Qu'entend-on exactement par contrôle interne et audit interne ? Quelles en sont les composantes essentielles et que recouvrent exactement ces notions qui intéressent de plus en plus et ajuste titre le secteur associatif et les fondations ?

Le concept de « contrôle interne » dans les organisations est né récemment. II est apparu dans les années 1960-1970 dans le milieu professionnel des experts-comptables et des commissaires aux comptes. Sa mise en œuvre, limitée alors aux domaines financier et comptable, était la condition pour certifier la régularité, la sincérité et l'image fidèle des comptes et des résultats. Une première définition est arrêtée dans les pays latins le caractérisant comme « l'ensemble des sécurités contribuant à la maîtrise de l'entreprise [,.,] ». Par la suite, le même terme va s'étendre à toutes les fonctions de l'entreprise, au-delà des seuls domaines des chiffres. Quelles que soient les variantes dans les définitions disponibles, toutes s'accordent, de manière générique pour entendre aujourd'hui par contrôle interne un « ensemble de dispositifs mis en œuvre par les responsables de tous niveaux pour maîtriser le fonctionnement de leurs activités». Trivialement; le contrôle interne, c'est tout ce que doit faire une organisation pour bien fonctionner. Là se situe une subtilité de vocabulaire, donnant lieu à de fréquents contresens dus au fait que le terme nous arrive d'une origine anglosaxone. Le contrôle dont il est question (to confrol) n'a rien de commun avec l'activité de contrôle, assurée par un contrôleur, mais renvoie plutôt à l'expression : « je contrôle la situation », ou « je contrôle ma vitesse », ou encore « le footballeur contrôle son ballon». il faut donc comprendre ici ; la marche de mon organisation est « sous contrôle ». Une commission instituée en 1980 aux Etats-Unis sous le nom de COSO (Committee of Sponsoring Organisations of the Treadway Commission) fut chargée de travailler sur ce sujet et arrêta en 1992 une définition qui reste la référence ainsi qu'un «modèle » décrivant le contrôle interne selon cinq éléments interdépendants, présentés sous la forme d'une pyramide, dite du COSO:

? l'environnement de contrôle ;

? l'évaluation des risques ;

? les activités de contrôle ;

? l'information et la communication ;

? le pilotage.

LE RÔLE ESSENTIEL DE L'ENVIRONNEMENT DE CONTRÔLE

Sans entrer dans le développement de chacun des cinq éléments, l'accent doit être mis sur « l'environnement de contrôle », expression de la culture de l'entreprise, qui constitue le socle des autres éléments. Les facteurs ayant un impact sur cet environnement comprennent l'intégrité, l'éthique et la compétence du personnel, la philosophie des dirigeants et le style de management, la politique de délégation des responsabilités, d'organisation et de formation, l'intérêt manifesté par la gouvernance et sa capacité à désigner clairement la vision, la mission et les objectifs de l'association. Ce socle fondateur, condition culturelle préalable à la bonne efficacité de l'ensemble du dispositif, pertinent dans tout type d'organisation, trouve encore davantage de sens dans le monde associatif, réservant d'ordinaire une place importante au management par les valeurs.

L'existence et la bonne diffusion d'une charte éthique ou d'un code de conduite dans une organisation sont des facteurs favorables à un bon contrôle interne et à la bonne réputation des organisations qui s'en sont dotées. Elles contribuent à la diffusion d'un état d'esprit orientant favorablement les comportements, au-delà du simple respect des lois et des procédures.

L'ÉVALUATION DES RISQUES,ÉTAPE PRÉALABLE À UN BON CONTRÔLE INTERNE

Le second « étage » de la pyramide invite l'organisation à identifier et à évaluer, les risques, externes et internes, auxquels elle est exposée pour atteindre ses objectifs. Le COSO nous enseigne ainsi que l'organisation ne saurait construire son dispositif de contrôle interne ni définir ses procédures essentielles de travail, par exemple, sans savoir préalablement contre quels risques majeurs elle doit se protéger, eux mêmes ne pouvant être définis qu'une fois les objectifs fixés, en déclinaison de la stratégie de l'organisation.

Ce raisonnement conduit à fortement conditionner le contrôle interne de l'organisation à la connaissance préalable des risques qui doit se réaliser en amont : le management des risques précède le contrôle interne.

Cette idée est si forte que le même COSO, quelques années plus tard, se remet au travail et génère en 2004 un second modèle, Le Management des risques de l'entreprise, visualisé sous la forme d'un cube, dit du COSO²'. Le modèle en question se décompose alors en huit éléments, qui remplacent, en les enrichissant, les cinq couches de la première pyramide.

Le fort développement des disciplines liées au management des risques au sein des entreprises va de pair avec la complexité croissante des organisations et le constat de la part importante d'incertitude dans la vie de toute communauté humaine cherchant à s'organiser. Le management des risques s'apparente à une véritable « culture de l'incertitude »,

LE CONTRÔLE INTERNE, FINALITÉ DE L'AUDIT INTERNE

Alors que le contrôle interne, argumenté par une solide approche préalable des risques, peut être présenté comme un objectif à atteindre pour une organisation qui souhaite tout simplement « bien faire » ce qu'elle a à faire, l'audit interne doit être présenté comme le moyen dont se dote l'organisation pour évaluer l'efficacité des dispositifs mis en œuvre. Le contrôle interne est la finalité, l'audit interne le moyen. À l'instar du contrôle interne, l'audit interne est tout d'abord né dans l'univers comptable et financier. Ainsi, bien des services d'audit interne étaient, à l'origine, rattachés aux directions financières. Au fil du temps, l'audit interne s'est intéressé à tous les domaines de responsabilité de l'entreprise : les activités de production ou de délivrance de services, les ressources humaines, les systèmes d'information ou encore, plus récemment, le développement durable, les processus de management et de gouvernance. À ce jour, l'audit interne a une vocation généraliste et transversale à toutes les fonctions de l'organisation. C'est la raison pour laquelle il est le plus fréquemment rattaché à la direction générale ou à la présidence, quelquefois au comité d'audit, émanation du conseil d'administration.

L'AUDIT INTERNE, UNE PROFESSION NORMÉE

L'audit interne est aujourd'hui une profession normée au plan international, les normes étant développées et promues au plan mondial par l'institute of Internal Auditors (IIA).

Le cadre de référence professionnel de l'audit interne, révisé en 2009, se construit autour d'une définition, d'un code de déontologie, de normes professionnelles et de modalités pratiques d'application. Ainsi, la communauté professionnelle des auditeurs partage mondialement cette même définition : « L'audit interne est une activité indépendante et objective qui donne une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle et de gouvernement d'entreprise et en faisant des propositions pour renforcer leur efficacité. » Une telle définition consacre les liens étroits existant aujourd'hui entre l'audit interne le contrôle interne et le management des risques, constituants fondamentaux d'une organisation performante moderne.

CONTRÔLE INTERNE ET COMITÉ DE LA CHARTE DU DON EN CONFIANCE

Dans le cadre de sa mission de promotion d'une plus grande rigueur favorisant le don en confiance, le Comité de la charte estime essentiel de renforcer ses exigences déontologiques en matière de contrôle interne. C'est ainsi que l'assemblée générale de Mai 2010 du Comité a approuvé son programme déontologique 2010-2011. Quatre sujets ont été retenus : ils concernent la gouvernance, les organisations complexes, le pilotage et la rémunération des agences de collecte et le contrôle interne.

Conformément à la procédure de préparation des textes du Comité, un groupe de travail a été créé au cours de ses travaux, le groupe a notamment travaillé sur une clarification de la sémantique et une identification des composantes essentielles du contrôle interne et de l'audit interne et a revu la définition du contrôle interne, précédemment arrêtée par le Comité en 2007, pour adopter la définition suivante :

? Le contrôle interne est un ensemble organisé de dispositifs initié et supervisé par les instances dirigeantes et mis en oeuvre par l'ensemble des acteurs (salariés, bénévoles, etc.) en vue de donner en permanence à L'organisation une assurance raisonnable que ses objectifs sont atteints, dans le respect de ses valeurs et de sa mission sociale, et les risques globalement maîtrisés.

Le contrôle interne vise en particulier à assurer:

? la rigueur de la gestion ;

? la qualité de la communication et des actions de collecte de fonds ;

? la transparence financière ;

? la conformité aux lois et règlements externes et internes. »

*Expert Comptable et commissaire aux comptes, Membre de l'académie des sciences et techniques financières et comptables.