Vous avez une PME à Genève (ou en Suisse romande) et vous vous dites: « On est trop petits pour le contrôle interne ». Je vous le dis franchement: c’est souvent là que ça casse.
Le contrôle interne, ce n’est pas un classeur poussiéreux ni un délire de grande entreprise. C’est une série de réflexes concrets pour éviter trois choses très banales:
- payer deux fois la même facture,
- se faire balader par un faux IBAN,
- découvrir au bouclement que la TVA a été traitée “à l’instinct”.
Et en 2026, il y a un sujet qui revient dans presque tous les dossiers: les accès (banque, e-banking, ERP, logiciel de facturation, cloud). Les droits sont trop larges, pas revus, pas tracés. Résultat? Une erreur devient un incident. Un incident devient un litige. Et parfois, une fraude.
Quels risques concrets pour une PME suisse en 2026 ? (erreurs, fraudes, accès bancaires, conformité CO)
Le risque n°1: l’erreur “bête” qui coûte cher
On voit encore des PME où une seule personne:
- crée le fournisseur,
- saisit la facture,
- prépare le paiement,
- valide dans l’e-banking.
Attention, c’est un piège classique. Pas parce que la personne est malhonnête. Parce que quand elle est pressée, fatiguée, ou remplacée, l’erreur passe.
Exemples très concrets:
- facture saisie deux fois (même montant, même date, référence légèrement différente),
- note de crédit oubliée,
- TVA codée au mauvais taux (8,1 % au lieu de 2,6 %, ou l’inverse),
- paiement envoyé sur un ancien IBAN “copié-collé” depuis un e-mail.
Le risque n°2: la fraude “propre” (celle qui ressemble à une opération normale)
En 2026, la fraude la plus fréquente en PME n’est pas le braquage. C’est la manipulation de processus.
Deux scénarios qu’on rencontre:
- Changement d’IBAN: un e-mail “du fournisseur” annonce un nouveau compte. La facture est vraie, le fournisseur existe, le montant est plausible. Seul l’IBAN est faux.
- Faux CEO / faux directeur: demande urgente de virement “confidentiel”. On vous met la pression. On vous flatte. On vous isole.
Si votre procédure de paiement repose sur “je reconnais le style du mail”, vous êtes exposé.
Le risque n°3: l’accès bancaire et les droits trop larges
Le vrai sujet, c’est la combinaison:
- un accès e-banking avec droits de paiement,
- un accès au logiciel comptable,
- aucune revue des droits,
- aucun journal de contrôle consulté.
Concrètement, ça veut dire que la même personne peut créer un fournisseur, modifier l’IBAN, puis payer. Et si personne ne relit les extraits bancaires avec un œil critique, vous ne verrez rien avant des semaines.
Le risque n°4: conformité CO et responsabilité de l’organe de direction
On ne parle pas ici de “bonne pratique sympa”. Le Code des obligations impose des responsabilités de direction et une organisation appropriée.
Deux articles reviennent tout le temps dans les discussions sérieuses:
- art. 716a CO (tâches intransmissibles et inaliénables du conseil d’administration, pour les SA),
- art. 961 CO (présentation des comptes; et, dans la pratique, tout ce qui touche à la fiabilité de l’information financière).
Vous pouvez déléguer l’exécution. Pas la responsabilité.
Source: Organisation appropriée du contrôle interne pour SA/Sàrl : obligations légales et art. 716a & 961 CO.
Observation de terrain (Genève): le problème sort au pire moment
En pratique, beaucoup de PME genevoises découvrent leurs failles au moment du bouclement. Pourquoi? Parce que:
- la fiduciaire pose des questions simples (“qui valide?”, “qui a accès?”, “où est la pièce?”),
- et là, on réalise que tout repose sur une personne.
Résultat? On bricole en urgence. Et l’urgence coûte toujours plus cher.
Contrôles simples par processus : comment agir sur facturation, achats, paiements et accès bancaires ?
On va faire simple: un contrôle interne utile, c’est un contrôle qui se fait sans héroïsme. Si votre contrôle dépend d’une personne “très consciencieuse”, il ne tiendra pas.
Facturation clients: éviter les trous dans la raquette
Objectif: s’assurer que tout ce qui est livré/presté est facturé, et que la facture est correcte.
Contrôles concrets:
- Numérotation continue des factures (et vérification des trous).
- Liste mensuelle des avoirs: qui les a émis, pourquoi, et validation par une autre personne.
- Rapprochement simple: commandes/contrats → factures → encaissements.
- TVA: codification standard (taux 8,1 %, 2,6 %, 3,8 % selon le cas) et revue ponctuelle des exceptions.
Petit détail qui change tout: si vous faites des factures manuelles “exceptionnelles”, vous créez un angle mort. Soit vous les intégrez au flux normal, soit vous documentez une validation renforcée.
Achats et fournisseurs: le vrai risque, c’est la création/modification
Le paiement frauduleux passe souvent par là.
Contrôles concrets:
- Création d’un fournisseur: justificatif obligatoire (extrait, contrat, facture pro forma, coordonnées) + validation par une autre personne.
- Modification d’IBAN: double validation + appel téléphonique sur un numéro déjà connu (pas celui de l’e-mail).
- Liste trimestrielle des nouveaux fournisseurs: revue rapide par la direction.
Paiements: arrêter de “valider à l’aveugle”
Si vous validez 30 paiements en 2 minutes, vous ne validez rien. Vous cliquez.
Contrôles concrets:
- Principe des 4 yeux sur les paiements (préparation ≠ validation).
- Seuils de validation: par exemple, tout paiement > CHF 5’000 validé par un second signataire.
- Paiements groupés: revue d’une liste imprimée/PDF avec montants, bénéficiaires, IBAN, motif.
- Rapprochement bancaire: hebdomadaire si volume, sinon mensuel, mais fait par quelqu’un qui n’initie pas les paiements.
Accès bancaires: droits minimaux et traçabilité
Contrôles concrets:
- Deux profils distincts: “préparateur” et “validateur”.
- Pas de compte générique partagé.
- Revue semestrielle des accès: qui a accès à quoi, et pourquoi.
- Désactivation immédiate lors d’un départ (même si la personne “a encore deux jours”).
Checklist #1 — Contrôles minimum viables (PME 5–30 personnes)
- Numérotation continue des factures + contrôle des trous (mensuel)
- Revue des avoirs (mensuel)
- Création fournisseur validée par une autre personne (à chaque création)
- Changement d’IBAN: double validation + appel sur numéro connu (à chaque changement)
- Préparation paiement ≠ validation paiement (toujours)
- Seuil de double signature (ex. CHF 5’000) (paramétré)
- Rapprochement bancaire fait par une personne indépendante des paiements (mensuel)
- Revue des accès e-banking et logiciel comptable (2x/an)
Matriser les accès : construction d'une matrice de droits et séparation des tâches
La séparation des tâches, ce n’est pas “on se fait confiance”. C’est “on évite qu’une seule personne puisse faire une opération complète sans contrôle”.
Ce que vous cherchez à éviter
Le combo dangereux:
- créer/modifier un tiers (client/fournisseur),
- créer une écriture ou une facture,
- déclencher un paiement,
- valider le paiement,
- rapprocher la banque.
Si une personne peut faire 1→5, vous avez un risque structurel.
Table 1 — Exemple de matrice de séparation des tâches (PME genevoise)
| Processus | Action | Rôle A (Compta) | Rôle B (Direction) | Rôle C (Opérations) | Contrôle attendu |
|---|---|---|---|---|---|
| Fournisseurs | Créer fournisseur | Oui | Validation | Non | Validation B + justificatif |
| Fournisseurs | Modifier IBAN | Non (ou demande) | Oui | Non | Double validation + appel |
| Achats | Saisir facture | Oui | Non | Oui (réception) | Approbation réception |
| Paiements | Préparer lot de paiements | Oui | Non | Non | Liste de paiement archivée |
| Paiements | Valider paiement e-banking | Non | Oui | Non | 4 yeux + seuils |
| Banque | Rapprochement bancaire | Oui (si pas paiements) | Revue ponctuelle | Non | Revue anomalies |
| Ventes | Émettre facture | Oui | Non | Oui (prestation) | Contrat/bon de livraison |
| Ventes | Émettre avoir | Oui | Validation | Non | Revue mensuelle |
Vous n’avez pas trois rôles distincts? Pas grave. On adapte. Une PME de 6 personnes peut faire une séparation intelligente avec 2 rôles et un contrôle de direction.
Anecdote de terrain: “On a donné admin à tout le monde”
On voit souvent un logiciel comptable ou un outil de facturation installé vite fait. Pour aller vite, tout le monde est “admin”. Puis personne n’ose retirer les droits, parce que “ça va casser quelque chose”.
Résultat? Personne ne sait qui a modifié un IBAN, qui a annulé une facture, qui a changé un taux TVA.
À notre avis, la meilleure approche reste simple: droits minimaux + exceptions documentées. Le confort ne doit pas passer avant la traçabilité.
Construire une matrice des accès qui tient la route (méthode terrain)
Une matrice des accès, c’est un tableau qui répond à trois questions:
- qui a accès,
- à quoi,
- avec quel niveau de droit.
Étape-par-étape (sans usine à gaz)
- Listez vos systèmes: e-banking, logiciel comptable, facturation, ERP/CRM, gestion des salaires, cloud (Drive/SharePoint), outil de notes de frais.
- Listez les rôles réels (pas les titres RH): “prépare paiements”, “valide paiements”, “crée fournisseurs”, “saisit factures”, “fait rapprochement”, “admin IT”.
- Définissez 4 niveaux de droits (ça suffit souvent): Lecture / Saisie / Validation / Admin.
- Remplissez la matrice: une ligne par utilisateur, une colonne par système, et le niveau.
- Marquez les conflits: un conflit = une personne a des droits incompatibles (ex. création fournisseur + validation paiement).
- Décidez: soit vous retirez un droit, soit vous ajoutez un contrôle compensatoire (ex. revue mensuelle par la direction).
- Validez et datez: la direction signe. Oui, même en PME.
- Planifiez la revue: tous les 6 mois, et à chaque départ/arrivée.
Checklist #2 — Ce que votre matrice doit contenir (sinon elle ne sert à rien)
- Nom + fonction réelle (ce que la personne fait vraiment)
- Systèmes couverts (banque, compta, facturation, salaires, cloud)
- Niveau de droit (Lecture/Saisie/Validation/Admin)
- Date de dernière revue
- Propriétaire du système (qui décide des droits)
- Règles de séparation des tâches (écrites en 10 lignes)
- Liste des exceptions + justification + durée
Contrôles simples par processus (version “on le fait lundi matin”)
Vous voulez du concret? Voilà une version opérationnelle, par flux.
Flux 1 — De la facture fournisseur au paiement
- Réception facture (mail ou courrier)
- Contrôle de base: fournisseur connu? commande? réception?
- Saisie comptable
- Approbation (opérations ou direction)
- Préparation paiement
- Validation paiement
- Archivage preuve de paiement
Contrôles qui changent la vie:
- Approbation obligatoire avant paiement (même un “OK” dans l’outil, mais traçable).
- Blocage paiement si IBAN modifié dans les 30 derniers jours sans validation renforcée.
Flux 2 — De la prestation à la facture client
- Contrat/commande
- Prestation/livraison
- Facture
- Encaissement
- Relance
Contrôles utiles:
- Liste des prestations non facturées (mensuel).
- Revue des remises: qui accorde quoi.
Flux 3 — Notes de frais et cartes d’entreprise
Les cartes et frais, c’est souvent le Far West.
Contrôles simples:
- justificatif obligatoire,
- validation par un supérieur,
- plafonds par type de dépense,
- revue mensuelle des dépenses “hors politique”.
Ark Fiduciaire
Besoin d'aide sur ce sujet ?
Nos experts sont à votre disposition pour un accompagnement personnalisé. Premier échange gratuit et sans engagement.
Cas pratique chiffré (CHF) — Une Sàrl à Genève qui se fait piéger par un faux IBAN
PME: Sàrl de services (12 employés), Genève. Volume: ~80 factures fournisseurs/mois. Paiements hebdomadaires.
Scénario:
- Un fournisseur IT habituel envoie une facture de CHF 18’740.
- Un e-mail séparé annonce un “nouvel IBAN”.
- La comptable modifie l’IBAN dans le logiciel.
- Elle prépare le paiement.
- Le directeur valide dans l’e-banking sans comparer l’IBAN à une source fiable.
Résultat?
- Paiement exécuté: CHF 18’740 vers un compte frauduleux.
- Le vrai fournisseur relance 10 jours après.
- La PME paie une deuxième fois pour éviter la coupure de service.
Coût total direct: CHF 37’480.
Coûts indirects (réalistes):
- 6 heures internes (direction + compta) à CHF 150/h = CHF 900
- échanges banque + dépôt plainte + suivi = CHF 600 (temps interne)
- honoraires externes (analyse, procédure, renforcement contrôles) = CHF 2’500
Total: CHF 41’480.
Le contrôle qui aurait évité ça:
- changement d’IBAN = appel sur numéro connu + validation par une autre personne.
Ce n’est pas glamour. C’est efficace.
Signaux d'alerte : détecter les failles, erreurs ou détournement dans une PME
Vous n’avez pas besoin d’un logiciel de forensic. Vous avez besoin d’yeux ouverts.
Signaux côté fournisseurs/paiements
- Paiements urgents “à faire aujourd’hui” sans pièce complète.
- Fournisseur connu, mais IBAN changé sans explication solide.
- Factures avec libellés vagues (“services”, “consulting”) et pas de livrable.
- Montants ronds répétés (CHF 5’000, CHF 10’000) juste sous un seuil de validation.
- Multiplication de petits fournisseurs “one-shot”.
Signaux côté ventes
- Avoirs fréquents, surtout en fin de mois.
- Remises non documentées.
- Factures annulées puis réémises.
Signaux côté accès et IT
- Comptes partagés (“compta@”, “admin@”).
- Droits admin distribués “pour dépanner”.
- Absence de journal d’audit consulté.
- Accès e-banking conservé après un départ.
Signaux côté comptabilité
- Rapprochements bancaires en retard.
- Suspens qui traînent (comptes d’attente, clearing).
- Écritures manuelles nombreuses sans justification.
3 erreurs qui coûtent cher aux Sàrl genevoises (et comment les corriger)
Erreur 1: confondre “contrôle interne” et “contrôle de la fiduciaire”
La fiduciaire contrôle ce qu’elle voit. Si vous lui donnez des pièces incomplètes ou tardives, elle ne devine pas.
Correction:
- fixez un calendrier mensuel (factures, banque, salaires),
- imposez une validation interne avant transmission.
Erreur 2: laisser la banque en “mode confort”
Un seul signataire, ou un validateur qui valide tout sans lire. Résultat? le jour où ça part, ça part vite.
Correction:
- double signature,
- seuils,
- profils séparés,
- revue mensuelle des bénéficiaires.
Erreur 3: documenter zéro, puis paniquer lors d’un contrôle
Quand l’AFC (TVA) ou l’organe de révision pose une question, “on fait comme ça depuis toujours” ne vaut rien.
Correction:
- 2 pages de procédures (pas 40),
- une matrice des accès datée,
- une liste des contrôles avec fréquence et responsable.
Documentation SCI: ce qu’on attend vraiment en PME (et ce qu’on s’en fiche)
On va être honnête: personne ne vous demande un manuel de 200 pages.
Ce qui est utile:
- une cartographie simple des processus (ventes, achats, paiements, salaires),
- une liste des risques principaux,
- les contrôles associés,
- la matrice des accès,
- la preuve que ça vit (revues datées, validations, journaux).
Ce qui ne sert à rien:
- copier-coller un modèle générique sans lien avec votre réalité,
- des procédures impossibles à appliquer,
- des contrôles “théoriques” que personne ne fait.
Source: Cartographie des risques en PME, obligations et séparation des fonctions.
Reporting et pilotage: le contrôle interne qui aide vraiment la direction
Le contrôle interne n’est pas là seulement pour éviter la fraude. Il sert aussi à piloter.
Indicateurs simples (mensuels):
- factures fournisseurs en attente d’approbation,
- paiements rejetés/retournés,
- nombre de changements d’IBAN,
- avoirs émis,
- écarts de rapprochement bancaire,
- suspens > 30 jours.
Quand ces chiffres montent, ce n’est pas “la compta qui traîne”. C’est un signal.
Source: Impact du contrôle interne sur la performance et reporting PME.
Contrôles digitaux: ce que l’automatisation fait bien… et ce qu’elle ne fera jamais
Les outils modernes aident:
- workflows d’approbation,
- journal d’audit,
- droits par rôle,
- rapprochement bancaire semi-automatique.
Mais ils ne remplacent pas:
- la validation humaine sur les exceptions,
- l’appel téléphonique lors d’un changement d’IBAN,
- la revue des accès.
Et attention à un point: si votre outil est bien paramétré mais que tout le monde est admin, vous avez juste un outil cher.
Gouvernance: qui doit faire quoi (sans se renvoyer la balle)
Dans une PME, les rôles se mélangent vite. On clarifie:
- Direction / CA: fixe les règles, valide les seuils, exige la revue des accès, accepte (ou refuse) les exceptions.
- Comptabilité: exécute, documente, remonte les anomalies.
- Opérations: confirme la réception/prestation, valide la réalité économique.
- Fiduciaire: accompagne, structure, challenge, mais ne remplace pas votre organisation.
Pour les sociétés avec une gouvernance plus formelle, le Swiss Code donne un cadre de bonnes pratiques.
Source: Code suisse de bonnes pratiques pour la gouvernance d’entreprise (economiesuisse).
FAQ
1) C’est quoi, exactement, un contrôle interne (SCI) en PME?
C’est l’ensemble des règles, contrôles et habitudes qui sécurisent vos processus: fiabilité des comptes, protection des actifs, conformité, et qualité du reporting. En PME, ça se traduit par des validations, des séparations de tâches, des accès maîtrisés, et des revues régulières.
Source: Impact du contrôle interne sur la performance et reporting PME.
2) Quelles obligations légales en Suisse (art. 716a et 961 CO)?
L’art. 716a CO fixe des responsabilités non transférables du conseil d’administration (pour les SA) liées à la direction et à l’organisation. L’art. 961 CO traite de la présentation des comptes; dans la pratique, on attend une organisation qui rende l’information financière fiable et traçable. Vous pouvez déléguer l’exécution, pas la responsabilité.
Source: Organisation appropriée du contrôle interne pour SA/Sàrl : obligations légales et art. 716a & 961 CO.
3) Quelle différence entre audit interne et audit externe?
L’audit externe (organe de révision) donne une assurance sur les comptes selon le mandat légal/contractuel. L’audit interne, quand il existe, teste vos processus et contrôles en continu pour réduire les risques. Beaucoup de PME n’ont pas d’audit interne formel; elles peuvent quand même faire des revues ciblées (paiements, accès, TVA) avec une fiduciaire.
4) Le modèle COSO, ça sert à quoi si je suis une PME?
COSO est un cadre pour structurer le contrôle interne (environnement de contrôle, évaluation des risques, activités de contrôle, information/communication, pilotage). Vous n’êtes pas obligé de “faire du COSO”. Par contre, s’en inspirer évite d’oublier un morceau: par exemple, avoir des contrôles sans pilotage, ou des règles sans preuves.
Source: Impact du contrôle interne sur la performance et reporting PME.
5) Donnez-moi 10 exemples de contrôles internes simples et efficaces
- Double validation des paiements
- Seuils de signature (ex. > CHF 5’000)
- Appel sur numéro connu lors d’un changement d’IBAN
- Revue mensuelle des nouveaux fournisseurs
- Rapprochement bancaire indépendant
- Revue mensuelle des avoirs
- Numérotation continue des factures + contrôle des trous
- Journal d’audit activé et consulté (modifs tiers, IBAN, annulations)
- Revue semestrielle des accès (banque, compta, salaires)
- Liste des suspens > 30 jours et traitement
6) Comment documenter son SCI sans y passer des semaines?
Faites court et daté:
- 1 page “qui fait quoi” (rôles)
- 1 page “contrôles par processus” (fréquence + responsable)
- 1 matrice des accès
- 1 liste d’exceptions signées Et vous gardez des preuves: validations, exports, journaux, rapprochements.
7) Le SCI doit-il être présenté à l’AG?
L’AG n’a pas besoin d’un manuel détaillé. Par contre, la direction/CA doit pouvoir expliquer l’organisation, les principaux risques, et les contrôles mis en place. Si vous avez un organe de révision, il peut poser des questions sur l’existence et la cohérence des contrôles.
8) Quelles sont les limites du contrôle interne?
Un SCI réduit les risques, il ne les supprime pas. Il y aura toujours:
- des erreurs humaines,
- des contournements (collusion),
- des exceptions. Le but, c’est de rendre l’erreur visible vite, et la fraude difficile.
9) Quel lien entre contrôle interne et gestion des risques?
La gestion des risques identifie et priorise les risques (paiements, TVA, dépendance à une personne, cyber). Le contrôle interne met des barrières concrètes: validations, accès, revues, preuves. Sans contrôles, la “cartographie des risques” reste un joli document.
Source: Cartographie des risques en PME, obligations et séparation des fonctions.
10) Est-ce que ça améliore vraiment la performance?
Oui, quand c’est bien fait. Moins de corrections au bouclement, moins de temps perdu à chercher des pièces, moins de litiges fournisseurs, un reporting plus fiable. Et surtout: la direction décide avec des chiffres propres, pas avec des intuitions.
Source: Impact du contrôle interne sur la performance et reporting PME.
Table 2 — Plan de déploiement sur 30 jours (PME sans service interne)
| Semaine | Actions | Livrables | Responsable |
|---|---|---|---|
| 1 | Cartographier ventes/achats/paiements + lister systèmes | 1 page processus + liste systèmes | Direction + compta |
| 2 | Écrire règles de validation + seuils + séparation des tâches | Règles signées (2 pages max) | Direction |
| 3 | Construire matrice des accès + corriger conflits | Matrice datée + captures paramètres | Compta + IT/banque |
| 4 | Mettre en place revues mensuelles (avoirs, nouveaux fournisseurs, suspens, banque) | Checklists + calendrier | Compta + direction |
Ce plan marche parce qu’il est réaliste. Si vous essayez de tout refaire en même temps, vous ne finirez rien.
Références
- Impact du contrôle interne sur la performance et reporting PME
- Code suisse de bonnes pratiques pour la gouvernance d’entreprise (economiesuisse)
- Cartographie des risques en PME, obligations et séparation des fonctions
- Organisation appropriée du contrôle interne pour SA/Sàrl : obligations légales et art. 716a & 961 CO