Environnement de contrôle: comment le définir et l'évaluer?

Par  Gilles FOTSO-KAMENI, CIA, CRMA

Le contrôle Interne se définit comme « un processus mis en œuvre par le conseil, le management et les collaborateurs d’une organisation, destiné à fournir une assurance raisonnable quant à la réalisation d’objectifs liés aux opérations, au reporting et à la conformité ». C’est un processus qui se déploie dans toute l’entreprise, dans le but d’aider chacune de ses entités à maintenir et à améliorer ses performances. Le référentiel de Contrôle Interne publié en 2013 par le COSO décline le processus de contrôle interne en cinq composantes intégrées, qui interagissent à tous les niveaux de l’organisation :

• L’environnement de contrôle : c’est l’ensemble des normes, des processus et des structures qui constituent le socle de la mise en œuvre du contrôle interne à l’échelle de l’organisation.
• L’évaluation des risques : qui renvoie à identification, l’analyse et la classification de des événements probables d’origine interne ou externe à l’organisation, susceptibles d’avoir un impact sur la réalisation de ses objectifs.
• Les activités de contrôle : qui désignent quant à elles les actions réalisées à tous les niveaux de l’entité, visant à apporter l’assurance raisonnable que les instructions données par le management pour maîtriser les risques pouvant affecter la réalisation des objectifs sont mises en œuvre.

• L’information et la communication : processus continu et itératif par lequel l’information nécessaire à la bonne marche de l’organisation et de son dispositif de contrôle interne est fournie, obtenue, partagée et diffusée.
• Le pilotage qui est l’activité de révision et d’évaluation ponctuelle et/ou continue de chacune des composantes du processus de contrôle interne, dans le but de s’assurer de leur bon fonctionnement.

Dans cette architecture proposée par le COSO, l’environnement de contrôle apparait comme la composante centrale. Mais à quoi renvoie précisément cette notion « d’environnement de contrôle » ? Quelle est son importance et comment l’évaluer ? Le présent article tentera d’apporter une réponse à ces deux questions importantes.

L’environnement de contrôle peut être défini comme le contexte et le milieu dans lequel les collaborateurs de l’organisation accomplissent leurs tâches et assument leurs responsabilités en matière de contrôle. Il influence la manière dont les questions et les problématiques de contrôle interne sont abordées et traitées au sein de l’organisation. Pour le COSO, « L’environnement de contrôle est l’ensemble des normes, des processus et des structures qui constituent le socle de la mise en œuvre du contrôle interne dans toute l’organisation. […]. L’environnement de contrôle a un impact déterminant sur l’ensemble du système de contrôle interne. »[2]. De son côté, le glossaire des normes internationales d’audit interne définit l’environnement de contrôle comme « l’attitude et les actions du Conseil et du management au regard de l’importance du dispositif de contrôle dans l’organisation. L’environnement de contrôle constitue le cadre et la structure nécessaires à la réalisation des objectifs primordiaux du système de contrôle interne » La définition va plus loin, et énumère six facteurs clés qui influencent la qualité de l’environnement de contrôle : 

• l’intégrité et les valeurs éthiques,
• la philosophie et le style de direction adoptées par le management,
• la structure organisationnelle,
• l’attribution des pouvoirs et responsabilités ,
• les politiques et pratiques relatives aux ressources humaines, et enfin,
• la compétence du personnel. 

Le référentiel COSO souligne également l’importance de l’engagement du conseil vis-à-vis des questions liées au contrôle interne, de même que sa capacité à indiquer clairement les objectifs au management.

Pour appréhender et évaluer correctement l’environnement de contrôle, il est donc primordial de comprendre chacun de ces six éléments, ainsi que les interactions qui pourraient exister entre eux.

Intégrité et valeurs éthiques

L’éthique se définit généralement comme le respect des principes moraux régissant la vie en société. Au sein de l’entreprise, l’éthique peut être perçue comme étant « un guide » définissant les valeurs sociales et morales devant motiver le comportement de chaque employé, dirigeant, partenaire et autre partie prenante. Pour être bien comprises et observées, les valeurs éthiques de l’entreprise doivent être formalisées. Ceci se traduit en général par la rédaction et la diffusion dans l’entreprise d’un code d’éthique et de déontologie, formellement accepté par chaque collaborateur de manière individuelle.

Philosophie et style de direction

Le style de direction fait référence à la manière dont les dirigeants organisent, planifient, contrôlent, et plus généralement, conduisent les affaires de l’entreprise. Le style adopté par les principaux dirigeants influence largement les processus décisionnels et le niveau de risque accepté dans l’organisation. Il peut être directif ou autoritaire, c’est-à-dire centré sur les résultats (avec peu de considération pour les relations humaines), ou alors participatif, en laissant une plus grande place aux salariés dans les décisions et l’organisation du travail. Si certains styles de direction ont tendance à favoriser une communication plus ouverte et meilleur engagement des employés, d’autres au contraire peuvent créer un environnement de laxisme et de démotivation. Le style de direction adopté et pratiqué doit donc faire l’objet d’une attention particulière.

Structure organisationnelle, attribution des pouvoirs et responsabilités

La structure organisationnelle désigne l’agencement des organes qui composent l’organisation, ou encore l'ensemble des règles de contrôle, de coordination, de répartition de l'autorité et des tâches. Elle se traduit généralement par un organigramme présentant l’ensemble des liens hiérarchiques et fonctionnels entre les différents postes. Le choix d’une structure organisationnelle tient compte de plusieurs facteurs, dont la taille, les objectifs et la mission, la stratégie ou encore les risques présents dans l’environnement de l’entreprise. La structure ainsi choisie, doit faciliter au maximum la coordination des activités, la circulation des flux d’information et prévoir une séparation adéquate des tâches. Parmi les structures organisationnelles les plus communes, l’on peut citer les structures fonctionnelles, divisionnelles, matricielles, hiérarchiques, centralisées, décentralisées, etc. Chacune de ces structures présente ses avantages et ses inconvénients, dont l’impact sur l’efficacité du contrôle interne doit être pris en compte. Le choix d’une structure organisationnelle implique également un certain schéma de délégation de pouvoirs et de responsabilités, c’est-à-dire un mode de répartition de l’autorité, qui doit être clairement défini et formalisé.

Politiques et pratiques relatives aux ressources humaines, compétence du personnel

L’humain est la ressource la plus importante de toute organisation, et sans doute son actif le plus précieux. Du recrutement à la gestion des carrières, en passant par l’administration du personnel, la santé, la sécurité au travail, la gestion des performances et la formation, l’ensemble des politiques, procédures et pratiques en matière de ressources humaines doit permettre à l’entreprise :

• d’attirer et fidéliser les meilleures talents ;
• de créer et maintenir un haut niveau de compétence, de productivité et de motivation des collaborateurs ;
• de promouvoir les valeurs éthiques et déontologiques.

Des politiques efficaces de gestion des ressources humaines fournissant à l’entreprise du personnel compétent et motivé, peuvent contribuer à réduire considérablement sa vulnérabilité aux risques.

Comme nous l’avons vu plus haut, l’environnement de contrôle est la composante clé du processus de contrôle interne, qui sert de contexte pour l’ensemble du dispositif de contrôle. Son importance peut être résumée en trois points :

• l’environnement de contrôle est au cœur de toute l’organisation et a donc une dimension transversale ;
• c’est lui qui fournit la discipline et la structure nécessaires à la réalisation des objectifs principaux de contrôle interne. Il détermine donc, d’une certaine manière l’efficacité des autres composantes ;
• une défaillance dans l’environnement de contrôle se traduit souvent par une performance amoindrie des contrôles dans les processus métiers, étant ainsi à l’origine de risques importants qu’il convient de gérer.

Évaluer la qualité de l’environnement de contrôle est une partie importante de la responsabilité d’assurance de l’audit interne. La Norme 2130 du Cadre de Référence International des Pratiques Professionnelles de l’Audit Interne (Norme 2130 – Contrôle), stipule à ce propos que « l’audit interne doit aider l’organisation à maintenir un dispositif de contrôle approprié en évaluant son efficacité et son efficience et en encourageant son amélioration continue. ». La dimension transversale de l’environnement de contrôle oblige l’auditeur interne à systématiquement l’évaluer lors de ses travaux. Se concentrer exclusivement sur l’évaluation des contrôles en place dans les processus métier sans s’intéresser aux risques liés aux défaillances de l’environnement dans lequel se déploie ces contrôles pourrait en effet, lui faire manquer des aspects essentiels. De son côté, le contrôleur interne doit être capable d’évaluer l’environnement de contrôle, puisqu’il participe à sa revue, à son animation permanente.

Vous l’aurez compris, évaluer l’environnement de contrôle revient à évaluer chacun de ses six éléments constitutifs. Le guide pratique de l’IIA « Auditing the Control Environment » présente diverses options que peut envisager l’auditeur interne dans son approche d’évaluation, de même que les aspects pratiques en prendre en compte pour la planification d’un audit de l’environnement de contrôle. L’on peut ainsi retenir que :

• l’évaluation de l’environnement de contrôle peut se faire en un audit unique conduit dans toute l’organisation, ou en une série de missions traitant chacune d’un aspect particulier de l’environnement de contrôle, ou encore dans le cadre de plusieurs audits localisés dans des directions « métier » particulières.
• l’environnement de contrôle interne doit être évalué systématiquement par l’auditeur lors de ses travaux
• les méthodes classiques d’évaluation peuvent s’avérer inadaptées pour certains aspects de l’environnement de contrôle, notamment ceux relatifs à la déontologie, l’intégrité, les comportements et les perceptions, qui peuvent nécessiter de revoir des contrôles dits « informels » (soft controls) ;
• dans les organisations multiculturelles (un groupe multinational par exemple), il est impératif de comprendre et tenir compte de la culture et des valeurs locales de chaque entité, lors du choix des critères d’évaluation à retenir.

Afin de déterminer de manière adéquate les objectifs de l’évaluation, l’auditeur

interne doit s’appuyer sur les principes ci-dessous, définis par le référentiel COSO. L’application de ces principes étant la condition nécessaire et suffisante pour un environnement de contrôle adéquat.

Principe 1 : Le conseil, le management et l’ensemble des collaborateurs démontrent leur engagement en faveur de l’intégrité et des valeurs éthiques.

Principe 2 : Le conseil fait preuve d’indépendance vis-à-vis du management. Il surveille la mise en place et le bon fonctionnement du système de contrôle interne.

Principe 3 : Le management, agissant sous la surveillance du conseil, définit les structures, les rattachements, ainsi que les pouvoirs et les responsabilités appropriés pour atteindre les objectifs.

Principe 4 : L’organisation démontre son engagement à attirer, former et fidéliser des personnes compétentes conformément aux objectifs.

Principe 5 : L’organisation instaure pour chacun un devoir de rendre compte de ses responsabilités en matière de contrôle interne afin d’atteindre les objectifs.

Sur cette base, l’auditeur peut dès lors définir et mettre en œuvre les procédures d’audit appropriées pour répondre par exemple à la série de questions ci-dessous :

Intégrité et valeurs éthiques

• L’organisation dispose-t-elle de règles éthiques clairement définies, formalisées et diffusées à toutes les parties prenantes par la direction ?
• Les collaborateurs sont-ils régulièrement sensibilisés et formés de manière à s'approprier correctement les valeurs éthiques de l’organisation ?
• Existe-t-il un processus anonyme, fiable et connu de tous les collaborateurs permettant de remonter tout cas d’entorse à l’éthique professionnelle ?
• Les infractions aux règles sont-elles traitées dans les formes et les requis ? Les mesures correctives et/ou disciplinaires nécessaires sont-elles prises ?

Philosophie et Style de direction

• Les comportements et décisions du conseil et de la direction sont-ils conformes aux valeurs et règles de conduite de l’organisation ? Le conseil démontre-t-il son engagement vis-à-vis des problématiques de contrôle interne ?
• Le style de direction et L’environnement de travail instauré par la direction favorisent-t-ils le respect des valeurs et règles de conduite, l’engagement des collaborateurs et la circulation adéquate de l’information ?
•  Les insuffisances relevées par les unités de contrôle reçoivent-elles l’attention et la prise en charge appropriées de la part du management ?

Structure organisationnelle, attribution des pouvoirs et responsabilités

•  L’organisation dispose-t-elle d’un organigramme clair, exhaustif et à jour ?
• Existe-t-il pour chaque poste un descriptif de poste à jour et communiqué aux collaborateurs concernés ? Ces derniers ont-t-ils une bonne compréhension du contenu de leurs postes, y compris de leurs responsabilités en matière de contrôle interne ?
• La structure organisationnelle est-elle comparable à celles des organisations de taille et d’activités similaires ? Facilite-t-elle la circulation de l’information ?
• Les délégations de pouvoir sont-elles formalisées et conformes aux exigences réglementaires ? Les personnes occupant les postes clé disposent-elles des pouvoirs appropriés ?
• Les délégations et les limites de pouvoirs sont-elles respectées ? font-elles l’objet d’une révision périodique ?

Politiques et pratiques en matière de ressources humaines

• L’organisation dispose-t-elle de politiques et procédures RH complètes, à jour et validées aux niveaux appropriés ?
• Le processus de recrutement est-il correctement documenté et respecté ?
• Les taux de rotation du personnel élevés ou anormaux sont-ils analysés, reportés puis discutés au niveau adéquat de l’organisation ?
• Existe-t-il un plan de succession pour les postes clés ?
• Les niveaux de rémunérations sont-ils comparables à ceux pratiqués par les autres organisations du secteur d’activité ?
• Les rémunérations et autres avantages alloués correspondent elles aux budgets approuvés ?

Compétence du personnel

• Les mécanismes en place permettent-ils de s’assurer que le personnel recruté dispose de l’expérience, des qualifications, de la formation et du niveau d’intégrité requis?
• Un système d’évaluation du personnel basé sur des critères objectifs et mesurables est-il en place au sein de l’organisation ? Existe-t-il un plan de remédiation pour la correction des performances non-satisfaisantes ?
• La rémunération est-elle indexée au niveau de compétences et de performances des collaborateurs ?
• L’organisation dispose-t-elle d’un plan de formation du personnel ? L’élaboration de ce plan prend-elle en compte les besoins de développement du personnel ? L’organisation y consacre-t-il suffisamment de ressources ?
• L’organisation dispose-t-elle d’une stratégie de gestion des compétences ? Cette stratégie est-elle cohérente avec les objectifs-métiers et communiquée de manière adéquate ?

L’environnement de contrôle est un élément clé du processus de contrôle interne, qui est transversal à toute l’organisation. Il traduit en effet le niveau d’engagement et l’importance accordés par le conseil et le top management aux questions de contrôle interne. Toute défaillance de l’environnement de contrôle a généralement pour effet d’amoindrir la performance du dispositif de contrôle déployé pour maitriser les activités, et de ce fait, accroit l’exposition de l’organisation aux risques. Il est donc fondamental que l’auditeur, le contrôleur, et même le management (qui détient la responsabilité finale de la bonne marche du système de contrôle interne) soient en mesure de le comprendre et de l’évaluer.