Les directions d’entreprise ont réalisé de gros efforts dans le domaine de l’analyse des risques et dans la définition des compétences de tous les acteurs pour l’élaboration de ce processus. Mais à côté de cet engagement, le contrôle interne de la comptabilité s’impose de plus en plus dans toutes les entreprises.
Pour certaines sociétés, il s’agit d’une obligation légale, pour d’autres la mise en place d’un SCI (Système de Contrôle interne) révèle une démarche volontaire, de bon sens. Le contrôle interne comptable et financier est devenu nécessaire pour booster la performance des entreprises et la qualité des prestations qu’elles fournissent.
Elles sont dorénavant obligées de bien réguler l’aspect comptable et financier, de documenter les procédures et de maîtriser les risques afin de garantir un niveau de gestion irréprochable notamment en matière de comptabilité et de finance.
Un pan de l’histoire du contrôle interne comptable
Le contrôle interne a fait ses débuts dans les années 60, notamment dans les entreprises du secteur privé, dans le but de garantir la protection du patrimoine et de booster la performance de ces firmes. Les Etats-Unis et l’Europe ont connu de nombreux scandales financiers, ce qui a poussé les établissements et les administrations étatiques à se munir de cadres qui vont les assister dans le contrôle des dépenses.
Objectifs et indicateurs pour la qualité de la comptabilité
La qualité comptable vise à refléter une image fidèle et sincère de la comptabilité : outre le fait qu’elle constitue un élément important dans la prise de décision, elle permet aussi d’instaurer un climat de confiance envers tous les partenaires internes et externes à l’entreprise.
Les critères de la qualité comptable peuvent être résumés comme suit:
- La sincérité dans l’application des normes et des règles pour refléter le plus fidèlement possible la réalité des éléments comptabilisés;
- L’exactitude des enregistrements des opérations comptables portant sur les actifs et les passifs;
- L’exhaustivité des écritures comptables, précisant l’ensemble des droits et des obligations;
- L’imputation des différentes opérations aux bons comptes;
- Le rattachement des opérations aux bons exercices comptables.
Le contrôle interne comptable sert à assurer la qualité comptable. Cette dernière peut découler des missions de chaque établissement en se basant sur des données brutes représentant la situation financière et le patrimoine de l’entité.
Ainsi dans le cadre d’un hôpital, il est possible de choisir comme indicateur la capacité de financement de l’établissement permettant de garder le taux de vétusté des équipements et matériels au plus bas. Alors que la performance économique peut se baser sur le coût hors personnel d’une journée d’hospitalisation.
Comment gérer le risque comptable?
La démarche à suivre pour gérer le risque comptable se déroule à travers trois étapes:
- Déterminer les risques potentiels pouvant menacer la réalisation des objectifs fixés;
- Evaluer les possibilités d’occurrence des différents risques et leur impact sur l’établissement;
- Mettre en place les mesures nécessaires pour traiter définitivement les risques ou à la rigueur les maintenir dans des limites acceptables.
A travers le contrôle interne comptable, il est possible de mettre en place une cartographie des risques permettant de les déterminer avec exactitude ainsi qu’une échelle de maturité qui garantit leur gestion de façon efficace.
Les risques qui dépassent les limites du contrôle interne sont traités à travers des actions rectificatives assurant l’adaptabilité de l’organisation. L’identification des risques par le biais du contrôle comptable tient compte des spécificités et des problématiques de chaque établissement. Il peut s’agir de particularités géographiques ou liées aux compétences entre autres.
Ce processus s’inscrit dans la progressivité et la continuité et nécessite l’implication du personnel encadrant mais aussi des services opérationnels. En vue d’avoir une évaluation précise des risques, il faut la collaboration du comptable et de l’ordonnateur pour mieux maîtriser les risques. Il importe d’identifier les autres parties qui prennent part ou qui sont incluses dans le contrôle interne, qu’ils soient des acteurs du secteur privé, des associations ou des institutionnels.
Quels outils pour identifier les risques comptables?
L’un des outils les plus utilisés pour l’identification des risques est la cartographie. Il est possible aussi de recourir aux rapports des auditeurs et aux recommandations des certificateurs. Il ne faut pas négliger les contrôles effectués au niveau des différents départements ou encore les échelles de maturité.
Il convient de préciser les différents acteurs concernés et identifier les processus soit les activités permettent la transformation d’un input en output. Il convient de tenir compte des objectifs stratégiques de l’entité et des contraintes réglementaires. De ce fait, on peut déjà citer quelques exemples de risques liés aux:
- Parties prenantes et process à l’instar du risque de non-paiement ou des problèmes soulevés suite à un risque informatique;
- Objectifs des collectivités comme dans le cas de la réalisation de mission de service public ou la satisfaction de l’intérêt général;
- Contraintes réglementaires notamment pour le respect des recommandations provenant de la cour des comptes ou des réviseurs aux comptes.
Référentiel de processus
Comme il a été indiqué plus haut, le risque est lié au processus et aux objectifs et de ce fait, pour assurer une gestion efficace des risques, il convient de mettre en place un référentiel de processus. Cette tâche revient à la direction générale ou au département en charge du contrôle interne.
La priorité est accordée aux activités critiques ou sensibles. Chaque processus peut être relié à un ou plusieurs risques qu’il faut hiérarchiser ou classer en fonction de leur typologie, soit les risques opérationnels, juridiques, financiers, humains, sociétaux, parmi d’autres. Evidemment, il faut penser à l’actualisation et à la mise à jour régulière du référentiel de processus.
Afin de mettre en application le processus référentiel, il convient de définir les processus en premier. Il s’agit en fait de l’enchaînement de procédures initiées par les mêmes acteurs et régies par un cadre juridique bien défini. Ces procédures enclenchent l’usage de comptes homogènes en exploitant un système d’information cohérent.
La mise en place du référentiel implique la prise en compte des cycles de l’organisation ainsi que les opérations liées aux processus. Dès lors, on distingue entre différents champs comptables qui sont utilisés notamment la budgétisation, la comptabilité générale ou encore le champ régi.
Un processus se décline en plusieurs procédures, ainsi les processus gestion RH sont reliés aux procédures, contrats, plans de carrière et à la cartographie. De ces procédures découlent des tâches et des actions à l’instar du plan de formation, de la gestion des emplois, etc.
Lecture dans la cartographie des risques comptables
Grâce à la cartographie des risques, il serait possible de déterminer les éléments et événements susceptibles d’entraver la réalisation des objectifs de l’entité notamment en termes de qualité comptable et financière. C’est aussi un outil efficace qui permet d’avoir une vision d’ensemble des processus et des risques qui leur sont associés, et qui permet de connaître leur degré de gravité : faible, moyen ou fort. Elle permet d’établir les priorités des risques liés aux processus afin de les traiter en suivant des mesures particulières. Dès lors, elle génère systématiquement le degré de gravité et la fréquence d’occurrence des risques détectés.
Une analyse des risques s’impose en prenant en considération un ensemble de critères à savoir la probabilité de survenance et la fréquence des risques, leur impact au niveau financier, humain et juridique, leur périodicité, leurs caractéristiques distinctives et l’aptitude de l’entité à les traiter grâce aux mesures et dispositifs prévus à cet effet dans le cadre du contrôle interne.
Classement des risques comptables selon leur levier de contrôle
Le contrôle interne possède des leviers lui permettant la maîtrise des procédures, notamment celles relatives à l’organisation, la documentation et la traçabilité.
Ces leviers représentent des catégories dans lesquelles il est possible de classer les risques selon les outils et les démarches susceptibles de les maîtriser.
Pour ce qui est du levier de l’organisation, sa division peut se faire en trois types de facteurs à savoir:
- L’absence ou la mauvaise attribution des tâches;
- L’absence, l’insuffisance ou la non-pertinence des points de contrôle établis;
- Le manque de sécurité nécessaire à la conservation et la sauvegarde des actifs.
En ce qui concerne le levier de documentation, il peut être segmenté en deux types de facteurs soit:
- Une documentation absente ou insuffisante, doublée d’un manque de formalisation des tâches et des procédures;
- Une formation manquante ou insuffisante des intervenants ou des acteurs.
A propos du dernier levier de la traçabilité, il est possible de le diviser en deux facteurs:
- L’absence ou le manque de contrôle de sécurité des systèmes d’information;
- L’absence d’intégrité des données et des conditions d’archivage garantissant la traçabilité des différentes opérations.
Hiérarchisation des risques
La hiérarchisation des risques est nécessaire pour pouvoir identifier ceux à traiter en priorité. Cette démarche peut être effectuée en fonction des différents facteurs de risque mais aussi en tenant compte des enjeux financiers liés à chaque processus.
La cartographie sera schématisée sous forme de deux axes : l’un représente la déclinaison des processus, et l’autre les leviers d’action. Par la suite et en vue de compléter la cartographie, il convient de nommer le risque, de le décrire et de préciser son niveau de gravité.
Comprendre l’échelle de maturité
Il s’agit d’un dispositif permettant de déterminer le niveau atteint par une structure dans le domaine de gestion des leviers et les outils de contrôle interne, soit l’organisation, la documentation, la traçabilité, la cartographie et les plans d’action.
Cette échelle se compose de plusieurs niveaux, mais le passage de l’un à l’autre nécessite la maîtrise du premier avant d’aller vers le suivant. L’évaluation requiert l’implication des différents acteurs, à commencer par le département financier avec les comptables, les cadres financiers, la direction financière, mais aussi le référent du contrôle interne, l’audit interne, le conseil d’administration et la direction générale. L’évaluation se fait à l’aide d’un système de notation et d’un code de couleurs. Dès lors, l’échelle de maturité comprend 5 niveaux représentant le degré de maîtrise du levier ou de l’outil:
- Niveau 1 marqué de la couleur rouge avec l’indication « non fiable »: Dans un contexte imprévisible, l’entité ne dispose pas d’une organisation bien maîtrisée, ni de procédures bien déterminées.
- Niveau 2 marqué de la couleur orange avec l’indication « informel »: L’organisation et les procédures sont existantes mais elles se caractérisent par une documentation inadéquate et leur exécution est faite de façon aléatoire. Il est fréquent de rencontrer une telle situation dans un contexte dégradé.
- Niveau 3 marqué de la couleur jaune avec l’indication « standardisé »: Il existe des procédures standard mais qui ne sont pas évaluées d’où l’impossibilité de détecter les manquements du contrôle interne.
- Niveau 4 marqué de la couleur vert clair avec l’indication « évalué »: Des évaluations régulières sont entreprises par le contrôle interne avec à la clé de la supervision, des audits, des contrôles comptables, parmi d’autres. L’évaluation permet d’établir un diagnostic avec les points forts et faibles mais en l’absence de tout reporting à la direction afin de prévoir des actions correctives.
- Niveau 5 marqué de la couleur vert foncé avec l’indication « optimisé »: L’organisation, la documentation et la traçabilité sont assurées. Des évaluations périodiques sont prévues et permettent de dégager les points forts et les points faibles et de ressortir avec des mesures correctives.
La mise en application de l’échelle de maturité nécessite d’agir sur les différents leviers et leurs composants. Si on prend par exemple le levier de l’organisation, on doit attribuer une note à chacune de ses composantes qui va renvoyer vers un palier, ce qui va assurer une évaluation des différents points en fonction de critères prédéfinis. Evidemment la note est attribuée une fois que toutes les conditions sont remplies.
Il est peu fréquent de rencontrer les niveaux 1 et 5 correspondant respectivement à l’absence totale de gestion et l’objectif à atteindre. Par contre le niveau 3 est très courant, soit la présence de procédures mais sans dispositif d’évaluation efficace.
Pour conclure, l’identification des risques est une étape cruciale pour avoir un contrôle interne comptable efficace. Ensuite il faut identifier les processus, classer et hiérarchiser les risques puis évaluer les différents leviers en utilisant l’échelle de maturité. C’est la clé même de la mise en place réussie d’un contrôle interne comptable.