Atelier A N°13 - amrae.net · ¾L’Audit Interne est une activité indépendante et objective qui...
Transcript of Atelier A N°13 - amrae.net · ¾L’Audit Interne est une activité indépendante et objective qui...
Intervenants
Modérateur
Sylvie LE DAMANYLANDWELLAvocat AssociéE.mail : [email protected]
Georges BOUCHARD GAZ DE FRANCEDirecteur de l'Audit et des Risques.E.mail : [email protected]
Pierre-Alexandre BAPST
Gérard LANCNERYVES ROCHERDirecteur Risk ManagementE.mail : [email protected]
HERMESDirecteur de l' Audit et des RisquesE.mail : [email protected]
Annie BRESSAC IFACIDirecteur du DéveloppementE.mail :[email protected]
Institut del’Audit Interne
“Gestion des risques, audit interne et contrôle interne”
Les présentations de cet atelier seront surwww.amrae.fr
à partir du 1er mars 2007
Contexte : le choc des affaires
Début 2002 :–Une récession économique–De grands scandales financiers aux États-Unis : Enron, Worldcom, …–En France : Vivendi Universal, …–Un constat :
-les contre-pouvoirs fonctionnent mal-les modes de direction des grands groupes sont critiqués-en période de récession, l'erreur ne pardonne pas
–Un résultat :-une crise de confiance-une nécessité de régulation pour la rétablir-une réaction des autorités qui réglementent
Réaction du Législateur pour plus de transparence et une meilleure gestion des risques
• Une volonté d’organiser plus efficacement les rôles et responsabilités entre les organes de direction et de contrôle
• Une formalisation des procédures de contrôle interne• La mise en place d’outils pour sensibiliser le management et tous les
collaborateurs de l’entreprise sur le risque de non-conformité aux lois et règlements : charte des dirigeants, code de conduite, délégations de pouvoirs et de signature…
• Une montée en puissance des auditeurs internes, des risks managers, des risks officers, des déontologues…
Des évolutions importantes au sein des entreprises en matière de contrôle interne et de gouvernance
La loi sur les Nouvelles Régulations Économiques (NRE) 2001Le Sarbanes-Oxley Act (SOX) 2002La Loi de Sécurité Financière (LSF) 2003La loi Breton 26 juillet 2005
de nouvelles responsabilités pour les entreprises et leurs dirigeants
Contexte légal et de marchéRéponses des législateurs
Mise sous contrôle des activités de l'entreprise
Renforcement du
gouvernement d'entreprise
Facteurs derisques externes
Facteurs derisquesinternes
Perte de valeur
• Fraudes comptables• Erreurs majeures de gestion• Non respect des lois
Perte de confiance des marchés
Nouvelles Dispositions en France (LSF)
1er Août 2003
Sociétés Anonymes – Article 117 de la LSF : « le Président du Conseil d'Administration [ou de Surveillance] rend compte dans un rapport [àl'Assemblée Générale] :
– des conditions de préparation et d'organisation des travaux du conseil– des procédures de contrôle interne mises en place– des limitations de pouvoirs de la Direction Générale”
Personnes morales faisant appel public à l'épargne (SA, SCA ou autres) –Article 122 de la LSF : « elles rendent publiques les informations relevant des conditions de préparation et d'organisation des travaux du conseil et des procédures de contrôle interne dans les conditions fixées par l'Autorité des Marchés Financiers (AMF) »
De nouvelles obligations en matièrede transparence (LSF)
Un rapport [à l'Assemblée Générale] :• sur l’exercice par le conseil de son rôle• sur les procédures de contrôle interne
Dispositions applicables :• pour tous les exercices ouverts à compter du 1er janvier 2003• Dans la LSF : toutes les SA (art. 117) et toutes les sociétés
faisant APE (art. 122), tant au niveau individuel qu'au niveau consolidé (incluant les filiales consolidées, françaises ou étrangères, quelle que soit leur forme juridique)
Modifié par la loi Breton du 26 juillet 2005• Seules les sociétés faisant appel public à l’épargne
Le texte de loi ne précise pas le contenu du rapport du Président ou les informations à publier et ne définit pas le contrôle interne Le texte de loi ne précise pas le contenu du rapport du Président ou les informations à publier et ne définit pas le contrôle interne
De nouvelles obligations en matièrede transparence (LSF)
Un rapport sur le rapport du Président - Art. 120 : "Les commissaires aux comptes présentent, dans un rapport [ ] leurs observations sur le rapport [du Président] pour celles des procédures de contrôle interne relatives à l'élaboration et au traitement de l'information comptable et financière"
– Le rapport du commissaire aux comptes couvre un périmètre de contrôle interne plus restreint que celui couvert par le rapport du Président
Pour mémoire : comparaison LSF / SOA
CEO et CFOPrésident du CA ou du CSÉmetteur du rapport
Pour les sociétés soumises au reportingaccéléré : exercices clos au 15 juin 2004 et
après.Exercices clos au 15 avril 2005 et après pour
les autres (FPI).
Exercices ouverts à compter du 1er janvier 2003
Date d'application
ExpliciteNon expliciteObligation de documentation et de tests des contrôles
Utilisation obligatoire d'un référentiel reconnu. COSO cité comme exemple par la SEC
Pas d'utilisation obligatoire d'un référentielRéférentiel de contrôle interne
Défini et limité au contrôle interne relatif à l'information financière et aux procédures de
communication des informations aux marchés.
Non définiImplicitement, champ complet du contrôle
interne
Définition et périmètre du contrôle interne
Les sociétés cotéesToutes les SA (APE et non APE)Et les sociétés APE
Champ d'application
Sarbanes-Oxley Act (*)Loi de Sécurité Financière
CEO et CFOPrésident du CA ou du CSÉmetteur du rapport
Pour les sociétés soumises au reportingaccéléré : exercices clos au 15 juin 2004 et
après.Exercices clos au 15 avril 2005 et après pour
les autres (FPI).
Exercices ouverts à compter du 1er janvier 2003
Date d'application
ExpliciteNon expliciteObligation de documentation et de tests des contrôles
Utilisation obligatoire d'un référentiel reconnu. COSO cité comme exemple par la SEC
Pas d'utilisation obligatoire d'un référentielRéférentiel de contrôle interne
Défini et limité au contrôle interne relatif à l'information financière et aux procédures de
communication des informations aux marchés.
Non définiImplicitement, champ complet du contrôle
interne
Définition et périmètre du contrôle interne
Les sociétés cotéesToutes les SA (APE et non APE)Et les sociétés APE
Champ d'application
Sarbanes-Oxley Act (*)Loi de Sécurité Financière
(*) tel que précisé par le règlement SEC publié le 11 juin 2003
Un mouvement européen sur la gouvernance et la transparence
Méthodologie d’évaluation de la mise en œuvre des principes de l’OCDE sur le gouvernement d’entreprise – 1er décembre 2006 -
Directive transparence qui instaure une déclaration des dirigeants dans le rapport financier annuel incluant une description des principaux risques et incertitudes auxquels ils sont confrontés
Directive 2006/46/CE du 14 juin 2006 qui tend à accroître les rôles et responsabilités des administrateurs et autres organes de gestion et de surveillance sur l’établissement des comptes annuels, le rapport de gestion et la déclaration afférente à la gouvernance (transposition au plus tard en 2008)
Les procédures d’alerte autorisées en Europe…Les sociétés soumises au SOA sont contraintes de mettre en place une procédure d’alerte dite « whistleblowing » qui permet aux salariés de révéler les fraudes en matière comptable et financière.
Toutes les entreprises françaises peuvent mettre en place un tel dispositif dans la mesure où elles se doivent d’avoir un contrôle interne efficace.
La CNIL par sa délibération n°2005-305 du 8 décembre 2005 (JO du 4 janvier 2006) est revenue sur son refus initial et catégorique d’autoriser la mise en œuvre de dispositifs d’alerte (sous certaines conditions).
Aujourd’hui, il existe désormais un modèle européen du whistleblowing d’inspiration française puisque le dispositif a étéadopté par les institutions européennes équivalentes à la CNIL.21
Enjeux juridiques
Ménager la responsabilité des dirigeants :–Lors de l’exercice de leur mandat–Lors de la production du rapport
- Pas de sanction juridique spécifique dans la LSF, le rapport du Président est "joint" au rapport du conseil d'administration ou de surveillance à l'assemblée annuelle (rapport annuel)
- Mais réaction du marché et observations du CAC
Sensibiliser le conseil sur son rôle
Assurer les relais au sein du groupe
Remonter les informations pertinentes
Enjeux juridiques
Responsabilité quant à la qualité du contrôle interne :– Responsabilité de la Direction Générale / Directoire
– S’assurer de l’existence et de la qualité des procédures par le conseil
– En cas de carence dans la mise en place des procédures de contrôle interne, ou de procédures inefficaces, responsabilité civile collective des administrateurs / membres du conseil de surveillance et de la direction générale
Responsabilité quant à la rédaction et au contenu du rapport :
– La responsabilité civile du Président et des administrateurs, s’ils l’ont approuvé, s'il est démontré une faute caractérisée, un préjudice et un lien de causalité entre faute et préjudice.
– De façon très exceptionnelle, leur responsabilité pénalepourrait également être mise en jeu sur le terrain du délit de communication d'informations fausses ou trompeuses sur les perspectives ou la situation d'une société dont les titres sont négociés sur un marché réglementé.
Enjeux juridiques
Une responsabilité accrue desdirigeants de l'entreprise
Infraction en la qualité d'auteur ou de complice sur le terrain pénalFaute sur le terrain civil
Exemples : - renforcement du contrôle
des conventions réglementées
- possibilité d'obtenir les comptes sociaux par la procédure d'injonction de faire
- rémunération dans les SA (cotées)
- CE aux assemblées- renforcement du droit
d'information des actionnaires
Exemples : - extension du champ
d'application de l'expertise de gestion
- extension des possibilités d'actions des associations d'actionnaires
Exemples : - alourdissement des sanctions encourues par le
commissaire aux comptes en cas de non révélation- Création du Haut Conseil du Commissariat aux
Comptes- Création de l 'Autorité des Marchés Financiers (AMF) (+
possibilité de se constituer partie civile)
Plus de transparence : accès à une information
réservée à certains auparavant = source de
détection de certaines anomalies voire certains délits
Ceux qui sont informés doivent agir : renforcement des
responsabilités
Sources éventuelles de poursuites
sur le terrain civilsur le terrain pénal
Élargissement des possibilités d'actions de
certains acteurs de l'entreprise
Renforcement des autorités de contrôle
Un constat au travers du rapport de l’AMF 2007
Conclusions en matière de gouvernance
Conclusions en matière de contrôle interne
Définition du management des risques selon Coso 2
Le management des risques est un processus mis en œuvre par le Conseil d’administration, la Direction générale, le management et l’ensemble des collaborateurs de l’organisation. Il est pris en compte dans l’élaboration de la stratégie ainsi que dans toutes les activités de l’organisation. Il est conçu pour identifier les événements potentiels susceptibles d’affecter les l’organisation et pour gérer les risques dans les limites de son appétence pour le risque. Il vise à fournir une assurance raisonnable quant à l’atteinte des objectifs de l’organisation » .
Les missions du risk-manager selon le Coso 2
Contribuer à définir les politiques et identifier les acteurs du management des risques (rôles, responsabilités, objectifs).Promouvoir les compétences en management des risques au sein de l’entreprise.Aider à intégrer le management des risques dans les activités de planification et de management.Établir un langage commun.Faciliter la mise en place d’un reporting risques et superviser ce processus.Rendre compte à la DG et recommander les actions nécessaires pour améliorer le processus de management des risques.
Le rôle de l’audit interne
L’Audit Interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée.
Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efficacité.
Les missions de l’audit interne
Analyser et évaluer les processus de management des risques, de contrôle et de gouvernement d’entreprise.Formuler des recommandations pour améliorer leur efficacitéRendre compte régulièrement des actions entreprises pour corriger les dysfonctionnements décelés.Vérifier que les dispositifs en place assurent la conformitéaux lois et réglementations.Contribuer à la mise en place du processus de management des risquesAnimer, quand elle existe, une démarche d’auto-évaluation des risques
Audit interne et contrôle interne
Définition du contrôle interne selon COSO I :– Processus mis en oeuvre par les dirigeants et le personnel
d’une organisation, à quel que niveau que ce soit,– Destiné à leur donner en permanence une assurance
raisonnable quant à la réalisation des objectifs de l’organisation
3 catégories d’objectifs– Optimisation de l’utilisation des ressources (Efficacité et
efficience de l’exploitation)– Fiabilité des états financiers publiés– Respect de lois et réglementations (conformité)
Le contexte et la démarche
Principaux objectifs assignés par l’AMFLe Groupe de PlaceLe Groupe de travail sur le CI comptable et financierPrincipales orientations
Structure du Cadre de Référence de Contrôle Interne
Les principes généraux de contrôle interne ;
Les questionnaires :– Questionnaire relatif au contrôle interne
comptable et financier; – Questionnaire relatif à l’analyse et à la maîtrise
des risques.
Le guide d’application relatif au contrôle interne de l’information comptable et financière publiée par les émetteurs.
Définition Le contrôle interne est un dispositif de la société, défini et
mis en œuvre sous sa responsabilité.
Il comprend un ensemble de moyens, de comportements, de procédures et d’actions adaptés aux caractéristiques propres de chaque société qui :
contribue à la maîtrise de ses activités, à l’efficacité de ses opérations et à l’utilisation efficiente de ses ressources, etdoit lui permettre de prendre en compte de manière appropriée les risques significatifs, qu’ils soient opérationnels, financiers ou de conformité.
Définition (suite)
Le dispositif vise plus particulièrement àassurer :
– La conformité aux lois et règlements; – L’application des instructions et des
orientations fixées par la Direction Générale; – Le bon fonctionnement des processus internes
de la société, notamment ceux concourant à la sauvegarde de ses actifs;
– La fiabilité des informations financières.
Les 5 composantes retenuesLe dispositif de contrôle interne, qui est adapté aux caractéristiques de chaque société doit prévoir :
une organisation appropriée; la diffusion en interne d’informations pertinentes ;un système visant à recenser et analyser les principaux
risques identifiables et à s’assurer de l’existence de procédures de gestion de ces risques
des activités de contrôle proportionnées aux enjeuxune surveillance permanente du dispositif de contrôle
interne.
Les 5 composantes retenuesLe dispositif de contrôle interne, qui est adapté aux caractéristiques de chaque société doit prévoir :
une organisation; la diffusion en interne d’informations pertinentes ;un système visant à recenser et analyser les principaux
risques identifiables et à s’assurer de l’existence de procédures de gestion de ces risques
des activités de contrôle proportionnées aux enjeuxune surveillance permanente du dispositif de contrôle
interne.
La composante «recensement et analyse des risques»
Mise en place de méthodes pour recenser, analyser et gérer les risques d’origine interne ou externe qui réduiraient la probabilité d’atteinte de leurs objectifs.
Recensement, dans le cadre d’un processus continu, des principaux risques identifiables
Analyse des risques (processus de gestion des risques)Définition des procédures de gestion des risques par la
Direction Générale ou le Directoire avec l’appui d’une Direction des risques, si elle existe. (cf. questionnaire relatif à l’analyse et à la maîtrise des risques)
Le Guide d’application relatif au contrôle interne de l’information comptable et financière publiée par les émetteurs
Structure du guide d’application relatif au contrôle interne comptable et financier
• Introduction incluant la définition et les objectifs• Processus de pilotage de l’organisation
comptable et financière• Processus concourant à l’élaboration de
l’information comptable et financière publiée :– Processus amont et processus de production de
l’information comptable et financière– Processus d’arrêté comptable et de communication
financière
Eléments du contrôle interne permettant d’assurer une maîtrise de ces 3 familles de processus
Structure du questionnaire relatif au contrôle interne comptable et financier
1. Rôle des organes de gouvernance2. Organisation comptable et financière3. Système d'information comptable et
financier4. Identification et analyse des risques
affectant l'information comptable et financière
5. Activité de contrôle6. Communication financière et comptable
Structure du questionnaire relatif à l’analyse et à la maîtrise des risques
1. Principes généraux de gestion des risques2. Identification des principaux risques
Analyse des principaux risquesProcédures de gestion des principaux risquesSurveillance des risques et des procédures de gestion des risques
La mise en place de processus de management des risques :
•Cartographie des risques•Création d’une fonction centrale et d’un réseau de risk-managers
Le lancement de projets de renforcement ou de formalisation du contrôle interne :
•Réappropriation du CI par les managers•Rétablissement du lien entre contrôle interne et risques
Mise en conformité avec la réglementation • Banques• Assurances
Les tendances observées
Forte sollicitation de l’audit interne :•LSF, SOX•Assistance à la mise en place du processus de management des risque•Réaffirmation du rôle d’évaluation du contrôle interne : extension du périmètre et professionnalisation de l’audit interne
Des choix d’organisation variés :•Regroupement gestion des risques et audit interne sous une même autorité•Création de fonction centrale de «responsable de contrôle interne» et de relais auprès des managers : animation du CI
Les tendances observées
L’impact de la LSF pour l’audit interne
64% des répondants soumis à la LSFL’audit interne est fortement impliqué :– Elaboration d’un projet de rapport (65%)– Participation au groupe de travail (34%)– Animation de ce groupe de travail (19%)
Impact positif de la LSF, notamment :– Renforcement du dispositif de contrôle interne (70,6%)
Changement dans la nature des missions de l’audit interne– Renforcement de l’approche par les risques (19%)– Missions d’accompagnement à la mise en œuvre du contrôle
interne, auto-évaluation (11%)– Augmentation du nombre de missions orientées vers la vérification
des informations comptables et financières (10%)
L’impact de SOX pour l’audit interne
14% des répondants soumis à SOXL’audit interne est fortement impliqué dans 92% des cas :– Equipe dédiée (74%) avec en moyenne 7 auditeurs internes
Rôle variable :– Tests des procédures de contrôle ou des contrôle internes mise en place
(62,5%)– Coordination du projet (41%)– Participation au Comité de Pilotage (16%)– Pilotage du projet (12,5%)
Impact important de SOX, notamment :– Renforcement du dispositif de contrôle interne (96%)– Impact sur la réalisation du plan d’audit (77%)– Augmentation du nombre de missions d’audit comptable et financier
(71%)
L’évolution des rôles : audit interne et fonction de contrôle interne
Selon l’enquête IFACI 2005 :47% des répondants disposent d’une fonction de contrôle interne distincte, d’ancienneté variable Rattachement de la fonction de contrôle interne à la Direction Financière (27%) ou aux Directions opérationnelles (27%)Rôle : mettre en place, anime et suivre le contrôle interneRépartition des responsabilités entre contrôles permanents et périodiques est une des principales préoccupations des auditeurs internes dus secteur bancaire en 2005
L’exemple du secteur bancaire(CRBF 97-02)
Séparation du contrôle permanent et du contrôle périodique– Contrôle permanent niveau 1 et 2– Contrôle périodique (niveau 3) : l’audit
interneLa fonction conformité– Chargée de veiller à l’efficacité et la
cohérence du contrôle du risque de non respect des lois, normes, et instructions externes et internes
Un besoin de clarification des rôles et responsabilités
Clarification nécessaire sur les rôles et les responsabilités des acteurs au cœur de la gouvernance et du contrôle interne :
– Conseil d’Administration– Direction générale– Risk manager– Audit interne– Compliance officer– « Chief Internal Control Officer »– Direction juridique…
Nécessité de définir les rôles, les responsabilités
Mettre en place et formaliser des délégations de pouvoirs efficaces pour une meilleure gestion des risques et responsabilités
Développer un «référentiel » partagé : un cadre «intégré»de gestion des risques et de contrôle interne :
•Définitions•Méthodologie (par exemple : évaluation de risques)
Rechercher la différenciation des rôles pour organiser la complémentarité :
•Éviter la superposition des processus et des fonctions•Optimiser les liens hiérarchiques et fonctionnels•Partager les informations, par exemple cartographie des risques,évaluation des risques, bonnes pratiques de CI
Préserver l’indépendance de l’audit interne et du risk-management
Recommandations et facteurs clé de succès
Apporter de la visibilité pour libérer les énergies
Contrôle interne, gestion des risques, audit interne
L'expérience de Gaz de France
Gaz de France aujourd'hui (1)
• 22 milliards d'euros de chiffre d'affairesdont 36 % à l'international
• 4 milliards d'euros de cash flow
• 3 milliards d'euros d'investissements
• 53 000 collaborateurs dont 53 % hors statut IEG
Gaz de France aujourd'hui (2)
• Un groupe juridiquement compact, avec peu de filiales très significatives
• Un management décentralisé
• Une culture historique davantage managériale que financière
Gaz de France aujourd'hui (3)
• Des approches du contrôle interne historiquement diverses et partielles
• Une sensibilité historique à certains risques
• Une culture d'audit managérial
Contrôle interne, Risques, Audit interne àGaz de France (1)
• L'organisation actuelle1 Directeur, 3 Délégués, 3 Filières
• L'histoire– Rôle précurseur de l'Audit interne– Identification progressive des deux autres fonctions
• Cohérence des politiques
• Proximité et densité des échanges
• Respect des identités
• Cohérence des mises en oeuvre
Contrôle interne, Risques, Audit interne àGaz de France (2)