Les 5 composantes du contrôle interne
Le contrôle interne poursuit un objectif global, la maîtrise par un organisme de ses activités. Il est explicité ci-dessous via la méthodologie COSO.
Même si celle-ci n’est pas la seule à traiter du contrôle interne, elle est très largement répandue et se révèle adaptée pour structurer la maîtrise des risques liés à la gestion des politiques publiques.
Le référentiel COSO décline le contrôle interne en quatre objectifs opérationnels :
- le respect des lois, règlements, contrats ;
- la protection du patrimoine, dans une acception aujourd’hui élargie qui comprend, outre les actifs de l’organisme, ses agents et son image ;
- la fiabilité et l’intégrité des informations financières et opérationnelles (fiables et vérifiables, exhaustives, pertinentes, disponibles) ;
- l’efficacité et l’efficience des opérations.
Le COSO classe en 5 composantes les dispositifs qu’un organisme doit définir et mettre en œuvre pour maîtriser au mieux ses activités. Ces 5 composantes de dispositifs sont déclinées pour chacun des 4 objectifs décrits ci-dessus et à tous les niveaux de l’organisation : entité, directions, unités opérationnelles, opérateurs (entités contrôlées).
1ère composante : un environnement interne favorable à la maîtrise des risques
Il repose notamment sur :
- une implication des responsables en termes d’intégrité et d’éthique,
- le pilotage des activités,
- une organisation appropriée (les différentes instances de gouvernance remplissent pleinement leur rôle),
- une définition claire des responsabilités et des pouvoirs,
- des procédures formalisées et diffusées,
- la mobilisation des compétences.
2ème composante : une évaluation des risques
Celle-ci comprend deux temps :
- l’identification des risques sur la base d’une analyse des activités, tant au niveau global de l’organisme qu’au niveau détaillé de chacune de ses activités ;
- la hiérarchisation de ces risques en fonction de leur impact en termes d’enjeux pour l’organisme.
3ème composante : des activités de contrôle qui comprennent les dispositifs mis en place pour maîtriser les risques de ne pas atteindre les objectifs fixés
- Les dispositifs doivent être proportionnés aux enjeux,
- ils peuvent être transverses à l’organisme, pour faire face à des risques généraux ou propres à une activité,
- ils sont de natures diverses : mise en place d’une procédure, d’une méthode, action de contrôle mutuel ou de supervision…
4ème composante : la maîtrise de l’information et de la communication
Elle recouvre :
- la qualité de l’information (contenu, délais de disponibilité, mise à jour, exactitude, accessibilité) nécessaire au contrôle interne,
- la qualité des systèmes d’information, stratégiques et intégrés aux opérations,
- la définition des règles et modalités de communication interne (implication du secrétaire général en matière de contrôle interne, bonne connaissance du dispositif de contrôle interne par les agents),
- la communication externe (information à l’extérieur de l’organisme sur la mise en œuvre de la démarche de contrôle interne).
5ème composante : le pilotage du contrôle interne
Il repose sur :
- l’appropriation du contrôle interne par chaque responsable qui doit le conduire à définir, mettre en place, piloter les dispositifs de maîtrise des risques dans son périmètre de responsabilité ;
- une sensibilisation des responsables à la nature du contrôle interne (maîtrise des activités) et à ce qu’ils doivent faire pour le mettre en œuvre, de façon à permettre cette appropriation ;
- des processus d’actualisation (mise à jour) permanents des dispositifs de contrôle interne ;
- des dispositifs d’évaluation (internes continus et externes ponctuels, notamment par l’audit interne).