Le contrôle interne est aujourd’hui reconnu comme un levier essentiel de maîtrise des risques et de sécurisation des opérations. Dans la majorité des entreprises industrielles et commerciales, les contrôles de premier niveau sont intégrés aux processus opérationnels et réalisés directement par les acteurs en charge des opérations. Ces contrôles constituent le socle du dispositif de contrôle interne et contribuent à la fiabilité des activités, de l’information financière et au respect des règles internes.
Pour autant, ce dispositif demeure souvent déséquilibré. Le contrôle interne de second niveau, dont l’objectif est d’assurer une supervision permanente, structurée et indépendante des contrôles de premier niveau, reste encore insuffisamment développé. En dehors des secteurs bancaire et assurantiel, où les exigences réglementaires ont progressivement imposé des dispositifs robustes de contrôle permanent, ce second niveau est fréquemment partiel, peu formalisé ou inexistant. Cette situation fragilise la capacité des organisations à détecter durablement les dysfonctionnements, les non-conformités ou les situations de fraude.
Le contrôle interne de second niveau ne vise pourtant ni à refaire les opérations ni à alourdir inutilement les processus existants. Il s’inscrit dans une logique de contrôle permanent orientée vers la qualité et l’effectivité des contrôles de premier niveau. Il permet de s’assurer que ces contrôles sont adaptés aux risques identifiés, qu’ils sont correctement exécutés, documentés et suivis dans le temps. À ce titre, il constitue un levier essentiel d’amélioration continue du dispositif global de contrôle interne.
Pourtant, dans certaines organisations, il se réduit encore trop souvent au déploiement de campagnes d’auto-évaluation du contrôle interne sur la base d’un référentiel groupe. Ces démarches consistent à interroger périodiquement les entités ou les responsables de processus au moyen de questionnaires visant à apprécier le niveau d’exécution et de maîtrise des contrôles définis dans le référentiel. Si ces campagnes contribuent à diffuser une culture du contrôle interne et à harmoniser les pratiques, elles montrent rapidement leurs limites lorsqu’elles constituent le principal outil de supervision. Les réponses aux questionnaires reposent largement sur des déclarations, sans vérification systématique de l’existence ou de l’effectivité des contrôles. Les questionnaires sont parfois remplis de manière incomplète ou hétérogène, et la démarche tend souvent à s’essouffler dans la durée, réduisant progressivement la fiabilité et la valeur opérationnelle des résultats.
Ces constats illustrent plus largement les difficultés rencontrées par de nombreuses entreprises industrielles et commerciales pour structurer un véritable contrôle interne de second niveau. La culture du contrôle interne reste encore inégale, et celui-ci est parfois perçu comme une contrainte administrative plutôt que comme un outil de pilotage. Les contraintes de ressources constituent également un frein majeur, dans la mesure où la mise en œuvre d’un contrôle de second niveau exige du temps, des compétences spécifiques et une capacité d’analyse indépendante. Enfin, la question de l’indépendance demeure centrale, notamment dans les organisations de taille intermédiaire où les mêmes équipes peuvent être impliquées dans la conception, l’exécution et le contrôle des processus.
À l’inverse, les secteurs bancaire et assurantiel offrent un cadre de référence éprouvé. Sous l’effet de contraintes réglementaires fortes, ces secteurs ont progressivement structuré des dispositifs de contrôle interne reposant sur une séparation claire entre les différents niveaux de contrôle avec des équipes dédiées aux contrôles de second niveau, sur des plans de contrôle de second niveau fondés sur la cartographie des risques et sur un reporting régulier à destination de la direction générale et des instances de gouvernance. Ces pratiques démontrent que le contrôle interne de second niveau constitue un véritable outil de gouvernance et de pilotage des risques, et non un simple mécanisme de conformité.
L’entrée en vigueur de la loi Sapin 2 a marqué un tournant pour de nombreuses entreprises, notamment hors secteur financier. L’obligation de mettre en place des contrôles comptables anticorruption de premier et de second niveau a contribué à diffuser une approche plus structurée du contrôle permanent au sein des organisations industrielles et commerciales. Elle a permis de clarifier les responsabilités entre acteurs opérationnels et fonctions de supervision, de renforcer la formalisation et la traçabilité des contrôles, et de sensibiliser les directions générales à l’importance de l’indépendance du contrôle interne de second niveau. Dans de nombreux cas, toutefois, cette dynamique demeure encore cantonnée au seul périmètre anticorruption et n’est pas systématiquement étendue à l’ensemble des processus clés de l’entreprise.
Dans ce contexte, certaines organisations ont également cherché à s’appuyer sur la fonction d’audit interne pour compenser l’absence d’un contrôle interne de second niveau structuré. Si cette approche peut apporter un éclairage ponctuel, elle ne constitue pas une solution pérenne. Le contrôle interne de second niveau relève d’une logique de contrôle permanent, intégré au fonctionnement courant de l’entreprise, tandis que l’audit interne intervient de manière périodique et indépendante afin d’évaluer l’efficacité globale des dispositifs de gouvernance, de gestion des risques et de contrôle interne. L’audit interne peut ainsi utilement apprécier la maturité du contrôle interne de second niveau, mais ne peut durablement s’y substituer sans remettre en cause sa propre indépendance et sa capacité à fournir une assurance objective.
Face à l’ensemble de ces constats, le recours à l’externalisation du contrôle interne de second niveau apparaît comme une réponse pragmatique pour de nombreuses entreprises L’externalisation permet de garantir l’indépendance du dispositif, de mobiliser des compétences spécialisées immédiatement opérationnelles et d’assurer la régularité ainsi que la traçabilité des plans de contrôle. Elle offre également un regard externe objectif et permet d’adapter le dispositif aux enjeux, à la taille et au niveau de maturité de l’organisation, sans alourdir durablement les structures internes.
En définitive, le contrôle interne de second niveau demeure aujourd’hui l’un des points de fragilité majeurs du dispositif de contrôle interne dans les entreprises industrielles et commerciales. Ni les contrôles de premier niveau, ni les campagnes d’auto-évaluation, ni l’audit interne ne peuvent, à eux seuls, apporter l’assurance d’un contrôle permanent, structuré et indépendant. Dans ce contexte, Grant Thornton accompagne ses clients à chaque étape de leur réflexion et de leur mise en œuvre, en s’appuyant sur des outils innovants et ses équipes spécialisées en contrôle interne, gestion des risques et conformité au sein de sa ligne de service Risk Management. Cet accompagnement permet de sécuriser rapidement les dispositifs existants, de concevoir et déployer des plans de contrôle de second niveau adaptés aux enjeux spécifiques de chaque organisation, tout en favorisant une montée en compétence progressive des équipes internes. À terme, cette approche permet aux entreprises qui le souhaitent d’internaliser leur contrôle interne de second niveau sur des bases solides, durables et alignées sur les meilleures pratiques du marché.
-
Axelle Brault-Fonters Associée, Business Risk Services et Forensic, en charge de l’offre Gouvernance, Risques et Contrôle.Consulter le profil -
