mettre en œuvre le contrôle interne dans un contexte réglementaire mouvant où en sont les...

Mettre en œuvrele contrôle internedans un contexte réglementaire mouvantOù en sont les entreprises ?Eric Dugelay

13 décembre 2007

1. Rappels sur le contrôle interne.

2. Le contexte réglementaire.

3. Résultats de nos travaux.

3 ©2007 Deloitte Conseil

La démarche de contrôle interne est permanente

Toute démarche de contrôle interne doit être initiée par la Direction Générale de l’entreprise qui, en s’appuyant sur une organisation interne et un dispositif approprié, a pour objectif de confirmer la maîtrise des processus et des risques au sein de l’entreprise

Vérification de l’existence et de l’efficacité

• Auto-évaluation• Tests de cheminement• Tests sur échantillon• Etc.

Diagnostic de l’existant

• Auto-évaluation• Inventaire des procédures et des risques• Analyse de la conception des contrôles• Etc.

Organisation interne

• Directions opérationnelles• Directions fonctionnelles • Audit Interne• Outils informatiques• Méthodologies• Etc.

Amélioration du dispositifet pérennisation

• Identification des plans d’action• Actions correctrices• Evaluation suite à correction • Harmonisation / Optimisation


De nombreux acteurs sont impliqués pour répondre à la diversité des enjeux du contrôle interne

Diverses Directions participent au dispositif de contrôle interne et assistent la Direction Générale à identifier, évaluer, optimiser et péréniser un dispositif efficace pour maîtriser les enjeux de l’entreprise

DirectionGénérale

Direction duContrôle Interne

Audit Interne

DirectionFinancière

DirectionsOpérationnelles

RiskManagement

DirectionInformatique

Dispositif de contrôle interneDispositif de contrôle interne

Renforcer lagouvernance

Maîtriser lesrisques

Clarifier lesresponsabilités

Fiabiliserl‘info financière

Optimiserles processus

Prévenirla fraude

Enjeux


Le contexte réglementaireL’environnement français

2003 2004 2005 2006 2007

LSFCNCC

AMF

LSF Loi Breton

AT CNCC

NEP sur le rapport CI

1er groupe

de place

Lancement du groupe de place

Rapport AMF sur

2003

Rapport AMF sur

2004

Publication du

document principal du

cadre de référence par l'IFACI

Travaux sur le guide

d'application

Publication du document par l'AMF + consultation

publique

Rapport AMF sur 2005 et

recommandation AMF sur le cadre

de référence

Transposition ISA 315


Le cadre de référence de l’AMF est compatible avec le COSO*. Son guide d’application met l’accent sur le contrôle interne comptable et financier

Recensement, analyse et

gestion des risques

Activités de contrôle

proportionnaux enjeux

Diffusion en interne

d’informations

Surveillance permanente du

dispositif et examen ré

de son fonctionnement

Organisation, responsabilités,

modes opératoires, outils

Recensement, analyse et

gestion des risques

Activités de contrôle

proportionnéesaux enjeux

Diffusion en interne

d’informations

Surveillance permanente du dispositif et

examen régulier de son

fonction-ne-

ment

Organisation, responsabilités

modes opératoires, outils

Activités de Contrôle

Évaluation des Risques

Pilotage

Information et Communication



Environnement deContrôle

Un

ité

A

Un

ité

B Act

ivit

é1

Act

ivit

é2



Pilotage





Un

ité

A

Un

ité

B Act

ivit

é1

Act

ivit

é2

*Référentiel de contrôle interne défini par le Committee Of Sponsoring Organizations of the Treadway Commission.


Le contexte réglementaireL'environnement international

EUROPE

US

29/06/08 Transposition 8e Directive

SOX : Year 2

Revisionde Turnbull

2004 2005 2006 2007 20082003

UK

12 /01/07Directive

transparence

05/09/08 Transposition

4e et 7e Directive

Audit Standard

2

SOX : Year 1

Revision du combined code

19/12 Roundtable

PCAOB

Premiers rapports

FPI

Nouvelles guidances

SEC et révision du Standard 2


Le contexte réglementaireLes évolutions à venir

4ème et 7ème Directives du 14 juin 2006– Approche descriptive des systèmes de contrôle interne

et de gestion des risques

«(…) les sociétés faisant appel public à l’épargne fassent chaque année une description des principales caractéristiques des systèmes de contrôle interne et de gestion des risques (…) »

8ème Directive sur le contrôle légal des comptes du 17 mai 2006– Responsabilité du Comité d’Audit

« (…) Chaque entité d'intérêt public doit être dotée d'un comité d'audit ».

« (…)le comité d'audit est notamment chargé des missions suivantes:

a) suivi du processus d'élaboration de l'information financière;

b) suivi de l'efficacité des systèmes de contrôle interne, d'audit interne, le cas échéant, et de gestion des risques de la société (…) »

29/06/08 Transposition 8e Directive

05/09/08 Transposition

4e et 7e Directive

2008


Objectifs et fonctionnement du « groupe de place » AMF

« Groupe de place » établi sous l’égide de l'AMF comportant :– Des représentants des entreprises, de l’IFACI, des institutions comptables, des

personnes qualifiées, de l'AMF,…

– Un « guide d'application relatif au contrôle interne de l’information comptable et financière »

Objectifs :– Mettre un outil de référence à la disposition des entreprises soumises à la LSF

– Contribuer à une plus grande homogénéité dans les rapports du Président

– Anticiper sur les 4ème, 7ème et 8ème directives

– Proposer un cadre compatible avec le COSO

Application :

– Recommandation de l’AMF le 22 janvier 2007 pour les exercices ouverts à compter du 1er janvier 2007


La LSF et le cadre de référence de l’AMF, représentent une opportunité réelle pour les acteurs du contrôle interne

Observationdes pratiques

de place

Approche de base Démarche avancée Meilleures pratiques

Contrôle interne ‘tourné vers le passé’

Contrôle interne ‘ancré dans le présent’

Contrôle interne ‘orienté futur’

2003 => 2006

Rédaction d’un étatdes lieux succinctsur le dispositif de

contrôle interne

Identification des insuffisances du

dispositif de contrôle interne et proposition

d’actions d’amélioration

Déploiement d’une approche de gestion globale des risques

>2007

Niveau 1

recenser l’existantet apprécier la pertinence

Niveau 2

confirmer la réalité opérationnelle

Niveau 3

compléter et améliorer


Enquête et expérience

Enquête publique lancée par Deloitte en mai 2007 sur la fonction Contrôle Interne auprès de l’ensemble des sociétés du SBF 120 à l’exception du secteur banque/assurance, avec un bon niveau de représentativité :

– taux de réponse de près de 30%,

– diversité des entreprises ayant répondu (en termes de chiffre d’affaires, d’effectifs, de secteurs d’activité ou de soumission aux réglementations internationales sur le contrôle interne),

– Près d’un tiers (31,1%) des entreprises sondées sont cotées sur plusieurs places financières. En particulier, 9 sur 31, soit 29% d’entre elles sont listées au New York Stock Exchange ou l’étaient au moment de l’enquête.


Deux questions centrales

Est-ce que la fonction Contrôle Interne existe en tant que telle et quel rôlejoue-t-elle ?

– Quelle est la place accordée par les entreprises à la fonction Contrôle Interne lorsqu'elle existe en tant que telle?

– Quel est son rayon d'action?

– Quels sont les moyens dont elle dispose?

– Quelles sont les interactions avec le Risk Management, le Contrôle de Gestion et l'Audit Interne?

Où en sont les sociétés de la Place dans la mise en œuvre d’un dispositif de contrôle interne répondant aux attentes de l’AMF ?


Thèmes

Fonction Contrôle Interne et loi Sarbanes Oxley

Relations entre fonctions Audit interne et Contrôle interne

Contrôle interne et analyse des risques

Questionnaires d’autoévaluation

Evaluation du contrôle interne

Prévention et détection des fraudes

Quel référentiel interne ?


Fonction Contrôle Interne et loi Sarbanes Oxley


La fonction Contrôle Interne commencetout juste à se développer en dehors des sociétéssoumises à Sarbanes Oxley où elle était apparue 1/2

La charge de travail ayant découlé de l’article 404 de Sox a induit les sociétés soumises à cette loi à se doter d’équipes de spécialistes du contrôle interne.

Un peu plus de la moitié des sociétés (56%) ayant répondu à l’enquête disposent aujourd’hui d’un département Contrôle Interne.

La moitié environ d’entre elles ne sont pas soumises à Sox


La fonction Contrôle Interne commencetout juste à se développer en dehors des sociétéssoumises à Sarbanes Oxley où elle était apparue 2/2

Les fonctions Contrôle Interne dédiées ont été créées depuis trois ans ou moins pour 77% des départements existant.

Ce calendrier est à rapprocher de celui de la mise en application de la LSF et de Sox en France

Source de cet histogramme et des suivants : Enquête publique lancée par Deloitte en mai 2007 sur la fonction Contrôle Interne auprès de l’ensemble des sociétés du SBF 120 à l’exception du secteur banque/assurance

Il y a moins d’1 an 17,1 %

Il y a 1 à 2 ans 17,1 %

Il y a 2 à 3 ans 42,9 %

Il y a plus de 3 ans 22,9 %

Quand votre département de contrôle interne a-t-il été mis en place ?


Fonctions Audit interne et Contrôle interne


L’Audit Interne reste le contrôleur du contrôle internemais a parfois aussi un rôle de coordination de la fonction Contrôle Interne 1/2

Près de 97% des sociétés sondées ont une équipe d’Audit Internede tailles relativement variables

L’activité du département Contrôle Interne, lorsqu’il existe,est coordonnée par l’Audit Interne dans 50% des cas


L’Audit Interne reste le contrôleur du contrôle internemais a parfois aussi un rôle de coordination de la fonction Contrôle Interne 2/2

Ce département n’est audité par l’Audit Interne que pour un tiers des participants. Le défaut d’indépendance pouvant résulter du point précédent est susceptible de générer une difficulté à auditer le département Contrôle Interne

Les missions de contrôle interne représentent 25% environ des missions effectuées par l’Audit Interne

Dans le spectre des missions d’Audit interne, quel est le pourcentage des missions ?

De contrôle interne 25,1 %

D’Audit Opérationnel 21,6 %

D’Audit financier 19 %

15,6 %Conformité

Autres (à préciser) 11,5 %

Conseil 7,2 %


La vérification de la conformité est plus attenduede l’Audit Interne que l’assistanceou le conseil au ManagementOn note un retour à une perception de l’Audit Interne « classique » au sein des

sociétés où le service est perçu comme un vérificateur de la conformité pour deux tiers des participants

Quelle notion décrit le mieux le rôle du département d’Audit Interne dans la société ?

Vérification de la conformité

Assistance au Management

Conseil au Management

10% 20% 30% 40% 50% 60% 70% 80% 90% 100 %

Pas du tout d’accord Plutôt d’accord Plutôt pas d’accord Tout à fait d’accord Neutre


Contrôle interne et analyse des risques


Les sociétés fondent en grande majorité leur plan d’auditsur une analyse des risques

Comment est établi le plan d’audit ?

Selon un plan de rotation

Analyse des risques inhérents

Stratégie, métier et processus

10% 20% 30% 40% 50% 60% 70% 80% 90% 100 %

Pas du tout d’accord Plutôt d’accord Plutôt pas d’accord Tout à fait d’accord Neutre


Une large majorité de sociétés déploientune cartographie des risques

La grande majorité (84%) des entreprises réalisent une cartographie des risques

– Le rapport 2006 de l’AMF indiquait déjà que plus de la moitié des sociétés sondées à cette époque avait recours à la cartographie des risques

– Cet outil constitue l’une des composantes de l’approche proposée par le cadre de référence de l’AMF

Exemple de format de

cartographie des risques


Généralement annuelle,la cartographie des risques intéresseau premier chef la Direction Générale

Pour gérer les risques identifiés lors de la cartographie, les entreprises ont le plus souvent recours à des outils sur mesure (67%)et non à des progicielsdu marché

Annuellement 50,9 %

Tous les 2 ans 18,9 %


A quelle fréquence la cartographie est elle mise à jour ?

Par qui les résultats de la cartographie sont-ils suivis ?

Direction Générale 49,1 %

Comité d’Audit 32,1 %


Conseil de surveillance) 0 %


La cartographie des risques s’intéresseà l’ensemble des risques de l’entreprise

Si la fonction Contrôle Interne se concentre plus particulièrement sur les aspects financiers, les personnes chargées du déploiement de la cartographie des risques recensent l’ensemble des risques de l’entreprise pour 71% des sociétés sondées

Quels sont les principaux types de risques identifiés par la société ?

Tous les risques de l’entreprise 71,4 %

Opérationnels et Financiers 19 %


Opérationnels 3,2 %


Malgré l’importance de la cartographie des risques,moins de la moitié des sociétésdispose d’une fonction Gestion des Risques

Un peu moins de la moitié des participants (43%) cite l’existence d’une fonction Gestion des Risques dédiée

Plus de deux tiers (68%) des sociétés soulignent le lien existant entre les fonctions Contrôle Interne, lorsqu’elle existe, et Gestion des Risques


Les questionnaires d’autoévaluation


Les questionnaires d’auto-évaluation du contrôle interne sont largement répandus et déployés de manière pragmatique

Plus de deux tiers (71%) des sociétés affirment utiliser un questionnaire de contrôle interne

Le cadre de référence de l’AMF préconise, en effet, l’utilisation d’un « questionnaire relatif à l’analyse et à la maîtrise des risques »


Les questionnaires d’auto-évaluation du contrôle interne sont largement répandus et déployés de manière pragmatique

Les questionnaires sont de taille raisonnable, ce qui en facilite l’adoption : – 210 questions en moyenne

– questionnaires « courts » (moins de 200 questions) utilisés par 60% des participants à l’enquête

Les questionnaires sont complétés annuellement pour la grande majorité des participants (92%)

Combien de questions comportent votre questionnaire d’autoévaluation du CI ?

Moins de 100 28,9 %

De 100 à 199 31,1 %

De 200 à 299 13,3 %

4,4 %De 300 à 399

De 400 à 499 13,3 %

500 et plus 8,9 %


Les trois axes du COSO sont équitablement abordés dans les questionnaires

Le contrôle interne comptable et financier est considéré comme une priorité, ce qui augure favorablement de la mise en place du guide d’application de l’AMF sur ce sujet

Quels sont les thèmes abordés dans les questionnaires de contrôle interne ?

Qualité de l’information financière 65,6 %

Environnement de contrôle 65,6 %

Conformité à la réglementation 62,5 %

46,9 %Efficacité opérationnelle

Autres (à préciser) 12.5 %



Pilotage





Un

ité

A

Un

ité

B Act

ivit

é1

Act

ivit

é2



Pilotage





Un

ité

A

Un

ité

B Act

ivit

é1

Act

ivit

é2


L’analyse des réponses aux questionnaires intéressede nombreuses fonctions de l’entreprise

Cinq fonctions sont citées par au moins un quart des personnes sondées comme ayant une implication dans l’analyse des résultats de l’exercice d’auto-évaluation.

– Cette analyse est réalisée principalement par l’Audit Interne (57%) et le Comité Audit (46%)

– Les questionnaires de contrôle interne ne sont analysés par la fonction Contrôle Interne proprement dite que dans 25% des cas environ

Par qui sont suivis les résultats ?

Audit interne 57,1 %

Comité d’Audit 46 %

Direction Financière 34,9 %

30,2 %Direction Générale

Contrôle Interne 25,4 %


Conseil de Surveillance 3,2 %


Evaluation du contrôle interne


57% des sociétés procèdent à une évaluation de leur contrôle interne et plus du tiers de ces dernières en communiquent les résultats

L’évaluation du contrôle interne est communiquée à l’extérieur pour environ 21% des participants

Ce constat révèle la volonté des entreprises de renforcer leur transparence vis-à-vis des investisseurs et du marché en général, et de suivre, dans ce sens, les recommandations formulées par l’AMF dans son rapport 2006

L’analyse du contrôle interne dans la société

Donne-t-elle lieu à un pland’actions ?

76,2 %

Aboutit-elle à une évaluation,même non communiquée à l’extérieur 57,1 %

Est-elle purement descriptive ? 25,4 %

20,6 %Aboutit-elle à une évaluation

dont les résultats sont communiquésà l’extérieur ?


Prévention et détection des fraudes


Les acteurs du contrôle interne doivent être à même de contribuer à la prévention et la détection de la fraude, sujets de préoccupation identifiés comme prioritaires

Plus de 87% des sociétés sondées reconnaissent mener des actions en prévention de la fraude

Les infractions sont principalement détectées grâce à des contrôles ponctuels du management et des missions de l’Audit Interne

L’utilisation des Lignes d’Alerte Ethique commence à voir le jour

Comment sont détectées les fraudes ?

Contrôle ponctuel du Management 27 %

Mission de l’Audit Interne 26 %

Dénonciation 17 %

12 %Ligne d’Alerte Ethique

Mission de l’Audit Externe 11 %

Autres (à préciser) 6 %


L’investigation de la fraude incombe traditionnellement à l’Audit Interne

L’Audit Interne est également au centre du processus anti-fraude en étant le plus souvent impliqué dans les investigations (44% des cas environ).

– Un peu moins d’un quart des participants font appel à un spécialiste de la fraude

Qui est en charge de l’investigation en cas de suspicion de fraude ?

L’Audit Interne 43,6 %

Un spécialiste de la fraude 17,9 %

Le Management 17,9 %

10,3 %Autres (à préciser)

Les Ressources Humaines 10,3 %


Les programmes anti-fraude formalisés ne font pas recette en dehors des sociétés tenues par Sox d’en déployer un

35% environ des sociétés n’ont qu’une réaction ponctuelle, et non pas systématique, à la suspicion de fraude

Seulement 21% des sociétés disposent de programmes anti-fraude formalisés

Quelle est l’approche fraude dans votre société ?

Réaction ponctuelle à la suspicion 34,9 %

Réactivité systématique à la suspicion 30,2 %

Programmes anti-fraude formalisés 20,9 %

14 %Autres (à préciser)


Les lignes éthiques, par contre, commencent à se développer, mais la communication directe avec le Management est privilégiée en cas de suspicion de fraude

Les outils mis à disposition des employés pour signaler la fraude restent limités

Moins de la moitié des sociétés ont mis en place des lignes éthiques spécifiques (e-mail ou e-mail plus numéro de téléphone)

Le canal d’information le plus utilisé est de loin la communication directe avec le Management

Lorsqu’il constate une fraude, de quels outils dispose le salarié pour informer le Management ?

Autres (par ex communication à la hiérarchie) 81,8 %

Email spécifique 41,9 %

Numéro de téléphone spécifique 32,3 %


Quel référentiel interne ?


Le cadre de référence de l’AMF commence déjà à se substituer à celui du COSO

Plus des trois quart (78%) des sociétés participantes s’appuient sur un référentiel de contrôle interne

Parmi ces sociétés, près des deux tiers (63%) utilisent le COSO comme référentiel de contrôle interne et un peu moins d’un tiers (29%) recourent d’ores et déjà au cadre de référence de l’AMF

COSO 63,3 %

AMF 28,6 %

Interne 8,2 %


Sur quel référentiel votre société s’appuie-t-elle ?

Deloitte ConseilMember ofDeloitte Touche Tohmatsu


Eric DugelayAssocié – en charge du pôle Risk ManagementDeloitte [email protected]+ 33 (0) 1 55 61 54 13

Contacts

mettre en œuvre le contrôle interne dans un contexte réglementaire mouvant où en sont les...

Documents