Depuis la révision du Code des obligations suisse, les sociétés anonymes sont tenues de créer, de mettre en œuvre et d'appliquer un système de contrôle interne (SCI). Il s'agit d'un instrument de contrôle de la gestion des risques. L'existence du SCI est examinée par les auditeurs.
Pourquoi avons-nous besoin d'un système de contrôle interne ?
Le système de contrôle interne (SCI) est un outil de gestion qui vise à garantir la bonne conduite des affaires et leur viabilité économique, contribuant ainsi à une gestion efficace des risques. Son objectif principal est de recourir à des contrôles standardisés pour prévenir ou au moins détecter les erreurs dans les processus opérationnels. Grâce au contrôle du SCI, les opérations commerciales doivent pouvoir être réalisées de manière efficace et fiable.
Quels sont les éléments d'un système de contrôle interne ?
Le SCI poursuit principalement trois objectifs : assurer l'efficacité et la rentabilité, la fiabilité des rapports et le respect de la législation. Pour atteindre ces objectifs, un SCI doit être compréhensible, efficace et performant. Le SCI doit être adapté aux circonstances spécifiques de chaque entreprise. Toutefois, le cadre du COSO, qui sert de modèle de base pour la conception des SCI, fournit un point de référence. Ce cadre stipule que la première étape consiste à déterminer ce qui est contrôlé (environnement de contrôle). Par la suite, les risques spécifiques de l'entreprise doivent être identifiés et évalués (évaluation des risques) et des mesures appropriées doivent être mises en œuvre pour contrer ces risques (activités de contrôle). Ces mesures de contrôle et ces processus de risque doivent être communiqués (information et communication) et constamment surveillés et améliorés (contrôle).
Que vérifie l'auditeur ?
Conformément à l'art. 728a CO, l'organe de révision vérifie s'il existe un SCI pour les sociétés anonymes qui sont soumises à un contrôle ordinaire. En général, la présence d'un SCI est confirmée si celui-ci existe et est vérifiable (documenté), s'il est adapté aux risques commerciaux et aux activités de l'entreprise, s'il est connu des employés et si le SCI en question est effectivement appliqué, c'est-à-dire si l'entreprise est consciente du contrôle exercé. Les auditeurs vérifient son existence au moyen d'une analyse complète du SCI ainsi que de contrôles dits de conformité (contrôles par sondage). Ce faisant, les auditeurs n'examinent que les critères d'existence susmentionnés, mais ne procèdent pas à un contrôle détaillé de l'efficacité opérationnelle.