30
JOURNAL IGF
*
FMI
VOLUME 25, N° 2
CONTRÔLES INTERNES – LA PROPOSITION DE VALEUR PERDUE
Le facteur de réussite critique d’une
évaluation de l’efficacité du contrôle
interne est l’uniformité du fonctionnement
d’un contrôle. Autrement dit, nous
faisons-nous ce que nous déclarons faire de
manière uniforme? Mais avant de pouvoir
évaluer l’uniformité d’un contrôle, il faut
examiner sa conception. Trop souvent les
organisations conçoivent et mettent en
œuvre des contrôles qui visent à traiter
de ce qui est perçu comme étant le risque
principal et n’arrivent pas à répondre à
l’exigence de conformité d’une politique
(p. ex. la Politique sur le contrôle interne
du Conseil du Trésor, qu’on retrouve
à l’adresse
/
doc-fra.aspx?id=15258§ion=text.)
Ainsi, on a instauré des contrôles dans le
but de répondre à l’exigence selon laquelle
il faut se doter de contrôles, cycle qui se
répète trop souvent dans un trop grand
nombre d’organisations.
Pour illustrer cette situation, citons
l’intervention qui a eu lieu pour répondre
à des exigences en matière de contrôles
internes mieux connues, soit la
Sarbanes
Oxley Act 404
(SOX 404). Au début des
années 2000, lesmarchés publics américains
ont été ébranlés par l’effondrement de
grandes organisations telles que Enron et
WorldCom. En réponse à ces échecs et dans
le but cité de limiter toute autre perte de
confiance dans les marchés, les législateurs
aux États-Unis ont créé plusieurs lois
qui obligeraient les entreprises cotées
en bourse à être plus transparentes et
à divulguer plus librement les moyens
adoptés pour recenser et réduire les
risques, tant à l’interne qu’à l’externe. Les
organisations ont fait des pieds et des mains
pour respecter les échéances imposées pour
ces nouvelles exigences législatives, période
difficile où la plupart se sont mises à créer
des contrôles pour la forme.
Conception d’un contrôle
Il faut tenir compte, au moment de
concevoir un contrôle et avant sa mise
en œuvre, de la nature, de l’étendue et la
synchronisation du risque sous-jacent :
•
Nature du risque : le risque est-il lié
aux domaines où il faut faire preuve
de grand jugement? Si c’est le cas, le
contrôle devrait être conçu pour faire en
sorte que la bonne personne possédant
les bonnes connaissances soit celle qui
exerce ce jugement.
•
Étendue du risque : quelle est l’impor-
tance relative du risque selon une pers-
pective axée sur la valeur? La valeur
pourrait représenter des dollars, une
perte de temps ou d’autres mesures in-
tangibles. Le contrôle devrait être conçu
pour inclure le bon niveau d’examen
selon la valeur.
•
Synchronisation du risque : à quelle
fréquence le risque se manifeste-t-il? Il
faut tenir compte dans la conception du
contrôle de la fréquence pour pouvoir
répondre de manière appropriée au
risque (p. ex. à tous les jours, semaines,
mois, trimestre et annuel).
Si on ne tient pas bien compte de
ces facteurs au moment de concevoir
un contrôle, la probabilité qu’il puisse
atténuer les risques identifiés diminue
énormément. Par conséquent, on obtiendra
probablement des contrôles qui n’ajoutent
aucune valeur à l’organisation ou aux
décideurs et intervenants principaux.
Exécution d’un contrôle
L’exécution efficace d’un contrôle, comme
on le mentionnait au début du présent
article, est le résultat souhaité au bout
du compte. Pour que les contrôles soient
efficaces, ils doivent s’exécuter de manière
constante sans exception. La capacité de
démontrer la constance d’exécution est
une condition fondamentale à la capacité
d’une entreprise de se fier au contrôle
pour prévenir ou déceler un risque (ou un
ensemble de risques). Pouvoir se fier à un
contrôle, comme on le notait ci-dessus,
revêt une grande importance, car cela
permet à l’intervenant de prévoir et de
prédire un résultat avec une plus grande
certitude que s’il ne faisait qu’évaluer des
résultats détaillés. Par exemple, si l’on
peut vérifier la constance avec laquelle
un employé s’acquitte d’une fonction
prédéfinie qui prévient le codage erroné
d’une entrée, on aura une plus grande
certitude (plus grande assurance) que des
milliers de transactions codées compteront
un nombre d’erreurs relativement peu
élevé. Si, à l’opposé, l’employé a géré ces
mêmes transactions selon une démarche
non uniforme, il serait tout indiqué
d’examiner une bien plus grande partie
des résultats de codage pour obtenir le
même degré d’assurance. Cet exemple
illustre bien l’importance de la constance
dans l’exécution d’un contrôle.
Interpréter les exceptions
Lorsque des organisations et des
décideurs principaux ne comprennent
pas ou n’apprécient pas l’importance
des contrôles pour un fonctionnement
uniforme, les exceptions sont bien
souvent laissées pour compte ou ne sont
pas signalées convenablement. Une des
erreurs les plus courantes consiste à ne
pas appliquer le principe de l’importance
relative. On peut décrire ce principe
comme étant la valeur (habituellement
exprimée en dollars lorsqu’il est question
de rapports financiers) à laquelle une erreur
ou une omission aurait une incidence sur
un décisionnaire. L’importance relative,
même si elle est importante lorsqu’on
examine les effets d’une erreur ou d’un
événement particulier, devrait s’inscrire
uniquement dans une optique d’évaluation
des contrôles internes au cours de
l’évaluation initiale des risques. Par
exemple, dans le contexte des contrôles
internes se rapportant aux rapports
financiers, le risque principal est une
erreur en termes d’importance relative ou
d’une omission dans les états financiers.
L’importance relative, de concert avec
les risques, est un facteur important pour
déceler les processus et les comptes qui
pourraient causer d’importantes erreurs
dans les états financiers. Cependant, une
fois qu’on a établi qu’un processus ou un
compte revêt une importance relative par
rapport aux états financiers et aux risques
connexes et que les contrôles ont été
identifiés, l’importance relative ne devrait
plus être prise en compte dans l’évaluation
de l’efficacité de ces contrôles. L’assurance
qu’on peut acquérir grâce à des contrôles
efficaces peut rapidement s’éroder si l’on
ne tient pas bien compte des exceptions
énumérées.
Lorsqu’un contrôle ne fonctionne pas
comme on l’avait prévu, l’importance
relative de l’exception ou des exceptions ne
devrait pas être prise en compte le moment
venu d’établir la façon d’interpréter les
résultats. Prenons à titre d’exemple une
importante organisation dont les dépenses
totales dépassent un milliard de dollars
par année et qui s’est dotée de plusieurs
contrôles réduisant les risques que des
employés présentent des demandes
de remboursement de frais de voyage
non admissibles. Un de ces principaux
contrôles consiste à faire examiner et
à faire approuver d’avance les plans de
voyage par les gestionnaires de centre de
coûts avant que les voyages n’aient lieu.
Ce contrôle est mis à l’essai au moyen
d’un échantillon aléatoire de 25 demandes
individuelles de remboursement de frais
de voyage engagés au cours de la période
d’examen.
L’examen produit 23 demandes
de remboursement où les preuves
d’approbation au préalable par le
gestionnaire sont clairement documentées
et l’approbation s’est déroulée selon la
