Vous pensez que le contrôle interne, c’est « pour les grosses boîtes » ? À Genève, on voit l’inverse tous les mois : une PME de 8 à 60 personnes, un ERP pas complètement maîtrisé, deux personnes qui « savent tout faire », et un jour… un paiement part sur le mauvais IBAN. Ou une facture client sort avec une TVA mal paramétrée. Résultat ? Argent perdu, temps perdu, et parfois une discussion très désagréable avec la banque, l’AFC ou l’organe de révision.
Le contrôle interne en PME, ce n’est pas un classeur poussiéreux. C’est une série de réflexes et de garde-fous concrets sur trois zones qui font mal quand ça dérape : facturation, achats, paiements — et, depuis quelques années, les accès bancaires (e-banking, droits, signatures, appareils).
On va parler terrain. Ce qui casse, pourquoi ça casse, et comment on verrouille sans transformer votre entreprise en administration.
Risques concrets rencontrés par les PME (erreurs, fraudes, accès non contrôlés aux comptes bancaires, exemples suisses, enjeux réglementaires)
Le trio classique : erreur, fraude, « bricolage »
Dans une PME, les problèmes viennent rarement d’un grand complot. Ils viennent d’un mélange explosif : urgence + confiance + manque de séparation des tâches.
- Erreur : une facture envoyée deux fois, un avoir oublié, un mauvais taux de TVA, un paiement saisi avec un zéro en trop.
- Fraude interne : un collaborateur qui crée un fournisseur fictif, modifie un RIB, ou se rembourse des « frais » qui n’en sont pas.
- Fraude externe : faux e-mails « CEO fraud », usurpation de fournisseur, phishing e-banking.
- Bricolage : accès partagés, mots de passe sur un post-it, validations « à l’oral », justificatifs introuvables au bouclement.
Et ce sont souvent les mêmes symptômes : personne ne sait exactement qui a le droit de faire quoi, et on découvre le problème trop tard.
Accès bancaires : le point faible numéro 1 en 2026
On le dit franchement : l’e-banking est devenu le coffre-fort de la PME, et beaucoup le traitent encore comme une simple appli.
Pièges qu’on voit à Genève :
- Un seul utilisateur « admin » qui fait tout (création bénéficiaire + saisie + validation + exécution).
- Des droits non retirés après un départ (ou un congé maladie long).
- Une signature collective sur le papier… mais des droits e-banking qui contournent la logique.
- Des paiements urgents validés depuis un téléphone personnel, sans contrôle.
Observation de terrain : beaucoup de PME découvrent ces failles au moment d’un changement de banque ou d’un audit de révision. Là, on vous demande la liste des utilisateurs, leurs droits, les logs. Et vous réalisez que « personne n’a la vue complète ».
TVA et facturation : quand une petite erreur devient un gros sujet
La TVA n’est pas « juste un taux ». C’est un paramétrage, des règles, des preuves.
- Taux normal : 8,1 %
- Taux réduit : 2,6 %
- Taux spécial hébergement : 3,8 %
Une erreur de taux sur des dizaines de factures, ça se corrige. Mais ça coûte : avoirs, refacturation, discussions clients, et parfois corrections sur décomptes.
Enjeux réglementaires : ce que la direction ne peut pas déléguer
À Genève comme ailleurs en Suisse, la direction a des responsabilités qui ne se « sous-traitent » pas à la compta.
- Organisation et surveillance : responsabilités de la direction (source: Organisation du contrôle interne et cadre légal suisse (Code des obligations, art. 716a, 961)).
- Gouvernance et obligations liées à la révision selon la taille et la forme juridique (source: Obligations de révision et bonne gouvernance PME).
- Pour certains secteurs, la pression sur les contrôles (cyber, risques opérationnels) est montée d’un cran (source: Gestion des cyber-risques et contrôles spécifiques 2024).
Vous pouvez déléguer l’exécution. Pas la responsabilité.
Mini-cas réel (anonymisé) : le faux changement d’IBAN
PME genevoise, services B2B, 18 employés. Un e-mail « fournisseur » annonce un nouvel IBAN. La compta met à jour la fiche fournisseur. Paiement de CHF 24’870 exécuté le lendemain.
Le vrai fournisseur relance une semaine après : « on n’a rien reçu ». L’argent est parti sur un compte à l’étranger, récupérable ? Non.
Pourquoi ça a marché ?
- Une seule personne pouvait modifier la fiche fournisseur.
- Aucun contrôle sur les changements d’IBAN.
- Validation du paiement faite « vite fait » sans vérifier le bénéficiaire.
Ce genre d’histoire, on en voit trop.
Mise en œuvre de contrôles clés par processus (facturation, achats, paiements : séparation des tâches, validations croisées, pistes d’audit, contrôles d’accès bancaires, automatisation partielle…)
On va découper par processus. L’idée n’est pas de tout verrouiller. L’idée, c’est de mettre des contrôles là où l’argent sort, là où l’argent entre, et là où les données se modifient.
Facturation : sécuriser le chiffre d’affaires (et la TVA)
Contrôles simples qui changent tout :
- Numérotation séquentielle des factures, sans trous « mystérieux ».
- Validation des conditions (prix, rabais, incoterms, échéances) par une personne autre que celle qui émet.
- Verrouillage des taux TVA dans l’ERP : seuls 1-2 profils peuvent modifier les paramètres.
- Rapprochement mensuel : factures émises vs prestations livrées (ou heures validées).
- Avoirs : validation obligatoire, avec motif écrit.
Anecdote : au bouclement, on tombe souvent sur des avoirs « pour faire plaisir au client » sans trace. Le problème n’est pas l’avoir. Le problème, c’est l’absence de règle. Après, bonne chance pour expliquer la marge qui s’effondre.
Achats : éviter les fournisseurs fantômes et les dépenses « confort »
Le contrôle interne achats repose sur une logique très basique : demande → commande → réception → facture → paiement.
Contrôles concrets :
- Création fournisseur : justificatif (extrait registre, coordonnées, IBAN) + validation par un second regard.
- Commande : seuils d’approbation (ex. > CHF 5’000, validation direction).
- Réception : preuve de réception (bon de livraison, PV, validation service).
- Facture fournisseur : rapprochement 2-way (commande/facture) ou 3-way (commande/réception/facture).
Paiements : là où la séparation des tâches n’est pas négociable
Si une seule personne peut :
- créer un bénéficiaire,
- saisir un paiement,
- valider,
- exécuter, … vous avez un trou béant.
Contrôles recommandés :
- Double validation sur les paiements (au moins au-dessus d’un seuil).
- Blocage des modifications d’IBAN sans validation.
- Liste blanche de bénéficiaires (quand la banque le permet).
- Paiements urgents : procédure spécifique, pas « on fait vite et on verra ».
Pistes d’audit : si ce n’est pas traçable, ça n’existe pas
Un contrôle interne efficace laisse des traces :
- qui a créé/modifié une fiche fournisseur,
- qui a validé une facture,
- qui a approuvé un paiement,
- quand et depuis quel profil.
Si votre outil ne garde pas les logs, compensez : export mensuel, validation signée, ou workflow simple.
Automatisation partielle : utile, mais pas magique
Automatiser, oui. Se reposer sur l’automatisation, non.
- OCR factures fournisseurs : gain de temps, mais contrôlez les champs sensibles (IBAN, montant, TVA).
- Workflows d’approbation : très bien, à condition que les rôles soient propres.
- Rapprochements bancaires : excellent, mais surveillez les écritures manuelles.
Matrice des accès et séparation des rôles (méthodologie, exemple pratique, outils, évolutions depuis 2025)
La matrice des accès, c’est le tableau qui répond à une question simple : qui peut faire quoi, dans quel outil, et avec quel niveau de validation.
En 2026, c’est devenu un document de pilotage. Pas un gadget.
Méthodologie simple (et réaliste) pour une PME
On procède en 5 étapes. Pas besoin d’un projet de 6 mois.
- Lister les outils : e-banking, ERP/compta, outil de facturation, gestion des notes de frais, coffre-fort documentaire.
- Lister les actions sensibles : créer/modifier bénéficiaire, modifier IBAN, valider paiement, exporter fichier de paiement, modifier taux TVA, créer fournisseur, créer avoir.
- Définir les rôles (pas les personnes) : comptable, responsable finance, direction, responsable achats, chef de projet.
- Attribuer les droits selon le principe : le minimum nécessaire.
- Tester : on simule un paiement, un changement d’IBAN, une annulation de facture. On vérifie que ça bloque quand ça doit bloquer.
Exemple pratique de matrice (extrait)
| Action sensible | Comptabilité | Resp. finance | Direction | Remarque de contrôle |
|---|---|---|---|---|
| Créer un fournisseur | Oui (préparer) | Oui (valider) | Non | Validation obligatoire avant utilisation |
| Modifier IBAN fournisseur | Non | Oui (préparer) | Oui (valider) | Contrôle hors e-mail : appel au contact connu |
| Saisir paiements | Oui | Oui | Non | Saisie séparée de la validation |
| Valider paiements > CHF 10’000 | Non | Oui | Oui | Double validation |
| Ajouter un bénéficiaire e-banking | Non | Oui | Oui | Jamais par la même personne que l’exécution |
| Modifier paramètres TVA | Non | Oui | Oui | Log + revue trimestrielle |
Ce tableau, vous le mettez à jour à chaque arrivée/départ, et au minimum une fois par an.
Outils : ce qu’on utilise vraiment en PME
- Un tableur bien tenu (oui, ça marche) + validation direction.
- Un export des droits e-banking (la plupart des banques suisses le fournissent).
- Un workflow d’approbation dans l’ERP si vous l’avez.
- Un registre des accès (qui a accès à quoi, quand, pourquoi).
Évolutions depuis 2025 : ce qui a changé sur le terrain
Depuis 2025, on voit trois tendances nettes :
- Les banques poussent plus fort les droits granulaires et les validations multiples.
- Les PME adoptent davantage les paiements par fichiers (pain.001) : pratique, mais dangereux si l’export/import n’est pas contrôlé.
- Les attaques de type usurpation de fournisseur se sont banalisées. Le contrôle « appel de confirmation » redevient un classique.
Signaux d’alerte et bonnes pratiques (erreurs à éviter, indicateurs à suivre, formation, reporting, contrôle interne pdf et guides disponibles)
Vous voulez savoir si votre contrôle interne tient la route ? Regardez les signaux faibles. Ils ne trompent pas.
Signaux d’alerte : quand je commence à m’inquiéter
- Un même utilisateur fait saisie + validation + exécution.
- Des paiements « urgents » toutes les semaines.
- Des fournisseurs créés sans dossier (pas d’extrait, pas de contrat, pas de contact).
- Des avoirs fréquents, sans motif standard.
- Des écritures comptables manuelles en fin de mois, sans pièce.
- Des accès e-banking non revus depuis plus de 12 mois.
Indicateurs simples à suivre (mensuel ou trimestriel)
- Nombre de nouveaux fournisseurs créés.
- Nombre de modifications d’IBAN.
- Top 10 des paiements (montants) et validation associée.
- Factures annulées / avoirs émis.
- Écarts de rapprochement bancaire non expliqués.
Formation : 45 minutes qui évitent des semaines de dégâts
On ne parle pas de « former tout le monde à la finance ». On parle de réflexes :
- reconnaître un e-mail suspect,
- vérifier un changement d’IBAN,
- refuser une demande « confidentielle » qui contourne la procédure,
- documenter une exception.
Une courte session annuelle + un rappel lors des arrivées, c’est déjà très solide.
Reporting : une page, pas un roman
À notre avis, la meilleure approche reste un reporting ultra simple à la direction :
- incidents (même mineurs),
- exceptions validées,
- changements d’accès,
- points à corriger.
Une page. Mensuel ou trimestriel.
Ark Fiduciaire
Besoin d'aide sur ce sujet ?
Nos experts sont à votre disposition pour un accompagnement personnalisé. Premier échange gratuit et sans engagement.
Ressources et guides
Pour une approche structurée, vous pouvez vous appuyer sur :
- Les composantes du contrôle interne selon COSO (source: Composantes du contrôle interne COSO).
- Les attentes et bonnes pratiques sur les cyber-risques (source: Gestion des cyber-risques et contrôles spécifiques 2024).
- Les obligations et bonnes pratiques liées à la révision et à la gouvernance (source: Obligations de révision et bonne gouvernance PME).
- Le cadre légal suisse sur l’organisation et le contrôle (source: Organisation du contrôle interne et cadre légal suisse (Code des obligations, art. 716a, 961)).
- Un guide pratique orienté PME (source: Guide pratique contrôle interne PME (aspects facturation, achats, paiements – Ark Fiduciaire, 2025)).
Étape par étape : mettre en place un contrôle interne « qui marche » en 30 jours
Vous n’avez pas besoin d’attendre un audit pour vous y mettre. Voilà une méthode qu’on applique souvent avec des PME genevoises.
Semaine 1 — Cartographier et choisir 10 contrôles maximum
- Listez vos flux : facturation, achats, paiements, notes de frais.
- Identifiez où l’argent sort et où les données se modifient.
- Choisissez 10 contrôles maximum pour démarrer (sinon, personne ne suit).
Semaine 2 — Verrouiller l’e-banking et documenter les rôles
- Exportez la liste des utilisateurs et droits.
- Décidez des règles : double validation, seuils, création bénéficiaire.
- Retirez les accès inutiles.
Semaine 3 — Mettre les validations dans le quotidien
- Validez les nouveaux fournisseurs.
- Mettez une procédure de changement d’IBAN.
- Formalisez l’approbation des avoirs.
Semaine 4 — Tester, corriger, figer
- Faites un test de bout en bout : une facture, un achat, un paiement.
- Vérifiez les traces (logs, pièces, validations).
- Écrivez une page de procédure par processus. Une page, pas vingt.
Checklist 1 — Documents à avoir sous la main (sinon vous perdez du temps)
- Liste des utilisateurs e-banking + droits + date de dernière revue
- Matrice des accès (rôles vs actions sensibles)
- Procédure changement d’IBAN (avec validation hors e-mail)
- Seuils d’approbation (achats, paiements, avoirs)
- Modèle de validation d’exception (quand on sort de la règle)
- Dossier fournisseur type (contrat, coordonnées, justificatifs)
- Journal des incidents (même « petits »)
Checklist 2 — Contrôles minimum viables (si vous manquez de temps)
Si vous ne faites que ça, vous réduisez déjà fortement le risque :
- Double validation des paiements au-dessus d’un seuil (ex. CHF 10’000)
- Interdiction de créer un bénéficiaire et d’exécuter le paiement par la même personne
- Validation obligatoire de tout changement d’IBAN + confirmation par téléphone au contact connu
- Revue mensuelle des nouveaux fournisseurs
- Verrouillage des paramètres TVA (accès limité + revue)
- Rapprochement bancaire mensuel avec traitement des écarts
Cas pratique chiffré (Genève) : sécuriser paiements et fournisseurs dans une PME de services
PME genevoise, 25 employés, agence de communication. 120 factures clients/mois, 80 factures fournisseurs/mois. Deux personnes en finance :
- Aline (comptabilité) : saisie factures fournisseurs, facturation clients, préparation paiements.
- Marc (direction) : validation paiements, supervision.
Situation de départ (risque élevé)
- Aline peut créer/modifier fournisseurs et IBAN dans l’ERP.
- Aline prépare les paiements et peut aussi les valider dans l’e-banking (droits historiques).
- Marc valide « quand il a le temps », parfois après exécution.
Un incident survient : paiement CHF 18’450 sur un IBAN modifié suite à un e-mail frauduleux.
Mesures mises en place (2 heures de travail + 1 rendez-vous banque)
- ERP :
- Aline peut créer un fournisseur, mais pas le valider.
- Toute modification d’IBAN déclenche une tâche de validation.
- E-banking :
- Aline : saisie paiements, pas de validation finale.
- Marc : validation finale obligatoire.
- Seuil : au-dessus de CHF 10’000, double validation (Marc + membre du CA ou second signataire).
- Procédure IBAN :
- Si changement d’IBAN : appel au numéro déjà connu (pas celui de l’e-mail), note dans le dossier.
Résultat concret (sur 3 mois)
- 9 changements d’IBAN demandés : 2 bloqués car non confirmés.
- 1 tentative de fraude détectée (e-mail usurpé).
- Temps additionnel : environ 15 minutes/semaine.
- Risque financier réduit : on a supprimé le scénario « une personne fait tout ».
Ce n’est pas glamour. C’est efficace.
Deux tableaux utiles : seuils et contrôles par processus
Tableau 1 — Exemple de seuils d’approbation (à adapter)
| Type d’opération | CHF 0–2’000 | CHF 2’001–10’000 | > CHF 10’000 |
|---|---|---|---|
| Achat non récurrent | Responsable service | Resp. finance | Direction |
| Paiement fournisseur | Comptabilité (prépare) | Resp. finance (valide) | Double validation (direction + second signataire) |
| Avoir client | Responsable compte | Resp. finance | Direction |
Tableau 2 — Contrôles recommandés par processus
| Processus | Contrôle | Fréquence | Preuve attendue |
|---|---|---|---|
| Facturation | Revue des avoirs (motif + validation) | Mensuel | Liste des avoirs + validation |
| Facturation | Verrouillage paramètres TVA | Trimestriel | Log des changements |
| Achats | Validation création fournisseur | À chaque création | Dossier fournisseur |
| Achats | Rapprochement commande/réception/facture | À chaque facture | Bon + facture + validation |
| Paiements | Double validation au-dessus d’un seuil | Quotidien | Log e-banking |
| Paiements | Revue des nouveaux bénéficiaires | Mensuel | Liste bénéficiaires + signature |
Erreurs fréquentes (et comment les corriger sans tout refaire)
Erreur 1 : « On est une petite équipe, on ne peut pas séparer »
Oui, on peut. La séparation des tâches ne veut pas dire 4 personnes. Ça veut dire : au moins deux regards sur les actions sensibles.
Correction :
- une personne prépare,
- une autre valide,
- et on garde une trace.
Erreur 2 : droits e-banking hérités et jamais revus
C’est le piège classique. Les droits s’empilent, personne n’ose toucher.
Correction :
- revue annuelle des accès,
- retrait immédiat lors des départs,
- et interdiction des comptes partagés.
Erreur 3 : changement d’IBAN traité comme une formalité
C’est exactement ce que cherchent les fraudeurs.
Correction :
- validation par un second regard,
- confirmation hors e-mail,
- blocage temporaire du paiement si doute.
Erreur 4 : contrôles « dans la tête »
« Je vérifie toujours » n’est pas un contrôle. Le jour où la personne est absente, tout s’écroule.
Correction :
- une checklist,
- un log,
- une validation dans l’outil.
Erreur 5 : exceptions non documentées
Les exceptions arrivent. Le problème, c’est quand elles deviennent la norme.
Correction :
- un formulaire d’exception (même simple),
- motif + approbation + pièce.
Contrôle interne et cyber : le lien qu’on sous-estime
Aujourd’hui, la fraude passe souvent par :
- une boîte mail compromise,
- un mot de passe réutilisé,
- un téléphone non protégé,
- un accès e-banking trop large.
Bonnes pratiques pragmatiques :
- authentification forte partout où c’est possible,
- appareils dédiés ou au minimum sécurisés pour l’e-banking,
- revue des accès et des logs,
- procédure « incident » : qui appeler, quoi bloquer, quoi documenter.
Pour cadrer les attentes et les contrôles cyber, référez-vous aux recommandations de surveillance (source: Gestion des cyber-risques et contrôles spécifiques 2024).
Le rôle de la direction : ce que vous devez piloter vous-même
Vous êtes directeur, administrateur, associé gérant ? Vous n’avez pas besoin de faire la saisie comptable. Vous devez piloter :
- les seuils d’approbation,
- la matrice des accès,
- la revue périodique des paiements et des exceptions,
- la culture : « on suit la procédure, même quand c’est urgent ».
Et oui, ça se voit quand c’est pris au sérieux. Les équipes s’alignent.
FAQ sur le contrôle interne en PME (définition, différence audit interne/contrôle interne, obligations légales, ressources pdf, outils simples pour PME, rôle de la direction)
1) Le contrôle interne, c’est quoi exactement en PME ?
C’est l’ensemble des règles et contrôles qui évitent (ou détectent vite) les erreurs et fraudes sur vos processus sensibles : facturation, achats, paiements, accès bancaires, TVA, données maîtres. Ce n’est pas un document. C’est une façon de travailler, avec des preuves.
2) Contrôle interne vs audit interne : quelle différence ?
Le contrôle interne, c’est ce que l’entreprise met en place au quotidien. L’audit interne, c’est une fonction (souvent absente en PME) qui teste et évalue ces contrôles de manière indépendante. En PME, on remplace souvent l’audit interne par des revues ponctuelles (direction, fiduciaire, organe de révision selon le cas).
3) Est-ce que la loi suisse oblige une PME à avoir un contrôle interne ?
La direction doit organiser et surveiller l’entreprise, et assurer une comptabilité conforme. Selon la taille et l’obligation de révision, les attentes sur le système de contrôle interne montent. Le cadre légal et les responsabilités de la direction sont décrits dans le Code des obligations (source: Organisation du contrôle interne et cadre légal suisse (Code des obligations, art. 716a, 961)).
4) Existe-t-il des ressources « type PDF » ou guides pratiques pour PME ?
Oui. Il existe des cadres de référence (source: Composantes du contrôle interne COSO) et des guides orientés PME sur les processus facturation/achats/paiements (source: Guide pratique contrôle interne PME (aspects facturation, achats, paiements – Ark Fiduciaire, 2025)).
5) Quels outils simples utiliser sans gros budget ?
Un tableur pour la matrice des accès, des exports e-banking pour les droits et validations, une checklist mensuelle, et un dossier fournisseur standard. Si votre ERP propose des workflows, activez-les sur les actions sensibles (création fournisseur, changement IBAN, avoirs, paiements).
6) Quel est le rôle concret de la direction au quotidien ?
Fixer les règles (seuils, validations), valider les exceptions, exiger des preuves (logs, pièces), et faire une revue périodique. Le message doit être clair : l’urgence ne justifie pas de contourner les contrôles.
Références
- Composantes du contrôle interne COSO
- Adaptations récentes de la lutte anti-blanchiment
- Obligations de révision et bonne gouvernance PME
- Organisation du contrôle interne et cadre légal suisse (Code des obligations, art. 716a, 961)
- Gestion des cyber-risques et contrôles spécifiques 2024
- Guide pratique contrôle interne PME (aspects facturation, achats, paiements – Ark Fiduciaire, 2025)