Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

La Revue / Décembre 08 (08) Introduction L e contrôle interne et plus géné- ral

La Revue / Décembre 08 (08) Introduction L e contrôle interne et plus géné- ralement la maîtrise des risques sont devenus au cours des dernières années des sujets parmi les préoccu- pations majeures des entreprises et de leurs dirigeants. De nombreux pays ont, à l’instar des États-Unis et de la loi Sarbanes-Oxley, promulgué des lois visant à préciser les obliga- tions des dirigeants en matière de contrôle interne conduisant de facto à normer les démarches d’apprécia- tion de l’efficacité des dispositifs de contrôle interne mis en place par les entreprises. Si le régulateur améri- cain, dans le but de restaurer la confiance dans ses marchés finan- ciers, a choisi d’être directif et focalisé sur l’information financière, d’autres pays comme la France ont opté pour une démarche différente, plus large dans son périmètre d’application (au- delà de l’information financière) et offrant une plus grande latitude quant aux démarches à adopter pour la mise en conformité. Ainsi dès 2001 la Loi de Sécurité Financière (LSF) a imposé aux présidents des conseils d’administration (ou de surveillance) des sociétés anonymes faisant appel à l’épargne de rendre compte des procédures de contrôle interne. Cette loi ne fournissant aucune indication quant au référentiel auquel les entre- prises doivent se conformer, l’Auto- rité des Marchés Financiers (AMF) a souhaité les aider en définissant un qui leur permette de développer et de piloter leur dispositif de contrôle interne. Depuis janvier 2007 l’AMF recommande par conséquent aux entreprises françaises soumises à la LSF l’utilisation du cadre de référence qu’elle propose. Il nous a semblé utile, un an après l’entrée en vigueur de cette recom- mandation, d’analyser la manière dont les entreprises françaises évo- luent dans leur démarche de mise en œuvre de leurs dispositifs de contrôle interne et de maîtrise des risques et comment elles ont commencé à adopter le cadre de référence de l’AMF. Nous avons ainsi conduit l’ana- lyse du contenu des rapports des présidents des principales entre- prises françaises (CAC 40 et SBF 120) émis au titre de l’année 2007 et publiés jusqu’à fin mai 2008. Présentation des critères de l’analyse L 'enquête (1) s’est notamment appuyée sur les critères d’étude suivants concernant le dispositif de contrôle interne : • Le référentiel choisi pour définir les objectifs du contrôle interne ou la mé- thodologie de l’ensemble du dispositif. • Les risques traités dans les rap- ports et la manière dont ils sont pré- sentés (risques opérationnels, juridiques, industriels, environne- mentaux, informatiques, d’erreurs ou de fraude, financiers). • Les dispositifs de contrôle interne mis en place au sein de la société et leur niveau de formali sation. • L’organisation du contrôle in- terne, et plus précisément concer- nant les fonctions de pilotage du contrôle interne et d’audit interne. • Les systèmes d’information et leur rôle dans le dispositif de contrôle interne. • L’évaluation du contrôle interne et les procédures mises en place. Comment ont évolué les démarches des entreprises françaises en matière de contrôle interne, depuis la publication en 2007 du cadre de référence de l’AMF ? Tendances du contrôle interne en 2007 et perspectives “ ” Jean-Marc Truchi PricewaterhouseCoopers Associé Définition du contrôle interne 10 % 35 % 16 % 1 % 38 % COSO / AMF COSO AMF AFEP / MEDEF Définition propre Dossier Dossier : Audit La Revue / Décembre 08 (09) • Les projets d’amélioration du dispositif de contrôle interne. L’analyse de ces critères dans les rap- ports des entreprises permet d’ap- précier l’évolution de leurs dispositifs de contrôle interne depuis 12 mois et d’identifier les objectifs qu’elles se fixent pour les prochaines années. Tendances du contrôle interne en 2007 a) Le référentiel de contrôle interne • Définition du contrôle interne En 2007, 43 entreprises utilisent la définition d’un référentiel pour décrire le contrôle interne. La défini- tion du référentiel COSO (dont l’utili- sation est notamment imposée par la loi Sarbanes-Oxley) est mentionnée dans 35 % des cas et le cadre de réfé- rence de l’AMF est cité dans 16 % des rapports. 10 % des entreprises reprennent à la fois les objectifs du COSO et de l’AMF. Toutefois, le référentiel sur lequel repose la définition énoncée n’est pas toujours explicitement men- tionné. Les autres entreprises (38 %) ont cité une définition du contrôle interne qui leur est propre contre 21 % en 2006. Enfin, certains rapports ne mentionnent pas de définition du contrôle interne. Il ressort dès lors qu’après un an d’existence le cadre de référence de l’AMF commence progressivement à s’imposer comme un référentiel sur lequel les entreprises fondent leur démarche d’évaluation de leur contrôle interne. • Méthodologie d’élaboration du contrôle interne Près de 80 % des entreprises préci- sent la méthodologie qu’elles em- ploient pour la mise en place du contrôle interne. Le COSO et/ou le cadre de référence de l’AMF sont cités dans près de 60 % des rapports. Par ailleurs, 22 % des entreprises se fondent sur un référentiel interne, 16 % suivent la trame de référence de l’AFEP/MEDEF et 3 % font référence à des réglementations liées à leurs activités (ex. : règlement CRBF 97-02). 4 entreprises sur 5 mentionnent désormais une méthodologie pour mettre en place le contrôle interne, contre 1 sur 2 en 2006. Cette nette augmentation traduit également l’adoption du cadre de référence par les entreprises. En effet, 33 rapports mentionnent le cadre de référence de l’AMF en 2007 contre 7 seulement en 2006. b) Les risques 50 % des entreprises énumèrent les risques auxquels elles sont soumises dans le rapport du Président. Pour les autres, les risques sont présentés dans une autre partie du document de référence. Les risques non financiers les plus cités sont : • les risques opérationnels ou liés à l’activité dans 88 % des cas, • les risques juridiques dans 88 % des cas, • les risques environnementaux (83 %), • les risques industriels (74 %), • les risques informatiques (64 %), • les risques d’erreur ou de fraude (60 %). Par rapport à l’année 2006, les entre- prises ont cité plus fréquemment les risques d’erreurs et de fraude (+ 25 %), informatiques (+ 24 %) et industriels (+ 19 %), opérationnels (+ 12 %) et environnementaux (+ 5 %). Cependant, les risques juri- diques restent stables. 63 % des entreprises ne mentionnent pas l’existence de comités des risques. Le pilotage des risques est généralement réalisé par les direc- tions du contrôle interne et des risques, l’audit interne ou encore le comité d’audit. • Méthodologie d’élaboration des risques 44 entreprises mentionnent l’exis- tence d’une cartographie des risques, aussi appelée grille ou matrice des risques. Sont également évoqués les axes d’analyse de la cartographie, la famille des risques et la méthode de collecte des informations considé- rées pour la construire. Il est à noter que les détails de la méthodologie d’élaboration sont plus souvent Méthodologie employée 11 % 25 % 23 % 16 % 3 % 22 % COSO / AMF COSO AMF AFEP / MEDEF CRBF 97 -02 Interne Principaux risques non financiers 63 63 59 53 46 42 0 10 20 30 40 50 60 70 80 Opérationnels Juridiques Environnementaux Industriels Informatiques D'erreur ou de fraude Existe-t-il un comité des risques ? 37 % 63 % Oui Non mentionné La Revue / Décembre 08 (10) développés que dans les rapports de 2006. La majeure partie des entre- prises s’inscrit désormais dans un processus annuel de mise à jour de leur portefeuille de risques. • Le risque de fraude Le risque de fraude occupe une place plus importante en 2007. Il est désor- mais cité dans 76 % des rapports contre 35 % en 2006. 81 % des entreprises possèdent une charte d’éthique ou de déontologie et 38 % ont mis en place des démarches de sensibilisation qui passent notamment par la formation. 8 entreprises évo- quent l’existence d’un département anti-fraude contre 1 l’année précé- dente. Parmi ces entreprises, 5 d’entre elles font partie du CAC 40 et 4 ne sont pas soumises à la loi Sarbanes-Oxley. c) Les dispositifs de contrôle • Niveau de formalisation de contrôle Concernant le degré de formalisation des procédures, plus de 90 % de l’échantillon spécifie l’existence, la mise à jour ou l’élaboration de manuels ou de guides de contrôle interne. Cette démarche de formali- sation s’accompagne quasi-systéma- tiquement d’une volonté de communication aux services concer- nés. Cette tendance reste à un niveau élevé et en légère progression par rapport à 2006. A contrario, il n’est fait mention d’un tableau de bord que dans 4 cas sur 10, ce qui représente néanmoins le double par rapport à 2006. Ce tableau de bord a pour objectif d’améliorer le pilotage du dispositif de contrôle interne ou des processus de gestion des risques. Les rapports analysés mentionnent l’existence des documents suivants : • Charte d’éthique/de déontologie. • Manuel de procédures comptables. • Manuels de procédures internes. • Manuels de contrôle interne. • Charte d’audit interne. • Principales procédures financières En ce qui concerne les procédures relatives à l’élaboration et au traite- ment de l’information financière et Mécanisme de gestion des risques 44 69 62 0 10 uploads/Management/ 91pp08-12-pdf.pdf