UNIVERSITE ROBERT SCHUMAN

Ecole de Management de Strasbourg

Master AUDIT FINANCIER

ET OPERATIONNEL

2008-2009

Sujet du Mémoire :

Le Contrôle Interne Assisté par Ordinateur

Etude de cas : VALDYS

Nom et prénom : EZ-ZOUAK Mohammed

UNIVERSITE ROBERT SCHUMAN

Ecole de Management de Strasbourg

Master AUDIT FINANCIER

ET OPERATIONNEL

2008-2009

Sujet du Mémoire :

Le Contrôle Interne Assisté par Ordinateur

Etude de cas : VALDYS

Nom et prénom : EZ-ZOUAK Mohammed

Organisme de stage : Mutuelle d’Entreprise Sochaux

Directeur du mémoire : Pr Pierre SCHEVIN

Maître de Stage : Mme Roselyne PATOIS (responsable de la mutuelle)

2
 REMERCIEMENTS

Ce mémoire pour l’obtention du diplôme M2 Audit Financier et Opérationnel est le résultat

d'un effort considérable. Cet effort n'aurait pu aboutir sans la contribution de plusieurs
personnes. Ainsi se présente l'occasion de les remercier : Tout d'abord,

Au Pr Pierre SCHEVIN, Le Directeur de ce mémoire pendant ce stage pour sa disponibilité

et ses conseils

A Mme Roselyne PATOIS, Responsable du service «Mutuelle d’Entreprise de Sochaux »,

mon encadrant professionnel pour son engagement total et ses conseils très constructifs

A Mme Nathalie De STEUR, responsable informatique à la MES, pour son assistance et ses
instructions.

Sans oublier tout le personnel de la Mutuelle sans exception pour leur support moral et
pédagogique pendant les 2 mois de ce stage

Et enfin, mes parents, ma famille et mon beau frère pour leurs soutien morale et financier
pendant cette année d’études

3
Introduction _______________________________________________________________ 6
Partie (1) : Introduction au contrôle interne _____________________________________ 9
1 Cadre conceptuel du contrôle interne _______________________________________ 9
1.1 Etymologie du mot _______________________________________________________ 9
1.2 Définitions du contrôle interne _____________________________________________ 9
1.3 Le modèle COSO _______________________________________________________ 11
1.4 Sarbanes Oxley_________________________________________________________ 13
1.5 La Loi de la Sécurité Financière (LSF) _____________________________________ 14
1.6 Comparaison entre la loi Sarbanes Oxley et la loi de la Sécurité Financière _______ 15
2 La démarche du contrôle interne__________________________________________ 16
2.1 Définition et caractéristiques de la démarche de contrôle interne _______________ 16
2.2 Analyse de quelques modèles de la démarche de contrôle interne _______________ 17
3 Démarche classique adopté par les éditeurs de logiciels de contrôle interne _______ 19
3.1 Identification des processus_______________________________________________ 19
3.2 Déclinaison de la stratégie en objectifs _____________________________________ 20
3.3 Analyse des processus ___________________________________________________ 21
3.4 Evaluation des risques ___________________________________________________ 22
3.5 Mise en place des activités de contrôle ______________________________________ 24
Partie (2) : Le Contrôle Interne Assisté par Ordinateur____________________________ 26
1 Introduction au Contrôle Interne Assisté par Ordinateur ______________________ 26
1.1 Le concept _____________________________________________________________ 26
1.2 Les objectifs du Contrôle Interne Assisté par Ordinateur______________________ 27
1.3 Les logiciels du contrôle interne sur le marché _______________________________ 29
2 Avantages et limites du Contrôle Interne Assisté par Ordinateur ________________ 31
2.1 L’apport de Contrôle Interne Assisté par Ordinateur _________________________ 31
2.2 Les limites du Contrôle Interne Assisté par Ordinateur _______________________ 36
2.3 Les clés de réussite d’un projet de Contrôle Interne Assisté par Ordinateur ______ 39
3 Etude de cas logiciel Valdys ______________________________________________ 40
3.1 Présentation du logiciel __________________________________________________ 40
3.2 L’architecture de Valdys _________________________________________________ 42
3.3 Le projet de Contrôle Interne selon Valdys__________________________________ 44
3.4 Les documents générés en interne par Valdys _______________________________ 48
Conclusion _______________________________________________________________ 50
Annexes__________________________________________________________________ 52
1 Annexe (1) : Lexique Valdys _____________________________________________ 53
2 Annexe (2) : le Macro-processus _________________________________________ 55
3 Annexe (3) : Arbre des risques____________________________________________ 56

4
4 Annexe (4) : Diagramme de Phase et Logigramme ___________________________ 57
5 Annexe (5) : Arbre des familles de risque ___________________________________ 58
6 Annexe (6) : Le modèle nomenclature et le modèle diagramme de structure _______ 59
7 Annexe (7) : Le modèle arbre des rôles/compétences et la cartographie des risques _ 60
8 Annexe (8) : Les pages Html_____________________________________________ 61

5
Introduction

L’automatisation du traitement de l’information remonte à la date de l’invention du premier

ordinateur. Depuis, toutes les branches de la science et de l’industrie ont tenté d’exploiter les
capacités énormes de cet outil surtout celles de calcul et de traitement des données avec une
vitesse inimaginable qui dépasse les limites du cerveau humain. C’est alors que l’économie et
la finance furent parmi les branches qui ont su profité des avantages du traitement automatisé
de l’information.

La miniaturisation des composants et la réduction des coûts de production, associées à un

besoin de plus en plus pressant de traitement des informations de toutes sortes (scientifiques,
financières, commerciales, etc.) a entraîné une diffusion de l’informatique dans toutes les
couches de l’économie comme de la vie de tous les jours.1

Après la comptabilité, la finance et l’audit financier, aujourd’hui, c’est au contrôle interne

d’intégrer le monde de l’information automatisée et profiter pleinement des contributions de
l’informatique dans ce domaine. Dans cette perspective, le « Contrôle Interne Assisté par
Ordinateur » marque l’actualité par son apport à l’auditeur interne et externe comme outil
d’assistance et de pilotage des missions de contrôle.

Jusqu’à aujourd’hui, personne n’a pu percevoir qu’un domaine aussi abstrait et évolutif que le
contrôle interne dont la réflexion (risques) et le développement (points de contrôles) jouent un
rôle capital ferait appel aux services de l’informatique. Cependant, les symptômes de cette
nouvelle vague des éditeurs des solutions informatiques pour entreprises sont déjà sentis. Ces
éditeurs des applications informatiques de gestion et devant la concurrence intense sur le
marché des logiciels ont pu s’adapter pour franchir la barrière du savoir limité dans les
domaines de gestion. Pour ces derniers, la solution est de proposer un logiciel qui permet
d’aider et d’assister l’auditeur dans la réalisation de sa mission de contrôle interne en
exploitant au maximum son savoir faire et ses capacités d’analyse et d’observation dans un
domaine particulier (assurance, énergie, industrie nucléaire,…) puis en la croisant avec les
pratiques reconnues par les auditeurs dans le secteur et la réglementation en vigueur. En effet,
la différence remarquée entre l’existant et le conceptuel est à la base des résultats et des
interprétations obtenus.

1
http://fr.wikipedia.org/wiki/Informatique le 17/02/2009

6
 2
Plusieurs progiciels d’audit et de contrôle interne existent sur le marché, un ensemble de
choix diversifié des solutions informatiques de gestion pour gérer les processus de contrôle
interne et assurer la conformité avec la réglementation (Loi de la Sécurité Financière, loi de
Sarbanes-Oxley, Bale II, Solvabilité II, etc.). Parmi ces produits, on souligne FrontControl3,
Enablon Continuous Assessment4 , ISIMAN5 et enfin VALDYS qui fera l’objet d’une étude
de cas dans ce mémoire. Toutes ces solutions partent du même principe en constituant une
base référentielle de contrôle interne d’un secteur donné pour l’auditeur et en l’assistant dans
sa démarche de mise en place et de suivi de la démarche de contrôle interne.

Dans ce mémoire, je vais essayer de traiter et d’analyser la problématique suivante :

« Jusqu’à quel point le Contrôle Interne Assisté par Ordinateur peut-il contribuer à
l’encadrement et à l’accélération de la mise en place d’un processus de contrôle interne
dans une entreprise ? ».

Pour répondre à cette question, mon analyse portera sur les deux parties suivantes :

La première partie sera consacrée au cadre conceptuel du contrôle interne ou je vais présenter
les différentes définitions du contrôle interne, les approches et la réglementation qui
encadrent ce secteur et enfin de décrire la démarche de mise en place d’un système de
contrôle interne. Cette partie est un passage incontournable pour mieux comprendre les deux
axes qui vont suivre.

Dans la deuxième partie, je vais aborder le nœud de la problématique où j’analyserai l’apport

de Contrôle Assisté par Ordinateur sur plusieurs dimensions : l’originalité du concept,
l’apport du contrôle interne assisté par ordinateur et dans un dernier point je traiterai les
limites de ce concept. Le deuxième axe de cette partie de ce mémoire est une étude de cas du
logiciel VALDYS (logiciel français de contrôle interne développé pour répondre aux besoins
des assurances et des mutuelles). Cette étude de cas a pour objectif d’illustrer les conclusions
et les résultats obtenus.

2
Contraction de produit et de logiciel
3
http://www.efront.com/fr/Logiciel_Controle_Interne.asp le 17/02/2009
4
http://enablon.com/produits/gestion-des-risques/controle-permanent.aspx le 17/02/2009
5 http://www.keyword.fr/sitekeyw/html_val/ru$44___.htm?gclid=CLK0jd6c65kCFQiF3godMiuuQQ le
17/02/2009

7
L’objectif de ce mémoire avec ces deux parties est de résoudre la problématique soulevée en
partant d’un cadre conceptuel vers un cadre empirique. Le type d’argumentation utilisé est
une argumentation par illustration. Cette argumentation consiste à utiliser un exemple concret
justifiant une affirmation que l’on fait. Autrement dit, on va formuler la problématique, puis
on présentera un fait ou un cas précis et réel qui concrétise et matérialise les déductions
obtenues.

Dans le même but d’illustration et d’argumentation, plusieurs sources documentaires seront

utilisées partagées entre sources bibliographiques, webographiques, et bases documentaires
électroniques.

8
Partie (1) : Introduction au contrôle interne

1 Cadre conceptuel du contrôle interne

1.1 Etymologie du mot
Le mot contrôle vient du mot contre-rôle qui signifie « registre tenu en double»6. Dans son
ouvrage « Contrôle Interne » Frédéric Bernard fait la distinction entre le mot français
« Contrôle » et le mot anglo-saxonne « Control » :

« Le terme contrôle interne est la traduction littérale de l’expression anglo-saxonne : Internal

Control (ou Business Contrôle pour les américains) dans lequel le verbe « to control »
signifie conserver la maîtrise de la situation alors qu’en français le mot « contrôle » est
d’avantage compris comme le fait d’exercer une action de surveillance sur quelque chose
pour l’évaluer »7.

Malgré la ressemblance étymologique et phonétique des deux mots français et anglo-saxon,

on trouve que le mot « contrôle interne » traduit l’amont et le préventif du processus de
contrôle interne par les mesures de surveillance et d’analyse des risques quant au mot
« Internal Control » il traduit la dimension en aval et corrective du contrôle interne
(identification des éléments de maîtrise, planification des tâches de contrôle, organisation des
responsabilités, suivi des recommandations, etc.). Cette divergence de sens entre les deux
mots reflète et explique l’étroite différence dans la manière de pratiquer et de mettre en œuvre
le processus du contrôle interne entre les entreprises françaises et les entreprises anglo-
saxonnes.

1.2 Définitions du contrôle interne

Il existe diverses définitions du contrôle interne. Cette multitude et diversité de définitions du
concept engendre une confusion de compréhension et de communication des rôles de chaque
acteur majeur du contrôle interne (auditeurs internes et externes, Conseil d’Administration, la
direction, le personnel et le législateur). Parmi les définitions adoptées du contrôle interne par
les auteurs et les institutions nationales et internationales, on trouve :

1) Le contrôle interne est un ensemble de dispositifs ayant pour but, d’un coté d’assurer la
protection, la sauvegarde du patrimoine et la qualité de l’information, de l’autre

6
http://fr.wiktionary.org/wiki/contr%C3%B4le le 19/02/2009
7 Frédéric Bernard, Rémi Gayraud et Laurent Rousseau, « Contrôle interne », Ed.MAXIMA, Paris, 2006, p 303

9
 d’assurer l’application des instructions de la Direction et de favoriser l’amélioration des
performances. 8
2) Définition donnée par les experts-comptables, en congrès en 1977 : « le contrôle interne
est l’ensemble des sécurités contribuant à la maîtrise de l’entreprise. Il a pour but
d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information d’une
part et de l’autre, l’application des instructions de la direction, et de favoriser
l’amélioration des performances. »

3) La définition proposée par le CNCC (Compagnie Nationale des Commissaires aux

Comptes) reflète le mieux l’approche moderne du concept: « Les procédures de contrôle
interne impliquent : le respect des politiques de gestion, la sauvegarde des actifs, la
prévention et la détection de fraudes, l’exactitude et l’exhaustivité des enregistrements
comptables, l’établissement en temps voulu d’informations comptables et financières
stables. »9
4) La définition donnée par la norme 400 de l’IAASB (International Auditing and
Assurance Standard Board) : le système de contrôle interne est l’ensemble des
politiques et procédures mises en œuvre par la direction d’une entité en vue d’assurer,
dans la mesure du possible, la gestion rigoureuse et efficace de ses activités. Ces
procédures impliquent le respect des politiques de gestion, la sauvegarde des actifs, la
prévention et la détection de fraudes et d’erreurs, l’exhaustivité des enregistrements
comptables et l’établissement en temps voulu d’informations financières stables.
5) La définition donnée par le cabinet Coopers&Lybrand et traduit dans « la nouvelle
pratique du contrôle interne » par l’Institut Français des Auditeurs et Consultants
internes : Le contrôle interne est un processus mis en œuvre par le Conseil
d’Administration, les dirigeants et le personnel d’une organisation, destiné à fournir
une assurance raisonnable quand à la réalisation des objectifs suivants :
• La réalisation et l’optimisation des opérations ;
• La fiabilité des informations financières
• La conformité aux lois et aux réglementations en vigueur 10

8
Frédéric Bernard, Rémi Gayraud et Laurent Rousseau, « Contrôle interne », Ed.MAXIMA, Paris, 2006, p 303
9
Norme CNCC 2-301, évaluation du risque et de contrôle interne », para 08, Référentiel normatif CNCC,2003
10
Coopers & Lybrand, « La nouvelle pratique du contrôle interne », Edition d’organisation, Paris, 1994, p 378

10
L’étude et l’analyse de ces différentes définitions distingue entre deux approches
fondamentales:
D’une part, une approche classique qui insiste sur les principes de base du contrôle interne : la
sauvegarde du patrimoine, la fiabilité de l’information, la conformité avec la réglementation
et l’amélioration de performance. Ces éléments sont repris fidèlement dans la première et la
deuxième définition sans toutefois sortir du cadre soigneusement tracé par ces composantes.
Cette limitation du champ d’interprétation et de réaction a fait du contrôle interne un concept
doté d’une structure rigide et difficilement adaptable aux différentes natures et situations
d’entreprises.

D’autre part, une approche moderne illustrée par les trois dernières définitions (CNCC,
IAASB, Coopers&Lybrand). Cette approche inclut la notion du processus ou de procédure
dans sa définition et elle implique les acteurs majeurs de la démarche de contrôle interne dans
ce processus tout en insistant sur le rôle du personnel. Plus encore, elle évoque pour la
première fois le respect de la politique de gestion comme facteur principal dans le système de
contrôle interne.

1.3 Le modèle COSO

Le modèle COSO est un référentiel de contrôle interne défini par le « Committee Of
Sponsoring Organizations of the Treadway Commission ». Il est utilisé notamment dans le
cadre de la mise en place des dispositions relevant des lois Sarbanes-Oxley ou LSF pour les
entreprises assujetties respectivement aux lois américaines ou françaises. Le référentiel initial
appelé COSO 1 a évolué depuis 2002 vers un second corpus dénommé COSO 2.11

1.3.1 COSO 1
Le contrôle interne est composé de 5 éléments interdépendants qui découlent de la façon dont
l’activité est gérée et qui sont intégrés aux processus de gestion :

• Environnement du contrôle : présente « l’espace » dans lequel les personnes

accomplissent leurs tâches et assument leurs responsabilités en matière de contrôle. Il
sert de référence pour les autres éléments du contrôle interne. Il présente aussi les
individus et leurs qualités individuelles, leur intégrité, leur éthique, leur compétence.
Autrement dit, l’environnement du contrôle exerce une influence profonde sur la
structuration des activités et des procédures, l’évaluation des risques, les activités de
contrôle, le système d’information et le suivi des recommandations.
11
http://fr.wikipedia.org/wiki/COSO le 22/02/2009

11
 • L’évaluation des risques : elle consiste en l’identification et l’analyse des facteurs
susceptibles d’affecter la réalisation des objectifs stratégiques de l’entreprise. C’est un
processus continu et répétitif qui permet de déterminer comment les risques devraient
être gérés. Il appartient aux dirigeants et aux responsables des services concernés
d’évaluer et de fixer un taux de risque admissible.

• Les activités de contrôle : les activités de contrôles sont l’application des normes et
procédures destinées à garantir l’exécution des directives du management en vue de
maîtriser les risques réels et potentiels de l’organisation. Les catégories d’opérations
de contrôle se rattachant aux objectifs sont le domaine opérationnel, l’information
financière et la réglementation en vigueur.

• L’information et la communication : l’information pertinente doit être identifiée,

recueillie et diffusée sous une forme et dans les délais qui permettent à chacun
d’assumer ces responsabilités. L’information doit concerner tous les niveaux de
l’entreprise. Le système d’information va permettre de définir, recueillir, analyser puis
diffuser ces données.

• Pilotage : les systèmes de contrôle interne doivent à leur tour être contrôlés afin
d’évaluer dans le temps les performances qualitatives. Dans ce cadre, il est primordial
de mettre en place un système de pilotage permanent et de procéder à des évaluations
périodiques. Ainsi, les opérations de pilotage peuvent être pratiquées soit par des
activités courantes soit par des évaluations ponctuelles.

1.3.2 COSO 2
Le modèle COSO 2 constitue une continuité et une suite de COSO 1. Fréderic Bernard définit
et explique la dissemblance entre COSO 1 et COSO 2 : « ... Il ne propose pas un référentiel de
contrôle interne (au contraire de COSO) mais un modèle de gestion des risques. Il s’appuie
sur le COSO comme référentiel de Contrôle Interne.» 12

12
Frédéric Bernard, Rémi Gayraud et Laurent Rousseau, « Contrôle interne », Ed.MAXIMA, Paris, 2006, p 303

12
Parmi les apports de COSO 2 :

D’une part, il offre aux auditeurs et contrôleurs internes un repère pour la gestion des risques
de l’entreprise (Enterprise Risk Management Framework). En effet, COSO 2 rappelle les
éléments du COSO 1 et le complète surtout sur la dimension « gestion des risques ». Il est
donc fondé sur une approche orientée vers la maîtrise des risques de l’entreprise. D’autre part,
il présente un cadre plus restreint de décomposition de la structure d’une organisation alors
que le COSO 1 ne retient pas de structure de décomposition spécifique. Cependant, cette
répartition entre différents niveaux de l’organisation est très utile pour la démarche de
contrôle proposée par le modèle COSO. Toutefois, il est nécessaire de prendre en compte
l’organisation dans son ensemble pour que COSO 2 puisse être appliqué avec succès.

Présentation de la pyramide et du cube de COSO13

1.4 Sarbanes Oxley

Suite aux scandales financiers que les Etats-Unis ont connus dans les années 2001-2002. La
législation américaine a lancé de nouveaux dispositifs légaux dits « Sarbannes Oxley ». Cette
loi a été adoptée par le Congrés et fut la plus grande réforme du marché financier américain
depuis longtemps. Ses principes de base sont l’exactitude des informations, la responsabilité
des gestionnaires et l’indépendance des organes d’audit. Son objectif est de pallier aux
insuffisances du contrôle interne.

13
http://www.bumko.gov.tr/KONTROL_EN/Images/kontrol/coso.jpg visité le 05/03/2009

13
Les décisions fondamentales de cette loi sont :

• Les états financiers doivent être forcément certifiés par le Directeur Générale (Chief
Exécutive Officer) ou le Directeur Financier (Chief Financial Officer). Le but de cette
disposition est de responsabiliser les dirigeants aux risques existants dans leurs
entreprises.
• L’obligation de nommer des administrateurs indépendants au comité d’audit du
Conseil d’Administration
• Les avantages particuliers des dirigeants sont de plus en plus encadrés
• La loi Sarbanes-Oxley impose à l’entreprise une rotation des auditeurs externes. Les
services proposés pour la vérification des états financiers par ces auditeurs externes
doivent être adaptés à l’activité de l’entreprise (systèmes d’information).14
• L’alourdissement des sanctions pénales et des montants des amendes en cas de fraude
ou de non-conformité.
• L’obligation aux entreprises américaines de joindre aux rapports annuels un rapport
sur le contrôle interne. Ce rapport établi par la Direction de l’entreprise doit être validé
et certifié par l’auditeur externe.

Malgré tous les efforts déployés au niveau de la loi « Sarbanes-Oxley » pour limiter les
fraudes financières, l’assurance que porte cette loi pour l’organisation reste une assurance
raisonnable contre le risque puisqu’il existe toujours des points de défaillances pour
contourner les barrières du contrôle interne. Michael Oxley soutient ce raisonnement dans
son interview avec Liz Alderman : « Je n’irai pas jusqu’à dire que la loi Sarbanes-Oxley nous
met à l’abri d’un scandale tel que les faillites d’Enron et de Worldcom ni que des individus ne
seront pas suffisamment intelligents pour contourner les règles. Après tout le meurtre est illégal
dans tous les pays et pourtant des meurtres sont commis tous les jours ».15

1.5 La Loi de la Sécurité Financière (LSF)

A l’instar de la loi Sarbanes Oxley, la Loi de Sécurité Financière a été promulguée à la suite
des nombreux scandales financiers pour rétablir la confiance des investisseurs notamment
dans les pratiques comptables.

14
Kamal ABOU EL JAOUAD, « Les enjeux du contrôle interne » Université Clermont
15
http://www.french-american.org/files/cr-francais-diner-ifafaf.pdf) visité le 15/03/2009

14
L’Assemblée Nationale et le Sénat ont adopté la LOI n° 2003-706 du 1er août 2003 sur la
sécurité financière vu la décision n° 2003-479 DC du conseil constitutionnel en date du 30
juillet 2003.16

Cette loi s’applique à toutes les sociétés anonymes. Elle comprend l’obligation pour le
président du conseil d’administration ou du conseil de surveillance de rendre compte dans un
rapport des procédures de contrôle mises en place par l’entreprise. Aussi, elle considère que
l’établissement d’un rapport sur le contrôle interne est un facteur clé pour la compétitivité et
le développement des entreprises privées.

1.6 Comparaison entre la loi Sarbanes Oxley et la loi de la Sécurité Financière

La distinction fondamentale entre la loi de la Sécurité Financière et la loi Sarbanes Oxley est
le degré de formalisme qui est clairement défini dans la deuxième loi. Ainsi, des référentiels
tels que COSO présentent un cadre précis pour les acteurs du contrôle interne. Cependant, ce
n’est pas le cas actuellement pour la loi sur la Sécurité Financière. Le grand obstacle pour
celle-ci est l’inexistence d’un référentiel français qui encadre le travail des auditeurs. La LSF
ne renvoie à aucun référentiel et ne donne même pas de définition au « contrôle interne ».

Aussi, la Loi sur la Sécurité Financière est moins exigeante que la loi Sarbanes Oxley et par
conséquent elle permet d’ajuster le degré de formalisme du Contrôle Interne par rapport à la
taille de l’entreprise, toutefois elle complique le travail du Commissaire aux Comptes.

A l’heure actuelle, il n’y a aucune nouvelle disposition légale sur le contrôle interne des
sociétés anonymes françaises. Et la compagnie nationale des Commissaires aux Comptes n’a
pas donné de nouvelles instructions concernant le contrôle par les auditeurs légaux du rapport
du Président sur le contrôle interne.

La LSF engage toutes les sociétés anonymes. Son périmètre est plus large que celui de la loi
Sarbanes Oxley qui se limite uniquement aux sociétés cotées. Elle implique directement le
Président du Conseil d’Administration ou du Conseil de Surveillance alors que la loi Sarbanes
Oxley engage la direction opérationnelle. Enfin, la LSF concerne toutes les procédures de
contrôle interne tandis que la loi Sarbanes-Oxley ne concerne que les informations
comptables et financières. Le modèle Européen défendant tout actionnaire de Sociétés
Anonymes s’oppose au modèle américain qui ne s’intéresse qu’à l’actionnaire de sociétés
faisant appel publique à l’épargne.

16
http://www.amf-france.org/documents/general/4746_1.pdf visité le 15/03/2009

15
2 La démarche du contrôle interne
2.1 Définition et caractéristiques de la démarche de contrôle interne
Le contrôle interne, à l’inverse de l’audit financier n’a pas un champ limité d’intervention, il
concerne tous les types de risques qui peuvent exister dans l’entreprise (Risques financiers,
risque humains, risques techniques,…). Son objectif essentiel est de sauvegarder le patrimoine
de l’entreprise et de mettre en place un dispositif de maîtrise.

Le contrôle interne n’est plus une démarche aléatoire qui se fait le jour au jour, non plus une
solution de prêt-à-porter applicable à toutes les entreprises sans adaptation aux contextes, à
l’environnement et aux structures spécifiques de celles-ci.

Au contraire, la démarche du contrôle interne est une démarche organisée, appropriée, et

pérenne. Concrètement, c’est une démarche de changement :

2.1.1 Une démarche organisée

La mise en place d’un dispositif de contrôle interne doit être organisée dans l’axe temps
(planifier les dates d’entretiens avec les responsables et le personnel, fixer les dates de
contrôle et de suivi, respecter les dates de contrôle périodiques, etc.) en veillant à respecter
l’ordre des opérations de contrôle et la durée programmée pour chaque étape. Aussi, cette
mise en place doit être toujours précédée par une phase de préparation incluant l’étude de
l’environnement de l’entreprise, la détermination du périmètre de vérification et l’agencement
des ressources et des moyens pour assurer le succès de la mission.

2.1.2 Une démarche appropriée

L’étendue du périmètre de contrôle ainsi que l’importance des ressources humaines et
matérielles à investir dépendent largement des propriétés de l’entreprise auditée. La taille de
celle-ci, la complexité de sa structure organisationnelle et la performance de sa gouvernance
et de son management, détermine les caractéristiques de la mission du contrôle. En
conséquence, la nature de la missions et ses attributs peuvent varier d’une entreprise à une
autre cependant les fondements de la démarche resteront les mêmes.

2.1.3 Démarche pérenne

La mise en place des points de contrôles, des procédés préventifs et correctifs, se fait dans
une optique de continuité de la démarche dans le temps. Elle se fait dans une perspective de

16
pérennité de l’activité et de la vie de l’entreprise. Visiblement, la démarche contrôle interne
est une démarche de moyen et long terme.

2.1.4 Le changement et la rupture avec le passé

« Dans le cadre de la démarche de contrôle interne comme dans toute démarche systématique
d’entreprise, le changement est une préoccupation ou au moins un sujet fondamental de
discussion » 17

Le changement dans ce cadre signifie l’acceptation des acteurs de l’entreprise qu’un

changement incontournable et radical dans l’organisation interne et le fonctionnement de
l’entreprise risque de se produire. Cependant, tout acte de refus ou de résistance à ce
processus de changement est un phénomène humain et attendu.

Les mutations prévues concernent les outils et les techniques de travail (utilisation de
nouveaux logiciels), les méthodes de gestion (passage d’une gestion hiérarchique à une
gestion participative) et les valeurs de l’entreprise (transformer une culture de fermeture et de
cloisonnement à une culture d’ouverture et de partage).

La capacité de management à faire passer cette métamorphose dans le fonctionnement et

l’organisation au personnel de l’entreprise aura un effet très positif sur le processus de
contrôle interne. Ainsi, elle contribuera à une évaluation plus rationnelle des risques, une
sensibilisation aux impacts des risques sur les processus et une efficacité au niveau de
l’application des recommandations et de la mise en place des dispositifs de maîtrise.

2.2 Analyse de quelques modèles de la démarche de contrôle interne

2.2.1 Démarche de Benoît Pigé

La démarche de contrôle interne suit une logique universelle et unique reconnue par la plupart
des référentiels et des lois en vigueur.

Benoît Pigé dans son ouvrage « Audit et contrôle interne » propose la démarche suivante :

• La prise de connaissance de l’entreprise qui comprend la compréhension de

l’environnement (le secteur d’activité et la situation économique) dans lequel elle se
situe ainsi que l’identification des spécificités de l’entreprise (la structure
organisationnelle, la politique stratégique de l’entreprise, la position concurrentielle de
l’entreprise et l’actionnariat de l’entreprise)

17
Frédéric Bernard, Rémi Gayraud et Laurent Rousseau, « Contrôle interne », Ed.MAXIMA, Paris, 2006, p 303

17
 • L’évaluation des risques particuliers qui peuvent résulter d’une situation financière,
d’une situation sociale ou des changements organisationnels internes
• L’évaluation du contrôle interne consiste à décrire les procédures (l’observation, les
entretiens avec le personnel de l’entreprise et la formalisation) vérifier l’adéquation
des procédures aux objectifs à atteindre (fixation des objectifs et mettre en œuvre les
moyens nécessaires) effectuer les tests d’application et d’efficacité des procédures de
contrôle interne.
• Effectuer les tests de validation du produit. (échantillonnage, validation intégrale)18

2.2.2 Démarche de contrôle interne de Frédéric Bernard

D’autres auteurs comme Frédéric Bernard ont décomposé la démarche du contrôle interne en
plusieurs phases. Toutefois, ils ont gardé les mêmes composantes et les mêmes outils au
niveau de leur démarche. La démarche proposée par cet auteur est décomposée en plusieurs
phases :

2.2.2.1 Phase d’analyse de l’existant et de réalisation des outils

Dans cette étape deux outils principaux sont développés :

• La cartographie des risques 19

: identification des risques majeurs et puis une
représentation graphique de la vulnérabilité de l’entité analysée. La cartographie
est obtenue à partir de la réponse des opérationnels aux questionnaires d’analyse
des risques
• Le plan d’action cadre général du plan destiné à améliorer la vulnérabilité aux
risques ainsi identifiés

2.2.2.2 Phase de mise en œuvre opérationnelle du dispositif du Contrôle

Interne
Cette phase consiste à documenter les nouveaux outils en rédigeant des modes d’emploi puis
de mettre en place pour les opérationnels des sessions de formation à l’utilisation de ces
outils.

On peut constater la divergence de forme des deux méthodologies précédentes mais une
convergence sur le fond.

18
Benoît Pigé « Audit et contrôle interne », Ed EMS, Paris, 2001, p210
19
Voir annexe (7)

18
3 Démarche classique adopté par les éditeurs de logiciels
de contrôle interne
3.1 Identification des processus

3.1.1 Définition 1
Yvon MOUGIN Consultant et Formateur à Cap Entreprise définit le processus comme un
ensemble de ressources et d’activités liées qui transforment des éléments entrants en éléments
sortant. Autrement dit, c’est une boite noire qui a une finalité (les données de sortie) et qui
pour atteindre cette finalité utilise des éléments extérieurs (données d’entrée) et les transforme
(en leur donnant une valeur ajoutée) par du travail et des outils (activités et ressources).20

3.1.2 Définition 2
Un processus est une succession d’activités à l’intérieur d’une organisation, s’enchaînant afin
de produire un résultat. Les applications de travail coopératif peuvent définir différents
processus en fonction de l’organisation et des outils mis en place.21

Pourtant, il faut faire la distinction entre le terme processus et le terme procédure qui signifie
une façon spécifiée d’exercer une activité.

L’identification des processus est la première étape dans la démarche de maîtrise des risques.
Elle aide à la compréhension des métiers de l’entreprise et contribue à la pérennisation de la
démarche de contrôle interne. Les objectifs de cette phase sont de construire une idée claire et
structurée des processus de l’activité, de décrire les processus et de collecter les informations
pour l’identification des risques et des contrôles prévus.

Les opérations de contrôle interne sont très liées à tous les niveaux d’activités de
l’organisation. L’ensemble de ses activités est constitué d’un nombre indéterminé de
processus. « Le contrôle interne n’est pas un événement isolé ou une circonstance unique
mais une ensemble d’actions qui se répandent à travers toutes les activités de l’entreprise.
Ces actions sont perceptibles à tous les niveaux et sont inhérentes à la façon dont l’activité
est gérée »22

20
http://www.knowllence.com/fr/publications/management_processus.pdf visité le 25/03/2009
21
. http://www.ordinal.fr/html/glossaire.htm visité le 25/03/2009
22 Coopers & Lybrand, « La nouvelle pratique du contrôle interne », Edition d’organisation, Paris, 1994, p 378

19
3.1.3 Cartographie des processus
Pour mettre en œuvre une démarche de contrôle interne, il est indispensable d’abord de
connaître et comprendre les activités, puis de définir les liens et les flux dynamiques entre ces
activités (les flux d’entrée et les flux de sortie)

Les différents niveaux de granularité de la cartographie des risques sont présentés dans le
schéma suivant :

Macroprocessus
.

Processus
. Majeur

Processus
Activité
Procédure
Pyramide des niveaux de granularité 1

3.2 Déclinaison de la stratégie en objectifs

Les objectifs expliquent la finalité du processus. Ils résultent également de la stratégie établie
et sont formalisés dans le cadre du processus de pilotage de l’entreprise. Chaque entreprise
par l’intermédiaire de son management détermine les objectifs et les stratégies pour les
atteindre. Ils peuvent être fixés pour l’organisation dans son ensemble ou dirigés sur des
activités particulières. Les objectifs fixés globalement au niveau de l’entreprise sont liés à des
objectifs plus spécifiques au niveau des « activités ». Les objectifs doivent être clairement
définis et découlent généralement des valeurs de l’entreprise et de sa stratégie globale.
Ces objectifs sont classés en 3 catégories :

• Des objectifs opérationnels : optimisation de l’utilisation des ressources économiques

de l’entreprise
• Des objectifs financiers : établissement des états financiers fiables et présentant une
image fidèle
• Des objectifs de conformité : conformité avec les lois et les réglementations en
vigueur

20
Pour illustrer la notion d’un objectif et ses caractéristiques, on peut faire référence à Alain
Gérard-Cohen qui dans son ouvrage « Contrôle interne et audit publics » parle de la
déclinaison d’une réflexion par objectifs : « …à travers une réflexion organisée, cohérente,
chiffrée, itérative, permettant tous les choix et arbitrages ( y compris politique), de façon
claire et transparente, garantissant ainsi une optimisation réaliste des moyens réaliste des
moyens et des ressources face à des besoins explicités et hiérarchisés. » 23

Aussi, il faut déterminer avec une précision significative, les moyens humains, financiers et
techniques nécessaires pour atteindre ses objectifs. Pour mesurer la performance des résultats
obtenus, il existe une multitude d’indicateurs qui sont définis selon la nature des objectifs et
d’autres facteurs.

3.3 Analyse des processus

L’analyse des processus est une étape majeure dans la démarche de contrôle interne.

D’une part, elle consiste à fixer les objectifs principaux du processus, soulever les facteurs
clés de succès du processus et les indicateurs clés de performance, encadrer le processus par
un début et une fin.

D’autre part, l’analyse des processus doit répondre aux questions : Qui fait (rôle)? Quoi
(tâche) ? Par quel flux informationnel ? (systèmes d’informations supports)

L’analyse des processus est une opération qui requiert un intérêt particulier de l’auditeur
puisque c’est à ce niveau qu’il peut prévoir l’existence d’un risque potentiel ou d’un point
faillible dans le processus. Ainsi, le degré de vigilance et de précision dans la conception et
l’analyse de ces processus permettra d’augmenter la valeur ajoutée de cette étape dans la
démarche du contrôle interne.

Exemple grille d’analyse des processus

Processus Objectifs Facteurs de Indicateurs de Rôles Tâche Systèmes

succès performance d’information
Niveau 1
Niveau 2
Niveau 3

23 Alain-Gérard Cohen, « Contrôle interne et audit publics », ed LGDJ, PARIS, 2005, p 183

21
3.4 Evaluation des risques

3.4.1 Notion de risque

Danger dont on peut jusqu’à un certain point mesurer l’éventualité, que l’on peut plus ou
moins prévoir. 24

Le risque est une perte potentielle, identifiée et quantifiable (enjeux), inhérente à une situation
ou une activité, associée à la probabilité de l’occurrence d’un événement ou d’une série
d’événements. 25

Menace qu’un événement, une action ou une inaction affecte la capacité de l’entreprise à
atteindre ses objectifs et en particulier altère sa performance.26

3.4.2 L’identification et les différentes catégories de risque

La démarche d’identification des risques se fait à partir des processus ou à partir d’une
nomenclature donnée :

La nomenclature d’un risque peut être structurée en cinq niveaux :

• Risques opérationnels
• Risques de système d’information
• Risques humains
• Risques légaux
• Risques externes (exogène)

Tout risque potentiel ou réel doit être recensé et étudié même si l’on considère qu’il est
minimisé par un dispositif de maîtrise approprié. Le risque se subdivise en 3 catégories :

• Le risque inhérent : c’est le risque d’apparition d’une erreur significative dans

l’organisation suite à une faute (volontaire ou non), ou une fraude
• Le risque de contrôle interne : c’est le risque que le système de contrôle présent dans
l’entreprise ne peut pas empêcher une inexactitude significative
• Risque de non détection ou le risque d’audit : le risque que l’audit ne permet pas de
détecter une inexactitude significative.27

24 Dictionnaire encyclopédique universel. Edition Précis1998. P1383

25 http://fr.wikipedia.org/wiki/Risque visité le 06/04/2009
26 Ernst&Young. « Elaborer une cartographie des risques opérationnels, dans le cadre des exigences de la future
directive Solvency II »

22
3.4.3 Processus et caractéristiques de la démarche d’évaluation des
risques
Toutes les organisations quelques soit leur taille, leur structure, la nature de leurs activités et
le secteur économique dans lequel elles évoluent, sont confrontées à des risques et ce à tous
les niveaux. L’ensemble de ses risques identifiés doit faire l’objet d’une évaluation fondée sur
l’appréciation de leurs conséquences potentielles et de leur probabilité de survenance.

Dans le même ordre, Sean Cleart et Thierry Malleret considère deux éléments essentiels pour
mesurer le risque : « Le risque est généralement quantifié en considérant deux éléments : la
probabilité qu’un événement survienne et son impact le cas échéant _habituellement exprimé
en termes d’impact financier et de coût d’opportunité. »28

L’optimisation de la maîtrise d’un risque suppose l’existence d’un système d’évaluation fiable
et pertinent. Une bonne évaluation d’un risque prend en considération sa nature différente et
ses spécificités par rapport aux autres risques. Tous les risques ne sont pas identiques, un
système efficace de gestion des risques est donc fondé sur la compréhension de l’étendue de
chacun d’entre eux, des circonstances dans lesquelles ils peuvent émerger et de leurs
conséquences éventuelles. 29

Pour élaborer une évaluation efficace des risques, le management de l’entreprise doit
déterminer les axes suivants :

• Une projection du risque dans l’horizon temporel pour mesurer le degré d’exposition
• Les dispositifs et les moyens disponibles destinés à faire face aux événements indésirables
qui pourraient se développer
• Une échelle de risque de référence unique et personnalisée aux spécificités de l’entreprise
utilisée pour juger l’exposition au risque
• Un repère permettant à l’entreprise d’avoir un point de comparaison et un outil de mesure
de sa performance.

27 Hugues Angot, Christian Fischer, Baudouin Theunissen. « Audit comptable, Audit informatique ». Edition: 3
De Boeck Université, 2004. p 304
28 Seán Cleary, Thierry Malleret Collaborateur Klaus Schwab, « Risques: Perception, Evaluation, Gestion ».
Editions Maxima. 2006. 253 pages

29 Seán Cleary, Thierry Malleret Collaborateur Klaus Schwab, « Risques: Perception, Evaluation, Gestion ».
Editions Maxima. 2006. 253 pages

23
3.4.4 Les critères d’évaluation de risque

3.4.4.1 La fréquence
La fréquence F représente le produit entre une probabilité et une fréquence d’exposition. La
probabilité correspond à la prévision que l’incident/accident se produise tandis que la
fréquence d’exposition donne une idée de la sollicitation de la mission susceptible de
provoquer le risque.

3.4.4.2 La détectabilité
La détectabilité D représente la capacité de l’organisme à détecter et à repérer les risques.

3.4.4.3 La gravité
La gravité (ou effet) G donne une indication des dommages et conséquences possibles en cas
de survenance de l’accident / incident.

3.4.4.4 La criticité
La criticité (C) reprend l’ensemble des critères précédant. Elle peut se calculer de différentes
manières. La plus courante consiste à faire le produit de la probabilité, de la fréquence, de la
détectabilité et de la gravité ; C = F x D x G

3.4.4.5 La maîtrise
La maîtrise M représente la capacité de l’organisme à gérer et à maîtriser le risque. Cette
maîtrise peut être appréhendée selon deux paramètres : la conscience ou non du risque ainsi
que l’existence ou l’inexistence de barrières.

3.5 Mise en place des activités de contrôle

3.5.1 Définition des activités de contrôle

Les activités de contrôle peuvent se présente comme une application des normes et procédures
qui assurent la mise en œuvre des orientations émanant du management. Ces actes permettent
de s’assurer que les mesures nécessaires sont engagées dans l’objectif de maîtriser les risques
susceptibles d’affecter la réalisation des objectifs de l’entreprise. Les activités de contrôle sont
réalisées à tous les niveaux hiérarchiques et fonctionnels.

« Partant, on prendra des dispositions pour limiter la survenance de ces risques ou en tout
cas pour en limiter les effets pervers : on appliquera donc des normes, des procédures, on

24
approuvera, autorisera, vérifiera, rapprochera, appréciera tout ce qui doit l’être ou plutôt
tout ce qui vaut la peine de l’être. Les activités de contrôle constituent ainsi le troisième étage
de la fusée.»30

Il existe de nombreux types d’activités de contrôle, qu’il s’agisse de contrôles orientés vers la
prévention ou vers la détection, de contrôles manuels ou informatiques ou encore de contrôles
hiérarchiques. Parmi les activités de contrôle, on peut souligner :

• Les analyses exécutées par le management

• Gestion des activités ou des fonctions
• Traitement des données
• Contrôles physiques
• Indicateurs de performance

3.5.2 Détermination des points de contrôle et des actions de maîtrise

Après l’étape de l’évaluation des risques en combinant plusieurs éléments pour le calcul de la
criticité et de l’impact, il est temps de décrire des points de contrôle et de mettre en place des
actions préventives (actions permettant de maîtriser les effets du risque avant son apparition)
et correctives (actions permettant de contrôler le risque après son apparition).

Les expériences vécues dans le domaine du contrôle interne ont démontré que les actions
préventives sont les plus efficaces et elles permettent de minimiser le coût du risque.
Cependant, la mise en place des actions préventives suppose une connaissance avancée du
risque potentiel, de sa nature et de son étendue, ce qui n’est pas toujours le cas. Ajoutant à
cela, le fait que la plupart des risques majeurs s’avèrent fatales à cause de leur non
détectabilité. Quant aux actions correctives, elles sont plus couteuses puisqu’elles
interviennent après la survenance du risque en essayant de limiter les dommages causés par ce
dernier. Le point de contrôle correctif reste le plus évident à établir et à mettre en œuvre
puisqu’il touche, à l’inverse de l’action préventive, à des éléments tangibles du risque.

30 Étienne Barbier. « MIEUX PILOTER ET MIEUX UTILISER L'AUDIT ». Editions Maxima, 1998. p 124

25
Partie (2) : Le Contrôle Interne Assisté par Ordinateur

1 Introduction au Contrôle Interne Assisté par Ordinateur

1.1 Le concept
Aujourd’hui, l’intégration de l’informatique dans tous les domaines de la gestion et dans tous
les secteurs économiques et financiers n’est plus qu’une question de temps. L’industrie, la
finance ou la télécommunication ont déjà réalisé la nécessité de développer leurs systèmes
d’information et de les mettre au centre de développement durable.

Au début, le rôle de l’informatique était d’abord d’effectuer des opérations de calcul très
complexes que le cerveau humain ne pouvait pas effectuer avec la vitesse et la précision de
l’ordinateur. Ainsi, l’évolution de l’ordinateur dépend tout d’abord de l’évolution de sa
capacité de calcul. Un ordinateur est d’abord un outil d’exécution, il traduit les données
saisies en fonction d’un modèle préprogrammé par l’utilisateur dans le but d’arriver à un
résultat précis.

La notion de l’assistance par ordinateur constitue une rupture avec l’idée conçue de la
fonction de cet outil. Désormais, l’application informatique à un nouveau rôle : orienter et
assister l’utilisateur dans la réalisation d’une tâche ou d’une activité quelconque.

Pour essayer d’éclaircir la notion du contrôle interne assisté par ordinateur, il faut expliquer
d’abord la notion de l’assistance :

Assister 31:

V.t. assister (lat. assistere, se tenir auprès)

1. Porter aide ou secours à qqn: La mairie assiste les familles

démunies (secourir; délaisser, négliger).
2. Seconder qqn: L’apprenti assiste le chef dans la confection de ce gâteau (aider). v.t. ind.
1. Être présent à; participer à: Assister à un spectacle de danse (voir; manquer).
2. Être le témoin de; constater: On assiste à une baisse continue du chômage.
Assister32 :
[asiste]. [1] Etre présent. 2. Aider, seconder quelqu’un. Tech : équiper d’un dispositif
d’assistance. Aide apporter à qqn. Demander, porter assistance à un ami.

31 http://fr.thefreedictionary.com/assister visité le 15/04/2009

32 Dictionnaire encyclopédique universel. Edition Précis1998. P1383

26
Assistance : 1.assemblée, auditoire. 2 Tech : dispositif capable d’amplifier un effort manuel
et de le transmettre à un mécanisme

Assisté : Tech. Muni d’un dispositif d’assistance. Direction assistée. Freinage assisté.

L’ensemble des définitions qui existe pour le verbe « assister » ou le mot assistance répète
toujours des mots clés comme l’aide, la présence et le dispositif d’assistance. Ces mots
récapitulent d’une manière générale l’objet et les objectifs du concept Contrôle Interne
Assisté par Ordinateur.

Les applications informatiques de l’audit interne et particulièrement du contrôle interne

tournent autour des 3 objectifs suivants :

• Aider et orienter l’utilisateur dans sa démarche du Contrôle Interne

• Assurer la continuité et la pérennisation de la démarche dans l’organisation
• Constituer une référence de base pour l’organisation

Ainsi, on peut construire une définition globale pour le « Contrôle Interne Assisté par
Ordinateur » par l’accumulation de toutes les interprétations précédentes :

Le Contrôle Interne assisté par ordinateur est l’utilisation de l’outil informatique pour
aider, orienter et pérenniser la démarche de contrôle interne dans une organisation en
mettant en place un ensemble de dispositifs ayant pour but, d’un coté d’assurer la
protection du patrimoine et la qualité de l’information dans l’entreprise, de l’autre ,
d’assurer l’application des instructions de la direction et de favoriser l’amélioration des
performances.

1.2 Les objectifs du Contrôle Interne Assisté par Ordinateur

1.2.1 Aider et orienter l’utilisateur dans sa démarche du Contrôle Interne

Les logiciels informatiques de contrôle interne ont comme objectif principal d’assister
l’auditeur interne ou le responsable du contrôle interne d’une entreprise à réaliser sa mission
d’audit dans les meilleures conditions possibles. La plupart de ces logiciels ont pour point
commun l’existence d’une base de données préétablie et qui est bien adaptée au secteur
d’activité de l’entreprise ou le domaine de contrôle. Cette adaptation permet à l’auditeur de se
situer à chaque fois par rapport à une référence ou un listing de normes réglementaires.
Surtout avec l’existence de plusieurs domaines et de secteurs d’application de contrôle
interne.

27
1.2.2 Assurer la pérennisation de la démarche du contrôle interne et de
ses dispositifs dans le temps
Le contrôle interne assisté met à la disposition de l’auditeur une sélection de fonctionnalités
qui lui permet de sauvegarder et d’archiver l’ensemble de ces travaux réalisés au cours de sa
mission d’audit. Ces données sauvegardées peuvent être utilisées et exploitées dans la suite
des travaux de contrôle et la mise en place de plan d’action. Voire, elles peuvent servir pour
les futures missions de contrôles. En fait, aucun document de contrôle interne n’est détérioré
ou perdu. Aussi, l’auditeur à la possibilité de revoir l’historique et le développement des
indicateurs de risque et de maîtrise sur plusieurs périodes.

L’ensemble de ce système de solutions motive les acteurs de contrôle interne pour élargir et
assurer la continuité de la démarche de contrôle interne. Ce qui n’est pas le cas pour les PME
actuellement dans le cas d’un contrôle ne faisant pas appel à cet outil. Ces dernières ne
disposant pas des moyens humains et matériels pour assurer la pérennisation de contrôle
interne dans l’organisation.

1.2.3 Constituer une référence de base pour l’organisation

Les logiciels de contrôle interne peuvent constituer une référence de base soit pour le contrôle
interne soit pour la gestion de l’entreprise. Grâce à un ensemble de moyens de modélisation
graphique et logique des procédures qui permet au personnel de revoir les méthodes
appliquées pour la réalisation d’une activité donnée et la connaissance des dispositifs de
contrôle prévus pour les risques de l’organisation. En plus, la plupart de ces logiciels assistent
le management pour établir les tableaux de bord, les fiches de poste (suivi de l’écart profil-
compétence). Finalement, ils constituent un lieu de stockage de la plupart des documents
internes de l’entreprise (rapport de gestion, rapport financier, statuts, réglementation de
secteur, documents statistiques,…) puis il autorise leur liaison avec une activité ou une tâche
donnée.

28
1.3 Les logiciels du contrôle interne sur le marché
Le logiciel Principaux clients
VALDYS
=>Piloter et modéliser le
contrôle interne et
maîtriser les risques
opérationnels
Frontcontrol
=>Assurer la cohérence du
dispositif de contrôle
interne et les mécanismes
d’autoévaluation)
Enablon Internal Control
=> Une solution de gestion
et de pilotage de contrôle
interne considérée comme
l’une des solutions de
référence du marché.
Fonctionnalités
• Groupe Taitbout • Documentation et formalisation
• Mut’Est des processus et des risques
• Le cabinet de conseil • Formalisation du référentiel de
R & B Partner contrôle
• AXIEM • Croisement des points de
contrôle avec les processus
• Génération des tableaux de
contrôle et des documents
d’audit
• Traçabilité du contrôle interne
• Plan d’action et suivi des
résultats
• La poste • Cartographie du contrôle interne
• Groupama banque • Génération des formulaires de
• Macif contrôle
• Banque PSA Finance • Collecte d’informations
• Identification des plans d’action
et mise à jour de la cartographie
• Reporting
• Auchan • Evaluation des contrôles
• IONIS • Testing
• Reporting
• Capitalisation et partage des
travaux d’analyse
• Un référentiel centralisé
• Un module de gestion et de suivi
des opérations
Points forts
• Forte capacité de modélisation
• Souplesse d’utilisation
• Granularité très fine
• Conformité avec Solvency II et
exigences de l’ACAM
• Paramétrage selon le métier de
l’entreprise
• Conformité avec la loi
Sarbanes Oxley et la Loi de la
Sécurité Financière
• Aide à la rédaction du rapport
de contrôle
• Evolutif
• Conformité avec la loi
Sarbanes Oxley et la loi de la
sécurité financière
• Grilles d’évaluation
personnalisées aux profils des
entités
• facilité d’emploi, son
architecture
29
 • Tableaux de bords • sa gestion décentralisée et son
• Analyse croisée dynamique des multilinguisme
procédures

ISIMAN • Agence Française de • Rattachement contrôle et risque • Saisir les résultats des
=> créer un référentiel de Développement ou objectif contrôles en mode déconnecté
contrôle interne et le • AGIRC-ARRCO • Définition des contrôles de et ensuite de les importer en
déployer au sein de • Banque de Gestion niveau 1 et 2 une seule opération dans la
l’entreprise Edmond de • Orchestrer la distribution des base de données
Rothschild Monaco fiches de contrôle dans le temps • Conformité avec Bâle II,
(BGER) et dans l’organisation Solvency 2 et ACAM
• Groupe Crédit • permettre les contrôles de • Facilité d’utilisation et
Mutuel : Fédéral contrôles compatibilité avec Windows et
Finance • Formulaire des Lunix
• Groupe Malakoff recommandations et des actions
Médéric de suivi
• IRP Auto
PRO BTP

30
2 Avantages et limites du Contrôle Interne Assisté par
Ordinateur
2.1 L’apport de Contrôle Interne Assisté par Ordinateur

2.1.1 Accélération de la mise en œuvre du processus de contrôle

interne
Parmi les avantages principaux des logiciels de contrôle interne, le gain de temps énorme
dans la réalisation du processus d’audit et de pilotage des missions de contrôle.
Subséquemment, on assiste à une concurrence très motivée entre les différents éditeurs pour
proposer des produits de plus en plus efficaces et performants permettant d’économiser
toujours plus de temps de travail de management. En vérité, ces éditeurs ont vite compris que
le temps pour l’entreprise est une matière rare et couteuse. Plus le logiciel est facilement
exploitable et permet d’automatiser plus d’opérations manuelles plus l’utilisateur de logiciel
est satisfait. Alors, comment le Contrôle Interne Assisté par Ordinateur permet-il d’accélérer
le processus du Contrôle Interne ?

2.1.2 L’existence d’une base de référence dans le domaine d’activité de

l’entreprise

Concrètement, pour comprendre cet avantage, il faut remonter à la fonction d’assistance et

d’orientation de l’auditeur. Le Contrôle Interne Assisté par Ordinateur profite d’une base de
référence conforme aux normes et à la législation en vigueur liés à un secteur d’activité donné
(exemple : industrie nucléaire, assurance et mutualité, distribution, etc.) et qui remplace le
recours automatique à la documentation manuelle (ouvrages, documents internes, internet,
etc.).

En recourant à cette solution, un auditeur débutant ou expérimenté économise beaucoup de

temps de recherche et de réflexion pour adapter la mission de contrôle à la nature d’activité de
l’entreprise. La viabilité de cette attribution est ressentie surtout à la phase d’identification des
risques et de définition des points de contrôle.

31
2.1.3 La génération automatique des documents de contrôle
La génération automatique de certains documents de base pour la réalisation d’une mission de
contrôle interne est une fonction clé et une condition nécessaire pour les clients de ce type de
logiciel. Cette génération automatique des documents permet une sélection, un tri et une
extraction des données liées à un document concernant une étape spécifique de la démarche
d’audit interne. Tout de suite, l’application injecte ces données dans le document à générer en
évitant de cette manière d’effectuer des opérations de recherche et de calcul manuellement.
Ainsi, les développeurs ont établis de grands efforts pour automatiser la génération d’un
nombre considérable de documents d’audit, parmi lesquels je souligne :

• Fiches d’audit
• Cartographie des risques
• Tableaux de bord
• Plans d’action
• Tableaux de contrôle
• Rapport du contrôle interne
• Tests d’audit …

2.1.4 Le croisement des données

L’opération de croisement de données permet de détecter les écarts et les anomalies de la mise
en œuvre entre différents niveaux et étapes de contrôle laissant ainsi la possibilité à l’auditeur
de rectifier les erreurs de conception et d’estimation commises auparavant (exemple
croisement des points de contrôle avec les tâches de contrôle)

Cette fonction caractérise quelques logiciels des plus performants sur le marché. Le choix de
mettre cette option dans une application demande beaucoup de vigilance et d’effort au niveau
de programmation. Aussi, l’introduction de cette option nécessite de l’utilisateur une
précision particulière dans le choix et l’établissement de sa terminologie de contrôle interne
afin de surmonter le risque de confusion et de mauvaise interprétation par le programme
informatique.

2.1.5 Partage et capitalisation des données de contrôle interne

Aujourd’hui grâce aux réseaux informatiques, la communication des informations et des
données est devenue une opération simple et de routine pour le personnel d’une entreprise. Il

32
lui suffit juste d’une connaissance limitée pour pouvoir partager tous les données concernées
en quelques minutes.

Dans ce cadre, le Contrôle Interne Assisté par Ordinateur permet de répondre aux besoins des
auditeurs, de partager un ensemble de références et de données entre plusieurs services au sein
de la même structure ou bien entre un ensemble de sites situés à des endroits espacés. Les
logiciels existants sur le marché exploitent les réseaux informatiques internes de la firme pour
exécuter un ensemble d’opérations de communication électroniques évitant de cette façon le
déplacement, le risque de perte des documents papiers lors de leur envoi et le gaspillage de
temps nécessaire à leur transfert.

Parmi les avantages de partage des données entre différentes cellules dans la même structure
ou entre plusieurs structures :

• Actualisation des données instantanément pour tous les postes liés à la source
permettant ainsi d’empêcher les conflits liés au retard de transmission des informations
et de garder tous les auditeurs à jour
• Plusieurs utilisateurs peuvent travailler sur la même mission en même temps ou à des
moments différés à partir de plusieurs emplacements
• Possibilité aux auditeurs (selon les droits attribués) de porter des modifications sur la
base de données centrale et à porter son avis sur des modifications effectuées par
d’autres auditeurs

2.1.6 La cohérence du dispositif de contrôle interne

2.1.6.1 Cohérence par rapport aux référentiels

La complexité de la réglementation et la législation actuelle au niveau national, européen et

international impose aux auditeurs de respecter des référentiels strictement définis et en même
temps d’être en conformité avec un nombre de normes de pratiques d’audit interne.

L’ensemble des logiciels de contrôle interne est en conformité avec une ou plusieurs lois dans
le domaine, comme par exemple :

• Loi de la sécurité financière

• Loi Sarbanes Oxley

33
• Solvency II
• COSO
• Bale II
Ces logiciels proposent ou obligent l’utilisateur à respecter une norme ou une loi donnée en
limitant la marge de manœuvre de l’utilisateur ou en interdisant quelques modifications qui ne
sont pas en conformité avec les réglementations du secteur.

2.1.6.2 Cohérence par rapport à la démarche du contrôle interne

L’exécution d’une mission de contrôle interne est un enchaînement de phases (voir partie 1
point B: la démarche du contrôle interne) dont chaque phase correspond bien à un panel
d’opérations de contrôle. L’ordonnancement de ces phases obéit à une logique précise et en
aucun cas ces phases ne peuvent être réorganisées. Cette consigne est respectée à la lettre
parce que d’abord la démarche de contrôle interne est conduite par l’application informatique
selon un plan bien défini et les étapes sont effectuées et réalisées selon un enchaînement
préétabli.

2.1.6.3 Cohérence entre les utilisateurs du logiciel

La cohérence dans la conception des procédures, ainsi que dans l’analyse et les critères
l’évaluation doit être respectée par tous les auditeurs. On ne peut imaginer deux méthodes
d’évaluation distinctes pour un risque de même nature. Subséquemment, deux plans d’actions
ou deux tâches de contrôle en contradiction ne peuvent jamais être établis pour deux risques
identiques. Pour faire face à ce problème, le Contrôle Interne Assisté par Ordinateur permet
de mettre tous les utilisateurs sur la même onde. Ainsi, tout conflit ou contradiction est
détectable par le système et peut être signalé à l’instant même de sa manifestation.

2.1.7 Pertinence des mécanismes d’évaluation des risques

Le Contrôle Interne Assisté par Ordinateur procure une solution adéquate pour pouvoir
réaliser une évaluation de risque pertinente. Tout d’abord, le système demande de déterminer
une échelle de référence sur les critères et les méthodes d’évaluation des risques adoptée par
le management et le Conseil d’Administration. Cette base sera exploitée et respectée tout au
long de la démarche d’audit. A chaque fois que l’auditeur intègre des données liées à la
cotation d’un risque, l’ordinateur lance un message de rappel de cette base de référence ou
bloque l’entrée de certaines données incohérentes de cette base initiale. Aussi, elle contraint
l’utilisateur à respecter la démarche conçue pour l’évaluation même pour les risques qui

34
semblent non significatifs par rapport aux autres. En effet, cette option permet de détecter des
risques considérés acceptables mais qui s’avèrent après la phase de cotation très signifiants.

Exemple :

Un auditeur fait le choix de l’échelle de cotation suivant :

Détectabilité (D) de 1 à 5, Gravité (G) de 1 à 4 et Criticité (C) de 1 à 5

C = D*G*C

L’ordinateur ne reconnaît pas alors une évaluation de D=6, G=5 et C=3 est lance un message
d’erreur

Le calcul de la criticité est automatique seulement si on respecte les critères d’évaluation

choisis.

2.1.8 Aide à la rédaction du rapport de contrôle interne

A l’issue d’une mission de contrôle interne, les auditeurs établissent un rapport de contrôle
dans lequel ils présentent le travail de contrôle effectué à toutes les phases d’audit, leurs
constations et les recommandations à suivre dans les prochaines étapes.

La loi n°2003-706 du 1er août 2003 dite loi de Sécurité Financière impose au président du
Conseil d’Administration ou de Conseil de Surveillance de rendre compte, dans un rapport
joint au rapport de gestion annuel, des conditions de préparation et d’organisation des travaux
du conseil, ainsi que des procédures de contrôle interne mises en place par la société33 .
Initialement appliquée à toutes les sociétés anonymes, l’obligation d’établir ce rapport a été
ensuite limitée aux seules sociétés faisant appel public à l’épargne34.

Le rapport de contrôle interne permet à l’entreprise d’avoir une image réelle sur le degré de
maturité de ses contrôles et ainsi de traiter les risques associés. Les logiciels de contrôle
interne présentent un moyen efficace pour minimiser les coûts et le temps de réalisation du
rapport.

Ces logiciels permettent alors de :

• Collecter et trier toutes les informations nécessaires à l’établissement du rapport en se

référant à la base de données déjà existante.

33 Article 117 de la loi modifiant les articles L. 225-37 et L. 225-68 du code de commerce
34 Loi n°2005-842 du 26 juillet 2005 pour la confiance et la modernisation de l'économie (loi Breton)

35
• Donner le choix à l’utilisateur de faire figurer ou non un nombre d’éléments du rapport
selon l’importance de ces derniers pour les organismes de contrôle
• Automatiser les calculs et la mise en forme des résultats obtenus
• Permettre une mise à jour automatique du rapport après chaque modification
• Permet d’avoir une idée générale sur l’avancement du travail à chaque étape de réalisation
du rapport.

2.1.9 Pérennisation de la démarche d’audit

La mise en place d’un système de contrôle interne est une opération qui ne se limite pas à la
durée de la mission de contrôle mais elle continue tout au long de la vie de l’entreprise. En
effet, l’auditeur interne est amené à mettre à jour l’évaluation des risques continuellement, à
suivre l’application et la mise en œuvre des recommandations et à développer des activités de
maîtrise, etc. Le changement de l’environnement et la métamorphose des risques sont les
causes principales de cette mobilisation continue.

Dans ce cadre, la valeur ajoutée du Contrôle Interne Assistée par Ordinateur est de pouvoir
actualiser les données d’une manière automatique sans être obligé de refaire les même travaux
à chaque nouvelle mission d’audit et de historier les changements périodiques à l’aide du
logiciel. Par ailleurs, il donne la possibilité de suivre et d’observer les évolutions des risques
et des contrôles en temps réel. De cette façon, l’utilisateur peut modifier les caractéristiques
d’un risque ou d’un point de contrôle à chaque fois que la situation l’exige. Cette option
allège le travail de l’auditeur puisqu’elle permet de partager l’effort réalisé sur toute l’année et
évite ainsi une accumulation du travail sur une période particulière.

2.2 Les limites du Contrôle Interne Assisté par Ordinateur

2.2.1 Rigidité partielle

La fonction principale des logiciels de contrôle interne « assistance de l’auditeur dans sa
démarche de contrôle interne » entraîne un déséquilibre entre d’une part la volonté d’une
formalisation excessive des procédures des activités de l’entreprise et d’autre part l’utilisation
adaptée des techniques d’audit interne.

En effet, le développeur cherche à limiter la marge de manœuvre de l’utilisateur par le

blocage de centaines de fonctionnalités et l’interdiction d’accès à d’autres, afin de le
contraindre à rester en conformité avec les lois et les normes en vigueur. En conséquence, les

36
utilisateurs ont tendance à renoncer à un nombre de constatations ou d’observations dans la
mesure où ils n’arrivent pas à les introduire dans le système informatique.

Ainsi, les utilisateurs seront obligés de respecter la méthode d’audit proposée par le système
et d’abandonner toute démarche appropriée à l’auditeur ou déjà utilisée par l’entreprise dans
les missions précédentes.

2.2.2 Maîtrise limité des fonctionnalités du logiciel

Pour bénéficier de toutes les fonctionnalités d’une application de contrôle interne, l’utilisateur
doit avoir des compétences avancées en informatique et une bonne compréhension de
l’architecture du logiciel. Cette qualité lui autorise une exploitation maximale des outils que
procurent le logiciel et une optimisation des résultats recherchés.

Ces connaissances ne se limitent pas seulement à l’application de contrôle interne mais doit
porter aussi sur d’autres outils comme les outils bureautiques, la gestion des bases de données
et l’architecture des réseaux informatiques. En fait, la plupart des logiciels de contrôle interne
font appel à d’autres ressources externes pour alimenter et réaliser des opérations de calcul
(exemple : Word pour génération des documents, Excel pour les calculs complexes et les
graphiques, Access ou MySQL pour la gestion des bases de données, Internet explorer pour la
lecture des pages HTML).

Afin de surmonter cet obstacle, les éditeurs de logiciels proposent des modules de formation
pour leurs logiciels et une assistance à distance pendant la durée de l’utilisation des contrats.
Dans le même but, ils incluent dans leurs applications des outils d’aide et des exercices
pratiques pour améliorer et répondre aux questions des utilisateurs.

2.2.3 Les erreurs informatiques

A l’instar des autres applications, les logiciels de contrôle interne présentent quelques points
de défaillance qui peuvent nuire à l’utilisateur et l’empêcher de réaliser quelques opérations
d’entrée de données, de traitement ou de génération de documents. Ces problèmes sont
généralement dus à des erreurs de programmation ou de conception. Parmi les erreurs les
plus courantes :

• Erreurs d’incompatibilité avec d’autres logiciels ou systèmes d’exploitation

• Les bugs qui résultent souvent des erreurs de programmation comme les erreurs dans
une formule de calcul ou des messages non compréhensibles.

37
 • Erreurs d’installation de l’application sur un poste informatique et erreurs de
paramétrage
• Erreurs dans la définition des droits d’accès et de modification
• Non respect de certaines normes de sécurité de réseau
La grande partie de ses problèmes est expliquée par la nouveauté de ces logiciels sur le
marché. Ainsi, les développeurs sont toujours en veille pour corriger ces défauts
informatiques par des mises à jour régulières dans le cadre de développement de logiciel ou
suite à une signalisation d’utilisateur. Néanmoins, les anciennes solutions sur le marché
bénéficient toujours d’un pas d’avance par rapport aux autres grâce à une expérience
accumulée dans ce domaine.

2.2.4 Dépendance
Le recours au Contrôle Interne Assisté par Ordinateur ne remplace jamais l’esprit analytique
et critique de l’auditeur ainsi que sa rationalité dans l’évaluation des risques. Il fait appel
aussi à sa capacité créative et à son instinct d’auditeur. Cependant, l’utilisation continue et
permanente de cet outil peut stimuler une dépendance relative à cet outil et entraîner alors une
influence notable sur les choix et les analyses de l’auditeur.

En plus, l’existence d’une base de données initiale liée à la nature de l’activité de l’entreprise
implique une tendance de l’utilisateur à adopter des solutions prêtes au lieu de faire l’effort
d’une analyse structurée. Pourtant, les solutions préexistantes dans la base de données ne
s’appliquent pas toujours à l’organisation auditée.

2.2.5 Gestion de temps irrationnelle

Le Contrôle Interne Assisté par Ordinateur demande beaucoup d’investissement en matière de
temps. Les premiers mois sont les plus dures, et l’utilisateur à l’impression que le travail
avance très lentement. Cela n’a rien d’étonnant, c’est tout-à-fait normal que dans les premiers
mois on démarre très lentement puisque c’est la période de formation et de découverte du
logiciel. L’utilisateur rencontre alors un grand nombre de blocages techniques et
d’incompréhensions surtout au niveau de la logique de modélisation graphique.

En réalité, ce sont les premiers mois seulement qui consomment beaucoup de temps parce que
c’est une période d’adaptation et de conception. Après cette phase, l’accélération des
procédures de mise en place est remarquable, les phases d’analyse des risques, de
développement des activités de contrôle et le suivi des plans d’action prennent moins de

38
temps. L’évolution de la mise en place du Contrôle Interne Assisté par Ordinateur dans l’axe
temps suit une courbe exponentielle.

Avancement
de mise en
place de CI

Phase 3

Phase 2

Phase 1

Temps

Graphe représentant l’évolution de la mise en place de CIAO en fonction du temps

2.3 Les clés de réussite d’un projet de Contrôle Interne Assisté par Ordinateur
La réussite de l’introduction du Contrôle Interne Assisté par Ordinateur dans une
organisation passe d’abord par un ensemble de dispositions et de pré-requis :

• Une organisation comportant une définition claire des rôles, disposant des moyens
nécessaires et des compétences adéquates et s’appuyant sur des systèmes d’information
efficaces, sur des procédures ou modes opératoires, des instruments et des dispositifs
adaptés.
• Une communication interne pertinente, fiable et efficace qui permet à chacun d’exercer
ses responsabilités sans confusion ni désordre.
• L’existence d’un système permettant de recenser, d’évaluer et d’analyser les principaux
risques identifiables, de réaliser les objectifs de l’organisme et de s’assurer de l’existence
des procédures de maîtrise de ces risques.
• L’existence des activités de contrôle proportionnées aux risques liés à chaque processus,
et conçues pour s’assurer que les mesures nécessaires soient prises en vue de maîtriser les
risques susceptibles d’affecter la réalisation des objectifs.
• Une surveillance permanente portant sur le dispositif de contrôle interne ainsi qu’un
examen régulier de son fonctionnement.

39
3 Etude de cas logiciel Valdys
3.1 Présentation du logiciel

3.1.1 Fonctions majeurs et apport du logiciel

Désormais, les sociétés d’assurances et les mutuelles (compagnie, mutuelle ou institution de
prévoyance) sont soumises à une réglementation stricte qui leurs impose des connaissances
particulières en contrôle interne et une maîtrise totale des risques opérationnels y compris les
risques financiers. En effet, le second pilier de la directive Solvabilité 2 oblige les entreprises
du secteur des assurances à mettre en œuvre des actions de contrôle interne et de management
des risques qui nécessitent le recours à une méthodologie structurée et à des savoirs-faires
innovants en contrôle interne.

Dans ce cadre, Effisoft (éditeur de solutions informatiques de gestion) a développé

l’application Valdys : outil structurant permettant de piloter et de modéliser le contrôle
interne. Il apporte une connaissance exhaustive et une maîtrise totale des risques
opérationnels liés à la société relevant du contrôle de l’ACAM.35

Valdys permet d’une part de mettre en œuvre le référentiel de contrôle interne en décrivant et
en formalisant les processus et les risques au sein d’une démarche structurante intégrant les
spécificités des métiers de l’assurance (IARD, santé, prévoyance, retraite, …). Aussi, il
intègre la fonction d’évaluation des risques, d’identification des points de contrôle et de leurs
croisements avec les processus de l’entreprise. Il permet de générer les tableaux de contrôle
interne et les documents d’audit (fiches de contrôles, fiches de tests, plannings d’audit,
tableaux de synthèse) ainsi que tous les livrables réclamés dans le cadre du contrôle
permanent de l’ACAM.

D’autre part, il permet de diffuser le référentiel de contrôle interne et la déclinaison

opérationnelle des points de contrôle en générant automatiquement sous forme de documents
électroniques, documents papiers ou pages web intranet, les processus, les procédures,
l’analyse des risques et les plans d’action et de suivi pour faciliter la diffusion des
informations à tous les acteurs concernés.

Les fonctionnalités de cet outil sont en général les objectifs concernant le Contrôle Assisté
par Ordinateur à savoir :

• La réduction du temps de mise en place d’un système de contrôle interne

35 http://www.valdys.com/Pages/Solutions/Solutions.aspx?Action=Valdys

40
 • La sauvegarde et l’archivage des résultats obtenus à un moment donné dans l’objectif
de la traçabilité de la démarche
• La génération automatique d’un ensemble de documents d’audit et du rapport de
contrôle interne
• La conformité aux contraintes liées à Solvabilité 2
• L’économie de ressources matérielles et humaines
• L’assistance en ligne et l’accompagnement technique et professionnel

3.1.2 Caractéristiques techniques

Valdys est une solution qui n’est pas très exigeante en performance matérielle des ordinateurs
ou des serveurs de réseau. Cette caractéristique renforce son apport en tant que solution
économique pour l’entreprise. De ce fait, les clients ne sont pas amenés à avoir des
équipements de haute performance pour le mettre en route.

Selon les besoins, Valdys peut être installé en client lourd ou léger. Autre avantage, sa
compatibilité avec toutes les bases de données du marché (Access, MYSQL,…).

La configuration requise est la suivante :

• Espace disque nécessaire : 50Mo

• Mémoire : 1Go
• Processeur : Pentium III ou supérieur
• OS : Windows, Windows NT4 SP6, Windows 2000 SP3, Windows XP
• IE 5.1 ou supérieur

En revanche, certaines défaillances de ce logiciel ont été soulevées :

• L’installation du logiciel nécessite des connaissances informatiques très avancées. Ces

difficultés sont surtout dues à des mesures très strictes contre le piratage du logiciel.
• Nombre considérable d’erreurs et de bugs informatiques
• Incompatibilité avec la dernière version de Windows (Vista) et la dernière version
Office 2007, pour contourner ce problème l’éditeur propose pour ces clients dotés de
ce type de système d’exploitation ,des mises à jour.
• L’édition du rapport de contrôle interne demande encore des efforts considérables de
l’utilisateur pour l’adapter aux exigences de l’ACAM.

41
3.2 L’architecture de Valdys

3.2.1 Présentation de l’arborescence de Valdys

Globalement, le logiciel est conçu sous forme d’une arborescence constituée de plusieurs
niveaux. Chaque niveau présente un angle de vue particulier sur le système de contrôle interne
paramétrable selon la phase de contrôle à réaliser. Les informations générées lors de
l’utilisation de Valdys sont enregistrées dans une base de modélisation représentée par un ou
plusieurs fichiers.

Bas de données CI

Projet 1 Point de vue 1 Modèle 1

Projet 2 Point de vue 2 Modèle 2

Projet 3 Point de vue 3 Modèle 3

Modèle 4
Projet 4 Point de vue 4

Schéma de l’architecture globale de la base de données

3.2.2 Le projet, le point de vue et le modèle

3.2.2.1 Le projet

Le premier niveau de structuration de la base de modélisation est le Projet. Il est possible de

modéliser différents projets au sein d’une même base. Un projet est un ensemble homogène
de points de vue et qui vise à réaliser les objectifs définis de contrôle interne. C’est le niveau
le plut haut des niveaux de conception d’une base de contrôle interne. Il est composé d’un ou

42
plusieurs points de vue jugés pertinents pour la structuration du référentiel de contrôle
interne36. Il est possible de modéliser différents projets au sein d’une même base.

Exemple de projet: « Création de base de contrôle interne pour une mutuelle ».

3.2.2.2 Le Point de Vue

Ensemble de modèles identiques ou différents s’inscrivant dans un projet et décrivant un
éclairage particulier sur l’objet de la modélisation. Exemples : processus de pilotage,
processus cœur de métier, etc.37

Les Points de Vue permettent d’exprimer différentes dimensions complémentaires :

o Complémentarité dans le temps (un point de vue actuel, un point de vue cible)
o Complémentarité dans l’organisation (un point de vue interne, un point de vue
externe)
o Complémentarité dans l’espace (un point de vue central, un point de vue local)

Un Point de Vue s’exprime à travers un ou plusieurs Modèles.

3.2.2.3 Le Modèle

Ensemble de cadres, de règles de construction et d’outils d’édition offrant une représentation

structurée38.Chaque modèle relève d’un type de modèle qui précise les concepts manipulables
dans celui-ci. Par exemple, un modèle de type Arbre des Missions permet de manipuler le
concept de mission et les liens permettent de structurer une décomposition de missions en
sous missions, sous-sous-mission, etc.

D’une manière générale, un Modèle est un graphe composé de nœuds et de liens, qui
représentent des concepts manipulables. Ces nœuds et liens manipulés par les différents
éditeurs de modèles sont donc les représentants graphiques des concepts qui sont stockés dans
le Dictionnaire d’éléments. Ce dernier est propre à un Projet et il est partagé par tous les
Points de Vue et Modèles d’un seul et même Projet.

36 Annexe 1 « Lexique Valdys »

37 Annexe 1 « Lexique Valdys »
38 Annexe 1 « Lexique Valdys »

43
3.3 Le projet de Contrôle Interne selon Valdys

3.3.1 Identification/Formalisation des processus

La première étape dans la réalisation du projet de mise en place du contrôle interne est de
décliner les missions et les objectifs de l’organisme afin d’identifier les processus clés de
celui-ci ainsi que les moyens mis en œuvre pour en garantir leur bon fonctionnement. Il y a
trois niveaux de conception des processus de l’organisation.

3.3.1.1 Le Macro-processus 39

C’est la vision globale du métier de l’entreprise avec une décomposition homogène et

cohérente selon ces différentes missions. La décomposition de l’activité de l’entreprise
proposée par Valdys concerne 3 grandes catégories (mission Pilotage, mission Cœur de
métier et mission Support, selon normes ISO 9000)

• Les processus de direction ou de pilotage : ils retracent la manière avec laquelle la

direction de l’entreprise pratique sa politique de pilotage et de gouvernance.
• Les processus de réalisation ou processus métier : ces processus traitent le
fonctionnement de réalisation d’un produit ou d’un service en décortiquant
l’enchainement des activités opérationnelles en plusieurs phases.
• Les processus support : ils permettent de représenter les moyens nécessaires à la mise en
œuvre des processus métiers.

3.3.1.2 Le Diagramme de Phase 40

C’est la représentation graphique d’un ensemble d’activités dans le cadre de la même mission
de contrôle. La phase symbolise une période durant laquelle se déroule un ensemble
d’activités au travers d’un découpage temporel. Les liaisons entre les différents diagrammes
de phases sont sous formes de connecteurs d’entrée ou connecteurs de sortie.

39
Voir annexe (2)
40
Voir annexe (4)

44
3.3.1.3 Le Logigramme 41

Le troisième niveau de vision des procédures est le Logigramme « Schéma représentant un

processus mis en œuvre pour assurer une mission42 ».

A ce stade, un auditeur peut avoir une représentation synthétique d’une activité en modélisant
des tâches et les liants avec des flux horizontaux ou verticaux. Grâce à ce schéma, la réponse
à la question « qui fait quoi ? » est complète. Le Logigramme décrit de point de vue
opérationnel une activité à travers les pratiques des métiers de l’entreprise (une procédure au
sens ISO 9000). La description des Logigrammes permet donc de formaliser les pratiques
opérationnelles existantes et permet éventuellement d’optimiser le système d’information et /
le système de production de l’entreprise sur un périmètre donné.

Schéma représentant un processus mis en œuvre pour assurer une mission43

Macroprocessus

Digramme de phase

Logigramme

3.3.2 Identification et évaluation des risques

3.3.2.1 Catégories de risques

Après la définition et la modélisation des procédures, l’auditeur entame la phase

d’identification et d’évaluation des risques. D’abord, il faut partager les risques en risques
exogènes et risques endogènes :

41
Voir annaex (4)
42 Voir annexe (1)
43
Voir annexe (1)

45
 • Les risques exogènes sont des risques d’origine externe à l’entreprise (exemple : les
catastrophes naturelles, coupures de courant, etc.).
• Les risques endogènes se sont les risques liés à des facteurs déclenchés au sein de
l’entreprise (fraude interne, erreur de saisie, mauvaise interprétation d’un texte de loi par
le personnel, etc.).

La première catégorie de risque est modélisée avec des « Arbres des familles de risque»44
pendant que la deuxième catégorie est modélisée sous forme « d’Arbre de risque ». La
représentation graphique de ces arbres met en évidence la relation entre les missions et les
objectifs ainsi que les risques liés à chaque objectif (événement indésirable ou classe
d’événements indésirables).

L’établissement et l’analyse de procédure est une étape préparatoire à l’identification et

l’évaluation des risques. La logique de Valdys permet de déduire les risques en analysant les
objectifs à réaliser et les contraintes réglementaires à respecter. Ces risques en général se
produisent dans le cadre de la réalisation des activités de l’entreprise. Ainsi, la modélisation
des risques sous l’appellation « arbre de risque » est la suivante :

Objectif Evénement Point de contrôle

indésirable
Mission (Risque) ou
classe Action corrective
d’événements
Contrainte indésirables Action préventive

3.3.2.2 Evaluation des risques

L’évaluation des risques est une phase critique dans la démarche de contrôle interne. Tout
effort réalisé par un auditeur est fondé sur une analyse fiable et rationnelle des risques. Dans
le cas inverse, toute la mission d’audit et les objectifs liés peuvent être condamnés à l’échec.

44
Voir annexe (5)

46
Conscient de l’importance stratégique de cette phase, Valdys accorde beaucoup de moyens et
de ressources pour l’évaluation des risques. D’abord, pour évaluer la criticité d’un risque
Valdys intègre 3 facteurs dans la fonction de calcul :

• Fréquence F (de 1 à 5)
• Détectabilité D (de 1 à 5)
• Gravité G (de1 à 5)

La formule de calcul de la criticité est : Criticité = Fréquence* Détectabilité*Gravité

La criticité est ainsi comprise entre 1 et 100.

Dans certains cas l’auditeur est amené à prendre en considération le poids significatif d’un des
facteurs précédents. Pour faire, Valdys permet de changer la formule de calcul par une autre
comme par exemple (C=F*G², F*G, G^4*F²*D).

Puis, Valdys permet aussi de détailler l’évaluation de la Gravité en la décomposant en

plusieurs impacts de différentes natures (impact financier, impact client, impact image, impact
fournisseur, …).

Enfin, le logiciel permet de générer des cartographies de risque. Une fois les risques cotés, il
est possible de générer la cartographie de risques représentant graphiquement les risques et
45
leur importance. Pour cela, tous les risques de l’Arbre des risques n’ont pas besoin d’être
forcément cotés. Il est possible de générer une cartographie des risques pour un seul arbre des
risques à la fois ou pour tous les arbres présents dans le modèle « Arbre des risques » ou
pour tous les arbres de risques d’un projet

3.3.3 Identification des éléments de contrôle et croisement avec les

tâches ou activités de contrôle

Pour chaque risque majeur ou mineur, Valdys permet d’identifier un ou plusieurs éléments de
maîtrise :

• Action corrective
• Action préventive

45
Annexe (3)

47
 • Point de contrôle

A chaque élément de maîtrise doit correspondre une tâche de contrôle présent au niveau des
Logigrammes. Cette opération de liaison entre les points et les tâches de contrôle est appelée
processus de croisement des risques. Une génération par la suite des tableaux de contrôle
nous permettra de détecter les défaillances du système de contrôle interne dans l’entreprise
(les risques auxquels ne corresponde aucune tâche de contrôle).

3.3.4 Suivi et amélioration

Valdys permet de planifier et de mettre en place des plans d’action et de contrôle, de réaliser
des évaluations de contrôle et de suivre des recommandations. Dans ce cadre, il dispose de
plusieurs outils et moyens :

• La Fiche de contrôle : elle décrit de quelle manière les risques sont pris en compte au
niveau des processus (mode opératoire, responsable, fréquence du contrôle, etc.) dans
le but de maîtriser les risques du métier.

• Le Tableau de contrôle : il permet de synthétiser le rapprochement entre les risques,

les points de contrôle et les processus; et ceci, afin d’identifier les écarts.

• Le Tableau de bord : il permet de synthétiser l’avancement des audits et des résultats

obtenus; et ceci, par période, type de risque, date, etc.

• Le Planning des actions : il permet de visualiser les actions correctives et préventives

puis d’organiser leur suivi.

• L’Echéancier d’évaluation : il indique, pour une période donnée, la liste des audits à
mener et la charge de travail correspondante dans le but de planifier efficacement les
évaluations.

3.4 Les documents générés en interne par Valdys

3.4.1 Le rapport du contrôle interne

Le rapport du contrôle interne récapitule l’ensemble des informations intégrées dans Valdys
en les organisant d’une manière cohérente et homogène. Le rapport de contrôle interne est
notamment destiné aux autorités de tutelle telles que l’ACAM – Autorité de Contrôle des
Assurances et des Mutuelles.

48
Dans ce cadre, Valdys permet de générer un rapport de contrôle interne sous forme d’un
fichier au format Word. Le script utilise toute la base de données disponible et les
informations enregistrées par l’auditeur pour générer un rapport de contrôle interne. La
structure finale du rapport de contrôle interne est modifiable selon les besoins de l’utilisateur.
Ainsi, l’auditeur décide de mettre ou non un certain nombre de renseignements dans le
rapport de contrôle selon leur degré d’importance et d’utilité.

Néanmoins, la performance du logiciel dans la génération du rapport reste limitée.

Effectivement, l’utilisateur doit intégrer lui-même un nombre d’informations qui alimentera la
base Valdys (exemple : informations sur l’organisation du Conseil d’Administration) et
effectuer les modifications finales pour mettre en conformité le rapport avec les exigences de
l’ACAM. L’utilisateur est confronté alors à des mesures restrictives établies par l’éditeur du
logiciel dans le cadre d’encadrer la mission d’audit. Cela engendre beaucoup de difficultés
pour changer ou modifier des éléments du rapport comme le contenu des tableaux ou des
graphes. Un autre inconvénient, le logiciel ne présente qu’un seul choix concernant la
structure de rapport ; en conséquence l’utilisateur ne peut pas modifier l’architecture du
rapport. Dans ce cas, il est invité à fournir un effort considérable pour changer la structure du
rapport par défaut. De plus, on note l’absence d’une génération automatique d’une note de
synthèse sur l’état et l’aboutissement du travail de contrôle effectué par l’auditeur.

3.4.2 La génération des pages HTML 46

La génération d’un site web est une fonctionnalité très utile pour la diffusion et le partage
d’information entre le personnel. Tout le travail réaliser de la modélisation des procédures
jusqu’à la génération du rapport est intégralement consultable. Ce site web généré peut être
consulté et intégré dans l’intranet de l’entreprise ou dans un réseau extranet. Les utilisateurs
ayant les droits d’administrateur ont l’option d’interdire et de sécuriser l’accès à des éléments
confidentiels.

46
Voir annexe (8)

49
 Conclusion

Le Contrôle Interne Assisté par Ordinateur est une option portant une grande valeur ajoutée
pour les entreprises et les cabinets d’audit afin d’assister et d’accélérer le processus de mise
en œuvre de la démarche de contrôle interne.

Les trois axes de ce mémoire démontrent le rôle important du Contrôle Interne Assisté par
Ordinateur à la gestion de l’organisation et au processus de maîtrise des risques. Accélération
de processus, économie des dépenses liées aux opérations de contrôle, cohérence de démarche
entre auditeurs, en effet la valeur ajoutée de cet outil est de plus en plus remarquable.

Cependant, il ne faut pas ignorer l’importance des défaillances constatées et déduites lors de
notre analyse du concept et surtout dans notre étude de cas surtout concernant les dimensions
techniques et la maîtrise des outils de logiciels. Par ailleurs, il est très tôt de porter un
jugement négatif à cause des inconvénients déjà relevés. Notamment parce que notre analyse
a porté sur un seul logiciel (Valdys) et aussi en se référant à d’autres ressources
documentaires. Pour généraliser notre étude, il faut impliquer dans l’analyse d’autres logiciels
et d’autres utilisateurs. Cette analyse doit faire l’objet de tests pratiques et techniques réalisés
par les acteurs et les experts du contrôle interne et les éditeurs et concepteurs de ces solutions
de gestion. Un effort conjugué entre toutes ces parties peuvent contribuer au développement
et à l’amélioration du Contrôle Interne Assisté Par Ordinateur.

Finalement, on peut dire qu’à l’instar de toutes les solutions informatiques proposées aux
entreprises, le Contrôle Interne Assisté par Ordinateur connaît un développement rapide et
soutenu du nombre de ces clients grâce à un meilleur rapport coût/efficacité et devient ainsi
un concurrent redoutable pour les cabinets d’audit.

50
Bibliographie :
• Frédéric Bernard, Rémi Gayraud et Laurent Rousseau, « Contrôle interne », Ed.MAXIMA,
Paris, 2006, p 303
• Norme CNCC 2-301, évaluation du risque et de contrôle interne », para 08, Référentiel
normatif CNCC,2003
• Coopers & Lybrand, « La nouvelle pratique du contrôle interne », Edition d’organisation,
Paris, 1994, p 378
• Kamal ABOU EL JAOUAD, « Les enjeux du contrôle interne » Université Clermont
• Benoît Pigé « Audit et contrôle interne », Ed EMS, Paris, 2001, p210
• Alain-Gérard Cohen, « Contrôle interne et audit publics », ed LGDJ, PARIS, 2005, p 183
• Dictionnaire encyclopédique universel. Edition Précis1998. P1383
• Ernst&Young. « Elaborer une cartographie des risques opérationnels, dans le cadre des
exigences de la future directive Solvency II »
• Hugues Angot, Christian Fischer, Baudouin Theunissen. « Audit comptable, Audit
informatique ». Edition: 3 De Boeck Université, 2004. p 304
• Seán Cleary, Thierry Malleret Collaborateur Klaus Schwab, « Risques: Perception,
Evaluation, Gestion ». Editions Maxima. 2006. 253 pages
• Étienne Barbier. « MIEUX PILOTER ET MIEUX UTILISER L'AUDIT ». Editions Maxima,
1998. p 124
• Dictionnaire encyclopédique universel. Edition Précis1998. P1383

Webographie :

• http://www.efront.com/fr/Logiciel_Controle_Interne.asp
• http://enablon.com/produits/gestion-des-risques/controle-permanent.aspx
• http://www.keyword.fr/sitekeyw/html_val/ru$44___.htm?gclid=CLK0jd6c65kCFQiF3godMi
uuQQ
• http://fr.wiktionary.org/wiki/contr%C3%B4le
• http://www.bumko.gov.tr/KONTROL_EN/Images/kontrol/coso.jpg
• http://www.french-american.org/files/cr-francais-diner-ifafaf.pdf)
• http://www.amf-france.org/documents/general/4746_1.pdf
• http://www.knowllence.com/fr/publications/management_processus.pdf
• http://www.ordinal.fr/html/glossaire.htm
• http://fr.wikipedia.org/
• http://fr.thefreedictionary.com/assister
• http://www.valdys.com/Pages/Solutions/Solutions.aspx?Action=Valdys

51
Annexes

52
1 Annexe (1) : Lexique Valdys

53
54
2 Annexe (2) : le Macro-processus

55
3 Annexe (3) : Arbre des risques

56
4 Annexe (4) : Diagramme de Phase et Logigramme

57
5 Annexe (5) : Arbre des familles de risque

58
6 Annexe (6) : Le modèle nomenclature et le modèle
diagramme de structure

59
7 Annexe (7) : Le modèle arbre des rôles/compétences et
la cartographie des risques

60
8 Annexe (8) : Les pages Html

61