Embed Size (px)
Citation preview
La Revue / Décembre 08
(08)
Introduction
Le contrôle interne et plus géné-ralement la maîtrise des risques
sont devenus au cours des dernièresannées des sujets parmi les préoccu-pations majeures des entreprises etde leurs dirigeants. De nombreuxpays ont, à l’instar des États-Unis etde la loi Sarbanes-Oxley, promulguédes lois visant à préciser les obliga-tions des dirigeants en matière decontrôle interne conduisant de factoà normer les démarches d’apprécia-tion de l’efficacité des dispositifs decontrôle interne mis en place par lesentreprises. Si le régulateur améri-cain, dans le but de restaurer laconfiance dans ses marchés finan-ciers, a choisi d’être directif et focalisésur l’information financière, d’autrespays comme la France ont opté pourune démarche différente, plus largedans son périmètre d’application (au-delà de l’information financière) etoffrant une plus grande latitudequant aux démarches à adopter pour
la mise en conformité. Ainsi dès 2001la Loi de Sécurité Financière (LSF) aimposé aux présidents des conseilsd’administration (ou de surveillance)des sociétés anonymes faisant appelà l’épargne de rendre compte desprocédures de contrôle interne. Cetteloi ne fournissant aucune indicationquant au référentiel auquel les entre-prises doivent se conformer, l’Auto-rité des Marchés Financiers (AMF) asouhaité les aider en définissant unqui leur permette de développer etde piloter leur dispositif de contrôleinterne. Depuis janvier 2007 l’AMFrecommande par conséquent aux
entreprises françaises soumises à laLSF l’utilisation du cadre de référencequ’elle propose.
Il nous a semblé utile, un an aprèsl’entrée en vigueur de cette recom-mandation, d’analyser la manièredont les entreprises françaises évo-luent dans leur démarche de mise enœuvre de leurs dispositifs de contrôleinterne et de maîtrise des risques et
comment elles ont commencé àadopter le cadre de référence del’AMF. Nous avons ainsi conduit l’ana-lyse du contenu des rapports desprésidents des principales entre-prises françaises (CAC 40 et SBF 120)émis au titre de l’année 2007 et publiés jusqu’à fin mai 2008.
Présentation des critèresde l’analyse
L'enquête (1) s’est notamment appuyée sur les critères d’étude
suivants concernant le dispositif decontrôle interne :
• Le référentiel choisi pour définir lesobjectifs du contrôle interne ou la mé-thodologie de l’ensemble du dispositif.
• Les risques traités dans les rap-ports et la manière dont ils sont pré-sentés (risques opérationnels,juridiques, industriels, environne-mentaux, informatiques, d’erreurs oude fraude, financiers).
• Les dispositifs de contrôle internemis en place au sein de la société etleur niveau de formali sation.
• L’organisation du contrôle in-terne, et plus précisément concer-nant les fonctions de pilotage ducontrôle interne et d’audit interne.
• Les systèmes d’information etleur rôle dans le dispositif de contrôleinterne.
• L’évaluation du contrôle interneet les procédures mises en place.
Comment ont évolué les démarches des entreprises françaises en matière de contrôle interne, depuis la publication en2007 du cadre de référence de l’AMF ?
Tendances du contrôle interne en 2007et perspectives
“ ”Jean-Marc TruchiPricewaterhouseCoopers
Associé
Définition du contrôle interne
10 %
35 %
16 %1 %
38 % COSO / AMF
COSO
AMF
AFEP / MEDEF
Définition propre
DossierDossier : Audit
La Revue / Décembre 08
(09)
• Les projets d’amélioration du dispositif de contrôle interne.
L’analyse de ces critères dans les rap-ports des entreprises permet d’ap-précier l’évolution de leurs dispositifsde contrôle interne depuis 12 mois etd’identifier les objectifs qu’elles sefixent pour les prochaines années.
Tendances du contrôle interneen 2007
a) Le référentiel de contrôle interne• Définition du contrôle interne
En 2007, 43 entreprises utilisent la définition d’un référentiel pour décrire le contrôle interne. La défini-tion du référentiel COSO (dont l’utili-sation est notamment imposée par laloi Sarbanes-Oxley) est mentionnéedans 35 % des cas et le cadre de réfé-rence de l’AMF est cité dans 16 % desrapports. 10 % des entreprises reprennent à la fois les objectifs duCOSO et de l’AMF.
Toutefois, le référentiel sur lequel repose la définition énoncée n’estpas toujours explicitement men-tionné. Les autres entreprises (38 %)ont cité une définition du contrôle interne qui leur est propre contre21 % en 2006. Enfin, certains rapportsne mentionnent pas de définition ducontrôle interne.
Il ressort dès lors qu’après un and’existence le cadre de référence del’AMF commence progressivement às’imposer comme un référentiel surlequel les entreprises fondent leurdémarche d’évaluation de leurcontrôle interne.
• Méthodologie d’élaboration ducontrôle interne
Près de 80 % des entreprises préci-sent la méthodologie qu’elles em-ploient pour la mise en place ducontrôle interne. Le COSO et/ou lecadre de référence de l’AMF sontcités dans près de 60 % des rapports.Par ailleurs, 22 % des entreprises sefondent sur un référentiel interne,16 % suivent la trame de référence del’AFEP/MEDEF et 3 % font référence àdes réglementations liées à leurs activités (ex. : règlement CRBF 97-02).
4 entreprises sur 5 mentionnent désormais une méthodologie pourmettre en place le contrôle interne,contre 1 sur 2 en 2006. Cette netteaugmentation traduit égalementl’adoption du cadre de référence parles entreprises. En effet, 33 rapportsmentionnent le cadre de référencede l’AMF en 2007 contre 7 seulementen 2006.
b) Les risques50 % des entreprises énumèrent lesrisques auxquels elles sont soumisesdans le rapport du Président. Pour lesautres, les risques sont présentésdans une autre partie du documentde référence.
Les risques non financiers les pluscités sont :
• les risques opérationnels ou liés àl’activité dans 88 % des cas,
• les risques juridiques dans 88 % descas,
• les risques environnementaux(83 %),
• les risques industriels (74 %),
• les risques informatiques (64 %),
• les risques d’erreur ou de fraude(60 %).
Par rapport à l’année 2006, les entre-prises ont cité plus fréquemment lesrisques d’erreurs et de fraude(+ 25 %), informatiques (+ 24 %) et industriels (+ 19 %), opérationnels(+ 12 %) et environnementaux(+ 5 %). Cependant, les risques juri-diques restent stables.
63 % des entreprises ne mentionnentpas l’existence de comités desrisques. Le pilotage des risques estgénéralement réalisé par les direc-tions du contrôle interne et desrisques, l’audit interne ou encore lecomité d’audit.
• Méthodologie d’élaboration desrisques
44 entreprises mentionnent l’exis-tence d’une cartographie des risques,aussi appelée grille ou matrice desrisques. Sont également évoqués lesaxes d’analyse de la cartographie, lafamille des risques et la méthode decollecte des informations considé-rées pour la construire. Il est à noterque les détails de la méthodologied’élaboration sont plus souvent
Méthodologie employée
11 %
25 %
23 %
16 %
3 %
22 %COSO / AMF
COSO
AMF
AFEP / MEDEF
CRBF 97 -02
Interne
Principaux risques non financiers
63 63 5953
46 42
01020304050607080
Opéra
tionnels
Jurid
ique
s
Enviro
nnem
enta
ux
Indu
strie
ls
Info
rmat
ique
s
D'erre
ur ou
de frau
de
Existe-t-il un comité des risques ?
37 %
63 %
OuiNonmentionné
La Revue / Décembre 08
(10)
développés que dans les rapports de2006. La majeure partie des entre-prises s’inscrit désormais dans unprocessus annuel de mise à jour deleur portefeuille de risques.
• Le risque de fraude
Le risque de fraude occupe une placeplus importante en 2007. Il est désor-mais cité dans 76 % des rapportscontre 35 % en 2006. 81 % des entreprises possèdent une charted’éthique ou de déontologie et 38 %ont mis en place des démarches desensibilisation qui passent notammentpar la formation. 8 entreprises évo-quent l’existence d’un départementanti-fraude contre 1 l’année précé-dente. Parmi ces entreprises, 5 d’entreelles font partie du CAC 40 et 4 ne sontpas soumises à la loi Sarbanes-Oxley.
c) Les dispositifs de contrôle
• Niveau de formalisation decontrôle
Concernant le degré de formalisationdes procédures, plus de 90 % del’échantillon spécifie l’existence, lamise à jour ou l’élaboration de manuels ou de guides de contrôle interne. Cette démarche de formali-sation s’accompagne quasi-systéma-tiquement d’une volonté decommunication aux services concer-nés. Cette tendance reste à un niveauélevé et en légère progression parrapport à 2006.
A contrario, il n’est fait mention d’untableau de bord que dans 4 cas sur10, ce qui représente néanmoins ledouble par rapport à 2006. Ce tableau de bord a pour objectifd’améliorer le pilotage du dispositifde contrôle interne ou des processusde gestion des risques.
Les rapports analysés mentionnentl’existence des documents suivants :
• Charte d’éthique/de déontologie.
• Manuel de procédures comptables.
• Manuels de procédures internes.
• Manuels de contrôle interne.
• Charte d’audit interne.
• Principales procédures financières
En ce qui concerne les procédures relatives à l’élaboration et au traite-ment de l’information financière et
Mécanisme de gestion des risques
44
6962
0
10
20
30
40
50
60
70
80
Cartographie / grille / matrice Identification /inventaire des risques
Utilisation d'une méthodologied'élaboration
Risque de fraude
28
8
64
55
0 10 20 30 40 50 60 70
Formation
Département anti-fraude
Charte d'éthique
Mentionné
Principales procédures financières
68 67
51 47
62
01020304050607080
Élaborationet consolidation
des comptes
Reporting Suivides engagements
hors bilan
Suivi des actifs Contrôle qualitédes infos financières
6459
51
32
46
0
10
20
30
40
50
60
70
80
Charte d'éthique /de déontologie
Manuels deprocédurescomptables
Manuels deprocédures
internes
Charte d'auditinterne
Manuel decontrôle interne
Moyens mis en œuvre pour le contrôle interne
Procédures Générales
62
40
5155
42
0
10
20
30
40
50
60
70
80
Identification et suivides risques
Contrôle juridique Contrôle opérationnel Délégation depouvoir/séparation
des tâches
Plans de repriseou de continuité
Pilotage du contrôle interne
34
18
10
30
2
0
10
20
30
40
Direction Générale Direction ducontrôle interne
Risk Management Comité d'audit Non précisé
La Revue / Décembre 08
(11)
comptable, les entreprises communi-quent le plus souvent sur :
• Les procédures d’élaboration et deconsolidation des comptes.
• Les procédures de reporting.
• Les procédures de suivi des enga-gements hors bilan.
• Les procédures de contrôle de laqualité des informations financièreset comptables.
La qualité des informations finan-cières, associée aux processus de reporting et d’élaboration/consolida-tion des comptes est toujours au cœurdes préoccupations en 2007 (9 entre-prises sur 10, soit en moyenne 10 % deplus que l’année 2006).
• Principales procédures non finan-cières
S’agissant des procédures non finan-cières du contrôle interne, on retrouve :
• les procédures d’identification et desuivi des principaux risques,
• les procédures de contrôle juri-dique (respect des lois et règle-ments),
• les procédures de contrôle opéra-tionnel,
• les procédures de délégation depouvoirs/ séparation des tâches,
• les plans de reprise ou de continuitéd’activité.
Les sociétés inclues dans l’échantillonse sont appliquées à renforcer leurdispositif de contrôle juridique. Désormais, plus de la moitié des entreprises (autant du CAC 40 que duSBF 120) sont préoccupées par lesujet, alors que seul un quart l’étaitune année auparavant.
Les autres points marquants concer-nent les procédures de délégation depouvoirs et les plans de continuitéd’activité, qui ont été cités respecti-vement à 55 et 42 reprises, soit 30 %de plus qu’en 2006.
d) L'organisation du contrôleinterneLe contrôle interne se veut à la dimension des groupes, impliquantles fonctions opérationnelles, commeles fonctions support, les fonctionsdédiées et la Direction Générale.
Le pilotage du contrôle interne estassuré dans la majorité des cas par laDirection Générale, assistée dans50 % des cas par le comité d’audit eten moindre proportion par la direc-tion du contrôle interne ou le RiskManagement.
L’évolution par rapport à 2006 résidedans la volonté d’instaurer des prin-cipes de gouvernance : le pilotage etla mise en œuvre incombaient sou-vent à la direction du contrôle interne. Les tâches de suivi, de pilo-tage et de mise en œuvre sont désormais effectuées par des acteursdistincts.
61 rapports mentionnent l’existenced’une fonction d’audit interne encharge de vérifier le fonctionnementdu dispositif de contrôle interne,d’apprécier l’efficacité des procé-dures de contrôle associées, et de formuler des recommandationsd’amélioration si nécessaire. Cette
fonction est le plus souvent rattachéeà la Direction Générale (38 sociétés), àla direction financière (10 sociétés),ou au comité d’audit (8 sociétés).Dans certains cas, la direction d’auditinterne est rattachée au secrétariatgénéral, ou à la direction des risques.
Les missions d’audit interne suiventle plus souvent un plan d’audit quidécrit le périmètre, le planning et lesobjectifs de la mission d’audit. Il estexaminé pour 46 entreprises par lecomité d’audit. Dans 82 % des cas, lerapport précise que les missionsd’audit interne aboutissent à des recommandations qui font l’objetd’un suivi.
e) Les systèmes d'informationLa majorité des entreprises utilise unintranet pour diffuser l’information relative au contrôle interne. 80 % desentreprises utilisent des progiciels dereporting financier et/ou de consoli-
Entité examinatrice des plans d'audit
Autres (ex. : comitéexécutif…)
3 %
Comité d'audit66 %
Comité des comptes12 %
Comité des compteset direction générale
7 %
Comité d'auditet comité des comptes
12 %
Pilotage du contrôle interne
7 %
15 % 15 %
63 %
10 %13 %
3 %
32 %
0 %
10 %
20 %
30 %
40 %
50 %
60 %
70 %
Direction Générale Direction du contrôleinterne
Risk Management Comité d'auditnon précisé
2005
2006
Systèmes d'information
38
59
59
0 10 20 30 40 50 60 70 80
SI dédié au contrôleinterne
SI pour reporting financier
Intranet pour diffuserl'information
La Revue / Décembre 08
(12)
dation qui permettent aux sociétés derenforcer la qualité et la fiabilité des reportings financiers. Quelques rapports évoquent l’évaluation dessystèmes d’information à travers desaudits informatiques, réalisés par l’audit interne ou des consultants externes.
Les systèmes d’information permet-tent aussi d’intégrer le référentiel decontrôle interne et de documenterles processus opérationnels. Parfois,ils permettent d’auto-évaluer lecontrôle interne, les risques et de suivre des plans d’actions associésaux faiblesses détectées. Notons éga-lement que les directions des systèmes d’information sont rare-ment citées comme des acteurs clésdu contrôle interne.
f) L'évaluation du contrôle internePlus d’un tiers des rapports men-tionne l’évaluation du dispositif decontrôle interne. Néanmoins, peufont mention du résultat de l’évalua-tion et des éventuelles faiblesses tantde conception que d’efficacité opé-rationnelle du contrôle interne. L’uti-lisation de questionnaires d’auto -évaluation s’est répandue en 2007, le
questionnaire d’auto-évaluation estdésormais cité dans plus de 70 % desrapports contre 60 % en 2006.
Les acteurs qui pilotent l’évaluationdu contrôle interne sont principale-ment l’audit interne et les organes dedirection.
g) Les projets d'améliorationdu dispositif de contrôle interne
Les démarches que les entreprisessouhaitent entreprendre pour ren-forcer le dispositif de contrôle internesont le plus souvent les suivantes :
• identifier les risques ou poursuivreleur analyse et leur suivi,
• entreprendre des démarches deformalisation, mise à jour et harmo-nisation des procédures,
• mettre en place ou améliorer leurdispositif d’évaluation,
• aligner leur système de contrôle interne sur un référentiel (notam-ment le cadre de référence ducontrôle interne publié par l’AMF),
• étendre le périmètre de contrôle interne.
26 entreprises citent d’autres typesde projets tels que la détection defraude ou des démarches d’optimisa-
tion du dispositif de contrôle internedans un objectif de rationalisation dunombre de contrôles. On note enfinde nombreux projets liés aux systèmes d’information tels que desaudits infor matiques de sécurité, desrevues des accès aux systèmes d’information ou la mise en place deplans de reprise d’activité.
Conclusion
Au-delà de la mise en place pro-gressive du cadre de référence de
l’AMF, l’analyse des rapports émis autitre de 2007 met par conséquent enévidence que le contrôle interne conti-nue à se structurer au sein des princi-pales entreprises françaises cotées.Leurs démarches sont de plus en pluscentrées sur leurs risques majeurs etincluent désormais des phases de vérification de l’efficacité opération-nelle des dispositifs mis en place. Couplée au fait que les rôles et res-ponsabilités en matière de pilotage ducontrôle interne et de suivi des risquesse clarifient progressivement et qu’ilsapparaissent comme de réels enjeuxde management, cette évolution sem-ble indiquer que les entreprises acquièrent progressivement une maturité qui leur permet aujourd’huid’envisager d’élargir le champ de leurcontrôle interne vers des aspects plusopérationnels et moins centrés sur l’in-formation financière. La prochaineétape semble en effet résider dansl’utilisation du contrôle interne en tantqu’outil au service du pilotage desrisques opérationnels et d’améliora-tion de l’efficacité des processus. ■
Note :1. L’édition 2007 de l’« Enquête sur les rap-ports du président du conseil relatifs aux dispositifs de contrôle interne » réalisée parPricewaterhouseCoopers est à paraître finjuin 2008.
Utilisation de questionnairespour l'évaluation du contrôle interne
84 %
16 %
Oui
Non
Évaluation du contrôle interne
7
9
57
0 4 0 80
Mise en évidencede points faibles
de contrôle interne
Résultat mentionné
Mentionné dans le rapport
Projets liés au contrôle interne
25
47
38
8
33
26
0 10 20 30 40 50
Alignement du système de contrôle internesur un référentiel
Identification / mise à jour, suivi des risques
Démarches de formalisation, mise à jouret harmonisation des procédures
Extension du périmètre du contrôle interne
Mise en place /amélioration du dispositif d'évaluation
Autres
