SlideShare a Scribd company logo
1 of 65
Download to read offline
LANDWELL & ASSOCIÉS
Société d’avocats

Contrôle interne
Au-delà des concepts, 40 questions aux praticiens

"Pocket Guide"
"Pocket Guide"

Contrôle interne – Au-delà des concepts, 40 questions aux praticiens
Ce document a été réalisé par
le comité LSF/SOA constitué par PricewaterhouseCoopers
et le cabinet d’avocats Landwell & Associés
Pour PricewaterhouseCoopers
Xavier MAITRIER, Associé,
Activité « Performance, Risques et Contrôle interne », Responsable du Comité LSF/SOA, 01 56 57 53 25
Christian MARTIN, Associé,
Activité « Audit Grands Groupes », 01 56 57 80 91
Dominique MÉNARD, Associée,
Activité « Audit & Conseil », Responsable de la méthodologie audit, 01 56 57 85 73
Dominique PERRIER, Associée,
Activité « Litiges, Investigations et Prévention de Fraudes », 01 56 57 80 17
Philippe PLAGNES, Associé,
Activité « Gestion des Ressources Humaines et Conduite du Changement », 01 56 57 82 14
Marie-Hélène SARTORIUS, Associée,
Activité « Perfomance, Risques et Contrôle interne », 01 56 57 56 46
Brian TOWHILL, Associé,
Activité « Services à l’Audit Interne », 01 56 57 11 24

Pour Landwell & Associés
Sylvie LE DAMANY, Avocat, associée,
Ancien Secrétaire de la Conférence de la Cour d’appel de Paris,
Responsable du département « Litiges/ Droit pénal des affaires », 01 56 57 82 70

Bruno THOMAS, Avocat, associé,
Responsable du département « Corporate », 01 56 57 83 75
avec le concours du Département Publications et Consultations

Claude LOPATER, Associé, Responsable du Département
Stéphanie BERRA, Manager

Novembre 2004
CONTRÔLE INTERNE
Au-delà des concepts, 40 questions aux praticiens
Sarbanes-Oxley Act, Loi de Sécurité Financière, Kon TraG
en Allemagne, Dutch Corporate Gouvernance Code…
et enfin Directive européenne… le contrôle interne
est sous les feux des projecteurs des régulateurs.
Cette pression pour une mise en oeuvre d’un contrôle interne
de qualité, visant à rétablir la confiance des marchés financiers,
ne doit pas occulter le fait que le contrôle interne
est avant tout un dispositif de maîtrise des activités
mis en place par l’Entreprise, pour l’Entreprise.
L’incitation plus ou moins vive du législateur
est donc un catalyseur qui aujourd’hui doit être perçu
comme l’opportunité d’améliorer le fonctionnement
de l’entreprise, et ce au travers d’une gouvernance claire
et d’un contrôle interne adapté et efficace.
Le contrôle interne dépend de l’activité, de l’organisation
et des modes de fonctionnement de l’entreprise :
il est propre à chaque entreprise
et résulte d’une démarche rigoureuse d’analyse des enjeux
et de mise en place de dispositifs adaptés et efficaces.
Ce guide vise à donner quelques références de bonnes pratiques
et via le jeu des questions-réponses, à illustrer
comment certains sujets qui se posent immanquablement,
lors d’une démarche de mise en œuvre d’un dispositif
de contrôle interne, peuvent être abordés.

Le Comité LSF / SOA

LANDWELL & ASSOCIÉS
Société d’avocats
LEXIQUE
AFEP

Association Française des Entreprises Privées

AMF

Autorité des Marchés Financiers

AMRAE

Association pour le Management des Risques
et des Assurances de l’entreprise

CAC

Commissaire aux Comptes

CEO

Chief Executive Officer

CFO

Chief Financial Officer

CNCC

Compagnie Nationale
des Commissaires aux Comptes

COSO

Committee Of Sponsoring Organizations
de la Commission Treadway

EPA

Établissement Public Administratif

EPIC

Établissement Public
à caractère Industriel et Commercial

ERM

Enterprise Risk Management

IFACI

Institut Français de l’Audit
et du Contrôle Interne

LSF

Loi de Sécurité Financière

MEDEF

Mouvement des Entreprises de France

PCAOB

Public Company Accounting Oversight Board

SEC

Securities and Exchange Commission

SOA

Sarbanes-Oxley Act
SOMMAIRE

Pourquoi le contrôle interne
est-il aujourd’hui
une préoccupation du management ? . . . . . . . . . . . 5
Du contrôle interne
à la maîtrise des activités . . . . . . . . . . . . . . . . . . . . . . . 17
Qui fait quoi ?
Quelles évolutions
dans l’organisation de l’entreprise ? . . . . . . . . . . . . 27
En pratique, quel projet mettre en œuvre ? . . . . 39
Quel apport pour l’entreprise à long terme ? . . . 49
Quelle communication
sur le contrôle interne ? . . . . . . . . . . . . . . . . . . . . . . . . 55
Sommaire détaillé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

3
POURQUOI LE CONTRÔLE INTERNE
EST-IL AUJOURD’HUI
UNE PRÉOCCUPATION
DU MANAGEMENT ?

Q1. Quelles sont les obligations créées par la LSF ? . . . . . 6
Q2. Quel est le périmètre de la LSF ? . . . . . . . . . . . . . . . . . 7
Q3. Quel est le champ d’application de cette loi ? . . . . . . 8
Q4. Quelle est la responsabilité du Président
du conseil afférente à cette nouvelle obligation
issue de l’article 117 de la LSF ? . . . . . . . . . . . . . . . . . . 9
Q5. En quoi la LSF diffère-t-elle du SOA
en vigueur aux États-Unis ? . . . . . . . . . . . . . . . . . . . . . 11
Q6. Quelles sont les évolutions prévues en Europe
en matière de contrôle interne
et de gouvernance ? . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Q7. Quelles sont les obligations légales
dans les autres pays ? . . . . . . . . . . . . . . . . . . . . . . . . . 14
Q8. Quel est le rôle des « grands acteurs de place »
et des régulateurs ?
Comment influencent-ils la gestion
du contrôle interne dans les entreprises ? . . . . . . . . 15

5
LE CONTRÔLE, PRÉOCCUPATION DU MANAGEMENT

Q1.

Quelles sont les obligations créées par la LSF ?

La LSF crée de nouvelles obligations de communication
sur la gouvernance et le contrôle interne pour toutes les
sociétés anonymes et pour les sociétés faisant appel
public à l’épargne :
Sociétés Anonymes – Article 117 – « le Président du
conseil d’administration [ou de surveillance] rend
compte dans un rapport [à l’assemblée générale] :
– des conditions de préparation et d’organisation des
travaux du conseil ;
– des procédures de contrôle interne mises en place ;
– des limitations de pouvoirs de la direction générale ».
Personnes morales faisant appel public à l’épargne (SA,
SCA ou autres) – Article 122 : « elles rendent publiques
les informations relevant des conditions de préparation
et d’organisation des travaux du conseil et des
procédures de contrôle interne dans les conditions
fixées par l’Autorité des Marchés Financiers ».

6

Contrôle interne – Au-delà des concepts, questions aux praticiens
LE CONTRÔLE, PRÉOCCUPATION DU MANAGEMENT

Q2.

Quel est le périmètre de la LSF ?

La LSF ne définit pas les « procédures de contrôle
interne » auxquelles elle fait référence dans les
articles 117 et 122.
Après débats entre les différents acteurs de place
impliqués dans l’évaluation ou la gestion du contrôle
interne de l’entreprise, un consensus est apparu pour
considérer que la LSF couvre le champ complet du
contrôle interne, c’est-à-dire, l’ensemble des politiques
et procédures mises en œuvre dans l’entreprise,
destinées à fournir une assurance raisonnable quant à
la gestion rigoureuse et efficace de ses activités.
Le contrôle interne a ainsi trait à la maîtrise de
l’ensemble des activités de l’entreprise et n’est pas
limité aux informations comptables et financières. Par
essence, il apporte une « assurance raisonnable », et
non une certitude, quant à la réalisation des objectifs de
l’entreprise.
Les dispositifs de prévention de la fraude font partie du
contrôle interne.

"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

7
LE CONTRÔLE, PRÉOCCUPATION DU MANAGEMENT

Q3.

Quel est le champ d’application de cette loi ?

L’obligation d’établir un rapport à l’attention de
l’assemblée générale s’impose à toutes les sociétés
anonymes (SA), cotées ou non, et les sociétés faisant
appel public à l’épargne tant à titre individuel qu’en
qualité de société de tête d’un groupe consolidé.
Le périmètre du contrôle interne s’étend pour les
groupes aux procédures destinées à assurer le contrôle
sur leurs filiales et aux procédures destinées à garantir la
fiabilité des comptes consolidés.
Ces dispositions visent également des sociétés ou
établissements spécifiques qui se voient assimilés aux
sociétés anonymes par la réglementation, tels que :
– les sociétés anonymes coopératives à capital variable,
les sociétés anonymes sportives professionnelles ;
– les établissements publics industriels et commerciaux
ayant la forme d’une société anonyme, sauf s’il existe
une loi instituant l’établissement (ou décidant la
transformation d’un EPA en EPIC) et comportant une
disposition expresse contraire (l’article 117 ne peut être
écarté par voie réglementaire).
Les personnes morales autres que les SA et faisant
appel public à l’épargne sont également concernées
par cette obligation et doivent rendrent publiques les
informations relevant des procédures de contrôle
interne dans les conditions fixées par l’Autorité des
Marchés Financiers.
8

Contrôle interne – Au-delà des concepts, questions aux praticiens
LE CONTRÔLE, PRÉOCCUPATION DU MANAGEMENT

Il s’agit en particulier des sociétés en commandite par
actions et des sociétés étrangères :
– admises aux négociations sur un marché réglementé
français,
– non admises aux négociations sur un marché
réglementé français mais faisant ponctuellement appel
public à l’épargne en France, par exemple dans le cadre
d’une offre aux salariés de ses filiales françaises.
Les sociétés par actions simplifiées et les sociétés à
responsabilité limitée ne sont pas soumises à cette
obligation de publicité. Néanmoins, leurs mandataires
sociaux restent clairement responsables des mesures de
contrôle interne permettant la maîtrise de leurs activités.
Q4.

Quelle est la responsabilité du Président
du conseil afférente à cette nouvelle obligation
issue de l’article 117 de la LSF ?

L’article 117 de la LSF fait peser sur le Président du
conseil d’administration (de surveillance) une
responsabilité quant à la rédaction et au contenu du
rapport sur les procédures de contrôle interne mises en
place dans l’entreprise.
La loi ne prévoit pas de sanctions spécifiques.
Néanmoins, il est précisé que le rapport du Président est
« joint » au rapport du conseil d’administration ou de
surveillance à l’assemblée annuelle (rapport annuel).
Les tribunaux pourraient dès lors, considérer qu’il fait
"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

9
LE CONTRÔLE, PRÉOCCUPATION DU MANAGEMENT

partie de ce dernier et qu’il suit le même régime
juridique. Dans cette hypothèse :
– l’absence de rapport annuel, son défaut de
communication ou de mise à disposition peuvent être
sanctionnés pénalement (D67 art. 16, 53, 293 al 4,
Code Pénal art. 131-13),
– les dirigeants sociaux pourraient faire l’objet d’une
injonction sous astreinte de procéder au dépôt du
rapport ou d’y faire procéder (Code de commerce, art.
L 123-5-1 et art. L 238-1).
Par ailleurs, la responsabilité civile du Président pourra
être mise en jeu au titre de la rédaction et du contenu
de ce rapport s’il est démontré une faute caractérisée
dans la rédaction du rapport, un préjudice et un lien de
causalité entre faute et préjudice, sachant que la
responsabilité de tous les administrateurs ou membres
du conseil de surveillance pourra être recherchée dans
la mesure où le Président aura pris la précaution
d’obtenir l’approbation des membres du conseil quant
au contenu du rapport. Celui-ci relève de la
responsabilité des administrateurs et membres du
conseil de surveillance.
Enfin, de façon très exceptionnelle, la responsabilité
pénale du Président et des membres du conseil pourrait
également être mise en jeu sur le terrain du délit de
communication d’informations fausses ou trompeuses
sur les perspectives ou la situation d’une société dont
les titres sont négociés sur un marché réglementé. Pour
que les faits puissent être qualifiés comme tels, il

10

Contrôle interne – Au-delà des concepts, questions aux praticiens
LE CONTRÔLE, PRÉOCCUPATION DU MANAGEMENT

faudrait que les informations publiées par l’AMF ou
communiquées par le Président à l’assemblée soient
considérées comme étant particulièrement sensibles et
aient pu influencer le cours de bourse.
Quoi qu’il en soit, cette responsabilité du Président sur
la rédaction et le contenu du rapport ne doit pas
occulter la responsabilité plus fondamentale de la
direction générale sur la qualité intrinsèque du
contrôle interne mis en place dans l’entreprise.
Q5.

En quoi la LSF diffère-t-elle du SOA
en vigueur aux États-Unis ?

Les objectifs et la philosophie des deux textes sont
différents :
– le SOA vise à apporter une réponse concrète et rapide
aux préoccupations des marchés financiers quant à la
fiabilité de l’information financière. Il est donc centré
sur cette information et le contrôle de celle-ci, pour les
seules sociétés cotées ; il requiert du CEO et du CFO
qu’ils affirment leur responsabilité quant à la fiabilité de
cette information ;
– la LSF vise à inciter les entreprises françaises à s’engager
dans une dynamique d’amélioration du contrôle interne
et plus spécifiquement de gestion de leurs risques (cf.
rapport du Sénat – « LSF un an après »). Elle cible le
dispositif de contrôle interne dans son ensemble, pour
toutes les SA, et requiert du Président qu’il rende compte
aux actionnaires de ce dispositif d’ensemble.

"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

11
Sarbanes-Oxley Act

12

Les sociétés cotées
Défini et limité au contrôle interne
relatif à l’information financière
et aux procédures de communication
des informations aux marchés
Utilisation obligatoire
d’un référentiel reconnu.
COSO cité comme exemple par la SEC
Explicite

CEO et CFO
Pour les sociétés soumises
au reporting accéléré : exercices clos
au 15 novembre 2004 et après.
Exercices clos au 15 avril 2005
et après pour les autres (FPI)

Loi de Sécurité Financière
Toutes les SA (APE et non APE)
et les sociétés APE
Non défini
(sauf pour les travaux du CAC)
Implicitement, champ complet
du contrôle interne
Pas d’utilisation obligatoire
d’un référentiel reconnu
Non explicite

Président du CA ou du CS
Exercices ouverts à compter
du 1er janvier 2003

Champ d’application

Définition et périmètre
du contrôle interne

Référentiel
de contrôle interne

Obligation
de documentation
et de tests des contrôles

Emetteur du rapport

Date d’application

LE CONTRÔLE, PRÉOCCUPATION DU MANAGEMENT

Les principales différences entre ces deux textes sont
illustrées ci-dessous.

Contrôle interne – Au-delà des concepts, questions aux praticiens
LE CONTRÔLE, PRÉOCCUPATION DU MANAGEMENT

Q6.

Quelles sont les évolutions prévues en Europe
en matière de contrôle interne
et de gouvernance ?

La proposition de directive sur le contrôle légal des
comptes du 16 mars 2004 contient deux mesures en
matière de contrôle interne :
– le test de connaissances théoriques inclus dans
l’examen d’aptitudes professionnelles auquel sont
soumis les auditeurs devrait notamment couvrir la
gestion des risques et le contrôle interne (art. 8) ;
– l’auditeur ou le cabinet d’audit devrait faire un
rapport au comité d’audit sur les questions
fondamentales soulevées par l’audit, notamment les
faiblesses majeures du contrôle interne en rapport avec
le processus d’élaboration de l’information financière
(art. 39).
En outre, la proposition de directive sur la
responsabilité des administrateurs du 28 octobre 2004
prévoit la publication par les sociétés cotées, dans une
partie distincte du rapport de gestion, d’une
« déclaration annuelle sur le gouvernement
d’entreprise » incluant la description des systèmes
internes de contrôle et de gestion des risques du groupe
en relation avec le processus d’établissement des
comptes consolidés (art. 2).
Remarque : les dispositions prévues par ces deux
directives devraient être transposées par les Etats
membres au plus tard pour le 1er janvier 2007.

"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

13
LE CONTRÔLE, PRÉOCCUPATION DU MANAGEMENT

Q7.

Quelles sont les obligations légales
dans les autres pays ?

Des lois relatives au renforcement de la gouvernance et
du contrôle interne des entreprises, souvent appelées
lois « post-Enron », ont été adoptées dans la plupart des
grands pays industriels.
Les principales dispositions prises par ces textes se
résument comme suit :
– renforcement de la gouvernance ;
– renforcement de la responsabilité des dirigeants ;
– augmentation des sanctions liées à la publication
d’informations inexactes ;
– enrichissement de l’information financière et de
l’information donnée aux marchés sur le contrôle
interne ;
– renforcement des mécanismes anti-fraudes ;
– mise en place de règles plus strictes de contrôle de
l’indépendance des auditeurs.
Ces textes s’appliquent pour la plupart uniquement aux
sociétés cotées ou sociétés faisant appel public à
l’épargne.

14

Contrôle interne – Au-delà des concepts, questions aux praticiens
LE CONTRÔLE, PRÉOCCUPATION DU MANAGEMENT

Q8.

Quel est le rôle des « grands acteurs de place »
et des régulateurs ?
Comment influencent-ils la gestion
du contrôle interne dans les entreprises ?

Les dispositions de la LSF relatives au rapport sur le
contrôle interne sont succinctes et ne font pas l’objet
d’un décret d’application. Aussi, les « acteurs de
place » et les régulateurs jouent-ils un rôle déterminant
dans l’interprétation de cette nouvelle obligation et le
conseil aux entreprises pour sa mise en œuvre.
Dès novembre 2003, le MEDEF et l’AFEP ont ainsi
proposé que les termes de la loi « rend compte […] des
procédures de contrôle interne » soient interprétés
comme l’obligation de décrire le contrôle interne, et
non de l’évaluer. Ils ont également proposé une
définition du terme contrôle interne et un modèle de
rapport du Président – définition et modèle qui ont été
largement utilisés par les entreprises pour cette première
année d’application.
Au cas particulier des sociétés faisant appel public à
l’épargne, et conformément au rôle qui lui est attribué
par le texte de loi, l’AMF a émis une première
recommandation en janvier 2004, préconisant
notamment d’utiliser les lignes directrices données par
le MEDEF et l’AFEP, de préciser les diligences qui soustendent l’analyse du Président et d’entamer une
démarche progressive d’évaluation permettant d’aboutir
à terme à une appréciation de l’adéquation et de
l’efficacité du contrôle interne.
"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

15
LE CONTRÔLE, PRÉOCCUPATION DU MANAGEMENT

Les acteurs de place et régulateurs ont ainsi été moteurs
dans l’interprétation et l’application de ce nouveau
texte en 2003.
Pour l’avenir, compte tenu des enjeux de
communication financière associés à ce nouveau
rapport, il est probable que les sociétés faisant appel
public à l’épargne contribuent aussi à la définition de la
tendance, notamment :
– en donnant une information de plus en plus
spécifique à leur organisation et à leur activité,
– en apportant des appréciations sur tout ou partie de
leur dispositif,
– et en s’engageant pour ce faire dans des démarches
internes d’amélioration de leurs dispositifs de contrôle.

16

Contrôle interne – Au-delà des concepts, questions aux praticiens
DU CONTRÔLE INTERNE
À LA MAÎTRISE DES ACTIVITÉS

Q9. Qu’est-ce que le contrôle interne ? . . . . . . . . . . . . . 18
Q10. Qu’est-ce que le COSO ? . . . . . . . . . . . . . . . . . . . . . . 19
Q11. Quel est le lien
entre contrôle interne et gouvernance ? . . . . . . . . . . 21
Q12. Quel est le lien
entre contrôle interne et gestion des risques ? . . . . 22
Q13. Quel est le lien
entre contrôle interne et dispositif anti-fraude ? . . . 23
Q14. Quel est le poids relatif de la partie financière
dans l’ensemble du contrôle interne ? . . . . . . . . . . . 24
Q15. Quelles évolutions pour les modèles existants ? . . . 25

17
DU CONTRÔLE INTERNE À LA MAÎTRISE DES ACTIVITÉS

Q9.

Qu’est-ce que le contrôle interne ?

La LSF ne donne pas de définition du contrôle interne.
Dans leurs rapports 2003, les entreprises ont
majoritairement repris la définition proposée par le
rapport du COSO, ou ont donné une définition qui s’en
rapproche – à l’exception des établissements financiers
qui ont fait référence au règlement de la commission
bancaire 97-02.
Le SOA en revanche, dans ses textes d’application, fait
explicitement référence au rapport du COSO et à la
définition qu’il propose.
Selon le rapport du COSO, le contrôle interne est un
processus mis en œuvre par le conseil d’administration,
les dirigeants et le personnel de l’entreprise, pour
fournir une assurance raisonnable quant à la réalisation
des trois objectifs suivants :
– la réalisation et l’optimisation des opérations,
– la fiabilité des opérations financières,
– la conformité aux lois et règlements.
Au-delà des concepts, l’enjeu véritable du contrôle
interne est la maîtrise des activités – ce pourrait être
d’ailleurs une plus juste traduction du terme anglais
« Internal Control ».

18

Contrôle interne – Au-delà des concepts, 40 questions aux praticiens
DU CONTRÔLE INTERNE À LA MAÎTRISE DES ACTIVITÉS

Q10. Qu’est-ce que le COSO ?

Le Committee Of Sponsoring Organizations de la
Commission Treadway est un groupe de réflexion
constitué aux Etats-Unis en 1985.
Ce groupe a développé un référentiel méthodologique
d’analyse du contrôle interne, dénommé « le COSO »
qui a été édité en France en 1992 sous le titre « La
pratique du contrôle interne ».
En résumé, le COSO structure l’analyse du contrôle
interne selon les trois objectifs cités précédemment et
pour chacun d’eux selon cinq composantes :
– l’environnement de contrôle,
– l’évaluation des risques,
– les activités de contrôle,
– l’information et la communication,
– le pilotage (du contrôle interne).
Ce cadre d’analyse se décline sur chaque activité et
fonction de l’entreprise.
Ce référentiel méthodologique est représenté
schématiquement par un cube, couvrant l’ensemble des
dimensions du contrôle interne de l’entreprise, dit Cube
COSO.

"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

19
DU CONTRÔLE INTERNE À LA MAÎTRISE DES ACTIVITÉS

Il n’existe pas à ce jour de modèle de contrôle interne
d’inspiration française, mais des groupes de travail
existent au sein d’organismes tels que l’ordre des
Experts Comptables, la CNCC et l’IFACI.
La CNCC, dans son avis technique de mars 2004 sur le
rapport du Président, fait référence à la définition du
contrôle interne du COSO.
PricewaterhouseCoopers est, au plan mondial, coauteur du rapport du COSO.

20

Contrôle interne – Au-delà des concepts, 40 questions aux praticiens
DU CONTRÔLE INTERNE À LA MAÎTRISE DES ACTIVITÉS

Q11. Quel est le lien
entre contrôle interne et gouvernance ?

Il n’existe pas de définition légale du gouvernement
d’entreprise mais il est possible de le définir par ses
objectifs : promouvoir l’autorégulation et organiser la
transparence.
Le gouvernement d’entreprise, qui régit les relations entre
l’organe de contrôle, le conseil d’administration / conseil
de surveillance et les organes de direction (direction
générale, directoire) peut être considéré comme une partie
du dispositif général de contrôle interne.
Les membres du conseil d’administration (de surveillance)
doivent avoir une parfaite connaissance de la stratégie,
des risques et des actions mises en œuvre pour réussir la
première et limiter les seconds. Ils doivent être tenus
régulièrement informés de l’état d’avancement de cette
stratégie et des incidents de manière à pouvoir décider
des mesures correctrices adaptées. Ils font rapport de leurs
travaux à l’assemblée.
Acteurs

Contrôle interne

Conseil
Direction
Générale

Ensemble
du
personnel

Gouvernement
d'entreprise
Enjeux
Reporting

Contrôle interne
sur les opérations

"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

21
DU CONTRÔLE INTERNE À LA MAÎTRISE DES ACTIVITÉS

Q12. Quel est le lien
entre contrôle interne et gestion des risques ?

La reconnaissance du caractère essentiel de la gestion
des risques au regard du contrôle interne s’est traduite
récemment par l’émergence du concept de l’Enterprise
Risk Management (ERM) issu des travaux du COSO, et
repris sous l’appellation « COSO 2 ».
En France, l’importance de la gestion des risques a été
soulignée dans le rapport d’information au Sénat – Loi
de Sécurité Financière 1 an après – du 27 juillet 2004.
Ce rapport indique clairement que la gestion des
risques se place au cœur des enjeux du renforcement
du contrôle interne.
Associer étroitement contrôle interne et gestion des
risques assure que le contrôle interne est un outil
opérationnel pour le management, adapté aux enjeux
de l’activité et non un dispositif formel dénué d’intérêt :
il s’agit d’éviter la constitution de référentiels exhaustifs
de procédures de contrôle interne qui seraient par trop
complexes et coûteux à concevoir et plus encore à
maintenir.
Le contrôle interne défini comme la maîtrise des
activités s’appuie sur une vision pragmatique des enjeux
de l’entreprise, des principaux risques associés et des
réponses apportées par les dispositifs de contrôle
interne. Ainsi, par la conception, le déploiement,
l’évaluation et le pilotage d’un dispositif de contrôle

22

Contrôle interne – Au-delà des concepts, 40 questions aux praticiens
DU CONTRÔLE INTERNE À LA MAÎTRISE DES ACTIVITÉS

interne structuré sur la gestion des risques, l’entreprise
se donne une « assurance raisonnable » de réalisation
de ses objectifs.
Q13. Quel est le lien
entre contrôle interne et dispositif anti-fraude ?

Pour qu’une fraude soit commise, il faut généralement
qu’un ou plusieurs individus aient subi des pressions
personnelles et/ou incitations financières, et qu’ils aient
l’opportunité de commettre la fraude, par exemple en
cas d’absence temporaire de séparation des tâches.
En conséquence, le contrôle interne permet de réduire
le risque de fraude ; toutefois, ce n’est pas
nécessairement suffisant car la réalisation d’une fraude
consiste bien souvent à contourner le dispositif de
contrôle interne (par exemple, lorsqu’une personne
utilise son positionnement hiérarchique pour ne pas
suivre les procédures normales).
C’est pourquoi il est nécessaire de mettre en place des
dispositifs anti-fraude spécifiques sur la base d’une
analyse de vulnérabilité de l’entreprise ou du groupe.
Cette analyse sera conduite de manière progressive à
partir d’une compréhension de l’environnement de
contrôle général et d’un diagnostic des situations à
risques.

"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

23
DU CONTRÔLE INTERNE À LA MAÎTRISE DES ACTIVITÉS

Q14. Quel est le poids relatif de la partie financière
dans l’ensemble du contrôle interne ?

La fiabilité de l’information financière constitue l’un des
trois objectifs du contrôle interne.
La « partie financière » du contrôle interne dépasse, sur
le plan des organisations et des processus, le périmètre
de la fonction comptable et financière de l’entreprise.
Elle implique l’ensemble des fonctions de l’entreprise
dont les activités génèrent des événements qui ont
vocation à être traduits dans les états financiers.
L’objectif de fiabilité de l’information financière est par
conséquent très transversal à l’organisation et mobilise
la grande majorité des fonctions de l’entreprise. Est-il
prépondérant par rapport aux deux autres objectifs ? Le
COSO ne le dit pas. Cependant, avec le SOA, le
régulateur américain a mis l’accent essentiellement sur
l’objectif de fiabilité de l’information financière. Certes,
le régulateur français, avec la LSF, ne privilégie aucun
des objectifs. Cependant, il distingue l’objectif de
fiabilité de l’information financière en soumettant aux
« observations » du CAC la partie du rapport sur le
contrôle interne relative à l’élaboration de l’information
financière.
Enfin, dans la pratique, on constate une certaine priorité
donnée par les entreprises à la vérification du contrôle
interne relatif à la fiabilité de l’information financière,
qui peut s’expliquer par la volonté des entreprises de
rassurer les marchés financiers.
24

Contrôle interne – Au-delà des concepts, 40 questions aux praticiens
DU CONTRÔLE INTERNE À LA MAÎTRISE DES ACTIVITÉS

Q15. Quelles évolutions pour les modèles existants ?

Le modèle COSO a été retenu par le régulateur US
comme le modèle de référence sur le contrôle interne.
Ce modèle disponible depuis 1992 a pu être confronté
à la réalité du management d’entreprise du fait d’une
large diffusion notamment aux USA.
Les observations émises par les praticiens ont entre
autres suscité la poursuite des réflexions qui ont conduit
depuis 5 ans à l’émergence du concept d’Enterprise
Risk Management. L’ERM « framework » du COSO 2
est disponible sous sa version définitive depuis octobre
2004.
D’un point de vue opérationnel, l’ERM est un processus
facilitant :
– la gestion des incertitudes des activités, la gestion des
risques et des opportunités,
– l’identification des événements pouvant être à
l’origine de risques, ainsi que la définition des solutions
de contrôle interne adaptées, offrant une assurance
raisonnable quant à la réalisation des objectifs,
– l’alignement de la gestion des risques avec la stratégie
de l’entreprise.
En identifiant les événements auxquels l’entreprise est
soumise, le management peut aussi déterminer les
opportunités pour améliorer sa performance.
"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

25
DU CONTRÔLE INTERNE À LA MAÎTRISE DES ACTIVITÉS

L’ERM représente également une orientation vers un
processus plus complet de gestion des risques et à ce
titre, il a retenu l’intérêt de la Securities and Exchange
Commission (SEC). Dans une communication d’avril
2004, la SEC souligne le besoin pour les entreprises
d’adopter une attitude « proactive » pour l’identification
des zones de risques. Elle insiste de même sur
l’obligation de mettre en oeuvre des contrôles pour
réduire ou éliminer leurs risques et d’initier une
approche « top-to-bottom ».

26

Contrôle interne – Au-delà des concepts, 40 questions aux praticiens
QUI FAIT QUOI ?
QUELLES ÉVOLUTIONS
DANS L’ORGANISATION
DE L’ENTREPRISE ?
Q16. Qui sont les responsables du contrôle interne ? . . . 28
Q17. Qui est acteur du contrôle interne ? . . . . . . . . . . . . . 29
Q18. Quels sont les rôles de l’Audit Interne
et du Risk Manager ?
Définissent-ils le contrôle interne ? . . . . . . . . . . . . . . 29
Q19. Quelles sont les difficultés rencontrées
pour mettre en place un dispositif de contrôle interne
adapté et efficace au niveau des groupes ? . . . . . . . 30
Q20. Quel est le rôle de la direction juridique ?
Son rôle s’étend-t-il à la vérification
de l’application de l’ensemble des lois
et règlements dans l’entreprise ? . . . . . . . . . . . . . . . . 31
Q21. Quel est le rôle de la DRH ? . . . . . . . . . . . . . . . . . . . . 32
Q22. N’y a-t-il pas double emploi
entre assurance qualité et contrôle interne ?
Comment intégrer les travaux de la Direction de
la Qualité dans la démarche de contrôle interne ? . 33
Q23. Quel est le rôle de la Direction Financière ?
Son périmètre d’intervention va-t-il
au-delà du département comptable ? . . . . . . . . . . . . 34
Q24. Quel est le rôle de la Direction des Systèmes
d’Information (DSI) ?
Quels impacts sur ses modes de fonctionnement ? 35
Q25. Quel est le rôle du commissaire aux comptes ? . . . 36
27
QUI FAIT QUOI ?

Q16. Qui sont les responsables du contrôle interne ?

Le management : c’est la direction générale qui est
responsable de la mise en œuvre du contrôle interne
dans l’entreprise, c’est à dire le Président Directeur
Général, le Directeur Général, les Directeurs Généraux
Délégués et le Directoire.
Les organes de contrôle : le conseil d’administration et
le conseil de surveillance ont pour rôle de surveiller et
guider la direction générale afin de s’assurer de la mise
en œuvre du contrôle interne. Ils sont assistés le cas
échéant par des comités ad hoc (comité d’audit, comité
des risques, comité des rémunérations…).
Les parties prenantes de l’entreprise, notamment les
actionnaires, engagent plus facilement des actions en
responsabilité à l’encontre des dirigeants et des organes
de contrôle. Une défaillance dans le contrôle interne
peut être non seulement la source d’actions judiciaires
en responsabilité mais peut également favoriser des
actes de malveillance également générateurs d’actions
en responsabilité, notamment sur le fondement de la
négligence.
Les assureurs Responsabilité civile des mandataires
sociaux et des entreprises s’intéressent de plus en plus
au contrôle interne mis en place par leurs assurés…

28

Contrôle interne – Au-delà des concepts, questions aux praticiens
QUI FAIT QUOI ?

Q17. Qui est acteur du contrôle interne ?

Ayant posé la maîtrise des activités de l’entreprise
comme l’enjeu du contrôle interne, c’est tout
naturellement l’ensemble des collaborateurs de
l’entreprise qui est concerné, et qui est acteur du
contrôle interne, du « top management » au personnel
d’exécution.
La prise en compte des objectifs du contrôle interne et
l’application des dispositifs qui y sont associés, sont à
intégrer dans les définitions de responsabilités, de
fonctions, de postes, etc. des personnels et dans les
procédures d’évaluation de la performance.
Q18. Quels sont les rôles de l’Audit Interne
et du Risk Manager ?
Définissent-ils le contrôle interne ?

Non, comme indiqué précédemment, la définition du
contrôle interne relève de la responsabilité du
management.
Les départements d’audit interne et de gestion des
risques ont un rôle important à jouer dans le dispositif
de contrôle interne : selon la mission qui leur est
allouée dans l’entreprise, ils réalisent un travail
d’animation de ce dispositif, de diffusion des meilleures
pratiques dans l’entreprise et/ou d’évaluation et de
contrôle ponctuel des procédures en place.
"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

29
QUI FAIT QUOI ?

Cette répartition des rôles permet en particulier à l’audit
interne de préserver l’objectivité qui est nécessaire à
l’exercice de sa fonction : n’ayant pas participé à la
définition du dispositif de contrôle interne, il est en
mesure d’en apprécier l’adéquation et l’efficacité, en
toute indépendance.
Q19. Quelles sont les difficultés rencontrées
pour mettre en place un dispositif
de contrôle interne adapté et efficace
au niveau des groupes ?

En France, le groupe de sociétés n’a pas la personnalité
morale : les sociétés du groupe sont autonomes d’un
point de vue juridique ; elles ont un patrimoine et une
responsabilité distincts.
L’un des enjeux des groupes est d’assurer une
cohérence en leur sein entre les structures juridiques et
l’organisation opérationnelle pour :
– assurer un meilleur suivi de l’activité,
– limiter les risques d’erreur et de fraude,
– mieux gérer le risque de mise en jeu de la
responsabilité des mandataires sociaux.
La société tête de groupe qui a les mêmes pouvoirs
qu’un actionnaire majoritaire ne peut rien imposer
juridiquement à ses filiales en matière de contrôle
interne ; cela étant, elle va devoir veiller à harmoniser
les procédures internes au moyen de règles intra
groupes.
30

Contrôle interne – Au-delà des concepts, questions aux praticiens
QUI FAIT QUOI ?

Il s’ensuit une nécessaire contractualisation de ces
obligations au sein de conventions de direction de
groupe. Celles-ci ont pour objet d’harmoniser les règles
applicables aux filiales et à leurs dirigeants, dès lors
qu’elles appartiennent au même groupe.
Q20. Quel est le rôle de la direction juridique ?
Son rôle s’étend-t-il à la vérification
de l’application de l’ensemble des lois
et règlements dans l’entreprise ?

La direction juridique a un rôle évident dans le cadre de
la démarche de contrôle interne. Il appartient tout
d’abord à la direction générale de déterminer le rôle de
la direction juridique groupe et celui des directions des
filiales et d’instituer des règles de reporting claires et
cohérentes.
C’est surtout aux juristes du groupe pris dans leur
ensemble qu’il appartient :
– d’assurer l’animation de la réalisation de l’objectif de
« conformité aux lois et règlements » du contrôle
interne dans l’ensemble de l’entreprise,
– de sensibiliser les dirigeants et de clarifier les rôles et
responsabilités,
– de proposer aux dirigeants les solutions juridiques
relevant de la composante « environnement de
contrôle » du contrôle interne.

"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

31
QUI FAIT QUOI ?

Q21. Quel est le rôle de la DRH ?

La Direction des Ressources Humaines intervient
également dans la démarche de contrôle interne, au
côté le plus souvent de la Direction Juridique, dans la
mise en place de chartes d’éthique / codes de conduite
destinés, notamment, à sensibiliser l’ensemble des
observateurs de l’entreprise, voire des tiers (partenaires,
fournisseurs, ...) à la nécessité de respecter les lois et
règlements en vigueur.
Elle peut également être sollicitée dans le cadre de la
mise en place des délégations de pouvoirs qui
permettent d’organiser les rôles et responsabilités des
dirigeants et des délégataires et de gérer, au sein de
l’entreprise, le risque de responsabilité pénale.
Le contrôle interne nécessite de formaliser le système de
délégations existant et de vérifier régulièrement son
efficacité.

32

Contrôle interne – Au-delà des concepts, questions aux praticiens
QUI FAIT QUOI ?

Q22. N’y a-t-il pas double emploi
entre assurance qualité et contrôle interne ?
Comment intégrer les travaux
de la Direction de la Qualité
dans la démarche de contrôle interne ?

Les démarches de l’assurance qualité poursuivent des
objectifs opérationnels. Il s’agit de rechercher l’optimum
d’efficacité dans l’organisation, les process et les
méthodes pour maximiser les résultats d’une activité ou
d’un process.
Il existe des synergies évidentes avec le contrôle interne,
non seulement dans les démarches et la nature des
travaux réalisés, mais aussi sur le fond, dans les objectifs
et les résultats à atteindre. En effet, les démarches
d’assurance qualité lorsqu’elles sont menées en
profondeur, dans une recherche d’excellence, intègrent
les dispositifs de contrôle. De même, le contrôle interne
comprend dans sa définition un objectif de réalisation
et d’optimisation des opérations, qui rejoint celui de
l’assurance qualité.
La mise en œuvre des démarches de contrôle interne
révèle fréquemment des opportunités d’amélioration de
l’efficacité et de la performance des activités.
Enfin, assurance qualité et contrôle interne ont aussi
comme point commun d’agir sur les comportements et
la culture générale d’entreprise.

"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

33
QUI FAIT QUOI ?

Q23. Quel est le rôle de la Direction Financière ?
Son périmètre d’intervention va-t-il au-delà
du département comptable ?

La Direction Financière est responsable de l’animation
de l’ensemble des éléments du dispositif de contrôle
interne contribuant à la réalisation de l’objectif de
« fiabilité de l’information financière ».
Par définition, ces éléments sont, pour grande partie,
extérieurs à la fonction financière : ils portent
notamment sur les processus opérationnels de
traitement des transactions en amont des systèmes
comptables, ainsi que sur tout mécanisme de
remontée d’information des événements nécessitant
une traduction comptable. La direction financière est en
mesure d’en apprécier l’adéquation et l’efficacité sur
l’ensemble de ce périmètre.
Par ailleurs, la Direction Financière tient également un
rôle majeur dans la communication aux marchés
financiers ; elle est également impliquée dans le projet
de contrôle interne à ce titre.

34

Contrôle interne – Au-delà des concepts, questions aux praticiens
QUI FAIT QUOI ?

Q24. Quel est le rôle de la
Direction des Systèmes d’Information (DSI) ?
Quels impacts
sur ses modes de fonctionnement ?

Les activités des entreprises s’appuient fortement sur
l’informatique. Les processus sont informatisés et le
patrimoine applicatif et technique est de plus en plus
complexe à gérer pour les fonctions informatiques qui sont
en charge de leur développement et de leur exploitation.
Historiquement, les développements de systèmes ont été
effectués dans une logique d’automatisation de tâches.
Les méthodologies de développement mettent l’accent
sur la modélisation des flux et des opérations, sans toujours
prendre suffisamment en considération les enjeux de
contrôle interne tels que : séparation des tâches,
rapprochements automatiques, états d’analyse et de
vérification à mettre à disposition des utilisateurs, etc.
Il convient donc de s’assurer de la prise en compte
effective des problématiques de contrôle interne dans
les phases de développement et de maintenance des
applications.
La complexité des applications, la sophistication et la
puissance des technologies rendent l’informatique toujours
plus complexe à maîtriser sur le plan du contrôle interne
et notamment de la sécurité. C’est une véritable réflexion
qui doit être menée dans l’entreprise par les DSI afin
d’évaluer les risques et d’apprécier l’adéquation du
dispositif de contrôle interne.
"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

35
QUI FAIT QUOI ?

Q25. Quel est le rôle du commissaire aux comptes ?

Le rôle du commissaire aux comptes est défini par la
LSF et l’avis de la Compagnie Nationale des
Commissaires aux Comptes (CNCC) du 23 mars 2003 –
confirmé par un avis du Haut Conseil du Commissariat
aux Comptes.
L’article 120 de la LSF prévoit que les commissaires aux
comptes « présentent dans un rapport […] leurs
observations sur le rapport [du Président] pour celles
des procédures de contrôle interne qui sont relatives à
l’élaboration et au traitement de l’information
comptable et financière ». Le commissaire aux comptes
n’émet donc pas à proprement parlé un avis sur le
contrôle interne mais fait plus simplement des
observations sur le rapport du Président, pour les
procédures de contrôle interne relatives à l’information
comptable et financière.
Pour ce faire, l’avis technique de la CNCC précise que
« le commissaire aux comptes met en œuvre les
diligences lui permettant de s’assurer que les
informations et, le cas échéant, les déclarations,
contenues dans le rapport du Président, sur les
procédures de contrôle interne relatives à l’élaboration
et au traitement de l’information comptable et
financière, sont présentées de manière sincère ».
L’information est considérée comme sincère dès lors
qu’elle est corroborée par les travaux du commissaire
aux comptes et lui paraît être pertinente et non
susceptible d’être mal interprétée.
36

Contrôle interne – Au-delà des concepts, questions aux praticiens
QUI FAIT QUOI ?

L’étendue des travaux à mener par le commissaire aux
comptes sur le contrôle interne relatif à l’information
financière dépend ainsi de la nature des informations
données dans le rapport du Président et de la capacité
de la société à apporter des éléments probants justifiant
ces déclarations.
Les informations relatives à l’organisation des travaux du
conseil ou au contrôle interne des opérations, données
par le Président dans son rapport, font simplement
l’objet d’une lecture d’ensemble par le commissaire aux
comptes.

"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

37
EN PRATIQUE,
QUEL PROJET METTRE EN ŒUVRE ?

Q26. Faut-il un projet de mise à niveau
du contrôle interne ? . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Q27. Quelle démarche pour améliorer
le contrôle interne . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Q28. Comment entamer une démarche
de contrôle interne ? . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Q29. La démarche doit-elle être la même
pour un projet LSF et un projet SOA ? . . . . . . . . . . . 43
Q30. Comment organiser le projet ? . . . . . . . . . . . . . . . . . 44
Q31. Que documenter et jusqu’où ? . . . . . . . . . . . . . . . . . 45
Q32. Comment assurer la qualité du dispositif
contrôle interne lorsqu’on a recours
à des sous-traitants ou à l’externalisation
de certaines fonctions ? . . . . . . . . . . . . . . . . . . . . . . . 45
Q33. Peut-on institutionnaliser la dénonciation
des fraudes en France
(Whistleblowing aux USA) ? . . . . . . . . . . . . . . . . . . . . 46
Q34. Qu’est ce qu’un Consultant externe
peut apporter au projet ? . . . . . . . . . . . . . . . . . . . . . . 48

39
QUEL PROJET METTRE EN ŒUVRE ?

Q26. Faut-il un projet de mise à niveau
du contrôle interne ?

La réponse s’étudie au cas par cas. Elle découle des
réponses apportées à deux questions préliminaires :
– L’entreprise dispose-t-elle d’une vision de synthèse
de son contrôle interne actuel : ses enjeux, ses
principaux risques, les dispositifs de contrôle en place
et leur niveau d’application ?
– Le dispositif de contrôle interne est-il adapté à
l’entreprise et répond-t-il aux objectifs de
communication du Président dans le cadre du rapport
LSF ?
Selon les réponses apportées, l’entreprise pourrait être
amenée à lancer un projet de mise à niveau de son
contrôle interne.
Si l’entreprise entre dans le champ d’application du
SOA, il est peu probable que son dispositif de contrôle
interne soit conforme, en particulier la documentation.
Il sera donc nécessaire de lancer un projet de mise en
conformité.

40

Contrôle interne – Au-delà des concepts, questions aux praticiens
QUEL PROJET METTRE EN ŒUVRE ?

Q27. Quelle démarche
pour améliorer le contrôle interne ?

La démarche dans son principe est relativement simple.
Elle se structure en trois phases :
– Une phase d’initialisation ou de cadrage, au cours de
laquelle les objectifs du projet sont définis, le plus
souvent en s’appuyant sur un pré-diagnostic du contrôle
interne, permettant de dégager les activités, entités et
thèmes prioritaires. L’organisation de projet, le planning,
les ressources et le référentiel méthodologique sont
définis en conséquence.
– Un plan de mise en œuvre, généralement structuré
autour de trois thèmes :
• le gouvernement d’entreprise,
• la maîtrise des opérations,
• la conformité aux lois.
Cette phase comprend des diagnostics détaillés, des
plans d’actions et des tests.
Pour les groupes, ces travaux peuvent être conduits sur
une unité pilote sur laquelle un core model de contrôle
interne est développé, puis déployé ensuite sur
l’ensemble des unités du groupe.
– Une phase de stabilisation et de fonctionnement
courant, qui vise à s’assurer de la bonne appropriation
des nouveaux dispositifs par le management et
l’ensemble des collaborateurs concernés. C’est une
phase critique pour l’entreprise car il s’agit de
"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

41
QUEL PROJET METTRE EN ŒUVRE ?

pérenniser l’ensemble des travaux réalisés et d’intégrer
définitivement le contrôle interne dans les modes de
fonctionnement de l’entreprise.
Q28. Comment entamer
une démarche de contrôle interne ?

La phase d’initialisation est particulièrement critique car
elle positionne le projet dans l’entreprise induisant son
niveau de priorité et les ressources à mobiliser.
Concrètement, il s’agit de réfléchir autour de trois
thèmes :
– Clarifier les enjeux pour l’entreprise : enjeux
juridiques (responsabilité des dirigeants, …), enjeux de
communication (attentes du marché, attitudes des
concurrents, …), enjeux de maîtrise des activités (où
sont les principaux risques ? sont-ils bien couverts ? …).
– Évaluer le niveau actuel du contrôle interne, afin de
définir des objectifs réalistes dans le temps.
– Tenir compte de la stratégie de l’entreprise pour fixer
les priorités.
Enjeux, niveau actuel de contrôle interne et stratégie de
l’entreprise constituent les trois paramètres de base à
prendre en compte pour fixer les objectifs du projet
contrôle interne.

42

Contrôle interne – Au-delà des concepts, questions aux praticiens
QUEL PROJET METTRE EN ŒUVRE ?

Q29. La démarche doit-elle être la même
pour un projet LSF et un projet SOA ?

A l’origine, la démarche est fondamentalement
différente.
Avec la LSF, le législateur demande au Président de
s’assurer que ses risques sont maîtrisés. Le périmètre
couvre l’ensemble des activités de l’entreprise et le
Président rend compte des procédures de contrôle
interne mises en place. La démarche sera construite
dans une approche top/down fondée sur une analyse
des enjeux et des risques.
Dans le cadre du SOA, le régulateur demande au
CEO/CFO de démontrer à des tiers que l’information
financière publiée est fiable. Le périmètre couvre
uniquement l’information financière. L’obligation de
preuve engendre une exigence de documentation forte.
La démarche sera construite dans une approche
transversale fondée sur l’identification des comptes
significatifs dans les états financiers et l’analyse du
contrôle interne relatif à l’alimentation de ces
comptes.
Ce sont donc deux démarches distinctes, mais
vraisemblablement appelées à converger à terme du
fait de la priorité donnée dans la pratique à la fiabilité
de l’information financière dans les projets LSF.

"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

43
QUEL PROJET METTRE EN ŒUVRE ?

Q30. Comment organiser le projet ?

Naturellement, l’organisation du projet dépend de ses
objectifs, de son ambition. C’est un projet avec une
forte composante de changement. Par conséquent, le
chef de projet doit être rattaché au responsable ayant
autorité sur le périmètre du projet.
Compte tenu de la nature du projet, l’équipe projet a
vocation à être pluridisciplinaire avec des compétences
d’opérationnels, de financiers, de juristes,
d’informaticiens ainsi que des experts à identifier en
fonction de l’activité. Les services méthodes et
assurance qualité peuvent aussi apporter leurs
compétences en matière d’analyse des processus et
activités de l’entreprise.
Des relais, voire temporairement des équipes, sont à
prévoir dans chaque direction/unité opérationnelle
impactée par le projet. Ces relais jouent à la fois un rôle
« d’apporteur » des connaissances et spécificités sur les
activités, et un rôle de « diffuseur » des pratiques à
mettre en place, puis un rôle d’animation et de suivi.
Selon la structure des entreprises, les équipes peuvent
être centralisées avec des relais dans chaque entité, ou
décentralisées dans chaque entité avec une animation
centrale.
Le projet est animé avec les techniques et outils
habituellement utilisés dans la gestion des projets
transversaux.
44

Contrôle interne – Au-delà des concepts, questions aux praticiens
QUEL PROJET METTRE EN ŒUVRE ?

Q31. Que documenter et jusqu’où ?

Pour les entreprises soumises au SOA, les règles de
documentation ont été précisément définies dans les
textes d’application (cf. PCAOB). Pour la LSF, le
régulateur et les organismes professionnels n’ont pas
défini de normes en la matière.
La documentation doit être d’un niveau suffisant pour
permettre au Président, dans le contexte de son
entreprise, de fonder son opinion sur le contrôle
interne.
Une bonne pratique est d’avoir un minimum de
formalisation de l’environnement de contrôle, des
principaux risques et des contrôles clés.

Q32. Comment assurer
la qualité du dispositif de contrôle interne
lorsqu’on a recours à des sous-traitants
ou à l’externalisation de certaines fonctions ?

Par principe, en sous-traitant ou en externalisant tout ou
partie d’une activité, l’entreprise ne se dédouane pas de
sa responsabilité en matière de contrôle interne.
Ainsi, l’entreprise doit obtenir de ses sous-traitants des
engagements en matière de contrôle interne, au même
titre que pour la prestation principale, et en vérifier
"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

45
QUEL PROJET METTRE EN ŒUVRE ?

régulièrement l’application. Plusieurs techniques sont
possibles et peuvent être utilisées simultanément. A
titre d’exemple :
– des engagements précis du sous-traitant dans le cadre
de contrats de service, incluant la composante contrôle
interne,
– le droit pour l’entreprise d’effectuer des audits chez le
sous-traitant,
– la possibilité d’obtenir des certifications de la part de
tiers.
Q33. Peut-on institutionnaliser
la dénonciation des fraudes en France
(Whistleblowing aux USA) ?

Aux Etats-Unis, le SOA a renforcé la protection du
salarié « délateur ». En France, certaines sociétés,
principalement des filiales de sociétés américaines,
mettent en place les Codes de conduite de leur maison
mère comportant des clauses de « Whistleblowing ».
Certains de ces Codes encouragent les salariés à révéler
les infractions commises au sein de la société, dont ils
auraient connaissance. D’autres, mentionnent que la
non dénonciation (ou la non « délation ») de tels faits
par les salariés constitue une faute qui pourra être
sanctionnée.
Deux questions principales se posent en droit français
quant à ces dispositions : la validité de l’organisation
46

Contrôle interne – Au-delà des concepts, questions aux praticiens
QUEL PROJET METTRE EN ŒUVRE ?

du contrôle des salariés par l’encouragement de la
« délation » et la sanction du salarié qui n’aura pas
dénoncé une infraction.
La dénonciation est un mode de preuve licite en droit
français. L’utilisation de renseignements transmis par
des tiers pour dénoncer des actions frauduleuses est
admise tant en matière pénale qu’en matière fiscale, par
exemple.
Toutefois, la mise en place de ce type de mécanisme de
dénonciation n’est pas sans difficultés. La CNIL s’est
montrée hostile au caractère « inquisitorial » de tels
procédés, soulignant qu’ils pouvaient porter atteinte aux
droits et libertés des salariés.
La Cour de Cassation n’a pas pris position à ce jour sur
la licéité de ce type de clause mais les juges du fond
semblent réticents.
En tout état de cause, si ces clauses conduisent à une
modification du règlement intérieur ou font l’objet
d’une contractualisation avec les salariés, elles doivent
être soumises à la consultation des institutions
représentatives.
Certaines ONG, telles que Transparency International,
souhaitent que les entreprises favorisent l’adoption de
codes de conduite encourageant la dénonciation de
pratiques frauduleuses avec intervention du législateur
instaurant un droit d’alerte.

"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

47
QUEL PROJET METTRE EN ŒUVRE ?

Q34. Qu’est ce qu’un Consultant externe
peut apporter au projet ?

Quels sont les caractéristiques et facteurs clés de succès
du projet ?
Il s’agit d’un projet transverse à l’entreprise, qui
implique l’ensemble des fonctions et des activités : les
opérationnels, le juridique, la finance, l’informatique,
les ressources humaines, etc.
En amont du projet, il faut donc pouvoir mobiliser, faire
partager les concepts, faire travailler ensemble des
collaborateurs de profils très divers. Un consultant externe
rompu au travail en équipe pluridisciplinaire peut
grandement faciliter et accélérer le cadrage du projet.
Très vite ensuite les équipes projets sont confrontées
aux difficultés d’identification et de catégorisation des
principaux risques ; le consultant externe peut apporter
la méthodologie d’analyse des risques, les expertises
spécifiques sur un sujet précis, ainsi que les référentiels
des meilleures pratiques, assurant, de ce fait, une
meilleure exhaustivité et une plus grande efficacité dans
le déroulement des travaux.
L’amélioration des contrôles, c’est aussi des
changements dans l’organisation et les modes de
fonctionnement. Le consultant externe peut être un
facilitateur dans la conduite de ces changements,
sachant que son savoir-faire habituel en matière
d’organisation et de gestion de projet peut aussi faire
gagner un temps précieux à l’entreprise.
48

Contrôle interne – Au-delà des concepts, questions aux praticiens
QUEL APPORT À LONG TERME ?

Q35. Comment pérenniser
la démarche de contrôle intene ? . . . . . . . . . . . . . . . 50
Q36. En quoi le contrôle interne
contribue-t-il à l’amélioration
de la performance de l’entreprise ? . . . . . . . . . . . . . . 51
Q37. Reporting au management
et aux organes de gourvernance :
à quelle fréquence et quel contenu ? . . . . . . . . . . . . 52

49
QUEL APPORT À LONG TERME ?

Q35. Comment pérenniser la démarche
de contrôle interne ?

C’est une question fondamentale. Au-delà de la mise en
place des améliorations du contrôle interne issues des
travaux de l’équipe projet, il s’agit de transférer aux
activités de l’entreprise, la gestion du processus
contrôle interne sur leur périmètre d’intervention.
Pour y parvenir, la première chose à faire est
d’impliquer le management des activités dans le projet
de façon à obtenir non seulement la mise en place des
dispositifs préconisés par l’équipe projet, mais aussi et
surtout une réelle compréhension et appropriation des
enjeux et concepts du contrôle interne.
La deuxième action à entreprendre est de veiller à ce
que les problématiques de contrôle interne soient
intégrées dans l’ensemble des moyens mis en œuvre
pour structurer les modes de fonctionnement de
l’entreprise : définition de fonction, modes opératoires,
processus d’évaluation, formation, reporting, séminaires
divers, etc.

50

Contrôle interne – Au-delà des concepts, questions aux praticiens
QUEL APPORT À LONG TERME ?

Q36. En quoi le contrôle interne
contribue-t-il à l’amélioration
de la performance de l’entreprise ?

Bon nombre d’entreprises au cours de ces dernières
années ont connu des évolutions significatives de leur
organisation : croissance externe ou interne,
restructuration, mise en place de systèmes intégrés de
gestion, externalisation de fonctions, etc.
Après ces évolutions et ces changements, la démarche
de contrôle interne est l’occasion, pour le management,
de réfléchir sur la conduite des activités dont il a la
responsabilité, en s’appuyant sur un cadre structuré de
réflexion. C’est notamment l’opportunité de vérifier que
les objectifs sont compris et partagés, et que les
moyens mis en œuvre pour les atteindre sont
optimisés.
Sur le plan opérationnel, la mise en œuvre d’une
démarche de contrôle interne rassemble autour de
chaque grand processus les compétences et expertises
opérationnelles, juridiques, financières, informatiques,
etc., de l’entreprise pour une analyse systématique du
contenu du processus et des rôles et contributions des
différentes parties prenantes, au regard des objectifs à
atteindre.
Ces travaux menés dans une vision transversale de
l’entreprise mettent souvent en évidence des
dysfonctionnements et des axes d’amélioration
"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

51
QUEL APPORT À LONG TERME ?

significative de l’efficacité du processus : redéfinition et
réallocation des tâches, amélioration des systèmes,
formation, communication, … Ces travaux permettent
aussi de « décloisonner » les organisations en faisant
davantage travailler ensemble les fonctions supports et
les activités opérationnelles.
Enfin la mise en œuvre d’un dispositif de pilotage du
contrôle interne est une opportunité à initier ou
poursuivre des réflexions de type Key Performance
Indicator (KPI) ou Balanced Scorecard afin d’offrir au
management des indicateurs pertinents calés sur les
enjeux des différentes activités.
Q37. Reporting au management
et aux organes de gouvernance :
à quelle fréquence et quel contenu ?

La progression de l’entreprise vers les objectifs qu’elle
s’est fixés implique une circulation efficace de
l’information au bon niveau de la hiérarchie. En
complément des systèmes d’information qui peuvent
participer au pilotage du contrôle interne, des actions
complémentaires vont être entreprises pour faire
remonter des données spécifiques vers des personnes
préalablement identifiées compte tenu de leur rôle et/ou
expertise.
Des indicateurs vont être définis notamment en
distinguant l’information régulière comptable et
financière ou des indicateurs d’alerte. Les informations

52

Contrôle interne – Au-delà des concepts, questions aux praticiens
QUEL APPORT À LONG TERME ?

confidentielles et sensibles devront suivre un canal
spécifique et très restreint.
La qualité de l’information va dépendre de son contenu,
du délai imparti, de son exactitude, son accessibilité et
de sa mise à jour.
Il est essentiel d’organiser la remontée de
l’information. Le management définit ses priorités au
regard de ses objectifs, tout ceci n’étant jamais figé. Un
conseil d’administration, un comité d’audit et des
risques peuvent exiger des organes de direction voire
des auditeurs internes ou externes la communication
des faiblesses à partir d’un certain seuil.
Par principe, un responsable doit recevoir l’information
nécessaire pour pouvoir agir dans le cadre de ses
fonctions. Un directeur juridique groupe ne recevra pas
la même information qu’un directeur général ou un
directeur financier, et n’aura pas les mêmes
interlocuteurs. Il est utile de définir dans le cadre d’une
documentation spécifique (règlements intérieurs,
procédures internes…) les indicateurs pertinents qui
feront l’objet d’une communication à une cadence à
définir, et les acteurs qui joueront un rôle moteur.

"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

53
QUELLE COMMUNICATION
SUR LE CONTRÔLE INTERNE ?

Q38. Est-ce que les sociétés ont globalement répondu
aux attentes du législateur
concernant le rapport sur le contrôle interne ? . . . . 56
Q39. Perspectives et tendances pour 2004 selon l’AMF :
Interview de Hubert Reynier,
Secrétaire Général Adjoint, Direction de la régulation
et des affaires internationales, AMF . . . . . . . . . . . . . . 57
Q40. Perspectives et tendances pour 2004
pour la CNCC : Interview de Yves Nicolas,
Vice-Président de la CNCC . . . . . . . . . . . . . . . . . . . . 60

55
QUELLE COMMUNICATION SUR LE CONTRÔLE INTERNE ?

Q38. Est-ce que les sociétés ont globalement
répondu aux attentes du législateur
concernant le rapport sur le contrôle interne ?

Selon une étude basée sur les rapports annuels relatifs à
l’exercice 2003 de 125 des plus importantes
capitalisations boursières françaises :
– 93 % des sociétés ont établi un rapport sur le contrôle
interne ;
– 98 % des rapports sont extrêmement détaillés et
respectent généralement la trame proposée par le
MEDEF / AFEP : ils comportent notamment une
description des objectifs et des procédures de contrôle
interne, ainsi que du fonctionnement des organes
exerçant des activités de contrôle ;
– moins de 5 % des rapports se limitent au seul
contrôle de l’information comptable et financière ;
– en revanche, seulement 29 % des rapports
contiennent une évaluation des procédures de contrôle
interne (y compris une évaluation partielle).
Cette étude a été réalisée en juin 2004 par notre
département « Maîtrise et Gestion de la
communication financière ».

56

Contrôle interne – Au-delà des concepts, questions aux praticiens
QUELLE COMMUNICATION SUR LE CONTRÔLE INTERNE ?

Q39. Perspectives et tendances pour 2004
selon l’AMF : Interview de Hubert Reynier (1),
Secrétaire Général Adjoint,
Direction de la régulation
et des affaires internationales, AMF
(1) Interview réalisé dans le cadre de notre journée Arrêté des
Comptes du 25 novembre 2004, organisée par Les Echos et
PricewaterhouseCoopers, en partenariat avec Landwell & Associés.

« La loi de sécurité financière du 1er août 2003 a prévu
une architecture à trois niveaux :
– le rapport du Président de la société à la fois sur les
conditions de préparation et d’organisation des travaux
du conseil et sur les procédures de contrôle interne ;
– le rapport du commissaire aux comptes sur la partie
du rapport du Président consacrée à l’information
comptable et financière ;
– le rapport annuel de l’Autorité des Marchés Financiers
sur les informations publiées dans le cadre des deux
niveaux précédents (rapports du Président de la société
et du CAC).
C’est à l’occasion de ce rapport public de l’AMF que
nous serons amenés :
– à porter nous-mêmes un jugement sur la qualité des
informations qui auront été communiquées au marché
par ces rapports ;
– éventuellement à renouveler et à insister sur les
recommandations que nous avons faites d’ores et déjà
en début d’année sur ce sujet.
"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

57
QUELLE COMMUNICATION SUR LE CONTRÔLE INTERNE ?

Ces recommandations portent sur trois points
essentiels :
– Premièrement nous voulions que la méthode de
communication – le moyen de publication de ces
informations – soit le plus simple possible pour les
sociétés cotées.
C’est la raison pour laquelle nous avons proposé aux
sociétés qui produisent déjà un document de référence :
• d’inclure ce rapport légal dans un chapitre spécifique
sur le gouvernement d’entreprise et le contrôle interne ;
• et que ce rapport puisse faire également des renvois
internes au document de référence (par exemple, pour
les facteurs de risque qui sont déjà couverts par le
document de référence), de façon à ce que les sociétés
qui ont l’habitude de communiquer régulièrement et
pleinement au marché au travers des documents de
référence puissent gérer aisément ce nouveau rapport.
– Deuxième point sur lequel nous avons insisté, c’est le
sujet du gouvernement d’entreprise. Nous voulions
également avoir l’approche la plus uniforme possible
au niveau du marché dans le sens où nous avions déjà,
du temps de la COB, communiqué sur les informations
que les sociétés cotées devaient au marché sur le
gouvernement d’entreprise.
Nous avions d’ores et déjà fortement incité les
entreprises à se référer au standard des rapports de
place dans ce domaine (rapport Viénot 1 et 2, puis
rapport Bouton) et à apporter toutes les informations
nécessaires pour savoir comment elles appliquaient ces
58

Contrôle interne – Au-delà des concepts, questions aux praticiens
QUELLE COMMUNICATION SUR LE CONTRÔLE INTERNE ?

standards de place ou, éventuellement, si elles ne les
appliquaient pas, préciser pourquoi et quel type de
gouvernement d’entreprise elles mettaient en place au
sein de leur société.
En fait, pour le rapport des sociétés sur les conditions de
préparation des travaux du conseil, nous avons proposé
qu’elles se référent à ces standards de place et à ces
recommandations de la COB.
– Enfin, le suivi relatif aux procédures de contrôle
interne constitue le troisième point de notre
recommandation de début d’année (complètement
nouveau, du fait de l’initiative du législateur).
Nous avons proposé aux émetteurs de s’inscrire dans un
processus dynamique qui leur permette dès cette
année de démarrer des travaux d’évaluation de leurs
procédures, de donner le plus d’informations possibles
à leurs actionnaires sur la situation existante de leurs
procédures de contrôle interne, et puis, à partir de
l’année prochaine, de commencer à développer une
analyse prospective sur les voies d’amélioration de leurs
procédures de contrôle interne et sur les moyens dont
elles se dotent pour arriver aux meilleurs standards dans
ce domaine. »

"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

59
QUELLE COMMUNICATION SUR LE CONTRÔLE INTERNE ?

Q40. Perspectives et tendances pour 2004
pour la CNCC : Interview de Yves Nicolas (1),
Vice-Président de la CNCC
(1) Interview réalisé dans le cadre de notre journée Arrêté des
Comptes du 25 novembre 2004, organisée par Les Echos et
PricewaterhouseCoopers, en partenariat avec Landwell & Associés.

« La LSF a pour objectif principal de restaurer la confiance
des marchés financiers. Et l’on voit bien aujourd’hui que
les marchés s’intéressent de plus en plus à toutes les
informations relatives au fonctionnement des entreprises,
et plus spécifiquement à la qualité de leur gouvernance
et à la maîtrise de leurs risques.
Il faut donc que les entreprises apprennent à communiquer
sur ces thèmes, et c’est bien ce à quoi les invite cette
nouvelle loi.
Pour le moment, de toute évidence, la plupart des
entreprises préfèrent donner une information de nature
descriptive et c’est déjà un premier pas important. On voit
bien par ailleurs que les sociétés cotées aux États-Unis, se
préparent à communiquer sur une évaluation de leur
dispositif de contrôle interne. A terme, on peut donc
supposer que bon nombre d’entreprises choisiront de
publier des information évaluatives ou pour le moins
davantage d’information sur la maîtrise de leurs risques –
répondant ainsi aux attentes des marchés financiers ou de
leurs partenaires, tels que les banques.
En obligeant les entreprises françaises à communiquer
sur le contrôle interne, la LSF les incite à mieux maîtriser
leurs risques. C’est du moins, à mon sens, ainsi qu’il faut
la comprendre. »

60

Contrôle interne – Au-delà des concepts, questions aux praticiens
SOMMAIRE DÉTAILLÉ
Les chiffres renvoient aux numéros des pages

Pourquoi le contrôle interne
est-il aujourd’hui
une préoccupation du management ?
Q1. Quelles sont les obligations créées par la LSF ? . . . . 6
Q2. Quel est le périmètre de la LSF ? . . . . . . . . . . . . . . . . . 7
Q3. Quel est le champ d’application de cette loi ? . . . . . 8
Q4. Quelle est la responsabilité du Président
du conseil afférente à cette nouvelle obligation
issue de l’article 117 de la LSF ? . . . . . . . . . . . . . . . . . 9
Q5. En quoi la LSF diffère-t-elle du SOA
en vigueur aux États-Unis ? . . . . . . . . . . . . . . . . . . . . 11
Q6. Quelles sont les évolutions prévues en Europe
en matière de contrôle interne et de gouvernance ? 13
Q7. Quelles sont les obligations légales
dans les autres pays ? . . . . . . . . . . . . . . . . . . . . . . . . . 14
Q8. Quel est le rôle des « grands acteurs de place »
et des régulateurs ?
Comment influencent-ils la gestion
du contrôle interne dans les entreprises ? . . . . . . . . 15

LANDWELL & ASSOCIÉS
Société d’avocats

61
SOMMAIRE DÉTAILLÉE

Du contrôle interne
à la maîtrise des activités
Q9. Qu’est-ce que le contrôle interne ? . . . . . . . . . . . . . . 18
Q10. Qu’est-ce que le COSO ? . . . . . . . . . . . . . . . . . . . . . . 19
Q11. Quel est le lien entre contrôle interne
et gouvernance ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Q12. Quel est le lien entre contrôle interne
et gestion des risques ? . . . . . . . . . . . . . . . . . . . . . . . . 22
Q13. Quel est le lien entre contrôle interne
et dispositif anti-fraude ? . . . . . . . . . . . . . . . . . . . . . . . 23
Q14. Quel est le poids relatif de la partie financière
dans l’ensemble du contrôle interne ? . . . . . . . . . . . 24
Q15. Quelles évolutions pour les modèles existants ? . . . 25

Qui fait quoi ?
Quelles évolutions
dans l’organisation de l’entreprise ?
Q16. Qui sont les responsables du contrôle interne ? . . . 28
Q17. Qui est acteur du contrôle interne ? . . . . . . . . . . . . . 29
Q18. Quels sont les rôles de l’Audit Interne
et du Risk Manager ?
Définissent-ils le contrôle interne ? . . . . . . . . . . . . . . 29
Q19. Quelles sont les difficultés rencontrées
pour mettre en place un dispositif de contrôle interne
adapté et efficace au niveau des groupes ? . . . . . . . 30
Q20. Quel est le rôle de la direction juridique ?
Son rôle s’étend-t-il à la vérification
de l’application de l’ensemble des lois
et règlements dans l’entreprise ? . . . . . . . . . . . . . . . . 31
62

Contrôle interne – Au-delà des concepts, 40 questions aux praticiens
SOMMAIRE DÉTAILLÉE

Q21. Quel est le rôle de la DRH ? . . . . . . . . . . . . . . . . . . . 32
Q22. N’y a-t-il pas double emploi
entre assurance qualité et contrôle interne ?
Comment intégrer les travaux de la Direction de
la Qualité dans la démarche de contrôle interne ? 33
Q23. Quel est le rôle de la Direction Financière ?
Son périmètre d’intervention va-t-il
au-delà du département comptable ? . . . . . . . . . . . . 34
Q24. Quel est le rôle de la Direction des Systèmes
d’Information (DSI) ?
Quels impacts sur ses modes de fonctionnement ? 35
Q25. Quel est le rôle du commissaire aux compte ? . . . . 36

En pratique, quel projet mettre en œuvre ?
Q26. Faut-il un projet de mise à niveau
du contrôle interne ? . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Q27. Quelle démarche pour améliorer
le contrôle interne . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Q28. Comment entamer une démarche
de contrôle interne ? . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Q29. La démarche doit-elle être la même
pour un projet LSF et un projet SOA ? . . . . . . . . . . . 43
Q30. Comment organiser le projet ? . . . . . . . . . . . . . . . . . . 44
Q31. Que documenter et jusqu’où ? . . . . . . . . . . . . . . . . . 45
Q32. Comment assurer la qualité du dispositif
contrôle interne lorsqu’on a recours
à des sous-traitants ou à l’externalisation
de certaines fonctions ? . . . . . . . . . . . . . . . . . . . . . . . 45

LANDWELL & ASSOCIÉS
Société d’avocats

63
SOMMAIRE DÉTAILLÉE

Q33. Peut-on institutionnaliser la dénonciation
des fraudes en France
(Whistleblowing aux USA) ? . . . . . . . . . . . . . . . . . . . 46
Q34. Qu’est ce qu’un Consultant externe
peut apporter au projet ? . . . . . . . . . . . . . . . . . . . . . . 48

Quel apport pour l’entreprise
à long terme ?
Q35. Comment pérenniser
la démarche de contrôle intene ? . . . . . . . . . . . . . . . 50
Q36. En quoi le contrôle interne contribue-t-il à
l’amélioration de la performance de l’entreprise ? . 51
Q37. Reporting au management
et aux organes de gourvernance :
à quelle fréquence et quel contenu ? . . . . . . . . . . . . 52

Quelle communication
sur le contrôle interne ?
Q38. Est-ce que les sociétés ont globalement répondu
aux attentes du législateur
concernant le rapport sur le contrôle interne ? . . . . 56
Q39. Perspectives et tendances pour 2004 selon l’AMF :
Interview de Hubert Reynier, Secrétaire Général
Adjoint, Direction de la régulation
et des affaires internationales, AMF . . . . . . . . . . . . . . 57
Q40. Perspectives et tendances pour 2004
pour la CNCC : Interview de Yves Nicolas,
Vice-Président de la CNCC . . . . . . . . . . . . . . . . . . . . . 60

64

Contrôle interne – Au-delà des concepts, 40 questions aux praticiens
Ce document peut être téléchargé sur le site de PricewaterhouseCoopers :
Lien : http://www.pwc.com/images/gx/eng/fs/1004soa.pdf.
LANDWELL & ASSOCIÉS
Société d’avocats

Les projets SOA ou LSF
interviennent dans un contexte économique
marqué à la fois par un accroissement notable
de la pression concurrentielle
et par des exigences de rentabilité renforcées.
Cet environnement s’est déjà traduit
par une sélectivité accrue dans le choix des projets ;
priorité allant vers ceux offrant le plus fort
et/ou le plus rapide retour sur investissement.
Les entreprises s’interrogent :


Qu’en est-il de la rentabilité
de ces projets « contrôle interne » ?



Puis-je m’offrir le luxe
d’initier des projets lourds et coûteux
dont l’impact sur la performance de l’entreprise
n’est pas démontré ?



Comment éviter les dérapages,
lot commun de ces projets transversaux ?

Au travers de ce Pocket Guide, vous découvrirez,
qu’au-delà du respect des obligations réglementaires,
ces projets peuvent, sous conditions,
contribuer à une meilleure maîtrise de vos risques
et à l’amélioration de votre performance.

Pocket Guide

More Related Content

What's hot

Déroulement d'une mission d'audit
Déroulement d'une mission d'auditDéroulement d'une mission d'audit
Déroulement d'une mission d'auditBRAHIM MELLOUL
 
audit comptable et financier
audit comptable et financieraudit comptable et financier
audit comptable et financierSamira RIFKI
 
impact de la mise en place d'un ERP sur les travaux de l'auditeur
impact de la mise en place d'un ERP sur les travaux de l'auditeurimpact de la mise en place d'un ERP sur les travaux de l'auditeur
impact de la mise en place d'un ERP sur les travaux de l'auditeurbouratinou
 
Management des risques
Management des risques Management des risques
Management des risques Pasteur_Tunis
 
Systheme de controle interne
Systheme de controle interneSystheme de controle interne
Systheme de controle interneALPHACOUL
 
12.audit et controle interne
12.audit et controle interne12.audit et controle interne
12.audit et controle interneOULAAJEB YOUSSEF
 
Conduite d’une mission d’audit - démarche générale
Conduite d’une mission d’audit - démarche généraleConduite d’une mission d’audit - démarche générale
Conduite d’une mission d’audit - démarche généraleAmmar Sassi
 
Audit comptable et_financieer
Audit comptable et_financieerAudit comptable et_financieer
Audit comptable et_financieergirelle
 
L'audit comptable et financier
L'audit comptable et financierL'audit comptable et financier
L'audit comptable et financierSamira RIFKI
 
Audit-audit-interne
Audit-audit-interneAudit-audit-interne
Audit-audit-interneWidad Naciri
 
COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER Hajar EL GUERI
 
Gouvernance d`entreprise
Gouvernance d`entrepriseGouvernance d`entreprise
Gouvernance d`entrepriseYan Huang
 
Cours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURI
Cours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURICours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURI
Cours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURIMansouri Khalifa
 
Les Méthodes de Consolidation
Les Méthodes de ConsolidationLes Méthodes de Consolidation
Les Méthodes de ConsolidationWalid Aitisha
 
Audit et-controle-interne - www.coursdefsjes.com
Audit et-controle-interne - www.coursdefsjes.comAudit et-controle-interne - www.coursdefsjes.com
Audit et-controle-interne - www.coursdefsjes.comcours fsjes
 

What's hot (20)

Projet coso
Projet cosoProjet coso
Projet coso
 
Déroulement d'une mission d'audit
Déroulement d'une mission d'auditDéroulement d'une mission d'audit
Déroulement d'une mission d'audit
 
audit comptable et financier
audit comptable et financieraudit comptable et financier
audit comptable et financier
 
impact de la mise en place d'un ERP sur les travaux de l'auditeur
impact de la mise en place d'un ERP sur les travaux de l'auditeurimpact de la mise en place d'un ERP sur les travaux de l'auditeur
impact de la mise en place d'un ERP sur les travaux de l'auditeur
 
Management des risques
Management des risques Management des risques
Management des risques
 
Systheme de controle interne
Systheme de controle interneSystheme de controle interne
Systheme de controle interne
 
Projet audit ppt
Projet audit pptProjet audit ppt
Projet audit ppt
 
12.audit et controle interne
12.audit et controle interne12.audit et controle interne
12.audit et controle interne
 
Conduite d’une mission d’audit - démarche générale
Conduite d’une mission d’audit - démarche généraleConduite d’une mission d’audit - démarche générale
Conduite d’une mission d’audit - démarche générale
 
PFE Audit-social
PFE Audit-socialPFE Audit-social
PFE Audit-social
 
Audit smi
Audit smiAudit smi
Audit smi
 
Audit comptable et_financieer
Audit comptable et_financieerAudit comptable et_financieer
Audit comptable et_financieer
 
L'audit comptable et financier
L'audit comptable et financierL'audit comptable et financier
L'audit comptable et financier
 
Audit-audit-interne
Audit-audit-interneAudit-audit-interne
Audit-audit-interne
 
COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER
 
Cac final
Cac finalCac final
Cac final
 
Gouvernance d`entreprise
Gouvernance d`entrepriseGouvernance d`entreprise
Gouvernance d`entreprise
 
Cours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURI
Cours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURICours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURI
Cours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURI
 
Les Méthodes de Consolidation
Les Méthodes de ConsolidationLes Méthodes de Consolidation
Les Méthodes de Consolidation
 
Audit et-controle-interne - www.coursdefsjes.com
Audit et-controle-interne - www.coursdefsjes.comAudit et-controle-interne - www.coursdefsjes.com
Audit et-controle-interne - www.coursdefsjes.com
 

Viewers also liked

Contrôle interne organisation type
Contrôle interne organisation typeContrôle interne organisation type
Contrôle interne organisation typeRACHID MABROUKI
 
Appréciation du contrôle cycle achat fournisseur marjane
Appréciation du contrôle cycle achat fournisseur marjaneAppréciation du contrôle cycle achat fournisseur marjane
Appréciation du contrôle cycle achat fournisseur marjaneKHALID ESSBAI
 
Contrôle Interne d'un dispositif anti-blanchiment (LCB-FT)
Contrôle Interne d'un dispositif anti-blanchiment (LCB-FT)Contrôle Interne d'un dispositif anti-blanchiment (LCB-FT)
Contrôle Interne d'un dispositif anti-blanchiment (LCB-FT)Andre JACQUEMET
 
Pour un urbanisme du contrôle interne efficient
Pour un urbanisme du contrôle interne efficientPour un urbanisme du contrôle interne efficient
Pour un urbanisme du contrôle interne efficientkarim bouhafes
 
Prise de position___audit_interne_qualite__mai_2004__1
Prise de position___audit_interne_qualite__mai_2004__1Prise de position___audit_interne_qualite__mai_2004__1
Prise de position___audit_interne_qualite__mai_2004__1saray1990
 
Identification, investigation et prévention des fraudes : la nécessité d'inn...
Identification, investigation et prévention des fraudes :  la nécessité d'inn...Identification, investigation et prévention des fraudes :  la nécessité d'inn...
Identification, investigation et prévention des fraudes : la nécessité d'inn...Aproged
 
Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02穆罕 默德穆罕
 
Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02穆罕 默德穆罕
 
Lutte contre la criminialité financière: Quelles évolutions pour les outils?
Lutte contre la criminialité financière: Quelles évolutions pour les outils?Lutte contre la criminialité financière: Quelles évolutions pour les outils?
Lutte contre la criminialité financière: Quelles évolutions pour les outils?Arrow Institute
 
IFACI, Gestion de crise et continuité d'activité - 21 mai 2015
IFACI, Gestion de crise et continuité d'activité - 21 mai  2015IFACI, Gestion de crise et continuité d'activité - 21 mai  2015
IFACI, Gestion de crise et continuité d'activité - 21 mai 2015Antoine Vigneron
 
Soi conseil et formation qualiville audit interne
Soi conseil et formation qualiville audit interneSoi conseil et formation qualiville audit interne
Soi conseil et formation qualiville audit interneVincent Bogaers
 
La Pratique De L Audit Interne Dans Une Entreprise Dassurances
La Pratique De L Audit Interne Dans Une Entreprise DassurancesLa Pratique De L Audit Interne Dans Une Entreprise Dassurances
La Pratique De L Audit Interne Dans Une Entreprise Dassurancesazouzimarouene
 
La pratique de l'audit interne dans les entreprises d'assurances copie (2)
La pratique de l'audit interne dans les entreprises d'assurances   copie (2)La pratique de l'audit interne dans les entreprises d'assurances   copie (2)
La pratique de l'audit interne dans les entreprises d'assurances copie (2)dodoooooo
 
Protéger ses données: mission impossible?
Protéger ses données: mission impossible?Protéger ses données: mission impossible?
Protéger ses données: mission impossible?Antoine Vigneron
 
Mémoires cec 1996 2010
Mémoires cec 1996 2010Mémoires cec 1996 2010
Mémoires cec 1996 2010Mi Ri Jang
 

Viewers also liked (20)

Contrôle interne organisation type
Contrôle interne organisation typeContrôle interne organisation type
Contrôle interne organisation type
 
Contrôle interne: l’avenir
Contrôle interne: l’avenirContrôle interne: l’avenir
Contrôle interne: l’avenir
 
audit 2009
 audit 2009 audit 2009
audit 2009
 
Appréciation du contrôle cycle achat fournisseur marjane
Appréciation du contrôle cycle achat fournisseur marjaneAppréciation du contrôle cycle achat fournisseur marjane
Appréciation du contrôle cycle achat fournisseur marjane
 
L'intelligence collective du contrôle interne
L'intelligence collective du contrôle interneL'intelligence collective du contrôle interne
L'intelligence collective du contrôle interne
 
Contrôle Interne d'un dispositif anti-blanchiment (LCB-FT)
Contrôle Interne d'un dispositif anti-blanchiment (LCB-FT)Contrôle Interne d'un dispositif anti-blanchiment (LCB-FT)
Contrôle Interne d'un dispositif anti-blanchiment (LCB-FT)
 
Pour un urbanisme du contrôle interne efficient
Pour un urbanisme du contrôle interne efficientPour un urbanisme du contrôle interne efficient
Pour un urbanisme du contrôle interne efficient
 
Prise de position___audit_interne_qualite__mai_2004__1
Prise de position___audit_interne_qualite__mai_2004__1Prise de position___audit_interne_qualite__mai_2004__1
Prise de position___audit_interne_qualite__mai_2004__1
 
Fraude et Corruption
Fraude et CorruptionFraude et Corruption
Fraude et Corruption
 
Identification, investigation et prévention des fraudes : la nécessité d'inn...
Identification, investigation et prévention des fraudes :  la nécessité d'inn...Identification, investigation et prévention des fraudes :  la nécessité d'inn...
Identification, investigation et prévention des fraudes : la nécessité d'inn...
 
Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02
 
Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02
 
Lutte contre la criminialité financière: Quelles évolutions pour les outils?
Lutte contre la criminialité financière: Quelles évolutions pour les outils?Lutte contre la criminialité financière: Quelles évolutions pour les outils?
Lutte contre la criminialité financière: Quelles évolutions pour les outils?
 
IFACI, Gestion de crise et continuité d'activité - 21 mai 2015
IFACI, Gestion de crise et continuité d'activité - 21 mai  2015IFACI, Gestion de crise et continuité d'activité - 21 mai  2015
IFACI, Gestion de crise et continuité d'activité - 21 mai 2015
 
Soi conseil et formation qualiville audit interne
Soi conseil et formation qualiville audit interneSoi conseil et formation qualiville audit interne
Soi conseil et formation qualiville audit interne
 
La Pratique De L Audit Interne Dans Une Entreprise Dassurances
La Pratique De L Audit Interne Dans Une Entreprise DassurancesLa Pratique De L Audit Interne Dans Une Entreprise Dassurances
La Pratique De L Audit Interne Dans Une Entreprise Dassurances
 
Gouvernance Locale
Gouvernance LocaleGouvernance Locale
Gouvernance Locale
 
La pratique de l'audit interne dans les entreprises d'assurances copie (2)
La pratique de l'audit interne dans les entreprises d'assurances   copie (2)La pratique de l'audit interne dans les entreprises d'assurances   copie (2)
La pratique de l'audit interne dans les entreprises d'assurances copie (2)
 
Protéger ses données: mission impossible?
Protéger ses données: mission impossible?Protéger ses données: mission impossible?
Protéger ses données: mission impossible?
 
Mémoires cec 1996 2010
Mémoires cec 1996 2010Mémoires cec 1996 2010
Mémoires cec 1996 2010
 

Similar to Pwc pg controle_interne-1-

Cours Audit General 2019 (1).prof tatouti .pdf
Cours Audit  General 2019 (1).prof tatouti .pdfCours Audit  General 2019 (1).prof tatouti .pdf
Cours Audit General 2019 (1).prof tatouti .pdfAbdelghani19
 
Code de gouvernement_entreprises_afep_medef_juin_2013
Code de gouvernement_entreprises_afep_medef_juin_2013Code de gouvernement_entreprises_afep_medef_juin_2013
Code de gouvernement_entreprises_afep_medef_juin_2013Société Tripalio
 
Audit comptable et financier.pdf
Audit comptable et financier.pdfAudit comptable et financier.pdf
Audit comptable et financier.pdfJallal Diane
 
Code de gouvernement d'entreprise novembre 2015
Code de gouvernement d'entreprise novembre 2015Code de gouvernement d'entreprise novembre 2015
Code de gouvernement d'entreprise novembre 2015Adm Medef
 
le rôle de l’audit interne dans les Etablissements publics
le rôle de l’audit interne dans les Etablissements publics le rôle de l’audit interne dans les Etablissements publics
le rôle de l’audit interne dans les Etablissements publics cours fsjes
 
Confpresse_Controle_Interne.ppt
Confpresse_Controle_Interne.pptConfpresse_Controle_Interne.ppt
Confpresse_Controle_Interne.pptJabirArif
 
Audit interne 1ch4
Audit interne 1ch4Audit interne 1ch4
Audit interne 1ch4Hamida Sahli
 
Omni Advisory 2010
Omni Advisory 2010Omni Advisory 2010
Omni Advisory 2010nicoperes
 
Environnement de l'entreprise au maroc
Environnement de l'entreprise au marocEnvironnement de l'entreprise au maroc
Environnement de l'entreprise au marocIlyas Azzioui
 
Rencontre Gouvernance 2014
Rencontre Gouvernance 2014Rencontre Gouvernance 2014
Rencontre Gouvernance 2014PwC France
 
Conférence IFACI DFCG Pwc L’animation des procédures de contrôle interne
Conférence IFACI DFCG Pwc L’animation des procédures de contrôle interneConférence IFACI DFCG Pwc L’animation des procédures de contrôle interne
Conférence IFACI DFCG Pwc L’animation des procédures de contrôle interneEric CASPERS
 
Le guide responsabilité civile et pénale du dirigeant de CroissancePlus
Le guide responsabilité civile et pénale du dirigeant de CroissancePlusLe guide responsabilité civile et pénale du dirigeant de CroissancePlus
Le guide responsabilité civile et pénale du dirigeant de CroissancePlusMarionPerroud
 
Guide pratique de l'audit financier oec
Guide pratique de l'audit financier oecGuide pratique de l'audit financier oec
Guide pratique de l'audit financier oecFINALIANCE
 
2013 04 09_réglement de déontologie sgp_capital investissement
2013 04 09_réglement de déontologie sgp_capital investissement2013 04 09_réglement de déontologie sgp_capital investissement
2013 04 09_réglement de déontologie sgp_capital investissementBruno Schneider - Le Saout
 
CBM Audit & Conseil - Evaluation & Ingenierie Financiere
CBM Audit & Conseil - Evaluation & Ingenierie FinanciereCBM Audit & Conseil - Evaluation & Ingenierie Financiere
CBM Audit & Conseil - Evaluation & Ingenierie FinanciereCBM Audit & Conseil
 
Manuel d'organisation administrative comptable et commerciale
Manuel d'organisation administrative comptable et commercialeManuel d'organisation administrative comptable et commerciale
Manuel d'organisation administrative comptable et commercialeGeneviève Texier
 

Similar to Pwc pg controle_interne-1- (20)

Cours Audit General 2019 (1).prof tatouti .pdf
Cours Audit  General 2019 (1).prof tatouti .pdfCours Audit  General 2019 (1).prof tatouti .pdf
Cours Audit General 2019 (1).prof tatouti .pdf
 
Code de gouvernement_entreprises_afep_medef_juin_2013
Code de gouvernement_entreprises_afep_medef_juin_2013Code de gouvernement_entreprises_afep_medef_juin_2013
Code de gouvernement_entreprises_afep_medef_juin_2013
 
Audit interne
Audit interneAudit interne
Audit interne
 
Audit comptable et financier.pdf
Audit comptable et financier.pdfAudit comptable et financier.pdf
Audit comptable et financier.pdf
 
Code de gouvernement d'entreprise novembre 2015
Code de gouvernement d'entreprise novembre 2015Code de gouvernement d'entreprise novembre 2015
Code de gouvernement d'entreprise novembre 2015
 
le rôle de l’audit interne dans les Etablissements publics
le rôle de l’audit interne dans les Etablissements publics le rôle de l’audit interne dans les Etablissements publics
le rôle de l’audit interne dans les Etablissements publics
 
Confpresse_Controle_Interne.ppt
Confpresse_Controle_Interne.pptConfpresse_Controle_Interne.ppt
Confpresse_Controle_Interne.ppt
 
Code Afep Medef - juin 2013
Code Afep Medef - juin 2013Code Afep Medef - juin 2013
Code Afep Medef - juin 2013
 
Audit interne 1ch4
Audit interne 1ch4Audit interne 1ch4
Audit interne 1ch4
 
Omni Advisory 2010
Omni Advisory 2010Omni Advisory 2010
Omni Advisory 2010
 
Chap 1 & introduction.ppt
Chap 1 & introduction.pptChap 1 & introduction.ppt
Chap 1 & introduction.ppt
 
Environnement de l'entreprise au maroc
Environnement de l'entreprise au marocEnvironnement de l'entreprise au maroc
Environnement de l'entreprise au maroc
 
Rencontre Gouvernance 2014
Rencontre Gouvernance 2014Rencontre Gouvernance 2014
Rencontre Gouvernance 2014
 
Gouvernance pour des PME/ETI performantes - Le Guide pratique APIA
Gouvernance pour des PME/ETI performantes - Le Guide pratique APIA Gouvernance pour des PME/ETI performantes - Le Guide pratique APIA
Gouvernance pour des PME/ETI performantes - Le Guide pratique APIA
 
Conférence IFACI DFCG Pwc L’animation des procédures de contrôle interne
Conférence IFACI DFCG Pwc L’animation des procédures de contrôle interneConférence IFACI DFCG Pwc L’animation des procédures de contrôle interne
Conférence IFACI DFCG Pwc L’animation des procédures de contrôle interne
 
Le guide responsabilité civile et pénale du dirigeant de CroissancePlus
Le guide responsabilité civile et pénale du dirigeant de CroissancePlusLe guide responsabilité civile et pénale du dirigeant de CroissancePlus
Le guide responsabilité civile et pénale du dirigeant de CroissancePlus
 
Guide pratique de l'audit financier oec
Guide pratique de l'audit financier oecGuide pratique de l'audit financier oec
Guide pratique de l'audit financier oec
 
2013 04 09_réglement de déontologie sgp_capital investissement
2013 04 09_réglement de déontologie sgp_capital investissement2013 04 09_réglement de déontologie sgp_capital investissement
2013 04 09_réglement de déontologie sgp_capital investissement
 
CBM Audit & Conseil - Evaluation & Ingenierie Financiere
CBM Audit & Conseil - Evaluation & Ingenierie FinanciereCBM Audit & Conseil - Evaluation & Ingenierie Financiere
CBM Audit & Conseil - Evaluation & Ingenierie Financiere
 
Manuel d'organisation administrative comptable et commerciale
Manuel d'organisation administrative comptable et commercialeManuel d'organisation administrative comptable et commerciale
Manuel d'organisation administrative comptable et commerciale
 

Pwc pg controle_interne-1-

  • 1. LANDWELL & ASSOCIÉS Société d’avocats Contrôle interne Au-delà des concepts, 40 questions aux praticiens "Pocket Guide"
  • 2. "Pocket Guide" Contrôle interne – Au-delà des concepts, 40 questions aux praticiens Ce document a été réalisé par le comité LSF/SOA constitué par PricewaterhouseCoopers et le cabinet d’avocats Landwell & Associés Pour PricewaterhouseCoopers Xavier MAITRIER, Associé, Activité « Performance, Risques et Contrôle interne », Responsable du Comité LSF/SOA, 01 56 57 53 25 Christian MARTIN, Associé, Activité « Audit Grands Groupes », 01 56 57 80 91 Dominique MÉNARD, Associée, Activité « Audit & Conseil », Responsable de la méthodologie audit, 01 56 57 85 73 Dominique PERRIER, Associée, Activité « Litiges, Investigations et Prévention de Fraudes », 01 56 57 80 17 Philippe PLAGNES, Associé, Activité « Gestion des Ressources Humaines et Conduite du Changement », 01 56 57 82 14 Marie-Hélène SARTORIUS, Associée, Activité « Perfomance, Risques et Contrôle interne », 01 56 57 56 46 Brian TOWHILL, Associé, Activité « Services à l’Audit Interne », 01 56 57 11 24 Pour Landwell & Associés Sylvie LE DAMANY, Avocat, associée, Ancien Secrétaire de la Conférence de la Cour d’appel de Paris, Responsable du département « Litiges/ Droit pénal des affaires », 01 56 57 82 70 Bruno THOMAS, Avocat, associé, Responsable du département « Corporate », 01 56 57 83 75 avec le concours du Département Publications et Consultations Claude LOPATER, Associé, Responsable du Département Stéphanie BERRA, Manager Novembre 2004
  • 3. CONTRÔLE INTERNE Au-delà des concepts, 40 questions aux praticiens Sarbanes-Oxley Act, Loi de Sécurité Financière, Kon TraG en Allemagne, Dutch Corporate Gouvernance Code… et enfin Directive européenne… le contrôle interne est sous les feux des projecteurs des régulateurs. Cette pression pour une mise en oeuvre d’un contrôle interne de qualité, visant à rétablir la confiance des marchés financiers, ne doit pas occulter le fait que le contrôle interne est avant tout un dispositif de maîtrise des activités mis en place par l’Entreprise, pour l’Entreprise. L’incitation plus ou moins vive du législateur est donc un catalyseur qui aujourd’hui doit être perçu comme l’opportunité d’améliorer le fonctionnement de l’entreprise, et ce au travers d’une gouvernance claire et d’un contrôle interne adapté et efficace. Le contrôle interne dépend de l’activité, de l’organisation et des modes de fonctionnement de l’entreprise : il est propre à chaque entreprise et résulte d’une démarche rigoureuse d’analyse des enjeux et de mise en place de dispositifs adaptés et efficaces. Ce guide vise à donner quelques références de bonnes pratiques et via le jeu des questions-réponses, à illustrer comment certains sujets qui se posent immanquablement, lors d’une démarche de mise en œuvre d’un dispositif de contrôle interne, peuvent être abordés. Le Comité LSF / SOA LANDWELL & ASSOCIÉS Société d’avocats
  • 4. LEXIQUE AFEP Association Française des Entreprises Privées AMF Autorité des Marchés Financiers AMRAE Association pour le Management des Risques et des Assurances de l’entreprise CAC Commissaire aux Comptes CEO Chief Executive Officer CFO Chief Financial Officer CNCC Compagnie Nationale des Commissaires aux Comptes COSO Committee Of Sponsoring Organizations de la Commission Treadway EPA Établissement Public Administratif EPIC Établissement Public à caractère Industriel et Commercial ERM Enterprise Risk Management IFACI Institut Français de l’Audit et du Contrôle Interne LSF Loi de Sécurité Financière MEDEF Mouvement des Entreprises de France PCAOB Public Company Accounting Oversight Board SEC Securities and Exchange Commission SOA Sarbanes-Oxley Act
  • 5. SOMMAIRE Pourquoi le contrôle interne est-il aujourd’hui une préoccupation du management ? . . . . . . . . . . . 5 Du contrôle interne à la maîtrise des activités . . . . . . . . . . . . . . . . . . . . . . . 17 Qui fait quoi ? Quelles évolutions dans l’organisation de l’entreprise ? . . . . . . . . . . . . 27 En pratique, quel projet mettre en œuvre ? . . . . 39 Quel apport pour l’entreprise à long terme ? . . . 49 Quelle communication sur le contrôle interne ? . . . . . . . . . . . . . . . . . . . . . . . . 55 Sommaire détaillé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 3
  • 6. POURQUOI LE CONTRÔLE INTERNE EST-IL AUJOURD’HUI UNE PRÉOCCUPATION DU MANAGEMENT ? Q1. Quelles sont les obligations créées par la LSF ? . . . . . 6 Q2. Quel est le périmètre de la LSF ? . . . . . . . . . . . . . . . . . 7 Q3. Quel est le champ d’application de cette loi ? . . . . . . 8 Q4. Quelle est la responsabilité du Président du conseil afférente à cette nouvelle obligation issue de l’article 117 de la LSF ? . . . . . . . . . . . . . . . . . . 9 Q5. En quoi la LSF diffère-t-elle du SOA en vigueur aux États-Unis ? . . . . . . . . . . . . . . . . . . . . . 11 Q6. Quelles sont les évolutions prévues en Europe en matière de contrôle interne et de gouvernance ? . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Q7. Quelles sont les obligations légales dans les autres pays ? . . . . . . . . . . . . . . . . . . . . . . . . . 14 Q8. Quel est le rôle des « grands acteurs de place » et des régulateurs ? Comment influencent-ils la gestion du contrôle interne dans les entreprises ? . . . . . . . . 15 5
  • 7. LE CONTRÔLE, PRÉOCCUPATION DU MANAGEMENT Q1. Quelles sont les obligations créées par la LSF ? La LSF crée de nouvelles obligations de communication sur la gouvernance et le contrôle interne pour toutes les sociétés anonymes et pour les sociétés faisant appel public à l’épargne : Sociétés Anonymes – Article 117 – « le Président du conseil d’administration [ou de surveillance] rend compte dans un rapport [à l’assemblée générale] : – des conditions de préparation et d’organisation des travaux du conseil ; – des procédures de contrôle interne mises en place ; – des limitations de pouvoirs de la direction générale ». Personnes morales faisant appel public à l’épargne (SA, SCA ou autres) – Article 122 : « elles rendent publiques les informations relevant des conditions de préparation et d’organisation des travaux du conseil et des procédures de contrôle interne dans les conditions fixées par l’Autorité des Marchés Financiers ». 6 Contrôle interne – Au-delà des concepts, questions aux praticiens
  • 8. LE CONTRÔLE, PRÉOCCUPATION DU MANAGEMENT Q2. Quel est le périmètre de la LSF ? La LSF ne définit pas les « procédures de contrôle interne » auxquelles elle fait référence dans les articles 117 et 122. Après débats entre les différents acteurs de place impliqués dans l’évaluation ou la gestion du contrôle interne de l’entreprise, un consensus est apparu pour considérer que la LSF couvre le champ complet du contrôle interne, c’est-à-dire, l’ensemble des politiques et procédures mises en œuvre dans l’entreprise, destinées à fournir une assurance raisonnable quant à la gestion rigoureuse et efficace de ses activités. Le contrôle interne a ainsi trait à la maîtrise de l’ensemble des activités de l’entreprise et n’est pas limité aux informations comptables et financières. Par essence, il apporte une « assurance raisonnable », et non une certitude, quant à la réalisation des objectifs de l’entreprise. Les dispositifs de prévention de la fraude font partie du contrôle interne. "Pocket Guide" LANDWELL & ASSOCIÉS Société d’avocats 7
  • 9. LE CONTRÔLE, PRÉOCCUPATION DU MANAGEMENT Q3. Quel est le champ d’application de cette loi ? L’obligation d’établir un rapport à l’attention de l’assemblée générale s’impose à toutes les sociétés anonymes (SA), cotées ou non, et les sociétés faisant appel public à l’épargne tant à titre individuel qu’en qualité de société de tête d’un groupe consolidé. Le périmètre du contrôle interne s’étend pour les groupes aux procédures destinées à assurer le contrôle sur leurs filiales et aux procédures destinées à garantir la fiabilité des comptes consolidés. Ces dispositions visent également des sociétés ou établissements spécifiques qui se voient assimilés aux sociétés anonymes par la réglementation, tels que : – les sociétés anonymes coopératives à capital variable, les sociétés anonymes sportives professionnelles ; – les établissements publics industriels et commerciaux ayant la forme d’une société anonyme, sauf s’il existe une loi instituant l’établissement (ou décidant la transformation d’un EPA en EPIC) et comportant une disposition expresse contraire (l’article 117 ne peut être écarté par voie réglementaire). Les personnes morales autres que les SA et faisant appel public à l’épargne sont également concernées par cette obligation et doivent rendrent publiques les informations relevant des procédures de contrôle interne dans les conditions fixées par l’Autorité des Marchés Financiers. 8 Contrôle interne – Au-delà des concepts, questions aux praticiens
  • 10. LE CONTRÔLE, PRÉOCCUPATION DU MANAGEMENT Il s’agit en particulier des sociétés en commandite par actions et des sociétés étrangères : – admises aux négociations sur un marché réglementé français, – non admises aux négociations sur un marché réglementé français mais faisant ponctuellement appel public à l’épargne en France, par exemple dans le cadre d’une offre aux salariés de ses filiales françaises. Les sociétés par actions simplifiées et les sociétés à responsabilité limitée ne sont pas soumises à cette obligation de publicité. Néanmoins, leurs mandataires sociaux restent clairement responsables des mesures de contrôle interne permettant la maîtrise de leurs activités. Q4. Quelle est la responsabilité du Président du conseil afférente à cette nouvelle obligation issue de l’article 117 de la LSF ? L’article 117 de la LSF fait peser sur le Président du conseil d’administration (de surveillance) une responsabilité quant à la rédaction et au contenu du rapport sur les procédures de contrôle interne mises en place dans l’entreprise. La loi ne prévoit pas de sanctions spécifiques. Néanmoins, il est précisé que le rapport du Président est « joint » au rapport du conseil d’administration ou de surveillance à l’assemblée annuelle (rapport annuel). Les tribunaux pourraient dès lors, considérer qu’il fait "Pocket Guide" LANDWELL & ASSOCIÉS Société d’avocats 9
  • 11. LE CONTRÔLE, PRÉOCCUPATION DU MANAGEMENT partie de ce dernier et qu’il suit le même régime juridique. Dans cette hypothèse : – l’absence de rapport annuel, son défaut de communication ou de mise à disposition peuvent être sanctionnés pénalement (D67 art. 16, 53, 293 al 4, Code Pénal art. 131-13), – les dirigeants sociaux pourraient faire l’objet d’une injonction sous astreinte de procéder au dépôt du rapport ou d’y faire procéder (Code de commerce, art. L 123-5-1 et art. L 238-1). Par ailleurs, la responsabilité civile du Président pourra être mise en jeu au titre de la rédaction et du contenu de ce rapport s’il est démontré une faute caractérisée dans la rédaction du rapport, un préjudice et un lien de causalité entre faute et préjudice, sachant que la responsabilité de tous les administrateurs ou membres du conseil de surveillance pourra être recherchée dans la mesure où le Président aura pris la précaution d’obtenir l’approbation des membres du conseil quant au contenu du rapport. Celui-ci relève de la responsabilité des administrateurs et membres du conseil de surveillance. Enfin, de façon très exceptionnelle, la responsabilité pénale du Président et des membres du conseil pourrait également être mise en jeu sur le terrain du délit de communication d’informations fausses ou trompeuses sur les perspectives ou la situation d’une société dont les titres sont négociés sur un marché réglementé. Pour que les faits puissent être qualifiés comme tels, il 10 Contrôle interne – Au-delà des concepts, questions aux praticiens
  • 12. LE CONTRÔLE, PRÉOCCUPATION DU MANAGEMENT faudrait que les informations publiées par l’AMF ou communiquées par le Président à l’assemblée soient considérées comme étant particulièrement sensibles et aient pu influencer le cours de bourse. Quoi qu’il en soit, cette responsabilité du Président sur la rédaction et le contenu du rapport ne doit pas occulter la responsabilité plus fondamentale de la direction générale sur la qualité intrinsèque du contrôle interne mis en place dans l’entreprise. Q5. En quoi la LSF diffère-t-elle du SOA en vigueur aux États-Unis ? Les objectifs et la philosophie des deux textes sont différents : – le SOA vise à apporter une réponse concrète et rapide aux préoccupations des marchés financiers quant à la fiabilité de l’information financière. Il est donc centré sur cette information et le contrôle de celle-ci, pour les seules sociétés cotées ; il requiert du CEO et du CFO qu’ils affirment leur responsabilité quant à la fiabilité de cette information ; – la LSF vise à inciter les entreprises françaises à s’engager dans une dynamique d’amélioration du contrôle interne et plus spécifiquement de gestion de leurs risques (cf. rapport du Sénat – « LSF un an après »). Elle cible le dispositif de contrôle interne dans son ensemble, pour toutes les SA, et requiert du Président qu’il rende compte aux actionnaires de ce dispositif d’ensemble. "Pocket Guide" LANDWELL & ASSOCIÉS Société d’avocats 11
  • 13. Sarbanes-Oxley Act 12 Les sociétés cotées Défini et limité au contrôle interne relatif à l’information financière et aux procédures de communication des informations aux marchés Utilisation obligatoire d’un référentiel reconnu. COSO cité comme exemple par la SEC Explicite CEO et CFO Pour les sociétés soumises au reporting accéléré : exercices clos au 15 novembre 2004 et après. Exercices clos au 15 avril 2005 et après pour les autres (FPI) Loi de Sécurité Financière Toutes les SA (APE et non APE) et les sociétés APE Non défini (sauf pour les travaux du CAC) Implicitement, champ complet du contrôle interne Pas d’utilisation obligatoire d’un référentiel reconnu Non explicite Président du CA ou du CS Exercices ouverts à compter du 1er janvier 2003 Champ d’application Définition et périmètre du contrôle interne Référentiel de contrôle interne Obligation de documentation et de tests des contrôles Emetteur du rapport Date d’application LE CONTRÔLE, PRÉOCCUPATION DU MANAGEMENT Les principales différences entre ces deux textes sont illustrées ci-dessous. Contrôle interne – Au-delà des concepts, questions aux praticiens
  • 14. LE CONTRÔLE, PRÉOCCUPATION DU MANAGEMENT Q6. Quelles sont les évolutions prévues en Europe en matière de contrôle interne et de gouvernance ? La proposition de directive sur le contrôle légal des comptes du 16 mars 2004 contient deux mesures en matière de contrôle interne : – le test de connaissances théoriques inclus dans l’examen d’aptitudes professionnelles auquel sont soumis les auditeurs devrait notamment couvrir la gestion des risques et le contrôle interne (art. 8) ; – l’auditeur ou le cabinet d’audit devrait faire un rapport au comité d’audit sur les questions fondamentales soulevées par l’audit, notamment les faiblesses majeures du contrôle interne en rapport avec le processus d’élaboration de l’information financière (art. 39). En outre, la proposition de directive sur la responsabilité des administrateurs du 28 octobre 2004 prévoit la publication par les sociétés cotées, dans une partie distincte du rapport de gestion, d’une « déclaration annuelle sur le gouvernement d’entreprise » incluant la description des systèmes internes de contrôle et de gestion des risques du groupe en relation avec le processus d’établissement des comptes consolidés (art. 2). Remarque : les dispositions prévues par ces deux directives devraient être transposées par les Etats membres au plus tard pour le 1er janvier 2007. "Pocket Guide" LANDWELL & ASSOCIÉS Société d’avocats 13
  • 15. LE CONTRÔLE, PRÉOCCUPATION DU MANAGEMENT Q7. Quelles sont les obligations légales dans les autres pays ? Des lois relatives au renforcement de la gouvernance et du contrôle interne des entreprises, souvent appelées lois « post-Enron », ont été adoptées dans la plupart des grands pays industriels. Les principales dispositions prises par ces textes se résument comme suit : – renforcement de la gouvernance ; – renforcement de la responsabilité des dirigeants ; – augmentation des sanctions liées à la publication d’informations inexactes ; – enrichissement de l’information financière et de l’information donnée aux marchés sur le contrôle interne ; – renforcement des mécanismes anti-fraudes ; – mise en place de règles plus strictes de contrôle de l’indépendance des auditeurs. Ces textes s’appliquent pour la plupart uniquement aux sociétés cotées ou sociétés faisant appel public à l’épargne. 14 Contrôle interne – Au-delà des concepts, questions aux praticiens
  • 16. LE CONTRÔLE, PRÉOCCUPATION DU MANAGEMENT Q8. Quel est le rôle des « grands acteurs de place » et des régulateurs ? Comment influencent-ils la gestion du contrôle interne dans les entreprises ? Les dispositions de la LSF relatives au rapport sur le contrôle interne sont succinctes et ne font pas l’objet d’un décret d’application. Aussi, les « acteurs de place » et les régulateurs jouent-ils un rôle déterminant dans l’interprétation de cette nouvelle obligation et le conseil aux entreprises pour sa mise en œuvre. Dès novembre 2003, le MEDEF et l’AFEP ont ainsi proposé que les termes de la loi « rend compte […] des procédures de contrôle interne » soient interprétés comme l’obligation de décrire le contrôle interne, et non de l’évaluer. Ils ont également proposé une définition du terme contrôle interne et un modèle de rapport du Président – définition et modèle qui ont été largement utilisés par les entreprises pour cette première année d’application. Au cas particulier des sociétés faisant appel public à l’épargne, et conformément au rôle qui lui est attribué par le texte de loi, l’AMF a émis une première recommandation en janvier 2004, préconisant notamment d’utiliser les lignes directrices données par le MEDEF et l’AFEP, de préciser les diligences qui soustendent l’analyse du Président et d’entamer une démarche progressive d’évaluation permettant d’aboutir à terme à une appréciation de l’adéquation et de l’efficacité du contrôle interne. "Pocket Guide" LANDWELL & ASSOCIÉS Société d’avocats 15
  • 17. LE CONTRÔLE, PRÉOCCUPATION DU MANAGEMENT Les acteurs de place et régulateurs ont ainsi été moteurs dans l’interprétation et l’application de ce nouveau texte en 2003. Pour l’avenir, compte tenu des enjeux de communication financière associés à ce nouveau rapport, il est probable que les sociétés faisant appel public à l’épargne contribuent aussi à la définition de la tendance, notamment : – en donnant une information de plus en plus spécifique à leur organisation et à leur activité, – en apportant des appréciations sur tout ou partie de leur dispositif, – et en s’engageant pour ce faire dans des démarches internes d’amélioration de leurs dispositifs de contrôle. 16 Contrôle interne – Au-delà des concepts, questions aux praticiens
  • 18. DU CONTRÔLE INTERNE À LA MAÎTRISE DES ACTIVITÉS Q9. Qu’est-ce que le contrôle interne ? . . . . . . . . . . . . . 18 Q10. Qu’est-ce que le COSO ? . . . . . . . . . . . . . . . . . . . . . . 19 Q11. Quel est le lien entre contrôle interne et gouvernance ? . . . . . . . . . . 21 Q12. Quel est le lien entre contrôle interne et gestion des risques ? . . . . 22 Q13. Quel est le lien entre contrôle interne et dispositif anti-fraude ? . . . 23 Q14. Quel est le poids relatif de la partie financière dans l’ensemble du contrôle interne ? . . . . . . . . . . . 24 Q15. Quelles évolutions pour les modèles existants ? . . . 25 17
  • 19. DU CONTRÔLE INTERNE À LA MAÎTRISE DES ACTIVITÉS Q9. Qu’est-ce que le contrôle interne ? La LSF ne donne pas de définition du contrôle interne. Dans leurs rapports 2003, les entreprises ont majoritairement repris la définition proposée par le rapport du COSO, ou ont donné une définition qui s’en rapproche – à l’exception des établissements financiers qui ont fait référence au règlement de la commission bancaire 97-02. Le SOA en revanche, dans ses textes d’application, fait explicitement référence au rapport du COSO et à la définition qu’il propose. Selon le rapport du COSO, le contrôle interne est un processus mis en œuvre par le conseil d’administration, les dirigeants et le personnel de l’entreprise, pour fournir une assurance raisonnable quant à la réalisation des trois objectifs suivants : – la réalisation et l’optimisation des opérations, – la fiabilité des opérations financières, – la conformité aux lois et règlements. Au-delà des concepts, l’enjeu véritable du contrôle interne est la maîtrise des activités – ce pourrait être d’ailleurs une plus juste traduction du terme anglais « Internal Control ». 18 Contrôle interne – Au-delà des concepts, 40 questions aux praticiens
  • 20. DU CONTRÔLE INTERNE À LA MAÎTRISE DES ACTIVITÉS Q10. Qu’est-ce que le COSO ? Le Committee Of Sponsoring Organizations de la Commission Treadway est un groupe de réflexion constitué aux Etats-Unis en 1985. Ce groupe a développé un référentiel méthodologique d’analyse du contrôle interne, dénommé « le COSO » qui a été édité en France en 1992 sous le titre « La pratique du contrôle interne ». En résumé, le COSO structure l’analyse du contrôle interne selon les trois objectifs cités précédemment et pour chacun d’eux selon cinq composantes : – l’environnement de contrôle, – l’évaluation des risques, – les activités de contrôle, – l’information et la communication, – le pilotage (du contrôle interne). Ce cadre d’analyse se décline sur chaque activité et fonction de l’entreprise. Ce référentiel méthodologique est représenté schématiquement par un cube, couvrant l’ensemble des dimensions du contrôle interne de l’entreprise, dit Cube COSO. "Pocket Guide" LANDWELL & ASSOCIÉS Société d’avocats 19
  • 21. DU CONTRÔLE INTERNE À LA MAÎTRISE DES ACTIVITÉS Il n’existe pas à ce jour de modèle de contrôle interne d’inspiration française, mais des groupes de travail existent au sein d’organismes tels que l’ordre des Experts Comptables, la CNCC et l’IFACI. La CNCC, dans son avis technique de mars 2004 sur le rapport du Président, fait référence à la définition du contrôle interne du COSO. PricewaterhouseCoopers est, au plan mondial, coauteur du rapport du COSO. 20 Contrôle interne – Au-delà des concepts, 40 questions aux praticiens
  • 22. DU CONTRÔLE INTERNE À LA MAÎTRISE DES ACTIVITÉS Q11. Quel est le lien entre contrôle interne et gouvernance ? Il n’existe pas de définition légale du gouvernement d’entreprise mais il est possible de le définir par ses objectifs : promouvoir l’autorégulation et organiser la transparence. Le gouvernement d’entreprise, qui régit les relations entre l’organe de contrôle, le conseil d’administration / conseil de surveillance et les organes de direction (direction générale, directoire) peut être considéré comme une partie du dispositif général de contrôle interne. Les membres du conseil d’administration (de surveillance) doivent avoir une parfaite connaissance de la stratégie, des risques et des actions mises en œuvre pour réussir la première et limiter les seconds. Ils doivent être tenus régulièrement informés de l’état d’avancement de cette stratégie et des incidents de manière à pouvoir décider des mesures correctrices adaptées. Ils font rapport de leurs travaux à l’assemblée. Acteurs Contrôle interne Conseil Direction Générale Ensemble du personnel Gouvernement d'entreprise Enjeux Reporting Contrôle interne sur les opérations "Pocket Guide" LANDWELL & ASSOCIÉS Société d’avocats 21
  • 23. DU CONTRÔLE INTERNE À LA MAÎTRISE DES ACTIVITÉS Q12. Quel est le lien entre contrôle interne et gestion des risques ? La reconnaissance du caractère essentiel de la gestion des risques au regard du contrôle interne s’est traduite récemment par l’émergence du concept de l’Enterprise Risk Management (ERM) issu des travaux du COSO, et repris sous l’appellation « COSO 2 ». En France, l’importance de la gestion des risques a été soulignée dans le rapport d’information au Sénat – Loi de Sécurité Financière 1 an après – du 27 juillet 2004. Ce rapport indique clairement que la gestion des risques se place au cœur des enjeux du renforcement du contrôle interne. Associer étroitement contrôle interne et gestion des risques assure que le contrôle interne est un outil opérationnel pour le management, adapté aux enjeux de l’activité et non un dispositif formel dénué d’intérêt : il s’agit d’éviter la constitution de référentiels exhaustifs de procédures de contrôle interne qui seraient par trop complexes et coûteux à concevoir et plus encore à maintenir. Le contrôle interne défini comme la maîtrise des activités s’appuie sur une vision pragmatique des enjeux de l’entreprise, des principaux risques associés et des réponses apportées par les dispositifs de contrôle interne. Ainsi, par la conception, le déploiement, l’évaluation et le pilotage d’un dispositif de contrôle 22 Contrôle interne – Au-delà des concepts, 40 questions aux praticiens
  • 24. DU CONTRÔLE INTERNE À LA MAÎTRISE DES ACTIVITÉS interne structuré sur la gestion des risques, l’entreprise se donne une « assurance raisonnable » de réalisation de ses objectifs. Q13. Quel est le lien entre contrôle interne et dispositif anti-fraude ? Pour qu’une fraude soit commise, il faut généralement qu’un ou plusieurs individus aient subi des pressions personnelles et/ou incitations financières, et qu’ils aient l’opportunité de commettre la fraude, par exemple en cas d’absence temporaire de séparation des tâches. En conséquence, le contrôle interne permet de réduire le risque de fraude ; toutefois, ce n’est pas nécessairement suffisant car la réalisation d’une fraude consiste bien souvent à contourner le dispositif de contrôle interne (par exemple, lorsqu’une personne utilise son positionnement hiérarchique pour ne pas suivre les procédures normales). C’est pourquoi il est nécessaire de mettre en place des dispositifs anti-fraude spécifiques sur la base d’une analyse de vulnérabilité de l’entreprise ou du groupe. Cette analyse sera conduite de manière progressive à partir d’une compréhension de l’environnement de contrôle général et d’un diagnostic des situations à risques. "Pocket Guide" LANDWELL & ASSOCIÉS Société d’avocats 23
  • 25. DU CONTRÔLE INTERNE À LA MAÎTRISE DES ACTIVITÉS Q14. Quel est le poids relatif de la partie financière dans l’ensemble du contrôle interne ? La fiabilité de l’information financière constitue l’un des trois objectifs du contrôle interne. La « partie financière » du contrôle interne dépasse, sur le plan des organisations et des processus, le périmètre de la fonction comptable et financière de l’entreprise. Elle implique l’ensemble des fonctions de l’entreprise dont les activités génèrent des événements qui ont vocation à être traduits dans les états financiers. L’objectif de fiabilité de l’information financière est par conséquent très transversal à l’organisation et mobilise la grande majorité des fonctions de l’entreprise. Est-il prépondérant par rapport aux deux autres objectifs ? Le COSO ne le dit pas. Cependant, avec le SOA, le régulateur américain a mis l’accent essentiellement sur l’objectif de fiabilité de l’information financière. Certes, le régulateur français, avec la LSF, ne privilégie aucun des objectifs. Cependant, il distingue l’objectif de fiabilité de l’information financière en soumettant aux « observations » du CAC la partie du rapport sur le contrôle interne relative à l’élaboration de l’information financière. Enfin, dans la pratique, on constate une certaine priorité donnée par les entreprises à la vérification du contrôle interne relatif à la fiabilité de l’information financière, qui peut s’expliquer par la volonté des entreprises de rassurer les marchés financiers. 24 Contrôle interne – Au-delà des concepts, 40 questions aux praticiens
  • 26. DU CONTRÔLE INTERNE À LA MAÎTRISE DES ACTIVITÉS Q15. Quelles évolutions pour les modèles existants ? Le modèle COSO a été retenu par le régulateur US comme le modèle de référence sur le contrôle interne. Ce modèle disponible depuis 1992 a pu être confronté à la réalité du management d’entreprise du fait d’une large diffusion notamment aux USA. Les observations émises par les praticiens ont entre autres suscité la poursuite des réflexions qui ont conduit depuis 5 ans à l’émergence du concept d’Enterprise Risk Management. L’ERM « framework » du COSO 2 est disponible sous sa version définitive depuis octobre 2004. D’un point de vue opérationnel, l’ERM est un processus facilitant : – la gestion des incertitudes des activités, la gestion des risques et des opportunités, – l’identification des événements pouvant être à l’origine de risques, ainsi que la définition des solutions de contrôle interne adaptées, offrant une assurance raisonnable quant à la réalisation des objectifs, – l’alignement de la gestion des risques avec la stratégie de l’entreprise. En identifiant les événements auxquels l’entreprise est soumise, le management peut aussi déterminer les opportunités pour améliorer sa performance. "Pocket Guide" LANDWELL & ASSOCIÉS Société d’avocats 25
  • 27. DU CONTRÔLE INTERNE À LA MAÎTRISE DES ACTIVITÉS L’ERM représente également une orientation vers un processus plus complet de gestion des risques et à ce titre, il a retenu l’intérêt de la Securities and Exchange Commission (SEC). Dans une communication d’avril 2004, la SEC souligne le besoin pour les entreprises d’adopter une attitude « proactive » pour l’identification des zones de risques. Elle insiste de même sur l’obligation de mettre en oeuvre des contrôles pour réduire ou éliminer leurs risques et d’initier une approche « top-to-bottom ». 26 Contrôle interne – Au-delà des concepts, 40 questions aux praticiens
  • 28. QUI FAIT QUOI ? QUELLES ÉVOLUTIONS DANS L’ORGANISATION DE L’ENTREPRISE ? Q16. Qui sont les responsables du contrôle interne ? . . . 28 Q17. Qui est acteur du contrôle interne ? . . . . . . . . . . . . . 29 Q18. Quels sont les rôles de l’Audit Interne et du Risk Manager ? Définissent-ils le contrôle interne ? . . . . . . . . . . . . . . 29 Q19. Quelles sont les difficultés rencontrées pour mettre en place un dispositif de contrôle interne adapté et efficace au niveau des groupes ? . . . . . . . 30 Q20. Quel est le rôle de la direction juridique ? Son rôle s’étend-t-il à la vérification de l’application de l’ensemble des lois et règlements dans l’entreprise ? . . . . . . . . . . . . . . . . 31 Q21. Quel est le rôle de la DRH ? . . . . . . . . . . . . . . . . . . . . 32 Q22. N’y a-t-il pas double emploi entre assurance qualité et contrôle interne ? Comment intégrer les travaux de la Direction de la Qualité dans la démarche de contrôle interne ? . 33 Q23. Quel est le rôle de la Direction Financière ? Son périmètre d’intervention va-t-il au-delà du département comptable ? . . . . . . . . . . . . 34 Q24. Quel est le rôle de la Direction des Systèmes d’Information (DSI) ? Quels impacts sur ses modes de fonctionnement ? 35 Q25. Quel est le rôle du commissaire aux comptes ? . . . 36 27
  • 29. QUI FAIT QUOI ? Q16. Qui sont les responsables du contrôle interne ? Le management : c’est la direction générale qui est responsable de la mise en œuvre du contrôle interne dans l’entreprise, c’est à dire le Président Directeur Général, le Directeur Général, les Directeurs Généraux Délégués et le Directoire. Les organes de contrôle : le conseil d’administration et le conseil de surveillance ont pour rôle de surveiller et guider la direction générale afin de s’assurer de la mise en œuvre du contrôle interne. Ils sont assistés le cas échéant par des comités ad hoc (comité d’audit, comité des risques, comité des rémunérations…). Les parties prenantes de l’entreprise, notamment les actionnaires, engagent plus facilement des actions en responsabilité à l’encontre des dirigeants et des organes de contrôle. Une défaillance dans le contrôle interne peut être non seulement la source d’actions judiciaires en responsabilité mais peut également favoriser des actes de malveillance également générateurs d’actions en responsabilité, notamment sur le fondement de la négligence. Les assureurs Responsabilité civile des mandataires sociaux et des entreprises s’intéressent de plus en plus au contrôle interne mis en place par leurs assurés… 28 Contrôle interne – Au-delà des concepts, questions aux praticiens
  • 30. QUI FAIT QUOI ? Q17. Qui est acteur du contrôle interne ? Ayant posé la maîtrise des activités de l’entreprise comme l’enjeu du contrôle interne, c’est tout naturellement l’ensemble des collaborateurs de l’entreprise qui est concerné, et qui est acteur du contrôle interne, du « top management » au personnel d’exécution. La prise en compte des objectifs du contrôle interne et l’application des dispositifs qui y sont associés, sont à intégrer dans les définitions de responsabilités, de fonctions, de postes, etc. des personnels et dans les procédures d’évaluation de la performance. Q18. Quels sont les rôles de l’Audit Interne et du Risk Manager ? Définissent-ils le contrôle interne ? Non, comme indiqué précédemment, la définition du contrôle interne relève de la responsabilité du management. Les départements d’audit interne et de gestion des risques ont un rôle important à jouer dans le dispositif de contrôle interne : selon la mission qui leur est allouée dans l’entreprise, ils réalisent un travail d’animation de ce dispositif, de diffusion des meilleures pratiques dans l’entreprise et/ou d’évaluation et de contrôle ponctuel des procédures en place. "Pocket Guide" LANDWELL & ASSOCIÉS Société d’avocats 29
  • 31. QUI FAIT QUOI ? Cette répartition des rôles permet en particulier à l’audit interne de préserver l’objectivité qui est nécessaire à l’exercice de sa fonction : n’ayant pas participé à la définition du dispositif de contrôle interne, il est en mesure d’en apprécier l’adéquation et l’efficacité, en toute indépendance. Q19. Quelles sont les difficultés rencontrées pour mettre en place un dispositif de contrôle interne adapté et efficace au niveau des groupes ? En France, le groupe de sociétés n’a pas la personnalité morale : les sociétés du groupe sont autonomes d’un point de vue juridique ; elles ont un patrimoine et une responsabilité distincts. L’un des enjeux des groupes est d’assurer une cohérence en leur sein entre les structures juridiques et l’organisation opérationnelle pour : – assurer un meilleur suivi de l’activité, – limiter les risques d’erreur et de fraude, – mieux gérer le risque de mise en jeu de la responsabilité des mandataires sociaux. La société tête de groupe qui a les mêmes pouvoirs qu’un actionnaire majoritaire ne peut rien imposer juridiquement à ses filiales en matière de contrôle interne ; cela étant, elle va devoir veiller à harmoniser les procédures internes au moyen de règles intra groupes. 30 Contrôle interne – Au-delà des concepts, questions aux praticiens
  • 32. QUI FAIT QUOI ? Il s’ensuit une nécessaire contractualisation de ces obligations au sein de conventions de direction de groupe. Celles-ci ont pour objet d’harmoniser les règles applicables aux filiales et à leurs dirigeants, dès lors qu’elles appartiennent au même groupe. Q20. Quel est le rôle de la direction juridique ? Son rôle s’étend-t-il à la vérification de l’application de l’ensemble des lois et règlements dans l’entreprise ? La direction juridique a un rôle évident dans le cadre de la démarche de contrôle interne. Il appartient tout d’abord à la direction générale de déterminer le rôle de la direction juridique groupe et celui des directions des filiales et d’instituer des règles de reporting claires et cohérentes. C’est surtout aux juristes du groupe pris dans leur ensemble qu’il appartient : – d’assurer l’animation de la réalisation de l’objectif de « conformité aux lois et règlements » du contrôle interne dans l’ensemble de l’entreprise, – de sensibiliser les dirigeants et de clarifier les rôles et responsabilités, – de proposer aux dirigeants les solutions juridiques relevant de la composante « environnement de contrôle » du contrôle interne. "Pocket Guide" LANDWELL & ASSOCIÉS Société d’avocats 31
  • 33. QUI FAIT QUOI ? Q21. Quel est le rôle de la DRH ? La Direction des Ressources Humaines intervient également dans la démarche de contrôle interne, au côté le plus souvent de la Direction Juridique, dans la mise en place de chartes d’éthique / codes de conduite destinés, notamment, à sensibiliser l’ensemble des observateurs de l’entreprise, voire des tiers (partenaires, fournisseurs, ...) à la nécessité de respecter les lois et règlements en vigueur. Elle peut également être sollicitée dans le cadre de la mise en place des délégations de pouvoirs qui permettent d’organiser les rôles et responsabilités des dirigeants et des délégataires et de gérer, au sein de l’entreprise, le risque de responsabilité pénale. Le contrôle interne nécessite de formaliser le système de délégations existant et de vérifier régulièrement son efficacité. 32 Contrôle interne – Au-delà des concepts, questions aux praticiens
  • 34. QUI FAIT QUOI ? Q22. N’y a-t-il pas double emploi entre assurance qualité et contrôle interne ? Comment intégrer les travaux de la Direction de la Qualité dans la démarche de contrôle interne ? Les démarches de l’assurance qualité poursuivent des objectifs opérationnels. Il s’agit de rechercher l’optimum d’efficacité dans l’organisation, les process et les méthodes pour maximiser les résultats d’une activité ou d’un process. Il existe des synergies évidentes avec le contrôle interne, non seulement dans les démarches et la nature des travaux réalisés, mais aussi sur le fond, dans les objectifs et les résultats à atteindre. En effet, les démarches d’assurance qualité lorsqu’elles sont menées en profondeur, dans une recherche d’excellence, intègrent les dispositifs de contrôle. De même, le contrôle interne comprend dans sa définition un objectif de réalisation et d’optimisation des opérations, qui rejoint celui de l’assurance qualité. La mise en œuvre des démarches de contrôle interne révèle fréquemment des opportunités d’amélioration de l’efficacité et de la performance des activités. Enfin, assurance qualité et contrôle interne ont aussi comme point commun d’agir sur les comportements et la culture générale d’entreprise. "Pocket Guide" LANDWELL & ASSOCIÉS Société d’avocats 33
  • 35. QUI FAIT QUOI ? Q23. Quel est le rôle de la Direction Financière ? Son périmètre d’intervention va-t-il au-delà du département comptable ? La Direction Financière est responsable de l’animation de l’ensemble des éléments du dispositif de contrôle interne contribuant à la réalisation de l’objectif de « fiabilité de l’information financière ». Par définition, ces éléments sont, pour grande partie, extérieurs à la fonction financière : ils portent notamment sur les processus opérationnels de traitement des transactions en amont des systèmes comptables, ainsi que sur tout mécanisme de remontée d’information des événements nécessitant une traduction comptable. La direction financière est en mesure d’en apprécier l’adéquation et l’efficacité sur l’ensemble de ce périmètre. Par ailleurs, la Direction Financière tient également un rôle majeur dans la communication aux marchés financiers ; elle est également impliquée dans le projet de contrôle interne à ce titre. 34 Contrôle interne – Au-delà des concepts, questions aux praticiens
  • 36. QUI FAIT QUOI ? Q24. Quel est le rôle de la Direction des Systèmes d’Information (DSI) ? Quels impacts sur ses modes de fonctionnement ? Les activités des entreprises s’appuient fortement sur l’informatique. Les processus sont informatisés et le patrimoine applicatif et technique est de plus en plus complexe à gérer pour les fonctions informatiques qui sont en charge de leur développement et de leur exploitation. Historiquement, les développements de systèmes ont été effectués dans une logique d’automatisation de tâches. Les méthodologies de développement mettent l’accent sur la modélisation des flux et des opérations, sans toujours prendre suffisamment en considération les enjeux de contrôle interne tels que : séparation des tâches, rapprochements automatiques, états d’analyse et de vérification à mettre à disposition des utilisateurs, etc. Il convient donc de s’assurer de la prise en compte effective des problématiques de contrôle interne dans les phases de développement et de maintenance des applications. La complexité des applications, la sophistication et la puissance des technologies rendent l’informatique toujours plus complexe à maîtriser sur le plan du contrôle interne et notamment de la sécurité. C’est une véritable réflexion qui doit être menée dans l’entreprise par les DSI afin d’évaluer les risques et d’apprécier l’adéquation du dispositif de contrôle interne. "Pocket Guide" LANDWELL & ASSOCIÉS Société d’avocats 35
  • 37. QUI FAIT QUOI ? Q25. Quel est le rôle du commissaire aux comptes ? Le rôle du commissaire aux comptes est défini par la LSF et l’avis de la Compagnie Nationale des Commissaires aux Comptes (CNCC) du 23 mars 2003 – confirmé par un avis du Haut Conseil du Commissariat aux Comptes. L’article 120 de la LSF prévoit que les commissaires aux comptes « présentent dans un rapport […] leurs observations sur le rapport [du Président] pour celles des procédures de contrôle interne qui sont relatives à l’élaboration et au traitement de l’information comptable et financière ». Le commissaire aux comptes n’émet donc pas à proprement parlé un avis sur le contrôle interne mais fait plus simplement des observations sur le rapport du Président, pour les procédures de contrôle interne relatives à l’information comptable et financière. Pour ce faire, l’avis technique de la CNCC précise que « le commissaire aux comptes met en œuvre les diligences lui permettant de s’assurer que les informations et, le cas échéant, les déclarations, contenues dans le rapport du Président, sur les procédures de contrôle interne relatives à l’élaboration et au traitement de l’information comptable et financière, sont présentées de manière sincère ». L’information est considérée comme sincère dès lors qu’elle est corroborée par les travaux du commissaire aux comptes et lui paraît être pertinente et non susceptible d’être mal interprétée. 36 Contrôle interne – Au-delà des concepts, questions aux praticiens
  • 38. QUI FAIT QUOI ? L’étendue des travaux à mener par le commissaire aux comptes sur le contrôle interne relatif à l’information financière dépend ainsi de la nature des informations données dans le rapport du Président et de la capacité de la société à apporter des éléments probants justifiant ces déclarations. Les informations relatives à l’organisation des travaux du conseil ou au contrôle interne des opérations, données par le Président dans son rapport, font simplement l’objet d’une lecture d’ensemble par le commissaire aux comptes. "Pocket Guide" LANDWELL & ASSOCIÉS Société d’avocats 37
  • 39. EN PRATIQUE, QUEL PROJET METTRE EN ŒUVRE ? Q26. Faut-il un projet de mise à niveau du contrôle interne ? . . . . . . . . . . . . . . . . . . . . . . . . . . 40 Q27. Quelle démarche pour améliorer le contrôle interne . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 Q28. Comment entamer une démarche de contrôle interne ? . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Q29. La démarche doit-elle être la même pour un projet LSF et un projet SOA ? . . . . . . . . . . . 43 Q30. Comment organiser le projet ? . . . . . . . . . . . . . . . . . 44 Q31. Que documenter et jusqu’où ? . . . . . . . . . . . . . . . . . 45 Q32. Comment assurer la qualité du dispositif contrôle interne lorsqu’on a recours à des sous-traitants ou à l’externalisation de certaines fonctions ? . . . . . . . . . . . . . . . . . . . . . . . 45 Q33. Peut-on institutionnaliser la dénonciation des fraudes en France (Whistleblowing aux USA) ? . . . . . . . . . . . . . . . . . . . . 46 Q34. Qu’est ce qu’un Consultant externe peut apporter au projet ? . . . . . . . . . . . . . . . . . . . . . . 48 39
  • 40. QUEL PROJET METTRE EN ŒUVRE ? Q26. Faut-il un projet de mise à niveau du contrôle interne ? La réponse s’étudie au cas par cas. Elle découle des réponses apportées à deux questions préliminaires : – L’entreprise dispose-t-elle d’une vision de synthèse de son contrôle interne actuel : ses enjeux, ses principaux risques, les dispositifs de contrôle en place et leur niveau d’application ? – Le dispositif de contrôle interne est-il adapté à l’entreprise et répond-t-il aux objectifs de communication du Président dans le cadre du rapport LSF ? Selon les réponses apportées, l’entreprise pourrait être amenée à lancer un projet de mise à niveau de son contrôle interne. Si l’entreprise entre dans le champ d’application du SOA, il est peu probable que son dispositif de contrôle interne soit conforme, en particulier la documentation. Il sera donc nécessaire de lancer un projet de mise en conformité. 40 Contrôle interne – Au-delà des concepts, questions aux praticiens
  • 41. QUEL PROJET METTRE EN ŒUVRE ? Q27. Quelle démarche pour améliorer le contrôle interne ? La démarche dans son principe est relativement simple. Elle se structure en trois phases : – Une phase d’initialisation ou de cadrage, au cours de laquelle les objectifs du projet sont définis, le plus souvent en s’appuyant sur un pré-diagnostic du contrôle interne, permettant de dégager les activités, entités et thèmes prioritaires. L’organisation de projet, le planning, les ressources et le référentiel méthodologique sont définis en conséquence. – Un plan de mise en œuvre, généralement structuré autour de trois thèmes : • le gouvernement d’entreprise, • la maîtrise des opérations, • la conformité aux lois. Cette phase comprend des diagnostics détaillés, des plans d’actions et des tests. Pour les groupes, ces travaux peuvent être conduits sur une unité pilote sur laquelle un core model de contrôle interne est développé, puis déployé ensuite sur l’ensemble des unités du groupe. – Une phase de stabilisation et de fonctionnement courant, qui vise à s’assurer de la bonne appropriation des nouveaux dispositifs par le management et l’ensemble des collaborateurs concernés. C’est une phase critique pour l’entreprise car il s’agit de "Pocket Guide" LANDWELL & ASSOCIÉS Société d’avocats 41
  • 42. QUEL PROJET METTRE EN ŒUVRE ? pérenniser l’ensemble des travaux réalisés et d’intégrer définitivement le contrôle interne dans les modes de fonctionnement de l’entreprise. Q28. Comment entamer une démarche de contrôle interne ? La phase d’initialisation est particulièrement critique car elle positionne le projet dans l’entreprise induisant son niveau de priorité et les ressources à mobiliser. Concrètement, il s’agit de réfléchir autour de trois thèmes : – Clarifier les enjeux pour l’entreprise : enjeux juridiques (responsabilité des dirigeants, …), enjeux de communication (attentes du marché, attitudes des concurrents, …), enjeux de maîtrise des activités (où sont les principaux risques ? sont-ils bien couverts ? …). – Évaluer le niveau actuel du contrôle interne, afin de définir des objectifs réalistes dans le temps. – Tenir compte de la stratégie de l’entreprise pour fixer les priorités. Enjeux, niveau actuel de contrôle interne et stratégie de l’entreprise constituent les trois paramètres de base à prendre en compte pour fixer les objectifs du projet contrôle interne. 42 Contrôle interne – Au-delà des concepts, questions aux praticiens
  • 43. QUEL PROJET METTRE EN ŒUVRE ? Q29. La démarche doit-elle être la même pour un projet LSF et un projet SOA ? A l’origine, la démarche est fondamentalement différente. Avec la LSF, le législateur demande au Président de s’assurer que ses risques sont maîtrisés. Le périmètre couvre l’ensemble des activités de l’entreprise et le Président rend compte des procédures de contrôle interne mises en place. La démarche sera construite dans une approche top/down fondée sur une analyse des enjeux et des risques. Dans le cadre du SOA, le régulateur demande au CEO/CFO de démontrer à des tiers que l’information financière publiée est fiable. Le périmètre couvre uniquement l’information financière. L’obligation de preuve engendre une exigence de documentation forte. La démarche sera construite dans une approche transversale fondée sur l’identification des comptes significatifs dans les états financiers et l’analyse du contrôle interne relatif à l’alimentation de ces comptes. Ce sont donc deux démarches distinctes, mais vraisemblablement appelées à converger à terme du fait de la priorité donnée dans la pratique à la fiabilité de l’information financière dans les projets LSF. "Pocket Guide" LANDWELL & ASSOCIÉS Société d’avocats 43
  • 44. QUEL PROJET METTRE EN ŒUVRE ? Q30. Comment organiser le projet ? Naturellement, l’organisation du projet dépend de ses objectifs, de son ambition. C’est un projet avec une forte composante de changement. Par conséquent, le chef de projet doit être rattaché au responsable ayant autorité sur le périmètre du projet. Compte tenu de la nature du projet, l’équipe projet a vocation à être pluridisciplinaire avec des compétences d’opérationnels, de financiers, de juristes, d’informaticiens ainsi que des experts à identifier en fonction de l’activité. Les services méthodes et assurance qualité peuvent aussi apporter leurs compétences en matière d’analyse des processus et activités de l’entreprise. Des relais, voire temporairement des équipes, sont à prévoir dans chaque direction/unité opérationnelle impactée par le projet. Ces relais jouent à la fois un rôle « d’apporteur » des connaissances et spécificités sur les activités, et un rôle de « diffuseur » des pratiques à mettre en place, puis un rôle d’animation et de suivi. Selon la structure des entreprises, les équipes peuvent être centralisées avec des relais dans chaque entité, ou décentralisées dans chaque entité avec une animation centrale. Le projet est animé avec les techniques et outils habituellement utilisés dans la gestion des projets transversaux. 44 Contrôle interne – Au-delà des concepts, questions aux praticiens
  • 45. QUEL PROJET METTRE EN ŒUVRE ? Q31. Que documenter et jusqu’où ? Pour les entreprises soumises au SOA, les règles de documentation ont été précisément définies dans les textes d’application (cf. PCAOB). Pour la LSF, le régulateur et les organismes professionnels n’ont pas défini de normes en la matière. La documentation doit être d’un niveau suffisant pour permettre au Président, dans le contexte de son entreprise, de fonder son opinion sur le contrôle interne. Une bonne pratique est d’avoir un minimum de formalisation de l’environnement de contrôle, des principaux risques et des contrôles clés. Q32. Comment assurer la qualité du dispositif de contrôle interne lorsqu’on a recours à des sous-traitants ou à l’externalisation de certaines fonctions ? Par principe, en sous-traitant ou en externalisant tout ou partie d’une activité, l’entreprise ne se dédouane pas de sa responsabilité en matière de contrôle interne. Ainsi, l’entreprise doit obtenir de ses sous-traitants des engagements en matière de contrôle interne, au même titre que pour la prestation principale, et en vérifier "Pocket Guide" LANDWELL & ASSOCIÉS Société d’avocats 45
  • 46. QUEL PROJET METTRE EN ŒUVRE ? régulièrement l’application. Plusieurs techniques sont possibles et peuvent être utilisées simultanément. A titre d’exemple : – des engagements précis du sous-traitant dans le cadre de contrats de service, incluant la composante contrôle interne, – le droit pour l’entreprise d’effectuer des audits chez le sous-traitant, – la possibilité d’obtenir des certifications de la part de tiers. Q33. Peut-on institutionnaliser la dénonciation des fraudes en France (Whistleblowing aux USA) ? Aux Etats-Unis, le SOA a renforcé la protection du salarié « délateur ». En France, certaines sociétés, principalement des filiales de sociétés américaines, mettent en place les Codes de conduite de leur maison mère comportant des clauses de « Whistleblowing ». Certains de ces Codes encouragent les salariés à révéler les infractions commises au sein de la société, dont ils auraient connaissance. D’autres, mentionnent que la non dénonciation (ou la non « délation ») de tels faits par les salariés constitue une faute qui pourra être sanctionnée. Deux questions principales se posent en droit français quant à ces dispositions : la validité de l’organisation 46 Contrôle interne – Au-delà des concepts, questions aux praticiens
  • 47. QUEL PROJET METTRE EN ŒUVRE ? du contrôle des salariés par l’encouragement de la « délation » et la sanction du salarié qui n’aura pas dénoncé une infraction. La dénonciation est un mode de preuve licite en droit français. L’utilisation de renseignements transmis par des tiers pour dénoncer des actions frauduleuses est admise tant en matière pénale qu’en matière fiscale, par exemple. Toutefois, la mise en place de ce type de mécanisme de dénonciation n’est pas sans difficultés. La CNIL s’est montrée hostile au caractère « inquisitorial » de tels procédés, soulignant qu’ils pouvaient porter atteinte aux droits et libertés des salariés. La Cour de Cassation n’a pas pris position à ce jour sur la licéité de ce type de clause mais les juges du fond semblent réticents. En tout état de cause, si ces clauses conduisent à une modification du règlement intérieur ou font l’objet d’une contractualisation avec les salariés, elles doivent être soumises à la consultation des institutions représentatives. Certaines ONG, telles que Transparency International, souhaitent que les entreprises favorisent l’adoption de codes de conduite encourageant la dénonciation de pratiques frauduleuses avec intervention du législateur instaurant un droit d’alerte. "Pocket Guide" LANDWELL & ASSOCIÉS Société d’avocats 47
  • 48. QUEL PROJET METTRE EN ŒUVRE ? Q34. Qu’est ce qu’un Consultant externe peut apporter au projet ? Quels sont les caractéristiques et facteurs clés de succès du projet ? Il s’agit d’un projet transverse à l’entreprise, qui implique l’ensemble des fonctions et des activités : les opérationnels, le juridique, la finance, l’informatique, les ressources humaines, etc. En amont du projet, il faut donc pouvoir mobiliser, faire partager les concepts, faire travailler ensemble des collaborateurs de profils très divers. Un consultant externe rompu au travail en équipe pluridisciplinaire peut grandement faciliter et accélérer le cadrage du projet. Très vite ensuite les équipes projets sont confrontées aux difficultés d’identification et de catégorisation des principaux risques ; le consultant externe peut apporter la méthodologie d’analyse des risques, les expertises spécifiques sur un sujet précis, ainsi que les référentiels des meilleures pratiques, assurant, de ce fait, une meilleure exhaustivité et une plus grande efficacité dans le déroulement des travaux. L’amélioration des contrôles, c’est aussi des changements dans l’organisation et les modes de fonctionnement. Le consultant externe peut être un facilitateur dans la conduite de ces changements, sachant que son savoir-faire habituel en matière d’organisation et de gestion de projet peut aussi faire gagner un temps précieux à l’entreprise. 48 Contrôle interne – Au-delà des concepts, questions aux praticiens
  • 49. QUEL APPORT À LONG TERME ? Q35. Comment pérenniser la démarche de contrôle intene ? . . . . . . . . . . . . . . . 50 Q36. En quoi le contrôle interne contribue-t-il à l’amélioration de la performance de l’entreprise ? . . . . . . . . . . . . . . 51 Q37. Reporting au management et aux organes de gourvernance : à quelle fréquence et quel contenu ? . . . . . . . . . . . . 52 49
  • 50. QUEL APPORT À LONG TERME ? Q35. Comment pérenniser la démarche de contrôle interne ? C’est une question fondamentale. Au-delà de la mise en place des améliorations du contrôle interne issues des travaux de l’équipe projet, il s’agit de transférer aux activités de l’entreprise, la gestion du processus contrôle interne sur leur périmètre d’intervention. Pour y parvenir, la première chose à faire est d’impliquer le management des activités dans le projet de façon à obtenir non seulement la mise en place des dispositifs préconisés par l’équipe projet, mais aussi et surtout une réelle compréhension et appropriation des enjeux et concepts du contrôle interne. La deuxième action à entreprendre est de veiller à ce que les problématiques de contrôle interne soient intégrées dans l’ensemble des moyens mis en œuvre pour structurer les modes de fonctionnement de l’entreprise : définition de fonction, modes opératoires, processus d’évaluation, formation, reporting, séminaires divers, etc. 50 Contrôle interne – Au-delà des concepts, questions aux praticiens
  • 51. QUEL APPORT À LONG TERME ? Q36. En quoi le contrôle interne contribue-t-il à l’amélioration de la performance de l’entreprise ? Bon nombre d’entreprises au cours de ces dernières années ont connu des évolutions significatives de leur organisation : croissance externe ou interne, restructuration, mise en place de systèmes intégrés de gestion, externalisation de fonctions, etc. Après ces évolutions et ces changements, la démarche de contrôle interne est l’occasion, pour le management, de réfléchir sur la conduite des activités dont il a la responsabilité, en s’appuyant sur un cadre structuré de réflexion. C’est notamment l’opportunité de vérifier que les objectifs sont compris et partagés, et que les moyens mis en œuvre pour les atteindre sont optimisés. Sur le plan opérationnel, la mise en œuvre d’une démarche de contrôle interne rassemble autour de chaque grand processus les compétences et expertises opérationnelles, juridiques, financières, informatiques, etc., de l’entreprise pour une analyse systématique du contenu du processus et des rôles et contributions des différentes parties prenantes, au regard des objectifs à atteindre. Ces travaux menés dans une vision transversale de l’entreprise mettent souvent en évidence des dysfonctionnements et des axes d’amélioration "Pocket Guide" LANDWELL & ASSOCIÉS Société d’avocats 51
  • 52. QUEL APPORT À LONG TERME ? significative de l’efficacité du processus : redéfinition et réallocation des tâches, amélioration des systèmes, formation, communication, … Ces travaux permettent aussi de « décloisonner » les organisations en faisant davantage travailler ensemble les fonctions supports et les activités opérationnelles. Enfin la mise en œuvre d’un dispositif de pilotage du contrôle interne est une opportunité à initier ou poursuivre des réflexions de type Key Performance Indicator (KPI) ou Balanced Scorecard afin d’offrir au management des indicateurs pertinents calés sur les enjeux des différentes activités. Q37. Reporting au management et aux organes de gouvernance : à quelle fréquence et quel contenu ? La progression de l’entreprise vers les objectifs qu’elle s’est fixés implique une circulation efficace de l’information au bon niveau de la hiérarchie. En complément des systèmes d’information qui peuvent participer au pilotage du contrôle interne, des actions complémentaires vont être entreprises pour faire remonter des données spécifiques vers des personnes préalablement identifiées compte tenu de leur rôle et/ou expertise. Des indicateurs vont être définis notamment en distinguant l’information régulière comptable et financière ou des indicateurs d’alerte. Les informations 52 Contrôle interne – Au-delà des concepts, questions aux praticiens
  • 53. QUEL APPORT À LONG TERME ? confidentielles et sensibles devront suivre un canal spécifique et très restreint. La qualité de l’information va dépendre de son contenu, du délai imparti, de son exactitude, son accessibilité et de sa mise à jour. Il est essentiel d’organiser la remontée de l’information. Le management définit ses priorités au regard de ses objectifs, tout ceci n’étant jamais figé. Un conseil d’administration, un comité d’audit et des risques peuvent exiger des organes de direction voire des auditeurs internes ou externes la communication des faiblesses à partir d’un certain seuil. Par principe, un responsable doit recevoir l’information nécessaire pour pouvoir agir dans le cadre de ses fonctions. Un directeur juridique groupe ne recevra pas la même information qu’un directeur général ou un directeur financier, et n’aura pas les mêmes interlocuteurs. Il est utile de définir dans le cadre d’une documentation spécifique (règlements intérieurs, procédures internes…) les indicateurs pertinents qui feront l’objet d’une communication à une cadence à définir, et les acteurs qui joueront un rôle moteur. "Pocket Guide" LANDWELL & ASSOCIÉS Société d’avocats 53
  • 54. QUELLE COMMUNICATION SUR LE CONTRÔLE INTERNE ? Q38. Est-ce que les sociétés ont globalement répondu aux attentes du législateur concernant le rapport sur le contrôle interne ? . . . . 56 Q39. Perspectives et tendances pour 2004 selon l’AMF : Interview de Hubert Reynier, Secrétaire Général Adjoint, Direction de la régulation et des affaires internationales, AMF . . . . . . . . . . . . . . 57 Q40. Perspectives et tendances pour 2004 pour la CNCC : Interview de Yves Nicolas, Vice-Président de la CNCC . . . . . . . . . . . . . . . . . . . . 60 55
  • 55. QUELLE COMMUNICATION SUR LE CONTRÔLE INTERNE ? Q38. Est-ce que les sociétés ont globalement répondu aux attentes du législateur concernant le rapport sur le contrôle interne ? Selon une étude basée sur les rapports annuels relatifs à l’exercice 2003 de 125 des plus importantes capitalisations boursières françaises : – 93 % des sociétés ont établi un rapport sur le contrôle interne ; – 98 % des rapports sont extrêmement détaillés et respectent généralement la trame proposée par le MEDEF / AFEP : ils comportent notamment une description des objectifs et des procédures de contrôle interne, ainsi que du fonctionnement des organes exerçant des activités de contrôle ; – moins de 5 % des rapports se limitent au seul contrôle de l’information comptable et financière ; – en revanche, seulement 29 % des rapports contiennent une évaluation des procédures de contrôle interne (y compris une évaluation partielle). Cette étude a été réalisée en juin 2004 par notre département « Maîtrise et Gestion de la communication financière ». 56 Contrôle interne – Au-delà des concepts, questions aux praticiens
  • 56. QUELLE COMMUNICATION SUR LE CONTRÔLE INTERNE ? Q39. Perspectives et tendances pour 2004 selon l’AMF : Interview de Hubert Reynier (1), Secrétaire Général Adjoint, Direction de la régulation et des affaires internationales, AMF (1) Interview réalisé dans le cadre de notre journée Arrêté des Comptes du 25 novembre 2004, organisée par Les Echos et PricewaterhouseCoopers, en partenariat avec Landwell & Associés. « La loi de sécurité financière du 1er août 2003 a prévu une architecture à trois niveaux : – le rapport du Président de la société à la fois sur les conditions de préparation et d’organisation des travaux du conseil et sur les procédures de contrôle interne ; – le rapport du commissaire aux comptes sur la partie du rapport du Président consacrée à l’information comptable et financière ; – le rapport annuel de l’Autorité des Marchés Financiers sur les informations publiées dans le cadre des deux niveaux précédents (rapports du Président de la société et du CAC). C’est à l’occasion de ce rapport public de l’AMF que nous serons amenés : – à porter nous-mêmes un jugement sur la qualité des informations qui auront été communiquées au marché par ces rapports ; – éventuellement à renouveler et à insister sur les recommandations que nous avons faites d’ores et déjà en début d’année sur ce sujet. "Pocket Guide" LANDWELL & ASSOCIÉS Société d’avocats 57
  • 57. QUELLE COMMUNICATION SUR LE CONTRÔLE INTERNE ? Ces recommandations portent sur trois points essentiels : – Premièrement nous voulions que la méthode de communication – le moyen de publication de ces informations – soit le plus simple possible pour les sociétés cotées. C’est la raison pour laquelle nous avons proposé aux sociétés qui produisent déjà un document de référence : • d’inclure ce rapport légal dans un chapitre spécifique sur le gouvernement d’entreprise et le contrôle interne ; • et que ce rapport puisse faire également des renvois internes au document de référence (par exemple, pour les facteurs de risque qui sont déjà couverts par le document de référence), de façon à ce que les sociétés qui ont l’habitude de communiquer régulièrement et pleinement au marché au travers des documents de référence puissent gérer aisément ce nouveau rapport. – Deuxième point sur lequel nous avons insisté, c’est le sujet du gouvernement d’entreprise. Nous voulions également avoir l’approche la plus uniforme possible au niveau du marché dans le sens où nous avions déjà, du temps de la COB, communiqué sur les informations que les sociétés cotées devaient au marché sur le gouvernement d’entreprise. Nous avions d’ores et déjà fortement incité les entreprises à se référer au standard des rapports de place dans ce domaine (rapport Viénot 1 et 2, puis rapport Bouton) et à apporter toutes les informations nécessaires pour savoir comment elles appliquaient ces 58 Contrôle interne – Au-delà des concepts, questions aux praticiens
  • 58. QUELLE COMMUNICATION SUR LE CONTRÔLE INTERNE ? standards de place ou, éventuellement, si elles ne les appliquaient pas, préciser pourquoi et quel type de gouvernement d’entreprise elles mettaient en place au sein de leur société. En fait, pour le rapport des sociétés sur les conditions de préparation des travaux du conseil, nous avons proposé qu’elles se référent à ces standards de place et à ces recommandations de la COB. – Enfin, le suivi relatif aux procédures de contrôle interne constitue le troisième point de notre recommandation de début d’année (complètement nouveau, du fait de l’initiative du législateur). Nous avons proposé aux émetteurs de s’inscrire dans un processus dynamique qui leur permette dès cette année de démarrer des travaux d’évaluation de leurs procédures, de donner le plus d’informations possibles à leurs actionnaires sur la situation existante de leurs procédures de contrôle interne, et puis, à partir de l’année prochaine, de commencer à développer une analyse prospective sur les voies d’amélioration de leurs procédures de contrôle interne et sur les moyens dont elles se dotent pour arriver aux meilleurs standards dans ce domaine. » "Pocket Guide" LANDWELL & ASSOCIÉS Société d’avocats 59
  • 59. QUELLE COMMUNICATION SUR LE CONTRÔLE INTERNE ? Q40. Perspectives et tendances pour 2004 pour la CNCC : Interview de Yves Nicolas (1), Vice-Président de la CNCC (1) Interview réalisé dans le cadre de notre journée Arrêté des Comptes du 25 novembre 2004, organisée par Les Echos et PricewaterhouseCoopers, en partenariat avec Landwell & Associés. « La LSF a pour objectif principal de restaurer la confiance des marchés financiers. Et l’on voit bien aujourd’hui que les marchés s’intéressent de plus en plus à toutes les informations relatives au fonctionnement des entreprises, et plus spécifiquement à la qualité de leur gouvernance et à la maîtrise de leurs risques. Il faut donc que les entreprises apprennent à communiquer sur ces thèmes, et c’est bien ce à quoi les invite cette nouvelle loi. Pour le moment, de toute évidence, la plupart des entreprises préfèrent donner une information de nature descriptive et c’est déjà un premier pas important. On voit bien par ailleurs que les sociétés cotées aux États-Unis, se préparent à communiquer sur une évaluation de leur dispositif de contrôle interne. A terme, on peut donc supposer que bon nombre d’entreprises choisiront de publier des information évaluatives ou pour le moins davantage d’information sur la maîtrise de leurs risques – répondant ainsi aux attentes des marchés financiers ou de leurs partenaires, tels que les banques. En obligeant les entreprises françaises à communiquer sur le contrôle interne, la LSF les incite à mieux maîtriser leurs risques. C’est du moins, à mon sens, ainsi qu’il faut la comprendre. » 60 Contrôle interne – Au-delà des concepts, questions aux praticiens
  • 60. SOMMAIRE DÉTAILLÉ Les chiffres renvoient aux numéros des pages Pourquoi le contrôle interne est-il aujourd’hui une préoccupation du management ? Q1. Quelles sont les obligations créées par la LSF ? . . . . 6 Q2. Quel est le périmètre de la LSF ? . . . . . . . . . . . . . . . . . 7 Q3. Quel est le champ d’application de cette loi ? . . . . . 8 Q4. Quelle est la responsabilité du Président du conseil afférente à cette nouvelle obligation issue de l’article 117 de la LSF ? . . . . . . . . . . . . . . . . . 9 Q5. En quoi la LSF diffère-t-elle du SOA en vigueur aux États-Unis ? . . . . . . . . . . . . . . . . . . . . 11 Q6. Quelles sont les évolutions prévues en Europe en matière de contrôle interne et de gouvernance ? 13 Q7. Quelles sont les obligations légales dans les autres pays ? . . . . . . . . . . . . . . . . . . . . . . . . . 14 Q8. Quel est le rôle des « grands acteurs de place » et des régulateurs ? Comment influencent-ils la gestion du contrôle interne dans les entreprises ? . . . . . . . . 15 LANDWELL & ASSOCIÉS Société d’avocats 61
  • 61. SOMMAIRE DÉTAILLÉE Du contrôle interne à la maîtrise des activités Q9. Qu’est-ce que le contrôle interne ? . . . . . . . . . . . . . . 18 Q10. Qu’est-ce que le COSO ? . . . . . . . . . . . . . . . . . . . . . . 19 Q11. Quel est le lien entre contrôle interne et gouvernance ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Q12. Quel est le lien entre contrôle interne et gestion des risques ? . . . . . . . . . . . . . . . . . . . . . . . . 22 Q13. Quel est le lien entre contrôle interne et dispositif anti-fraude ? . . . . . . . . . . . . . . . . . . . . . . . 23 Q14. Quel est le poids relatif de la partie financière dans l’ensemble du contrôle interne ? . . . . . . . . . . . 24 Q15. Quelles évolutions pour les modèles existants ? . . . 25 Qui fait quoi ? Quelles évolutions dans l’organisation de l’entreprise ? Q16. Qui sont les responsables du contrôle interne ? . . . 28 Q17. Qui est acteur du contrôle interne ? . . . . . . . . . . . . . 29 Q18. Quels sont les rôles de l’Audit Interne et du Risk Manager ? Définissent-ils le contrôle interne ? . . . . . . . . . . . . . . 29 Q19. Quelles sont les difficultés rencontrées pour mettre en place un dispositif de contrôle interne adapté et efficace au niveau des groupes ? . . . . . . . 30 Q20. Quel est le rôle de la direction juridique ? Son rôle s’étend-t-il à la vérification de l’application de l’ensemble des lois et règlements dans l’entreprise ? . . . . . . . . . . . . . . . . 31 62 Contrôle interne – Au-delà des concepts, 40 questions aux praticiens
  • 62. SOMMAIRE DÉTAILLÉE Q21. Quel est le rôle de la DRH ? . . . . . . . . . . . . . . . . . . . 32 Q22. N’y a-t-il pas double emploi entre assurance qualité et contrôle interne ? Comment intégrer les travaux de la Direction de la Qualité dans la démarche de contrôle interne ? 33 Q23. Quel est le rôle de la Direction Financière ? Son périmètre d’intervention va-t-il au-delà du département comptable ? . . . . . . . . . . . . 34 Q24. Quel est le rôle de la Direction des Systèmes d’Information (DSI) ? Quels impacts sur ses modes de fonctionnement ? 35 Q25. Quel est le rôle du commissaire aux compte ? . . . . 36 En pratique, quel projet mettre en œuvre ? Q26. Faut-il un projet de mise à niveau du contrôle interne ? . . . . . . . . . . . . . . . . . . . . . . . . . . 40 Q27. Quelle démarche pour améliorer le contrôle interne . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 Q28. Comment entamer une démarche de contrôle interne ? . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Q29. La démarche doit-elle être la même pour un projet LSF et un projet SOA ? . . . . . . . . . . . 43 Q30. Comment organiser le projet ? . . . . . . . . . . . . . . . . . . 44 Q31. Que documenter et jusqu’où ? . . . . . . . . . . . . . . . . . 45 Q32. Comment assurer la qualité du dispositif contrôle interne lorsqu’on a recours à des sous-traitants ou à l’externalisation de certaines fonctions ? . . . . . . . . . . . . . . . . . . . . . . . 45 LANDWELL & ASSOCIÉS Société d’avocats 63
  • 63. SOMMAIRE DÉTAILLÉE Q33. Peut-on institutionnaliser la dénonciation des fraudes en France (Whistleblowing aux USA) ? . . . . . . . . . . . . . . . . . . . 46 Q34. Qu’est ce qu’un Consultant externe peut apporter au projet ? . . . . . . . . . . . . . . . . . . . . . . 48 Quel apport pour l’entreprise à long terme ? Q35. Comment pérenniser la démarche de contrôle intene ? . . . . . . . . . . . . . . . 50 Q36. En quoi le contrôle interne contribue-t-il à l’amélioration de la performance de l’entreprise ? . 51 Q37. Reporting au management et aux organes de gourvernance : à quelle fréquence et quel contenu ? . . . . . . . . . . . . 52 Quelle communication sur le contrôle interne ? Q38. Est-ce que les sociétés ont globalement répondu aux attentes du législateur concernant le rapport sur le contrôle interne ? . . . . 56 Q39. Perspectives et tendances pour 2004 selon l’AMF : Interview de Hubert Reynier, Secrétaire Général Adjoint, Direction de la régulation et des affaires internationales, AMF . . . . . . . . . . . . . . 57 Q40. Perspectives et tendances pour 2004 pour la CNCC : Interview de Yves Nicolas, Vice-Président de la CNCC . . . . . . . . . . . . . . . . . . . . . 60 64 Contrôle interne – Au-delà des concepts, 40 questions aux praticiens
  • 64. Ce document peut être téléchargé sur le site de PricewaterhouseCoopers : Lien : http://www.pwc.com/images/gx/eng/fs/1004soa.pdf.
  • 65. LANDWELL & ASSOCIÉS Société d’avocats Les projets SOA ou LSF interviennent dans un contexte économique marqué à la fois par un accroissement notable de la pression concurrentielle et par des exigences de rentabilité renforcées. Cet environnement s’est déjà traduit par une sélectivité accrue dans le choix des projets ; priorité allant vers ceux offrant le plus fort et/ou le plus rapide retour sur investissement. Les entreprises s’interrogent : Qu’en est-il de la rentabilité de ces projets « contrôle interne » ? Puis-je m’offrir le luxe d’initier des projets lourds et coûteux dont l’impact sur la performance de l’entreprise n’est pas démontré ? Comment éviter les dérapages, lot commun de ces projets transversaux ? Au travers de ce Pocket Guide, vous découvrirez, qu’au-delà du respect des obligations réglementaires, ces projets peuvent, sous conditions, contribuer à une meilleure maîtrise de vos risques et à l’amélioration de votre performance. Pocket Guide