Vous avez Odoo. Très bien. Maintenant la vraie question: est-ce que votre Odoo tient la route quand un réviseur demande « qui a fait quoi, quand, sur quelle base, et qui a validé »?
En pratique, beaucoup de PME genevoises pensent avoir un contrôle interne parce que « tout est dans Odoo ». Jusqu’au jour où une facture fournisseur litigieuse sort du lot, ou qu’un audit (même limité) demande une piste d’audit propre. Et là, on découvre des droits trop larges, des validations inexistantes, des pièces justificatives introuvables, ou des modifications après coup.
On va parler concret: rôles, séparation des tâches, workflows, pièces justificatives, paramétrages à risque. Avec des exemples de terrain et un cas chiffré.
Rôles, droits d'accès Odoo et séparation des tâches (sociétés soumises ou non à audit)
Le contrôle interne, ce n’est pas une « option audit ». C’est d’abord une obligation d’organisation: le conseil d’administration (ou la gérance) doit mettre en place une organisation adaptée, documentée, et contrôlable. Et si vous êtes soumis à audit ordinaire, le SCI devient un sujet formel. (source: Bases légales, organisation du CA et rapport de gestion (CO, Fedlex))
Odoo, lui, ne « fait pas » le contrôle interne. Il l’exécute… si vous le paramétrez correctement.
Qui doit avoir accès à quoi? La logique fiduciaire (pas la logique “on se débrouille”)
Dans une PME, on voit souvent ce schéma:
- la comptable a tous les droits « parce qu’elle doit avancer »;
- le directeur a aussi tous les droits « au cas où »;
- l’acheteur peut créer des fournisseurs « parce que sinon ça bloque ».
Résultat? Personne ne sait qui est responsable, et tout le monde peut faire (ou défaire) une écriture.
La logique saine:
- création (demande/commande),
- réception (preuve de livraison/prestation),
- facture (enregistrement comptable),
- paiement (sortie de cash),
- validation (contrôle et approbation).
Vous n’êtes pas obligé d’avoir 5 personnes. Mais vous devez éviter qu’une seule personne puisse faire toute la chaîne sans contrôle.
Séparation des tâches: ce que le réviseur regarde vraiment
Le réviseur ne cherche pas la perfection. Il cherche des garde-fous.
Typiquement, il va tester:
- Est-ce que la personne qui crée/modifie un fournisseur peut aussi valider une facture?
- Est-ce que la personne qui enregistre une facture peut aussi la payer?
- Est-ce qu’on peut modifier une facture après validation sans trace claire?
Si la réponse est « oui », vous avez un point faible. Et si vous êtes en audit ordinaire, ça peut remonter dans les constats.
Odoo: groupes, rôles et droits d’accès — ce qu’on met en place en PME
Odoo fonctionne avec des utilisateurs, des groupes et des droits (lecture/écriture/création/suppression) par application et parfois par modèle. (source: Droits d'accès, rôles et groupes dans Odoo 18)
Une base simple et robuste pour une PME romande:
- Achats – Demandeur: crée des demandes d’achat / RFQ, pas de validation finale.
- Achats – Validateur: valide commandes selon seuil.
- Comptabilité – Saisie fournisseurs: encode factures, pas de paiement.
- Comptabilité – Responsable: valide factures, gère clôtures.
- Trésorerie/Paiements: prépare paiements, pas de création fournisseur.
- Admin Odoo (très limité): paramétrage, pas d’opérationnel.
Et surtout: un compte = une personne. Les comptes partagés (« compta@ », « admin@ ») sont un piège classique. Résultat? Vous perdez la traçabilité.
Sociétés soumises ou non à audit: même combat, niveau d’exigence différent
- Sans audit: vous avez quand même besoin d’un minimum de séparation des tâches, surtout sur les paiements et la création de fournisseurs.
- Audit ordinaire: on attend un SCI documenté, des contrôles, et une piste d’audit exploitable. (source: Système de contrôle interne : exigences suisses PME & audit)
Observation de terrain: à Genève, beaucoup de PME « passent » en audit ordinaire après croissance (seuils, groupe, exigences bancaires). Elles se réveillent tard. Et remettre de l’ordre dans Odoo après 3 ans de droits ouverts, c’est douloureux.
Checklist #1 — droits d’accès et séparation des tâches (à faire cette semaine)
- Chaque utilisateur a un compte nominatif (pas de comptes partagés)
- Les droits « Administration/Paramètres » sont limités à 1–2 personnes
- Création/modification de fournisseurs séparée de la validation des factures
- Saisie facture séparée du paiement (au moins par validation)
- Seuils de validation définis (montants, catégories, exceptions)
- Journal des modifications activé et consultable (log)
- Revue trimestrielle des accès (entrées/sorties, changements de poste)
Workflows de validation : achats, factures fournisseurs, workflow ventes et double validation
Un workflow, ce n’est pas « un bouton Valider ». C’est une chaîne de décisions. Et dans Odoo, si vous laissez les flux par défaut sans règles, vous retombez vite dans le “tout le monde fait tout”.
Achats: de la demande à la commande, sans court-circuit
Sur les achats, le point faible classique:
- on crée une commande,
- on la valide,
- on réceptionne « sur papier »,
- et on enregistre la facture sans rapprochement.
Concrètement, ça veut dire que la facture peut passer même si:
- la marchandise n’est jamais arrivée,
- le prix ne correspond pas,
- la quantité est erronée.
Ce qu’on vise:
- Demande d’achat (si vous l’utilisez) → RFQ → Commande
- Réception (ou confirmation de prestation) → Facture
- Rapprochement commande/réception/facture (3-way match quand c’est pertinent)
Factures fournisseurs: validation comptable vs validation métier
Dans beaucoup de PME, la compta valide « parce qu’il faut payer ». Mauvaise habitude.
La validation doit répondre à deux questions:
- La dépense est-elle légitime et conforme au budget/contrat? (validation métier)
- La facture est-elle correcte comptablement et fiscalement? (validation comptable)
Vous pouvez faire simple:
- le responsable opérationnel valide la réalité de la prestation,
- la compta valide la conformité (TVA, compte, centre de coût, pièces).
Double validation: quand ça vaut vraiment la peine
À notre avis, la double validation est utile dès que:
- vous avez plusieurs centres de coûts,
- vous avez des achats récurrents avec contrats,
- vous avez un volume de factures qui dépasse « on s’en souvient tous ».
Exemple concret (PME à Carouge, services B2B, 18 employés):
- seuil à CHF 2’000: validation simple (responsable + compta)
- seuil à CHF 10’000: validation + direction
- au-delà de CHF 25’000: validation + direction + second signataire (principe des 4 yeux)
Workflow ventes: oui, ça compte aussi pour le contrôle interne
On parle factures fournisseurs, mais le réviseur regarde aussi le cycle ventes:
- qui peut créer un client?
- qui peut modifier une facture de vente?
- qui peut accorder un avoir?
Un avoir non contrôlé, c’est une remise déguisée. Ou pire.
Bon réflexe:
- avoirs soumis à validation,
- conditions de paiement et limites de crédit contrôlées,
- verrouillage des factures postées.
Étape par étape — mettre un workflow de validation propre dans Odoo (version PME)
- Cartographiez vos flux réels (pas ceux du manuel): qui demande, qui commande, qui réceptionne, qui valide, qui paie.
- Définissez 2–3 seuils (ex: CHF 2’000 / 10’000 / 25’000) et qui valide à chaque niveau.
- Séparez “saisie” et “validation” sur les factures fournisseurs.
- Bloquez la création/modification fournisseurs à un groupe restreint.
- Activez le rapprochement commande/réception/facture quand vous gérez du stock ou des prestations formalisées.
- Formalisez les exceptions: urgences, factures sans commande, abonnements.
- Testez un scénario “fraude simple”: un utilisateur peut-il créer un fournisseur, saisir une facture, la valider et la payer? Si oui, vous avez un trou.
- Documentez en 1 page: rôles, seuils, contrôles. C’est ce document qu’on sort en audit.
Pièces justificatives, gestion documentaire et piste d'audit (conformité, traçabilité, démonstration en audit)
Une facture sans pièce jointe, c’est une facture qui va vous coûter du temps. Et parfois de l’argent.
Le contrôle interne, côté audit, se joue souvent sur la capacité à démontrer:
- la réalité de la prestation,
- l’autorisation,
- la correcte comptabilisation,
- la traçabilité des modifications.
Piste d’audit: ce que ça veut dire dans Odoo
Une piste d’audit exploitable, c’est:
- un document (facture) rattaché à une transaction,
- des étapes datées (création, validation, paiement),
- un auteur identifié,
- des liens vers commande/réception/contrat,
- des logs consultables.
Si vous devez reconstituer l’histoire avec des emails et des captures d’écran, vous perdez.
Gestion documentaire: ce qu’on attend d’une PME “propre”
Pour les factures fournisseurs, on veut retrouver en 30 secondes:
- facture PDF originale,
- bon de commande ou contrat (si applicable),
- preuve de réception ou preuve de prestation,
- validation (qui, quand),
- justificatif de paiement (ordre, extrait bancaire, référence).
Et oui, même pour une facture de CHF 180. Parce que c’est souvent sur les petites factures que les dérives s’installent.
Anecdote terrain: la facture “modifiée” après coup
Cas vu en pratique: une PME genevoise reçoit une facture fournisseur avec une ligne “frais divers”. La compta la passe. Deux mois plus tard, litige. On cherche la facture originale: introuvable. Dans Odoo, la pièce jointe avait été remplacée par une version “corrigée”.
Résultat? Discussion interminable avec le fournisseur, et malaise en audit: vous ne pouvez plus prouver ce qui a été reçu initialement.
Moralité: on évite les remplacements silencieux. On garde les versions, ou on trace clairement les changements.
TVA: pièces justificatives et cohérence des taux
Depuis le 1er janvier 2024, les taux suisses sont:
- 8,1 % (normal)
- 2,6 % (réduit)
- 3,8 % (hébergement)
Sur les factures fournisseurs, le contrôle interne TVA, c’est surtout:
- vérifier que le taux appliqué correspond à la prestation,
- vérifier que le fournisseur est cohérent (numéro TVA si pertinent),
- éviter les codes TVA bricolés.
Une erreur de code TVA répétée sur 12 mois, ça finit en correction lors du bouclement. Et ça, c’est du temps non facturable pour vous.
Ark Fiduciaire
Besoin d'aide sur ce sujet ?
Nos experts sont à votre disposition pour un accompagnement personnalisé. Premier échange gratuit et sans engagement.
Tableau #1 — ce qu’un dossier “facture fournisseur” doit contenir (version audit)
| Élément | Où dans Odoo | Qui le fournit | Contrôle interne attendu |
|---|---|---|---|
| Facture PDF originale | Pièce jointe sur la facture | Fournisseur / compta | Présente, lisible, non remplacée sans trace |
| Commande / contrat | Lien commande ou pièce jointe | Achats / direction | Cohérence prix/conditions |
| Réception / preuve prestation | Réception stock, feuille d’heures, PV | Opérationnel | Preuve que c’est livré/fait |
| Validation | Statut + log + approbateur | Manager / compta | 4 yeux selon seuil |
| Paiement | Paiement enregistré + référence | Trésorerie | Séparation saisie/paiement |
| Imputation comptable | Écritures / comptes analytiques | Comptabilité | Cohérence avec plan comptable |
Checklist #2 — piste d’audit “factures fournisseurs”
- Chaque facture a son PDF original en pièce jointe
- Les factures sans commande sont taguées et justifiées (exception)
- Les validations sont visibles (approbateur + date)
- Les modifications après validation sont bloquées ou tracées
- Les paiements sont rattachés à la facture (référence bancaire)
- Les codes TVA sont standardisés et revus
- Les avoirs fournisseurs suivent le même niveau de contrôle
Paramétrages à risque et erreurs courantes identifiées dans les PME suisses
On arrive au cœur du sujet: les réglages qui font dérailler un SCI dans Odoo. Ceux qu’on retrouve tout le temps en PME.
Erreur 1: droits “trop larges” sur la comptabilité
Symptôme: plusieurs utilisateurs peuvent poster, modifier, annuler, supprimer.
Correction:
- limitez la publication (posting) à un groupe restreint,
- bloquez la suppression,
- mettez une procédure d’annulation/avoir.
Erreur 2: création de fournisseurs ouverte à trop de monde
Symptôme: l’acheteur crée un fournisseur “vite fait”, sans contrôle, sans coordonnées complètes.
Risque: fournisseur fictif, doublons, paiements au mauvais IBAN.
Correction:
- un groupe “Master data fournisseurs” (1–2 personnes),
- validation interne pour changement d’IBAN,
- contrôle périodique des doublons.
Erreur 3: factures sans commande… et sans justification
Symptôme: 60% des factures passent “directement” en compta.
Risque: dépenses non autorisées, budgets explosés, litiges.
Correction:
- définissez une règle: au-delà de CHF 1’000 (exemple), commande obligatoire,
- exceptions documentées (loyers, assurances, taxes, abonnements).
Erreur 4: modifications après validation (le poison lent)
Symptôme: on valide, puis on change le compte, le montant, la TVA.
Risque: piste d’audit cassée.
Correction:
- verrouillage des écritures postées,
- corrections par écritures d’ajustement, pas par réécriture.
Erreur 5: paiements “en vrac” sans lien clair aux factures
Symptôme: paiements groupés, références manquantes, rapprochement bancaire fait à la main.
Risque: paiements en double, factures impayées qui passent sous le radar.
Correction:
- discipline de référence,
- rapprochement bancaire régulier,
- séparation préparation/validation paiement.
Erreur 6: journal TVA et codes TVA bricolés
Symptôme: un code TVA “temporaire” devient permanent.
Risque: erreurs de décompte, corrections, discussions inutiles.
Correction:
- 3–5 codes TVA standard,
- revue trimestrielle,
- contrôle ciblé sur les fournisseurs “sensibles” (restauration, hébergement, prestations mixtes).
Tableau #2 — matrice simple “rôle vs action” (PME 10–50 employés)
| Action | Achats | Opérationnel | Comptabilité | Trésorerie | Direction |
|---|---|---|---|---|---|
| Créer une demande d’achat | Oui | Oui | Non | Non | Oui |
| Valider une commande > CHF 10’000 | Non | Non | Non | Non | Oui |
| Réceptionner (preuve) | Oui | Oui | Non | Non | Non |
| Encoder facture fournisseur | Non | Non | Oui | Non | Non |
| Valider facture fournisseur | Non | Oui (métier) | Oui (compta) | Non | Oui (seuil) |
| Préparer paiement | Non | Non | Non | Oui | Non |
| Libérer paiement (2e validation) | Non | Non | Non | Non | Oui |
| Modifier IBAN fournisseur | Non | Non | Oui (restreint) | Non | Oui (contrôle) |
Cas pratique chiffré (Genève): sécuriser 1’200 factures fournisseurs/an dans Odoo
PME type: société de services à Genève, 25 employés, 1’200 factures fournisseurs/an, 2 entités (GE + VD), pas d’audit ordinaire aujourd’hui mais exigence bancaire.
Problème initial (vu 100 fois):
- 4 utilisateurs avec droits compta étendus,
- pas de seuils de validation,
- 35% des factures sans pièce jointe,
- paiements préparés et validés par la même personne,
- fournisseurs en doublon (ex: “ABC SA” et “A.B.C. SA”).
Mise en place (6 semaines, sans refaire tout l’ERP):
- Rôles séparés: saisie facture (2 personnes), validation compta (1), validation métier (chefs de service), paiements (1) + libération direction.
- Seuils: CHF 2’000 (chef de service), CHF 10’000 (direction), CHF 25’000 (double signature direction).
- Règle: facture > CHF 1’000 sans commande = exception justifiée + validation direction.
- Pièces: obligation de PDF avant validation.
Résultat mesurable sur 3 mois:
- Factures sans pièce jointe: de 35% à 3%.
- Paiements en double: 2 cas/trim → 0.
- Temps de bouclement fournisseurs (fin de mois): -6 heures.
- Litiges fournisseurs: baisse nette, parce qu’on retrouve commande/réception.
Coût caché évité (très concret):
- 6 heures/mois de bouclement économisées x CHF 120/h (coût interne chargé) = CHF 720/mois, soit CHF 8’640/an.
- Sans compter les erreurs de paiement et le stress.
Contrôles périodiques: ce que je recommande en 2026 (simple, tenable)
Un SCI qui marche, c’est un SCI qu’on tient dans la durée. Donc on évite les usines à gaz.
Revue mensuelle (30–45 minutes)
- Liste des factures validées sans commande (et justification)
- Top 10 des fournisseurs par montant
- Factures modifiées après validation (si autorisé)
- Paiements sortis sans facture liée
Revue trimestrielle (1–2 heures)
- Revue des accès utilisateurs (entrées/sorties)
- Revue des modifications d’IBAN
- Revue des codes TVA utilisés (anomalies)
- Doublons fournisseurs
Revue annuelle (avant bouclement)
- Test “fraude simple” (scénario)
- Contrôle des séquences de numérotation (factures, écritures)
- Vérification des pièces justificatives sur un échantillon
Documentation SCI: le minimum qui vous sauve en audit
On ne parle pas d’un classeur de 200 pages.
Ce qu’on veut:
- une page “qui fait quoi” (rôles),
- une page “seuils et validations”,
- une page “exceptions et traitement”,
- une page “revues périodiques”.
Et vous gardez les preuves: exports, logs, rapports Odoo.
Pour les exigences SCI et l’approche PME, vous pouvez vous appuyer sur les bases officielles. (source: Système de contrôle interne : exigences suisses PME & audit) et sur des guides de mise en place. (source: Guide pratique de mise en place d’un SCI (OFAS))
Erreurs fréquentes + corrections (version sans langue de bois)
“On est trop petits pour séparer les tâches”
Faux. Même à 5 personnes, vous pouvez séparer au moins:
- saisie vs validation,
- préparation paiement vs libération.
“Le directeur doit avoir tous les droits”
Non. Le directeur doit pouvoir superviser, valider, arbitrer. Pas forcément modifier des écritures postées.
“On verra ça au moment de l’audit”
Mauvaise idée. En audit, on ne “met pas en place”. On démontre.
“On a les PDFs sur un serveur, pas besoin dans Odoo”
Vous pouvez, mais vous perdez la recherche et la cohérence. En contrôle, on veut le document au bon endroit, rattaché à la transaction.
“Les validations ralentissent”
Oui, un peu. Mais elles évitent les erreurs qui ralentissent beaucoup plus. Et elles protègent la direction.
FAQ : Odoo contrôle interne – obligations légales, meilleures pratiques, cas d'application, erreurs typiques
1) Est-ce que le contrôle interne est obligatoire pour une Sàrl ou une SA à Genève?
Oui, au sens organisationnel: la direction doit organiser la société et tenir une comptabilité fiable. Si vous êtes soumis à audit ordinaire, le SCI devient un sujet formel et testé. (source: Bases légales, organisation du CA et rapport de gestion (CO, Fedlex))
2) Odoo suffit-il comme “preuve” en cas d’audit?
Odoo aide beaucoup si les droits, validations et pièces justificatives sont bien gérés. Sinon, Odoo devient juste un outil de saisie, et vous devez prouver ailleurs.
3) Quelle séparation des tâches minimale sur les factures fournisseurs?
À notre avis: une personne saisit, une autre valide, et le paiement est libéré par une seconde personne (direction ou co-signataire). Si vous n’avez pas assez de monde, vous compensez par des contrôles périodiques documentés.
4) Peut-on garder des comptes utilisateurs partagés pour “aller plus vite”?
Techniquement oui. En contrôle interne, c’est une très mauvaise idée: vous perdez l’attribution des actions. Le jour où il y a un problème, personne ne peut trancher.
5) Quels taux TVA faut-il paramétrer et contrôler en 2026?
Les taux suisses applicables sont 8,1 % (normal), 2,6 % (réduit) et 3,8 % (hébergement). Le contrôle interne consiste surtout à éviter les codes TVA incohérents et à documenter les exceptions.
6) Quelles sont les erreurs Odoo les plus pénalisantes en audit?
Les trois qui reviennent: droits trop larges (tout le monde peut tout faire), factures sans pièces justificatives rattachées, et modifications après validation sans trace claire. C’est exactement ce qui casse la piste d’audit.