présentation des travaux de techniques - audentia-gestion.fr
TRANSCRIPT
Cahiers T
echn
ique
s
2010
Analyse et présentation des travaux de l’AMF relatifs à la gestion des risques et au comité
d’audit.
Recommandations de FERMA & ECIIA sur la 8ème directive
incluses
Novembre 2010
Cahiers techniques AMF
Cahiers techniques AMF
Avant propos
_________________________________________________________________
Ce recueil a pour objectif de disposer d’un document complet sur les travaux et documents issus de la transposition de la 8ème directive européenne :
• Le comparatif des référentiels de gestion des risques internationaux (AMRAE),
• La présentation des points saillants des textes de l’Autorité des Marchés Financiers (AMRAE),
• Les textes édités par l’AMF en juillet 2010, relatifs à la gestion des risques et aux nouvelles obligations du comité d’audit en matière de gestion des risques (AMF),
• Les recommandations émises par FERMA & ECIIA en septembre 2010, sur la nouvelle mission des administrateurs : « Monitoring the effectiveness of internal control, internal audit and risk management systems ». (FERMA &ECIIA)
L’AMRAE a piloté le groupe de travail relatif à la mise à jour des dispositifs de gestion des risques et de contrôle interne de l’AMF.
Cahiers techniques AMF
Cahiers techniques AMF
Table des matières
Chapitre 1 : Outils de l’AMRAE • Focus des points saillants des travaux de l’AMF
• Tableau comparatif des référentiels de gestion des risques
Chapitre 2 : Les rapports de l’AMF • Les dispositifs de gestion des risques et de contrôle interne : cadre de référence
• Les dispositifs de gestion des risques et de contrôle interne : cadre de référence pour les valeurs moyennes et petites (Vamp’s).
• Rapport final sur les comités d’audit
Chapitre 3 : Recommandations de FERMA et ECIIA sur l’article 41 de la 8ème Directive européenne.
• Guidance on the 8th EU Company Law Directive, article 41 “Monitoring the effectiveness of internal control, internal audit and risk management systems” Guidance for boards and audit committees
Cahiers techniques AMF
Cahiers techniques AMF
CHAPITRE 1 :
OUTILS DE L’AMRAE
• Focus des points saillants des travaux de l’AMF
• Tableau comparatif des référentiels de gestion des risques
Cahiers techniques AMF
Association po
ur le M
anagem
ent d
es Risqu
es
etde
sAssuran
cesde
l’Entreprise
et des Assuran
ces de
lEn
trep
rise
AMF –Group
e de
Travail
Points saillants d
es docum
ents
©AM
RAE
© AMRA
E
Contexte & Chron
ologieg
2003
:Loide
SécuritéFina
ncière:R
appo
rtdu
2003
: Loi de Sécurité Fina
ncière: R
appo
rt du
présiden
t sur le
con
trôle interne
2005
&20
07:A
MF‐G
roup
ede
placeRé
dactiondu
2005
& 200
7 : A
MF ‐G
roup
e de
place Réd
actio
n du
cadre de
référence sur le contrôle interne
2008
LSF(m
odificatio
ns)Ra
pportd
présiden
tsr
2008
: LSF (m
odificatio
ns): Ra
pport d
u présiden
t sur
le con
trôle interne et sur la gestio
n de
s risqu
es
-2-
Contexte & Chron
ologieg
2008
Od
d8dé
bCé
ilé
l20
08: O
rdon
nance du
8 décem
bre : C
réation légale
d’un
com
ité d’aud
it po
ur les sociétés cotées ‐> 4
ii
déillé
dllid
mission
s détaillées dan
s la loi don
t: « Assurer le suivi de l’efficacité
des sy
stèm
es de
gestion de
s risqu
eset de contrôle interne »
2009
(sep
tembre) : AM
F –Re
constitution d’un
(
p)
grou
pe de travail
Travailsur
lesc
omité
sd’aud
itTravail sur les c
omité
s daudit
Travail sur le cadre de référence ‐> piloté par
GérardLancne
rPrésiden
tAMRA
E
-3-
Gérard Lancne
r, Présiden
t AMRA
E
Deu
x textes ré
glem
entaire
s= Deu
x ob
jectifs
=Deu
xdo
cumen
ts= Deu
x do
cumen
ts
Conseil
d’ad
ministration
Rapp
ort d
u présiden
t sur les
édd
tid
Cadre de
référence :
Les d
ispositifs de
gestionde
srisq
uese
tdad
ministration
(de surveillance)
procéd
ures de gestion de
s risqu
es et d
e contrôle interne
gestion de
s risq
ues e
t de
con
trôle interne
Comité
Assurer le suivi de l’efficacité
Co
mité
d’au
dit
des systèmes de gestion de
s risqu
es et d
e contrôle interne
Le Com
ité d’aud
it(Rappo
rt du grou
pe de
travail)
-4-
Lien
s entre les de
ux docum
ents :
« s’a
ppuyer su
r un référentiel »
« veille à l’existen
ce des sy
stèm
es… à leur
déploiem
ent…
actions correctric
es »
LC
iéd’
diCa
dre de
référence
Ldi
itifd
Le Com
ité d’aud
it(Rappo
rt du grou
pe
de travail)
:Les disp
ositifs de
gestion de
s risq
ues
et de contrôle
interne
interne
Le rô
le du Co
mité
d’aud
it est
« renvoyé » sur le do
cumen
t Com
ité
d’dit
-5-
d’au
dit
Détail des docum
ents:
Lecomité
d’au
dit
Le com
ité d
audit
Sommaire
1.An
alyses
préalables
1.An
alyses préalab
les
2.Principa
les m
ission
s du C. Aud
it3
Citi
Le Com
ité d’aud
it3.
Compo
sitio
n4.
Régime de
respon
sabilités
(Rappo
rt du grou
pe
de travail)
5.Exem
ptions
6.Miseen
œuvre
desm
ission
s6.
Mise en
œuvre des m
ission
s7.
Spécificités liés a
ux Vam
ps
-6-
Détail des docum
ents:
2.2.1Pé
rimètre d’in
terven
tion du
C.Aud
en matière de suivi de
l’ffi
itél’efficacité
lè
d« …les s
ystèmes de
gestion de
s risqu
es et d
e ôl
iInvestissemen
ts
Stratégie
D
Entrep
rise
contrôle interne ne
se
limite
nt pas
aux seuls
fii
Investissemen
ts
Commun
ication
R&D …
Dispositif d
aspe
cts finan
ciers e
t comptab
les e
t cou
vren
t l’
bld
di
Achats
Production
Qualité
Logistique
Ventes
…
Marketing
e gestion d
l’ensem
ble de
s dom
aine
s de
l’en
trep
rise»
Systèm
e d’inform
ation
P
L
M
des risques
Ressou
rces hum
aine
s
Fina
nce …
s -7-
Détail des docum
ents:
2.2.1Pé
rimètre d’in
terven
tion du
C.Aud
en matière de suivi de
l’ffi
itél’efficacité
«…lecomité
d’au
ditd
oitinclure
dans
soncham
pd’actio
n:« …le com
ité d
audit d
oit inclure dan
s son
cha
mp dactio
n:Les risq
ues a
yant fait l’objet d’une
traductio
n comptable
(yc inform
ations en anne
xe)
(y)
Les risq
ues ide
ntifiés par les systèmes de CI et d
e GdR
mis
en place par la Dire
ction géné
rale et p
ouvant avoir un
e incide
nce sur les com
ptes »
Cil
Faculté
dese
saisirde
sautres
Conseil
d’ad
ministration
(de surveillance)
Faculté
de se sa
isir de
s autres
risqu
es ou de
con
fier a
u comité
d’aud
it ou
à un au
tre
comité
du conseil
Comité
d’audit
Risque
s ayant une
trad
uctio
n comptab
leou
uneincide
nce
Aminim
a
-8-
Comité
daudit
comptab
le ou un
e incide
nce
potentielle
sur les com
ptes
A minim
a
Détail des docum
ents:
2.2.2le suivi de l’efficacité
des systèmes de gestion de
s risqu
es
tdtôl
it
et de contrôle in
terne
«…less
ystèmes
deGdR
etde
CIs’ap
puient
suru
n«…
les s
ystèmes de GdR
et d
e CI sap
puient su
r un
référentiel…Le cad
re de référenceou
tout autre… »
«…leC.Au
ditv
eille
àl’existen
cede
ssystèm
esde
«… le C.Aud
it veille àlexisten
cede
s systèm
es de
GdR
et d
e CI, à
leur dép
loiemen
tet s’assure qu
e les
faiblesses iden
tifiées don
nent lieu
à des actions
correctrices… »
Le Com
ité
Cadre de
référence :Les
dispositifsde
d’au
dit(Ra
pport
du group
e de
travail)
dispositifs de
gestion de
s risqu
es et d
e contrôle
«s’a
ppuyer
suru
nréférentiel»
-9-
interne
sap
puyer sur un référentiel
« veille à l’existen
ce des sy
stèm
es… à leur
déploiem
ent…
actions correctric
es »
Détail des docum
ents:
Cadrede
référence
Cadre de
référence
Sommaire
IIntrod
uctio
ngéné
rale
I.Introd
uctio
n géné
rale
II.Principe
s gén
érau
x de
gestio
n de
s risqu
eset
decontrôleinterne
Cadre de
référence :Les
dispositifs de
risqu
es et d
e contrôle interne
III.
Que
stionn
aires relatifs au
x principe
s géné
raux
gestion de
s risqu
es et d
e contrôle
géné
raux
IV.
Guide
d’app
lication relatif à la gestio
n de
s risqu
es et a
u contrôle interne de
interne
ql’information comptab
le et finan
cière
publiée pa
r les émetteurs
-10
-
Détail des docum
ents :
II. 1) P
rincipe
s gén
érau
x de
gestio
n de
s risqu
es :
Pé
bl
Préambu
le
«La prise de
risque
est inhé
rente à toute société. Il
n’existe pas de croissan
ce, ni de créa
tion de
valeu
r da
ns une
société, sa
ns prise de
risque
. S’ils n
e sont
pas c
orrectem
ent g
érés et m
aîtrisés, ces risque
s pe
uven
t affecter la capa
cité de la so
ciété à
atteindre ses o
bjectifs. En continua
nt à prévenir e
t à gé
rer les risque
s, les d
ispo
sitifs d
e ge
stion de
risqu
es et d
e contrôle interne joue
nt un rôle clé
dans la
con
duite
et le pilotage
des différen
tes
activ
ités.»
-11
-
Détail des docum
ents :
II. 1) P
rincipe
s gén
érau
x de
gestio
n de
s risqu
es :
Définition
«La
gestionde
srisqu
esest
« La gestio
n de
s risqu
es est
l’affaire de tous les acteurs de
la
société. Elle
vise à être globa
leet
doitcouvrir
l’ensem
blede
sIn
vest
isse
men
ts
Str
atég
ie
Dis
Entr
epri
se
et doit cou
vrir l’ensem
ble de
s activ
ités, processus et a
ctifs de
la so
ciété.
Com
mu
nic
atio
n
R&
D …
n
e
g
spositif de
La gestio
n de
s risqu
es est un
dispositif d
ynam
ique
de la
société, défini et m
is en œuvre
Achats
Production
Qualité
Logistique
Ventes
…
Marketing
gestion de
sous sa
respon
sabilité.
La gestio
n de
s risqu
es com
pren
d un
ensemblede
moyen
sde
Sys
tèm
e d
’info
rmat
ion
Res
sou
rces
hu
mai
nes
P
es risques
un ensem
ble de
moyen
s, de
compo
rtem
ents, d
e procéd
ures
et d’actions ada
ptés
aux
caractéristiq
uesde
chaq
ue
Fin
ance
…
-12
-
caractéristiq
ues de
cha
que
société
Détail des docum
ents :
II. 1) P
rincipe
s gén
érau
x de
gestio
n de
s risqu
es :
Objectifs de
la gestio
n de
s risqu
es
1Cé
él
ll
ifl
1.Créer e
t préserver la valeu
r, les actifs et la
répu
tatio
nde
l’en
trep
rise
2.Sécuriser la prise de
décisionet les processus d
e la
société po
ur fa
voriser l’atteinte des objectifs
3.Favoriser la coh
éren
ce des actions
avec les valeurs
de la société
4.Mob
iliser les collabo
rateursd
e l’entreprise au
tour
d’un
evision
commun
ede
sprin
cipa
uxrisqu
esdun
e vision
com
mun
e de
s prin
cipa
ux risque
s
-13
-
Détail des docum
ents :
II. 1) P
rincipe
s gén
érau
x de
gestio
n de
s risqu
es :
Dispo
sitif de gestion de
s risqu
es
Cadre organisatio
nnel:
•Rô
les e
t respo
nsabilités d
es acteu
rs,
•Po
liti que
de gestion de
s risq
ues,
qg
q,
•Systèm
e d’inform
ation interne et externe
ontinu ge en co
Processus d
e gestion de
s risqu
esIden
tification
Pilotag
Iden
tification
Analyse
Traitement
-14
-
=> En conformité
avec CO
SO II, ISO
31000:2009
Détail des docum
ents :
II. 1) P
rincipe
s gén
érau
x de
gestio
n de
s risqu
es :
Dispo
sitif de gestion de
s risqu
es
Cd
ii
lCa
dre organisatio
nnel
Les rôles, respo
nsabilités d
es acteu
rs, normes et
procéd
ures du dispositif;
Une
politiqu
e de
gestio
n de
s risq
ues: objectifs,
pq
gq
j,
langage, dém
arche de
mise
en œuvre et lim
ites
(app
éten
ces p
our le risqu
e);
(pp
pq
);Un systèm
e de
diffusion interne d’inform
ations. -1
5-
Détail des docum
ents :
II. 1) P
rincipe
s gén
érau
x de
gestio
n de
s risqu
es :
Dispo
sitif de gestion de
s risqu
es
Pd
tid
iProcessus d
e gestion de
s risqu
esIden
tification de
s risq
ues: re
censem
ent e
t t
liti
di
tl’tt
it
dcentralisation de
s risq
ues m
enaçant l’atteinte de
s ob
jectifs. D
émarche continue
.A
ld
id
éAn
alyse de
s risq
ues: examen
des con
séqu
ences
potentielles (fin
ancières, hum
aine
s, jurid
ique
s,
répu
tatio
n)e
tapp
réciationde
l’occurrence
répu
tatio
n…) e
t app
réciation de
loccurren
ce.
Démarche continue
.Traitemen
tdes
risqu
es:cho
ixdu
plan
d’actio
nle
Traitemen
t des risque
s : cho
ix du plan
dactio
n le
plus adapté à la so
ciété. M
aintien du
risque
dans
les lim
ites a
cce p
tables.
-16
-
p
Détail des docum
ents :
II. 1) P
rincipe
s gén
érau
x de
gestio
n de
s risqu
es :
Dispo
sitif de gestion de
s risqu
es
Sill
ilSurveillance et pilo
tage
Surveillance et re
vue régulière
Suivi => am
élioratio
n continue
du dispositif
Objectifsd
’analyserles
principaux
risqu
eset
deObjectifs d
analyser les p
rincipaux risque
s et d
e tirer les e
nseignem
ents des risque
s survenu
s
-17
-
Articulation gestion de
s risqu
es &
contrôleinterne
contrôle interne
Lesrisqu
esdé
passan
tles
limite
sacceptab
lesfix
éespa
rla
Les risqu
es, d
épassant les lim
ites acceptab
les fix
ées pa
r la
société, fo
nt l’ob
jet d
e plan
s d’action tels que
:lamise
enplacede
contrôlese
tdeprocéd
ures,
la m
ise en place de
con
trôles et d
e procéd
ures,
un transfert d
es con
séqu
ences fin
ancières (m
écanism
e d’assurance ou
équ
ivalen
t) ou
une adaptatio
n de
l’organisatio
n…le disp
ositif d
e contrôle interne concou
rt au traitemen
t d
ide
s risq
ues
Le con
trôle interne s’ap
puie sur le dispo
sitif de gestion de
s risqu
espo
uriden
tifierles
principa
uxrisqu
esàmaîtriser
;risqu
es pou
r ide
ntifier les principa
ux risque
s à m
aîtriser
;Le dispo
sitif de gestion de
s risqu
es com
pren
d lui‐m
ême de
s contrôles,de
stinés à sécuriser son
bon
fonctio
nnem
ent.
-18
-
Détail des docum
ents
III1)
Que
stionn
aire
relatif
àlagestionde
srisqu
esIII.1)Q
uestionn
aire re
latif à la gestio
n de
s risqu
es
Cd
ii
l8
iCa
dre organisatio
nnel ‐>
8 que
stions
Iden
tification de
s risqu
es ‐>
4 que
stions
Analyse de
s risqu
es ‐>
5 que
stions
Traitemen
tdes
risqu
es‐>
3qu
estio
nsTraitemen
t des risque
s > 3 qu
estio
nsSurveillance et re
vue ‐> 5 que
stions
Ci
ifi
3i
Commun
ication fi. ‐>
3 que
stions
-19
-
Détail des docum
ents:
III1)
Que
stionn
airesrelatifàlagestionde
srisqu
esIII.1)Q
uestionn
aires relatif à la gestio
n de
s risqu
es
Cadre organisatio
nnel
La so
ciété a‐t‐elle défini des objectifs en
matière de gestion de
s risqu
es ?
Les respo
nsab
ilités e
n matière de gestion de
s risqu
es so
nt‐elles d
éfinies e
t com
mun
iqué
es
é?
g
aux pe
rson
nes concerné
es?
Le re
spon
sable de
la gestio
n de
s risqu
es dispo
se‐t‐il des qua
lifications su
ffisan
tes p
our
exercer son
autorité
aup
rès de
s opé
ratio
nnels e
t des dirigean
ts.
Une
politiqu
e et des procédu
res de
gestio
n de
s prin
cipa
ux risque
s ont‐elles é
té définies,
valid
ées p
ar la Dire
ction et m
ises en place da
ns la so
ciété ?
L’ap
pétence (le
s lim
ites a
ccep
tables par la so
ciété) pou
r le risqu
e a‐t‐elle été claire
men
t dé
finie par la dire
ction géné
rale, et p
artagée ?
La so
ciété dis pose‐t‐elle d’un « langage commun
» en matière de risqu
es (typolog
ie
pgg
q(yp
gho
mogèn
e, critères de recensem
ent, d’an
alyse et de suivi, …) ?
La so
ciété a‐t‐elle iden
tifié les o
bligations légales e
t réglemen
taire
s app
licab
les e
n matière
de com
mun
ication sur les risque
s ?La so
ciété commun
i que
‐t‐elle
en interne au
x pe
rson
nes intéressées :
qp
Sur ses facteu
rs de risqu
es ?
Sur les disp
ositifs de gestion de
s risq
ues ?
Sur les actions en cours e
t les personn
es qui en on
t la charge ?
-20
-
Détail des docum
ents:
III1)
Que
stionn
airesrelatifàlagestionde
srisqu
esIII.1)Q
uestionn
aires relatif à la gestio
n de
s risqu
es
Iden
tification de
s risqu
es
Existe‐t‐il un processus d’iden
tification de
s risqu
es m
enaçan
t les objectifs d
e la so
ciété?
Une
organ
isation ad
équa
te a‐t‐elle
été m
ise en
place à cet effet ?
Lié
ill
éll
él
i?
q
Les o
pportunités p
oten
tiellemen
t man
quées s
ont‐elles é
galemen
t prises en compte ?
Des dispo
sitifs son
t‐ils m
is en place po
ur id
entifier les prin
cipa
ux risque
s pou
vant affecter
le processus d’établissemen
t des com
ptes ?
La corrélatio
n de
s risque
s pou
vant se réaliser en cascad
e est‐elle prise en
com
pte ?
-21
-
Détail des docum
ents:
III1)
Qti
iltif
àl
tid
iIII.1)Q
uestionn
aires relatif à la gestio
n de
s risqu
es
Analyse de
s risqu
es
Pour les p
rincipa
ux risque
s ide
ntifiés, la société réalise‐t‐elle une
ana
lyse des
conséq
uences possibles (chiffrées ou no
n, fina
ncière ou no
n fin
ancière), d
e l’o
ccurrence et
dude
gréde
maîtriseestim
é?
yq
du degré de maîtrise estim
é ?
Les e
xpériences passées de la so
ciété (ou d’acteurs c
ompa
rables) e
n matière de risqu
es
sont‐elles p
rises en considération ?
Plusieurs fon
ctions de la so
ciété sont‐elles p
artie
s prena
ntes dan
s l’ana
lyse des
conséq
uences
etde
l’occurrencepo
ssibles?
conséq
uences et d
e l’o
ccurrence po
ssibles ?
L’an
alyse de
s risqu
es est‐elle
partagéepa
r la direction géné
rale et le man
agem
ent d
e la
société ?
L’an
alyse des risque
s tie
nt‐elle
com
pte de
s évolutions internes ou externes à la so
ciété ? -2
2-
Détail des docum
ents:
III1)
Qti
iltif
àl
tid
iIII.1)Q
uestionn
aires relatif à la gestio
n de
s risqu
es
Surveillance de
s risqu
es
La dire
ction reçoit‐elle une
inform
ation sur les caractéristiq
ues e
ssen
tielles d
es actions
engagées pou
r gérer les p
rincipa
ux risque
s de la so
ciété (nature de
s actio
ns engagées o
u de
scou
vertures
enplaceassurances
exclusions
mon
tantsd
esgaranties
)?
q
des c
ouvertures en place, assuran
ces, exclusion
s, m
ontants d
es garan
ties, …) ?
Des m
oyen
s spécifiqu
es so
nt‐ils c
onsacrés à la m
ise en
œuvre et à
la su
rveillance de
s procéd
ures de gestion de
s risqu
es ?
Existe‐t‐il un mécan
isme pe
rmettant, si nécessaire
, d’ada
pter les p
rocédu
res de
gestio
n de
srisqu
esàun
eévolutionde
srisqu
esde
l’enviro
nnem
ente
xterne
desob
jectifs
oude
des risqu
es à une
évolutio
n de
s risqu
es, d
e l’enviro
nnem
ent e
xterne
, des objectifs ou
de
l’activité
de la so
ciété ?
Existe‐t‐il un dispositif p
ermettant d’id
entifier les prin
cipa
les faiblesses d
u dispositif d
e gestion de
s risqu
es m
is en place pa
r la société, et d
e les c
orrig
er ?
Lild’
diit
til
ild
illl
ltilétéif
éd
Le con
seil d’ad
ministration ou
le con
seil de
surveillan
ce, selon
le cas, a‐t‐il été inform
é de
s gran
des ligne
s de la politiqu
e de
gestio
n de
s risqu
es ? Est‐il ré
gulièremen
t informé de
s principa
ux risque
s ide
ntifiés, des caractéristiq
ues e
ssen
tielles d
u dispositif d
e gestion de
s risqu
es, notam
men
t des m
oyen
s mis en œuvre et d
es actions d’amélioratio
n en
cou
rs ? -2
3-
Détail des docum
ents:
III1)
Qti
iltif
àl
tid
iIII.1)Q
uestionn
aires relatif à la gestio
n de
s risqu
es
Commun
ication fin
ancières et com
ptab
les
Existe‐t‐il un éché
ancier ré
capitulant les o
bligations périodiqu
es du grou
pe en
matière de commun
ication comptab
le et finan
cière au
marché ? Ce
t échéancier
p
pprécise‐t‐il :
la nature et l’éché
ance de chaque
obligation pé
riodiqu
e,les p
ersonn
es re
spon
sables de leur établissem
ent.
pp
Existe‐t‐il des re
spon
sables et d
es procédu
res a
ux fins d’id
entifier e
t de traiter
les o
bligations d’in
form
ation du
marché ?
Existe‐t‐il une
procédu
re prévoyant le con
trôle de
s informations avant leur
diffusion ?
-24
-
Tableau compa
ratif des ré
férentiels en gestion de
s risqu
es
Documents utilisé
s dan
s le grou
pe de travail « Cad
re de référence de
gestio
n des risq
ues »
Introduction
Les p
rincipaux ré
férentiels de gestion de
s risq
ues son
t prin
cipalemen
t :
‐ Dispositifs de gestion de
s risq
ues e
t de contrôle interne : C
adre de référence
‐ ISO 310
00 : 20
09
‐ CO
SO II
‐ L’AS
/NZS 436
0 : référen
tiel australien do
nt la première versio
n date de 19
95 (aband
onné
en 20
10 au profit d’ISO 310
00)
‐ FERM
A Principa
ux point com
mun
s
L’en
semble de
s référen
tiels :
‐ Dé
signe
nt un processus g
énérique
de risk managem
ent tou
t en précon
isant de la flexibilité dans le dé
ploiem
ent
‐ Sont app
licables à
des structures d’organisa
tions et d
’activité
s très d
iverses
‐ Dé
claren
t que
la gestio
n de
s risq
ues e
st une
bon
ne pratiq
ue de managem
ent q
ui doit se fond
re dans les processus m
étiers, les BU ou les a
ctivité
s de
l’entreprise
‐
Recherchen
t les m
enaces m
ais é
galemen
t les opp
ortunités
‐ Dé
finissen
t leu
r propre term
inologie
‐ Prop
osen
t un « standard » et p
arfois un
guide
d’app
lication
Principa
le différen
ce
Les référen
tiels on
t un de
gré de
détail très d
ifféren
t. Nou
s vou
s propo
sons dans le tableau suivant, un
com
paratif des différen
ts ré
férentiels selon le cadre de référence.
Compa
ratif des ré
férentiels
Documents utilisé
s dan
s le grou
pe de travail « Cad
re de référence de
gestio
n des risq
ues »
Réf.
Cadre de
référence
(Juillet 201
0)
ISO 310
00
(Octob
re 200
9)
COSO
II
(200
4)
AS/N
ZS 436
0 (199
5, 199
9 pu
is 20
04)
FERM
A (AIRMIC / ALAR
M / IRM 200
2)
‐ 2/13 ‐
En résumé
Décrit les fon
damen
taux
d’un
disp
ositif d
e :
‐ Gestio
n de
s risqu
es
‐ Co
ntrôle interne.
Compo
rte un
e partie
« articulation de
la gestio
n de
s risq
ues e
t du contrôle
interne ».
Compo
rte de
ux
questio
nnaires p
ratiq
ues
relatifs à
: 1)
La gestio
n de
s risq
ues
2) Au
con
trôle interne
comptable et financier.
Se décline po
ur les V
aleu
rs
moyen
nes e
n un
docum
ent
synthé
tisé.
Veut re
couvrir to
us les
référentiels internationaux
existants.
Ne vise pas à promou
voir
l’uniform
isatio
n du
managem
ent d
es risque
s.
N’a pas vocation à servir de
base de certificatio
n.
Elaboré par le Co
mmittee
of
Spon
sorin
g Organiza
tions of
the Treadw
ay Com
miss
ion.
Etablit un processus d
e RM
(Risk
Managem
ent) en hu
it étapes qui re
cherchen
t l’efficacité du managem
ent
des risq
ues.
Est rep
résenté par u
ne
matrice tridim
ensio
nnelle
reliant les o
bjectifs
organisatio
nnels a
ux
compo
santes du RM
et a
ux
BU/ e
ntité
s.
Est le prem
ier stand
ard de
RM
développ
é (1995).
A été approu
vé par ISO
Compo
rte de
ux partie
s :
Synthè
se du standard & « Risk
Managem
ent g
uide
lines‐
Companion
».
Est, à l’orig
ine, le standard
anglais.
Détaille chaque
étape
du
processus a
vec un
paragraphe
explicatif.
Suit la te
rminologie ISO/guide
73
.
Pages
36 pages
Env. 20 pages
125 pages (avec le guide
d’application)
30 pages
14 pages
Compa
ratif des ré
férentiels
Documents utilisé
s dan
s le grou
pe de travail « Cad
re de référence de
gestio
n des risq
ues »
Réf.
Cadre de
référence
(Juillet 201
0)
ISO 310
00
(Octob
re 200
9)
COSO
II
(200
4)
AS/N
ZS 436
0 (199
5, 199
9 pu
is 20
04)
FERM
A (AIRMIC / ALAR
M / IRM 200
2)
‐ 3/13 ‐
Représentation graphique
Pas d
e figure représen
tativ
e intégrée
aux disp
ositifs.
Compa
ratif des ré
férentiels
Documents utilisé
s dan
s le grou
pe de travail « Cad
re de référence de
gestio
n des risq
ues »
Réf.
Cadre de
référence
(Juillet 201
0)
ISO 310
00
(Octob
re 200
9)
COSO
II
(200
4)
AS/N
ZS 436
0 (199
5, 199
9 pu
is 20
04)
FERM
A (AIRMIC / ALAR
M / IRM 200
2)
‐ 4/13 ‐
Principales étapes
Dispositif d
e gestion de
s risqu
es basé sur :
‐ Un cadre
organisatio
nnel
‐ Un processus d
e gestion
des risq
ues
(iden
tification, analyse,
traitemen
t des risque
s)
‐ Un pilotage en continu
du disp
ositif.
Da
ns la m
ise en œuvre du
dispositif d
e contrôle
interne, l’un
e de
s étape
s consiste à d’un
e part,
recenser et a
nalyser les
principaux risque
s et
d’autre part, à s’assurer d
e l’existen
ce de procéd
ures
de gestio
n de
s risq
ues.
Démarche à de
ux niveaux
qui parle d’un cadre
organisatio
nnel (rappe
lant
l’enviro
nnem
ent interne
du
COSO
II) p
uis d
e la m
ise en
œuvre du MR (M
anagem
ent
des R
isque
s)
Pour être efficace, le M
R op
ère au
sein d’un cadre
organisatio
nnel qui décrit :
‐ Mandat e
t engagem
ent
du M
R ‐
Concep
tion du
cadre
organisatio
nnel
(Con
texte, politiqu
e de
MR, Intégration dans les
processus …
) ‐
Mise
en œuvre du MR
détaillée
par :
Prise
en compte du
contexte
Ap
préciatio
n du
risque
Iden
tification
An
alyse
Evaluatio
n Traitemen
t du risqu
e Surveillance et re
vue
Am
élioratio
n continue
du
cadre
A travers 4
objectifs
stratégiqu
es, opé
ratio
nnels,
de re
porting et de
conformité
, le processus d
e gestion de
s risqu
es su
it 8
étapes…
‐ Environn
emen
t interne
(culture du risqu
e, esprit
d’organisatio
n)
‐ Fixatio
n de
s objectifs
‐ Iden
tification de
s évén
emen
ts
‐ Evaluatio
n de
s risq
ues
‐ Traitemen
t des risque
s ‐
Activ
ités d
e contrôle
‐ Inform
ation et
commun
ication
‐ Pilotage.
…à dé
ployer su
r les filiales,
les B
U, les division
s et
l’entité
.
Tout en commun
iquant et e
n consultant to
ut au long
du
process, la gestio
n de
s risq
ues
suit les q
uatre étapes
suivantes :
‐ Prise
en compte du
contexte
‐ Estim
ation du
risque
: Iden
tification
An
alyse
Evaluatio
n ‐
Traitemen
t du risqu
e ‐
Pilotage et revue
Les é
tape
s suivies so
nt :
‐ Objectifs stratégique
s de
l’organisa
tion
‐ Ap
préciatio
n du
risque
: An
alyse
(iden
tification,
descrip
tion,
estim
ation du
risque
) Evaluatio
n du
risque
Co
mpte‐rend
u sur le
risqu
e ‐
Décisio
n ‐
Traitemen
t du risqu
e ‐
Compte‐rend
u sur le
risqu
e résid
uel
‐ Suivi.
Compa
ratif des ré
férentiels
Documents utilisé
s dan
s le grou
pe de travail « Cad
re de référence de
gestio
n des risq
ues »
Réf.
Cadre de
référence
(Juillet 201
0)
ISO 310
00
(Octob
re 200
9)
COSO
II
(200
4)
AS/N
ZS 436
0 (199
5, 199
9 pu
is 20
04)
FERM
A (AIRMIC / ALAR
M / IRM 200
2)
‐ 5/13 ‐
Introduction
Se veu
t un ou
til utile aux
organisatio
ns.
Est b
asé sur d
es prin
cipe
s géné
raux et n
on su
r des
règles con
traignantes.
N’est pas obligatoire dans
son application.
Est a
dapté au
x caractéristique
s propres de
toute organisatio
n.
Reconn
ait la diversité
de
nature, de niveau
et d
e complexité
des risque
s et
veut fo
urnir d
es lignes
directrices su
r les prin
cipe
s et la m
ise en œuvre du
managem
ent d
es risque
s.
Suggère qu
e certaine
s directions pou
rraien
t revoir
leurs p
ratiq
ues d
e managem
ent à
la lumière
de cette norme.
Rapp
elle que
l’intérêt e
t l’objectif du managem
ent
des risq
ues réside dans la
glob
alité
de son application
sur tou
s les dom
aine
s de
l’organisa
tion.
Fait référence au
disp
ositif d
e contrôle interne.
Rapp
elle l’im
portance
d’avoir :
‐ Un référentiel
‐ Un langage commun
‐
Un guide d’application
Développ
e le ré
férentiel de
contrôle interne mais n
e le
remplace pas.
Introd
uctio
n sim
ilaire
à FER
MA
et COSO
II.
Met l’accent su
r :
‐ L’im
portance de
l’intégratio
n de
la culture
du risque
dan
s l’organisa
tion.
‐ Le risque
est la ré
sulta
nte
de con
séqu
ences e
t d’une
prob
able déviatio
n de
ce
qui était prévu au
dép
art.
‐ La gestio
n de
s risq
ues p
eut
être la gestio
n de
s men
aces m
ais é
galemen
t la gestio
n d’op
portun
ités.
1) Rappe
lle qu’un
cadre de
référence à la gestio
n de
s risqu
es est nécessaire
no
tammen
t pou
r préciser :
‐ La te
rminologie
‐ Le processus de
déploiem
ent d
e la gestio
n de
s risq
ues
‐ L’organisatio
n de
la
gestion de
s risqu
es
‐ L’ob
jectif de
la gestio
n de
s risq
ues
2) Se veut un recueil des
meilleures pratiq
ues
europé
enne
s.
3) N’a pas vocation à être
prescripteur, ni à poser les
bases d
’un processus d
e certificatio
n.
4) Pou
rra servir de
base po
ur
démon
trer sa
con
form
ité.
5) Est amen
é à évolue
r à
l’avenir.
Compa
ratif des ré
férentiels
Documents utilisé
s dan
s le grou
pe de travail « Cad
re de référence de
gestio
n des risq
ues »
Réf.
Cadre de
référence
(Juillet 201
0)
ISO 310
00
(Octob
re 200
9)
COSO
II
(200
4)
AS/N
ZS 436
0 (199
5, 199
9 pu
is 20
04)
FERM
A (AIRMIC / ALAR
M / IRM 200
2)
‐ 6/13 ‐
Risque, scope, définitions
Compren
d un
e dé
finition
de
la gestio
n de
s risq
ues, du
risqu
e.
Rapp
elle que
« la prise de
risqu
es est inhérente à toute
société ».
Parle
de do
maine
s d’application en
précisant
que la norme est g
énérique
. Ne vise pas à uniform
iser le
managem
ent d
es risque
s de
tous les o
rganism
es m
ais à
harm
onise
r le processus d
e managem
ent d
es risque
s po
ur les n
ormes à ven
ir.
N’a pas vocation à servir de
base de certificatio
n.
Défin
it le risque
, l’événe
men
t et le m
anagem
ent d
es
risqu
es.
Démon
tre la m
axim
isatio
n de
la valeu
r de d’en
trep
rise :
‐ Aligne
r l’app
éten
ce pou
r le risque
avec la stratégie
de l’organisatio
n
‐ Dé
velopp
er les m
odalité
s de
traitemen
t des
risqu
es
‐ Diminue
r les
déconven
ues e
t pertes
opérationn
elles
‐ Iden
tifier e
t gérer les
risqu
es m
ultip
les e
t transverses
‐ Saisir les opp
ortunités
‐ Am
éliorer l’utilisa
tion du
capital.
Rapp
elle les o
bjectifs d
u référentiel.
Définit les 2
7 mots c
lés d
u référentiel.
Repren
d la norme ISO/IEC
Guide
73 po
ur définir son
risqu
e.
Estim
e qu
e les c
onséqu
ences
de la ré
alisa
tion d’un
risque
pe
uven
t être né
gativ
es ou
positives.
Compa
ratif des ré
férentiels
Documents utilisé
s dan
s le grou
pe de travail « Cad
re de référence de
gestio
n des risq
ues »
Réf.
Cadre de
référence
(Juillet 201
0)
ISO 310
00
(Octob
re 200
9)
COSO
II
(200
4)
AS/N
ZS 436
0 (199
5, 199
9 pu
is 20
04)
FERM
A (AIRMIC / ALAR
M / IRM 200
2)
‐ 7/13 ‐
RM Process
Nécessite un
cadre
organisatio
nnel
compren
ant :
‐ Rô
les, re
spon
sabilités,
acteurs e
t procédu
res…
‐
Politique
de gestion de
s risqu
es
‐ Systèm
e d’inform
ation
perm
ettant la diffusion
interne d’inform
ation
Compren
d, au sein de son
contexte interne et externe
à la so
ciété, trois é
tape
s :
‐ Iden
tification de
s risqu
es
‐ An
alyse de
s risq
ues
‐ Traitemen
t des risque
s
Intègre un
pilotage en
continu :
‐ Surveillance et re
vue
régulière permettant
une am
élioratio
n continue
Compren
d 25
que
stions su
r le disp
ositif d
e gestion de
s risqu
es
Prop
ose 11
prin
cipe
s qui
perm
ettron
t d’optim
iser
l’efficacité du managem
ent
des risq
ues (MR). Le MR :
‐ est intégré aux
processus o
pératio
nnels
‐ est intégré aux
processus d
e dé
cisio
n ‐
traite explicite
men
t de
l’incertitud
e ‐
est systématique
, structuré et utilisé
en
temps utile
‐ s’appu
ie su
r la meilleure
inform
ation dispon
ible
‐ do
it être ta
illé sur
mesure
‐ intègre les facteurs
humains et culturels
‐ est transparent et
participatif
‐ est d
ynam
ique
, itératif
et ré
actif aux
changemen
ts
‐ facilite l’amélioratio
n et
l’évolutio
n continue
de
l’organism
e
Explique
que
le prin
cipal défi,
pour la dire
ction, ré
side dans
la détermination d’un
degré
d’incertitu
de accep
table afin
d’op
timise
r la créatio
n de
valeur.
Prôn
e qu
e la valeu
r de
l’organisa
tion est m
axim
isée
lorsqu
e l’organisa
tion élabore
une stratégie (et fixe de
s ob
jectifs) e
t alloue
les
ressou
rces nécessaire
s à
l’atteinte de
s dits objectifs.
Idem
FER
MA
Précise
que
le con
texte
compren
d l’enviro
nnem
ent
interne et externe
à
l’entreprise
.
Met l’accent su
r la gestion
des risq
ues q
ui doit ê
tre :
‐ Intégrée
à la m
ise en
œuvre de la stratégie
‐ Un processus c
ontin
u et
itératif d’amélioratio
n ‐
Partie prenante à la
cultu
re de l’entreprise
‐
Approp
riée par tou
s les
acteurs d
e l’entreprise
Dé
crit de
s facteurs d
’orig
ine
des risq
ues e
xterne
s /
internes.
Catégorise les risq
ues e
n risqu
es financier, stratégiqu
e,
opérationn
el ou pé
rils.
Compa
ratif des ré
férentiels
Documents utilisé
s dan
s le grou
pe de travail « Cad
re de référence de
gestio
n des risq
ues »
Réf.
Cadre de
référence
(Juillet 201
0)
ISO 310
00
(Octob
re 200
9)
COSO
II
(200
4)
AS/N
ZS 436
0 (199
5, 199
9 pu
is 20
04)
FERM
A (AIRMIC / ALAR
M / IRM 200
2)
‐ 8/13 ‐
Objectifs
Rapp
elle que
la gestio
n de
s risqu
es est un levier de
managem
ent q
ui con
tribue
à :
‐ Créer e
t préserver la
valeur, les actifs et la
répu
tatio
n de
l’entreprise
‐
Sécuriser la prise de
dé
cisio
n et les
processus d
e la so
ciété
pour favoriser l’atteinte
des o
bjectifs
‐ Favoriser la coh
éren
ce
des a
ctions avec les
valeurs d
e la so
ciété
‐ Mob
iliser les
collabo
rateurs d
e la
société autour d’une
visio
n commun
e de
s principaux risque
s.
Sont intégrés dans la partie
« Etablissemen
t du contexte
» (in
terne) qui dem
ande
égalem
ent d
e pren
dre en
compte la culture,
l’organisa
tion…
et
d’élaborer des critères de
risqu
e.
Est la de
uxième compo
sante
du ré
férentiel.
Demande
que
les o
bjectifs
aien
t été préalablemen
t dé
finis po
ur que
le
managem
ent p
uisse iden
tifier
les é
véne
men
ts poten
tiels
suscep
tibles d
’en affecter la
réalisa
tion.
Précise
que
la descriptio
n de
s ob
jectifs est incluse dans la
partie « con
texte ».
Ne prop
ose pas d
e partie
spécifiqu
e afférente aux
objectifs m
ême s’il est
rapp
elé l’impo
rtance
d’adosser les risque
s aux
objectifs stratégiqu
es de
l’entreprise
.
Compa
ratif des ré
férentiels
Documents utilisé
s dan
s le grou
pe de travail « Cad
re de référence de
gestio
n des risq
ues »
Réf.
Cadre de
référence
(Juillet 201
0)
ISO 310
00
(Octob
re 200
9)
COSO
II
(200
4)
AS/N
ZS 436
0 (199
5, 199
9 pu
is 20
04)
FERM
A (AIRMIC / ALAR
M / IRM 200
2)
‐ 9/13 ‐
Identification des risques
Vise à re
censer et
centraliser les p
rincipaux
risqu
es, m
enaçant l’atteinte
des o
bjectifs.
Chercher les risq
ues q
ui
représen
tent une
men
ace
ou une
opp
ortunité
manqu
ée.
S’inscrit dans u
ne dém
arche
continue
. Co
mpren
d 4 qu
estio
ns dans
le que
stionn
aire.
Décrit l’app
réciation du
risqu
e comme
l’ide
ntificatio
n, l’analyse et
l’évaluation du
risque
. Ch
erche à dresser u
ne liste
exhaustiv
e de
s risq
ues
suscep
tibles d
’atteind
re les
objectifs de l’o
rganisa
tion.
Recherche égalem
ent d
e la
non‐saisie d’op
portun
ités.
Parle
d’événe
men
t au lieu de
risqu
es.
Présen
te les facteurs
d’influ
ence
(interne/externe), les
techniqu
es d’iden
tification et
une catégorisation de
s évén
emen
ts, et é
voqu
e la
notio
n d’interdép
endance
des é
véne
men
ts.
Prop
ose dans le guide
d’application un
e multitud
e d’exem
ples d’iden
tification
d’évén
emen
ts.
Décrit l’impo
rtance de
constitue
r une
liste de
risque
s (avec leurs sou
rces et leu
rs
conséq
uences poten
tielles) qui
pourraient avoir un
impact su
r l’atteinte de
s objectifs.
Décrit succinctem
ent l’étape
qu
i vise
à iden
tifier
l’exposition
d’une
organisatio
n à l’incertitud
e.
Requ
iert une
app
roche
métho
diqu
e po
ur garantir
que chaque
activité
sig
nificative de
l’organisatio
n a été iden
tifiée.
Documentation du risque
Se caractérise par u
n évén
emen
t, un
e ou
plusieurs sou
rces et u
ne ou
plusieurs c
onséqu
ences.
Recherche po
ur chaqu
e évén
emen
t possib
le : les
sources (sig
nificatives) e
t les
domaine
s d’im
pact/le
s scen
arios à
retranscrire
dans une
docum
entatio
n.
Prop
ose qu
elqu
es fiches de
risqu
es dans la partie guide
d’application.
Prop
ose de
s exemples de
risqu
es (d
ans le guidelines).
Décrit rapide
men
t la
structure de
la
documen
tatio
n et propo
se un
exem
ple de
descriptio
n de
risqu
e.
Compa
ratif des ré
férentiels
Documents utilisé
s dan
s le grou
pe de travail « Cad
re de référence de
gestio
n des risq
ues »
Réf.
Cadre de
référence
(Juillet 201
0)
ISO 310
00
(Octob
re 200
9)
COSO
II
(200
4)
AS/N
ZS 436
0 (199
5, 199
9 pu
is 20
04)
FERM
A (AIRMIC / ALAR
M / IRM 200
2)
‐ 10/13
‐ Estimation du risque
Parle
d’analyse des risque
s qu
i doit e
xaminer les
conséq
uences poten
tielles
des p
rincipaux risque
s (con
séqu
ences q
ui peu
vent
être notam
men
t fin
ancières, hum
aine
s,
jurid
ique
s, ou de
répu
tatio
n) et à
app
récier
leur possib
le occurrence.
Rapp
elle que
la dém
arche
est con
tinue
.
Parle
d’analyse du risqu
e po
ur décrire l’estim
ation
quantitative, qualitative ou
semi‐q
uantita
tive.
Pren
d en
com
pte les
moyen
s de maitrise
ainsi
que leur efficacité.
Rapp
elle l’interdép
endance
qu’il peu
t y avoir en
tre
certains risque
s.
N’existe pas e
xplicite
men
t dans le ré
férentiel.
Prop
ose de
s estim
ations
qualita
tives et q
uantita
tives
des impacts e
t de la probabilité
ainsi que
la nécessité de
pren
dre en
com
pte les
contrôles e
n place.
Enum
ère très su
ccinctem
ent
les techn
ique
s qualitatives et
quantitatives.
Evaluation du risque
Parle
d’analyse des risque
s.
Compren
d 5 qu
estio
ns dans
le que
stionn
aire re
latif à
l’analyse et à
la m
aîtrise
des
risqu
es.
Vise à déterminer que
ls risqu
es nécessiten
t un
traitemen
t et u
n ordre de
priorité dans la m
ise en
œuvre du traitemen
t.
Rapp
elle la notion de
risque
acceptable.
Parle
de risqu
es inhé
rents e
t de
risque
s résidue
ls.
Prop
ose de
s métho
des e
t techniqu
es qualitatives et
quantitatives.
Idem
FER
MA
Rapp
elle que
l’estim
ation de
s risqu
es ne pe
ut su
ffire et q
u’il
faut évaluer le risque
avec les
critè
res d
e l’entreprise
(coû
ts
et bén
éfices associés,
contraintes, facteu
rs so
cio‐
écon
omique
s et
environn
emen
taux…).
Compa
ratif des ré
férentiels
Documents utilisé
s dan
s le grou
pe de travail « Cad
re de référence de
gestio
n des risq
ues »
Réf.
Cadre de
référence
(Juillet 201
0)
ISO 310
00
(Octob
re 200
9)
COSO
II
(200
4)
AS/N
ZS 436
0 (199
5, 199
9 pu
is 20
04)
FERM
A (AIRMIC / ALAR
M / IRM 200
2)
‐ 11/13
‐ Reporting et communication
Demande
à ce qu
e la
Direction de
s risq
ues
défin
isse un
e procéd
ure de
gestion de
s risqu
es.
Compren
d qu
elqu
es
questio
ns dans le
questio
nnaire re
latif à
l’analyse et à
la m
aîtrise
des
risqu
es.
Prop
ose un
e commun
ication et
consultatio
n pe
rmanen
te
sur tou
te la m
ise en œuvre
du M
R.
Recommande
une
do
cumen
tatio
n pe
rmanen
te
de l’en
semble de
s activité
s du
MR.
Prop
ose un
e étape spécifiqu
e de
repo
rting après les
activ
ités d
e contrôle.
Prop
ose un
e commun
ication et
un re
porting constant to
ut au
long
du projet.
Suggère un
e ph
ase de
repo
rting avant d
e passer à
l’étape
du traitemen
t.
Compa
ratif des ré
férentiels
Documents utilisé
s dan
s le grou
pe de travail « Cad
re de référence de
gestio
n des risq
ues »
Réf.
Cadre de
référence
(Juillet 201
0)
ISO 310
00
(Octob
re 200
9)
COSO
II
(200
4)
AS/N
ZS 436
0 (199
5, 199
9 pu
is 20
04)
FERM
A (AIRMIC / ALAR
M / IRM 200
2)
‐ 12/13
‐ Traitement du risque
Prop
ose de
cho
isir le(s)
plan(s) d
’action le(s) p
lus
adapté(s) à
la so
ciété.
Contient les risq
ues d
ans les
limite
s accep
tables,
énum
ère plusieurs m
esures
qui peu
vent être
envisagées : la ré
duction, le
transfert, la su
ppression ou
l’accep
tatio
n d’un
risque
. S’effectue
notam
men
t en
arbitrant e
ntre les
oppo
rtun
ités à
saisir e
t le
coût des m
esures de
traitemen
t du risqu
e, prend
en
com
pte leurs e
ffets
possibles sur l’occurren
ce
et/ou les c
onséqu
ences d
u risqu
e.
Implique
un processus
itératif d’app
réciation du
traitemen
t du risqu
e, qui
vise à décider si les n
iveaux
résid
uels de
risque
s son
t tolérables ou no
n.
Prop
ose un
panel de
plusieurs o
ptions de
traitemen
t pas
nécessairemen
t mutue
llemen
t exclusif.
Enum
ère les informations
nécessaires à
la m
ise en
œuvre d’un traitemen
t de
risqu
e.
Enon
ce les q
uatre form
es de
traitemen
t du risqu
e : éviter,
rédu
ire, partager, accepter
ainsi que
l’im
plication du
traitemen
t dans le
coût/bén
éfice.
Distingue la com
posante de
s activ
ités d
e contrôle du
traitemen
t des risque
s.
Liste les d
ifféren
tes formes de
traitemen
t en distinguant le
résulta
t atten
du se
lon qu
’il est
positif ou
négatif.
Rapp
elle la notion de
coût/bén
éfice.
Prop
ose un
e check‐list
(succincte) à
pen
ser p
our
élaborer un plan
de traitemen
t.
Prop
ose un
paragraph
e succinct ra
ppelant q
ue le
traitemen
t du risqu
e a po
ur
principales c
ompo
santes la
maîtrise
et l’attén
uatio
n du
risqu
e mais n
e s’y lim
ite pas
et parle d’évitemen
t, de
transfert o
u de
financem
ent.
Compa
ratif des ré
férentiels
Documents utilisé
s dan
s le grou
pe de travail « Cad
re de référence de
gestio
n des risq
ues »
Réf.
Cadre de
référence
(Juillet 201
0)
ISO 310
00
(Octob
re 200
9)
COSO
II
(200
4)
AS/N
ZS 436
0 (199
5, 199
9 pu
is 20
04)
FERM
A (AIRMIC / ALAR
M / IRM 200
2)
‐ 13/13
‐ Pilotage et revue
Fait l’objet d’une
surveillance et d’une
revue
régulières.
Perm
et l’am
élioratio
n continue
du dispositif.
Iden
tifie et a
nalyse les
principaux risque
s, et d
oit
tirer des enseignem
ents des
risqu
es su
rven
us.
Précon
ise une
revue
régulière notam
men
t de
l’avancem
ent d
es plans de
traitemen
t.
Recommande
la
documen
tatio
n de
s revue
s interne ou
externe
.
Précon
ise une
revue
perm
anen
te de l’efficacité du
processus e
n interne et une
revue spécifiqu
e par d
es
auditeurs interne
s.
Indiqu
e qu
e le con
trôle
perm
anen
t du processus e
st
essentiel et se réalise
en
analysant les événe
men
ts,
leurs p
lans d’actions et les
résulta
ts finaux.
Précon
ise un audit régulier d
u processus p
ermettant de
fournir u
ne assurance que
le
dispositif d
e maîtrise
est
approp
rié.
Cahiers techniques AMF
Cahiers techniques AMF
CHAPITRE 2 :
Les rapports de l’AMF
• Les dispositifs de gestion des risques et de contrôle interne : cadre de référence
• Les dispositifs de gestion des risques et de contrôle interne : cadre de référence pour les VAMP’s
• Rapport final sur les comités d’audit
Cahiers techniques AMF
Les dispositifs de gestion des risques et de contrôle interne
Cadre de référence
Mis en ligne le 22 juillet 2010 2/36
AVANT-PROPOS
Le Cadre de référence qui est ici proposé par l’AMF aux sociétés françaises dont les titres sont admis à la négociation sur un marché réglementé est une édition revue et augmentée du cadre de référence publié en janvier 2007. Le groupe, présidé à l’époque par Jean Cedelle et Guillaume Gasztowtt, qui avait élaboré ce cadre de référence complété, sous l’autorité de Michel Léger d’un guide d’application relatif au contrôle interne de l’information comptable et financière publiée par les émetteurs, avait fait un travail remarquable. Il a été un véritable outil de progrès pour les nombreuses entreprises qui ont adopté ce cadre de référence au cours des trois dernières années. Cette nouvelle édition reste dans le même esprit que l’ouvrage de base. C’est un outil de référence mis à la disposition des entreprises pour améliorer le pilotage de leurs activités et sécuriser l’atteinte de leurs objectifs. Comme l’ancien cadre, rien n’est imposé. C’est une méthodologie qui doit être adaptée aux innombrables cas particuliers résultant de l’activité, de la taille et de l’organisation des entreprises concernées. Bien qu’étant dans la même ligne, cette nouvelle édition apporte des améliorations considérables au cadre de référence de 2007. Elle tient compte de l’évolution législative et règlementaire intervenue depuis 2007. La loi du 3 juillet 2008 et l’ordonnance du 8 décembre 2008 ont transposé en droit français les directives européennes qui imposent de nouvelles obligations aux sociétés cotées en matière de gestion des risques et qui prévoient les missions du comité d’audit. Cette édition s’appuie également sur les évolutions constatées dans les principaux référentiels internationaux en particulier COSO II et la norme ISO 31000. Un guide de mise en œuvre du cadre de référence de 2007 adapté aux valeurs moyennes et petites (VaMPs) a été publié par l’AMF en janvier 2008. Ce guide a également été mis à jour et pourra servir d’instrument de travail pour les valeurs moyennes et petites, actuellement définies comme les sociétés dont la capitalisation boursière est inférieure à 1 milliard d’euros. L’Autorité des marchés financiers est heureuse de contribuer ainsi à la bonne gestion des entreprises et, par là, à la protection des épargnants ayant investi dans des titres émis par des entreprises françaises. Elle remercie très vivement les participants au groupe de travail qui a pris en charge la mise à jour du cadre de référence dont elle assure la publication. Il convient de citer pour leur contribution particulièrement importante Gérard Lancner, Président de l’AMRAE, assisté de Bénédicte Huot de Luze, Directrice scientifique de l’AMRAE, Louis Vaurs, Délégué général de l’IFACI, et Michel Léger, Président du cabinet BDO. Etienne Cunin, Adjoint à la Direction des Affaires Comptables de l’AMF était rapporteur du guide d’application de l’édition de 2007, il l’a été à nouveau pour l’édition de 2010 du présent cadre de référence. Le Président du groupe de travail Olivier Poupart-Lafarge Membre du Collège de l’AMF
Mis en ligne le 22 juillet 2010 3/36
SOMMAIRE
AVANT-PROPOS.................................................................................................................................................... 2
SOMMAIRE............................................................................................................................................................. 3
I- INTRODUCTION GENERALE ............................................................................................................................. 4 1. Le contexte.................................................................................................................................................... 4 2. L’approche .................................................................................................................................................... 4
II - PRINCIPES GÉNÉRAUX DE GESTION DES RISQUES ET DE CONTRÔLE INTERNE ................................. 6 1. Principes généraux de gestion des risques ............................................................................................... 6 2. Articulation entre la gestion des risques et le contrôle interne ............................................................... 7 3. Principes généraux de contrôle interne...................................................................................................... 8 4. Périmètre de la gestion des risques et du contrôle interne .................................................................... 11 5. Acteurs de la gestion des risques et du contrôle interne ....................................................................... 11 6. Limites de la gestion des risques et du contrôle interne ........................................................................ 13
III. QUESTIONNAIRES RELATIFS AUX PRINCIPES GENERAUX..................................................................... 14 1. Questionnaire relatif à la gestion des risques ......................................................................................... 14 2. Questionnaire relatif au contrôle interne comptable et financier ........................................................... 15
IV - GUIDE D’APPLICATION RELATIF A LA GESTION DES RISQUES ET AU CONTROLE INTERNE DE L’INFORMATION COMPTABLE ET FINANCIERE PUBLIEE PAR LES EMETTEURS ...................................... 18
Introduction..................................................................................................................................................... 18 1. Les risques liés à l’organisation et à l’information comptable et financière ......................................... 20 2. Les objectifs de contrôle............................................................................................................................ 20 3. Processus de pilotage de l’organisation comptable et financière ......................................................... 20 4. Processus concourant à l’élaboration de l’information comptable et financière publiée.................... 25
Annexe 1 .............................................................................................................................................................. 33
Annexe 2 .............................................................................................................................................................. 36
Mis en ligne le 22 juillet 2010 4/36
I- INTRODUCTION GENERALE 1. Le contexte La directive européenne 2006/46/CE relatives aux comptes annuels et aux comptes consolidés des sociétés venant modifier les 4ème et 7ème directives prévoit que « toute société dont les titres sont admis à la négociation sur un marché réglementé inclut une déclaration sur le gouvernement d’entreprise dans son rapport de gestion. Cette déclaration forme une section spécifique du rapport de gestion et contient…une information des principales caractéristiques des systèmes de contrôle interne et de gestion des risques de la société dans le cadre du processus d’établissement de l’information financière ».
La loi du 3 juillet 2008 a transposé cette directive dans le droit français et complété, par la même, la Loi de Sécurité Financière (LSF) du 1er août 2003. Il en est résulté une modification des articles L 225-37 et L 225-68 du code du commerce qui a étendu l’objet du rapport du président sur les procédures de contrôle interne aux procédures de gestion des risques mises en place par les sociétés faisant appel public à l’épargne « en détaillant notamment celles de ces procédures qui sont relatives à l’élaboration et au traitement de l’information comptable et financière pour les comptes sociaux et, le cas échéant, pour les comptes consolidés ».
Par ailleurs, la directive européenne audit légal 2006/43/CE (dite 8ème directive) prévoit, dans son article 41, la création d’un comité d’audit notamment chargé des missions suivantes :
suivi du processus d’élaboration de l’information financière ; suivi de l’efficacité des systèmes de contrôle interne, d’audit interne, le cas échéant, et de gestion des
risques de la société ; suivi du contrôle légal des comptes annuels et des comptes consolidés ; examen et suivi de l’indépendance du contrôleur légal des comptes ou du cabinet d’audit.
L’ordonnance du 8 décembre 2008, transposant la directive audit légal, a institué un comité spécialisé ou comité d’audit pour les entités dont les titres sont admis sur un marché réglementé ainsi que pour les établissements de crédit, les entreprises d’assurances et de réassurances, les mutuelles et les institutions de prévoyance. L’ordonnance reprend les 4 missions spécifiques de la directive sans mentionner toutefois le suivi de l’efficacité de l’audit interne mais précise que ces missions s’inscrivent dans le cadre d’une mission générale visant à assurer « le suivi des questions relatives à l’élaboration et au contrôle des informations comptables et financières ».
Le comité agit « sous la responsabilité exclusive et collective des membres, selon le cas, de l’organe chargé de l’administration ou de l’organe de surveillance, et il intervient "sans préjudice des compétences des organes chargés de l’administration, de la direction ou de la surveillance ».
En outre, l’ordonnance prévoit des exemptions dès lors que : les personnes et entités disposent d’un organe remplissant les fonctions du comité spécialisé mentionné à l’article L.821-19, sous réserve d’identifier cet organe, qui peut être l’organe chargé de l’administration ou l’organe de surveillance, et de rendre public sa composition (article L.823-20 4°du code de commerce).
Dans ce cadre, l’AMF a confié, en septembre 2009, à un groupe de travail la rédaction d’un guide sur les comités d’audit et l’adaptation du cadre de référence établi en 2007 à l’initiative de l’AMF afin de le compléter utilement d’une partie relative à la gestion des risques. 2. L’approche Initialement, le groupe de travail a privilégié une approche pragmatique, s’efforçant de concilier : la réglementation française, les recommandations des rapports sur la Gouvernance d’entreprise, les évolutions des directives européennes, et les « bonnes pratiques » observées à l’étranger.
Mis en ligne le 22 juillet 2010 5/36
S’agissant du cadre de référence de contrôle interne, le groupe de travail avait à l’origine examiné les deux référentiels connus à savoir le COSO1 et le «Turnbull guidance2 » britannique. S’agissant du volet relatif à la gestion des risques, il est apparu opportun au groupe de travail de profiter des amendements législatifs de juillet 2008 pour développer le volet relatif à la gestion des risques et, pour ce faire, de s’appuyer sur des référentiels internationaux significatifs, notamment le référentiel COSO II3 et la norme ISO 31000 : 2009. Le groupe de travail s’est également assuré de la conformité du cadre de référence avec les directives européennes et notamment la 8ème directive européenne sur le contrôle légal des comptes.
* * *
Ainsi, à partir des dispositions législatives et réglementaires nationales et européennes mais également des pratiques de bonne gouvernance déjà reconnues en France et des principaux modèles de contrôle interne et de gestion des risques, le groupe de travail a rédigé le présent cadre de référence de contrôle interne et de gestion des risques. Il comprend : des principes généraux de contrôle interne et de gestion des risques; deux questionnaires de portée générale, l’un relatif au contrôle interne comptable et financier, l’autre afférent
à l’analyse et à la maîtrise des risques, composante essentielle de tout dispositif de contrôle interne ; un guide d’application relatif au contrôle interne et à la gestion des risques de l’information comptable et
financière publiée par les émetteurs. Ce guide mis à la disposition des fonctions concernées de la société pourra être utilisé, en tant que de besoin, pour la rédaction du rapport du président pour celles des procédures de contrôle interne et de gestion des risques relatives à l’élaboration et au traitement de l’information financière et comptable.
* * *
* * *
Le présent cadre de référence est basé sur des principes généraux et non sur des règles contraignantes. Ce cadre n’a pas vocation à être imposé aux sociétés ni à se substituer aux réglementations spécifiques en vigueur dans certains secteurs d’activité, notamment le secteur bancaire et le secteur des assurances. Il peut être utilisé par les sociétés dont les titres sont admis aux négociations sur un marché réglementé pour superviser ou, le cas échéant, développer leurs dispositifs de contrôle interne et de gestion des risques, sans cependant constituer des directives sur la façon de concevoir leur organisation. Chaque société est responsable de son organisation propre et donc de son contrôle interne et de son dispositif de gestion des risques, lesquels devront s’inscrire dans le cadre d’une bonne gouvernance, telle que développée dans les rapports des organisations françaises représentatives des sociétés. C’est en définitive un outil qui devrait contribuer à une plus grande homogénéité des concepts sous- tendant la rédaction des rapports des présidents sur le contrôle interne et la gestion des risques, et aux travaux des comités d’audit.
1 COSO (Committee of Sponsoring Organizations of the Treadway Commission) a publié en 1992 un cadre de contrôle interne intitulé “Internal control- Integrated Framework” 2 Guide développé par l’ICAEW (l’Institut des Experts Comptables d’Angleterre et du Pays de Galle) et publiée en 1999. Il a fait l’objet d’une mise à jour par le « Financial Reporting Council » en 2005. 3 COSO II a publié un cadre de référence pour le management des risques intitulé « Entreprise Risk Management – Integrated Framework »
Mis en ligne le 22 juillet 2010 6/36
II - PRINCIPES GÉNÉRAUX DE GESTION DES RISQUES ET DE CONTRÔLE INTERNE La prise de risque est inhérente à toute société. Il n’existe pas de croissance, ni de création de valeur dans une société, sans prise de risque. S’ils ne sont pas correctement gérés et maîtrisés, ces risques peuvent affecter la capacité de la société à atteindre ses objectifs. En continuant à prévenir et à gérer les risques, les dispositifs de gestion de risques et de contrôle interne jouent un rôle clé dans la conduite et le pilotage des différentes activités. 1. Principes généraux de gestion des risques A) Définition La gestion des risques est l’affaire de tous les acteurs de la société. Elle vise à être globale et doit couvrir l’ensemble des activités, processus et actifs de la société. La gestion des risques est un dispositif dynamique de la société, défini et mis en œuvre sous sa responsabilité. La gestion des risques comprend un ensemble de moyens, de comportements, de procédures et d’actions adaptés aux caractéristiques de chaque société qui permet aux dirigeants de maintenir les risques à un niveau acceptable pour la société. Le risque représente la possibilité qu’un événement survienne et dont les conséquences seraient susceptibles d’affecter les personnes, les actifs, l’environnement, les objectifs de la société ou sa réputation. B) Les objectifs de la gestion des risques La gestion des risques est un levier de management de la société qui contribue à : a) Créer et préserver la valeur, les actifs et la réputation de la société : La gestion des risques permet d’identifier et d’analyser les principales menaces et opportunités potentielles de la société. Elle vise à anticiper les risques au lieu de les subir, et ainsi à préserver la valeur, les actifs et la réputation de la société. b) Sécuriser la prise de décision et les processus de la société pour favoriser l’atteinte des objectifs : La gestion des risques vise à identifier les principaux événements et situations susceptibles d’affecter de manière significative la réalisation des objectifs de la société. La maîtrise de ces risques permet ainsi de favoriser l’atteinte des dits objectifs. La gestion des risques est intégrée aux processus décisionnels et opérationnels de la société. Elle est un des outils de pilotage et d’aide à la décision. La gestion des risques permet de donner aux dirigeants une vision objective et globale des menaces et opportunités potentielles de la société, de prendre des risques mesurés et réfléchis et d’appuyer ainsi leurs décisions quant à l’attribution des ressources humaines et financières.
c) Favoriser la cohérence des actions avec les valeurs de la société : De nombreux risques sont le reflet d’un manque de cohérence entre les valeurs de la société et les décisions et actions quotidiennes. Ces risques affectent principalement la crédibilité de la société. d) Mobiliser les collaborateurs de la société autour d’une vision commune des principaux risques et les sensibiliser aux risques inhérents à leur activité.
Mis en ligne le 22 juillet 2010 7/36
C) Composantes du dispositif de gestion des risques Il appartient à chaque société de mettre en place un dispositif de gestion des risques adapté à ses caractéristiques propres. Le dispositif de gestion des risques prévoit: 1) Un cadre organisationnel comprenant : une organisation qui définit les rôles et responsabilités des acteurs, établit les procédures et les normes
claires et cohérentes du dispositif, une politique de gestion des risques qui formalise les objectifs du dispositif en cohérence avec la culture de
la société, le langage commun utilisé, la démarche d’identification, d’analyse et de traitement des risques, et le cas échéant, les limites que la société détermine (tolérance pour le risque),
un système d’information qui permet la diffusion en interne d’informations relatives aux risques. 2) Un processus de gestion des risques comprenant, au sein de son contexte interne et externe à la
société, trois étapes : Identification des risques : étape permettant de recenser et de centraliser les principaux risques, menaçant
l’atteinte des objectifs. Un risque représente une menace ou une opportunité manquée. Il se caractérise par un événement, une ou plusieurs sources et une ou plusieurs conséquences. L’identification des risques s’inscrit dans une démarche continue.
Analyse des risques : étape consistant à examiner les conséquences potentielles des principaux risques
(conséquences qui peuvent être notamment financières, humaines, juridiques, ou de réputation) et à apprécier leur possible occurrence. Cette démarche est continue.
Traitement du risque : étape permettant de choisir le(s) plan(s) d’action le(s) plus adapté(s) à la société. Pour
maintenir les risques dans les limites acceptables, plusieurs mesures peuvent être envisagées : la réduction, le transfert, la suppression ou l’acceptation d’un risque. Le choix de traitement s’effectue notamment en arbitrant entre les opportunités à saisir et le coût des mesures de traitement du risque, prenant en compte leurs effets possibles sur l’occurrence et/ou les conséquences du risque.
3) Un pilotage en continu du dispositif de gestion des risques : Le dispositif de gestion des risques fait l’objet d’une surveillance et d’une revue régulières, son suivi permet l’amélioration continue du dispositif. L’objectif est d’identifier et d’analyser les principaux risques, et de tirer des enseignements des risques survenus.
Un questionnaire relatif à la gestion des risques est disponible au chapitre III.1 « Questionnaire relatif à la gestion des risques ». 2. Articulation entre la gestion des risques et le contrôle interne Les dispositifs de gestion des risques et de contrôle interne participent de manière complémentaire à la maîtrise des activités de la société : Le dispositif de gestion des risques vise à identifier et analyser les principaux risques de la société. Les
risques, dépassant les limites acceptables fixées par la société, sont traités et le cas échéant, font l’objet de plans d’action. Ces derniers peuvent prévoir la mise en place de contrôles, un transfert des conséquences financières (mécanisme d’assurance ou équivalent) ou une adaptation de l’organisation. Les contrôles à
Mis en ligne le 22 juillet 2010 8/36
mettre en place relèvent du dispositif de contrôle interne. Ainsi, ce dernier concourt au traitement des risques auxquels sont exposées les activités de la société ;
De son côté, le dispositif de contrôle interne s’appuie sur le dispositif de gestion des risques pour identifier les principaux risques à maîtriser ;
En outre, le dispositif de gestion des risques doit lui-même intégrer des contrôles, relevant du dispositif de contrôle interne, destinés à sécuriser son bon fonctionnement.
L'articulation et l'équilibre conjugué des deux dispositifs sont conditionnés par l'environnement de contrôle, qui constitue leur fondement commun, notamment: la culture du risque et du contrôle propres à la société et les valeurs éthiques de la société. 3. Principes généraux de contrôle interne A) Définition Le contrôle interne est un dispositif de la société, défini et mis en œuvre sous sa responsabilité. Il comprend un ensemble de moyens, de comportements, de procédures et d’actions adaptés aux caractéristiques propres de chaque société qui : contribue à la maîtrise de ses activités, à l’efficacité de ses opérations et à l’utilisation efficiente de ses
ressources, et doit lui permettre de prendre en compte de manière appropriée les risques significatifs, qu’ils soient
opérationnels, financiers ou de conformité. Le dispositif vise plus particulièrement à assurer : a) la conformité aux lois et règlements ; b) l’application des instructions et des orientations fixées par la direction générale ou le directoire ; c) le bon fonctionnement des processus internes de la société, notamment ceux concourant à la sauvegarde de ses actifs ; d) la fiabilité des informations financières. Le contrôle interne ne se limite donc pas à un ensemble de procédures ni aux seuls processus comptables et financiers. La définition du contrôle interne ne recouvre pas toutes les initiatives prises par les organes dirigeants ou le management comme par exemple la définition de la stratégie de la société, la détermination des objectifs, les décisions de gestion, le traitement des risques ou le suivi des performances. Par ailleurs, le contrôle interne ne peut fournir une garantie absolue que les objectifs de la société seront atteints. B) Les objectifs de contrôle interne Les objectifs du dispositif de contrôle interne visent, plus particulièrement à assurer : a) La conformité aux lois et règlements Il s’agit des lois et règlements auxquels la société est soumise. Les lois et les règlements en vigueur fixent des normes de comportement que la société intègre à ses objectifs de conformité. Compte tenu du grand nombre de domaines existants (droit des sociétés, droit commercial, environnement, social, etc.), il est nécessaire que la société dispose d’une organisation lui permettant de : connaître les diverses règles qui lui sont applicables ; être en mesure d’être informée en temps utile des modifications qui leur sont apportées (veille juridique) ; transcrire ces règles dans ses procédures internes; informer et former les collaborateurs sur celles des règles qui les concernent. b) L’application des instructions et des orientations fixées par la direction générale ou le directoire Les instructions et orientations de la direction générale ou du directoire permettent aux collaborateurs de comprendre ce qui est attendu d’eux et de connaître l’étendue de leur liberté d’action.
Mis en ligne le 22 juillet 2010 9/36
Ces instructions et orientations doivent être communiquées aux collaborateurs concernés, en fonction des objectifs assignés à chacun d’entre eux, afin de fournir des orientations sur la façon dont les activités devraient être menées. Ces instructions et orientations doivent être établies en fonction des objectifs poursuivis par la société et des risques encourus. c) Le bon fonctionnement des processus internes de la société notamment ceux concourant à la sauvegarde des actifs L’ensemble des processus opérationnels, industriels, commerciaux et financiers sont concernés. Le bon fonctionnement des processus exige que des normes ou principes de fonctionnement aient été établis et que des indicateurs de suivi aient été mis en place. Par « actifs », il faut entendre non seulement les « actifs corporels » mais aussi les « actifs incorporels » tels que le savoir-faire, l’image ou la réputation. Ces actifs peuvent disparaître à la suite de vols, fraudes, improductivité, erreurs, ou résulter d’une mauvaise décision de gestion ou d’une faiblesse de contrôle interne. Les processus y afférents devraient faire l’objet d’une attention toute particulière. Il en va de même des processus qui sont relatifs à l’élaboration et au traitement de l’information comptable et financière. Ces processus comprennent non seulement ceux qui traitent directement de la production des états financiers mais aussi les processus transformant des opérations économiques en mouvements comptables. d) La fiabilité des informations financières La fiabilité d’une information financière ne peut s’obtenir que grâce à la mise en place de procédures de contrôle interne visant à la bonne prise en compte des opérations réalisées par l’organisation. La qualité de ce dispositif de contrôle interne peut-être recherchée au moyen : d’une séparation des tâches qui permet de bien distinguer les tâches d’enregistrement, les tâches
opérationnelles et les tâches de conservation ; d’une description des fonctions devant permettre d’identifier les origines des informations produites, et leurs
destinataires ; d’un système de contrôle interne comptable permettant de s’assurer que les opérations sont effectuées
conformément aux instructions générales et spécifiques, et qu’elles sont comptabilisées de manière à produire une information financière conforme aux principes comptables généralement admis.
C) Les composantes du contrôle interne Préalables Les grandes orientations en matière de contrôle interne sont déterminées en fonction des objectifs de la société. Ces objectifs doivent être déclinés dans la société et clairement communiquées aux collaborateurs afin que ces derniers comprennent et adhèrent à la politique de l’organisation en matière de risques et de contrôle. Le contrôle interne est d’autant plus pertinent qu’il est fondé sur des règles de conduite et d’intégrité portées par les organes de gouvernance et communiquées à tous les collaborateurs. Il ne saurait en effet se réduire à un dispositif purement formel en marge duquel pourraient survenir des manquements graves à l’éthique des affaires. En effet, le dispositif de contrôle interne ne peut empêcher à lui seul que des personnes de la société commettent une fraude, contreviennent aux dispositions légales ou réglementaires, ou communiquent à l’extérieur de la société des informations trompeuses sur sa situation. Dans ce contexte, l’exemplarité constitue un vecteur essentiel de diffusion des valeurs au sein de la société. Composantes Le dispositif de contrôle interne comprend cinq composantes étroitement liées. Bien que ces composantes soient applicables à toutes les sociétés, leur mise en œuvre peut être faite de façon différente selon les caractéristiques de chaque société. Ces cinq composantes sont les suivantes :
Mis en ligne le 22 juillet 2010 10/36
1) Une organisation comportant une définition claire des responsabilités, disposant des ressources et des compétences adéquates et s’appuyant sur des systèmes d’information, sur des procédures ou modes opératoires, des outils et des pratiques appropriés La mise en œuvre d’un dispositif de contrôle interne doit reposer sur des principes fondamentaux mais aussi sur : Une organisation appropriée qui fournit le cadre dans lequel les activités nécessaires à la réalisation des
objectifs sont planifiées, exécutées, suivies et contrôlées ; Des responsabilités et pouvoirs clairement définis qui doivent être accordés aux personnes appropriées
en fonction des objectifs de la société. Ils peuvent être formalisés et communiqués au moyen de descriptions de tâches ou de fonctions, d’organigrammes hiérarchiques et fonctionnels, de délégations de pouvoirs et devraient respecter le principe de séparation des tâches ;
Une politique de gestion des ressources humaines qui devrait permettre à la société de disposer des personnes possédant les connaissances et compétences nécessaires à l’exercice de leur responsabilité et à l’atteinte des objectifs actuels et futurs de la société ;
Des systèmes d’information adaptés aux objectifs actuels de l’organisation et conçus de façon à pouvoir supporter ses objectifs futurs. Les systèmes informatiques sur lesquels s’appuient ces systèmes d’information doivent être protégés efficacement tant au niveau de leur sécurité physique que logique afin d’assurer la conservation des informations stockées. Leur continuité d’exploitation doit être assurée au moyen de procédures de secours. Les informations relatives aux analyses, à la programmation et à l’exécution des traitements doivent faire l’objet d’une documentation ;
Des procédures ou modes opératoires qui précisent la manière dont devrait s'accomplir une action ou un processus (objectifs à atteindre à un horizon donné, définitions de fonctions et de lignes hiérarchiques/fonctionnelles, lignes de conduite, outils d'aide à la décision et d'évaluation, fréquence de contrôle, personne responsable du contrôle, …), quels qu'en soient la forme et le support. On trouvera, en partie III.2, « Questionnaire relatif au contrôle interne comptable et financier », certaines questions qui peuvent se poser sur les procédures comptables et financières, mises en place par la société ;
Des outils ou instruments de travail (bureautique, informatique) qui doivent être adaptés aux besoins de chacun et auxquels chaque utilisateur devrait être dûment formé ;
Des pratiques communément admises au sein de la société. 2) La diffusion en interne d’informations pertinentes, fiables, dont la connaissance permet à chacun d’exercer ses responsabilités La société devrait disposer de processus qui assurent la communication d’informations pertinentes, fiables et diffusées en temps opportun aux acteurs concernés de la société afin de leur permettre d’exercer leurs responsabilités. 3) Un dispositif de gestion des risques visant à recenser, analyser et traiter les principaux risques identifiés au regard des objectifs de la société. Le dispositif de gestion des risques est décrit dans la partie II.1.Principes généraux de gestion des risques. 4) Des activités de contrôle proportionnées aux enjeux propres à chaque processus, et conçues pour s’assurer que les mesures nécessaires sont prises en vue de maîtriser les risques susceptibles d’affecter la réalisation des objectifs Les activités de contrôle sont présentes partout dans l’organisation, à tout niveau et dans toute fonction qu’il s’agisse de contrôles orientés vers la prévention ou la détection, de contrôles manuels ou informatiques ou encore de contrôles hiérarchiques. En tout état de cause, les activités de contrôle doivent être déterminées en fonction de la nature des objectifs auxquels elles se rapportent et être proportionnées aux enjeux de chaque processus. Dans ce cadre, une attention toute particulière devrait être portée aux contrôles des processus de construction et de fonctionnement des systèmes d’information, dans leurs dimensions tant organisationnelles, qu’humaines ou techniques. 5) Une surveillance permanente portant sur le dispositif de contrôle interne ainsi qu’un examen régulier de son fonctionnement Comme tout système, le dispositif de contrôle interne doit faire l’objet d’une surveillance permanente. Il s’agit de vérifier sa pertinence et son adéquation aux objectifs de la société.
Mis en ligne le 22 juillet 2010 11/36
Mise en œuvre par le management sous le pilotage de la direction générale ou du directoire, cette surveillance prend notamment en compte l’analyse des principaux incidents constatés, le résultat des contrôles réalisés ainsi que des travaux effectués par l’audit interne, lorsqu’il existe. Cette surveillance s’appuie notamment sur les remarques formulées par les commissaires aux comptes et par les éventuelles instances réglementaires de supervision. La surveillance peut utilement être complétée par une veille active sur les meilleures pratiques en matière de contrôle interne. Surveillance et veille conduisent, si nécessaire, à la mise en œuvre d’actions correctives et à l’adaptation du dispositif de contrôle interne. La direction générale ou le directoire apprécient les conditions dans lesquelles ils informent le conseil des principaux résultats des surveillances et examens ainsi exercés. 4. Périmètre de la gestion des risques et du contrôle interne Il appartient à chaque société de mettre en place des dispositifs de gestion des risques et de contrôle interne adaptés à sa situation. Dans le cadre d’un groupe, la société mère veille à l’existence de dispositifs de gestion des risques et de contrôle interne au sein de ses filiales. Ces dispositifs devraient être adaptés à leurs caractéristiques propres et aux relations entre la société mère et les filiales. Pour les participations significatives, dans lesquelles la société mère exerce une influence notable, il appartient à cette dernière d’apprécier la possibilité de prendre connaissance et d’examiner les mesures prises par les sociétés dans lesquelles sont détenues ses participations en matière de gestion des risques et de contrôle interne. 5. Acteurs de la gestion des risques et du contrôle interne La gestion des risques et du contrôle interne est l’affaire de tous, des organes de gouvernance à l’ensemble des collaborateurs de la société.
a) La direction générale ou le directoire
La direction générale, qu’elle agisse directement ou que ses services agissent par délégation, est responsable de la qualité des systèmes de contrôle interne et de gestion des risques. Il lui incombe ainsi de concevoir et mettre en œuvre les systèmes de contrôle interne et de gestion des risques adaptés à la taille de la société, à son activité et à son organisation, et notamment de définir les rôles et responsabilités à cet égard dans la société. La direction générale procède à une surveillance continue des systèmes de contrôle interne et de gestion des risques dans l’objectif, d’une part d’en préserver l’intégrité, et d’autre part, de les améliorer, notamment en les adaptant aux changements d’organisation et d’environnement. Elle initie toute action corrective qui s’avère nécessaire pour corriger les dysfonctionnements identifiés et rester dans le périmètre de risques acceptés. Elle veille à ce que ces actions soient menées à bien. La direction générale s’assure que les informations appropriées sont communiquées en temps voulu au conseil d’administration ou de surveillance et au comité d’audit.
b) Le conseil d’administration ou de surveillance
Le niveau d’implication du conseil en matière de contrôle interne et de gestion des risques varie d’une société à l’autre. Toutefois, l’art. L 225-100 du code de commerce fait obligation au conseil d’administration de rendre compte des risques dans son rapport de gestion, qui doit notamment comporter : Une description des principaux risques et incertitudes auxquels la société est confrontée Une description des principaux risques et incertitudes auxquels les entreprises comprises dans la
consolidation sont confrontées
Mis en ligne le 22 juillet 2010 12/36
Des indications sur l’utilisation des instruments financiers par l’entreprise. Ces indications portent sur les objectifs et la politique de la société en matière de gestion des risques financiers. Elles portent également sur l’exposition de la société aux risques de prix, de crédit, de liquidité et de trésorerie.
En pratique, le conseil prend connaissance des caractéristiques essentielles des dispositifs de contrôle interne et de gestion des risques retenus et mis en œuvre par la direction générale pour gérer les risques : l’organisation, les rôles et les fonctions des principaux acteurs, la démarche, la structure de reporting des risques et de suivi du fonctionnement des dispositifs de contrôle. Il acquiert notamment une compréhension globale des procédures relatives à l’élaboration et au traitement de l’information comptable et financière. Sur le fond, le conseil veille à ce que les risques majeurs identifiés qui sont encourus par la société soient adossés à ses stratégies et à ses objectifs, et que ces risques majeurs soient pris en compte dans la gestion de la société. C’est dans ce cadre que le conseil est informé périodiquement des résultats du fonctionnement des systèmes, des principales défaillances constatées au cours de la période écoulée et des plans d’actions arrêtés par la direction générale. En particulier, le conseil vérifie auprès de la direction générale que le dispositif de pilotage et des systèmes de contrôle interne et de gestion des risques est de nature à assurer la fiabilité de l’information financière par la société et à donner une image fidèle des résultats et de la situation financière de la société et du groupe. En tant que de besoin, le conseil peut faire usage de ses pouvoirs généraux pour faire procéder aux contrôles et vérifications qu’il juge opportuns ou prendre toute autre initiative qu’il estimerait appropriée en la matière.
c) Le comité d’audit
Le rôle et les missions du comité d’audit sont détaillés dans le document « Le Comité d’audit : rapport du groupe de travail ».
d) Le gestionnaire des risques
Lorsqu’il existe, le gestionnaire des risques, ou la personne en charge de la gestion des risques, est responsable du déploiement et de la mise en œuvre du processus global de gestion des risques tel que défini par la direction générale. A ce titre il met en place un dispositif structuré, permanent et adaptable visant à l’identification, à l’analyse et au traitement des principaux risques. Il anime le dispositif de gestion des risques et apporte un support méthodologique aux directions opérationnelles et fonctionnelles de l’entreprise.
e) L’audit Interne
Lorsqu’il existe, le service d’audit interne a la responsabilité, dans le champ couvert par ses missions, d’évaluer le fonctionnement des dispositifs de gestion des risques et de contrôle interne, d’en effectuer une surveillance régulière et de faire toute préconisation pour l’améliorer. Il contribue à sensibiliser et former l’encadrement au contrôle interne mais n’est pas directement impliqué dans la mise en place et la mise en œuvre quotidienne du dispositif. Dans le cadre de son plan de travail approuvé par la direction générale, il examine la conformité aux lois et règlements, s’assure de l’application effective des instructions de la direction générale et vérifie le bon fonctionnement des processus internes de la société, relatifs notamment à la fiabilité des filières de remontées d’information et aux systèmes d’information.
Mis en ligne le 22 juillet 2010 13/36
Le responsable de l’audit interne établit son plan de travail en tenant compte des principaux risques de la société et rend compte à la direction générale et, selon des modalités déterminées par chaque société, aux organes sociaux, des résultats significatifs de la surveillance exercée.
f) Le personnel de la société Le management de chaque entité s’assure de l’application de la politique de l’entreprise en matière de maîtrise des risques liés à l’activité dont il a la charge et veille à ce que l’exposition à ces risques soit conforme à la politique de gestion des risques définie par la direction générale. La gestion de risques est la traduction opérationnelle du dispositif de pilotage des risques : c’est la mise en œuvre du dispositif d’identification, d’analyse et de traitement des risques, au niveau des activités, par les responsables des directions et des grandes fonctions et par l’ensemble des collaborateurs. Chaque collaborateur concerné devrait avoir la connaissance et l’information nécessaires pour établir, faire fonctionner et surveiller les dispositifs de gestion des risques et de contrôle interne, au regard des objectifs qui lui ont été assignés. C’est en particulier le cas des responsables opérationnels en prise directe avec les dispositifs de gestion des risques et de contrôle interne mais aussi des contrôleurs internes. 6. Rôle des Commissaires aux comptes Les commissaires aux comptes ne sont pas, dans le cadre de leur mission légale, partie prenante des dispositifs de contrôle interne et de gestion des risques. Ils en prennent connaissance, s’appuient sur les travaux de l’audit interne, lorsqu’il existe, pour en obtenir une meilleure appréhension et se font en toute indépendance une opinion sur leur pertinence. Ils certifient les comptes et, dans ce cadre, peuvent identifier au cours de l’exercice des risques significatifs et des faiblesses majeures de contrôle interne susceptibles d’avoir une incidence significative sur l’information comptable et financière. Ils présentent leurs observations sur le rapport du président, pour celles des procédures de contrôle interne qui sont relatives à l’élaboration et au traitement de l’information comptable et financière, et attestent l’établissement des autres informations requises par la loi. 7. Limites de la gestion des risques et du contrôle interne Les dispositifs de gestion des risques et de contrôle interne aussi bien conçus et aussi bien appliqués soient-ils, ne peuvent fournir une garantie absolue quant à la réalisation des objectifs de la société. La probabilité d’atteindre ces objectifs ne relève pas de la seule volonté de la société. Il existe en effet des limites inhérentes à tout système et processus. Ces limites résultent de nombreux facteurs, notamment des incertitudes du monde extérieur, de l’exercice de la faculté de jugement ou de dysfonctionnements pouvant survenir en raison de défaillances techniques ou humaines ou de simples erreurs. Le choix de traitement d’un risque s’effectue notamment en arbitrant entre les opportunités à saisir et le coût des mesures de traitement du risque, prenant en compte leurs effets possibles sur l’occurrence et/ou les conséquences du risque, ceci afin de ne pas entreprendre des actions inutilement coûteuses.
Mis en ligne le 22 juillet 2010 14/36
III. QUESTIONNAIRES RELATIFS AUX PRINCIPES GENERAUX Les questionnaires complètent utilement le document général issu du cadre de référence. Compte tenu des spécificités de chaque société, leur présentation ne sous-entend nullement que les questions qui y figurent doivent toutes être prises en compte lors de l’examen des dispositifs de gestion des risques et de contrôle interne, que tous les éléments mentionnés doivent être présents ou que leur absence doive être expliquée. 1. Questionnaire relatif à la gestion des risques Il est précisé que, lorsque le conseil s’est doté d’un comité d’audit, le rôle attribué au conseil dans les questions suivantes peut, tout aussi bien, être exercé par le comité d’audit. Cadre organisationnel de la gestion des risques La société a-t-elle défini des objectifs en matière de gestion des risques ? Les responsabilités en matière de gestion des risques sont-elles définies et communiquées aux personnes
concernées? Le responsable de la gestion des risques dispose-t-il des qualifications suffisantes, de l’appui et de la
confiance des dirigeants pour exercer ses missions auprès des responsables opérationnels et fonctionnels ? Une politique et des procédures de gestion des principaux risques ont-elles été définies, validées par la
Direction et mises en place dans la société ? Des limites de risques acceptables (tolérance au risque) par la société ont elles été, le cas échéant, définies
par la direction générale, et partagées ? La société dispose-t-elle d’un « langage commun » en matière de risques (typologie homogène, critères de
recensement, d’analyse et de suivi, …) ? La société a-t-elle identifié les obligations légales et réglementaires applicables en matière de communication
sur les risques ? La société communique-t-elle en interne aux personnes intéressées :
o Sur ses facteurs de risques ? o Sur les dispositifs de gestion des risques ? o Sur les actions en cours et les personnes qui en ont la charge ?
Identification des risques Existe-t-il un processus d’identification des risques menaçant les objectifs de la société? Une organisation
adéquate a-t-elle été mise en place à cet effet ? Les opportunités potentiellement manquées sont-elles également prises en compte ? Des dispositifs sont-ils mis en place pour identifier les principaux risques pouvant affecter le processus
d’établissement des comptes ? La corrélation des risques pouvant se réaliser en cascade est-elle prise en compte ? Analyse des risques Pour les principaux risques identifiés, la société réalise-t-elle une analyse des conséquences possibles
(chiffrées ou non, financière ou non financière), de l’occurrence et du degré de maîtrise estimé ? Les expériences passées de la société (ou d’acteurs comparables) en matière de risques sont-elles prises en
considération ? Plusieurs fonctions de la société sont-elles parties prenantes dans l’analyse des conséquences et de
l’occurrence possibles ? L’analyse des risques est-elle partagée par la direction générale et le management de la société avec les
personnes intéressées ? L’analyse des risques tient-elle compte des évolutions internes ou externes à la société ?
Mis en ligne le 22 juillet 2010 15/36
Traitement des principaux risques Les risques dépassant les limites acceptables définies par la société, s’il en est, sont-ils traités en priorité ?
Un niveau de risque résiduel est-il défini ? Les risques majeurs donnent- ils lieu à des actions spécifiques ? La responsabilité de ces actions est-elle
définie ? Le cas échéant, la mise en œuvre de ces actions est-elle suivie ? La société a-t-elle mis en place un plan de gestion de crise ? Surveillance et revue de la gestion des risques La direction reçoit-elle une information sur les caractéristiques essentielles des actions engagées pour gérer
les principaux risques de la société (nature des actions engagées ou des couvertures en place, assurances, exclusions, montants des garanties, …) ?
Des moyens spécifiques sont-ils consacrés à la mise en œuvre et à la surveillance des procédures de gestion des risques ?
Existe-t-il un mécanisme permettant, si nécessaire, d’adapter les procédures de gestion des risques à une évolution des risques, de l’environnement externe, des objectifs ou de l’activité de la société ?
Existe-t-il un dispositif permettant d’identifier les principales faiblesses du dispositif de gestion des risques mis en place par la société, et de les corriger ?
Le conseil d’administration ou le conseil de surveillance, selon le cas, a-t-il été informé des grandes lignes de la politique de gestion des risques ? Est-il régulièrement informé des principaux risques identifiés, des caractéristiques essentielles du dispositif de gestion des risques, notamment des moyens mis en œuvre et des actions d’amélioration en cours ?
Communication financière et comptable Existe-t-il un échéancier récapitulant les obligations périodiques du groupe en matière de communication
comptable et financière au marché ? Cet échéancier précise-t-il : o la nature et l’échéance de chaque obligation périodique, o les personnes responsables de leur établissement.
Existe-t-il des responsables et des procédures aux fins d’identifier et de traiter les obligations d’information du marché ?
Existe-t-il une procédure prévoyant le contrôle des informations avant leur diffusion ? 2. Questionnaire relatif au contrôle interne comptable et financier Rôle des organes de gouvernance4 Il est précisé que, lorsque le conseil s’est doté d’un comité d’audit, le rôle attribué au conseil dans les questions suivantes peut, tout aussi bien, être exercé par le comité d’audit. Les principes comptables retenus qui ont un impact significatif sur la présentation des états financiers de la
société ont-ils été formellement validés par la direction générale, revus par les commissaires aux comptes et portés à la connaissance du conseil d’administration ou de surveillance ?
Pour les arrêtés correspondant à des comptes publiés, les principales options comptables ainsi que les choix effectués ont-ils été expliqués et justifiés par la direction générale au conseil, et revus par les commissaires aux comptes ?
Existe-t-il un processus de validation des changements de principes comptables envisagés prenant en considération l’économie des opérations ? Ce processus prévoit-il en particulier une consultation des commissaires aux comptes et une information du Conseil ?
Le conseil reçoit-il l’assurance des commissaires aux comptes qu’ils ont accès à l’ensemble des informations nécessaires à l’exercice de leurs responsabilités, notamment s’agissant des filiales consolidées ?
Le conseil reçoit-il l’assurance des commissaires aux comptes qu’ils ont suffisamment avancé leurs travaux au moment de l’arrêté des comptes pour être en mesure de communiquer toutes remarques significatives ?
4 Par organes de gouvernance, on entend, dans le cadre de ce questionnaire le conseil d’administration ou le conseil de surveillance.
Mis en ligne le 22 juillet 2010 16/36
La formation du résultat, la présentation du bilan, de la situation financière et des annexes, ont-elles été expliquées au conseil, à chaque arrêté de comptes publiés ?
Le conseil a-t-il été informé de l’existence d’un contrôle de gestion dont les données sont périodiquement rapprochées de l’information financière publiée ?
Le conseil a-t-il été régulièrement informé par le management du suivi de la trésorerie, notamment dans le cas de situations de tensions importantes ?
Les restrictions éventuelles quant aux flux de trésorerie au sein du groupe (clauses particulières ou pourcentage de détention dans la filiale) sont elles clairement précisées au conseil ?
Organisation comptable et financière La fonction comptable et financière a-t-elle, pour le périmètre couvert par les comptes, accès aux
informations nécessaires à leur élaboration ? Existe-t-il un manuel de principes comptables groupe, précisant le traitement comptable des opérations les
plus importantes ? En cas de publication de comptes établis suivant plusieurs référentiels comptables pour un même niveau
(individuel ou consolidé), existe-t-il des procédures pour expliquer les principaux retraitements ? Existe-t-il un manuel de procédures comptables et des instructions décrivant les répartitions des
responsabilités d’exécution ou de contrôle au regard des tâches comptables, ainsi que les calendriers à respecter ? Dans le cadre de la préparation des comptes consolidés, existe-t-il des procédures de diffusion visant à assurer leur prise en compte par les filiales ?
Les responsables de l’établissement des comptes et de l’information financière ainsi que les différents acteurs qui participent à l’arrêté des comptes sont-ils identifiés ?
Existe-t-il un processus visant à identifier les ressources nécessaires au bon fonctionnement de la fonction comptable ? Prend-il en considération les évolutions prévisibles ?
Système d’information Les procédures et les systèmes d’information sont-ils développés avec pour objectif de satisfaire aux
exigences de fiabilité, de disponibilité et de pertinence de l’information comptable et financière ? Les rôles et responsabilités des acteurs ont-ils été définis ?
Les fonctions opérationnelles sont-elles correctement impliquées dans la définition de nouveaux outils informatiques ? Avant, pendant et après le projet ?
Les relations avec les prestataires informatiques sont-elles contractualisées ? Des indicateurs de performance et de qualité sont-ils définis et font-ils l’objet de revue périodique ? Le degré de dépendance de la société vis-à-vis de prestataires informatiques est-il analysé ? Des vérifications chez les prestataires par la société sont-elles prévues contractuellement et réalisées ?
Les systèmes d’information relatifs à l’information financière et comptable font-ils l’objet d’adaptations pour évoluer avec les besoins de la société ? Une gestion des demandes et des incidents est-elle mise en œuvre ?
Existe-t-il des indicateurs permettant de mesurer la qualité de service (par exemple : rejets des données, temps de réponse anormaux, rupture de service…) ? L’analyse et la mise en place d’actions correctives sont-elles envisagées ?
Les autorisations et droits d’accès aux systèmes ainsi que les environnements hébergeant ces systèmes prennent-ils suffisamment en compte la séparation des tâches ?
Des principes de sécurité d’utilisation sont-ils établis et communiqués (ex : gestion des mots de passe, transferts de données, accès à internet…) ? Des principes de sécurité physique sont-ils définis et communiqués ? Des principes de sécurité logique sont-ils définis et communiqués ? Les accès aux données et programmes sont-ils sécurisés par profil d’utilisateur ? Une traçabilité des transactions est-elle possible, analysée, vérifiée ? Un dispositif de protection anti-virus, contre les attaques et les intrusions externes est-il envisagé ?
Des dispositifs de sauvegarde des données sont-ils en place ? Font-ils l’objet de tests périodiques ? Des mesures de continuité de service sont-elles mises en place en lien avec les besoins métiers ? Font-elles
l’objet de tests périodiques ? Les obligations de conservation des informations, données et traitements informatiques concourant
directement ou indirectement à la formation des états comptables et financiers sont-elles respectées ?
Mis en ligne le 22 juillet 2010 17/36
Activité de contrôle Existe-t-il des contrôles réguliers et/ou inopinés pour s’assurer que le manuel des principes comptables et le
manuel de procédures comptables sont suivis dans la pratique ? Existe-t-il des procédures pour identifier et résoudre des problèmes comptables nouveaux, non prévus, le
cas échéant, dans le manuel de principes comptables et/ou dans le manuel de procédures comptables ? L’activité de contrôle interne comptable et financier comporte-t-elle des procédures pour assurer la
préservation des actifs (risque de négligences, d’erreurs et de fraudes internes et externes) ? Le dispositif de contrôle interne comptable et financier comporte-t-il des contrôles spécifiques aux points qui
seraient identifiés comme sensibles concernant des aspects comptables, par exemple inscription à l’actif, constatation des produits, spécialisation des périodes comptables, valorisation des stocks…) ?
Les procédures d’arrêté des comptes du groupe sont-elles applicables dans toutes les composantes du périmètre de consolidation ? S’il existe des exceptions, y a- t- il des procédures adéquates pour les traiter ?
Mis en ligne le 22 juillet 2010 18/36
IV - GUIDE D’APPLICATION RELATIF A LA GESTION DES RISQUES ET AU CONTROLE INTERNE CONCERNANT L’INFORMATION COMPTABLE ET FINANCIERE PUBLIEE PAR LES EMETTEURS Introduction Préambule Cette partie constitue un guide d’application des principes généraux de contrôle interne et de gestion des risques pour les procédures de contrôle interne et de gestion des risques relatives à l’élaboration et au traitement de l’information financière et comptable publiée. Ce guide d’application, qui n'a pas un caractère obligatoire ou normatif, constitue un outil de compréhension et d’amélioration des systèmes de contrôle interne et de gestion des risques comptables et financiers susceptibles d’être consultés et utilisés par le management (direction générale, directoire, direction financière, …) et les organes délibérants (conseil d’administration et conseil de surveillance). Il vise à permettre aux sociétés ou entités qui le souhaiteraient, en particulier les sociétés dont les titres sont admis aux négociations sur un marché réglementé, de procéder par comparaison à une analyse interne de leurs procédures de contrôle interne et de gestion des risques dans ce domaine. Ce guide d’application comporte des principes et des points clés d’analyse applicables à l’ensemble des secteurs d’activités, à l’exception de ceux auxquels s’appliquent des règles spécifiques, notamment le secteur bancaire et le secteur des assurances. Compte tenu des spécificités de chaque société, et du fait que les dispositifs de contrôle interne et de gestion des risques doivent rester flexibles et adaptés à l’organisation mise en place, la présentation de ces points ne prétend pas non plus à une couverture exhaustive de la matière. En outre, elle ne sous-entend nullement qu’ils sont tous applicables, doivent tous être présents ou que leur absence éventuelle doive être expliquée. Enfin, l’existence d’écarts possibles, dans une société, par rapport à ces principes ne traduit pas nécessairement une faiblesse du contrôle interne comptable et financier ou une faiblesse dans le dispositif de gestion des risques. L’approche a été centrée sur les éléments concourant à l’élaboration et au traitement de l’information comptable et financière publiée. Environnement de contrôle Les dispositifs de contrôle interne et de gestion des risques comptables et financiers ne sauraient se limiter à un ensemble de manuels de procédures et de documents. Son organisation et sa mise en œuvre reposent sur la sensibilisation et l’implication des personnes concernées. L’environnement de contrôle comprend ainsi les comportements des acteurs de la gestion des risques et du contrôle interne comptables et financiers. Dans ce cadre, la considération relative à l’éthique, à l’intégrité et à la recherche de compétence des acteurs apparaît essentielle dans les domaines plus spécifiques de la gestion des risques et du contrôle interne comptables et financiers. Processus comptables Les processus comptables, au cœur du contrôle interne comptable et financier, représentent un ensemble homogène d’activités permettant de transformer des opérations économiques (les événements élémentaires correspondant à tous les actes de la vie de la société) en informations comptables et financières grâce au passage par la « mécanique comptable » (langage et règles du jeu comptables). Ils incluent un système de production comptable, d’arrêté des comptes et des actions de communication. Le schéma ci après permet de constater que les processus qui concourent à la production de l’information ne sont pas uniquement situés dans le « périmètre traditionnel » de la direction comptable et financière. .
Mis en ligne le 22 juillet 2010 19/36
Les processus comptables, présentés dans ce guide d’application, existent dans toutes les sociétés. Cependant, l’approche adoptée ici est volontairement indépendante des modes d’organisation, comme: le caractère intégré ou non des systèmes d’information (ERP par exemple) ; la centralisation, la décentralisation ou l’externalisation des activités comptables ; l’identification des fonctions et des acteurs. Plan du guide d’application Les « processus comptables » qui donnent lieu à un développement dans ce guide d’application s'analysent schématiquement en trois grands groupes : Les risques liés à l’organisation et l’information comptable et financière et les objectifs de contrôles
recherchés pour les maîtriser ; les processus de pilotage de l’organisation comptable et financière ; les processus concourant à l’élaboration de l’information comptable et financière publiée. Au sein de ceux-ci
on distingue : o les processus amont (achats, ventes, trésorerie, etc…) qui permettent d’alimenter la base de données
comptables et les processus de production de l’information comptable et financière ; o les processus d’arrêté comptable et de communication financière.
Cette partie présente les éléments de la gestion des risques et du contrôle interne comptables et financiers permettant d’assurer une maîtrise de ces trois familles de processus.
Mis en ligne le 22 juillet 2010 20/36
1. Les risques liés à l’organisation et à l’information comptable et financière La qualité de l’information comptable et financière publiée dépend en grande partie de la fiabilité et de la régularité de la transmission et de l’exhaustivité de l’information élaborée dans les « processus amont », de production comptable et d’arrêté des comptes, et donc de la maîtrise des risques pouvant affecter ces processus. Par ailleurs, certaines catégories de risques peuvent avoir un impact direct ou indirect à plus ou moins court terme sur l’information comptable et financière. Chaque point ou étape clé d’analyse décrit dans les chapitres « Processus de pilotage de l’organisation comptable et financière », et « Processus concourant à l’élaboration de l’information comptable et financière publiée» devra donc être appréhendé au regard des défaillances ou insuffisances qu'il peut engendrer, qui correspondra alors à une source potentielle de risque qu'il conviendra de traiter. 2. Les objectifs de contrôle La qualité de l’information comptable et financière dépend notamment de critères dont le respect devrait être recherché, de telle sorte que l’information contenue dans les états financiers soit régulière et sincère. Ces critères, détaillés ci-après, sont repris de l’arrêté du 19 juillet 2006 portant homologation de norme d’exercice professionnel des commissaires aux comptes relative au caractère probant des éléments collectés. Processus amont et de production comptable 1. Réalité : les opérations et les événements qui ont été enregistrés se sont produits et se rapportent à l'entité ; 2. Exhaustivité : toutes les opérations et tous les événements qui auraient dû être enregistrés sont enregistrés; 3. Mesure : les montants et autres données relatives aux opérations et événements ont été correctement
enregistrés; 4. Séparation des exercices : les opérations et les événements ont été enregistrés dans la bonne période ; 5. Classification : les opérations et les événements ont été enregistrés dans les comptes adéquats. Processus d’arrêté des comptes 1. Existence : les actifs et passifs existent; 2. Droits et Obligations : l'entité détient et contrôle les droits sur les actifs, et les dettes correspondent aux
obligations de l'entité ; 3. Exhaustivité : tous les actifs et passifs qui auraient dû être enregistrés l’ont bien été ; 4. Évaluation et imputation : les actifs et les passifs sont inscrits dans les comptes pour des montants
appropriés et tous les ajustements résultant de leur évaluation ou imputation sont correctement enregistrés ; 5. Présentation et intelligibilité : l'information financière est présentée et décrite de manière appropriée, et les
informations données dans l'annexe des comptes sont clairement présentées. 6. Réalité/Droits et obligations: les événements, les transactions et les autres éléments fournis se sont produits
et se rapportent à l'entité ; 7. Exhaustivité : toutes les informations relatives à l’annexe des comptes requises par le référentiel comptable
ont été fournies ; 8. Présentation et intelligibilité : l’information financière est présentée et décrite de manière appropriée et les
informations données dans l’annexe des comptes sont clairement présentées ; 9. Mesure et évaluation : les informations financières et les autres informations sont données fidèlement et pour
les bons montants. 3. Processus de pilotage de l’organisation comptable et financière Les processus de pilotage de l’organisation comptable et financière ont pour objectifs de définir et de mettre en œuvre la politique comptable, la gestion des moyens et la maîtrise des contraintes permettant de répondre aux objectifs de la direction générale. Le pilotage de l’organisation comptable et financière s’appuie sur des principes et points clés d’analyse détaillés ci-après. Ce pilotage est assuré par les directions comptables et financières et par la direction générale. 3.1. Principes et points clés d’analyse Afin d’assurer une cohérence d’ensemble au niveau de ce processus, il convient de veiller à ce que :
Mis en ligne le 22 juillet 2010 21/36
la séparation des fonctions soit conçue de façon à permettre un contrôle indépendant. Cette séparation des fonctions, adaptée à la situation de la société, doit s’efforcer de dissocier les tâches et fonctions relevant de l’opérationnel, de la protection des biens et de leur enregistrement comptable ;
les noms des personnes pouvant engager la société et les différents niveaux d’approbation requis selon le type d’engagement sont définis et mis à la disposition des personnes chargées de l’enregistrement afin de leur permettre de s’assurer que les opérations ont été correctement approuvées.
Dans le cadre de l’établissement des comptes consolidés, il convient de vérifier qu’il existe un dispositif organisé et documenté destiné à assurer l’homogénéité des données comptables et financières consolidées publiées. 3.1.1. Organisation générale Il existe une documentation, permettant de fixer et de faire connaître, au sein de la société, les principes de
comptabilisation et de contrôle des opérations et de leurs flux. Il existe des circuits d’information visant :
o l’exhaustivité de la capture des événements économiques pour chaque processus amont (achats, ventes, personnel, juridique, engagements, événements post clôture…) ;
o une centralisation rapide et régulière des données vers la comptabilité ; o une homogénéisation des données comptables.
Il existe des contrôles portant sur la mise en œuvre de ces circuits d'information. Il existe un calendrier d’élaboration des informations comptables et financières diffusées au sein du groupe
pour les besoins des comptes publiés de la société mère. Les responsables de l’établissement de l’information comptable et financière publiée et les différents acteurs
qui participent à l’arrêté des comptes sont clairement identifiés. Chaque collaborateur impliqué dans le processus d’élaboration de l’information comptable et financière a
accès à l’information nécessaire pour appliquer, faire fonctionner et/ou surveiller le dispositif de contrôle interne.
La direction met en place une organisation chargée de s’assurer que les contrôles sont appliqués. La direction comptable dispose d'une autorité lui permettant de faire valoir la règle comptable. Il existe des procédures pour vérifier si les contrôles mis en place ont été effectués, identifier les éventuels
écarts par rapport à la règle et y remédier si nécessaire. 3.1.2. Gestion des ressources humaines Il existe un processus visant à identifier les ressources nécessaires au bon fonctionnement de la fonction
comptable. Il existe un suivi permettant d’adapter les effectifs et les compétences à la taille et à la complexité des
opérations ainsi qu’à l’évolution des besoins et contraintes. 3.1.3. Application des règles comptables Un manuel de principes/procédures comptables précise les concepts comptables utilisés au sein du groupe
et identifie le traitement des opérations les plus importantes et les traitements comptables complexes propres au secteur d’activité ou au groupe.
Il existe une procédure de mise à jour du manuel de principes et/ou de procédures comptables pour prendre en compte les sujets comptables complexes nouveaux.
En cas de publication de comptes établis suivant plusieurs référentiels comptables pour un même niveau (individuel ou consolidé), il existe des procédures pour expliquer les principaux retraitements.
L’information nécessaire à la consolidation est produite à l’endroit le plus adapté (au sein du groupe). Il existe une veille réglementaire permettant d’appréhender et d’anticiper les évolutions de l’environnement
de la société (maîtrise des différents référentiels comptables et des divergences entre ceux-ci, évolution de la doctrine comptable et de la fiscalité. Le cas échéant, recours à des spécialistes).
3.1.4. Maîtrise des règles comptables Le processus de traitement et de production comptable et financière au niveau consolidé et dans les filiales
(planning de clôture, ajustement des comptes sociaux,…) est maîtrisé. Il existe des règles de conduite et d’intégrité portant sur les problématiques de nature comptable. Des contrôles réguliers sont organisés pour s’assurer que le manuel des principes comptables et le manuel
de procédures comptables sont suivis.
Mis en ligne le 22 juillet 2010 22/36
Il existe des contrôles spécifiques sur les points qui seraient identifiés comme sensibles concernant des aspects comptables, par exemple inscription à l’actif, constatation des produits, spécialisation des périodes comptables, valorisation des stocks…).
Des mécanismes sont prévus afin d’identifier, remonter et traiter systématiquement les incidents et les anomalies.
3.1.5. Organisation et sécurité des systèmes d’information Il existe un processus visant à identifier les ressources informatiques (logiciels, serveurs, équipements réseaux, postes de travail…) nécessaires au bon fonctionnement des systèmes. Les processus suivants mettent sous contrôle les composantes de l’outil de production de l’information comptable: la tenue de la comptabilité au moyen de systèmes informatisés implique qu’une organisation claire et
formalisée soit établie tant aux niveaux des équipes que des environnements informatiques, prenant en compte les principes de séparation des tâches tant au niveau des équipes informatiques que des fonctions métiers liées (maîtrise d’ouvrage par exemple) ; en particulier : o les rôles et responsabilités des différentes parties de l’organisation ont été définis, formalisés et
communiquées ; o les opérationnels sont impliqués dans la définition, la conception et la validation des nouveaux outils ; o les compétences des équipes informatiques sont suivies régulièrement ; o le degré de dépendance vis-à-vis des prestataires informatiques (éditeur, intégrateur, externalisation…)
est analysé et surveillé : - des contrats de service sont formalisés et incluent notamment les rôles et responsabilités des
différents acteurs, des clauses de confidentialité et des indicateurs de qualité de service ; - la revue de la prestation et des indicateurs de qualité de service en particulier est réalisée
périodiquement ; - des vérifications contractuelles couvrant notamment le respect des bonnes pratiques (notamment en
terme de contrôle interne) sont prévues et réalisées par la société chez le prestataire (par exemple SAS70) ;
o des procédures de gestion des demandes et des incidents sont mises en place et incluent des procédures d’escalade ;
o il existe une séparation des environnements de développement et de production.
l’organisation et le fonctionnement de l’ensemble du système d’information font l’objet de règles précises en matière d’accès au système, de validation des traitements et de procédure de clôture, de conservation des données, et de vérifications des enregistrements. Les autorisations et droits d’accès prennent en compte la séparation des tâches et font l’objet d’une revue périodique.
les systèmes d’information ont été développés avec pour objectif de satisfaire aux exigences de sécurité, de fiabilité, de disponibilité et de pertinence de l’information comptable et financière. les enjeux du contrôle interne ont été intégrés dès la conception des systèmes : o il existe notamment des contrôles clés dans le système d’information (blocage des doubles saisies,
existence de seuils à la saisie, accès limités pour les transactions critiques, rapprochements automatisés,…) ;
o les profils d’accès prennent en compte la séparation des tâches. o il existe des procédures et des contrôles permettant d’assurer la qualité et la sécurité de l’exploitation, de
la maintenance et du développement (ou du paramétrage) des systèmes de comptabilité et de gestion5 ainsi que des systèmes alimentant directement ou indirectement les systèmes comptables et de gestion.
Il existe des dispositifs destinés à assurer la sécurité physique et logique des systèmes et données informatiques : o une communication des principes de sécurité aux utilisateurs est organisée (gestion des mots de passe,
accès internet, messagerie, transferts de données …) ; o les locaux hébergeant les systèmes font l’objet d’une supervision continue, de tests et d’inspections
périodiques ; o l’accès aux locaux hébergeant les systèmes est sécurisé et fait l’objet de revues périodiques ;
5 Systèmes de gestion, pour les éléments concourant, en l'espèce, à l'élaboration et au traitement d'informations financières et comptables publiées.
Mis en ligne le 22 juillet 2010 23/36
o un dispositif relatif à la sécurité logique existe permettant notamment de sécuriser les données et les accès à des profils d’utilisateurs, de tracer les transactions informatiques, de disposer d’un anti-virus et d’un système de protection contre les attaques et les intrusions…
o des procédures de backup des données ont été mises en place. Il existe des mesures visant à assurer la continuité de service, notamment :
o un plan de secours informatique a été formalisé ; o des tests périodiques du plan de secours informatique sont réalisés ; les éventuelles anomalies donnent
lieu à des plans d’actions. la société est en mesure de répondre aux obligations spécifiques de l’administration fiscale :
o conservation des données traitées par des applications informatiques qui concourent à la constitution d’enregistrements comptables ou à la justification d’un évènement transcrit dans les documents contrôlés par l’administration fiscale ;
o documentation : il existe une description des règles de gestion des données et des fichiers, pour celles qui sont mises en œuvre dans les programmes informatiques ayant des incidences sur la formation des résultats comptables et fiscaux et sur les déclarations fiscales.
3.2. Missions de la direction générale 3.2.1. Organisation, compétences et moyens La direction générale veille à l’existence d’un dispositif de gestion des risques et d’un dispositif de contrôle interne comptable et financier et en organise la surveillance. A cette fin, la direction générale s’assure que les dispositifs abordent les points suivants : l’organisation et le périmètre de responsabilité des fonctions comptable et financière afin que le groupe soit
doté de dispositifs d’identification des risques et de contrôle propres à assurer la fiabilité de l’information comptable et financière publiée par la société mère ;
la compatibilité des dispositifs de motivation et de rémunération au sein des fonctions comptable et financière avec les objectifs du contrôle interne et de gestion des risques ;
la formalisation et la diffusion de règles comptables et de procédures (manuels des normes et de procédures) ;
les obligations de conservation des informations, données et traitements informatiques concourant directement ou indirectement à la formation des états comptables et financiers ;
l’existence de mesures visant à assurer la conservation et la sécurité des informations, données et traitements informatiques concourant directement ou indirectement à la formation des états comptables financiers (plans de continuité en particulier dans le domaine informatique, archivage permettant de répondre aux obligations réglementaires, etc.) ;
l’examen régulier de l’adéquation aux besoins des dispositifs évoqués ci-dessus et des moyens mis à disposition des fonctions comptable et financière (en personnel, en outils par exemple informatiques…).
3.2.2. Pilotage et contrôle La direction générale s’assure de la mise en place d’un dispositif de pilotage visant à analyser et maîtriser les principaux risques ayant un impact potentiel sur l’élaboration de l’information comptable et financière publiée par la société. En particulier, elle s’assure que les normes et procédures diffusées au sein de la société tiennent compte de
l’évolution des besoins du groupe et de son environnement (notamment réglementaire). A ce titre, la direction générale veille à l’existence d’un processus adapté d’identification, de justification et de validation des changements de principes comptables.
Elle veille à la définition et s’assure de la mise en place d’un dispositif de contrôle de gestion répondant aux besoins de fiabilité de l’information comptable et financière publiée, à savoir : o la direction générale s’assure, en tant que de besoin, que le système d’information non comptable
éventuellement utilisé à des fins de pilotage des activités fait l’objet de rapprochement avec le système d’information comptable ;
o elle s’assure également de la qualité des prévisions publiées ou utilisées dans le cadre des appréciations de valeur d’actifs et de dettes ou pour toute autre information comptable et financière publiée.
Ceci suppose que le dispositif de contrôle de gestion soit organisé de façon à permettre l’adéquation à ces besoins et la qualité de ces informations et prévisions (adéquation du rythme de mise à jour des
Mis en ligne le 22 juillet 2010 24/36
informations, des indicateurs et informations contrôlées, qualité des analyses de variances ainsi que du processus budgétaire et de prévision).
La direction générale effectue une revue formalisée des principes comptables retenus qui ont un impact significatif sur la présentation des états financiers.
Enfin, la direction générale s’assure que les dispositifs de gestion des risques et de contrôle interne comptable et financier font l'objet d'une surveillance. Elle se tient régulièrement informée des dysfonctionnements, insuffisances et des difficultés d’application, et veille à ce que des actions correctives soient mises en œuvre. Cette surveillance peut utilement s’appuyer sur la fonction d’audit interne, lorsqu’elle existe.
3.2.3. Préparation de l’arrêté des comptes La direction générale veille à la définition et à la mise en place de processus d’enregistrement comptable des
opérations majeures (acquisitions ou cessions d’activité, restructurations, conclusions de contrats-clés) et de processus de validation de ces enregistrements.
Elle obtient des informations adéquates sur les entités exclues du périmètre de consolidation et examine le bien-fondé de leur exclusion.
Elle veille à la mise en place de procédures d’arrêté de certains comptes jugés sensibles (traitement de la comptabilisation des produits, analyse de la valeur des actifs-clés, …).
Elle veille à la définition et à la mise en place des processus de détermination et de validation des estimations figurant dans les comptes ou informations financières publiés, propres à assurer la qualité de ces estimations (informations utilisées, départements ou personnes impliqués, compétences techniques …).
Elle veille à l’existence au sein de la direction comptable et financière de dispositifs de contrôle de la qualité comptable (identification de suspens, de comptes non analysés, ou de rapprochements non effectués ou non approuvés …) afin d’engager des mesures correctives.
S’il existe des exceptions aux procédures d’arrêté des comptes consolidés pour certaines filiales appartenant au périmètre de consolidation, la direction générale s’assure de l’existence de procédures permettant de pallier la non-application des règles du groupe.
La direction générale établit les comptes (y compris l'annexe) en vue de leur arrêté. A cet effet, elle : précise et explique les principales options de clôture et les estimations impliquant un jugement de sa part ; met en évidence les changements de principes comptables et en informe le Conseil ; s'assure de l'analyse des grands équilibres financiers (ratios d’endettement, liquidités, couverture …) ;
identifie et explique les facteurs d'évolution des résultats (réalisé N/N-1) ; établit les états financiers en vue de leur arrêté, en les accompagnant des commentaires et analyses de la
direction comptable et financière ; définit la stratégie de communication financière (indicateurs, modalités …) et propose ou arrête les termes
des communiqués financiers. 3.2.4. Prise en considération des travaux des commissaires aux comptes En tant que responsable de l'établissement des comptes et de la mise en œuvre des systèmes de contrôle interne comptable et financier, la direction générale échange avec les commissaires aux comptes. Elle s’assure que les commissaires aux comptes ont revu les principes comptables retenus et les options
comptables qui ont un impact significatif sur la présentation des états financiers. Elle prend connaissance auprès des commissaires aux comptes du périmètre et des modalités de leur
intervention. Elle s’informe également des conclusions de leurs travaux sur les comptes. Elle s’informe des risques significatifs ou faiblesses majeures de contrôle interne communiquées par les
commissaires aux comptes, susceptibles d’avoir une incidence significative sur l’information comptable et financière publiée, et veille à ce qu’elles soient prises en considération dans les actions correctives mises en œuvre par la société.
3.3. Missions du conseil d’administration ou du conseil de surveillance 3.3.1. Contrôles et vérifications Le conseil est informé des aspects majeurs susceptibles de remettre en cause la continuité de l’exploitation et vérifie auprès de la direction générale que les dispositifs adéquats ont été mis en place en vue d’assurer la fiabilité de l’information comptable et financière.
Mis en ligne le 22 juillet 2010 25/36
Pour pouvoir effectuer ce contrôle : un travail préparatoire peut être effectué par le comité d’audit, s’il existe. il est informé des caractéristiques essentielles des dispositifs de pilotage de la société et du groupe, et
notamment des dispositifs de suivi des risques, de contrôle de gestion et de suivi du financement et de la trésorerie, ainsi que des contrôles réalisés par l’audit interne ou toute autre fonction ;
il peut demander à être informé des principaux processus d’alimentation et de communication de l’information comptable et financière ;
le cas échéant, il est informé des changements de méthodes comptables et des options comptables retenus par la société qui ont un impact significatif sur la présentation des états financiers ;
il veille à la qualité du processus de sélection des commissaires aux comptes notamment au regard des critères de compétence et d’indépendance de ceux-ci ;
il est informé des événements significatifs intervenus dans l’activité et de la situation de trésorerie, dès lors qu’ils sont de nature à mettre en cause la continuité d’exploitation (dans ce second cas, les flux de trésorerie pris en compte dans l’analyse qui est présentée au conseil indiquent les éléments dont l’utilisation fait l’objet de restrictions).
de plus, il est informé : o s’il l’estime opportun, des prévisions de résultat lorsqu’elles font l’objet d’une communication au marché
financier ; o des projets majeurs d’investissement, de cession ou de financement ;
le cas échéant, il est également informé des faits significatifs liés à des fraudes commises, des cas identifiés d'infractions aux textes légaux et réglementaires et des déficiences majeures de contrôle interne identifiées dont les conséquences seraient susceptibles d'être prises en considération lors de l’établissement des comptes ;
3.3.2. Arrêté des comptes Le conseil d’administration ou le directoire arrête les comptes annuels et examine les comptes semestriels. A cet effet, il obtient toutes les informations qu’il juge utiles, par exemple les informations relatives aux options de clôture, aux estimations, et aux changements de méthode comptable et l’explication de la formation du résultat et de la présentation du bilan, de la situation financière et de l’annexe 3.3.3. Relations avec les commissaires aux comptes Le conseil reçoit l’assurance des commissaires aux comptes qu’ils ont eu accès à l’ensemble des
informations nécessaires à l’exercice de leurs responsabilités, notamment s’agissant des sociétés consolidées.
Il est informé du périmètre et des modalités d’intervention des commissaires aux comptes ainsi que des conclusions de leurs travaux.
Il veille à ce que les risques significatifs ou faiblesses majeures de contrôle interne communiquées par les commissaires aux comptes, susceptibles d’avoir une incidence significative sur l’information comptable et financière publiée, soient prises en considération dans les actions correctives mises en œuvre par la société.
Il reçoit l’assurance des commissaires aux comptes qu’ils ont suffisamment avancé leurs travaux au moment de l’arrêté des comptes pour être en mesure de communiquer toutes remarques significatives.
4. Processus concourant à l’élaboration de l’information comptable et financière publiée 4.1. Principes et points clés d’analyse Les processus comptables sont souvent organisés de façon à traiter des flux d’opérations homogènes ou similaires (par exemple organisation par catégories d’opérations). Le présent guide d’application se propose de décliner les critères de qualité par catégories d’opérations (ventes, achats, etc.…) pouvant s’appliquer à chacun de ces processus comptables. Les principes et points clés d’analyse suivants, formulés sous forme positive plutôt qu’interrogative, permettent d’identifier les principaux risques pouvant affecter les processus concourant à l’élaboration de l’information comptable et financière. Il est rappelé que la maîtrise des processus comptables relève des directions comptable et financière, de la direction générale et du conseil d’administration, pour leurs domaines de compétences respectifs. Pour l’ensemble des catégories d’opérations détaillées ci-après, la société pourra s’assurer qu’il existe des dispositifs organisés et documentés qui permettent un traitement assurant l’homogénéité des données comptables et financières consolidées publiées.
Mis en ligne le 22 juillet 2010 26/36
4.1.1. Investissements / Désinvestissements / Recherche et Développement Maîtrise des processus amont et de production comptable Les investissements et désinvestissements font l’objet d’un processus organisé et documenté, qui prévoit
l’information des services comptables. Concernant les frais de recherche et de développement :
o les phases de recherche et de développement des projets sont clairement définies et séparées; o les règles comptables appliquées dans la société définissent les conditions d’immobilisation des coûts
de développement. Maîtrise des processus d’arrêté des comptes Concernant les frais de développement, une vérification est faite à la date de clôture afin de confirmer que
les conditions ayant conduit à leur activation sont toujours remplies. 4.1.2. Immobilisations incorporelles, corporelles et goodwills Maîtrise des processus amont et de production comptable Les règles comptables appliquées dans la société définissent pour les immobilisations incorporelles et
corporelles : o les critères d’identification comportant notamment les règles de distinction entre les charges (entretien,
réparations) et les immobilisations ; o les critères de comptabilisation des immobilisations traitant des questions suivantes :
- les éléments constitutifs du coût d’une immobilisation y compris les modalités de détermination et de suivi du coût de remise en état des sites pour les immobilisations corporelles ;
- les méthodes et le point de départ de l’amortissement. Cette rubrique comprend les modalités d'application de l'approche par composants et les modalités retenues pour la détermination des valeurs résiduelles ;
- les critères de détermination des pertes de valeur et en particulier le mode d'établissement des taux d'actualisation et le niveau (sectoriel par exemple) retenu pour définir les unités génératrices de trésorerie et le calcul des taux ;
- les critères de classement en immobilisations destinées à être cédées ; - les catégories d'immobilisations qui sont réévaluées et le mode de réévaluation adopté (juste valeur
ou indiciaire). Ces règles sont revues régulièrement. Les mouvements d’immobilisations font l’objet d’un suivi en vue de leur comptabilisation. Les engagements d’achats d’immobilisations sont suivis, afin d’être pris en compte dans le cadre de
l’élaboration des annexes aux comptes. La classification des contrats de crédit bail ou de locations est clairement établie en vue de leur traitement
comptable. L’existence des immobilisations corporelles est vérifiée régulièrement par inventaire.
Les sorties ou mises au rebut sont soumises à l’approbation d’un responsable et les corrections comptables nécessaires sont prévues.
Les titres de propriété font l’objet d’une conservation adéquate (par exemple, a minima respect des obligations légales).
Les cessions d’immobilisations sont soumises à une procédure d’autorisation diffusée au sein de l’organisation.
Un processus d’identification, de comptabilisation et de suivi des immobilisations incorporelles et des goodwills est mis en place, en particulier concernant le goodwill et l’allocation du coût d’acquisition, les marques, brevets, fonds de commerce, fichiers clients, autres droits contractuels, etc.…
La protection juridique et informatique des immobilisations incorporelles fait l’objet d’un suivi régulier et de mesures visant à sécuriser les ressources que la société pourra obtenir de ces immobilisations (protection des marques, des noms de domaine, …).
Maîtrise des processus d’arrêté des comptes Lorsque la méthode de la juste valeur est appliquée, les évaluations sont réalisées par des spécialistes ou à
partir de données de marchés et sont revues périodiquement.
Mis en ligne le 22 juillet 2010 27/36
Une démarche d’identification d’indices de perte de valeur est mise en œuvre au moins une fois par an et de façon systématique à chaque clôture pour les actifs incorporels non amortissables, les immobilisations incorporelles en cours et les goodwills.
4.1.3. Immobilisations financières Maîtrise des processus amont et de production comptable Les opérations sur titres (acquisitions, cessions, compléments de prix, garanties d’actifs et de passifs) font
l’objet d’un suivi en vue de leur comptabilisation. Les engagements fermes ou optionnels de toute nature (promesse, call, put…) sont identifiés en vue de leur
comptabilisation ou inclusion dans l'annexe. L’attribution de prêts (notamment les prêts aux filiales,…) fait l’objet d’un processus organisé. Les titres de propriété et les contrats de prêts font l’objet d’une conservation adéquate. Dans le cas de l’établissement des comptes consolidés en IFRS, les règles de classement dans les
différentes catégories d’actifs financiers définies par IAS 39 sont clairement établies et une procédure permet de s'assurer qu’à l'origine de l'opération la décision de classement fait l'objet d'une autorisation appropriée.
Maîtrise des processus d’arrêté des comptes Les produits se rattachant aux immobilisations financières sont évalués à chaque clôture. L’existence d’une indication objective de dépréciation des immobilisations financières est appréciée à chaque
clôture. Les dépréciations à comptabiliser sont déterminées le cas échéant. 4.1.4. Achats / Fournisseurs et assimilés Maîtrise des processus amont et de production comptable Le processus achats est organisé et formalisé dans le cadre de procédures applicables par tous les acteurs
concernés. Il existe une séparation des fonctions de passation et d’autorisation des commandes, de réception,
d’enregistrement comptable et de règlement des fournisseurs. Les achats importants font l’objet d’une commande formalisée, validée par une personne autorisée. Il existe un suivi et un rapprochement entre les bons de commande, les bons de réception et les factures
(quantité, prix, conditions de paiement). Les anomalies éventuelles font l’objet d’une analyse et d’un suivi. Il existe un dispositif permettant d’éviter le double enregistrement / paiement des factures fournisseurs. Il existe un contrôle des avances sur factures fournisseurs (autorisation, suivi, imputation). Il existe un suivi des réceptions refusées / litiges et un contrôle de la comptabilisation des avoirs fournisseurs
correspondants ou des rabais, remises et ristournes. La gestion des règlements fournisseurs fait l’objet de contrôles par une personne indépendante et autorisée. Les comptes fournisseurs font l’objet d’un examen et d’une justification périodiques (exhaustivité, exactitude). Maîtrise des processus d’arrêté des comptes Il existe une procédure permettant de s’assurer que les produits et charges ont été enregistrés sur la bonne
période. Il existe un dispositif permettant d’enregistrer les provisions pour factures non parvenues ou les charges
payées d’avance de manière exhaustive et exacte. 4.1.5. Coûts de revient/Stocks et encours/Contrats à long terme ou de construction Maîtrise des processus amont et de production comptable Il est procédé à un inventaire physique (au moins une fois par an ou à des inventaires de contrôle tournants
en cas d'inventaire permanent). Les processus peuvent viser à l’application des points suivants : les réceptions physiques (matières ou composants) sont entrées en stock et enregistrées en comptabilité ; les sorties de stock vers la production sont enregistrées en comptabilité ;
Mis en ligne le 22 juillet 2010 28/36
le coût de production fait l'objet de calculs adéquats et les frais correspondants sont imputés de manière complète et exacte (dans la mesure où ces coûts sont utilisés pour la valorisation des stocks) ;
le calcul des coûts de production est cohérent avec les éléments comptables réels ; Les autres éléments permettant de valoriser les stocks (prix de revient d'achat nets, entrées, sorties) sont
dûment enregistrés, conservés et à jour. les marges font l’objet d’un suivi régulier, en vue de permettre un correct suivi de la dépréciation des stocks ; pour les contrats à long terme ou les contrats de construction (IAS 11), les règles comptables appliquées par
la société définissent un mode de mesure fiable de l'avancement et les pertes à terminaison sont correctement identifiées ;
tous les stocks enregistrés sont adéquatement protégés, appartiennent à la société et/ou répondent à la définition d’un actif.
Maîtrise des processus d’arrêté des comptes Il existe une procédure permettant de s’assurer que la séparation des exercices a été respectée de manière
correcte. Il existe un dispositif permettant de contrôler que les encours sont cohérents avec les commandes reçues et
avec les travaux engagés. Il existe un processus visant à ce que les provisions pour dépréciation soient évaluées et comptabilisées, le
cas échéant. 4.1.6. Produits des activités ordinaires / Clients et assimilés Maîtrise des processus amont et de production comptable Les processus peuvent viser à l’application des points suivants : les règles comptables adoptées par la société établissent clairement la distinction entre ventes et prestations
de service et indiquent si nécessaire les modalités de séparation adoptées pour les contrats à composantes multiples ;
les produits des activités ordinaires provenant de la vente de biens ont été comptabilisés lorsque l’ensemble des conditions suivantes ont été satisfaites : o la société a transféré à l’acheteur les risques et avantages importants inhérents à la propriété des biens ; o la société a cessé d’être impliquée dans la gestion, telle qu’elle incombe normalement au propriétaire, et
dans le contrôle effectif des biens cédés ; o le montant des produits des activités ordinaires peut être évalué de façon fiable ; o il est probable que des avantages économiques associés à la transaction iront à la société, et
les coûts encourus ou à encourir concernant la transaction peuvent être évalués de façon fiable. l'ensemble des livraisons effectuées (ou services rendus) donne lieu à facturation au cours de la période
appropriée ; toutes les factures (séquentiellement numérotées) sont enregistrées dans les comptes clients ou directement
en chiffre d’affaires ; l'émission des avoirs est justifiée et contrôlée. Seuls les avoirs contrôlés, sont enregistrés dans les comptes ; les fonctions de facturation et de recouvrement sont effectivement séparées ; les fonctions de recouvrement et de gestion des comptes clients sont effectivement séparées ; tous les comptes clients ouverts correspondent à des clients réels ; les soldes de comptes sont périodiquement et correctement justifiés ; les clients douteux sont correctement identifiés et les risques d’insolvabilité comptabilisés en conformité avec
les règles applicables. Enfin, il existe un dispositif visant à exclure des produits des activités ordinaires, les produits facturés ou à facturer pour compte d’autrui. Maîtrise des processus d’arrêté des comptes Il existe une procédure permettant de s’assurer que les produits et charges ont été enregistrés sur la bonne
période. Il existe un dispositif permettant d’enregistrer les factures à émettre ou les produits constatés d’avance de
manière exhaustive et exacte. Les provisions pour dépréciation sont revues en vue de leur ré-estimation, le cas échéant (par exemple sur la
base d'une balance âgée, ou des informations les plus récentes sur les litiges avec les clients).
Mis en ligne le 22 juillet 2010 29/36
4.1.7. Trésorerie / Financement et instruments financiers Maîtrise des processus amont et de production comptable Les financements et la trésorerie font l’objet de processus organisés (procédure, délégation, etc...) et de
critères formalisés. Les processus peuvent viser à l’application des points suivants : le plan de trésorerie permet de suivre à échéance prévisible les disponibilités propres de la société et le cas
échéant les disponibilités de ses filiales dont elle peut contractuellement disposer ; les encours de trésorerie et d’équivalent de trésorerie pour lesquels existent des restrictions d’emploi sur 12
mois ou plus sont identifiés et font l’objet d’un traitement comptable spécifique ; les opérations de trésorerie sont comptabilisées quotidiennement ; les comptes de banque font l’objet de rapprochements réguliers avec les données reçues des banques et
sont revus périodiquement selon des modalités qui respectent le principe de séparation des fonctions. Le rapprochement est matérialisé et permet d’expliquer les écarts éventuels ;
l’autorisation des dépenses, l’émission du paiement et la comptabilisation sont effectuées par des personnes distinctes ;
les comptes d’emprunts sont régulièrement rapprochés avec les données contractuelles, les tableaux d’amortissements et les données reçues des établissements financiers ;
les tableaux d'amortissement calculés selon la méthode du coût amorti (au taux d'intérêt effectif) sont établis au démarrage de l'emprunt ;
les opérations de couverture font l'objet d'une documentation adéquate et les procédures mises en place permettent de s'assurer que l'option pour la comptabilité de couverture quand elle est exercée l'est dès l'origine de l'opération ;
les garanties reçues ou données sur prêts et emprunts sont clairement identifiées et comptabilisées et/ou incluses dans les annexes aux comptes.
Enfin : il existe une procédure visant à identifier les instruments financiers complexes afin qu’ils soient approuvés
préalablement (selon les règles édictées par la société) et qu’un traitement conforme aux normes en vigueur (IAS 39 par exemple) leur soit appliqué ;
les autres engagements donnés ou reçus relatifs à la trésorerie et aux instruments financiers font l’objet d’un recensement permettant leur comptabilisation ou leur mention dans l'annexe.
Maîtrise des processus d’arrêté des comptes Les processus peuvent viser à ce que : les charges et produits financiers calculés selon la méthode du taux d’intérêt effectif soient correctement
évalués et comptabilisés ; la trésorerie et les emprunts en devises soient correctement évalués ; les instruments dérivés de taux d’intérêt ou de change soient correctement évalués. 4.1.8. Avantages accordés au personnel Maîtrise des processus amont et de production comptable Les activités de « Paie » font l’objet de procédures connues et adaptées aux choix d’organisation retenus
(traitements en interne ou externalisés). Il existe une séparation des fonctions de calcul, d'enregistrement, de contrôle, de paiement et de
transmission des feuilles de paie. Il existe un dispositif permettant d’assurer la transmission exhaustive, exacte, et en temps utile des éléments
validés nécessaires au calcul de la paie (temps passés, heures supplémentaires, augmentations, primes, entrées et sorties de personnel…).
Il existe un processus visant à assurer la clarté des informations relatives aux avantages accordés au personnel, notamment pour les avantages postérieurs à l’emploi faisant l’objet de calculs actuariels complexes ainsi que pour les avantages en nature ou autres avantages pouvant faire l’objet d’évaluations.
Les écritures de paie sont contrôlées par une personne d’un niveau de responsabilité approprié. L’exactitude du virement des salaires fait l’objet de contrôles. Les règles comptables appliquées par la société précisent le traitement comptable des actions et options
attribuées aux dirigeants et aux salariés. Les comptes de personnel et charges sociales font l’objet d’un examen et d’une justification périodique.
Mis en ligne le 22 juillet 2010 30/36
Maîtrise des processus d’arrêté des comptes Il existe un dispositif de recensement, d’évaluation et de contrôle du bon enregistrement comptable : des provisions pour congés payés ; des engagements en matière de plan épargne entreprise ; des engagements à long terme au bénéfice du personnel ; des engagements en matière de retraites et autres avantages postérieurs à l’emploi. La société se fait assister, si nécessaire, par des actuaires pour évaluer ses engagements de retraite et autres avantages accordés aux salariés. 4.1.9. Impôts, taxes et assimilés Maîtrise des processus amont et de production comptable Il existe un processus de veille relatif aux obligations découlant des lois, réglementations et instructions
fiscales. Les opérations de l’exercice en cours, contrats, conventions, structure de prix de transfert, etc., sont
analysées périodiquement sous un angle fiscal. Il existe un processus visant à ce que le traitement, la préparation et le dépôt des documents fiscaux, ainsi
que le paiement des impôts et taxes soient effectués de façon correcte et en temps voulu. Il existe un processus de conservation des informations nécessaires à l’enregistrement des impôts et taxes
et des évènements économiques en matière de fiscalité, notamment pour la validation du taux d’impôt effectif et la détermination des impôts différés.
Il existe un dispositif de suivi comptable de la position fiscale différée. Une réconciliation entre la charge d’impôt totale comptabilisée dans le compte de résultat consolidé et la
charge d’impôt théorique (preuve d’impôt) est établie. 4.1.10. Opérations sur le capital Il existe un processus visant à s’assurer que les autorisations nécessaires ont été données pour toutes les
opérations touchant le capital social. Il existe une procédure de suivi des stock-options (documentation des dates d’attribution, suivi des options
attribuées ou devenues obsolètes…). Il existe une procédure précisant la réglementation comptable en matière d’acompte versé sur dividende. 4.1.11. Provisions et engagements Maîtrise des processus amont et de production comptable Les engagements sont identifiés selon un processus organisé et selon des critères établis. Une définition claire des engagements est établie par la société et communiquée aux services concernés. Les engagements sont identifiés régulièrement et donnent lieu à un reporting centralisé. La société s’assure de l’autorisation des engagements donnés, reçus et réciproques. Il existe un processus visant à ce que la société donne en annexe de ses comptes une information sur ses
engagements conformément aux principes comptables applicables. Maîtrise des processus d’arrêté des comptes La société fait un point périodique sur ses engagements et ses risques et détermine en coordination avec
ses experts et conseils s’ils doivent faire l’objet de provisions ou d’une information en annexe. Elle comptabilise une provision dès lors qu’il existe une obligation juridique ou implicite, résultant d’évènements passés, et qu’il est probable que cette obligation provoquera une sortie de fonds au bénéfice de tiers, sans contrepartie au moins équivalente attendue de ceux-ci et lorsqu’une estimation fiable du montant peut être faite.
Elle analyse les dotations et reprises sur provisions (en distinguant la part consommée) afin d’apprécier la fiabilité du recensement et de l’analyse des risques.
Elle passe en revue et évalue les charges et risques liés en particulier : o aux ventes (remises, réductions sur vente, bons, cadeaux, garanties, etc.) ; o aux impératifs de remise en conformité, de remise en état de sites, de dépollution et obligations
assimilées ;
Mis en ligne le 22 juillet 2010 31/36
o aux restructurations (indemnités, déménagements, etc.) ; o aux pertes sur contrats et marchés ou sur instruments financiers.
4.1.12. Consolidation Maîtrise des processus amont et de production comptable Il existe des processus visant à ce que : le périmètre de consolidation soit tenu à jour et documenté ; les liasses de consolidation soient établies en application de principes et règles comptables homogènes au
sein des sociétés intégrées ; les opérations réciproques soient identifiées et éliminées, en particulier les opérations financières et les
résultats internes (marges sur stocks, dividendes, résultats sur cessions d’immobilisations…). En outre : les écritures de consolidation sont enregistrées et suivies dans un journal spécifique ; un contrôle permanent est effectué sur les variations de pourcentage de contrôle des filiales et participations
afin que les traitements appropriés puissent être mis en œuvre lors des arrêtés de comptes (périmètre de consolidation, modification de la méthode de consolidation…) ;
l’accès aux informations nécessaires au traitement dans les comptes consolidés des sociétés mises en équivalence est organisé.
Maîtrise des processus d’arrêté des comptes Les principes comptables applicables aux comptes consolidés sont homogènes. Les règles comptables appliquées définissent les critères de consolidation des filiales et les méthodes
appliquées. Les pourcentages d’intérêt et la situation de contrôle des filiales, participations et entités contrôlées sont
analysés au regard de la situation de contrôle afin de vérifier l’adéquation de la méthode de consolidation appliquée à chacune.
Les comptes sociaux des filiales sont rapprochés des comptes intégrés dans la consolidation, afin d’analyser et de suivre les écarts et les impositions différées.
La variation entre situation nette consolidée de clôture et situation nette consolidée d’ouverture est analysée et expliquée.
Les variations issues du tableau de flux de trésorerie sont analysées et expliquées. 4.1.13. Information de gestion nécessaire à l’élaboration des informations comptables et financières publiées Maîtrise des processus amont et de production comptable Il est procédé à des rapprochements périodiques entre les données de gestion (comptabilité analytique,
reporting, budget…) nécessaires à l’élaboration des informations comptables et financières publiées et les données comptables correspondantes (notamment en matière de justification de la valeur des goodwills et des actifs incorporels non amortissables comptabilisés).
Les écarts éventuels font l’objet d’une analyse selon des modalités qui respectent le principe de séparation de fonctions.
Maîtrise des processus d’arrêté des comptes Il existe un rapprochement entre les données publiées et les informations internes. La valeur de certains actifs est soumise à une validation par rapprochement avec les données de gestion
lorsque les principes et règles comptables le rendent nécessaires (calcul des dépréciations des actifs incorporels et corporels le cas échéant).
4.1.14. Gestion de l’information financière externe Maîtrise des processus amont et de production comptable Il existe des responsables et un processus aux fins d’identifier et de traiter les obligations d’information du
marché financier.
Mis en ligne le 22 juillet 2010 32/36
Il existe un processus de veille sur les obligations en matière d'information financière. Il existe un échéancier récapitulant les obligations périodiques du groupe en matière de communication
comptable et financière au marché. Cet échéancier peut préciser : o la nature et l’échéance de chaque obligation périodique ; o les personnes responsables de leur établissement.
Il existe un processus visant à ce que les informations communiquées en externe : o le soient dans les délais requis ; o soient en conformité avec les lois et règlements.
Il existe un processus visant à assurer la fiabilité des informations économiques individuelles non comptables communiquées à l’appui de la communication financière et comptable publiée (par exemple effectifs et volume).
Il existe un processus visant à ce que la confidentialité des informations sensibles soit préservée, dans le respect des règles définies par le Règlement Général de l’AMF.
Il existe un processus visant à ce que les informations répondant à la définition de l'information privilégiée soient communiquées au marché en temps utile, selon les règles qui leur sont applicables. A cet effet, la société dispose d’un système d’information lui permettant de suivre, d'une part les événements et les opérations significatifs qui ont eu lieu sur les différentes périodes comptables, d'autre part, les écarts significatifs par rapport aux objectifs communiqués au marché.
Il existe un processus prévoyant le contrôle des informations avant leur diffusion.
Mis en ligne le 22 juillet 2010 33/36
Annexe 1
Liste nominative des participants aux travaux du groupe de travail 2009
Composition du groupe de travail Président : Olivier Poupart-Lafarge, membre du Collège de l’AMF Présidents des sous-groupes de travail - Patrice Marteau, président d’ACTEO - Didier Martin, avocat, BREDIN PRAT - Gérard Lancner, président de l’AMRAE Membres du groupe de travail - Pascale Besse, directeur administratif et financier, SOLUCOM - Marylène Boyer, directeur administratif et financier, THERMADOR GROUPE - Annie Bressac, ESCP-EAP, directeur de l’audit interne de la Fondation d’Auteuil - Aldo Cardoso, président des comités d’audit, IMERYS, RHODIA, et GDF-SUEZ - Philippe Christelle, directeur de l’audit interne, CAP GEMINI - Jean-Philippe Desmartin, analyste, ODDO - Sylvia Fonseca, directrice - Délégation générale aux risques et aux contrôles, EIFFAGE - Sylvain de Forges, - Jean-Baptiste Duchateau, VEOLIA - Jacques Fournier, représentant du département DMF, CNCC - Laurent Guillot, directeur financier, SAINT-GOBAIN - Philippe Jeunet, membre du comité exécutif en charge de la direction Audit et Risques, GDF-SUEZ - Dominique Laboureix, directeur des études et des relations internationales au SGACP - Bénédicte Huot de Luze, directeur scientifique AMRAE - Loïc Le Berre, directeur général adjoint finance, GROUPE GORGE - Michel Léger, président du cabinet BDO - Xavier Maitrier, associé en charge du département « Amélioration de la performance, risques et contrôle
interne », PWC - Viviane Neiter, présidente du comité d’audit, Dolphin Integration - Charles Paris de Bollardière, président du comité d’audit, STERIA - Jean-Philippe Riehl, Directeur de la gestion des risques, VEOLIA - Jean-Florent Rerolle, représentant de l’IFA - Philippe Santi, directeur général délégué, INTER PARFUMS - Patrick Sayer, président, EURAZEO - Louis Vaurs, délégué général, IFACI - Caroline Weber, directrice générale, MIDDLENEXT - Daniel Barlow, représentant de la Chancellerie (DACS) - Christian Belhôte, représentant de la Chancellerie (DACS) - Emmanuel Susset, représentant de la direction générale du Trésor et de la politique économique (DGTPE) - Edouard Vieillefond : secrétaire général adjoint - Direction de la régulation et des affaires internationales (AMF) - Sophie Baranger : directrice des affaires comptables (AMF) Rapporteurs du groupe de travail - Etienne Cunin : AMF- Direction des affaires comptables - Anne Gillet : AMF- Direction des affaires comptables - Patrice Aguesse - AMF- Direction de la régulation et des affaires internationales - Antoine Colas : AMF- Direction de la régulation et des affaires internationales - Patricia Choquet : AMF- Direction des affaires juridiques - François Gilbert : AMF- Direction des affaires juridiques
Mis en ligne le 22 juillet 2010 34/36
Liste nominative des participants aux travaux du groupe de travail 2007
Coprésidents Jean Cédelle Guillaume Gasztowtt Rapporteur Louis Vaurs Entreprises AFEP Francis Desmarchelier AMRAE Olivier Sorba ANSA Régis Foy IFACI Philippe Christelle MEDEF Agnès Lépinay Stéphane Carré Middlenext Evelyne Deloirie Institutions comptables CNCC Jacques Fournier Jean-Luc Barlet CSOEC Dominique Lecomte Muttiah Yogananthan Personnalités qualifiées Pierre-Alexandre Bapst Directeur de l’Audit interne du Groupe HERMES Emmanuel du Boullay Président de la Commission Formation, IFA Pierre Dufils Associé, PwC Claude Elmaleh Directeur de la Gouvernance financière de Danone Daniel Lebègue Président de l’IFA Michel Léger Commissaire aux Comptes Patrick Mordacq Conseiller Maître Honoraire à la Cour des Comptes Michel Piaton Directeur de l’audit interne de Total Personnalités associées sans droit de vote ACAM Michel Crinetz Christophe Izard Romain Paserot Commission Bancaire Guillaume Tabourin FBF Jean Tricou Trésor Benoît Sellam Secrétariat IFACI Florence Fradin Louis Vaurs AMF Gérard Rameix : Secrétaire Général Hubert Reynier : Secrétaire Général Adjoint Philippe Danjou : Directeur des Affaires Comptables Maryline Dutreuil-Boulignac : Direction de la Régulation et des Affaires Internationales Etienne Cunin : Direction des Affaires Comptables
Mis en ligne le 22 juillet 2010 35/36
Liste des participants aux travaux du Groupe technique chargés de l’élaboration du Guide d’application relatif au contrôle interne de l’information comptable et financière publiée par les émetteurs
Nom Organisation Autres qualités Fonction Jean Cédelle
Pdt Groupe de travail Pdt Groupe de place Directeur de la Conformité (Calyon)
Michel Léger Pdt Groupe de travail Membre du Groupe de place
Commissaire aux Comptes
Guillaume Gasztowtt
Co-Pdt Groupe de place Pdt Club des Trente Consultant (KPMG Corporate)
Christine Shimoda AFEP L’Oréal Directrice du Contrôle interne
François Dugit-Pinat AFEP Alcatel Directeur de la Consolidation et des procédures comptables
Jacques Ethevenin AFEP MEDEF Air Liquide Directeur Financier Adjoint
Pierre Novarina Middlenext Toupargel/Agrigel Directeur Général Adjoint
Laetitia Hucheloup Middlenext ABC Arbitrage Responsable finance et Contrôle Interne
Pierre Molendi DFCG CNCE Responsable du Contrôle de gestion
Patrice Blondel APDC Bongrain Directeur de la Comptabilité et du reporting
Annie Bressac
IFACI Consultante
Jean Louis Mullenbach Pdt Observatoire Qualité Comptable
Cabinet Bellot Mullenbach & associés
Commissaire aux comptes
Jean Luc Barlet CNCC Mazars Commissaire aux comptes
Laurent Gobbi CNCC KPMG Commissaire aux comptes
Mme Dominique Menard CNCC PWC Commissaire aux comptes
Philippe Danjou AMF Directeur des Affaires Comptables
Secrétariat du Groupe AMF Patrick Parent : Adjoint du Directeur des Affaires Comptables Florence Tiberini : Direction des Affaires Comptables Etienne Cunin : Direction des Affaires Comptables
Mis en ligne le 22 juillet 2010 36/36
Annexe 2 Liste des principaux travaux publiés sur la gestion des risques et le contrôle interne
- Travaux de l’AMRAE relatifs à la gestion des risques : La cartographie : un outil de gestion des risques, nouvelle édition - janvier 2010 (Collection Maîtrise des
risques) Comparatif des référentiels de gestion des risques, janvier 2010
- Travaux de l’IFACI relatifs aux procédures de gestion des risques : La cartographie des risques, groupe professionnel Assurances, juillet 06 (cahier de la recherche –guide
d’audit-) ; Etude du processus de management et de cartographie des risques, janvier 2004 (cahier de la recherche –
guide d’audit-) ; Management des risques, 2001 (traduction d’un ouvrage anglais)
- Travaux de l’IFACI relatifs au contrôle interne : Commentaires relatifs à la transposition des 4ème,7ème et 8ème directives européennes (Groupe
professionnel « contrôle interne de l’IFACI), juin 09 ; Le contrôle interne du système d’information des organisations, février 09 (Guide opérationnel d’application du
cadre de référence AMF relatif au contrôle interne, élaboré par un groupe de travail mixte IFACI/CIGREF) ; Contrôle interne et qualité, pour un management intégré de la performance, mai 08 (cahier de la recherche-
notes professionnelles-) ; Des clés pour la mise en œuvre du CI, avril 08 (cahier de la recherche- meilleures pratiques-) ; L’auto-évaluation du contrôle interne, oct.05 (cahier de la recherche-guide d’audit-).
- Travaux de l’AFEP, de l’ANSA, du MEDEF et de MiddleNext
Systèmes de contrôle interne et de gestion des risques (« CIGR ») Principes communs pour les sociétés européennes AFEP ANSA MEDEF Middlenext (Mars 2010)
- - Document EuropeanIssuers :
Position paper, “Towards Common Principles for Internal Control & Risk Management Systems at Listed Companies in Europe”, January 2010
Les dispositifs de gestion des risques et de contrôle interne
Cadre de référence :
Guide de mise en œuvre pour les valeurs moyennes et petites
Mis en ligne le 22 juillet 2010 2/10
SOMMAIRE
SOMMAIRE............................................................................................................................................................. 2
I- OBJECTIFS, PRINCIPES ET CONTENU............................................................................................................ 3
II - PRINCIPES GÉNÉRAUX DE GESTION DES RISQUES ET DE CONTRÔLE INTERNE ................................. 4 1. Principes généraux de gestion des risques ............................................................................................... 4 2. Articulation entre la gestion des risques et le contrôle interne ............................................................... 5 3. Principes généraux de contrôle interne...................................................................................................... 5 4. Périmètre de la gestion des risques et du contrôle interne ...................................................................... 6 5. Acteurs de la gestion des risques et du contrôle interne ......................................................................... 6 6. Le rôle des Commissaires aux comptes..................................................................................................... 7 7. Limites de la gestion des risques et du contrôle interne .......................................................................... 7
III. QUESTIONNAIRES RELATIFS AUX PRINCIPES GENERAUX....................................................................... 8 1. Questionnaire relatif à la gestion des risques ........................................................................................... 8 2. Questionnaire relatif au contrôle interne comptable et financier ............................................................. 9
Mis en ligne le 22 juillet 2010 3/10
I- OBJECTIFS, PRINCIPES ET CONTENU Introduction Ce guide est une édition revue et mise à jour du guide de mise en œuvre du cadre de référence de 2007 adapté aux valeurs moyennes et petites (VaMPs) publié par l’AMF en 2008. Cette mise à jour a été rendue nécessaire par l’évolution législative et réglementaire intervenue depuis 2007 et notamment la loi du 3 juillet 2008 et l’ordonnance du 8 décembre 2008 qui ont transposé en droit français les directives européennes imposant de nouvelles obligations aux sociétés cotées en matière de contrôle interne et de gestion des risques, et prévoyant les missions du comité d’audit dans ces domaines. Dans ce cadre l’AMF a confié, en septembre 2009, à un groupe de travail l’adaptation du cadre de référence de 2007 et sa version adaptée aux VaMPs publié en 2008 afin notamment de les compléter d’une partie relative à la gestion des risques. Objectifs du présent guide Le présent guide souhaite atteindre les objectifs suivants : - aider le président, la direction générale et les principaux dirigeants dans leur réflexion sur la gestion des risques et le contrôle interne : principes, rôles et responsabilités, - faciliter la rédaction du "rapport du président" sur les procédures de contrôle interne et de gestion des risques mises en place par la société. Principes De même que le cadre de référence, le présent guide n’est pas imposé aux valeurs moyennes et petites. En effet, le guide et les questionnaires qui en font partie ont pour objectif d'aider la société à identifier les principaux points de gestion des risques et de contrôle interne à mettre en œuvre et/ou améliorer. Toutefois, chaque société est responsable de son organisation et de son dispositif de gestion des risques et de contrôle interne, lequel devrait s’inscrire dans le cadre d’une bonne gouvernance, et satisfaire aux réglementations spécifiques en vigueur dans certains secteurs (banques, assurances) ou sur certaines places financières. Le présent guide doit donc être adapté à la société. En effet, selon sa taille, la complexité de son activité et de ses processus, ou encore son internationalisation, la société pourra s'inspirer davantage du guide d'application figurant dans le cadre de référence publié par l'AMF en 2010. Contenu Cet outil adapté aux valeurs moyennes et petites comprend deux parties : - les principes généraux de gestion des risques et de contrôle interne et - deux questionnaires, l'un relatif au contrôle interne comptable et financier et l'autre à la gestion des risques.
Mis en ligne le 22 juillet 2010 4/10
II - PRINCIPES GÉNÉRAUX DE GESTION DES RISQUES ET DE CONTRÔLE INTERNE La prise de risque est inhérente à toute société. Il n’existe pas de croissance, ni de création de valeur dans une société, sans prise de risque. S’ils ne sont pas correctement gérés et maîtrisés, ces risques peuvent affecter la capacité de la société à atteindre ses objectifs. En continuant à prévenir et à gérer les risques, les dispositifs de gestion de risques et de contrôle interne jouent un rôle clé dans la conduite et le pilotage des différentes activités. 1. Principes généraux de gestion des risques A) Définition La gestion des risques est l’affaire de tous les acteurs de la société. Elle vise à être globale et à couvrir l’ensemble des activités, processus et actifs de la société. La gestion des risques est un dispositif dynamique de la société, défini et mis en œuvre sous sa responsabilité. La gestion des risques comprend un ensemble de moyens, de comportements, de procédures et d’actions adaptés aux caractéristiques de chaque société qui permet aux dirigeants de maintenir les risques à un niveau acceptable pour la société. Le risque représente la possibilité qu’un événement survienne et dont les conséquences seraient susceptibles d’affecter les personnes, les actifs, l’environnement, les objectifs de la société ou sa réputation. B) Les objectifs de la gestion des risques La gestion des risques est un levier de management de la société qui contribue à : a) Créer et préserver la valeur, les actifs et la réputation de la société : La gestion des risques permet d’identifier et d’analyser les principales menaces et opportunités potentielles de la société. Elle vise à anticiper les risques au lieu de les subir, et ainsi à préserver la valeur, les actifs et la réputation de la société. b) Sécuriser la prise de décision et les processus de la société pour favoriser l’atteinte des objectifs : La gestion des risques vise à identifier les principaux événements et situations susceptibles d’affecter de manière significative la réalisation des objectifs de la société. La maîtrise de ces risques permet ainsi de favoriser l’atteinte des dits objectifs. La gestion des risques est intégrée aux processus décisionnels et opérationnels de la société. Elle est un des outils de pilotage et d’aide à la décision. La gestion des risques permet de donner aux dirigeants une vision objective et globale des menaces et opportunités potentielles de la société, de prendre des risques mesurés et réfléchis et d’appuyer ainsi leurs décisions quant à l’attribution des ressources humaines et financières.
c) Favoriser la cohérence des actions avec les valeurs de la société : De nombreux risques sont le reflet d’un manque de cohérence entre les valeurs de la société et les décisions et actions quotidiennes. Ces risques affectent principalement la crédibilité de la société. d) Mobiliser les collaborateurs de la société autour d’une vision commune des principaux risques et les sensibiliser aux risques inhérents à leur activité. C) Composantes du dispositif de gestion des risques Il appartient à chaque société de mettre en place un dispositif de gestion des risques adapté à ses caractéristiques propres. Le dispositif de gestion des risques prévoit: 1) Un cadre organisationnel définissant les rôles et responsabilités des acteurs
Mis en ligne le 22 juillet 2010 5/10
2) Un processus de gestion des risques comprenant, au sein de son contexte interne et externe à la société, trois étapes :
Identification des risques : étape permettant de recenser les principaux risques, menaçant l’atteinte des
objectifs. Un risque représente une menace ou une opportunité manquée. Il se caractérise par un événement, une ou plusieurs sources et une ou plusieurs conséquences.
Analyse des risques : étape consistant à examiner les conséquences potentielles des principaux risques (conséquences qui peuvent être notamment financières, humaines, juridiques, ou de réputation) et à apprécier leur possible occurrence.
Traitement du risque : étape permettant de choisir le(s) plan(s) d’action le(s) plus adapté(s) à la société. Pour maintenir les risques dans les limites acceptables, plusieurs mesures peuvent être envisagées : la réduction, le transfert, la suppression ou l’acceptation d’un risque. Le choix de traitement s’effectue notamment en arbitrant entre les opportunités à saisir et le coût des mesures de traitement du risque, prenant en compte leurs effets possibles sur l’occurrence et/ou les conséquences du risque.
3) Un pilotage en continu du dispositif de gestion des risques :
Le dispositif de gestion des risques fait l’objet d’une surveillance et d’une revue régulières, son suivi permet l’amélioration continue du dispositif. L’objectif est d’identifier et d’analyser les principaux risques, et de tirer des enseignements des risques survenus.
Un questionnaire relatif à la gestion des risques est disponible au chapitre III.1 « Questionnaire relatif à la gestion des risques ». 2. Articulation entre la gestion des risques et le contrôle interne Les dispositifs de gestion des risques et de contrôle interne participent de manière complémentaire à la maîtrise des activités de la société : Le dispositif de gestion des risques vise à identifier et analyser les principaux risques de la société. Les
contrôles à mettre en place relèvent du dispositif de contrôle interne. Ainsi, ce dernier concourt au traitement des risques auxquels sont exposées les activités de la société ;
De son côté, le dispositif de contrôle interne s’appuie sur le dispositif de gestion des risques pour identifier les principaux risques à maîtriser ;
En outre, le dispositif de gestion des risques doit lui-même intégrer des contrôles, relevant du dispositif de contrôle interne, destinés à sécuriser son bon fonctionnement.
L'articulation et l'équilibre conjugué des deux dispositifs sont conditionnés par l'environnement de contrôle, qui constitue leur fondement commun, notamment : la culture du risque et du contrôle propres à la société et les valeurs éthiques de la société. 3. Principes généraux de contrôle interne A) Définition Le contrôle interne est un dispositif de la société, défini et mis en oeuvre sous sa responsabilité, qui vise à assurer : - la conformité aux lois et règlements, - l’application des instructions et des orientations fixées par la direction générale ou le directoire, - le bon fonctionnement des processus internes de la société, notamment ceux concourant à la sauvegarde de ses actifs, - la fiabilité des informations financières, et d’une façon générale, contribue à la maîtrise de ses activités, à l’efficacité de ses opérations et à l’utilisation efficiente de ses ressources. En contribuant à prévenir et maîtriser les risques de ne pas atteindre les objectifs que s’est fixée la société, le dispositif de contrôle interne joue un rôle clé dans la conduite et le pilotage de ses différentes activités. Toutefois, le contrôle interne ne peut fournir une garantie absolue que les objectifs de la société seront atteints.
Mis en ligne le 22 juillet 2010 6/10
B) Les composantes du contrôle interne La direction générale ou le directoire conçoivent le dispositif de contrôle interne. Celui-ci fait l’objet d’une communication adéquate en vue de sa mise en œuvre par le personnel. Le contrôle interne est d’autant plus pertinent qu’il est fondé sur des règles de conduite et d’intégrité portées par les organes de gouvernance et communiquées à tous les collaborateurs. Il ne saurait en effet se réduire à un dispositif purement formel en marge duquel pourraient survenir des manquements graves à l’éthique des affaires. Le dispositif de contrôle interne, qui est adapté aux caractéristiques de chaque société, doit prévoir : - une organisation comportant une définition claire des responsabilités, disposant des ressources et des compétences adéquates et s’appuyant sur des systèmes d’information, sur des procédures ou modes opératoires, des outils et des pratiques appropriés ; - la diffusion en interne d’informations pertinentes, fiables, dont la connaissance permet à chacun d’exercer ses responsabilités ; - un dispositif de gestion des risques visant à recenser, analyser et traiter les principaux risques identifiés au regard des objectifs de la société. Le dispositif de gestion des risques est décrit dans la partie II.1.Principes généraux de gestion des risques. - des activités de contrôle proportionnées aux enjeux propres à chaque processus et conçues pour réduire les risques susceptibles d’affecter la réalisation des objectifs de la société ; - une surveillance permanente du dispositif de contrôle interne ainsi qu’un examen régulier de son fonctionnement. Cette surveillance, qui peut utilement s’appuyer sur la fonction d’audit interne de la société lorsqu’elle existe, peut conduire à l’adaptation du dispositif de contrôle interne. 4. Périmètre de la gestion des risques et du contrôle interne Il appartient à chaque société de mettre en place des dispositifs de gestion des risques et de contrôle interne adaptés à sa situation. Dans le cadre d’un groupe, la société mère veille à l’existence de dispositifs de gestion des risques et de contrôle interne au sein de ses filiales. Ces dispositifs devraient être adaptés à leurs caractéristiques propres et aux relations entre la société mère et les filiales. Pour les participations significatives, dans lesquelles la société mère exerce une influence notable, il appartient à cette dernière d’apprécier la possibilité de prendre connaissance et d’examiner les mesures prises par les sociétés dans lesquelles sont détenues ses participations en matière de gestion des risques et de contrôle interne. 5. Acteurs de la gestion des risques et du contrôle interne1 La gestion des risques et du contrôle interne est l’affaire de tous, des organes de gouvernance à l’ensemble des collaborateurs de la société. a) La direction générale ou le directoire
Ils sont chargés de définir, d’impulser et de surveiller le dispositif le mieux adapté à la situation et à l’activité de la société. Dans ce cadre : - ils se tiennent régulièrement informés de ses dysfonctionnements, de ses insuffisances et de ses difficultés d’application, voire de ses excès, - ils veillent à l’engagement des actions correctives nécessaires, - ils informent le Conseil sur les points importants. b) Le conseil d’administration ou de surveillance
Il appartient à la direction générale ou au directoire de rendre compte au conseil (ou au comité d'audit, lorsqu'il existe) des caractéristiques essentielles du dispositif de contrôle interne. En tant que de besoin, le conseil peut faire usage de ses pouvoirs généraux pour faire procéder aux contrôles et vérifications qu’il juge opportuns ou prendre toute autre initiative qu’il estimerait appropriée en la matière. c) Le comité d’audit
1 Cf. Cadre de référence AMF publié en 2010 pour plus de précision.
Mis en ligne le 22 juillet 2010 7/10
Le rôle et les missions du comité d’audit sont détaillés dans le document « Le Comité d’audit : rapport du groupe de travail » publié par l’AMF en 2010 et disponible sur le site de l’AMF (http://www.amf-france.org).
Pour les sociétés dites « Vamps »2, il existe deux possibilités consistant soit à instituer un comité d’audit, soit à se placer dans le cadre de l’exemption prévue à l’article 823-20 4° du code de commerce.
d) Le gestionnaire des risques
Le gestionnaire des risques, lorsqu’il existe, est responsable du déploiement et de la mise en œuvre du processus global de gestion des risques tel que défini par la Direction Générale. A ce titre, il a pour mission de mettre en place un dispositif, adapté à la taille et aux spécificités de l’entreprise, visant à l’identification, à l’analyse et au traitement des principaux risques. Chez les VaMPs, il est admis que cette fonction n’est pas nécessairement incarnée et qu’elle peut être assumée, en particulier, par la direction générale.
e) L’audit Interne
Lorsqu’il existe, il a la responsabilité d’évaluer le fonctionnement du dispositif de contrôle interne et de faire toutes préconisations pour l’améliorer, dans le champ couvert par ses missions. f) Le personnel de la société Chaque collaborateur concerné devrait avoir la connaissance et l’information nécessaires pour établir, faire fonctionner et surveiller le dispositif de contrôle interne, au regard des objectifs qui lui ont été assignés. 6. Le rôle des Commissaires aux comptes Les commissaires aux comptes ne sont pas, dans le cadre de leur mission légale, partie prenante des dispositifs de contrôle interne et de gestion des risques. Ils en prennent connaissance, s’appuient sur les travaux de l’audit interne, lorsqu’il existe, pour en obtenir une meilleure appréhension et se font en toute indépendance une opinion sur leur pertinence. Ils certifient les comptes et, dans ce cadre, peuvent identifier au cours de l’exercice des risques significatifs et des faiblesses majeures de contrôle interne susceptibles d’avoir une incidence significative sur l’information comptable et financière. Ils présentent leurs observations sur le rapport du président, pour celles des procédures de contrôle interne qui sont relatives à l’élaboration et au traitement de l’information comptable et financière, et attestent l’établissement des autres informations requises par la loi. 7. Limites de la gestion des risques et du contrôle interne Les dispositifs de gestion des risques et de contrôle interne aussi bien conçus et aussi bien appliqués soient-ils, ne peuvent fournir une garantie absolue quant à la réalisation des objectifs de la société. La probabilité d’atteindre ces objectifs ne relève pas de la seule volonté de la société. Il existe en effet des limites inhérentes à tout système et processus. Ces limites résultent de nombreux facteurs, notamment des incertitudes du monde extérieur, de l’exercice de la faculté de jugement ou de dysfonctionnements pouvant survenir en raison de défaillances techniques ou humaines ou de simples erreurs. Le choix de traitement d’un risque s’effectue notamment en arbitrant entre les opportunités à saisir et le coût des mesures de traitement du risque, prenant en compte leurs effets possibles sur l’occurrence et/ou les conséquences du risque, ceci afin de ne pas entreprendre des actions inutilement coûteuses.
2 Sociétés cotées sur les compartiments B et C d’Euronext. Ces critères sont susceptibles d’être modifiés dans le cadre de la future revue de la directive prospectus.
Mis en ligne le 22 juillet 2010 8/10
III. QUESTIONNAIRES RELATIFS AUX PRINCIPES GENERAUX Les deux questionnaires suivants sont des outils destinés à faciliter la réflexion, la mise en oeuvre et la communication sur le contrôle interne et la gestion des risques. Ils ont principalement pour objectif de permettre à la société d'identifier les points de contrôle à améliorer, notamment pour les besoins de la communication avec les actionnaires et le marché en matière de contrôle interne et de gestion des risques, et de rédiger le rapport du président prévu par la loi. Ces questionnaires sont à adapter aux spécificités de l’entreprise. Leur présentation ne sous-entend nullement que les questions qui y figurent doivent toutes être prises en compte lors de l’examen des dispositifs de gestion des risques et de contrôle interne, que tous les éléments mentionnés doivent être présents ou que leur absence doive être expliquée. Pour faciliter cette adaptation pour et par les dirigeants, l’entreprise pourra s’appuyer utilement sur le guide d’application relatif à la gestion des risques et au contrôle interne de l’information comptable et financière publié par l’AMF en 2010 et disponible sur le site de l’AMF (www.amf-france.org). Sont traités dans le guide d'application les principes et les points clés suivants : I – Les risques liés à l’organisation et à l’information comptable et financière II – Les objectifs de contrôle III – Processus de pilotage de l’organisation comptable et financière - Principes et points clés d’analyse - Missions de la direction générale - Missions du conseil d’administration ou du conseil de surveillance IV – Processus concourant à l’élaboration de l’information comptable et financière publiée - Principes et points clés d’analyse 1. Questionnaire relatif à la gestion des risques Il est précisé que, lorsque le conseil s’est doté d’un comité d’audit, le rôle attribué au conseil dans les questions suivantes peut, tout aussi bien, être exercé par le comité d’audit. Cadre organisationnel de la gestion des risques La société a-t-elle défini des objectifs en matière de gestion des risques ? Les responsabilités en matière de gestion des risques sont-elles définies et communiquées aux personnes
concernées? Une politique et des procédures de gestion des principaux risques ont-elles été définies, validées par la
Direction et mises en place dans la société ? La société dispose-t-elle d’un « langage commun » en matière de risques (typologie homogène, critères de
recensement, d’analyse et de suivi, …) ? La société a-t-elle identifié les obligations légales et réglementaires applicables en matière de communication
sur les risques ? La société communique-t-elle en interne aux personnes intéressées :
o Sur ses facteurs de risques ? o Sur les dispositifs de gestion des risques ? o Sur les actions en cours et les personnes qui en ont la charge ?
Identification des risques Existe-t-il un processus d’identification des risques menaçant les objectifs de la société? Une organisation
adéquate a-t-elle été mise en place à cet effet ? Des dispositifs sont-ils mis en place pour identifier les principaux risques pouvant affecter le processus
d’établissement des comptes ? Analyse des risques Pour les principaux risques identifiés, la société réalise-t-elle une analyse des conséquences possibles
(chiffrées ou non, financière ou non financière), de l’occurrence et du degré de maîtrise estimé ?
Mis en ligne le 22 juillet 2010 9/10
Les expériences passées de la société (ou d’acteurs comparables) en matière de risques sont-elles prises en considération ?
L’analyse des risques est-elle partagée par la direction générale et le management de la société avec les personnes intéressées ?
L’analyse des risques tient-elle compte des évolutions internes ou externes à la société ? Traitement des principaux risques Les risques majeurs donnent- ils lieu à des actions spécifiques ? La responsabilité de ces actions est-elle
définie ? Le cas échéant, la mise en œuvre de ces actions est-elle suivie ? La société a-t-elle mis en place un plan de gestion de crise ? Surveillance et revue de la gestion des risques La direction reçoit-elle une information sur les caractéristiques essentielles des actions engagées pour gérer
les principaux risques de la société (nature des actions engagées ou des couvertures en place, assurances, exclusions, montants des garanties, …) ?
Des moyens spécifiques sont-ils consacrés à la mise en œuvre et à la surveillance des procédures de gestion des risques ?
Existe-t-il un mécanisme permettant, si nécessaire, d’adapter les procédures de gestion des risques à une évolution des risques, de l’environnement externe, des objectifs ou de l’activité de la société ?
Existe-t-il un dispositif permettant d’identifier les principales faiblesses du dispositif de gestion des risques mis en place par la société, et de les corriger ?
Le conseil d’administration ou le conseil de surveillance, selon le cas, a-t-il été informé des grandes lignes de la politique de gestion des risques ? Est-il régulièrement informé des principaux risques identifiés, des caractéristiques essentielles du dispositif de gestion des risques, notamment des moyens mis en œuvre et des actions d’amélioration en cours ?
Communication financière et comptable Existe-t-il un échéancier récapitulant les obligations périodiques du groupe en matière de communication
comptable et financière au marché ? Cet échéancier précise-t-il : o la nature et l’échéance de chaque obligation périodique, o les personnes responsables de leur établissement.
Existe-t-il des responsables et des procédures aux fins d’identifier et de traiter les obligations d’information du marché ?
Existe-t-il une procédure prévoyant le contrôle des informations avant leur diffusion ? 2. Questionnaire relatif au contrôle interne comptable et financier Rôle des organes de gouvernance3 Il est précisé que, lorsque le conseil s’est doté d’un comité d’audit, le rôle attribué au conseil dans les questions suivantes peut, tout aussi bien, être exercé par le comité d’audit. Les principes comptables retenus qui ont un impact significatif sur la présentation des états financiers de la
société ont-ils été formellement validés par la direction générale, revus par les commissaires aux comptes et portés à la connaissance du conseil d’administration ou de surveillance ?
Pour les arrêtés correspondant à des comptes publiés, les principales options comptables ainsi que les choix effectués ont-ils été expliqués et justifiés par la direction générale au conseil, et revus par les commissaires aux comptes ?
Existe-t-il un processus de validation des changements de principes comptables envisagés prenant en considération l’économie des opérations ? Ce processus prévoit-il en particulier une consultation des commissaires aux comptes et une information du Conseil ?
Le conseil reçoit-il l’assurance des commissaires aux comptes qu’ils ont accès à l’ensemble des informations nécessaires à l’exercice de leurs responsabilités, notamment s’agissant des filiales consolidées ?
3 Par organes de gouvernance, on entend, dans le cadre de ce questionnaire le conseil d’administration ou le conseil de surveillance.
Mis en ligne le 22 juillet 2010 10/10
Le conseil reçoit-il l’assurance des commissaires aux comptes qu’ils ont suffisamment avancé leurs travaux au moment de l’arrêté des comptes pour être en mesure de communiquer toutes remarques significatives ?
La formation du résultat, la présentation du bilan, de la situation financière et des annexes, ont-elles été expliquées au conseil, à chaque arrêté de comptes publiés ?
Le conseil a-t-il été informé de l’existence d’un contrôle de gestion dont les données sont périodiquement rapprochées de l’information financière publiée ?
Le conseil a-t-il été régulièrement informé par le management du suivi de la trésorerie, notamment dans le cas de situations de tensions importantes ?
Les restrictions éventuelles quant aux flux de trésorerie au sein du groupe (clauses particulières ou pourcentage de détention dans la filiale) sont elles clairement précisées au conseil ?
Organisation comptable et financière La fonction comptable et financière a-t-elle, pour le périmètre couvert par les comptes, accès aux
informations nécessaires à leur élaboration ? Existe-t-il un manuel de principes comptables groupe, précisant le traitement comptable des opérations les
plus importantes ? En cas de publication de comptes établis suivant plusieurs référentiels comptables pour un même niveau
(individuel ou consolidé), existe-t-il des procédures pour expliquer les principaux retraitements ? Existe-t-il un manuel de procédures comptables et des instructions décrivant les répartitions des
responsabilités d’exécution ou de contrôle au regard des tâches comptables, ainsi que les calendriers à respecter ? Dans le cadre de la préparation des comptes consolidés, existe-t-il des procédures de diffusion visant à assurer leur prise en compte par les filiales ?
Les responsables de l’établissement des comptes et de l’information financière ainsi que les différents acteurs qui participent à l’arrêté des comptes sont-ils identifiés ?
Existe-t-il un processus visant à identifier les ressources nécessaires au bon fonctionnement de la fonction comptable ? Prend-il en considération les évolutions prévisibles ?
Système d’information Les procédures et les systèmes d’information sont-ils développés avec pour objectif de satisfaire aux
exigences de fiabilité, de disponibilité et de pertinence de l’information comptable et financière ? Les rôles et responsabilités des acteurs ont-ils été définis ?
Les systèmes d’information relatifs à l’information financière et comptable font-ils l’objet d’adaptations pour évoluer avec les besoins de la société ? Une gestion des demandes et des incidents est-elle mise en œuvre ?
Des dispositifs de sauvegarde des données sont-ils en place ? Font-ils l’objet de tests périodiques ? Des mesures de continuité de service sont-elles mises en place en lien avec les besoins métiers ? Font-elles
l’objet de tests périodiques ? Les obligations de conservation des informations, données et traitements informatiques concourant
directement ou indirectement à la formation des états comptables et financiers sont-elles respectées ? Activité de contrôle Existe-t-il des contrôles réguliers et/ou inopinés pour s’assurer que le manuel des principes comptables et le
manuel de procédures comptables sont suivis dans la pratique ? Existe-t-il des procédures pour identifier et résoudre des problèmes comptables nouveaux, non prévus, le
cas échéant, dans le manuel de principes comptables et/ou dans le manuel de procédures comptables ? L’activité de contrôle interne comptable et financier comporte-t-elle des procédures pour assurer la
préservation des actifs (risque de négligences, d’erreurs et de fraudes internes et externes) ? Le dispositif de contrôle interne comptable et financier comporte-t-il des contrôles spécifiques aux points qui
seraient identifiés comme sensibles concernant des aspects comptables, par exemple inscription à l’actif, constatation des produits, spécialisation des périodes comptables, valorisation des stocks…) ?
Les procédures d’arrêté des comptes du groupe sont-elles applicables dans toutes les composantes du périmètre de consolidation ? S’il existe des exceptions, y a- t- il des procédures adéquates pour les traiter ?
Groupe de travail présidé par Olivier Poupart - Lafarge, membre du Collège de l’AMF
22 Juillet 2010
Rapport final sur le comité d’audit
Mis en ligne le 14 juin 2010 2/28 Mis à jour le 22 juillet 2010
AVANT- PROPOS
L’entrée en vigueur de l’ordonnance du 8 décembre 2008 transposant la directive du Parlement européen et du Conseil de l’Union européenne concernant le contrôle légal des comptes a consacré le rôle du comité d’audit. Elle institue en effet, au sein des personnes et entités dont les titres sont admis aux négociations sur un marché réglementé, l’obligation de créer un comité spécialisé chargé d’assurer le suivi des questions relatives à l’élaboration et au contrôle des informations comptables et financières, comité généralement désigné sous le nom de « comité d’audit ». Consécration entourée d’incertitudes, nouvelle forme de responsabilité, exigences nouvelles à clarifier, contours des missions à redessiner, telles sont les questions qui se sont fait jour depuis la publication de cette ordonnance. Face à ces interrogations, et à la place de plus en plus importante qu’occupe la gouvernance des entreprises, l’AMF a souhaité conduire une réflexion sur ce nouveau cadre législatif entourant les comités d’audit. Depuis les prémices de la loi de sécurité financière de 2003 jusqu’à aujourd’hui, l’AMF a été présente sur le terrain du contrôle interne et de la gouvernance. Ainsi, en décidant de former un groupe de travail sur les comités d’audit, l’AMF a choisi de marquer sa volonté de rappeler que les comités d’audit étaient au cœur de ses préoccupations et faisaient partie des nouveaux enjeux de régulation. Suivi de l’efficacité des systèmes de contrôle interne et de gestion des risques, suivi du processus d’’élaboration de l’information financière,… les nouvelles missions du comité d’audit citées dans l’ordonnance peuvent aussi être appréhendées, non pas sous l’angle de la contrainte administrative, mais comme un facteur contribuant à la performance et à la pérennité de l’entreprise, tout en étant source de confiance durable. Même si la loi fixe le cadre légal, il est apparu opportun à l’AMF de souligner les points saillants des missions confiées au comité d’audit, d’apporter un éclairage sur son périmètre d’intervention et de proposer une démarche concrète de mise en œuvre, permettant ainsi de poser les fondamentaux et d’éviter des pratiques à géométrie variable. Parallèlement, les réflexions se sont portées vers des notions plus juridiques, comme la responsabilité, pour laquelle, au-delà des questions doctrinales, une orientation possible d’évolution a été donnée. A ce propos, il faut souligner que le comité d’audit, émanation du conseil d’administration ou du conseil de surveillance, ne diminue en aucune manière les responsabilités de ces organes dans les domaines concernés. Ceux-ci doivent délibérer sur ces sujets, ainsi que sur le rapport du président sur le contrôle interne et la gestion des risques, avec tout le soin nécessaire pour s’assurer que l’entreprise remplit pleinement ses obligations. Par ailleurs, cette réflexion a été l’occasion de mettre à jour le cadre de référence AMF sur le dispositif de contrôle interne. Ce cadre conçu et proposé par l’AMF en 2007 est avant tout un outil de progrès dont le principal objet est d’améliorer la gestion des entreprises. Cette mise à jour lui permet également de contribuer à une plus grande homogénéité des concepts sous- tendant les travaux des comités d’audit et la rédaction des rapports des présidents sur le contrôle interne et la gestion des risques. L’AMF remercie vivement l’ensemble des membres du groupe de travail pour la contribution active qu’ils ont apportée à cette réflexion. Le Président du groupe de travail Olivier Poupart-Lafarge Membre du collège de l’AMF
Mis en ligne le 14 juin 2010 3/28 Mis à jour le 22 juillet 2010
SOMMAIRE
INTRODUCTION ___________________________________________________________________________4
1. LES ANALYSES PREALABLES __________________________________________________________5
1.1. Le rappel des textes applicables ____________________________________________________5
1.1.1. La directive 2006/43/CE du 17 mai 2006 et les autres textes européens préparatoires _____5
1.1.2. L’ordonnance n°2008-1278 du 8 décembre 2008 et l’article L.823-19 du code de commerce 6
1.1.3. Le principe de territorialité ______________________________________________________6
1.2. La direction et les organes de gouvernance en matière de contrôle interne et de gestion des risques 7
1.2.1. Le rôle de la direction générale en matière de contrôle interne et de gestion des risques __7
1.2.2. Le rôle du conseil en matière de contrôle interne et de gestion des risques _____________7
2. LES PRINCIPALES MISSIONS DU COMITE D’AUDIT ________________________________________8
2.1. L’analyse des principaux termes du texte de loi _______________________________________8
2.2. Le rôle du comité d’audit et ses missions ____________________________________________8
2.2.1. La mission générale et le périmètre d’intervention du comité d’audit ___________________8
2.2.2. L’analyse des principales attributions du comité d’audit _____________________________9
3. LA COMPOSITION DES COMITES D’AUDIT _______________________________________________12
3.1. La composition____________________________________________________________________12
3.2. La compétence ____________________________________________________________________13
3.3. L’indépendance ___________________________________________________________________13
4. LE REGIME DE RESPONSABILITE ______________________________________________________13
5. LES EXEMPTIONS A L’OBLIGATION D’INSTAURER UN COMITE D’AUDIT _____________________15
6. LA MISE EN ŒUVRE DES MISSIONS DU COMITE D’AUDIT __________________________________16
6.1. L’approche de la mise en œuvre _____________________________________________________16
6.1.1. Les principes de fonctionnement du comité d’audit __________________________________16
6.1.2. La nomination des membres du comité d’audit et de son Président______________________16
6.1.3. Le niveau de diligence attendu des membres du comité d’audit_________________________16
6.1.4. Les relations du comité d’audit avec l’entreprise _____________________________________16
6.1.5. Les relations du comité d’audit avec les commissaires aux comptes ____________________17
6.1.6. Les caractéristiques des informations clés données par les différents acteurs au comité d’audit17
6.1.7. Les relations du comité d’audit avec le conseil _______________________________________18
6.1.8. L’évaluation des travaux du comité d’audit __________________________________________18
6.1.9. La spécificité du comité d’audit dans le cadre des structures à directoire et conseil de surveillance ______________________________________________________________________________18
6.1.10. Le lien entre le comité d’audit et le rapport du président sur les procédures de contrôle interne et de gestion des risques ____________________________________________________________19
6.2. Le rôle du comité d’audit dans la communication financière et la diffusion de l’information financière________________________________________________________________________________19
6.3. L’extériorisation des faiblesses significatives __________________________________________20
7. Les spécificités liées aux VaMPs _______________________________________________________21
7.1 Le choix du comité d’audit __________________________________________________________21
7.2 Le choix du conseil réuni en formation de comité d’audit_________________________________21
Mis en ligne le 14 juin 2010 4/28 Mis à jour le 22 juillet 2010
INTRODUCTION L’ordonnance du 8 décembre 2008, transposant la directive européenne 2006/43/CE du 17 mai 2006 relative au contrôle légal des comptes, a institué dans son article 14, transposé dans les articles L823-19 et L 823-20 du code de commerce, un comité spécialisé, ou comité d’audit, pour les entités dont les titres sont admis aux négociations sur un marché réglementé. Le comité a pour mission d’assurer le suivi des questions relatives à l’élaboration et au contrôle des informations comptables et financières. Il agit sous la « responsabilité exclusive et collective » des membres, selon le cas, de l’organe chargé de l’administration ou de l’organe de surveillance. Sans préjudice des compétences des organes chargés de l’administration, de la direction ou de la surveillance, le comité est notamment chargé d’assurer le suivi :
- Du processus d’élaboration de l’information financière ; - De l’efficacité des systèmes de contrôle interne et de gestion des risques ; - Du contrôle légal des comptes annuels et, le cas échéant, consolidés par les commissaires aux
comptes ; - De l’indépendance des commissaires aux comptes.
Par ailleurs, la loi DDAC1 du 3 juillet 2008 a modifié les articles L. 225-37 et L. 225-68 du code de commerce pour étendre l’objet du rapport du président du conseil sur les procédures de contrôle interne aux procédures de gestion des risques mises en place par la société. Face à ces nouvelles obligations législatives, et afin de répondre aux attentes d’un grand nombre d’acteurs de la Place sur l’articulation des nouveaux textes avec la pratique actuelle, l’AMF a constitué un groupe de travail, composé d’une trentaine de membres2, praticiens et experts de ces sujets. Ce groupe de travail a eu pour objectif de traiter à la fois du sujet relatif aux comités d’audit mais aussi de l’adaptation du cadre de référence AMF. L’un des fils conducteurs du présent rapport est la gestion des risques dans la mesure où il s’agit d’une des principales innovations de la loi. La méthodologie suivie par le groupe de travail s’est fondée sur : - L’analyse de la transposition de la directive « contrôle légal des comptes » au sein de plusieurs pays européens ; - La revue de la documentation existante sur le sujet mais aussi des pratiques actuelles observées au sein des grands groupes ; - L’interview de différentes personnalités qualifiées sur ce sujet. Le groupe de travail a choisi de mener sa réflexion autour de trois thèmes structurants : - L’analyse des textes et les principales caractéristiques du comité d’audit ; - La composition, la compétence, l’indépendance et la responsabilité du comité d’audit ; - La mise en œuvre des missions du comité d’audit. Fruit des réflexions du groupe de travail, ce rapport se veut pratique. Il précise les caractéristiques et les missions du comité, en s’attachant à définir la notion de « suivi », anaphore de ses différentes attributions et donne des conseils de mise en œuvre pratique. Ces travaux ont été conduits à la lumière des obligations essentielles pesant sur les comités d’audit. Le groupe de travail privilégie une approche pragmatique en proposant, en particulier pour les valeurs moyennes et petites (les Vamps3), un dispositif adapté. Précisons enfin que ce rapport n’a pas vocation à se substituer aux réglementations spécifiques en vigueur dans certains secteurs d’activité, comme la banque et l’assurance.
1 Loi portant diverses dispositions d’adaptation du droit des sociétés au droit communautaire, dite « loi DDAC » qui a modifié
les articles L. 225-37 et L. 225-68 du code de commerce. 2 Composition du groupe détaillée en annexe 1. 3 Sociétés ayant une capitalisation boursière inférieure ou égale à 1Md€ selon la position prise par l’AMF sur la définition des
VaMPs donnée dans le rapport Mansion (novembre 2007). Ce seuil correspond en pratique aux critères définis par Nyse
Euronext pour les sociétés cotées sur les compartiments B et C d’Euronext.
Mis en ligne le 14 juin 2010 5/28 Mis à jour le 22 juillet 2010
1. LES ANALYSES PREALABLES La mission, les attributions et le périmètre d’intervention du comité d’audit s’inscrivent dans un cadre légal qui définit le rôle et les missions du conseil d’administration ou de surveillance et de la direction générale.
1.1. Le rappel des textes applicables L’objet du présent rappel est de souligner le contexte et l’origine des discussions ayant conduit à l’adoption des dispositions européennes rendant obligatoire la mise en place de comités d’audit.
1.1.1. La directive 2006/43/CE du 17 mai 2006 et les autres textes européens préparatoires La directive 2006/43/CE du 17 mai 2006 relative au contrôle légal des comptes annuels et consolidés pose, dans son article 41, le principe de la mise en place obligatoire d’un « comité d’audit » dans certaines sociétés et structures, mettant en exergue dans son préambule le fait que l’existence de comités d’audit et de systèmes efficaces de contrôle interne « contribue à minimiser les risques financiers, opérationnels et de non-conformité » et « accroît la qualité de l’information financière (…) »4. S’agissant de la constitution et du fonctionnement des comités d’audit, le considérant 24 du Préambule de la directive soulignait que : « les États membres peuvent prendre en considération la recommandation de la Commission du 15 février 2005 concernant le rôle des administrateurs non exécutifs et des membres du conseil de surveillance des sociétés cotées et les comités du conseil d'administration ou de surveillance, qui énonce les modalités de constitution et de fonctionnement des comités d'audit ». L’article 6.1 de la recommandation de la Commission du 15 février 2005 précisait à cet égard : « Les comités de nomination, de rémunération et d'audit devraient émettre des recommandations visant à préparer les décisions que doit prendre le conseil d'administration ou de surveillance lui-même. Leur principal objet devrait être d'améliorer l'efficacité du conseil d'administration ou de surveillance, en veillant à ce que ses décisions soient mûrement réfléchies, et de l'aider à organiser ses travaux de telle sorte que ses décisions ne soient entachées d'aucun conflit d'intérêts important ».
Quant aux objectifs du comité d’audit, l’Annexe I de la recommandation du 15 février 2005 énonçait les règles suivantes : « 1. En ce qui concerne les politiques et procédures internes adoptées par la société, le comité d'audit devrait au moins aider le conseil d’administration ou de surveillance à: (i) contrôler l'intégrité de l'information financière donnée par la société, notamment en s'assurant de la pertinence et de la cohérence des normes comptables appliquées par la société et son groupe (y compris des critères de consolidation des comptes des sociétés du groupe), (ii) réexaminer, au moins annuellement, les systèmes internes de contrôle et de gestion des risques, pour s'assurer que les principaux risques (y compris les risques liés au respect de la législation et des réglementations en vigueur) sont correctement identifiés, gérés et divulgués, (iii) s'assurer de l'efficacité de la fonction d'audit interne (…) .
2.Dans le cas de l'auditeur externe engagé par la société, le comité devrait au moins: (i) faire des recommandations au conseil d’administration ou de surveillance concernant, d’une part, la sélection, la nomination, la reconduction et la révocation5 de l'auditeur externe par l’organe compétent en droit national et, d’autre part, les modalités de son embauche, (ii) s'assurer de l'indépendance et de l'objectivité de l'auditeur externe, notamment en vérifiant que le cabinet d'audit se conforme aux instructions en vigueur concernant la rotation de ses associés, le niveau des honoraires versés par la société et les autres exigences réglementaires, (iii) contrôler la nature et l'étendue des services autres que d'audit qui ont été fournis, sur la base, notamment, de la déclaration faite par l'auditeur externe de tous les honoraires versés par la société et son groupe au cabinet d'audit et à son réseau, en vue de prévenir tout conflit d'intérêts important (…)».
4 Cf. 24ème considérant du préambule de la directive. 5 Disposition non applicable en France.
Mis en ligne le 14 juin 2010 6/28 Mis à jour le 22 juillet 2010
1.1.2. L’ordonnance n°2008-1278 du 8 décembre 2008 et l’article L.823-19 du code de commerce L’ordonnance n°2008-1278 du 8 décembre 2008 a transposé la directive relative au contrôle légal des comptes en instituant l’obligation de créer un « comité spécialisé » au sein de certaines entités. Si la notion de comité d’audit issue de la directive s’est transformée en « comité spécialisé » dans l’ordonnance, cette précaution de langage trouve son origine dans la faculté laissée au conseil d’administration ou de surveillance de donner une autre dénomination au comité spécialisé, voire de créer d’autres comités en ne se limitant pas à la seule création d’un comité d’audit6. Cette transposition a été réalisée à l’article L. 823-19 qui précise : « Au sein des personnes et entités dont les titres sont admis à la négociation sur un marché réglementé, ainsi que dans les établissements de crédit mentionnés à l’article L. 511-1 du code monétaire et financier, les entreprises d'assurances et de réassurances, les mutuelles régies par le livre II du code de la mutualité et les institutions de prévoyance régies par le titre III du livre IX du code de la sécurité sociale, un comité spécialisé agissant sous la responsabilité exclusive et collective des membres, selon le cas, de l'organe chargé de l'administration ou de l'organe de surveillance assure le suivi des questions relatives à l'élaboration et au contrôle des informations comptables et financières. La composition de ce comité est fixée, selon le cas, par l'organe chargé de l'administration ou de la surveillance. Le comité ne peut comprendre que des membres de l'organe chargé de l'administration ou de la surveillance en fonctions dans la société, à l'exclusion de ceux exerçant des fonctions de direction. Un membre au moins du comité doit présenter des compétences particulières en matière financière ou comptable et être indépendant au regard de critères précisés et rendus publics par l'organe chargé de l'administration ou de la surveillance. Sans préjudice des compétences des organes chargés de l'administration, de la direction et de la surveillance, ce comité est notamment chargé d'assurer le suivi : a) Du processus d'élaboration de l'information financière ; b) De l'efficacité des systèmes de contrôle interne et de gestion des risques; c) Du contrôle légal des comptes annuels et, le cas échéant, des comptes consolidés par les commissaires aux comptes ; d) De l'indépendance des commissaires aux comptes. Il émet une recommandation sur les commissaires aux comptes proposés à la désignation par l'assemblée générale ou l'organe exerçant une fonction analogue. Il rend compte régulièrement à l'organe collégial chargé de l'administration ou à l'organe de surveillance de l'exercice de ses missions et l'informe sans délai de toute difficulté rencontrée. » C’est sur la base de cet article L.823-19 du code de commerce, que l’analyse menée par le groupe de travail a été conduite.
1.1.3. Le principe de territorialité La directive prévoit comme principe d’instaurer un comité d’audit dans toute société dont les titres sont admis aux négociations sur un marché réglementé de l’espace économique européen, la loi nationale prévoyant les modalités d’application de ce principe. Si la loi française (code de commerce) s’applique aux seules sociétés ayant leur siège social en France, il convient de préciser que, en vertu de la directive, l’obligation d’instaurer un comité d’audit s’applique également aux émetteurs ayant leur siège social en Europe et dont les titres sont admis aux négociations sur un marché réglementé - ces deux critères s’appréciant cumulativement.
6 L’article R.225-29 prévoit : "Il (le conseil d’administration) peut décider la création de comités chargés d’étudier les questions
que lui-même ou son président soumet, pour avis, à leur examen. Il fixe la composition et les attributions des comités qui
exercent leur activité sous sa responsabilité. "
Mis en ligne le 14 juin 2010 7/28 Mis à jour le 22 juillet 2010
1.2. La direction et les organes de gouvernance en matière de contrôle interne et de gestion des risques Avant d’étudier le périmètre et le rôle du comité d’audit, il convient au préalable de cerner ce qui relève des attributions du conseil d’administration7 ou de surveillance d’une part et de la direction générale8 ou du directoire d’autre part. Toutefois, l’objectif est d’identifier dans la pratique les domaines relatifs aux missions du comité d’audit, domaines qui relèvent de la responsabilité du conseil et de celle de la direction générale, en particulier en ce qui concerne le contrôle interne et la gestion des risques.
1.2.1. Le rôle de la direction générale en matière de contrôle interne et de gestion des risques La direction générale, qu’elle agisse directement ou que ses services agissent par délégation, est responsable de la qualité des systèmes de contrôle interne et de gestion des risques. Il lui incombe ainsi de concevoir et mettre en œuvre les systèmes de contrôle interne et de gestion des risques adaptés à la taille de la société, à son activité et à son organisation, et notamment de définir les rôles et responsabilités à cet égard dans la société. La direction générale procède à une surveillance continue des systèmes de contrôle interne et de gestion des risques dans l’objectif, d’une part d’en préserver l’intégrité, et d’autre part, de les améliorer, notamment en les adaptant aux changements d’organisation et d’environnement. Elle initie toute action corrective qui s’avère nécessaire pour corriger les dysfonctionnements identifiés et rester dans le périmètre de risques acceptés. Elle veille à ce que ces actions soient menées à bien. La direction générale s’assure que les informations appropriées sont communiquées en temps voulu au conseil d’administration ou de surveillance et au comité d’audit.
1.2.2. Le rôle du conseil en matière de contrôle interne et de gestion des risques Le niveau d’implication du conseil en matière de contrôle interne et de gestion des risques varie d’une société à l’autre. Toutefois, l’art. L 225-100 du code de commerce fait obligation au conseil d’administration de rendre compte des risques dans son rapport de gestion, qui doit notamment comporter :
- Une description des principaux risques et incertitudes auxquels la société est confrontée - Une description des principaux risques et incertitudes auxquels les entreprises comprises dans la
consolidation sont confrontées - Des indications sur l’utilisation des instruments financiers par l’entreprise. Ces indications portent sur les
objectifs et la politique de la société en matière de gestion des risques financiers. Elles portent également sur l’exposition de la société aux risques de prix, de crédit, de liquidité et de trésorerie.
En pratique, le conseil prend connaissance des caractéristiques essentielles des dispositifs de contrôle interne et de gestion des risques retenus et mis en œuvre par la direction générale: l’organisation, les rôles et les fonctions des principaux acteurs, la démarche, la structure de reporting des risques et de suivi du fonctionnement des dispositifs de contrôle. Il acquiert notamment une compréhension globale des procédures relatives à l’élaboration et au traitement de l’information comptable et financière. Sur le fond, le conseil veille à ce que les risques majeurs identifiés qui sont encourus par la société soient adossés à ses stratégies et à ses objectifs, et que ces risques majeurs soient pris en compte dans la gestion de la société. C’est dans ce cadre que le conseil est informé périodiquement des résultats du fonctionnement des systèmes, des principales défaillances constatées au cours de la période écoulée, et des plans d’actions arrêtés par la direction générale. En particulier, le conseil vérifie auprès de la direction générale que le dispositif de pilotage et des systèmes de contrôle interne et de gestion des risques est de nature à assurer la fiabilité de l’information financière par la
7Dans la suite du présent rapport, le « conseil » s’entend comme le conseil d’administration ou le conseil de
surveillance. 8 Dans la suite du présent rapport, la « direction générale » s’entend comme le directoire ou la direction générale.
Mis en ligne le 14 juin 2010 8/28 Mis à jour le 22 juillet 2010
société et à donner une image fidèle des résultats et de la situation financière de la société et du groupe. En tant que de besoin, le conseil peut faire usage de ses pouvoirs généraux pour faire procéder aux contrôles et vérifications qu’il juge opportuns ou prendre toute autre initiative qu’il estimerait appropriée en la matière. 2. LES PRINCIPALES MISSIONS DU COMITE D’AUDIT
2.1. L’analyse des principaux termes du texte de loi Il convient de préciser de manière concrète le sens de certains termes clés utilisés dans l’article L.823-19 du code de commerce notamment : - la notion de « suivi », dans la mesure où le terme est mis en facteur commun des quatre missions définies par cet article, et - la notion « d’information comptable et financière », dans la mesure où ce terme est utilisé au titre de la mission générale du comité d’audit.
La notion de « suivi » La mission du comité d’audit s’inscrit dans le cadre des compétences et pouvoirs reconnus aux administrateurs ou aux membres du conseil de surveillance. Elle n’implique pas un suivi quotidien des missions qui lui ont été fixées dans la mesure où elle s’inscrit par nature dans un cadre d’horizon de temps et de moyens limités. Ainsi, le terme « suivi » doit s’entendre comme une notion de surveillance active des domaines qui relèvent de la compétence du comité d’audit. Le suivi n’implique pas une action en continu du comité d’audit, mais doit lui permettre d’intervenir à tout moment jugé nécessaire ou opportun. Sur la base des informations qu’il reçoit, ce suivi amène le comité d’audit, s’il détecte des signaux d’alerte dans le cadre de sa mission, à s’en entretenir avec la direction générale et à transmettre le cas échéant l’information au conseil. Il ne lui appartient donc pas de se substituer à la direction générale pour intervenir directement s’il a connaissance d’un dysfonctionnement ou d’un risque de dysfonctionnement. Ce suivi conduit les membres du comité d’audit à prendre le recul nécessaire en s’appuyant sur des informations synthétiques, afin de lui permettre d’avoir une compréhension suffisante des procédures mises en place et des principaux résultats des contrôles effectués et de l’avancement des plans de maîtrise des risques. Par ailleurs, le comité d’audit peut, dans le cadre de ses missions, se saisir de toute question qu’il juge utile ou nécessaire et demander à la direction générale toute information.
La notion « d’information comptable et financière »9 L’information comptable et financière s’entend des informations comptables et financières tant historiques (informations périodiques), que prévisionnelles ou d’autres informations financières issues d’un processus d’élaboration structuré. Les informations prévisionnelles sont les prévisions de résultats publiées par les entreprises ou utilisées pour des évaluations comptables.
2.2. Le rôle du comité d’audit et ses missions A titre liminaire, il convient de rappeler que le rôle du comité d’audit ne se substitue pas à celui de la direction générale.
2.2.1. La mission générale et le périmètre d’intervention du comité d’audit
9 Cette définition de l’information comptable et financière trouve à s’appliquer notamment dans le cadre de la mission dévolue
au comité d’audit en application de de l’article L.823-19 du code de commerce..
Mis en ligne le 14 juin 2010 9/28 Mis à jour le 22 juillet 2010
Le comité d’audit assure un rôle prépondérant en matière comptable et financière dans la mesure où il est chargé d’assurer le suivi des questions relatives à l'élaboration et au contrôle de ces informations. Il prépare les travaux du conseil dans le cadre de l’arrêté des comptes annuels ou de l’examen des comptes semestriels. En ce sens, le comité d’audit joue un rôle de « conseil » auprès de l'organe chargé de l'administration ou de la surveillance, et en particulier pour ce qui relève des attributions spécifiques fixées par la loi. Rappelons que la loi attribue explicitement au comité d’audit le suivi :
a) Du processus d'élaboration de l'information financière ; b) De l'efficacité des systèmes de contrôle interne et de gestion des risques ; c) Du contrôle légal des comptes annuels et, le cas échéant, des comptes consolidés par les commissaires aux comptes ; d) De l'indépendance des commissaires aux comptes.
Dans la mesure où l’article L.823-19 du code de commerce prévoit que le comité d’audit est notamment chargé d’assurer le suivi des points mentionnés aux paragraphes a) à d), il en ressort que le conseil, pour les fonctions qui lui incombent, peut confier au comité d’audit toute autre mission qu’il juge opportune.
Le périmètre d’intervention du comité d’audit en matière de suivi de l’efficacité des systèmes de contrôle interne et de gestion des risques
Le groupe de travail s’est interrogé sur le périmètre d’intervention du comité d’audit dans le cadre de sa mission de suivi de l’efficacité des systèmes de contrôle interne et de gestion des risques. De façon générale, les systèmes de contrôle interne et de gestion des risques10 ne se limitent pas aux seuls aspects financiers et comptables et couvrent l’ensemble des domaines de l’entreprise. Comme le comité d’audit assure, dans le cadre de ses prérogatives, un rôle prépondérant en matière comptable et financière, il lui appartient de s’assurer qu’il existe un processus d’identification et d’analyse des risques susceptibles d’avoir une incidence significative sur l’information comptable et financière et notamment sur le patrimoine de la société, et ce quel que soit leur horizon de temps. Il appartient par ailleurs à la direction générale d’assurer le suivi et la gestion des risques. Même si les décisions de gestion portant sur les risques relèvent de l’action de la direction générale, le rôle du comité d’audit est de suivre à la fois leur identification et leur analyse, ainsi que leur évolution dans le temps. Cela signifie que le comité d’audit doit inclure dans son champ d’examen :
- Les risques ayant fait l’objet d’une traduction comptable (y compris information en annexe) ; - Les risques identifiés par les systèmes de contrôle interne et de gestion de risques mis en place par la direction générale et pouvant avoir une incidence sur les comptes.
Le comité d’audit peut aussi être amené à envisager les impacts potentiels sur l’information comptable et financière d’un risque non identifié significatif qui viendrait à sa connaissance ou qu’il aurait identifié dans le cadre de ses travaux. Par ailleurs, le conseil a la faculté de se saisir du suivi des autres risques principaux identifiés par la direction générale ou de confier ce suivi au comité d’audit ou à d’autres comités du conseil.
2.2.2. L’analyse des principales attributions du comité d’audit
Le suivi du processus d'élaboration de l'information financière
L’expression « processus d’élaboration » sous-entend qu’il n’est pas demandé au comité d’audit de suivre (au sens contrôler et/ou vérifier) l’information financière elle-même, dont la charge incombe à la direction générale,
10 Il s’agit notamment des risques opérationnels, de crédit, de liquidité, de marché, juridiques, stratégiques, industriels &
environnementaux, éthique, … (cf. recommandation de l’AMF sur les facteurs de risques publiée le 29 octobre 2009).
Mis en ligne le 14 juin 2010 10/28 Mis à jour le 22 juillet 2010
mais d’être informé de l’architecture d’ensemble des systèmes permettant d’élaborer cette information. Les systèmes de remontée comptable, s’appuyant eux-mêmes sur l’organisation globale des entreprises font naturellement partie de cette architecture qu’il convient de connaître. Le processus d’élaboration de l’information financière concerne les informations comptables et financières. Partant, il ne doit pas être circonscrit au seul processus d’élaboration de l’information comptable. En effet, l’information financière est :
- soit issue d’un processus comptable, et doit, dans ce cas, être cohérente avec l’information comptable produite, - soit n’est pas issue d’un processus comptable, et le comité d’audit doit alors s’assurer que l’information provient d’un processus suffisamment structuré ou organisé, pour permettre de juger de la qualité et de la fiabilité de cette information (par exemple, informations prévisionnelles, objectifs, indicateurs de performance non normés, plan de restructuration, ….).
En outre, au-delà du suivi du processus lui-même, le comité d’audit revoit l’information comptable et financière et en particulier les comptes en s’interrogeant sur la traduction comptable des événements importants ou des opérations complexes (acquisitions ou cessions significatives, restructurations, opérations de couverture, existence d’entités adhoc, provisions importantes…) qui ont eu une incidence sur les comptes de l’entreprise. Cette démarche lui permet de comprendre de quelle manière ces questions complexes sont prises en compte dans le processus d’élaboration de l’information financière et ce faisant, de bien remplir sa mission. Il ne s’agit pas pour le comité d’audit de s’interroger sur le fond, la raison stratégique ou la substance d’une opération ou de juger de sa pertinence, sujets qui relèvent du conseil d’administration, mais bien de s’interroger sur le processus d’élaboration de l’information financière et sur la traduction comptable de ces opérations. En cas de dysfonctionnement dans le processus d’élaboration de l’information financière, le comité d’audit s’assure que les actions correctrices ont été mises en place.
Le suivi de l'efficacité des systèmes de contrôle interne et de gestion des risques; Le comité d’audit s’assure du suivi de l’efficacité des systèmes de contrôle interne et de gestion des risques, sur la base des informations qui lui sont communiquées ou qu’il demande. Les systèmes de contrôle interne et de gestion des risques doivent s’appuyer sur un référentiel. En ce sens, le cadre de référence de l’AMF ou tout autre référentiel connu sont des outils nécessaires à la correcte mise en œuvre de l’efficacité des dits systèmes. Le comité d’audit veille à l’existence des systèmes de contrôle interne et de gestion des risques, et à leur déploiement et s’assure que les faiblesses identifiées donnent lieu à des actions correctrices. En revanche, il n’intervient pas dans la mise en œuvre des dits systèmes. Par ailleurs, le comité d’audit, pour réaliser sa mission de suivi de l’efficacité des systèmes de contrôle interne et de gestion des risques, doit pouvoir prendre connaissance des résultats des travaux de l’audit interne et/ou de l’audit externe réalisés sur ces sujets, afin de s’assurer qu’en cas de dysfonctionnements relevés, les plans d’actions appropriés ont été mis en place et des suites ont été données. Lorsque l’on évoque le suivi de l’efficacité des systèmes de contrôle interne et de gestion des risques, la notion de dysfonctionnement est importante. Le comité d'audit doit en effet veiller à ce que des systèmes soient mis en place pour détecter et corriger d’éventuels dysfonctionnements. Dans cette perspective, le comité d’audit apprécie l’importance des dysfonctionnements qui lui sont communiqués, et en informe le conseil, le cas échéant. La mise en œuvre des actions correctrices est du ressort de la direction générale.
Mis en ligne le 14 juin 2010 11/28 Mis à jour le 22 juillet 2010
Le suivi du contrôle légal des comptes annuels et, le cas échéant, des comptes consolidés par les
commissaires aux comptes
En préambule, on rappelle qu’en application de l’article L.823-16 du code de commerce, les commissaires aux comptes portent à la connaissance « du comité spécialisé (…)
1) Leur programme général de travail mis en œuvre ainsi que les différents sondages auxquels ils ont procédé ; 2) Les modifications qui leur paraissent devoir être apportées aux comptes devant être arrêtés ou aux autres documents comptables, en faisant toutes observations utiles sur les méthodes d’évaluation utilisées pour leur établissement ; 3) Les irrégularités et les inexactitudes qu’ils auraient découvertes ; 4) Les conclusions auxquelles conduisent les observations et rectifications ci-dessus sur les résultats de la période comparés à ceux de la période précédente ».
L’objectif de ce suivi du contrôle légal des comptes est de permettre au comité d’audit de prendre connaissance des principales zones de risques ou d’incertitudes sur les comptes annuels ou consolidés (y compris les comptes semestriels) identifiées par les commissaires aux comptes, de leur approche d’audit et des difficultés éventuellement rencontrées dans l’exécution de leur mission. Le comité d’audit examine les principaux éléments ayant un impact sur l’approche d’audit (périmètre de consolidation, opérations d’acquisitions cessions, options comptables, nouvelles normes appliquées, opérations importantes…) et les risques significatifs relatifs à l’élaboration et au traitement de l’information comptable et financière, identifiés par le commissaire aux comptes. Par ailleurs, le comité d’audit échange avec les commissaires aux comptes et examine leurs conclusions. Ce suivi des conclusions permet au comité d’audit de mieux apprécier la qualité du processus d’élaboration de l’information comptable et financière et de porter une attention particulière aux points d’audit identifiés par les commissaires aux comptes. A partir des informations qu’il reçoit, le comité d’audit veille au respect des obligations légales et réglementaires en matière d’information comptable et financière. Au regard de la complexité des normes comptables, il sera plus particulièrement attentif à l’information publiée au titre des estimations comptables et jugements de la direction, afin d’en apprécier le caractère raisonnable. Son attention est également portée sur les points d’audit identifiés au cours de l’examen des comptes, en particulier ceux ayant fait l’objet de discussions avec la direction financière. Le commissaire aux comptes informe le comité d’audit de la nature et de l’importance des anomalies constatées dans les comptes et, conformément à l’article L.823-16 du code de commerce, des faiblesses significatives du contrôle interne pour ce qui concerne les procédures relatives à l’élaboration et au traitement de l’information comptable et financière. Au-delà de l’audit des comptes, le comité d’audit s’entretient avec les commissaires aux comptes des obligations spécifiques imposées par la loi, comme par exemples : la procédure d’alerte (hors phase 1), les opérations particulières sur le capital, le respect de l’égalité entre les actionnaires, le contrôle des documents prévisionnels, le contrôle des informations périodiques lorsque celles-ci ont fait l’objet d’un examen par les commissaires aux comptes, etc... . Parallèlement, il prend connaissance des résultats des diligences directement liées à la mission du commissaire aux comptes qui ont pu être demandées par la direction générale. Le comité d’audit assure également le suivi du budget des honoraires des commissaires aux comptes afin de vérifier que les budgets proposés sont en adéquation avec la mission et s’assure que le co-commissariat, le cas échéant, est effectif.
Le suivi de l'indépendance des commissaires aux comptes
Les commissaires aux comptes examinent avec le comité d’audit les risques pesant sur leur indépendance, en application de l’article L.823-16 du code de commerce. Ils lui communiquent chaque année :
Mis en ligne le 14 juin 2010 12/28 Mis à jour le 22 juillet 2010
a) Une déclaration d'indépendance ;
b) Le montant global des honoraires versés au réseau des commissaires aux comptes par les sociétés contrôlées par la société ou la société qui la contrôle, au titre des prestations qui ne sont pas directement liées à la mission du commissaire aux comptes.
c) Une information sur les prestations accomplies au titre des diligences directement liées à la mission.
Le comité d’audit examine avec les commissaires aux comptes les mesures de sauvegarde qu’ils ont prises pour atténuer les risques éventuels d’atteinte à leur indépendance et s’assurer qu’ils respectent les dispositions légales et réglementaires relatives aux incompatibilités prévues au code de déontologie de la profession de commissaire aux comptes. En cas d’incertitudes sur certaines prestations, le comité d’audit demande au commissaire aux comptes son analyse et son interprétation des textes si les différents cas ne sont pas expressément traités par les textes, fondées, le cas échéant, sur les avis formulés par le Haut Conseil du commissariat aux comptes. Il s’assure que le co-commissaire est également informé de ces prestations. Le cas échéant, le comité d’audit peut demander à la direction générale ou au commissaire aux comptes de solliciter une saisine du Haut Conseil du commissariat11 aux comptes pour clarifier des positions ambigües. Le comité d’audit s’assure que le commissaire aux comptes dispose, au sein de son cabinet, d’une procédure d’autorisation préalable à la réalisation des diligences directement liées à la mission du commissaire aux comptes et des prestations12 réalisées par le réseau auquel le commissaire aux comptes appartient. Par ailleurs, le comité d’audit émet une recommandation sur les commissaires aux comptes proposés à la désignation par l'assemblée générale s’appuyant le cas échéant sur une procédure d’appel d’offres. 3. LA COMPOSITION DES COMITES D’AUDIT
3.1. La composition En application de l’article L.823-19 du code de commerce, c’est au conseil qu’il incombe de fixer la composition du comité d’audit. Le conseil jouit d’une grande liberté dans la détermination de la composition du comité d’audit. La loi ne fixe pas le nombre de membres qui doivent composer le comité d’audit. A cet égard, conformément à ce qu’a pu recommander la Commission Européenne le 15 février 2005, il est opportun que tout comité d’audit soit composé d’au moins trois membres. Par exception, le comité d’audit des « Vamps » pourrait, sous réserve d’explications du conseil dans sa délibération, n’être composé que de deux personnes. A ce principe de liberté dans la fixation de la composition du comité d’audit, l’article L.823-19 du code de commerce vient toutefois apporter deux tempéraments. D’une part, le comité d’audit ne peut être composé que de membres du conseil, étant observé que les membres du comité d’audit ne doivent pas exercer par ailleurs de fonctions au sein de la direction13. Cette disposition est une façon d’imposer un minimum d’indépendance de l’ensemble des membres du comité d’audit (outre l’exigence spécifique d’indépendance à l’égard d’un de ces membres). D’autre part, l’un des membres au moins du comité d’audit doit présenter « des compétences particulières en matière financière ou comptable » et être « indépendant » (sur ces deux notions, cf. infra).
11 Article R.821-6 du code de commerce 12 Le terme « prestation » s’appuie sur l’article L.822-11 du code de commerce. 13 La notion de direction doit s’entendre dans une acception large, à savoir les mandataires sociaux exerçant des fonctions
exécutives mais aussi tous les membres de la direction générale (DG, DAF, ..).
Mis en ligne le 14 juin 2010 13/28 Mis à jour le 22 juillet 2010
Ces deux dispositions sont les deux seules exigences posées par la loi. Ceci étant rappelé, le groupe de travail est favorable à ce que les membres du comité d’audit, autres que l’expert, disposent de compétences minimales en matière financière et comptable à défaut d’expertise en la matière. En ce sens, le conseil devrait s’assurer, avant de procéder à leur nomination, que les autres membres du comité d’audit justifient des compétences minimales. En outre, la loi impose au conseil de rendre public les critères de compétences particulières et d’indépendance, en fonction desquels un membre au moins a été désigné... Le groupe de travail recommande que la publication de ces critères soit effectuée dans le document de référence de la société ou dans le rapport du président du conseil sur la gouvernance, et invite à identifier la ou les personnes désignées comme telles.
3.2. La compétence C’est au conseil qu’il incombe d’arrêter les critères de compétence requis. Ni la directive 2006/43, ni l’article L.823-19 du code de commerce ne donnent en effet une définition de la compétence exigée en matière financière ou comptable. D’une manière générale, les compétences attendues doivent porter dans le domaine financier ou dans le domaine de la comptabilité des sociétés cotées, étant précisé qu’il est souhaitable que le membre choisi pour ses compétences puisse justifier d’une compétence particulière dans ces deux domaines. A cet égard, une attention pourra également être portée sur une compétence en matière de contrôle interne et de gestion des risques, au regard des missions fixées au comité d’audit. La compétence ainsi requise peut être appréciée au regard de l’expérience professionnelle du membre du comité d’audit, de sa formation académique et/ou de sa connaissance de l’activité propre de la société. L’expérience professionnelle acquise dans des fonctions au sein d’une direction générale, d’une direction financière ou d’un cabinet d’audit, est de nature à caractériser des compétences particulières en matière financière ou comptable.
3.3. L’indépendance Le conseil peut opportunément fixer les critères d’indépendance14 au regard de ceux énumérés notamment par le code de gouvernement d’entreprise des sociétés cotées AFEP-MEDEF, ou pour les « Vamps » le code de gouvernement d’entreprise de Middlenext, étant observé que les critères d’indépendance applicables aux membres du comité d’audit d’une société sont ceux appliqués aux administrateurs ou membres du conseil de surveillance de cette même société. 4. LE REGIME DE RESPONSABILITE L’article L.823-19 du code de commerce dispose, en ce qui concerne la responsabilité civile des membres du comité spécialisé, que ces derniers agissent : « (…) sous la responsabilité exclusive et collective des membres, selon le cas, de l’organe chargé de l’administration ou de l’organe de surveillance (…) ». D’aucuns pourraient considérer que cet article conduit à ce que les membres du conseil, en tant que collectivité, soient tous ensemble civilement responsables des agissements des membres du comité spécialisé15, et que les membres du comité spécialisé ne sauraient être responsables ès qualités de leurs actes. Une telle analyse ne peut être retenue.
14 Cf. annexe 2. 15 Rappelons qu’en tout état de cause, les membres du conseil d’administration ne peuvent être tenus pénalement
responsables des agissements des membres du comité spécialisé, en ce que le droit français ne connait pas la responsabilité
pénale du fait d’autrui.
Mis en ligne le 14 juin 2010 14/28 Mis à jour le 22 juillet 2010
En premier lieu, cette interprétation ne peut se rattacher à aucun des textes communautaires à l’origine de cette disposition : la directive du 17 mai 2006 comme la recommandation de la Commission européenne du 15 février 2005 n’évoquent que la question de la responsabilité au sens large (« responsibility », soit « avoir la charge de ») et non de la responsabilité juridique stricto sensu (« liability »). En second lieu, et surtout, une telle interprétation va à l’encontre du droit commun de la responsabilité des administrateurs régi à l’article L.225-251 du code de commerce. En application du droit commun, les administrateurs sont soit jugés individuellement responsables, soit jugés responsables de manière solidaire entre eux. Si la responsabilité solidaire vise la situation dans laquelle plusieurs administrateurs sont ensemble responsables, il reste qu’elle ne constitue pas une responsabilité « collective » ; en effet, la mise en œuvre de la responsabilité solidaire requiert une faute personnelle de chacun des administrateurs responsables, là où la responsabilité collective implique que les administrateurs ne peuvent en aucune façon s’exonérer de leur responsabilité, alors même qu’ils démontreraient n’avoir commis aucune faute. Or, ainsi que la chambre commerciale de la Cour de cassation l’a jugé le 30 mars 2010, le droit commun ne rend les administrateurs civilement responsables que des fautes qui leur sont imputables personnellement ; ils ne sauraient être condamnés en l’absence de faute16. C’est dire qu’une interprétation littérale de l’article L.823-19 du code de commerce aboutirait à une situation étonnante dans laquelle, à côté du régime de principe de responsabilité des administrateurs pour faute, existerait un régime de responsabilité sans faute de ces mêmes administrateurs à raison des agissements du comité d’audit17. En réalité, l’article L.823-19 signifie que les agissements du comité d’audit doivent être rattachés à la responsabilité du conseil. Le terme « exclusive » implique l’absence de responsabilité propre des membres du comité d’audit : ces derniers ne sauraient être responsables de leurs actes qu’en leur qualité de membres du conseil, et non en qualité de membres du comité spécialisé. Quant aux termes de « responsabilité collective », notion inconnue du droit français jusqu’alors, le législateur semble les avoir utilisés pour indiquer que les agissements des membres du comité spécialisé relèvent, par principe, de la collectivité des administrateurs. Si l’ensemble des administrateurs est a priori responsable, les administrateurs conservent toutefois la faculté de s’exonérer de leur responsabilité en démontrant qu’ils se sont comportés en administrateurs prudents et diligents, notamment en s’opposant à la décision fautive prise par le conseil, en faisant consigner au procès-verbal leurs suggestions et réticences, voire en présentant leur démission. En ce sens, la responsabilité des administrateurs du fait des agissements du comité spécialisé est celle de droit commun. Cette interprétation permet de rester en accord avec le droit positif français qui ne reconnaît pas la notion de responsabilité collective et exige qu’une faute puisse être imputée à un administrateur pour que celui-ci soit condamné. Elle aboutit en outre à une solution semblable à celle qui existe en principe dans les autres Etats Membres de l’Union Européenne. Cependant et afin de conforter cette dernière interprétation de la notion de responsabilité, l’AMF a saisi la Chancellerie sur ce point en lui proposant de modifier la loi.
16 L’arrêt n°08-17.841 rendu par la Cour de cassation le 30 mars 2010 énonce certes que la faute de l’administrateur ou du
membre du directoire est présumée ; ce dernier conserve toutefois la faculté de s’exonérer de sa responsabilité en démontrant
qu’il s’est comporté en administrateur prudent et diligent, notamment en s’opposant à la décision fautive prise par le conseil
d’administration, en faisant consigner au procès-verbal ses suggestions et réticences, voire en présentant sa démission. 17 Relevons à cet égard que l’article R.225-29 du code de commerce qui autorise le conseil d’administration à créer des comités
ad hoc, dispose que ces comités exercent leur activité sous la responsabilité du conseil. Il n’est nullement précisé que cette
responsabilité serait « exclusive et collective ». Il en est de même pour les comités créés par le conseil de surveillance dans le
cadre de l’art. R 225-56 du code de commerce.
Mis en ligne le 14 juin 2010 15/28 Mis à jour le 22 juillet 2010
5. LES EXEMPTIONS A L’OBLIGATION D’INSTAURER UN COMITE D’AUDIT La loi a prévu, dans son article L.823-20 du code de commerce, des principes d’exemption à l’obligation d’instaurer un comité d’audit, repris ci-après :
Sont exemptés des obligations mentionnées à l’article L.823-19 : 1° Les personnes et entités contrôlées au sens de l’article L.233-16, lorsque la personne ou l'entité qui les contrôle est elle-même soumise aux dispositions de l'article L. 823-19 ; 2° Les organismes de placement collectif mentionnés à l’article L. 214-1 du code monétaire et financier ; 3° Les établissements de crédit dont les titres ne sont pas admis à la négociation sur un marché réglementé et qui n'ont émis, de manière continue ou répétée, que des titres obligataires, à condition que le montant total nominal de ces titres reste inférieur à 100 millions d'euros et qu'ils n'aient pas publié de prospectus ; 4° Les personnes et entités disposant d'un organe remplissant les fonctions du comité spécialisé mentionné à l'article L. 823-19, sous réserve d'identifier cet organe, qui peut être l'organe chargé de l'administration ou l'organe de surveillance, et de rendre publique sa composition.
Les exemptions prévues au 1° et 4° conduisent à apporter les précisions suivantes. Dans l’exemption prévue au 1°, la notion de société contrôlée au sens de l’article L.233-16, ne recouvre que les sociétés contrôlées de droit ou de fait. En conséquence, un émetteur consolidé par mise en équivalence par une autre société dont les titres sont admis aux négociations sur un marché réglementé et dotée d’un comité d’audit ne peut bénéficier de cette exemption et doit constituer un comité d’audit. Dans le cadre d’une bonne gouvernance, le groupe de travail recommande cependant que les sociétés cotées contrôlées mettent en place un comité d’audit afin de favoriser la protection des intérêts de leurs actionnaires minoritaires. L‘exemption prévue au 4°, s’applique à toutes les sociétés indépendamment de leur taille. Cependant, le groupe de travail recommande que cette exemption ne concerne que les sociétés répondant aux critères des « Vamps »18. Lorsqu’une société décide d’attribuer les compétences du comité d’audit à son conseil, aucune disposition particulière n’encadre la composition du conseil pris en sa qualité de comité d’audit. Spécialement, dans cette hypothèse, la loi n’exige pas la présence d’un membre indépendant et compétent, ni même que le président du conseil ne soit pas un membre exerçant des fonctions de direction. Le groupe de travail recommande cependant que l’organe remplissant les fonctions du comité d’audit comprenne un membre ayant au moins des compétences particulières en matière financière ou comptable et indépendant. En outre, il recommande que lorsque le président est un membre exécutif, il s’abstienne d’assister à la réunion du conseil, réuni en formation de comité d’audit. Cependant, le président exécutif peut être invité à participer à une partie de la réunion. De par la vacance du poste de président au cours de cette séance, le groupe de travail invite à confier la présidence du conseil réuni en formation de comité d’audit à la personne désignée comme compétente et indépendante. Le conseil justifie sa position dans le document de référence et/ou le rapport du Président du conseil sur la gouvernance.
18 Sociétés cotées sur les compartiments B et C d’Euronext. Ces critères sont susceptibles d’être modifiés dans le cadre de la
future revue de la directive prospectus.
Mis en ligne le 14 juin 2010 16/28 Mis à jour le 22 juillet 2010
6. LA MISE EN ŒUVRE DES MISSIONS DU COMITE D’AUDIT Le groupe de travail a souhaité dans cette partie s’intéresser à la déclinaison pratique des missions du comité d’audit et à son fonctionnement. L’objectif du groupe a été de proposer une approche méthodologique synthétique qui permette à toute entreprise de mettre en place un comité d’audit qui joue pleinement son rôle. Il ne s’agit donc pas de refaire les très nombreux travaux19 qui existent déjà, auxquels on pourra utilement se référer, mais plutôt de présenter une approche opérationnelle qui réponde aux besoins des sociétés cotées, en leur apportant les outils nécessaires au bon fonctionnement de leur comité d’audit.
6.1. L’approche de la mise en œuvre
6.1.1. Les principes de fonctionnement du comité d’audit La loi étant restée silencieuse sur les modalités de fonctionnement du comité d’audit, la fixation de celles-ci est donc de la compétence exclusive du conseil. Le règlement intérieur20 du conseil rappelle les missions du comité d’audit telles que prévues par la loi ainsi que les missions spécifiques qui lui ont été confiées par le conseil. Il fixe également les principes et les modalités d’organisation du comité d’audit (nombre de réunions, établissement d’un programme de travail annuel, fixation d’un ordre du jour, délai de mise à disposition des documents,...). S’agissant du programme de travail annuel du comité d’audit, il est adapté à la taille, aux caractéristiques, mais aussi à l’actualité de la société (restructuration, opérations de croissance externe,…) et aux résultats des précédents travaux du comité d’audit.
6.1.2. La nomination des membres du comité d’audit et de son Président En application de l’article L.823-19 du code de commerce, c’est au conseil que revient la charge de fixer la composition du comité d’audit. Même si la désignation d’un président n’est pas expressément prévue par la loi, cette pratique est vivement recommandée car elle permet à la fois d’organiser et de structurer les travaux du comité. Elle facilite également la représentation du comité d’audit auprès du conseil. Le conseil pourra prévoir une répartition appropriée des jetons de présence aux membres du comité d’audit, eu égard notamment à la charge de travail de celui-ci.
6.1.3. Le niveau de diligence attendu des membres du comité d’audit Les missions du comité d’audit s’inscrivent dans le cadre des compétences et pouvoirs reconnus aux administrateurs ou membres du conseil de surveillance. En ce sens les membres du comité d’audit doivent, en tant qu’administrateurs, être à la fois prudents et diligents. Dans la mesure où l’exercice de ses missions s’inscrit par nature dans un horizon de temps et de moyens limités, le comité d’audit doit donc prendre le recul suffisant pour s’assurer que le programme de travail qu’il a établi, lui permet bien de remplir les missions qui lui incombent.
6.1.4. Les relations du comité d’audit avec l’entreprise
Le comité d’audit peut entendre les acteurs de l’entreprise qu’il juge utiles dans l’exercice de sa mission parmi lesquels les membres de la direction générale. Le ou les responsables des fonctions comptables ou financières sont habituellement les interlocuteurs privilégiés du comité d’audit.
19 Cf. annexe 3. 20 Document préconisé par les codes de gouvernement d’entreprise des sociétés cotées AFEP-MEDEF et de Middlenext
Mis en ligne le 14 juin 2010 17/28 Mis à jour le 22 juillet 2010
Le comité d’audit peut s’entretenir également, lorsque ces fonctions existent au sein de l’entreprise, avec les responsables des fonctions trésorerie, audit interne, contrôle interne, contrôle de gestion, gestion des risques, juridique, etc... ainsi que, le cas échéant, avec les responsables des directions opérationnelles. De tels entretiens et/ou réunions permettent aux membres du comité d’audit de remplir plus efficacement leur mission. Ces entretiens et/ou réunions sont à l’initiative des membres du comité d’audit qui en définissent les conditions et les objectifs attendus. Il importe en pratique que le comité d’audit puisse réaliser ses entretiens et/ou réunions, lorsqu’il le souhaite, en dehors de la présence du ou des responsables des fonctions comptables ou financières ou des membres de la direction générale.
Les relations entre le comité d’audit de la maison mère et les comités d’audit des filiales. Dans le cadre de groupes, il se peut que plusieurs sociétés d’un même groupe coté aient également des comités d’audit, soit sur une base volontaire, soit parce qu’il s’agit de sociétés dont les titres sont admis à la négociation sur un marché réglementé. Les relations entre les différents comités d’audit d’un même groupe ne sont régies par aucun texte et il n’existe aucune règle d’encadrement, notamment des échanges d’information entre le comité d’audit de la société tête de groupe et les comités d’audit des filiales. Dans le cas des filiales intégrées globalement dans les comptes consolidés de la société mère, il est opportun que le comité d’audit de la société mère puisse prendre notamment connaissance des éléments significatifs des conclusions des comités d’audit des filiales relatives aux procédures de reporting comptable ou financier du groupe ou aux procédures de contrôle interne et de gestion des risques. Le comité d’audit de la filiale pourra, le cas échéant, transmettre, par l’intermédiaire des organes sociaux compétents, au comité d’audit de la société mère les faiblesses significatives relevées par les commissaires aux comptes. De la même façon, dans le cas des sociétés mises en équivalence dans les comptes consolidés de la société mère, un dialogue entre les comités d’audit, par l’intermédiaire des organes sociaux compétents, paraît envisageable sauf si l’influence notable qu’exerce la société n’est pas suffisante en pratique pour permettre des échanges précis d’informations dans des délais compatibles avec le reporting de la société tête de groupe.
6.1.5. Les relations du comité d’audit avec les commissaires aux comptes Le comité d’audit s’entretient avec les commissaires aux comptes à l’occasion de chaque arrêté comptable annuel et intermédiaire et autant de fois qu’il l’estime opportun. Ces relations sont particulièrement importantes car la loi demande au comité d’audit d’assurer le suivi du contrôle légal des comptes annuels et, le cas échéant, consolidés par les commissaires aux comptes et d’assurer le suivi de l’indépendance des commissaires aux comptes. Il organise au moins une fois par an un entretien hors la présence des représentants de l’entreprise.
6.1.6. Les caractéristiques des informations clés données par les différents acteurs au comité d’audit Le comité d’audit s’appuie principalement sur des informations synthétiques fournies par les directions et sur les entretiens qu’il réalise. Dans ce cadre, le comité d’audit est destinataire, dans un délai raisonnable, avant ses réunions, de documents et analyses pertinents dont les contenus et formats doivent assurer la comparabilité dans le temps des informations et permettre aux membres du comité d’audit d’avoir le confort nécessaire sur les informations attendues. Ces documents couvrent les sujets relatifs aux différentes missions dévolues au comité d’audit. Ainsi, par exemple, concernant l’information financière ou comptable, il s’agit, en complément des comptes, de notes de synthèse relatives aux changements de méthodes comptables, aux grandes options de clôture, aux transactions significatives et inhabituelles, à la situation financière, au suivi des estimations et jugements de la direction, voire des litiges et autres engagements (y compris hors-bilan). Il s’agit également de notes de synthèse portant sur les
Mis en ligne le 14 juin 2010 18/28 Mis à jour le 22 juillet 2010
procédures de contrôle interne, de la synthèse21 des travaux réalisés par les commissaires aux comptes et de la synthèse réalisée par le service d’audit interne, s’il existe. Ces documents doivent couvrir tous les points susceptibles d’avoir une incidence significative sur les comptes et la communication financière afférente. S’agissant de la gestion des risques, la direction générale communiquera notamment les résultats de ses travaux sur l’identification et l’analyse des risques et fera le lien avec les informations publiées sur les risques. Le comité d’audit peut demander par ailleurs à avoir accès à toute autre information qu’il juge pertinente dans l’exercice de ses fonctions. Enfin, le comité d’audit peut recourir à des experts extérieurs lorsque la situation l’exige, après en avoir informé le président du conseil ou le conseil lui-même, charge à lui d’en rendre compte au conseil.
6.1.7. Les relations du comité d’audit avec le conseil Le comité d’audit ne doit pas se substituer au conseil. Il en est une émanation qui effectue un travail préparatoire pour le conseil. Dans ce cadre, les travaux du comité d’audit font l’objet d’un compte-rendu régulier au conseil, au moins à l’occasion de chaque arrêté des comptes annuels et semestriels. Le compte-rendu est formalisé par écrit dans le procès-verbal du conseil. Il pourra, le cas échéant, faire l’objet d’un document spécifique. Ce compte-rendu peut comprendre, outre la synthèse des travaux du comité d’audit, ses avis et recommandations au conseil. Compte tenu de l’importance des travaux du comité d’audit il convient de lui ménager une plage de temps suffisante pour présenter ses résultats et les conclusions de ses travaux, lors de la réunion du conseil.
6.1.8. L’évaluation des travaux du comité d’audit Il est recommandé que la question de l’évaluation du comité d’audit soit évoquée chaque année, à l’occasion du point sur le fonctionnement du conseil dans son ensemble. A cette occasion, le conseil apprécie les missions effectivement réalisées par le comité d’audit au regard des objectifs qui lui ont été fixés et du plan de travail initialement défini et formule des pistes d’amélioration du fonctionnement du comité.
6.1.9. La spécificité du comité d’audit dans le cadre des structures à directoire et conseil de surveillance A la différence du conseil d’administration, le conseil de surveillance est tenu, aux termes de l'article L.225-68 du code de commerce, d' « exercer le contrôle permanent de la gestion de la société par le directoire ». Le conseil de surveillance, contrairement au conseil d'administration, n'est donc tenu que d'une fonction de surveillance. L'article L.225-68 du code de commerce apporte par ailleurs une précision en son alinéa 5 en disposant que "Après la clôture de chaque exercice et dans le délai fixé par décret en Conseil d'Etat [trois mois - voir article R225-55 du même Code], le directoire lui présente, aux fins de vérification et de contrôle, les documents visés au deuxième alinéa de l'article L.225-100 [c'est-à-dire notamment, les comptes annuels et consolidés]". L'alinéa 6 ajoute que "le conseil de surveillance présente à l'assemblée générale [...] ses observations sur le rapport du directoire ainsi que sur les comptes de l'exercice". Il en résulte que la surveillance exercée par le conseil de surveillance s'exerce, selon le code de commerce, ex post, c'est-à-dire après l'arrêté des comptes par le directoire. En pratique, le directoire arrête les comptes, les présente au comité d’audit qui formule ses observations au conseil de surveillance. L’intervention obligatoire du comité d’audit pouvant allonger les délais pour que les comptes soient effectivement contrôlés par le conseil de surveillance, le groupe de travail recommande que la mission confiée au comité
21 Cette synthèse doit inclure notamment les principaux ajustements proposés et pris en compte ou non par la direction
générale.
Mis en ligne le 14 juin 2010 19/28 Mis à jour le 22 juillet 2010
n’allonge pas, autant que possible, les délais entre l’arrêté des comptes par le directoire et le contrôle exercé par le conseil de surveillance.
6.1.10. Le lien entre le comité d’audit et le rapport du président sur les procédures de contrôle interne et de gestion des risques
La loi, dans ses articles L.225-37 et L.225-68 du code de commerce, dispose que le président du conseil doit rendre compte dans un rapport, des procédures de contrôle interne et de gestion des risques mises en place par la société, en détaillant notamment celles de ces procédures qui sont relatives à l'élaboration et au traitement de l'information comptable et financière pour les comptes sociaux et, le cas échéant, pour les comptes consolidés. Ainsi, ce rapport porte sur l’ensemble des procédures de contrôle interne et de gestion des risques et dépasse le strict cadre de l’information comptable et financière, et ce même s’il détaille spécifiquement les procédures relatives à l'élaboration et au traitement de l'information comptable et financière. Ce rapport est établi par le président du conseil et doit par ailleurs être approuvé par le conseil. Compte tenu des fonctions que la loi a attribuées au comité d’audit en matière de suivi de l’efficacité des systèmes de contrôle interne et de gestion des risques, il serait utile que le conseil prévoit que le comité d’audit prenne connaissance du rapport du président et, le cas échéant, formule des observations sur les sujets qui sont de sa compétence.
6.2. Le rôle du comité d’audit dans la communication financière et la diffusion de l’information financière
La mise en œuvre de la politique de communication financière de la société, l’élaboration et le contrôle des différents supports de cette communication relèvent de la direction générale. Le rôle du comité d’audit en matière de communication financière dépend largement du conseil et de ce que celui-ci décidera de confier à ce comité en la matière. Avant de préciser le rôle du comité d’audit en la matière, il est apparu nécessaire d’analyser ce que recouvre la communication financière d’une société. En effet au-delà des informations légales ou réglementaires, les émetteurs peuvent choisir de diffuser des informations supplémentaires sur de multiples supports. En pratique, la communication financière varie en fonction de sa nature (communiqués, slides, rapport annuel, …) et de ses destinataires (actionnaires, créanciers, analystes, ….). La communication financière revêt la forme de communiqués de presse à l’occasion de la publication de l’information périodique (comptes annuels et semestriels, information trimestrielle), étant rappelé qu’il est recommandé que le communiqué comprenne toutes les informations significatives en la matière. En plus de ces communiqués de presse, des documents de présentation plus détaillés (présentation aux analystes et aux investisseurs, …) peuvent être élaborés, étant précisé que ces présentations ne peuvent contenir des informations significatives qui n’auraient pas été préalablement communiquées au marché. Enfin, à ces éléments peut s’ajouter la publication éventuelle d’un document de référence. Le cas échéant, d’autres informations « sensibles » comme par exemple l’avertissement sur résultat, l’annonce d’une opération d’acquisition importante ou la mise en œuvre d’un plan de restructuration font également l’objet de communication financière. Par ailleurs, au-delà des comptes, il existe beaucoup d’informations sur les risques disséminées dans les différents documents de communication financière (document de référence, rapport de gestion, rapport sur le contrôle interne, …). L’information périodique et celle sur les risques étant un élément clé de l’information financière, la cohérence d’ensemble entre ces différents documents sur ces sujets devra être assurée.
Mis en ligne le 14 juin 2010 20/28 Mis à jour le 22 juillet 2010
Le rôle du comité d’audit sur les communiqués de presse liés à l’information périodique Dans le cadre de sa mission de suivi du processus d’élaboration de l’information financière, le comité d’audit s’assure de l’existence du processus de préparation des communiqués de presse à l’occasion de la publication des comptes annuels ou semestriels22 et de l’information trimestrielle23. Si la direction générale est en mesure de transmettre le projet de communiqué de presse au comité d’audit, le conseil peut demander au comité d’audit de s’assurer, avant son propre examen, et au regard des éléments dont dispose le comité, de la cohérence de la présentation de ces informations financières au marché, avec celles figurant dans les comptes. Dans le cas contraire, cette revue sera effectuée directement par le conseil concernant les comptes annuels ou semestriels. Si le conseil se réunit pour examiner le communiqué sur l’information trimestrielle, la procédure s’applique également.
Rapport du président sur les procédures de contrôle interne, rapport de gestion Ces rapports sont communiqués au conseil par le président. Le conseil a la faculté de solliciter l’avis du comité d’audit sur le contenu de ces rapports.
Autres documents (prévisions, tendances, avertissements sur résultat et autres informations sensibles, présentations aux analystes, et document de référence)
La direction générale élabore et contrôle ces différents documents, lorsqu’ils existent. Le conseil peut demander que ces documents lui soient transmis et saisir éventuellement le comité d’audit pour l’exercice de ses missions.
6.3. L’extériorisation des faiblesses significatives
L’article L.823-16 du code de commerce fait obligation aux commissaires aux comptes de porter à la connaissance du comité d’audit les faiblesses significatives du contrôle interne, pour ce qui concerne les procédures relatives à l'élaboration et au traitement de l'information comptable et financière. L'AMF a par ailleurs rappelé dans son rapport sur le gouvernement d’entreprise que les émetteurs devaient communiquer au marché les défaillances ou insuffisances graves du contrôle interne qui auraient été révélées par une évaluation ou à tout moment, en particulier au cours de la préparation du rapport du président. Le groupe de travail souligne la nécessité d’harmoniser le vocabulaire utilisé dans le rapport de l’AMF avec la notion de déficiences majeures. Lorsque le commissaire aux comptes porte à la connaissance du comité d’audit des faiblesses significatives du contrôle interne, le comité d’audit en informe le conseil et s’assure que ces faiblesses significatives sont mentionnées dans le rapport du président sur les procédures de contrôle interne et de gestion des risques, si celles-ci constituent des déficiences majeures.
22 Comptes sociaux et consolidés. 23 En application de l’article L.451-1-2 du code monétaire et financier, cette information financière comprend :
1° Une explication des opérations et événements importants qui ont eu lieu pendant la période considérée et une explication de
leur incidence sur la situation financière de l'émetteur et des entités qu'il contrôle ;
2° Une description générale de la situation financière et des résultats de l'émetteur et des entités qu'il contrôle pendant la
période considérée ;
3° Le montant net par branche d'activité du chiffre d'affaires du trimestre écoulé et, le cas échéant, de chacun des trimestres
précédents de l'exercice en cours et de l'ensemble de cet exercice, ainsi que l'indication des chiffres d'affaires correspondants
de l'exercice précédent. Ce montant est établi individuellement ou, le cas échéant, de façon consolidée.
On rappelle que l’information trimestrielle ne comprend pas obligatoirement des comptes au sens strict, et que cette information
ne fait pas l’objet d’une revue par les commissaires aux comptes.
Mis en ligne le 14 juin 2010 21/28 Mis à jour le 22 juillet 2010
En s’inspirant de définitions existantes, le groupe de travail estime que :
- Une faiblesse significative24 est une faiblesse ou un ensemble de faiblesses relatives au contrôle interne lié à l’information comptable et financière. Elle est suffisamment importante pour mériter l’attention des personnes responsables25 de la surveillance de l’information comptable et financière, sans pour autant être nécessairement qualifiée de déficience majeure.
- Une déficience majeure est une faiblesse significative ou un ensemble de faiblesses significatives
relatives au contrôle interne lié à l’information comptable et financière, qui est tel qu’il puisse conduire à une anomalie significative, dans l’information comptable et financière, dont la connaissance par le marché est susceptible d’avoir une incidence sensible sur le cours des instruments financiers émis par la société.
Il appartient au conseil d’apprécier si la faiblesse identifiée constitue une faiblesse significative ou une déficience majeure. Les commissaires aux comptes formulent26 leurs observations sur le rapport du président sur les procédures de contrôle interne, en cas d’omission dans ce rapport de déficiences majeures du contrôle interne relatif à l’élaboration et au traitement de l’information comptable et financière. 7. Les spécificités liées aux VaMPs La présente partie traite des spécificités des comités d’audit dans le cadre des sociétés dites « Vamps27 ». Pour ces sociétés, il existe deux possibilités consistant soit à instituer un comité d’audit, soit à se placer dans le cadre de l’exemption prévue à l’article 823-20 4° du code de commerce. En effet, la loi prévoit des exemptions dès lors que les personnes et entités disposent d’un organe remplissant les fonctions du comité spécialisé mentionné à l’article L.823-19 du code de commerce, sous réserve d’identifier cet organe, qui peut être l’organe chargé de l’administration ou l’organe de surveillance, et de rendre public sa composition. Dès lors, que l’émetteur choisisse d’instituer un comité d’audit ou de réunir son conseil en formation de comité d’audit, les missions dévolues à ce comité d’audit prévues à l’article L.823-19 du code de commerce doivent être assurées.
7.1 Le choix du comité d’audit Dans la mesure où une société dite « Vamps » souhaite mettre en place un comité d’audit, celle-ci est invitée à se conformer aux principes énoncés dans les précédentes parties du rapport quant aux dispositions à mettre en œuvre. Ces dispositions traitent à la fois des missions du comité d’audit, du champ d’application, de sa composition mais aussi de sa mise en œuvre pratique.
7.2 Le choix du conseil réuni en formation de comité d’audit Une société dite « Vamps » peut se placer dans le régime des exemptions d’institution d’un comité d’audit dans la mesure où elle respecte les conditions énoncées à l’article L.823-20 du code de commerce.
24 Sous réserve des définitions qui pourraient être données notamment dans la norme d’exercice professionnel des
commissaires aux comptes sur la communication des déficiences de contrôle interne. 25 Il s’agit des membres du comité d’audit, du conseil mais aussi de la direction générale. 26 Cf. norme d’exercice professionnel des commissaires aux comptes relative au rapport des commissaires aux comptes établi
en application de l’article L.225.235 du code de commerce. 27 Sociétés cotées sur les compartiments B et C d’Euronext. Ces critères sont susceptibles d’être modifiés dans le cadre de la
future revue de la directive prospectus.
Mis en ligne le 14 juin 2010 22/28 Mis à jour le 22 juillet 2010
Le conseil réuni en formation de comité d’audit devra dans ce cas assurer les missions dévolues au comité d’audit. Ces missions ont été présentées au paragraphe 2.2 du présent rapport. Parallèlement, des définitions quant à la notion de « suivi » ou « d’information financière » ont été proposées au paragraphe 2.1. Ces éléments d’appréciation restent valables dans le cadre de l’exemption. En matière de mise en œuvre pratique, certains points nécessitent un éclairage particulier dans le silence des textes. Ces points sont repris ci-après :
Compte rendu des travaux du conseil réuni en formation de comité d’audit Les travaux du comité d’audit font l’objet d’un compte-rendu régulier et, au moins, à l’occasion de chaque arrêté des comptes annuels et semestriels, au conseil. Dans la mesure où le conseil se réunit en formation de comité d’audit, et afin de relater les diligences accomplies dans le cadre des missions dévolues au comité d’audit, le groupe de travail recommande que le conseil en fasse état, soit dans son procès-verbal dans une section spécifique, soit établisse un procès-verbal ad hoc pour la partie du conseil consacrée aux missions du comité d’audit.
Les relations entre le commissaire aux comptes et le conseil, réuni en formation de comité d’audit La loi fait obligation aux commissaires aux comptes, en application de l’article L.823-16 du code de commerce, de porter à la connaissance du comité d’audit un certain nombre d’informations ( programme général de travail, modifications devant être apportées aux comptes, irrégularités et inexactitudes découvertes, conclusions auxquelles conduisent les observations et rectifications proposées sur les résultats) ainsi que les faiblesses significatives de contrôle interne. En l’absence de comité d’audit, le groupe de travail recommande que cet échange d’informations se fasse directement avec le conseil.
La présidence du conseil, réuni en formation de comité d’audit Lorsqu’un émetteur décide d’attribuer les compétences du comité d’audit à son conseil, aucune disposition particulière n’existe quant à la présidence. Le groupe de travail recommande que lorsque le président est un membre exécutif, il s’abstienne d’assister à la réunion du conseil, réuni en formation de comité d’audit. Cependant, le président exécutif peut être invité à participer à une partie de la réunion. De par la vacance du poste de président au cours de cette séance, le groupe de travail invite à ce que la personne désignée comme compétente et indépendante assure la présidence du conseil réuni en formation de comité d’audit. Le conseil justifie sa position dans le document de référence et/ou le rapport du président du conseil sur la gouvernance.
La présence d’un membre indépendant et compétent en matière financière ou comptable Lorsqu’un émetteur décide d’attribuer les compétences du comité d’audit à son conseil, aucune disposition particulière n’encadre la composition du conseil pris en sa qualité de comité d’audit. Spécialement, dans cette hypothèse, la loi n’exige pas la présence d’un membre indépendant et compétent. Le groupe de travail recommande cependant que l’organe remplissant les fonctions du comité d’audit comprenne un membre indépendant et ayant au moins des compétences particulières en matière financière ou comptable et indépendant. Le conseil justifie sa position dans le document de référence et/ou le rapport du président du conseil sur la gouvernance.
Mis en ligne le 14 juin 2010 23/28 Mis à jour le 22 juillet 2010
La communication financière
S’agissant des informations relatives à la communication financière, il convient de se reporter au paragraphe 6.2 du rapport.
Mis en ligne le 14 juin 2010 24/28 Mis à jour le 22 juillet 2010
Annexe 1
Composition du groupe de travail Président : Olivier Poupart-Lafarge, membre du Collège de l’AMF Présidents des sous-groupes de travail - Patrice Marteau, président d’ACTEO - Didier Martin, avocat, BREDIN PRAT - Gérard Lancner, président de l’AMRAE Membres du groupe de travail
- Pascale Besse, directeur administratif et financier, SOLUCOM - Marylène Boyer, directeur administratif et financier, THERMADOR GROUPE - Annie Bressac, ESCP Europe, directeur de l’audit interne de la Fondation d’Auteuil - Aldo Cardoso, président des comités d’audit, IMERYS, RHODIA, et GDF-SUEZ - Philippe Christelle, directeur de l’audit interne, CAP GEMINI - Jean-Philippe Desmartin, analyste, ODDO - Sylvia Fonseca, directrice - Délégation générale aux risques et aux contrôles, EIFFAGE - Sylvain de Forges, directeur risques et marchés, VEOLIA Environnement - Jean-Baptiste Duchateau, directeur juridique, droit des sociétés et droit boursier, VEOLIA Environnement - Jacques Fournier, représentant du département DMF, CNCC - Laurent Guillot, directeur financier, SAINT-GOBAIN - Philippe Jeunet, membre du comité exécutif en charge de la direction Audit et Risques, GDF-SUEZ - Dominique Laboureix, directeur des études et des relations internationales au SGACP - Bénédicte Huot de Luze, directeur scientifique AMRAE - Loïc Le Berre, directeur général adjoint finance, GROUPE GORGE - Michel Léger, président du cabinet BDO - Xavier Maitrier, associé en charge du département « Amélioration de la performance, risques et contrôle
interne », PWC - Viviane Neiter, présidente du comité d’audit, Dolphin Integration - Charles Paris de Bollardière, président du comité d’audit, STERIA - Jean-Philippe Riehl, directeur de la gestion des risques, VEOLIA Environnement - Jean-Florent Rérolle, représentant de l’IFA - Philippe Santi, directeur général délégué, INTER PARFUMS - Patrick Sayer, président, EURAZEO - Louis Vaurs, délégué général, IFACI - Caroline Weber, directrice générale, MIDDLENEXT - Daniel Barlow, représentant de la Chancellerie (DACS) - Christian Belhôte, représentant de la Chancellerie (DACS) - Emmanuel Susset, représentant de la direction générale du Trésor et de la politique économique (DGTPE) - Edouard Vieillefond : secrétaire général adjoint - Direction de la régulation et des affaires internationales (AMF) - Sophie Baranger : directrice des affaires comptables (AMF) Rapporteurs du groupe de travail - Etienne Cunin : AMF- Direction des affaires comptables - Anne Gillet : AMF- Direction des affaires comptables - Patrice Aguesse - AMF- Direction de la régulation et des affaires internationales - Antoine Colas : AMF- Direction de la régulation et des affaires internationales - Patricia Choquet : AMF- Direction des affaires juridiques - François Gilbert : AMF- Direction des affaires juridiques
Mis en ligne le 14 juin 2010 25/28 Mis à jour le 22 juillet 2010
Annexe 2
Critères d’indépendance Extraits des codes de gouvernement d’entreprise AFEP-MEDEF et MIDDLENEXT
MiddleNext - Code de gouvernement d’entreprise pour les valeurs moyennes et petites - décembre 2009 (extrait)
R8 : Composition du conseil – Présence de membres indépendants au sein du conseil Contexte : L’existence d’un actionnariat de référence fort peut conduire le conseil à sur-représenter les intérêts de cet actionnariat au détriment des minoritaires mais aussi à conforter des visions stratégiques ou des représentations de l’environnement qui peuvent s’avérer erronées. C’est pourquoi il est bon que les conseils s’ouvrent à des personnalités externes chargées d’apporter un regard différent sur les décisions prises en conseil. Néanmoins, la taille des entreprises ne nécessitant pas toujours des conseils importants, les entreprises peuvent avoir des difficultés à les attirer. Il faut donc rester réaliste sur le nombre d’administrateurs indépendants. Recommandation Il est recommandé que le conseil accueille au moins 2 membres indépendants. Ce nombre pourra être ramené à 1 dans l’hypothèse où le conseil est composé de 5 membres ou moins. Il pourra être augmenté dans les conseils dont l’effectif est important. Cinq critères permettent de justifier l’indépendance des membres du conseil, qui se caractérise par l’absence de relation financière, contractuelle ou familiale significative susceptible d’altérer l’indépendance du jugement :
- ne pas être salarié ni mandataire social dirigeant de la société ou d’une société de son groupe et ne pas l’avoir été au cours des trois dernières années ;
- ne pas être client, fournisseur ou banquier significatif de la société ou de son groupe ou pour lequel la société ou son groupe représente une part significative de l’activité ;
- ne pas être actionnaire de référence de la société ; - ne pas avoir de lien familial proche avec un mandataire social ou un actionnaire de référence ; - ne pas avoir été auditeur de l’entreprise au cours des trois dernières années.
Il appartient au conseil d’administration d’examiner au cas par cas la situation de chacun de ses membres au regard des critères énoncés ci-dessus. Sous réserve de justifier sa position, le conseil peut considérer qu’un de ses membres est indépendant lorsqu’il ne remplit pas tous ces critères ; à l’inverse il peut également considérer qu’un de ses membres remplissant tous ces critères n’est pas indépendant. AFEP-MEDEF - Code de gouvernement d’entreprise pour les sociétés cotées - décembre 2008 (extrait) 8. LES ADMINISTRATEURS INDEPENDANTS 8.1. Un administrateur est indépendant lorsqu'il n'entretient aucune relation de quelque nature que ce soit avec la société, son groupe ou sa direction, qui puisse compromettre l'exercice de sa liberté de jugement. Ainsi, par administrateur indépendant, il faut entendre, non pas seulement administrateur non-exécutif c'est-à-dire n'exerçant pas de fonctions de direction de la société ou de son groupe, mais encore dépourvu de lien d'intérêt particulier (actionnaire significatif, salarié, autre) avec ceux-ci. 8.2. Même si la qualité du conseil d’administration ne saurait se résumer en un pourcentage d’administrateurs indépendants, les administrateurs devant être avant tout compétents, actifs, présents et impliqués, il est important d'avoir au sein du conseil d’administration une proportion significative d’administrateurs indépendants qui non seulement répond à une attente du marché, mais également est de nature à améliorer la qualité des délibérations.
Mis en ligne le 14 juin 2010 26/28 Mis à jour le 22 juillet 2010
La part des administrateurs indépendants doit être de la moitié des membres du conseil dans les sociétés au capital dispersé et dépourvues d’actionnaires de contrôle. Dans les sociétés contrôlées, la part des administrateurs indépendants doit être d’au moins un tiers. 8.3. La qualification d’administrateur indépendant doit être débattue par le comité des nominations et revue chaque année par le conseil d’administration avant la publication du rapport annuel. Il appartient au conseil d’administration, sur proposition du comité des nominations, d'examiner au cas par cas la situation de chacun de ses membres au regard des critères énoncés ci-dessous, puis de porter à la connaissance des actionnaires dans le rapport annuel et à l’assemblée générale lors de l’élection des administrateurs les conclusions de son examen de telle sorte que l'identification des administrateurs indépendants ne soit pas le fait de la seule direction de la société mais du conseil lui-même. Le conseil d’administration peut estimer qu'un administrateur, bien que remplissant les critères ci-dessous, ne doit pas être qualifié d'indépendant compte tenu de sa situation particulière ou de celle de la société, eu égard à son actionnariat ou pour tout autre motif. Inversement, le conseil peut estimer qu’un administrateur ne remplissant pas les critères ci-dessous est cependant indépendant. 8.4. Les critères que doivent examiner le comité et le conseil afin de qualifier un administrateur d'indépendant et de prévenir les risques de conflit d’intérêts entre l’administrateur et la direction, la société ou son groupe, sont les suivants : - Ne pas être salarié ou mandataire social de la société, salarié ou administrateur de sa société mère ou d'une société qu'elle consolide et ne pas l’avoir été au cours des cinq années précédentes. - Ne pas être mandataire social d’une société dans laquelle la société détient directement ou indirectement un mandat d’administrateur ou dans laquelle un salarié désigné en tant que tel ou un mandataire social de la société (actuel ou l'ayant été depuis moins de cinq ans) détient un mandat d’administrateur. - Ne pas être28 client, fournisseur, banquier d’affaire, banquier de financement :
- significatif de la société ou de son groupe, - ou pour lequel la société ou son groupe représente une part significative de l’activité.
- Ne pas avoir de lien familial proche avec un mandataire social. - Ne pas avoir été auditeur de l’entreprise au cours des cinq années précédentes. - Ne pas être administrateur de l’entreprise depuis plus de douze ans29. 8.5. S’agissant des administrateurs représentant des actionnaires importants de la société ou de sa société mère, ils peuvent être considérés comme indépendants dès lors qu’ils ne participent pas au contrôle de la société. Au-delà d’un seuil de 10 % en capital ou en droits de vote, il convient que le conseil, sur rapport du comité des nominations, s’interroge systématiquement sur la qualification d’indépendant en tenant compte de la composition du capital de la société et de l’existence d’un conflit d’intérêts potentiel.
28 Ou être lié directement ou indirectement. 29 A titre de règle pratique, la perte de la qualité d'administrateur indépendant au titre de ce critère ne devrait intervenir qu'à
l'expiration du mandat au cours duquel il aurait dépassé la durée de 12 ans.
Mis en ligne le 14 juin 2010 27/28 Mis à jour le 22 juillet 2010
Annexe 3
Liste des principaux travaux publiés sur les comités d’audit
- Travaux de l’IFACI relatifs au contrôle interne :
L’auto-évaluation du contrôle interne, oct.05 (cahier de la recherche-guide d’audit-) ; Des clés pour la mise en œuvre du CI, avril 08 (cahier de la recherche- meilleures pratiques-) ; Contrôle interne et qualité, pour un management intégré de la performance, mai 08 (cahier de la recherche-
notes professionnelles-) ; Commentaires relatifs à la transposition des 4ème,7ème et 8ème directives européennes (Groupe
professionnel « contrôle interne de l’IFACI), juin 09 ; Le contrôle interne du système d’information des organisations, février 09 (Guide opérationnel d’application du
cadre de référence AMF relatif au contrôle interne, élaboré par un groupe de travail mixte IFACI/CIGREF). - Travaux de l’IFACI relatifs au comité d’audit :
L’efficacité des comités d’audit, les meilleurs pratiques (étude réalisée par PwC et parrainée par l’IIA, traduite par l’IFACI et PwC, mai 2002) ;
Le rôle de l’audit interne dans le gouvernement d’entreprise (prise de position IFA/IFACI, mai 2009).
- Travaux de l’IFACI relatifs aux procédures de gestion des risques : La cartographie des risques, groupe professionnel Assurances, juillet 06 (cahier de la recherche –guide
d’audit-) ; Etude du processus de management et de cartographie des risques, janvier 2004 (cahier de la recherche –
guide d’audit-) ; Management des risques, 2001 (traduction d’un ouvrage anglais)
- Travaux de l’IFA :
Les comités d’audit : 100 bonnes pratiques (Janvier 2008) Prise de position IFA-IFACI sur le rôle de l'audit interne dans le gouvernement d’entreprise (Mai 2009) Le rôle de l’administrateur dans la maîtrise des risques (en collaboration avec l’AMRAE, Juin 2009) La gouvernance des sociétés cotées – synthèse sur les recommandations sur le rôle et les modes d’action
des conseils (Mai 2007) Vade-mecum de l'administrateur (Seconde édition, Octobre 2008) Instauration des comités visés à l’article L823-19 du code de commerce (Note de synthèse de la commission
juridique de l’IFA, Octobre 2009) Comités d'audit et auditeurs externes (Novembre 2009)
- Cercle des juristes :
Rapport d'un groupe de travail sur le conseil d’administration et le « comité spécialisé »
- Document EuropeanIssuers :
Position paper, “Towards Common Principles for Internal Control & Risk Management Systems at Listed
Companies in Europe”, January 2010
- Documents AMRAE relatifs au comité d’audit : Rôle de l’administrateur dans la maîtrise des risques en collaboration avec l’IFA
Travaux de l’AFEP, de l’ANSA, du MEDEF et de MiddleNext :
Code de gouvernement d’entreprise des sociétés cotées AFEP-MEDEF (Décembre 2008) ;
Mis en ligne le 14 juin 2010 28/28 Mis à jour le 22 juillet 2010
Code de gouvernement d’entreprise pour les valeurs moyennes et petites - MiddleNext (décembre 2009) ; Systèmes de contrôle interne et de gestion des risques (« CIGR ») Principes communs pour les sociétés
européennes AFEP ANSA MEDEF MiddleNext (Mars 2010)
Cahiers techniques AMF
CHAPITRE 3 :
Recommandations de FERMA & ECIIA
• Guidance on the 8th EU company law directive, article 41
Cahiers techniques AMF
Guidance on the 8th EU Company Law Directive article 41
FERMA / ECIIAGuidance for boards and audit committees
FERMA / ECIIAGuidance for boards and audit committees 3
“ Monitoring the effectiveness of internal control, internal audit and risk management systems”
Guidance for boards and audit committees
8th European Company Law Directive on Statutory Audit DIRECTIVE 2006/43/EC – Art. 41-2b
21 September 2010
FERMA / ECIIAGuidance for boards and audit committees 4
Peter den Dekker, President of Ferma
Running a business has always been a matter of risk taking. The recent crisis has reinforced the necessity of managing risk, and has enhanced public expectations for economic actors to be more proactive in risk control.What’s new with the 8th EU Company Law Directive is that there is a clear responsibility given to boards of directors and to their audit committees. Senior management is expected to be involved in risk management and risk taking. Directors have
to give direction depending on the risk appetite of shareholders.A good risk management system is like management systems on a racing car - they help it to go faster, further and more safely.
Claude Cargou, President of eCIIa
The duty assigned to the board and its audit committee by Art 41 of the 8th Directive to “monitor the effectiveness of risk management and control systems” simply translates the expectations from participants in capital markets to receive transparent and reliable information on significant current and evolving risks for the organisation and on the way these risks are managed.This fiduciary obligation for boards and audit committees is no
longer limited to financial reporting risks, as it was too often the case in the past.Today, they must also oversee the effective management of the company’s strategic, operational and compliance risks.This is where boards and audit committees can look to internal auditing for objective and independent assurance on the effectiveness of organisation-wide risk and control systems.As such, internal auditing becomes one of the cornerstones of good organisational governance, supporting boards and audit committees to effectively assume their fiduciary responsibilities towards the company’s stakeholders and the public at large.
This 8th EU Company Law Directive gives organisations confidence to take advantage of business opportunities.
Peter den Dekker Claude Cargou President of FERMA President of ECIIA
!
!
FERMA / ECIIAGuidance for boards and audit committees 5
CONTeNT
Objective of this guidance 6Roles and responsibilities with regard to effective risk management and controls 7 Roles and responsibilities 7 Risk monitoring and assurance functions 8 Interaction between the various actors in risk management and internal control 9
Agenda for the audit committee 10 Effectiveness of risk management 10 Effectiveness of internal control 11 Effectiveness of internal audit 12 Audit committee 13
Appendices 14 Risk management 14 Internal control 15 Internal audit 16 External audit 16 FERMA and ECIIA 18 Contributors to this publication 18
Des
ign:
g
reen
pepp
er.b
e ©
201
0
FERMA / ECIIAGuidance for boards and audit committees 6
The objective of this FERMA/ECIIA Guidance is to assist board members, particularly members of the audit committee, with the implementation of art. 41 of the 8th European Company Law Directive.
In section 2b, the Directive states that:
While this seems to be a rather simple statement, “what to monitor” and “how to monitor” are considerably more complex. In order to shed light on “what” and “how” to monitor, this guidance:
1. Provides an overview of the role and responsibilities regarding effective risk management and control assurance for:
• The board / audit committee(1); • The chief executive officer (CEO) and senior management(1); • Operational management; • Monitoring and assurance functions.2. Clarifies the recommended interaction between internal control, risk management
and internal audit.3. Suggests good practices for board and audit committee oversight regarding: • The risk management process; • The internal control system; • The internal auditing function.
Notes: • While the 8th Directive assigns this oversight duty to the organisation’s audit committee, it remains ultimately the collegial responsibility of the entire board, and this guidance should be read accordingly.
• The transposition of the 8th Directive into national codes may necessitate further action beyond what is proposed in this guidance.
OBJeCTIVe of this GUIDANCE
“[…] the audit committee shall, inter alia: monitor the effectiveness of the company’s internal
control, internal audit where applicable, and risk management systems […].”
(1) for the purpose of this paper: • board is the board of directors in a one tier structure and the supervisory board in a two tier structure. • senior management is the executive committee in a one tier structure and the management board in a two tier structure.
FERMA / ECIIAGuidance for boards and audit committees 7
rOLeS aND reSPONSIBILITIeS
with regard to EFFECTIVE RISK MANAGEMENT AND CONTROLSRoles and responsibilities
Board
The board provides oversight and direction to senior management by: • Setting (in cooperation with senior management) the organisation’s risk
appetite (= amount of risk an organisation is willing to accept in pursuit of value);
• Being apprised of the most significant risks for the organisation and whether senior management is responding appropriately (i.e. in relation to the agreed upon risk appetite).
Chief executive officer and senior management
The CEO, with his/her senior management team, has ultimate ownership responsibility for the organisation’s risk management and control framework.He/she: • Ensures the presence of a positive internal environment and risk culture
within the organisation (“tone at the top”); • Provides leadership and direction to operational management and
monitors the organisation’s overall risk activities in relation to its risk appetite;
• Where evolving circumstances and emerging risks indicate potential misalignment with the risk appetite, the CEO and senior management take the necessary measures to reestablish alignment.
Members of senior management have responsibility for managing risks within their spheres of responsibility related to their units’ objectives by: • Converting strategy into operational objectives; • Identifying and assessing risks adversely impacting the achievement of
these objectives; • Effecting risk responses consistent with risk tolerances.
Operational management
Senior management assigns responsibilities, including for risk management procedures, to managers in specific processes, functions or departments (the “risk owners”). Accordingly, these managers play a more hands-on-role in executing particular, day-to-day, risk procedures. For instance, they identify, assess risks and determine risk responses through the development of effective internal controls. (e.g. developing protocols for new product development).
Note: While internal control policies and procedures are an integral part of an organisation-wide risk management framework (i.e. they are established to help ensure risk responses are effectively carried out), some organisations - particularly in the financial sector - have established a centralised internal control function for facilitating and coordinating the consistent and adequate design and effective operation of internal controls established by operational management. However, this monitoring activity does not take away any of the duties of operational management for managing risks in its sphere of responsibility.
FERMA / ECIIAGuidance for boards and audit committees 8
Risk monitoring and assurance functions
Centralised risk management function (risk monitoring)
While the basis of sound risk management is that every part of an organisation is responsible for managing risks in its own area of activity, this should be operated in an integrated, holistic approach to ensure alignment with the organisation-wide objectives and strategy.FERMA/ECIIA, therefore, supports the establishment of a centralised risk management function for coordinating and helping effect risk management across the organisation. While best practice is to nominate a chief risk officer, smaller organisations may assign this responsibility to another senior executive.FERMA/ECIIA is further of the opinion that this individual should report through the CEO to the board. He/she is responsible for monitoring risk management progress and for assisting operational managers in reporting relevant risk information up, and across the organisation.Specific responsibilities of a chief risk officer (or similar function) include: • Establishing risk management policies, defining roles and responsibilities,
and setting goals for implementation; • Providing a framework for risk management in specific processes,
functions or departments of the organisation; • Promoting risk management competence throughout the organisation; • Establishing a common risk management language (e.g. regarding risk
categories and measures related to likelihood and impact); • Facilitating managers’ development of risk reporting, and monitoring the
reporting process; • Reporting to the CEO and the board on progress and recommending
action as needed.Internal audit function (risk assurance)
The internal audit function • Provides objective assurance to the board and senior management that
risks are understood and managed appropriately, and • Serves as an in-house consultant proposing solutions for improving the
organisation’s governance, risk management and control structure. As such, internal audit actively contributes to effective corporate governance providing however that certain conditions – fostering its independence and professionalism – are met.FERMA/ECIIA therefore recommends that best practice is to establish and maintain an independent, adequately and competently staffed internal auditing function, which • Acts in accordance with the International Professional Practices
Framework – IPPF, set by the global Institute of Internal Auditors(1)
• Reports to a sufficiently high level in the organisation to be able to perform its duties and that it should have an active and effective reporting line to the board (or its audit committee).
(1) www.theiia.org/guidance/standards-and-guidance/interactive-ippf
FERMA / ECIIAGuidance for boards and audit committees 9
Establishing a professional internal audit function should be the rule, not only for large and medium size institutions but also for smaller entities. This is the more so because the latter may not be able to deploy a full organisational structure to ensure the effectiveness of its governance and risk management processes. In any case, for small organisations that have not established an “in-house” internal audit function, it should be a requirement to disclose to their stakeholders on an annual basis that they have considered how the necessary assurance on the effectiveness of the organisation’s governance, risk management and control structure is to be obtained (i.e. through internal audit).
Interaction between the various actors in risk management and internal controlAs mentioned before, the board and the CEO are respectively responsible for providing oversight and monitoring risk management strategies and processes. To effectively assume these duties, they seek assurance from various sources within the organisation.This model, which is rapidly gaining universal recognition, can be illustrated as follows:
Three Lines of Defence model
As a first line of defence
Operational management has ownership, responsibility and accountability for assessing, controlling and mitigating risks together with maintaining effective internal controls.
as a second line of defence
The risk management function facilitates and monitors the implementation of effective risk management practices by operational management and assists the risk owners in defining the target risk exposure and reporting adequate risk related information through the organisation. In addition to the centralised risk management function, and as part of this second line of defence, some organisations have established a separate compliance function to monitor compliance risks, i.e. risks of non-conformity with applicable laws and regulations as well as internal regulations (including fraud). In this capacity, the compliance function reports directly to senior management.Other specific monitoring functions may include health & safety, supply chain, environmental and quality functions.
1st Line of Defence
Senior management
Board / audit Comittee
2nd Line of Defence
Risk Management
External Audit
Others
Compliance
OperationalManagement
Internal Controls
InternalAudit
3rd Line of Defence
FERMA / ECIIAGuidance for boards and audit committees 10
as a third line of defence
The internal audit function will, through a risk based approach, provide assurance to the organsation’s board and senior management, on how effectively the organisation assesses and manages its risks, including the manner in which the first and second lines of defence operate. This assurance task covers all elements of an organisation’s risk management framework, i.e. risk identification, risk assessment and response to communication of risk related information (throughout the organisation and to senior management and the board).
General remark
External auditing can be considered as a fourth line of defence, providing assurance to the organisation’s shareholders, board and senior management regarding the true and fair view of the organisation’s financial statements. However, given the specific scope and objectives of their mission, the risk information gathered by external auditors is limited to financial reporting risks only and does not include the way senior management and the board are managing/monitoring (strategic/ operational/ compliance) enterprise-wide risks, and for which the risk management and internal audit functions respectively provide monitoring and assurance.
Effectiveness of risk management
Best practices
FERMA/ECIIA considers that risk management, internal control and audit functions provide reliable information channels for the board of directors to monitor the effectiveness of risk management and internal control systems.With regard to risk management, the board and/or the audit committee needs to receive, at least yearly, a review of the organisation’s major risks. It needs to know how the business model is impacted by major risks, and how value generation could be enhanced by opportunities or reduced by vulnerabilities. If necessary, it needs also to have appropriate information about specific risks according to evolution of strategy, external environment or particular risks inherent to the activity of the company.While the above information is generally reviewed by the full board, the audit committee needs to receive information on risk governance (steering committees, definition of acceptable and accepted limits, benchmarks, controls and audit) to assess the effectiveness of the risk management systems. If there is a “risk committee” included in the board sub-committees, then some aspects of risk monitoring, control or mitigation will be delegated to this committee. Last, internal audit reports to the audit committee on the maturity, dissemination and effectiveness of the risk management systems.
aGeNDa for the AUDIT COMMITTEE
FERMA / ECIIAGuidance for boards and audit committees 11
Key points related to risk management
• The company has defined its risk strategy and appetite. The CEO has designated a chief risk officer or equivalent. Risk owners have been designated for each major risk;
• Risk owners have fixed meaningful and measurable objectives and controls, recognised throughout the organisation; risk ownership is part of the delegation of authority and the remuneration mechanisms (bonus system) should include appraisal of risk taking;
• A centralised risk management function is in charge of the implementation of the risk strategy. It provides the company with a formal risk management framework, and dedicated training programmes to improve the risk management culture and promote a common language throughout the organisation;
• Senior management periodically receives reports on major risks’ evolution and on the implementation of mitigation plans. Management also communicates a risk dashboard, with key risk indicators, at least once a year to the audit committee;
• Critical risks and emergent risks are escalated to the appropriate management level as soon as they are identified.
Effectiveness of internal control
Best practices
In respect of internal control, the board and the audit committee need to receive assurance that adequate and effective controls exist to monitor and manage the critical risks, and that a process exists to report adequately on this monitoring. Senior management, together with the independent functions of internal and external audit, provides this assurance to the audit committee regarding the effectiveness and efficiency of internal control.
Key points related to internal control
• The CEO and senior management are in charge of internal control. Through delegation of authority all operational managers “inherit” a portion of that responsibility. It is important for the audit committee to know whether this principle of responsibility has been openly communicated throughout the organisation, and whether operational management has been given the proper tools (budget, resources) to assume this responsibility and accountability.
• The organisation’s culture, code of conduct, human resources policies and performance reward systems are critical components of the internal control system. It is important for the audit committee to assess whether these components are supportive of the organisation’s strategic objectives.
• The culture of the organisation should encourage individuals to report suspected breaches of law or regulations or other improprieties. Critical for this system to work is the protection of the people who “blow the whistle”. The audit committee should be aware of how the whistleblowing mechanism works and what the organisation is doing with the complaints.
FERMA / ECIIAGuidance for boards and audit committees 12
• Any internal control system can only be adequate if properly monitored. The audit committee should monitor the processes that are in place to review the adequacy of financial and other key controls, including management reviews. The audit committee should also be informed about serious control deficiencies. Through delegation of authority, control becomes everyone’s responsibility within the organisation. Some organisations have implemented a process of periodic control self-assessments, whereby operational entities within the organisation reflect on the risks inherent to their processes and on the quality of the controls that are in place. The aggregated results of these workshops can also assist the audit committee in monitoring the organisation’s internal control system.
Effectiveness of internal audit
Best practices
In line with international standards, internal auditors document relevant information to support the conclusions and management response to their audits. The audit committee should assure that its agenda includes periodic review of the following: • The internal audit charter and independence of the internal audit
function; • Internal audit plans and allocated resources, including audit risk
assessment criteria; • Professional competence of the internal audit function: providing advice
to the CEO regarding performance evaluation, compensation changes, hiring, dismissal of the head of internal audit;
• Quality assessment reviews in accordance with the International Standards for the Professional Practice of Internal Auditing including periodic outside assessments.
In line with its standards, the internal audit function reports to the audit committee and to the CEO on the effectiveness of the risk management and control systems, providing advice for continuous improvement by management. Internal audit will identify potential conflicts of interests at the various levels of operations based on a global oversight and insight as to the consistency between strategic objectives and operations, with diagnostics as to any misalignments.
Key points related to internal audit
• The independence of internal audit should be formalised in the internal audit charter, signed by the CEO and the chairman of the audit committee. But, even more important for the audit committee is to check whether this independence also exists in practice. Does internal audit have true direct and unlimited access to the audit committee and the board? Does internal audit report independently on business issues, without interference from senior management? Does objective reporting influence future career opportunities of internal auditors?
• Internal audit has limited resources. It is therefore essential to allocate these resources to the most critical areas. Does the audit committee challenge the internal audit plan and budget when presented? How does internal audit assess the organisation’s risks, the risk management process implementation and risk management maturity?
FERMA / ECIIAGuidance for boards and audit committees 13
Is there a link to the organisation’s own risk mapping? Is internal audit focusing on what is easy to audit rather than what needs to be audited? When approving the audit plan, does the audit committee know what is not going to be audited?
• It is important to monitor whether the organisation is really doing something with the assessments made by internal audit. The speed with which management implements internal audit’s recommendations is an indication of the value which it places on internal audit. More controls are not always the best option; better controls are. When management does not act properly or promptly on audit findings, the audit committee can invite managers to its meeting to understand why not. The organisation defence mechanism includes three lines of defence. It is therefore critical that the first and second lines of defence are properly assessed by internal audit, without duplicating the work of these other lines.
• In some organisations senior management or the board is expected to issue and publish an annual statement on internal control or an assurance declaration. It is important for the audit committee to know whether internal audit has had an independent review of this management reporting process or has been part of it.
Audit committee
Best practices
Risk management and internal control feature on the agenda of the audit committee. The audit committee reports to the board of directors on the effectiveness of internal control and risk management systems based on information it acquires directly or with the assistance of the audit functions. Good audit committee practices include a review of all lines of defence in an organisation, including their interaction.
Key points related to the performance of the audit committee
• Monitoring risk management, internal control and internal audit requires a considerable time commitment from the audit committee. Meetings alone may not be sufficient for comprehensive understanding and assurance. The audit committee needs to know how much effort, resources and budget are needed to perform as expected.
• To fulfil its responsibilities, the audit committee spends time assessing information provided by senior management, reviews major risks and critical processes each year, challenges senior management objectives about these items and benchmarks company practices.
• The work of the audit committee can only be valuable if sufficient time is allotted on the board agenda for the audit committee to present the results of its work. The audit committee should also feel that the board is taking appropriate action on its report.
• Leading audit committees have therefore their own performance and effectiveness assessed on an annual basis.
FERMA / ECIIAGuidance for boards and audit committees 14
Risk management
Introduction to enterprise risk management
Risk taking is inherent in exploiting business opportunities. However, it was often not clearly expressed in decision processes. Enterprise risk management (ERM) in business aims to manage risks to an acceptable level (that has been determined by the board of directors and the senior management). This is linked to developing the company, creating and sustaining value, and targeting its objectives successfully.It includes the methods and processes used by organisations to manage risks and seize opportunities related to the achievement of their objectives. ERM provides a framework for risk management, which typically involves identifying particular events or circumstances relevant to the organisation’s objectives (risks and opportunities), assessing them in terms of likelihood and magnitude of impact, determining a response strategy and monitoring progress. By identifying and proactively addressing risks and opportunities, business enterprises protect and create value for their stakeholders, including owners, employees, customers, regulators and society overall. It includes the external (regulatory, reputation, etc.), strategic (inherent to business model), financial, compliance and operational risks. Due to the globalisation of business, the interdependency between different risks has become an important element to be treated in the risk management process.Being a key part of the governance structure of an organisation, ERM helps preserve value and augments decision-making by setting acceptable levels of risk appetite as well as embedding risk management in businesses planning and management processes. When embedded, it becomes part of the organisation’s culture.
Global risk management standards
Most standards are broad guidelines that are applicable to all kind of organisations, but must be adapted to the organisation’s characteristics, activities and culture. Current global standards include ISO 31000, COSO ERM and the FERMA Standard adopted from the UK.
responsibility for risk management and reporting lines
In most organisations, there are risk management professionals at corporate and business level who are responsible for dissemination of the risk culture, general reporting, process and methodology. This should be regarded as good practice to improve risk management. However managing the business risks remains the duty of management along with its responsibility to meet business plans and targets.Risk managers report to senior management as a staff function using routine risk management reporting processes. They may be part of a central function or embedded in the divisional structures. The risk management function reports either to a risk committee or to the audit committee.
aPPeNDICeS
FERMA / ECIIAGuidance for boards and audit committees 15
Internal control
Introduction to internal control
Internal control has existed since ancient times. In Hellenistic Egypt there was a dual administration, with one set of bureaucrats charged with collecting taxes and another with supervising them.Internal control is defined as a process effected by an organisation’s structure, work and authority flows, people and management information systems, designed to help the organisation accomplish specific goals or objectives while minimising the likelihood that unwanted events will occur. It helps direct, monitor and measure the organisation’s resources. It plays an important role in preventing and detecting fraud, protecting the organisation’s resources and reducing adverse effects of liabilities.
Global internal control models
The COSO Internal Control-Integrated Framework is the most widely used framework. It defines internal control as a process, effected by an organisation’s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in the following three categories: (a) Effectiveness and efficiency of operations; (b) Reliability of financial reporting and (c) Compliance with laws and regulations.
responsibility for internal control and reporting lines
Ultimately, the responsibility for internal control lies with the board of directors. Through delegation of authority, operational management will be responsible for the development and maintenance of controls in its area of responsibility. For example, internal audit may be required by its organisation to provide an overall “control opinion” which concludes with an assessment/risk grading for the areas reviewed.
Many codes on corporate governance require senior management or the board of directors to report on the internal control system. This report should include details of non-compliance with rules and regulations, material weaknesses in internal control, financial adjustments and their materiality to the income statement of the organisation, and other risks and/or exposures that require changes to internal control.
FERMA / ECIIAGuidance for boards and audit committees 16
Internal audit
Introduction to internal audit
The Institute of Internal Auditors (IIA) defines internal audit as “an independent, objective assurance and consulting activity designed to add value and improve an organisation’s operations. It helps an organisation accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control and governance processes”.Various national institutes of the internal audit profession around the globe cooperate and subscribe to this definition and are following the standards that are commonly developed.
Global internal audit standards
With its International Standards for the Professional Practice of Internal Auditing, the IIA provides for a worldwide, common understanding of the internal audit profession, including essential requirements of how to meet the expectations and responsibilities of the internal audit function and the internal auditors.The Standards are principles-based, mandatory requirements consisting of statements of basic requirements for the professional practice of internal auditing and for evaluating the effectiveness of performance. These are internationally applicable at organisational and individual levels, and include interpretations that clarify terms or concepts stated in the Standards.
responsibility for internal audit and reporting lines
The head of internal audit reports periodically to senior management and to the board or the audit committee on the internal audit activity’s purpose, authority, responsibility and performance relative to its plan. The main reporting line is to the audit committee. The audit committee approves the annual audit plan, as well as reviewing the assessment of internal control and risk management systems.
External audit
The role of the external audit
The primary role of the external audit is to express an opinion on whether an organisation’s financial statements are free of material misstatements. For a thorough assessment of the financial statements, the independence of the external auditors is crucial. Therefore, any relationship between external auditors and the organisation, other than retention for the audit itself, must be disclosed in the external auditor’s report.In order to provide a high level of assurance that the financial statements follow the appropriate basis of accounting, e.g. International Financial Reporting Standards (IFRS) or Generally Accepted Accounting Principles (GAAP), external auditors gather necessary evidence to issue the audit report.
FERMA / ECIIAGuidance for boards and audit committees 17
assessment of risk management and internal control
The external auditor’s understanding of the company’s risk management and internal control systems provides a basis both to plan the audit and assess control risk. Control risk is defined as the risk that material misstatements will not be prevented or detected by the client’s internal control and is thus a key variable for external auditors to determine whether the client’s internal control is effective. The external auditor’s knowledge should, for example, include the relevant risks and design of controls to manage these risks, how they are defined and whether they have been placed in operation or not.
Cooperation with internal audit
Although external audit and internal audit have some complementary relationships, coordination of their activities is essential. Internal audit’s evaluations of the internal control systems provide significant information for the external auditor’s assessment of control/risk affecting the financial statements.The ideal situation is when the external and internal auditors meet periodically to discuss their scope of work, methodology and audit coverage.
FERMA / ECIIAGuidance for boards and audit committees 18
FERMA: www.ferma.eu The Federation of European Risk Management Associations (FERMA) brings together 20 national risk management associations of 18 countries. It represents a wide range of business sectors from manufacturing to financial services, charities, health organisations and local government bodies. FERMA’s objectives are to support its members by coordinating, enhancing awareness and effective use of risk management, insurance and risk financing in Europe. FERMA organises a biennial forum and a biennial benchmarking survey on the status of risk management in Europe. The results of this survey are presented at a seminar for all members.
ECIIA: www.eciia.euThe European Confederation of Institutes of Internal Auditing (ECIIA) is the professional representative body of 33 national Institutes of Internal Audit in the wider European area. The ECIIA’s objective is to support the position of internal audit professionals in the European Union and in the ECIIA’s member countries and to promote the application of the global Institute of Internal Auditors’ Standards and Code of Ethics to all internal audit professionals in the public and the private sector. The ECIIA undertakes research on topics related to internal audit, business control, risk management and corporate governance. It publishes position papers, briefing reports and a quarterly newsletter.
Contributors to this publicationmichel DeNNerY: FERMA Board Member; Risk Management Director - GDF SUEZmarie Gemma DeQUae: FERMA Board Member; Risk Manager - Partena Group; Director of Risk Management Research Platform - Vlerick Leuven Gent Management SchoolJean-Pierre GarITTe: Former President ECIIA; former Chairman of the Board of the global Institute of Internal Auditorsroland De meULDer: Adviser to the managing board of ECIIA; former Chairman of the Internal Auditing Standards BoardChantal PIerre: Former Secretary ECIIA; former Secretary of the Board of the global Institute of Internal Auditorsmichèle F. rÜDISSer: Senior Lecturer in Organisational Control and Governance - University of St. GallenT. Flemming rUUD: Professor of Business Administration, in particular internal control / internal audit - University of St. GallenPaul TaYLOr: FERMA Board Member; Director of Risk Assurance - Morgan Crucible
FermaFederation of European Risk Management Associations
Avenue Louis Gribaumont, 1 /B4, 1150 Brussels, Belgium
Tel: +32 2 761 94 31 Fax: +32 2 771 87 20Email: [email protected]
eCIIaEuropean Confederation of Institutes of Internal Auditing
Koningsstraat 109 -111 bus 5BE - 1000 Brussels
Belgium
Tel: +32 2 217 33 20Fax: +32 2 217 33 20
Email: [email protected]
Cahiers techniques AMF
Cahiers techniques AMF ©AMRAE 2010
Analyse et présentation des travaux de l’AMF relatifs à la gestion des risques et au comité d’audit. Recommandations de FERMA & ECIIA sur la 8ème directive incluses
Novembre 2010
Ce document est publiable et reproductible à la condition exclusive d’en créditer l’AMRAE.
Bureau Permanent AMRAE ‐Tél: 01.42.89.33.16. ‐ [email protected]
AMRAE – 80 Bd Haussmann – 75008 Paris – www.amrae.fr
Ce document est publiable et reproductible à la condition exclusive d’en créditer
l’AMRAE.
Prix d’un exemplaire relié : 19 € TTC FRANCE
BUREAU PERMANENT AMRAE-Tél : 01.42.89.33.16. Email : [email protected]
Bureau permanent - Tél : 01.42.89.33.16 – [email protected]