pwc pg controle_interne-1-

Contrôle interneAu-delà des concepts, 40 questions aux praticiens

LANDWELL & ASSOCIÉS

Société d’avocats

"Pocket Guide""Pocket Guide"

Novembre 2004

Ce document a été réalisé parle comité LSF/SOA constitué par PricewaterhouseCoopers

et le cabinet d’avocats Landwell & Associés

Pour PricewaterhouseCoopersXavier MAITRIER, Associé,

Activité « Performance, Risques et Contrôle interne », Responsable du Comité LSF/SOA, 01 56 57 53 25

Christian MARTIN, Associé, Activité « Audit Grands Groupes », 01 56 57 80 91

Dominique MÉNARD, Associée, Activité « Audit & Conseil », Responsable de la méthodologie audit, 01 56 57 85 73

Dominique PERRIER, Associée, Activité « Litiges, Investigations et Prévention de Fraudes », 01 56 57 80 17

Philippe PLAGNES, Associé, Activité « Gestion des Ressources Humaines et Conduite du Changement », 01 56 57 82 14

Marie-Hélène SARTORIUS, Associée, Activité « Perfomance, Risques et Contrôle interne », 01 56 57 56 46

Brian TOWHILL, Associé, Activité « Services à l’Audit Interne », 01 56 57 11 24

Pour Landwell & AssociésSylvie LE DAMANY, Avocat, associée,

Ancien Secrétaire de la Conférence de la Cour d’appel de Paris, Responsable du département « Litiges/ Droit pénal des affaires », 01 56 57 82 70

Bruno THOMAS, Avocat, associé, Responsable du département « Corporate », 01 56 57 83 75

avec le concours du Département Publications et Consultations

Claude LOPATER, Associé, Responsable du Département

Stéphanie BERRA, Manager


Contrôle interne – Au-delà des concepts, 40 questions aux praticiens

CONTRÔLE INTERNEAu-delà des concepts, 40 questions aux praticiens

Sarbanes-Oxley Act, Loi de Sécurité Financière, Kon TraG en Allemagne, Dutch Corporate Gouvernance Code…et enfin Directive européenne… le contrôle interne est sous les feux des projecteurs des régulateurs.

Cette pression pour une mise en oeuvre d’un contrôle interne de qualité, visant à rétablir la confiance des marchés financiers,ne doit pas occulter le fait que le contrôle interne est avant tout un dispositif de maîtrise des activités mis en place par l’Entreprise, pour l’Entreprise.

L’incitation plus ou moins vive du législateur est donc un catalyseur qui aujourd’hui doit être perçu comme l’opportunité d’améliorer le fonctionnement de l’entreprise, et ce au travers d’une gouvernance claire et d’un contrôle interne adapté et efficace.

Le contrôle interne dépend de l’activité, de l’organisation et des modes de fonctionnement de l’entreprise : il est propre à chaque entreprise et résulte d’une démarche rigoureuse d’analyse des enjeux et de mise en place de dispositifs adaptés et efficaces.

Ce guide vise à donner quelques références de bonnes pratiqueset via le jeu des questions-réponses, à illustrer comment certains sujets qui se posent immanquablement, lors d’une démarche de mise en œuvre d’un dispositif de contrôle interne, peuvent être abordés.

Le Comité LSF / SOA



LEXIQUE

AFEP Association Française des Entreprises Privées

AMF Autorité des Marchés Financiers

AMRAE Association pour le Management des Risqueset des Assurances de l’entreprise

CAC Commissaire aux Comptes

CEO Chief Executive Officer

CFO Chief Financial Officer

CNCC Compagnie Nationale des Commissaires aux Comptes

COSO Committee Of Sponsoring Organizations de la Commission Treadway

EPA Établissement Public Administratif

EPIC Établissement Public à caractère Industriel et Commercial

ERM Enterprise Risk Management

IFACI Institut Français de l’Audit et du Contrôle Interne

LSF Loi de Sécurité Financière

MEDEF Mouvement des Entreprises de France

PCAOB Public Company Accounting Oversight Board

SEC Securities and Exchange Commission

SOA Sarbanes-Oxley Act

SOMMAIRE

Pourquoi le contrôle interne est-il aujourd’hui une préoccupation du management ? . . . . . . . . . . . 5

Du contrôle interne à la maîtrise des activités . . . . . . . . . . . . . . . . . . . . . . . 17

Qui fait quoi ? Quelles évolutions dans l’organisation de l’entreprise ? . . . . . . . . . . . . 27

En pratique, quel projet mettre en œuvre ? . . . . 39

Quel apport pour l’entreprise à long terme ? . . . 49

Quelle communication sur le contrôle interne ? . . . . . . . . . . . . . . . . . . . . . . . . 55

Sommaire détaillé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

3

POURQUOI LE CONTRÔLE INTERNEEST-IL AUJOURD’HUI UNE PRÉOCCUPATION DU MANAGEMENT ?

Q1. Quelles sont les obligations créées par la LSF ? . . . . . 6

Q2. Quel est le périmètre de la LSF ? . . . . . . . . . . . . . . . . . 7

Q3. Quel est le champ d’application de cette loi ? . . . . . . 8

Q4. Quelle est la responsabilité du Président du conseil afférente à cette nouvelle obligation issue de l’article 117 de la LSF ? . . . . . . . . . . . . . . . . . . 9

Q5. En quoi la LSF diffère-t-elle du SOA en vigueur aux États-Unis ? . . . . . . . . . . . . . . . . . . . . . 11

Q6. Quelles sont les évolutions prévues en Europe en matière de contrôle interne et de gouvernance ? . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Q7. Quelles sont les obligations légales dans les autres pays ? . . . . . . . . . . . . . . . . . . . . . . . . . 14

Q8. Quel est le rôle des « grands acteurs de place » et des régulateurs ?Comment influencent-ils la gestion du contrôle interne dans les entreprises ? . . . . . . . . 15

5

LE CONTRÔLE, PRÉOCCUPATION DU MANAGEMENT

6 Contrôle interne – Au-delà des concepts, questions aux praticiens

La LSF crée de nouvelles obligations de communicationsur la gouvernance et le contrôle interne pour toutes lessociétés anonymes et pour les sociétés faisant appelpublic à l’épargne :

Sociétés Anonymes – Article 117 – « le Président duconseil d’administration [ou de surveillance] rendcompte dans un rapport [à l’assemblée générale] :– des conditions de préparation et d’organisation destravaux du conseil ;– des procédures de contrôle interne mises en place ;– des limitations de pouvoirs de la direction générale ».

Personnes morales faisant appel public à l’épargne (SA,SCA ou autres) – Article 122 : « elles rendent publiquesles informations relevant des conditions de préparationet d’organisation des travaux du conseil et desprocédures de contrôle interne dans les conditionsfixées par l’Autorité des Marchés Financiers ».

Q1. Quelles sont les obligations créées par la LSF ?


7"Pocket Guide""Pocket Guide"



La LSF ne définit pas les « procédures de contrôleinterne » auxquelles elle fait référence dans lesarticles 117 et 122.

Après débats entre les différents acteurs de placeimpliqués dans l’évaluation ou la gestion du contrôleinterne de l’entreprise, un consensus est apparu pourconsidérer que la LSF couvre le champ complet ducontrôle interne, c’est-à-dire, l’ensemble des politiqueset procédures mises en œuvre dans l’entreprise,destinées à fournir une assurance raisonnable quant àla gestion rigoureuse et efficace de ses activités.

Le contrôle interne a ainsi trait à la maîtrise del’ensemble des activités de l’entreprise et n’est paslimité aux informations comptables et financières. Paressence, il apporte une « assurance raisonnable », etnon une certitude, quant à la réalisation des objectifs del’entreprise.

Les dispositifs de prévention de la fraude font partie ducontrôle interne.

Q2. Quel est le périmètre de la LSF ?



L’obligation d’établir un rapport à l’attention del’assemblée générale s’impose à toutes les sociétésanonymes (SA), cotées ou non, et les sociétés faisantappel public à l’épargne tant à titre individuel qu’enqualité de société de tête d’un groupe consolidé.

Le périmètre du contrôle interne s’étend pour lesgroupes aux procédures destinées à assurer le contrôlesur leurs filiales et aux procédures destinées à garantir lafiabilité des comptes consolidés.

Ces dispositions visent également des sociétés ouétablissements spécifiques qui se voient assimilés auxsociétés anonymes par la réglementation, tels que :– les sociétés anonymes coopératives à capital variable,les sociétés anonymes sportives professionnelles ;– les établissements publics industriels et commerciauxayant la forme d’une société anonyme, sauf s’il existeune loi instituant l’établissement (ou décidant latransformation d’un EPA en EPIC) et comportant unedisposition expresse contraire (l’article 117 ne peut êtreécarté par voie réglementaire).

Les personnes morales autres que les SA et faisantappel public à l’épargne sont également concernéespar cette obligation et doivent rendrent publiques lesinformations relevant des procédures de contrôleinterne dans les conditions fixées par l’Autorité desMarchés Financiers.

Q3. Quel est le champ d’application de cette loi ?





Il s’agit en particulier des sociétés en commandite paractions et des sociétés étrangères :– admises aux négociations sur un marché réglementéfrançais,– non admises aux négociations sur un marchéréglementé français mais faisant ponctuellement appelpublic à l’épargne en France, par exemple dans le cadred’une offre aux salariés de ses filiales françaises.

Les sociétés par actions simplifiées et les sociétés àresponsabilité limitée ne sont pas soumises à cetteobligation de publicité. Néanmoins, leurs mandatairessociaux restent clairement responsables des mesures decontrôle interne permettant la maîtrise de leurs activités.

L’article 117 de la LSF fait peser sur le Président duconseil d’administration (de surveillance) uneresponsabilité quant à la rédaction et au contenu durapport sur les procédures de contrôle interne mises enplace dans l’entreprise.

La loi ne prévoit pas de sanctions spécifiques.

Néanmoins, il est précisé que le rapport du Président est« joint » au rapport du conseil d’administration ou desurveillance à l’assemblée annuelle (rapport annuel).Les tribunaux pourraient dès lors, considérer qu’il fait

Q4. Quelle est la responsabilité du Président du conseil afférente à cette nouvelle obligationissue de l’article 117 de la LSF ?



partie de ce dernier et qu’il suit le même régimejuridique. Dans cette hypothèse :– l’absence de rapport annuel, son défaut decommunication ou de mise à disposition peuvent êtresanctionnés pénalement (D67 art. 16, 53, 293 al 4,Code Pénal art. 131-13),– les dirigeants sociaux pourraient faire l’objet d’uneinjonction sous astreinte de procéder au dépôt durapport ou d’y faire procéder (Code de commerce, art.L 123-5-1 et art. L 238-1).

Par ailleurs, la responsabilité civile du Président pourraêtre mise en jeu au titre de la rédaction et du contenude ce rapport s’il est démontré une faute caractériséedans la rédaction du rapport, un préjudice et un lien decausalité entre faute et préjudice, sachant que laresponsabilité de tous les administrateurs ou membresdu conseil de surveillance pourra être recherchée dansla mesure où le Président aura pris la précautiond’obtenir l’approbation des membres du conseil quantau contenu du rapport. Celui-ci relève de laresponsabilité des administrateurs et membres duconseil de surveillance.

Enfin, de façon très exceptionnelle, la responsabilitépénale du Président et des membres du conseil pourraitégalement être mise en jeu sur le terrain du délit decommunication d’informations fausses ou trompeusessur les perspectives ou la situation d’une société dontles titres sont négociés sur un marché réglementé. Pourque les faits puissent être qualifiés comme tels, il





faudrait que les informations publiées par l’AMF oucommuniquées par le Président à l’assemblée soientconsidérées comme étant particulièrement sensibles etaient pu influencer le cours de bourse.

Quoi qu’il en soit, cette responsabilité du Président surla rédaction et le contenu du rapport ne doit pasocculter la responsabilité plus fondamentale de ladirection générale sur la qualité intrinsèque ducontrôle interne mis en place dans l’entreprise.

Les objectifs et la philosophie des deux textes sontdifférents : – le SOA vise à apporter une réponse concrète et rapideaux préoccupations des marchés financiers quant à lafiabilité de l’information financière. Il est donc centrésur cette information et le contrôle de celle-ci, pour lesseules sociétés cotées ; il requiert du CEO et du CFOqu’ils affirment leur responsabilité quant à la fiabilité decette information ; – la LSF vise à inciter les entreprises françaises à s’engagerdans une dynamique d’amélioration du contrôle interneet plus spécifiquement de gestion de leurs risques (cf.rapport du Sénat – « LSF un an après »). Elle cible ledispositif de contrôle interne dans son ensemble, pourtoutes les SA, et requiert du Président qu’il rende compteaux actionnaires de ce dispositif d’ensemble.

Q5. En quoi la LSF diffère-t-elle du SOA en vigueur aux États-Unis ?



Cha

mp

d’ap

plic

atio

n

Déf

initi

on e

t pér

imèt

re

du c

ontr

ôle

inte

rne

Réf

éren

tiel

de c

ontr

ôle

inte

rne

Obl

igat

ion

de d

ocum

enta

tion

et d

e te

sts

des

cont

rôle

s

Emet

teur

du

rapp

ort

Dat

e d’

appl

icat

ion

Tout

es le

s SA

(APE

et n

on A

PE)

et le

s so

ciét

és A

PE

Non

déf

ini

(sau

f pou

r le

s tr

avau

x du

CA

C)

Impl

icite

men

t, ch

amp

com

plet

du

con

trôl

e in

tern

e

Pas

d’ut

ilisa

tion

oblig

atoi

re

d’un

réf

éren

tiel r

econ

nu

Non

exp

licite

Prés

iden

t du

CA

ou

du C

S

Exer

cice

s ou

vert

s à

com

pter

du

1er

janv

ier

2003

Les

soci

étés

cot

ées

Déf

ini e

t lim

ité a

u co

ntrô

le in

tern

e re

latif

à l’

info

rmat

ion

finan

cièr

e et

aux

pro

cédu

res

de c

omm

unic

atio

n de

s in

form

atio

ns a

ux m

arch

és

Util

isat

ion

oblig

atoi

re

d’un

réf

éren

tiel r

econ

nu.

CO

SO c

ité c

omm

e ex

empl

e pa

r la

SEC

Expl

icite

CEO

et C

FO

Pour

les

soci

étés

sou

mis

esau

rep

ortin

g ac

célé

ré :

exer

cice

s cl

os

au 1

5 no

vem

bre

2004

et a

près

.Ex

erci

ces

clos

au

15 a

vril

2005

et

apr

ès p

our

les

autr

es (F

PI)

Loi d

e Sé

curi

té F

inan

cièr

eSa

rban

es-O

xley

Act

Les principales différences entre ces deux textes sontillustrées ci-dessous.





La proposition de directive sur le contrôle légal descomptes du 16 mars 2004 contient deux mesures enmatière de contrôle interne : – le test de connaissances théoriques inclus dansl’examen d’aptitudes professionnelles auquel sontsoumis les auditeurs devrait notamment couvrir lagestion des risques et le contrôle interne (art. 8) ;– l’auditeur ou le cabinet d’audit devrait faire unrapport au comité d’audit sur les questionsfondamentales soulevées par l’audit, notamment lesfaiblesses majeures du contrôle interne en rapport avecle processus d’élaboration de l’information financière(art. 39).

En outre, la proposition de directive sur laresponsabilité des administrateurs du 28 octobre 2004prévoit la publication par les sociétés cotées, dans unepartie distincte du rapport de gestion, d’une« déclaration annuelle sur le gouvernementd’entreprise » incluant la description des systèmesinternes de contrôle et de gestion des risques du groupeen relation avec le processus d’établissement descomptes consolidés (art. 2).

Remarque : les dispositions prévues par ces deuxdirectives devraient être transposées par les Etatsmembres au plus tard pour le 1er janvier 2007.

Q6. Quelles sont les évolutions prévues en Europeen matière de contrôle interne et de gouvernance ?



Des lois relatives au renforcement de la gouvernance etdu contrôle interne des entreprises, souvent appeléeslois « post-Enron », ont été adoptées dans la plupart desgrands pays industriels.

Les principales dispositions prises par ces textes serésument comme suit : – renforcement de la gouvernance ;– renforcement de la responsabilité des dirigeants ;– augmentation des sanctions liées à la publicationd’informations inexactes ;– enrichissement de l’information financière et del’information donnée aux marchés sur le contrôleinterne ;– renforcement des mécanismes anti-fraudes ;– mise en place de règles plus strictes de contrôle del’indépendance des auditeurs.

Ces textes s’appliquent pour la plupart uniquement auxsociétés cotées ou sociétés faisant appel public àl’épargne.

Q7. Quelles sont les obligations légales dans les autres pays ?





Les dispositions de la LSF relatives au rapport sur lecontrôle interne sont succinctes et ne font pas l’objetd’un décret d’application. Aussi, les « acteurs deplace » et les régulateurs jouent-ils un rôle déterminantdans l’interprétation de cette nouvelle obligation et leconseil aux entreprises pour sa mise en œuvre.

Dès novembre 2003, le MEDEF et l’AFEP ont ainsiproposé que les termes de la loi « rend compte […] desprocédures de contrôle interne » soient interprétéscomme l’obligation de décrire le contrôle interne, etnon de l’évaluer. Ils ont également proposé unedéfinition du terme contrôle interne et un modèle derapport du Président – définition et modèle qui ont étélargement utilisés par les entreprises pour cette premièreannée d’application.

Au cas particulier des sociétés faisant appel public àl’épargne, et conformément au rôle qui lui est attribuépar le texte de loi, l’AMF a émis une premièrerecommandation en janvier 2004, préconisantnotamment d’utiliser les lignes directrices données parle MEDEF et l’AFEP, de préciser les diligences qui sous-tendent l’analyse du Président et d’entamer unedémarche progressive d’évaluation permettant d’aboutirà terme à une appréciation de l’adéquation et del’efficacité du contrôle interne.

Q8. Quel est le rôle des « grands acteurs de place »et des régulateurs ? Comment influencent-ils la gestion du contrôle interne dans les entreprises ?



Les acteurs de place et régulateurs ont ainsi été moteursdans l’interprétation et l’application de ce nouveautexte en 2003.

Pour l’avenir, compte tenu des enjeux decommunication financière associés à ce nouveaurapport, il est probable que les sociétés faisant appelpublic à l’épargne contribuent aussi à la définition de latendance, notamment :– en donnant une information de plus en plusspécifique à leur organisation et à leur activité, – en apportant des appréciations sur tout ou partie deleur dispositif, – et en s’engageant pour ce faire dans des démarchesinternes d’amélioration de leurs dispositifs de contrôle.

DU CONTRÔLE INTERNE À LA MAÎTRISE DES ACTIVITÉS

Q9. Qu’est-ce que le contrôle interne ? . . . . . . . . . . . . . 18

Q10. Qu’est-ce que le COSO ? . . . . . . . . . . . . . . . . . . . . . . 19

Q11. Quel est le lien entre contrôle interne et gouvernance ? . . . . . . . . . . 21

Q12. Quel est le lien entre contrôle interne et gestion des risques ? . . . . 22

Q13. Quel est le lien entre contrôle interne et dispositif anti-fraude ? . . . 23

Q14. Quel est le poids relatif de la partie financière dans l’ensemble du contrôle interne ? . . . . . . . . . . . 24

Q15. Quelles évolutions pour les modèles existants ? . . . 25

17


18 Contrôle interne – Au-delà des concepts, 40 questions aux praticiens

La LSF ne donne pas de définition du contrôle interne.Dans leurs rapports 2003, les entreprises ontmajoritairement repris la définition proposée par lerapport du COSO, ou ont donné une définition qui s’enrapproche – à l’exception des établissements financiersqui ont fait référence au règlement de la commissionbancaire 97-02.

Le SOA en revanche, dans ses textes d’application, faitexplicitement référence au rapport du COSO et à ladéfinition qu’il propose.

Selon le rapport du COSO, le contrôle interne est unprocessus mis en œuvre par le conseil d’administration,les dirigeants et le personnel de l’entreprise, pourfournir une assurance raisonnable quant à la réalisationdes trois objectifs suivants :– la réalisation et l’optimisation des opérations,– la fiabilité des opérations financières,– la conformité aux lois et règlements.

Au-delà des concepts, l’enjeu véritable du contrôleinterne est la maîtrise des activités – ce pourrait êtred’ailleurs une plus juste traduction du terme anglais« Internal Control ».

Q9. Qu’est-ce que le contrôle interne ?





Le Committee Of Sponsoring Organizations de laCommission Treadway est un groupe de réflexionconstitué aux Etats-Unis en 1985.

Ce groupe a développé un référentiel méthodologiqued’analyse du contrôle interne, dénommé « le COSO »qui a été édité en France en 1992 sous le titre « Lapratique du contrôle interne ».

En résumé, le COSO structure l’analyse du contrôleinterne selon les trois objectifs cités précédemment etpour chacun d’eux selon cinq composantes :– l’environnement de contrôle,– l’évaluation des risques,– les activités de contrôle,– l’information et la communication,– le pilotage (du contrôle interne).

Ce cadre d’analyse se décline sur chaque activité etfonction de l’entreprise.

Ce référentiel méthodologique est représentéschématiquement par un cube, couvrant l’ensemble desdimensions du contrôle interne de l’entreprise, dit CubeCOSO.

Q10. Qu’est-ce que le COSO ?



Il n’existe pas à ce jour de modèle de contrôle interned’inspiration française, mais des groupes de travailexistent au sein d’organismes tels que l’ordre desExperts Comptables, la CNCC et l’IFACI.

La CNCC, dans son avis technique de mars 2004 sur lerapport du Président, fait référence à la définition ducontrôle interne du COSO.

PricewaterhouseCoopers est, au plan mondial, co-auteur du rapport du COSO.





Il n’existe pas de définition légale du gouvernementd’entreprise mais il est possible de le définir par sesobjectifs : promouvoir l’autorégulation et organiser latransparence.

Le gouvernement d’entreprise, qui régit les relations entrel’organe de contrôle, le conseil d’administration / conseilde surveillance et les organes de direction (directiongénérale, directoire) peut être considéré comme une partiedu dispositif général de contrôle interne.

Les membres du conseil d’administration (de surveillance)doivent avoir une parfaite connaissance de la stratégie,des risques et des actions mises en œuvre pour réussir lapremière et limiter les seconds. Ils doivent être tenusrégulièrement informés de l’état d’avancement de cettestratégie et des incidents de manière à pouvoir déciderdes mesures correctrices adaptées. Ils font rapport de leurstravaux à l’assemblée.

Q11. Quel est le lien entre contrôle interne et gouvernance ?

Conseil

Ensemble du

personnel

Gouvernement d'entreprise

Reporting

Contrôle interne sur les opérations

EnjeuxDirection

Générale

Acteurs Contrôle interne

Conseil

Ensemble du

personnel

Gouvernement d'entreprise

Reporting

Contrôle interne sur les opérations

EnjeuxEnjeuxDirection

Générale

Acteurs Contrôle interne



La reconnaissance du caractère essentiel de la gestiondes risques au regard du contrôle interne s’est traduiterécemment par l’émergence du concept de l’EnterpriseRisk Management (ERM) issu des travaux du COSO, etrepris sous l’appellation « COSO 2 ».

En France, l’importance de la gestion des risques a étésoulignée dans le rapport d’information au Sénat – Loide Sécurité Financière 1 an après – du 27 juillet 2004.Ce rapport indique clairement que la gestion desrisques se place au cœur des enjeux du renforcementdu contrôle interne.

Associer étroitement contrôle interne et gestion desrisques assure que le contrôle interne est un outilopérationnel pour le management, adapté aux enjeuxde l’activité et non un dispositif formel dénué d’intérêt :il s’agit d’éviter la constitution de référentiels exhaustifsde procédures de contrôle interne qui seraient par tropcomplexes et coûteux à concevoir et plus encore àmaintenir.

Le contrôle interne défini comme la maîtrise desactivités s’appuie sur une vision pragmatique des enjeuxde l’entreprise, des principaux risques associés et desréponses apportées par les dispositifs de contrôleinterne. Ainsi, par la conception, le déploiement,l’évaluation et le pilotage d’un dispositif de contrôle

Q12. Quel est le lien entre contrôle interne et gestion des risques ?





interne structuré sur la gestion des risques, l’entreprisese donne une « assurance raisonnable » de réalisationde ses objectifs.

Pour qu’une fraude soit commise, il faut généralementqu’un ou plusieurs individus aient subi des pressionspersonnelles et/ou incitations financières, et qu’ils aientl’opportunité de commettre la fraude, par exemple encas d’absence temporaire de séparation des tâches.

En conséquence, le contrôle interne permet de réduirele risque de fraude ; toutefois, ce n’est pasnécessairement suffisant car la réalisation d’une fraudeconsiste bien souvent à contourner le dispositif decontrôle interne (par exemple, lorsqu’une personneutilise son positionnement hiérarchique pour ne passuivre les procédures normales).

C’est pourquoi il est nécessaire de mettre en place desdispositifs anti-fraude spécifiques sur la base d’uneanalyse de vulnérabilité de l’entreprise ou du groupe.Cette analyse sera conduite de manière progressive àpartir d’une compréhension de l’environnement decontrôle général et d’un diagnostic des situations àrisques.

Q13. Quel est le lien entre contrôle interne et dispositif anti-fraude ?



La fiabilité de l’information financière constitue l’un destrois objectifs du contrôle interne.

La « partie financière » du contrôle interne dépasse, surle plan des organisations et des processus, le périmètrede la fonction comptable et financière de l’entreprise.Elle implique l’ensemble des fonctions de l’entreprisedont les activités génèrent des événements qui ontvocation à être traduits dans les états financiers.

L’objectif de fiabilité de l’information financière est parconséquent très transversal à l’organisation et mobilisela grande majorité des fonctions de l’entreprise. Est-ilprépondérant par rapport aux deux autres objectifs ? LeCOSO ne le dit pas. Cependant, avec le SOA, lerégulateur américain a mis l’accent essentiellement surl’objectif de fiabilité de l’information financière. Certes,le régulateur français, avec la LSF, ne privilégie aucundes objectifs. Cependant, il distingue l’objectif defiabilité de l’information financière en soumettant aux« observations » du CAC la partie du rapport sur lecontrôle interne relative à l’élaboration de l’informationfinancière.

Enfin, dans la pratique, on constate une certaine prioritédonnée par les entreprises à la vérification du contrôleinterne relatif à la fiabilité de l’information financière,qui peut s’expliquer par la volonté des entreprises derassurer les marchés financiers.

Q14. Quel est le poids relatif de la partie financièredans l’ensemble du contrôle interne ?





Le modèle COSO a été retenu par le régulateur UScomme le modèle de référence sur le contrôle interne.Ce modèle disponible depuis 1992 a pu être confrontéà la réalité du management d’entreprise du fait d’unelarge diffusion notamment aux USA.

Les observations émises par les praticiens ont entreautres suscité la poursuite des réflexions qui ont conduitdepuis 5 ans à l’émergence du concept d’EnterpriseRisk Management. L’ERM « framework » du COSO 2est disponible sous sa version définitive depuis octobre2004.

D’un point de vue opérationnel, l’ERM est un processusfacilitant :– la gestion des incertitudes des activités, la gestion desrisques et des opportunités, – l’identification des événements pouvant être àl’origine de risques, ainsi que la définition des solutionsde contrôle interne adaptées, offrant une assuranceraisonnable quant à la réalisation des objectifs,– l’alignement de la gestion des risques avec la stratégiede l’entreprise.

En identifiant les événements auxquels l’entreprise estsoumise, le management peut aussi déterminer lesopportunités pour améliorer sa performance.

Q15. Quelles évolutions pour les modèles existants ?



L’ERM représente également une orientation vers unprocessus plus complet de gestion des risques et à cetitre, il a retenu l’intérêt de la Securities and ExchangeCommission (SEC). Dans une communication d’avril2004, la SEC souligne le besoin pour les entreprisesd’adopter une attitude « proactive » pour l’identificationdes zones de risques. Elle insiste de même surl’obligation de mettre en oeuvre des contrôles pourréduire ou éliminer leurs risques et d’initier uneapproche « top-to-bottom ».

QUI FAIT QUOI ? QUELLES ÉVOLUTIONS DANS L’ORGANISATION DE L’ENTREPRISE ?

Q16. Qui sont les responsables du contrôle interne ? . . . 28Q17. Qui est acteur du contrôle interne ? . . . . . . . . . . . . . 29Q18. Quels sont les rôles de l’Audit Interne

et du Risk Manager ? Définissent-ils le contrôle interne ? . . . . . . . . . . . . . . 29

Q19. Quelles sont les difficultés rencontrées pour mettre en place un dispositif de contrôle interneadapté et efficace au niveau des groupes ? . . . . . . . 30

Q20. Quel est le rôle de la direction juridique ? Son rôle s’étend-t-il à la vérificationde l’application de l’ensemble des lois et règlements dans l’entreprise ? . . . . . . . . . . . . . . . . 31

Q21. Quel est le rôle de la DRH ? . . . . . . . . . . . . . . . . . . . . 32Q22. N’y a-t-il pas double emploi

entre assurance qualité et contrôle interne ?Comment intégrer les travaux de la Direction de la Qualité dans la démarche de contrôle interne ? . 33

Q23. Quel est le rôle de la Direction Financière ?Son périmètre d’intervention va-t-il au-delà du département comptable ? . . . . . . . . . . . . 34

Q24. Quel est le rôle de la Direction des Systèmesd’Information (DSI) ?Quels impacts sur ses modes de fonctionnement ? 35

Q25. Quel est le rôle du commissaire aux comptes ? . . . 36

27

QUI FAIT QUOI ?


Le management : c’est la direction générale qui estresponsable de la mise en œuvre du contrôle internedans l’entreprise, c’est à dire le Président DirecteurGénéral, le Directeur Général, les Directeurs GénérauxDélégués et le Directoire.

Les organes de contrôle : le conseil d’administration etle conseil de surveillance ont pour rôle de surveiller etguider la direction générale afin de s’assurer de la miseen œuvre du contrôle interne. Ils sont assistés le caséchéant par des comités ad hoc (comité d’audit, comitédes risques, comité des rémunérations…).

Les parties prenantes de l’entreprise, notamment lesactionnaires, engagent plus facilement des actions enresponsabilité à l’encontre des dirigeants et des organesde contrôle. Une défaillance dans le contrôle internepeut être non seulement la source d’actions judiciairesen responsabilité mais peut également favoriser desactes de malveillance également générateurs d’actionsen responsabilité, notamment sur le fondement de lanégligence.

Les assureurs Responsabilité civile des mandatairessociaux et des entreprises s’intéressent de plus en plusau contrôle interne mis en place par leurs assurés…

Q16. Qui sont les responsables du contrôle interne ?

QUI FAIT QUOI ?




Ayant posé la maîtrise des activités de l’entreprisecomme l’enjeu du contrôle interne, c’est toutnaturellement l’ensemble des collaborateurs del’entreprise qui est concerné, et qui est acteur ducontrôle interne, du « top management » au personneld’exécution.

La prise en compte des objectifs du contrôle interne etl’application des dispositifs qui y sont associés, sont àintégrer dans les définitions de responsabilités, defonctions, de postes, etc. des personnels et dans lesprocédures d’évaluation de la performance.

Non, comme indiqué précédemment, la définition ducontrôle interne relève de la responsabilité dumanagement.

Les départements d’audit interne et de gestion desrisques ont un rôle important à jouer dans le dispositifde contrôle interne : selon la mission qui leur estallouée dans l’entreprise, ils réalisent un travaild’animation de ce dispositif, de diffusion des meilleurespratiques dans l’entreprise et/ou d’évaluation et decontrôle ponctuel des procédures en place.

Q18. Quels sont les rôles de l’Audit Interne et du Risk Manager ? Définissent-ils le contrôle interne ?

Q17. Qui est acteur du contrôle interne ?

QUI FAIT QUOI ?


Cette répartition des rôles permet en particulier à l’auditinterne de préserver l’objectivité qui est nécessaire àl’exercice de sa fonction : n’ayant pas participé à ladéfinition du dispositif de contrôle interne, il est enmesure d’en apprécier l’adéquation et l’efficacité, entoute indépendance.

En France, le groupe de sociétés n’a pas la personnalitémorale : les sociétés du groupe sont autonomes d’unpoint de vue juridique ; elles ont un patrimoine et uneresponsabilité distincts.

L’un des enjeux des groupes est d’assurer unecohérence en leur sein entre les structures juridiques etl’organisation opérationnelle pour :– assurer un meilleur suivi de l’activité,– limiter les risques d’erreur et de fraude,– mieux gérer le risque de mise en jeu de laresponsabilité des mandataires sociaux.

La société tête de groupe qui a les mêmes pouvoirsqu’un actionnaire majoritaire ne peut rien imposerjuridiquement à ses filiales en matière de contrôleinterne ; cela étant, elle va devoir veiller à harmoniserles procédures internes au moyen de règles intragroupes.

Q19. Quelles sont les difficultés rencontrées pour mettre en place un dispositif de contrôle interne adapté et efficace au niveau des groupes ?

QUI FAIT QUOI ?




Il s’ensuit une nécessaire contractualisation de cesobligations au sein de conventions de direction degroupe. Celles-ci ont pour objet d’harmoniser les règlesapplicables aux filiales et à leurs dirigeants, dès lorsqu’elles appartiennent au même groupe.

La direction juridique a un rôle évident dans le cadre dela démarche de contrôle interne. Il appartient toutd’abord à la direction générale de déterminer le rôle dela direction juridique groupe et celui des directions desfiliales et d’instituer des règles de reporting claires etcohérentes.

C’est surtout aux juristes du groupe pris dans leurensemble qu’il appartient :– d’assurer l’animation de la réalisation de l’objectif de« conformité aux lois et règlements » du contrôleinterne dans l’ensemble de l’entreprise,– de sensibiliser les dirigeants et de clarifier les rôles etresponsabilités,– de proposer aux dirigeants les solutions juridiquesrelevant de la composante « environnement decontrôle » du contrôle interne.

Q20. Quel est le rôle de la direction juridique ? Son rôle s’étend-t-il à la vérification de l’application de l’ensemble des lois et règlements dans l’entreprise ?

QUI FAIT QUOI ?


La Direction des Ressources Humaines intervientégalement dans la démarche de contrôle interne, aucôté le plus souvent de la Direction Juridique, dans lamise en place de chartes d’éthique / codes de conduitedestinés, notamment, à sensibiliser l’ensemble desobservateurs de l’entreprise, voire des tiers (partenaires,fournisseurs, ...) à la nécessité de respecter les lois etrèglements en vigueur.

Elle peut également être sollicitée dans le cadre de lamise en place des délégations de pouvoirs quipermettent d’organiser les rôles et responsabilités desdirigeants et des délégataires et de gérer, au sein del’entreprise, le risque de responsabilité pénale.

Le contrôle interne nécessite de formaliser le système dedélégations existant et de vérifier régulièrement sonefficacité.

Q21. Quel est le rôle de la DRH ?

QUI FAIT QUOI ?




Les démarches de l’assurance qualité poursuivent desobjectifs opérationnels. Il s’agit de rechercher l’optimumd’efficacité dans l’organisation, les process et lesméthodes pour maximiser les résultats d’une activité oud’un process.

Il existe des synergies évidentes avec le contrôle interne,non seulement dans les démarches et la nature destravaux réalisés, mais aussi sur le fond, dans les objectifset les résultats à atteindre. En effet, les démarchesd’assurance qualité lorsqu’elles sont menées enprofondeur, dans une recherche d’excellence, intègrentles dispositifs de contrôle. De même, le contrôle internecomprend dans sa définition un objectif de réalisationet d’optimisation des opérations, qui rejoint celui del’assurance qualité.

La mise en œuvre des démarches de contrôle internerévèle fréquemment des opportunités d’amélioration del’efficacité et de la performance des activités.

Enfin, assurance qualité et contrôle interne ont aussicomme point commun d’agir sur les comportements etla culture générale d’entreprise.

Q22. N’y a-t-il pas double emploi entre assurance qualité et contrôle interne ?Comment intégrer les travaux de la Direction de la Qualité dans la démarche de contrôle interne ?

QUI FAIT QUOI ?


La Direction Financière est responsable de l’animationde l’ensemble des éléments du dispositif de contrôleinterne contribuant à la réalisation de l’objectif de« fiabilité de l’information financière ».

Par définition, ces éléments sont, pour grande partie,extérieurs à la fonction financière : ils portentnotamment sur les processus opérationnels detraitement des transactions en amont des systèmescomptables, ainsi que sur tout mécanisme deremontée d’information des événements nécessitantune traduction comptable. La direction financière est enmesure d’en apprécier l’adéquation et l’efficacité surl’ensemble de ce périmètre.

Par ailleurs, la Direction Financière tient également unrôle majeur dans la communication aux marchésfinanciers ; elle est également impliquée dans le projetde contrôle interne à ce titre.

Q23. Quel est le rôle de la Direction Financière ? Son périmètre d’intervention va-t-il au-delà du département comptable ?

QUI FAIT QUOI ?




Les activités des entreprises s’appuient fortement surl’informatique. Les processus sont informatisés et lepatrimoine applicatif et technique est de plus en pluscomplexe à gérer pour les fonctions informatiques qui sonten charge de leur développement et de leur exploitation.

Historiquement, les développements de systèmes ont étéeffectués dans une logique d’automatisation de tâches.Les méthodologies de développement mettent l’accentsur la modélisation des flux et des opérations, sans toujoursprendre suffisamment en considération les enjeux decontrôle interne tels que : séparation des tâches,rapprochements automatiques, états d’analyse et devérification à mettre à disposition des utilisateurs, etc.

Il convient donc de s’assurer de la prise en compteeffective des problématiques de contrôle interne dansles phases de développement et de maintenance desapplications.

La complexité des applications, la sophistication et lapuissance des technologies rendent l’informatique toujoursplus complexe à maîtriser sur le plan du contrôle interneet notamment de la sécurité. C’est une véritable réflexionqui doit être menée dans l’entreprise par les DSI afind’évaluer les risques et d’apprécier l’adéquation dudispositif de contrôle interne.

Q24. Quel est le rôle de la Direction des Systèmes d’Information (DSI) ?Quels impacts sur ses modes de fonctionnement ?

QUI FAIT QUOI ?


Le rôle du commissaire aux comptes est défini par laLSF et l’avis de la Compagnie Nationale desCommissaires aux Comptes (CNCC) du 23 mars 2003 –confirmé par un avis du Haut Conseil du Commissariataux Comptes.

L’article 120 de la LSF prévoit que les commissaires auxcomptes « présentent dans un rapport […] leursobservations sur le rapport [du Président] pour cellesdes procédures de contrôle interne qui sont relatives àl’élaboration et au traitement de l’informationcomptable et financière ». Le commissaire aux comptesn’émet donc pas à proprement parlé un avis sur lecontrôle interne mais fait plus simplement desobservations sur le rapport du Président, pour lesprocédures de contrôle interne relatives à l’informationcomptable et financière.

Pour ce faire, l’avis technique de la CNCC précise que« le commissaire aux comptes met en œuvre lesdiligences lui permettant de s’assurer que lesinformations et, le cas échéant, les déclarations,contenues dans le rapport du Président, sur lesprocédures de contrôle interne relatives à l’élaborationet au traitement de l’information comptable etfinancière, sont présentées de manière sincère ».L’information est considérée comme sincère dès lorsqu’elle est corroborée par les travaux du commissaireaux comptes et lui paraît être pertinente et nonsusceptible d’être mal interprétée.

Q25. Quel est le rôle du commissaire aux comptes ?

QUI FAIT QUOI ?




L’étendue des travaux à mener par le commissaire auxcomptes sur le contrôle interne relatif à l’informationfinancière dépend ainsi de la nature des informationsdonnées dans le rapport du Président et de la capacitéde la société à apporter des éléments probants justifiantces déclarations.

Les informations relatives à l’organisation des travaux duconseil ou au contrôle interne des opérations, donnéespar le Président dans son rapport, font simplementl’objet d’une lecture d’ensemble par le commissaire auxcomptes.

EN PRATIQUE, QUEL PROJET METTRE EN ŒUVRE ?

Q26. Faut-il un projet de mise à niveau du contrôle interne ? . . . . . . . . . . . . . . . . . . . . . . . . . . 40

Q27. Quelle démarche pour améliorer le contrôle interne . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

Q28. Comment entamer une démarche de contrôle interne ? . . . . . . . . . . . . . . . . . . . . . . . . . . 42

Q29. La démarche doit-elle être la même pour un projet LSF et un projet SOA ? . . . . . . . . . . . 43

Q30. Comment organiser le projet ? . . . . . . . . . . . . . . . . . 44

Q31. Que documenter et jusqu’où ? . . . . . . . . . . . . . . . . . 45

Q32. Comment assurer la qualité du dispositif contrôle interne lorsqu’on a recours à des sous-traitants ou à l’externalisation de certaines fonctions ? . . . . . . . . . . . . . . . . . . . . . . . 45

Q33. Peut-on institutionnaliser la dénonciation des fraudes en France (Whistleblowing aux USA) ? . . . . . . . . . . . . . . . . . . . . 46

Q34. Qu’est ce qu’un Consultant externe peut apporter au projet ? . . . . . . . . . . . . . . . . . . . . . . 48

39

QUEL PROJET METTRE EN ŒUVRE ?


La réponse s’étudie au cas par cas. Elle découle desréponses apportées à deux questions préliminaires :

– L’entreprise dispose-t-elle d’une vision de synthèsede son contrôle interne actuel : ses enjeux, sesprincipaux risques, les dispositifs de contrôle en placeet leur niveau d’application ?

– Le dispositif de contrôle interne est-il adapté àl’entreprise et répond-t-il aux objectifs decommunication du Président dans le cadre du rapportLSF ?

Selon les réponses apportées, l’entreprise pourrait êtreamenée à lancer un projet de mise à niveau de soncontrôle interne.

Si l’entreprise entre dans le champ d’application duSOA, il est peu probable que son dispositif de contrôleinterne soit conforme, en particulier la documentation.Il sera donc nécessaire de lancer un projet de mise enconformité.

Q26. Faut-il un projet de mise à niveau du contrôle interne ?





La démarche dans son principe est relativement simple.Elle se structure en trois phases :

– Une phase d’initialisation ou de cadrage, au cours delaquelle les objectifs du projet sont définis, le plussouvent en s’appuyant sur un pré-diagnostic du contrôleinterne, permettant de dégager les activités, entités etthèmes prioritaires. L’organisation de projet, le planning,les ressources et le référentiel méthodologique sontdéfinis en conséquence.

– Un plan de mise en œuvre, généralement structuréautour de trois thèmes :• le gouvernement d’entreprise,• la maîtrise des opérations,• la conformité aux lois.Cette phase comprend des diagnostics détaillés, desplans d’actions et des tests. Pour les groupes, ces travaux peuvent être conduits surune unité pilote sur laquelle un core model de contrôleinterne est développé, puis déployé ensuite surl’ensemble des unités du groupe.

– Une phase de stabilisation et de fonctionnementcourant, qui vise à s’assurer de la bonne appropriationdes nouveaux dispositifs par le management etl’ensemble des collaborateurs concernés. C’est unephase critique pour l’entreprise car il s’agit de

Q27. Quelle démarche pour améliorer le contrôle interne ?



pérenniser l’ensemble des travaux réalisés et d’intégrerdéfinitivement le contrôle interne dans les modes defonctionnement de l’entreprise.

La phase d’initialisation est particulièrement critique carelle positionne le projet dans l’entreprise induisant sonniveau de priorité et les ressources à mobiliser.Concrètement, il s’agit de réfléchir autour de troisthèmes :

– Clarifier les enjeux pour l’entreprise : enjeuxjuridiques (responsabilité des dirigeants, …), enjeux decommunication (attentes du marché, attitudes desconcurrents, …), enjeux de maîtrise des activités (oùsont les principaux risques ? sont-ils bien couverts ? …).

– Évaluer le niveau actuel du contrôle interne, afin dedéfinir des objectifs réalistes dans le temps.

– Tenir compte de la stratégie de l’entreprise pour fixerles priorités.

Enjeux, niveau actuel de contrôle interne et stratégie del’entreprise constituent les trois paramètres de base àprendre en compte pour fixer les objectifs du projetcontrôle interne.

Q28. Comment entamer une démarche de contrôle interne ?





A l’origine, la démarche est fondamentalementdifférente.

Avec la LSF, le législateur demande au Président des’assurer que ses risques sont maîtrisés. Le périmètrecouvre l’ensemble des activités de l’entreprise et lePrésident rend compte des procédures de contrôleinterne mises en place. La démarche sera construitedans une approche top/down fondée sur une analysedes enjeux et des risques.

Dans le cadre du SOA, le régulateur demande auCEO/CFO de démontrer à des tiers que l’informationfinancière publiée est fiable. Le périmètre couvreuniquement l’information financière. L’obligation depreuve engendre une exigence de documentation forte.La démarche sera construite dans une approchetransversale fondée sur l’identification des comptessignificatifs dans les états financiers et l’analyse ducontrôle interne relatif à l’alimentation de cescomptes.

Ce sont donc deux démarches distinctes, maisvraisemblablement appelées à converger à terme dufait de la priorité donnée dans la pratique à la fiabilitéde l’information financière dans les projets LSF.

Q29. La démarche doit-elle être la même pour un projet LSF et un projet SOA ?



Naturellement, l’organisation du projet dépend de sesobjectifs, de son ambition. C’est un projet avec uneforte composante de changement. Par conséquent, lechef de projet doit être rattaché au responsable ayantautorité sur le périmètre du projet.

Compte tenu de la nature du projet, l’équipe projet avocation à être pluridisciplinaire avec des compétencesd’opérationnels, de financiers, de juristes,d’informaticiens ainsi que des experts à identifier enfonction de l’activité. Les services méthodes etassurance qualité peuvent aussi apporter leurscompétences en matière d’analyse des processus etactivités de l’entreprise.

Des relais, voire temporairement des équipes, sont àprévoir dans chaque direction/unité opérationnelleimpactée par le projet. Ces relais jouent à la fois un rôle« d’apporteur » des connaissances et spécificités sur lesactivités, et un rôle de « diffuseur » des pratiques àmettre en place, puis un rôle d’animation et de suivi.

Selon la structure des entreprises, les équipes peuventêtre centralisées avec des relais dans chaque entité, oudécentralisées dans chaque entité avec une animationcentrale.

Le projet est animé avec les techniques et outilshabituellement utilisés dans la gestion des projetstransversaux.

Q30. Comment organiser le projet ?





Pour les entreprises soumises au SOA, les règles dedocumentation ont été précisément définies dans lestextes d’application (cf. PCAOB). Pour la LSF, lerégulateur et les organismes professionnels n’ont pasdéfini de normes en la matière.

La documentation doit être d’un niveau suffisant pourpermettre au Président, dans le contexte de sonentreprise, de fonder son opinion sur le contrôleinterne.

Une bonne pratique est d’avoir un minimum deformalisation de l’environnement de contrôle, desprincipaux risques et des contrôles clés.

Par principe, en sous-traitant ou en externalisant tout oupartie d’une activité, l’entreprise ne se dédouane pas desa responsabilité en matière de contrôle interne.

Ainsi, l’entreprise doit obtenir de ses sous-traitants desengagements en matière de contrôle interne, au mêmetitre que pour la prestation principale, et en vérifier

Q32. Comment assurer la qualité du dispositif de contrôle interne lorsqu’on a recours à des sous-traitants ou à l’externalisation de certaines fonctions ?

Q31. Que documenter et jusqu’où ?



régulièrement l’application. Plusieurs techniques sontpossibles et peuvent être utilisées simultanément. Atitre d’exemple :– des engagements précis du sous-traitant dans le cadrede contrats de service, incluant la composante contrôleinterne,– le droit pour l’entreprise d’effectuer des audits chez lesous-traitant,– la possibilité d’obtenir des certifications de la part detiers.

Aux Etats-Unis, le SOA a renforcé la protection dusalarié « délateur ». En France, certaines sociétés,principalement des filiales de sociétés américaines,mettent en place les Codes de conduite de leur maisonmère comportant des clauses de « Whistleblowing ».

Certains de ces Codes encouragent les salariés à révélerles infractions commises au sein de la société, dont ilsauraient connaissance. D’autres, mentionnent que lanon dénonciation (ou la non « délation ») de tels faitspar les salariés constitue une faute qui pourra êtresanctionnée.

Deux questions principales se posent en droit françaisquant à ces dispositions : la validité de l’organisation

Q33. Peut-on institutionnaliser la dénonciation des fraudes en France (Whistleblowing aux USA) ?





du contrôle des salariés par l’encouragement de la« délation » et la sanction du salarié qui n’aura pasdénoncé une infraction.

La dénonciation est un mode de preuve licite en droitfrançais. L’utilisation de renseignements transmis pardes tiers pour dénoncer des actions frauduleuses estadmise tant en matière pénale qu’en matière fiscale, parexemple.

Toutefois, la mise en place de ce type de mécanisme dedénonciation n’est pas sans difficultés. La CNIL s’estmontrée hostile au caractère « inquisitorial » de telsprocédés, soulignant qu’ils pouvaient porter atteinte auxdroits et libertés des salariés.

La Cour de Cassation n’a pas pris position à ce jour surla licéité de ce type de clause mais les juges du fondsemblent réticents.

En tout état de cause, si ces clauses conduisent à unemodification du règlement intérieur ou font l’objetd’une contractualisation avec les salariés, elles doiventêtre soumises à la consultation des institutionsreprésentatives.

Certaines ONG, telles que Transparency International,souhaitent que les entreprises favorisent l’adoption decodes de conduite encourageant la dénonciation depratiques frauduleuses avec intervention du législateurinstaurant un droit d’alerte.



Quels sont les caractéristiques et facteurs clés de succèsdu projet ?Il s’agit d’un projet transverse à l’entreprise, quiimplique l’ensemble des fonctions et des activités : lesopérationnels, le juridique, la finance, l’informatique,les ressources humaines, etc.

En amont du projet, il faut donc pouvoir mobiliser, fairepartager les concepts, faire travailler ensemble descollaborateurs de profils très divers. Un consultant externerompu au travail en équipe pluridisciplinaire peutgrandement faciliter et accélérer le cadrage du projet.

Très vite ensuite les équipes projets sont confrontéesaux difficultés d’identification et de catégorisation desprincipaux risques ; le consultant externe peut apporterla méthodologie d’analyse des risques, les expertisesspécifiques sur un sujet précis, ainsi que les référentielsdes meilleures pratiques, assurant, de ce fait, unemeilleure exhaustivité et une plus grande efficacité dansle déroulement des travaux.

L’amélioration des contrôles, c’est aussi deschangements dans l’organisation et les modes defonctionnement. Le consultant externe peut être unfacilitateur dans la conduite de ces changements,sachant que son savoir-faire habituel en matièred’organisation et de gestion de projet peut aussi fairegagner un temps précieux à l’entreprise.

Q34. Qu’est ce qu’un Consultant externe peut apporter au projet ?

QUEL APPORT À LONG TERME ?

Q35. Comment pérenniser la démarche de contrôle intene ? . . . . . . . . . . . . . . . 50

Q36. En quoi le contrôle interne contribue-t-il à l’amélioration de la performance de l’entreprise ? . . . . . . . . . . . . . . 51

Q37. Reporting au management et aux organes de gourvernance :à quelle fréquence et quel contenu ? . . . . . . . . . . . . 52

49



C’est une question fondamentale. Au-delà de la mise enplace des améliorations du contrôle interne issues destravaux de l’équipe projet, il s’agit de transférer auxactivités de l’entreprise, la gestion du processuscontrôle interne sur leur périmètre d’intervention.

Pour y parvenir, la première chose à faire estd’impliquer le management des activités dans le projetde façon à obtenir non seulement la mise en place desdispositifs préconisés par l’équipe projet, mais aussi etsurtout une réelle compréhension et appropriation desenjeux et concepts du contrôle interne.

La deuxième action à entreprendre est de veiller à ceque les problématiques de contrôle interne soientintégrées dans l’ensemble des moyens mis en œuvrepour structurer les modes de fonctionnement del’entreprise : définition de fonction, modes opératoires,processus d’évaluation, formation, reporting, séminairesdivers, etc.

Q35. Comment pérenniser la démarche de contrôle interne ?





Bon nombre d’entreprises au cours de ces dernièresannées ont connu des évolutions significatives de leurorganisation : croissance externe ou interne,restructuration, mise en place de systèmes intégrés degestion, externalisation de fonctions, etc.

Après ces évolutions et ces changements, la démarchede contrôle interne est l’occasion, pour le management,de réfléchir sur la conduite des activités dont il a laresponsabilité, en s’appuyant sur un cadre structuré deréflexion. C’est notamment l’opportunité de vérifier queles objectifs sont compris et partagés, et que lesmoyens mis en œuvre pour les atteindre sontoptimisés.

Sur le plan opérationnel, la mise en œuvre d’unedémarche de contrôle interne rassemble autour dechaque grand processus les compétences et expertisesopérationnelles, juridiques, financières, informatiques,etc., de l’entreprise pour une analyse systématique ducontenu du processus et des rôles et contributions desdifférentes parties prenantes, au regard des objectifs àatteindre.

Ces travaux menés dans une vision transversale del’entreprise mettent souvent en évidence desdysfonctionnements et des axes d’amélioration

Q36. En quoi le contrôle interne contribue-t-il à l’amélioration de la performance de l’entreprise ?



significative de l’efficacité du processus : redéfinition etréallocation des tâches, amélioration des systèmes,formation, communication, … Ces travaux permettentaussi de « décloisonner » les organisations en faisantdavantage travailler ensemble les fonctions supports etles activités opérationnelles.

Enfin la mise en œuvre d’un dispositif de pilotage ducontrôle interne est une opportunité à initier oupoursuivre des réflexions de type Key PerformanceIndicator (KPI) ou Balanced Scorecard afin d’offrir aumanagement des indicateurs pertinents calés sur lesenjeux des différentes activités.

La progression de l’entreprise vers les objectifs qu’elles’est fixés implique une circulation efficace del’information au bon niveau de la hiérarchie. Encomplément des systèmes d’information qui peuventparticiper au pilotage du contrôle interne, des actionscomplémentaires vont être entreprises pour faireremonter des données spécifiques vers des personnespréalablement identifiées compte tenu de leur rôle et/ouexpertise.

Des indicateurs vont être définis notamment endistinguant l’information régulière comptable etfinancière ou des indicateurs d’alerte. Les informations

Q37. Reporting au management et aux organes de gouvernance :à quelle fréquence et quel contenu ?





confidentielles et sensibles devront suivre un canalspécifique et très restreint.

La qualité de l’information va dépendre de son contenu,du délai imparti, de son exactitude, son accessibilité etde sa mise à jour.

Il est essentiel d’organiser la remontée del’information. Le management définit ses priorités auregard de ses objectifs, tout ceci n’étant jamais figé. Unconseil d’administration, un comité d’audit et desrisques peuvent exiger des organes de direction voiredes auditeurs internes ou externes la communicationdes faiblesses à partir d’un certain seuil.

Par principe, un responsable doit recevoir l’informationnécessaire pour pouvoir agir dans le cadre de sesfonctions. Un directeur juridique groupe ne recevra pasla même information qu’un directeur général ou undirecteur financier, et n’aura pas les mêmesinterlocuteurs. Il est utile de définir dans le cadre d’unedocumentation spécifique (règlements intérieurs,procédures internes…) les indicateurs pertinents quiferont l’objet d’une communication à une cadence àdéfinir, et les acteurs qui joueront un rôle moteur.

QUELLE COMMUNICATION SUR LE CONTRÔLE INTERNE ?

Q38. Est-ce que les sociétés ont globalement répondu aux attentes du législateur concernant le rapport sur le contrôle interne ? . . . . 56

Q39. Perspectives et tendances pour 2004 selon l’AMF :Interview de Hubert Reynier,Secrétaire Général Adjoint, Direction de la régulation et des affaires internationales, AMF . . . . . . . . . . . . . . 57

Q40. Perspectives et tendances pour 2004 pour la CNCC : Interview de Yves Nicolas,Vice-Président de la CNCC . . . . . . . . . . . . . . . . . . . . 60

55



Selon une étude basée sur les rapports annuels relatifs àl’exercice 2003 de 125 des plus importantescapitalisations boursières françaises :– 93 % des sociétés ont établi un rapport sur le contrôleinterne ;– 98 % des rapports sont extrêmement détaillés etrespectent généralement la trame proposée par leMEDEF / AFEP : ils comportent notamment unedescription des objectifs et des procédures de contrôleinterne, ainsi que du fonctionnement des organesexerçant des activités de contrôle ;– moins de 5 % des rapports se limitent au seulcontrôle de l’information comptable et financière ;– en revanche, seulement 29 % des rapportscontiennent une évaluation des procédures de contrôleinterne (y compris une évaluation partielle).

Cette étude a été réalisée en juin 2004 par notredépartement « Maîtrise et Gestion de lacommunication financière ».

Q38. Est-ce que les sociétés ont globalement répondu aux attentes du législateur concernant le rapport sur le contrôle interne ?





(1) Interview réalisé dans le cadre de notre journée Arrêté desComptes du 25 novembre 2004, organisée par Les Echos etPricewaterhouseCoopers, en partenariat avec Landwell & Associés.

« La loi de sécurité financière du 1er août 2003 a prévuune architecture à trois niveaux :– le rapport du Président de la société à la fois sur lesconditions de préparation et d’organisation des travauxdu conseil et sur les procédures de contrôle interne ;– le rapport du commissaire aux comptes sur la partiedu rapport du Président consacrée à l’informationcomptable et financière ;– le rapport annuel de l’Autorité des Marchés Financierssur les informations publiées dans le cadre des deuxniveaux précédents (rapports du Président de la sociétéet du CAC).

C’est à l’occasion de ce rapport public de l’AMF quenous serons amenés :– à porter nous-mêmes un jugement sur la qualité desinformations qui auront été communiquées au marchépar ces rapports ; – éventuellement à renouveler et à insister sur lesrecommandations que nous avons faites d’ores et déjàen début d’année sur ce sujet.

Q39. Perspectives et tendances pour 2004 selon l’AMF : Interview de Hubert Reynier (1),Secrétaire Général Adjoint,Direction de la régulation et des affaires internationales, AMF



Ces recommandations portent sur trois pointsessentiels :

– Premièrement nous voulions que la méthode decommunication – le moyen de publication de cesinformations – soit le plus simple possible pour lessociétés cotées.

C’est la raison pour laquelle nous avons proposé auxsociétés qui produisent déjà un document de référence :• d’inclure ce rapport légal dans un chapitre spécifiquesur le gouvernement d’entreprise et le contrôle interne ;• et que ce rapport puisse faire également des renvoisinternes au document de référence (par exemple, pourles facteurs de risque qui sont déjà couverts par ledocument de référence), de façon à ce que les sociétésqui ont l’habitude de communiquer régulièrement etpleinement au marché au travers des documents deréférence puissent gérer aisément ce nouveau rapport.

– Deuxième point sur lequel nous avons insisté, c’est lesujet du gouvernement d’entreprise. Nous voulionségalement avoir l’approche la plus uniforme possibleau niveau du marché dans le sens où nous avions déjà,du temps de la COB, communiqué sur les informationsque les sociétés cotées devaient au marché sur legouvernement d’entreprise.

Nous avions d’ores et déjà fortement incité lesentreprises à se référer au standard des rapports deplace dans ce domaine (rapport Viénot 1 et 2, puisrapport Bouton) et à apporter toutes les informationsnécessaires pour savoir comment elles appliquaient ces





standards de place ou, éventuellement, si elles ne lesappliquaient pas, préciser pourquoi et quel type degouvernement d’entreprise elles mettaient en place ausein de leur société.

En fait, pour le rapport des sociétés sur les conditions depréparation des travaux du conseil, nous avons proposéqu’elles se référent à ces standards de place et à cesrecommandations de la COB.

– Enfin, le suivi relatif aux procédures de contrôleinterne constitue le troisième point de notrerecommandation de début d’année (complètementnouveau, du fait de l’initiative du législateur).

Nous avons proposé aux émetteurs de s’inscrire dans unprocessus dynamique qui leur permette dès cetteannée de démarrer des travaux d’évaluation de leursprocédures, de donner le plus d’informations possiblesà leurs actionnaires sur la situation existante de leursprocédures de contrôle interne, et puis, à partir del’année prochaine, de commencer à développer uneanalyse prospective sur les voies d’amélioration de leursprocédures de contrôle interne et sur les moyens dontelles se dotent pour arriver aux meilleurs standards dansce domaine. »



(1) Interview réalisé dans le cadre de notre journée Arrêté desComptes du 25 novembre 2004, organisée par Les Echos etPricewaterhouseCoopers, en partenariat avec Landwell & Associés.

« La LSF a pour objectif principal de restaurer la confiancedes marchés financiers. Et l’on voit bien aujourd’hui queles marchés s’intéressent de plus en plus à toutes lesinformations relatives au fonctionnement des entreprises,et plus spécifiquement à la qualité de leur gouvernanceet à la maîtrise de leurs risques. Il faut donc que les entreprises apprennent à communiquersur ces thèmes, et c’est bien ce à quoi les invite cettenouvelle loi. Pour le moment, de toute évidence, la plupart desentreprises préfèrent donner une information de naturedescriptive et c’est déjà un premier pas important. On voitbien par ailleurs que les sociétés cotées aux États-Unis, sepréparent à communiquer sur une évaluation de leurdispositif de contrôle interne. A terme, on peut doncsupposer que bon nombre d’entreprises choisiront depublier des information évaluatives ou pour le moinsdavantage d’information sur la maîtrise de leurs risques –répondant ainsi aux attentes des marchés financiers ou deleurs partenaires, tels que les banques.En obligeant les entreprises françaises à communiquersur le contrôle interne, la LSF les incite à mieux maîtriserleurs risques. C’est du moins, à mon sens, ainsi qu’il fautla comprendre. »

Q40. Perspectives et tendances pour 2004 pour la CNCC : Interview de Yves Nicolas (1),Vice-Président de la CNCC

61LANDWELL & ASSOCIÉS


SOMMAIRE DÉTAILLÉ

Pourquoi le contrôle interne est-il aujourd’hui une préoccupation du management ?

Q1. Quelles sont les obligations créées par la LSF ? . . . . 6

Q2. Quel est le périmètre de la LSF ? . . . . . . . . . . . . . . . . . 7

Q3. Quel est le champ d’application de cette loi ? . . . . . 8

Q4. Quelle est la responsabilité du Président du conseil afférente à cette nouvelle obligation issue de l’article 117 de la LSF ? . . . . . . . . . . . . . . . . . 9

Q5. En quoi la LSF diffère-t-elle du SOA en vigueur aux États-Unis ? . . . . . . . . . . . . . . . . . . . . 11

Q6. Quelles sont les évolutions prévues en Europe en matière de contrôle interne et de gouvernance ? 13

Q7. Quelles sont les obligations légales dans les autres pays ? . . . . . . . . . . . . . . . . . . . . . . . . . 14

Q8. Quel est le rôle des « grands acteurs de place » et des régulateurs ?Comment influencent-ils la gestion du contrôle interne dans les entreprises ? . . . . . . . . 15

Les chiffres renvoient aux numéros des pages


SOMMAIRE DÉTAILLÉE

Du contrôle interne à la maîtrise des activitésQ9. Qu’est-ce que le contrôle interne ? . . . . . . . . . . . . . . 18

Q10. Qu’est-ce que le COSO ? . . . . . . . . . . . . . . . . . . . . . . 19

Q11. Quel est le lien entre contrôle interne et gouvernance ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Q12. Quel est le lien entre contrôle interne et gestion des risques ? . . . . . . . . . . . . . . . . . . . . . . . . 22

Q13. Quel est le lien entre contrôle interne et dispositif anti-fraude ? . . . . . . . . . . . . . . . . . . . . . . . 23

Q14. Quel est le poids relatif de la partie financière dans l’ensemble du contrôle interne ? . . . . . . . . . . . 24

Q15. Quelles évolutions pour les modèles existants ? . . . 25

Qui fait quoi ? Quelles évolutions dans l’organisation de l’entreprise ?Q16. Qui sont les responsables du contrôle interne ? . . . 28

Q17. Qui est acteur du contrôle interne ? . . . . . . . . . . . . . 29

Q18. Quels sont les rôles de l’Audit Interne et du Risk Manager ? Définissent-ils le contrôle interne ? . . . . . . . . . . . . . . 29

Q19. Quelles sont les difficultés rencontrées pour mettre en place un dispositif de contrôle interneadapté et efficace au niveau des groupes ? . . . . . . . 30

Q20. Quel est le rôle de la direction juridique ? Son rôle s’étend-t-il à la vérificationde l’application de l’ensemble des lois et règlements dans l’entreprise ? . . . . . . . . . . . . . . . . 31

63LANDWELL & ASSOCIÉS



Q21. Quel est le rôle de la DRH ? . . . . . . . . . . . . . . . . . . . 32

Q22. N’y a-t-il pas double emploi entre assurance qualité et contrôle interne ?Comment intégrer les travaux de la Direction de la Qualité dans la démarche de contrôle interne ? 33

Q23. Quel est le rôle de la Direction Financière ?Son périmètre d’intervention va-t-il au-delà du département comptable ? . . . . . . . . . . . . 34

Q24. Quel est le rôle de la Direction des Systèmesd’Information (DSI) ?Quels impacts sur ses modes de fonctionnement ? 35

Q25. Quel est le rôle du commissaire aux compte ? . . . . 36

En pratique, quel projet mettre en œuvre ?Q26. Faut-il un projet de mise à niveau

du contrôle interne ? . . . . . . . . . . . . . . . . . . . . . . . . . . 40

Q27. Quelle démarche pour améliorer le contrôle interne . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

Q28. Comment entamer une démarche de contrôle interne ? . . . . . . . . . . . . . . . . . . . . . . . . . . 42

Q29. La démarche doit-elle être la même pour un projet LSF et un projet SOA ? . . . . . . . . . . . 43

Q30. Comment organiser le projet ? . . . . . . . . . . . . . . . . . . 44

Q31. Que documenter et jusqu’où ? . . . . . . . . . . . . . . . . . 45

Q32. Comment assurer la qualité du dispositif contrôle interne lorsqu’on a recours à des sous-traitants ou à l’externalisation de certaines fonctions ? . . . . . . . . . . . . . . . . . . . . . . . 45


Q33. Peut-on institutionnaliser la dénonciation des fraudes en France (Whistleblowing aux USA) ? . . . . . . . . . . . . . . . . . . . 46

Q34. Qu’est ce qu’un Consultant externe peut apporter au projet ? . . . . . . . . . . . . . . . . . . . . . . 48

Quel apport pour l’entreprise à long terme ?Q35. Comment pérenniser

la démarche de contrôle intene ? . . . . . . . . . . . . . . . 50

Q36. En quoi le contrôle interne contribue-t-il à l’amélioration de la performance de l’entreprise ? . 51

Q37. Reporting au management et aux organes de gourvernance :à quelle fréquence et quel contenu ? . . . . . . . . . . . . 52

Quelle communication sur le contrôle interne ?Q38. Est-ce que les sociétés ont globalement répondu

aux attentes du législateur concernant le rapport sur le contrôle interne ? . . . . 56

Q39. Perspectives et tendances pour 2004 selon l’AMF :Interview de Hubert Reynier, Secrétaire GénéralAdjoint, Direction de la régulation et des affaires internationales, AMF . . . . . . . . . . . . . . 57

Q40. Perspectives et tendances pour 2004 pour la CNCC : Interview de Yves Nicolas,Vice-Président de la CNCC . . . . . . . . . . . . . . . . . . . . . 60


Ce document peut être téléchargé sur le site de PricewaterhouseCoopers :

Lien : http://www.pwc.com/images/gx/eng/fs/1004soa.pdf.

Les projets SOA ou LSF interviennent dans un contexte économique marqué à la fois par un accroissement notable de la pression concurrentielle et par des exigences de rentabilité renforcées.

Cet environnement s’est déjà traduit par une sélectivité accrue dans le choix des projets ; priorité allant vers ceux offrant le plus fort et/ou le plus rapide retour sur investissement.

Les entreprises s’interrogent :

� Qu’en est-il de la rentabilité de ces projets « contrôle interne » ?

� Puis-je m’offrir le luxe d’initier des projets lourds et coûteux dont l’impact sur la performance de l’entreprise n’est pas démontré ?

� Comment éviter les dérapages, lot commun de ces projets transversaux ?

Au travers de ce Pocket Guide, vous découvrirez, qu’au-delà du respect des obligations réglementaires,ces projets peuvent, sous conditions, contribuer à une meilleure maîtrise de vos risques et à l’amélioration de votre performance.




pwc pg controle_interne-1-

Economy & Finance