Structure et fonctionnement de l’environnement de contrôle interne

kpmg.fr

Octobre 2019

Exercice de l’autorité et des responsabilités, mécanismes de protection et de prévention, style de direction et de supervision, équilibre des pouvoirs, diffusion des valeurs éthiques et des lignes de conduite : autant de dimensions structurantes conditionnées par la façon dont les groupes ont choisi de concevoir et articuler leur environnement de contrôle interne au sein de leur organisation. Les acteurs impliqués sont également multiples. Aussi, un effort d’organisation de ces différentes fonctions (contrôle interne, audit interne, conformité…) doit être mis en œuvre. Les choix en la matière diffèrent d’un groupe à l’autre. Comment s’insère la conformité dans les mécanismes de défense ? Les évolutions réglementaires récentes ont-elles modifié le positionnement des fonctions de contrôle dans les groupes ?

Les résultats de notre enquête, synthétisés ci-après, donnent un éclairage sur les pratiques les plus répandues, autour de 4 thématiques :- Les référentiels et les processus encadrant l’environnement

de gestion des risques et de contrôle interne- La fonction contrôle interne- Les fonctions audit interne, conformité et les autres acteurs

du dispositif- Les activités d’évaluation, de suivi et le reporting

sur le fonctionnement du contrôle interne

EXISTENCE D’AUTRES

CARTOGRAPHIES DES RISQUES SPÉCIFIQUES

Référentiels et processusEXISTENCE D’UNE CARTOGRAPHIE DES RISQUES GÉNÉRAUX

... fixant le cadre et les principes POUR L’ENSEMBLE DES ACTIVITÉS/MÉTIERS

... complété de PROCÉDURES SPÉCIFIQUES additionnelles AU NIVEAU DES ENTITÉS OPÉRATIONNELLES

dans

30%des cas

dans

33%des cas

Cartographies SPÉCIFIQUES au niveau des ACTIVITÉS/

MÉTIERS

5%

Cartographie EN COURS DE DÉPLOIEMENT

5%

OUI81%

Risques SI & CYBER

25%

Risques de CORRUPTION

33%

Devoir de VIGILANCE et CONFORMITÉ

< 10%

37% NE DISPOSENT PAS D’UN TEL

CADRE GÉNÉRAL

EXISTENCE DE PRINCIPES GÉNÉRAUX SUR L’ENVIRONNEMENT DE CONTRÔLE INTERNE

Cartographie CENTRALISÉE au niveau du GROUPE

+ cartographies SPÉCIFIQUES au niveau des 

ACTIVITÉS/MÉTIERS

51%

Cartographie CENTRALISÉE au niveau du GROUPE

39%

63% ONT UN CORPUS DE LIGNES DIRECTRICES

GÉNÉRALES PARTAGÉES...

EXISTENCE D’UN SOCLE DE PROCÉDURES DE CONTRÔLE INTERNE POUR LES PROCESSUS MAJEURS

EXISTENCE DE RÉFÉRENTIELS “AUTONOMES” AU NIVEAU DES ACTIVITÉS/MÉTIERS

Dans 90 % des cas, les groupes disposent de cartographies des risques centralisées. La déclinaison de la cartographie et le déploiement du dispositif

et des référentiels au niveau des activités/métiers constituent une prochaine étape.

DISPOSENT D’UN SOCLE COMMUN DE

PROCÉDURES POUR LES PROCESSUS MAJEURS

PROPORTION DES GROUPES POUR LESQUELS LES ACTIVITÉS/MÉTIERS NE

SONT PAS DOTÉS DE RÉFÉRENTIELS AUTONOMES

La formalisation et le recensement des

dispositifs concourant au contrôle interne restent encore

TRÈS CENTRALISÉS ET

DÉPENDANTS DE L’ACTION DU

GROUPE

86%

3/4

Les PROCESS clés (achats, ventes, comptabilité, R&D, etc.)

LORSQU’ILS EXISTENT, LES RÉFÉRENTIELS COUVRENT :

Les MÉTIERS (fiches de contrôle, procédures qualité, etc.)

50%

25%

44%

Sous la forme d’un TRONC COMMUN

défini pour tout le groupe

42%

COMPLÉTÉ DE PROCÉDURES

DÉCENTRALISÉES ET SPÉCIFIQUES

au niveau des activités/métiers

Contrôle interne

LA FONCTION CONTRÔLE INTERNE…

… EST RATTACHÉE HIERARCHIQUEMENT

À LA DIRECTION DES RISQUES

34%AU PRÉSIDENT

/DG

24%

À LA DIRECTION AUDIT INTERNE

CONTRÔLE INTERNERISQUES

15%À LA DIRECTION

FINANCE

22%À UNE AUTRE

DIRECTION (STRATÉGIE, INNOVATION, QUALITÉ…)

5%

… EST RATTACHÉE FONCTIONNELLEMENT

À LA FONCTION RISQUES

33%

À LA FONCTION AUDIT INTERNE

22%

AUX ORGANES DE GOUVERNANCE

24%

À LA FONCTION FINANCE

18%

… INTÈGRE DIFFÉRENTS

SPÉCIALISTES

MÉTIERS

71%

FINANCES

26%

IT

32%

JURIDIQUE

26%

…COMPTE EN GÉNÉRAL MOINS DE

10 PERSONNES (ETP)

68%… EST

INDISTINCTE DE LA FONCTION

RISQUES

30%

Il est étonnant d’observer des rattachements directs avec la fonction Finance ou l’Audit interne dans environ 20% des cas, ce qui ne constitue pas la meilleure

pratique préconisée. Autre source d’étonnement : le rôle pourtant central de conception du dispositif n’occupe pas les fonctions Contrôle interne

de façon prioritaire, avec des référentiels qui laissent encore majoritairement place aux contrôles manuels.

TYPOLOGIE DES CONTRÔLES INTÉGRÉS DANS LE RÉFÉRENTIEL DE CONTRÔLE INTERNE

RÔLES PRINCIPAUX COUVERTS PAR LA FONCTION CONTRÔLE INTERNE

EXISTENCE DE FONCTIONS “CONTRÔLE INTERNE” AUTONOMES AU NIVEAU DES ACTIVITÉS/MÉTIERS

27%

MANUELS

26%

23%

DE CONFORMITÉ

23%

INFORMATIQUES

OPÉRATIONNELS

82%

COORDINATION

80%76%

CONCEPTION

65%

SUIVI DES PLANS D’ACTION

ANIMATION

NON47%

OUI53%

Opérationnels | 53%

Direction Finance | 43%

Réseau correspondants CI | 2%

Contrôleurs permanents | 2%

le Contrôle interne Groupe | 70%

la Direction Finance Groupe | 20%

AVEC LES RELAIS SUIVANTS

EN LIEN FONCTIONNEL AVEC

Audit interne, conformité, autres acteurs

LA FONCTION AUDIT INTERNE…

LA FONCTION CONFORMITÉ

… EST RATTACHÉE FONCTIONNELLEMENT

AUX ORGANES DE GOUVERNANCE

70%

À LA FONCTION RISQUES ETCONTRÔLE INTERNE

4%À LA FONCTION

FINANCE

26%

… EST RATTACHÉE HIERARCHIQUEMENT

AU PRÉSIDENT/DG/SECRÉTARIAT

GÉNÉRAL

45%

À LA DIRECTION FINANCE

8%

À LA DIRECTION RISQUES ET

CONTRÔLE INTERNE

25%

À LA DIRECTIONJURIDIQUE

22%

… EST RATTACHÉE HIERARCHIQUEMENT

À LA DIRECTIONDE L’ETHIQUE OU

DE LA COMPLIANCE

4%À LA DIRECTION

FINANCE

12%

AU PRÉSIDENT/DG/SECRÉTARIAT GÉNÉRAL

84%

…EST DOTÉE D’UN RESPONSABLE CONFORMITÉ

AU NIVEAU DU GROUPE

84%

…EST INTÉGRÉE À LA MÊME DIRECTION QUE LA FONCTION

“CONTRÔLE INTERNE”

58%

L’intégration d’objectifs de contrôle interne mesurables et suivis dans les objectifs du Top/Middle management des groupes

est un marqueur important de maturité dans les étapes de déploiement de dispositifs de contrôle interne performants.

Mais elle n’existe que dans moins d’un quart des cas. Les fonctions conformité sont généralement implantées au niveau Corporate,

rattachées au plus haut niveau de la direction dans quasiment un cas sur deux.

AU NIVEAU ACTIVITÉS/

MÉTIERS

AU NIVEAU GROUPE

EXISTENCE D’AUTRES ACTEURS STRUCTURANT DE L’ENVIRONNEMENT DE CONTRÔLE INTERNE

INTÉGRATION D’OBJECTIFS “CONTRÔLE INTERNE” DANS LES OBJECTIFS DU TOP/MIDDLE MANAGEMENT

Qualité, Organisation, RSE | 23%

Direction des Risques | 23%

Data Privacy Officer, RSSI | 15%

Direction Finance | 8%

Direction Conformité | 8%

Direction Métiers | 8%

Direction Métier | 38%

Qualité, Organisation, HSE | 31%

Data Privacy Officer, RSSI | 8%

Direction des Risques | 8%

NON67%

OUI33%

NON70%

OUI30%

NON77%

OUI23%

Evaluation, suivi & reporting

EXISTENCE D’UN DISPOSITIF D’AUTO-ÉVALUATION DU “CONTRÔLE INTERNE”

EXISTENCE ET FRÉQUENCE D’UN REPORTING FORMEL SUR LE “CONTRÔLE INTERNE”

OUI77%

TRIMESTRIELLE

24%

ANNUELLE

49%

MENSUELLE

21%

Dispositif décliné AU NIVEAU DES ACTIVITES/METIERS

Dispositif établi sur une base commune AU NIVEAU GROUPE

NON30%

OUI70%

87%

13%

L’appréciation du bon fonctionnement du contrôle interne repose largement sur des mécanismes structurés d’auto-évaluation, majoritairement pilotés

en central. Là aussi, les déclinaisons locales constituent certainement une des prochaines étapes, tout comme l’intensification de la mesure et du suivi formel de la fiabilité de ces auto-évaluations au sein du reporting sur le contrôle interne.

DEGRÉ D’AVANCEMENT DU PLAN DE CONTRÔLE

45%

ELÉMENTS DE BENCHMARK

5%

FIABILITÉ DESAUTO-EVALUATIONS

5%

DEGRÉ DE CONFORMITÉ AU

RÉFÉRENTIEL GROUPE

41%

LES MESURES ET INDICATEURS DE SUIVI

UTILISÉS

SUIVI DES RECOMMANDATIONS ET DES PLANS D’ACTIONS

41%

RESPONSABLEDU REPORTING

DIRECTION GÉNÉRALE

52%

DIRECTION DES RISQUES

14%

DIRECTION CONTRÔLE INTERNE

14%DIRECTION

AUDIT INTERNE

17%

LA CAMPAGNE D’AUTO-

ÉVALUATION

UN AUTRE PROCESSUS SPÉCIFIQUE

38%

CE QUI ALIMENTE LE REPORTING SUR LE

FONCTIONNEMENT DU CONTRÔLE INTERNE

LES AUDITS EXTERNES

3%

DESTINATAIRESDU REPORTING

DIRECTION GÉNÉRALE

79%

DIRECTION DES RISQUES

3%DIRECTION FINANCE

36%

COMMISSAIRES AUX COMPTES

21%

COMITÉ D’AUDIT/ DES RISQUES

67%

56%

DIRECTION FINANCE

34%

Contacts

Stéphanie MilletAssociée Tél : +33 1 55 68 88 90E-mail : smillet@kpmg.fr

Catherine PortaAssociéeTél : +33 1 55 68 71 45E-mail : cporta@kpmg.fr

Yohann VermerenAssociéTél : +33 1 55 68 66 86E-mail : yvermeren@kpmg.fr

Stella VitchénianAssociéeTél : +33 1 55 68 68 30E-mail : svitchenian@kpmg.fr

kpmg.fr

Les informations contenues dans ce document sont d’ordre général et ne sont pas destinées à traiter les particularités d’une personne ou d’une entité. Bien que nous fassions tout notre possible pour fournir des informations exactes et appropriées, nous ne pouvons garantir que ces informations seront toujours exactes à une date ultérieure. Elles ne peuvent ni ne doivent servir de support à des décisions sans validation par les professionnels ad hoc. KPMG S.A. est le membre français du réseau KPMG International constitué de cabinets indépendants adhérents de KPMG International Cooperative, une entité de droit suisse (« KPMG International »). KPMG International ne propose pas de services aux clients. Aucun cabinet membre n’a le droit d’engager KPMG International ou les autres cabinets membres vis-à-vis des tiers. KPMG International n’a le droit d’engager aucun cabinet membre.

© 2019 KPMG S.A., société anonyme d’expertise comptable et de commissariat aux comptes, membre français du réseau KPMG constitué de cabinets indépendants adhérents de KPMG International Cooperative, une entité de droit suisse. Tous droits réservés. Le nom KPMG et le logo sont des marques déposées ou des marques de KPMG International. Imprimé en France. Oliver Agency - Septembre 2019