These Mba Erwan Musy 2008

Institut International du Management – Ecole nationale d’assurances

Thèse professionnelle

Présentée en vue d’obtenir le MBA Manager d’entreprise spécialisation Assurance

Président du jury : François EWALD, Professeur au Cnam

LE CONTRÔLE INTERNE DANS LES ORGANISMES D’ASSURANCE

Rôle, enjeux et perspectives d’évolution

Erwan MUSY - AGF

Sous la direction de :

Jean-Yves PELISSON Directeur de l’Audit Général Groupe - AGF

Décembre 2007

CNAM/ENASS – MBA Manager d’Entreprise d’Assurance Le contrôle interne dans les organismes d’assurance

1


2

REMERCIEMENTS

Je souhaite avant tout remercier AGF de m’avoir permis de suivre le cursus passionnant du MBA de l’ENASS, qui a été un accompagnement particulièrement opportun de ma récente mobilité professionnelle. Je ferai en sorte de mettre à profit les précieux enseignements. Je souhaite remercier tout particulièrement Jean-Yves PELISSON, qui a spontanément accepté d’être mon tuteur sur ce délicat sujet. Je lui suis reconnaissant de toute la patience, de l’indulgence et de la disponibilité dont il a fait preuve ainsi que pour son indéfectible soutien et les nombreux conseils avisés dans la rédaction de cette thèse. Je remercie également l’ensemble des professionnels qui m’ont particulièrement aidé dans la réflexion sur le sujet du contrôle interne, et notamment :

§ Madame Corinne GOUTHIERE, Directeur des Risques et de la Conformité – CNP Assurances § Monsieur Eric BURLOT, Directeur de l’Audit Interne Groupe – LA MONDIALE

§ Monsieur Elie HARARI, Directeur de l’Audit – AXA France § Monsieur Christophe PAUTET, Responsable de l’Audit Interne – SOGECAP § Monsieur Bénédict AUCOIN, Directeur du Contrôle Permanent – AGF § Monsieur Philippe LEGLISE, Directeur du Pilotage et du Contrôle des Risques – AGF § Monsieur Yves THALASSINOS, Directeur du Contrôle Permanent Métiers PVSF – AGF

J’ai également une pensée pour tous mes collègues qui m’ont apporté leur soutien et leur sympathie pendant cette période. Enfin, merci à l’ensemble de mes proches et à ma petite famille en particulier pour leurs encouragements et leur compréhension dans les moments difficiles. Les prises de position dans cette thèse sont personnelles et ne reflètent pas forcément l’opinion des personnes interrogées. Néanmoins, leurs avis ont largement contribué à ma propre réflexion.


3

SYNTHESE « Le contrôle interne ? … encore un truc bureaucratique ! ». Telle fut la réaction d’un dirigeant d’un groupe d’assurance après lui avoir annoncé le thème de ma thèse. Cette réaction, aussi surprenante soit-elle, illustre pourtant symboliquement l’intérêt même de produire une thèse sur les enjeux du contrôle interne dans les organismes d’assurance. Car si les exigences apportées par les récentes réglementations ont effectivement fait beaucoup parler du sujet, il serait faux de l’assimiler à une simple et nouvelle contrainte bureaucratique imposée aux entreprises. Car en réalité, le contrôle interne est non seulement loin d’être une nouveauté mais il constitue avant tout, une réponse bien concrète à nombre de préoccupations fondamentales propres à la gestion d’entreprise. Conçu dès l’émergence des premières sociétés et économies structurées, comme un simple « mécanisme » organisationnel qui visait à protéger le patrimoine de l’entreprise en limitant les risques d’erreurs et de fraudes comptables, le contrôle interne a depuis considérablement évolué pour devenir un véritable outil de management. Son développement a par ailleurs été extrêmement rapide ces dernières années en raison de l’évolution de la réglementation. Cependant, compte tenu des très nombreux sujets qu’il recouvre, le contrôle interne est incontestablement une source d’ambiguïtés et de confusions, d’ordre conceptuel et sémantique et dont il faut tenir compte si l’on veut faciliter son intégration et éviter, à son égard, les risques d’ignorance ou de rejet. Pour autant, même s’il reste un sujet complexe, l’étude approfondie des multiples approches du contrôle interne permet tout de même d’en donner une définition relativement consensuelle et de bien en identifier les objectifs fondamentaux. C’est ainsi qu’au-delà de la fonction première qui consiste à assurer la fiabilité et la maîtrise des processus d’élaboration de l’information comptable et financière, il apparaît clairement que le contrôle interne intègre également une dimension plus « managériale » et plus « globale », axée sur la maîtrise des activités, et dont la vocation est de permettre à l’entreprise d’atteindre ses objectifs. Dans des environnements devenus de plus en plus complexes, le contrôle interne constitue donc un enjeu majeur qui devrait encore évoluer et se renforcer avec l’émergence récente de problématiques d’entreprise nouvelles telles que la conformité, la gouvernance d’entreprise ou bien encore la gestion des risques. Dès lors, dans ce contexte, quelle peut-être la réponse des entreprises et comment structurer le contrôle interne ? A défaut d’apporter une réponse précise à la question, l’étude des différents concepts académiques permet en tout cas d’identifier les cinq composantes fondamentales d’un dispositif de contrôle interne. De plus, même si tous ont des approches culturelles différentes, ils affichent aussi des positions communes en ce qui concerne le rôle des différents acteurs du contrôle interne. Par ailleurs, l’analyse des contraintes légales et réglementaires, particulièrement nombreuses dans le secteur financier et dans celui de l’assurance notamment, montre que le législateur exige le respect d’un certain nombre de principes de référence et laisse à l’entreprise le soin de les traduire en réelles modalités d’application opérationnelle. Les enjeux étant posés, il est alors logique de chercher à mettre en évidence, dans le domaine spécifique de l’assurance, les grandes orientations réglementaires, conceptuelles et organisationnelles du contrôle interne. L’analyse de la réglementation bancaire, pionnière en la matière, du projet de Directive Solvabilité II et des recommandations émanant des autorités de contrôle laisse ainsi percevoir un renforcement des attentes en matière de gestion des risques, métiers et opérationnels, exacerbant d’autant l’enjeu du contrôle interne. Par ailleurs, l’émergence de certaines fonctions clés telles que la conformité, le contrôle périodique (audit interne) ou bien encore le duo Risk Management/contrôle permanent permet également d’envisager une évolution vers une meilleure structuration des dispositifs de contrôle interne. Il est cependant peu probable que cette dynamique aboutisse à une solution universelle et il reviendra donc à chaque entreprise, en fonction de sa culture et de ses spécificités, de définir la manière dont tous les composants devront s’assembler pour bien fonctionner. Pour autant, la question qui se pose alors est de savoir si les organismes d’assurance se sont suffisamment préparés à ces évolutions…


4

TABLE DES MATIERES

INTRODUCTION ..................................................................................................................................... 7

1ère PARTIE : LE CONTRÔLE INTERNE, NOUVEAU CONCEPT ET VERITABLE ENJEU ? .......................... 9 CHAPITRE 1 - LES ORIGINES DU CONCEPT 10

1.1 Des origines comptables.................................................................................................................................. 10 1.1.1 Le développement de la comptabilité ..................................................................................................... 10 1.1.2 Les premières formes de contrôle interne .............................................................................................. 12

1.2 La complexité de la gestion d’entreprise........................................................................................................ 12 1.2.1 L’obligation de performance ................................................................................................................... 12 1.2.2 Les évolutions technologiques................................................................................................................ 13 1.2.3 Le développement des exigences réglementaires ................................................................................. 14 1.2.4 La complexité croissante des organisations ........................................................................................... 15 1.2.5 La puissance des médias ....................................................................................................................... 15 1.2.6 L’évidente nécessité d’un contrôle des activités..................................................................................... 16

1.3 L’apport de la réglementation.......................................................................................................................... 16 1.4 L’assurance, un secteur particulièrement concerné..................................................................................... 17

1.4.1 Le cycle inversé de production ............................................................................................................... 17 1.4.2 Solvabilité et contrôle prudentiel............................................................................................................. 17 1.4.3 Des exigences supplémentaires en matière de contrôle interne............................................................ 18

CHAPITRE 2 - UN CONCEPT ENCORE OBSCUR 19 2.1 Les ambiguïtés sémantiques ........................................................................................................................... 19

2.1.1 La notion de « contrôle » ........................................................................................................................ 19 2.1.2 La notion de « control » .......................................................................................................................... 19 2.1.3 Contrôle interne ou maîtrise des activités ?............................................................................................ 20

2.2 La confusion avec la fonction Audit ............................................................................................................... 20 2.2.1 Histoire de l’audit .................................................................................................................................... 20 2.2.2 L’Audit interne......................................................................................................................................... 20 2.2.3 Audit interne et contrôle interne.............................................................................................................. 21

2.3 Les limites du concept ..................................................................................................................................... 21 CHAPITRE 3 - UN CONCEPT AUX MULTIPLES FACETTES 23

3.1 Une multitude de définitions............................................................................................................................ 23 3.2 Les objectifs du contrôle interne..................................................................................................................... 25

CHAPITRE 4 - LE CONTROLE INTERNE ET LES NOUVEAUX ENJEUX DE LA GESTION D’ENTREPRISE 27 4.1 Ethique et conformité ....................................................................................................................................... 27

4.1.1 Ethique et comportement responsable ................................................................................................... 27 4.1.2 La problématique de conformité ............................................................................................................. 28

4.2 La gouvernance d’entreprise ........................................................................................................................... 29 4.2.1 L’origine du concept................................................................................................................................ 29 4.2.2 Le développement de la réglementation................................................................................................. 29 4.2.3 Les impacts sur le contrôle interne ......................................................................................................... 31

4.3 La gestion globale des risques........................................................................................................................ 32 4.3.1 Un concept en plein développement ...................................................................................................... 32 4.3.2 Le rôle du contrôle interne ...................................................................................................................... 32

SYNTHESE DE LA PREMIERE PARTIE .......................................................................................................... 34


5

2ème PARTIE : APPROCHES CONCEPTUELLES ET REGLEMENTAIRES DU CONTRÔLE INTERNE........ 36 CHAPITRE 5 - LES CONCEPTS DE REFERENCE 37

5.1 Les référentiels de contrôle interne ................................................................................................................ 37 5.1.1 Le COSO ................................................................................................................................................ 37 5.1.2 Le « Turnbull guidance » ........................................................................................................................ 41 5.1.3 Le cadre de référence défini par le Groupe de Place ............................................................................. 42

5.2 Les acteurs du contrôle interne....................................................................................................................... 43 5.2.1 La Direction générale (ou directoire) ...................................................................................................... 43 5.2.2 Le conseil d’administration ..................................................................................................................... 44 5.2.3 Les comités............................................................................................................................................. 44 5.2.4 Le personnel ........................................................................................................................................... 45 5.2.5 Les auditeurs internes ............................................................................................................................ 45 5.2.6 Les autres acteurs du contrôle interne ................................................................................................... 46

CHAPITRE 6 - LES EXIGENCES REGLEMENTAIRES 47 6.1 Réglementation française ................................................................................................................................ 47

6.1.1 Loi de Sécurité Financière ...................................................................................................................... 47 6.1.2 Réglementation spécifique aux organismes d’assurance....................................................................... 50

6.2 Réglementation européenne............................................................................................................................ 53 6.2.1 Les 4è et 7è Directives comptables ......................................................................................................... 53 6.2.2 La Directive sur la surveillance des groupes d’assurance...................................................................... 55 6.2.3 La Directive sur la surveillance des conglomérats financiers ................................................................. 55

6.3 Réglementation anglo-saxonne....................................................................................................................... 57 6.3.1 Le Foreign Corrupt Practices Act de 1977.............................................................................................. 57 6.3.2 Le « Sarbanes Oxley Act of 2002 » ........................................................................................................ 57 6.3.3 Le « Combined Code on Corporate Governance » britannique ............................................................. 62

6.4 Lutte contre le blanchiment de capitaux et le financement du terrorisme.................................................. 62

SYNTHESE DE LA DEUXIEME PARTIE .......................................................................................................... 64

3ème PARTIE : PERSPECTIVES D’EVOLUTION DU CONTRÔLE INTERNE : QUEL(S) MODELE(S) D’ORGANISATION ? ........................................................................................................................................ 66 CHAPITRE 7 - LES ORIENTATIONS REGLEMENTAIRES POUR LE SECTEUR DES ASSURANCES 67

7.1 L’influence du modèle bancaire ...................................................................................................................... 67 7.1.1 Une préoccupation « ancienne » ............................................................................................................ 67 7.1.2 Des problématiques voisines de celles des assureurs ........................................................................... 68 7.1.3 Le règlement bancaire 97-02.................................................................................................................. 69

7.2 Les recommandations de l’ACAM................................................................................................................... 73 7.2.1 Sur la gouvernance d’entreprise............................................................................................................. 73 7.2.2 Sur le contrôle interne et la conformité ................................................................................................... 73

7.3 Les recommandations de l’AMF...................................................................................................................... 74 7.3.1 La recommandation du 22 janvier 2007 ................................................................................................. 74 7.3.2 Les recommandations du rapport 2006 sur le gouvernement d’entreprise et le contrôle interne........... 75

7.4 Le projet de Directive européenne « Solvabilité II » (Solvency II) ................................................................ 75 7.4.1 Présentation du projet............................................................................................................................. 75 7.4.2 Le pilier I ................................................................................................................................................. 76 7.4.3 Le pilier II ................................................................................................................................................ 77 7.4.4 Le pilier III ............................................................................................................................................... 78


6

CHAPITRE 8 - L’ESSOR DE LA GESTION DES RISQUES 79 8.1 Risk Management et Contrôle Interne, des fonctions complémentaires..................................................... 79

8.1.1 Les nouveaux enjeux de la gestion des risques..................................................................................... 79 8.1.2 Les risques opérationnels, une préoccupation nouvelle......................................................................... 79 8.1.3 Les rôles centraux du Contrôle Interne et du Risk Management............................................................ 80

8.2 La gestion des risques, comment ? ................................................................................................................ 81 8.2.1 Les modèles conceptuels de gestion des risques .................................................................................. 81 8.2.2 L’importance d’une cartographie des risques ......................................................................................... 88 8.2.3 La problématique de la communication sur les risques.......................................................................... 90

CHAPITRE 9 - L’ORGANISATION DU CONTRÔLE INTERNE : MODELE OU METHODE ? 91 9.1 L’émergence de « constituants clés » ............................................................................................................ 91

9.1.1 La conformité .......................................................................................................................................... 91 9.1.2 La Gestion des Risques et le Contrôle Permanent................................................................................. 92 9.1.3 Le Contrôle Périodique ........................................................................................................................... 93

9.2 Le contrôle interne ou « l’art de la composition » ? ...................................................................................... 94 9.2.1 Un motif de base : diptyque ou triptyque ................................................................................................ 94 9.2.2 Un cadre lisible et une gouvernance clairement établie ......................................................................... 95

SYNTHESE DE LA TROISIEME PARTIE ......................................................................................................... 97

CONCLUSION ....................................................................................................................................... 99

ANNEXES ......................................................................................................................................... 102 ANNEXE 1 - LES AUTORITES DE CONTRÔLE .............................................................................................................. 103

1.1 L’Autorité des Marchés Financiers (AMF) .................................................................................................... 103 1.1.1 Présentation de l'Autorité des Marchés Financiers............................................................................... 103 1.1.2 Les compétences de l'Autorité des Marchés Financiers....................................................................... 103

1.2 L’Autorité de Contrôle des Assurances et des Mutuelles (ACAM)............................................................. 105 1.2.1 Le contrôle du respect de la réglementation dans l'intérêt des assurés............................................... 105 1.2.2 Des pouvoirs d'investigation étendus ................................................................................................... 106 1.2.3 La possibilité d'étendre le contrôle à d’autres organismes ................................................................... 106 1.2.4 Autres missions .................................................................................................................................... 107 1.2.5 Organisation ......................................................................................................................................... 107

1.3 La Securities and Exchange Commission (SEC) ......................................................................................... 108 1.3.1 Origine de la SEC ................................................................................................................................. 108 1.3.2 Les six principales lois financières........................................................................................................ 108 1.3.3 Organisation de la SEC ........................................................................................................................ 109

ANNEXE 2 - La Commission bancaire et le Comité de la Réglementation bancaire et financière (CRBF)............. 110 2.1 La Commission bancaire................................................................................................................................ 110 2.2 Le Comité de la Réglementation bancaire et financière (CRBF) ................................................................ 110

PRINCIPALES REFERENCES DOCUMENTAIRES............................................................................ 112


7

INTRODUCTION

e Contrôle Interne fait indiscutablement partie des sujets d’actualité au sein des états-majors d’entreprises, dans les cabinets d’audit et de conseil, et dans le monde économique en général. En effet, rares sont ceux parmi les dirigeants d’entreprise qui n’ont encore jamais entendu parler de

contrôle interne tant les articles de presse, les séminaires ou conférences dédiés à ce sujet ont été particulièrement nombreux ces dernières années. En fait, l’actualité du contrôle interne est essentiellement due aux multiples scandales financiers du début des années 2000. En effet, en réaction aux affaires Enron, Worldcom, Parmalat ou bien encore Vivendi, les législateurs et les régulateurs des marchés financiers n’ont eu de cesse de vouloir restaurer la confiance des investisseurs et du public en général, et ont donc généré tout un ensemble de lois et règlements dont l’objectif principal était d’assurer la transparence sur la réelle santé financière des entreprises. C’est ainsi que sont notamment apparues la loi Sarbanes-Oxley aux Etats-Unis et la loi de Sécurité Financière en France. L’une des conséquences majeures de ces textes a été, outre une réforme en profondeur des dispositifs de contrôle légal des comptes des sociétés, un renforcement des dispositifs de contrôle interne dans les entreprises. En France, les entreprises cotées ont dorénavant l’obligation de produire des rapports annuels décrivant les procédures de contrôle interne mises en place dans leurs organisations et les entreprises cotées à New-York se doivent de disposer d’un dispositif de contrôle interne comptable et financier conforme aux dispositions de la loi Sarbanes-Oxley. Les entreprises d’assurance sont particulièrement visées par ces nouvelles exigences puisqu’un décret datant de mars 2006 et entièrement dédié au contrôle interne est venu renforcer le cadre réglementaire de leurs activités. Par ailleurs, d’autres projets de réglementation sur le sujet sont en cours de développement et devraient concerner cette fois-ci l’ensemble des organismes d’assurance. Cependant, aucune de ces lois et réglementations n’a donné de définition jugée unanimement claire et aisément transposable du contrôle interne, ce qui a déclenché une réflexion profonde chez tous les acteurs concernés : directions d’entreprise, organes de tutelle et de régulation, législateurs, etc. Aussi, aujourd’hui, il faut bien avouer qu’il est assez difficile de se repérer dans les multiples débats d’opinions et de comprendre finalement ce qu’est véritablement le contrôle interne. Pour certains en effet, le contrôle interne, c’est ce qui permet d’assurer la fiabilité des informations comptables et financières et n’a donc d’intérêt que pour rassurer les investisseurs alors que pour d’autres, c’est un système plus global qui permet la maîtrise de l’ensemble des processus de l’entreprise, l’aspect comptable et financier n’en étant qu’une partie. Pour d’autres encore, c’est un dispositif qui permet la maîtrise des risques auxquels sont exposées les entreprises et constitue donc un outil de gestion à part entière. A défaut d’aller dans le même sens, ces multiples débats permettent en tout cas de constater que le sujet ne génère ni le consensus, ni l’unanimité. Mais alors, de quoi parle-t-on ? Qu’est-ce que le contrôle interne et quel est son rôle ? Existe-t-il une véritable définition ? Quels en sont les véritables enjeux, les objectifs et pourquoi un intérêt si soudain pour ce concept ? Le contrôle interne est-il véritablement une nouveauté ? Pourquoi le secteur de l’assurance est-il particulièrement concerné ?

L


8

Par ailleurs, les récentes crises financières ont également fait émerger de nouvelles préoccupations relatives à la gestion d’entreprise. L’éthique, la déontologie, la gouvernance, la conformité ou bien encore la gestion des risques sont autant de sujets qui font dorénavant l’objet d’une attention particulière, aussi bien de la part des législateurs que de la société en général. Dès lors, pour un dirigeant, comment faire face à ces nouvelles attentes et quels sont les enjeux pour le contrôle interne en particulier ? En outre, en admettant que le contrôle interne puisse faire l’objet d’un véritable enjeu et d’une définition consensuelle, toute la problématique pour les entreprises et pour les dirigeants notamment consiste alors à en traduire les grands principes en application concrète au sein de leurs organisations. L’improvisation totale semble à tout le moins risquée sur un concept aussi complexe et mouvant. Alors comment procéder, à quoi se référer ? Quelles sont les composantes de base d’un dispositif de contrôle interne ? De plus, s’il est indéniable que le contrôle interne bénéficie, pour l’heure, d’une législation porteuse, et donc favorable à son développement dans les entreprises, ces exigences réglementaires n’en constituent pas moins des impératifs qu’il convient de systématiquement prendre en compte dans la structuration d’une réponse adaptée aux enjeux. Quelles sont les principales obligations de l’entreprise, des dirigeants, en la matière et comment les intégrer à l’organisation d’un dispositif qui soit complètement adapté à l’entreprise ? Enfin, puisque c’est la législation qui a initié la dynamique sur le contrôle interne, il y a fort à parier que les évolutions majeures prévues à court terme et notamment la prochaine mise en œuvre de la Directive européenne Solvabilité II, auront un impact significatif sur son devenir au sein des entreprises d’assurance. Quelles sont ces perspectives et comment y faire face ? Quels en seraient les impacts sur l’organisation du contrôle interne ? Cette thèse vise donc un double objectif. D’une part, il s’agit d’apporter un éclairage sur le contrôle interne, d’un point de vue conceptuel et organisationnel, et de sensibiliser le lecteur à ses véritables enjeux dans les organismes d’assurance en particulier. D’autre part, il s’agit de tracer les perspectives d’évolution du contrôle interne à court et moyen terme de manière à favoriser la préparation aux grands changements qui se profilent. Ce document a été scindé en trois parties. Dans la première partie, nous nous attacherons à expliquer ce qu’est et ce que recouvre le concept de contrôle interne. Ensuite, dans la deuxième partie, nous chercherons à identifier, à partir de grands principes conceptuels et réglementaires, quelques-unes unes des composantes fondamentales à intégrer dans la structuration d’un dispositif de contrôle interne. Enfin, dans la troisième partie, nous essayerons de définir, à partir de l’étude des probables évolutions législatives et réglementaires, ce que pourraient être les modalités de mise en œuvre d’éventuels composants clés d’un dispositif de contrôle interne au sein des organismes d’assurance.


9

1ère PARTIE

LE CONTRÔLE INTERNE, NOUVEAU CONCEPT ET VERITABLE ENJEU ?


10

CHAPITRE 1 - LES ORIGINES DU CONCEPT

Avant même de chercher à expliquer ce qu’est le contrôle interne et à le situer dans le monde d’aujourd’hui, il est utile de commencer par en rappeler les origines fondatrices et les raisons qui ont amené au développement du concept.

1.1 Des origines comptables Le contrôle interne trouve en réalité ses origines dans l’histoire de la comptabilité, qui remonte à l’Antiquité. « Le développement de la vie sociale, et surtout la formation des Etats et des Royaumes, qui avaient besoin de recueillir des impôts, rendait nécessaire les aptitudes à tenir des comptes et à faire des calculs. Cette nécessité est à l’origine de la science de la comptabilité »1. Les Anciens avaient en effet compris très tôt qu’un bon système d’information était non seulement utile, mais aussi nécessaire à une bonne et saine gestion financière. Mais encore fallait-il s’assurer de l’exactitude des informations… 1.1.1 Le développement de la comptabilité

De l’Antiquité au Moyen Âge « L'histoire commence à Sumer » écrivait Samuel Noah Kramer en 1957 et il est vrai que les Sumériens et les Babyloniens ont été les précurseurs en matière d’écriture comptable. Ainsi, le code d’Hammourabi (Roi de Babylone de 1792 à 1750 av. JC) était plus qu’un recueil de lois commerciales et sociales car il imposait l’obligation d’un plan comptable et d’un manuel de comptabilité, détaillant les procédures de certaines transactions et permettant ainsi d’établir des comptes récapitulatifs et des comparaisons d’une année à l’autre. Les Sumériens développèrent également un système de comptabilité analytique permettant de faire ressortir les bénéfices et les pertes subies dans les diverses transactions car le système de comptabilité générale était un outil de gestion insuffisant. Les Egyptiens, les Phéniciens, les Grecs et les Romains, de par leurs échanges commerciaux, avaient également développé des comptabilités de trésorerie détaillées leur permettant de disposer de véritables systèmes d’information. Ces diverses comptabilités permettaient la réalisation d’opérations complexes (virements directs de fonds de compte à compte en Egypte, tenue de comptes de tiers par les Romains) et leur contrôle a posteriori. Et dès 300 ans av. JC, Athènes disposait de la cour des logistes, chargée du contrôle des comptes publics et le Collège des Euthymes était une organisation de réviseurs qui pratiquait l'audit contradictoire des décisions de la première cour. Moyen Âge et Renaissance La situation politique et économique de la fin de l’empire romain jusqu’aux premiers siècles du Saint Empire Romain Germanique n’a pas permis le développement de systèmes d’organisation financiers et commerciaux. Philippe Auguste donnera naissance à un système primaire de prélèvement central et structuré avec son « Ordonnance de la Taille Fiscale » dont le principe est encore mentionné dans le Code civil français (art. 1333).

1 History of Accounting and Accountants, par Brown.


11

C’est à l’arrivée du règne de Philippe le Bel et ses Légistes, que seront structurées les recettes et les dépenses publiques devenues considérables compte tenu de la guerre contre Edouard Ier d’Angleterre et du train de vie de la cour. L’installation par le roi, de l’Evêque Gascon Bertrand de Got comme Pape à Avignon sous le nom de Clément V en 1305, donnera naissance au principe de la dîme pour satisfaire les nouvelles exigences de ressources. Ce principe fera l’objet de nombreux conflits instruits au Tribunal pontifical de la Rote. Les sentences prononcées ont préfiguré les décisions de l’ordre judiciaire (civil et pénal) et administratif en matière financière dans la plupart des systèmes romano-germaniques. Dès le Moyen Âge, l’Eglise et les administrations royales ou impériales ont exercé une grande influence dans le développement de la comptabilité qui ne se formalisera qu’à la Renaissance sur le principe de la partie double. Les rôles de Charlemagne et de la famille des Médicis ont par ailleurs, été décisifs dans l’histoire de la comptabilité. Le premier y a contribué avec son système d’information à distance (les « missi dominici », littéralement les envoyés du maître) pour la gestion des domaines et propriétés impériales. Les autres, avec leur comptabilité analytique d’exploitation développée dans les grandes villes d’Europe et dans les cités italiennes qui entretenaient un commerce terrestre (Pise, Florence) ou maritime (Gênes, Venise), avaient recours à des enregistrements comptables simples. C’est cependant Frère Luca Pacioli (1445-1517) qui vulgarisa l’utilisation de la technique de comptabilité en partie double dans son ouvrage Summa di Arithmetica Geometrica, proportioni et proportionalita. Les 36 chapitres sur la comptabilité y figurent sous la rubrique De computis et scripturis. L’ouvrage servit de base aux traductions ou adaptations d’auteurs de divers pays. Le XVIème siècle vit ainsi apparaître des livres sur la nouvelle comptabilité en allemand, anglais, espagnol, français et hollandais. Premiers formalismes régaliens et commerciaux Les premières aventures coloniales aboutissent rapidement à la création de sociétés à forme capitalistique évoluée, correspondant à la fois à des investissements durables (2 à 10 ans). L’approche assurantielle maritime (« prêt à la grosse aventure ») va revêtir de nouvelles formes, réellement capitalistiques, du fait de la nouvelle répartition des risques. L’existence de capitaux durablement investis, exigeant un retour sous forme de dividendes, va contribuer, au sein des « compagnies des Indes » anglaises et hollandaises (et accessoirement françaises) à de nouveaux perfectionnements comptables. La « traçabilité » des opérations dans leur transcription comptable reposera désormais sur un découpage par exercice civil. L’éloignement des lieux de transaction conduit à la mise en place de corps de contrôle supposés indépendants. Les succès seront variables mais de cette époque datent les premiers concepts de communication financière, les premières bourses de valeurs à Amsterdam, et l’organisation des Lloyds en 1688. Les fondements modernes Le XIXème siècle fut marqué par les grands progrès technologiques (chemin de fer, électricité, chimie) sans qu’il y ait véritablement une recherche de la performance économique et financière de la part des entreprises. L’épargne nationale n’y trouvera d’ailleurs pas toujours son compte et c’est à la fin du siècle que naissent :

- la première loi sur les sociétés commerciales du 24 juillet 1867, créant, entre autres, le statut des commissaires aux comptes,

- la Société de comptabilité de France, en 1881, qui organise divers diplômes dont celui d’expert-

comptable.


12

1.1.2 Les premières formes de contrôle interne Parallèlement au développement des principes et méthodes comptables, il a fallu mettre en place au fil du temps, un ensemble de moyens et de mesures permettant de garantir la fiabilité des informations et des enregistrements comptables. Ainsi, le contrôle par recoupement (comparaison de l’information provenant de deux sources d’enregistrement indépendantes l’une de l’autre) a été l’un des moyens de vérification comptable les plus utilisés : les Sumériens vérifiaient le nombre de sacs de grain entrés en magasin avec le nombre de sacs livrés par les fermiers et en 1280, le pape Nicolas II exigeait un duplicata des enregistrements des recettes et dépenses de sorte à vérifier l’exactitude du travail de son comptable. Par ailleurs, la division de responsabilités était un principe déjà connu des Romains (les dépenses et les impôts étaient de la responsabilité du Sénat) qui obligeaient également les questeurs à rendre compte des fonds publics et à justifier les soldes au Sénat. Bien qu’essentiellement destinés à prévenir les risques de fraude, ce sont pourtant ces premières formes de contrôle comptable qui ont donné naissance à ce que l’on a appelé beaucoup plus tard, le contrôle interne comptable et financier.

1.2 La complexité de la gestion d’entreprise 1.2.1 L’obligation de performance La performance est une notion clé de la gestion d’entreprise, indispensable à une évolution dans un environnement économique particulièrement concurrentiel. Une société qui n’est pas productive de richesses et qui ne maîtrise pas ses coûts de fonctionnement est inévitablement vouée à disparaître ou à végéter au profit des concurrents. Les entreprises n’ont donc guère le choix : pour se développer, elles doivent être compétitives et vice-versa. Aussi, dans un environnement de haute compétition, la maîtrise de l’ensemble des processus et activités apparaît primordiale pour éviter les pertes inutiles, favoriser l’utilisation efficiente de l’ensemble des ressources à disposition et ainsi développer la compétitivité. Les Médicis l’avaient d’ailleurs bien compris puisqu’au XVème siècle déjà, ils se souciaient de la réduction des coûts et de l’amélioration du rendement et avaient ainsi introduit un contrôle efficace de la quantité de matières premières mises en exploitation à chaque stade de la fabrication dans leur usine de tissage en faisant le rapprochement entre les quantités fournies à chaque poste de travail et les quantités travaillées. Les enjeux fondamentaux de la performance et de la compétitivité ont d’ailleurs été considérablement amplifiés au cours des dernières décennies avec la globalisation de l’environnement économique. En effet, si la compétition n'est pas un phénomène nouveau, sa nature a fondamentalement changé avec l’ouverture des marchés qui a eu pour conséquence d’exposer toutes les entreprises à une concurrence désormais mondialisée et que les frontières ne peuvent (presque) plus atténuer. D’autre part, il faut noter que cette concurrence est non seulement commerciale mais aussi boursière puisque chaque entreprise cotée peut être victime d’un prédateur, surtout lorsque la performance est insuffisante. Aussi, pour être compétitives, les entreprises se sont lancées dans une véritable course à la réduction des coûts, qui a eu pour conséquence de favoriser le recours à la rationalisation des ressources avec par exemple une concentration des moyens de production, à l’externalisation (sous-traitance) ou à la délocalisation de nombre d’activités. Toutes ces stratégies sont cependant porteuses de risques (risques de dépendance et d’interdépendance, risques de qualité de service, risques juridiques, risques liés au contrôle de l’exploitation avec une inversion possible des rapports de forces en faveur d’un prestataire,


13

etc.) qui ne peuvent être supprimés et il est alors nécessaire de trouver des mécanismes permettant de mieux les cerner et de les maîtriser. Enfin, cette concurrence mondialisée a également favorisé l’évolution des comportements sociétaux et aujourd’hui les clients affichent des niveaux d’exigences qui ne permettent plus le moindre écart dans la qualité des produits/services au risque de les voir se tourner rapidement et définitivement vers les concurrents. 1.2.2 Les évolutions technologiques La révolution numérique L’univers technologique a déjà subi deux transformations majeures (la révolution agricole et la révolution industrielle) et connaît actuellement une nouvelle période de mutations importantes avec la révolution numérique, par ailleurs beaucoup plus rapide que les précédentes. Le monde évolue en effet vers plus de complexité et à un rythme accéléré compte tenu de l’utilisation massive des ordinateurs, de leur mise en réseau au niveau mondial et du développement considérable des moyens de communication. Aussi, cette révolution technologique n’est pas sans impact sur le fonctionnement des organisations puisqu’elle a considérablement remis en cause les notions de temps, de distance et de moyens à tel point que l’informatique et les communications constituent aujourd’hui des enjeux stratégiques majeurs pour la très grande majorité des entreprises. Leur dépendance vis-à-vis de l'informatique n'a d’ailleurs cessé de s'accroître au fil des années et l’on constate que 75% des entreprises de plus de 200 salariés interrogées par le Clusif2, se définissent comme fortement dépendantes. De plus et pour autant que les avantages de la révolution numérique soient considérables, il ne faut pas oublier que le développement technologique a également favorisé l’apparition de nouveaux risques qu’il faut désormais gérer. Les risques susceptibles d’engendrer la défaillance ou la destruction d’un des éléments constitutifs d’un système informatique sont essentiellement de deux ordres : les risques physiques et les risques logiques. Les risques physiques se traduisent par des atteintes physiques au matériel (incendie, explosion, dommages électriques, vol, sabotage, etc.) alors que les risques logiques se caractérisent par des erreurs de programmation, des incidents de type électromagnétique endommageant ou perturbant les supports physiques d’information, ou bien encore la malveillance (interne ou externe) avec l’utilisation non autorisée du système d’information dans le but de créer des préjudices (virus, vers, chevaux de Troie, etc.). Pour autant, le vrai risque pour les entreprises faisant appel à ces nouvelles technologies, c’est qu’une défaillance (et peu importe la cause) de leurs systèmes d’information entraîne :

q la production d’erreurs qui tarderaient à être détectées et dont les conséquences seraient irrémédiables et particulièrement graves,

q l’indisponibilité des services entraînant une interruption dans la continuité des activités et une dégradation de la performance,

q des risques de responsabilité si la défaillance cause des préjudices aux clients, préposés et autres tiers.

Les entreprises sont ainsi de plus en plus confrontées à des enjeux de disponibilité, d’intégrité, de confidentialité et de traçabilité de leurs systèmes d’information et doivent ainsi assurer une parfaite maîtrise des technologies utilisées et des risques inhérents à leur utilisation.

2 Club de la Sécurité de l'Information Français


14

Enfin, il ne faut pas négliger non plus le risque humain dans l’utilisation des systèmes informatiques. L’entrée d’informations inexactes dans les systèmes et les erreurs d’utilisation peuvent aussi entraîner des conséquences très graves et les risques d’erreurs sont d’autant plus grands que les systèmes sont de plus en plus complexes. Des échanges toujours plus rapides L'histoire d'Internet remonte au développement des premiers réseaux de télécommunication. L'idée d'un réseau informatique, permettant aux utilisateurs de différents ordinateurs de communiquer, se développa par de nombreuses étapes successives. La somme de tous ces développements conduisit à la création du « réseau des réseaux » (network of networks) : Internet. Dans les années 1990 sa popularisation passa par l'apparition du World Wide Web et l'infrastructure d'Internet se répandit sur l’ensemble de la planète pour créer le large réseau mondial d'ordinateurs que nous connaissons aujourd'hui, créant un accès à l'information et aux communications sans précédent. Internet contribua ainsi à modifier fondamentalement l'économie mondiale. En effet, les nouvelles technologies de l’information et de la communication (NTIC) offrent aujourd’hui aux entreprises des opportunités de croissance et d’intégration aux marchés internationaux, exacerbant d’autant la concurrence mondiale et la pression sur les entreprises. Internet et les nouveaux moyens de communication en général ont considérablement modifié les attentes en matière d’échanges d’information. Aujourd’hui, n’importe quelle information peut être diffusée dans le monde entier à partir de n’importe quel ordinateur connecté à Internet et si l’instantanéité n’est pas encore complètement la norme, la tendance est bien réelle. Pour autant que cette vitesse de diffusion d’informations procure un certain nombre d’avantages, elle représente également une préoccupation supplémentaire pour les entreprises. En effet, aujourd’hui, les outils technologiques permettent aux marchés boursiers d’apprécier quasi instantanément la moindre information ou rumeur sur une entreprise, sans d’ailleurs chercher vraiment à s’assurer de la réelle fiabilité du renseignement. Aussi, toute erreur de communication peut se révéler particulièrement désastreuse de même que toute faute ou négligence pouvant donner une image défavorable de l’entreprise, de ses activités ou de sa performance. De la même façon, de par les interconnexions entre les systèmes, la réalisation d’une petite erreur peut engendrer des conséquences catastrophiques par sa réplication instantanée et à très grande échelle. Enfin, les progrès techniques ayant permis le transfert ultra-rapide de capitaux d’un bout à l’autre de la planète, il semble plus que jamais nécessaire d’exercer une vigilance accrue sur les flux financiers et sur les structures qui en ont la responsabilité. 1.2.3 Le développement des exigences réglementaires

L’augmentation de la pression réglementaire constitue un autre enjeu majeur de la gestion d’entreprise. En effet, que ce soit dans le domaine de la finance, de l’environnement, de la sécurité, de la comptabilité, des ressources humaines, etc., les textes réglementaires auxquels les entreprises sont soumises ne cessent d’augmenter et sont presque devenus indénombrables. L’implantation de certaines entreprises à l’international complique d’ailleurs la situation puisqu’il s’agit alors de se conformer à la fois aux réglementations locales, étrangères et internationales, exposant ainsi davantage les entreprises aux risques juridiques.


15

Le non-respect de dispositions législatives peut entraîner des conséquences catastrophiques pour les entreprises, nécessitant la mise en place d’un certain nombre de dispositifs permettant d’assurer le respect des différentes obligations et protéger ainsi l’entreprise d’éventuelles sanctions. Par ailleurs, dès qu’un évènement redouté se produit, la recherche de responsabilités est de plus en plus systématique et les risques pour les dirigeants se sont ainsi considérablement accrus. Aussi, la menace de condamnations pénales et financières toujours plus lourdes en cas de faute les poussent nécessairement à renforcer la maîtrise des activités dont ils ont la charge.

1.2.4 La complexité croissante des organisations

Le succès et le développement économique d’une entreprise sont nécessairement conditionnés au bon fonctionnement des organisations. Si cette affirmation constitue une banale évidence, il faut tout de même rappeler que certaines entreprises sont devenues des multinationales avec des implantations sur l’ensemble du globe et sont parfois plus puissantes que certains Etats. Pour diriger ces « empires », il a donc été souvent nécessaire de procéder à la mise en place de chaînes de commandement et de processus organisationnels particulièrement complexes, transformant ainsi l’objectif de bon fonctionnement en un véritable challenge pour les équipes de management. La globalisation de l’économie a d’ailleurs accentué la problématique en ajoutant les problèmes linguistiques, culturels et parfois même religieux qui font qu’une décision en provenance d’un siège social risque toujours de ne pas être interprétée à sa juste valeur par des filiales situées parfois à des dizaines de milliers de kilomètres ! D’autant qu’il faudra d’abord assurer que l’information a bien été transmise et que la remontée d’informations en provenance de la filiale est d’une qualité et rapidité suffisante pour permettre la prise de décisions pertinentes et opportunes. Une étude vient d’ailleurs de rappeler qu’aujourd’hui, plus du quart des acteurs d’une organisation (29.5%) génèrent en moyenne 83% des vulnérabilités qui sont à l’origine de dommages ayant un impact sur le chiffres d’affaires, la rentabilité ou l’image de l’entreprise3. Dès lors, ce qui apparaît évident, c’est surtout la nécessité de mettre en place des systèmes de contrôle permettant d’assurer un minimum de maîtrise sur le fonctionnement des entreprises, dans tous les domaines. 1.2.5 La puissance des médias

Il est incontestable que les nouvelles technologies ont dopé, et le mot est faible, la puissance des médias. Aujourd’hui, il ne faut en effet pas plus de quelques minutes pour qu’une information soit diffusée d’un bout à l’autre de la terre et reçue par le plus grand nombre. Les entreprises exercent donc leurs activités sous le regard permanent de la société et l’on comprend facilement que le moindre soupçon sur un éventuel écart de comportement ou de qualité de services peut suffire à engendrer des conséquences catastrophiques. Il faut d’ailleurs bien insister sur la notion de soupçon car la puissance des médias est telle que ce qui compte véritablement au final, ce n’est pas tant la réalité d’un évènement (qu’il n’est de toute façon pas toujours possible de vérifier) mais bien la perception que le public aura des informations qui lui sont communiquées et l’attention qu’il y portera. L’enjeu est tel qu’il justifie les très nombreux ouvrages, séminaires, formations et réunions exhortant les entreprises à maîtriser la gestion de crises et les subtilités de la communication.

3 D’après la thèse de doctorat de Julien Durand – Ecole Centrale Paris


16

Les entreprises et leurs dirigeants ont donc tout intérêt à s’assurer que leurs activités sont sous contrôle de manière à ce que le risque d’un éventuel dérapage par rapport aux attentes de la société soit aussi minime que possible et que la médiatisation ne donne pas lieu à une dégradation de l’activité économique de l’entreprise. 1.2.6 L’évidente nécessité d’un contrôle des activités Ainsi et sans vouloir établir une liste totalement exhaustive de toutes les préoccupations liées à la gestion d’entreprise, il faut comprendre qu’en évoluant dans un contexte économique de plus en plus concurrentiel, globalisé et à un rythme qui ne cesse d’accélérer, les entreprises sont devenues au fil du temps particulièrement complexes à gérer, d’autant que les risques opérationnels, juridiques, financiers et stratégiques auxquels elles sont exposées n’ont jamais cessé de croître. Dès lors, il apparaît relativement évident que la gestion de ces différentes préoccupations passe obligatoirement par la mise en place d’un certain nombre de dispositifs de contrôle, que d’autres appellent plutôt des « sécurités » ou « garde-fous » permettant d’assurer un certain niveau de maîtrise sur les activités et sur les risques qui pèsent sur l’entreprise. C’est bien là le rôle du contrôle interne et on peut ainsi rappeler ce que l’Ordre des experts-comptables avait indiqué en 1977 : « Le contrôle interne n’est, en soi, ni un système distinct, ni une fonction de l’entreprise. Il est – idéalement – une préoccupation ; la volonté de l’entrepreneur, qui organise son entreprise, de prévoir dans chacune des modalités qui concourent à sa gestion, les « sécurités » qui permettent d’en assurer, autant que possible, l’autorégulation et l’autocontrôle. C’est la présence de ces « sécurités » dans les systèmes qui manifeste le contrôle interne de l’entreprise, tant dans les domaines techniques qu’administratifs »4.

1.3 L’apport de la réglementation Si le contrôle interne trouve son origine dans le développement naturel des organisations et dans le besoin d’assurer le contrôle de leurs activités, il est également le fruit d’influences extérieures et notamment d’un ensemble d’obligations réglementaires. Ainsi, les divers scandales financiers tels que les faillites d’Enron ou Worldcom dans les années 2000 ont considérablement accéléré le développement du contrôle interne moderne dans les entreprises en forçant les pouvoirs publics à instaurer une discipline plus stricte en matière de communication d’informations financières, dans le but de protéger les investisseurs et les clients des entreprises. Pour rebâtir la confiance, il a fallu en effet améliorer la gouvernance des entreprises, renforcer la surveillance des sociétés et introduire plus de transparence et de responsabilité. Cela a donné naissance à toute une série de mesures législatives et réglementaires draconiennes (loi Sarbanes-Oxley aux USA, loi de Sécurité Financière en France, etc.) dont le point commun a systématiquement été la nécessité d’un renforcement du contrôle interne et en particulier dans le domaine comptable et financier. Cependant, il faut noter que si à l’origine, le contrôle interne fut créé dans le but de protéger les intérêts de l’entreprise, les différentes approches réglementaires ont plutôt cherché à imposer le contrôle interne aux entreprises dans le but de protéger les parties prenantes (salariés, investisseurs, clients, etc.) des agissements de l’entreprise elle-même (et surtout de ses dirigeants) en exigeant la transparence sur sa réelle santé financière. C’est d’ailleurs probablement pour cette raison que le contrôle interne est encore

4 Le contrôle interne, 1977, p. 20


17

bien souvent perçu comme une contrainte extérieure applicable au domaine comptable uniquement plutôt que comme un outil de la gestion d’entreprise au sens le plus large. D’autres nécessités réglementaires ont également contribué à renforcer le rôle du contrôle interne dans les entreprises et on citera notamment les textes visant à assurer la lutte contre le blanchiment des capitaux et le financement du terrorisme ou bien encore ceux de la CNIL5 visant à assurer la protection des informations personnelles des individus. Les aspects réglementaires régissant la pratique du contrôle interne seront étudiés plus en détail dans la seconde partie de cette étude.

1.4 L’assurance, un secteur particulièrement concerné

1.4.1 Le cycle inversé de production

« L’assurance est avant tout affaire de confiance 6». En effet, un contrat d’assurance n’est ni plus ni moins qu’une promesse de payer un sinistre ou un autre engagement en l’échange du paiement d’une prime. La promesse ou garantie ne se matérialisera qu’à une époque future, à la survenance d’un sinistre ou de l’événement qui déclenchera le paiement des engagements. Ce mécanisme par lequel l’assuré paie d’abord et ne reçoit qu’après est dénommé « cycle inversé de production ». Tout organisme d’assurance doit ainsi pouvoir faire face à ses engagements envers les assurés dans une période future : il doit donc être solvable et ne pas faire faillite dans l’intervalle. Cette notion d’engagement sur le futur est spécifique au secteur de l’assurance et exige donc une prudence et des règles de gestion beaucoup plus importantes que dans une industrie classique puisque la défaillance ne peut pas être admise (dans le principe en tout cas) tant que tous les engagements ne sont pas honorés. 1.4.2 Solvabilité et contrôle prudentiel

Le décalage dans le temps entre le paiement de la prime et celui correspondant aux engagements ainsi que l’incertitude sur l’éventuel montant du sinistre à payer font qu’il est impossible pour l’organisme d’assurance de connaître a priori le coût exact de la garantie qu’il donne à l’assuré et nécessitent dès lors la constitution de provisions techniques, résultant d’un calcul probabiliste d’évaluation des engagements. A charge pour l’entreprise de placer les sommes correspondant aux provisions de sorte à ce que les actifs couvrent au minimum tous les engagements pris envers les assurés. Aussi, de manière à protéger les assurés, il est apparu indispensable que les pouvoirs publics contrôlent la solvabilité des entreprises d’assurance en vérifiant qu’elles sont en permanence en mesure de tenir leurs engagements. Elles sont donc soumises à des obligations légales particulières et au contrôle prudentiel dont les objectifs sont :

§ de veiller à ce que l'entreprise évalue correctement ses engagements (provisions suffisantes); § de fixer des règles encadrant la politique de placement (actifs sûrs et liquides); § et d'exiger un minimum de fonds propres (marge de solvabilité).

5 Commission Nationale Informatique et Libertés 6 Florence LUSTMAN, ex-Secrétaire Générale de l’Autorité de Contrôle des Assurances et des Mutuelles – Echanges, février 2007 – n° 240


18

1.4.3 Des exigences supplémentaires en matière de contrôle interne

Les entreprises d’assurance sont soumises aux mêmes problématiques de gestion que les autres : elles doivent assurer la fiabilité de leurs informations comptables et financières, maîtriser leurs risques et être performantes. Néanmoins, compte tenu de la spécificité du cycle inversé de production, elles doivent également gérer la problématique de la solvabilité et ce, pour couvrir des engagements courant parfois sur plusieurs dizaines d’années avec de plus, une incertitude sur les montants qui devront être éventuellement payés. Les exigences de prudence dans la gestion de la solvabilité et des engagements sur le long terme envers les assurés, qu’elles soient de bon sens ou d’origine réglementaire, imposent donc nécessairement un besoin plus important de maîtrise des risques et des activités que dans toute autre industrie. Le secteur d’assurance est donc de fait, particulièrement concerné par la problématique du contrôle interne.


19

CHAPITRE 2 - UN CONCEPT ENCORE OBSCUR

Si dans le chapitre précédent, on a pu mettre en évidence les principales raisons qui ont amené au développement de la notion de contrôle interne, il convient maintenant de s’attacher à étudier les différentes ambiguïtés et confusions dont elle fait l’objet. Cette étape constitue en effet un préalable nécessaire à la compréhension des subtilités qui animent le concept.

2.1 Les ambiguïtés sémantiques

2.1.1 La notion de « contrôle »

Le terme « contrôle interne » n’est pas aussi ancien que le concept qu’il définit, puisqu’en réalité, il est la traduction littérale française du terme anglais contemporain « internal control ». En France le mot contrôle provient de « contrerole » (1242), emprunt au latin médiéval contrarotulus (de contra et rotulus) qui définit le deuxième registre (rôle) qui permet de vérifier les inscriptions portées sur le premier. D’où le sens premier en français de vérification, de surveillance (contrôle fiscal, de police, etc.)7. En 1419, apparaît le mot « contreule » qui signifie vérification et en 1611, le mot est orthographié « contrerolle » ou « contrôle ». Ainsi, aujourd’hui, avec les évolutions dont il a fait l’objet, le mot « contrôle » a deux significations touchant à des notions assez différentes :

q une notion de vérification portant sur le caractère légal et régulier de quelque chose, q une notion de domination morale, matérielle ou politique dans lequel se trouve soumis un pays,

une région et qui peut être également perçue comme le fait de diriger une entreprise, une compagnie : « Vous [R. Pleven et M. Dejean] devez, naturellement, conserver le commandement et le contrôle de l'aérodrome » (DE GAULLE, Mém. guerre, 1956, p. 364). On notera ainsi que le mot « maîtrise » est l’un des synonymes les plus appropriés pour définir le contrôle dans ce contexte.

2.1.2 La notion de « control »

En anglais, à la différence du français, le sens du terme « control » se rattache plutôt à des notions telles que l’autorité, la direction, le commandement, le gouvernement, l’influence et d’une manière générale la maîtrise de quelque chose (birth control, control of disease, self-control, etc.). Les racines sont cependant bien latines et le mot « control » peut également correspondre à la notion de vérification ou d’audit (to check, to audit) mais dans l’anglais moderne, utilisé pour la définition du concept d’ « internal control », cette notion est plutôt archaïque.

7 Source : Dictionnaire historique, volume 1, pp. 489.


20

2.1.3 Contrôle interne ou maîtrise des activités ? La traduction littérale du terme « internal control » en « contrôle interne » a donc été malheureuse puisqu’elle a fortement contribué à faire percevoir dans la fonction la seule notion de vérification (avec des contrôleurs qui vérifient qu’une chose est valide ou pas) plutôt que celle de maîtrise qui convient pourtant mieux pour décrire ce qu’est la finalité réelle du contrôle interne. Aussi, si l’on veut faciliter la compréhension du concept, le terme (et le concept) d’« internal control » devrait plutôt être interprété dans le sens de la « maîtrise des activités ».

2.2 La confusion avec la fonction Audit

2.2.1 Histoire de l’audit Les premiers auditeurs sont apparus dès l’Antiquité avec le développement de la comptabilité et avaient pour rôle de procéder à la vérification des comptes. Le mot auditeur est d’ailleurs un terme de droit emprunté en 1230 au latin auditor, dérivé lui-même du supin de audire (« entendre » et « écouter » puis « comprendre »). Les Romains employaient ce terme pour désigner un contrôle au nom de l’empereur sur la gestion des provinces. Cependant, l’intérêt de la fonction en tant que profession n’a été véritablement reconnu qu’à partir du XIIIème siècle et on peut citer l’exemple du roi Edouard Ier d’Angleterre qui avait donné le droit aux barons de nommer des auditors, chargés de vérifier les comptes. L’utilité de procéder à une vérification des comptes par une personne ou entité indépendante se justifie par le fait qu’un propriétaire (ou un investisseur) prudent n’a aucune raison et surtout aucun intérêt d’accorder une confiance absolue à l’intendant (ou à la Direction d’une entreprise) chargé de la gestion de ses biens sauf à encourir un évident risque de fraude. Ainsi, depuis 1867, en France, le contrôle des états financiers des entreprises est confié à un ou plusieurs commissaires aux comptes8. Le mot audit n’est véritablement apparu en France, plus habituée au concept de contrôle comptable, qu’au début des années 60 avec l’installation des cabinets anglo-saxons qui ont popularisé l’utilisation de ce terme qui signifie contrôler, vérifier, analyser. Par leurs activités de vérification et d’appréciation des procédures comptables, les cabinets d’audit ont par ailleurs été amenés à faire des recommandations, ouvrant ainsi la voie à des activités de conseil permettant d’améliorer la maîtrise des processus comptables et financiers, étendues par la suite à d’autres domaines. C’est ainsi que sont apparues diverses natures d’audit : audit comptable et financier, audit de conformité, audit social, audit opérationnel, audit juridique, audit stratégique, audit sécurité, audit informatique, etc. Toutefois, il convient de rappeler qu’aujourd’hui, l’audit ne fait l’objet d’aucune définition réglementaire. 2.2.2 L’Audit interne Origine de la fonction La fonction Audit interne est apparue à la suite de la crise économique de 1929 aux Etats-Unis. Confrontées à la récession, les entreprises étaient tenues de réduire leurs coûts et ont donc fait procéder à des analyses approfondies de leurs comptes par des cabinets d’audit externes, organismes indépendants en charge de la certification des comptes, bilans et états financiers.

8 Art. L. 225-218 du Code de commerce : « Le contrôle est exercé, dans chaque société, par un ou plusieurs commissaires aux comptes. »


21

Cependant, de manière à réduire les frais de ces mêmes cabinets, et après avoir obtenu leur accord, les entreprises confièrent la réalisation des travaux préparatoires à du personnel interne et c’est ainsi qu’apparurent les premiers auditeurs internes. L’évolution de la fonction

L’audit interne n’est cependant plus aujourd’hui ce qu’il était juste après la crise économique. En effet, les compétences et connaissances acquises dans le domaine comptable ont été par la suite utilisées dans d’autres domaines, faisant ainsi de l’audit interne une fonction à part entière même si elle évolue encore et toujours. La fonction audit interne est en effet, encore récente et fait l’objet d’approches différentes d’une entreprise à l’autre même si tout va dans le sens d’une harmonisation des objectifs et des façons de procéder. A ce sujet, on peut par exemple rappeler que la pratique de l’audit interne fait l’objet de normes internationales9. Pour autant, la fonction reste encore assez souvent marquée par le côté « inspection de police », que ce soit dans la réalité ou dans la perception des audités, alors que son véritable rôle est d’évaluer l’efficacité de l’ensemble des dispositions prises pour assurer la maîtrise des activités. Même si l’aspect comptable et financier reste important, l’audit concerne aujourd’hui tous les domaines de l’entreprise. Aussi, de manière à assurer que les différents processus sont bien sous contrôle, la fréquence des audits d’un processus, d’une entité ou d’un secteur doit être adaptée au risque qu’il (elle) représente. Enfin, compte tenu des recommandations qui découlent des analyses qu’il effectue, l’audit interne a également un rôle de conseil auprès des dirigeants pour la gestion des activités. 2.2.3 Audit interne et contrôle interne L’audit interne n’est donc pas le contrôle interne mais puisque sa mission consiste à évaluer et améliorer le dispositif de contrôle interne, il en constitue à l’évidence l’une des composantes fondamentales. Ainsi, comme l’a défini l’IIA10, « l’audit interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle et de gouvernement d’entreprise et en faisant des propositions pour renforcer son efficacité. »

2.3 Les limites du concept

Si le contrôle interne apporte un indéniable intérêt dans la gestion d’entreprise, il n’est cependant pas l’arme absolue contre les défaillances et il convient de bien apprécier les limites du concept.

Ainsi, en aucun cas, le contrôle interne ne peut garantir la réussite de l’entreprise en assurant la réalisation des objectifs fondamentaux car les changements de contexte politique, social ou économique ne sont pas toujours sous le contrôle des dirigeants.

9 International Standards for the Professional Practice of Internal Auditing – The Institute of Internal Auditors 10 The Institute of Internal Auditors. Fondé en 1974, l’Institute of Internal Auditors est une association professionnelle internationale de plus de 130 000 membres dont le siège est situé à Altamonte Springs aux USA.


22

De même, les contrôles mis en place peuvent toujours être contournés (en cas de collusion entre personnes) ou bien le management peut ne pas respecter les procédures. Ce point renforce d’ailleurs l’importance de l’audit qui visera à assurer que les activités sont bien sous contrôle. Enfin, le coût de mise en place d’un dispositif de contrôle interne en limite forcément le périmètre. Il n’est évidemment pas possible de mettre en place des dispositifs sophistiqués à toutes les étapes de processus, car dans ce cas, cela nuirait à la performance générale. Le contrôle interne ne peut donc être considéré comme une assurance absolue.


23

CHAPITRE 3 - UN CONCEPT AUX MULTIPLES FACETTES

Les enjeux et les limites du contrôle interne étant posés, il est maintenant possible d’essayer d’en définir plus précisément le concept et les objectifs fondamentaux, à partir des nombreuses réflexions théoriques dont il continue de faire l’objet.

3.1 Une multitude de définitions

Il existe de multiples définitions du contrôle interne, la plupart étant issues du travail d’organisations professionnelles de comptables ou d’associations d’auditeurs. Les définitions ont évolué au cours du temps et sont passées d’une définition simple limitant le champ d’application du contrôle interne à la comptabilité et à la prévention des fraudes à des définitions plus développées attribuant un rôle et des objectifs plus larges au contrôle interne. Ainsi en 1948, dans leur ouvrage La révision comptable, Bertrand Fain et Victor Faure définissent le contrôle interne comme « une organisation rationnelle de la comptabilité et du service comptable, visant à prévenir ou, tout au moins, à découvrir sans retard les erreurs ou les fraudes ». En 1977, l’ordre des experts-comptables propose dans son ouvrage, Le contrôle interne, une définition qui étend son champ d’application à toutes les activités de l’entreprise et qui ne limite pas son rôle à de seules mesures de vérification : « Le contrôle interne est l’ensemble des sécurités contribuant à la maîtrise de l’entreprise. Il a pour but, d’un côté, d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information, de l’autre, l’application des instructions de la direction et de favoriser l’amélioration des performances. Il se manifeste par l’organisation, les méthodes et procédures de chacune des activités de l’entreprise pour maintenir la pérennité de celle-ci ». Cette définition fait ainsi apparaître les notions complémentaires de « maîtrise », d’« amélioration des performances » et de « pérennité » de l’entreprise en complément de la seule problématique comptable qui vise à assurer « la sauvegarde du patrimoine et la qualité de l’information » (ce qui revient à citer la lutte contre la fraude et les erreurs). D’autres définitions verront ensuite le jour et reprendront de manière plus ou moins développée les thèmes abordés ci-dessus. On notera notamment :

§ la définition du Consultative Committee of Accountancy de Grande-Bretagne en 1978 : « Le

contrôle interne comprend l’ensemble des systèmes de contrôle financiers et autres, mis en place par la Direction afin de pouvoir diriger les affaires de l’entreprise de façon ordonnée et efficace, assurer le respect des politiques de gestion, sauvegarder les actifs et garantir autant que possible l’exactitude et l’état complet des informations enregistrées »,

§ celle de l’American Institute of Certified Public Accountants, également en 1978 : « Le contrôle

interne est formé de plans d’organisation et de toutes les méthodes et procédures adoptées à l’intérieur d’une entreprise pour protéger ses actifs, contrôler l’exactitude des informations fournies par la comptabilité, accroître le rendement et assurer l’application des instructions de la Direction »,


24

§ celle de l’International Federation of Accountants (IFAC) en 1981 : « Le système de contrôle interne est constitué de l’organigramme et de l’ensemble des méthodes et procédures adopté par la direction d’une entité lui permettant d’assurer, autant que possible, la conduite ordonnée et efficace de ses activités, notamment l’application de sa politique générale, la protection de son patrimoine, la prévention et la détection de fraudes et d’erreurs, l’exactitude et l’exhaustivité des enregistrements comptables et la préparation dans des délais satisfaisants d’une information financière fiable »,

§ celle de l’Institut Canadien des Comptables Agréés (ICCA, Toronto) en 1986 : « Constituent le

contrôle interne la structure administrative de l’entreprise et tous les systèmes coordonnés que la direction met en place en vue d’assurer, dans la mesure du possible, la conduite ordonnée et efficace de ses affaires : notamment la protection de ses biens, la fiabilité de ses livres et documents comptables et la prompte préparation d’une information financière fiable »,

§ celle de la Compagnie Nationale des Commissaires aux Comptes (CNCC) en 1987 : « Le

contrôle interne est constitué par l’ensemble des mesures de contrôle, comptable ou autre, que la direction définit, applique et surveille sous sa responsabilité, afin d’assurer la protection du patrimoine de l’entreprise et la fiabilité des enregistrements comptables et des comptes annuels qui en découlent »,

§ celle donnée par la norme 400 de l’IAASB (International Auditing and Assurance Standard

Board) : « Le système de contrôle interne est l’ensemble des politiques et procédures mises en œuvre par la direction d’une entité en vue d’assurer, dans la mesure du possible, la gestion rigoureuse et efficace de ses activités. Ces procédures impliquent le respect des politiques de gestion, la sauvegarde des actifs, la prévention et la détection des fraudes et des erreurs, l’exhaustivité des enregistrements comptables et l’établissement en temps voulu d’informations financières stables »,

§ celle donnée par le COSO (voir 5.1.1) : « Le contrôle interne est un processus mis en œuvre par

le conseil d’administration, les dirigeants et le personnel d’une organisation, destiné à fournir une assurance raisonnable quant à la réalisation des objectifs suivants :

- la réalisation et l’optimisation des opérations, - la fiabilité des informations financières, - la conformité aux lois et réglementations en vigueur. »

§ celle donnée par le « Turnbull guidance » (voir 5.1.2) : « Un système de contrôle interne

comprend les politiques et procédures, processus, tâches, comportements et autres d’une entreprise, qui, ensemble :

- facilitent son fonctionnement réel et efficient en lui permettant de répondre de manière

appropriée aux risques opérationnels, financiers, de conformité et autres qui pourraient nuire à l’atteinte des objectifs. Cela nécessite la protection des actifs d’une perte ou d’une utilisation inappropriée ou frauduleuse et l’assurance que les responsabilités sont identifiées et gérées ;

- aident à assurer la qualité du reporting interne et externe. Cela nécessite un système d’archivage et des processus aptes à produire dans les délais des informations fiables et pertinentes internes ou externes à l’organisation ;

- aident à assurer la conformité aux lois et règlements, et aussi aux politiques internes en matière de conduite des affaires. »


25

Aujourd’hui, le contrôle interne n’est donc plus seulement un dispositif permettant la maîtrise des enregistrements comptables. Le groupe de travail « de Place », mis en place par l’Autorité des Marchés Financiers (AMF) en janvier 2005, suite à la loi de Sécurité Financière (LSF) du 1er août 2003 a ainsi retenu la définition suivante pour le contrôle interne : Le Contrôle Interne est un dispositif de la société, défini et mis en œuvre sous sa responsabilité, qui vise à assurer :

q la conformité aux lois et règlements ; q l’application des instructions et des orientations fixées par la Direction Générale ou le

Directoire ; q le bon fonctionnement des processus internes de la société, notamment ceux concourant

à la sauvegarde de ses actifs ; q la fiabilité des informations financières ; q et d’une façon générale, contribue à la maîtrise de ses activités, à l’efficacité de ses

opérations et à l’utilisation efficiente de ses ressources. En contribuant à prévenir et maîtriser les risques de ne pas atteindre les objectifs que s’est fixés la société, le dispositif de Contrôle Interne joue un rôle clé dans la conduite et le pilotage de ses différentes activités. Toutefois, le Contrôle Interne ne peut fournir une garantie absolue que les objectifs de la société seront atteints.11 C’est cette définition du contrôle interne qui sera retenue dans le cadre de cette étude. On notera qu’elle est sensiblement équivalente à celles du COSO et du Turnbull guidance dont le Groupe de Place s’est inspiré pour proposer sa propre définition.

3.2 Les objectifs du contrôle interne

L’intérêt de la définition du Groupe de Place est sa modernité car elle met en évidence en effet, les objectifs fondamentaux du contrôle interne à savoir :

q la fiabilité des informations financières : § l’objectif est de pouvoir assurer que les informations diffusées à l’extérieur par l’entreprise

sont le reflet exact de la réalité. Ainsi, les informations produites doivent être le résultat d’un système ou de procédures aptes à garantir l’exactitude, l’exhaustivité, la traçabilité, la pertinence et la disponibilité de toutes les données financières.

§ la production des états financiers doit être conforme aux principes comptables généralement admis.

q la sauvegarde des actifs : § l’objectif fondamental du contrôle interne est d’assurer la continuité de l’entreprise et donc

d’éviter les destructions de valeur et l’atteinte aux « actifs ». Les « actifs » sont notamment les biens corporels mais également le savoir-faire, l’image, la réputation ou bien encore les hommes qui constituent l’entreprise.

§ l’objectif de sauvegarde de ce patrimoine nécessite le bon fonctionnement des processus et donc un suivi de leurs performances et de leur rentabilité.

11 Le dispositif de Contrôle Interne : Cadre de référence, Résultats des travaux du Groupe de Place


26

q la conformité aux lois et règlements : § l’objectif est d’assurer que la société intègre à ses objectifs le respect des lois et règlements

en vigueur. § ces lois et règlements peuvent être très nombreux et variés et l’entreprise peut également

s’astreindre à suivre des règles non imposées par le législateur (code d’éthique et de bonne conduite par exemple). Aussi, le dispositif de contrôle interne doit permettre à la société de s’assurer qu’elle respecte toutes les règles qui lui sont applicables, qu’elle puisse être informée de leurs éventuelles modifications et qu’elle soit en mesure de les faire appliquer correctement par son personnel.

q l’application des instructions de la Direction Générale : § l’objectif est d’assurer que les collaborateurs sont clairement informés des objectifs à

atteindre et que les instructions données par la DG sont correctement appliquées.

Mais elle aborde également des objectifs plus larges que sont :

q la maîtrise des activités, q l’efficacité des opérations, q l’utilisation efficiente des ressources.

Ces trois derniers éléments sont importants car ils ne concernent pas uniquement la problématique du traitement de l’information financière ou du respect des directives ou règlements mais plutôt l’efficacité de la gestion de l’entreprise : maîtrise des processus, efficacité et efficience, qui sont plutôt des concepts de management et de gestion des risques. Ainsi, outre son rôle quant à la maîtrise de l’information comptable et financière, le contrôle interne doit constituer également un instrument de contrôle (au sens « maîtrise ») du management. La définition précise d’ailleurs que le contrôle interne doit aider à l’atteinte des objectifs en devenant un outil clé du pilotage des activités. Enfin, la définition rappelle qu’en aucun cas, le contrôle interne ne peut être considéré comme une garantie absolue contre le risque d’échec, le contrôle interne visant plutôt à donner une « assurance raisonnable » quant à la maîtrise des activités.

Ä Le contrôle interne recouvre donc plusieurs aspects de la gestion d’entreprise et qui peuvent être regroupés en deux grandes orientations :

q une orientation sur la maîtrise des processus comptables et financiers,

q une orientation plus générale sur la maîtrise des activités au sens large permettant d’éviter la destruction de valeurs et de favoriser le développement et la croissance (« atteinte des objectifs »), incluant l’aspect conformité (respect des lois et règlements).


27

CHAPITRE 4 - LE CONTROLE INTERNE ET LES NOUVEAUX ENJEUX DE LA

GESTION D’ENTREPRISE Le contrôle interne est un concept complexe qui, on l’a vu, s’est adapté à l’évolution de la gestion d’entreprise. Les nouvelles problématiques auxquelles doivent faire face les entreprises devraient d’ailleurs non seulement renforcer encore son intérêt mais également le faire évoluer.

4.1 Ethique et conformité

4.1.1 Ethique et comportement responsable

Heurtée par les comportements malhonnêtes de certaines entreprises et dirigeants, la société d’aujourd’hui a plus que jamais des exigences très fortes en matière d’éthique et de comportement responsable. Le développement des préoccupations sur le développement durable en est d’ailleurs un formidable témoin et le principe selon lequel « la fin justifie les moyens » n’est plus valable aujourd’hui tant le public n’est plus prêt à tout sacrifier à l’atteinte d’objectifs, même s’ils lui sont favorables. Cette nouvelle préoccupation s’est propagée à tous les secteurs et notamment au secteur économique. Aussi, les entreprises, et surtout celles des sociétés économiques les plus développées, doivent maintenant prendre en considération les attentes en matière de comportement responsable. La responsabilité sociale de l’entreprise (RSE), qui définit le concept dans lequel les entreprises intègrent les préoccupations sociales, environnementales, et économiques dans leurs activités et dans leurs interactions avec leurs parties prenantes sur une base volontaire, est ainsi devenue un enjeu incontournable et cette préoccupation s’est d’ailleurs traduite ces dernières années par un renforcement des lois, réglementations et normes en provenance des Etats, des organismes régulateurs ou bien encore d’associations professionnelles. Les entreprises doivent ainsi s’appliquer à rechercher une performance fondée sur l’intégrité. On trouve d’ailleurs un écho de cette approche dans une remarque de Dov Seidman dans un article de la HBR12 : «Une entreprise ne peut plus se contenter de « gérer » sa réputation ; il lui faut désormais la mériter – à chaque communication, à chaque interaction, avec le respect de chaque promesse de marque – ... Il ne suffit plus de faire mieux que ses concurrents au niveau des produits vendus, ou des services proposés, il faut désormais se comporter mieux qu’eux, en terme de RSE.» Les institutions financières (notamment les banques et organismes d’assurance) sont particulièrement visées et doivent désormais assurer leur « conformité » quant au respect et à l’application des lois, des règles d’éthique et de comportement responsable (déontologie). A défaut, elles s’exposent à un risque significatif d’atteinte à l’image, qui pourrait leur être fatal ou remettre sérieusement en cause leurs perspectives de développement.

12 de “Mad about Plaid”; HBR November 2007, p. 48


28

4.1.2 La problématique de conformité

La notion de conformité (« compliance ») est l’un des objectifs du contrôle interne, tels que définis par le COSO, le Turnbull guidance ou bien encore le Groupe de Place AMF. Cependant, c’est une problématique relativement récente et qui prend une ampleur de plus en plus importante, notamment dans le secteur financier, voire supérieure à celle qui lui a été accordée lors des premières réflexions théoriques sur le contrôle interne. Car, bien que fondamental, l’enjeu n’est plus seulement d’assurer la conformité aux lois et réglementations en matière de reporting financier mais il faut également assurer que les codes de conduite, les instructions, les procédures et les organisations se conforment aux règles d’intégrité et de déontologie propres à l’institution ainsi qu’à celles prévues par les dispositions légales et réglementaires. La conformité est cependant une notion large, complexe à appréhender car elle peut recouvrir différents aspects des activités d’une entreprise et notamment :

q le respect des réglementations de marché, q le respect des réglementations en matière de prévention du blanchiment de capitaux, de

lutte contre le terrorisme ou contre la fraude, ou contre les activités criminelles en général, q le respect des codes de déontologie professionnelle, q le respect des règles de gouvernement d’entreprise, q la prévention du délit d’initié, q la prévention de la manipulation de cours, q le respect des règles visant à protéger la vie privée des collaborateurs et des clients (lois et

recommandations de la CNIL13), etc. Les risques encourus Les risques encourus en cas de non conformité sont de deux ordres essentiellement. Le premier est juridique car outre les sanctions financières susceptibles d’être infligées par les tribunaux en cas de manquement à une obligation réglementaire, les sanctions administratives peuvent impacter lourdement les activités économiques et par conséquence le développement voire même la survie d’une entreprise. Le risque est tout aussi grave pour les dirigeants puisque dans certains cas, c’est leur responsabilité personnelle qui pourrait être engagée avec lourdes sanctions à la clé (condamnations pénales et financières). Le second est économique car le risque d’atteinte à l’image ou à la réputation peut également remettre en cause la survie même d’une organisation ou limiter fortement son potentiel de croissance. Bien que légal, un comportement jugé amoral par le public pourrait avoir les mêmes conséquences, voire pires, qu’un simple manquement à une obligation réglementaire, sur le développement économique d’une société. Par ailleurs, le phénomène des « class actions » (actions collectives) peut engendrer des conséquences fatales pour les entreprises avec le risque de devoir indemniser massivement les ayants droits. Ce point est important car le plein respect des lois et règlements ne garantit pas pour autant l’absence de risque pour l’entreprise et il pose ainsi la question du périmètre applicable à la problématique de conformité. S’agit-il uniquement de satisfaire aux exigences réglementaires ou faut-il aller plus loin et anticiper sur les attentes de la société (du public) en général pour prévenir tout risque d’atteinte à l’image ? Et dans ce cas, jusqu’où faut-il aller ?

13 Commission Nationale de l’Informatique et des Libertés


29

On peut donc constater que la notion de conformité est un élément clé qui vient renforcer le rôle du contrôle interne car elle implique la mise en place d’un certain nombre de procédures et de contrôles au sein de l’entreprise. Elle constitue un risque qu’il faut pouvoir maîtriser, ce qui est d’autant plus difficile que la conformité peut recouvrir un grand nombre d’éléments qui ne font pas forcément l’objet de réglementations précises.

4.2 La gouvernance d’entreprise

4.2.1 L’origine du concept

Le concept de gouvernance d’entreprise (ou gouvernement d’entreprise et « corporate governance » en anglais) tire son origine des premiers scandales financiers survenus aux Etats-Unis dans les années 80/90. A l’époque, les malversations de certains dirigeants d’entreprises qui avaient fait passer leurs intérêts privés avant ceux de leurs sociétés, ont provoqué nombre de faillites ainsi qu’une une véritable crise de confiance sur les marchés financiers. Cette crise s’est d’ailleurs amplifiée dans les années 2000 avec les scandales des affaires Enron, Worldcom et Parmalat. Plusieurs lois et règlements ont alors été promulgués de façon à éviter que tout cela ne se reproduise et pour restaurer la confiance des actionnaires, des salariés, des créanciers et du public en général. Ainsi, en 1992, la commission Cadbury14 créée par la Bourse de Londres, proposa des recommandations de bonne conduite en matière de gouvernance d’entreprise15 et donna la première définition de la gouvernance d’entreprise : « système par lequel les sociétés sont dirigées et contrôlées ». La gouvernance d’entreprise peut être considérée comme un renouveau du contre-pouvoir actionnarial face aux dirigeants d’entreprises, reposant sur un rôle plus actif des administrateurs (qui ne doivent pas se contenter de la « Wall Street Walk » mais réellement influer sur la gestion en exerçant si besoin les recours contentieux) et la surveillance ultime par les actionnaires. Elle vise aussi à garantir un juste équilibre des pouvoirs entre les parties prenantes que sont les dirigeants, le conseil d’administration, les actionnaires mais également les employés, les fournisseurs, les clients, les créanciers, le voisinage, l’environnement et la communauté au sens large. Elle doit également permettre de garantir la fiabilité de l’information comptable et financière et la transparence de l’information sur les risques de sorte à protéger les actionnaires et autres parties prenantes. La gouvernance d’entreprise est modelée par l’ensemble des lois et règles, jurisprudentielles et contractuelles, qui définissent les modalités de gestion de l’entreprise.

4.2.2 Le développement de la réglementation

Les préoccupations en matière de gouvernance se sont traduites par plusieurs exigences législatives et réglementaires que les entreprises doivent désormais prendre en compte, d’autant plus que les investisseurs, soucieux de défendre leurs intérêts, sont devenus plus attentifs sur le sujet. Il existe même des organismes spécialisés dans l’évaluation de la qualité de la gouvernance des entreprises, tout comme pour la RSE.

14 Commission britannique créée en 1991 par le Financial Reporting Council, le London Stock Exchange et la profession comptable chargée d’établir des normes sur les aspects financiers de la gouvernance d’entreprise de manière à rehausser le niveau de confiance dans les états financiers produits par les entreprises. Le 1er décembre 1992, elle publia un rapport sur « The financial aspects of corporate governance ». La commission portait le nom du président de l’époque. 15 The Financial Aspects of Corporate Governance


30

Les rapports Viénot et Bouton En France, ce sont les rapports de Marc Viénot de 1995 et 1999 puis celui de Daniel Bouton en 2002, qui font référence en matière de gouvernement d’entreprise. Dans le rapport Viénot I, l’une des recommandations consiste en la création de comités spécialisés au sein du conseil d’administration dont un comité des comptes ou comité d’audit, ce comité « ayant pour tâche essentielle de s’assurer de la pertinence et de la permanence des méthodes comptables adoptées pour l’établissement des comptes consolidés et sociaux de l’entreprise et de vérifier que les procédures internes de collecte et de contrôle des informations garantissent celles-ci. Il s’agit moins d’entrer dans le détail des comptes que d’apprécier la fiabilité de l’appareil qui concourt à leur établissement ainsi que la validité des positions prises pour traiter les opérations significatives ». Le rapport Viénot II a apporté des précisions sur le nombre d’administrateurs indépendants dans la composition du comité des comptes, qui sera porté de 1/3 à 2/3 suite au rapport Bouton. Le rapport Bouton recommandera également pour ce comité une relation plus étroite avec les services d’audit interne (avis sur l’organisation du travail, programme de travail, réception des rapports d’audit) et l’examen des risques et de leurs dispositifs de contrôle. La loi Sarbanes-Oxley Votée en 2002, la loi Sarbanes-Oxley impose à toutes les entreprises cotées aux Etats-Unis de présenter à la Commission des Opérations de Bourse16 des comptes certifiés personnellement par leurs dirigeants et qui doivent en assurer la responsabilité pénale. Elle exige également l’institution d’un comité d’audit avec ses propres devoirs et responsabilités17. Les principes de l’OCDE En 2004, l’OCDE18 publie ses « Principes de gouvernement d’entreprise » qui portent sur cinq domaines principaux : les droits des actionnaires et leur protection ; le traitement équitable de toutes les catégories d’actionnaires ; le rôle des salariés et des autres parties prenantes ; la transparence des structures et des activités de l’entreprise, et la diffusion d’information en temps opportun ; et les responsabilités du conseil d’administration vis-à-vis de l’entreprise, des actionnaires et des autres parties prenantes. En fait, ces Principes reposent sur le respect de quatre valeurs essentielles que sont l’équité de traitement, la responsabilité, la transparence et le devoir de rendre des comptes. Les Principes précisent qu’il est du ressort du conseil d’administration de « s’assurer de l’intégrité des systèmes de comptabilité et de communication financière de la société, notamment de l’indépendance de la vérification des comptes, et que l’entreprise est dotée de dispositifs de contrôle adéquats, en particulier de dispositifs de gestion des risques et de contrôle financier et opérationnel, ainsi que de respect du droit et des normes applicables ».

16 Securities and Exchange Commission (SEC), voir la presentation dans les Annexes 17 Article 301 de la loi : « Le comité d’audit de chaque émetteur, dans sa capacité de comité du conseil d’administration, est directement responsable de la nomination, la rémunération et la supervision du travail de tout auditeur, employé par l’émetteur (…) qui a pour but de préparer ou publier un rapport d’audit ou autre travail associé, et chaque auditeur ayant une telle mission, doit directement reporter au comité d’audit ». 18 Organisation de Coopération et de Développement Economiques


31

En complément des principes énoncés ci-dessus, on notera que pour le secteur des assurances en particulier, l’OCDE a également adopté le 28 avril 2005, des « lignes directrices sur la gouvernance des assureurs ». Elles ont été justifiées par les questions particulières propres à ce secteur d’activité et notamment : § les responsabilités des fiduciaires, § les droits des bénéficiaires/assurés, § le fait que certains assureurs (par exemple les assureurs mutualistes) ne sont pas constitués en

sociétés, § l’exposition à différents risques :

• techniques [risques actuariels, risques de souscription et risques de placement], • non techniques,

§ des relations mandant-mandataire complexes, § des asymétries relatives aux pouvoirs de marché et aux informations dont disposent les

différentes parties prenantes ainsi que, § les problèmes liés aux spécificités de branches particulières (assurance-vie, assurance non vie,

réassurance). Les Directives Européennes Au niveau européen, c’est dans le cadre du plan d’action sur la modernisation du droit des sociétés et le renforcement du gouvernement d’entreprise que la Commission a renforcé les exigences sur la communication d’informations concernant le gouvernement d’entreprise et le contrôle interne pour les sociétés dont les titres sont négociés sur un marché réglementé et dont le siège statutaire est situé en Europe. Les 4ème et 7ème directives européennes concernant les comptes annuels de certains types de sociétés et les comptes consolidés ont ainsi été modifiées en 2006. La 8è directive impose également la création d’un comité d’audit.

4.2.3 Les impacts sur le contrôle interne

Le rôle que doit jouer le contrôle interne pour garantir la transparence sur les informations financières est évident et dans les paragraphes 4.31 et 4.32 du rapport de la commission Cadbury, la commission avait considéré qu’un « système de contrôle interne effectif [sur l’aspect comptable et financier] est un élément clé pour assurer la gestion efficace d’une société ». De plus, et d’une manière générale, l’ensemble des réglementations sur la gouvernance d’entreprise concourt à l’atteinte des objectifs suivants :

q rétablir un bon équilibre des pouvoirs au sein de l’organisation, q obliger les dirigeants à rendre compte au conseil d’administration, q renforcer le rôle du conseil d’administration en matière de surveillance et de contrôle, q assurer que les sociétés disposent de dispositifs de contrôle interne et de gestion des risques.

Autant d’exigences qui viennent naturellement et considérablement renforcer le rôle du contrôle interne. Les nouvelles préoccupations sur la gouvernance d’entreprise génèrent en effet des attentes significatives en matière de gestion des risques et d’établissement d’informations comptables et financières qui rendent plus que jamais nécessaire l’adoption ou le renforcement des dispositifs de contrôle interne et pas seulement sur la partie comptable et financière.


32

Ainsi, même si la gouvernance dépasse la seule problématique du contrôle interne, les deux concepts sont néanmoins liés. Jean Cedelle19 a ainsi justement résumé : « (…) au fond, ce qu’offre le contrôle interne, notamment en matière comptable et financière, c’est l’infrastructure, ce sont les principes, l’organisation qui permet à la gouvernance d’être plus forte. Et inversement, la gouvernance soutient le contrôle interne. (…) gouvernance et contrôle interne constituent deux facettes très différentes, l’une top down, l’autre plutôt bottom up, d’une même discipline de progrès au sein de l’entreprise. »

4.3 La gestion globale des risques

4.3.1 Un concept en plein développement

Nous l’avons vu, les entreprises évoluent dans un environnement en mutation permanente et sont en permanence confrontées aux risques et aléas de toute nature, susceptibles de mettre en cause leur pérennité ou d’entraver leur développement. Dans ce contexte, il apparaît de plus en plus nécessaire d’organiser l’entreprise de façon à ce que les impondérables puissent être gérés de manière à ce que leurs impacts potentiels sur les activités et la croissance de l’entreprise soient limités lorsqu’ils sont néfastes, ou bien utilisés de façon opportune s’ils peuvent au contraire être bénéfiques à la création de valeur. C’est pour cela que fut développé le concept de gestion globale des risques, dont les objectifs, pour l’essentiel, sont de :

q identifier et analyser les risques susceptibles d’impacter les objectifs ou leur atteinte, q contrôler ces risques de sorte à les ramener à un niveau acceptable pour l’entreprise (on parle

alors de risque résiduel), q assurer une qualité de communication entre les différents acteurs de la gestion des risques de

sorte à assurer l’efficacité des politiques de traitement du risque, définies par la Direction, q éviter la destruction de valeurs, q permettre à la Direction de se consacrer davantage à la stratégie, au développement et à la

croissance.

Ainsi, la gestion globale des risques (ou « Enterprise Risk Management » en anglais) contribue à la réalisation des objectifs de performance et de rentabilité de l’organisation tout en minimisant les pertes éventuelles. La dimension « risque » vient enrichir la vision des dirigeants en complément des axes stratégiques et opérationnels et devient un élément de management à part entière. Par ailleurs, il faut noter que les législateurs et agences d’informations financières accordent de plus en plus d’importance à la façon dont sont gérés les risques dans les entreprises. 4.3.2 Le rôle du contrôle interne Le concept de gestion des risques ne remet pas en cause le rôle du contrôle interne au sein des organisations et vient, bien au contraire, lui donner encore plus de sens et renforcer son importance.

19 Co-président du Groupe de Place, Directeur de la Conformité, Calyon – Actes du Colloque « Cadre de référence de Contrôle Interne : Comment le mettre en œuvre ? » du 9 février 2007


33

En effet, une fois que les risques susceptibles d’impacter l’organisation ont été identifiés et analysés, il faut que des dispositifs de contrôle soient mis en place pour ramener le niveau des risques identifiés comme significatifs à un niveau défini comme acceptable pour l’entreprise. A noter que ce niveau de risque résiduel doit forcément faire l’objet d’une définition préalable, et être aligné sur la stratégie de l’organisation. Il doit correspondre au niveau de risque que l’organisation est prête à supporter pour accroître sa valeur. Il faut souligner à cette occasion qu’une organisation qui ne souhaiterait jamais prendre de risque (et en particulier dans le domaine de l’assurance) se verrait, par son immobilisme, condamnée à disparaître. Et de toute façon, le risque zéro n’existe pas ! Dès lors, il convient plutôt de concevoir le contrôle interne comme faisant partie intégrante d’un cadre plus large de gestion globale des risques intégrée dans l’ensemble des composantes de l’entreprise. Il lui incombe alors d’assurer le fonctionnement de la stratégie relative à la gestion des risques et de contribuer ainsi à l’atteinte des objectifs. En effet, la gestion des risques ne consiste pas uniquement à définir une stratégie, elle consiste également à s’assurer que les mesures prises pour limiter le risque sont bien mises en œuvre. Le contrôle interne, on l’a vu, n’est pas une fin en soi et n’a donc pas pour but de mettre des contrôleurs derrière chaque opérationnel, mais bien d’assurer que l’entreprise est sous contrôle et qu’il y a une véritable maîtrise des opérations, des processus et par conséquence, des risques.


34

SYNTHESE DE LA PREMIERE PARTIE

Le contrôle interne n’est en réalité, pas une nouveauté. Ses origines pourraient en effet être replacées dans l’Antiquité, à l’époque de la mise en place des tout premiers systèmes d’imposition et du développement des échanges commerciaux. Le besoin d’enregistrer les transactions avait donné naissance aux premiers systèmes comptables. Aussi, afin de prévenir les risques de fraude et d’erreurs, il a fallu développer en parallèle un ensemble de moyens et de mesures permettant de garantir la fiabilité des informations comptables et qui ont ainsi constitué les bases du contrôle interne comptable et financier. Par la suite, le contrôle interne a été développé pour permettre aux dirigeants, confrontés à des problématiques de gestion toujours plus complexes et dépassant la seule préoccupation comptable, d’améliorer la maîtrise des activités et du fonctionnement de leurs organisations. Ce développement a d’ailleurs été accéléré par l’apport récent d’un certain nombre de réglementations, apparues en réaction aux divers scandales financiers des années 2000 et qui ont ainsi conféré au contrôle interne un véritable statut réglementaire. L’intérêt du contrôle interne dans les activités de gestion d’entreprise apparaît donc incontestable et lors d’une conférence sur le sujet, Christian FONTANEL20 en avait d’ailleurs fort justement résumé l’enjeu en affirmant que « le contrôle interne est inhérent à l’acte managérial ». Pour autant, le concept reste encore difficile à appréhender et peut générer des confusions chez les non-initiés. En effet, le terme contrôle interne n’est en réalité qu’une traduction simpliste du concept d’ « internal control » en anglais et il vaut donc mieux parler de « maîtrise des activités » pour définir la véritable finalité du contrôle interne. Par ailleurs, il ne faut pas le confondre avec la fonction audit, qui en constitue cependant un des éléments fondamentaux puisqu’elle est notamment chargée d’en évaluer l’efficacité. Enfin, si le contrôle interne constitue un réel moyen permettant d’aider l’entreprise à atteindre les objectifs fixés, il ne peut en aucun cas être considéré comme une garantie absolue contre l’échec. Aujourd’hui, le contrôle interne peut donc se définir comme « un dispositif de la société, défini et mis en œuvre sous sa responsabilité, qui vise à assurer :

• la conformité aux lois et règlements ; • l’application des instructions et des orientations fixées par la Direction Générale ou le

Directoire ; • le bon fonctionnement des processus internes de la société, notamment ceux concourant à la

sauvegarde de ses actifs ; • la fiabilité des informations financières ;

et d’une façon générale, contribue à la maîtrise de ses activités, à l’efficacité de ses opérations et à l’utilisation efficiente de ses ressources. En contribuant à prévenir et maîtriser les risques de ne pas atteindre les objectifs que s’est fixés la société, le dispositif de contrôle interne joue un rôle clé dans la conduite et le pilotage de ses différentes activités. Toutefois, le contrôle interne ne peut fournir une garantie absolue que les objectifs de la société seront atteints ».

20 Directeur de l’Audit et du Contrôle Interne – Groupe EDF


35

Enfin, il convient de bien comprendre que le contrôle interne reste un concept évolutif. Ainsi, les préoccupations nouvelles relatives à la gestion d’entreprise telles que le Gouvernement d’Entreprise (Corporate Governance), la Conformité (Compliance) ou bien encore, la Gestion des Risques, devraient ainsi le faire encore évoluer profondément, en exacerber l’enjeu et en modifier les modalités de mise en œuvre opérationnelle.

***


36

2ème PARTIE

APPROCHES CONCEPTUELLES ET REGLEMENTAIRES DU CONTRÔLE INTERNE


37

CHAPITRE 5 - LES CONCEPTS DE REFERENCE

La notion et les enjeux du contrôle interne étant définis, il convient maintenant de s’intéresser à sa conception pour une application concrète au sein des organisations. La structure d’un dispositif de contrôle interne est en effet primordiale car elle doit pouvoir s’adapter à tous les processus opérationnels d’une entreprise. L’étude des concepts de référence, même s’ils sont le fruit d’approches et de réflexions théoriques et académiques, constitue ainsi une étape nécessaire dans la recherche d’une réponse adaptée à l’enjeu du contrôle interne.

5.1 Les référentiels de contrôle interne

Du point de vue conceptuel, il existe trois référentiels principaux pour la structuration d’un dispositif de contrôle interne : le modèle américain COSO, le modèle britannique « Turnbull guidance », et pour ce qui concerne plus particulièrement la France, le cadre de référence récemment défini par le Groupe de Place créé par l’AMF. Il existe d’autres référentiels tels que le COCO canadien (Criteria on Control Committee) ou bien encore le COBIT (Control Objectives for Business IT) dédié aux systèmes d’information mais ils ne seront pas abordés ici car ils sont moins utilisés que les autres.

5.1.1 Le COSO

En 1980, le sénateur américain TREADWAY a initié une importante recherche sur la notion de contrôle interne et c’est en 1985 qu’est créé le Committee of Sponsoring Organizations of the Treadway Commission (COSO) dont l’objectif est d’améliorer la qualité du « reporting financier ». Cet organisme soutient la National Commission on Fraudulent Financial Reporting (Commission Nationale sur le Reporting Financier Frauduleux) et bénéficie du soutien de cinq associations professionnelles aux Etats-Unis :

- the American Accounting Association, - the American Institute of Certified Public Accountants, - Financial Executives International, - the Institute of Internal Auditors, - the National Association of Accountants.

Le COSO publia en 1987 un rapport demandant une étude pour le développement d’une structure intégrée pour le contrôle interne et c’est Coopers & Lybrand qui fut sélectionnée pour mener l’étude et rédiger le rapport. Il fut publié en 1992 sous l’intitulé « Internal Control – Integrated Framework », plus connu sous le nom de rapport COSO.


38

Les concepts clés du contrôle interne selon le COSO :

q Le contrôle interne est un processus. C’est un moyen d’arriver à ses fins, pas une fin en soi. q Le contrôle interne est mis en œuvre par des personnes : ce n’est pas seulement un recueil de

procédures et de documents mais il implique la participation de personnes à chaque niveau de l’organisation.

q Le management et le conseil d’administration ne peuvent attendre du contrôle interne qu’une assurance raisonnable, et non une assurance absolue.

q Le contrôle interne est axé sur l’atteinte d’objectifs dans une ou plusieurs catégories distinctes mais susceptibles de se recouper.

Les composantes du contrôle interne : Le COSO a défini la structure type d’un dispositif de contrôle interne permettant d’aboutir aux objectifs définis et qui comporte cinq composantes que sont :

q l’environnement de contrôle, q l’évaluation des risques, q les activités de contrôle, q l’information et la communication, q le pilotage.

L’environnement de contrôle L’environnement de contrôle est un élément très important de la culture d’une entreprise, puisqu’il détermine le niveau de sensibilisation du personnel au besoin de contrôle. Il constitue le fondement de tous les autres éléments du contrôle interne, en imposant discipline et organisation. Les facteurs ayant un impact sur l’environnement de contrôle comprennent notamment l’intégrité, l’éthique et la compétence du personnel ; la philosophie des dirigeants et le style de management ; la politique de délégation des responsabilités, d’organisation et de formation ; enfin, l’intérêt manifesté par le Conseil d’administration et sa capacité à indiquer clairement les objectifs21. L’évaluation des risques Toute entreprise est confrontée à un ensemble de risques externes et internes qui doivent être évalués. Avant de procéder à une telle évaluation, il est nécessaire de définir des objectifs compatibles et répondant à des règles de cohérence interne. L’évaluation des risques consiste en l’identification et l’analyse des facteurs susceptibles d’affecter la réalisation des objectifs ; il s’agit d’un processus qui permet de déterminer comment ces risques devraient être gérés. Compte tenu de l’évolution permanente de l’environnement micro et macro-économique, du contexte réglementaire et des conditions d’exploitation, il est nécessaire de disposer de méthodes permettant d’identifier et de maîtriser les risques spécifiques liés au changement21. Les activités de contrôle Les activités de contrôle peuvent se définir comme l’application des normes et procédures qui contribuent à garantir la mise en œuvre des orientations émanant du management. Ces opérations permettent de s’assurer que les mesures nécessaires sont prises en vue de maîtriser les risques susceptibles d’affecter la réalisation des objectifs de l’entreprise. Les activités de contrôle sont menées à tous les niveaux hiérarchiques et fonctionnels de la structure et comprennent des actions aussi variées qu’approuver et autoriser, vérifier et rapprocher, apprécier les performances opérationnelles, la sécurité des actifs ou la séparation des fonctions21.

21 Traduction française du rapport Internal Control – Integrated Framework (COSO report)


39

Les contrôles mis en place au sein de l’entreprise peuvent être de natures différentes selon le type d’activité ou de processus à maîtriser. Il peut s’agir de :

• Contrôles informatiques :

Les contrôles informatiques sont des contrôles mécaniques qui se déroulent à l’intérieur des systèmes informatiques et que les collaborateurs ne peuvent modifier sans permissions administratives spéciales d’accès aux systèmes informatiques et sans connaissances techniques.

• Autorisation :

Une autorisation est une approbation de transactions ou d’opérations commerciales réalisées par des tiers en accord avec les procédures en vigueur dans l’entreprise. Il est d’usage que l’approbation soit documentée par la délivrance d’une permission.

• Concordance : On entend par là une comparaison entre différents ensembles de données ou différents fichiers et les analyses des écarts constatés. Ces contrôles se distinguent des contrôles informatiques en ce que les connexions ne se font pas uniquement dans des systèmes informatiques.

• Examen :

Il s’agit ici de l’analyse de documents destinée à rechercher des particularités, comme des transactions inhabituelles, ou de l’analyse de chiffres clés ou de tendances. Cet examen est pratiqué par des cadres supérieurs ou des tiers.

• Séparation des fonctions :

On entend par là la séparation des responsabilités en ce qui concerne le déclenchement, l’exécution et l’approbation de transactions, afin d’empêcher que des erreurs ou des irrégularités ne soient dissimulés par une personne ou un groupe de personnes.

Ces contrôles peuvent à leur tour être classés en contrôles préventifs ou de détection et en contrôles automatisés ou manuels. Ces mesures de contrôle sont efficaces seules ou combinées avec d’autres parties du contrôle interne dans l’entreprise. Il s’agit de processus, méthodes et mesures à part.

• Les contrôles préventifs sont censés empêcher toute erreur de se produire. Ils remplissent donc

une fonction de sécurité. Des exemples de contrôles préventifs sont les mots de passe et les mesures physiques de protection.

• Les contrôles de détection sont les contrôles censés découvrir des erreurs qui se sont déjà

produites. Ils sont effectués, entre autres, si lors de la vérification par des contrôles préventifs, une trop grande fréquence d’erreurs est apparue. Des exemples en sont les réexamens ou examens critiques, les inventaires physiques et l’examen des rapports de contrôle.

• Les contrôles automatisés sont des mécanismes qui, par des mesures d’organisation ou

techniques, sont directement intégrés dans les processus de l’entreprise. Par exemple, la séparation des fonctions, l’établissement d’échelons de compétence et la réglementation des processus de travail.

• Les contrôles manuels ont recours à des mesures comme l’examen de listes d’erreurs, les

concordances ou les contrôles physiques.


40

L’information et la communication L’information pertinente doit être identifiée, recueillie et diffusée sous une forme et dans des délais qui permettent à chacun d’assumer ses responsabilités. Les systèmes d’information produisent, entre autres, des données opérationnelles, financières, ou encore liées au respect des obligations légales et réglementaires, qui permettent de gérer et contrôler l’activité. Ces systèmes traitent non seulement les données produites par l’entreprise mais également celles qui, liées à son environnement externe (faits marquants, marche de l’activité, contexte général), sont nécessaires à la prise de décisions pertinentes comme au reporting externe. Il existe également un besoin plus large de communications efficaces, impliquant une circulation multidirectionnelle des informations c’est-à-dire ascendante, descendante, et transversale. Le management doit transmettre un message très clair à l’ensemble du personnel sur l’importance des responsabilités de chacun en matière de contrôle. Les employés doivent comprendre le rôle qu’ils sont appelés à jouer dans le système de contrôle interne, ainsi que la relation existant entre leurs propres activités et celles des autres membres du personnel. Ils doivent être en mesure de faire remonter les informations importantes. Par ailleurs, une communication efficace avec les tiers, tels que clients, fournisseurs, autorités de tutelle ou actionnaires, est également nécessaire22. Le pilotage Les systèmes de contrôle interne doivent eux-mêmes être contrôlés, afin qu’en soient évaluées dans le temps les performances qualitatives. Pour cela, il convient de mettre en place un système de pilotage permanent, de procéder à des évaluations périodiques ou encore de combiner les deux méthodes. Le pilotage permanent s’inscrit dans le cadre des activités courantes et comprend des contrôles réguliers effectués par le management et le personnel à l’occasion de ses travaux. L’étendue et la fréquence des évaluations dépendront essentiellement du niveau de risques et de l’efficacité du processus de surveillance permanente. Les faiblesses de contrôle interne doivent être portées à l’attention de la hiérarchie, les lacunes les plus graves devant être signalées à la direction générale et au Conseil d’administration22.

22 Traduction française du rapport Internal Control – Integrated Framework (COSO report)


41

Ainsi, ces différentes composantes doivent être mises en place au sein des différentes structures de la société (unité, activité, etc.) dans le but de satisfaire aux trois objectifs fondamentaux du contrôle interne : réalisation et optimisation des opérations, fiabilité des informations financières, conformité aux lois (« compliance »). C’est pourquoi la représentation classique du COSO est modélisée par un cube (chaque élément de contrôle doit être mis en place dans chacune des structures pour atteindre chacun des objectifs) :

Représentation graphique du COSO

5.1.2 Le « Turnbull guidance » En septembre 1999, l’ « Institute of Chartered Accountants in England & Wales » (ICAEW) a publié un guide sur le contrôle interne intitulé « Internal Control – Guidance for Directors on the Combined Code », plus connu sous le nom de « Turnbull guidance », du nom du président du comité23 qui travailla sur le sujet. Ce document a fait l’objet d’une révision en octobre 2005 par le « Financial Reporting Council » (organisation britannique de normalisation comptable). A la différence du modèle COSO, le « Turnbull guidance » est plutôt un guide synthétique sur le contrôle interne et qui a pour objectifs de :

q « montrer une saine pratique professionnelle dans laquelle le contrôle interne est intégré dans les processus par lesquels la société poursuit ses objectifs ;

q rester applicable dans un environnement professionnel en mutation constante ; q permettre à chaque société de le mettre en œuvre d’une façon qui tienne compte de sa

situation et de ses spécificités particulières24. »

23 Internal Control Working Party 24 Traduction française d’un extrait de Internal Control – Revised Guidance for Directors on the Combined Code (Turnbull guidance) - Financial Reporting Council.


42

Ce guide définit tout d’abord les responsabilités en matière de contrôle interne. C’est au conseil d’administration que revient la responsabilité du système de contrôle interne. Il se doit de mettre en place les politiques adéquates et de veiller à l’efficacité de son fonctionnement. Pour cela, il doit tenir compte :

- de la nature et de l’importance des risques pour l’entreprise, - des catégories et de l’importance des risques que l’entreprise peut accepter, - de la probabilité de réalisation des risques, - de la capacité de l’entreprise à réduire l’incidence et l’impact des risques sur les activités en cas

de réalisation, - du coût des contrôles en regard du bénéfice attendu dans le cadre de la gestion des risques.

Le guide définit également les composantes d’un système de contrôle interne qui sont sensiblement équivalentes à celles du COSO : des activités de contrôle, des processus d’information et de communication et des processus de surveillance de l’effectivité du système de contrôle interne. Enfin, le guide recommande que paraisse dans les rapports annuels un haut niveau d’information sur les processus de gestion des risques et sur le système de contrôle interne mis en place dans l’entreprise. Cette information ne doit pas conduire à une interprétation erronée de la réalité. Ainsi, le Turnbull guidance, même s’il est moins directif que le COSO dans les moyens à mettre en œuvre pour structurer un système de contrôle interne, affiche néanmoins les mêmes principes et objectifs que le modèle américain.

5.1.3 Le cadre de référence défini par le Groupe de Place En janvier 2005, l’AMF a pris l’initiative de créer un Groupe de Place et l’a chargé de l’élaboration d’un cadre de référence de contrôle interne susceptible d’être utilisé par les sociétés françaises soumises aux obligations prévues par la loi de sécurité financière. Le Groupe de Place a privilégié une approche pragmatique et s’est efforcé de concilier :

- les bonnes pratiques observées à l’étranger et les autres référentiels existants (notamment le

COSO américain et le « Turnbull guidance » britannique), - les réglementations françaises et européennes et leurs évolutions, - les recommandations des rapports sur la gouvernance d’entreprise25.

Le cadre de référence comprend ainsi :

q les principes généraux portant sur l’ensemble des processus de contrôle interne de l’entreprise, q un guide d’application relatif au contrôle interne de l’information comptable et financière publiée

par les émetteurs, q et en annexes :

§ un questionnaire relatif au contrôle interne comptable et financier qui doit être adapté aux spécificités de chaque société. Il est subdivisé en six parties : rôle des organes de gouvernance, organisation comptable et financière, systèmes d’information, identification et analyse des risques qui affectent l’information comptable et financière, activités de contrôle et communication en matière comptable et financière ;

§ un questionnaire relatif à l’analyse et à la maîtrise des risques, qui permet à

l’entreprise de se situer en matière d’identification, d’analyse et de traitement de ses principaux risques.

25 Rapports BOUTON et VIENOT.


43

Chaque société est tenue de mettre en place un dispositif de contrôle interne adapté à sa situation. Dans le cadre d’un groupe, la société mère veille à l’existence de dispositifs au sein de ses filiales, adaptés à leurs caractéristiques propres et aux relations entre la société mère et les filiales. Selon le Groupe de Place, les composantes d’un dispositif de contrôle interne sont au nombre de cinq et sont étroitement liées :

1) Une organisation comportant une définition claire des responsabilités, disposant des

ressources et des compétences adéquates et s’appuyant sur des systèmes d’information, sur des procédures ou modes opératoires, des outils et des pratiques appropriés.

2) La diffusion en interne d’informations pertinentes, fiables, dont la connaissance permet à

chacun d’exercer ses responsabilités. 3) Un système visant à recenser, analyser les principaux risques identifiables au regard des

objectifs de la société et à s’assurer de l’existence de procédures de gestion de ces risques. 4) Des activités de contrôle proportionnées aux enjeux propres à chaque processus, et conçues

pour s’assurer que les mesures nécessaires sont prises en vue de maîtriser les risques susceptibles d’affecter la réalisation des objectifs.

5) Une surveillance permanente portant sur le dispositif de contrôle interne ainsi qu’un examen

régulier de son fonctionnement.

Ainsi, le cadre de référence est fondé sur les mêmes principes que le COSO ou le Turnbull guidance. 5.2 Les acteurs du contrôle interne

Selon le Groupe de Place créé par l’AMF, « le contrôle interne est l’affaire de tous, des organes de gouvernance à l’ensemble des collaborateurs de la société ». Le COSO et le Turnbull guidance vont dans ce sens en affirmant que tous les membres du personnel d’une entreprise ont une responsabilité plus ou moins grande en matière de contrôle interne. Pour autant, les responsabilités de mise en œuvre, d’évaluation et de suivi du contrôle interne doivent être partagées entre différents acteurs, internes aussi bien qu’externes.

5.2.1 La Direction générale (ou directoire) Selon le COSO, « la responsabilité du système de contrôle interne relève du management et, en tout premier lieu, du Directeur Général ». Le cadre de référence de l’AMF valide cette approche : « il appartient à la Direction Générale ou au Directoire de rendre compte au Conseil des caractéristiques essentielles du dispositif de contrôle interne ». Le Turnbull guidance insiste lui sur la responsabilité pleine et entière du conseil d’administration sur le dispositif de contrôle interne. Cette différence d’approche est notamment le résultat d’une différence d’approche dans les lois et réglementations outre-Manche. Ainsi, en matière de contrôle interne, la Direction Générale a un rôle éminent, car elle est en charge de la conception et de la supervision du dispositif.


44

Le DG, avec l’aide des cadres dirigeants, établit les valeurs, principes et normes opérationnelles qui constituent la base de tout système de contrôle interne. L’équipe dirigeante doit s’assurer que les activités de la société sont correctement maîtrisées et que les contrôles mis en place sont efficaces et adaptés pour permettre l’atteinte des objectifs. Elle se tient informée des dysfonctionnements et insuffisances et veille à l’application des éventuelles actions correctives. Le DG doit rendre compte, devant le conseil d’administration, des caractéristiques du dispositif de contrôle interne. 5.2.2 Le conseil d’administration Selon l’article L225-35 du Code de Commerce : « Le conseil d’administration détermine les orientations de l’activité de la société et veille à leur mise en œuvre (…) il se saisit de toute question intéressant la bonne marche de la société et règle par ses délibérations les affaires qui la concernent (…) Le conseil d'administration procède aux contrôles et vérifications qu'il juge opportuns. » Ainsi, par ses activités de supervision, le conseil d’administration est largement impliqué dans le contrôle interne. Il doit également jouer un rôle dans la définition des objectifs de la société. Dans de nombreux conseils d’administration, les fonctions de surveillance sont largement réparties entre différents comités et il n’est pas rare de trouver des Comités chargés de l’audit, des rémunérations, des questions financières, des nominations ou bien encore des avantages consentis au personnel. Chacun de ses comités peut donc jouer sur un ou plusieurs aspects du contrôle interne et en constituent donc des éléments à part entière. 5.2.3 Les comités Le comité d’audit Le Comité d’audit occupe une position privilégiée dans la gouvernance d’une entreprise car il dispose des pouvoirs lui permettant d’interroger la direction sur la façon dont elle exerce ses responsabilités. Le rôle du comité d’audit est défini par le conseil d’administration. Il consiste, en général, à :

q examiner les comptes annuels et semestriels, voire trimestriels de la société ; q participer au choix des commissaires aux comptes, et instituer une relation directe avec eux,

afin de : § prendre connaissance de leur programme de travail, § s’assurer qu’ils sont en mesure d’exercer correctement leur mission, § débattre avec eux des conclusions de leurs travaux ;

q établir dans le même esprit un dialogue avec les organes de contrôle du groupe (auditeurs internes et contrôleurs externes).

Le comité ne prend pas de décisions, son rôle se limite à préparer l’information que le conseil d’administration utilisera dans ses débats. Remarque : Selon l’article 39-2 de la 8è directive européenne, le comité d’audit est notamment chargé des missions suivantes :

a) suivi du processus d’élaboration de l’information financière ; b) contrôle de l’efficacité des systèmes de contrôle interne, de l’audit interne, le cas échéant, et de

la gestion des risques de la société ;


45

c) supervision du contrôle légal des comptes annuels et des comptes consolidés ; d) examen et suivi de l’indépendance du contrôleur légal ou du cabinet d’audit, en particulier pour

ce qui concerne la fourniture de services complémentaires à l’entité contrôlée, ainsi que de tout engagement dudit contrôleur ou dudit cabinet de fournir des services autres que de contrôle ;

e) sélection préalable de tout contrôleur légal ou cabinet d’audit dont la désignation est proposée par l’organe d’administration ou de surveillance.

Le COSO définit par ailleurs le rôle de plusieurs autres comités dans son rapport sur le contrôle interne. Le comité des rémunérations Ce comité peut s’assurer que des efforts sont consacrés à la mise en place de systèmes de rémunérations contribuant à la réalisation des objectifs de la société, qui ne soient pas trop axés sur les résultats à court terme au détriment des performances à long terme. Le comité des questions financières Ce comité exerce un contrôle supplémentaire sur les engagements financiers importants, ainsi que sur la cohérence des budgets d’investissements par rapport aux plans opérationnels. Le comité d’étude des nominations Ce comité exerce un contrôle sur la sélection des candidats aux postes d’administrateurs et, éventuellement, aux postes de direction. Le comité d’étude des avantages consentis aux salariés Ce comité exerce un droit de regard sur les avantages consentis aux salariés et s’assure de leur cohérence par rapport aux objectifs de la société. Il veille également à ce que l’entité s’acquitte correctement de ses responsabilités fiduciaires. Autres comités D’autres comités peuvent être créés par le conseil d’administration pour superviser des domaines spécifiques, tels que le respect des règles d’éthique, la technologie, etc. 5.2.4 Le personnel D’une manière générale, l’ensemble du personnel d’une société, joue un rôle dans le système de contrôle interne que ce soit par le respect des règles et procédures internes, du code de conduite, des lois et réglementations en vigueur, de sorte à permettre à l’entreprise d’atteindre les objectifs qu’elle s’est fixés. Aussi, il est nécessaire que chaque collaborateur ait la connaissance et l’information nécessaires pour faire fonctionner et surveiller le dispositif de contrôle interne. 5.2.5 Les auditeurs internes L’audit interne joue un rôle crucial dans le dispositif de contrôle interne car c’est à lui que revient la responsabilité d’en évaluer le fonctionnement et de préconiser les améliorations nécessaires. Le rôle et les responsabilités des auditeurs internes sont encadrés par des normes professionnelles permettant d’assurer l’impartialité de leurs jugements. Ainsi, leur positionnement doit être tel qu’il permette d’assurer une totale indépendance vis-à-vis des fonctions opérationnelles.


46

5.2.6 Les autres acteurs du contrôle interne Les auditeurs externes Dans le cadre de leurs travaux sur les états financiers, les auditeurs externes expriment une opinion sur la régularité et la sincérité des comptes établis conformément aux principes comptables généralement admis, et ils contribuent ainsi à la réalisation des objectifs de l’entreprise en matière d’information financière. Par ailleurs, ils apportent souvent des informations utiles à la direction dans l’exercice de leurs propres responsabilités en matière de contrôle. Certaines lois imposent dorénavant que les auditeurs externes se prononcent sur le niveau de qualité du système de contrôle interne d’une organisation à l’occasion de l’audit de ses états financiers. Même s’ils ne peuvent identifier toutes les faiblesses d’un dispositif, ils peuvent néanmoins aider à augmenter la qualité dudit dispositif en formulant des recommandations qui aideront l’entreprise à atteindre ses objectifs. Les autorités de tutelle En obligeant les entreprises à mettre en place des contrôles ou en les contrôlant directement, les législateurs et les autorités de tutelle influencent directement les systèmes de contrôle interne. Les récentes lois de sécurité financière telles que Sarbanes-Oxley, la Loi de Sécurité Financière en France ou bien encore le décret du 13 mars 2006, ont démontré le rôle (parfois précurseur) des autorités en matière d’implantation de dispositifs de contrôle interne. Les tiers Enfin, il existe plusieurs catégories de « tiers » qui peuvent plus ou moins influencer le contrôle interne dans une entreprise. Les clients peuvent par exemple faire remonter un certain nombre de dysfonctionnements tels des retards de livraison, une qualité de produit en déclin, etc. La presse peut également faire remonter des informations sur l’image de l’entreprise trahissant des insuffisances potentielles dans certains secteurs ou au contraire conforter les résultats d’efforts réalisés (sur la qualité d’un produit par exemple).


47

CHAPITRE 6 - LES EXIGENCES REGLEMENTAIRES

L’étude de la réglementation constitue l’autre étape indispensable à la structuration d’un dispositif de contrôle interne au sein des entreprises. Certains textes réglementaires et législatifs ont en effet des exigences très précises en la matière et constituent autant d’informations utiles à la définition d’un dispositif de contrôle interne parfaitement adapté au mode de fonctionnement de l’entreprise.

6.1 Réglementation française

6.1.1 Loi de Sécurité Financière Dans la foulée de la parution de la loi Sarbanes-Oxley aux Etats-Unis, la loi n°2003-706 dite Loi de Sécurité Financière (encore appelée loi Mer) entre en vigueur en France le 1er août 2003 en réponse à la crise de confiance consécutive aux scandales financiers d’Enron et Worldcom et surtout de Vivendi Universal pour ce qui concerne plus particulièrement la France. Qu’est-ce que la Sécurité Financière ? La sécurité financière se définit par la connaissance, la maîtrise et la couverture des risques liés à l’activité économique et financière. Ces risques sont multiples (systémique, politique et géographique, technologique, de marché, de fraude, de contrepartie ou de défaut, de réputation, de documentation, etc.). La sécurité financière suppose une meilleure connaissance du fonctionnement des marchés et des produits financiers par le régulateur et les investisseurs et est, à ce titre, intrinsèquement liée à la transparence26. Composantes de la loi La loi s’applique à toutes les sociétés anonymes faisant appel à l’épargne publique27 (banques et compagnies d’assurance sont donc particulièrement visées). Les principaux apports de la loi sont :

§ la modernisation des autorités de contrôle, § la sécurité des épargnants, § la modernisation du contrôle légal des comptes et transparence.

A l’instar de la loi Sarbanes-Oxley, la LSF repose principalement sur les concepts suivants :

§ une responsabilité accrue des dirigeants, § un renforcement du contrôle interne, § une réduction des sources de conflits d’intérêts.

Parmi l’ensemble des articles de cette loi, quelques-uns ont un impact particulier sur le rôle et l’importance du contrôle interne dans la gestion des entreprises et imposent ainsi, un certain nombre d’exigences.

26 D’après le rapport d’information n°431 du Sénat du 27 juillet 2007 par Philippe Marini 27 Suite à modification par la loi Breton 2005-842 du 26 juillet 2005


48

L’article 2 La LSF a modifié l’article L 621-1 du Code Monétaire et Financier28 et est à l’origine de la création29 de l’Autorité des Marchés Financiers (AMF) et de l’ACAM30. L’objectif est de renforcer l’efficacité de la régulation de la place financière française. L’article 117 En son article 117, la loi modifie les articles L225-37 et L225-68 du code de commerce31 et impose au président du conseil d’administration ou de surveillance de rendre compte dans le rapport annuel (de gestion) des procédures de contrôle interne mises en place dans la société. Elle ne précise pas cependant les attentes quant à la portée de ces éventuelles procédures. En mars 2004, l'AMF a recommandé aux émetteurs de se reporter aux lignes directrices élaborées en décembre 200332 par le MEDEF et l’AFEP33 ainsi qu'à l'avis juridique de l'ANSA34 pour les principes et les modalités d'élaboration du rapport du président, et notamment pour la rédaction de la partie descriptive des procédures de contrôle interne. La trame du MEDEF et de l’AFEP préconise le contenu suivant : § Objectifs de la société en matière de procédures de contrôle interne

§ Description synthétique des procédures de contrôle mises en place :

a) Organisation générale des procédures de contrôle interne au niveau de la société :

acteurs, structure(s) spécifique(s) en charge/rôles respectifs et interactions,

b) Présentation des informations synthétiques sur les procédures de contrôle interne mises en place par la société.

28 L’article L621-1 a ainsi été modifié : Art. L. 621-1. - L’Autorité des marchés financiers, autorité publique indépendante dotée de la personnalité morale, veille à la protection de l’épargne investie dans les instruments financiers et tous autres placements donnant lieu à appel public à l’épargne, à l’information des investisseurs et au bon fonctionnement des marchés d’instruments financiers. Elle apporte son concours à la régulation de ces marchés aux échelons européen et international. 29 Voir la présentation de l’AMF et de l’ACAM dans les annexes 30 Autorité de Contrôle des Assurances et des Mutuelles 31 L'article L. 225-37 [du code de commerce] est complété par un alinéa ainsi rédigé: « Le président du conseil d'administration rend compte, dans un rapport joint au rapport mentionné aux articles L. 225-100, L. 225-102, L. 225-102-1 et L. 233-26, des conditions de préparation et d'organisation des travaux du conseil ainsi que des procédures de contrôle interne mises en place par la société. Sans préjudice des dispositions de l'article L. 225-56, le rapport indique en outre les éventuelles limitations que le conseil d'administration apporte aux pouvoirs du directeur général. » L'article L. 225-68 [du code de commerce] est complété par un alinéa ainsi rédigé : « Le président du conseil de surveillance rend compte, dans un rapport à l'assemblée générale joint au rapport mentionné à l'alinéa précédent et à l'article L. 233-26, des conditions de préparation et d'organisation des travaux du conseil ainsi que des procédures de contrôle interne mises en place par la société.» 32 Recommandations AFEP/MEDEF intitulées "L'application des dispositions de la loi de sécurité financière concernant le rapport du président sur les procédures de contrôle interne mises en place par la société". 33 MEDEF : Mouvement des Entreprises de France – AFEP : Association Française des Entreprises Privées 34 Note du comité juridique de l'ANSA (Association Nationale des Sociétés par Actions) du 5 novembre 2003, n°3267.


49

c) D’après le comité juridique de l’ANSA, les dispositions du code de commerce n'imposent pas que le président se prononce sur la valeur et l'efficacité du contrôle interne. Son seul devoir est d’établir un rapport joint et d’y décrire l’existant. Le président est en revanche, libre de déterminer le degré de précision et la longueur de sa description.

Cependant, l'AMF a souhaité que la démarche s'inscrive dans une perspective dynamique, permettant aux émetteurs d'aboutir à terme à une appréciation sur l'adéquation et l'efficacité de leur contrôle interne. Seules 34% des sociétés ont procédé à une évaluation de leur contrôle interne sur l’exercice 200535. Le texte vise les sociétés ayant leur siège social en France mais ne visent pas les sociétés contrôlées par une autre mais les filiales ayant la forme anonyme et leur siège en France doivent établir un rapport.

L’article 120 L’article 12036 de la loi précise que les commissaires aux comptes doivent présenter leurs observations uniquement sur les procédures de contrôle interne concernant « l’élaboration et le traitement de l’information comptable et financière » dans un rapport joint à leur rapport général. Toutefois, selon la note n°3267 de l’ANSA, le commissaire aux comptes n’a pas à porter de jugement sur l’efficacité du contrôle interne mais il doit se contenter de vérifier la sincérité et la concordance des informations relatives aux procédures de contrôle interne touchant au domaine comptable et financier données dans le rapport du président (tel qu’exigé par l’article 117). L’article 122 L’article 12237 de la loi impose aux sociétés faisant appel public à l’épargne de rendre publiques les informations du rapport de gestion du conseil d’administration ou de surveillance ainsi que celui du commissaire aux comptes sur les procédures de contrôle interne relatives aux informations comptables et financières. L’AMF précise les conditions de cette publication dans son règlement général (articles 221-6 à 221-8). Ainsi, les rapports doivent être rendus publics au plus tard le jour du dépôt au greffe du tribunal de commerce et doivent faire l’objet d’une diffusion selon les modalités suivantes :

§ mise à disposition gratuite au siège de la personne morale, une copie devant être adressée sans frais à toute personne qui en fait la demande ;

§ diffusion d’une version électronique sur le site de l’AMF et sur le site de la personne morale

lorsqu’elle dispose d’un tel site. Par ailleurs, en vertu de cet article, l’AMF doit produire annuellement un rapport sur les informations rendues publiques.

35 D’après le rapport AMF 2006 sur le gouvernement d’entreprise et le contrôle interne 36 L'article L. 225-235 du code de commerce est ainsi modifié: « (…) Les commissaires aux comptes présentent, dans un rapport joint au rapport mentionné au deuxième alinéa de l'article L. 225-100, leurs observations sur le rapport mentionné, selon le cas, à l'article L. 225-37 ou à l'article L. 225-68, pour celles des procédures de contrôle interne qui sont relatives à l'élaboration et au traitement de l'information comptable et financière. » 37 Insertion de l’article L. 621-18-3 dans le code monétaire et financier : « Les personnes morales faisant appel public à l'épargne rendent publiques les informations relevant des matières mentionnées au dernier alinéa des articles L. 225-37 et L. 225-68 du code de commerce dans des conditions fixées par le règlement général de l'Autorité des marchés financiers. Celle-ci établit chaque année un rapport sur la base de ces informations ».


50

Le contrôle de la profession La LSF aborde38 également le contrôle du fonctionnement des cabinets d’audit et les conflits d’intérêt qui peuvent s’y rattacher. Pour cela, elle est à l’origine de la création d’un Haut Conseil du Commissariat aux Comptes dont la mission est : § d’assurer la surveillance de la profession avec le concours de la Compagnie Nationale des

Commissaires aux Comptes, § de veiller au respect de la déontologie et de l’indépendance des commissaires aux comptes.

Le Haut conseil est notamment chargé : § d’identifier et de promouvoir les bonnes pratiques professionnelles ; § d’émettre un avis sur les normes d’exercice professionnel élaborées par la Compagnie Nationale

des Commissaires aux Comptes avant leur homologation par arrêté du garde des sceaux, ministre de la Justice.

Le Haut conseil oriente et supervise les contrôles périodiques et constitue l’instance d’appel en matière d’inscription et de discipline des Commissaires aux Comptes. La LSF a ainsi institué une régulation duale, impliquant simultanément la profession et les autorités publiques.

6.1.2 Réglementation spécifique aux organismes d’assurance

En France, la loi impose aux organismes d’assurance des obligations diverses en matière de contrôle interne selon qu’il s’agisse d’un organisme d’assurance relevant du Code des Assurances (sociétés d’assurance), du Code de la Mutualité (mutuelles) ou du Code de la Sécurité Sociale (institutions de prévoyance et de retraite supplémentaire).

Le Code des Assurances Le décret n°2006-287 du 13 mars 2006 Les premières obligations apparaissent avec le décret n°2002-970 du 4 juillet 2002 relatif à l’utilisation des instruments financiers à terme par les entreprises d’assurance qui a ainsi modifié le Code dans son article R. 336-1 rendant obligatoire la publication d’un rapport sur la politique de placement, pouvant éventuellement être intégré au rapport de solvabilité de la société. Ce rapport doit détailler « (...) le dispositif interne de contrôle de la gestion des placements : répartition interne des responsabilités au sein du personnel, les personnes chargées d'effectuer les transactions ne pouvant être également chargées de leur suivi ; délégations de pouvoir ; diffusion de l'information ; procédures internes de contrôle ; audit interne » et être approuvé par le conseil d’administration ou le conseil de surveillance.

38 Article 100 de la LSF, modification du titre II du livre VIII du code de commerce


51

En mars 2006, l’article R.336-1 du Code des Assurances est à nouveau modifié et exige des entreprises d’assurances la mise en place d’un dispositif permanent de contrôle interne39 et la transmission à l’ACAM d’un rapport annuel sur le contrôle interne, préalablement approuvé par le conseil d’administration ou de surveillance. Dans le rapport doivent figurer :

a) les objectifs, la méthodologie, la position et l’organisation générale du contrôle interne au sein de l’entreprise, l’indépendance et l’efficacité du contrôle interne devant être argumentées ;

b) le détail des procédures permettant de vérifier l’adéquation entre la stratégie et les activités

opérationnelles ainsi que le respect de la réglementation ;

c) la politique de placement et la politique de gestion actif-passif ;

d) le dispositif interne de contrôle de la gestion des placements (responsabilités, délégations de pouvoir, procédures de contrôle et d’audit) ;

e) la politique de gestion des risques liés aux engagements de l’entreprise, les méthodes utilisées

pour assurer la conformité de la tarification et du provisionnement des engagements ;

f) les mesures prises pour gérer les risques liés à la gestion des sinistres, des filiales, des activités externalisées et des modes de commercialisation ;

g) les procédures d’élaboration et de vérification de l’information financière et comptable.

Le rapport exigé ici est distinct du rapport annuel décrivant les procédures de contrôle interne mises en place dans la société, exigé pour toutes les entreprises soumises au code de commerce. Ce rapport est en effet destiné à l’autorité de tutelle alors que celui exigé par la LSF est destiné aux actionnaires. En fin d’année 2006, l’ACAM a dressé un premier bilan sur le suivi de cette nouvelle exigence : « S’il est encore trop tôt pour tirer un bilan de l’efficacité des procédures de contrôle interne mises en place, certaines pistes d’amélioration concernant le rapport sur le contrôle interne peuvent d’ores et déjà être évoquées. Les rapports reçus sont dans l’ensemble très formels et manquent parfois d’éléments quantitatifs. Ils insistent trop peu sur les procédures mises en place pour encadrer les activités externalisées. Dans les groupes ayant mis en place des procédures de contrôle interne normalisées au niveau groupe, ils sont souvent identiques pour toutes les sociétés du groupe ; les spécificités de chacune des sociétés devraient être mieux mises en avant. Les premiers rapports sur le contrôle interne s’avèrent bien documentés, mais, le niveau d’avancement du projet étant encore très variable selon les sociétés, la qualité moyenne de ces rapports reste à améliorer pour que l’ACAM puisse les exploiter correctement. Par ailleurs, il convient de noter que le décret du 13 mars 2006 impose des obligations en matière de contrôle interne aux seules entreprises d’assurance régies par le Code des assurances, sans prendre de mesures similaires qui seraient applicables :

§ aux entreprises de réassurance régies par le Code des assurances ; § aux mutuelles régies par le Code de la mutualité ; § aux institutions de prévoyance régies par le Code de la sécurité sociale.

39 Art. R. 336-1. – « Toute entreprise mentionnée à l'article L. 310-1 est tenue de mettre en place un dispositif permanent de contrôle interne. Le conseil d'administration ou le conseil de surveillance approuve, au moins annuellement, un rapport sur le contrôle interne, qui est transmis à l'Autorité de contrôle des assurances et des mutuelles. (…) »


52

L’égalité de traitement des organismes soumis au contrôle de l’ACAM voudrait que cette obligation soit généralisée, afin de ne pas désavantager certains acteurs du marché par rapport à d’autres. A moyen terme, les évolutions réglementaires à venir, et en premier lieu la directive Solvabilité II, iront dans le sens d’une meilleure prise en compte de la qualité du contrôle interne des organismes d’assurance, gage d’une bonne gestion des risques et garant, dans une certaine mesure, de leur solvabilité prospective. »40 Le décret du 3 janvier 2005 pour les Sociétés d’Assurance Mutuelles Le décret n°2005-7 du 3 janvier 2005 relatif à la gestion des sociétés d’assurance mutuelles par une structure à directoire et conseil de surveillance et modifiant le code des assurances (partie réglementaire) impose41 que le président du conseil d’administration (ou de surveillance) rende compte des conditions de préparation et d’organisation des travaux du conseil ainsi que des procédures de contrôle interne mises en place par la société. Pour les sociétés d’assurance mutuelles à conseil d’administration et direction générale, l’exigence est identique et il s’agit donc d’établir un rapport sur le contrôle interne.

Le Code de la Mutualité et le Code de la Sécurité Sociale

Les deux codes imposent42 à la mutuelle ou à l’institution ou union de « disposer en permanence d’un contrôle interne de la gestion de ses placements ». Par ailleurs, un rapport sur la politique de placement doit être soumis au moins annuellement au conseil d’administration. Le rapport doit détailler, entre autres, les méthodes utilisées pour assurer la mesure, l’évaluation et le contrôle des placements, le dispositif interne de contrôle de la gestion des placements (procédure internes de contrôle, audit interne notamment). Il peut être inclus dans le rapport de solvabilité. On notera cependant qu’en qui concerne les organismes de sécurité sociale, le décret n°93-1004 du 10 août 2003 avait introduit, dix ans avant la LSF, la nécessité43 de mettre en place un dispositif de contrôle interne permettant de pallier aux risques financiers inhérents aux missions confiées aux organismes de sécurité sociale.

40 Extrait du rapport ACAM 2006 41 Articles R. 322-53, III pour les sociétés d’assurance mutuelles à conseil d’administration et direction générale et R. 322-54, III pour les sociétés d’assurance mutuelles à conseil de surveillance et directoire, du Code des Assurances 42 Art. R.211-28 du Code de la Mutualité, art. R.931-43 du Code de la Sécurité Sociale 43 Art. D 253-46 à D.253.49 du Code de la Sécurité Sociale


53

6.2 Réglementation européenne

6.2.1 Les 4è et 7è Directives comptables

La Directive 2006/46/CE

La Directive 2006/46/CE du Parlement européen et du Conseil du 14 juin 200644 a modifié les directives comptables du Conseil 78/660/CEE concernant les comptes annuels de certaines formes de sociétés45 et 83/349/CEE concernant les comptes consolidés46. L’objectif de ces modifications est d’améliorer la comparabilité des états financiers et des rapports de gestion à travers l’Union européenne et de renforcer la crédibilité des états financiers. Cette Directive introduit de nouveaux articles47 dans les 4è et 7è directives exigeant, pour les sociétés dont les titres sont admis à la négociation sur un marché réglementé et qui ont leur siège statutaire dans la communauté, la publication d’une déclaration annuelle sur le gouvernement d’entreprise dans une section spécifique et clairement identifiable du rapport annuel (cette déclaration peut être publiée sur le site Internet de la société à condition que le rapport de gestion mentionne la référence au site Internet). Cette déclaration doit au moins fournir aux actionnaires une information de base aisément accessible sur les pratiques de gouvernement d’entreprise effectivement appliquées, y compris une description des principales caractéristiques des systèmes de gestion des risques et de contrôle interne existants, en relation avec le processus d’établissement de l’information financière. Contrairement aux exigences de la loi Sarbanes-Oxley, l’approche est ici purement descriptive et il ne s’agit pas pour le Conseil d’administration ou le management de se prononcer sur l’efficacité des systèmes. Par ailleurs, toute société doit indiquer si elle applique un code de gouvernement d’entreprise, volontairement ou parce qu’elle y est soumise, ou si elle applique des dispositions allant au-delà de celles prévues par le droit national. Dans le cas où la société applique un code de gouvernement d’entreprise, volontairement ou non, elle doit adopter une démarche de type « comply or explain » (« appliquez ou expliquez »). Il est demandé à l’auditeur externe ou commissaire aux comptes de faire un consistency check, qui consiste à s’assurer que l’information donnée dans la déclaration est cohérente avec le reste des informations financières. Il n’est pas question de certification de l’auditeur externe quant à l’efficacité des systèmes. Ces modifications s’inscrivent dans le cadre du plan d’action adopté par la Commission en 2003, visant à moderniser le droit des sociétés et à renforcer le gouvernement d’entreprise dans l’Union Européenne. Les objectifs de ce plan étaient les suivants :

§ confirmer la responsabilité collective des organes d’administration, de gestion et de surveillance (responsabilité vis-à-vis de la société sur l’élaboration des états financiers),

§ accroître la transparence des transactions et,

44 Publiée au Journal Officiel du 16/08/2006, entrée en vigueur en septembre 2006. Les Etats membres ont jusqu’au 5 septembre 2008 pour transposer les directives modifiées en droit national. 45 4è Directive du Conseil du 25 juillet 1978 46 7è Directive du Conseil du 13 juin 1983 47 Ajout de l’article 46bis dans la directive 78/660/CEE ainsi qu’un point à l’article 36 et un article 36bis dans la directive 83/349/CEE


54

§ assurer une meilleure information sur les pratiques de gouvernement d’entreprise suivies dans les sociétés.

A noter que les deux directives ont été modifiées dans une approche d’harmonisation minimale, les Etats membres, restent libres d’imposer des exigences supérieures dans la transposition. La Directive 2006/43/CE (8è Directive) Cette Directive du Parlement européen et du Conseil du 17 mai 2006 et entrée en vigueur en juin 2006, a également modifié les 4è et 7è directives comptables concernant les comptes annuels de certaines formes de sociétés et les comptes consolidés et impose de nouvelles exigences en la matière. Elle donne un délai de transposition de deux ans aux Etats membres. Elle prévoit48 notamment que les entités d’intérêt public (terme incluant les entreprises d’assurance au même titre que les banques et autres institutions financières) doivent être dotées d’un comité d’audit, chargé entre autres, du suivi du processus d’élaboration de l’information financière, du suivi de l’efficacité des systèmes de contrôle interne, d’audit interne, le cas échéant, et de gestion des risques de la société.

Elle laisse le soin aux Etats membres de décider si le comité d’audit doit être composé de membres non exécutifs de l’organe d’administration et/ou de membres de l’organe de surveillance de l'entité contrôlée et/ou de membres nommées par l’assemblée générale des actionnaires. Au moins un des membres doit être compétent en matière de comptabilité et/ou d’audit. Le contrôleur légal ou le cabinet d’audit fait rapport au comité d’audit sur les aspects essentiels touchant au contrôle, notamment les faiblesses significatives49 du contrôle interne en rapport avec le processus d’information financière. Par ailleurs, les Etats membres veillent à ce que le contrôleur légal ou le cabinet d’audit qui effectue les contrôles légaux d’une entité d’intérêt public confirme chaque année par écrit au comité d’audit son indépendance par rapport à l’entité contrôlée, communique chaque année au comité d’audit les services additionnels fournis à l’entité contrôlée, et examine avec le comité d’audit les risques pesant sur l’indépendance du contrôleur légal ou du cabinet d’audit et les mesures de sauvegardes prises pour atténuer ces risques. La Directive fixe également une durée limitée d’exercice au contrôleur principal chargé du contrôle légal (7 ans maximum). Cette Directive est la première à introduire la notion d’efficacité des dispositifs de contrôle mais n’impose pas ni pour les sociétés ni pour les auditeurs externes de certifier l’efficacité des systèmes.

48 Articles 41 à 43 de la Directive 49 La Directive ne donne pas de définition de « faiblesse significative » mais elle va dans le sens des normes internationales d’audit. Des travaux sont en cours à ce sujet au sein de l’IAASB. L’International Auditing and Assurance Standard Board (IAASB), ou Conseil des normes internationales d’audit et d’assurance, est un organisme d’intérêt public qui définit de manière indépendante et de sa propre autorité, des normes de haute qualité portant sur l’audit, la révision, et les autres services d’assurance, de contrôle de qualité et les services connexes. Il facilite la convergence des normes nationales vers les normes internationales.


55

6.2.2 La Directive sur la surveillance des groupes d’assurance

Le contrôle prudentiel des entreprises d’assurance a pour objectif la protection des assurés et vise donc à vérifier la solvabilité de ces entreprises. Cela explique qu’il se concentre sur la situation financière d’entités sociales, juridiquement seules débitrices de leurs assurés, et donc considérées isolément (contrôle « solo »). Le contrôle s’appuie sur trois exigences quantitatives, mesurées à partir des comptes sociaux : des provisions techniques suffisantes pour régler les prestations aux assurés, un montant d’actifs réglementés supérieur au montant des provisions techniques, une marge de solvabilité, constituée de fonds propres et autres éléments assimilés, supérieure à une exigence minimale. Néanmoins, ce dispositif prudentiel peut se trouver affaibli quand une entreprise d’assurance détient une participation dans une filiale d’assurance car le matelas de sécurité que constitue la marge de solvabilité de la maison mère est utilisé pour constituer la marge de solvabilité de la filiale. D’autre part, la participation dans la filiale compte parmi les actifs couvrant les provisions techniques, alors même que les fonds propres servent à couvrir les provisions techniques de la filiale. Ce double emploi des fonds constitue un risque sérieux de contagion des difficultés financières de la filiale vers la société mère. Les prêts et cautions entre entités du groupe constituent également d’autres facteurs de risque. D’où la nécessité d’un dispositif de surveillance des groupes d’assurance palliant l’insuffisance du « contrôle solo ». C’est pour cela que fut rédigée la Directive 98/78/CEE du Parlement Européen et du Conseil du 27 octobre 1998, entrée en vigueur en 2001, sur la surveillance complémentaire des entreprises d’assurance faisant partie d’un groupe d’assurance. Concernant les exigences sur le contrôle interne en particulier, elle indique dans son article 5 §1 que « les États membres prescrivent que les autorités compétentes doivent exiger que toute entreprise d’assurance soumise à la surveillance complémentaire dispose de procédures de contrôle interne adéquates pour la production des données et informations utiles aux fins de l’exercice de la surveillance complémentaire. » La Directive a été transposée en 2005 dans le Code de la Mutualité50 et dans le Code de la Sécurité Sociale51 et en 2002 dans le Code des Assurances52. Ainsi, les organismes d’assurance agréés en France et soumis au contrôle de l’Etat doivent disposer « d’un système de contrôle interne pour la production des données et informations destinées à permettre la surveillance complémentaire de leur situation financière. »

6.2.3 La Directive sur la surveillance des conglomérats financiers

Les conglomérats financiers sont définis par l’Union Européenne comme des groupes financiers qui fournissent des produits et des services relevant de différents secteurs des marchés financiers. La Directive 2002/87/CEE du Parlement Européen et du Conseil du 16 décembre 2002 relative à la surveillance complémentaire des établissements de crédit, des entreprises d'assurance et des entreprises d'investissement appartenant à un conglomérat financier a modifié plusieurs directives dans le but d’initier une forme de surveillance prudentielle consolidée des établissements de crédit, des entreprises d'assurance et des entreprises d'investissement appartenant à ce type de conglomérat, notamment en ce qui concerne la solvabilité et la concentration des risques au niveau du conglomérat, les transactions intragroupe, les modalités de gestion interne des risques au niveau du conglomérat et l'honorabilité et la compétence de la direction.

50 Décret n°2005-244 du 14 mars 2005, les dispositions réglementaires sont données aux articles R.213-1 à R.213-11 51 Décret n°2005-245 du 14 mars 2005, les dispositions réglementaires sont données aux articles R.933-1 à R.933-6. 52 Décret n° 2002-360 du 14 mars 2002 modifiant le chapitre 334 (partie législative) du Code des Assurances. Les dispositions réglementaires sont données aux articles R.334-40 à R.334-46.


56

Tout comme la Directive de surveillance sur les groupes d’assurances, l’objectif est de surveiller le problème du double emploi des fonds propres à l’intérieur de groupes intervenant dans les deux secteurs de la banque et de l’assurance par l’utilisation sans réelle contrainte, des fonds propres contribuant à la solvabilité d’entreprises d’assurance pour jouer le même rôle dans une filiale bancaire. La Directive vise donc à limiter le risque de contagion entre banque et entreprise d’assurance appartenant à un même groupe. Cette Directive impose ainsi aux Etats membres la mise en place d’un dispositif de surveillance complémentaire aux dispositions déjà prévues par les règles sectorielles en la matière à toutes les entreprises visées par la Directive et appartenant à un conglomérat financier. Pour ce qui concerne l’objet de cette étude, on retiendra que cette Directive impose notamment une surveillance de la concentration des risques en exigeant des entreprises visées qu’elles communiquent régulièrement et au moins une fois par an sur les concentrations de risques importantes au niveau du conglomérat financier à un coordinateur unique, responsable de la coordination et de l’exercice de la surveillance complémentaire, désigné parmi les autorités compétentes concernées. De plus, la Directive impose qu’au niveau du conglomérat financier, il existe des procédures de gestion des risques ainsi que des dispositifs de contrôle interne appropriés, comprenant des procédures administratives et comptables saines. Ces procédures et dispositifs doivent faire l’objet d’un contrôle prudentiel par le coordinateur. Les procédures de gestion des risques doivent comprendre :

a) une saine gestion et une bonne direction des affaires incluant l'approbation et l'examen périodique des stratégies et politiques, pour l'ensemble des risques encourus, par les organes dirigeants appropriés au niveau du conglomérat financier;

b) des politiques appropriées en matière d'adéquation des fonds propres afin d'anticiper l'impact

des stratégies de développement sur le profil de risques et les exigences en matière de fonds propres;

c) des procédures appropriées permettant de garantir que les dispositifs de surveillance des

risques sont adaptés à l'organisation et que toutes mesures sont prises pour que les systèmes mis en place au sein de chacune des entreprises relevant de la surveillance complémentaire soient cohérents, afin que les risques puissent être mesurés, surveillés et maîtrisés au niveau du conglomérat financier.

Les dispositifs de contrôle interne doivent comprendre :

a) des dispositifs adéquats en ce qui concerne l'adéquation des fonds propres permettant d'identifier et de mesurer tous les risques importants encourus et de déterminer un niveau de fonds propres adapté aux risques;

b) des procédures saines d'information et de comptabilité permettant d'identifier, de mesurer,

d'encadrer et de contrôler les transactions intragroupe ainsi que la concentration de risques. En outre, les États membres veillent à ce que toutes les entreprises relevant de la surveillance complémentaire possèdent des dispositifs de contrôle interne propres à permettre la production de toute donnée ou de toute information pouvant être pertinente aux fins de la surveillance complémentaire. La Directive a été transposée par l’ordonnance n°2004-1201 du 12 novembre 2004 dans le chapitre 334 du Code des Assurances, dans le code Monétaire et Financier, dans le chapitre 933 du Code de la Sécurité Sociale et dans le chapitre 212 du Code de la Mutualité.


57

6.3 Réglementation anglo-saxonne

6.3.1 Le Foreign Corrupt Practices Act de 1977

Entre 1973 et 1976, les investigations menées dans le cadre de l’affaire du Watergate ont révélé que plus de 400 sociétés américaines avaient financé illégalement des partis politiques et payé des pots-de-vin à des représentants de gouvernements étrangers pour un montant de plus de 300 millions de dollars. Ces malversations sont à l’origine de l’adoption du Foreign Corrupt Practices Act (FCPA) en 197753. Le FCPA comprend des dispositions relatives aux contrôles comptables et au contrôle interne dans le but de dissuader toute intention de paiement illégal. Le contrôle interne est ensuite revenu régulièrement sous les feux de l’actualité économique américaine et nombreuses sont les institutions ou organismes ayant travaillé sur le sujet. Plusieurs recommandations et/ou projets de loi furent d’ailleurs présentés au législateur. Pourtant, ce ne sera qu’à la suite des scandales financiers d’Enron et Worldcom qu’une loi (en partie) dédiée au contrôle interne sera promulguée : la loi Sarbanes-Oxley.

6.3.2 Le « Sarbanes Oxley Act of 2002 »

Aux Etats-Unis, les scandales financiers d’Enron et Worldcom ont provoqué l’adoption par le Congrès américain le 30 juillet 2002 de la loi fédérale sur la « protection des investisseurs en améliorant l’exactitude et la fiabilité des informations communiquées par les sociétés », connue également sous l’acronyme SOX, Sarbox, SOA ou d’après le nom de ses promoteurs, le sénateur Paul Sarbanes et le représentant Michael Oxley, la Loi Sarbanes-Oxley.

Le comportement d’Enron et Worldcom est à l’origine de la loi SOX.

Cette loi est basée sur deux principes : « la responsabilisation des membres du Conseil d’administration et des dirigeants exécutifs d’une entreprise et la transparence des informations communiquées aux investisseurs54 ».

53 Amendé en 1998 par l’International Anti-Bribery Act 54 Michael Oxley dans son allocution sur « La loi Sarbanes-Oxley : cinq ans après, où en sommes-nous ? », 1er février 2007.


58

Elle vise notamment à :

- assurer la supervision de la profession comptable, - renforcer l’exactitude et l’accessibilité de l’information comptable et financière, - accroître la responsabilité des dirigeants, - améliorer l’indépendance des auditeurs externes, - durcir les sanctions à l’encontre des dirigeants peu scrupuleux.

Cette loi s’applique à toutes les sociétés cotées aux Etats-Unis ainsi qu’à toutes leurs éventuelles filiales. Cette extraterritorialité peut paraître logique en contrepartie du bénéfice que les entreprises peuvent tirer de leur cotation sur le marché américain. La loi s’articule autour de 11 thèmes qui couvrent des objectifs bien particuliers :

§ Thème I Création du « Public Company Accounting Oversight Board » § Thème II Indépendance des auditeurs § Thème III Responsabilité de l’entreprise § Thème IV Amélioration des publications financières § Thème V Conflits d’intérêts des analystes (agence de notation) § Thème VI Ressources et autorité de la commission (SEC) § Thème VII Etudes et rapports § Thème VIII Responsabilité et fraudes pénales des entreprises § Thème IX Majoration des peines pour les « cols blancs » § Thème X Déclaration de revenus des entreprises § Thème XI Responsabilité des fraudes des entreprises

Les articles les plus importants de la loi se rapportant spécifiquement au contrôle interne sont les articles 302 et 404. Il faut noter que l’entrée en vigueur de la loi SOX a été lourde de conséquences pour les entreprises cotées aux USA. En effet, les budgets nécessaires à la mise en place d’organisations sophistiquées au sein des sociétés ont été colossaux55. Il est d’ailleurs intéressant de constater, que d’après un rapport sur la compétitivité de New York et des Etats-Unis par rapport à Londres, Paris, etc., la part des Etats-Unis sur les introductions en bourse de plus d’un milliard de dollars est passée de plus de 50% à moins de 20% entre 2001 et 2006. Section 302 L’article 302 assigne la responsabilité directe de la publication des rapports annuels ou trimestriels au Directeur Général (« principal executive officer ») et au Directeur Financier (« financial officer »). Ils se doivent de certifier personnellement, pour chaque rapport, que :

- le rapport a été revu par leurs soins, - à leur connaissance, le rapport ne contient aucune fausse déclaration sur un élément déterminant

ni n’omet de déclarer un élément majeur lors de la publication des comptes, - à leur connaissance, les déclarations financières et autres renseignements financiers figurant

dans le rapport reflètent la réalité financière.

55 Certains économistes chiffrent les incidences de SOX et du PCAOB sur l’économie américaine entre 0,1 et 0,2 point de PIB de manque à gagner


59

De plus, ils doivent :

- établir et maintenir des contrôles leur permettant d’avoir connaissance de toutes les informations importantes, particulièrement pendant la période au cours de laquelle est préparé le rapport périodique,

- évaluer l’efficacité des contrôles sur le processus de production et de publication des états

financiers dans les 90 jours qui précèdent la date de dépôt du rapport et présenter, dans le rapport, leurs conclusions sur l’efficacité des contrôles sur la base de l’évaluation requise depuis la date en question ;

- signaler aux Commissaires aux Comptes et au Comité d’Audit :

a) toutes les anomalies significatives, en termes de conception et d’exécution des

contrôles internes, qui pourraient porter préjudice à la capacité de la société à enregistrer, traiter, résumer et publier des données financières ;

b) toute faiblesse significative en termes de contrôles internes ; c) toute pratique frauduleuse, qu’elle soit ou non significative, qui implique la direction

ou d’autres employés concernés par les contrôles internes ; d) l’existence ou l’absence de changements significatifs dans les contrôles internes ou

d’autres facteurs qui pourraient impacter les contrôles internes après la date de l’évaluation, et toutes mesures de correction sur les anomalies et faiblesses significatives.

Section 404 L’article 404 exige qu’à chaque rapport annuel soit joint un rapport sur le contrôle interne contenant :

- une déclaration de responsabilité de la Direction Générale quant à la mise en place et au maintien d’un dispositif de contrôle interne approprié pour le reporting financier ;

- une évaluation de la qualité des procédures et du dispositif de contrôle interne pour le reporting financier.

Le Commissaire aux Comptes doit éventuellement contrôler l’évaluation réalisée par la Direction Générale ainsi qu’évaluer et attester avoir audité le dispositif de contrôle interne. L’article 404 a fait l’objet de commentaires détaillés d’application pratique par la SEC imposant notamment l’obligation de documenter les tests de contrôle interne réalisés dans son document « Management’s Reports on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports »56. Ainsi, les objectifs de contrôle et les contrôles associés doivent être documentés de façon appropriée et la documentation attendue doit comprendre les éléments suivants :

- les entités et les processus inclus dans l’évaluation précisant les critères retenus, - la description des processus du périmètre, - les contrôles et les objectifs de contrôle, - l’évaluation et la revue de l’efficacité de la conception, - les tests d’efficacité des contrôles incluant un planning et les personnes responsables des tests, - l’évaluation des faiblesses de contrôle afin de déterminer s’il y a des déficiences significatives ou

des lacunes avec impacts matériels,

56 Règlement 33-8238 de la Securities and Exchange Commission


60

- un rapport écrit, - la communication des conclusions à l’auditeur (externe) et au comité d’audit.

La SEC précise que le dispositif de contrôle interne ne peut être qualifié d’efficace si la Direction a identifié une ou plusieurs faiblesses matérielles57. Le PCAOB Le rôle du « Public Company Accounting Oversight Board » est de surveiller les activités des firmes comptables (cabinets d’audits, commissaires aux comptes) qui émettent des rapports de certification pour les entreprises régies par les marchés financiers publics. Les cabinets d’audits doivent se faire enregistrer chaque année auprès du PCAOB, se soumettre à son contrôle (section 101) et lui fournir certains renseignements (noms de leurs clients, honoraires perçus, contrôle de qualité interne). De plus, la section 201 de la loi restreint fortement l’éventail des prestations qu’une société d’audit est en droit de proposer à un client coté à la Bourse américaine et dont elle fait déjà l’audit externe. L’auditing standard n°2 En mars 2004, le PCAOB a publié l’ « Auditing Standard n°2 – An Audit of Internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements » qui encadre le travail d’attestation des vérificateurs/auditeurs externes pour SOX-404. Ce document fournit également des informations sur les exigences quant au contenu des rapports d’évaluation du dispositif de contrôle interne établis par les dirigeants et par les commissaires aux comptes. En réalité, c’est ce document, et non les articles de la loi SOX elle-même, qui est à l’origine des exigences sur le nombre important de tests à réaliser sur le niveau du contrôle interne comptable et financier et sur le grand niveau de détail à produire dans la documentation. Car ce sont ces travaux qui permettent au management et aux auditeurs de certifier le bon fonctionnement du contrôle interne. La question, souvent posée, de savoir si la loi SOX, et notamment la section 404 (avec ses exigences sur la documentation des contrôles) n’est peut-être pas allé trop loin a d’ailleurs trouvé une réponse tout récemment. L’auditing standard n°5 Compte tenu des coût significatifs induits par les exigences de l’Auditing Standard n°2, le PCAOB a publié le 24 mai 2007, l’ « Auditing Standard n°5 – An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements ». Ce document est venu assouplir les règles sur le contrôle interne et financier. La nouvelle version du document privilégie ainsi une nouvelle méthodologie pour mieux prendre en compte la maîtrise des risques, laissant ainsi une marge d’appréciation aux entreprises. Elle favorise en effet une approche « top-down » dans l’identification des risques et des contrôles à tester par l’auditeur externe avec une importance accrue pour la lutte contre la fraude. L’objectif consiste dorénavant à se focaliser sur les zones à enjeu susceptibles d’être à l’origine d’erreurs conséquentes en matière de reporting comptable et financier.

57 Une faiblesse matérielle est une, ou un ensemble de faiblesses, du contrôle interne qui pourrait raisonnablement conduire à ce qu’une fausse déclaration dans les états financiers périodiques de la société ne puisse pas être évitée ou détectée à temps – Source : Accounting Standard n°5, PCAOB.


61

Par ailleurs, les règles autorisent l’auditeur externe à pouvoir utiliser les travaux réalisés en interne par l’entreprise pour émettre son avis (et son rapport) sur le niveau de fiabilité du contrôle interne comptable et financier. Enfin, sur les deux rapports que devait émettre l’auditeur, l’un sur la fiabilité du contrôle interne comptable et financier, l’autre sur l’évaluation réalisée par l’entreprise, le PCAOB a estimé que seul le premier était nécessaire. Ainsi, l’auditeur externe doit uniquement donner une opinion sur la qualité du contrôle interne. On notera cependant qu’il a quand même le devoir d’exercer un regard critique sur les déclarations faites par le management. Le document précise en effet que l’évaluation du niveau de contrôle interne par l’auditeur externe (Commissaire aux Comptes) permet de fait, en statuant au final sur l’adéquation ou pas du contrôle interne, de satisfaire aux exigences de la section 404. Les sanctions En cas de non respect de la loi, les peines prévues pour les dirigeants coupables peuvent atteindre 5 millions de dollars d’amende et jusqu’à 20 ans de prison. Principales différences avec la LSF La LSF a été promulguée quelques mois après la loi Sarbanes-Oxley, et c’est pourquoi, bien souvent, elle est considérée comme la version française de la loi SOX. Pourtant, même si l’objectif de restaurer la confiance des investisseurs et du public était commun, il existe des différences notables entre celles-ci :

§ La LSF implique directement le Président du Conseil d’administration ou du Conseil de surveillance alors que la loi américaine implique la direction opérationnelle : le CEO (« Chief Executive Officer » - Directeur Général en français) et le CFO (« Chief Financial Officer » - Directeur Financier en français). C’est l’implication des dirigeants d’Enron et de Worldcom dans les fraudes mises à jour qui explique la mesure emblématique de la loi SOX sur la responsabilité personnelle des dirigeants.

§ La LSF concerne toutes les procédures de contrôle interne couvrant l’ensemble des risques

(opérationnels, stratégiques, etc.) alors que la loi SOX ne concerne que les processus d’élaboration de l’information comptable et financière58. Le périmètre de la LSF est donc beaucoup plus large que celui de la loi SOX, même si la LSF ne donne pas de définition précise du contrôle interne. Ainsi, « la LSF se place dans une perspective plus exhaustive, impliquant une analyse de la gestion des risques à tous les niveaux dans l’entreprise59 ».

58 Le règlement 33-8238 fait en effet référence à l’"internal control over financial reporting" (contrôle interne sur l’information financière) dont la définition est : "A process designed by, or under the supervision of, the registrant's principal executive and principal financial officers, or persons performing similar functions, and effected by the registrant's board of directors, management and other personnel, to provide reasonable assurance regarding the reliability of financial reporting and the preparation of financial statements for external purposes in accordance with generally accepted accounting principles and includes those policies and procedures that:

(1) Pertain to the maintenance of records that in reasonable detail accurately and fairly reflect the transactions and dispositions of the assets of the registrant;

(2) Provide reasonable assurance that transactions are recorded as necessary to permit preparation of financial statements in accordance with generally accepted accounting principles, and that receipts and expenditures of the registrant are being made only in accordance with authorizations of management and directors of the registrant; and

(3) Provide reasonable assurance regarding prevention or timely detection of unauthorized acquisition, use or disposition of the registrant's assets that could have a material effect on the financial statements."

59 D’après le rapport d’information n°431 du Sénat du 27 juillet 2007 par Philippe Marini


62

§ La LSF exige du Président du Conseil d’administration ou du Conseil de surveillance de rendre compte des procédures de contrôle interne et il n’est pas tenu de les apprécier ni de les évaluer alors que SOX exige une description et une évaluation de leur efficacité.

§ La loi SOX exige que l’évaluation des contrôles soit effectuée en fonction d’un cadre de

contrôle reconnu (la SEC a ainsi considéré que le modèle de contrôle interne COSO respecte les critères établis pour l’utilisation d’un référentiel) alors que la LSF n’impose rien.

§ Enfin, en termes d’audit (externe), la LSF impose aux commissaires aux comptes de présenter

leurs observations sur les procédures de contrôle interne qui sont relatives à l’élaboration et au traitement de l’information comptable et financière alors que la loi SOX exige des auditeurs qu’ils portent une évaluation et qu’ils établissent un rapport.

6.3.3 Le « Combined Code on Corporate Governance » britannique Le « Combined Code on Corporate Governance » - applicables aux sociétés britanniques cotées sur le London Stock Exchange – prévoit que le conseil d’administration doit établir et maintenir un système de contrôle interne60 dont il doit, au moins une fois par an, évaluer le caractère effectif, afin d’en rendre compte aux actionnaires. Il s’agit principalement de déclarations du conseil sur l’existence d’un système de gestion des risques, d’informations sur le processus d’évaluation et d’une déclaration de responsabilité du conseil sur le contrôle interne et son évaluation, toute explication devant être fournie si l’une quelconque de ces informations ne peut être présentée (principe du « comply or explain »). Le Code renvoie aux préconisations du « Turnbull guidance » pour satisfaire aux exigences en matière de contrôle interne.

6.4 Lutte contre le blanchiment de capitaux et le financement du terrorisme

Les exigences en matière de contrôle interne ne sont pas uniquement le fruit du code des assurances, de la LSF ou bien encore de la loi SOX pour les entreprises cotées aux USA. Il existe également d’autres réglementations ayant un impact plus ou moins important sur les dispositifs de contrôle interne. Rappelons en effet que l’un des objectifs fondamentaux du contrôle interne est de donner une assurance raisonnable sur la conformité aux lois et règlements et que toutes les lois doivent donc être prises en considération dans le dispositif de contrôle interne, même si toutes ne nécessitent pas forcément la mise en place de contrôles spécifiques. Les textes sur la lutte contre la fraude, le blanchiment de capitaux ou bien encore la lutte contre le financement du terrorisme sont cependant particulièrement importants. Le Groupe d'action financière international (GAFI) sur le blanchiment de capitaux a été créé au sommet du G-7 à Paris en 1989, en réponse à des préoccupations croissantes au sujet du blanchiment de capitaux. Reconnaissant la menace pesant sur le système bancaire et les institutions financières, les chefs d'État et de gouvernement du G-7 et le Président de la Commission européenne ont convoqué le Groupe d'action rassemblant des représentants des États membres du G-7, de la Commission européenne et de huit autres pays.

60 Article C2 : « The board should maintain a sound system of internal control to safeguard shareholders’ investment and the company’s assets. »


63

Le Groupe d'action a reçu pour mission d'examiner les techniques et les tendances du blanchiment de capitaux, d'analyser les actions qui ont été menées au plan national ou international et d'énoncer les mesures qui restent à prendre pour lutter contre le blanchiment. En avril 1990, moins d'un an après sa création, le GAFI a publié un rapport contenant une série de quarante Recommandations61 qui fournissent un plan d'action complet pour lutter contre le blanchiment de capitaux. Certaines d’entre elles font directement référence aux dispositifs de contrôle interne à mettre en place dans les institutions financières. Par exemple, la Recommandation 15 précise : « Les institutions financières devraient mettre au point des programmes de lutte contre le blanchiment de capitaux et le financement du terrorisme. Ces programmes devraient comprendre :

a) Des politiques, des procédures et des contrôles internes, y compris des dispositifs de contrôle de la conformité et des procédures appropriées lors de l'embauche des employés, de façon à s’assurer qu’elle s’effectue selon des critères exigeants.

b) Un programme de formation continue des employés.

c) Un dispositif de contrôle interne pour vérifier l'efficacité du système ».

Dès 2001, le groupe d’action financière internationale (GAFI) a consacré l'extension du champ de compétence des cellules de renseignement financier à la lutte contre le financement du terrorisme et a adopté en 2004 neuf Recommandations Spéciales en ce domaine qui, conjointement avec les quarante Recommandations sur le blanchiment de capitaux, fournissent le cadre fondamental visant à détecter, prévenir et réprimer le financement du terrorisme et des actes terroristes. Ces recommandations imposent en autres l’obligation de déclaration des transactions suspectes. A noter que la plupart des recommandations du GAFI ont fait l’objet de transcriptions en droit français en plusieurs lois entre 1990 et 2004. Créé en 1990 au sein du Ministère de l'économie, des finances et de l'industrie, TRACFIN62 est au cœur du dispositif français de lutte contre l'argent sale et le financement du terrorisme. Cellule de renseignement financier de la France, TRACFIN constitue "un centre national pour recueillir, analyser et transmettre les déclarations d'opérations suspectes et d'autres informations concernant les actes susceptibles d'être constitutifs de blanchiment de capitaux et de financement du terrorisme", conformément à la définition retenue au plan international. En Europe, c’est la Directive 2005/60/CE du Parlement européen et du Conseil du 26 octobre 2005 relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme qui fait référence en la matière. Pour ce qui concerne spécifiquement les organismes d’assurance, l’ACAM a publié le 14 mars 2005 un guide de bonnes pratiques intitulé "la lutte contre le blanchiment des capitaux et le financement du terrorisme en matière d'assurance vie et de capitalisation", destiné à faciliter la tâche des organismes d’assurance soumis aux obligations de vigilance.

61 Élaborées initialement en 1990, les Recommandations ont été révisées une première fois en 1996 pour tenir compte des changements de tendances en matière de blanchiment et pour anticiper d'éventuelles menaces futures. Plus récemment, le GAFI a achevé une révision et mise à jour approfondies des quarante recommandations (2003). Le GAFI a aussi rédigé quelques notes interprétatives qui sont destinées à clarifier l'application de certaines Recommandations et à fournir des indications complémentaires. 62 Traitement du Renseignement et Action contre les Circuits Financiers clandestins


64

SYNTHESE DE LA DEUXIEME PARTIE

Dans la première partie, nous avons montré que le concept de contrôle interne pouvait apparaître comme obscur et difficile à appréhender mais qu’il était tout de même possible d’en apporter une définition acceptable par le plus grand nombre. Cependant, concevoir un dispositif de contrôle interne qui soit parfaitement adapté à la configuration d’une organisation n’est pas forcément simple et il est d’ailleurs difficile d’envisager l’existence d’un modèle unique capable de satisfaire toutes les particularités. D’où l’intérêt de s’intéresser aux divers concepts académiques et réglementaires relatifs au contrôle interne afin d’en identifier les éventuelles composantes fondamentales. Ainsi, l’étude des modèles conceptuels tels que le COSO américain, le Turnbull guidance britannique ou bien encore le cadre de référence français défini par le Groupe de Place permet de dégager un certain nombre de principes qui devraient constituer les éléments essentiels du contrôle interne :

1) un environnement de contrôle comprenant entre autres, une définition claire des

responsabilités ainsi qu’une organisation reposant sur des procédures opératoires et sur la compétence du personnel ;

2) un système d’évaluation des risques qui doit permettre d’assurer le recensement permanent et

la gestion des risques auxquels est exposée l’organisation ;

3) des activités de contrôle permettant de vérifier que des mesures sont prises pour assurer la maîtrise des risques ;

4) un système de communication assurant la circulation des informations dans le but de permettre

la prise de décisions pertinentes ;

5) des activités de surveillance et de pilotage qui permettent la détection et la correction des faiblesses dans le système de contrôle interne.

Par ailleurs, il apparaît logique qu’un dispositif de contrôle interne soit animé par des acteurs aux responsabilités bien définies. Ainsi, si le contrôle interne reste avant tout l’affaire de tous et notamment celle de l’ensemble du personnel de l’entreprise ou de l’organisation, la responsabilité doit en revanche incomber aux plus hautes instances telles que le Président Directeur Général ou le conseil d’administration. Les différents comités et le comité d’audit en particulier doivent aider la direction à améliorer la gouvernance de l’entreprise en supervisant des domaines spécifiques. Les auditeurs internes doivent être chargés d’évaluer l’efficacité du dispositif et de préconiser les améliorations nécessaires. Enfin, les auditeurs externes, les autorités de tutelle ainsi que certains tiers doivent influencer le fonctionnement du contrôle interne en permettant l’identification de faiblesses ou en imposant le respect d’un minimum d’obligations. D’autre part, l’analyse des textes législatifs relatifs au contrôle interne permet non seulement de confirmer le véritable enjeu réglementaire du contrôle interne mais aussi de constater qu’en définitive, la réglementation n’impose que des obligations de principes et non de moyens. Ainsi, la maîtrise de l’information comptable et financière devrait être l’un des objectifs de base de tout dispositif de contrôle interne. La plupart des réglementations sur le contrôle interne ont été élaborées en réaction aux scandales financiers du début des années 2000. La volonté des législateurs et régulateurs de marchés financiers de restaurer la confiance des investisseurs et du public a ainsi fait que la plupart des exigences ont été formulées dans le but premier de garantir avant tout la fiabilité du reporting comptable et financier. C’est notamment le cas des lois Sarbanes-Oxley aux Etats-Unis et de Sécurité Financière en France ou bien encore des Directives comptables européennes.


65

La maîtrise des activités et des risques apparaît également comme un autre des principaux enjeux. Certaines réglementations, tel le Décret du 13 mars 2006 applicable aux entreprises d’assurance par exemple, exigent en effet une description des procédures de contrôle interne relatives à la maîtrise des activités de l’entreprise (cohérence avec la stratégie) et à la gestion de certains risques. Enfin, la nécessité d’assurer la conformité aux lois et réglementations en vigueur apparaît aussi comme l’une des priorités du contrôle interne, notamment par rapport à la problématique de la lutte contre le blanchiment et le financement du terrorisme. Quant à la structuration du dispositif de contrôle interne dans les entreprises, la réglementation actuelle n’exige pas l’utilisation d’un référentiel précis. Cependant, le décret du 13 mars 2006 impose tout de même aux entreprises d’assurance qu’elles mettent en place un dispositif permanent de contrôle interne sans toutefois en définir concrètement les modalités opérationnelles et la 8è directive européenne exige la mise en place d’un comité d’audit chargé du suivi de l’efficacité des systèmes de contrôle interne, d’audit interne, le cas échéant, et de gestion des risques de la société. Ainsi, pour être bénéfique, un dispositif de contrôle interne devrait avant tout être basé sur un ensemble de principes de référence dont les modalités d’application opérationnelle seraient adaptées aux besoins particuliers de l’entreprise.

***


66

3ème PARTIE

PERSPECTIVES D’EVOLUTION DU CONTRÔLE INTERNE : QUEL(S) MODELE(S) D’ORGANISATION ?


67

CHAPITRE 7 - LES ORIENTATIONS REGLEMENTAIRES

POUR LE SECTEUR DES ASSURANCES

De manière à définir les perspectives d’évolution du contrôle interne, il est important de s’attacher d’abord à analyser les éventuelles évolutions réglementaires car nous l’avons vu, c’est essentiellement la réglementation qui a permis de faire reconnaître le concept au sein des entreprises et de permettre son passage du statut de concept théorique à celui de réalité opérationnelle. Pour cela, il apparaît opportun d’étudier les pratiques en vigueur dans d’autres secteurs ainsi que les positions et recommandations des différents organismes de régulation ou de tutelle qui disposent d’un pouvoir d’influence reconnu sur les évolutions réglementaires.

7.1 L’influence du modèle bancaire

7.1.1 Une préoccupation « ancienne »

S’il est un secteur en pointe en matière de contrôle interne, c’est bien celui de la banque. En effet, l’accroissement des risques bancaires de toute nature a justifié la volonté des autorités bancaires, depuis plusieurs années, de renforcer les dispositifs visant à assurer au système bancaire la plus grande stabilité. C’est ainsi que les établissements de crédit ont été amenés à se doter d’un système de contrôle interne. Le rôle du contrôle interne a donc été défini comme suit dans l’article 1er du CRB63 n°90-08 du 25 juillet 1990 : « Le système de contrôle interne a notamment pour objet de (…) vérifier que les opérations réalisées par l’établissement ainsi que l’organisation et les procédures internes sont conformes aux dispositions législatives et réglementaires en vigueur, aux normes et usages professionnels et déontologiques et aux orientations de l’organe exécutif ». En septembre 1997, le comité de Bâle64 publia vingt-cinq « Principes fondamentaux pour un contrôle bancaire efficace »65 dont certains faisaient directement référence à la nécessaire mise en place de dispositifs de contrôle interne, de gestion des risques et d’audit et traitaient de la conformité et de la fiabilité de l’information comptable et financière (publication et présentation sincère et régulière des états financiers). La version révisée fait notamment mention des principes suivants :

63 Comité de la Réglementation Bancaire 64 Le Comité de Bâle sur le contrôle bancaire, institué en 1975 par les gouverneurs des banques centrales des pays du Groupe des Dix, rassemble les autorités de contrôle des banques. Il est composé de hauts représentants des autorités de contrôle bancaire et de banques centrales d’Allemagne, d’Espagne, de Belgique, du Canada, des Etats-Unis, de France, d’Italie, du Japon, du Luxembourg, des Pays-Bas, du Royaume-Uni, de Suède et de Suisse. Ses réunions ont habituellement pour cadre la Banque des Règlements Internationaux, à Bâle, siège de son Secrétariat permanent. Les missions du Comité de Bâle sont : § le renforcement de la sécurité et de la fiabilité du système financier, § l’établissement de standards minimaux en matière de contrôle prudentiel, § la diffusion et la promotion des meilleures pratiques bancaires de surveillance, § la promotion de la coopération internationale en matière de contrôle prudentiel.

65 Ces principes ont fait l’objet d’une publication révisée en octobre 2006


68

§ Principe 7 – Processus de gestion des risques : les autorités de contrôle bancaire doivent avoir l’assurance que les banques et les groupes bancaires disposent d’un processus complet de gestion des risques (comportant une surveillance appropriée de la part du conseil d’administration et de la direction générale) pour identifier, évaluer, suivre et contrôler, ou réduire, tous les risques significatifs et pour évaluer l’adéquation globale de leurs fonds propres au regard de leur profil de risque. Ce processus est adapté à la taille et à la complexité des établissements.

§ Principe 17 – Contrôles internes et audit : les autorités de contrôle bancaire doivent avoir

l’assurance que les banques sont dotées de procédures de contrôles internes adaptées à la taille et à la complexité de leurs activités et recouvrant plusieurs aspects : dispositions claires de délégation des pouvoirs et des responsabilités ; séparation des fonctions donnant lieu à un engagement de la banque, au versement de fonds et touchant aux actifs et aux passifs ; vérification de concordance de ces processus ; préservation des actifs ; audit interne et fonction de contrôle de conformité indépendants et appropriés pour vérifier la mise en œuvre de ces contrôles ainsi que le respect des lois et réglementations applicables.

§ Principe 22 – Exigences en matière de comptabilité et d’information financière : les autorités

de contrôle bancaire doivent avoir l’assurance que chaque banque tient sa comptabilité de manière adéquate, conformément à des conventions et pratiques largement reconnues sur le plan international, et qu’elle publie régulièrement des informations reflétant fidèlement sa situation financière et sa rentabilité.

7.1.2 Des problématiques voisines de celles des assureurs

Tout comme les compagnies d’assurance, qui assurent la protection patrimoniale des citoyens, les banques jouent un rôle économique très important dans les sociétés capitalistes, car elles contribuent à orienter l’argent de ceux qui en ont momentanément trop vers ceux qui en ont besoin. Cependant, leurs activités de base, qui consistent à prêter et à placer l’argent que leur confient les déposants, les exposent à un ensemble de risques et notamment :

§ Le risque de crédit : c’est le risque que l'emprunteur ne rembourse pas sa dette à l'échéance

fixée. Ce risque est lourd de conséquences pour toute entreprise car toute dette non remboursée se traduit économiquement par une perte sèche pour le créancier mais il est particulièrement important dans le secteur bancaire car le prêt d’argent constitue la base même des activités.

§ Le risque de marché : le risque de marché est le risque de perte qui peut résulter des fluctuations

des prix des instruments financiers qui composent un portefeuille. Le risque peut porter sur le cours des actions, les taux d'intérêts, les taux de change, les cours de matières premières, etc.

§ Le risque pays : c’est la probabilité qu'un pays assurera le service de sa dette extérieure. Certains

pays peuvent en effet présenter des vulnérabilités par rapport aux investissements internationaux. § Le risque de liquidité : les banques reçoivent majoritairement des dépôts à court terme de leurs

clients et font des prêts à moyen et long terme. Il peut donc se créer un décalage entre les sommes prêtées et les sommes disponibles (dépôts), et ces dernières peuvent être insuffisantes. Dans ce cas on parle de manque de liquidités.

§ Le risque opérationnel : le risque opérationnel correspond au risque de pertes provenant de

processus internes inadéquats ou défaillants, de personnes et systèmes ou d'évènements externes. Cette définition recouvre les erreurs humaines, les fraudes et malveillances, les défaillances des systèmes d'information, les problèmes liés à la gestion du personnel, les litiges commerciaux, les accidents, incendies, inondations.


69

§ Le risque systémique : étant donné les relations financières qu’entretiennent les banques au sein du système bancaire, la faillite d’une banque peut entraîner par effet de dominos, celles d’autres banques qui, faute d’avoir été remboursées par la banque défaillante, seraient à leur tour incapables de faire face à leurs engagements.

C’est pourquoi, de manière à assurer la sécurité des dépôts de leurs clients, les banques sont soumises, comme dans le secteur de l’assurance, à une supervision stricte par une autorité de tutelle, chargée de vérifier leur solvabilité financière, c’est-à-dire leur capacité à assurer l'avenir à relativement long terme sans se trouver en défaut de paiement. Elles ont donc l’obligation de respecter certains ratios financiers afin de limiter ce risque. Le plus connu est le ratio d’adéquation des fonds propres : le ratio Mac Donough66 (anciennement ratio Cooke), récemment remis à jour dans le cadre des directives Bâle II67, et qui oblige les banques à maintenir un niveau de fonds propres minimum pour assurer les engagements de la banque. Dès lors, compte tenu des préoccupations sur la solvabilité et des engagements à long terme des banques, il semble évident d’établir un certain parallèle entre les notions de déposant dans le secteur bancaire et d’assuré dans l’assurance et de constater que les problématiques relatives au contrôle interne dans les deux secteurs sont très proches. Aussi, compte tenu de son avance dans le domaine, il apparaît alors utile de procéder à l’étude de la réglementation relative au contrôle interne dans le secteur bancaire afin d’en tirer quelques enseignements et prévisions sur les évolutions possibles de la réglementation pour les organismes d’assurance.

7.1.3 Le règlement bancaire 97-02

En s’appuyant sur l’expérience tirée de la réglementation mise en œuvre en 1990, mais aussi sur les travaux conduits au niveau international par les contrôleurs bancaires dans le cadre du Comité de supervision bancaire de la BCE68 et au sein du Comité de Bâle, le CRBF69 a renforcé les nouvelles règles relatives au contrôle interne. Ainsi, le règlement n°97-02 du 21 février 1997 relatif au contrôle interne des établissements de crédit et des entreprises d’investissement s’est substitué au règlement n°90-08 du 25 juillet 1990. Ce nouveau règlement est une synthèse et un approfondissement des divers règlements relatifs au contrôle interne (CRBF 90-08), à la mesure et au contrôle des risques de marché (CRBF 88-04), au risque de taux d’intérêt sur les opérations de marché (CRBF 0-09) et à l’organigramme comptable et au dispositif de traitement de l’information (CRBF 91-04). Il constitue l’évolution logique de la réglementation vers une

66 Le ratio McDonough, ou ratio de solvabilité bancaire, fixe une limite à l'encours pondéré des prêts (et autres actifs) accordés par un établissement financier en fonction de ses capitaux propres. Le niveau d'engagement des banques est ainsi limité par leur propre solidité financière. Comme le ratio Cooke auquel il succède, il tient son nom du président en exercice du Comité de Bâle pendant le processus d'établissement de l'accord, William J. McDonough. Il est plus fin que le ratio Cooke car il prend en compte le risque plus ou moins élevé des différents prêts accordés. 67 Les normes Bâle II (le Nouvel Accord de Bâle) constituent un dispositif prudentiel destiné à mieux appréhender les risques bancaires et principalement le risque de crédit ou de contrepartie et les exigences en fonds propres. Ces directives ont été préparées depuis 1998 par le Comité de Bâle, ville de Suisse, sous l'égide de la « banque centrale des banques centrales » : la Banque des Règlements Internationaux et ont abouti à la publication de la Directive CRD. 68 Banque Centrale Européenne 69 Comité de la réglementation bancaire et financière, voir les Annexes.


70

prise en compte globale de l’activité des établissements de crédit et incite les banques à respecter des règles en matière de gestion de risques. Il a ensuite fait l’objet de nombreuses modifications ultérieures70. D’après le 97-02, le contrôle interne comprend :

a) un système de contrôle des opérations et des procédures internes, b) une organisation comptable et du traitement de l’information, c) des systèmes de mesure des risques et des résultats, d) des systèmes de surveillance et de maîtrise des risques, e) un système de documentation et d’information, f) un dispositif de surveillance des flux d’espèces et de titres.

Le Titre I, « Principes et définitions » indique que l’exercice du contrôle interne doit s’effectuer au niveau consolidé. Le comité d’audit, s’il existe, doit porter une appréciation sur la qualité du contrôle interne, notamment la cohérence de mesure, de surveillance et de maîtrise des risques et proposer si nécessaire des actions complémentaires. Le Titre II, intitulé « Le système de contrôle des opérations et des procédures internes », décrit les objectifs et l’organisation du contrôle interne : « Le système de contrôle des opérations et des procédures internes a notamment pour objet, dans des conditions optimales de sécurité, de fiabilité et d’exhaustivité, de :

a) vérifier que les opérations réalisées par l’entreprise, ainsi que l’organisation et les procédures

internes, sont conformes aux dispositions en vigueur propres aux activités bancaires et financières, qu’elles soient de nature législative ou réglementaire, ou qu’il s’agisse de normes professionnelles et déontologiques, ou d’instructions de l’organe exécutif prises notamment en application des orientations de l’organe délibérant71 ;

b) vérifier que les procédures de décisions, de prises de risques, quelle que soit leur nature, et les normes de gestion fixées par l’organe exécutif, notamment sous forme de limites, sont strictement respectées ;

c) vérifier la qualité de l’information comptable et financière, qu’elle soit destinée à l’organe exécutif ou à l’organe délibérant, transmise aux autorités de tutelle et de contrôle ou qu’elle figure dans les documents destinés à être publiés ;

d) vérifier les conditions d’évaluation, d’enregistrement, de conservation et de disponibilité de cette information, notamment en garantissant l’existence de la piste d’audit au sens de l’article 12 ;

e) vérifier la qualité des systèmes d’information et de communication. »

Il est intéressant de noter ici que l’on retrouve les objectifs fondamentaux du contrôle interne tels que définis dans la 1ère partie de l’étude : le a) correspond à un objectif de conformité, le b) permet de veiller à l’application des procédures et des instructions de la direction, le c) est relatif à la fiabilité de l’information comptable et financière. Le point e) correspond à l’une des composantes du contrôle interne. Par contre, le point d) apporte des exigences nouvelles sur l’enregistrement et l’archivage des informations financières avec la nécessité de garantir la piste d’audit. L’article 6 est important pour le sujet qui nous concerne car il formalise l’organisation du contrôle interne, avec :

70 Modifié par les règlements n°2001-01 du 26 juin 2001 et n°2004-02 du 15 janvier 2004 et par les arrêtés du 31 mars 2005, du 17 juin 2005, du 20 février 2007 et du 2 juillet 2007. 71 Conseil d’administration, d’orientation ou de surveillance.


71

§ d’une part, un contrôle permanent en charge de la conformité, de la sécurité et de la validation des opérations et du respect des diligences liées à la surveillance des risques. Cette fonction est assurée par des opérationnels et des personnes dédiées au contrôle permanent en central et en local,

§ et d’autre part, un contrôle périodique de la conformité des opérations, du niveau de risque

effectivement encouru, du respect des procédures et de l’efficience des dispositifs. Cette fonction est assurée par du personnel en central, différent de celui dédié au contrôle permanent, qui réalise des enquêtes. C’est la description classique d’un service d’audit interne. Le contrôle périodique exerce son activité de manière indépendante à l’égard des entités contrôlées et doit couvrir l’ensemble des activités de la société (y compris les succursales et les entreprises contrôlées de manière exclusive ou conjointe) sur un nombre d’exercices aussi limité que possible. Les missions de contrôle doivent faire l’objet d’un planning annuel.

Le texte impose également la désignation d’un ou de plusieurs responsables du contrôle permanent et d’un responsable du contrôle périodique, qui doivent rendre compte à l’organe exécutif, délibérant ou au comité d’audit. Le règlement met aussi l’accent sur l’indépendance et la séparation des fonctions opérations/validation/contrôle et la mise à la disposition des responsables du contrôle interne des moyens adéquats à l’exercice de leurs missions. Il définit en outre le dispositif de contrôle de la conformité et impose notamment la désignation d’un responsable de la conformité (qui ne doit pas être un opérationnel) qui rend compte soit au(x) responsable(s) du contrôle permanent, soit directement à l’organe exécutif et si nécessaire, directement à l’organe délibérant.

Schéma de principe de l’organisation du contrôle interne dans le secteur bancaire.


72

Le Titre III traite de l’ « organisation comptable et du traitement de l’information » et pose le principe de la piste d’audit permettant de retracer la provenance de toute information comptable et/ou comprise dans les comptes de bilan et de résultats publiés. Les processus comptables doivent faire l’objet de vérifications périodiques pour assurer la qualité et la fiabilité des informations. La sécurité des systèmes informatiques doit être vérifiée périodiquement. Le texte exige également la mise en place de plans de continuité, dont les attentats du 11 septembre 2001 aux Etats-Unis ont rappelé toute l’importance. En ce qui concerne les plans de continuité, sans inférer sur les choix de gestion des établissements, le Comité a introduit un certain nombre de dispositions au titre du contrôle interne qui permettent ainsi :

• d’apporter une définition de la continuité d’activité72 mettant en avant le besoin de planifier les procédures de reprise de l’activité ainsi qu’une définition des « prestations de services ou autres tâches opérationnelles essentielles ou importantes » ;

• de compléter les règles sur les « plans de secours informatiques » par des dispositions nouvelles qui visent à assurer que les entreprises assujetties mettent en place des plans (y compris face à des chocs extrêmes), que l’efficacité de ces plans est régulièrement appréciée et que les plans éventuellement définis pour différentes activités sont bien cohérents par rapport à des objectifs généraux définis par les dirigeants ;

• de prévoir une information spécifique des conseils d’administration sur les mesures prises en matière de plans de continuité, afin également que cette information figure dans le rapport annuel sur la mesure des risques ;

• de compléter les obligations en matière de documentation interne pour introduire les aspects liés aux plans de continuité.

Le Titre IV, « Les systèmes de mesure des risques et des résultats », décrit l’ensemble des exigences permettant d’assurer une (bonne) gestion des risques « métiers » – risques de crédit, risques de marché, risque de taux d’intérêt global, risques d’intermédiation, risque de liquidité et de règlement – auxquels les établissements sont exposés. Le Titre V, « Les systèmes de surveillance et de maîtrise des risques », impose la mise en place de dispositifs permettant d’assurer la maîtrise des risques opérationnels et juridiques. Ces dispositifs doivent faire l’objet d’une évaluation régulière. Par ailleurs, le texte rappelle que le contrôle interne est applicable aux activités externalisées et que l’externalisation est soumise à conditions particulières. Enfin, le Titre VI, « Le système de documentation et d’information », impose entre autres, des exigences en matière d’information (du conseil d’administration) sur les risques auxquels la société est exposée et qui doit faire l’objet d’un rapport joint ou inclus au rapport descriptif sur le contrôle interne. Est également imposée la mise en place et le maintien à jour d’une documentation des procédures relatives aux activités de la société. En résumé, le règlement 97-02 vise à imposer aux établissements de crédit la mise en place d’un véritable dispositif de gestion de risques reposant sur un dispositif de contrôle interne scindé en une fonction permanente et une fonction périodique et permettant la gestion des risques métiers autant que celle des risques opérationnels.

72 Ensemble de mesures visant à assurer, selon divers scénarios de crises, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes de l’entreprise puis la reprise planifiée des activités


73

7.2 Les recommandations de l’ACAM

Le 15 juin 2006, l’ACAM a lancé une consultation publique sur la gouvernance des organismes d’assurance dans le cadre de ses travaux sur le sujet. La CCA73 avait en effet demandé, en décembre 2003, à un groupe de travail de réfléchir aux problèmes posés par l’extension de son rôle à la surveillance de la gouvernance des sociétés d’assurance. Ce groupe a rendu un rapport d’étape en mai 2004, au moment où la CCA a cédé la place à la CCAMIP74. Le 14 mars 2005, la CCAMIP a relancé cette étude en l’étendant aux problèmes de gouvernance des institutions de prévoyance et des mutuelles. L’ACAM a publié en octobre 2007 les résultats de cette étude dans son premier rapport sur « la gouvernance des organismes d’assurance » au sens large, c’est-à-dire sur l’organisation et le fonctionnement des pouvoirs, le contrôle interne et la transparence. Bien qu’il ne s’agisse que de recommandations, on peut y voir une préfiguration des évolutions potentielles de la réglementation à plus ou moins court terme. On note dans ces recommandations une influence significative des dispositions prévues dans le règlement bancaire 97-02 et des positions de l’IAIS75 dans son document « Insurance Core Pinciples and Methodology », Octobre 2003.

7.2.1 Sur la gouvernance d’entreprise

En matière de gouvernance d’entreprise, les recommandations 7 à 10 sont particulièrement intéressantes car elles concernent spécifiquement les fonctions contrôle interne et gestion des risques. Elles visent en effet à renforcer le rôle du conseil d’administration sur la surveillance du fonctionnement du contrôle interne (avec notamment la mise en place d’un comité d’audit chargé de suivre le travail de l’audit interne) et abordent la problématique « risques » en suggérant fortement la création d’un comité des risques « métiers », traduisant la préoccupation majeure relative au contrôle prudentiel.

7.2.2 Sur le contrôle interne et la conformité

La recommandation 20 rejoint fortement l’approche du règlement bancaire 97-02 en préconisant la mise en place d’une structure de contrôle interne avec d’une part un dispositif de contrôle permanent dissocié et d’autre part une structure de contrôle périodique relevant d’une fonction d’audit interne. Les recommandations 21 à 26 visent à la mise en œuvre d’un certain nombre de principes de base en matière de contrôle interne :

• Ainsi, la recommandation 21 entend élargir le périmètre du contrôle interne en référence aux

obligations mentionnées à l’article R.336-1 f) du Code des Assurances tel que modifié par le décret du 13 mars 2006. Ainsi, le contrôle interne devrait intégrer « la gestion des sinistres, des filiales, des activités externalisées et des modes de commercialisation » et ce, dans les

73 Commission de contrôle des assurances 74 Commission de contrôle des assurances, des mutuelles et des institutions de prévoyance 75 International Association of Insurance Supervisors (Association Internationale des Contrôleurs d’Assurance) – Fondé en 1994, l’IAIS représente les contrôleurs et superviseurs d’assurance de 180 juridictions. L’IAIS publie des principes, normes et guides sur l’assurance dans le monde, dispense des formations et participe aux débats sur le contrôle des assurances et organise des séminaires et conférences pour les contrôleurs d’assurance.


74

mêmes conditions que si ces opérations étaient effectuées en interne. Il est donc question de ne pas limiter la responsabilité de l’entreprise en matière de contrôle interne aux seules opérations réellement effectuées par elle, mais d’intégrer toutes les opérations effectuées par les délégataires et dont elle est responsable vis-à-vis des tiers.

• Le contrôle interne doit reposer sur un environnement favorable et un corps de procédures

écrites et diffusées (rec. 22). La recommandation 23 propose une structure type pour le dispositif de contrôle interne, sensiblement équivalente à celle proposée par le COSO. Ce point est important car nous l’avons vu, à aucun moment dans la réglementation française, il n’est fait référence à une obligation quelconque en matière de référentiel, chaque entreprise étant libre de définir sa structure de contrôle interne, la réglementation fixant plutôt des objectifs à atteindre.

• Les recommandations 24 à 26 ont vocation à préciser le rôle, les pouvoirs et responsabilités de

l’audit interne. Tout d’abord, il est recommandé de lui donner accès au comité d’audit et au conseil d’administration. Par ailleurs, le conseil devrait évaluer (via les missions d’audit) l’efficacité du dispositif de contrôle permanent et formuler si besoin, des recommandations d’amélioration. Les missions d’audit doivent faire l’objet de rapports écrits transmis au comité d’audit et les recommandations d’un suivi par l’audit interne. Le programme annuel de missions d’audit devrait être établi par le conseil sur proposition du directeur général qui peut le compléter. Ainsi, l’audit interne devient une fonction plutôt au service du conseil de manière à lui permettre d’évaluer le contrôle interne et la recommandation 27 exige du conseil qu’il procède à une revue périodique des résultats et de l’efficacité du contrôle interne.

Enfin, les recommandations 28 et 29 concernent la mise en place d’un « responsable conformité » (comme exigé dans le règlement bancaire) et recommandent l’indication publique de l’application d’un code de bonnes pratiques par l’entreprise, qui lui serait alors opposable.

7.3 Les recommandations de l’AMF

7.3.1 La recommandation du 22 janvier 2007

L’AMF a recommandé l’utilisation du cadre de référence et du guide d’application définis par le Groupe de Place à l’ensemble des sociétés faisant appel public à l’épargne en France. Le cadre n’a cependant pas vocation à être imposé aux sociétés soumises à un référentiel autre par une autre réglementation, ni à se substituer aux exigences spécifiques de certains secteurs d’activité et notamment le secteur bancaire et celui des assurances. L’AMF invite par ailleurs les sociétés à préciser dans le rapport du président si elles se sont appuyées sur le cadre de référence pour la rédaction du rapport. En cas d’application partielle du cadre de référence ou du guide, les sociétés doivent clairement identifier les domaines ou processus clés de contrôle interne qu’elles ont appliqués. Elles doivent mettre l’accent sur les éléments et informations susceptibles d’impacter significativement leurs patrimoines ou leurs résultats. Les mêmes principes de transparence s’appliquent en cas d’utilisation d’un autre référentiel. Cette recommandation vise ainsi à améliorer la cohérence et la lisibilité des rapports des présidents.


75

7.3.2 Les recommandations du rapport 2006 sur le gouvernement d’entreprise et le contrôle interne

Dans son rapport 2006, l’AMF émet un certain nombre de recommandations pour satisfaire les exigences de description des procédures de contrôle interne, exigées par la LSF. Outre des recommandations d’ordre assez général, l’AMF indique que les procédures de contrôle interne sont d’autant plus appropriées qu’elles s’appuient sur un recensement des principaux risques identifiables que seule la société peut effectuer et renouvelle ainsi sa recommandation de faire le lien entre les risques et les procédures mises en place. Cette liaison permettrait ainsi une meilleure compréhension de la façon dont l’entreprise appréhende les risques, les formalise, les hiérarchise et in fine les maîtrise. Cette recommandation illustre ainsi la préoccupation croissante du régulateur à l’égard de la gestion des risques. Enfin, l’AMF ne recommande pas directement de porter une évaluation sur les procédures de contrôle interne mais indique que seules 35% des sociétés qui le font rendent l’appréciation publique, et déplore que cela soit fait en des termes trop généraux. Cependant, l’AMF estime souhaitable que les sociétés soumises à la loi SOX précisent les éventuelles défaillances ou insuffisances graves qui auraient pu être notées.

7.4 Le projet de Directive européenne « Solvabilité II » (Solvency II)

7.4.1 Présentation du projet

Le projet Solvabilité II piloté par la Commission européenne vise à réformer en profondeur les règles de solvabilité auxquelles sont soumises les entreprises d’assurance et à consolider l’ensemble des directives existantes. Ses objectifs sont de créer un système plus harmonisé, avec une meilleure prise en compte de la gestion des risques par les organismes d’assurance, et plus cohérent avec le système prudentiel bancaire (Bâle II). Les règles de solvabilité en vigueur pour les entreprises d’assurance reposent sur des Directives adoptées dans les années 70 et qui ont fait l’objet d’une réforme limitée mais accélérée - la Directive Solvabilité I. Le projet de Directive Solvabilité II, lancé par la Commission européenne en 2001 vise à une refonte en profondeur des règles existantes en adoptant une approche économique fondée sur le risque incitant les entreprises d'assurance et de réassurance à apprécier et gérer convenablement leurs risques. Le projet vise ainsi à une meilleure corrélation entre les exigences de solvabilité imposées et les risques auxquels les entreprises d’assurance sont confrontées. Le projet de Directive suit le processus Lamfalussy76 et l’entrée en vigueur du nouveau régime prudentiel est prévue pour 2012. La Commission européenne pilote le projet à travers un comité de niveau 2,

76 Le processus Lamfalussy est la démarche utilisée par l'Union européenne pour concevoir les réglementations du secteur de la finance. Ce processus porte le nom d'Alexandre Lamfalussy, qui présidait le comité consultatif et qui le mis au point en mars 2001. Le processus Lamfalussy est composé de quatre niveaux successifs, dont l'objet est de se concentrer sur des aspects précis du travail législatif :

1. Premier niveau, l'élaboration de la législation : la commission européenne et le parlement européen adoptent un texte législatif selon le principe de codécision. Ce texte livre les principes directeurs de la future réglementation et donne des axes de mise en œuvre.


76

l’EIOPC77 et dispose d’un comité consultatif technique de niveau 3, le CEIOPS78. Les professionnels de l’assurance (compagnies, fédérations professionnelles, actuaires, conseils) interviennent directement auprès de la Commission. A l’issue d’une première phase d’étude et de concertation, la Commission européenne a retenu en avril 2003 une architecture à trois piliers comparable à celle définie pour le secteur bancaire par le Comité de Bâle (Bâle II) :

§ Pilier I : Les règles quantitatives § Pilier II : Les activités de contrôle § Pilier III : Les exigences en matière d’information prudentielles et de publication

7.4.2 Le pilier I

Le pilier I vise à harmoniser les règles de calcul des provisions techniques et imposer la prise en compte des nouvelles normes comptables79. Les provisions techniques seront désormais définies comme la somme d’un best estimate et d’une marge de risque (calculée selon la méthode dite « coût du capital »). Il impose également un capital réglementaire avec deux niveaux (au lieu d’un seul aujourd’hui) :

§ Le capital minimum requis ou MCR (Minimum Capital Requirement) qui peut se définir comme

le niveau de capital en dessous duquel une compagnie d’assurance ne peut pas fonctionner normalement. Il résulte d’un calcul simple.

§ Le capital de solvabilité ou SCR (Solvency Capital Requirement) qui correspond au capital

économique cible dont a besoin une entreprise d'assurance ou de réassurance pour limiter la probabilité de ruine à 0,5%, c'est-à-dire à une seule occurrence tous les 200 ans. Le SCR peut être calculé à partir d’une formule standard ou d’un modèle interne pour les compagnies qui ont les compétences et les moyens d’en élaborer un et à condition qu’il soit validé par l’autorité de contrôle.

2. Second niveau, l'élaboration des mesures d'exécution : un comité spécialisé conçoit, en collaboration avec les

autorités de régulation des états membres, les détails techniques liés à la mise en œuvre de la réglementation. Ceux-ci sont portés au vote des états membres, au travers de représentants du secteur de la finance concerné par la réglementation.

3. Troisième niveau, la coopération des régulateurs : les autorités de régulation nationales coordonnent leurs travaux de déclinaison des textes européens dans leur droit, afin que les réglementations des états membres divergent le moins possible.

4. Quatrième niveau, le contrôle du respect du droit : la commission européenne vérifie la conformité des réglementations nationales et prend les mesures nécessaires à l'encontre des états suspectés de contourner le règlement européen.

77 European Insurance and Occupational Pensions Committee – Comité européen des assurances et des pensions professionnelles réunissant les ministères des Finances des 27 Etats membres. 78 Committee of European Insurance and Occupational Pensions Supervisors – Comité européen des contrôleurs des assurances et des pensions professionnelles 79 Le conseil européen de mars 2002 a adopté un règlement rendant obligatoire au 1er janvier 2005, l’application des normes comptables internationales IFRS (International Financial Reporting Standards, dénommées jusqu’en 2001 normes IAS pour International Accounting Standards) pour l’établissement des comptes consolidés des sociétés européennes faisant appel public à l’épargne. L’objectif était de rendre les états financiers comparables les uns aux autres, et à accroître ainsi l’efficacité du marché financier européen. Les normes IFRS sont définis par l’IASB (International Accounting Standards Board), organisme non gouvernemental fondé en 1973 (nommé alors IASC : International Accouting Standard Committee) suite à l’accord entre les organisations comptables d’Australie, du Canada, de France, d’Allemagne, du Japon, du Mexique, des Pays-Bas, du Royaume-Uni, d’Irlande et des Etats-Unis.


77

Avant de fixer la formule standard du SCR et la formule de calcul du MCR, la Commission européenne a demandé à ce que des études d’impact quantitatives80 soient réalisées.

7.4.3 Le pilier II

Le pilier II vise à définir et harmoniser les activités de surveillance aussi bien au niveau des compagnies d’assurance elles-mêmes qu’à l’échelon des superviseurs. Il constitue un enjeu d’importance pour le rôle du contrôle interne. Exigences en matière de gouvernance La gouvernance fera ainsi l’objet d’une attention particulière, et les entreprises seront tenues de disposer de politiques écrites énonçant clairement comment elles procèdent en matière de contrôle interne, d'audit interne, de gestion des risques et, le cas échéant, de sous-traitance. Certains risques ne pouvant être convenablement contrés qu'au moyen d'exigences concernant la gouvernance et non pas des exigences quantitatives exprimées dans le capital de solvabilité requis, la solidité de la gouvernance revêt une importance critique pour la qualité de la gestion de l'assureur et pour l'efficacité du système de contrôle. Exigences en matière de gestion des risques Les entreprises d’assurance et de réassurance devront prévoir une fonction «gestion des risques», structurée de façon à faciliter la mise en œuvre d’un système de gestion des risques efficace, qui comprend les stratégies, processus et procédures d’information prudentielle nécessaires pour contrôler, gérer et déclarer, en permanence, les risques auxquels elles sont ou pourraient être exposées ainsi que les interdépendances entre ces risques, au niveau individuel et agrégé. Le système de gestion des risques doit comprendre des plans d’urgence. Exigences sur le contrôle interne Concernant le contrôle interne, la Directive exigera des entreprises d’assurance et de réassurance qu’elles disposent d’un système de contrôle interne efficace qui comprendra au minimum des procédures administratives et comptables, un cadre de contrôle interne, des dispositions appropriées en matière d’information prudentielle à tous les niveaux de l’entreprise et une fonction permanente de conformité (art.45). Exigences sur la conformité La fonction de conformité comprendra l’évaluation de l’impact possible de tout changement de l’environnement législatif sur les opérations de l’entreprise concernée, ainsi que l’identification et l’évaluation du risque de conformité. Exigences en matière d’audit Les entreprises d’assurance et de réassurance devront mettre en place une fonction d’audit interne efficace et permanente. L’audit interne sera chargé de vérifier notamment la conformité des activités de l’entreprise d’assurance ou de réassurance avec l’ensemble de ses stratégies, processus et procédures d’information prudentielle internes. Il évaluera également si le système de contrôle interne de l’entreprise reste suffisant et adapté à son activité. La fonction d’audit interne s’exercera d’une manière objective et indépendante des fonctions opérationnelles et toute conclusion et toute recommandation de l’audit interne sera communiquée à l’organe d’administration ou de gestion, qui devra veiller à ce que ces conclusions et recommandations de l’audit interne soient respectées.

80 Quantitative Impact Studies


78

Une influence sur l’exigence de fonds propres Solvabilité II encourage ainsi les compagnies à adopter une démarche de gestion des risques afin qu'elles soient en mesure d'apprécier et de mesurer leurs risques. Par ailleurs, l'autorité de contrôle aura les pouvoirs de contrôler la qualité des données et des procédures d'estimation, des systèmes mis en place pour mesurer et maîtriser les risques au cas où ils se matérialiseraient et d'imposer une marge de solvabilité complémentaire (capital add-on), sous certaines conditions, dans le cas où il aura été jugé que les risques ont été mal appréciés ou sont mal gérés par la compagnie. 7.4.4 Le pilier III

Le pilier III traite de la publication / communication des informations relatives aux dispositions prévues dans les piliers I et II. Il est prévu d’exiger des entreprises d’assurance et de réassurance qu’elles publient annuellement, un rapport sur leur solvabilité et leur situation financière. Ce rapport devra contenir, entre autres, les informations suivantes :

a) une description du système de gouvernance et une appréciation de son adéquation au profil de

risque de l’entreprise, b) une description, effectuée séparément pour chaque catégorie de risque, de l’exposition au

risque, des concentrations de risque, de l’atténuation du risque et de la sensibilité au risque.

Représentation schématique de la structure de Solvabilité II

En définitive, le régime Solvabilité II accordera beaucoup plus d’importance à la qualité de la gestion des risques et à la rigueur des contrôles internes. Les éventuelles insuffisances en la matière devront être compensées par une augmentation des besoins en fonds propres, faisant du contrôle interne et de la gestion des risques, un enjeu également financier.


79

CHAPITRE 8 - L’ESSOR DE LA GESTION DES RISQUES

8.1 Risk Management et Contrôle Interne, des fonctions complémentaires

8.1.1 Les nouveaux enjeux de la gestion des risques Nous l’avons vu, le nombre et la complexité des risques auxquels sont confrontées les entreprises ne cessent de croître et il est donc normal que la gestion de ces menaces constitue l’une des préoccupations majeures des dirigeants d’entreprise, d’autant que l’exigence de performance à laquelle ils sont soumis les pousse inexorablement à prendre de plus en plus de risques. L’enjeu de la gestion des risques est d’ailleurs tel que le renforcement des exigences réglementaires à ce sujet laisse peu de place au doute et en particulier dans le secteur des assurances à en juger par l’analyse du chapitre précédent sur les pratiques déjà en vigueur dans le secteur bancaire (obligation de mise en place de systèmes de mesure, de surveillance et de maîtrise des risques « métiers » et opérationnels) et par les dispositions prévues dans le cadre du projet Solvabilité II (exigence d’une fonction de « gestion des risques »). Par ailleurs, la nécessité pour une entreprise de devoir communiquer toujours plus aux marchés financiers et aux différentes parties prenantes sur sa situation financière ou opérationnelle, exige nécessairement de procéder à une identification et à une quantification des risques auxquels elle est exposée. Et à partir du moment où un risque a été identifié, il apparaît logique de devoir en assurer un certain niveau de maîtrise. Dès lors, la nécessité de maîtriser les risques exige des entreprises qu’elles optimisent leurs systèmes de gestion des risques de manière à :

§ répondre aux attentes renforcées des actionnaires en termes de résultat et de maîtrise des

risques ; § contribuer à une affectation plus pertinente des ressources de l’entreprise ; § protéger l’image et la réputation de l’entreprise ; § assurer le développement et la pérennité de l’entreprise dans un environnement mouvant.

8.1.2 Les risques opérationnels, une préoccupation nouvelle La notion de gestion des risques n’est pas nouvelle pour les compagnies d’assurance car elles sont habituées depuis longtemps à gérer des risques inhérents à l’activité d’assurance avec d’une part les risques métiers (actuariels), tels ceux liés aux activités de souscription (risque de mortalité, risques de catastrophes) ou de provisionnement non vie (sinistres) et d’autre part les risques financiers (risques de marché, de taux, de liquidité, etc.). Pour autant, à côté de ces risques, les risques opérationnels et l’assurance de leur bonne gestion prennent de plus en plus d’importance aux yeux des législateurs. Et pour cause, puisqu’il faut bien avouer que les structures de gestion des risques des entreprises d’assurance ont surtout focalisé leurs travaux sur les risques financiers et d’assurance et que les risques opérationnels ont souvent été quelque peu délaissés. D’une manière générale, les risques opérationnels correspondent au risque de perte résultant de l’inadéquation ou de la défaillance des processus internes, des personnes, des systèmes ou d’évènements extérieurs. Ils peuvent être de plusieurs types :


80

- risques de fraude et de blanchiment, - risques sociaux, - risques de sécurité et de dommage sur les personnes et les biens, - risques informatiques, - risques d’organisation et de processus, - risques juridiques, réglementaires et fiscaux, - risque d’image, etc.

Cette préoccupation nouvelle au sujet de la gestion des risques opérationnels a d’ailleurs déjà trouvé une première traduction dans le code des Assurances avec l’article R.336-1 f) modifié par le décret du 13 mars 2006 qui exige des procédures de contrôle interne qu’elles permettent la maîtrise de certains risques opérationnels (comme la sous-traitance d’activités par exemple) et il ne fait aucun doute que la tendance devrait se poursuivre, à en juger par les dispositions prévues par le projet de Directive Solvabilité II. Cette évolution devrait ainsi avoir un impact inévitable sur les systèmes de gestion des risques des compagnies d’assurance qui devront dorénavant mieux prendre en compte cette catégorie de risques. 8.1.3 Les rôles centraux du Contrôle Interne et du Risk Management Au sein des organismes d’assurance, la responsabilité du contrôle de la gestion des risques, de sa mesure et plus généralement de sa supervision incombe le plus souvent à une fonction indépendante, que l’on appellera ici Risk Management, rattachée à la Direction Générale. Cette fonction a une compétence étendue et a vocation à couvrir l’ensemble des risques générés par l’activité de l’organisme. Elle intervient à tous les niveaux de la chaîne de prise et de suivi du risque. Elle a ainsi pour mission de contribuer au développement et à la rentabilité de l’entreprise en garantissant que le dispositif de contrôle des risques en place est solide et efficace, et en surveillant les opérations menées au sein du Groupe. Elle est généralement chargée de :

- recenser les risques internes et externes de l’entreprise, - définir les méthodes, procédures et outils d’identification et de suivi des risques, - analyser le portefeuille de risques, - formuler des recommandations en matière de politiques de risques, - sensibiliser les managers et suggérer les moyens à mettre en œuvre pour assurer la gestion

des risques conformément à la stratégie. Face à l’enjeu de la gestion des risques, la fonction de Risk Management devrait ainsi prendre une dimension toute particulière en ce sens qu’elle devra jouer un véritable rôle de chef d’orchestre dans le management des risques, tant au niveau fonctionnel qu’opérationnel puisqu’il s’agira à la fois de définir la politique de gestion des risques (alignée sur la stratégie définie par la Direction Générale) ainsi que les moyens de contrôle qui en permettront la maîtrise. Cependant, on ne gère pas des risques opérationnels de la même façon que des risques financiers et d’assurance. En effet, les risques d’assurance et financiers nécessitent des compétences spécifiques (notamment actuarielles), bien différentes de celles nécessaires à la gestion des risques opérationnels. Dès lors, peut-on envisager une division dans les responsabilités en matière de gestion des risques avec d’un côté une fonction en charge des risques financiers et actuariels et de l’autre, une fonction en charge des risques opérationnels avec des unités spécialisées par catégorie de risque (plan de continuité d’activité, fraude, maîtrise des activités externalisées, sécurité physique, sécurité des systèmes d’information) ? Certains groupes d’assurance ont déjà choisi ou envisagent cette solution, à l’image de ce qui se pratique chez certains dans le secteur bancaire. Pour autant, l’essentiel n’est probablement pas là, puisqu’en effet, l’objectif de gestion des risques nécessite qu’à un moment donné, l’ensemble des


81

informations relatives aux différents risques soit rassemblé et consolidé afin de permettre une gestion globale et coordonnée de tous les risques. Le choix d’un modèle d’organisation pour la fonction chargée du risk management n’est donc pas un problème en soi s’il permet d’assurer une circulation d’information adéquate entre tous les acteurs concernés et une cohérence dans les activités de maîtrise des risques. Par ailleurs, la structure organisationnelle du risk management est nécessairement fonction de la taille de l’entreprise et des ressources allouées à la fonction et il ne peut donc y avoir de règle générale en la matière. En matière de gestion des risques, et notamment en ce qui concerne les risques opérationnels, le contrôle interne est toutefois fondamental puisqu’il constitue la partie la plus opérationnelle des contrôles, exercée aux différents niveaux des métiers et des fonctions supports. Il permet en effet d’assurer la maîtrise opérationnelle des différents processus de l’entreprise et constitue une part importante des actions de prévention en agissant directement sur la probabilité d’occurrence du risque. Le contrôle interne est un outil performant au service de la gestion des risques, assurant la cohérence entre la politique définie par le Risk Management et le contrôle de son application effective sur le terrain opérationnel. Dès lors, il apparaît plus que logique de chercher à établir des liens étroits entre les fonctions traditionnellement chargées de la gestion des risques et les fonctions de contrôle interne au sein des entreprises, tout particulièrement pour ce qui concerne les risques opérationnels. En définitive, les fonctions Risk Management et contrôle interne doivent travailler de concert pour une meilleure maîtrise des risques opérationnels, élément indispensable à l’amélioration de la performance des entreprises.

8.2 La gestion des risques, comment ?

8.2.1 Les modèles conceptuels de gestion des risques

Associer le contrôle interne et le risk management dans une démarche de gestion des risques nécessite une organisation ad hoc où chacun doit exercer des responsabilités bien définies. Dès lors, il est utile de se référer aux différents référentiels de gestion globale des risques. Nous proposons ici l’analyse de d’entre eux, le COSO 2 et le RIMS81 Risks Maturity Model for ERM, afin d’apporter un éclairage sur le rôle spécifique du contrôle interne lorsqu’il s’inscrit dans une démarche de gestion des risques. Nous aurions pu également proposer l’étude du Cadre de référence de la Gestion des Risques défini par la FERMA82, mais il est relativement similaire au COSO 2. En fait, chacun de ces modèles décrit une approche pour identifier, analyser, gérer et surveiller les risques et opportunités auxquels l’entreprise doit faire face. L’équipe dirigeante doit décider de la réponse stratégique à apporter aux risques ainsi identifiés, qui peut être :

1. l’évitement : abandon de l’activité source du risque. Cette stratégie est la moins risquée et la moins

chère mais elle est un frein au développement de l’entreprise. 2. la réduction : mise en place d’actions visant à réduire la probabilité d’occurrence ou l’impact du

risque, c’est la démarche classique de la gestion des risques.

81 Risk and Insurance Management Society – Organisation à but non lucratif dédiée à la promotion de la gestion des risques, une profession qui protège les ressources physiques, financières et humaines. Fondé en 1950, le RIMS représente près de 3 900 entités industrielles, de services et organisations gouvernementales, caritatives et à but non lucratif et sert environ 9 600 professionnels de la gestion de risques dans le monde. 82 Federation of European Risk Management Associations


82

3. le partage : partage ou transfert du risque (vers l’assureur ou un tiers) afin de le réduire. A titre financier, le transfert de risque s’établit lorsqu’une assurance ou toute autre forme de couverture de risque financier ou garantie financière est contractée par le dirigeant confronté au risque. A noter que le risque pénal ne peut être transféré. A titre opérationnel et économique, le transfert s’effectue par sous-traitance de l’activité à risque.

4. l’acceptation : aucune action, l’entreprise considérant qu’en vertu du ratio coût/bénéfice du risque,

elle a tout intérêt à conserver le risque en l’état.

La surveillance des risques est une activité de contrôle interne, réalisée par l’équipe de Direction. Le but est de vérifier que la stratégie de gestion des risques est appliquée, fonctionne et qu’elle permet d’atteindre les objectifs. Le COSO 2 En 2004, le COSO a proposé une évolution de son modèle de référence sur le contrôle interne appelé COSO 1 consistant en un modèle plus global dédié à la gestion des risques de l’entreprise (ERM - Enterprise Risk Management Framework), appelé COSO 2. Le modèle COSO 2 complète en effet l’approche du COSO 1 en partant du principe que la seule « évaluation des risques » n’est pas suffisante et que sans une gestion globale et raisonnée des risques, l’entreprise ne peut réellement maîtriser ses activités et atteindre ses objectifs. Elle est donc un concept préalable nécessaire à tout dispositif de contrôle interne. Le COSO 2 définit ainsi le risque comme la « possibilité qu’un événement se produise et ait une incidence défavorable sur la réalisation des objectifs83 ». Le management des risques traite des risques et des opportunités ayant une incidence sur la création ou la préservation de la valeur et se définit comme suit : « le management des risques est un processus mis en œuvre par le conseil d’administration, la direction générale, le management et l’ensemble des collaborateurs de l’organisation. Il est pris en compte dans l’élaboration de la stratégie ainsi que dans toutes les activités de l’organisation. Il est conçu pour : § identifier les événements potentiels susceptibles d’affecter l’organisation, § gérer les risques dans les limites de son appétence pour le risque, § fournir une assurance raisonnable quant à l’atteinte des objectifs de l’organisation. »

Ainsi, il apparaît que le COSO 2 inclut les éléments du COSO 1 au travers du troisième point et le complète sur le concept de gestion des risques. Il est en effet, basé sur une vision orientée sur le management des risques de l’entreprise qui comprend les éléments suivants :

§ Aligner l’appétence pour le risque avec la stratégie de l’organisation : l’appétence pour le risque est une

donnée que la direction prend en considération lorsqu’elle évalue les différentes options stratégiques, détermine les objectifs associés et développe le dispositif pour gérer les risques correspondants.

§ Développer les modalités de traitement des risques : le dispositif de management des risques apporte

une méthode permettant de choisir de façon rigoureuse parmi les différentes options de traitement des risques que sont l’évitement, la réduction, le partage ou l’acceptation du risque.

83 Ouvrage traduit en français par l’IFACI et PwC en 2005 sous le titre « Le Management des risques de l’entreprise »


83

§ Diminuer les déconvenues et les pertes opérationnelles : les organisations améliorent leur capacité à identifier et traiter les événements potentiels, ce qui leur permet d’atténuer les impondérables et de diminuer les coûts ou pertes associés.

§ Identifier et gérer les risques multiples et transverses : chaque entité est confrontée à une multitude de

risques affectant différents niveaux de l’organisation. Le dispositif de management des risques renforce l’efficacité du traitement des impacts en cascade et apporte des solutions intégrées pour les risques à conséquences multiples.

§ Saisir les opportunités : c’est en prenant en compte un large éventail d’événements potentiels que la

direction est le mieux à même d’identifier et tirer parti des opportunités de façon proactive.

§ Améliorer l’utilisation du capital : c’est en ayant une vision claire des risques de l’organisation que la direction peut évaluer efficacement les besoins en capitaux et en améliorer l’allocation.

Le dispositif de management des risques :

§ est un processus permanent qui irrigue toute l’organisation, § est mis en œuvre par l’ensemble des collaborateurs, à tous les niveaux de l’organisation, § est pris en compte dans l’élaboration de la stratégie, § est mis en œuvre à chaque niveau et dans chaque unité de l’organisation et permet d’obtenir une

vision globale de son exposition aux risques, § est destiné à identifier les événements potentiels susceptibles d’affecter l’organisation, et à gérer

les risques dans le cadre de l’appétence pour le risque (qui se définit comme le niveau de risque accepté par l’organisation dans le but d’accroître sa création de valeur),

§ donne à la direction et au conseil d’administration une assurance raisonnable (quant à la réalisation des objectifs de l’organisation),

§ est orienté vers l’atteinte d’objectifs appartenant à une ou plusieurs catégories indépendantes mais susceptibles de se recouper.

De la même manière que pour le COSO 1, le COSO 2 comporte un cadre de référence qui vise à aider l’entreprise à atteindre les objectifs suivants :

q Stratégiques : objectifs stratégiques servant la mission de l’organisation q Opérationnels : objectifs visant à l’utilisation efficace et efficiente des ressources q Reporting : objectifs liés à la fiabilité du reporting q Conformité : objectifs de conformité aux lois et réglementations en vigueur

En termes d’organisation, le COSO 2 met en évidence la nécessité de prendre en compte l’ensemble de l’organisation avec l’apport d’un cadre plus strict de décomposition de la structure d’une organisation. On passe en effet de la notion d’activité et d’unité à une décomposition plus fine en entité, division, business unit et filiale. Concernant les éléments de contrôle, le COSO 2 complète ceux du COSO 1 :

1. L’élément Environnement de contrôle est remplacé par Environnement interne et complété par la

notion d’appétence pour le risque qui caractérise le niveau de prise de risque accepté par l’organisation dans le but d’accroître sa valeur :

L’environnement interne englobe la culture et l’esprit de l’organisation. Il structure la façon dont les

risques sont appréhendés et pris en compte par l’ensemble des collaborateurs de l’entité, et plus particulièrement la conception du management et son appétence pour le risque, l’intégrité et les valeurs éthiques, et l’environnement dans lequel l’organisation opère84.

84 Extrait du COSO 2 « Enterprise Risk Management – Integrated Framework »


84

2. L’élément Evaluation des risques est éclaté en quatre éléments complétant l’approche du COSO 1 avec :

a. la Définition d’objectifs

Les objectifs doivent avoir été préalablement définis pour que le management puisse identifier les événements potentiels susceptibles d’en affecter la réalisation. Le management des risques permet de s’assurer que la direction a mis en place un processus de fixation des objectifs et que ces objectifs sont en ligne avec la mission de l’entité ainsi qu’avec son appétence pour le risque84.

b. l’Identification des évènements

Les événements internes et externes susceptibles d’affecter l’atteinte des objectifs d’une organisation doivent être identifiés en faisant la distinction entre risques et opportunités. Les opportunités sont prises en compte lors de l’élaboration de la stratégie ou au cours du processus de fixation des objectifs84.

c. l’Evaluation des risques Les risques sont analysés, tant en fonction de leur probabilité que de leur impact, cette analyse servant de base pour déterminer la façon dont ils doivent être gérés. Les risques inhérents et les risques résiduels sont évalués84.

d. la Réponse aux risques (ou gestion des risques) Le management définit des solutions permettant de faire face aux risques – évitement, acceptation, réduction ou partage. Pour ce faire, le management élabore un ensemble de mesures permettant de mettre en adéquation le niveau des risques avec le seuil de tolérance et l’appétence pour le risque de l’organisation84.

3. L’élément Activités de contrôle reste inchangé. 4. L’élément Information et Communication est complété des notions de temps et de granularité de

l’information :

Les informations utiles sont identifiées, collectées, et communiquées sous un format et dans des délais permettant aux collaborateurs d’exercer leurs responsabilités. Plus globalement, la communication doit circuler verticalement et transversalement au sein de l’organisation de façon efficace84.

5. L’élément Pilotage reste inchangé.

Ainsi, le dispositif comporte au final huit éléments au lieu de cinq pour le COSO 1. D’après le COSO 2, il existe une relation directe entre les objectifs que cherche à atteindre une organisation et les éléments du dispositif de management des risques qui représentent ce qui est nécessaire à leur réalisation. La relation (et donc le concept de COSO 2) est donc illustrée par une matrice en trois dimensions ayant la forme d’un cube :

q les quatre grandes catégories d’objectifs : stratégiques, opérationnels, reporting et conformité,

sont représentées par les colonnes, q les huit éléments du management des risques par les lignes, q et les unités de l’organisation par la troisième dimension.


85

Représentation graphique du concept COSO 2 Le RIMS Risk Maturity Model for ERM Le concept d’ERM est défini par le RIMS comme la culture, les processus et outils permettant d’identifier les opportunités stratégiques et de réduire l’incertitude. L’ ERM favorise la prise en compte des risques critiques de manière à permettre l’atteinte des objectifs d’une organisation. Le processus ERM, lui, est défini comme un processus qui permet la réduction de l’incertitude et promeut l’exploitation des opportunités. Il comprend 5 étapes :

1. Identifier les facteurs susceptibles d’entraver, de faciliter l’atteinte des objectifs, voire de les

dégrader. 2. Evaluer les risques perçus à partir de critères d’impacts cohérents et objectifs permettant de

quantifier le niveau de risque. 3. Evaluer la tolérance au risque. 4. Réduire le risque et exploiter les opportunités. 5. Surveiller l’opportunité (dans le temps) et l’efficacité des actions de réduction de risques.

Selon le RIMS Risk Maturity Model (RMM), le niveau d’intégration de la gestion des risques par la direction et dans l’organisation peut être évalué sur la base de critères d’évaluation (« key drivers ») portant sur les sept compétences clés (appelées « attributes ») que nécessitent l’ERM :

1. ERM-based approach

Niveau de support accordée à une approche basée sur la gestion des risques dans la culture groupe. Cela va au-delà d’une simple conformité à la réglementation. Niveau d’intégration, de communication et de coordination de l’audit interne, des systèmes d’information, de la conformité, de la gestion des risques et du contrôle interne.

2. ERM process management

Niveau d’intégration du processus ERM dans les activités et d’utilisation des étapes pour identifier, évaluer, réduire et surveiller. Niveau d’incorporation des méthodes qualitatives aux méthodes quantitatives, analyses, outils et modèles.

3. Risk appetite management

Niveau de compréhension du compromis risques/bénéfices dans une activité. Politique visant à faciliter la prise de décision et réduire les écarts entre risque perçu et risque réel. L’appétence pour le risque définit la frontière du risque acceptable et la tolérance définit la variation d’appétence pour le risque que la direction estime acceptable.


86

4. Root cause discipline Niveau de discipline dans l’identification de la cause d’un problème et des liaisons entre évènements et sources permettant de réduire l’incertitude, collecte d’informations et mesure de l’efficacité des contrôles. Le niveau de risque lié aux personnes, à l’environnement externe, aux systèmes, aux processus et aux relations est exploré.

5. Uncovering risks

Niveau de qualité et de détail des activités d’évaluation de risques dans la documentation sur les risques et opportunités. Niveau de récupération d’informations en provenance des employés, des bases de données et autres fichiers électroniques permettant de découvrir les dépendances et corrélations au sein de l’entreprise.

6. Performance management Capacité à établir une vision et une stratégie, à travailler partir des processus financiers, clients, d’affaires et des perspectives de croissance. Niveau d’exposition à l’incertitude et aux dérives potentielles par rapport aux plans/attentes.

7. Business resiliency and sustainability

Etendue de l’intégration des aspects de viabilité du processus ERM dans la planification opérationnelle. Cela nécessite d’évaluer la façon dont la planification supporte la résilience et la valeur. Niveau d’appropriation et de planification au-delà des simples plateformes technologiques de secours. A titre d’exemples, sont concernés les dépendances des vendeurs et de la distribution, les défaillances dans la chaîne d’approvisionnement, les changements significatifs des prix de marché, la volatilité du cash flow, etc.

A chacune de ces compétences correspond un niveau de maturité selon le nombre de critères remplis, le niveau le plus faible déterminant le niveau de maturité de l’ERM au sein de l’organisation avec dans l’ordre :

0. Inexistant 1. Ad hoc 2. Initial 3. Reproductif 4. Géré 5. Avancé

Ainsi, ce modèle de gestion de risques permet à toute entreprise de se situer par rapport à un référentiel et de se fixer des objectifs d’amélioration. A noter que le RIMS a développé un partenariat avec LogicManager, société experte dans la fourniture de solutions ERM, qui fournit un outil de mesure objectif et cohérent de l’efficacité d’un process ERM.


87

Schéma de principe du RIMS Risk Maturity Model for ERM


88

Métier

Domaine

Processus

Opérations

Tâches élémentaires

Top-down Bottom-up

8.2.2 L’importance d’une cartographie des risques

L’importance croissante de la gestion des risques pour les dirigeants nécessite bien évidemment qu’ils disposent de la connaissance la plus étendue des risques auxquels l’entreprise est exposée. De même, il n’est pas question pour une structure de Risk Management de définir une véritable politique de gestion de risques si elle n’est pas en mesure d’identifier l’ensemble des risques et a fortiori, au moins les plus importants, susceptibles de menacer l’atteinte des objectifs fixés. Dès lors, il est plus que nécessaire, avant d’entamer toute démarche de gestion des risques, que de procéder à l’établissement d’une véritable cartographie des risques recensant l’ensemble des risques liés aux activités de la société, pour mieux en permettre l’analyse. L’analyse des risques est en effet fondamentale puisqu’elle constitue, nous l’avons vu, un préalable indispensable à la mise en place d’un dispositif de contrôle interne qui permettra d’en assurer la maîtrise. Si le but de cette thèse n’est pas de détailler les méthodes d’élaboration d’une cartographie des risques (il existe de nombreux ouvrages et références sur le sujet), nous nous contenterons seulement d’en rappeler ici les grands principes. Le nécessaire soutien de la Direction Tout d’abord, il convient de rappeler que la construction d’une cartographie des risques n’est pas une mince affaire et sera au contraire d’autant plus complexe, que la taille et les activités de l’entreprise seront importantes. Aussi, l’établissement d’une cartographie des risques ne peut se concevoir qu’avec le soutien et l’engagement sans faille de la Direction Générale et des équipes de management. Des ressources suffisantes doivent être affectées à la démarche et l’intérêt de mener à bien un tel projet doit être communiqué à l’ensemble des acteurs (et notamment les managers) de la société afin que tous y participent activement puisque chaque opérationnel, chaque manager reste propriétaire de ses risques. Les différentes approches : Top-down et Bottom-up Il existe deux grandes approches possibles pour la construction d’une cartographie des risques. La première consiste à partir des processus pour identifier les risques de l’entreprise et la seconde est basée sur un recensement des risques par le Comité de Direction. Ces deux approches sont complémentaires.

Les deux approches pour la construction d’une cartographie


89

Dans l’approche Top-down, les risques majeurs sont identifiés par les membres du Comité de Direction, au regard de la stratégie suivie par l’entreprise. Les risques sont ensuite rattachés aux processus de l’activité. Enfin, les risques sont analysés sous la forme d’une matrice de criticité (fréquence x gravité) permettant un classement par ordre de priorité pour leur traitement. Dans l’approche Bottom-up, le recensement des processus de l’entreprise constitue le point de départ de la démarche. Le niveau de détail doit être choisi de manière à permettre l’identification des processus les plus significatifs. Ce choix permet de déterminer le niveau hiérarchique d’interlocuteur à rencontrer pour collecter les informations adéquates. La deuxième étape consiste en l’identification des risques associés aux différents processus par l’équipe en charge de réaliser la cartographie et par le management de l’activité concernée. Les risques sont alors évalués et classés par ordre de priorité, de la même façon que dans la démarche Bottom-up. Pour information, on recense quatre grandes familles de risques pour le secteur de l’assurance :

§ risques de souscription : tarification, provisionnement, conception des produits,

comportement de l’assuré, § risques de marché : ALM, taux d’intérêt, actions, change, réinvestissement, concentration, § risques opérationnels : personnes ou processus ou systèmes internes inadaptés ou

défaillants, évènements extérieurs, § risque de crédit : contrepartie, spread, change, concentration.

L’évaluation des risques L’évaluation des risques est l’une des étapes les plus délicates et il n’est pas toujours possible d’évaluer un risque tout simplement parce qu’il est difficilement quantifiable. Pour autant, un risque est généralement mesuré en termes de probabilité d’occurrence et de gravité (conséquences). Toutefois, il convient de faire la différence entre un risque brut qui mesure le risque sans aucun élément de maîtrise (absence de procédures, absence de contrôle interne, absence de système informatique, etc.) et un risque résiduel (ou risque net) qui mesure le risque après mise en place des éléments de maîtrise (contrôle interne, couverture financière, transfert du risque, etc.). C’est d’ailleurs dans cette mesure que l’on peut comprendre tout l’intérêt d’un dispositif de contrôle interne qui contribuera à la réduction de la probabilité de survenance du risque.


90

8.2.3 La problématique de la communication sur les risques

L’obligation de communiquer sur les risques n’est pas sans poser quelques problèmes aux dirigeants. En effet, diffuser de l’information, a priori sensible, c’est d’une part prendre le risque de la voir mal interprétée avec les conséquences que l’on imagine lorsque l’entreprise est cotée sur les marchés financiers et d’autre part, c’est aussi informer « gratuitement » les concurrents et les différentes parties prenantes sur les faiblesses de la société. Par exemple, une compagnie d’assurance exposée à un risque juridique pourrait envisager le provisionnement de réserves pour faire face à d’éventuelles condamnations. Mais alors, quelle serait l’attitude des avocats et des tribunaux s’ils venaient à prendre connaissance que l’entreprise admet être exposée à un risque de condamnation : n’y a-t-il pas risque que cela soit interprété comme un début de reconnaissance d’une faute et donc la perspective d’une sanction inévitable ? Autre exemple, quelles conséquences en cas de communication au sujet d’un risque fiscal lié à des opérations assez peu transparentes (même s’il est admis que cela n’arrive pratiquement jamais…) ? Et quid des éventuelles recherches de responsabilités chez les dirigeants ? Dès lors, dans un contexte où toute communication est susceptible de pouvoir un jour être opposée à l’émetteur, faut-il toujours tout communiquer, y compris en interne ? La réponse n’est certainement pas facile et serait de toute façon sujette à de multiples débats. Pour autant, dans le cadre du sujet qui nous intéresse ici, à savoir le contrôle interne, cette épineuse question amène deux commentaires. Tout d’abord, elle justifie d’autant l’intérêt de la mise en place d’un dispositif de contrôle interne efficace qui permettra de « rassurer » les interlocuteurs et de relativiser les expositions au risque. Ensuite, elle démontre que l’évolution vers le concept de gestion globale des risques ne se fera pas sans difficultés et qu’il est dès lors très important de commencer déjà à se préparer à ce nouvel enjeu. Une prise de décision précipitée sur de tels sujets ne ferait qu’augmenter l’exposition au risque de l’entreprise.


91

CHAPITRE 9 - L’ORGANISATION DU CONTRÔLE INTERNE : MODELE OU

METHODE ?

Nous venons de voir que la gestion des risques - en insistant sur le fait que cette notion recouvre désormais tous les risques, financiers et opérationnels - devrait prendre encore plus d’ampleur qu’elle n’en a déjà aujourd’hui. Nous avons également souligné le bénéfice qui pouvait en être tiré pour conforter le dispositif de contrôle interne d’une entreprise. Subsiste néanmoins la question de savoir comment toutes les composantes évoquées tant par la réglementation, les cadres conceptuels et les pratiques peuvent ou doivent être structurées, agencées, juxtaposées, emboîtées… pour ainsi répondre à l’évolution probable de la réglementation et aux besoins spécifiques d’une entreprise d’assurances.

9.1 L’émergence de « constituants clés »

L’évolution des besoins en matière de contrôle interne a nécessité la mise en place, au fur et à mesure, de plusieurs « lignes de défense » contre les risques susceptibles d’affecter l’entreprise. Si, en raison de leur implication dans les tâches quotidiennes, les opérationnels apparaissent ainsi comme un logique premier rempart, d’autres fonctions telles que la conformité, la gestion des risques et le contrôle permanent semblent cependant constituer les éléments indispensables d’un contrôle interne organisé, pouvant être assimilés à une seconde ligne de défense. Quant à l’audit interne, il représente une troisième ligne qui permet d’assurer la solidité et la fiabilité de l’ensemble. 9.1.1 La conformité

S’il y a un point qui fait consensus entre toutes les perspectives d’évolution de la réglementation, c’est bien celui de la conformité puisque la création de cette fonction est notamment exigée par le règlement bancaire, recommandée par l’ACAM et sera requise par la future Directive Solvabilité II. La fonction de conformité a pour rôle d’assurer la surveillance de la conformité des opérations de l’entreprise à la réglementation et aux divers codes de bonnes pratiques et de déontologie que l’entreprise s’est engagée à respecter. En particulier, elle devrait être en charge de la surveillance des risques suivants :

§ blanchiment d’argent, § conflits d’intérêts, § délit d’initié ou manipulation de cours, § livraison au marché d’informations inadéquates, § réputation de l’entreprise, § formation incomplète des collaborateurs, § inadéquation des procédures en place avec les pratiques du marché, § non respect des règles relatives au gouvernement d’entreprise, § suivi insuffisant des évolutions réglementaires, etc.

La conformité, un risque comme un autre ? La conformité constitue l’un des objectifs fondamentaux du contrôle interne et le concept est d’ailleurs apparu bien avant celui de la gestion globale des risques.


92

Pour autant, plutôt que de parler de conformité, on devrait parler de risque de non-conformité. En effet, le non respect de règles imposées, qu’elles soient internes ou externes à l’entreprise, expose l’entreprise à des risques de conséquences diverses. La particularité du risque de non-conformité est d’ailleurs sa complexité car il n’y a pas forcément de liens entre les problématiques de blanchiment, de fraude, de respect des règles déontologiques ou bien encore des directives CNIL. Dès lors, il apparaît logique que la conformité soit intégrée, au même titre que n’importe quel autre risque, à un processus plus global de gestion des risques. Cependant, il conviendra de noter que les problématiques qui lui sont rattachées nécessitent tout de même une approche et des compétences spécifiques qui devraient logiquement la rapprocher des fonctions juridiques, plus à même de :

§ assurer une veille réglementaire, § mesurer/évaluer les conséquences d’une application inadaptée ou insuffisante des règles, § définir les dispositifs nécessaires à la minimisation des risques d’origine légale et

déontologique.

Aussi, pour mener à bien sa mission de surveillance et de maîtrise des risques, il apparaît primordial que la fonction conformité dispose d’un réseau de correspondants opérationnels au sein des directions, divisions ou entités en plus du lien évidemment étroit avec les fonctions juridiques. Ces correspondants pourront ainsi faire remonter les informations relatives à des risques potentiels et diffuser plus facilement des pratiques et méthodes visant à minimiser les risques dans l’ensemble de l’organisation. Enfin, la fonction conformité devrait constituer une source d’information précieuse pour éclairer la fonction Risk Management sur l’exposition de l’entreprise aux risques de non-conformité. 9.1.2 La Gestion des Risques et le Contrôle Permanent

Dans le chapitre précédent (§ 8.1.3) nous avons vu qu’en matière de gestion des risques, le contrôle interne était fondamental puisqu’il constitue la partie la plus opérationnelle des contrôles. Et lorsqu’on parle de contrôles opérationnels, il s’agit évidemment des contrôles effectués de manière permanente par le personnel dans le cadre de ses activités. Ces contrôles s’inscrivent ainsi dans un cadre de contrôle plus global appelé contrôle permanent. Le contrôle permanent assure la gestion et le contrôle du fonctionnement des dispositifs de prévention des risques, du respect de la conformité ainsi que des dispositifs assurant la fiabilité des informations comptables et financières. La nécessité de regrouper la gestion des différents dispositifs de contrôle des risques au sein d’une même structure apparaît comme inévitable si l’on veut assurer la cohérence des méthodes, des interventions et du reporting vers le Risk Management. En outre, cela permet une meilleure identification de la fonction par les opérationnels et favorise ainsi l’effet de taille. Le contrôle permanent repose sur la mise en œuvre en continu de l’identification et de l’évaluation des risques, des procédures, des contrôles, d’un reporting dédié et du pilotage associé. Il comprend ainsi deux niveaux :

§ un premier niveau de surveillance permanente réalisée par le cadre opérationnel.

La surveillance permanente de leur activité par les opérationnels eux-mêmes constitue la pierre angulaire du contrôle permanent et se définit comme l’ensemble des dispositions mises en œuvre en permanence pour garantir, au niveau opérationnel, la conformité, la sécurité, la validité des opérations réalisées et la surveillance des risques.


93

En effet, la maîtrise des activités au quotidien concerne d’abord l’ensemble des collaborateurs et repose sur le respect permanent par chacun d’eux, pour toutes les opérations qu’ils traitent, des règles et procédures en vigueur. Ensuite, il est du ressort de la hiérarchie de vérifier, sur une base régulière et inscrite dans des procédures précises, le respect par les salariés des règles et procédures de traitement et l’efficacité de la sécurité au quotidien. Cette surveillance permanente implique que les modes opératoires soient formalisés et mis à disposition des collaborateurs.

§ un second niveau de responsabilité exercée par des unités exclusivement dédiées aux activités de contrôle et indépendantes des unités opérationnelles.

Le Risk Management quant à lui, joue à la fois un rôle fonctionnel et opérationnel. Il s’appuie sur le Contrôle Permanent pour récupérer les informations permettant d’assurer que la politique de gestion des risques est appliquée. Le Risk Management a un rôle central dans l’animation de la politique de gestion des risques et définit, en relation avec les opérationnels, les dispositifs de maîtrise propres à chaque catégorie de risque.

Le contrôle permanent se situe donc au voisinage immédiat de la fonction gestion des risques, puisqu’il constitue l’application concrète, sur le terrain, de la politique de minimisation du risque définie par le Risk Management. Ainsi, le contrôle permanent constitue en définitive le prolongement opérationnel du Risk Management et les deux fonctions forment un bloc indissociable et indispensable au contrôle interne.

9.1.3 Le Contrôle Périodique Le contrôle périodique est un dispositif ayant pour mission d’évaluer l’efficacité du système de contrôle interne. Il intervient a posteriori et consiste à contrôler l’ensemble des processus, dont les mécanismes regroupés sous la dénomination de « contrôle permanent ». Les vérifications périodiques d’origine interne (rôle de l’audit interne) consistent en un examen critique du dispositif de contrôle interne mis en place par les entités auditées. Ces diligences sont établies pour apporter une assurance raisonnable sur l’efficacité de ce dispositif en termes de sécurité des opérations, de maîtrise des risques et de respect des règles externes et internes. Elles ont également pour objectif de participer à l’amélioration dudit dispositif en formulant des recommandations sur les éventuelles faiblesses identifiées. Par ailleurs, l’audit interne devrait également évaluer l’efficacité du système de Gestion des Risques. L’efficacité d’un dispositif de contrôle interne seul n’a en effet pas grand intérêt s’il n’y a pas l’assurance (raisonnable) que tous les risques ont bien été identifiés et que des moyens de maîtrise adaptés sont bien en place.


94

9.2 Le contrôle interne ou « l’art de la composition » ?

9.2.1 Un motif de base : diptyque ou triptyque

Nous venons de voir que l’ensemble des évolutions probables à court et moyen terme devraient inévitablement amener à la mise en évidence des rôles fondamentaux du couple Risk Management/Contrôle Permanent, de la Conformité et de l’Audit Interne pour assurer la maîtrise des activités et des risques dans les organismes d’assurance. Cependant, si ces trois premières fonctions trouvent naturellement leur place dans un dispositif de contrôle interne, il n’en va pas forcément de même pour la fonction Conformité qui constitue une problématique sensiblement plus importante dans les secteurs financiers comme celui de l’assurance. En effet, selon qu’elle soit considérée comme une fonction à part entière compte tenu de ses spécificités ou comme un simple risque opérationnel, la place de la Conformité dans le dispositif de contrôle interne pourra varier. Il est ainsi possible d’imaginer deux grands schémas pour l’organisation du contrôle interne dans une entreprise d’assurance : § Un diptyque composé de la fonction Audit Interne et du un couple Gestion des Risques/Contrôle

Permanent incluant la gestion des risques de non-conformité (et donc la fonction Conformité), ou § Un triptyque basé sur la fonction Audit Interne, le couple Gestion des Risques/Contrôle Permanent

et la Conformité, en tant qu’entité distincte.

Le choix de la solution la plus adaptée sera essentiellement guidé par la taille et par les moyens dont dispose l’entreprise pour mener à bien son projet d’organisation.

Un exemple de structure de Contrôle Interne et de Gestion des Risques


95

9.2.2 Un cadre lisible et une gouvernance clairement établie

Il ne fait aucun doute que la pression réglementaire devrait également amener à une plus grande structuration de l’organisation du contrôle interne et de la gouvernance dans les entreprises d’assurance. Nous avons vu en effet que les nouvelles dispositions imposeront aux entreprises de se référer à un cadre de référence de contrôle interne ainsi qu’à un code de gouvernance. Si la structure du COSO ou du cadre de référence de l’AMF permet de satisfaire pour l’heure à toutes les exigences, il sera toutefois probablement nécessaire d’évoluer vers des référentiels de gestion globale des risques (ERM) de type COSO 2 ou équivalent de manière à être en mesure de répondre aux préoccupations de plus en plus importantes sur l’aptitude des entreprises à pouvoir assurer une bonne gestion des risques. La difficulté pour les entreprises sera alors d’arriver à définir clairement leur niveau d’appétence pour le risque et à le traduire correctement dans une politique de gestion des risques.

D’autre part, la nécessité d’assurer la surveillance (par le conseil d’administration) et la cohérence des différentes actions de contrôle interne et de gestion des risques mises en œuvre au sein de la société devraient pousser à la mise en place d’un Comité d’Audit et d’un Comité des Risques. Le comité des Risques Le Comité des Risques constitue le pivot du dispositif de gestion des risques. A ce titre, il propose les limites sur la base des analyses et propositions qui lui sont soumises par le Risk Management. Outre son rôle influent sur toute question en matière de risques, il suit aussi de manière permanente les évolutions externes (normes prudentielles, recommandations des organes régulateurs) et internes (mise en place de nouvelles opérations). Le comité d’Audit Selon la 8è Directive comptable européenne, le comité d’audit doit notamment être chargé : § du suivi du processus d’élaboration de l’information financière, § du suivi de l’efficacité des systèmes de contrôle interne, d’audit interne, le cas échéant, et § de la gestion des risques de la société.

Ainsi, il se doit de jouer un rôle majeur dans la coordination des activités de contrôle interne afin d’assurer la maîtrise des risques et des activités. Pour autant, s’il est indispensable d’intégrer ces futures exigences réglementaires dans une réflexion sur l’organisation d’un dispositif de contrôle interne, il conviendrait aussi de tenir compte de l’ensemble des spécificités de l’entreprise. En effet, toute entreprise a une histoire, des pratiques et d’une manière générale une culture qui lui est propre et qui influe forcément sur la qualité et l’organisation du contrôle interne. L’intégrité, l’éthique et la compétence du personnel, la philosophie des dirigeants ou bien encore le style de management sont autant de facteurs qui influent assurément sur la composante fondamentale du contrôle interne, à savoir l’environnement de contrôle. D’ailleurs, jusqu'à ces dernières années, l'existence même du contrôle interne était étroitement liée à la culture de l'entreprise et parfois même, à la seule culture de son patron : on avait ou non une "culture de contrôle interne".


96

Par ailleurs, les hommes et les femmes de l’entreprise constituent également un paramètre majeur dans la structuration d’un dispositif de contrôle interne. L’expérience, la compétence et les connaissances de certaines personnes peuvent en effet grandement faciliter et améliorer le fonctionnement du contrôle interne. Il apparaît donc logique d’en tenir compte dans le choix des responsabilités qu’il conviendra de leur confier. Enfin, les caractéristiques d’une entreprise, c’est-à-dire son secteur d’activité, son importance (taille) et les moyens dont elles disposent constituent autant de données qui impactent l’organisation de son contrôle interne. Une petite mutuelle santé de province ne disposera jamais des moyens d’un groupe international mais n’aura pas non plus les mêmes besoins en matière de contrôle. La définition d’une structure de contrôle interne ne devrait donc surtout pas être le fruit d’un simple copier-coller d’un modèle académique ou de pratiques constatées à l’extérieur de l’entreprise. En effet, les dispositifs de contrôle interne ne peuvent par essence qu’être uniques et propres à la culture, à l’organisation et aux spécificités de chaque société et il est impossible d’envisager l’existence d’une structure universelle, même s’il existe des composantes forcément communes. Il incombe donc à chaque entreprise de s’attacher à rechercher un dispositif qui soit avant tout parfaitement adapté à sa configuration et à ses particularités.


97

SYNTHESE DE LA TROISIEME PARTIE

Bien que le concept fasse l’objet de véritables enjeux, l’évolution du contrôle interne et la reconnaissance de son rôle dans l’entreprise n’ont pourtant été véritablement permises qu’avec le développement des exigences réglementaires de ces dernières années. Aussi, l’identification des perspectives d’évolution du contrôle interne passe nécessairement par l’étude et l’analyse des orientations réglementaires à court et moyen terme dans le secteur de l’assurance. Ainsi, dans le secteur bancaire, dont les activités sont relativement proches de celles de l’assurance et où le concept de contrôle interne, plus ancien, a déjà fait l’objet d’une réflexion aboutie, le règlement 97-02 exige que le contrôle interne dans un établissement financier soit scindé en deux parties avec d’une part, un dispositif de contrôle permanent et d’autre part, un dispositif de contrôle périodique. Ce règlement impose également la mise en place d’une gestion des risques métiers et opérationnels. Par ailleurs, les avis et recommandations des autorités de tutelle et régulateurs préfigurent souvent des évolutions réglementaires à court et moyen terme. Ainsi, il est important de constater que l’ACAM, à l’instar des pratiques bancaires, recommande également la création d’une fonction de contrôle permanent et d’une fonction conformité. Elle incite aussi à l’utilisation d’un référentiel de contrôle interne au sein des organismes d’assurance, relativement proche du concept COSO et du cadre de référence défini par l’AMF, et recommande aux entreprises d’assurance de se référer à un code de gouvernance d’entreprise et de se doter d’un comité d’audit. Elle plaide également pour un renforcement de la responsabilité du conseil, dont l’une des missions consisterait à évaluer l’efficacité du dispositif de contrôle permanent. Quant à l’AMF, elle recommande l’utilisation de son cadre de référence pour le contrôle interne et indique qu’un tel dispositif n’a de réel sens que s’il est construit à partir d’une analyse des risques auxquels la société est exposée. Enfin, le projet de référentiel européen Solvabilité II, qui comporte un volet qualitatif (pilier II) relatif aux aspects de surveillance et de contrôle, imposera un certain nombre d’obligations en matière de contrôle interne à l’ensemble des entreprises d’assurance. Ainsi, il sera exigé la création d’une fonction gestion des risques, d’une fonction d’audit interne et d’une fonction permanente de conformité ainsi que l’utilisation d’un cadre de contrôle interne. La Directive accordera une importance particulière à la gestion des risques et à la rigueur des contrôles internes et à défaut d’une qualité suffisante, un supplément de capitaux en fonds propres pourra être exigé, faisant ainsi du contrôle interne et de la gestion des risques, un véritable enjeu financier. L’analyse de ces perspectives d’évolution laisse ainsi apparaître une nette accentuation des préoccupations relatives à la gestion globale des risques dans les organismes d’assurance au cours des prochaines années. Dans ce contexte, la fonction Risk Management devrait être amenée à jouer un rôle particulièrement important mais elle devra porter une attention renforcée à la gestion des risques opérationnels, souvent sous-estimés par rapport aux risques financiers et actuariels. L’essor de la gestion des risques devrait par ailleurs amener à une évolution profonde dans l’organisation des dispositifs de contrôle interne. Et il apparaît de plus en plus évident que la structure d’un dispositif de contrôle interne devra nécessairement s’appuyer sur les trois constituants fondamentaux que sont la conformité, l’audit interne et le bloc Risk Management/Contrôle Permanent. Il est cependant impossible de définir clairement la manière dont ces différents constituants devront interagir car le mode de fonctionnement final relèvera aussi de l’influence de la culture, de l’histoire et des particularités de chaque entreprise. Sur cette question en effet, la diversité de configuration des organismes d’assurance ne peut permettre de croire, pour l’heure tout du moins, à l’existence d’une solution universelle.


98

Enfin, les dispositifs de contrôle interne et de gestion des risques n’ayant de sens que s’ils s’inscrivent dans le cadre d’une gouvernance ad hoc, il apparaît alors pertinent de mettre en place un comité des risques et un comité d’audit de manière à assurer le fonctionnement efficace de l’ensemble de la structure.

***


99

CONCLUSION 1. Le contrôle interne : un enjeu managérial, réglementaire et financier

Loi Sarbanes-Oxley, loi de Sécurité Financière, Directives européennes et décrets ont fait du contrôle interne, au cours des dernières années, une réelle préoccupation pour tous les dirigeants d’entreprises et des organismes d’assurance en particulier. La médiatisation actuelle du contrôle interne tend d’ailleurs à faire croire qu’il s’agit d’un concept nouveau (voire bureaucratique pour certains), fruit de la réflexion des législateurs et régulateurs de marchés financiers, uniquement conçu pour contrer les excès du passé, avec notamment les scandales financiers des années 2000. En réalité, il n’en est rien puisque les premières formes de contrôle interne sont apparues en même temps que celles de la comptabilité. Cependant, force est de constater que les réglementations récentes ont amené la reconnaissance « officielle » du rôle du contrôle interne, notamment dans la maîtrise de l’information comptable et financière. Belle ironie de l’histoire d’ailleurs, puisqu’à l’origine, le contrôle interne fut essentiellement créé pour protéger l’entreprise des risques de fraude et que la récente réglementation a ranimé le concept mais avec l’objectif principal de protéger les parties prenantes des éventuelles fraudes… de l’entreprise ! Pour autant, ce serait commettre une grave erreur de ne voir dans le contrôle interne qu’une simple obligation réglementaire. Car son rôle a beaucoup évolué et dépasse dorénavant la simple problématique de maîtrise des processus d’élaboration des informations comptables et financières. Aujourd’hui, le contrôle interne constitue surtout un véritable outil managérial qui permet d’assurer la maîtrise des activités et des risques, l’efficacité des opérations et l’utilisation efficiente des ressources de l’entreprise. Il constitue donc, de fait, un élément indispensable aux activités de management. Alors certes, le contrôle interne reste un concept encore difficile à maîtriser, mais même s’il n’y a pas consensus sur une définition commune et encore moins sur une traduction opérationnelle, les objectifs sont dorénavant relativement bien identifiés et les quelques modèles de référence théoriques existants permettent d’en déterminer les principales composantes. Par ailleurs, la réglementation, en ne cessant de se faire plus précise dans ses exigences, facilite la structuration d’une réponse adaptée à l’enjeu. La complexité du concept devrait d’ailleurs perdurer quelque temps encore compte tenu des nouvelles problématiques auxquelles les entreprises doivent faire face. Le concept de Responsabilité Sociale de l’Entreprise, la conformité, la gestion des risques ou bien la gouvernance sont autant de sujets, par ailleurs tout aussi complexes, qui devraient exacerber encore l’enjeu du contrôle interne et entretenir l’évolution de la fonction au sein des entreprises. Enfin, au-delà de l’aspect managérial et réglementaire, il ne faut pas oublier qu’à terme, avec la mise en œuvre de la future Directive européenne Solvabilité II qui a fait du contrôle interne l’un de ses piliers fondateurs, l’enjeu pour les organismes d’assurance sera également financier, puisque le niveau de capital exigé pour constituer la marge de solvabilité dépendra aussi de la qualité du contrôle interne.


100

2. Un rôle fondamental dans la démarche de gestion des risques

Si l’augmentation des exigences de transparence dans les méthodes de gestion d’entreprise affecte essentiellement les processus comptables et financiers, elle se traduit aussi, et en particulier dans le secteur de l’assurance, par des attentes nouvelles sur la capacité des entreprises à assurer une gestion adéquate des risques auxquels elles sont exposées. Cette tendance se retrouve d’ailleurs dans les différents projets de réglementation qui exigent une détection précoce des risques encourus et leur prévention par la mise en place de structures permanentes de contrôle, de suivi et de reporting. Aussi, il ne fait aucun doute que la gestion des risques sera demain, l’un des enjeux majeurs de la gestion d’entreprise auxquels les dirigeants devront faire face. Si la problématique de gestion des risques n’est pas forcément nouvelle pour les entreprises, habituées depuis longtemps à évoluer dans un contexte économique fortement concurrentiel et globalisé, l’importance croissante accordée à la gestion des risques opérationnels, devrait tout de même apporter quelque nouveauté pour les entreprises d’assurance, plutôt habituées à gérer les risques financiers. Cette évolution vers un concept de gestion globale des risques (ou ERM) devrait ainsi amener à un renforcement du rôle de la fonction Risk Management et du contrôle interne, notamment en ce qui concerne la gestion des risques opérationnels. Par ailleurs, l’observation des éventuelles évolutions réglementaires laisse même envisager une meilleure structuration des dispositifs de contrôle interne reposant entre autres, sur des fonctions distinctes de Contrôle Permanent et de Contrôle Périodique (audit interne). Les systèmes de gestion des risques de demain seront donc vraisemblablement amenés à s’appuyer sur un contrôle interne structuré incluant les fonctions de Risk Management, de conformité, de contrôleur interne et d’auditeur interne.

3. L’impérieuse nécessité d’une bonne gouvernance Si les enjeux du contrôle interne ne font aucun doute, il convient cependant de bien comprendre que l’efficacité d’un tel dispositif reste conditionnée à une réelle qualité de gouvernance d’entreprise, qui constitue le préalable indispensable à l’engagement dans toute démarche de contrôle interne et même de gestion des risques. L’analyse des défaillances d’Enron ou Worldcom a par exemple montré qu’elles ne sont pas le fait de problème particulier dans le dispositif de contrôle interne mais plutôt de graves échecs dans les principes mêmes de gouvernance. Certains risques ne peuvent en effet, être convenablement contrés qu'au moyen d'exigences concernant la gouvernance et aucun système de contrôle interne ne pourra prévenir les conséquences d’un manque d’intégrité ou d’engagement dans la démarche au plus haut niveau de l’organisation. Par ailleurs, la gouvernance elle-même constitue l’un des risques susceptibles d’avoir un impact potentiel sur l’atteinte des objectifs d’une entreprise. La philosophie de gouvernance d’une organisation (qui est matérialisée par son cadre, des politiques, des pratiques et la mise en oeuvre de ces politiques) peut effectivement ne pas être en adéquation avec les objectifs qu’elle poursuit. Et à l’inverse, le cadre de la gouvernance de l’organisation constitue un préalable indispensable à toute stratégie de gestion des risques définie par le conseil d’administration. Dès lors, si le contrôle interne représente un enjeu majeur pour l’avenir des organismes d’assurance, il n’a de sens que s’il existe un système de gouvernance efficace.


101

4. Une mobilisation nécessaire

D’après une récente étude85, « le contrôle interne a encore une image fondée sur une codification de règles strictes déconnectées des réalités opérationnelles alors qu’il devrait être considéré comme un outil de mesure de performance ». Par ailleurs, selon une autre étude86 menée auprès de 74 acteurs du secteur Assurance et Protection Sociale en France, représentant en cumulé plus de 80% du CA du secteur, il apparaît que plus de 90% des acteurs ont une fonction dédiée au Contrôle Interne traduisant une bonne sensibilisation au sujet. Cette apparente sensibilisation doit cependant être relativisée car les acteurs interrogés ne représentent que 5 à 10% du nombre total d’acteurs sur ce marché. Par ailleurs, il existe encore un nombre non négligeable d’organismes assez en retard qui ne disposent que de dispositifs de communication minimaliste. De plus, les 90% d’acteurs non interrogés ne représentent que 20% du CA du secteur et leur taille unitaire laisse donc place au doute quant à leurs capacités à mettre en place rapidement un dispositif de contrôle interne formellement structuré. Autre constat intéressant, la part des effectifs affectés au Contrôle Interne, à l’Audit et à la Gestion des Risques est seulement de 3 personnes pour 1000 salariés, soit trois fois moins que dans le secteur Banque-Finance. Par ailleurs, seuls 20% des acteurs interrogés ont déclaré avoir entrepris une démarche de contrôle interne combinée à la mise en place d’une gestion des risques. Quant aux grandes fonctions que sont l’Audit, le Contrôle Permanent et Gestion des Risques, dont l’importance a été mise en évidence dans ce document, elles n’ont été mises en place que dans seulement 14% des cas et seulement 5% des entreprises interrogées ont créé des fonctions « conformité » ou « compliance ». Dès lors, on ne saurait conclure cette étude sans appeler les dirigeants des organismes d’assurance à une véritable mobilisation sur le contrôle interne, à la hauteur des enjeux et sans rappeler qu’en définitive, le contrôle interne ne doit pas être perçu comme une contrainte puisque c’est un dispositif qui permet avant tout d’améliorer le fonctionnement, la performance et la maîtrise des activités, mis en place par l’Entreprise et pour l’Entreprise.

***

85 Etude de Grant Thornton sur les pratiques des sociétés du SBF120 en matière de contrôle interne en 2006 86 Enquête 2007 - « Etat de l’art en Contrôle Interne et Risk Management dans le secteur Assurance & Protection Sociale », Etude Oxéa/La Tribune de l’Assurance


102

ANNEXES


103

ANNEXE 1 - LES AUTORITES DE CONTRÔLE

1.1 L’Autorité des Marchés Financiers (AMF)

1.1.1 Présentation de l'Autorité des Marchés Financiers

Créée par la loi n° 2003-706 de sécurité financière du 1er août 2003, l'Autorité des marchés financiers est issue de la fusion de la Commission des opérations de bourse (COB), du Conseil des marchés financiers (CMF) et du Conseil de discipline de la gestion financière (CDGF). Ce rapprochement avait pour objectif de renforcer l'efficacité et la visibilité de la régulation de la place financière française. L'Autorité des marchés financiers est un organisme public indépendant, doté de la personnalité morale et disposant d'une autonomie financière, qui a pour missions de veiller :

§ à la protection de l'épargne investie dans les instruments financiers et tout autre placement donnant lieu à appel public à l'épargne ;

§ à l'information des investisseurs ; § au bon fonctionnement des marchés d'instruments financiers.

Elle apporte son concours à la régulation de ces marchés aux échelons européen et international et dispose d'une autonomie financière (décret n° 2003-1290 du 26 décembre 2003 relatif aux montants et aux taux des taxes perçues par l'Autorité des marchés financiers). L'Autorité des marchés financiers comprend :

§ un collège de 16 membres ; § une commission des sanctions de 12 membres ; § des commissions spécialisées et des commissions consultatives.

Le ministre de l'Economie, des Finances et de l'Industrie désigne le commissaire du Gouvernement qui siège auprès de toutes les formations, sans voix délibérative. Le président de l'Autorité des marchés financiers est nommé par décret du président de la République pour un mandat de cinq ans non renouvelable. L'Autorité des marchés financiers dispose de services dirigés par un secrétaire général. Le personnel des services est composé d'agents contractuels de droit public, de salariés de droit privé et d'agents publics, soit 320 personnes à fin 2003.

1.1.2 Les compétences de l'Autorité des Marchés Financiers

L'Autorité des marchés financiers exerce quatre types de responsabilités :

§ réglementer ; § autoriser ; § surveiller ; § sanctionner.


104

Ses compétences portent sur :

• Les opérations et l'information financières : l'Autorité des marchés financiers réglemente et contrôle l'ensemble des opérations financières portant sur des sociétés cotées : introductions en bourse, augmentations de capital, offres publiques, fusions, etc. et veille au bon déroulement des offres publiques boursières. Elle vérifie que les sociétés publient, en temps et en heure, une information complète et de qualité, délivrée de manière équitable à l'ensemble des acteurs.

• Les produits d'épargne collective : l'Autorité des marchés financiers autorise la création de

SICAV et de FCP. Elle vérifie notamment l'information figurant dans le prospectus simplifié de chaque produit qui doit être remis au client avant d'investir. S'agissant des produits complexes (fonds à formule, etc.), l'Autorité veille à ce que les spécificités des produits et leurs conséquences soient clairement présentées aux épargnants.

• Les marchés et leurs infrastructures : l'Autorité des marchés financiers définit les principes

d'organisation et de fonctionnement des entreprises de marchés (comme Euronext Paris) et des systèmes de règlement-livraison (comme Euroclear France). Elle approuve les règles des chambres de compensation (comme Clearnet) et détermine les conditions d'exercice de leurs adhérents. Elle surveille les marchés et les transactions qui s'y déroulent.

• Les professionnels (établissements de crédit autorisés à fournir des services

d'investissement, entreprises d'investissement, sociétés de gestion, conseillers en investissement financier, démarcheurs, etc.). L'AMF détermine les règles de bonne conduite et les obligations que doivent respecter les professionnels autorisés à fournir des services d'investissement ou des conseils en investissement. Elle agrée les sociétés de gestion lors de leur création, apprécie la compétence et l'honorabilité des dirigeants ainsi que l'adaptation des moyens dont elles disposent. Elle détermine également les conditions d'exercice des activités de conservation ou d'administration des instruments financiers.

L'Autorité des marchés financiers regroupe ainsi les compétences de la Commission des opérations de bourse, du Conseil des marchés financiers et du Conseil de discipline de la gestion financière auxquelles s'ajoutent d’autres missions :

• Le contrôle des conseillers en investissements financiers La loi de sécurité financière a en effet créé le statut des conseillers en investissements

financiers et a confié à l'Autorité des marchés financiers la responsabilité de contrôler le respect de leurs obligations professionnelles. Tout manquement par les conseillers en investissements financiers aux lois, règlements et obligations professionnelles les concernant est passible de sanctions prononcées par l'Autorité des marchés financiers.

• La surveillance des agences de notation L'Autorité des marchés financiers doit publier chaque année un rapport sur le rôle des

agences de notation, leurs règles déontologiques, la transparence de leurs méthodes et l'impact de leur activité sur les émetteurs et les marchés financiers.

L'Autorité des marchés financiers peut également procéder à des contrôles et à des enquêtes et, en cas de pratiques contraires à son règlement général ou aux obligations professionnelles, la Commission des sanctions peut prononcer des sanctions. Lorsque les faits paraissent constitutifs d'un délit, le Collège de l'Autorité des marchés financiers transmet le rapport de contrôle ou d'enquête au procureur de la République. L'Autorité des marchés financiers est habilitée à recevoir toute réclamation portant sur les instruments et marchés financiers. Son médiateur peut proposer la résolution des différends portés à sa connaissance.


105

Organisation de la place financière française.

1.2 L’Autorité de Contrôle des Assurances et des Mutuelles (ACAM)

Créée par la loi n°2003-706 du 1er août 2003 de sécurité financière, l'Autorité de contrôle des assurances et des mutuelles (ACAM) est une autorité publique indépendante dotée de la personnalité morale. La fusion de la Commission de contrôle des assurances (CCA) et de la Commission de contrôle des mutuelles et des institutions de prévoyance (CCMIP), a donné naissance à la Commission de contrôle des assurances, des mutuelles et des institutions de prévoyance (CCAMIP) qui a changé de nom en vertu de l'article 14 de la loi n° 2005-1564 du 15 décembre 2005 pour devenir l'Autorité de contrôle des assurances et des mutuelles (ACAM). L'ACAM bénéficie d’une indépendance légalement organisée, de pouvoirs de décisions et de gestions propres ainsi que d’une autonomie budgétaire. Elle a pour mission principale de contrôler les entreprises d’assurance et de réassurance relevant du Code des assurances, les mutuelles relevant du Code de la mutualité, les institutions de prévoyance et les institutions de retraite supplémentaire relevant du Code de la sécurité sociale. Elle est à ce titre chargée de veiller à ce que les entités soumises à son contrôle respectent les dispositions législatives et réglementaires qui leur sont applicables et les engagements contractuels qui les lient à leurs assurés ou adhérents. Elle doit s’assurer que ces entités sont en mesure de tenir à tout moment les engagements qu’elles ont contractés envers leurs assurés ou adhérents. Outre des pouvoirs d’investigation étendus, l'ACAM dispose de pouvoirs de sauvegarde, d’injonction et de sanction. La plupart des décisions, portant en particulier sur des faits individuels, sont soumises au secret professionnel. Cependant certaines de ces décisions peuvent faire l’objet d’une publication au Journal Officiel sous forme d’avis ou donner lieu à des communiqués.

1.2.1 Le contrôle du respect de la réglementation dans l'intérêt des assurés

L’ACAM est chargée de veiller au respect, par les entreprises d'assurance françaises et des succursales d'entreprises d'assurance non communautaires, par les mutuelles régies par le Code de la mutualité, par les institutions de prévoyance régies par le Code de la sécurité sociale, les institutions de retraite supplémentaire régis par le même Code et les organismes régis par l'article L. 727-2 du Code rural, des dispositions législatives et réglementaires qui leur sont applicables, ainsi que des engagements contractuels qui les lient aux assurés ou adhérents.


106

L'ACAM s'assure que les entreprises d'assurance, que les mutuelles et les institutions de prévoyance sont en mesure de tenir à tout moment les engagements qu'elles ont contractés envers les assurés ou adhérents. L'examen de leur situation financière et de leurs conditions d'exploitation forme la base de ses travaux. En particulier, l'ACAM vérifie que les entreprises évaluent correctement leurs engagements envers les assurés ou adhérents, qu'elles disposent, pour faire face à ces engagements, de placements suffisamment sûrs et diversifiés, et que leur richesse propre est supérieure à un minimum réglementaire, appelé minimum de marge de solvabilité.

1.2.2 Des pouvoirs d'investigation étendus

Pour exercer sa mission, l'ACAM - et les commissaires-contrôleurs chargés d'effectuer pour son compte les vérifications sur pièces et sur place nécessaires - disposent des pouvoirs d'investigation les plus larges. Sa compétence s'étend en effet à toutes les opérations effectuées par les organismes contrôlés. L'ACAM peut demander à l’organisme toute information qu'elle juge utile à l'exercice de sa mission. Le refus de la part d'un dirigeant de répondre à ces demandes d'information ou la communication de renseignements inexacts est puni de peines d'emprisonnement ou de fortes amendes. L'ACAM peut adresser à tout organisme ou toute personne soumis à son contrôle une recommandation de prendre toutes les mesures appropriées pour restaurer ou renforcer sa situation financière, améliorer ses méthodes de gestion ou assurer l'adéquation de son organisation à ses activités ou à ses objectifs de développement. L'organisme est tenu de répondre dans un délai de deux mois en précisant les mesures prises à la suite de cette recommandation. L'ACAM peut demander aux commissaires aux comptes d’un organisme relevant de son contrôle tout renseignement sur son activité, les commissaires aux comptes étant alors déliés, à son égard, du secret professionnel. Les commissaires aux comptes sont par ailleurs tenus d'informer l'ACAM si l'entreprise enfreint certaines dispositions de la réglementation. L'ACAM peut transmettre des observations écrites aux commissaires aux comptes qui sont tenus d'apporter des éléments de réponse. L'ACAM est saisie pour avis de toute proposition de désignation ou de renouvellement du mandat de commissaires aux comptes. Elle peut, lorsque la situation le justifie, procéder à la désignation d'un commissaire aux comptes supplémentaire.

1.2.3 La possibilité d'étendre le contrôle à d’autres organismes

Dans l'exercice de sa mission, l'ACAM peut décider d'étendre le contrôle d’un organisme aux entreprises apparentées au sens du 4° de l’article L. 334-2 du Code des assurances ou à tout autre organisme avec lequel a été passée, directement ou indirectement, une convention de gestion, de réassurance ou de tout autre type susceptible d'altérer son autonomie de fonctionnement ou de décision. L'ACAM peut décider de soumettre au contrôle toute personne physique ou morale ayant reçu d’une entreprise d’assurance un mandat de souscription ou de gestion, ou exerçant, à quelque titre que ce soit, le courtage d’assurance ou la présentation d’opérations d’assurance. Elle peut en outre décider de soumettre à son contrôle toute personne morale ou physique qui s’entremet, directement ou indirectement, entre une mutuelle régie par le code de la mutualité, ou une institution de prévoyance régie par le code de la sécurité sociale, d’une part, et une personne qui souhaite adhérer ou adhère à cette mutuelle ou à cette institution, d’autre part.


107

1.2.4 Autres missions

Le contrôle des sociétés de réassurance et des sociétés de participations d'assurance La loi soumet également au contrôle de l'ACAM, les entreprises de réassurance, ainsi que les organismes de tête des groupes d’assurance, de mutuelles et d’institutions de prévoyance. Cette dernière mission a pris de l'importance avec la transposition des règles européennes sur le contrôle des groupes d'assurance et sur celui des conglomérats financiers. La lutte contre le blanchiment des capitaux Les entreprises d'assurance et de capitalisation et les courtiers d'assurance et de réassurance sont tenus par la loi de mettre en place des procédures de lutte contre le blanchiment de capitaux. L'Autorité est chargée de surveiller la mise en œuvre par les entreprises d'assurance des mesures de lutte contre le blanchiment de capitaux. L'acceptation des experts Quelques tâches de contrôle a priori sont confiées à l'ACAM, telles l'acceptation des experts immobiliers ou l'habilitation des associations d'actuaires à agréer des actuaires dans le cadre de la certification des tables de mortalité ou d'invalidité utilisées par les organismes d'assurance pour élaborer leurs tarifs. Le Plan d'Épargne Retraire Populaire L'article 6 du décret n° 2004-342 du 21 avril 2004 relatif au plan d'épargne populaire charge l'ACAM de l'inscription de chaque association souscriptrice – le groupement d'épargne retraite populaire – sur un registre tenu par elle à partir des informations communiquées par l’association.

1.2.5 Organisation

Pour remplir l'ensemble de ses missions, l'ACAM s’appuie sur plusieurs services dirigés par le Secrétaire général de l'Autorité. Parmi ces services figurent notamment huit brigades qui effectuent le contrôle sur place et sur pièces des organismes relevant du contrôle de l'Autorité. Leurs membres sont accrédités auprès des entreprises. Au sein de ces brigades de contrôle, l'étude de chaque société ou groupe de sociétés est confiée à un seul commissaire-contrôleur qui est ainsi l'interlocuteur privilégié de l'entreprise concernée, sauf lorsque la taille de la société ou un problème particulier justifie des moyens plus importants. A côté des commissaires-contrôleurs, l'ACAM dispose du personnel administratif lui permettant de remplir les autres missions qui lui sont confiées (établissement des statistiques du marché de l'assurance, échanges d'information dans le cadre européen ... ) ainsi que d'un bureau des relations avec les assurés. Au 31 décembre 2005, l'effectif des services de l'ACAM était de 160 personnes dont 66 commissaires-contrôleurs.


108

1.3 La Securities and Exchange Commission (SEC)

La « Securities and Exchange Commission » plus communément connue sous son acronyme SEC, est l’agence gouvernementale américaine chargée de faire appliquer les lois et réglementations financières fédérales et de réguler les marchés financiers et la Bourse aux Etats-Unis. Les lois et réglementations financières qui régulent le marché financier aux Etats-Unis proviennent du principe simple que tout investisseur, institutionnel ou privé, doit avoir accès à un minimum d’informations avant d’acheter et pendant toute la durée de détention des actions.

1.3.1 Origine de la SEC

La SEC a été créée par application de l’article 4 du Securities Exchange Act of 1934 voté par le Congrès en réponse à la période de récession qui a suivi le grand krach boursier de 1929. La SEC fut principalement créée dans le but de faire appliquer les nouvelles lois financières, promouvoir la stabilité des marchés et surtout protéger les investisseurs des abus de sociétés relatifs aux achats et ventes d’actions ainsi qu’aux informations rendues publiques. Franklin D. Roosevelt nomma Jospeh P. Kennedy, le père de John F. Kennedy, comme premier président de la SEC en 1934.

1.3.2 Les six principales lois financières

La SEC a la responsabilité de faire appliquer les six principales lois financières qui régulent l’industrie financière et qui sont :

§ le Securities Act of 1933 Cette loi a deux objectifs principaux :

1) assurer aux investisseurs la mise à disposition d’informations financières et de toute autre information significative concernant les produits financiers (actions, obligations) faisant appel public à l’épargne, et

2) interdire la dissimulation, la déformation et toute autre fraude dans la vente de produits financiers.

§ le Securities Exchange Act of 1934 Cette loi est à l’origine de la création de la SEC et lui donne toute autorité sur l’industrie financière en matière de régulation et de supervision. La New York Stock Exchange, l’American Stock Exchange et la National Association of Securities Dealers, qui gère le NASDAQ, sont sous la supervision de la SEC. Cette loi identifie et interdit certains comportements sur les marchés et dote la SEC de pouvoirs disciplinaires sur les entités et les personnes qui y sont associées. La loi donne également à la SEC le droit d’exiger des rapports d’information périodiques de la part des sociétés faisant appel public à l’épargne. § le Trust Indenture Act of 1939 Cette loi s’applique aux produits financiers de type obligations, certificats et créances proposés au public. Bien que ces produits puissent être couverts par le Securities Act of 1933, ils peuvent ne pas être ouverts au public à moins d’un accord formel entre l’émetteur des obligations et le détenteur (le trust indenture), conforme aux exigences de la dite loi.


109

§ l’Investment Company Act of 1940 Cette loi réglemente l’organisation de sociétés, tels que les fonds commun de placement, qui investissent en actions et dont leurs propres actions sont ouvertes au public. Cette loi exige notamment la publication d’informations sur le fond, ses objectifs d’investissements, sa structure et ses opérations, à destination des investisseurs publics. § l’Investment Advisers Act of 1940 Cette loi réglemente la profession des conseillers en investissement. Depuis l’amendement de 1996, seuls les conseillers avec une gestion d’encours de plus de $25 million ou ceux qui gèrent les encours d’une société d’investissement listée doivent être listés auprès de la SEC. § le Sarbanes-Oxley Act of 2002 Cette loi vise à améliorer la responsabilité des sociétés en matière de publication d’information financière et la lutte contre la fraude. Elle est à l’origine de la création du Public Accounting Oversight Board qui supervise les activités des cabinets d’audit. 1.3.3 Organisation de la SEC

La SEC est basée à Washington et comporte 5 commissaires nommés par le président des Etats-Unis avec le conseil et le consentement du Sénat. Le mandat des commissaires est de 5 ans et l’un d’eux est remplacé le 5 juin de chaque année. Pour assurer la neutralité de la SEC, il n’y a jamais plus de 3 commissaires qui appartiennent au même parti politique. Le président des Etats-Unis désigne le Président de la SEC parmi les 5 commissaires. La SEC dispose de 4 divisions, 18 bureaux et emploie environ 3 100 personnes. Elle dispose en dehors de son siège à Washington de 11 bureaux régionaux répartis dans les Etats-Unis. Les 4 divisions sont :

§ Corporation Finance Cette division est chargée de superviser les publications réalisées par les sociétés et de

l’enregistrement des transactions telles que les fusions de sociétés. Elle est également responsable du système EDGAR87 qui met à la disposition du public l’ensemble des rapports périodiques des sociétés qu’elle est par ailleurs chargée d’analyser. Elle est aussi responsable de l’interprétation de la réglementation.

§ Market Regulation Cette division supervise l’activité des organismes de bourse (tels que le NYSE), les sociétés de

courtage et d’investissement et autres acteurs majeurs de la bourse. § Investment Management Cette division supervise et régule les $15 000 milliards de l’industrie de la gestion d’actifs et gère les

lois affectant les sociétés d’investissements et de conseil en investissement. § Enforcement Cette division réalise des enquêtes sur les éventuelles violations des lois, conseille la SEC et négocie

les accords pour le compte de la SEC. Bien que la SEC n’a qu’autorité sur le volet civil, elle travaille en étroite relation avec les organismes pouvant agir sur le plan pénal.

87 Electronic Data Gathering, Analysis, and Retrieval system


110

ANNEXE 2 - LA COMMISSION BANCAIRE ET LE COMITE

DE LA REGLEMENTATION BANCAIRE ET FINANCIERE (CRBF) 2.1 La Commission bancaire

La Commission bancaire est l’entité chargée du contrôle prudentiel (solvabilité, liquidité, contrôle interne, lutte contre le blanchiment et le financement du terrorisme, etc.) des établissements de crédit et des entreprises d’investissement et contrôle ainsi le respect des dispositions législatives et réglementaires. Elle est présidée par le gouverneur de la Banque de France. Son statut est double : service de l'Etat dans l'exercice de ses missions de contrôle et juridiction administrative spéciale, dans l'exercice de son pouvoir de sanction. Les sanctions pour infractions et manquements peuvent être de plusieurs ordres : avertissement, interdiction d'effectuer certaines opérations, radiation d'un établissement de la liste des établissements de crédit agréés, sanctions pécuniaires, etc. La Commission est également compétente pour contrôler les succursales des établissements français installés dans l'Espace Économique Européen.

2.2 Le Comité de la Réglementation bancaire et financière (CRBF)

Ce Comité a pour mission de fixer « dans le cadre des orientations définies par le gouvernement et sous réserve des attributions du Comité de la réglementation comptable, les prescriptions d'ordre général applicables aux établissements de crédit et aux entreprises d'investissement ». Les domaines de compétence du Comité sont déterminés par la loi. Ceux-ci peuvent, s'agissant des établissements de crédit, être regroupés en six catégories :

§ les conditions générales d'exercice de l'activité bancaire, en particulier le niveau du capital minimum, les conditions d'ouverture de guichets ou l'organisation de fichiers professionnels ;

§ les caractéristiques des opérations traitées par les établissements de crédit, notamment les conditions de rémunération des comptes créditeurs, les conditions applicables en matière de relations avec la clientèle, ainsi que et sous réserve des missions confiées au SEBC les instruments et les règles du crédit ;

§ l'organisation du marché interbancaire ; § les normes de gestion, en particulier les ratios prudentiels (solvabilité, liquidité, grands risques,

etc.) ; § la publicité des informations destinées aux autorités compétentes ; § les procédures de contrôle interne.

Pour ce qui est des entreprises d'investissement, le Comité établit, après avis du Conseil des marchés financiers et sous réserve des attributions de la Commission des opérations de bourse relatives aux sociétés de gestion de portefeuille, la réglementation concernant notamment le niveau du capital minimum, les normes de gestion et les procédures de contrôle interne. Le Comité détermine également les conditions dans lesquelles les établissements de crédit et les entreprises d'investissement peuvent émettre des titres de créances négociables.


111

La compétence du Comité a en outre été étendue, par des textes législatifs spécifiques, à d'autres domaines comme, par exemple, la lutte contre le blanchiment des capitaux provenant du trafic de stupéfiants ou d'activités criminelles (loi du 12 juillet 1990) ou la prévention des difficultés liées au surendettement des particuliers et des familles (loi du 31 décembre 1989, portant création du Fichier national des incidents de remboursement des crédits aux particuliers (FICP), qui est maintenant intégrée dans le Code de la consommation). Enfin, la loi du 16 juillet 1992 a confié au Comité la mission de définir les conditions dans lesquelles les établissements de crédit ayant leur siège dans un autre État membre de l'Union européenne (auxquels sont assimilés, depuis le 1er janvier 1994, les autres États partie à l'accord sur l'Espace économique européen) pourront établir en France une succursale ou y intervenir en libre prestation de services, sans avoir au préalable à solliciter un agrément particulier. Placé sous la présidence du ministre chargé de l'Économie et des Finances ou de son représentant, le Comité comprend le gouverneur de la Banque de France, président de la Commission bancaire, et cinq autres membres nommés par le ministre pour une durée de trois ans. Lorsqu'il examine des prescriptions d'ordre général touchant à l'activité des prestataires de services d'investissement, il comprend également le président de la Commission des opérations de bourse, le président du Conseil des marchés financiers et un représentant des entreprises d'investissement. Le fonctionnement du Comité, qui est assuré sous l'autorité de son secrétaire général, s'appuie sur des moyens mis à sa disposition par la Banque de France. Des relations étroites sont ainsi entretenues entre le ministère de l'Économie et des Finances, et l'Institut d'émission pour la préparation et la mise en œuvre de la réglementation bancaire et financière. Le Comité publie chaque année un rapport d'activité ainsi qu'un recueil mis à jour de textes relatifs à l'exercice des activités bancaires et financières.


112

PRINCIPALES REFERENCES DOCUMENTAIRES

Livres

§ Cartographie des Risques – Les Cahiers de la Recherche, Institut de l’Audit Interne (IFACI) § Contrôle Interne – Concepts, Réglementation, Cartographie des Risques, Guide d’audit de la fraude,

Méthodologie et mise en place, Référentiels, Modes opératoires – Frédéric Bernard, Rémi Gayraud, Laurent Rousseau, MAXIMA

§ Controlor & Auditor – Gérard Valin, J.-F. Gavanou, C. Guttmann, J. Le Vourc’h, DUNOD § La fin du risque zéro – Xavier Guilhou et Patrick Lagade, Les Editions d’Organisation § La nouvelle pratique du contrôle interne – Coopers & Lybrand, Les Editions d’Organisation § Le Contrôle Interne, « Que sais-je ? » - Alain Mikol, Presses Universitaires de France § Le management des risques de l’entreprise, Cadre de Référence (COSO 2) – Coopers & Lybrand, Les

Editions d’Organisation § Les normes comptables internationales IAS/IFRS – C. Maillet et A. Le Manh, FOUCHER § Théorie et pratique de l’Audit Interne – Jacques Renard, Les Editions d’Organisation

Revues / Rapports

§ Actes du Colloque du 09/02/2007 “Cadre de reference de contrôle interne : comment le mettre en œuvre ? », IFACI

§ AGEFI Hebdo § Audit Interne, IFACI – en particulier n°180 (juin 2006) § Cadre de référence de la gestion des risques, Federation of European Risk Management Associations

(FERMA) § Compte-rendu n° 3267 du Comité Juridique de l’ANSA (Association Nationale des Sociétés par Actions) § Document de référence Crédit Agricole S.A. 2006 § Document de référence Société Générale 2007 § Internal Auditor, The IIA § Le dispositif de Contrôle Interne : Cadre de référence – résultats des travaux du Groupe de Place établi

sous l’égide de l’AMF § « Pour un meilleur gouvernement des entreprises cotées », rapport du groupe de travail présidé par

Daniel Bouton, président de la Société Générale § Présentation « Gouvernance » au MBA ENASS, Emmanuel du BOULLAY § Rapport 2006 de l’Autorité de Contrôle des Assurances et des Mutuelles § Rapport 2006 du Président des AGF en application de l’article L.225-37 du Code de Commerce § Rapport AMF 2005 sur le gouvernement d’entreprise et le contrôle interne § Rapport AMF 2006 sur le gouvernement d’entreprise et le contrôle interne § Rapport annuel BNP Paribas 2006 § Rapport d’information n°431 sur l’application de la loi du 1er août 2003 de sécurité financière par Philippe

MARINI, Sénateur § Rapport Viénot 1, Juillet 1995 § Rapport du comité sur le gouvernement d’entreprise présidé par M. Marc Viénot (juillet 1999) § Recommandation de l’Autorité des Marchés Financiers sur le « Dispositif de contrôle interne : Cadre

de référence », 22 janvier 2007 § Recommandation MDEF/AFEP du 17 décembre 2003 sur l’application des dispositions de la loi de

sécurité financière § RIMS Risk Maturity Model (RMM) for Enterprise Risk Management, Risk and Insurance Management

Society, Inc.


113

Références légales et réglementaires

§ Code de la Mutualité § Code de la Sécurité Sociale § Code des Assurances § Code du Commerce § Décret n°2006-287 du 13 mars 2006 relatif au contrôle interne des entreprises d’assurance et modifiant le

code des assurances (partie réglementaire) § Directive 2002/87/CE du Parlement Européen et du Conseil du 16 décembre 2002 § Directive 2006/43/CE du Parlement Européen et du Conseil du 17 mai 2006 concernant les contrôles légaux

des comptes annuels et des comptes consolidés et modifiant les directives 78/660/CEE et 83/349/CEE du Conseil, et abrogeant la directive 84/253/CEE du Conseil

§ Directive 98/78/CE du Parlement Européen et du Conseil du 27 octobre 1998 § Financial Reporting Council – Internal Control – Revised Guidance for Directors on the Combined Code,

October 2005 § Financial Reporting Council – The Combined Code on Corporate Governance, June 2006 § Internal Control – Guidance for Directors on the Combined Code – The Institute of Charted Accoutants in

England & Wales, September 1999 § Loi n° 2003-706 du 1er août 2003 de sécurité financière § Normes internationales pour la pratiquer professionnelle de l’audit interne – The Institute of Internal Auditors § Quatrième Directive du Conseil du 25 juillet 1978 fondée sur l'article 54 paragraphe 3 sous g) du traité et

concernant les comptes annuels de certaines formes de sociétés (78/660/CEE) § Règlement bancaire n°97-02 du 21 février 1997 relatif au contrôle interne des établissements de crédit et

des entreprises d’investissement (et modifications ultérieures) § Règlement Général de l’AMF § Sarbanes-Oxley Act of 2002 § Septième Directive du Conseil du 13 juin 1983 fondée sur l'article 54 paragraphe 3 point g) du traité,

concernant les comptes consolidés (83/349/CEE) § The Financial Aspects of Corporate Governance, 1 december 1992

Etudes

§ Comité d’audit et gouvernance des sociétés cotées : une analyse comparative Etats-Unis France –

Christian PRAT dit HAURET, Maître de Conférences IAE de Bordeaux § Enquête 2007 - « Etat de l’art en Contrôle Interne et Risk Management dans le secteur Assurance &

Protection Sociale », Etude Oxéa/La Tribune de l’Assurance § Etude de Grant Thornton sur les pratiques des sociétés du SBF120 en matière de contrôle interne en

2006 § Le contrôle permanent et la conformité dans les établissements bancaires – Equinox Consulting § Projets de contrôle interne en 2007 – Ernst & Young § Rapport sur la gouvernance des organismes d’assurance – ACAM, octobre 2007


114

Articles

§ Contrôle interne et gestion des risques opérationnels – Marie-Agnès Nicolet (Audisoft-Consultants) et Michel Maignan (Banque Cantonale de Genève)

§ Convergence des risques opérationnels et risques de conformité – Christian Jimenez (The Professional Risk Managers’ International Association)

§ Gestion des risques et contrôle interne – Observatoire sur la Responsabilité Sociétale des Entreprises § Le contrôle interne – Objectif confiance, Huges Chupin et Tristan Palerm, La Tribune de l’Assurance

n°105 – octobre 2006 § Le mot de l’actuaire, Contrôle interne – François Lusson, La Tribune de l’Assurance n°103 – juillet-août

2006 § Les enjeux du gouvernement de l’entreprise, Smia Mekious et Etienne Cunin, AMF § Sovabilité II, un vecteur de changement pour l’Europe de l’assurance – Florence Lustman (ACAM),

Echanges n°240, février 2007

Conférences

Contrôle Interne, quelle contribution à l’efficacité opérationnelle ?, Conférence du 23/11/2007, Les Echos Conférences

Sites internet

Autorité de Contrôle des Assurances et des Mutuelles (ACAM) www.ccamip.fr Autorité des Marchés Financiers (AMF) www.amf-france.org Commission européenne ec.europa.eu Groupe d’Actions Financières www.fatf-gafi.org Informations générales www.wikipedia.org Institut de l’Audit Interne www.ifaci.com Institut Français des Administrateurs (IFA) www.ifa-asso.com Lois et réglements français www.legifrance.gouv.fr Mouvement des Entreprises de France (MEDEF) www.medef.fr National Association of Insurance Commissioners (NAIC) www.naic.org The Committee of Sponsoring Organizations of the Treadway Commission (COSO) www.coso.org The Institute of Internal Auditors (IIA) www.theiia.org U.S. Securities and Exchange Commission (SEC) www.sec.gov

www.ccamip.fr

www.amf-france.org

www.fatf-gafi.org

www.wikipedia.org

www.ifaci.com

www.ifa-asso.com

www.legifrance.gouv.fr

www.medef.fr

www.naic.org

www.coso.org

www.theiia.org

www.sec.gov


115

Documents

These Mba Erwan Musy 2008