Année Universitaire 2006/2007 - 1 - Mémoire de Fin D'études

Thème : Nouveautés introduites par la LSF et la loi SOX en matière
de contrôle interne
“Confidence in financial reporting is critical to capital formation in our economy and thus
critical to the health of our nation's industries. Companies can only earn investor trust with
reliable and complete financial data – the product of a well-tuned and robust internal control
system. The massive accounting and financial reporting scandals at the beginning of the
decade left investors to question the reliability of public company financial reporting, and
serve as a lasting reminder of the consequences of poor internal controls. Section 404
reporting is too important not to get right. The resources now being devoted to Section 404
will, in the long run, prove to be money well spent.”
William Donaldson, Chairman, SEC, March 29, 2005

Wall Street Journal
“As a result of Sarbanes-Oxley and SEC regulations, the intent of the Congress to strengthen
financial reporting credibility is being achieved. The managements of public companies are
more aware of their financial reporting responsibilities, and investors have a higher degree of
confidence in the documents they produce. In the long-term, that’s good for U.S. businesses
and investors in the American capital markets.”
William R. Brown, Executive VP and CFO, Plum

Creek Timber Company, March 23, 2005
Comment Letter on SEC File No. 4-497:
Implementation of Sarbanes-Oxley Internal
Control Provisions
Année universitaire 2006/2007 -1- Mémoire de fin d’études

DEDICACES
Je dédie ce travail aux êtres qui me sont le plus cher au monde, mes chers
parents, et mon frère
Je dédie également ce travail à la famille CHEIKH YOUSSEF à qui je

dois la réussite de mon stage
Ainsi qu’à toute ma seconde famille que sont mes ami(e)s et nos chers
professeurs de l’Institut Supérieur de Commerce et d’Administration des
entreprises et surtout à mon encadrant Monsieur BIADE .

REMERCIEMENTS
Je voudrais remercier en premier lieu mes parents ainsi que la famille

CHEIKH YOUSSEF en les personnes de Mr CHEIKH YOUSSEF TAREK
mon ami intime pour la vie et ces parents Mme ENNAKI CHEIKH YOUSSEF
KHADIJA
KHADIJA et Mr CHEIKH YOUSSEF HANI ainsi que Mr AZIZ BIDAH
ASSOCIE au sein de PWC car sans eux je n’aurai jamais eu l’occasion
d’effectuer mon stage au sein de PRICEWATERHOUSECOOPERS.
Mes plus sincères remerciements vont pour ainsi dire à M. BIADE,

BIADE mon
encadrant, pour son intérêt et son assistance.
Par la même occasion, je tiens à remercier vivement tous les

collaborateurs du Cabinet PRICEWATERHOUSECOOPERS, et plus
particulièrement Mme.
me. Najat MOUGHIL Manager au sein de PWC pour
m’avoir fait confiance en me traitant comme un collaborateur et en me
permettant de participer à une multitude de missions ou j’ai beaucoup appris.
Mes plus sincères remerciements vont également à Mlle Fatima-
Fatima-zahra AZIZI,
AZIZI
Mr Nazih BELHAJ,
BELHAJ Mr Youssef IRAKI,
IRAKI Mr Mohammed Amine RAIS,
RAIS Mr
Simohamed OUZZINE et Mme Amina LAHLOU pour leur accueil chaleureux,
leur disponibilité face à mes questionnements et l’aide qu’ils m’ont offerte
pendant toute la période de mon stage.

Aussi, mes plus vifs remerciements pour tout le staff administratif et le corps
professoral de l’Institut Supérieur de Commerce et d’administration des
Entreprises, pour la qualité de l’enseignement et d’encadrement prodigués tout
au long de mon cursus universitaire.
Pour finir, je remercie toutes les personnes qui ont participé, de près ou de
loin à réaliser ce travail.

INTRODUCTION GENERALE
Partie introductive : Historique, organisation, domaine

d’activité et la démarche d’audit………………………
d’audit………………………p
………………………p10
I. Présentation de PriceWaterhouseCoopers et de son secteur d’activité…….. p11
II. L’émergence et le développement de la fonction d’auditeur……………….. p21
III. Méthodologie et démarche d’audit PWC…………………………………...p24
Partie I : Présentation du Sarbanes-

Sarbanes-Oxley Act de 2002 et de la
Loi sur la
la Sécurité Financière de 2003 et leur apports dans le
cadre d’une mission de contrôle interne………………
interne………………...
………………...p ...p 30
Chapitre I : Définition et principes de base du contrôle Interne
Interne…………………
………………….
………………….p 31
Section 1 : Définition de la notion de contrôle interne
Section 2 : Les objectifs du contrôle interne
Section 3 : Principes généraux du contrôle interne
Section 4 : Les obstacles & limites du contrôle interne
Section 5 : Conséquences de l’évaluation du contrôle interne
Chapitre II : La
La Loi sur la
la Sécurité financière……………………………………
financière……………………………………p
……………………………………p 38
Section 1 : Apercu général sur la LSF
Section 2 : Les nouveautés introduites par la LSF

Chapitre
Chapitre III : La loi Sarbannes-
Sarbannes-Oxley…………………………………………….
Oxley…………………………………………….p
…………………………………………….p 64
Section 1 : Aperçu général sur la loi SOX
Section 2 : Les dispositions de la loi SOX
Section 3 : Exemple de mise en place d’un processus d’évaluation du contrôle interne selon la loi SOX
Chapitre IV
IV : Comparaison entre la LSF et la SOX………………………………
SOX………………………………p
………………………………p 89
Partie II : Proposition d’une méthodologie de revue du système

de contrôle interne selon les dispositions de la loi Sarbannes-
Sarbannes-
oxley : « Cas d’une entreprise de commercialisation de voitures »
Chapitre I : Activité de l’ «entreprise

«entreprise T »…………………………………………p 93
Chapitre II : Appréciation du contrôle interne de la société

société « T » selon les dispositions de la
loi SOX………………………………………………………………………
SOX………………………………………………………………………..
………………………………………………………………………..p ..p 95
Section 1 : Le cycle personnel / paie……………………………………………………………p 95
1) Descriptif du cycle
2) Risques liés aux processus personnel/paie contrôle palliatifs et testing
Section 2 : Le cycle trésorerie………………………………………………………………….p 116
2) Risques liés aux processus trésorerie et contrôle palliatifs
3) Testing
Section 3 : Le cycle immobilisations…………………………………………………………….p 131
2) Risques liés aux processus immobilisations et contrôle palliatifs
3) Testing
Section 4 : Lettre de contrôle interne……………………………………………………………p 147
CONCLUSION GENERALE
BIBLIOGRAPHIE…………………………………………………………………………p 151
WEBOGRAPHIE………………………………………………………………………….p152
ANNEXES………………………………………………………………………………….p 154

Abréviations utiles :
AFEP : Association Française des Entreprises Privées

AMF : Autorité des Marchés Financiers
ANSA : Association Nationale des Sociétés par Action
CA : Conseil d’Administration
CEO : Chief Executive Officer (Directeur Général)
CFO : Chief Financial Director (Directeur Financier)
CMF : Conseil des Marchés Financiers
CNCC : Compagnie Nationale des Commissaires aux Comptes
CDGF : Conseil de la Discipline de la Gestion Financière
COB : Commission des Opérations de Bourse
COSO: Committee of Sponsoring Organizations of the Tradeway Commission
ICOFR : Internal Control Over Financial Reporting (l’évaluation du control interne)
GAAP : General Accepted Accounting Principles
LSF : Loi sur la Sécurité Financière
MEDEF : Mouvement des entreprises de France
OECCA : Ordre des Experts Comptables & Comptables Agrées
PCAOB : Public Company Accounting Oversight Board
SEC: Securities & Exchange Commission
SOX: Sarbanes-Oxley
SOA: Sarbanes-Oxley Act

INTRODUCTION GENERALE :
Je tiens tout d’abord à introduire mon sujet par l’intérêt que je porte à ce dernier. J’ai choisi
de traiter ce sujet vu, bien évidemment, le grand intérêt que je lui porte, mais surtout parce
que je pense que ce sujet sert l’Interet général, dans la mesure où l’application de ces lois
permettrait d’assurer une certaine transparence des entreprises cotées en bourse.
En d’autres mots, qui dit entreprise cotée en bourse dit argent des épargnants qui y
investissent en achetant des parts de ces sociétés, de ce fait en étant actionnaires ils prennent
le risque de ne pas réaliser des plus-value ou le cas extrême de perdre leur argent en cas de
liquidation de ces entreprises pour causes de management frauduleux comme en témoigne
l’affaire ENRON.
La loi SOX et la LSF sont venus accentuer les contrôles internes au sein des entreprises
cotées en bourse pour protéger les épargnants et surtout les actionnaires minoritaires et c’est
donc pour cela que ce sujet sert l’intérêt général.
En effet l’économie de marché fondée sur la libre confrontation de l’offre et de la demande

et, sur le plan international, sur la liberté des échanges a démontré sa supériorité par rapport à
tout autre mode d’organisation économique. Elle doit avoir pour corollaire des mécanismes de
régulation efficaces. Il n’y a pas de système libéral sans confiance dans les règles de droit et
leur bonne application.
Un tel système ne peut tolérer la fraude. Si des actes frauduleux sont commis, ils doivent
être sanctionnés. Les législations prévoient en général des sanctions pénales sévères. Il est
normal qu’elles soient appliquées. Il faut toutefois dissiper l’illusion que la multiplication ou
l’aggravation des sanctions pénales puissent constituer une protection efficace contre les
risques principaux qui sont l’erreur stratégique ou la mauvaise gestion.

Ces risques ne seront pas non plus éliminés par le plus parfait des systèmes de régulation.
En revanche, il importe que les règles et usages en vigueur en limitent l’occurrence et
favorisent un comportement éthique de la part des acteurs. Restaurer la confiance, c’est donc
s’assurer que l’on dispose de règles suffisamment claires et adaptées et mettre tout en œuvre
pour que ces règles soient effectivement appliquées.
Les événements qui ont affecté la sphère financière mondiale à travers la révélation de
pratiques comptables critiquables et, qui ont affectés des entreprises de taille mondiale, ruinés
des actionnaires, des salariés, et conduit à la disparition d’un des premiers cabinets d’audit,
sont à l’origine d’une grave crise de confiance dans l 'essence même de l’économie de
marché : la qualité du gouvernement des entreprises et la fiabilité des comptes qui sont le lien
entre la réalité de l’entreprise et les actionnaires, institutionnels ou individuels.
Ces événements ne se sont pas produits dans un monde déréglementé. Aux Etats-Unis
notamment, règles et normes sont fort abondantes, extrêmement détaillées et leur violation est
lourdement sanctionnée.
Ce qui en cause est moins la règle que son esprit, moins la norme que les comportements.
Non qu’il ne faille réglementer, mais les règles formelles et leur respect apparent ne suffisent
pas. Le bon fonctionnement des entreprises nécessite de la part de l’ensemble des acteurs
l’application loyale et la mise en œuvre de bonne foi des « règles du jeu », ce qui implique
que leurs objectifs soient compris et acceptés par tous.
Suite à cette crise, la nécessité de se pencher à nouveau sur un certain nombre de principes
relatifs au gouvernement d’entreprise, à l’information et à la communication financière ainsi
qu’à la pertinence des règles comptables est apparue évidente.
C’est dans cet état d’esprit qu’est apparue la nécessité de réformer la réglementation en
vigueur. Cette nécessité s’est traduite dans la réalité par la promulgation de deux lois qui ont
chamboulé les principes déjà en place. En l’occurrence, il s’agit du Sarbanes-Oxley Act of
2002 et de la Loi sur la Sécurité Financière de 2003.

Chapitre introductif :
PRESENTATION DU CABINET PWC ET DE LA DEMARCHE D’AUDIT
Année universitaire 2006/2007 - 10 - Mémoire de fin d’études

I) Présentation de PriceWaterhouseCoopers et de son secteur d’activité :
A. Présentation du secteur d’activité de PriceWaterhouseCoopers :
C’est vers la deuxième moitié du XIXème siècle que les sociétés commerciales ont
commencé à soumettre leurs comptes à la vérification d’experts étrangers à l’entreprise. Etant
un lieu de confrontation d’intérêts divergents, la présence d’un arbitre neutre s’impose pour
veiller à ce que toutes les démarches suivies par l’entreprise soient légales et conformes aux
dispositifs juridiques stipulés par la loi.
Le commissaire aux comptes joue le rôle de cet arbitre externe à l’entreprise car c’est lui
qui certifie que les comptes annuels sont réguliers, sincères et donnent une image fidèle du
résultat des opérations de l’exercice écoulé, ainsi que la situation du patrimoine et financière
de la société à la fin de cet exercice.
En effet, dans le contexte de la crise économique internationale marquée par la rareté

des ressources et des débouchés, le Maroc s'est vu obligé d'appliquer depuis le début des
années 80 la Politique d'Ajustement Structurel (P.A.S).
Cette politique, tout en rétablissant les grands équilibres financiers de l'Etat, a introduit
un certain nombre de réformes qui ont touché l'environnement économique de l'entreprise
marocaine. Les réformes fiscales, comptables, bancaires, boursières, du commerce
extérieur…, ont été conçues pour pousser l'entreprise marocaine à s'ouvrir sur les marchés
extérieurs et à la faire sortir par la même occasion, du giron de l'Etat dans lequel elle s'est
développée (protection douanière, marchés publics, subventions, exonérations, etc.).
Ainsi, l'entreprise marocaine s'est vue progressivement obligée de tenir compte d'une
réalité : une concurrence internationale de plus en plus vive, des marchés de plus en plus
agressifs…, sa survie passe désormais et inéluctablement par une gestion plus formelle, plus
rigoureuse et plus méthodique. Cette gestion implique un recours de plus en plus important
vers les services d'auditeurs soit internes soit externes. Aujourd'hui, il est confirmé que l'audit
est un système moderne de gestion de l'entreprise.

Il est orienté de plus en plus vers l'amélioration des performances de celle-ci. C’est
ainsi, que le présent rapport s’inscrit dans le sens d’une vulgarisation et une meilleure
compréhension de ce métier qui malgré sa nécessité reste méconnu des milieux des affaires.
B. Présentation et organisation de PriceWaterhouseCoopers
1. PriceWaterhouseCoopers dans le monde
PWC est la première organisation mondiale de prestation de services intellectuels avec

125000 collaborateurs répartis dans 140 pays, dont le Maroc. PWC propose une gamme très
complète de services à ses clients pour accroître leur valeur ajoutée, maîtriser les risques et
améliorer la performance de leurs activités.
PWC a été créée par la fusion de deux firmes – PriceWaterhouse et Coopers &
Lybrand – chacune ayant existé depuis environ 150 ans.
Les étapes importantes de l’histoire des deux firmes
1849 : Samuel Lowell Price installe sa firme à Londres ;
1854 : William Cooper installe sa firme à Londres, qui devient après sept ans Cooper
Brothers ;
1865: Price, Holyland et Waterhouse s’associent;
1874 : changement de dénomination pour devenir Price, Waterhouse & Co. ;
1898: Robert H. Montgomery, William M. Lybrand, Adam A. Ross Jr. et son frère T.
Edward Ross constitue Lybrand, Ross Brothers et Montgomery ;
1921 : PriceWaterhouse et Coopers&Lybrand ouvrent un bureau à Bruxelles ;
1957 : Coopers Brothers & Co (UK), McDonald, Currie and Co (Canada) et Lybrand,
Ross Bros & Montgomery (US) fusionnent pour former Price & Lybrand ;
1982: Price Waterhouse World Firm a vu le jour;

1990 : Coopers & Lybrand et Deloitte Haskins & Sells fusionnent dans plusieurs pays
dans le monde ;
1998: fusion mondiale de Price Waterhouse and Coopers & Lybrand pour créer
PriceWaterhouseCoopers.
Les cabinets régionaux PriceWaterhouseCoopers sont regroupés sous l’appellation

« PriceWaterhouseCoopers World Firm ». Chaque cabinet est autonome dans le contexte
national ou régional où il exerce et possède une politique et des structures qui lui sont propres.
« PriceWaterhouseCoopers World Firm » n’est pas engagé dans la pratique professionnelle ; il
sert de trait d’union entre les cabinets qui le composent, élabore les normes professionnelles et
s’assure de leur application et coordonne la communication des idées et des technologies
nouvelles. « PriceWaterhouseCoopers World Firm » est le centre de recherche, du
développement et du contrôle de la qualité de PriceWaterhouseCoopers.
2. PriceWaterhouseCoopers au Maroc
Une expérience étendue
PricewaterhouseCoopers au Maroc est une société de droit marocain faisant partie du

réseau mondial de PricewaterhouseCoopers. Grâce à l’exercice, depuis 1960, de son activité
au Maroc, son personnel a acquis une longue expérience dans le domaine de l’audit et du
conseil. Son activité s’étend également à d’autres pays africains et du Maghreb pour
d’importants projets, notamment en Tunisie, Guinée et Mauritanie.
PricewaterhouseCoopers est le premier cabinet d’audit et de conseil au Maroc. Ils

disposent au Maroc de deux bureaux, un à Casablanca, l’autre à Rabat.
Son portefeuille clients est très diversifié, il comprend des sociétés marocaines très
importantes, parmi lesquelles des banques, des assurances, des cimenteries, des sociétés
touristiques et hôtelières, des sociétés textiles et de confection, des sociétés du BTP ou de
matériaux de construction, des négociants d’engins de travaux publics, de mécanique et
d’assemblage de véhicules, de produits chimiques et pharmaceutiques, des entreprises
publiques...

De même dans les autres pays du Maghreb et en Guinée, ils servent une clientèle
d’importance nationale. Leurs domaines de compétence touchent tous les besoins en matière
d’audit, d’assistance et de conseils, et plus particulièrement :
L’audit comptable et financier
L’étude-diagnostic « Businessman’s review » ;
La conversion/retraitement des états financiers pour les adapter aux normes

spécifiques de certains pays ;
L’évaluation des entreprises ;
L’assistance comptable ;
Le conseil juridique et fiscal ;
Le conseil informatique ;
Le conseil en organisation et gestion ;
Le conseil en ressources humaines et assistance pour le recrutement ;
La formation professionnelle ;
La privatisation désengagement
Une équipe expérimentée et des moyens techniques modernes
L’effectif total du cabinet est composé aujourd’hui de plus de 100 personnes, parmi
lesquelles sept associés. Les collaborateurs nationaux et étrangers sont de formation
universitaire ou sortis des grandes écoles et comptent plusieurs années d’expérience
professionnelle au Maroc et à l’étranger.
Grâce à un respect strict des normes de la firme en matière de formation continue et à la

volonté des responsables du cabinet marocain de maintenir un niveau élevé de ses
compétences, les collaborateurs, de l’assistant débutant à l’associé, suivent chaque année des
cycles de formation, au Maroc et à l’étranger, pour la mise à jour de leurs connaissances et
leur perfectionnement.

Chaque collaborateur est doté d'un micro-ordinateur pour contribuer efficacement à la

réalisation de ses missions. Grâce au serveur local dont dispose PWC, les auditeurs sont en
permanence en contact avec le bureau. De même, le système de messagerie électronique
"Lotus Notes" les relie à l'ensemble du réseau PriceWaterhouseCoopers et leur permet de
puiser en temps réel dans les banques de données de la firme les informations utiles à
l’activité et à la clientèle concernées.
Fiche signalétique :
♦ Raison sociale : PriceWaterhouseCoopers
♦ Statut juridique : Société à Responsabilité Limitée
♦ Capital social : 2 000 000 DHS
♦ N° d’affiliation à la CNSS : 1618620
♦ N° d’enregistrement au Registre de Commerce : 34533
♦ Article patente : 35 700 071
♦ Article IS : 35 100 560
♦ T.V.A : 801 057
♦ Identifiant fiscal: 01031195
Part de marché :
D’après les dires des managers au cabinet, aucune étude n’a été cependant entreprise pour
la détermination de la part qu’occupe le cabinet sur le marché d’audit au maroc. Ils estiment
qu’ils sont leaders en auditant près de 93% des entreprises dans tous les domaines d’activité,
chapotés, en deuxième place, par le cabinet Ernest&Young.

Concurrence :
Les concurrents de PWC sont principalement les 3 autres cabinets d’audit internationaux
faisant partie de ce que l’on appelle « les Big-Four » à savoir : Ernst&Young, K.P.MG et
Deloitte&Touch ; en plus de l’apparition de grands cabinets marocains tels que : FIDAROC,
Masnaoui Mazars qui est devenu, de nos jours, un cabinet international.
Organigramme :
D’après ce qui m’a été communiqué par quelques auditeurs puis confirmé par le manager,
il n’existe pas d’organigramme démontrant la hiérarchie au sein du cabinet. Ce dernier est
dirigé par des associés dont chacun détient une portefeuille clients, assistés par des managers
qui supervisent les missions d’audit qui, à leur tour, sont subordonnés de chefs de missions
dont l’objectif est de briefer et d’accompagner les assistants tout au long des missions pour
lesquelles ils ont été programmés.
Les domaines de compétence :
a. Audit
PriceWaterhouseCoopers entreprend des missions d’audit conformément aux normes

internationales. L’approche de la firme, qui est clairement définie et totalement assimilée par
le personnel professionnel qu’elle emploie, est fondée sur la reconnaissance du caractère
unique de chaque entreprise et de la nécessité de prendre en compte sa spécificité. Ainsi, les
collaborateurs utilisent la méthodologie de PriceWaterhouseCoopers « PW Business
Approach ».
Celle-ci met à contribution d’une manière intensive, pendant la phase de planification,

des personnes hautement qualifiées et expérimentées, un associé et un directeur d’audit, afin
d’identifier les risques pour chaque activité significative de l’entreprise et d’élaborer le plan
d’audit.
L’évaluation des risques intrinsèques et des risques de contrôle interne permettront,

d’une part, la détermination de l’étendue des travaux des auditeurs et d’autre part, une
contribution immédiate à l’amélioration du contrôle de ces risques.

L’audit de PWC donne lieu à l’émission de la part des auditeurs d’un avis formel sur
les états financiers apportant l’assurance que ceux-ci ne contiennent aucune erreur ou
omission qui pourrait affecter de manière significative la situation financière ou le résultat des
opérations de la société.
Dans le cadre d’une mission d’audit, les collaborateurs sont également appelés à
formuler des recommandations sur les systèmes de contrôle interne et comptable en vue de les
améliorer et d’assurer, ainsi, la sauvegarde du patrimoine de la société. Les équipes d’audit
comprennent, outre des auditeurs comptables et financiers, des spécialistes en fiscalité et en
informatique qui étudient alors les aspects fiscaux et informatiques liés à l’élaboration des
états financiers.
Les techniques d’audit employées font intervenir des progiciels élaborés par la firme qui
permettent, avec beaucoup plus d’efficacité et de rapidité, d’analyser, classer, sélectionner et
déterminer des ratios, etc.
b. Etudes Diagnostic
Une étude diagnostic, « Businessman’s review », basée sur des analyses approfondies des
états financiers et un examen des systèmes et procédures en vigueur, a pour but de donner une
appréciation générale sur la situation comptable et financière de la société et suggérer des
redressements comptables ou des améliorations des systèmes comptables et de contrôle
interne. L’étude diagnostic peut également avoir pour objet la revue du système de gestion
informatique, du respect ou non de toutes les prescriptions fiscales...
En fait, l’étude-diagnostic peut revêtir plusieurs aspects, selon les besoins du client et
l’objectif recherché.
c. Evaluation d’entreprise
Les collaborateurs de PWC interviennent pour le compte d’entreprises intéressées par

la cession ou l’acquisition partielle ou totale de participations. Ces interventions se situent au
niveau de l’évaluation des actions des sociétés concernées ainsi que de la mise en relation des
acquéreurs potentiels. De par des contacts sur le plan national et international, ils assurent les
meilleures conditions pour la réalisation de telles opérations.

d. Organisation et restructuration
La compétence et la diversité de l’expérience des auditeurs permettent aux spécialistes d’entre

eux de diagnostiquer en profondeur l’organisation et la gestion des entreprises, de concevoir,
proposer et mettre en place une meilleure organisation et proposer les mesures destinées à
aider l’entreprise à mieux maîtriser la gestion.
D’autre part, dans le cadre de la restructuration d’entreprises, ces mêmes spécialistes sont en
mesure de fournir leurs conseils et de donner des avis professionnels pour sauvegarder au
mieux les intérêts de l’entité concernée tout en respectant les objectifs fixés.
e. Conversion et retraitement des états financiers
Afin de répondre aux besoins exprimés par des sociétés étrangères ou des organismes de
financement internationaux, les auditeurs sont en mesure de convertir et traduire les états
financiers conformément aux normes requises dans d’autres pays : Etats Unis, Grande
Bretagne. Ils sont également capables de les traduire dans d’autres langues étrangères.
f. Consolidation
Les spécialistes en matière de consolidation peuvent assister les groupes dans le processus
d’élaboration de comptes consolidé.
g. Etude et évaluation de projets
Le potentiel pluridisciplinaire du cabinet est disponible afin d’assurer la réalisation des projets
d’investissement dans les meilleures conditions. Les auditeurs procèdent à une étude de
faisabilité, analysent les aspects financiers, juridiques et fiscaux des projets afin de tirer le
meilleur parti des avantages accordés par les Codes des Investissements, les organismes de
financement : BIRD, SFI, BNDE, CIH, etc et interviennent pour la recherche de partenaires
nationaux ou étrangers.
De même, ils peuvent procéder à l’évaluation périodique de l’avancement d’un projet ainsi
que l’appréciation du respect des clauses contractuelles le concernant, des réalisations par
rapport aux enveloppes budgétaires prévues et de la cohérence des estimations pour son
achèvement.

h. Conseil juridique et fiscal
Les clients bénéficient en matière de constitution, fonctionnement, transformation ou fusion

de sociétés, des compétences et des connaissances approfondies acquises au fil des années par
les fiscalistes et juristes en droit fiscal, droit social et droit des sociétés.
Les entreprises étrangères opérant au Maroc peuvent également bénéficier des services
d’assistance du cabinet pour l’analyse de leur contrat et de ses conséquences en matière de
fiscalité, de réglementation de change et de constitution de société ou de prise de
participation.
i. Conseil en informatique
La firme utilise des micro-ordinateurs tant pour son usage personnel que pour ses clients. Elle
conseille ces derniers sur le choix des systèmes informatiques et les aide à mettre en place des
systèmes, comptable ou autres, ou encore à étudier le moyen de mieux rentabiliser leur
matériel informatique. Grâce à des progiciels élaborés par la firme, elle entreprend des revues
d’installation et des procédures en matière informatique.
j. Ressources humaines et recrutement
Les spécialistes de PricewaterhouseCoopers procèdent à l’étude des procédures en matière de

gestion du personnel et en matière de statut et grille de salaire et apportent aux entreprises
leurs conseils en la matière.
Ils mettent leurs compétences à la disposition de leur clientèle exerçant dans tous secteurs,
pour la recherche, de manière discrète et efficace, de cadres compétents, que ce soit pour les
postes administratifs, techniques ou de direction générale.
Ils réalisent également périodiquement des enquêtes sur les salaires des cadres pratiqués au
Maroc et en diffusent le résultat.
k. Formation professionnelle
Le cabinet organise des cours de formation, des séminaires, des conférences et stages dans
divers domaines à l’intention des cadres responsables des services comptable, financier,
juridique, fiscal, informatique et d’audit interne:

la supervision de l’application, par l’entreprise ou le secteur après sa privatisation ou

restructuration, des conseils et mesures appropriés ;
Le conseil sur le mode de cession : dispositions spéciales pour les employés, évaluation et
négociation de prix des cessions d’entreprises ;
L’élaboration de schémas juridique et financier. Il s’agit pour le Gouvernement d’établir

le dossier de désengagement. Ils l’assistent pour arrêter la forme de cession : actions,
actifs, participations, contrats de gestion ou concession ;
L’assistance dans le cadre de la négociation : élaboration des appels d’offres, recherche

d’acquéreurs, dépouillement des offres, examen et sélection, conseil lors de la négociation
Le « Management buy-out » : conseil à la direction ou au vendeur sur les achats pour

privatisation, y compris conseil sur la préparation de plans d’action ;
La participation des employés : Programme de participation des employés.
Le conseil sur la création de régimes réglementaires :
Concurrence,
Nécessités réglementaires,
Méthode et structure des règlements,
Fonctionnement des formules de prix (d’évaluation)
Le conseil aux entreprises, au législateur et aux tiers (éventuellement) sur :
Revue des prix et du contrôle des prix,
Normes de service,
Questions générales de réglementation
Le conseil sur les méthodes et conséquences de la déréglementation.

II) L’émergence et le développement de la fonction d’auditeur
Le terme audit trouve son origine dans le mot latin « audition » qui signifie
audition. Un audit est un passage en revue, un entretien, une audition devant aboutir à une
évaluation, à une appréciation d’un programme, d’une procédure auprès de ceux qui sont
chargés de les mettre en œuvre et en expliquent et en démontrent la valeur. C’est une revue
critique qui permet d’apprécier un travail déterminé, c’est toute une démarche qui se réfère
toujours à des normes (constituant un cadre de référence «objectif ») et se doit d’être
constructive. Le mot audit utilisé depuis plus de 30 ans en France, est arrivé des pays anglo-
saxons malgré son origine latine.
Depuis plus d’un siècle, l’évolution des affaires et des prescriptions légales a imposé
progressivement le recours à des réviseurs, vérificateurs et certificateurs indépendants pour
apprécier la fiabilité de l’information financière et comptable communiquée par l’entreprise
aux tiers actionnaires ou partenaires. Jusqu’alors, la technique la plus utilisée était celle du
pointage de toutes les écritures comptables dans les livres par rapprochement avec les
documents source.
Dans les années 30, la découverte de fraudes importantes mettant en cause la

responsabilité des auditeurs aux Etats-Unis et le très grand volume des opérations à contrôler
ont donné un élan décisif à la mise en forme d’une méthodologie très précise : il a été pris
conscience de l’incidence de la qualité de l’organisation administrative et comptable sur la
qualité des comptes, et il a été mis en forme de techniques permettant d’analyser et
d’apprécier la qualité de cette organisation pour pouvoir mieux orienter les tests de
vérification et en réduire l’étendue, juger la fiabilité des enregistrements et restreindre les
risques de fraude.
Dans le même esprit, la fonction d’audit interne apparaît dans certains grands groupes
pour épauler l’intervention des auditeurs externes dans les travaux de vérification et déceler
les risques de fraude (création en 1941 de l’Institute of Internal Auditors I.I.A.). Son domaine,
initialement limité aux secteurs comptable et financier, s’étend progressivement à
l’appréciation d’autres fonctions.

1. Le Rôle de l’auditeur :
L’audit : quoi, pour qui, pourquoi ?
De nombreuses personnes sont intéressées par l’entreprise et l’image qu’elle donne

d’elle-même :
Les dirigeants (qu’a-t-on fait ? Peut-on faire mieux ?) ;
Les actionnaires actuels, personnes morales ou physiques (résultats, situation

financière, peut-on faire mieux ?) ;
les actionnaires potentiels (dois-je acheter ?) ;
les salariés (quels sont les résultats auxquels nous sommes intéressés ?) ;
les fournisseurs (puis-je traiter ? serai-je payé ?) ;
les clients (puis-je traiter ? serai-je servi durablement ?) ;
l’Etat (résultat fiscal, agrégation des comptes nationaux).
Aussi, l’entreprise doit rendre compte et se rendre compte. Dans ce cadre, son système
administratif et comptable constitue un moyen de :
management (dirigeants) :
information (actionnaires, partenaires) ;
calcul de l’impôt (l’Etat) ;
preuve ;
connaissance de l’économie.
L’entreprise doit donner des informations. Pour être acceptables, celles-ci ne peuvent
pas être laissées à la discrétion de l’entreprise : il faut qu’elles soient contrôlées.

On peut définir l’audit comme un examen critique en vue de formuler une opinion sur
les états financiers (Quoi ?), dans l’intérêt de tous les participants, actuels ou futurs, à la vie
de l’entreprise sous quelque forme que se soit (pour qui ?). Cet examen critique correspond à
la nécessité de confirmer la validité des informations données par l’entreprise au niveau du
résultat et de la situation financière (pourquoi ?).
2. Les différents domaines de l’audit
La définition résultant de l’approche historique de l’audit ne représente qu’un des

aspects de ce qu’on appelle audit dans le milieu des affaires. C’est ainsi qu’on a dit que l’audit
financier est l’examen critique de la qualité de l’information financière (il s’agit d’assurer la
fiabilité de l’information et la sécurité des actifs ), par opposition à l’audit opérationnel,
examen critique des performances et de l’efficacité des fonctions dans l’entreprise (il peut
s’agir des systèmes d’information et d’organisation, des méthodes de direction, des conditions
d’exploitation et des résultats de l’entreprise, de sa stratégie).
L’audit financier peut être mené dans un cadre purement contractuel (déterminé par les
dirigeants de l’entreprise) et/ou dans le cadre prévu par la loi (obligation pour le plus grand
nombre d’entreprises d’avoir un ou plusieurs commissaires aux comptes, pour effectuer un
contrôle annuel des comptes et apporter aux actionnaires l’assurance de la qualité de
l’information financière qui leur est communiquée).
3. Mission permanente de certification : Méthodologie d’approche
La mission de certification s’assimile entièrement à une mission d’audit dans son

concept actuel au plan international. C’est la mise en œuvre de diligences, permettant de se
faire une opinion motivée et indépendante sur la régularité, la sincérité et l’image fidèle que
donnent les états de synthèse du résultat de l’entreprise, de sa situation financière et de son
patrimoine par référence à la loi comptable et le CGNC (Code Général de Normalisation
Comptable). L’orientation de son opinion est aussi vers les actionnaires que vers les tiers.
Celle-ci doit se réaliser dans le respect des dispositions légales et suivant les normes
généralement admises au niveau international.

Pour ce type de mission, plusieurs phases sont prévues pour le déroulement des travaux :
La conduite de la phase préliminaire
Evaluation du système de contrôle interne
Contrôle des comptes
La réalisation des travaux de fin de mission et de la rédaction du rapport

général
III) Méthodologie et démarche d’audit PWC:
1. L’approche PriceWaterhouseCoopers
L’approche PWC en matière d’audit est fondée sur l’hypothèse que chaque client est unique,
et par conséquent que chaque mission d’audit doit être réalisée conformément aux
particularités de chaque organisme afin d’en maximiser la qualité.
Cette approche repose sur la compréhension parfaite du client et de son environnement de
travail, et sur la conscience aiguë de ses besoins spécifiques, ce qui permet de concevoir les
services y répondant le mieux.
Pour PWC, les besoins du client passent avant toute autre chose, comme elle s’efforce de
concourir à l’amélioration de ses affaires en déterminant les domaines où des progrès sont
possibles.

2. Les normes d’audit PriceWaterhouseCoopers
Norme générale
Tout le travail d’audit est réalisé par des associés et des collaborateurs qui doivent faire
preuve d’indépendance intellectuelle et posséder la formation, l’expérience et la compétence
nécessaires pour pouvoir accomplir leurs missions.
Cette norme présuppose de la part des associés et collaborateurs un exercice
consciencieux de la profession. La conscience professionnelle implique des instructions, une
supervision adaptée et une revue critique du travail accompli et des conclusions tirées.
Norme de planification
Les missions d’audit doivent être planifiées de manière adéquate pour que la
multinationale puisse remplir son objectif global d’audit et déterminer les méthodes
permettant de le faire de manière efficace.
Le plan de l’audit doit se fonder sur la connaissance de l’activité du client, de
l’environnement dans lequel fonctionnent ses systèmes d’information et de contrôle, de la
nature de ses opérations et des systèmes d’information, de contrôle et de comptabilité qu’il
utilise. Le plan de l’audit doit être documenté dans les dossiers de travail et doit être révisé si
besoin est au cours de la mission.
Normes de contrôle interne
Il faut comprendre, évaluer et obtenir des preuves du fonctionnement réel des contrôles
sur lesquels il faut s’appuyer pour déterminer la nature, l’étendue et le calendrier des travaux,
en tenant compte de l’environnement spécifique à l’entreprise.
Norme relative aux preuves
Il faut revoir les états financiers dans leur ensemble et réunir suffisamment de preuves
pour pouvoir établir solidement le rapport sur les états financiers.

Norme de documentation
Les papiers de travail doivent comprendre la documentation de la planification et de la

supervision de la mission, les preuves sur lesquelles il faut s’appuyer et la raison des décisions
prises sur la présentation des informations données dans les états financiers et dans le rapport.
3. Le processus d’audit chez PriceWaterhouseCoopers :
Les travaux effectués par PriceWaterhouseCoopers au cours d’une mission d’audit

peuvent se présenter dans un ordre différent selon les cas, mais il existe en générale trois
phases essentielles, à savoir la planification, l’exécution et la finalisation.
L’existence de ces trois phases suppose que la mission d’audit a un début et une fin
bien déterminés.
a. La phase de planification
Les domaines d’activité, les risques auxquels sont exposés les clients, leurs systèmes
d’information, de comptabilité et de contrôle varient d’un client à l’autre. C’est pourquoi il
faut planifier l’approche d’audit afin de répondre aux besoins spécifiques de chaque client. La
phase de planification comprend une série d’étapes allant du général au particulier dans une
perspective « top down ». Il faut commencer par élaborer la stratégie d’audit pour l’ensemble
de la mission. Ce n’est qu’après avoir réaliser des plans plus détaillés pour chaque composant,
et déterminer les procédures spécifiques à appliquer pour, en dernier lieu, élaborer les
programmes de travail.
Ce plan stratégique représente la base à partir de laquelle s’effectue le reste de la

planification et la mission d’audit elle-même.
L’associé responsable et le manager déterminent l’approche d’audit adaptée au cas

précis en se fondant sur leur expérience, leur jugement et leur vision d’ensemble, ce qui
suppose qu’ils disposent d’une compréhension globale de l’activité du client, y compris la
manière dont il est organisé, dirigé et traite l’information. L’associé et le manager peuvent
ainsi prendre les premières décisions concernant l’approche d’audit qui sera appliquée à
chaque composant et à chaque unité opérationnelle.

Il arrive fréquemment, lors de l’élaboration du plan stratégique, que l’associé et le

manager ne disposent pas d’une compréhension suffisante des risques attachés à chaque
composant, ni des méthodes de contrôles mises spécialement en œuvre par la direction pour
les réduire.
Dans ce cas, le senior, sous la supervision du manager, doit normalement poursuivre la

planification plus en détail, c’est-à-dire obtenir des informations complémentaires et effectuer
des évaluations plus détaillées sur le risque et les contrôles. L’équipe obtient ainsi une
sélection de contrôles sur lesquelles s’appuyer et de vérifications substantives à réaliser afin
d’atteindre de manière efficace un degré
suffisant de conviction. La sélection est alors complétée par l’indication des travaux détaillés
et forme ainsi la base du programme d’audit.
Il convient de se rappeler que le plan d’audit n’est pas destiné à être totalement
refondu chaque année.
Le plan d’audit doit être documenté dans les dossiers de travail, et approuvé par écrit par
l’associé et par le manager.
b. La phase d’exécution
La phase d’exécution représente la mise en pratique du plan d’audit. Elle vise à mettre
en œuvre les procédures de révision prévues dans le plan afin d’obtenir les preuves d’audit.
Avec la phase d’exécution, il faut essayer d’obtenir un degré de certitude qui permet d’établir
le rapport d’audit. On obtient cette conviction en effectuant des vérifications de nature
substantive et en réunissant des preuves suffisantes pour s’appuyer sur les contrôles clés.
Quelle que soit la rigueur avec laquelle l’audit a été planifié, il peut arriver que le plan
d’audit soit modifié en cours de mission.
A chaque fois que l’étendue de la mission est modifiée dans des proportions importantes, la
modification apportée doit figurer dans la documentation et être approuvée par l’associé et le
manager.

La phase d’exécution est souvent divisée en une ou plusieurs visites intérimaire ou pré
finales effectuées avant la fin de l’exercice du client, et une visite finale réalisée une fois
l’exercice clos.
c. La phase de finalisation
Au cours de la phase de finalisation, les résultats du travail réalisé sur chaque

composant sont rassemblés. Dans le rapport d’audit, il faut examiner les résultats d’audit pour
chaque unité opérationnelle et pour chaque composant, et à tirer une conclusion pour
l’ensemble.
Lors de la phase de finalisation, l’associé, le manager et les seniors de l’équipe

d’audit effectuent une vérification critique du travail accompli. Cette vérification a pour but
d’assurer que le plan d’audit a été effectivement mis en œuvre, et permet de voir si les
résultats de l’audit ont été correctement évalués et les objectifs d’audit atteints.
De plus, il est nécessaire de prendre du recul par rapport aux détails pour effectuer une
vérification globale des états financier. Cette vérification globale, ajoutée aux conclusions
déjà tirées du travail d’audit détaillé fournit la base du rapport d’audit. Elle doit porter plus
particulièrement sur les domaines les plus significatifs et sur ceux comportant le plus de
risques, afin de permettre de confirmer qu’ils ont été pris en considération de façon adéquate
tant dans le travail d’audit que dans les états financiers.

L’objectif de ce présent travail, est de répondre aux questions suivantes :
Quels sont les principaux apports la loi SOX et LSF et quels sont les
risques qu’elles pourraient couvrir pour assurer la transparence et la
fiabilité des entreprises cotées en bourse ?
En pratique quelles sont les diligences mises en œuvre par le

commissaire aux comptes pour s’assurer du respect des règles dictées
par ces lois au sein des entreprises cotées en bourses ?
Pour ce faire, dans un premier temps, une présentation de la mission de contrôle interne et
une synthèse de la loi américaine dite loi Sarbanes-Oxley, promulguée en 2002 et de sa
consoeur française la Loi sur la Sécurité Financière votée par le Sénat français le 1 Août
2003 s’imposent.
Dans un deuxième temps un cas pratique viendra mettre en exergue les diligences mises
en œuvre par le commissaire aux comptes au niveau de chaque cycle, pour valider les
procédures de contrôle interne selon la loi SOX, et de ce fait prévenir et détecter les risques
potentiels qui menacent l’entreprise en question.

Partie I :
Présentation de la mission de contrôle interne et
des apports des lois LSF et SOX en matière de
contrôle interne

Chapitre I : définition et principes

de base du contrôle interne
Dans ce chapitre, il sera question de donner un aperçu général sur ce que c’est que le
contrôle interne, et ce au travers des définitions et de l’exposé de ses principes de base. Ce
chapitre mettra en exergue également les apports de la loi Sarbannes Oxley ainsi que de la
LSF en matière de contrôle interne.
SECTION 1 : DEFINITION DE LA NOTION DE CONTROLE

INTERNE
Au niveau de la procédure d’audit, l’appréciation du contrôle interne se situe à ce niveau :

Plusieurs définitions ont été données de cette notion avant la rédaction de l’ouvrage du
congrès 1977 de l’Ordre des Experts Comptables et Comptables Agrées portant sur le contrôle
interne. Dans toutes ces définitions, le contrôle interne est défini comme un état de faits
existant dans l’entreprise mais qui doit, par l’intervention, devenir délibéré, c'est-à-dire
constituer un système.
L’ouvrage cité ci- dessus, donne au contrôle interne la définition suivante : « Le contrôle
interne est l’ensemble des sécurités contribuant à la maîtrise de l’entreprise. Il a pour but
d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information, d’une part
et de l’autre, l’application des instructions de la direction et de favoriser l’amélioration des
performances. Il se manifeste par l’organisation, les méthodes et procédures de chacune des
activités de l’entreprise pour maintenir la pérennité de celle-ci. »
SECTION 2 : LES OBJECTIFS DU CONTROLE INTERNE
Le contrôle interne a 4 objectifs essentiels, qui peuvent être résumés dans le mot « CAViaR »
Completeness : Exhaustivité des enregistrements
Accuracy : Exactitude des enregistrements
Validity : Validité des enregistrements (c'est-à-dire que chaque

opération passée en comptabilité doit être réelle et doit avoir été autorisée par un décideur)
Ia
Restricted access : Accès restreint aux actifs et aux enregistrements

SECTION 3 : PRINCIPES GENERAUX DU CONTROLE INTERNE
Le contrôle interne repose sur un certain nombre de règles de conduite ou de préceptes,

dont le respect lui confèrera une qualité satisfaisante.
Les principes sur lesquels s’appuie le contrôle interne sont : (le contrôle interne, Ordre des
Experts Comptables et Comptables agrées 1977)
L’organisation ;
L’intégration ;
La permanence ;
L’universalité ;
L’indépendance ;
L’information ;
L’harmonie ;
1) Le principe d’organisation
Pour que le contrôle interne soit satisfaisant, il est nécessaire que l’organisation de l’entreprise
possède certaines caractéristiques. L’organisation doit être :
Préalable ;
Adapte et adaptable ;
Vérifiable ;
Formalise ;
Et doit comporter une séparation convenable des fonctions.
L’organisation doit être établie sous la responsabilité du chef d’entreprise. Cette

responsabilité consiste à fixer des objectifs, définir les responsabilités des hommes
(organigramme), déterminer le choix et l’étendue des moyens à mettre en œuvre.
La diffusion par écrit des instructions est indispensable dans une grande entreprise. Elle est
également préférable dans les entreprises de dimensions plus modeste, afin d’éviter les erreurs
d’interprétation.

La règle de séparation des fonctions a pour objectif d’éviter que dans l’exercice d’une activité
de l’entreprise un même agent cumul :
Les fonctions de décisions (ou opérationnelles) ;
Les fonctions de détention matérielle des valeurs et des biens ;
Les fonctions d’enregistrement (saisie et traitement de l’information)
Les fonctions de contrôle ;
ou même simplement deux d’entre elles.
En effet, un tel cumul favorise les erreurs, les négligences, les fraudes et leur dissimulation.
2) Le principe d’intégration
Les procédures de mise en place doivent permettre le fonctionnement d’un système

d’autocontrôle mis en œuvre par des recoupements, des contrôles réciproques ou des moyens
techniques appropriés.
Les recoupements permettent de s’assurer de la fiabilité de la production ou du suivi d’une

information au moyen de renseignements émanant de sources différentes ou d’éléments
identiques traites par des voies différentes (concordance d’un compte collectif avec la somme
des comptes individuels).
Les contrôles réciproques consistent dans le traitement subséquent ou simultané d’une

information selon la même procédure, mais par un agent différent, de façon à vérifier
l’identité des résultats obtenus total des relevés de cheques reçus et total des bordereaux de
remises en banque).
Les moyens techniques recouvrent l’ensemble des procédés qui évitent, corrigent ou réduisent,
autant que faire se peut, l’intervention humaine et par voie de conséquence les erreurs, les
négligences et les fraudes (traitements automatiques informatises, clés de contrôle).

3) Le principe de permanence
Ce principe signifie que les contrôles doivent être constant sur toute l’année, et cela dans le
souci de la protection contre les déviations de ces contrôles et leur déformation.
4) Le principe d’universalité
Ce principe signifie que le contrôle interne concerne toutes les personnes dans l’entreprise, en
tout temps et en tout lieu. C'est-à-dire qu’il ne pas y avoir de personne exclus du contrôle par
privilège, ni de domaines réserves ou d’établissements mis en dehors du contrôle interne.
5) Le principe d’indépendance
Ce principe implique que les objectifs du contrôle interne sont a atteindre indépendamment
des méthodes, procèdes et moyens de l’entreprise. En particulier, le réviseur doit vérifier à ce
que l’informatique n’élimine pas certains contrôles intermédiaires.
6) Le principe d’information
L’information doit répondre à certains critères tels que la pertinence, l’utilité, la clarté,
l’objectivité, la communicabilité et la vérifiabilité.
7) Le principe d’harmonie
On entend par principe d’harmonie, l’adéquation du contrôle interne aux caractéristiques de

l’entreprise et de son environnement. C’est un simple principe de bon sens qui exige que le
contrôle interne soit bien adapte au fonctionnement de l’entreprise.
En particulier, dans une petite entreprise, le contrôle interne connaît des limites inhérentes à la
dimension, notamment pour ce qui concerne la mise en œuvre généralisée du principe de
séparation des fonctions. Mais, il ne faut pas ignorer que cette lacune se trouve en partie
compensée dans la connaissance des hommes et des activités possédées par le chef
d’entreprise qui est un des éléments essentiels du contrôle interne.

SECTION 4 : LES OBSTACLES

OBSTACLES ET LIMITES
LIMITES DU CONTROLE INTERNE
1) Le coût du contrôle
Il est souvent reproche au contrôle interne d’augmenter les charges de l’entreprise par
l’embauche du personnel nouveau et la réalisation d’investissements supplémentaires.
Il faut cependant observer :
Que le contrôle interne est un élément de sécurité dans l’entreprise, dont le coût peut
s’analyser comme celui de l’assurance ;
Que le contrôle interne est avant tout une meilleure répartition des taches avant leur
multiplication.
Que le contrôle interne doit être a la mesure du risque qu’il doit couvrir. On doit ainsi
souligner que si le risque encouru est faible, la mise en place d’une procédure dont le
coût serait supérieur au risque encouru deviendrait une faiblesse dans l’optique du
rapport coût/efficacité.
2) Les problèmes humains
Il est à signaler également qu’il existe des limites du contrôle interne liées à la dimension
humaine à savoir :
Les dysfonctionnements du contrôle interne, dus à des erreurs ou défaillances

humaines
Les connivences entre deux ou plusieurs personnes afin de frauder et de dissimuler la

fraude
L’outre passation des procédures du contrôle interne de la par des dirigeants, qui
donnent de ce fait le mauvais exemples à leurs subordonnées qui sont tentés de faire
de même

SECTION
SECTION 5 : CONSEQUENCES DE L’EVALUATION DU CONTROLE
INTERNE
La principales conséquences de cette évaluation se présentent comme suit :
La détermination de l’étendu des travaux sur le contrôle des comptes
L’identification des zones de risque, et l’orientation des tests vers les risques identifiés

Chapitre II : la loi sur la sécurité

financière du 1er août 2003
SECTION 1 : APERCU GENERAL SUR LA LSF
Le Parlement français a adopté le 17 juillet 2003 la Loi sur la Sécurité Financière (LSF)
pour répondre à la crise de confiance des investisseurs née Outre-atlantique avec les affaires
Enron et Worldcom et relayée en France par des affaires comme Vivendi.
La volonté du législateur est double : une information plus complète à destination des
investisseurs et une plus grande appropriation du processus d'arrêté des comptes par les
dirigeants. Le Président d'une Société Anonyme (SA) devra donc, dans un rapport joint au
rapport de gestion sur les comptes sociaux et les comptes consolidés, rendre compte des
procédures de contrôle interne mises en place par la société.
Responsabilité, transparence, juste appréciation du risque, clarté des principes de

régulation, tels étaient donc les objectifs de la LSF, qui occupe une place à part dans la série
de textes de modernisation du droit financier qui ont marqué la fin des années 90 et le début
de la présente décennie, en ce qu’elle intervient dans le contexte particulier de l’accélération
de la « marchéisation » de l’économie et d’une remise en question de ses errements récents.
A travers la promulgation de cette dernière, l’objectif était de renforcer certaines

obligations pour rééquilibrer la relation entre investisseurs et émetteurs, qui constituent les
deux pôles de l’activité des marchés financiers. En effet, cette dernière est destinée à restaurer
la confiance – composante certes essentielle de la sécurité – et ce dans les plus brefs délais
suite à la crise financière qu’a connue le monde durant la première décennie du XXIème
siècle.
La loi de sécurité financière1 (LSF) a créé une obligation nouvelle d’information des
actionnaires et du marché en matière de gouvernement d’entreprise et de contrôle interne.
1
Loi n°2003-706 du 1er août 2003 : article 117 (modifiant le articles L.225-37 et L.225-68 du Code de
commerce), article 120 (modifiant l’article L.225-235 du Code de commerce) et article 122 (modifiant l’article
L.621-18-1 du Code monétaire et financier).

1) Quelles sont les obligations créées par la LSF ?
La LSF crée de nouvelles obligations de communication sur la gouvernance et le contrôle

interne pour toutes les sociétés anonymes et pour les sociétés faisant appel public à l’épargne :
Sociétés Anonymes – article 117 – « le Président du conseil d’administration [ou de

surveillance] rend compte dans un rapport à l’assemblée générale :
• Des conditions de préparation et d’organisation des travaux du conseil ;

• Des procédures de contrôle interne mis en place ;
• Des limitations de pouvoirs de la direction générale ».
Personnes morales faisant appel public à l’épargne (SA, SCA ou autres) – article 122 –
: « elles rendent publiques les informations relevant des conditions de préparation et
d’organisation des travaux du conseil et des procédures de contrôle interne dans les conditions
fixées par l’AMF ».
2) Quel est le périmètre de la LSF ?
La LSF ne définit pas les « procédures de contrôle interne » auxquelles elle fait référence dans
les articles 117 et 122.
Après débats entre les différents acteurs de place impliqués dans l’évaluation ou la gestion du
contrôle interne de l’entreprise, un consensus est apparu pour considérer que la LSF couvre le
champ complet du contrôle interne, c'est-à-dire, l’ensemble des politiques et procédures
mises en œuvre dans l’entreprise, destinées à fournir une assurance raisonnable quant à
la gestion rigoureuse et efficace de ses activités.
Le contrôle interne a ainsi trait à la maîtrise de l’ensemble des activités de l’entreprise et n’est
pas limité aux informations comptables et financières. Il apporte une « assurance
raisonnable », et non une certitude, quant à la réalisation des objectifs de l’entreprise.
Les dispositifs de prévention de la fraude font partie du contrôle interne.

3) Quel est le champ d’application de la LSF?
L’obligation d’établir un rapport à l’attention de l’assemblée générale s’impose à toutes les

sociétés anonymes (SA), cotées ou non, et les sociétés faisant appel public à l’épargne tant à
titre individuel qu’en qualité de société de tête d’un groupe consolidé.
Le périmètre de contrôle interne s’étend pour les groupes aux procédures destinées à garantir
la fiabilité des comptes consolidés.
Ces dispositions visent également des sociétés ou établissements spécifiques qui se voient
assimilés aux sociétés anonymes par la réglementation, tels que :
• Les sociétés anonymes coopératives à capital variable, les sociétés anonymes

sportives professionnelles ;
• Les établissements publics industriels et commerciaux ayant la forme d’une
société anonyme.
Les personnes morales autres que les SA et faisant appel public à l’épargne sont
également concernées par cette obligation et doivent rendrent publiques les informations
relevant des procédures de contrôle interne dans les conditions fixées par l’AMF.
Il s’agit en particulier des sociétés en commandite par actions et des sociétés étrangères :
• Admises aux négociations sur un marché réglementé français ;

• Non admises aux négociations sur un marché réglementé français mais faisant
ponctuellement appel public à l’épargne en France, par exemple dans le cadre d’une
offre aux salariés de ses filiales françaises.
Les sociétés par actions simplifiées et les sociétés à responsabilité limitée ne sont pas
soumises à cette obligation de publicité. Néanmoins, leurs mandataires sociaux restent
clairement responsables des mesures de contrôle interne permettant la maîtrise de leurs
activités.

4) Quel est l’impact extraterritorial de la LSF?
La LSF a elle-même un impact extraterritorial puisque, selon la même logique de primauté

des règles de fonctionnement du marché boursier, les sociétés étrangères faisant appel public
à l’épargne en France (et non pas uniquement leurs éventuelles filiales de droit français, qui
parallèlement ne sont pas dispensées de leurs obligations) sont soumises à un certain nombre
de règles françaises de marché, sans distinction de forme sociale ou de nationalité, parmi
lesquelles les obligations d’information portant sur les procédures de contrôle interne et les
conditions de préparation et d’organisation des travaux du conseil. Si les sociétés étrangères
n’ont pas l’obligation juridique d’établir les rapports y afférents, dans la mesure où elles ne
sont pas soumises aux dispositions du code de commerce visées par l’article 122 de la LSF,
elles doivent néanmoins, dès lors qu’elles font appel public à l’épargne en France,
rendre publiques les informations relatives aux matières visées par le rapport.
De même, si un émetteur étranger est soumis à une obligation de communication portant sur
les mêmes matières, mais en application du droit de l’Etat de son ressort ou d’un marché sur
lequel ses titres sont également cotés, il devra donner simultanément les informations
correspondantes en France.
5) Quelle est la responsabilité du président du conseil d’administration ?
L’article 117 de la LSF fait peser sur le Président du conseil d’administration (ou de
surveillance) une responsabilité quant à la rédaction et au contenu du rapport sur les
procédures de contrôle interne mises en place dans l’entreprise.
La loi ne prévoit pas de sanctions spécifiques.
Néanmoins, il est précisé que le rapport du Président est « joint » au rapport du conseil
d’administration ou de surveillance à l’assemblée annuelle (rapport annuel). Les tribunaux
pourraient dès lors, considérer qu’il fait partie de ce dernier et qu’il suit le même régime
juridique. Dans cette hypothèse :

• L’absence de rapport annuel, son défaut de communication ou de mise à

disposition peuvent être sanctionnés pénalement (D67 art. 16, 53, 293 al 4, Code
Pénal art. 131-13) ;
• Les dirigeants sociaux pourraient faire l’objet d’une injonction sous astreinte de
procéder au dépôt du rapport ou d’y faire procéder (Code de commerce, art. L 123-
5-1 et art. L 238-1).
Par ailleurs, la responsabilité civile du Président pourra être mise en jeu au titre de la
rédaction et du contenu de ce rapport s’il est démontré une faute caractérisée dans la rédaction
du rapport, un préjudice et un lien de causalité entre faute et préjudice, sachant que la
responsabilité de tous les administrateurs ou membres du conseil de surveillance pourra être
recherchée dans la mesure où le Président aura pris la précaution d’obtenir l’approbation des
membres du conseil quant au contenu du rapport. Celui-ci relève de la responsabilité des
administrateurs et membres du conseil de surveillance.
Enfin, de façon très exceptionnelle, la responsabilité pénale du Président et des membres du

conseil pourrait également être mise en jeu sur le terrain du délit de communication
d’informations fausses ou trompeuses sur les perspectives ou la situation d’une société dont
les titres sont négociés sur un marché réglementé. Pour que les faits puissent être qualifiés
comme tels, il faudrait que les informations publiées par l’AMF ou communiquées par le
Président à l’assemblée soient considérées comme étant particulièrement sensibles et aient pu
influencer le cours de bourse.
Quoi qu’il en soit, cette responsabilité du Président sur la rédaction et le contenu du rapport,
ne doivent pas occulter la responsabilité plus fondamentale de la direction générale sur la
qualité intrinsèque du contrôle interne mis en place dans l’entreprise.

SECTION 2 : LES NOUVEAUTES INTRODUITES PAR LA LSF
1) Création de l’autorité des marchés financiers
1.1) Définition de l’AMF
Selon l’article L. 621-1, l’AMF est désignée comme étant : « autorité publique indépendante
dotée de la personnalité morale, veille à la protection de l’épargne investie dans les
instruments financiers et tous autres placements donnant lieu à appel public à l’épargne, à
l’information des investisseurs et au bon fonctionnement des marchés d’instruments
financiers. Elle apporte son concours à la régulation de ces marchés aux échelons européen
et international ».
D’après la définition ci-dessus, l’AMF dispose de la personnalité morale, ce qui la distingue

des autorités antérieures ayant fusionné en son sein, dotées d’un statut d’autorité
administrative indépendante (COB1, CMF2, CDGF3).
L’AMF est assurément une autorité. Elle dispose de prérogatives de puissance publique
qui vont au-delà d’un simple rôle consultatif puisqu’il est prévu, comme pour la COB
actuellement, que l’AMF soit dotée de nombreux pouvoirs de décision, d’injonction, d’avis,
de sanction, d’investigation ».
1
La COB est une autorité administrative indépendante (AAI), comme l’a reconnu le conseil constitutionnel en
1989. Le législateur a entériné cette qualification en 1996. Aujourd’hui, elle se retrouve à l’article L. 621-1 du
code monétaire et financier. Partie intégrante de l’Etat comme toute AAI, la COB n’est pas dotée de la
personnalité morale.
2
Le Conseil des Marchés Financiers (CMF) a connu des qualifications juridiques diverses : le législateur l’a
qualifié d’ «autorité professionnelle dotée de la personnalité morale » ; la Cour d’Appel de Paris,
d’ «organisme privé » ; le Conseil d’Etat, d’ «organisme administratif ».
3
Le Conseil de la discipline de la gestion financière (CDGF), s’il n’est pas qualifié dans les textes législatifs, il
est reconnu par la doctrine comme réunissant les caractéristiques d’une AAI, à raison notamment de sa
composition et de son pouvoir disciplinaire à l’égard des gestionnaires de l’épargne collective. En toute logique,
le CDGF ne dispose pas de la personnalité morale.

Cette qualification juridique présente essentiellement trois avantages :
• La personnalité morale permet de renforcer la souplesse de fonctionnement de l’AMF

(tant à l’égard de ses ressources puisqu’elle peut disposer de recettes fiscales
affectées, que de son patrimoine ou de son personnel)) ;
• Elle permet aussi à l’AMF d’être pleinement responsable de ses actes, ce qui devrait
renforcer son autorité : elle peut agir en justice et être attraite devant les tribunaux et
ce n’est plus désormais la responsabilité de l’Etat qu’elle engage par ces actes
dommageables mais sa responsabilité propre ;
• Elle permet de renforcer la visibilité internationale de l’autorité.
1.2) Structure organisationnelle
Alors que la COB était constituée exclusivement d’un collège plénier, le collège apparaît
comme l’instance de droit commun de l’AMF, mais celle-ci peut – à l’instar du CMF et du
CDGF – constituer en son sein des « formations spécialisées ».
En effet, le collège peut se constituer en commissions spécialisées et en commissions

consultatives. La création des commissions spécialisées est encadrée : en l’application de
l’article 3 de la LSF, celles-ci sont « présidées par le président de l’Autorité des marchés
financiers pour prendre des décisions de portée individuelle ».
La fonction répressive incombe à une commission des sanctions, indépendante du collège de

l’AMF, et composée de magistrats et de professionnels.
Pour de plus amples informations sur le fonctionnement et la structure de l’AMF, référez-

vous aux annexes.

2) Les standards mis en place
Les professions concernées par ces nouvelles dispositions ont décidé la création d'un groupe
de place composé de représentants de la Compagnie nationale des commissaires aux comptes
(CNCC), des associations représentatives des émetteurs (AFEP1, MEDEF2, ANSA3), de
l'IFACI4 et de la Commission des opérations de bourse (COB), devenue l'AMF.
Suite aux discussions du groupe de place, l’AFEP et le MEDEF ont élaboré conjointement un
document5 qui a donné aux émetteurs des lignes directrices sur le périmètre et le contenu du
rapport du président. En outre, l'ANSA a élaboré une note6 sur l'interprétation juridique des
dispositions nouvelles.
Les recommandations AFEP/MEDEF et l'étude juridique de l'ANSA apportent un éclairage

très utile aux émetteurs sur les conditions de rédaction du rapport du président. Aussi, l’AMF,
prenant acte de leur existence a encouragé les émetteurs à se reporter à ces lignes directrices
pour les principes et les modalités d'élaboration du rapport du président et, notamment, pour
la rédaction de la partie descriptive des procédures de contrôle interne.
3) Les orientations complémentaires publiées par L’AMF
La loi a prévu deux modes d’intervention de l’AMF : d'une part son règlement général, pour
la définition des conditions de publication des informations mentionnées à l’article 117,
d'autre part la publication d’un rapport annuel sur la base des informations publiées par les
émetteurs.
1
Association française des entreprises privées.
2
Mouvement des Entreprises de France.
3
Association nationale des sociétés par actions.
4
Institut français de l’audit et du contrôle interne.
5
Recommandation AFEP/MEDEF publiée le 17 décembre 2003 intitulées « L’application de la loi de sécurité
financière concernant le rapport du président sur les procédures de contrôle interne mises en place par la
société ».
6
Note du comité juridique de l’ANSA du 5 novembre 2003, n°3267.

Il en ressort donc des recommandations que les sociétés visées par la loi doivent appliquées et
qui auront des retombées sur les aspects suivants :
L’AMF et à travers ses recommandations concernant l’élaboration des documents de

référence1, et pour lesquelles elle s’est référée aux rapports des groupes de place en matière de
gouvernement d'entreprise2, en émettant le souhait que "les sociétés faisant appel public à
l’épargne décrivent de façon transparente les règles de gouvernement d’entreprise qu’elles
appliquent".
L’article 117 de la LSF ne fait pas en tant que tel référence au concept de gouvernement
d’entreprise. Néanmoins la préoccupation centrale du législateur correspond largement aux
axes définis par les rapports de place déjà mentionnés. Aussi bien, l'AMF considère qu'un
émetteur devant répondre aux obligations découlant de l’article 122 de la LSF, peut utilement
continuer à se référer à ces rapports et indique le cas échéant si ses propres pratiques diffèrent
de ces recommandations et pour quelles raisons.
L'AMF prévoit que le rapport précise les diligences qui ont sous-tendu l'analyse présentée par
le président :
entretiens avec la direction générale ;
discussions au sein du conseil d'administration ;
réunions avec les commissaires aux comptes et le comité d'audit, le cas échéant.
Il a également été rappelé que les commissaires aux comptes sont tenus de faire état aux
organes sociaux de l'entreprise des déficiences majeures qu'ils auraient relevées dans le
contrôle interne, et ce dans le cadre de leur obligation de communication lors de l’exécution
de leur mission. Il convient donc que le président auquel une telle déficience aurait été
signalée par les commissaires aux comptes en fasse état dans son propre rapport.
1
Bulletin mensuel COB, janvier 2003, n°375, p. 17s et Revue mensuelle de l’AMF, mars 2004, n°1, p. 39s.
2
Il s’agit des rapports conjoints de l’AFEP et du MEDEF, soit les rapports Viénot de juillet 1995 et juillet 1999
et le rapport Bouton de septembre 2002. Ces rapports ont fait l’objet d’une consolidation dans le document
conjoint de l’AFEP et du MEDEF intitulé « le gouvernement d’entreprise des sociétés cotées », publié en
octobre 2003.

Enfin, il a été rappelé que la réglementation de la COB imposait aux émetteurs de porter
immédiatement à la connaissance du public toute information dont la révélation aurait une
incidence significative sur leur cours de bourse, ou tout changement significatif d'une
information déjà communiquée. Ce serait notamment le cas d'une défaillance ou insuffisance
grave du contrôle interne identifiée à l'occasion du processus d'évaluation ou des diligences
qui ont entouré l'élaboration du rapport1.
3.1) Les précisions apportées par le règlement général de l’AMF
Comme prévu par le législateur, l'AMF a défini dans son règlement général les conditions de
publication des informations relatives au contrôle interne – moment, forme et canaux de
diffusion – devant être respectées par les émetteurs faisant appel public à l'épargne en sus de
celles prévues directement par le droit des sociétés.
Concernant le moment et le format de l'information diffusée, l'AMF a souhaité préciser

clairement dans l'article 221-6 de son règlement la différence de traitement entre trois types de
cas :
• d'une part, les sociétés anonymes qui doivent publier les rapports prévus par la loi au
plus tard le jour du dépôt au greffe du tribunal de commerce du rapport de gestion ;
• d'autre part les personnes morales2 faisant appel public à l'épargne qui "rendent
publiques les informations relevant des matières mentionnées au dernier alinéa des
articles L.225-37 et L.225-68 du code de commerce" dans les même conditions que ci-
dessus si elles sont tenues de déposer leurs comptes au greffe du tribunal de
commerce ;
• enfin, les autres personnes morales faisant appel public à l'épargne qui "rendent
publiques les informations relevant des matières mentionnées au dernier alinéa des
articles L.225-37 et L.225-68 du code de commerce dès l'approbation des comptes
annuels de l'exercice précédent".
1
Article 4 du règlement COB n°98-07 (repris par l’article 222-3 du règlement général de l’AMF). Il est
également rappelé que dès lors que le résultat de l’évaluation du contrôle interne permettrait d’identifier une
possible incidence sur la situation financière de l’émetteur (ou du groupe), l’émetteur doit fournir toute
information utile sur cette incidence.
2
A noter que le rapport du commissaire aux comptes sur le contrôle interne prévu à l’article L.225-235 du code
de commerce ne concerne que les sociétés anonymes de droit français. Si les commissaires aux comptes des
autres personnes morales faisant appel public à l’épargne formulent néanmoins un avis, celui-ci devra être
retranscrit.

L'AMF confirme donc sa position selon laquelle les sociétés de droit étranger ou encore les
sociétés en commandite par actions, voire les émetteurs n'étant pas organisés en société, sont
tenus de publier les informations susmentionnées quand bien même ils ne sont pas soumis par
leur loi d'origine ou les textes français à l'obligation de produire formellement un rapport pour
leur assemblée générale. Ces informations peuvent être publiées selon le format le plus adapté
à la forme juridique de l'émetteur.
4) Les responsabilités du CAC dans l’audit de l’ICOFR
L’objectif de l’auditeur dans un audit de l’ICOFR est d’exprimer une opinion sur l’évaluation
de la direction concernant l’efficacité de l’ICOFR de la société et sur le fait si la société a
maintenu un ICOFR efficace. Pour avoir une base d’expression pour une telle opinion,
l’auditeur doit planifier et exécuter un audit pour obtenir une assurance raisonnable
concernant le maintien par la société, dans le respect total des règles, d’un ICOFR efficace à
la date spécifiée dans l’évaluation de la direction. L’auditeur doit aussi auditer les états
financiers à la date spécifiée, vu que l’information obtenue durant l’audit des états financiers
est capitale pour la conclusion d’audit sur l’efficacité de l’ICOFR de la société. Pour obtenir
une assurance raisonnable, l’auditeur appréciera l’évaluation opérée par la direction et
obtiendra les preuves sur l’efficacité de la conception et de l’exécution de l’ICOFR pour
toutes les assertions importantes des états financiers, et liées à tous les comptes significatifs
dans les états financiers.
Le graphique suivant dépeint les travaux exigés de l’auditeur lors de l’audit de l’ICOFR :
1- Planification
2- Evaluation du processus
d’évaluation de la direction
3- Obtention d’une
compréhension du contrôle
interne
4- Test & Evaluation de

l’efficacité de la conception 5- Expression de l’opinion
et de l’exécution

4.1) Planification :
La planification est une partie intégrante dans chaque audit. Elle permet à l’auditeur de
développer une stratégie globale et considérer les différents facteurs qui jouent un rôle lors de
l’audit. Pour auditer l’ICOFR, l’auditeur doit considérer plusieurs facteurs, qui incluent à la
fois des considérations internes (e.g., le nombre d’unités opérationnelles) et d’autres externes
(e.g., les tendances industrielles). L’audit de l’ICOFR doit être planifié et exécuté en
concordance avec les standards d’audit existants et applicables.
Le concept de matérialité est applicable, dans un audit de l’ICOFR, au niveau des états de
synthèse et des comptes de balance, en prenant en considération des facteurs à la fois
quantitatifs et qualitatifs.
L’auditeur utilise ce concept au niveau des états de synthèse pour voir si une déficience ou
une combinaisons de déficiences dans les contrôles, est une déficience significative ou un
point faible important.
L’utilisation du concept de matérialité se fait nécessairement à un degré moindre dans les
comptes de balance que dans les états de synthèse.
L’auditeur doit évaluer les contrôles qui s’adressent spécialement aux risques de fraude,
pour s’assurer qu’ils n’auront qu’une probabilité raisonnable d’avoir des impacts significatifs
sur les états financiers. L’auditeur probablement placera toute son attention sur l’évaluation de
tels contrôles dans l’environnement de contrôle. Si un auditeur identifie des déficiences de
contrôle liées à la prévention, l’identification, et la détection des fraudes durant l’audit de
l’ICOFR, alors il pourra modifier la nature, le délai imparti, et l’étendue des procédures à
mettre en œuvre pour compléter son audit des états financiers afin d’être réactif à de telles
déficiences.

Pour déterminer les unités opérationnelles pour l’application des procédures d’audit,
l’auditeur doit évaluer leur signification financière et le risque relatif à la matérialité des
erreurs. Dans la conduite de cette évaluation, l’auditeur doit considérer les unités
opérationnelles selon le découpage suivant :
Les emplacements ou les unités opérationnelles qui sont individuellement

importantes ;
Les emplacements ou les unités opérationnelles qui contiennent des risques
spécifiques, qui peuvent créer des erreurs significatives ;
Les emplacements ou les unités opérationnelles qui, lorsqu’elles sont regroupées,
représentent un groupe avec un degré d’importance financière, qui pourrait créer
une erreur significative dans les états de synthèse ;
Les emplacements ou les unités opérationnelles qui ne sont pas importantes,
même lorsqu’elles sont regroupées avec d’autres.
Un petit nombre d’unités opérationnelles peut renfermer une large part des opérations de la
société. Ces unités sont considérées significatives du point de vue financier. L’auditeur doit
prendre en considération, lors de son évaluation, à la fois l’importance financière relative et le
risque de matérialité des erreurs. Dans ce cas, l’auditeur doit évaluer la documentation de la
direction et passer des tests de contrôle sur toutes les assertions concernant les comptes
significatifs et les informations dans chacune des unités.
Les unités qui ont une importance financière significative, doivent être sélectionnées pour
couvrir « une large proportion » des opérations de la compagnie ou de sa situation financière.
Le critère de « large proportion » n’est pas définit par le Standard N°2, mais actuellement, il
est admis que cette dernière doit inclure au moins 60 à 70% des opérations de la société.
Bien qu’une unité opérationnelle soit non significative lorsqu’elle est prise
individuellement, elle peut présenter des risques spécifiques qui pourraient se matérialiser en
erreurs dans les états de synthèse de la société. Dans ce cas, l’auditeur doit tester les contrôles
sur les risques spécifiques identifiés et qui pourraient se matérialiser en erreurs dans les états
financiers.

Quoique les unités, individuellement, peuvent ne pas être financièrement significatives, il

se peut que lorsqu’elles sont agrégées avec d’autres unités, qu’elles représentent un groupe
qui aura un niveau d’importance financière capable de faire apparaître des erreurs dans les
états financiers. Par exemple, un fabricant de café peut avoir une chaîne de maisons de café
qui, prises individuellement n’ont pas d’importance significative, mais une fois regroupées
ensemble, ont un poids significatif dans l’activité de l’entité et peuvent avoir comme résultat
la résurgence d’erreurs.
Dans la détermination de la nature, du délai imparti, et de l’étendue des tests sur les unités
opérationnelles – qui lorsque agrégées revêtent un caractère important –, l’auditeur détermine
si la direction a documenté et placé pour les opérations de la société un niveau de contrôle
adéquat. Ce dernier concerne les contrôles mis en place par la direction pour contrôler les
opérations et surveiller l’environnement de contrôle et le processus d’évaluation du risque.
Si les contrôles pertinents existent, l’auditeur doit déterminer si de tels contrôles sont
exécutés efficacement.
Si ces derniers n’existent pas ou sont inefficaces, l’auditeur aura besoin de concevoir une
approche pour évaluer les contrôles pertinents sur les unités opérationnelles qui procureront
suffisamment de preuves, attestant de la mise en place de contrôles adéquats pour procurer
une assurance raisonnable que l’ICOFR est efficace.

Finalement, il se peut qu’il existe des unités opérationnelles qui, prises individuellement ou
regroupées, n’ont pas une grande importance du point de vue financier, ne représentent pas
des zones de risque et ne conduisent pas à l’apparition d’erreurs dans les états financiers.
Donc, pour l’auditeur, il n’est pas tenu de procéder à des tests sur ces unités.
Tout ce qui vient d’être cité ci-dessus, peut être résumé dans le schéma suivant :
Evaluer la documentation et les tests de

Est-
Est-ce qu’une unité opérationnelle prise contrôle sur les assertions de chaque compte
individuellement, est importante ? OUI significatif dans chaque unité
opérationnelle.
NON
Est-
Est-ce qu’il existe des risques spécifiques ? OUI
Evaluer la documentation et les tests de
contrôle concernant certains risques
spécifiques.
NON
Existe-
Existe-t-il des unités opérationnelles
opérationnelles qui OUI
Aucune autre action n’est requise pour ces
sont sans importance même regroupées unités.
avec d’autres?
NON Evaluer la documentation et le niveau des

OUI tests de contrôle sur chaque groupe.
Existe-
Existe-t-il une documentation sur le
niveau des contrôles sur ce groupe ?
Quelques
Quelques tests de contrôle sur les unités
OUI individuelles ou celles requises.

4.2) Appréciation du processus d’évaluation de la direction
En conjonction avec la planification de l’audit du contrôle interne, l’auditeur évaluera le

processus selon lequel la direction évalue l’efficacité de l’ICOFR de la société. Cette
évaluation procure à l’auditeur l’évidence que la direction possède une base de support
concernant ces assertions sur l’efficacité de l’ICOFR, et lui procure les informations qui
l’aideront à comprendre l’ICOFR de la société. Elle aide aussi l’auditeur dans la planification
des travaux nécessaires pour compléter son audit et procure les preuves que l’auditeur
utilisera pour consolider son opinion.
L’auditeur doit obtenir une compréhension du processus de la direction et évaluer si la

direction a déterminé les contrôles appropriés à tester, en incluant les contrôles sur les
assertions liées à tous les comptes significatifs.
Généralement, ces contrôles incluent :
Contrôles sur l’initiation, l’autorisation, l’enregistrement, le traitement, et le

reporting des comptes significatifs et les assertions y afférentes dans les états de
synthèse ;
Contrôles sur la sélection et l’application des politiques comptables qui sont en
conformité avec les GAAP ;
Les programmes et contrôles anti-fraudes ;
Contrôles sur les transactions exceptionnelles, telles les comptes impliquant des
jugements et des estimations ;
Niveau de contrôle de la société, en incluant l’environnement de contrôle ;
Contrôles du processus de reporting financier après la date de clôture, incluant les
contrôles sur les procédures utilisées pour l’enregistrement des montants des
transactions dans la balance générale, l’initiation, l’autorisation, l’enregistrement, et
le traitement des données du journal dans la balance générale ; et d’enregistrer les
ajustements récurrents et non récurrents des états financiers.

En plus de la détermination des contrôles qui doivent être testés, l’auditeur évalue la
probabilité que les défaillances des contrôles se traduisent par des erreurs et le degré avec
lequel les autres contrôles, s’ils sont appliqués efficacement, peuvent atteindre les mêmes
objectifs. L’évaluation de l’auditeur considère aussi le processus de la direction pour la
détermination des unités à inclure dans son évaluation et, une fois déterminés, évaluer
l’efficacité de la conception et de l’exécution des contrôles sur ces unités. L’auditeur doit
aussi comprendre et évaluer le processus que la direction poursuit pour l’évaluation et la
communication des déficiences dont la portée peut constituer des faiblesses matérialisables.
L’auditeur doit aussi obtenir une compréhension des résultats des procédures utilisées par
les autres, incluant le personnel de la société et les parties tierces travaillant sous la coupole de
la direction.
L’auditeur évalue la documentation de la direction pour déterminer si cette dernière

consolide son évaluation. Une documentation inadéquate est considérée comme une
déficience du l’ICOFR de la société.
4.3) Compréhension du contrôle interne :
L’auditeur obtient une compréhension de l’ICOFR en appliquant les procédures qui

incluent les enquêtes sur le personnel, l’inspection des documents, l’observation de
l’application des contrôles spécifiques, et le retracement des transactions à travers le système
d’information (i.e., investigations). La compréhension de l’ICOFR doit englober la
conception des contrôles liés à chaque composant du contrôle interne. Ces composants
incluent l’environnement de contrôle de la société, le processus d’évaluation du risque, les
activités de contrôle, que la direction a implémenté pour prévenir ou détecter la matérialité
des erreurs, le processus d’information et de communication, et la surveillance des contrôles
par la direction.
L’auditeur doit se focaliser sur les combinaisons de contrôles existantes, en plus des
contrôles spécifiques dans l’isolation et l’estimation du degré de réalisation des objectifs. De
plus, lorsqu’un contrôle ou plus atteint le même objectif, il n’est plus nécessaire pour
l’auditeur d’évaluer les autres contrôles qui atteignent le même objectif.

Les contrôles qui existent au niveau de la compagnie ont souvent des effets pervers sur les
contrôles au niveau du processus, transaction, ou application. Par conséquent, il serait
approprié pour l’auditeur de tester et évaluer la conception des contrôles en premier lieu, vu
que ça affecte la manière avec laquelle l’auditeur évalue les autres aspectes de l’ICOFR.
Le comité d’audit de la société joue un rôle important au sein de l’environnement de

contrôle et dans la surveillance des composants de l’ICOFR. A l’intérieur de l’environnement
de contrôle, l’existence d’un comité d’audit efficace est essentielle pour mettre en place un
ton positif. Cependant, il doit être compris que la direction est responsable pour le maintien
d’un contrôle interne efficace sur le reporting financier. De plus, le conseil d’administration
est responsable de l’évaluation de la performance et de l’efficacité du comité d’audit.
Comme clarifié sous le Standard N°2, l’auditeur n’est pas responsable d’effectuer une
évaluation distincte de celle menée par le comité d’audit. L’auditeur doit estimer l’efficacité
du comité d’audit comme partie intégrante de l’évaluation de l’environnement de contrôle et
la surveillance des composants de l’ICOFR.
Les facteurs à considérer dans l’évaluation de l’efficacité du comité d’audit peuvent varier
considérablement, en se basant sur des circonstances spécifiques. Selon le Standard N°2,
l’intérêt de l’auditeur doit se porter sur les facteurs liés au contrôle du reporting financier
externe et de l’ICOFR, tels :
L’indépendance des membres du comité d’audit de ceux de la direction ;

Clarté avec laquelle les responsabilités du comité d’audit sont articulées, et
dans quelle mesure ses dernières ont été comprises par le comité et la
direction ;
Le degré d’implication et d’interaction avec l’auditeur indépendant et les
auditeurs externes, de même que l’interaction avec les membres clés de la
direction financière, incluant le Directeur Financier et le Directeur Général

Considérer si les questions importantes sont soulevées par le comité d’audit,

incluant les questions qui indiquent une compréhension des politiques
comptables et des estimations significatives et si oui ou non de telles questions
sont poursuivies avec la direction et l’auditeur externe.
Pour déterminer quels sont les contrôles à tester, l’auditeur commence par identifier les
comptes de balances et informations significatifs présents dans les états financiers, en se
basant sur des facteurs quantitatifs et qualitatifs. Un compte est considéré significatif s’il
existe une probabilité que ce dernier contienne des erreurs qui prises individuellement, ou
lorsque agrégées avec d’autres, peuvent avoir un impact significatif sur les états financiers, en
considérant les risques de surestimation et sous estimation. D’autres comptes peuvent être
significatifs d’un point de vue qualitatif, en se basant sur les attentes d’un utilisateur
raisonnable (i.e., les investisseurs peuvent être intéressés par un compte des états financiers
même s’il n’est pas significatif quantitativement parlant, vu qu’il représente une mesure
importante de performance dans une industrie spécialisée). Un compte peut aussi être
significatif par le biais d’obligations non reconnues présentes dans le compte.
Pour chaque compte significatif, l’auditeur détermine la pertinence de chacune des assertions
suivantes :
• L’existence ou l’occurrence ;
• La globalité ;
• La valorisation ou l’allocation ;
• Les droits et obligations ;
• Présentation et communication.

L’auditeur identifie chaque processus significatif sur chaque classe majeure de transaction,
affectant les comptes significatifs ou les groupes de comptes. Les classes majeures de
transactions sont celles qui sont significatives pour les états financiers de la société. Les
différents types de classes ont des niveaux de risque qui y sont liés et requièrent différents
niveaux de supervision et d’implication de la part de la direction. Pour cette raison, l’auditeur
pourrait ordonnancer les classes selon qu’elles représentent des activités routinières, non
routinières, ou estimées.
Pour chaque processus significatif, l’auditeur doit :
• Comprendre les flux de transactions, incluant la manière dont elles sont lancées,
autorisées, enregistrées, traitées et reportées ;
• Identifier les points dans le processus où une erreur liée à chaque assertion des états
financiers, peut apparaître, incluant celle lié à des fraudes ;
• Identifier les contrôles que la direction a mis en place pour la prévention ou la
détection des acquisitions non autorisées ou abus d’utilisation des actifs de la société.
Le Standard N°2 indique que l’auditeur doit mener, au moins, une opération d’investigation
pour chaque classe majeure de transactions. Lors de l’application de cette dernière, l’auditeur
retrace l’itinéraire d’une transaction depuis son origine à travers le système d’information de
la société (manuel et électronique) jusqu’à sa traduction dans les rapports financiers.
Les investigations procurent à l’auditeur avec preuves à l’appui confirmant la compréhension

du processus des flux de transactions ; la conception des contrôles identifiés pour tous les 5
composants de l’ICOFR, incluant ceux liés à la prévention ou la détection des fraudes ; le
parachèvement du processus.
Les investigations doivent inclure, le processus de lancement, d’autorisation,

d’enregistrement, de traitement, et de reporting des transactions individuelles et contrôles
pour chaque processus significatif identifié, incluant les contrôles de fraudes.

! " #
L’auditeur obtient la preuve sur l’efficacité des contrôles, en effectuant des tests pour toutes
les assertions liés à tous les comptes et informations significatifs dans les états financiers.
L’auditeur détermine les contrôles à tester par l’évaluation des facteurs suivants :
• les zones dans lesquelles les erreurs ou les fraudes peuvent survenir ;
• la nature des contrôles mis en place par la direction ;
• l’importance de chaque contrôle dans la réalisation des objectifs du contrôle et si plus
d’un contrôle atteint un objectif particulier ou si plus d’un contrôle est nécessaire pour
atteindre un objectif particulier ;
• le risque que les contrôles ne puissent pas être menés efficacement.
L’auditeur identifie les contrôles sur la prévention ou la détection des acquisitions non
autorisées ou les abus d’utilisation des actifs de l’entité, et évalue l’efficacité du traitement de
ces contrôles.
La détermination du caractère préventif ou détectif des contrôles dépend de la nature, la

matérialité, et la sensibilité à la perte des actifs. Le manque de tels contrôles ou l’inefficacité
leur mise en application, peut aboutir en une déficience du contrôle interne que l’auditeur aura
à évaluer lors de la considération de l’efficacité de l’ensemble de l’ICOFR.
4.4 ) Test et évaluation de l’efficacité de la conception et de l’exécution
Après l’obtention d’une compréhension de l’ICOFR, l’auditeur évalue l’efficacité de la

conception et de l’exécution de ces contrôles. L’ICOFR est efficacement conçu lorsque les
contrôles se conforment avec les attentes de la prévention ou la détection de la matérialité des
erreurs dans les états financiers. L’auditeur détermine si la société possède des contrôles qui
atteignent les objectifs des critères de contrôle par la compréhension des objectifs de contrôle
dans chaque zone, l’identification des contrôles qui satisfont chaque objectif, et la
détermination de la capacité des contrôles, si opérés efficacement, à prévenir et détecter les
erreurs dans les états financiers.

L’auditeur exécute des procédures pour tester et évaluer l’efficacité de la conception des
contrôles en utilisant les enquêtes, les observations, les investigations, et les inspections sur la
documentation pertinente. En plus, l’auditeur évalue si les contrôles sont capables de prévenir
ou détecter la non déclaration due aux erreurs ou fraudes s’ils sont menés comme décrit par le
personnel qualifié. Les procédures que l’auditeur exécute dans l’appréciation du processus
d’évaluation de la direction et l’obtention de la compréhension de l’ICOFR. Les procédures
que l’auditeur applique pour tester et évaluer l’efficacité de la conception peuvent aussi
procurer des preuves de l’efficacité du fonctionnement.
Dans l’évaluation de l’efficacité de la mise en œuvre, l’auditeur considère si le contrôle est

opéré comme conçu et si la personne qui en est en charge possède l’autorité et les
qualifications nécessaires pour effectuer le contrôle efficacement. Les procédures peuvent
inclure un mix d’enquêtes, inspections, observations, et réexécution. Les enquêtes à elles
seules ne sont pas suffisantes pour conclure sur l’efficacité du fonctionnement.
"
L’auditeur effectue des tests de contrôle sur une période de temps qui est adéquate pour
déterminer si, à la date spécifiée dans le rapport d’audit, les contrôles nécessaires pour
l’atteinte des objectifs de contrôle sont effectués efficacement. Le délai varie avec la nature
des contrôles qui sont testés et la fréquence avec laquelle les contrôles sont opérés.
L’auditeur souvent exécute des tests d’efficacité antérieurement à la date spécifiée dans le
rapport de direction. Lorsque les tests sont exécutés antérieurement à la date de clôture,
l’auditeur exécute des procédures de roll-forward pour obtenir des preuves en ce qui concerne
l’exécution du contrôle dans les délais prescris pour assurer l’efficacité de l’exécution à la
date de clôture. Pour certains contrôles liés aux transactions significatives et non routinières,
contrôles sur les comptes ou processus avec un niveau élevé de subjectivité, ou les contrôles
sur l’enregistrement des ajustements de fin de période, l’auditeur normalement exécute des
tests plutôt proches de la date de clôture, que de celle de l’intérim.

Antérieurement à la date spécifiée dans le rapport de la direction, cette dernière pourrait

apporter des changements aux contrôles de la société pour les rendre plus efficaces ou plus
efficients, ou pour communiquer sur les déficiences de contrôle. Dans ce cas, l’auditeur
pourrait ne pas avoir à évaluer les contrôles qui ont été remplacés. Par exemple, si l’auditeur
détermine que les nouveaux contrôles atteignent les objectifs voulus et ont été exécutés sur
une période de temps suffisante pour permettre à l’auditeur d’évaluer l’efficacité de leur
conception et exécution, en exécutant des tests de contrôle, ce dernier n’aura pas à évaluer les
contrôles remplacés pour exprimer une opinion sur l’ICOFR.
Dans la détermination de l’efficacité de l’ICOFR, l’auditeur doit exécuter suffisamment de

tests pour que son travail procure les preuves supportant l’opinion d’audit. Cependant,
l’auditeur peut utiliser les travaux des autres pour modifier la nature, le délai imparti, et
l’étendue des procédures exécutées indépendamment par l’auditeur. Le jugement de l’auditeur
sur s’ils ont obtenu une preuve évidente qui appui son opinion incluant des considérations à la
fois qualitatives et quantitatives.
Pour ces raisons, le travail des autres inclue les travaux exécutés par les auditeurs internes,
l’autre personnel, et les parties tierces travaillant sous la coupole de la direction ou le comité
d’audit.
Dans la détermination de l’étendue de l’utilisation des travaux des autres, l’auditeur doit :
• Evaluer la nature des contrôles soumis au travail des autres ;

• Evaluer la compétence et l’objectivité des individus qui exécutent le travail ;
• Tester quelques travaux exécutés par les autres pour évaluer la qualité et l’efficacité de
leur travail.
L’auditeur peut appliquer les concepts pour les standards d’audit existant lors de la
considération de la possibilité d’utilisation des travaux des autres, dans l’audit de l’ICOFR. Le
Standard N°2 donne à l’auditeur une flexibilité significative pour utiliser leur jugement dans
la détermination des travaux nécessaires à l’obtention des preuves et déterminer quand
l’auditeur peut utiliser les travaux des autres plutôt que d’effectuer le travail lui-même.

Comme signalé dans le Standard N°2, il existe de nombreuses zones sur lesquelles
l’auditeur ne doit pas utiliser les résultats des tests exécutés par la direction et les autres,
incluant :
• Contrôles qui font parti de l’environnement de contrôle, incluant les contrôles
spécifiquement mis en place pour prévenir et détecter les fraudes ;
• Les investigations ;
L’auditeur doit limiter l’utilisation des résultats des procédures effectuées par la
direction et les autres dans les zones suivantes :
• Contrôles pour lesquels un niveau élevé de jugement est requis pour évaluer
l’efficacité de l’exécution ;
• Contrôles qui ont un impact pervers sur le système du contrôle interne, incluant
les contrôles dont dépendent d’autres contrôles ;
• Contrôles nécessitant un niveau élevé de jugement ou d’estimation ;
L’auditeur peut décider d’utiliser les résultats des tests exécutés par la direction et les
autres à l’intérieur de la société dans d’autres zones, tel que les contrôles sur le traitement
routinier des comptes et informations significatifs. Cependant, l’auditeur doit exécuter
suffisamment de tests afin que son travail procure les preuves appuyant son opinion.
L’auditeur doit réexécuter certains contrôles qui ont été appliqués par les autres ; cependant,
les réexécution ne peut pas contribuer à l’évaluation des preuves principales.
4.5) Expression de l’opinion
L’auditeur forme une opinion sur l’efficacité de l’ICOFR par l’évaluation des preuves
obtenues de toutes les sources durant l’audit. Ceci inclut l’adéquation de l’évaluation menée
par la direction, les résultats des tests de l’auditeur, les résultats des procédures poursuivies
durant l’audit des états financiers, et l’impact de n’importe quelle déficience de contrôle
interne. Comme partie intégrante de cette évaluation, l’auditeur considère tous les rapports
émis durant l’année par le service d’audit interne, qui communique sur les contrôles liés à
l’ICOFR et évalue chaque déficience identifiée dans ces rapports.

L’auditeur émet un opinion sur si l’évaluation de l’efficacité de l’ICOFR est honnêtement

formulée dans le respect de toutes les conditions, et sur si la société a maintenu, dans le
respect de toutes les conditions, un ICOFR efficace. L’auditeur peut choisir d’émettre un
rapport combiné qui inclut, à la fois son opinion sur les états financiers et sur l’ICOFR, ou un
rapport séparé. Si l’auditeur émet des rapports séparés, la date d’émission des deux opinions
doit être la même.
L’auditeur peut émettre une réserve d’opinion seulement lorsqu’il y a des faiblesses non
identifiées et lorsqu’il n’y avait pas de restrictions sur la portée des travaux de l’auditeur.
L’existence d’une faiblesse résulte dans une opinion défavorable (i.e., ICOFR n’est pas
efficacement opéré). Une limitation de la portée pourrait résulter dans une opinion favorable
ou défavorable.
L’auditeur doit communiquer, par écrit, à la direction et au comité d’audit toutes les
déficiences et faiblesses matérielles identifiées durant un audit de l’ICOFR. La
communication par écrit est faite antérieurement à l’émission des rapports de l’auditeur sur
l’ICOFR. La communication écrite distingue entre celles considérées comme des déficiences
significatives et celles considérées comme des faiblesses matérielles.
Si une déficience significative ou une faiblesse matérielle existe parce que la surveillance
du reporting financier externe et de l’ICOFR par le comité d’audit est inefficace, l’auditeur
doit alors communiquer ces déficiences significatives ou faiblesses matérielles par écrit à tout
le conseil d’administration.
En plus, l’auditeur doit communiquer à la direction, par écrit, toutes les déficiences de
l’ICOFR identifiées durant l’audit et informer le comité d’audit qu’une telle communication a
été faite.

&!'
L’audit de l’ICOFR est intégré avec l’audit des états financiers. Les objectifs des
procédures pour ces audits ne sont pas les même, cependant, l’auditeur planifie et exécute le
travail afin de réaliser les objectifs des deux audits.
Les informations que l’auditeur obtient durant l’audit de l’ICOFR et les procédures
effectuées, sont interreliées avec celles exécutées durant l’audit des états financiers. Par
conséquent, les synergies d’exécution proviennent de la coordination et l’exécution de ces
procédures simultanément.

Chapitre III : LA LOI

Sarbannes-Oxley
SECTION 2 : APERÇU GENERAL SUR LA LOI SOX
1) Contexte d’entrée en vigueur et définition de la loi SOX
1.1) Contexte
L’économie américaine, portée par la nouvelle économie, la globalisation et les nouveaux

instruments financiers, et alimentée par des marchés en pleine euphorie, a enregistré tout au
long des années 90 sa croissance la plus longue de l’après-guerre. Cette évolution s’est
appuyée sur quelques schémas simples : forte exigence de la part des investisseurs en termes
de rentabilité, augmentation dans des proportions très fortes de la valeur boursière de
certaines valeurs dites « technologiques », plus-values colossales réalisées en bourse,
stratégies de croissance externe démesurées…
Cependant, pour pouvoir satisfaire les nombreuses exigences de leur différentes « parties
prenantes » (stakeholders), certains dirigeants n’ont pas hésité à user (voir abuser) de
pratiques comptables dites « créatives »1 ou « agressives »2 allant, dans plusieurs cas, jusqu’à
des comportements totalement frauduleux.
Le retournement de la conjoncture boursière, initié en 2000, s’est traduit, en mars 2001,

par « l’éclatement de la bulle spéculative » et de nombreuses pratiques évoquées ci-dessus ont
été découvertes, notamment parce qu’elles n’étaient plus « tenables » pour les entreprises dont
le cours de bourse constituait le « soubassement » de leurs turpitudes3.
1
La comptabilité créative peut être définie comme un ensemble de procédés visant à modifier le niveau de
résultat, dans un souci d’optimisation ou de minimisation, ou la présentation des états financiers, sans que ces
objectifs s’excluent mutuellement. Les procédés mis en œuvre s’appuient sur les choix offerts par la
réglementation comptable ainsi que sur les possibilités ouvertes par les faiblesses et les carences des textes
comptable, mais aussi sur des montages pour lesquels la comptabilité peut intervenir selon deux schémas
opposés : la détermination de la traduction comptable d’une opération juridico-financière ou l’élaboration d’un
montage juridico-financier dans un objectif de modification du résultat ou des états financiers (Stolowy, 2000).
2
Le terme d’agressive accounting a été largement en vogue aux Etats-Unis pendant toute la période d’euphorie
boursière des années 90. Sans faire l’objet d’une définition unanimement reconnue, il correspond à l’utilisation,
dans des conditions extrêmes, des options laissées par les règles comptables.
3
Il a été notamment prouvé qu’Enron a utilisé ses propres titres comme garantie dans de nombreux montages et
que la chute des cours de bourse a fait effondrer les montages comme un château de cartes.

Les nombreux scandales qui ont alors frappé les Etats-Unis en 2001 et au début de l’année
2002 (avec Enron, en tête, mais aussi Adelphia, Xerox, et surtout WorldCom) ont entraîné
une réaction brutale du législateur américain et l’adoption de la loi dite « Sarbanes-Oxley »1,
votée par le Congrès des Etats-Unis et ratifiée par le président Bush le 30 Juillet 20022.
Cette loi Sarbanes-Oxley constitue la plus importante réforme aux Etats-Unis depuis la
crise des années 1930, et le Securities Act de 1934 qui régit encore largement le monde de la
finance aux Etats-Unis. Elle est guidée par trois grands principes : l’exactitude et
l’accessibilité de l’information, la responsabilité des gestionnaires et l’indépendance des
organes vérificateurs. La loi a pour objectif d’augmenter la responsabilité de la société et de
mieux protéger les investisseurs et aux petits épargnants.
1.2) Définition
Le Sarbanes-Oxley Act est une loi américaine votée en 2002 pour renforcer la corporate
gouvernance et récupérer la confiance sapée des investisseurs. Cette dernière a été le fruit de
la collaboration entre le sénateur américain Paul SARBANES et le représentant Michael
OXLEY.
La loi Sarbanes-Oxely contient 11 titres, ou sections, dont le champs de couverture s’étale

des nouvelles responsabilités des dirigeants jusqu’aux sanctions pénales sur les fraudes.
L’objectif de la loi Sarbanes-Oxley est de protéger les intérêts des investisseurs en

améliorant l’exactitude et la fiabilité des informations financières des firmes.
La loi Sarbanes-Oxley a :
• considérablement augmenté la responsabilité des dirigeants ;
• établit des nouvelles responsabilités pour le comité d’audit ;
1
Le texte précise que la loi peut être citée en tant que « Sarbanes-Oxley Act of 2002 ». Elle tient son nom des
deux membres du congrès qui en ont été les rédacteurs : le sénateur démocrate Paul Sarbanes, Président de la
Commission des affaires bancaires, et le représentant républicain Michael Oxley, Président de la Commssion des
services financiers.
2
Le texte intégral de la loi peut être facilement trouvé sur internet, notamment à l’adresse suivante :
http://news.findlaw.com/hdocs/docs/gwbush/sarbanesoxley072302.pdf

• établit de nouvelles obligations de reporting ;

• statué sur la création du PCAOB (Public Company Accounting Oversight Board) ;
• statué sur la question concernant les services que les cabinets d’audit peuvent procurer
à leurs clients ;
• renforcé le système de sanction ;
• significativement augmenté la responsabilité et le budget alloué à la SEC.
La loi contient six actes principaux.
Le Directeur Général (Chief Executive Officer – CEO) et le

Acte 1 : Certification
Directeur Financier (Chief Financial Officer – CFO) sont
des comptes
obligés de certifier les états financiers publiés, au moyen d’une
déclaration signée (loi Sarbanes-Oxley, section 302).
Les entreprises doivent fournir à la Securities and Exchange

Commission (SEC) des informations supplémentaires afin
d’améliorer l’accès à l’information et la fiabilité de cette
information. Les entreprises doivent rendre publics les
Acte 2 : Contenu des
ajustements comptables identifiés par les auditeurs, les
rapports
engagements hors bilan, ainsi que les changements dans la
propriété des actifs détenus par les dirigeants. En outre, les
dirigeants doivent rédiger un rapport sur les procédures du
contrôle interne (voir ci-après) et préciser si un code d’éthique a
été adopté.
Acte 3 : Contrôle de la La SEC devra procéder à un contrôle régulier des sociétés

SEC cotées, ce contrôle devant intervenir au moins une fois tous les
trois ans.
Les entreprises doivent mettre en place un comité d’audit

indépendant pour superviser le processus de vérification. Ce
comité est responsable du choix, de la désignation, de la
rémunération et la supervision des auditeurs. Il doit également
mettre en place des procédures pour recevoir et traiter les
réclamations mettant en cause la comptabilité, les contrôles
Acte 4 : Comités d’audit
internes comptables et l’audit, et pour garantir le traitement
et règles d’audit
confidentiel des observations émanant du personnel de la société
concernant des problèmes comptables ou d’audit (loi Sarbanes-
Oxley, section 301).

En outre, la loi prévoit la rotation des auditeurs externes

(section 203). Par ailleurs, dans le souci de réduire les conflits
d’intérêts, les auditeurs externes ne peuvent offrir à l’entreprise
dont ils vérifient les comptes, des services autres que ceux qui
sont directement reliés à cette activité (notamment des services
liés à la mise en place de systèmes d’information) (loi
Sarbanes-Oxley, section 201).
Dans le cadre de la loi (sections 101-109), un nouvel organisme

de réglementation et de surveillance est crée, le Public Company
Acte 5: Création du
Accounting Oversight Board. Cet organisme doit superviser les
Public Company
cabinets d’audit, établir des normes, mener des enquêtes et
Accounting Oversight
sanctionner les personnes physiques ou morales qui ne
Board (PCAOB)
respectent pas les règles. Dépendant de la SEC, ce nouvel
organisme de contrôle comprend cinq membres nommés par
celle-ci, et dispose de pouvoirs d’enquête et de sanction.
Des sanctions pénales sont créées et d’autres considérablement

renforcées. Nous retiendrons à titre d’exemple que la
certification d’états financiers non-conformes à la
réglementation est passible d’une amende d’un million de
dollars ou d’un emprisonnement de 10 ans au plus. En outre, la
commission intentionnelle de la même infraction fait passer
Acte 6 : Sanctions
l’amende à 5 millions de dollars et l’emprisonnement à 20 ans
(section 903 et 904).
La falsification de documents dans le but de faire obstacle à une

enquête fait l’objet d’une amende à laquelle peuvent venir
s’ajouter des peines de prison pouvant atteindre 20 ans (section
802)1.
1
Cette sanction semble être l’une des conséquences de la destruction des documents de la société Enron par le
bureau du Cabinet Andersen à Houston.

2) Le contrôle interne dans la loi sarbane-oxley

Dans le cadre de l’amélioration du contenu des rapports évoquée ci-dessus, la loi
Sarbanes-Oxley contient divers articles concernant les nouvelles responsabilités des dirigeants
d’entreprise en matière de contrôle interne. Il s’agit notamment des sections 302 et 404. Il
paraît cependant utile de fournir brièvement une définition de la notion de contrôle interne et
de s’interroger sur l’éventuel diagnostic sur les insuffisances du contrôle interne sous-jacent à
la loi Sarbanes-Oxley.
"
Le contrôle interne est défini comme étant « l’ensemble des sécurités contribuant à la
maîtrise de l’entreprise. Il a pour but, d’un côté, d’assurer la protection, la sauvegarde du
patrimoine et la qualité de l’information, de l’autre, d’assurer l’application des instructions
de la direction et de favoriser l’amélioration des performances. Il se manifeste par
l’organisation,, les méthodes et procédures de chacune des activités de l’entreprise pour
maintenir la pérennité de celle-ci »1 .
2
( )*+ , -*.
Selon la section 302 de la loi SOX, Les dirigeants et plus précisément le Directeur
Général (Chief Executive Officer CEO) et le Directeur Financier (Chief Financial Officer
CFO) doivent en substance, certifier exactes, fidèles et sincères les informations contenues
dans chaque rapport d’activité de leur société.
Qui plus est, le CEO et le CFO sont par la loi réputés responsables de la mise en place et
du bon fonctionnement des procédures de contrôle internes visant à garantir l’intégrité et la
sincérité des informations communiquées. Enfin, obligation leur est faite de dénoncer aux
auditeurs et comité d’audit de leur société toute fraude et/ou tout dysfonctionnement dans les
procédures de contrôle de leur société.
1
Définition donnée au contrôle interne par l’Ordre des Experts Comptables français (OECCA, 1977, pp. 8-9).
2
Section 302 & Section 906: Corporate Responsability For Financial Reports.

En cas de sanction, ils devront reverser à la société la totalité de leur rémunération variable
perçue au cours des douze mois suivant la divulgation de l’information erronée.
Instaurée par la Section 906, la seconde procédure de certification est, quant à elle, une
composante nouvelle de la loi pénale : chaque rapport périodique à caractère financier
enregistré auprès de la SEC doit être certifié par les CEO et CFO de la société. Par attestation,
ils doivent certifier que leur rapport d’activité se conforme aux exigences de la réglementation
boursière et retrace fidèlement la situation financière de leur société. Toute contravention à
cette seconde certification fait encourir à son auteur une peine allant jusqu’à vingt ans
d’emprisonnement et 5 millions de dollars US d’amende.
Pour récapituler, le directeur général et le directeur financier attestent qu’ils :
sont responsables de la mise en place et du maintien du contrôle interne ;

ont conçu ce contrôle de telle sorte que toute information significative
concernant l’entreprise et les sociétés consolidées est connue par les dirigeants,
notamment pendant la période de préparation des rapports périodiques ;
ont évalué l’efficacité du contrôle interne de l’entreprise à moins de 90 jours de
la publication des rapports ;
ont présenté dans leur rapport leurs conclusions concernant l’efficacité du
contrôle interne fondées sur leur évaluation.
signalent aux auditeurs et au comité d’audit les déficiences dans le contrôle
interne et les fraudes liées au contrôle interne.
doivent mentionner dans leur rapport s’il y a eu des changements significatifs
dans le contrôle interne après la date d’évaluation.
1
( /*/ "
La loi2 exige que chaque rapport contienne un rapport sur le contrôle interne qui :
1
Section 404: Management Assesment of Internal Controls.
2
Texte de loi, voir annexes.

• confirme que la direction est responsable de la mise en place et de la gestion d’une

structure de contrôle interne adéquate et de procédures pour la communication
financière.
• contienne une évaluation de l’efficacité de la structure de contrôle interne et des

procédures de communication financière, à la date de clôture des comptes.
Quant aux auditeurs, ils doivent faire une attestation, dans leur rapport, sur l’évaluation du
contrôle interne réalisée par la direction de l’entreprise.
)*+0 -*. , /*/
Section 302 Section 404 Section 906
Exercices fiscaux se
- Date d’entrée en
29 Août 2002 terminant le ou après le 30 juillet 2002
vigueur 15 Septembre 2003
- Le Directeur Général - Le Directeur Général

- Qui en est
& le Directeur - La direction & le Directeur
responsable ? Financier Financier
- certification émise
chaque trimestre ;
- rapport sur le contrôle - publication
- certification des
- Que concerne-t- interne émis trimestrielle d’une
dirigeants émise chaque
elle ? annuellement ; certification abrégée ;
trimestre
- attestations des
auditeurs indépendants - pénalités criminelles.
sur le rapport annuel.
- Evaluation
- Périodicité des - évaluation trimestrielle ; - Evaluation
évaluations trimestrielle - Rapport annuel sur le trimestrielle.
contrôle interne.

4) Conséquences de la loi sarbanes-oxley sur l’organisation de l’entreprise

La loi Sarbanes-Oxley, et notamment ses composantes traitant du contrôle interne, va tout
d’abord avoir des conséquences sur les entreprises elles-mêmes.
L’objectif de la SEC avec la loi Sarbanes-Oxley est, rappelons-le, de s’assurer qu’une société
met bien en place les procédures nécessaires à la collecte, l’analyse et la diffusion de toute
information qui doit être incluse dans les rapports financiers. En conséquence, en raison de
l’obligation de certifier les états financiers par la direction de l’entreprise (section 302 de la
loi), les sociétés doivent considérer le fait d’adopter des procédures internes particulières pour
délivrer ces certifications.
Dans ce contexte, le Directeur Général et le Directeur Financier doivent discuter avec le

Comité d’Audit, le Conseil d’Administration et les auditeurs externes, de toute déclaration
concernant les états financiers de l’entreprise mentionnée dans les rapports périodiques.
Si l’on vient au contrôle interne, la loi oblige les entreprises à évaluer, sous la responsabilité
de la Direction, l’efficacité de la conception et la mise en place des procédures de contrôle.
Cette évaluation a pour objectif d’identifier les points faibles de chaque procédure ainsi que
toute faiblesse qui puisse mettre en cause la capacité de l’entreprise à collecter, analyser et
révéler l’information exigée dans un délai de temps défini. Tout changement dans les
procédures de contrôle, y compris les actions correctives qui ont été prises suite à
l’identification de faiblesses ou déficiences, doit également être évalué. Avant la publication
du rapport annuel, les résultats de cette évaluation doivent être communiqués et réexaminés
par la Direction et par le Conseil d’Administration de l’entreprise (Sullivan, 2002).
La SEC ne propose pas de procédures spécifiques pour diriger cette évaluation. Chaque
société doit plutôt développer les procédures qui s’adaptent le mieux à sa gestion et au
déroulement de ses activités. Néanmoins, la SEC propose la création d’un comité dépendant
de la Direction qui serait responsable de l’évaluation du caractère significatif des informations
obtenues (materiality of information) et de la détermination de l’opportunité de leur
publication (determining disclosure on a timely basis).

Selon la SEC, ce comité peut être formé par les membres suivants (Sullivan, 2002) :
Chef comptable (principal accounting officer) ;

Responsable juridique ou membre du management qui rend compte au
responsable juridique (the general counsel or other senior legal official with
responsability for disclosure matters who reports to the legal counsel);
Responsable de la gestion des risques (principal risk management officer) ;
Responsable des relations avec les actionnaires (chief investor relations
officer) ;
Autres membres du management ou employés, y compris des personnes qui
participent aux différentes activités, si la société le juge nécessaire.
Enfin, les exigences de la loi Sarbanes-Oxley sur la validation du contrôle interne

augmenteront sensiblement le coût de l’audit pour les groupes cotés aux Etats-Unis
(Accounting Office Management & Administration report, 2002) : les auditeurs voudront
avoir la certitude que le processus de contrôle choisi par le management est rigoureux, ce qui
comportera un renforcement des vérifications. Les contrôles financiers devront être dûment
documentés et communiqués à toutes les personnes concernées, et leur efficacité testée.
Inévitablement, ces lourdes procédures risquent de focaliser l’attention du management sur la
forme des contrôles, et de faire passer au deuxième plan le contenu.
5) Les conséquences de la loi sarbanes-oxley a l’étranger

L’internationalisation des marchés financiers et la prééminence de la place américaine incitent
nombre de sociétés à vocation internationale à se faire coter à New York. Le caractère
territorial de bourses désormais interconnectées et parties prenantes de la mondialisation (que
l’on considère la nationalité des émetteurs ou des investisseurs) paraît dès lors plus incident
ou accessoire. Il semble donc logique que la volonté manifestée par les Etats-Unis de
préserver la crédibilité de leur marché financier s’apprécie au regard du lieu de cotation,
vecteur déterminant de la stabilité financière d’un pays et, s’agissant des Etats-Unis, de
l’ensemble du monde, et non pas en considération de la nationalité des émetteurs. Le
renforcement des contraintes, pour des émetteurs étrangers, constitue en quelque sorte
une contrepartie du bénéfice qu’ils peuvent tirer de leur cotation aux Etats-Unis.

Dans certains pays, les lois nationales prévoient des déclarations semblables à celles
demandées par la SEC : c’est le cas du Royaume Uni, où le Conseil d’Administration (Board
of Directors) doit expliquer comment les procédures de contrôle interne ont été vérifiées.
Dans la pratique, les deux législations ont le même but, mais la mise en œuvre est différente :
aux Etats-Unis, il faut expliquer si le contrôle interne a détecté des problèmes ou pas. Il faut
publier cette information et surtout il faut valider par un auditeur externe, ce qui engendre
trois différences essentielles avec les normes britanniques.

SECTION 2 : LES DISPOSITIONS DE LA LOI SOX
1) La responsabilité des dirigeants
La section 404 de la loi Sarbanes-Oxley décrit la responsabilité des dirigeants pour

l’établissement et le maintien d’une structure et des procédures de contrôle interne et de
reporting financier, adéquates. Elle précise aussi que les dirigeants ont la responsabilité
d’évaluer l’efficacité du contrôle interne de la société à l’égard du reporting financier, et que
cette dernière doit être certifiée par des auditeurs externes.
Selon le Standard N°2, les dirigeants doivent :
• Accepter la responsabilité de l’évaluation de l’efficacité du contrôle interne de la

société à l’égard du reporting financier ;
• Evaluer son efficacité en utilisant les critères de contrôle adéquats ;
• Appuyer leur évaluation avec suffisamment de preuves, en incluant la documentation
sur la conception des contrôles liés à toutes les assertions pertinentes sur les comptes
significatifs des états de synthèse ;
• Présenter une évaluation écrite sur l’efficacité du contrôle interne de la société à la fin
de l’exercice fiscal le plus récent.
Si les dirigeants n’ont pas remplies leur responsabilités, comme citées ci-dessus, l’auditeur
est appelé à émettre une réserve d’opinion. Les responsables doivent remplir leurs
responsabilités en adoptons une approche qui inclus un planning et une évaluation approfondi
de son système de contrôle interne. Une fois que les responsables ont identifié les contrôles
significatifs, ils peuvent alors documenter ces contrôles et procéder aux tests d’efficacité. Les
sociétés doivent allouer le temps qu’il faut pour compléter ce processus dans le cas où des
déficiences sont identifiées. Une identification précoce des déficiences peut procurer aux
responsables le temps nécessaire pour corriger ces dernières et déterminer l’efficacité du
fonctionnement du nouveau contrôle.

Définition du contrôle interne sur le reporting financier
Le contrôle interne est défini par le COSO (Committee of Sponsoring Organizations of the
Treadway Commission) comme : « un processus réalisé par les organes d’administrations de
la société et conçu pour procurer une assurance raisonnable sur l’atteinte des objectifs dans
les catégories suivantes : efficacité et efficience des opérations, conformité avec les lois et
réglementations en vigueur, et la sincérité du reporting financier ». Les règlements de la
section 404(a) de la loi SOX met le point sur ces objectifs liés à la sincérité du reporting
financier externe.
Le contrôle interne sur le reporting financier est défini dans le Standard N°2 comme : « un
processus conçu par ou sous la supervision du Directeur Général (Chief Executive Officer)
ou du Directeur Financier (Chief Financial Officer) de la société, ou de toute autre personne
occupant des postes similaires, et mené par les organes d’administration de la société, dans
le but de procurer une assurance raisonnable quant à la sincérité du reporting financier et la
préparation des états de synthèse pour des raisons externes en accord avec les principes
comptables (GAAP). Il inclut aussi les politiques et les procédures qui contribuent à la
préservation des enregistrements comptables, les autorisations d’encaissement et de
décaissements, et la sauvegarde des actifs ».
Pour les besoins d’un audit du ICOFR, le « contrôle interne sur le reporting financier » inclut
des contrôles qui dépassent la sauvegarde des actifs et les contrôles liés à la prévention ou la
détection précoce des acquisitions non autorisées, utilisations, ou mises à disposition des
actifs de la société qui peuvent avoir un effet significatif sur les états financiers.

2) Evaluation de la direction
2.1) Evaluation de l’efficacité du contrôle interne sur le reporting

financier
La direction doit garder des preuves suffisantes de son évaluation de l’efficacité de l’ICOFR,
en incluant la documentation nécessaire. Le développement et la maintenance de cette
documentation, sont un élément important d’un contrôle interne efficace. L’évaluation de
l’ICOFR d’une société doit être basée sur des procédures suffisantes, à la fois pour évaluer la
conception et tester l’efficacité de son fonctionnement.
Les contrôles que cette évaluation inclut sont :
• Contrôles post initiation, autorisation, enregistrement, traitement, et reporting des

balances de comptes significatifs, et les assertions y afférentes et qui sont inclues dans
les états financiers ;
• Contrôles apparentés à la sélection et l’application des politiques comptables en
accord avec les principes comptables (GAAP) ;
• Contrôles liés à la prévention, l’identification, et la détection des fraudes ;
• Contrôles liés à l’initiation et le traitement des transactions non routinières et non
systématiques.
La nature des activités de test d’une société dépendra largement des circonstances de cette
dernière et de la signification de certains contrôles. Cependant, une enquête à elle seule ne
procurera pas une base adéquate pour la détermination de l’efficacité du fonctionnement.
2.2) Cadre de travail poursuivi par la direction pour conduire son évaluation
La direction est appelée à baser son évaluation sur un cadre de travail adapté et reconnu,
établit par un corps d’experts qui suivent un processus public pour développer ce dernier. Aux
Etats-Unis, le COSO a publié Internal Controls-Integrated Framework utilisé pour les besoins
de l’évaluation de la direction. Vu que le COSO est attendu comme étant le cadre de travail
qui serait le plus souvent utilisé dans les USA, le guide dans le Standard N°2 est basé sur les
concepts du COSO.

Les trois objectifs du COSO
Le référentiel COSO définit le contrôle interne comme ''un processus mis en œuvre par les
dirigeants à tous les niveaux de l’entreprise et destiné à fournir une assurance raisonnable
quant à la réalisation des trois objectifs suivants'' :
la réalisation et l'optimisation des opérations,

la fiabilité des informations financières,
la conformité aux lois et règlements
Les principes du COSO
Le référentiel COSO est basé sur les principes de base suivants :

Le contrôle interne est un process : c’est un moyen pas une fin
Le contrôle interne dépend de chacun : il ne se cantonne pas à un recueil de
procédures mais nécessite l’implication, de tous à chaque niveau de l’organisation
Le contrôle interne doit procurer l’assurance raisonnable mais non absolue d’un
management et d’une direction respectueuse des lois
Le contrôle interne est adapté à la réalisation effective des objectifs
Les 5 composantes du COSO en matière de ICOFR

• Environnement de contrôle (Controle environment) : l’environnement de contrôle

détermine le ton avec lequel l’entité s’adresse à ces employés, et influence la
conscience professionnelle de ces derniers concernant le contrôle. C’est le fondement
de toutes les autres composantes du contrôle interne, procurant discipline et structure ;
• Evaluation des risques (Risk Assessment) : chaque société rencontre une variété de
risques relatifs au reporting financier provenant des sources externes et internes, qui
doivent être évaluer à la fois au niveau de l’organisation et de l’activité. Ces risques
incluent des événements et circonstances à la fois externes et internes, qui peuvent se
réaliser et affecter la capacité d’une société à initier, enregistrer, traiter et reporter
l’information financière compatible avec les assertions de la direction incorporées
dans les états financiers ;
• Activités de contrôle (Contrôle activities) : elles correspondent aux politiques et

procédures qui aident la direction à réaliser les objectifs recherchés. Ces contrôles
aident à s’assurer que les transactions ont eu lieu, sont autorisées, et sont
complètement et correctement comptabilisées et traitées ;
• Information et communication : une information doit être identifiée, captée, et

communiquée de la meilleure des manières et au bon moment. La qualité du système
d’information, en incluant le système comptable et les autres informations relatives
aux applications technologiques, affectent la capacité du team de direction à prendre
des décisions appropriées relatives à la gestion de l’activité de la société et de préparer
des états financiers surs ;
• Supervision ou Contrôle (Monitoring) : le système de contrôle interne a besoin d’être

surveiller par un processus qui évalue la qualité de la performance du système à
chaque instant.

Le contrôle interne comme définit par le COSO consiste en une multitude de composantes
inter reliées qui sont propres au mode de gestion de la société. Ces composantes incluent
l’environnement de contrôle, l’évaluation du risque, les activités de contrôle, information et
communication, et le contrôle (ou la surveillance). Le COSO procure des critères d’évaluation
qui aident à estimer si un contrôle interne basé sur ces critères est efficace ou pas.
Bien que les cinq composantes du contrôle interne soient applicables à toutes les sociétés,
les PME-PMI peuvent les mettre en place d’une manière plus assouplie comparativement
parlant avec les grandes firmes. Les contrôles dans les petites entreprises peuvent être moins
formels et moins structurés, cependant ces dernières peuvent maintenir un ICOFR efficace.

SECTION 3 : EXEMPLE DE MISE EN PLACE D’UN PROCESSUS

D’EVALUATION DU CONTROLE INTERNE SELON LA LOI SOX
Il existe une multitude de méthodes qu’une société peut choisir pour développer une
approche qui remplisse ses responsabilités vis-à-vis de son évaluation du contrôle interne.
Dans cet exemple, nous présenterons une méthode parmi d’autres qui aidera une société à
opérer une évaluation correcte de son contrôle interne.
Etablir un processus d’évaluation du contrôle interne.

1. Planifier & Déterminer les contrôles significatifs et les unités
Cadrer opérationnelles à inclure. Définir une approche, les
l’évaluation frontières, les délais impartis, et les ressources.
Lancer le projet.
2. Documentation sur la conception des contrôles à

Documenter l’égard des assertions relatives à tous les comptes
le contrôle significatifs.
3. Evaluer la Evaluer la conception & gérer l’efficacité du contrôle

conception & interne sur le reporting financier et documenter les
gérer résultats de l’évaluation.
l’efficacité
4. Identifier, Identifier, accumuler, et évaluer la conception et la

estimer & gestion des déficiences de contrôle. Communiquer
corriger les les déficiences notées et les corriger.
déficiences
5. Rapport Préparer des assertions écrites sur l’efficacité du

sur le contrôle interne sur le reporting financier.
contrôle
interne

1) Planifier & cadrer l’évaluation
Le processus d’évaluation de l’efficacité de l’ICOFR nécessite un planning soigneux, qui est

du à la complexité et l’ampleur de la structure du contrôle au sein d’une entité. Ce plan
d’évaluation peut inclure un processus d’examen de l’ensemble de la documentation,
identification des contrôles et procédures d’évaluation, frontières significatives, et les délais
impartis. Le plan peut inclure aussi l’institution de politiques et procédures qui seront
utilisées, aussi bien dans le processus d’évaluation que dans les processus de la
communication interne.
La direction peut nommer ou identifier l’équipe responsable de l’évaluation. Ce projet peut

avoir un directeur, un manager de projet, et du personnel issu des services comptable et
financier, ressources humaines, système d’information, fiscal, juridique, et d’audit interne – et
tous ceux qui auraient pu développer des aptitudes ou des connaissances des principes du
COSO, et une compréhension de l’évaluation du contrôle. Si cela s’avère nécessaire, la
direction pourrait mettre en place des programmes de formation pour consolider les
connaissances existantes.
Parmi les activités les plus importantes du processus de planification, figure celle ayant trait à
l’identification des contrôles à inclure dans le cadre de l’évaluation. Selon le PCAOB,
l’évaluation peut comprendre des contrôles liés à tous les comptes significatifs dans les états
financiers.
D’après le Standard N°2, un compte n’est considéré comme significatif que s’il y a une
probabilité qu’il contienne des erreurs, qui prises individuellement ou dans le cadre de d’une
consolidation avec d’autres comptes, conduisent à fausser les états financiers.
2) Documenter les contrôles
La documentation sur l’ICOFR d’une entité est une étape importante dans le processus
d’évaluation de la direction. Elle procure un degré de certitude que les contrôles liés aux
assertions de la direction – incluant les changements de ces contrôles – ont été bien identifiés,
peuvent être communiqués aux personnes qui en sont responsables, et peuvent être contrôler.

Cette documentation peut revêtir plusieurs formes et contenir une variété d’information,
qui incluent le manuel des politiques, les modèles de processus, diagramme des flux,
description des fonctions ou des postes… Il n’y a pas d’obligation d’adopter telle ou telle
forme de documentation, et le contenu peut varier selon la taille, la nature, et la complexité de
la société. La direction doit recourir à l’établissement de standards de documentation propres
à elle pour la collecte et le reporting de l’information.
La documentation des procédures et contrôles pourrait être un élément capital dans le test
de l’efficacité de la conception du contrôle interne.
Bien que l’étendue de la documentation de l’évaluation soit matière à jugement, cette

dernière doit aller au-delà d’une simple conclusion attestant que le contrôle est conçu et est
efficacement mené. Pour avoir une base solide pour ces conclusions, la direction doit
renseigner sur les procédures appliquées, les résultats, et autres preuves obtenues concernant
l’efficacité de l’application. Les déficiences du contrôle interne relevées, doivent elles aussi
être renseignées avec les propositions de rectification appropriées. L’inadéquation de la
documentation concernant la conception des contrôles et l’absence de preuves suffisamment
documentées pour supporter l’évaluation de la direction quant à l’efficacité de l’ICOFR, sont
considérés comme des déficiences selon les dispositions du Standard N°2.
Pour apprécier et évaluer la documentation des résultats de l’évaluation, la direction peut

avoir recours à une approche manuelle, informatisée ou une combinaison des deux. Quelque
soit son choix, la direction peut envisager l’établissement de standards de documentation pour
collecter les résultats. L’utilisation de l’outil informatique peut aider à assurer que le
rendement de la documentation du processus d’évaluation va de pair avec les exigences de la
direction en la matière. Avec un outil informatique, l’information serait facilement résumée et
communiquée dans un format adapté à la direction.
En résumé, selon le Standard N°2, la direction doit avoir une documentation qui procure
une assurance raisonnable pour l’évaluation de l’efficacité de l’ICOFR couvrant :

• La conception des contrôles sur les assertions pertinentes liées à tous les comptes
significatifs des états financiers, incluant la documentation des cinq composants de
l’ICOFR comme définit par le cadre de travail du COSO ;
• L’information concernant la manière dont sont initiées, autorisées, enregistrées,
traitées, et communiquées les transactions significatives ;
• Une information suffisante sur les flux de transactions pour identifier où les
erreurs et les fraudes peuvent resurgir ;
• Les contrôles conçus pour prévenir ou détecter les fraudes, en incluant les
personnes qui les mènent et la répartition des tâches ;
• Les contrôles a posteriori de l’établissement des états financiers ;
• Les contrôles sur la sauvegarde des actifs ;
• Les résultats des tests et de l’évaluation de la direction.
Toujours selon le Standard N°2, l’auditeur doit mener au moins une investigation sur
chaque classe majeure de transactions – ce qui revient à dire qu’il doit retracer la vie
d’une transaction depuis son lancement jusqu’à sa traduction dans les états financiers.
Pour les besoins de son investigation, l’auditeur pourrait être amené à poser des
questions au personnel. Parmi ces dernières, on trouve :
• Que font-ils lorsqu’ils détectent une erreur ?
• Que cherchent-ils afin de déterminer l’existence ou non d’une erreur ?
• Quels types d’erreurs sont identifiés ?
• Qu’arrive-t-il lorsqu’une erreur est détectée ?
• Comment sont-elles corrigées ?
• Leur est-il jamais arrivé d’être obligé d’outrepasser le processus ou les contrôles ?
3) Evaluer la conception et gérer l’efficacité
La direction sera amenée à évaluer l’efficacité de la conception et de l’exécution de l’ICOFR,

de même que documenter les résultats de l’évaluation.
L’efficacité de la conception a pour but de voir si le contrôle est convenablement conçu, de

manière à prévenir et détecter les erreurs significatives relatives aux assertions spécifiques des
états financiers.

L’efficacité de l’exécution quant à elle s’assure du bon fonctionnement du contrôle. Durant

l’évaluation de l’efficacité d’exécution, la direction rassemble les preuves concernant la
manière avec laquelle le contrôle est mis en œuvre, la consistance avec laquelle il a été mené,
et qui l’a mené.
Ce qui est escompté des contrôles efficacement conçus est de prévenir et détecter les erreurs
et les fraudes qui risquent de se manifester dans les états financiers. Tous les contrôles
nécessaires pour procurer l’assurance raisonnable concernant la sincérité des états financiers
d’une société, doivent être mis en place, exécutés, et gérés par un personnel qualifié.
La direction doit évaluer la conception des contrôles pertinents. Les procédures pouvant servir
cette cause peuvent inclure : les enquêtes, les investigations, et les évaluations spécifiques
pour voir si les contrôles sont susceptibles de prévenir ou détecter les erreurs s’ils sont opérés
comme prescrit et par les personnes qualifiées.
Dans l’évaluation de l’efficacité d’exécution du contrôle, la société peut considérer si le

contrôle est mené comme prévu lors de sa conception et si la personne qui en est en charge
possède l’autorité et les qualifications nécessaires pour l’exécuter efficacement. La direction
doit mettre en place suffisamment de procédures pour évaluer l’efficacité de l’exécution des
contrôles. Ces procédures peuvent inclure des tests sur les contrôles effectués par le service
d’audit interne ou faire appel à des auditeurs externes sous la supervision de la direction.
4) Identifier, estimer & corriger les déficiences
La direction peut établir un processus par lequel les déficiences sont identifiées et
collectées à travers toute la société, en incluant toutes les unités opérationnelles évaluées.
Pour conclure sur l’évaluation de l’efficacité de l’ICOFR, la direction est susceptible
d’évaluer la sévérité de toutes les déficiences identifiées.

« Une déficience du contrôle interne apparaît lorsque la conception ou l’application d’un

contrôle ne permet pas à la direction ou les employés, dans l’exercice normal de leur
fonction, de prévenir ou détecter les erreurs au moment opportun. Une déficience du
contrôle interne peut être soit une déficience de conception ou d’exécution ».
On parle de déficience de conception lorsqu’il y a absence d’un contrôle essentiel ou

lorsqu’il existe et il est mal conçu, ceci conduit à la non réalisation des objectifs de contrôle.
Si déficience d’exécution il y a, alors ceci veut dire qu’un contrôle proprement conçu est
soit mal exécuté, soit la personne qui en est en charge ne possède pas l’autorité ou les
qualifications nécessaires pour l’effectuer efficacement.
Les déficiences du contrôle interne s’étendent des déficiences sans conséquences notables
jusqu’aux déficiences significatives dans le contrôle interne. La direction doit déterminer si la
déficience du contrôle interne est sans importance, significative, ou représente une faiblesse
significative. Tout le personnel de la société doit partager une compréhension commune de
ces définitions et comment elles sont appliquées.
Comme il a été définit selon le Standard N°2 :
• Une déficience significative est une déficience du contrôle, ou une combinaison

de déficiences de contrôle, qui affecte négativement la capacité de la société à
initier, autoriser, enregistrer, traiter, ou communiquer les informations financières
d’une manière sincère et conforme aux exigences des US GAAP.
• Une faiblesse significative est une déficience significative, ou une combinaison de
déficiences significatives, qui aboutissent à ce que les erreurs significatives dans
les états financiers annuels ou intérimaires aient plus qu’une vague probabilité de
ne pas être évitées ou détectées.
S’il existe des déficiences significatives qui, prises individuellement ou en totalité, aboutissent
à un ou plusieurs points faibles, la direction n’est pas autorisée à conclure que l’ICOFR est
efficace.

Comme il a été définit dans le Standard N°2, une erreur est sans importance si une
personne raisonnable conclurait, après avoir considérer la possibilité d’existence davantage
d’erreurs non détectées, que l’erreur qu’elle soit prise individuellement ou agréger avec
d’autres, n’ait pas d’impact significatif sur les états financiers. Si une personne raisonnable ne
peut pas arriver à une telle conclusion, alors l’erreur est considérée comme significative.
Le Standard N°2 identifie aussi certaines zones qui, si déficiences il y a, sont jugées
comme étant des déficiences significatives. Ces zones incluent :
• Les contrôles sur la sélection et l’application des politiques comptables qui vont de
pair avec les GAAP ;
• Les programmes et contrôles anti-fraudes ;
• Contrôles sur les transactions exceptionnelles ;
• Contrôles sur le processus du reporting financier.
Le Standard N°2 identifie plusieurs circonstances qui, de part le caractère négatif de leur
probable impact sur l’ICOFR, sont considérées comme des déficiences significatives et des
indicateurs forts qu’un point faible existe. Ces circonstances incluent :
• Réédition des états financiers précédemment édités, corrigés des erreurs y existantes ;
• Identification par l’auditeur d’une erreur significative dans les états financiers
concernant l’exercice en cours et qui n’a pas été initialement identifiée par la société ;
• Un contrôle inefficace du reporting financier de la société par le comité d’audit de
cette dernière ;
• Pour les grandes firmes, l’inefficacité de l’audit interne ou des fonctions d’évaluation
du risque ;
• Pour les entités complexes présentes dans les industries hautement réglementées,
l’inefficacité de la fonction réglementaire ;
• Identification de fraude d’un quelconque degré dans la part d’un des dirigeants ;
• Les déficiences significatives qui ont été communiquées à la direction et au comité
d’audit, et qui sont restées sans correction après une période de temps ;
• Inefficacité de l’environnement de contrôle.

La direction doit allouer suffisamment de temps pour évaluer et tester les contrôles. Dans
le cas où, des déficiences sont découvertes, la direction aura l’opportunité de corriger et
remédier à ses erreurs antérieurement à la date du reporting. Cependant, la direction aura
besoin d’allouer le temps nécessaire pour les nouveaux contrôles pour qu’ils se mettent en
place et valider leur efficacité.
5) Rapport sur le contrôle interne :
Selon le Standard N°2, la direction est tenue d’inclure dans son rapport annuel ses évaluations
concernant l’efficacité de son ICOFR. Le rapport de la direction sur l’ICOFR doit contenir ce
qui suit :
• Une déclaration attestant que la direction est responsable d’établir et maintenir un
ICOFR adéquat pour la société ;
• Une déclaration d’identification du cadre de travail utilisé par la direction pour
effectuer l’évaluation requise de l’efficacité de l’ICOFR de la société ;
• Une évaluation de l’efficacité de l’ICOFR de la société, incluant une déclaration
explicite ayant pour objectif de voir si l’ICOFR est efficace ;
• Une déclaration attestant que la société d’audit ayant certifié les états financiers
présents sur le rapport annuel, a bel et bien présenté un rapport sur l’évaluation faite
par la direction concernant l’ICOFR.
Selon le Standard N°2, la direction est tenue de conclure par écrit sur l’efficacité de l’ICOFR
de la société. Cette conclusion peut revêtir plusieurs formes ; cependant, la direction est
obligée de statuer de manière directe sur son efficacité. Par exemple, cette phrase
« l’évaluation de la direction stipule que la société a maintenu un ICOFR efficace à la
[date] », est une conclusion appropriée. D’autres phrases, comme « l’évaluation de la
direction qui stipule que l’ICOFR de la société à la [date] est suffisant pour permettre la
réalisation des objectifs », peuvent être utilisées. Cependant, la conclusion ne doit pas être
très subjective (par exemple, « un contrôle interne très efficace »). Le Standard N°2 ne
procure pas un exemplaire de rapport de la direction. Il est recommandé que la société discute
de la forme et du contenu de son rapport avec son conseiller externe et son auditeur externe.

En accord avec le Standard N°2, la direction pourrait signaler que l’ICOFR, à la date du
dernier exercice fiscal, est efficace même si un ou plusieurs points faibles existaient durant
cette exercice fiscal. Pour effectuer cette démarche, la direction doit corriger les déficiences
de contrôle pour éliminer tous les points faibles significatifs avant la date de clôture et tester
d’une manière satisfaisante l’efficacité sur une période de temps suffisante pour que la
direction puisse déterminer si, à la fin de l’exercice fiscal, la conception et l’application de
l’ICOFR est efficace.

Chapitre IV : Comparaison de la Loi sur

la Sécurité Financière et la loi Sarbanes
Oxley :
La loi de sécurité financière a été promulguée à l’instar de la loi Sarbanes Oxley à la
suite des nombreux scandales financiers pour restaurer la confiance des investisseurs
notamment dans les pratiques comptables. Même si les deux lois sont nées des même
faits et ont le même objectif, il existe cependant des différences notables entre celles-ci :
♦ La loi de sécurité financière concerne toutes les sociétés anonymes. Son périmètre est
plus large que celui de la loi Sarbanes Oxley qui se limite uniquement aux sociétés
cotées. La loi française part du principe que tous les actionnaires des sociétés
anonymes doivent être informés des dispositions prises en matière de contrôle interne.
♦ La loi française implique directement le Président du Conseil d’administration ou du

conseil de surveillance alors que la loi américaine implique la direction
opérationnelle : le CEO (chief executive officer) c’est-à-dire le directeur général et le
CFO (chief financial officer) c’est-à-dire le directeur financier.
♦ La loi de sécurité financière concerne toutes les procédures de contrôle interne tandis
que la loi Sarbanes Oxley ne concernent que les informations comptables et
financières.
♦ Le président français rend compte des procédures dans la loi sur la sécurité financière
tandis que la management américain doit décrire les procédures et évaluer l’efficacité
de ces procédures. Le président du conseil d’administration ou de surveillance n’est
pas tenu de les apprécier ni de les évaluer.

♦ Le modèle à l’Européenne défendant tout actionnaire de sociétés anonymes s’oppose

au modèle à l’Américaine qui ne s’intéresse qu’à l’actionnaire de sociétés faisant
appel publique à l’épargne. Le cadre normatif américain est en revanche plus
contraignant et le travail de l’auditeur américain s’annonce plus cadré.
♦ Concernant le rapport sur le contrôle interne le tableau suivant mettra en exergue les
points de divergences entre les législations française et américaine
Toutes les sociétés anonymes Uniquement les sociétés

cotées
Chaque société Groupe
Président du conseil d'administration ou du Management : CEO (chief
conseil de surveillance executive officer) et CFO
(chief financial officer)
! Toutes les procédures de contrôle interne Uniquement les procédures
qui concernent les
informations comptables et
financières
Le Président « rend compte » Le management
- décrit les procédures ;
- évalue l'efficacité de la
structure de contrôle
interne et des procédures
mises en oeuvre.
Les commissaires aux comptes présentent leurs Les auditeurs attestent
observations sur celles des procédures de contrôle l'évaluation et établissent
interne qui sont relatives à l'élaboration et au un rapport
traitement de l'information comptable et
financière (article 120 de la loi de sécurité
financière)
! Exercices ouverts à compter du 1er janvier 2003 Exercices clos après le 15
"#
juin 2004 (15 avril 2005
pour les sociétés étrangères
cotées aux Etats-Unis)

Partie II:
Proposition d’une méthodologie de revue du
système de contrôle interne selon les dispositions
de la loi sarbannes-oxley :
« Cas d’une entreprise de commercialisation de
voitures »

Dans le cadre de mon stage de fin d’études que j’ai effectué au

sein du Cabinet PWC, je
je me suis vu assigner une mission de
certification du contrôle
contrôle interne selon les dispositions de le loi
Sarbannes-
Sarbannes-Oxley , d’une
d’une entreprise filiale d’une grande firme
d’automobiles, cotée à la bourse de New York

Chapitre I : Activité de
l’entreprise « T »
La société qu’on nommera « T » pour des raisons de confidentialités, est le distributeur
exclusif de marques de voitures japonaises, et en moins de 8 ans, elle est rapidement devenu
leader du marché des véhicules importés montés dominant surtout le segment des 4X4 et des
utilitaires.
Imprégné des principes et des valeurs du Groupe auquel elle appartient et qui est coté à
la bourse de New York, la société « T » a pu bâtir une grande réputation sur sa capacité à
mettre au profit de sa clientèle une gamme de produits complète combinée à une qualité de
service en hausse. Les ventes de cette société ont connu une augmentation fulgurante passant
de 726 unités vendues en 1996 à plus de 7000 prévues pour l’année 2005.
Aujourd’hui, « T » couvre la quasi-totalité d’un réseau couvrant presque la totalité du

royaume pour être plus proche de ses clients. En effet, « T » dispose de plusieurs succursales
à savoir le siége et la succursale de Casablanca, Rabat, Marrakech, Fès, Tanger, Ouled Taima,
et Lâayoune ainsi que d’un réseau de 9 concessionnaires.
La gamme proposée par « T » comporte plus de 19 modèles allant de la petite citadine

au 4x4 luxueux en passant par un large choix de véhicules utilitaires.
La longévité et la robustesse de ses véhicules sont reconnues dans le monde entier.

D’ailleurs elle garantit les moteurs et les pièces non consommables de tous les véhicules
qu’elle distribue.
« T » stocke et gère environ 12000 références de pièces de rechange représentant en

valeur plus de 13 millions Dhs. Le taux de service aux demandes de la clientèle est de 74%,
un pourcentage exceptionnel en Afrique compte tenu des délais d'approvisionnement.

Etant leader de son marché, « T » s’engage à pleinement répondre à tous les besoins des
clients, qu'il s'agisse de fournir des pièces détachées d'origine ou de faire bénéficier les clients
de l'expertise de techniciens hautement qualifiés pour réparer les véhicules.
Remarquablement bien équipés, les ateliers de réparation sont en mesure de répondre à

tous les besoins des clients en matière de service.

Chapitre II : Appréciation du contrôle

interne de la société « T » selon les
dispositions de la loi SOX
Dans le cas suivant on se focalisera essentiellement sur 3 cycles :
Le cycle Personnel/Paie
Le cycle Trésorerie
Le cycle Immobilisations
SECTION 1 : LE CYCLE PERSONNEL/PAIE
1) Descriptif du cycle paie
La paie est décentralisée au niveau de chaque site du Groupe. Le narratif ci-dessous décrit la
procédure commune recueillie au niveau de Casablanca.
1.1 Maintenance de la base personnel
A. Embauche d’un salarié et création de son dossier (commun à l’ensemble des

salariés)
Les départements émettent les besoins en personnel par le biais d’une « fiche d’expression
de besoin » validée par le responsable hiérarchique de la future recrue, responsable du
département et directeur général du pôle et/ou directeur général du pôle ressources.
Le processus de recrutement est alors déclenché :
- En interne : une proposition est faite au personnel interne et une fiche de mobilité est
remplie et signée par la direction de départ et celle d’accueil (chef hiérarchique de la nouvelle
recrue), par le responsable des ressources humaines, par le directeur de site ou le DRH.
- En externe : le recrutement se fait par le biais d’un cabinet de recrutement, annonce presse
ou traitement des candidatures spontanées.

Les entretiens des candidats sont menés d’une part par les ressources humaines (service
recrutement et DRH) et d’autre part par la direction concernée. La rémunération est proposée
par le DRH en fonction des grilles salariales et prétentions salariales du candidat et après
concertation avec la direction générale.
La rémunération est communiquée par mail par le DRH à la chargée du service recrutement et
formation qui établit le contrat.
Le contrat est ensuite transmis au chargé de la rémunération et à la chargée des affaires

sociales qui constitue le dossier de la nouvelle recrue (CV, diplômes, fiche d’expression de
besoin, contrat, programme d’accueil et d’intégration, pièces d’état civil, dossier social
comprenant CNSS, CIMR.. et la fiche anthropométrique..).
B. Création du profil sur système
A la réception du contrat légalisé, le chargé effectif et rémunération crée la fiche

signalétique de la nouvelle recrue sur système comprenant le nom, date d’entrée, catégorie
(mensuel, cadre ; horaire..) N° de compte bancaire, Adresse… ainsi que la fiche de
renseignements comprenant la date de naissance, N° CIN…
Le chargé des effectifs et rémunération renseigne sur système sur la base du contrat les
éléments fixes comprenant les appointements, le taux horaire, les primes, les avantages
sociaux..
Il édite un bulletin de contrôle afin de s’assurer de l’exactitude des éléments renseignés sur
système (Ce contrôle n’est cependant pas matérialisé)
C. Modification des données de paie
C.1 Accès au système Paie

L’accès pour la modification (ainsi que création) des zones impactant la paie dans le système
est limité au chargé de la rémunération et des effectifs, au chargé des services communs, au
responsable ressources humaines du site ainsi qu’au directeur des ressources humaines.
C.2 Les augmentations individuelles:
Le RRH reçoit de chaque responsable de département une liste nominative précisant le

montant de l’augmentation. Le RRH remplit un document « formule relative au personnel »
qu’il signe et fait valider par le responsable de département et le directeur de site.
Ce document est transmis au chargé de rémunération qui saisit sur le système le montant de
l’augmentation (nouveau brut). Un exemplaire est conservé dans le dossier du salarié tenu par
la chargée des affaires sociales.
Pour les directeurs, le RRH reçoit (verbalement ou par mail) du DRH le montant de
l’augmentation à accorder. Le RRH remplit alors le document « formule relative au
personnel » qu’il signe et fait valider par le directeur général du pôle.
C.3 Les primes:
Le RRH reçoit du DRH ou responsables de département des propositions d’accord de

primes (listes nominatives précisant le montant des primes ou le nombre de mois à accorder)
qu’il édite et fait valider par le directeur du site.
Concernant les primes des commerciaux, le RRH reçoit du responsable département une
liste nominative précisant les taux de primes à accorder qu’il édite et fait valider par le
directeur général du pôle commercial ou directeur général du pôle ressources. Le RRH
procède à la conversion des taux en montants de primes qu’il fait valider par le directeur du
pôle commercial ou directeur du pôle ressources.
Le RRH transmet au chargé de rémunération le détail des primes à accorder qu’il saisit
dans le système Paie.
1.2) Etablissement de la paie :
A. Suivi du temps de présence :

A.1 Pointage
Chaque salarié et intérimaire dispose d’un badge (unique par matricule) pour pointage dans
le système de pointage (3 pointeuses dans le site).
Le chargé de rémunération crée le profil des employés sur ce même système en précisant le
code de la catégorie (horaires, intérimaires, mensuels..).
Le pointage des mensuels (payés au forfait) sur le système de pointage n’est cependant pas
systématique. En cas d’absence maladie, le certificat est remis à la chargée des affaires
sociales qui déduit les jours d’absence des reliquats de congés. En cas de consommation des
congés, le certificat est transmis au chargé de rémunération qui procède à la saisie de ces jours
dans la rubrique heures non travaillées sur le système (module FINANCE) afin de les déduire
des salaires lors de la valorisation. Pour le personnel cadre, les absences ne sont pas déduites
des congés ou salaires.
Les salariés horaires sont payés pour les heures pointées.
Chaque semaine, le chargé de rémunération édite pour les horaires l’état des anomalies de
pointage faisant ressortir les pointages impairs (employés n’ayant pointé qu’à l’entrée ou à la
sortie).
Des états de présence sont alors remplis par les intéressés et validés par les responsables
hiérarchiques puis transmis au chargé de la rémunération qui remplit les champs vides sur le
système de pointage. Celui-ci n’a cependant pas accès pour la modification des heures
pointées.
L’application permet la traduction des données issues du pointage sous format Excel
faisant ressortir par matricule les heures travaillées durant le mois (heures normales, heures
supplémentaires à 125%, 133%, 150% et 200%) ainsi que le nombre de jours travaillés et ce
par catégorie (un état pour les horaires et un état pour les intérimaires).
Le chargé de rémunération procède par la suite par sondage au rapprochement des heures
figurant sur le fichier Excel à celles figurant sur le système de pointage.

L’état des heures travaillées des horaires (format Excel) est transmis après contrôle (tel que
cité ci-dessus) à l’informatique pour intégration dans le système paie. Seules les heures
travaillées sont ainsi valorisées et payées.
L’état des heures travaillées des intérimaires (format Excel) est transmis après contrôle (tel
que cité ci-dessus) à la société d’intérim pour paie des intérimaires par celle-ci et facturation à
la société.
A.2 Autorisation des heures supplémentaires :
Chaque semaine, chaque département envoie au chargé de rémunération un document

signé par le chef de département détaillant par personne les heures supplémentaires
hebdomadaires travaillées.
Le chargé de rémunération prépare chaque fin de semaine le détail des heures normales et
heures supplémentaires hebdomadaires travaillées issues du pointage (sur fichier Excel).
Le chargé de rémunération compare les heures supplémentaires issues du système de

pointage à celles en provenance de chaque département, envoie le fichier des heures
travaillées à chaque département en signalant les écarts relevés aux départements concernés
(par mail ou verbalement). Les écarts approuvés par les départements sont portés en
correction sur l’imprimé.
En cas de non approbation de ces écarts par les chefs de département, ces heures sont
déduites par le chargé de rémunération du fichier des heures travaillées transmis à
l’informatique pour intégration et valorisation.
B. Etablissement des paies mensuelles
B.1. Eléments variables de paie
Les éléments variables de la paie sont les congés payés, absences, augmentations, primes,
retenues sur avances.
- Cas des congés payés
o Congés en cours d’année :

La demande de congés signée par l’intéressé et le supérieur hiérarchique est remise à la

chargée des affaires sociales. Celle-ci prépare et signe une décision de congé, visée également
par l’intéressé, la classe avec la demande de congés et met à jour le fichier de suivi des
reliquats de congés.
o Congés planifiés :
En Mai de chaque année, la chargée des affaires sociales envoie un fichier (format Excel) à
chaque chef de service dans lequel figurent les reliquats de congés par matricule.
Chaque chef de service prépare un planning des congés par personne qu’il renvoie à la
chargée des affaires sociales. Celle-ci prépare les décisions de congés y afférentes qui sont
signées au fur et à mesure par les intéressés. Pour les décisions non signées, la chargée des
affaires sociales contacte le chargé de rémunération qui vérifie par rapport à l'état de pointage
si les congés ont été pris.
La chargée des affaires sociales envoie mensuellement le fichier des congés pris et reliquats
par matricule au chargé de la rémunération qui les saisit sur le système paie pour mise à jour
des congés.
Concernant les salariés horaires, les congés sont payés le mois de leur liquidation. Le chargé
de rémunération saisit dans la rubrique congés du système le nombre d’heures de congés à
payer qui sont valorisées lors de l’établissement de la paie.
o Tenue des registres de congés :
La chargée des affaires sociales tient deux registres de congés (pour horaires et mensuels)
Tout salarié ayant pris un congé signe sur le registre de congés avec mention du nombre de
jours pris.
La chargée des affaires sociales rapproche régulièrement les congés mentionnés sur registre à
ceux issus de son état de suivi des congés (sur Excel)
- Avances :
o Octroi des avances (avance sur salaire ou avance étalée sur un maximum de 10
mois):
Avance sur salaire (acompte)

Le chargé de rémunération suit sur fichier Excel l’ensemble des salariés percevant chaque
quinzaine une avance sur salaire (suivi par nom et montant de l’avance suivant un barème de
800 à 1000 DH). Chaque quinzaine, le chargé de rémunération édite l’état des acomptes,
établit l’ordre de paiement des acomptes qu’il transmet à la caisse pour paiement après revue
et visa de la direction (un des signataires habilités).
Avance étalée (sur un maximum de 10 mois)
Les avances font l’objet d’une demande d’avance (comportant le montant et les modalités de
remboursement) signée par l’intéressé et le chef hiérarchique. La demande est transmise aux
ressources humaines pour visa du responsable RH ou DRH après revue de l’endettement par
le chargé de rémunération (qui rapproche le total des retenues sur prêts et avances du salarié
au net de celui-ci et vérifie que le ratio est < à 40%).
La demande est envoyée au responsable de la trésorerie qui la signe puis à la responsable

comptable.
B.2. Etablissement de la paie mensuelle
Au moment de l’établissement de la paie, les retenues sur avances et prêts suivis au niveau de
la comptabilité sont transférées par l’informatique du module comptabilité du système au
module paie de ce dernier.
Le chargé de rémunération lance la procédure de déclenchement de la paie sur le système

paie. Il génère ainsi un état préparatoire comprenant les éléments fixes et variables par
matricule qu’il édite et réalise les contrôles suivants :
♦ pour les salariés ayant des avances, il rapproche les retenues sur avances à celles
figurant sur les bulletins de m-1
♦ vérifie l’exhaustivité des retenues des acomptes par rapport à l’état de suivi des
acomptes consentis
♦ vérifie les éléments de la paie des nouvelles recrues par rapport aux contrats

♦ s’assure que les nouveaux salaires ont bien été pris en compte en rapprochant les
nouveaux salaires figurant sur « les formules relatives » classées à ceux figurant sur
l’état préparatoire
Les erreurs relevées sont corrigées sur le système paie et les retenues non opérées
communiquées à la comptabilité pour correction.
Si aucune erreur ne subsiste, le chargé de la rémunération procède à la valorisation de la

paie sur système et à l’édition des bulletins de paie.
Celui-ci procède au contrôle de tous les bulletins de paie en s’assurant que les éléments
constitutifs de la paie sont bien pris en compte dans les bulletins de paie.
En cas d’erreur, il modifie sur système les bulletins de paie erronés et procède à leur
réédition.
Si aucune erreur ne subsiste, le chargé de rémunération édite :
le journal de paie détaillé par personne
l’état de virement, l’état espèces et l’état des paiements par chèque
l’état récapitulatif présentant la masse salariale, le nombre d’heures travaillées…
Le chargé de la rémunération établit un état récapitulatif sur Excel où il reporte sur la base
des états virement/espèce/chèques issus du système les montants à virer par banque, les
salaires à régler en espèce et ceux à payer par chèque dont il rapproche le total à celui figurant
sur le journal de paie. Il établit également un ordre de paiement pour les salaires réglés par
espèces ou chèques.
Ces états sont transmis au directeur financier
L’ordre de paiement et l’état de virement sont signés par deux signataires selon la liste des
signataires habilités : directeur financier et directeur général pôle ressources ou PDG
B.3. Paiement de la paie
L’état de virement signé est envoyé par le chargé de rémunération aux banques pour paiement
des salaires.

Les ordres de paiement sont remis à la trésorerie (de chaque site) pour paiement des salariés
payés en espèce ou par chèques (cf procédure trésorerie).
B.4. Charges sociales

- CNSS :
La société est affiliée à Damancom
A la fin de chaque mois, une application informatique reliée au système paie permet
d’extraire les salaires à déclarer. Ce fichier est fusionné avec le bordereau préétabli envoyé
par la CNSS. Le fichier ainsi obtenu est édité par le RRH puis contrôlé par celui-ci afin de
vérifier et expliquer les personnes n’ayant pas de salaires en renseignant le code prévu à cet
effet (radié, malade, AT..). Celui-ci vérifie également la concordance entre les salaires
déclarés et ceux extraits du système paie (contrôle matérialisé dans un document classé dans
la paie du mois).
Le fichier corrigé est réédité, contrôlé puis envoyé à Damancom par télédéclaration avant
le 10 du mois suivant et archivé.
Le RRH édite l’ordre de paiement de Damancom permettant le calcul automatique des

cotisations à payer et établit un ordre de paiement. Le bordereau de paiement de la CNSS et
l’ordre de paiement sont transmis à 2 signataires habilités (PDG, DF, DG pôle ressources) : le
bordereau est alors remis à la banque pour paiement contre accusé.
Le Bordereau de CNSS reçu ultérieurement de la CNSS est classé et archivé dans la paie
du mois.
- CIMR:
Le chargé de rémunération dispose d’une application CIMR reliée au système paie.
Le chargé de rémunération extrait chaque fin de trimestre de cette application le détail des
salariés avec salaires à déclarer. Il extrait ensuite un fichier du système paie présentant les
salaires bruts plafonnés et salaires non plafonnés dont il compare le total à celui du fichier
global issu de l’application CIMR.

Si le rapprochement est satisfaisant, le fichier issu de l’application est transformé en format

texte puis transmis au département assurance et juridique de Casa pour préparation de la
déclaration.
- Assurance:
Le chargé de rémunération remet un fichier (issu d’une application interne intégrée dans le
système paie) présentant les salaires soumis à l’assurance groupe. Ce fichier est transmis au
département assurance et juridique pour établissement de la déclaration.
- Impôt général sur le revenu :

Les retenues d’IGR sont opérées au niveau du système paie d’après un paramétrage à la
base du barème et des rubriques imposables pour prise en compte dans le calcul.
Celles-ci sont comptabilisées lors de l’intégration de la paie et le montant figurant dans le

compte IGR est reporté sur la déclaration.
En fin d’année, le responsable comptable de RABAT Branch reçoit des différents sites sur
état Excel la déclaration 9421. Celui-ci établit la déclaration globale.
Le responsable comptable procède alors au rapprochement des salaires à déclarer + variation

de la provision pour congés au total déclaré dans la 9421.
B.5. Gestion des dossiers maladie
A la réception des dossiers maladie, la personne chargée des affaires sociales les contrôle
avant envoi à la compagnie d’assurance une fois par semaine accompagnés d’un bordereau
récapitulant tous les dossiers transmis (celui-ci est retourné cacheté à la société).
A la réception des chèques de règlements et décomptes individuels, la chargée d’affaires

sociales rapproche les décomptes aux bordereaux d’envoi afin d’y mentionner les salariés
remboursés.

Elle établit un état de remboursement des frais médicaux remis au caissier pour
remboursement des salariés accompagné d’un ordre de paiement signé par le responsable RH
ou chargée des affaires sociales
Pour les médecins conventionnés, le salarié se présente chez la chargée des affaires
sociales qui lui remet une déclaration avec cachet.
La déclaration est remise au médecin traitant pour mention des honoraires. La chargée des
affaires sociales mentionne la prise en charge sur le bordereau envoyé à la compagnie, sur les
décomptes reçus de la compagnie, et sur l’état de remboursement envoyé au caissier.
C. Fin de contrat d’un salarié

C.1 Détermination des droits à payer au salarié :
Cas d’un départ classique (fin de carrière notamment)
Lors du départ du salarié, le chargé de la rémunération saisit sur Odyssée paie les éléments
relatifs au départ du salarié. Il établit sur Excel le solde de tout compte. Le chargé de
rémunération édite alors du système paie un bulletin de paie provisoire qu’il transmet avec le
solde de tout compte au responsable des ressources humaines du site pour validation. Les STC
et bulletin sont conservés après paiement dans le dossier du salarié.
Cas d’un départ lié à un licenciement, une transaction,…
o Licenciement
Les licenciements pour faute grave font l’objet de lettre adressée à l’intéressé avec copie à
l’inspection du travail et réunions en présence du délégué du personnel pour annonce de la
faute grave.
o Arbitrage
Le DRH détermine le montant de la transaction qui est ensuite communiqué au responsable

des ressources humaines et notifié à l’avocat pour introduction de la démarche auprès du
tribunal.

Dans le cas d’un départ autre qu’en fin de carrière, le chargé de rémunération saisit également
dans le système paie les indemnités communiquées par le RRH ou DRH.
C.2 Paiement du STC :
En fin de contrat, le solde de tout compte établi et validé est transmis à la trésorerie pour
paiement par chèque.
En cas de traitement en fin de mois, le paiement du STC est traité avec la paie du mois (cf
établissement paie ci-dessus).
En cas de traitement en cours de mois, le STC et bulletin validés sont transmis à la trésorerie
accompagnés d’un ordre de paiement par chèque. Le STC payé est porté par le chargé de
rémunération sur un registre de suivi des mouvements.
Lors de l’établissement de la paie du mois, l’état des chèques édité par le chargé de
rémunération (qui sera transmis au caissier pour paiement) est rapproché par celui-ci au
registre de mouvements pour identifier les STC payés durant le mois et éviter leur double
paiement. Celui-ci mentionne alors sur l’état des chèques « STC déjà pris » pour les
paiements effectués préalablement.
C.3 Mise à jour du fichier permanent :
Lors de la fin de contrat, le chargé de rémunération renseigne au moment de la saisie des

éléments de rémunération du salarié sortant la date de sortie de celui-ci. Cela a pour effet
d’arrêter le traitement de la paie pour ce salarié pour les périodes suivantes.
1.3) Suivi du personnel intérimaire
A. Demande de main d’œuvre :
A.1 Surplus (nouvelle main d’œuvre)

Le chargé de rémunération reçoit un document « demande de main d’œuvre temporaire »
signé par le chef de service, le responsable RH et le directeur de site mentionnant le nombre
de temporaires, la période et les fonctions à pourvoir. Cette demande est faxée à la société
d’intérim.

A.2 Remplacement
Chaque fin de mois, le chargé de rémunération définit une liste d’intérimaires à remplacer (en
fonction de l’ancienneté) sur la base de l’état de suivi (sur Excel) des intérimaires employés
(noms des temporaires avec dates d’entrée). Cette liste est communiquée par mail aux chefs
de service et à la société d’intérim pour préparation des STC.
Le chargé de rémunération contacte les intérimaires remplaçants et informe la société

d’intérim de la liste de ces intérimaires en leur faxant une demande de main d’œuvre
précisant la date de début de fonction.
B. Paiement de la société d’intérim :
La société d’intérim facture les heures communiquées en y appliquant le taux de 1.47 ainsi
que les primes de panier et transmet les journaux de paie détaillés par intérimaire à la société.
Le chargé de rémunération procède au calcul du montant à facturer sur la base du fichier des
heures travaillées communiqué à la société d’intérim auxquelles il applique les taux horaires,
la marge et la prime de panier pour les intérimaires qui en bénéficient. Le calcul effectué est
rapproché à celui facturé par la société d’intérim. En cas d’écart, le chargé de rémunération
avise la société d’intérim. Si aucune erreur ne subsiste, le chargé de rémunération appose son
« ok » sur la facture qu’il transmet à la comptabilité.
1.4) Clôture et comptabilisation de la paie
A. Comptabilisation de la paie
La paie est comptabilisée par interface entre le module paie et le module comptabilité.
En effet, chaque rubrique paie comporte un code sur le système paie auquel correspond
(paramétrage intégré dans le système) le numéro de compte comptable (et contrepartie).
Après finalisation de l’établissement de la paie, le chargé de rémunération mentionne la

« fin de paie » sur Odyssée paie (entraîne l’effacement de toutes les rubriques variables et
l’impossibilité de modification). Le responsable informatique procède alors à l’intégration de
la paie du module paie au module comptabilité

L’état récap issu du système paie est transmis par mail à la responsable de la comptabilité
qui vérifie la concordance du net à payer issu du journal analytique (demandé auprès du
chargé de rémunération) avec celui intégré, investigue les écarts et procède à leur
régularisation.
B. Contrôle de la comptabilisation de la paie :
Le responsable comptabilité reçoit du service informatique le fichier des salaires transférés

du module paie au module compta présentant les salaires par compte issus du système paie et
ceux intégrés et procède alors (pour tous les sites) au rapprochement entre les salaires
comptabilisés, ceux issus du système et ceux intégrés afin d’identifier les écarts entre la paie
et l’intégration, et ceux entre la comptabilité et l’intégration. Ces écarts (dus généralement à
de nouvelles rubriques de paie non paramétrées) sont investigués et le fichier transmis aux
RRH pour justification des écarts.
C. Travaux de fin de mois

Provision pour congés à payer et charges patronales :
Le RRH de chaque site se réunit en début de chaque année avec le responsable comptable
et informatique afin de définir les coefficients de charges sociales à appliquer.
Ceux-ci sont saisis par le RRH (chargé de rémunération à Casa) afin de provisionner les
charges patronales en temps réel à la fin de chaque mois (CNSS, CIMR, AT, Assurance), la
provision pour congés à payer, les gratifications.. : ces charges sont générées
automatiquement dans le système paie.
Les charges patronales provisionnées sont extournées manuellement par le responsable

comptable qui procède à la comptabilisation du montant réel lors de l’établissement de la
déclaration.
La provision pour congés est extournée manuellement par le responsable comptable le

mois suivant ; elle est régénérée automatiquement dans le système en fin de mois. Le
responsable comptable procède à la comptabilisation du montant réel lors de chaque arrêté
semestriel sur la base des fichiers de congés reçus de tous les sites de « T ».

2) Risques liés aux processus personnel/paie contrôle palliatifs et tests
Lors de l’études des procédures de contrôle interne pour mettre en place un ICOFR au
cycle personnel paie de cette entreprise, l’éxamination de ces contrôles nous a permis de
dégager une multitudes de risques dont les plus significatifs sont :
♦ Risque 1
Recrutements/ rémunérations allouées non autorisés
Contrôle palliatif
- Les départements émettent les besoins en personnel par le biais d’une « fiche d’expression
de besoin » validée par le responsable hiérarchique de la future recrue, par le responsable du
département, et par le directeur général du pôle et/ou DG du pôle.
- Tous les contrats sont établis par le service recrutement et formation groupe et signés par le
PDG ou directeur général du pôle ressources, puis légalisés.
Test effectué (préventif)
- S'assurer que tout nouveau recrutement a fait l'objet d'une demande approuvée par
l'ensemble des responsables " le responsable hiérarchique de la future recrue, par le
responsable du département, et par le directeur général du pôle et/ou DG du pôle ressources
humaines
- S'assurer pour de nouvelles recrues que les contrats signés par le PDG ou directeur général
du pôle ressources, puis légalisées.
Assertion vérifiée : Validité des enregistrements (validity)
♦ Risque 2
Des salariés continuent à être payés après leur départ où gardent leur badge après leur départ
Contrôle palliatif

La société devrait confier à une tierce personne (autre que le chargé de rémunération et RRH)
la remise des STC aux salariés sortants contre remise du badge. Cette personne devrait établir
chaque fin de mois un état signé du personnel sortant.
S’assurer que cette procédure existe réellement : c'est le caissier qui fera ce contrôle.
Assertion vérifiée : Exactitude des enregistrements (accuracy)
♦ Risque 3
Les heures facturées par la société d’intérim ne correspondent pas aux heures réellement
travaillées
Contrôle palliatif
La société devrait confier le rapprochement entre les heures facturées et celles calculées par le
chargé de rémunération à une tierce personne du service ressources humaines, avec revue
matérialisée du RRH.
Test effectué (détectif)
S'assurer que La société devrait confier le rapprochement entre les heures facturées et celles
calculées par le chargé de rémunération à une tierce personne du service ressources humaines,
avec revue matérialisée du RRH.
Assertion vérifiée : Exactitude des enregistrements (accuracy)
♦ Risque 4
Calcul erroné de l'impôt sur les revenus
Contrôle palliatif (détectif)
Le responsable comptable procède au rapprochement des salaires à déclarer + variation de la

provision pour congés au total déclaré dans la 9421
Test effectué
S'assurer que le montant l’IGR déclaré et comptabilisé de dans tous les sites sont reportés
dans la déclaration faite au niveau de la HEAD OFFICE.
Assertion vérifiée : Exactitude exhaustivité des enregistrements (accuracy/completeness)
♦ Risque 5

Les heures travaillées sont différentes de celles résultant du pointage
Contrôle palliatif
Chaque semaine, le chargé de rémunération édite l’état des anomalies de pointage faisant
ressortir les pointages impairs ou défauts de pointage. Toute correction est appuyée d'un état
de présence (demande d'explication)
S'assurer que le responsable rémunération édite chaque semaine un état des anomalies de
pointages et que les anomalies sont duments justifiés par un responsable hiérarchique
Assertion vérifiée : Exactitude exhaustivité des enregistrements (accuracy/completeness)
♦ Risque 6
Octroi d'avances non autorisées
Contrôle palliatif
Pour les acomptes, le chargé de rémunération suit sur fichier Excel l’ensemble des salariés
percevant chaque quinzaine une avance sur salaire (dont le montant est défini en fonction d'un
barème) et édite chaque quinzaine cet état, établit l’ordre de paie
S'assurer que le fichier des avances sur salaire fait l'objet d'une autorisation de la direction et
que les avances ne dépassent pas 2000 dhs
Assertion vérifiée : Validité des enregistrements (validity)
♦ Risque 7
Erreurs dans l’état récapitulatif des congés non consommés destiné à la valorisation de la
provision.
Contrôle palliatif
L'intéressé signe le registre de congé rapproché régulièrement par la chargée des affaires
sociales à l'état des congés non consommés

S'assurer par entretien de corroboration qu'il existe un registre papier signé par l'employé
mentionnant les jours qu'il a pris et le reliquat qui lui reste et que ce registre est revue par la
personne qui le tient.
Assertion vérifiée : Exactitude des enregistrements (Accuracy)
♦ Risque 8
Erreurs dans l’état récapitulatif des congés non consommés destiné à la valorisation de la
provision.
Contrôle palliatif
L'intéressé signe le registre de congé rapproché régulièrement par la chargée des affaires
sociales à l'état des congés non consommés
S'assurer par entretien de corroboration qu'il existe un registre papier signé par l'employé
mentionnant les jours qu'il a pris et le reliquat qui lui reste et que ce registre est revue par la
personne qui le tient.
♦ Risque 9
Les éléments variables pris en compte dans le calcul de la paie (avances, retenues, primes,
congés..) ne sont pas correctement calculés et enregistrés, sont incomplets ou fictifs
Contrôle palliatif
Lors de l'établissement de la paie et après édition de l'état préparatoire, le chargé de

rémunération rapproche pour les salariés ayant des avances, les retenues sur avances opérées
en m à celles figurant sur les bulletins de m-1.
S'assurer de la matérialisation du rapprochement de la retenue sur le bulletin de paie de m-1 et

celle effectué en m.
Assertion vérifiée : Exactitude exhaustivité et validité des enregistrements (Accuracy,

completeness, validity)
♦ Risque 10

Comptabilisation erronée de la paie ou non rattachée à la bonne période
Contrôle palliatif
La comptabilisation de l'avance se fait sur la base de la demande d'avance approuvée (circuit

d'approbation) et visée par le trésorier et responsable comptable comportant les modalités de
remboursement.
S’assurer que pour les avances accordées ont été comptabilisées à leur montant réel et qu’elles
ont été rattachée au bon exercice ( test Cut-off)

♦ Risque 11
Les salaires ne sont pas réglés pour le bon montant
Contrôle palliatif
La valorisation des salaires dans ORACLE permet de générer automatiquement l'état des
virements et l'état de paiement en espèces et par chèques. Le chargé de rémunération établit
une récap par type de paiement (virement par banque, espèce, chèque)
S'assurer que le chargé de rémunération établit une récape par type de paiement (virement par
banque, espèce, chèque) dont il rapproche le total à celui du journal de paie et s'assurer que le
contrôle par la DRH et la diréction financiére du journal de paie est effectué via des entretiens
de corroboration
♦ Risque 12
Les éléments variables pris en compte dans le calcul de la paie (avances, retenues, primes,
congés..) ne sont pas correctement calculés et enregistrés, sont incomplets ou fictifs
Contrôle palliatif
Lors de l'établissement de la paie, le chargé de rémunération édite un état préparatoire de la

paie et vérifie l’exhaustivité des retenues sur acomptes par rapport à l’état de suivi des
acomptes consentis (fichier de suivi sur Excel).

S'assurer que le test de matérialisation du rapprochement de l'exhaustivité des retenues

d'acomptes par rapport a l'état de suivis est effectué.

Risque 13
Les cotisations sociales ne sont pas calculées suivant les barèmes légaux/en vigueur ou sont
mal évaluées
Contrôle palliatif
Le chargé de rémunération édite un fichier issu de Oracle présentant les salaires bruts
plafonnés et salaires non plafonnés dont il compare le total à celui du fichier global à déclarer
à la CNSS/CIMR
S'assurer qu'un contrôle est fait entre les salaires déclarés et ceux extrait du système fait par le
chargé de rémunération et revue par le RRH .
Assertion vérifiée : Exactitude et exhaustivité des enregistrements (Accuracy, completeness)
Risque 14
Risque de double paiement d'un solde de tout compte
Contrôle palliatif
En cas de traitement et paiement du STC en cours de mois, le montant payé est porté par le
chargé de rémunération sur un registre de suivi des mouvements de la paie. Lors de
l’établissement de la paie du mois, l’état des chèques édité par le chargé de rémunérations est
rapproché au registre des mouvements de la paie.
S'assurer que le chèque STC payé en cours du mois est bien porté sur le registre et qui'il est
annulé dans l'état dés cheques transmis en fin de mois .
Assertion vérifiée : Exactitude (Accuracy)
Risque 15

Le STC (Solde de Tout Compte) payé au salarié est incorrect
Contrôle palliatif
Lors de tout départ d'un salarié, le chargé de rémunération édite du système un bulletin de
paie provisoire (après saisie des quote parts de gratifications, congés…) qu’il transmet avec le
STC au RRH pour validation.
S'assurer que le STC est préparé par le chargé de rémunération et qu’il édite du système un
bulletin de paie provisoire (après saisie des quote parts de gratifications, congés…) qu’il
transmet avec au RRH pour validation.
Risque 16
Octroi d'avances dépassant le seuil d'endettement autorisé
Contrôle palliatif
Les demandes d'avance autorisées par la hiérarchie sont transmises aux ressources humaines
pour validation et mention sur la demande du non dépassement du taux d'endettement
S'assurer que la direction des ressources humaines s'assure avant d'accorder une avance que
le Taux d'endettement ne dépasse par les 40%
Assertion vérifiée : Validité des enregistrements (Validity)

SECTION 2 : LE CYCLE TRESORERIE
1) Descriptif du cycle trésorerie
a) Encaissements
« T » a principalement trois types de recettes :
Les recettes de ventes de véhicules aux concessionnaires

Les recettes de ventes de véhicules aux particuliers
Les recettes de ventes de pièce de rechange
Les recettes du service après vente à savoir la maintenance et l’entretien des véhicules
dans les ateliers de « T »
b) Décaissements
Lorsque le responsable reçoit les factures et les bons de livraison, et après établissement
des bons de réception attestant l’arrivée des marchandises ou les biens commandés, il envoie
les factures accompagnées des bons de livraison, des bons de commande et des bons de
réception et éventuellement des demandes d’achats correspondantes au responsable
comptabilité fournisseurs pour la comptabilisation
Après contrôle du responsable comptabilité fournisseur des factures et des bons et après
comptabilisation, ce dernier envoie ces documents au service trésorerie pour le règlement.
Le trésorier effectue un troisième contrôle en rapprochant les factures et les bons

correspondants et il identifie le cachet de la comptabilité fournisseurs pour déclencher le
règlement.

Une fois réglée, le responsable trésorerie appose un cachet attestant le règlement sur la
facture à laquelle est annexée une copie d’ordre de paiement signé par le responsable de
trésorerie ainsi que le directeur général et le directeur financier . Toutefois, nous avons
constater l’absence du cachet de règlement pour quelques factures déjà réglées => risque de
double règlement
En cas de virement, le trésorier établit un ordre de paiement qui doit obligatoirement visé
par le directeur général et le directeur financier et signé par le trésorier.
S’il s’agit d’un chèque, ce dernier doit être signé par le directeur général et le directeur
financier qui le rapproche avec la pièce ( facture) qui justifie la dépense.
Quand le règlement est effectué par espèce, le montant décaissé est transcrit sur un registre
de caisse qui fait l’objet d’une revue régulière du directeur financier.
Quand il y’a des factures dont l’échéance de règlement n’est pas encore arrivé, elles sont
conservées par le service trésorerie. A l'échéance, le responsable trésorerie établit les chèques,
les soumet à une double signature du directeur financier et le directeur général (le chèque est
accompagné de la facture et de la pièce comptable) et ensuite il procède à la comptabilisation
de règlement une fois les chèques sont signés.
Le responsable trésorerie prépare un fichier qui lui permet de connaître les factures qui
restent à régler ainsi que leur échéance.
Ces décaissements sont comptabilisés par le trésorier qui établit également les chèques
Une fois que les chèques sont signés, il appelle les fournisseurs pour venir les récupérer.
Chaque fournisseur va signer sur un registre pour accusé de réception. (Sur le registre sont
mentionnés le nom de fournisseur, sa signature et le N° de chèque). Chaque fournisseur va
apposer un cachet sur l’ordre de paiement

Le responsable fournisseurs demande un seul carnet de chèque par banque. Chaque fois
qu'il y a un chèque annulé, il est aggravé avec le talon. Les talons de chèque sont classés chez
la même personne.
c) Etats de rapprochements bancaires
Les états de rapprochement bancaires sont établis mensuellement et pour chaque compte
séparément. Ils sont établis manuellement le trésorier chaque mois. Ces états ne sont pas visés
par le directeur financier. Cependant le trésorier effectue un suivi quotidien en rapprochant les
données de la comptabilité des soldes bancaires communiqués chaque jour. Ce suivi est
matérialisé sur un fichier excel.
d) Placements de trésorerie
trésorerie.
«T » n’effectue aucun placement de sa trésorerie
e) Emprunts
Les emprunts de « T » sont décidés et autorisés par le groupe. Le contrat de prêt est signé
conjointement par la direction du groupe et les banques concernées.
Ainsi la négociation des conditions des deux emprunts est faite par le groupe en envoyant les
tableaux d’amortissement à «T » pour règlement des intérêts et suivi des remboursements
Une provision qui correspond au trimestre oct-déc sur les intérêts est passée en comptabilité
par le trésorier sur la base des tableaux d’amortissement reçus. Cette provision est revue par
le Directeur financier.
f) Caisse
« T » dispose de plusieurs caisses :
La caisse Head Office (siège)

La caisse Casa Branch

La caisse Rabat Branch
La caisse Marrakech Branch
La caisse Ouled Teima Branch
La caisse Fes Branch
La caisse Laayoune Branch
Ce contrôle est matérialisé par un PV établi par les responsables de chaque caisse.
Le contrôle des caisses tenues à bord est matérialisé par un PV de caisse établi et signé par
le Directeur administratif et Financier, le chef comptable, et le responsable de caisse, et ce à la
fin de chaque mois et qui a pour objet de détailler l’ensemble des recettes et dépenses qui ont
été effectuées par éspèce au cours du mois.
Les règlements de ces dépenses sont matérialisés sur des bons de dépense signés
conjointement par le DAF et le caissier. En suite ces bons de dépense sont transmis à la
comptabilité avec les pièces justificatives pour la saisie et la comptabilisation.
L’alimentation des caisses est faite par des demandes de chèques faite par le responsable
trésorerie à chaque fois qu’il y a besoin de liquidité. Chaque dépense est justifiée par une
pièce de dépense de caisse.

2) Risques liés aux processus trésorerie et contrôle palliatifs
Lors de l’étude des procédures de contrôle interne pour mettre en place un ICOFR au
cycle Trésorerie de cette entreprise, l’éxamination de ces contrôles nous a permis de dégager
une multitude de risques dont les plus significatifs sont :
Risque 1
Mauvaise allocation des règlements / Lettrage client erroné ou non réalisé.
Contrôle palliatif
♦ Comptabilisation par affectation permettant un lettrage automatique des règlements

clients (contrôle préventif)
♦ Maintien des encaissements non identifiés dans des comptes d'attente (contrôle
préventif)
Test effectué
S’assurer que les encaissements non identifiés sont maintenus dans les comptes d’attente
Assertion vérifiée : Validité des enregistrements (Validity)
Risque 2
La comptabilisation des encaissements ne correspond pas aux remises en banque
Contrôle palliatif
♦ Etablissement d’un inventaire de caisse (contrôle préventif)
♦ Rapprochement entre les encaissements saisis au niveau de la caisse et le reçu de

versement de la banque (contrôle préventif)
Risque 3

Double comptabilisation des encaissements
Contrôle palliatif
♦ Etablissement mensuel d'états de rapprochement bancaires (contrôle préventif)

♦ Analyse du compte client (contrôle préventif)
Risque 4
Les encaissements ne sont pas enregistrés sur la bonne période comptable.
Contrôle palliatif

♦ Les règlements sont enregistrés quotidiennement à leur date d’encaissement en banque
par les comptables trésorerie. (contrôle préventif)
Risque 5
Les encaissements ne sont pas enregistrés en comptabilité.
Contrôle palliatif

♦ Centralisation de la réception des EAR et enregistrement comptable à la date de
réception (contrôle préventif)
♦ Rapprochement mensuel entre les effets physiques, les données comptables et le
fichier Effets en portefeuille (contrôle préventif)
Risque 6
Les recettes récupérées par les agents de recouvrement ne correspondent pas aux recettes des
ventes réalisées
Contrôle palliatif

♦ Rapprochement par les caissiers de Fes, Marrakech, laayoun, Rabat et d'Agadir entre
le bordereau de transmission des titres de paiement à Casablanca et les titres paiement
récupérés auprès des agents de recouvrement (contrôle détectif)
♦ Analyse du compte client (contrôle préventif)
♦ Les titres de paiement devraient être récupérés exclusivement par les agents de
recouvrement afin d’éviter la perte ou l’utilisation inapproprié des titres de paiement.
(contrôle préventif)
Risque 7
La comptabilisation des encaissements ne correspond pas aux remises en banque.
Contrôle palliatif
♦ Un rapprochement entre la liste des paiements reçus et les bordereaux de remise en

banque devrait être effectué afin de s’assurer que toutes les pièces de règlement ont
bien été déposées auprès de la banque.
Risque 8
Les paiements comptabilisés sont différents des décaissements réels.
Contrôle palliatif
♦ Enregistrement automatique dans le système des écritures comptables de paiement par

effets ou chèques
♦ Etablissement mensuel d'états de rapprochement bancaires
♦ Rapprochement par la caissier de Casablanca entre l'ordre de paiement établi par le
service du personnel et le décompte de remboursement des frais médicaux
♦ Un cadrage entre les documents transmis par la banque (avis de débit et fax de
confirmation) et les écritures en comptes est effectué par la comptabilité bancaire.
Risque 9
Les paiements comptabilisés sont différents des décaissements réels.
Contrôle palliatif


effets ou chèques (contrôle détectif)
♦ Rapprochement par le caissier de la head office de Casablanca entre l'ordre de
paiement établi par le service du personnel et le décompte de remboursement des frais
médicaux (contrôle détectif)
♦ Un cadrage entre les documents transmis par la banque (avis de débit et fax de
confirmation) et les écritures en comptes est effectué par la comptabilité bancaire.
Risque 10
Double comptabilisation des décaissements
Contrôle palliatif

effets ou chèques (contrôle préventif)
♦ Analyse des comptes fournisseurs débiteurs par la comptabilité fournisseurs pour
vérifier si un fournisseur n’est pas comptabilisé deux fois. (contrôle détectif)
♦ Des Analyses mensuelles des comptes fournisseurs créditeurs et particulièrement
débiteurs devaient être effectuées par la comptabilité fournisseurs afin de permettre
d’identifier d’éventuelles anomalies (double paiement, double comptabilisation,
paiement (contrôle préventif)
♦ Avant de valider les propositions de règlements (bon à payer ou ordre de paiement), le
listing des acomptes non imputés devrait être systématiquement édité du système et
analysé par le département comptabilité générale puis transmis au service trésorerie.
♦ Le responsable crédit fournisseur devrait systématiquement apposer le cachet payé sur
les factures fournisseurs réglés afin d’éviter une double comptabilisation de ces
dernières. (contrôle préventif)
Risque 11
Des paiements sont effectués pour des marchandises non reçues
Contrôle palliatif

♦ Les dossiers de paiement non accompagnés par des bons à payer ne sont pas traités. ils
sont renvoyés pour validation sur les sites. (contrôle préventif)
♦ Contrôle de la conformité des dossiers de paiement par la comptabilité fournisseur

♦ Double rapprochement entre les dossiers de paiement et les données du système avant
le lancement du paiement (contrôle préventif)
Risque 12
Les décaissements sont comptabilisés sur la mauvaise période
Contrôle palliatif

effets ou chèques. (contrôle préventif)
♦ Les écritures de règlements sont saisies manuellement à la date d'opération figurant

sur l’ordre de virement. (contrôle préventif)
♦ Rapprochement mensuel entre l'état récapitulatif des chèques manuels et les chèques
comptabilisés. (contrôle détectif)
Risque 13
La comptabilisation de décaissements fictifs
Contrôle palliatif
♦ Mise en œuvre d’une procédure de suivi des notes de frais (contrôle préventif)
Assertion vérifiée : Accès restreints aux actifs (Restricted access)

Risque 14
Les commissions bancaires sont erronées
Contrôle palliatif
Les commissions bancaires devraient être rapprochées mensuellement aux écritures

comptables. Le responsable trésorerie devrait s’enquérir mensuellement des écarts identifiés
suite à cette réconciliation. (Contrôle détectif)
Risque 15
Vol, Perte ou utilisation inappropriée des titres de paiement
Contrôle palliatif
♦ Les spécimens de chèques manuels sont conservés dans un coffre fort au niveau du
service trésorerie et les numéros de chèques sont comptabilisés au niveau du système.
♦ Altération des titres de paiement annulés (contrôle préventif)
♦ Endossement systématique des titres de paiement (contrôle préventif)
♦ Charte des pouvoirs signée par le Président Directeur Général et tous les signataires
remise à chaque banque (contrôle préventif)
♦ Les sites devraient procéder à un rapprochement systématique entre les états de

transmission et les titres de paiement émis afin de s’assurer que tous ces titres leur ont
bien été communiqués par le service trésorerie.
♦ Un inventaire physique mensuel des chéquiers manuels devrait être mis en œuvre par
une personne indépendante du service trésorerie.
♦ Un rapprochement entre l’état mensuel récapitulatif des chèques manuels utilisés

(établi par le responsable trésorerie) et les chéquiers devrait être établi afin d’éviter
une utilisation inappropriée de ces derniers.
Risque 16

Création de comptes bancaires inadéquats
Contrôle palliatif
Restreindre les personnes ayant le pouvoir d’ouvrir des comptes bancaires, Seuls le président
et le Directeur financier dont leur responsabilité est engagée selon les dispositions de la loi
SOX, ont le pouvoir d'ouvrir un compte bancaire au nom de la société. (Contrôle préventif)
Risque 17
Les états de rapprochement bancaires sont erronés
Contrôle palliatif
♦ Contrôle automatique de l'exactitude des relevés bancaires par le système SAGE.

(Contrôle préventif)
♦ Etats de rapprochement bancaire générés automatiquement par le système (Contrôle
préventif)
Risque 18
Transactions bancaires non autorisées.
Contrôle palliatif
♦ Seuls le Président et le directeur financier dont la responsabilité est engagée selon la

loi SOX , peuvent autoriser le déblocage d'un crédit spot ou à moyen terme, chose qui
permettra de palier à ce risque (Contrôle préventif)
Risque 19
Des transactions liées à la gestion de devises sont effectuées par des personnes non autorisées.
Contrôle palliatif
♦ Le directeur financier devrait s’assurer du choix de la banque offrant les taux de

change les plus avantageux. (Contrôle préventif)

♦ Une lettre écrite signée par le PDG devrait être envoyée aux banques spécifiant le nom
des personnes habilitées à négocier les cours de change au nom de la société.
(Contrôle préventif)
Risque 20
Risque que le taux appliqué par la banque différent de celui négocié
Contrôle palliatif
Le responsable trésorerie s'assure de l'application par la banque des taux d'intérêt négociés, et
ce en contrôlant les taux appliqués sur les échelles d'intérêt avec les taux négociés (Contrôle
préventif)
Assertion vérifiée : Exactitude des enregistrements et accès restreint aux actifs (Accuracy,
Restricted Access)

3) Testing
Vu que les dispositions de la loi Sarbannes-Oxley imposent que les tests soient matérialisés,
on présentera ci-dessous un modèle de papier de travail permettant de matérialiser les tests
sur le contrôle interne :
Exemple :
Objectif : Description du contrôle à tester.
Travail à faire :
- Description du sous contrôle 1. C1

Conclusion :
Population= X
PM= Y
R =Z
Echantillon= nombre de cas à
tester
Num C1 C2 C3 Observation Xref

Cas 1 Satisfaisant Voir

pièce
sous Xref
Cas 2 Satisfaisant Voir
pièce
sous Xref
Cas 3 C1 et C2 Voir
non pièce
appliqué. sous Xref
Contrôle appliqué.
Contrôle non appliqué.
A. Application de la démarche :
Faute d’espace nous ne pouvons présenter l’exhaustivité des contrôles testés, On se limitera
par conséquent à 3 contrôles.
Contrôles 1 :
Objectif :
Mauvaise allocation des règlements / Lettrage client erroné ou non réalisé.
Travail à faire :
C1 : Comptabilisation par affectation permettant un lettrage automatique des règlements

clients
C2 : Maintien des encaissements non identifiés dans des comptes d'attente
Conclusion : Satisfaisant.
Num C1 C2 Observation Xref

Cas 1 Satisfaisant Voir pièce
sous Xref
Contrôles 2:

Objectif :
S’assurer que les états de rapprochement bancaires sont corrects
Travail à faire :
C1 : Contrôle automatique de l'exactitude des relevés bancaires par le système SAGE
C2 : Etats de rapprochement bancaire générés automatiquement par le système

sous Xref
Contrôles 3:
Objectif :
Des transactions liées à la gestion de devises sont effectuées par des personnes non autorisées
Travail à faire :
C1 : Le directeur financier devrait s’assurer du choix de la banque offrant les taux de change
les plus avantageux.
C2 :Une lettre écrite signée par le PDG devrait être envoyée aux banques spécifiant le nom
des personnes habilitées à négocier les cours de change au nom de la société.

sous Xref

SECTION 3 : LE CYCLE IMMOBILISATIONS
1) Descriptif du cycle immobilisations
a) Processus d'investissement
- Il existe deux catégories d’investissement :
Les investissements dont le montant est important et qui sont soumises

à l’accord préalable du groupe, pour q’ils soient réalisés.
Les investissements courants (arrêts techniques, acquisition des
immobilisations pour l’administration dont le montant est inférieur à
qui font l’objet d’un traitement en interne, par le management.
- La direction générale de la société établit un budget des investissements au début de

chaque exercice, ce budget concerne essentiellement les arrêts techniques des bateaux qui
se font généralement tous les deux ans et le soumet à l’approbation du groupe,
- La réalisation des investissements des arrêts techniques est passible de la procédure
suivante : le service technique exprime le besoin à la direction, cette dernière réuni une
commission technique (direction technique/DAF/DG) pour faire une étude technique et
économique de l’investissement.

En cas d’accord, un dossier d’investissement est préparé contenant une demande

d’autorisation d’investissement que la société présente au groupe pour approbation.
En cas d’approbation, le service concerné procède à la recherche de fournisseurs et établit son

tableau comparatif des prix, le choix du fournisseur adéquat est fait par une commission
présidée par le président directeur général.
- Ce budget est ensuite rapproché aux réalisations et les écarts sont expliqués par le
directeur technique.
- Quant aux acquisitions courantes, chaque service de la société exprime son besoin en
terme d’immobilisations, cela constitue la base sur laquelle le bon de commande est établi
par le service approvisionnement. Si ces acquisitions portent sur des montants
relativement importants, elles font l’objet d’un appel d’offre.
- Tous les bons de commandes sont signés par le directeur de la société
- Une fois la facture est reçue, elle est comparée au B/C prénuméroté manuellement , établi
par le service approvisionnement au Bon et de livraison fournisseur pour s’assurer de
l’exactitude de ladite facture. Seules la facture est conservée par le service comptabilité et
qui sert comme document de base pour la comptabilisation.
- Une copie de la facture ainsi que les B/C et B/L sont transmis au service paiement.
Les activités de contrôle :
- La réalisation des arrêts techniques est autorisée par une commission présidée par le
président directeur général de la société.
- Tous les bons de commandes des acquisitions courantes sont visés par les présidents de la
société

- Les modifications sur le fichier des immobilisations, sont autorisées par un document
provenant d’une source externe (facture fournisseur, rapport du directeur technique, bon
de caisse).
Les factures fournisseurs d’immobilisations, sont rapprochées avec le BC, le BL.
Risques et faiblesses :
- IL n’existe pas de procédure d’inventaire physique pour les immobilisations
- Il n’a pas des matricules attribués aux immobilisations. la comptabilité attribut des
numéros de folio qui sont pas apposés physiquement sur les immobilisations ce qui rend
leur identification physique très difficile.
- Le logiciel utilisé pour la gestion des immobilisations ne permet pas une gestion
rigoureuse et contient plusieurs insuffisances (Calcul erroné des dotations).
b) Les amortissements des immobilisations
Les amortissements d’immobilisations sont calculés automatiquement par le logiciel suivant

la durée d’amortissement fixée au préalable. La date comptabilisation correspond au premier
du mois de la date de la facture. Le calcul des dotations effectué par le système est erroné
lorsque la date d’entrée de l’immobilisation ne correspond pas au premier jour du mois.
Selon le responsable comptable tous les amortissements sont calculés en mode linéaire,

Aucun fichier Excel n’est mis à jour pour le calcul des amortissements d’immobilisations
dont la date d’entrée est différente de début de mois.
- Le calcul des dotations aux amortissements est effectué automatiquement par le système
- Le calcul d’amortissement, les durées et les méthodes de calculs sont revues

régulièrement par le directeur financier pour s’assurer de leur conformité par rapport aux
principes comptables.
La date de début du calcul d’amortissement ne correspond pas forcément à la date de mise en

service de l’immobilisation ( la date correspond au début du mois de l’acquisition)
c) Sorties d'immobilisations
Les mises en rebut ou la décision de sortie des immobilisations sont gérées par le Direction,
qui émet un écrit adressé à la comptabilité pour modifier le fichier des immobilisations
La sortie d’immobilisation est imputée au logiciel de suivi des immobilisations sur la base
d’un bon de caisse qui constate la somme reçue en contrepartie de la cession.
La comptabilisation de la cession se fait sur la base d’un bon de caisse signé par le Directeur
- Les sorties des immobilisations sont autorisées par le directeur général
- Les écritures comptables de sortie des immobilisations sont autorisées par le management.

- Toute sortie d’immobilisation est contrôlée sur le fichier des immobilisations par le
directeur financier.
- Les sorties d’immobilisations sont matérialisées par des bons de caisse qui servent de base
pour la comptabilisation et non pas des factures de ventes ou PV de sorties.
- Selon le directeur financier il existe des cessions qui ne sont avisées à la direction
financière le même jour.
d) Gestion des immobilisations
Les opérations d'entretien et de maintenance des immobilisations sont suivies par le Directeur
technique. En effet, ce dernier décide du caractère immobilisable des frais d’entretien en
envoyant une lettre signée par lui à la quelle sont annexés les montants à immobiliser en
mentionnant leur durée de vie ainsi que l’ensemble des factures justifiant lesdits frais.
La gestion des autres immobilisations est assurée par le directeur financier.
La mise à jour du fichier des immobilisations est faite régulièrement par le directeur financier
par une extraction des données à partir de la comptabilité.
- La détermination du caractère immobilisable ainsi que la durée de vie des frais d’entretien
sont validés par le Directeur Technique.
- Le support de comptabilisation des cessions d’immobilisations n’est autre que le bon de

caisse, et donc le service de comptabilité n’est alerté de la cession qu’après l’encaissement

du prix de vente, qui peut se faire en différé par rapport à la date de la sortie physique du
bien.
e) Mise à jour des fichiers des immobilisations.
La mise à jour du fichier des immobilisations est effectuée par le chef comptable sur la base
des documents externes qu’il reçoit de la direction technique quand il s’agit des arrêts
techniques, des factures fournisseurs d’immobilisations ou de toute autre source autorisée.
La mise à jour du fichier des immobilisations est faite régulièrement par le directeur financier
par une extraction des données à partir de la comptabilité.
Toutes les mises à jour apportées au fichier des immobilisations, sont revues mensuellement
par le management.
- Suivi et mise à jour du fichier des immobilisations par le Directeur Financier
- Les modifications sur le fichier des immobilisations, sont autorisées par un document
provenant d’une source externe
- Le fichier des immobilisations est tenu et contrôlé par une seule personne (le Directeur
Financier), d’où cumul de taches sui pourrait conduire à des fraudes.

2) Risques liés aux processus trésorerie tests et contrôle palliatifs
Risque 1
Le fichier des immobilisations est modifié de manière incorrecte ou non autorisée
Contrôle palliatif
♦ L'accès aux modifications des fiches d'immobilisations au niveau du système doit être
restreint au Responsable de la Gestion des Immobilisations. (contrôle préventif)
♦ Le Responsable de la Gestion des Immobilisations procède mensuellement au

rapprochement des dotations et des cumuls d’amortissement entre les modules IMMO
ET FINANCE sur le système. (contrôle détectif)
♦ La modification des comptes d'immobilisations (en comptabilité générale) au niveau

du système est restreinte au Chef Comptable du Groupe et au Responsable de la
Gestion des Immobilisations. Toute création ou modification ne se fait que sur
instruction écrite du DGA Finance. (contrôle préventif)

rapprochement de la valeur brute des immobilisations du module IMMO sur le
système, avec son fichier de suivi extra-comptable tenu sur Excel et avec la valeur
brute comptable du module FINANCE. (contrôle détectif)
Assertion vérifiée : Accès restreint aux actifs, Existence et Occurrence
Risque 2
Des acquisitions d'immobilisations sont effectuées de manière non autorisées

Contrôles palliatifs
♦ Le budget d’investissement dans sa version définitive est approuvé dans le cadre d’une
réunion du conseil d’administration. (contrôle préventif)
♦ Si les investissements sont inférieurs à USD 300 000 : le responsable du projet prépare
un dossier d’investissement qui est soumis à l’approbation du DGA Finance, du
responsable de maintenance, du responsable de production, du PDG lorsque le coût de
l’investissement dépasse MDH 1. (contrôle préventif)
♦ Si cette fois-ci les investissements sont supérieurs à USD 300 000 : le dossier
d’investissement suit la procédure (Capital Management) nécessitant une
documentation plus importante du dossier d’investissement et des niveaux
d’autorisation plus élevés. (contrôle préventif)
♦ Les Investissement sont soumis à différents niveaux d'approbation: confirmation,

signature S1, signature S2 et éventuellement signature S3. (contrôle préventif)
♦ A la détection de tout épuisement du budget avec une tolérance de +10%, le

Responsable de la Gestion des Immobilisations en informe par écrit le service des
achats pour blocage des commandes. Les dépassements au-delà de 10% nécessitent un
accord écrit du PDG et du DGA Finance. (contrôle détectif)
Test effectué
Assertion vérifiée : Existence et Occurrence
Risque 3
Les transferts de travaux encours aux immobilisations corporelles ne sont pas enregistrés sur
la bonne période
♦ Mensuellement, le Responsable de la Gestion des Immobilisations récupère auprès des

services techniques l’état des investissements en cours avec indication des dates de
mise en service des projets achevés afin de pouvoir créer les fiches d’immobilisations
au niveau du système IMMO. (contrôle préventif)

♦ Les investissements importants font l’objet de l’établissement d’un procès verbal de

mise en service communiqué au Responsable de la Gestion des Immobilisations. Ainsi
le transfert ne se fera qu’à la date du PV de mise en service. (contrôle préventif)

rapprochement de la valeur brute des immobilisations du module IMMO avec la
valeur brut comptable du module FINANCE du système. (contrôle préventif)
Assertion vérifiée : Completeness, Existence/Occurrence Présentation & Disclosure
Risque 4
Les transferts de travaux encours aux immobilisations corporelles ne sont pas enregistrés
correctement (valorisation)
♦ Pour chaque immobilisation acquise ou investissement clôturé, une fiche

d’immobilisation est créée sur le module IMMO avec précision du compte
d’immobilisation en cours correspondant. A l’occasion de la comptabilisation de fin
de mois, le module FINANCE du système, procèdera automatiquement au transfert,
pour le même montant, de l’immobilisation depuis le compte d’immobilisation en
cours vers le compte d’immobilisation fixe. (contrôle préventif)

valeur brut comptable du module FINANCE du système. (contrôle détectif)
Risque 5
Les acquisitions d'immobilisations ne sont pas enregistrées sur la bonne période
♦ Le responsable de la comptabilité fournisseur édite du Système et revoit la « liste des

provisions des factures fournisseurs » qui fournit le détail des réceptions non encore
facturées. Cette liste fait l’objet d’une comptabilisation automatique par intégration à
l’occasion de la clôture mensuelle. (contrôle préventif)

♦ L’ensemble des achats (sans BC) dont les factures sont parvenues au cours du mois et
dont les DI de régularisations n’ont pas été créées ou bien créées mais non encore
réceptionnées qualitativement font l’objet d’une provision en fin de mois. (contrôle
dérectif)

valeur brut comptable du module FINANCE du système. (contrôle détectif)
Risque 6
Des dépenses d'aménagement, de réparation ou de maintenance d'immobilisations sont

classées comme charges au lieu d'être immobilisées
♦ Les Demandes d’achats relatives aux achats de maintenance supérieurs à KDH 90 sont
transmises au service financier pour vérification de leur caractère immobilisable. La
vérification effectuée par le service financier est matérialisée par le report sur la
Demande d’achat de la mention « OK » lorsqu’il s’agit d’une charge ou de la mention
« REFUS » lorsqu’il s’agit d’une immobilisation. Le cas échéant la Demande d’achat
est remplacée par une Demande d’investissement. (contrôle préventif)
Risque 7
Des immobilisations vendues ou mises en rebut sont encore enregistrées comme

immobilisations.
♦ Lorsque le service technique constate qu’un matériel immobilisé est devenu non utile
et non adaptable, il établi un procès verbale de réforme du matériel en question. Le PV
est approuvé par la Direction technique puis diffusé à la Direction Générale. (contrôle
préventif)

♦ Les immobilisations vendues en ferraille font l’objet de la constitution d’une

commission qui procède par appel d’offres et consigne ses décisions au niveau d’un
procès verbal.
♦ Un inventaire physique des immobilisations rapproché avec les comptes est opéré
annuellement au niveau de chaque site avec la participation des responsables des
différents services. (contrôle détectif)
♦ Pour les immobilisations réformées et identifiées à l'occasion de l'inventaire physique,

le service comptabilité regroupe les données des différents sites qu’il transmet à la
direction technique, financière et à la Direction Générale pour approbation avant
régularisation dans les comptes.
Risque 8

immobilisations.
♦ A l'occasion de chaque mouvement inter sites, le service émetteur rempli et signe une
fiche de mouvement des immobilisations où il mentionne le site de destination du
bien, la nature de mouvement et les caractéristiques techniques du bien puis l’envoi au
Responsable de la Gestion des immobilisations avec le bon de sortie magasin pour
mise à jour du fichier des immobilisations. (contrôle préventif)
Assertion vérifiée : Completeness et Existence/Occurrence
Risque 9
Les mouvements inter sites des immobilisations ne sont pas suivis
♦ A l'occasion de chaque mouvement inter sites, le service émetteur rempli et signe une
fiche de mouvement des immobilisations où il mentionne le site de destination du
bien, la nature de mouvement et les caractéristiques techniques du bien puis l’envoi au

Responsable de la Gestion des immobilisations avec le bon de sortie magasin pour

mise à jour du fichier des immobilisations. (contrôle préventif)
Assertion vérifiée : Completeness et Existence/Occurrence
Risque 10
Le grand livre ne concorde pas avec le fichier des immobilisations

rapprochement de la valeur brute des immobilisations du module IMMO avec son
fichier de suivi extra-comptable tenu sur Excel et avec la valeur brute comptable du
module FINANCE. (contrôle détectif).

et FINANCE. (contrôle détectif).
♦ A la fin du mois, les réceptions qualitatives des Demande d’investissement sont

comptabilisées par intégration dans le module FINANCE en tant qu’immobilisations
en cours. (contrôle préventif).
Assertion vérifiée : Valuation
Risque 11
Les amortissements (linéaires et dérogatoires) ne sont pas enregistrés pour les immobilisations
correspondantes
♦ Le Responsable de la Gestion des Immobilisations compare la dotation aux

amortissements issue de son suivi extra-comptable avec celle de la simulation sur le
système avant la validation de la fiche d’immobilisation. (contrôle détectif).

et FINANCE. (contrôle détectif).

♦ A l’occasion de la comptabilisation en fin de mois, le module FINANCE du système

comptabilise automatiquement les dotations aux amortissements des immobilisations.
♦ Après comptabilisation de l’amortissement dérogatoire, le Responsable de la Gestion

des Immobilisations procède au rapprochement du solde du compte 1351 (provision
aux amortissements dérogatoires) avec le cumul des amortissements dérogatoires
calculé par le module IMMO.
Assertion vérifiée : Valuation
Risque 12
Les dotations aux amortissements ne sont pas enregistrées sur la bonne période
♦ Les dotations aux amortissements sont automatiquement calculées par le module

IMMO et automatiquement comptabilisées par le module FINANCE pour toute fiche
d'immobilisation (contrôle préventif).
♦ L'accès aux modifications des fiches d'immobilisations (durée, taux d'amortissement)

au niveau du système est restreint au Responsable de la Gestion des Immobilisations..
(contrôle préventif).
Assertion vérifiée : Measurement/Valuation
Risque 13
Les travaux en cours sont amortis
♦ Le module IMMO ne calcule d'amortissement que pour les projets achevés pour
lesquels une fiche d'immobilisation a été créée. La création d'une fiche
d'immobilisation ne se fait qu'à la réception de la date de mise en service de la part du
service technique.
Assertion vérifiée : Measurement/Valuation
Risque 14

Existence d'erreurs dans la comptabilisation des immobilisations en NV, incorporelles et

corporelles
♦ Le Responsable de la Gestion des Immobilisations renseigne à la fin de chaque mois

un questionnaire de clôture contenant différents contrôles visant à s'assurer que les
comptes d'immobilisations ne comprennent pas d'erreurs. Le questionnaire précise les
responsables devant effectuer les contrôles par site ainsi que la fréquence desdits
contrôles.

rapprochement de la valeur brute des immobilisations du module IMMO avec son
fichier de suivi extra-comptable tenu sur Excel et avec la valeur brute comptable du
module FINANCE du système.

et FINANCE.
♦ Le rapprochement mensuel effectué par le Responsable de la Gestion des

Immobilisations gagnerait à être formalisé.
♦ Les comptes d’immobilisations financières sont revus mensuellement par le Chef

Comptable du Groupe à l’occasion de l’établissement du tableau de financement.
Assertion vérifiée :
Completeness
Measurement/Valuation
Rights & Obligations
Presentation & Disclosure
3) Testing
Concernant le cycle immobilisation, les papiers de travail du testing restent les même, et on se
restreindra également à 3 contrôles vu que la présentation de l’exhaustivité des contrôles
testés reste impossible.
Contrôles1 :
Objectif :
S’assurer que les dotations aux amortissements sont enregistrées sur la bonne période
Travail à faire :

C1 : Les dotations aux amortissements sont automatiquement calculées par le module IMMO
et automatiquement comptabilisées par le module FINANCE pour toute fiche
d'immobilisation
C2 : L'accès aux modifications des fiches d'immobilisations (durée, taux d'amortissement) au

niveau du système est restreint au Responsable de la Gestion des Immobilisations.

sous Xref
Contrôles 2:
Objectif :

immobilisations.
Travail à faire :
C1 : A l'occasion de chaque mouvement inter sites, le service émetteur rempli et signe une
fiche de mouvement des immobilisations où il mentionne le site de destination du bien, la
nature de mouvement et les caractéristiques techniques du bien puis l’envoi au Responsable
de la Gestion des immobilisations avec le bon de sortie magasin pour mise à jour du fichier
des immobilisations.
C2 : Un inventaire physique des immobilisations rapproché avec les comptes est opéré
annuellement au niveau de chaque site avec la participation des responsables des différents
services


sous Xref
Contrôles 3:
Objectif :
Les transferts de travaux encours aux immobilisations corporelles ne sont pas enregistrés
correctement (valorisation)
Travail à faire :
C1 : Le Responsable de la Gestion des Immobilisations procède mensuellement au

rapprochement de la valeur brute des immobilisations du module IMMO avec la valeur brut
comptable du module FINANCE du système.
C2 : Pour chaque immobilisation acquise ou investissement clôturé, une fiche

d’immobilisation est créée sur le module IMMO avec précision du compte d’immobilisation
en cours correspondant. A l’occasion de la comptabilisation de fin de mois, le module
FINANCE du système, procèdera automatiquement au transfert, pour le même montant, de
l’immobilisation depuis le compte d’immobilisation en cours vers le compte d’immobilisation
fixe


sous Xref
SECTION 4 : LETTRE DE CONTROLE INTERNE
Au cours de la mission de contrôle interne SOX de l’entreprise « T », on a pu relever

plusieurs risques auxquels aucun contrôle ni préventif ni detectif n’était prévu. Ces risques
font l’objet de ce que l’on appelle « La lettre de contrôle interne » (dont un modèle est
mentionné en annexe).
L’objectif de la lettre de contrôle interne, est de mettre le doigt sur les risques non
couverts par des contrôles en les mentionnant, accompagnés de recommandations de
contrôles palliatifs.
En tant que modeste plus-value personnelle que j’ai eu l’occasion d’apporter à l’équipe
d’audit que j’accompagnais pour cette mission, c’était la détection de quelques zones de
risque non couvertes au niveau du cycle trésorerie, que je présente dans le tableau ci-
dessous :

Constat Risque Recommandation

La comptabilité clients
devrait procéder
La comptabilisation des trimestriellement à une
Risque de détournement de
encaissements ne correspond analyse exhaustive des
fonds
pas aux remises en banque comptes clients suivie d’un
reporting trimestriel aux
commerciaux sur les
retards de paiement du
mois. Cette analyse
permettrait d’identifier les
créances non soldées
La comptabilité clients
devrait procéder à un
Des encaissements ne sont Risque de non exhaustivité rapprochement entre l’état
pas enregistrés en des encaissements, et risque des chèques reçus établi
comptabilité. de détournement d’argent par le service recouvrement
et les chèques
comptabilisés afin de
s’assurer de l’exhaustivité
de comptabilisation des
chèques reçus (contrôle
préventif)
Les états de
rapprochement bancaires
devraient faire l’objet
d’un contrôle
Risque de manipulations systématique par une
frauduleuses des fonds en personne différente de
banque, vu que le rôle des celle en charge de leur
Les états de rapprochement
états de rapprochement établissement.
bancaires sont erronés
bancaires c’est de rapprocher
entre la situation du compte
Les états de
banque en comptabilité et du
rapprochement bancaires
compte en banque réel
devraient être établis par
le département
comptable.
Les données permanentes de

trésorerie intégrées au niveau Risque de comptabilisations La saisie et la mise à jour des
du système sont erronées erronées données permanentes
intégrées au niveau du

système devraient faire

l’objet d’un contrôle par une
personne indépendante. Ce
contrôle doit être effectué
d'une manière semestrielle
CONCLUSION GENERALE
Après les récents événements mettant au grand jour des pratiques comptables critiquables à
tous les niveaux, et qui ont causé l’une des plus grande crises de confiance dans les marchés
financiers de ce début du XXIème siècle avec comme principaux acteurs des firmes
multinationales (Enron, WorldCom, Vivendi Universal…), il s’est avéré primordial de réagir
et de manière ferme.
Cette réaction s’est traduite dans la réalité par la promulgation de deux lois : le Sarbanes-
Oxley Act of 2002 et la Loi sur la Sécurité Financière de 2003.
En effet, ces deux lois ont vu le jour pour contrecarrer les divers dépassements observés ces
dernières années et qui ont pour principale conséquence de saper la confiance des
investisseurs dans les systèmes de régulations déjà en place. Pour ce faire, ces dernières ont
apporté de nouveaux standards qui ont bouleversés ceux déjà en place.
L’attention autour de la loi Sarbanes-Oxley a porté surtout sur les aspects les plus frappants
introduits dans la législation américaine, comme par exemple les lourdes conséquences
pénales pour les dirigeants fautifs ainsi que la question du rôle du contrôle interne sur le

reporting financier. En effet, la section 404 du Sarbanes-Oxley Act, en conjonction avec les
règles de la SEC et des normes d’audit établies par le PCAOB, oblige les directions des
sociétés et leurs auditeurs indépendants de remettre chaque année deux nouveaux rapports.
Ces rapports incluent l’évaluation de la direction portant sur son contrôle interne sur le
reporting financier, et l’appréciation de cette dernière par un auditeur indépendant.
L’AMF considère d'ores et déjà que la Loi de Sécurité Financière, en complétant le dispositif
existant, contribue à l'amélioration de l'information des actionnaires et surtout à un effort
d'organisation et de formalisation des procédures chez beaucoup des acteurs concernés. En
encourageant les sociétés à communiquer de manière synthétique sur leurs règles de
gouvernance et leurs procédures de contrôle interne, la loi les incite à mettre en oeuvre un
recensement de l'existant, à s'assurer progressivement de la qualité du dispositif et, le cas
échéant, à prendre des initiatives pour améliorer son efficacité.
Ainsi, l’on dira que malgré les différences qui existent entrent les deux lois, il n’en
demeure pas moins que l’esprit dans lequel elles ont été créées est le même – c'est-à-dire
restaurer la confiance des investisseurs dans les marchés financiers, symboles du libéralisme
économique mondial.
Pour clore, quoi de plus opportun que de nous poser la question suivante : « Qu’en est-il
des sociétés marocaines ? Pourront-elles se conformer avec les exigences de ces deux lois à
l’aube de l’entrée en vigueur de l’Accord de Libre Echange avec les Etats-Unis et le
renforcement de la coopération Franco-marocaine ?... ».
Seul l’avenir nous le dira.

Bibliographie
• Accounting Office Management & Administration Report. “How CPA firms vcan
foster a renaissance in auditing” vol. 2, No 12, décembre, p. 1 et 13; 2002.
• S. Barlas, “Companies not excited about prospective internal controls report”,
Strategic Finance, Vol. 84, No 8, p. 23-24, 2003.
• P. Descheemaeker, « Nouvelle regulation internationale des sociétés cotées : les
principales dispositions du Sarbanes-Oxley Act of 2002 », Bulletin Joly Sociétés,
janvier, p. 5-11, 2003.
• M. Hughes,”Some devil in the detail: Businesses could be underestimating their
responsibilities on the need for internal controls under the Sarbanes-Oxley Act”,
Financial Times, 27 février, p. 2, 2003.
• D. Martin & G. Robinson, “CEO and CFO certifications and new filing deadlines
for annual and quarterly reports”, Covington & Burling – Securities Pratice
Group, 2002.
• Ordre des experts comptables et des comptables agréés (OECCA), « Le contrôle
interne », rapport du 32ème congrès, 1977.
• M. Rioux, « A la rescousse du capitalisme américain : la loi Sarbanes-Oxley »,
Observatoire des Amériques, janvier, 6 pages, 2003.
• R. Rosen et D. Kramer, « Litigation implications of the CEO and CFO
certification requirements of the Sarbanes-Oxley Act », Insights; the Corporate &
Securities Law Advisor, Vol. 17, No 1, p. 2-8, 2002.
• M. Scanlon et A. Wakefield, “Additional SEC rulemaking to implement the
Sarbanes-Oxley Act”, Insights; the Corporate & Securities Law Advisor, Vol. 16,
No 12, p. 33-36, 2002.

• Sénat américain: Le rôle du conseil d’administration dans la chute d’Enron.

Rapport préparé par la Sous-commission permanente d’enquête de la commission
des affaires gouvernementales, Sénat des Etats-Unis, 8 juillet 2002, 107ème
congrès, 2ème session, rapport 107-70. In « les leçons d’Enron », dirigé par Frison-
Roche, M.A., Autrement, pp. 57-143, 2003.
• H. Stolowy, « Comptabilité créative » in Encyclopédie de Comptabilité, Contrôle
de Gestion et Audit (sous la direction de B. Colasse), Economica, pp. 157-178,
2000.
• T. Sullivan, « CEO and CFO certification requirements », Memorandum. Hinshaw
& Culbertson, 12 août 2002.
• S. Tihmadine, “Compliance with Sarbanes-Oxley Act 404 Management
assessment of internal controls Case of Shell-Morocco”, rapport de stage de la
4ème année (2004/2005)
WEBOGRAPHIE
• www.pwc.com
• www.sarbane-oxley.com
• www.Deloitte.com
• www.kpmg.com
• www.internalaudit.com
• www.404institute.com
• www.coso.org
• www.assembléenatioanle.fr
• www.medef.fr
• www.amf-france.org
• www.cob.fr


Liste des
annexes
Modèle de lettre de contrôle interne

Annexe 1
Article 302, 404, et 906 de la loi SOX

Annexe 2

Organigramme PWC
Annexe 3
Diagramme de flux du cycle trésorerie

Annexe 4

Année Universitaire 2006/2007 - 1 - Mémoire de Fin D'études

Transféré par

Droits d'auteur :

Formats disponibles

Année Universitaire 2006/2007 - 1 - Mémoire de Fin D'études

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Année Universitaire 2006/2007 - 1 - Mémoire de Fin D'études

Transféré par

Droits d'auteur :

Formats disponibles

Thème : Nouveautés introduites par la LSF et la loi SOX en matière

William Donaldson, Chairman, SEC, March 29, 2005

William R. Brown, Executive VP and CFO, Plum

Année universitaire 2006/2007 -1- Mémoire de fin d’études

Je dédie également ce travail à la famille CHEIKH YOUSSEF à qui je

Année universitaire 2006/2007 -2- Mémoire de fin d’études

Je voudrais remercier en premier lieu mes parents ainsi que la famille

Mes plus sincères remerciements vont pour ainsi dire à M. BIADE,

Par la même occasion, je tiens à remercier vivement tous les

Année universitaire 2006/2007 -3- Mémoire de fin d’études

Année universitaire 2006/2007 -4- Mémoire de fin d’études

Partie introductive : Historique, organisation, domaine

Partie I : Présentation du Sarbanes-

Année universitaire 2006/2007 -5- Mémoire de fin d’études

Partie II : Proposition d’une méthodologie de revue du système

Chapitre I : Activité de l’ «entreprise

Chapitre II : Appréciation du contrôle interne de la société

Section 1 : Le cycle personnel / paie……………………………………………………………p 95

Section 2 : Le cycle trésorerie………………………………………………………………….p 116

Section 3 : Le cycle immobilisations…………………………………………………………….p 131

Section 4 : Lettre de contrôle interne……………………………………………………………p 147

Année universitaire 2006/2007 -6- Mémoire de fin d’études

AFEP : Association Française des Entreprises Privées

Année universitaire 2006/2007 -7- Mémoire de fin d’études

En effet l’économie de marché fondée sur la libre confrontation de l’offre et de la demande

Année universitaire 2006/2007 -8- Mémoire de fin d’études

Année universitaire 2006/2007 -9- Mémoire de fin d’études

Année universitaire 2006/2007 - 10 - Mémoire de fin d’études

I) Présentation de PriceWaterhouseCoopers et de son secteur d’activité :

A. Présentation du secteur d’activité de PriceWaterhouseCoopers :

En effet, dans le contexte de la crise économique internationale marquée par la rareté

Année universitaire 2006/2007 - 11 - Mémoire de fin d’études

B. Présentation et organisation de PriceWaterhouseCoopers

1. PriceWaterhouseCoopers dans le monde

PWC est la première organisation mondiale de prestation de services intellectuels avec

Les étapes importantes de l’histoire des deux firmes

1849 : Samuel Lowell Price installe sa firme à Londres ;

1865: Price, Holyland et Waterhouse s’associent;

1874 : changement de dénomination pour devenir Price, Waterhouse & Co. ;

1921 : PriceWaterhouse et Coopers&Lybrand ouvrent un bureau à Bruxelles ;

1982: Price Waterhouse World Firm a vu le jour;

Année universitaire 2006/2007 - 12 - Mémoire de fin d’études

Les cabinets régionaux PriceWaterhouseCoopers sont regroupés sous l’appellation

Une expérience étendue

PricewaterhouseCoopers au Maroc est une société de droit marocain faisant partie du

PricewaterhouseCoopers est le premier cabinet d’audit et de conseil au Maroc. Ils

Année universitaire 2006/2007 - 13 - Mémoire de fin d’études

L’audit comptable et financier

L’étude-diagnostic « Businessman’s review » ;

La conversion/retraitement des états financiers pour les adapter aux normes

L’évaluation des entreprises ;

Le conseil juridique et fiscal ;

Le conseil en organisation et gestion ;

Le conseil en ressources humaines et assistance pour le recrutement ;

Une équipe expérimentée et des moyens techniques modernes

Grâce à un respect strict des normes de la firme en matière de formation continue et à la

Année universitaire 2006/2007 - 14 - Mémoire de fin d’études

Chaque collaborateur est doté d'un micro-ordinateur pour contribuer efficacement à la

♦ Raison sociale : PriceWaterhouseCoopers