de
surveillance), cotée ou non cotée, se doit, de présenter un rapport joint au rapport de gestion
sur les conditions de préparation et d‟organisation des travaux du conseil, ainsi que sur les
procédures de contrôle interne mises en place par la société125.
Ce rapport fait en outre, l‟objet d‟un rapport du commissaire aux comptes, joint au rapport
général et portant sur les procédures de contrôle interne relatives à l‟élaboration et au
traitement de l‟information comptable et financière.
Concrètement, le fait de joindre le rapport sur le contrôle interne au rapport de gestion, offre
l‟avantage de rendre public le rapport joint, puisqu‟il sera déposé au greffe comme le rapport
de gestion.
Aux USA, des mesures de certification et d‟attestation personnelle des reportings financiers
et des systèmes de contrôle interne ont été mis à la charge des organes de direction. Ces
mesures obligent les directions des sociétés cotées américaines, à insérer une description et à
auto-évaluer leurs dispositifs de contrôle interne, et leur exige d‟émettre un rapport à ce sujet.
Ledit rapport porte, en outre, un engagement, de la part du management, sur la mise en place
et la bonne tenue de procédures de contrôle interne adéquates, pour permettre le bon
fonctionnement de l‟entreprise (Le management en la personne des directeurs generaux (Chief
Executive Officer) et des directeurs financiers (Chief Financcial Officer) sont responsables du
125
Titre III « Modernisation du contrôle légal des comptes et transparence », chapitre II « De la transparence
dans les entreprises », l‟article 117
124
124
contrôle interne au sein de l‟entreprise). En effet, c‟est au niveau de ses sections 302126 et
404127 que SOX a mis l‟accent sur la qualité du contrôle interne au sein de l‟entreprise.
L‟article 302128 portant sur la certification des états financiers par les dirigeants129, a obligé
ces derniers à attester qu‟ils :
Sont responsables de la mise en place et du maintien du dispositif de contrôle interne ;
Ont conçu ce dispositif de telle sorte que toute information significative concernant
l‟entreprise est connue par eux ;
Ont évalué l‟efficacité du contrôle interne à moins de 90 jours de la publication du
rapport ; et
Ont présenté dans leur rapport leurs conclusions sur le dispositif de contrôle interne
suite à son évaluation et notifié les auditeurs et le comité d‟audit des déficiences et
fraudes relevées ainsi que les changements qui y étaient intervenues.
L‟article 404 quant à lui, traitant « L‟évaluation du contrôle interne », exige que chaque
rapport annuel contienne un rapport sur le contrôle interne qui :
Confirme que la direction est responsable de la mise en place et de la gestion des
procédures et autres structures de contrôle interne pour la communication financière ;
Contienne une évaluation de l‟efficacité de ce qui est mis en place à la date de clôture
des états financiers130.
126
SOX Act / Title 3 : Corporate responsibility for financial reports
127
SOX Act / Title 4 : Management assesment of internal controls
128
Obligations de l‟article 302 du SOX act et tel que étayées par l‟Item 308(a) de la réglementation S-B et S-K,
17 C.F.R. §§ 228.308(a) and 229.308(a).
129
Le CEO et le CFO doivent préparer une déclaration, accompagnant le rapport des auditeurs, qui certifie la
validité des états financiers et des indicateurs présentés en hors bilan contenues dans le rapport annuel. La
déclaration doit aussi signaler que les états financiers présentent de manière sincère, dans tous leurs aspects
significatifs, la situation financière et les résultats de l‟activité de l‟entreprise.
130
L‟article 404 a prévu également que les auditeurs évaluent, dans leur rapport, l‟évaluation du contrôle interne
faite par les dirigeants et insèrent leurs conclusions sur cette dernière au niveau de leur rapport. Cette partie sera
développée au niveau de la section 2.2.2 Les obligations à la charge des auditeurs et l‟élargissement de leurs
missions
125
125
La démarche d'évaluation suivie par de nombreuses entreprises soumises aux obligations de la
Section 404 du Sarbanes-Oxley Act s'articule comme suit :
Définition d'un référentiel reconnu d'évaluation, dans la pratique très souvent celui du
COSO Report;
Organisation de l'équipe d‟audit et définition des règles de base conditionnant le succès
de ce processus (responsabilités, documentation, périmètre, communication...);
Evaluation du contrôle interne au niveau de l‟entité à la lumière des 5 composantes du
contrôle interne définies par le référentiel COSO;
Identification et évaluation du contrôle interne au niveau des processus, transactions et
applications;
Centralisation et évaluation des exceptions et inefficacités du contrôle interne relevées;
Conclusions et conséquences sur l‟évaluation globale de l‟efficacité du contrôle interne
de l'entreprise.
Ces travaux sont couronnés par l‟émission d‟un rapport portant une évaluation proprement
dite du contrôle interne, ainsi que les déficiences majeures et significatives qui auraient été
déterminées131.
Cette démarche gagnerait, à notre sens, à être poursuivie, par les sociétés Tunisiennes pour
aboutir à une évaluation proprement dite du contrôle interne et produire l‟attestation délivrée à
l‟auditeur légal.
B. Evaluation du rapport de la direction
Le commissaire aux comptes veille à ce que les projets d'évaluation du contrôle interne, tels
que présentés par la société, soient correctement déployés et que les activités d'évaluation
aient été menées jusqu'au bout en appliquant les méthodologies décidées par la société et
acceptées par ses soins. C'est notamment en réalisant des procédures comme les tests refaits
que le commissaire aux comptes détermine que l'évaluation de la société repose sur des bases
solides
131
Norme S-B et S-K de la SEC (item 308)
126
126
La société doit également avoir mis en couvre un processus d'évaluation des déficiences du
contrôle interne. Cet exercice complexe nécessite une bonne compréhension des concepts
définis par le standard No.5 du PCAOB et du cadre de référence utilisé, le COSO le cas
échéant, et une communication efficace entre les parties prenantes.
Les sociétés mettent, en général, en place un comité chargé d‟analyser les déficiences
importantes et qui doit permettre que des actions correctrices concrètes prennent place
rapidement. Ce type de comité peut prévoir la participation du commissaire aux comptes lors
de ses réunions précédant la certification du contrôle interne et dans ce cas, ce dernier est tenu
au courant de façon quasiment instantanée des déficiences identifiées, de leur évaluation par
la société et des actions mises en couvre si possible afin de remédier aux faiblesses
identifiées.
L‟auditeur évalue donc, la démarche suivie par l‟entreprise, le volume des ressources allouées
au projet d‟évaluation et qui se doivent d‟être compétentes, qualifiées, disponibles et
affluentes, l‟étendue et le planning des tests réalisés et l‟adéquation des conclusions formulées
avec les déficiences relevées.
Il évalue en outre, la qualité de l‟équipe projet ou de comité de pilotage ayant été chargé par
les travaux d‟évaluation, de sa planification et supervision à l'exécution des étapes du
processus, et la capacité de celui ci à recommander des changements utiles au dispositif de
contrôle interne lorsque cela s'avère nécessaire, ainsi que la qualité des travaux de synthèse
rapportés à la direction, notamment, la documentation qui leur a été présentée, et qui constitue
la base principale pour la formulation par la direction de son rapport sur le contrôle interne
Le commissaire aux comptes suit la consolidation des conclusions et des déficiences de
contrôle interne identifiées par les entités. II s'assure que l‟ensemble des déficiences
identifiées soient revues et appréciées. Il s‟agit à ce niveau d‟un exercice de consolidation de
toutes les déficiences et anomalies relevées.
127
127
Il s‟assure enfin, que les déficiences significatives ou majeures ont fait l‟objet d‟une
information complète et appropriée au niveau du rapport de la direction132.
C. Rapport de l’auditeur
A ce niveau, le commissaire aux comptes ayant identifié les déficiences de contrôle interne,
doit évaluer le niveau de gravité de ces déficiences. Il doit déterminer si les déficiences
identifiées constituent individuellement ou de façon combinée des déficiences significatives
ou des faiblesses majeures, et l‟impact que revêtiraient ces dernières sur la formulation et
l‟émission de son rapport.
Les faiblesses majeures peuvent résulter d‟une déficience ou d‟un ensemble ou combinaison
de déficiences, ou même la possibilité de survenance de l‟une de celles-ci, sur les contrôles,
préventifs ou de détection soient-ils, et qui peuvent engendrer des erreurs significatives au
niveau des états financiers de la société : Ceci nous amène à dire que même si de telles
déficiences ne surviendraient pas, elles devraient être individualisées et incluse dans le
rapport, lorsque la possibilité de leur survenance est raisonnablement démontrée.
Les déficiences significatives résultent d‟une déficience ou d‟un ensemble ou combinaison de
déficiences sur les contrôles, qui sont moins importantes et avec des répercussions moins
graves que les faiblesses majeures, mais qui restent importantes, à un point tel qu‟elles
doivent être reportées et faire l‟objet d‟un suivi de part la direction, mais qui n‟a pas d‟impact
sur le rapport du commissaire aux comptes, le cas échéant.
Plusieurs indicateurs peuvent renseigner sur la probabilité qu'une anomalie se produise dans
les états financiers du fait d'une déficience ou d'un ensemble de déficiences de contrôle
interne existant. A titre indicatif, ces indicateurs peuvent être observés selon133 :
132
La SEC et dans sa norme S-B et S6K (Item 308) a prévu que les déficiences significatives du contrôle interne
soient clairement divulguées au niveau du rapport de la direction sur le contrôle interne. La CNCC dans son avis
technique au titre des bonnes pratiques professionnelles sur 1"exercice d'application des dispositions du dernier
alinéa de l‟article L.225-235 du Code de commerce. De même la SEC
133
PCAOB / Bylaws and Rules / Standards / AS5 / Item 65
128
128
La nature des comptes, des notes et des assertions ;
La susceptibilité des comptes au risque de fraude et au risque de pertes ;
La subjectivité, la complexité ou l‟importance du jugement dans la détermination du
montant impliqué ;
La fréquence des exceptions détectées ou connues ;
Les interactions du contrôle déficient avec d'autres contrôles ;
Les interactions des déficiences ;
Les conséquences futures probables de la déficience de contrôle interne.
Les faiblesses sont qualifiées de majeures notamment si de tels indicateurs existent134 :
L‟identification de fraudes, majeures ou non, de la part du top management de la
société, notamment ceux qui s‟engagent sur l‟évaluation effectuée du contrôle interne ;
Le retraitement d‟états financiers déjà publiés pour tenir compte d‟erreurs
significatives ;
La détection d‟erreurs significatives par le commissaire aux comptes et qui n‟ont pas été
détectées par la direction ;
L‟inefficacité des activités de supervision du comité d‟audit concernant les
communications faites sur l‟information financière et l‟environnement de contrôle
interne à l‟égard de celle-ci ;
Le commissaire aux comptes doit donc prêter une attention particulière à ces déficiences et
aux éléments insérées au niveau du rapport de la direction avant de synthétiser ces
conclusions et émettre son rapport.
i.
Formulation du rapport
Le rapport du commissaire aux comptes comporte les mentions suivantes :
un intitulé : Le rapport de l'auditeur doit comporter un intitulé qui indique clairement
qu'il s'agit du rapport d'un auditeur indépendant,
134
129
129
le destinataire du rapport,
un paragraphe introductif comportant une identification de la mission d‟audit, une
identification des états financiers objet du rapport en spécifiant notamment la période
couverte par ceux-ci, le rappel de sa qualité de commissaire aux comptes, les objectifs
de son intervention et les références légales de sa mission, l'identification du rapport du
président et l'exercice concerné, les responsabilités respectives, d'une part, de la
direction en matière de contrôle interne, d'autre part du président et du commissaire aux
comptes dans l'établissement du rapport et dans sa vérification, Il définit aussi le cadre
de référence utilisé par la direction pour le maintien et la mise en place du contrôle
interne à l‟égard de l‟information financière, le cadre COSO, le cas échéant, Il doit en
outre faire référence au rapport d‟auto-évaluation émis par la direction
un paragraphe décrivant l‟étendue des diligences effectuées et ce en se référant aux
normes d‟exercice professionnelles, à savoir les normes du PCAOB aux USA, ainsi que
l‟objectif poursuivi par le commissaire aux comptes dans le cadre de sa mission de
double certification ; Ce paragraphe doit mentionner implicitement, l‟objectif poursuivi
par sa mission de double certification des états financiers et de l‟environnement de
contrôle interne, l‟assurance raisonnable conférée par cette mission, à savoir, que les
états financiers ne contiennent pas d‟erreurs significatives et que le contrôle interne à
l‟égard de l‟information financière ne contiennent pas de déficiences majeures,
un paragraphe définissant le contrôle interne eu égard à l‟information financière comme
étant un processus qui a pour finalité de donner une assurance raisonnable quant à la
fiabilité du reporting financier et le déroulement des conditions de sa préparation. Il
englobe toutes les règles et procédures permettant de :
o S‟assurer de l‟exhaustivité des enregistrements comptables et de leur
représentation fidèle des transactions et des mouvements ayant eu lieu sur les
actifs de l‟entreprise ;
o Fournir une assurance raisonnable que la totalité des transactions de
l‟entreprise ont été traduites de façon fidèle au niveau des états financiers et
que ces mêmes transactions ont été autorisées et approuvées par la direction,
et :
130
130
o Fournir une assurance raisonnable quant à la prévention et la détection en
temps opportun des acquisitions, utilisations et cessions non autorisées et qui
ont un impact sur les états financiers de l‟entreprise.
Un paragraphe indiquant que du fait des limites inhérentes au contrôle interne, certaines
erreurs peuvent ne pas être évitées ou détectées et que l‟évaluation de l‟efficacité du
contrôle interne dans le futur est soumise aux risques que les contrôles deviennent
inadéquats du fait de changements dans l'organisation ou dans son environnement de
contrôle,
un paragraphe d’opinion,
la date du rapport,
l'adresse et l'identification du (des) signataire(s) du rapport.
L‟opinion est l‟ensemble des conclusions formulées, de façon positive et non négative à
l‟instar de ce qui est actuellement fait en Tunisie, sous forme d'observations, ou au contraire
d'absence d'observation, a exprimer sur les informations et, le cas échéant, les déclarations
contenues dans le rapport de la direction, portant sur les procédures de contrôle interne
relatives à l'élaboration et au traitement de l'information comptable et financière et la mention,
le cas échéant, du caractère manifestement incohérent de certaines autres informations
données dans ce rapport,
L‟opinion est exprimée sur l‟image fidèle, et la présentation sincère, dans tous leurs aspects
significatifs, des états financiers conformément au référentiel comptable applicable et sur le
fait qu‟ils reflètent la situation financière réelle de l‟entreprise d‟une part, et sur le maintien
d‟un système de contrôle interne eu égard l‟information financière qui fonctionne pour la
période couverte par les états financiers publiés135, d‟autre part.
L‟auditeur doit considérer, donc, pour les besoins de la formulation de son opinion, le rapport
d‟auto-évaluation émis par la direction et les conclusions de celle-ci. Il doit s‟assurer que la
135
131
131
direction y a inclus tous les éléments motivant l‟auto évaluation qu‟elle a effectuée, à
savoir les obligations introduites par l‟article 302136 de la loi Américaine de sécurités
financières.
L‟absence de l‟un de ces éléments, ou l‟incohérence de l‟évaluation effectuée par la direction
avec celle du commissaire aux comptes, porterait l‟auditeur à revoir et modifier son rapport.
ii.
Modification du rapport
L‟auditeur doit considérer, donc, pour les besoins de la formulation de son opinion, le rapport
d‟auto-évaluation émis par la direction et les conclusions de celle-ci. Il doit s‟assurer que la
direction y a inclus tous les éléments motivant l‟auto évaluation effectuée, à savoir les
obligations introduites par l‟article 302137 de la loi Américaine de sécurités financières, à
savoir notamment, que :
La direction (CEO et CFO) est responsable de la mise en place et du maintien du
contrôle interne ;
Elle a défini l‟objectif poursuivi par la mise en place et le maintien du dispositif de
contrôle interne à l‟égard de l‟information financière et l‟assurance raisonnable donné
par ce dispositif quant à l‟information financière communiquée ;
Elle a identifié le cadre auquel elle s‟est référenciée pour la mise en place et le maintien
de ce dispositif de contrôle interne à l‟égard de l‟information financière, COSO le cas
échéant ;
Elle a procédé à l‟évaluation de son efficacité et présenté dans son rapport ses
conclusions sur ce dispositif de contrôle interne, et notamment les défaillances majeures
qu‟elle a relevé au niveau de ce dispositif ;
Elle a identifié et divulgué tous les changements qui ont eu lieu sur ce dispositif ;
Le commissaire aux comptes a revu le rapport de la direction et a émis un rapport sur ce
dispositif de contrôle interne à l‟égard de l‟information financière.
136
17 C.F.R. §§ 228.308(a) and 229.308(a).
137
17 C.F.R. §§ 228.308(a) and 229.308(a).
132
132
Le commissaire aux comptes devrait s‟assurer que tous ces éléments ont été inclus au niveau
du rapport de la direction. L‟absence de l‟un de ces éléments, ou leur inappropriée
présentation devrait être considérée au niveau de la formulation de l‟opinion. Le commissaire
aux comptes est tenu par suite, d‟insérer un paragraphe ou il devrait expliquer les faits138.
Le commissaire aux comptes doit aussi, porter une attention particulière à l‟évaluation
effectuée par la direction et à toute incohérence entre l‟évaluation effectuée par la direction
avec la sienne : C‟est le cas notamment:
lorsque le commissaire aux comptes conclut sur l‟existence d‟une défaillance majeure
au niveau du contrôle interne à l‟égard de l‟information financière, et que l‟entreprise
n‟a pas inclus cette défaillance au niveau de son rapport d‟évaluation139 ; ou encore,
lorsque le commissaire aux comptes considère qu‟une déficience majeure, et bien
qu‟identifiée et divulguée au niveau du rapport de la direction, elle n‟ait pas été
présentée sincèrement et dans tous ses aspects significatifs140.
Ceci reviendrait à dire, que l‟évaluation de la direction est non fiable et que son rapport est
par suite, faussé : Si tel est le cas, le commissaire aux comptes est appelé à modifier son
rapport pour y exprimer une réserve et inclure un paragraphe explicatif de la déficience
majeure identifiée par ses soins et qui n‟a pas été incluse au niveau du rapport de la direction,
ou qui n‟aurait pas été présentée sincèrement au niveau dudit rapport et d‟en expliquer la
nature ainsi que les effets et répercussions actuels et futurs qu‟elle pourrait avoir sur les états
financiers de l‟entreprise et leur présentation sincère.
Notons enfin, que toute limitation au niveau de l‟étendue des travaux devrait être sanctionnée
par la modification du rapport : Selon l‟importance de cette limitation, le commissaire aux
comptes exprime soit une réserve et inclut un paragraphe explicatif de la déficience majeure
identifiée, soit une impossibilité d‟exprimer une opinion, si la limitation est tel qu‟il est dans
l‟impossibilité de réaliser ses tests et de constituer une base solide pour l‟expression d‟une
opinion.
138
PCAOB / Standard_5 / Appendix_C / C2
139
140
133
133
iii.
Rapport distincts ou combinés
L'auditeur peut choisir de délivrer un rapport combiné ou deux rapports distincts sur les états
financiers de l'entreprise et sur le contrôle interne à l‟égard de l‟information financière141.
Si le commissaire aux comptes choisit d‟émettre deux rapports distincts, il devrait procéder à
renvoi croisé des deux rapports, c'est-à-dire que :
Au niveau de son rapport d‟audit : Il devrait inclure un paragraphe faisant renvoi à son
rapport sur le contrôle interne à l‟égard de l‟information financière, les références
réglementaires régissant sa mission de double certification, à savoir les normes du
PCAOB, le cadre de référence utilisée et l‟opinion exprimée ainsi que la date du rapport
émis142.
Au niveau de son rapport sur le contrôle interne à l‟égard de l‟information financière : Il
devrait inclure un paragraphe faisant renvoi à son rapport d‟audit, de commissariat aux
comptes le cas échéant, les références réglementaires régissant sa mission de double
certification, à savoir les normes du PCAOB et l‟opinion exprimée ainsi que la date du
rapport émis143.
iv.
Date d’émission du rapport
Le commissaire aux comptes devrait émettre son rapport lorsqu‟il a récolté tous les éléments
probants lui permettant de supporter son opinion. Il devrait se faire communiquer au préalable
le rapport d‟auto-évaluation du contrôle interne de la direction et sa lettre d‟affirmation.
Si l‟auditeur choisit d‟émettre deux rapports distincts les deus rapports devraient portés les
mêmes dates144.
141
142
143
144
134
134
v.
Evénements postérieurs à la date de clôture
Les événements postérieurs à la date de clôture doivent être traités par le commissaire aux
comptes selon que ces derniers étaient intervenus après l‟achèvement des tests et avant la date
d‟émission du rapport ou qu‟elles soient intervenues après l‟émission du rapport.
L'auditeur doit mettre en œuvre des procédures visant à recueillir des éléments probants
suffisants et appropriés justifiant que tous les événements survenus jusqu'à la date de son
rapport et qui peuvent avoir un impact sur le contrôle interne à l‟égard de l‟information
financière, et par suite sur son rapport, ont été recensés et analysés.
Il devrait se faire communiquer un engagement de la part de la direction que tous les
changements qui auraient survenus au niveau du dispositif de contrôle interne, s‟ils existaient,
lui ont été communiqués145.
Afin de s‟assurer qu‟aucun changement n‟est intervenu sur le dispositif de contrôle interne à
l‟égard de l‟information financière, le commissaire aux comptes devrait revoir les rapports qui
auraient été émis par le département audit interne au cours de la période postérieure à la date
de clôture, tous rapports qui pourraient provenir d‟un expert indépendant sur le dispositif de
contrôle interne, tous rapports émis par des agences de notation ou toutes autres informations
qu‟il pourrait obtenir et qui pourraient avoir concernant ce dispositif146.
Si par suite à ces tests, l‟auditeur parvenait à conclure qu‟un changement a impacté le
dispositif de contrôle interne à l‟égard de l‟information financière, il devrait modifier son
rapport pour tenir compte de cette nouvelle appréciation et modifier par suite son opinion, et
ce pour tenir compte des déficiences majeures qu‟il aurait relevé.
L‟auditeur pourrait aussi, prendre connaissance de déficiences majeures qui n‟existaient pas à
la date de certification et qui n‟auraient eu lieu que postérieurement à celle-ci : Il serait appelé
145
Il s‟agit d‟un paragraphe à insérer au niveau de la lettre d‟affirmation
146
Les tests à prévoir en matière des événements postérieurs à la date de clôture ont été prévus au niveau de AU
section 560
135
135
néanmoins, à inclure un paragraphe explicatif de cet événement et de son impact significatif
sur le dispositif de contrôle interne.
Si les événements postérieurs à la date de clôture parvenaient à l‟attention de l‟auditeur après
l‟émission du rapport, ce dernier est appelé à revoir si de tels événements étaient reliées à des
conditions qui auraient existé à la date de clôture. Si tel est le cas, l‟auditeur devrait en aviser
l‟entreprise et lui demander d‟informer sur cet événement. Et revoir l‟opportunité d‟émettre
un nouveau rapport pour modifier le premier qui aurait été déjà émis.
vi.
Effets de la formulation d’un avis motivé sur le contrôle
interne sur l’attestation des états financiers
Par définition, la formulation d‟un avis motivé sur le contrôle interne signifierait la détection
d‟une déficience majeure ou d'une insuffisance grave sur ce dispositif.
L‟existence d‟une telle déficience, formulée dans le rapport de la direction ou dans celui du
commissaire aux comptes, est de nature à remettre en cause la certification des comptes de la
société.
Néanmoins, le commissaire aux comptes doit analyser la couverture combinée du risque lie au
contrôle et du risque de non détection pour déterminer si ses conclusions sont de nature à
remettre en cause l‟expression de son opinion sur les états financiers.
vii.
Lettre d’affirmation
Le commissaire aux comtes devrait se faire communiquer obligatoirement une lettre
d'affirmation avant l‟émission de son rapport portant sa double certification du contrôle
interne à l‟égard de l‟information financière et des états financiers,. Cette lettre est établie par
la direction à cheque clôture faisant l'objet de publication147. Elle est signée par le directeur
général et par le directeur financier de la société.
147
L'article 302 de la loi Sarbanes-Oxley a rendu obligatoire l'établissement d'une lettre d‟affirmation à chaque
date de clôture. Son contenu a été étayé au niveau du standard 5 Item 75
136
136
La lettre d'affirmation, établie par la direction, comprend obligatoirement les éléments
suivants148 :
Une déclaration faite par les dirigeants sur leur responsabilité dans l'établissement et le
maintien du dispositif de contrôle interne à l‟égard de l‟information financière ;
Une déclaration qu‟ils ont procédé à l‟évaluation du dispositif de contrôle interne, et
que cette évaluation a été effectuée par leur propres moyens et de façon distincte de
celle de l‟auditeur ;
Une déclaration des conclusions de la direction concernant le fonctionnement effectif
du dispositif de contrôle interne à la date de clôture, et conformément au cadre de
référence utilisé, COSO le cas échéant;
Une déclaration sur le fait que la direction a informé le commissaire aux comptes de
toutes les défaillances significatives ainsi que de toutes les faiblesses majeures qu‟elle a
relevé durant sa mission d‟évaluation.
Une déclaration de toute fraude qui pourrait impacter significativement les états
financiers de l‟entreprise, ainsi que de toute autre fraude qui aurait impliqué les
directeurs ou autres personnel qui aurait un rôle clé dans le maintien et le bon
fonctionnement du dispositif de contrôle interne à l‟égard de l‟information financière ;
Une déclaration que toutes les déficiences relevées lors de la dernière période close, ont
été transmises et communiquées au comité d‟audit et le sort que ces dernières ont
connues, à savoir qu‟elles aient été résolues ou non ;
Une déclaration que tous les changements et autres informations ayant lieu avec le
dispositif de contrôle, qui ont eu lieu postérieurement à la date de clôture et qui
pourraient avoir un impact significatif sur le fonctionnement de celui-ci, ont été
communiqués au commissaire aux comptes, ainsi que toutes les actions que la direction
ait prise pour y faire face.
148
137
137
La non communication de la lettre d‟affirmation, ou encore la communication d‟une lettre
d‟affirmation incomplète, constituent une limitation quant à l‟étendue des travaux réalisés.
L‟auditeur devrait alors revoir l‟opportunité soit d‟exprimer une réserve, de refuser de
certifier, soit même démissionner de sa mission149.
Si tel est le cas, l‟auditeur devrait aussi reconsidérer la fiabilité des autres lettres d‟affirmation
qu‟il aurait obtenue, notamment celle concernant les états financiers sur lequel il allait
exprimer son opinion.
viii.
Autres communications
Lors du déroulement de sa mission de double certification, et notamment en matière de
certification du contrôle interne à l‟égard de l‟information financière, l‟auditeur est amené à
communiquer notamment, avec la direction, le comité d‟audit et le conseil d‟administration.
L‟auditeur doit communiquer par écrit, et antérieurement à la date d‟émission de son rapport
sur le contrôle interne à l‟égard de l‟information financière, toutes les faiblesses significatives
identifiées lors de son audit, à la direction et au comité d‟audit. Il devrait aussi, communiquer
par écrit, les déficiences significatives relevées au comité d‟audit.
Les autres déficiences dans le contrôle interne à l‟égard de l‟information financière, qui sont
d'une moindre ampleur que les faiblesses majeures, et qui auraient été identifiées au cours de
la mission d‟audit, devraient être consignées dans un rapport et communiquées à la direction
Si l'auditeur, conclut que les activités de supervision du comité d‟audit sur l‟information
financière publiée d‟une part, ou sur le dispositif de contrôle interne à l‟égard de l‟information
financière d‟autre part, sont inefficaces, l'auditeur doit communiquer cette conclusion par écrit
au conseil d'administration.
149
138
138
ix.
La notion de l’assurance raisonnable
Le dispositif de contrôle interne, aussi bien conçu et aussi bien appliqué soit-il, ne peut, en
aucun cas, fournir une garantie absolue car il contient des limites inhérentes à sa mise en place
et conception.
Ces limites inhérentes au contrôle interne, le cas échéant celui relatif à l‟information
financière, rendent possible, le risque de survenance de défaillances significatives, qui
seraient, ni prévenues, ni détectées à temps, au niveau du contrôle interne relatif à la
publication du reporting financier. Par suite, le contrôle interne relatif à l‟information
financière ne peut, en aucun cas, délivrer une assurance absolue, mais ne peut délivrer qu‟une
assurance raisonnable que les objectifs suivis par ce dernier sont atteints.
Section 7 : Le pilotage et le suivi
Le pilotage du contrôle interne est une des composantes du contrôle interne qui vise à
s‟assurer que celui-ci est efficace et qu‟il prend en compte les évolutions de l‟organisation et
de son environnement.
Le système de contrôle interne à l‟égard de l‟information financière est un système
dynamique où de nombreux changements peuvent survenir et rendre certains de ses aspects
inadaptés.
C‟est pourquoi ce système doit faire l‟objet de contrôles, permettant d‟en évaluer l‟efficacité
continue. Pour cela, il convient de mettre en place un système de pilotage permanent, de
procéder à des évaluations périodiques ou encore de combiner les deux méthodes.
Le pilotage permanent s‟inscrit dans le cadre des activités courantes et comprend des
contrôles réguliers effectués par la direction et le personnel d‟encadrement ainsi que toutes
autres techniques utilisées par le personnel à l‟occasion de la réalisation de leurs travaux.
L‟étendue et la fréquence des évaluations dépendront essentiellement du niveau de risques et
de l‟efficacité du processus de surveillance permanent. Les faiblesses du contrôle interne
139
139
doivent être portées à l‟attention de la hiérarchie et les lacunes les plus graves devront être
signalées à la direction dans l‟objectif d‟y apporter des actions correctives permettant au
système de contrôle interne à l‟égard de l‟information financière de fonctionner
convenablement et efficacement.
Cette surveillance, qui peut utilement s‟appuyer sur la fonction d‟audit interne de la société
lorsqu‟elle existe, peut conduire à l‟adaptation du dispositif de contrôle interne.
La Direction Générale ou le Directoire apprécient les conditions dans lesquelles ils informent
le Conseil des principaux résultats des surveillances et examens ainsi exercés.
Mise en œuvre par le management sous le pilotage de la Direction Générale ou du Directoire,
cette surveillance prend notamment en compte l‟analyse des principaux incidents constatés, le
résultat des contrôles réalisés ainsi que des travaux effectués par l‟audit interne, lorsqu‟il
existe. Cette surveillance s‟appuie notamment sur les remarques formulées par les
commissaires aux comptes et par les éventuelles instances réglementaires de supervision.
La surveillance peut utilement être complétée par une veille active sur les meilleures pratiques
en matière de contrôle interne.
L‟auditeur est appelé à revoir le pilotage et le suivi mis en place par la direction. Il doit
acquérir la connaissance des principaux types et moyens que l'entité utilise pour assurer le
suivi du contrôle interne à l‟égard de l‟information financière, ainsi qu‟une compréhension de
la manière dont l'entité entreprend des actions correctrices au niveau de ce dispositif.
Le suivi des contrôles est un processus destiné à évaluer l'efficacité de la performance du
contrôle interne au fil du temps. Il implique d'évaluer en temps voulu la conception et le
fonctionnement des contrôles et de prendre les mesures correctrices nécessaires, le cas
échéant modifiées pour tenir compte des circonstances. La direction réalise le suivi des
contrôles par des activités continues, des évaluations ponctuelles ou une combinaison des
deux. Les activités de suivi continues sont souvent intégrées aux activités récurrentes
normales d'une entité et comprennent des activités courantes d‟encadrement et de supervision.
140
140
Conclusion de la deuxième partie
La certification du contrôle interne à l‟égard de l‟information financière constitue en soi un
exercice novateur et ce en dépit du fait qu‟elle repose sur des fondements déjà utilisés par les
normes techniques régissant les missions d‟audit en Tunisie, à savoir les normes
internationales d‟audit, qui appréhendent les missions d‟audit en se basant sur une approche
par les risques, se basant, par suite, sur le dispositif du contrôle interne à l‟égard de
l‟information financière..
Cette certification requiert à notre avis, des préalables normatifs qui restent à cette date non
satisfaits. En effet, les normes régissant l‟audit en Tunisie, à savoir les normes internationales
d‟audit, ne permettent pas de répondre pleinement aux objectifs visés par la loi de
renforcement des sécurités financières Tunisienne.
L‟absence d‟un cadre normatif pour ces missions d‟évaluation du contrôle interne à l‟égard de
l‟information financière constitue un frein quant à l‟objectif de formuler une évaluation de
l‟adéquation et de l‟efficacité de ce dispositif, et s‟est matérialisé, notamment, par une très
grande disparité au niveau des rapports émis sur le contrôle interne.
Se munir d‟un tel cadre normatif permet une plus grande homogénéité des concepts soustendant la rédaction des rapports sur le contrôle interne et pourrait donc en faciliter la lecture
pour les investisseurs.
La méthodologie proposée s‟est basée sur la normalisation américaine, qui constitue un cadre
de référence de premier ordre en la matière à cette date. La méthodologie proposée, a pour
objectif d‟aboutir à la formulation d‟une double certification du contrôle interne, d‟une part, et
des états financiers, d‟autre part. Elle s‟est basée sur la norme d‟audit 5 du PCAOB et les
principes du cadre COSO. Ces références normatives Américaines, font prévaloir une
méthodologie scientifique, bien structurée et pragmatique permettant de donner plus de
confiance quant à la certification émise.
141
141
Dans ce qui suit nous allons présenter un questionnaire, destiné aux experts comptables
Tunisiens, et consacré à recueillir leurs attitudes sur l‟étendue des obligations introduites, par
la loi 2005-96 en matière de contrôle interne et l‟opportunité / nécessité de la mise en place
d‟un cadre de référence, à savoir le référentiel COSO ainsi que la norme d‟audit 5 du PCAOB
le cas échant, et les difficultés pratiques qui pourraient résulter de leur mise en application.
142
142
Troisième partie :
Mise en place du référentiel COSO et de la norme d’audit
5 du PCAOB en tant que référentiels de certification du
contrôle interne : Etude d’impact et de faisabilité.
143
143
Section 1 : Présentation du questionnaire
Dans ce qui suit nous allons présenter un questionnaire, destiné aux experts comptables
Tunisiens, et consacré à recueillir leurs attitudes sur l‟étendue des obligations introduites, par
la loi 2005-96 en matière de contrôle interne et l‟opportunité / nécessité de la mise en place
d‟un cadre de référence, à savoir le référentiel COSO ainsi que la norme d‟audit 5 du
PCAOB.
Paragraphe 1 : Méthodologie
Le questionnaire a été subdivisé en 3 parties, détaillées comme suit :
Obligations légales Tunisiennes à la charge des directions :
Cette partie vise à recueillir l‟opinion des experts comptables Tunisiens sur le niveau de clarté
des obligations insérées par la loi 2005-96 datant du 18 Octobre 2005 ayant instauré le
renforcement de la sécurité des relations financières en Tunisie en matière de divulgation, par
les directions, sur le contrôle interne au niveau de leur rapport de gestion, le niveau de respect
de celles-ci, le cas échéant la nécessité de revoir les textes pour exiger une évaluation
proprement dite du contrôle interne, et l‟opportunité de se munir d‟un cadre de référence en la
matière. Cette partie vise aussi à recueillir l‟opinion des experts comptable Tunisiens sur le
niveau d‟aptitude des entreprises Tunisiennes pour s‟y faire.
Obligations légales à la charge des auditeurs tunisiens:
Cette partie vise, d‟une part, à recueillir l‟opinion des experts comptables Tunisiens quant aux
obligations mises à leur charge par la loi 2005-96, en matière de contrôle interne, et à dresser
l‟état des lieux en matière des diligences effectuées pour répondre a ces obligations, ainsi que
sur les rapports émis.
Pratiques à l'échelle internationale (USA) en matière de contrôle interne
Cette troisième partie a été dédiée à recenser le niveau de connaissances en matière du cadre
de référence COSO et de la norme d‟audit 5 du PCAOB et l‟opportunité de reconnaitre ces
derniers comme référentiels permettant de mieux répondre aux obligations insérées par la loi
144
144
ayant instauré le renforcement de la sécurité des relations financières en Tunisie, a savoir
l‟évaluation et la certification du contrôle interne a l‟égard de l‟information financière.
Le questionnaire diffusé a été présenté ainsi :
145
145
Questionnaire établi dans le cadre de la préparation d’un mémoire pour l’obtention du
diplôme d’expert comptable intitulé :
La certification du contrôle interne: Proposition d’un référentiel
Candidat :
Directeur de Recherche :
Mohamed Nizar TAYECH
Mr. Fayçal DERBEL
146
146
Madame, Monsieur,
Ce questionnaire s‟inscrit dans le cadre de la préparation d‟un mémoire d‟expertise comptable
intitulé : « La certification du contrôle interne : Proposition d‟un référentiel : Vers Une
approche combinée COSO et norme d‟audit 5 du PCAOB ».
Il traite des obligations, de revue, d‟appréciation et d‟attestation du bon fonctionnement des
systèmes de contrôle interne, qui ont été introduites par la loi 2005-96 datant du 18 Octobre
2005 ayant instaurée le renforcement de la sécurité des relations financières en Tunisie, de
l‟absence d‟un référentiel permettant d‟atteindre ces objectifs, et de la nécessité de s‟en munir
d‟un (COSO et norme d‟audit 5 du PCAOB).
Ce questionnaire est consacré à recueillir les attitudes des experts comptables Tunisiens sur
l‟étendue des obligations introduites, par la loi 2005-96 en matière de contrôle interne et
l‟opportunité / nécessité de la mise en place d‟un cadre de référence, à savoir le référentiel
COSO ainsi que la norme d‟audit 5 du PCAOB.
Ce questionnaire vous est présenté, afin de pouvoir bénéficier de votre expérience et de vos
réflexions en la matière, dans l‟objectif d‟enrichir ce travail de recherche. Vos réponses qui
seraient exploitées anonymement, serviront à titre exclusif à ce seul travail de recherche et
devraient être envoyées par e-mail sur l‟adresse suivante [email protected]
En vous remerciant d‟avance pour votre précieuse collaboration, veuillez agréer Madame,
Monsieur l‟expression de mes salutations, les meilleures.
Cordialement,
Mohamed Nizar TAYECH
Mobile : +216 24 57 02 13
E-mail : [email protected]
147
147
Obligations légales Tunisiennes à la charge des directions
La LSF a mis à la charge des directions l'obligation d'insérer des éléments sur le contrôle interne au
niveau de leur rapport de gestion (loi 2005-96 datant du 18 Octobre 2005 ayant instaurée le
renforcement de la sécurité des relations financières en Tunisie)
OUI
Ces obligations sont elles claires et suffisantes?
1
Commentaires
Ces obligations sont elles plutôt respectées?
2
Commentaires
Ces obligations doivent elles être revues?
3
Commentaires
La loi devrait elle exiger les éléments à décrire?
4
Commentaires
La loi devrait elle exiger une évaluation proprement dite du contrôle interne
de la direction?
5
Commentaires
Evaluer le contrôle interne, nécessiterait-il l'adoption d'un cadre de
référence?
6
Commentaires
Les lois Tunisiennes ont-elles prévus un tel cadre?
7
Commentaires
148
NON
148
La LSF a mis à la charge des directions l'obligation d'insérer au niveau de leur lettre d'affirmation
leur engagement sur la mise en place et le maintien d'un bon système de contrôle interne (Le texte de
cette déclaration a vu le jour par arrête du ministre des finances en date du 17 Juin 2006)
OUI
Produire un tel engagement nécessiterait-il la mise en place de travaux
préalables?
1
Commentaires
Si Oui, S'agit-il d'une évaluation du dispositif du contrôle interne?
2
Commentaires
Si Non, pensez vous qu'une évaluation du dispositif du contrôle interne
gagnerait à être effectuée pour supporter l'engagement donné?
3
Commentaires
Les entreprises Tunisiennes sont elles plutôt outillées pour se faire?
4
Commentaires
Pensez vous que le cadre légal Tunisien actuel a prévu un cadre de référence
ou des normes en la matière?
5
Commentaires
Si Non, pensez vous qu'un tel cadre devrait être mis en place?
6
Commentaires
149
NON
149
L'obligation mis à la charge des organes de direction d’insérer des éléments sur le contrôle interne au
niveau du rapport de gestion, d'une part, et de communiquer aux commissaires aux comptes une lettre
d'affirmation portant leur engagement sur la mise en place et le maintien d'un bon système de contrôle
interne d'autre part:
OUI
Ont-elles amélioré la place donnée au contrôle interne dans les entreprises
Tunisiennes et l'intérêt porté à celui ci?
1
Commentaires
Ont-elles amélioré la communication en matière de contrôle interne?
2
Commentaires
Si Oui, l'amélioration est elle perceptible et ressentie par les utilisateurs de
l'information financière?
3
Commentaires
L'exigence d'un rapport d'évaluation du contrôle interne par la direction
améliorerait-elle la sensibilisation de celle-ci en la matière?
4
Commentaires
Si Oui, la qualité de l'information financière s'en ressentira-t-elle?
5
Commentaires
150
NON
150
Obligations légales à la charge des auditeurs Tunisiens
La LSF a mis à la charge des auditeurs (commissaires aux comptes) l'obligation de revue périodique
du dispositif du contrôle interne et d'insérer un paragraphe au niveau de leur rapport sur cette
évaluation (loi 2005-96 datant du 18 Octobre 2005 ayant instaurée le renforcement de la sécurité des
relations financières en Tunisie)
OUI
Des diligences spécifiques sont elles effectuées sur le contrôle interne en vue
de la formulation de l'évaluation effectuée?
1
Commentaires
S'agit-il d'une évaluation effectuée dans le cadre de la mission d'audit des
états financiers?
2
Commentaires
S'agit-il d'une évaluation proprement dite du contrôle interne?
3
Commentaires
Les normes internationales d'audit, normes adoptées pat l'OECT pour régir
les missions d'audit en Tunisie permettent-elles d'aboutir à cet objectif?
4
Commentaires
Les normes doivent elles être adaptées au nouveau contexte légal?
5
Commentaires
Si Oui, avez-vous connaissance de l'existence de telles normes à l'échelle
internationale?
6
Commentaires
L'évaluation effectuée par le commissaire aux comptes ont elle été formulée
sous forme d'opinion positive?
7
Si Oui, quel cadre de référence est-il utilisé?
151
NON
151
Si non, pensez-vous que l'absence d'un cadre de référence, norme d'audit en
la matière, en est la raison?
8
Commentaires
La formulation positive donne-t-elle plus de confort quant à l'opinion donnée
sur le contrôle interne?
9
Commentaires
La formulation positive nécessiterait-elle plus de travaux à effectuer par les
commissaires aux comptes?
10
Commentaires
La fiabilité des états financiers serait-elle mieux ressentie si une opinion
positive est donnée sur le contrôle interne?
11
Commentaires
Effectuer de tels travaux nécessiterait-il une évaluation proprement dite à
effectuer par la direction au préalable?
12
Commentaires
152
152
OUI
Avez-vous des connaissances approfondies du cadre de référence du
contrôle interne COSO?
1
Commentaires
Si Oui,
Ce cadre pourrait-il être adopté pour répondre aux obligations mises à la
charge des directions en matière de contrôle interne?
2
Commentaires
L'adoption du cadre COSO améliorerait-elle la qualité des dispositifs du
contrôle interne des entreprises Tunisiennes même à défaut d'exigence
d'une évaluation proprement dite de ce dispositif?
3
Commentaires
Adopter un cadre de référence améliorerait-il la qualité des communications
en la matière?
4
Commentaires
La référence au cadre COSO, faciliterait-il les diligences à effectuer par le
commissaire aux comptes sur le contrôle interne?
5
Commentaires
La référence au cadre COSO, amènerait-il les commissaires aux comptes à
formuler des opinions positives sur le contrôle interne?
6
Commentaires
Le cadre COSO, est-il utiliser actuellement par des entreprises en Tunisie?
7
Commentaires
153
NON
153
OUI
1
Avez-vous des connaissances approfondies des normes d'audit du PCAOB
notamment la norme 5?
Commentaires
2
Si Oui,
L'adoption de la norme 5 du PCAOB permet-elle de satisfaire répondre aux
obligations mises à la charge des auditeurs en matière de contrôle interne?
Commentaires
3
Cette référence normative, permet-elle une meilleure structuration des
travaux réalisés en matière de contrôle interne et au niveau de la mission
d'audit
Commentaires
4
La double certification prévue par la norme 5 du PCAOB serait-elle la
meilleure solution pour atteindre les objectifs visés par la LSF?
Commentaires
5
La norme 5 du PCAOB serait-elle la meilleure solution pour atteindre les
objectifs visés par la LSF Tunisienne?
Commentaires
6
La norme 5 du PCAOB conférerait-elle plus de confort aux commissaires aux
comptes en matière d'évaluation du contrôle interne?
Commentaires
7
Les normes du PCAOB, sont-elles utilisées actuellement par des entreprises
en Tunisie?
Commentaires
154
NON
154
Paragraphe 2 : Champ d’application et caractéristiques de l’échantillon
Le questionnaire a été diffusé exclusivement aux experts comptables tunisiens inscrits au
tableau de l‟ordre et aux experts comptables mémorialistes faisant prévaloir une expérience
professionnelle minimum de 5 années.
La période de cinq années d‟expérience professionnelle constitue à notre sens, une période
satisfaisante permettant d‟avoir un regard critique et une bonne visibilité sur les missions
d‟audit et les difficultés qui peuvent en résulter notamment, en matière de contrôle interne.
Le nombre final des réponses aux questionnaires diffusées s‟est élevé à une trentaine
d‟experts comptables.
155
155
Section 2 : Synthèse
Paragraphe 1 : Présentation des résultats
L‟étude a fait ressortir les résultats suivants :
Obligations légales Tunisiennes à la charge des directions :
Obligations légales Tunisiennes à la charge des directions en matière de
divulgation sur le contrôle interne et les informations produites et insérées
au niveau du rapport de gestion :
Nous avons présenté en premier lieu, une série de sept affirmations aux experts comptables
tunisiens concernant les obligations en matière de divulgation sur le contrôle interne tel
qu‟édictées par la loi 2005-96 du 18 Octobre 2005 ayant instauré le renforcement de la
sécurité des relations financières en Tunisie. Les réponses se sont détaillées comme suit :
Affirmation 1 : Ces obligations sont claires et suffisantes
63% de la population interviewée est affirmative pour dire que ces obligations ne sont pas
claires et suffisantes. 30% sont plutôt d‟accord pour dire que ces obligations manquent de
clarté et sont insuffisantes.
Affirmation 2 : Ces obligations sont plutôt respectées
60% de la population interviewée affirme que ces obligations sont non respectées, 27%
considèrent qu‟elles sont très moyennement respectées, alors que seuls 13% estiment qu‟elles
sont plutôt respectées.
Affirmation 3 : Ces obligations doivent être revues
97%, des experts comptables ayant donné suite à ce questionnaire, sont plutôt pour une
refonte des textes et leurs éclaircissements. 80% d‟entre eux en sont affirmatifs
Affirmation 4 : La loi devrait exiger les éléments à décrire
La population interviewée est unanime sur le fait que la loi devrait exiger les éléments ayant
trait au contrôle interne, à insérer au niveau du rapport de gestion tel qu‟il a été requis par la
loi 2005-96 datant du 18 Octobre 2005 ayant instauré le renforcement de la sécurité des
relations financières en Tunisie
156
156
Affirmation 5 : La loi devrait exiger une évaluation proprement dite du contrôle interne de
la direction
80% de la population affirme que la loi doit exiger une évaluation proprement dite du contrôle
interne.
Affirmation 6 : Evaluer le contrôle interne, nécessiterait l'adoption d'un cadre de référence
90% sont tout à fait d‟accord, alors que 10% sont plutôt d‟accord, pour affirmer que la
réglementation Tunisienne doit se munir d‟un cadre de référence pour le contrôle interne.
Affirmation 7 : Les lois Tunisiennes ont prévu un tel cadre
Plus que les ¾ de la population interviewée estime que la loi Tunisienne ne s‟est pas munie
d‟un cadre de référence pour le contrôle interne.
La population des Experts comptables Tunisiens ayant donné suite à ce questionnaire, estime
que les obligations mises à la charge des directions en matière de contrôle interne sont
moyennement respectées. Ceci est du principalement, à un manque de clarté au niveau des
textes. Ces derniers devraient être revus afin de devenir plus explicites, et exiger des éléments
bien précis à insérer au niveau du rapport de gestion, et requérir une évaluation proprement
dite du contrôle interne. Pour se faire un cadre de référence gagnerait à être adopté ou mis en
place, à défaut de l‟existence d‟un tel cadre dans la normalisation Tunisienne actuelle.
1 Ces obligations sont claires et suffisantes
2 Ces obligations sont plutot respectées
3 Ces obligations doivent être revues
4 La loi devrait exiger les éléments à décrire
5 La loi devrait exiger une évaluation proprement dite du
contrôle interne de la direction
6 Evaluer le contrôle interne, nécessiterait l'adoption d'un
cadre de référence
7 Les lois Tunisiennes ont prévus un tel cadre
Tout a fait d’accord
Plutôt d’accord
Plutôt pas d’accord
Pas d’accord
157
157
La lettre d'affirmation et l’engagement de la direction sur la mise en place
et le maintien d'un bon système de contrôle interne
La LSF a mis à la charge des directions l'obligation d'insérer au niveau de leur lettre
d'affirmation leur engagement sur la mise en place et le maintien d'un bon système de contrôle
interne. Nous avons présenté au niveau de notre questionnaire et en deuxième lieu, une série
de 6 questions pour délimiter l‟étendue des travaux qui devraient être effectuées, par la
direction pour émettre cet engagement. Les réponses formulées se sont détaillées comme
suit :
Question 1 : Produire un tel engagement nécessiterait-il la mise en place de travaux
préalables?
La totalité de la population, estime que la production par la direction de l‟engagement sur la
mise en place et le maintien d'un bon système de contrôle interne au niveau de sa lettre
d‟affirmation, nécessite des travaux préalables à mettre en œuvre.
Question 2 : Si Oui, S'agit-il d'une évaluation du dispositif du contrôle interne?
Question 3 : Si Non, pensez vous qu'une évaluation du dispositif du contrôle interne
gagnerait à être effectuée pour supporter l'engagement donné?
La totalité de la population, estime que la direction doit évaluer son dispositif de contrôle
interne, préalablement à l‟émission de sa lettre d‟affirmation et la production de son
engagement sur la mise en place et le maintien d'un bon système de contrôle interne
Question 4 : Les entreprises Tunisiennes sont-elles outillées pour se faire ?
97% de l‟échantillon estime que les entreprises Tunisiennes sont peu outillées pour procéder à
une évaluation proprement dite de leurs dispositifs de contrôle interne.
Question 5 : Pensez vous que le cadre légal Tunisien actuel a prévu un cadre de référence
ou des normes en la matière?
97% de la population interviewée estime que la loi Tunisienne ne s‟est pas munie d‟un cadre
de référence ou de normes permettant d‟évaluer le contrôle interne.
Question 6 : Si Non, pensez vous qu'un tel cadre devrait être mis en place?
Ils estiment (97%) cependant, que la normalisation Tunisienne devrait se munir d‟un cadre de
référence pour le contrôle interne.
158
158
Lettre d'affirmation: Engagement de la direction sur la mise en place et le maintien
d'un bon système de contrôle interne
1 Produire un tel engagement nécessiterait-il la mise en
place de travaux préalables?
2 Si Oui, S'agit-il d'une évaluation du dispositif du contrôle
interne?
3 Si Non, pensez vous qu'une évaluation du dispositif du
contrôle interne gagnerait à être effectuée pour supporter
l'engagement donné?
4 Les entreprises Tunisiennes sont outillées pour se faire
5 Pensez vous que le cadre légal Tunisien actuel a prévu
un cadre de référence ou des normes en la matière?
6 Si Non, pensez vous qu'un tel cadre devrait être mis en
place?
OUI
NON
L‟échantillon choisi, estime que l‟insertion au niveau de la lettre d‟affirmation produite par la
direction, d‟un engagement de mise en place et de maintien d'un bon système de contrôle
interne, tel que requis par la LSF, nécessite des travaux préalables de revue et d‟évaluation de
ce dispositif par la direction. La population interviewée, estime cependant, que les entreprises
tunisiennes sont peu outillées pour se faire, et reconfirment qu‟un cadre de référence devrait
voir le jour préalablement.
159
159
L'impact des obligations mises à la charge des directions en matière de
contrôle interne, sur l'information financière
Notre questionnaire a inclus en troisième lieu, un volet contenant 5 affirmations, dédiées à
recenser et évaluer l‟impact sur l‟information financière et sa qualité, des obligations insérées
par la LSF et mises à la charge des directions, notamment, l'obligation d‟insérer des éléments
sur le contrôle interne au niveau du rapport de gestion, d'une part, et de communiquer aux
commissaires aux comptes une lettre d'affirmation portant leurs engagements sur la mise en
place et le maintien d'un bon système de contrôle interne d'autre part. Les résultats se
détaillent comme suit :
Affirmation 1 : Ces obligations ont amélioré la place donnée au contrôle interne dans les
entreprises Tunisiennes et l'intérêt porté à celui ci
60% des experts comptables interviewés estiment que les obligations mises à la charge des
organes de direction en matière de contrôle interne, n‟ont pas amélioré la place donnée à
celui-ci et l‟intérêt qui lui en est porté.
Affirmation 2 : Elles ont amélioré la communication en matière de contrôle interne
63% estiment qu‟aucune amélioration n‟a été constatée sur la communication en matière du
contrôle interne.
Affirmation 3 : L'amélioration a été perceptible et ressentie par les utilisateurs de
l'information financière
60% estiment qu‟aucune amélioration n‟a été ressentie par les utilisateurs de l‟information
financière.
Affirmation 4 : L'exigence d'un rapport d'évaluation du contrôle interne par la direction
améliorerait la sensibilisation de celle-ci en la matière
77% de la population interviewée est tout à fait d‟accord pour affirmer que l‟exigence d'un
rapport d'évaluation du contrôle interne par la direction est de nature à améliorer la
sensibilisation et l‟intérêt qui lui en est porté.
Affirmation 5 : Si Oui, la qualité de l'information financière s'en ressentira
Exiger un rapport d'évaluation du contrôle interne par la direction permet, selon 80% de la
population interviewée, d‟améliorer la qualité de l‟information financière.
160
160
L'impact des obligations mises a la charge des directions en matiere du controle
interne sur l'information financiere
1 Ces obligations ont amélioré la place donnée au contrôle
interne dans les entreprises Tunisiennes et l'intérêt porté
à celui ci
2 Elles Ont amélioré la communication en matière de
contrôle interne
3 Si Oui, l'amélioration a ete perceptible et ressentie par
les utilisateurs de l'information financière
4 L'exigence d'un rapport d'évaluation du contrôle interne
par la direction améliorerait la sensibilisation de celle-ci en
la matière
5 Si Oui, la qualité de l'information financière s'en
ressentira
Tout a fait
d’accord
Plutôt
d’accord
Plutôt pas
d’accord
Pas
d’accord
Les Experts comptables Tunisiens interviewés, estiment donc, que l‟insertion des obligations
à la charge des directions, en matière de contrôle interne, a moyennement amélioré la place
donnée à celui-ci et l‟intérêt qui lui est porté, ainsi que la communication qui en est faite et la
perception de celle-ci par les utilisateurs de l‟information financière.
Ils estiment cependant, que l‟exigence d‟un rapport d‟évaluation proprement dit est de nature
à améliorer, considérablement, la sensibilisation de la direction en la matière et la qualité de
l‟information financière produite.
161
161
Obligations légales à la charge des auditeurs Tunisiens:
En quatrième lieu, une série de 12 questions a été adressée aux experts comptables tunisiens,
visant à recueillir leurs opinions quant aux obligations mises à leurs charges par la loi 200596, en matière de contrôle interne, et à effectuer l‟état des lieux en matière des diligences
effectuées pour répondre a ces obligations, ainsi que sur les rapports émis.
Question 1 : Des diligences spécifiques sont elles effectuées sur le contrôle interne en vue
de la formulation de l'évaluation effectuée?
77% des interviewés répondent par la négative. Ceci revient à dire que les diligences
effectuées le sont dans le cours normal des travaux d‟audit.
Question 2 : S'agit-il d'une évaluation effectuée dans le cadre de la mission d'audit des
états financiers?
93% des interviewés estiment que les travaux d‟évaluation sont effectués dans le cours normal
de la mission d‟audit et pour la fixation de la stratégie de celle-ci.
Question 3 : S'agit-il d'une évaluation proprement dite du contrôle interne?
80% des interviewés estiment qu‟il ne s‟agit pas d‟une évaluation proprement dire du contrôle
interne, vu que l‟évaluation est effectuée pour les besoins de la mise en place de la stratégie
d‟audit.
Question 4 : Les normes internationales d'audit, normes adoptées pat l'OECT pour régir
les missions d'audit en Tunisie permettent-elles d'aboutir à cet objectif?
80% de l‟échantillon estime que les normes internationales d'audit, normes adoptées par
l'OECT pour régir les missions d'audit en Tunisie ne permettent pas d'aboutir à une évaluation
proprement dite du contrôle interne.
Question 5 : Les normes doivent elles être adaptées au nouveau contexte légal?
93% des interviewés estiment que les normes régissant les missions d‟audit en Tunisie
doivent être adaptées pour tenir compte de ces obligations d‟évaluation du contrôle interne.
Question 6 : Si Oui, avez-vous connaissance de l'existence de telles normes à l'échelle
internationale?
89% des experts comptables Tunisiens interviewés affirment connaitre des normes à l‟échelle
internationale permettant d‟évaluer le contrôle interne et d‟émettre une opinion dessus.
162
162
Question 7 : L'évaluation effectuée par le commissaire aux comptes ont elle été formulée
sous forme d'opinion positive?
L‟échantillon affirme unanimement que les opinions émises sur le contrôle interne ont été
formulées négativement.
Question 8 : Si non, pensez-vous que l'absence d'un cadre de référence, norme d'audit en
la matière, en est la raison?
90% des experts comptables Tunisiens interviewés affirment que l‟absence de références
normatives en matière de contrôle interne, à savoir un cadre de référence et une norme d'audit,
amène les auditeurs a exprimer une opinion positive sur les dispositifs de contrôles internes.
Question 9 : La formulation positive donne-t-elle plus de confort quant à l'opinion donnée
sur le contrôle interne?
93% de la population interviewée estime que l‟expression d‟une opinion positive sur le
contrôle interne, contribue à donner plus de confort quant aux travaux d‟évaluations effectués
et l‟opinion exprimée.
Question 10 : La formulation positive nécessiterait-elle plus de travaux à effectuer par les
commissaires aux comptes?
La population interviewée affirme unanimement, que la formulation d‟une opinion positive
sur le contrôle interne, nécessite la mise en place de diligences supplémentaires pouvant
supporter l‟expression d‟une opinion sur des travaux d‟évaluation proprement dits.
Question 11 : La fiabilité des états financiers serait-elle mieux ressentie si une opinion
positive est donnée sur le contrôle interne?
L‟échantillon interviewé affirme aussi unanimement, que la réalisation de travaux
d‟évaluation du système de contrôle interne, et l‟expression d‟une opinion positive au niveau
du rapport d‟audit, contribue inéluctablement à l‟amélioration de la fiabilité de l‟information
financière publiée.
Question 12 : Effectuer de tels travaux nécessiterait-il une évaluation proprement dite à
effectuer par la direction au préalable?
93% de la population interviewée estime cependant, que des travaux d‟auto-évaluation du
contrôle interne doivent être réalisés par les organes de direction préalablement aux travaux
d‟audit et aux diligences à effectuer par les auditeurs, pour certifier le contrôle interne d‟une
part et les états financiers, d‟autre part.
163
163
Obligations a la charge des auditeurs Tunisiens
1 Des diligences spécifiques sont elles effectuées sur le
contrôle interne en vue de la formulation de l'évaluation
effectuée?
2 S'agit-il d'une évaluation effectuée dans le cadre de la
mission d'audit des états financiers?
3 S'agit-il d'une évaluation proprement dite du contrôle
interne?
4 Les normes internationales d'audit, normes adoptées
pat l'OECT pour régir les missions d'audit en Tunisie
permettent-elles d'aboutir à cet objectif?
5 Les normes doivent elles être adaptées au nouveau
contexte légal?
6 Si Oui, avez-vous connaissance de l'existence de telles
normes à l'échelle internationale?
7 L'évaluation effectuée par le commissaire aux comptes
ont elle été formulée sous forme d'opinion positive?
8 Si non, pensez-vous que l'absence d'un cadre de
référence, norme d'audit en la matière, en est la raison?
9 La formulation positive donne-t-elle plus de confort
quant à l'opinion donnée sur le contrôle interne?
NON
OUI
10 La formulation positive nécessiterait-elle plus de
travaux à effectuer par les commissaires aux comptes?
11 La fiabilité des états financiers serait-elle mieux
ressentie si une opinion positive est donnée sur le
contrôle interne?
12 Effectuer de tels travaux nécessiterait-il une évaluation
proprement dite à effectuer par la direction au préalable?
Pour ce qui est des obligations mises à la charge des auditeurs, les Experts comptables
tunisiens interviewés, estiment que l‟évaluation du contrôle interne, et telle que requise par la
LSF, est effectuée actuellement, dans le cours normal de la mission d‟audit et que
moyennement des taches spécifiques sont effectuées pour se faire.
L‟étude des réponses formulées, fait ressortir que les normes régissant les missions d‟audit
actuellement, ne permettent pas d‟atteindre, pleinement, cet objectif. Ces normes, devraient
plutôt être revues pour s‟adapter à ce nouveau contexte légal, et répondre pleinement à ces
obligations.
164
164
Pour se faire, un cadre de référence doit être adopté / mis en place. En effet, l‟absence d‟un tel
cadre, se traduit, au niveau des rapports, par la formulation généralement d‟une opinion
négative par l‟auditeur. Cette formulation, et bien qu‟elle donne moins de confort, qu‟une
formulation positive est la plus utilisée.
La formulation positive nécessite, certes plus de diligences spécifiques à mettre en œuvre,
mais permet de donner plus d‟assurance quant à l‟opinion formulée d‟une part, et quant à la
qualité de l‟information financière publiée, d‟autre part., et nécessite préalablement une
évaluation proprement dite du dispositif du contrôle interne par la direction,
Les résultats de l‟enquête font ressortir que seuls le cinquième de la population interviewée,
possède de bonnes connaissances en matière de cadre de référence COSO et en matière de la
norme d‟audit 5 du PCAOB.
Connaissances en matiere de COSO et du PCAOB
1 Avez-vous des connaissances approfondies du cadre de
référence du contrôle interne COSO?
2 Avez-vous des connaissances approfondies des normes
d'audit du PCAOB notamment la norme 5?
OUI
NON
La population ayant des connaissances du cadre de référence COSO affirme que l‟adoption
d‟un tel cadre pourrait contribuer à l‟amélioration de la qualité des dispositifs de contrôle
interne des entreprises tunisiennes et leurs communications en la matière, et les aider a mieux
répondre aux obligations mises à leur charge par la LSF. Elle conforterait les Experts
comptables tunisiens, notamment ceux à qui la LSF est applicable, dans les diligences à
mettre en œuvre pour satisfaire ces obligations et exécuter convenablement leurs travaux
d‟évaluation du dispositif de contrôle interne.
165
165
Adoption du COSO en Tunisie et l'amelioration des travaux de certification du
controle interne
1 Ce cadre pourrait-il être adopté pour répondre aux
obligations mises à la charge des directions en matière de
contrôle interne?
2 L'adoption du cadre COSO améliorerait-elle la qualité
des dispositifs du contrôle interne des entreprises
Tunisiennes même à défaut d'exigence d'une évaluation
proprement dite de ce dispositif?
3 Adopter un cadre de référence améliorerait-il la qualité
des communications en la matière?
4 La référence au cadre COSO, faciliterait-il les diligences à
effectuer par le commissaire aux comptes sur le contrôle
interne?
OUI
NON
5 La référence au cadre COSO, amènerait-il les
commissaires aux comptes à formuler des opinions
positives sur le contrôle interne?
6 Le cadre COSO, est-il utiliser actuellement par des
entreprises en Tunisie?
La norme d‟audit 5 du PCAOB, permettrait selon la population interviewée, d‟aboutir à une
meilleure structuration des diligences et travaux à effectuer pour évaluer et émettre une
opinion, formulée positivement, sur le contrôle interne.
Adoption du PCAOB en Tunisie et l'amelioration des travaux de certification du
controle interne
1 L'adoption de la norme 5 du PCAOB permet-elle de
satisfaire répondre aux obligations mises à la charge des
auditeurs en matière de contrôle interne?
2 Cette référence normative, permet-elle une meilleure
structuration des travaux réalisés en matière de contrôle
interne et au niveau de la mission d'audit
3 La double certification prévue par la norme 5 du PCAOB
serait-elle la meilleure solution pour atteindre les objectifs
visés par la LSF?
4 La norme 5 du PCAOB serait-elle la meilleure solution
pour atteindre les objectifs visés par la LSF Tunisienne?
OUI
NON
166
5 La norme 5 du PCAOB conférerait-elle plus de confort
aux commissaires aux comptes en matière d'évaluation du
contrôle interne?
6 Les normes du PCAOB, sont-elles utilisées actuellement
par des entreprises en Tunisie?
166
Cette norme permettant une double certification du contrôle interne et des états financiers et
de façon conjointe, constitue actuellement, la meilleure référence normative qui permettrait de
répondre convenablement aux obligations introduites par la LSF.
Paragraphe 2 : Conclusion de l’enquête
En conclusion, l‟enquête diffusée aux professionnels Tunisiens de l‟audit, a révélé les
enseignements suivants :
Les obligations légales introduites par la LSF en matière de contrôle interne, et mises à
la charge des directions, restent peu claires et ne répondent pas aux objectifs poursuivis,
à savoir la sensibilisation à l‟importance de ce dispositif et la perception qu‟a la
direction en la matière. Ces obligations gagneraient à être revues et éclairées pour
tendre à une évaluation proprement dite du contrôle interne.
La normalisation actuelle n‟ayant pas prévu de cadres de références pour le contrôle
interne, devrait s‟en prémunir d‟un. En effet, requérir une évaluation proprement dite du
contrôle interne, nécessiterait la mise en place préalable d‟un tel cadre.
Les auditeurs tunisiens devraient effectuer une évaluation proprement dite du contrôle
interne. Ces travaux d‟évaluation devraient être couronnés par la formulation d‟une
opinion positive dans leurs rapports. Ceci demanderait certes plus de diligences à
effectuer, et requiert préalablement la mise en place d‟un cadre de référence et
l‟adaptation des normes régissant les missions d‟audit en Tunisie pour répondre
pleinement et convenablement à ces nouvelles obligations.
Le cadre de référence COSO et la norme d‟audit 5 du PCAOB, pourrait être adopté pour
répondre à ces obligations, mais requerraient un laps de temps nécessaire pour la
formation et la maitrise approfondie de ces outils par les professionnels Experts
comptables Tunisiens, pour pouvoir être implantés et fonctionner convenablement. Une
implémentation progressive gagnerait à être adoptée, à notre sens.
167
167
CONCLUSION GENERALE
Défini comme étant un processus permettant d‟assurer la fiabilité de l‟information financière,
d‟assurer le respect des lois et des règlements applicables et de sauvegarder le patrimoine de
l‟entreprise, le contrôle interne a été toujours considéré comme étant le meilleur garant d‟une
bonne gouvernance de l‟entreprise.
Soucieux de l‟importance que revêt le contrôle interne, vecteur d'amélioration des
performances et de la qualité de l‟information financière, dans la sauvegarde et la bonne
gouvernance des entreprises, les législateurs ont accès leur intérêt sur son renforcement et sur
l‟accroissement de l‟implication, aussi bien des organes de direction que des organes de
contrôle, dans la mise en place, le contrôle périodique en vue de l‟amélioration de ces
procédures, ainsi que la divulgation des insuffisances relevées.
Conscient de cette importance, la législation tunisienne, à l‟instar de celle à l‟échelle
internationale, s‟est munie de nouvelles lois permettant de renforcer la sécurité financière, de
redonner confiance aux investisseurs et d‟amener les sociétés à une plus grande transparence
et fiabilité des informations financières qu‟elles publient.
Ces lois, ont recentré l‟intérêt porté au contrôle interne, par la mise en place, d‟obligations
d‟information à la charge des organes de direction et d‟évaluation à la charge des auditeurs
légaux.
Ces obligations ne se sont munies, toutefois, ni de cadre de référence, ni de norme
professionnelle, permettant d‟attester les systèmes de contrôle interne, et devrait, à notre sens,
être revues et éclairées pour exiger une évaluation proprement dite de ce dernier par les
directions.
Nous nous sommes intéressés, dans le cadre de ce mémoire à la problématique posée par
l‟absence d‟un cadre de référence et de norme d‟audit permettant de répondre aux obligations
de revue, d‟appréciation et d‟attestation du bon fonctionnement du système de contrôle
interne.
168
168
Ainsi, ce travail a été engagé avec pour objectif de proposer une démarche d‟évaluation,
permettant de répondre à ces obligations. Une démarche s‟appuyant sur un cadre de référence
adéquat, pertinent, compréhensible, reconnu et accessible permettant d‟évaluer l‟efficacité du
contrôle interne.
Pour se faire nous avons procédé dans une première partie à parcourir les définitions du
contrôle interne, les objectifs visés par sa mise en place, ainsi que les responsabilités
incombant aux différents intervenants en la matière, ainsi que l‟évolution du contexte
réglementaire y afférent, en Tunisie et à l‟échelle internationale.
Cette première partie a fait ressortir que les obligations mises à la charge des organes de
direction et des auditeurs, et contrairement à notre contexte réglementaire, ont été suivies, par
la mise en place de modèles évaluatifs dans la plupart des pays et notamment aux USA.
L‟absence d‟un cadre normatif en Tunisie, constitue un frein quant à l‟objectif de formuler
une évaluation sur l‟adéquation et l‟efficacité du contrôle interne.
Se munir d‟un tel cadre normatif, permet une plus grande homogénéité des concepts soustendant la rédaction des rapports sur le contrôle interne et peut donc en faciliter la lecture pour
les investisseurs.
C‟est ainsi que nous nous sommes proposé de présenter une méthodologie d‟évaluation qui
s‟est basée sur la normalisation américaine, qui constitue, à cette date, un cadre de référence
de premier ordre et le modèle le plus utilisé à l‟échelle internationale en la matière..
La normalisation américaine, s‟étant munie du référentiel COSO et de la norme d‟audit 5 du
PCAOB, références normatives faisant prévaloir une méthodologie scientifique, bien
structurée et pragmatique permettant de donner plus de confiance quant à l‟évaluation du
contrôle interne.
La méthodologie proposée, avait pour objectif d‟aboutir à la formulation conjointe d‟une
double certification du contrôle interne, d‟une part, et des états financiers, d‟autre part.
169
169
L‟exploitation du questionnaire diffusé à un échantillon d‟experts comptables Tunisiens a
confirmé :
D‟une part, la nécessité d‟adapter les textes légaux pour éclaircir les obligations,
notamment celles mises à la charge des organes de directions et requérir une autoévaluation du contrôle interne. Ceci nécessiterait préalablement la mise en place d‟un
cadre de référence du contrôle interne. Le cadre COSO nous parait, le cas échant, le
plus adapté.
D‟autre part, la nécessité de se prémunir d‟une norme d‟audit permettant d‟émettre une
double certification conjointe du contrôle interne et des états financiers. La norme
d‟audit 5 du PCAOB peut répondre pleinement à cet objectif
Ainsi à la fin de ce travail, et en dépit d‟un niveau de connaissance modéré, devant être
amélioré, le cadre de référence COSO et la norme d‟audit du PCAOB, constituent à notre
sens, des sources normatives adéquates et convenables permettant de répondre pleinement aux
objectifs poursuivis par le législateur tunisien en matière de contrôle interne, le meilleur
garant d‟une bonne gouvernance pour l‟entreprise. Ces références normatives pourraient être
adoptées en Tunisie, et implémentés de façon progressive.
Le présent travail, n‟ayant pas traité le contrôle interne des établissements financiers au vu des
spécificités de ce secteur, pourrait être enrichi, par l‟étude des difficultés pratiques
d‟applicabilité qui pourraient découler de l‟implémentation du cadre COSO, en tant que cadre
de référence de contrôle interne pour les établissements financiers.
170
170
Bibliographie
Ouvrages
-
Sarbanes-Oxley and the new auditing rules par Robert & Moeller dans les editions Wiley.
-
Memento Audit commissariat aux comptes 2003 – Editions Francis Lefebvre.
-
Internal Control Reporting -- Implementing Sarbanes-Oxley Section 404, Revised Edition –
AICPA.
-
Internal Controls: Design and Documentation.- AICPA.
Revues et articles
-
Audit financier et controle interne: L’apport de Sarbanes-Oxley. Herve Stolowy, Edouard
Pujol, Mauro Molinari, Groupe HEC.
-
Rapport AMF 2006 sur le gouvernement d’entreprise et le contrôle interne.
-
Rapport AMF 2005 sur le gouvernement d’entreprise et le contrôle interne.
-
Contrôle interne des risques par Henri Pierre Maders et Jean Luc Masselin :. (Edition
d’oganisation 2004)
Thèses et mémoires
-
Gestion des risques : Nouveaux enjeux et importance pour les PME : Contributions de l’expert
comptable. Par Mariem Marakchi (Juin 2005).
-
Les diligences du commissaire aux comptes sur le rapport du président sur le contrôle
interne : Proposition d’une méthodologie et d’outils pour une mise en application pratique :
Interactions avec la mission de certification des comptes : par Gelderich-Cjissa Laurence
(Novembre 2005).
-
L’évolution du gouvernement d’entreprise et du contrôle légal depuis l’affaire Enron : Un
thème prioritaire pour les instances réglementaires et professionnelles françaises et
internationales : la démarche du commissaire aux comptes dans le cadre de la certification du
contrôle interne : Justin Amélie (Mai 2004).
-
Le rapport de gestion et l’analyse des états financiers : Quelles informations pour les
utilisateurs Laurent Hila El Jed (2007).
-
Pour une meilleure sécurité financière des entreprises : Ouertani Hela(2007).
171
171
Publications professionnelles
-
Publication COSO : Internal Control over financial reporting – Guidance for smaller public
companies (June 2006).
-
Publication COSO : Entreprise risk management – Integrated framework.
-
Publication COSO : Le management des de l’entreprise – Cadre de référence (Synthèse).
-
Publication KPMG : Sarbanes Oxley section 404 : Management assessment process.
-
Publication de l’Institute of Internal Auditors : Applying COSO : Entreprise risk management –
Integrated framework.
-
Publication Eenst & Young: COSO: Framework for improving your business.
-
Publication de l’Institut Canadien des comptables agrées: Le contrôle interne et l’attestation :
Recommandations à l’ intention des administrateurs.
-
Publication KPMG : Attestation des contrôles internes : Association avec le rapport de
gestion.
-
Publication KPMG : Attestation des contrôles internes : Evaluation de la conception.
-
Publication KPMG : Audit committee Institute : Exemple de guide d’auto-évaluation.
-
L’Institut de l’Audit Interne : Cadre de référence du contrôle interne : Comment le mettre en
œuvre.
-
L’Autorité du Marche Financier (France) : Le dispositif de contrôle interne : Cadre de
référence.
-
PricewaterhouseCoopers : Contrôle interne : Au delà des concepts, 40 questions aux
praticiens (Novembre 2004).
-
Publication KPMG : SOX 404 : Aperçu des exigences du PCAOB.
-
Association Française des Auditeurs internes : Contrôle interne et système d’information
(Novembre 2003).
-
Institut des vérificateurs internes (Canada) : Contrôle interne de l’information financière :
Exigences, attestation de la direction et certification.
Lois, normes et règlements
-
Loi 2000-93 du 3 Novembre 2000 portant promulgation du code des sociétés commerciales.
-
Loi n° 2005-65 du 27 juillet 2005, modifiant et complétant le code des sociétés commerciales.
172
172
-
Loi n°2005-96 du 18 octobre 2005, relative au renforcement de la sécurité des relations
financières.
-
Loi 2003-706 du 1er août 2003 portant loi de sécurité financière française.
-
Loi du 23 juillet 2002 promulguant la loi américaine de sécurité financière : Le Sarbanes Oxley
Act.
-
Security Exchange Commission : Règlement 33-8238.
-
Loi 96-112 du 30/12/1996, portant promulgation du système comptable des entreprises
Tunisiennes tel que modifié et complété ultérieurement.
-
Loi 94-117 du 14/11/1994, portant promulgation réorganisation du marché financier tel que
modifie par la loi 2005-65.
-
Circulaire de la BCT 2006-19. ayant pour objet la mise en place par les établissements de
crédit et les banques non résidentes d’un système de contrôle interne et l’institution d’un
comité permanent d’audit interne.
-
PCAOB audit standard 2 : An Audit of Internal Control Over Financial Reporting Performed in
Conjunction with An Audit of Financial Statements.
-
PCAOB audit standard 5 : An Audit of Internal Control Over Financial Reporting that is
integrated with An Audit of Financial Statements and related independence rule and
conforming amendments.
Sites Web
www.pcaobus.org
www.coso.org
www.oect.org.tn
www.ifac.org
www.icca.ca
www.sec.gov
www.cncc.fr
www.cmf.org.tn
www.aicpa.com
173
173

Memoire de med Nizar Taiech

Transcription

Documents pareils

Fiche métier Auditeur

HOTEL RAS EL AIN TOZEUR a été auditée par BUREAU VERITAS

Auditeur Interne Sécurité selon OHSAS 18001 v.2007

consulter le CV - La Bourse de compétences du CJEC

Télécharger la présentation - Cabinet d`Expert Comptable

CMC - Conseil en Marketing et Communication

Management et communication interne

spécialiste en commerce international et un

L`ACTUALITE MONDIALE EN BREF

Master Comptabilité, Contrôle, Audit Droit, Économie et Gestion