AMRAE Référentiel COSO 2013 sur le contrôle interne

6 mai 2014

Sommaire

Préambule………………………………………………………………………………………………………… 2

Introduction sur la mise à jour du référentiel COSO..…………………………………………… 4

Une opportunité pour porter un regard « neuf » sur les dispositifs de contrôle interne ………………………………………………………………… 10

PwC 1

Préambule Articulation entre ERM et CI selon COSO

• Le contrôle interne est un des dispositifs mis en place par l’entreprise pour maîtriser les risques de l’entreprise.

• Le contrôle interne traite les risques en lien avec le fonctionnement de l’entreprise et l’exécution des processus / activités :

– Réalisation et optimisation des opérations,

– Fiabilité des informations financières,

– Conformités aux lois et réglementations en vigueur.

• Le risk management traite l’ensemble des risques de l’entreprise en lien avec l’atteinte des objectifs de l’entreprise :

– Y compris les risques de fonctionnement et d’exécution des processus,

– Incluant les risques stratégiques et les opportunités.

• Le COSO ERM développe aussi des concepts spécifique au management des risques tels que l’appétence aux risques et la tolérance.

PwC 2

Préambule Pourquoi s’interesser au référentiel COSO CI ?

Certains des constats des entreprises sur leur dispositif de contrôle interne sont aussi applicables aux dispositifs ERM

“Processus “administratif” sans grande valeur ajoutée pour le management”

“Système figé”

PwC 3

“Beaucoup de systèmes redondants”

Introduction sur la mise à jour du référentiel COSO

Guide d’application

Approches et exemples

pour le reporting financier

Référentiel COSO1 sur le contrôle interne Mise à jour

COSO a publié le 14 mai 2013 la mise à jour du référentiel de sur le contrôle interne dit COSO I.

La version française sera disponible au 1er trimestre 2014

PwC a été mandaté par le Conseil d’Administration du COSO pour coordonner la mise à jour du référentiel et rédiger la nouvelle version.

PwC et l’IFACI assurent conjointement la traduction en langue française du référentiel.

1Committee of Sponsoring Organizations of the Treadway Commission. The

COSO is a joint initiative of five private sector organizations, established in the

United States, dedicated to providing thought leadership to executive

management and governance entities on critical aspects of organizational

governance, business ethics, internal control, enterprise risk management, fraud,

and financial reporting.

PwC

Guide d’application

Exemples d’outils

d’évaluation

Cadre de référence

“…COSO recently released its updated internal control framework, which is intended to provide more comprehensive and relevant conceptual and practical guidance by focusing on 17 principles to help management focus on important aspects of the components of internal control.”

Remarks at the 32nd Annual SEC and Financial Reporting Institute Conference Paul Beswick Chief Accountant, Office of the Chief Accountant U.S. Securities and Exchange Commission Pasadena, California May 30, 2013

5

« A more comprehensive … guidance »

Architecture des documents

5 Composantes 17 Principes 85 Points d’attention

illustratifs Approches Exemples

Environnement de contrôle

Principes 1 à 5 20 points d’attention … …

Evaluation des risques

Principe 6: Définir des objectifs appropriés

Principe 7: …

Principe 8: …

Principe 9: …

25 points d’attention dont les suivants pour le Principe 6:

• Respecte les normes comptables applicables

• Tient compte de la matérialité

• Dispose d'un reporting reflétant les activités de l'entité

Identifier les critères de qualité dans les états financiers

Définir les objectifs en matière de reporting financier

Déterminer la matérialité

Revoir et mettre à jour la compréhension des normes applicables

Prendre en compte les domaines d'activité de l'entité

Établir des liens entre les comptes, les critères de qualité et les risques

Évaluer la pertinence des objectifs fixés

Déterminer la matérialité pour les états financiers d'une société non cotée

Revoir et mettre à jour la compréhension des normes applicables

Prendre en compte l'étendue des activités d'évaluation

…

Activités de contrôle

Principes 10 à 12 16 points d’attention … …

Information et communication

Principes 13 à 15 14 points d’attention … …

Pilotage Principes 16 et 17 10 points d’attention … …

Cadre de référence

Guide d’application au domaine comptable et financier

PwC 6

« A more comprehensive … guidance »

Ce qui ne change pas... Ce qui change ou évolue...

• La définition du contrôle interne et sa structuration autour de 5 composantes

• Le besoin d’évaluer l’efficacité du contrôle interne et le cas échéant d’identifier les besoins de renforcement et d’y remédier

L’élargissement du domaine d’application au-delà du reporting financier (qualité, RSE…)

Le renforcement des attentes (rôles des comités, alignement avec le business model…) en matière de gouvernance

L’articulation explicite des 3 ‘lignes de défense’ dans l’entreprise (management, fonctions support, audit interne)

Le besoin de mettre en place un « succession planning » pour les collaborateurs clés au contrôle interne

Le rapprochement risques / performance / rémunération

La cohérence du ‘tone at the top’ avec les comportements à travers l’entreprise (‘tone in the middle’)

La meilleure utilisation des fonctionnalités des systèmes d’information pour développer des contrôles automatiques

La prise en compte des sous-traitants / autres intervenants clés

L’adaptabilité et l’adéquation du dispositif par rapport à l’évolution de l’entreprise (processus, rôles, structures, SI, CSP, périmètre d’activité…)

Le besoin de démontrer l’efficacité de la mise en œuvre des 17 principes

7 PwC

Entrée en vigueur

• Le COSO laissera à disposition les deux éditions, celle de 1992 et celle de 2013, jusqu’au 15 décembre 2014.

• A partir de cette date, l’édition de 1992 sera officiellement remplacée par sa mise à jour de 2013.

PwC

“I understand that COSO intends to supersede their 1992 Framework as of December 15, 2014, and we expect there will be questions about whether the SEC will provide management with any transition or implementation guidance to change from the existing framework to the new framework. COSO has publicly stated its belief that “users should transition their applications and related documentation to the updated Framework as soon as is feasible under their particular circumstances” and that “the key concepts and principles embedded in the original framework are fundamentally sound and broadly accepted in the marketplace, and accordingly, continued use of the 1992 framework during the transition period (May 14, 2013 to December 15, 2014) is acceptable.” COSO further explained “the COSO Board’s goal in updating the original Framework has been to reflect changes in the business and operating environments, to formalize more explicitly the principles embedded in the original framework that facilitate development of effective internal control and assessment of its effectiveness, and to increase the ease of use when applied to an entity objective.” SEC staff plans to monitor the transition for issuers using the 1992 framework to evaluate whether and if any staff or Commission actions become necessary or appropriate at some point in the future. However, at this time, I’ll simply refer users of the COSO framework to the statements COSO has made about their new framework and their thoughts about transition. “ Remarks at the 32nd Annual SEC and Financial Reporting Institute Conference Paul Beswick Chief Accountant, Office of the Chief Accountant U.S. Securities and Exchange Commission Pasadena, California May 30, 2013

8

PwC 9

Une opportunité pour porter un regard « neuf » sur les dispositifs de contrôle interne

« Focusing on the 17 principles … help management focus on important aspects of the components of IC »

Environnement de contrôle

L'organisation manifeste son engagement en faveur de l'intégrité et

de valeurs éthiques.

Le Conseil fait preuve d'indépendance vis-à-vis du management. Il

surveille la mise en place et le bon fonctionnement du dispositif de

contrôle interne.

Le management, agissant sous la surveillance du Conseil, définit les

structures, les rattachements, ainsi que les pouvoirs et les

responsabilités appropriés pour atteindre les objectifs.

L'organisation manifeste son engagement à attirer, former et fidéliser

des collaborateurs compétents conformément aux objectifs.

Afin d’atteindre ses objectifs, l’organisation instaure pour chacun un

devoir de rendre compte de ses responsabilités en matière de

contrôle interne.

Evaluation des risques

L'organisation définit des objectifs de façon suffisamment claire pour

rendre possible l'identification et l'évaluation des risques susceptibles

d’affecter leur réalisation.

L'organisation identifie les risques associés à la réalisation de ses

objectifs dans l'ensemble de son périmètre et procède à leur analyse

de façon à déterminer comment ils doivent être gérés.

L'organisation intègre le risque de fraude dans son évaluation des

risques susceptibles de compromettre la réalisation des objectifs.

L'organisation identifie et évalue les changements qui pourraient avoir

un impact significatif sur le système de contrôle interne.

Activités de contrôle

L'organisation sélectionne et développe les activités de contrôle qui

contribuent à ramener à des niveaux acceptables les risques

associés à la réalisation des objectifs.

L'organisation sélectionne et développe des contrôles généraux

informatiques pour faciliter la réalisation des objectifs.

L'organisation met en place les activités de contrôle par le biais de

règles qui précisent les objectifs poursuivis, et de procédures qui

mettent en œuvre ces règles.

Information & communication

L'organisation obtient ou génère, et utilise, des informations

pertinentes et fiables pour faciliter le fonctionnement des autres

composantes du contrôle interne.

L'organisation communique en interne les informations nécessaires

au bon fonctionnement des autres composantes du contrôle interne,

notamment en matière d'objectifs et de responsabilités associés au

contrôle interne.

L'organisation communique avec les tiers sur les points qui affectent

le fonctionnement des autres composantes du contrôle interne.

Activités de pilotage

L'organisation sélectionne, développe et réalise des évaluations

continues et/ou ponctuelles afin de vérifier si les composantes du

contrôle interne sont mise en place et fonctionnent.

L'organisation évalue et communique les faiblesses de contrôle

interne en temps voulu aux parties chargées de prendre des mesures

correctives, notamment à la direction générale et au Conseil, selon le

cas.

Remarks at the 32nd Annual SEC and Financial Reporting Institute Conference Paul Beswick, Chief Accountant, Office of the Chief Accountant U.S. Securities and Exchange Commission Pasadena, California, May 30, 2013

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

PwC 11

Quelques illustrations pratiques

Environnement de contrôle

L'organisation manifeste son engagement en faveur de l'intégrité et de valeurs éthiques.

Afin d’atteindre ses objectifs, l’organisation instaure pour chacun un devoir de rendre compte de

ses responsabilités en matière de contrôle interne.

Evaluation des risques

L'organisation identifie les risques associés à la réalisation de ses objectifs dans l'ensemble de son

périmètre et procède à leur analyse de façon à déterminer comment ils doivent être gérés.

L'organisation intègre le risque de fraude dans son évaluation des risques susceptibles de

compromettre la réalisation des objectifs.

L'organisation identifie et évalue les changements qui pourraient avoir un impact significatif sur le

système de contrôle interne.

Activités de contrôle

L'organisation sélectionne et développe les activités de contrôle qui contribuent à ramener à des

niveaux acceptables les risques associés à la réalisation des objectifs.

Information & communication

L'organisation obtient ou génère, et utilise, des informations pertinentes et fiables pour faciliter le

fonctionnement des autres composantes du contrôle interne.

Activités de pilotage

L'organisation évalue et communique les faiblesses de contrôle interne en temps voulu aux parties

chargées de prendre des mesures correctives, notamment à la direction générale et au Conseil,

selon le cas.

1

5

7

8

9

10

13

17

Zoom 1. Comment s’assurer de la complétude de l’évaluation des risques? Prendre en compte les risques émergents et les risques de fraude

Zoom 2. Comment s’assurer de la bonne remontée d’information / d’alertes? Trois lignes de défense / maîtrise

Zoom 3. Comment responsabiliser chacun pour le bon fonctionnement du contrôle interne? Une problématique liée au pilotage de la performance

Environnement de contrôle

Le management, agissant sous la surveillance du Conseil, définit les structures, les rattachements,

ainsi que les pouvoirs et les responsabilités appropriés pour atteindre les objectifs. 3

Activités de pilotage

L'organisation sélectionne, développe et réalise des évaluations continues et/ou ponctuelles afin

de vérifier si les composantes du contrôle interne sont mise en place et fonctionnent. 16

PwC 12

Zoom1 : Analyse des risques Prendre en compte les risques induit par l’évolution de la stratégie, risques émergents et les risques de fraude Exemple : le risque de fraude (1/2)

L’incitation / la pression L’intérêt personnel est souvent un facteur de fraude , mais la principale motivation est souvent la pression de la hiérarchie ou le désir d'aider au succès de l’entreprise.

L’opportunité Les opportunités naissent naturellement du fait que l’environnement et les entreprise changent, évoluent avec le temps. Ces changements donnent systématiquement lieu à des failles dans le dispositif de contrôle interne lorsque l’organisation interne de l’entreprise n’est pas bien alignée aux changements en question. Exemple : avec la crise, la tendance est de réduire les effectifs, entrainant moins de séparation des tâches qui est un élément clé du contrôle anti-fraude. Dans ces circonstances, les freins et contrepoids initialement mis en place sont affaiblis et créent des opportunités pour la fraude.

Les comportements et justifications Les actes frauduleux sont toujours justifiés… • « Tout le monde paie des pots de vin pour réaliser des ventes dans ce

pays, il n'y a pas d'autre moyen. » • « Si les banquiers peuvent obtenir des millions d’euros de bonus,

pourquoi ne puis-je pas en avoir une part? » • La « comptabilité créative »ce n'est pas de la fraude, c’est juste adapter

un peu les règles ». • «J'ai reçu moins de bonus que ceux de ma promotion , alors je compense

un peu par l'intermédiaire des notes de frais ».

Incitation/Pression

Comportement/ Justification Opportunité

! Risque de

Fraude

Le triangle de la fraude

PwC 13

Zoom1 : Analyse des risques Exemple : le risque de fraude (2/2)

Autant que certains pays présentent des relais de croissance commerciale importants, les normes et pratiques commerciales peuvent être divergentes des attentes règlementaires internationales, et les enjeux de conformité et les risques se complexifient…

Processus / Domaine

Exemple d’analyse Finalité Recherche

F GF DO DCI RA

Achats Recherche de

doublons de factures fournisseurs

Vérification de l’existence des transactions et

de la bonne évaluation du

stock

Vente Recherche de prix inhabituels ou de

réductions suspectes

Vérification du processus de

validation des réductions

Inventaire / production

Recherche des pièces/matières avec coûts inhabituels ou

négatifs

Vérification de la bonne évaluation

des stocks

Inventaire / production

Recherche des pièces/matières avec coûts inhabituels ou

négatifs

Vérification de la bonne évaluation

des stocks

Gestion de la paie

Recherche de salariés fictifs (présents dans

le système de paie mais pas dans le

système RH)

Vérification de l’existence des

salariés

Légende: F : Fraude – GF : Gains Financiers – DO : Dysfonctionnement Opérationnel DCI : Dysfonctionnement du Contrôle Interne – RA : Qualifier les Risques et Augmenter l’Assurance

Company X – Top ten emerging risks Illustrative controls evaluated for effectiveness in relation to fraud risks

PwC 14

Zoom 2: Suivi des risques et du contrôle / remontée d’information / d’alertes Trois lignes de défense / maîtrise

• Articulation entre les trois lignes de défense / maîtrise (réalisation des contrôles, testing)

• Articulation au sein des fonctions support et en particulier entre la gestion des risques, le contrôle interne, la conformité et la qualité (suivi, reporting)

• Niveau d’assurance obtenu (profondeur d’analyse, analyse transverse)

Source: IFACI

PwC 15

Zoom 3: Responsabiliser chacun pour le bon fonctionnement du contrôle interne Une problématique liée au pilotage de la performance

PwC 16

Zoom 3: Responsabiliser chacun pour le bon fonctionnement du contrôle interne Des bonnes pratiques pour faire une meilleure appréciation et appréhension des risques

PwC 17

Tendances depuis 1 an ?

Actions engagées depuis un an

Les entreprises qui annoncent dans le Rapport du Président du le contrôle Interne utiliser le référentiel COSO ont en général analysé l’application des 17 principes.

Les principales actions qui en découlent sont :

• Réflexions sur l’élargissement du CI aux processus opérationnels,

• Travail sur le renforcement des compétences et des “soft skills” des correspondants / animateurs du contrôle interne,

• “Rebouclage” managérial vers le middle management avec les résultats des contrôles et l’identification de pistes d’amélioration du fonctionnement des activités,

• Réflexion sur l’ergonomie des outils utilisés (méthodologiques, SI),

• Automatisation des contrôles,

• Clarification des rôles autour des 3 lignes de maîtrise.

PwC 19

Les informations fournies dans la présente publication ont un caractère exclusivement général, et ne

peuvent en aucun cas être assimilées à une prestation de conseil. Aussi, elles ne peuvent être utilisées

comme un substitut à une consultation rendue par un professionnel compétent pour vous fournir un

conseil adapté à votre situation. Nous ne fournissons aucune garantie (expresse ou implicite) en ce qui

concerne l'exactitude et l'exhaustivité des informations contenues dans cette publication. En tout état de

cause, la responsabilité des entités membres du réseau PwC ou de leur personnel ne pourra en aucun

cas être engagée du fait ou à la suite d'une décision prise sur la base des informations contenues dans

cette publication.

© 2014 PricewaterhouseCoopers France. Tous droits réservés. Dans ce document, "PwC" fait référence

à PricewaterhouseCoopers France une entité membre de PricewaterhouseCoopers International Limited,

dont chaque entité membre est une personne morale indépendante.