Diagnostiquer Dolibarr : contrôle interne Roadmap avec des exemples concrets

Introduction : Pourquoi auditoriter Dolibarr ?

Dolibarr, l’ERP open source plébiscité par les TPE/PME, est bien plus qu’un simple outil de gestion. C’est le cœur battant de vos processus financiers, commerciaux et opérationnels. Un contrôle interne robuste sur Dolibarr n’est pas une option, mais une nécessité pour :

  • Sécuriser vos données et prévenir les fraudes.

  • Garantir la fiabilité de votre reporting financier.

  • Optimiser vos processus et réduire les erreurs.

  • Vous conformer aux exigences légales (PCG, anti-fraude) ou aux standards (ISO 9001).

  • Préparer un audit comptable ou fiscal en toute sérénité.

Cet article vous propose une feuille de route pragmatique pour diagnostiquer et renforcer votre contrôle interne sur Dolibarr, illustrée d’exemples concrets.

Étape 1 : Préparation et Cadrage (Le "Pourquoi" et le "Quoi")

Objectif : Définir le périmètre et les objectifs du diagnostic avant de plonger dans les paramètres.

  1. Impliquer les bonnes personnes : Réunissez le DAF/Responsable financier, le Responsable informatique/administrateur Dolibarr, et les managers opérationnels (ventes, achats, stock).

  2. Identifier les processus critiques :

    • Processus Achats/Ventes : de la proposition commerciale/commande fournisseur à la facture et au règlement.

    • Processus Stocks : réception, inventaire, sorties de stock (surtout si lien avec les ventes/production).

    • Processus Paie/RH (si module utilisé) : saisie des heures, calcul, export banque.

    • Processus Trésorerie : rapprochement bancaire, gestion des encaissements/décaissements.

  3. Définir les risques principaux :

    • Exemple de risque : "Un commercial peut créer une facture cliente et valider un encaissement sans contrôle, permettant un détournement de trésorerie."

Exemple concret de cadrage :
"Nous allons auditer le processus ‘Vente et encaissement’ sur les 6 derniers mois, en nous concentrant sur les risques de facturation fantôme et de reconciliation des paiements. L’objectif est de garantir qu’une facture ne peut être soldée sans être d’abord validée par le service comptabilité."

Étape 2 : Analyse des Contrôles Existants dans Dolibarr

C’est le cœur du diagnostic. Dolibarr dispose de leviers natifs puissants. Examinez-les systématiquement.

A. Contrôles d’Accès et Séparation des Tâches (SoD – Segregation of Duties)

Principe : Une même personne ne doit pas pouvoir, seule, initier, autoriser et enregistrer une opération financière.*

  • Exemple concret 1 – Achats :
    Contrôle à vérifier : Le commercial qui crée une commande fournisseur (Commande fournisseur) peut-il aussi la valider et créer la facture fournisseur (Facture fournisseur) ?
    Diagnostic : Aller dans Accueil > Administration > Utilisateurs/Groupes. Vérifier les droits du groupe "Commercial". Un bon contrôle interdit la validation de commande et la création de facture pour ce groupe.

  • Exemple concret 2 – Ventes :
    Contrôle à vérifier : Le même utilisateur peut-il créer une facture client (Facture client), la valider, et ensuite enregistrer un paiement (Paiement) sur cette facture ?
    Diagnostic : Dans Configuration > Droits des utilisateurs, vérifier les permissions sur les objets Factures, Paiements. La validation de facture (write, create) et la création de paiement (create) doivent être réservées à des profils différents (ex:Commercial vs Comptable).

B. Contrôles de Validité et de Cohérence des Données

Principe : Le système doit empêcher ou alerter sur les incohérences.*

  • Exemple concret 1 – Stocks :
    Contrôle à vérifier : Lors de la création d’une facture client à partir d’une commande, le système vérifie-t-il le stock disponible ?
    Diagnostic : Dans Configuration > Modules, vérifier le paramètre du module Stock : "Vérifier la disponibilité du stock lors de la création de document ?" Doit être activé.

  • Exemple concret 2 – Prix :
    Contrôle à vérifier : Un utilisateur peut-il modifier le prix d’une ligne sur une facture validée ? (Ce qui fausse la marge historique).
    Diagnostic : Une facture validée (Validée) doit être en lecture seule. Vérifier qu’aucun droit update n’est accordé sur les factures en état "Validée".

C. Traçabilité et Journalisation (Audit Trail)

Principe : Qui a fait quoi et quand ? Toute modification sensible doit être logs.*

  • Exemple concret :
    Contrôle à vérifier : Qui a modifié le compte bancaire d’un tiers (Société) ou supprimé une facture ?
    Diagnostic : Aller dans Accueil > Administration > Journaux. Vérifier que le "Journal des modifications" (Action logger) est activé (Configuration > Modules > Action logger). Des événements comme COMPANY_MODIFY, INVOICE_DELETE doivent y figurer avec l’utilisateur et la date.

D. Contrôles de Rapprochement et de Clôture

Principe : Les données doivent être cohérentes entre modules et périodes.*

  • Exemple concret 1 – Rapprochement bancaire :
    Contrôle à vérifier : Les paiements importés via le module Banque sont-ils automatiquement proposés pour être rapprochés avec les factures en attente ? Le rapprochement manuel est-il sécurisé ?
    Diagnostic : Tester un cycle complet d’encaissement. Vérifier la configuration du compte bancaire dans Configuration > Comptes bancaires (case Rapprochement automatique) et les droits sur l’écriture de rapprochement.

  • Exemple concret 2 – Clôture mensuelle :
    Contrôle à vérifier : Empêche-t-on la création/modification de factures sur un exercice clôturé ?
    Diagnostic : Dans Configuration > Configuration générale > Options, vérifier le paramètre "Verrouiller les dates de modification". Une fois une période clôturée (via le module Compta), toute opération hors période doit être bloquée ou nécessiter un droit spécifique.

Étape 3 : Établir la Feuille de Route d’Amélioration (Priorisation)

Transformez vos constats en plan d’action.

Processus / Risque Identifié Contrôle Actuel (Observé) Recommandation (Action dans Dolibarr) Priorité Responsable
Facturation client
Risque : Facture non approuvée, paiement enregistré à tort.		 Commercial a les droits create et validate sur les factures ET create sur les paiements. 1. Créer un groupe "Comptabilité". 2. Lui attribuer le droit de validation des factures (update sur statut draft->validated). 3. Révoquer ce droit aux groupes "Commercial". 4. Donner le droit de création de Paiement uniquement à "Comptabilité". Haute (Critique) Admin Dolibarr + DAF
Gestion des stocks
Risque : Vente de produit hors stock.		 Option "Vérifier stock" désactivée. Activer l’option CONF_USE_STOCK dans Configuration > Modules > Stock. Former les commerciaux à la consultation du stock avant validation de commande. Moyenne Chef de produit / Logistique
Suppression de données
Risque : Dissimulation d’opérations.		 Aucune journalisation des suppressions de factures. 1. Activer le Action logger (si ce n’est déjà fait). 2. Restreindre le droit de delete sur les objets Factures, Commandes à l’admin seul. 3. Mettre en place une revue périodique des logs par le DAF. Haute (Gouvernance) Responsable Sécurité / Admin
Rapprochement bancaire
Risque : Erreurs de imputation, litiges.		 Rapprochement manuel sans contrôle. 1. Former l’équipe comptable à l’utilisation du module de Rapprochement. 2. Mettre en place une règle : tout paiement doit être rattaché à une facture validée (contrôle natif de Dolibarr). 3. Désigner un second contrôleur pour les rapprochements de fin de mois. Moyenne Comptable

Étape 4 : Mise en Œuvre, Formation et Surveillance

  1. Appliquer les changements par phases : Commencez par les priorités hautes (séparation des tâches, journalisation). Testez toujours les nouvelles configurations dans un environnement de pré-production avant la production.

  2. Documenter et former :

    • Rédigez une charte des droits utilisateurs.

    • Formez les utilisateurs aux nouveaux contrôles (ex: "Dorénavant, vous saisissez la commande, mais c’est le service compta qui valide la facture").

  3. Mettre en place une surveillance continue :

    • Revue des logs : Planifiez une revue hebdomadaire/mensuelle du journal des actions critiques par le DAF.

    • Réalisation d’inventaires physiques : Croiser le stock physique avec le stock dans Dolibarr (module Inventaire).

    • Rapports de contrôle : Utilisez les rapports natifs (Comptabilité > Journaux, Ventes > Liste des factures avec filtres) pour détecter les anomalies (factures avec montant zéro, paiements hors facture, etc.).

Conclusion : Dolibarr, un outil de gouvernance

Diagnostiquer le contrôle interne sur Dolibarr n’est pas un projet informatique, mais un projet de gouvernance et de gestion des risques. La roadmap propose une approche systémique :

  1. Cadrer les risques métier.

  2. Auditer les paramètres de sécurité natifs de Dolibarr.

  3. Planifier des actions correctives pragmatiques (souvent une simple configuration).

  4. Institutionnaliser la surveillance via des procédures et des revues régulières.

En investissant dans ce diagnostic, vous transformez Dolibarr d’un simple registre des opérations en un système de contrôle fiable, générant de la confiance, de la sérénité pour les auditeurs, et une meilleure prise de décision basée sur des données intègres. Votre premier contrôle interne ? Commencez par auditer les droits de votre propre compte administrateur…

Publications similaires