Comment mettre en place un contrôle interne performant en PME ?

Même les petites et moyennes entreprises peuvent déployer un contrôle interne efficace, sans disposer d’un service dédié comme dans les grandes sociétés. C’est généralement au DAF qu’il revient de mettre en œuvre un tel dispositif ; il y trouve un réel retour sur investissement en matière de visibilité et de contrôle.

Faisons le point sur le périmètre du contrôle interne et sa différence avec l’audit interne, ses fonctionnalités clés et ses atouts. Passons en revue les étapes pour le mettre en place de façon performante, avec un pilotage par la direction administrative et financière.

Qu’est-ce que le contrôle interne dans une entreprise ?

Contrôle interne et audit interne constituent des activités distinctes et complémentaires. Ils répondent à des normes professionnelles propres. En PME, même si ces fonctions ne sont pas autonomes, c'est indispensable de déployer des processus clairs et connus de tous. Faisons le point.

1.1 - Définition du contrôle interne

Comme l’écrit l’Institut français de l’audit et du contrôle interne (IFACI), le processus de contrôle doit "fournir une assurance raisonnable quant à la réalisation d’objectifs liés aux opérations, au reporting et à la conformité". En ce sens, ce dispositif consiste à mettre en œuvre des tâches et des contrôles continus dans l’ensemble d’une entreprise. Il ne se résume pas à l’établissement de procédures ou de règles, même si ceci en fait partie. 

1.2 - Les principes du COSO : un référentiel mondial pour le contrôle interne

Le COSO (Committee of Sponsoring Organizations of the Treadway Commission) a publié en 1992 un guide reconnu mondialement "la pratique du contrôle interne". Il fait autorité comme référentiel pour concevoir, déployer et piloter le contrôle interne dans une entreprise et pour évaluer son efficacité. Une version actualisée paraît en 2013 compte tenu de l’évolution réglementaire et organisationnelle des entreprises. Sa synthèse est disponible en téléchargement sur le site de l’IFACI.

1.3 - Différence entre contrôle interne et audit interne

Selon l’IFACI, l’objectif de l’audit interne est "d’accroître et de préserver la valeur de l’organisation en donnant avec objectivité une assurance, des conseils et des points de vue fondés sur une approche par les risques". L’audit interne constitue une activité indépendante et ponctuelle. Cette tâche n’est pas continue contrairement au contrôle interne et elle s’effectue a posteriori.

En synthèse, l’audit interne sert à s’assurer que le dispositif de contrôle interne de l’entreprise fonctionne efficacement. Il permet par des audits périodiques de vérifier la correcte mise sous contrôle des risques identifiés.

Caractéristiques et avantages d’un contrôle interne performant

Concrètement, un processus complet et efficace de contrôle interne recouvre plusieurs fonctionnalités précises. Il comporte de nombreux atouts pour la prévention des risques et pour la performance financière notamment.

2.1 - Les 3 axes du contrôle interne pour les petites et moyennes entreprises

Quelle que soit la taille de l’entreprise, votre dispositif de contrôle interne comporte 3 modes de contrôles distincts.

a - La prévention

Cette partie du contrôle interne consiste à mettre en place des procédures et règles de fonctionnement afin d’éviter la survenance de risques ou d’erreurs. Entrent dans cette catégorie la sécurisation informatique ou la séparation des tâches par exemple.

b - La détection

C’est un mode de contrôle pour identifier des erreurs effectives et y remédier afin de garantir la poursuite de l’activité de l’entreprise. Cette partie du contrôle interne vise donc à apporter des correctifs après la détection des anomalies.

c - Les contrôles compensatoires

Ce processus a pour but de pallier les dysfonctionnements ou manquements du contrôle interne établi par ailleurs. Il se met en marche lorsque les autres dispositifs sont défaillants (prévention et détection), par exemple en l’absence de ressources suffisantes.

2.2 - Les atouts d’un bon processus de contrôle interne

Le fait de bien déployer le contrôle interne dans l’ensemble d’une PME apporte de la sécurité, une maîtrise des risques et donc une meilleure efficacité financière. En effet, rappelons que la notion de risque implique toujours l’existence d’un coût. Sa prévention contribue donc à améliorer la performance financière.

a - Identification des risques majeurs encourus dans chacune des activités

Comme expliqué, le contrôle interne doit donner à l’entreprise une assurance raisonnable quant à la réalisation d’objectifs liés aux opérations, au reporting et à la conformité. Les processus comprennent notamment une cartographie des risques afin de déterminer comment les maîtriser et les mettre sous contrôle. La gestion des risques concerne toutes les activités opérationnelles et fonctionnelles.

b - Lutte contre la fraude et respect de la conformité

Parmi les risques fréquents en entreprise, la fraude occupe les esprits des DAF. En effet, ils vivent un accroissement significatif des tentatives ces dernières années, malgré la digitalisation des opérations. La cybersécurité fait donc l’objet de toutes les vigilances. La non-conformité peut également coûter cher avec des amendes parfois élevées. Aussi, le respect des exigences réglementaires fait partie du périmètre du contrôle interne. 

c - Fiabilisation de la data utilisée pour le reporting financier et les tableaux de bord

Les actions de contrôle interne du type prévention aident ici à cadrer les opérations et la gestion des données dans les systèmes d’information, grâce à des procédures claires et diffusées. Les règles strictes pour le pilotage des référentiels tiers et produits contribuent aussi à structurer la data en amont des reportings. C’est essentiel pour les financiers chargés d’analyser les résultats à partir d’indicateurs clés. Ainsi, ils ne passent pas l’essentiel de leur temps à "cruncher la data".

d - Capacité à pouvoir réaliser des missions d’audit interne ponctuelles

Si le DAF de PME souhaite réaliser des audits internes périodiques, mieux vaut disposer d’un contrôle interne établi et performant. En effet, il peut ainsi appuyer ses contrôles sur des règles écrites et un référentiel clair. Il peut toutefois détecter lors de ces interventions, des domaines qui exigent d’améliorer le contrôle interne. En effet, c’est un processus continu et donc perfectible.

e - Améliorer la visibilité et le contrôle pour la gestion financière

En tant que DAF, vous connaissez l’importance de mettre sous contrôle l’ensemble de la performance financière de l’entreprise. La définition et le suivi d’indicateurs clés sont essentiels pour vos tableaux de bord financiers comme opérationnels.

Toutefois, qu’est-ce qui se cache derrière ces chiffres ? Comment s’assurer que les données sont fiables ? Comment suivre en particulier les zones à risques ? Le contrôle interne, par sa finalité, vous aide dans ces tâches. En mettant l’accent sur la gestion des risques et le respect de la conformité, ce processus contribue à améliorer et à maîtriser la visibilité financière du DAF. 

Comment déployer un dispositif de contrôle interne efficace en PME ?

Souvent, on pense que le contrôle interne est réservé aux grandes sociétés qui disposent d'une organisation autonome rattachée à la direction générale. Mais toute entreprise, y compris la PME, peut et doit s’en soucier en adaptant son référentiel de contrôle interne à son activité et à sa taille. Dans tous les cas, la démarche comprend 4 étapes principales que nous vous décrivons.

3.1 - Pourquoi l'élaboration d’un système de contrôle interne en PME est-elle de la responsabilité du DAF ?

La PME ne dispose pas de service contrôle interne autonome et rattaché à la DG évidemment. Sa taille ne le permet pas et ne le justifie pas. Sans être contrôleur interne et formé par l’IFACI par exemple, le DAF semble le plus qualifié pour déployer le processus en PME.

En effet, le contrôle interne doit recouvrir toute l’activité et tous les services de la structure. Or, le directeur financier est celui qui a la meilleure vision globale du fonctionnement et des flux. C’est souvent lui qui est chargé en outre du pilotage des risques par sa direction générale. En outre, le contrôle interne doit apporter de la réassurance et contribuer à la performance financière, ce qui intéresse en premier lieu le DAF.

3.2 - Les 4 étapes d’une organisation sous contrôle

Voici notre conseil organisationnel pour déployer un dispositif efficace de contrôle interne en PME.

a - Une organisation du processus de contrôle interne adaptée à l’entreprise

Déployez votre propre référentiel de contrôle interne en fonction de la ou des activités, du nombre d’entités et de services concernés. Prenez aussi en compte les ressources ainsi que les compétences en présence. C'est inutile de prévoir des procédures internes trop complexes avec des outils ou des systèmes que personne ne maîtrise dans la société. Cela reviendrait à vouloir faire entrer un éléphant dans un magasin de porcelaine.

b - Une communication claire et efficace des informations : règles, procédures et workflows

Rien ne sert de définir des procédures, des règles, des contrôles sans les diffuser clairement. C’est l’assurance que personne ne les respecte. Appuyez-vous sur les processus informatiques et notamment sur les worklows utilisés par les opérateurs. C’est une manière pratique d’inclure dans vos systèmes d’information les points de procédures à appliquer.

Vous pouvez également exploiter ces outils pour définir les droits et niveaux d’accès des différents dispositifs informatiques ainsi que la séparation des tâches par exemple. Le contrôle interne, c’est l’affaire de tous. Il exige donc de communiquer les bonnes pratiques et de mettre en place une formation correcte du personnel. En outre, une des manières de démystifier le dispositif consiste à donner des exemples concrets des risques encourus en cas de non-respect des mesures.

c - Une identification et une priorisation des risques de l’entreprise

Mettez en place une cartographie complète et exhaustive des risques de la société. Associez tous les responsables de service pour plus d’efficacité. Classez les risques par nature (opérationnels, conformité, fraude, sécurité, environnement, social ou financier). Mesurez le niveau de probabilité et d’impact de chaque risque. Cette classification aide à établir un plan d’action soit pour réduire ces risques soit pour les maîtriser, en interne ou en externe, notamment au travers de contrats d’assurance ou de prestataires ad hoc.

d - Mise en place de l’activité de contrôle et vérification du respect

La dernière étape du déploiement du contrôle interne consiste à mettre en place le plan d’action décidé. Il comprend notamment l’attribution des suivis du contrôle interne et des responsabilités à chaque manager. Il prévoit des contrôles selon les trois niveaux expliqués précédemment soit du type prévention, détection ou compensatoire.

Le processus présente aussi un suivi régulier du fonctionnement du dispositif, avec des points d’audits périodiques. Vu les enjeux que comporte le contrôle interne, nous recommandons en effet de ne pas attendre que les commissaires aux comptes réalisent leur propre évaluation annuelle du dispositif. Mieux vaut prévenir que guérir.

Le contrôle interne apporte clairement de la lisibilité aux directeurs financiers. Il contribue à mettre sous contrôle l’ensemble des processus dans l’entreprise. À ce titre, le DAF de PME a tout intérêt à prendre le lead sur la gestion du contrôle interne. En s’appuyant sur des outils qui intègrent nativement ce concept au niveau du paramétrage et des workflows, il gagne en efficacité. Ainsi, Pleo lui offre un système clé en main pour une visibilité et un contrôle total des dépenses professionnelles des collaborateurs. Pour en savoir plus, nous vous proposons de découvrir les objectifs pratiques de notre plateforme en ligne.