Definition

Sur un mandat de CAC, le premier signal d'alerte n'est pas une écriture comptable suspecte. C'est un directeur général qui approuve toutes les dépenses sans jamais en refuser une seule. Chez nos clients, nous voyons ce schéma dans un dossier sur trois : la documentation de conformité existe, les politiques sont rédigées, mais personne ne les applique. C'est là que l'environnement de contrôle entre en jeu.

Fonctionnement

ISA 315.13 exige que nous évaluions l'environnement de contrôle comme première étape de notre compréhension de la structure du contrôle interne. Cette évaluation n'est pas une case à cocher. C'est notre fondation pour déterminer si les contrôles opérationnels que nous testerons par la suite peuvent fonctionner efficacement.

L'environnement de contrôle comprend six composantes selon le Cadre COSO : l'intégrité et les valeurs éthiques, l'engagement envers la compétence, la participation du gouvernement d'entreprise, la philosophie et le style de gestion, la structure organisationnelle, et l'attribution des responsabilités et des autorités. Nous n'avons pas besoin de tester chacune individuellement, mais nous devons évaluer si, collectivement, elles créent un contexte où les erreurs sont détectées et corrigées.

Un environnement de contrôle solide crée une pression naturelle vers la conformité. Un environnement faible laisse les portes ouvertes. Si la direction contourne régulièrement les contrôles ou tolère le dépassement du budget temps sans explication, nos tests de contrôles opérationnels perdront une grande partie de leur valeur. Nous devrons compenser par une augmentation du volume de travail substantif et réviser à la hausse notre évaluation du risque de non-respect.

Exemple pratique : Mobilier Lacroix SARL

Client : fabricant de meubles français, FY2024, chiffre d'affaires 18 M EUR, rapport selon le plan comptable général (PCG) avec comparaison IFRS.

Évaluation des valeurs déclarées par la direction

Lacroix affirme que l'intégrité est sa priorité absolue. Le manuel de conformité de l'entreprise énonce les politiques d'éthique et les procédures de signalement des abus. Nous obtenons le document et le datons dans notre papier de travail.

Note de documentation : PT-CE-001, section Valeurs et intégrité. Document de référence : Manuel de conformité de Lacroix, révision 3, janvier 2024.

Entretiens avec les responsables clés

Nous rencontrons le directeur général et le responsable comptabilité, ainsi que deux responsables de département de production. Nous posons des questions ouvertes : « Avez-vous déjà vu la direction contourner une politique de contrôle ? Ressentez-vous une pression pour enfreindre les règles afin de respecter les délais ? » Un responsable mentionne que les demandes d'approbation budgétaire pour les dépenses marketing « ne sont jamais refusées, peu importe ce qui est demandé ». Un autre indique que les décaissements de trésorerie supérieurs à 10 k EUR sont approuvés par le directeur général, mais que les demandes ne sont jamais rejetées.

Note de documentation : PT-CE-002, section Observations d'entretien. Risque identifié : absence de revue critique des dépenses marketing, approche « tampon » aux approbations de dépenses.

Recoupement avec les données opérationnelles

Nous examinons les dépenses de marketing de l'année précédente. Aucune demande rejetée. Aucune explication documentée pour les écarts budgétaires supérieurs à 15 %. Nous examinons également un échantillon aléatoire de 25 décaissements. Tous ont été approuvés par le directeur général. Trois d'entre eux ont été approuvés cinq jours après la transaction. Personne n'aime relever ce type de constat, mais c'est exactement comme ça que les dossiers sont signalés par le H3C.

Note de documentation : PT-CE-003, section Procédures d'approbation. Constatation : pratique d'approbation inefficace, délais d'approbation inadéquats.

Gouvernement d'entreprise

Le conseil d'administration existe sur papier. Il se réunit une fois par an, généralement après la clôture des comptes. Le procès-verbal de la dernière réunion ne mentionne aucun point lié aux politiques de contrôle interne ou aux dépenses exceptionnelles. Le conseil n'a pas de comité d'audit formel.

Note de documentation : PT-CE-004, section Gouvernance. Risque identifié : gouvernance d'entreprise inefficace. Le conseil n'exerce pas une surveillance active des contrôles internes.

Résultat : l'environnement de contrôle chez Lacroix est faible. La documentation de conformité existe, mais la mise en œuvre est défaillante. Nous évaluons le risque non-rectifié de matérialité au niveau de l'entité comme modéré à élevé et nous planifions un volume de travail substantif significatif sur le cycle achats et dépenses plutôt que de nous appuyer sur les contrôles opérationnels.

Ce que les réviseurs et les praticiens comprennent mal

- Confondre la documentation de l'environnement de contrôle avec son évaluation réelle reste le premier piège. Un manuel de conformité de 30 pages ne signifie pas que l'environnement de contrôle est efficace. Notre documentation doit démontrer comment nous avons corroboré le contenu du manuel par le biais d'entretiens et d'un examen des actions réelles de la direction. ISA 315.A125 exige une évaluation fondée sur des faits, pas une acceptation de la représentation de la direction. Si le dossier est trop léger sur ce point, c'est un risque de contrôle qualité.

- Ne pas documenter les lacunes identifiées est une erreur que nous voyons régulièrement. Si nous constatons que les approbations ne sont pas efficaces ou que la direction contourne les contrôles, nous devons le documenter dans notre papier de travail d'évaluation du risque et ajuster notre stratégie de révision. Laisser ce constat hors de la documentation et prévoir néanmoins une dépendance aux contrôles internes constitue une faiblesse de preuve.

- Assimiler un environnement de contrôle fort aux antécédents de conformité de l'entité est un raccourci trompeur. Une entité sans historique d'erreurs financières significatives peut avoir un environnement de contrôle faible si la direction ne démontre pas activement son engagement. À l'inverse, une entité qui a précédemment identifié et corrigé des erreurs peut avoir un environnement de contrôle plus solide grâce à sa vigilance continue.

Composante connexe : participation du gouvernement d'entreprise

La participation du gouvernement d'entreprise est étroitement liée à l'environnement de contrôle. Un conseil d'administration efficace qui supervise activement les politiques de contrôle et revoit les rapports d'audit interne renforce considérablement l'environnement de contrôle. ISA 260.A1 reconnaît l'importance de la communication avec le gouvernement d'entreprise lors de l'expression de l'opinion d'audit. Pour l'évaluation de l'environnement de contrôle, cette supervision est une preuve directe de l'engagement de l'entité envers le contrôle interne. Je l'avoue, dans les PME que nous auditons, cette composante est souvent la plus faible parce que le conseil d'administration se confond avec la direction opérationnelle.

Termes connexes

- Composantes du contrôle interne : les cinq éléments du Cadre COSO (environnement de contrôle, évaluation des risques, activités de contrôle, information et communication, activités de suivi) qui définissent la structure du contrôle interne d'une entité. - Risque non-rectifié : évaluation du risque que nous effectuons au niveau de l'entité après avoir examiné le contrôle interne et avant de planifier nos procédures substantives. - Activités de contrôle : les procédures opérationnelles spécifiques (approbations, réconciliations, séparation des fonctions, revues de gestion) qui fonctionnent au sein de l'environnement de contrôle. - Gouvernance d'entreprise : les structures et processus par lesquels l'entité est dirigée et contrôlée, y compris le rôle du conseil d'administration et du comité d'audit. - Culture de conformité : le climat éthique global et le comportement de la direction qui signalent aux collaborateurs la valeur que l'entité place sur l'intégrité et la conformité. - Évaluation des risques : le processus par lequel l'entité identifie les risques et détermine comment les traiter.

Calculatrice de profil de risque d'environnement de contrôle

Cet outil structure la documentation de l'évaluation de l'environnement de contrôle. Il guide à travers chacune des six composantes du Cadre COSO et capture les observations d'entretiens et de procédures. Il produit un résumé d'une page pour le papier de travail d'évaluation du risque.

Accéder à la calculatrice

---

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.