Surveillance des contrôles
La direction documente ses activités de surveillance le mois où un écart est détecté. Les autres mois, rien. Quand nous arrivons sur la mission, ce que nous trouvons, c'est du tampon : un cadre de surveillance qui existe sur le papier mais qui ne tourne que par exception.
Dans les dossiers que nous voyons, ce schéma se répète. Le contrôleur de gestion produit un rapprochement bancaire en mars parce qu'il y avait un écart de 1 800 EUR sur un compte. En avril, mai, juin, le rapprochement n'apparaît nulle part. Quand le CAC pose la question, la réponse est presque toujours la même : « On l'a fait, mais on n'a rien gardé parce qu'il n'y avait rien à signaler. »
Le suivi des contrôles est le processus continu par lequel la direction évalue l'efficacité opérationnelle des contrôles internes et corrige les défaillances détectées. Régi par l'ISA 315.15 et l'ISA 330.8.
> Points clés > - La surveillance est une activité permanente, distincte d'une évaluation ponctuelle des contrôles. > - Les défaillances de contrôle identifiées doivent être documentées et communiquées à la direction et à l'audit interne. > - L'absence de mécanismes de surveillance formels est un constat d'inspection récurrent de la H2A.
Comment cela fonctionne
Sur les missions PME, ce que nous trouvons en pratique, c'est une surveillance qui n'existe que dans la mémoire des opérationnels. La responsable comptabilité « fait » le rapprochement, mais sans trace écrite. Le responsable d'entrepôt « vérifie » l'inventaire, mais le tableau Excel n'est sauvegardé qu'en cas d'anomalie. Le dossier est trop léger pour conclure que le contrôle a opéré.
En théorie, l'ISA 315.15 stipule que la direction met en place des activités de surveillance pour évaluer l'efficacité des contrôles au fil du temps. La norme distingue cette surveillance d'une revue d'efficacité ponctuelle : elle doit être intégrée aux processus opérationnels. Un contrôleur de gestion qui rapproche mensuellement les soldes comptables, un trésorier qui approuve les paiements au-delà d'un seuil.
L'ISA 330.8 oblige le CAC à évaluer si ces activités de surveillance ont permis à la direction d'identifier et de corriger les défaillances. Si la direction n'a pas mis en place de surveillance, ou si les activités existantes ne couvrent pas les risques identifiés, c'est une faiblesse de contrôle interne que le CAC doit qualifier et communiquer.
La norme dit que la documentation doit couvrir ce qui a été surveillé, par qui, quand, et comment les défaillances détectées ont été traitées. Ce qui se passe en pratique, c'est que la documentation existe pour les périodes à exception et disparaît pour les périodes calmes. Une surveillance sans trace écrite n'est pas une surveillance auditable, même si elle a réellement eu lieu.
Exemple pratique : Alpes Électronique S.A.R.L.
Client : fabricant français de composants électroniques, basé à Chambéry, 58 M EUR de chiffre d'affaires, normes IFRS.
Étape 1 : Identifier les activités de surveillance existantes. La direction a documenté trois activités de surveillance. - Rapprochement mensuel des comptes de trésorerie par la responsable comptabilité (documents d'appui conservés dans le classeur « Trésorerie » du système comptable). - Revue mensuelle des écarts de variation de stocks par le responsable d'entrepôt (rapport d'inventaire rapproché avec la compta chaque mois). - Approbation trimestrielle des écarts de provisions en fin de période par le directeur financier (tableau de suivi conservé dans Excel, signé et daté).
Étape 2 : Vérifier la couverture par rapport aux risques significatifs identifiés à la planification. À la planification, l'équipe a identifié trois risques significatifs : les erreurs de trésorerie (soldes mal rapprochés, impact direct sur les actifs courants), les ajustements d'inventaire non autorisés (impact sur le coût des ventes), les provisions mal évaluées (ISA 540 apply). La surveillance couvre les trois zones. Le risque de fraude en paie n'a pas d'activité de surveillance assignée. Le directeur de mission documente cela : « Constat : aucune surveillance des approbations de paie au-delà de 5 000 EUR. À documenter dans le mémo de synthèse de contrôle interne ».
Étape 3 : Tester si la surveillance a fonctionné en pratique. Pour chaque activité de surveillance, l'équipe d'audit sélectionne un mois et vérifie que l'activité s'est réellement déroulée. Le rapprochement de trésorerie : trouvé pour septembre, pas trouvé pour juillet (documentation manquante). L'équipe demande à la responsable comptabilité : « Avez-vous fait le rapprochement en juillet ? » Réponse : « Oui, mais je ne l'ai pas gardé parce que nous n'avions pas eu d'écarts. » Documentation note : défaillance de surveillance en juillet = non-exécution d'une activité de surveillance programmée, ISA 330.8(b): manque de preuve que le contrôle a opéré.
Étape 4 : Vérifier si les défaillances détectées par la surveillance ont été traitées. Dans le rapport d'inventaire d'août, le responsable d'entrepôt a noté un écart de -2 300 EUR entre le système et l'inventaire physique. Interrogé par l'équipe, il affirme avoir escaladé verbalement au directeur financier le jour même, mais aucune trace écrite n'existe : pas d'e-mail, pas de note dans le tableau de suivi des stocks, pas de mention dans le compte rendu du comité de direction du mois.
C'est ici que les avis divergent. Le partenaire A accepterait l'escalade verbale si elle était corroborée par le directeur financier (interview de confirmation, cohérence avec un ajustement comptable enregistré le mois suivant). Le partenaire B traiterait l'absence de trace écrite comme une déficience de contrôle, parce que l'ISA 330.8(c) exige une preuve d'audit que la défaillance a été corrigée, et qu'une affirmation orale corroborée par une seconde affirmation orale ne constitue pas un élément probant suffisant.
Notre lecture : le partenaire B a raison sur la lettre de la norme, mais la résolution dépend de la matérialité. À 2 300 EUR sur un seuil de matérialité d'environ 580 000 EUR (1 % du CA), la déficience est isolée et documentable comme telle. Si le même schéma se répétait sur cinq mois, le verdict basculerait : ce serait une déficience systémique de la surveillance. Documentation note : élément probant manquant que la défaillance a été corrigée, ISA 330.8(c).
Conclusion Alpes Électronique a documenté ses activités de surveillance mais n'a pas maintenu de preuve systématique de leur exécution, en particulier quand aucun écart n'était détecté. Cela affaiblit la conclusion du CAC sur l'efficacité des contrôles internes. L'équipe doit étendre les tests de surveillance, augmenter la taille de l'échantillon, et potentiellement réduire la confiance accordée à ce contrôle pour réduire la population d'anomalies attendues.
Ce que les auditeurs et les inspecteurs trouvent faux
- Constat d'inspection (H2A, 2023): plusieurs dossiers confondaient la surveillance des contrôles (activité continue de la direction) avec une revue annuelle informelle ou ad hoc du contrôle interne. La documentation était absente pour les périodes où aucun écart n'était survenu. Les entreprises tendaient à documenter seulement quand quelque chose d'anormal s'était produit, ce qui ne satisfait pas l'exigence de surveillance continue. Je l'avoue : c'est le constat qui revient en revue de dossier le plus souvent. Pas une fois. À chaque mission de PME où la direction n'a pas une fonction d'audit interne dédiée.
- Erreur courante ISA 330.8: l'équipe d'audit évaluait uniquement les activités de surveillance formelles désignées, sans considérer les contrôles opérationnels implicites (ex. : un trésorier qui approuve les virements sans une procédure écrite). L'ISA 315.15 exige que la direction évalue l'efficacité, pas seulement qu'elle crée des activités nommées. Quand un confrère évalue la surveillance au doigt mouillé, sans tester l'opération réelle du contrôle, le constat H2A tombe.
- Lacune de pratique documentée: l'absence de lien clair entre les défaillances détectées par la surveillance et les actions correctives. La plupart des entités avaient des rapports de surveillance mais pas d'évidence que les défaillances avaient été traitées. Cela rend la surveillance ineffective selon l'ISA 330.8(c).
Pourquoi le schéma de documentation par exception persiste
Nous avons une opinion sur ce point, parce que le constat se répète trop pour être un hasard. Le budget temps alloué aux tests de contrôle suppose implicitement que la surveillance fonctionne, et donc que l'équipe d'audit n'aura à examiner que les exceptions. Documenter l'absence d'exception coûte le même temps administratif que documenter une exception réelle, sans valeur perçue par les opérationnels. Les équipes de la direction produisent donc une preuve de surveillance uniquement quand un écart se manifeste, ce qui crée mécaniquement le pattern que la H2A relève en inspection.
Ce point ne se trouve ni dans l'ISA 315 ni dans l'ISA 330. Il vient de la lecture cumulée des dossiers : les normes décrivent l'exigence, mais elles ne décrivent pas la pression budgétaire qui pousse les opérationnels à ne documenter que les anomalies. Tant que cette pression n'est pas adressée par la direction (ou par le CAC qui élargit son test au-delà des mois à exception), le constat reviendra.
Surveillance documentée par exception : le plaidoyer
Thèse : la surveillance documentée uniquement quand un écart est détecté ne satisfait pas l'ISA 330.8, contrairement à ce que beaucoup d'équipes croient.
Contre-argument : certains soutiennent que la documentation par exception est suffisante quand le risque inhérent est faible et que l'environnement de contrôle global est jugé fiable. L'argument repose sur une lecture de l'ISA 330.5 qui permet d'ajuster la nature et l'étendue des procédures au risque évalué.
Réfutation : l'ISA 330.8(c) est explicite. L'auditeur doit obtenir un élément probant suffisant que le contrôle a opéré pendant la période de confiance, ce qui inclut les périodes sans exception. Une absence de documentation pour onze mois sur douze ne permet pas de conclure que le contrôle a opéré sur ces onze mois. Le risque faible permet de réduire la taille de l'échantillon, pas d'éliminer la preuve d'opération du contrôle.
Verdict : la documentation par exception est une déficience de surveillance, pas un choix méthodologique défendable. Le CAC doit traiter le manque de documentation des périodes calmes comme un défaut de preuve, pas comme une absence de problème.
Surveillance des contrôles vs. Tests des contrôles (audit)
La surveillance est une responsabilité de la direction. Les tests des contrôles sont une procédure d'audit. Ce qui les distingue, c'est l'acteur et le moment.
| Dimension | Surveillance des contrôles | Tests des contrôles (audit) |
|---|---|---|
| Qui exécute | Direction, audit interne, opérationnels | Auditeur externe |
| Fréquence | Continue, intégrée aux opérations | Ponctuel, dans le cadre de la mission |
| Objectif | Maintenir l'efficacité opérationnelle | Fonder le jugement sur l'efficacité |
| Documentation | Rapports, approbations, notes du responsable | Papiers de travail d'audit, memos de test |
| Action corrective | Immédiate (responsabilité de la direction) | Rapportée à la gouvernance (responsabilité de l'auditeur) |
Quand cette distinction compte dans une mission
Sur une petite banque coopérative française, l'équipe a accepté la surveillance comme effective sans tester la cause racine. Le responsable des crédits revoyait chaque semaine les approbations de prêt au-delà d'un montant seuil. Le CAC a testé cette surveillance, constaté qu'elle était exécutée, vu que la direction avait corrigé deux dépassements de pouvoir au cours de l'année, et conclu à la réduction des tests de contrôle.
L'ISA 330.8 exige que la surveillance non seulement identifie les défaillances mais conduise à des corrections efficaces. Ce qui s'est passé en pratique, c'est que le CAC n'a pas vérifié si le responsable avait lui-même l'autorité pour approuver les dépassements, ou s'il aurait dû les escalader davantage. La surveillance avait détecté le problème, mais l'action corrective n'avait pas adressé la cause racine, qui était une définition insuffisante des pouvoirs de signature dans la matrice de délégation.
Une surveillance sans escalade appropriée n'est que du monitoring superficiel.
Termes connexes
- Contrôles internes: le système complet, dont la surveillance est un composant. - Tests des contrôles: la procédure d'audit pour évaluer l'efficacité du contrôle. - Évaluation du risque de contrôle: la conclusion de l'auditeur sur le risque résiduel après avoir testé les contrôles et la surveillance. - Défaillances de contrôle: une faiblesse détectée par la surveillance ou par l'audit. - Audit interne: fonction qui exerce souvent un rôle dans la surveillance de la direction. - ISA 315 : Identification et évaluation des risques: norme mère définissant le contexte de la surveillance.
---