Dossier

Dossier : Audit

Tendances du contrle interne en 2007 et perspectives

Jean-Marc Truchi PricewaterhouseCoopers Associ

Comment ont volu les dmarches des entreprises franaises en matire de contrle interne, depuis la publication en 2007 du cadre de rfrence de lAMF ?

Introduction

e contrle interne et plus gnralement la matrise des risques sont devenus au cours des dernires annes des sujets parmi les proccupations majeures des entreprises et de leurs dirigeants. De nombreux pays ont, linstar des tats-Unis et de la loi Sarbanes-Oxley, promulgu des lois visant prciser les obligations des dirigeants en matire de contrle interne conduisant de facto normer les dmarches dapprciation de lefficacit des dispositifs de contrle interne mis en place par les entreprises. Si le rgulateur amricain, dans le but de restaurer la confiance dans ses marchs financiers, a choisi dtre directif et focalis sur linformation financire, dautres pays comme la France ont opt pour une dmarche diffrente, plus large dans son primtre dapplication (audel de linformation financire) et offrant une plus grande latitude quant aux dmarches adopter pour

la mise en conformit. Ainsi ds 2001 la Loi de Scurit Financire (LSF) a impos aux prsidents des conseils dadministration (ou de surveillance) des socits anonymes faisant appel lpargne de rendre compte des procdures de contrle interne. Cette loi ne fournissant aucune indication quant au rfrentiel auquel les entreprises doivent se conformer, lAutorit des Marchs Financiers (AMF) a souhait les aider en dfinissant un qui leur permette de dvelopper et de piloter leur dispositif de contrle interne. Depuis janvier 2007 lAMF recommande par consquent aux entreprises franaises soumises la LSF lutilisation du cadre de rfrence quelle propose. Il nous a sembl utile, un an aprs lentre en vigueur de cette recommandation, danalyser la manire dont les entreprises franaises voluent dans leur dmarche de mise en uvre de leurs dispositifs de contrle interne et de matrise des risques et

comment elles ont commenc adopter le cadre de rfrence de lAMF. Nous avons ainsi conduit lanalyse du contenu des rapports des prsidents des principales entreprises franaises (CAC 40 et SBF 120) mis au titre de lanne 2007 et publis jusqu fin mai 2008.

Prsentation des critres de lanalyse 'enqute (1) sest notamment

appuye sur les critres dtude suivants concernant le dispositif de contrle interne : Le rfrentiel choisi pour dfinir les objectifs du contrle interne ou la mthodologie de lensemble du dispositif. Les risques traits dans les rapports et la manire dont ils sont prsents (risques oprationnels, juridiques, industriels, environnementaux, informatiques, derreurs ou de fraude, financiers). Les dispositifs de contrle interne mis en place au sein de la socit et leur niveau de formalisation. Lorganisation du contrle interne, et plus prcisment concernant les fonctions de pilotage du contrle interne et daudit interne. Les systmes dinformation et leur rle dans le dispositif de contrle interne. Lvaluation du contrle interne et les procdures mises en place.

Dfinition du contrle interne

10 % 38 % COSO / AMF COSO AMF 35 % 1% 16 % AFEP / MEDEF Dfinition propre

La Revue / Dcembre 08 (08)

 Les projets damlioration du dispositif de contrle interne. Lanalyse de ces critres dans les rapports des entreprises permet dapprcier lvolution de leurs dispositifs de contrle interne depuis 12 mois et didentifier les objectifs quelles se fixent pour les prochaines annes.
22 % 3%

Mthodologie employe

11 % COSO / AMF 25 % COSO AMF AFEP / MEDEF CRBF 97 -02

16 % 23 %

Interne

Tendances du contrle interne en 2007 a) Le rfrentiel de contrle interne

Dfinition du contrle interne En 2007, 43 entreprises utilisent la dfinition dun rfrentiel pour dcrire le contrle interne. La dfinition du rfrentiel COSO (dont lutilisation est notamment impose par la loi Sarbanes-Oxley) est mentionne dans 35 % des cas et le cadre de rfrence de lAMF est cit dans 16 % des rapports. 10 % des entreprises reprennent la fois les objectifs du COSO et de lAMF. Toutefois, le rfrentiel sur lequel repose la dfinition nonce nest pas toujours explicitement mentionn. Les autres entreprises (38 %) ont cit une dfinition du contrle interne qui leur est propre contre 21 % en 2006. Enfin, certains rapports ne mentionnent pas de dfinition du contrle interne. Il ressort ds lors quaprs un an dexistence le cadre de rfrence de lAMF commence progressivement simposer comme un rfrentiel sur lequel les entreprises fondent leur dmarche dvaluation de leur contrle interne. Mthodologie dlaboration du contrle interne Prs de 80 % des entreprises prcisent la mthodologie quelles emploient pour la mise en place du contrle interne. Le COSO et/ou le cadre de rfrence de lAMF sont cits dans prs de 60 % des rapports. Par ailleurs, 22 % des entreprises se fondent sur un rfrentiel interne, 16 % suivent la trame de rfrence de lAFEP/MEDEF et 3 % font rfrence des rglementations lies leurs activits (ex. : rglement CRBF 97-02).
80 70 60 50 40 30 20 10 0
nn tio

Principaux risques non financiers

63 63 59

53

46

42

ux

el

es

ls

ue

rid

em

du

rm

Ju

nn

In

fo

4 entreprises sur 5 mentionnent dsormais une mthodologie pour mettre en place le contrle interne, contre 1 sur 2 en 2006. Cette nette augmentation traduit galement ladoption du cadre de rfrence par les entreprises. En effet, 33 rapports mentionnent le cadre de rfrence de lAMF en 2007 contre 7 seulement en 2006.

les risques environnementaux (83 %), les risques industriels (74 %), les risques informatiques (64 %), les risques derreur ou de fraude (60 %). Par rapport lanne 2006, les entreprises ont cit plus frquemment les risques derreurs et de fraude (+ 25 %), informatiques (+ 24 %) et industriels (+ 19 %), oprationnels (+ 12 %) et environnementaux (+ 5 %). Cependant, les risques juridiques restent stables. 63 % des entreprises ne mentionnent pas lexistence de comits des risques. Le pilotage des risques est gnralement ralis par les directions du contrle interne et des risques, laudit interne ou encore le comit daudit. Mthodologie dlaboration des risques 44 entreprises mentionnent lexistence dune cartographie des risques, aussi appele grille ou matrice des risques. Sont galement voqus les axes danalyse de la cartographie, la famille des risques et la mthode de collecte des informations considres pour la construire. Il est noter que les dtails de la mthodologie dlaboration sont plus souvent

b) Les risques
50 % des entreprises numrent les risques auxquels elles sont soumises dans le rapport du Prsident. Pour les autres, les risques sont prsents dans une autre partie du document de rfrence. Les risques non financiers les plus cits sont : les risques oprationnels ou lis lactivit dans 88 % des cas, les risques juridiques dans 88 % des cas,
Existe-t-il un comit des risques ?

37 % Non mentionn 63 % Oui

La Revue / Dcembre 08 (09)

D' er re ur ou

En

vi

ro

In

de

ra

fra ud e

iq u

rie

ta

en

st

at

iq

Mcanisme de gestion des risques

80 70 60 50 40 30 20 10 0 Cartographie / grille / matrice Identification / inventaire des risques Utilisation d'une mthodologie d'laboration 44 69 62

dvelopps que dans les rapports de 2006. La majeure partie des entreprises sinscrit dsormais dans un processus annuel de mise jour de leur portefeuille de risques. Le risque de fraude Le risque de fraude occupe une place plus importante en 2007. Il est dsormais cit dans 76 % des rapports contre 35 % en 2006. 81 % des entreprises possdent une charte dthique ou de dontologie et 38 % ont mis en place des dmarches de sensibilisation qui passent notamment par la formation. 8 entreprises voquent lexistence dun dpartement anti-fraude contre 1 lanne prcdente. Parmi ces entreprises, 5 dentre elles font partie du CAC 40 et 4 ne sont pas soumises la loi Sarbanes-Oxley.

Risque de fraude
Mentionn Charte d'thique Dpartement anti-fraude Formation 0 10 20 8 28 30 40 50 60 70 55 64

Moyens mis en uvre pour le contrle interne

80 70 60 50 40 30 20 10 0 64 59 51 32 46

c) Les dispositifs de contrle

Niveau de formalisation de contrle

Charte d'thique / de dontologie

Manuels de procdures comptables

Manuels de procdures internes

Charte d'audit interne

Manuel de contrle interne

Principales procdures financires

80 70 60 50 40 30 20 10 0 68 67 51 47 62

laboration et consolidation des comptes

Reporting

Suivi des engagements hors bilan

Suivi des actifs

Contrle qualit des infos financires

Concernant le degr de formalisation des procdures, plus de 90 % de lchantillon spcifie lexistence, la mise jour ou llaboration de manuels ou de guides de contrle interne. Cette dmarche de formalisation saccompagne quasi-systmatiquement dune volont de communication aux services concerns. Cette tendance reste un niveau lev et en lgre progression par rapport 2006. A contrario, il nest fait mention dun tableau de bord que dans 4 cas sur 10, ce qui reprsente nanmoins le double par rapport 2006. Ce tableau de bord a pour objectif damliorer le pilotage du dispositif de contrle interne ou des processus de gestion des risques. Les rapports analyss mentionnent lexistence des documents suivants : Charte dthique/de dontologie. Manuel de procdures comptables. Manuels de procdures internes. Manuels de contrle interne. Charte daudit interne. Principales procdures financires En ce qui concerne les procdures relatives llaboration et au traitement de linformation financire et

Procdures Gnrales
80 70 60 50 40 30 20 10 0
Identification et suivi des risques Contrle juridique Contrle oprationnel Dlgation de pouvoir/sparation des tches Plans de reprise ou de continuit

62 51 40

55 42

Pilotage du contrle interne

40 30 20 10 0 Direction Gnrale Direction du contrle interne Risk Management Comit d'audit Non prcis 18 10 2 34 30

La Revue / Dcembre 08 (10)

comptable, les entreprises communiquent le plus souvent sur : Les procdures dlaboration et de consolidation des comptes. Les procdures de reporting. Les procdures de suivi des engagements hors bilan. Les procdures de contrle de la qualit des informations financires et comptables. La qualit des informations financires, associe aux processus de reporting et dlaboration/consolidation des comptes est toujours au cur des proccupations en 2007 (9 entreprises sur 10, soit en moyenne 10 % de plus que lanne 2006). Principales procdures non financires Sagissant des procdures non financires du contrle interne, on retrouve : les procdures didentification et de suivi des principaux risques, les procdures de contrle juridique (respect des lois et rglements), les procdures de contrle oprationnel, les procdures de dlgation de pouvoirs/ sparation des tches, les plans de reprise ou de continuit dactivit. Les socits inclues dans lchantillon se sont appliques renforcer leur dispositif de contrle juridique. Dsormais, plus de la moiti des entreprises (autant du CAC 40 que du SBF 120) sont proccupes par le sujet, alors que seul un quart ltait une anne auparavant. Les autres points marquants concernent les procdures de dlgation de pouvoirs et les plans de continuit dactivit, qui ont t cits respectivement 55 et 42 reprises, soit 30 % de plus quen 2006.

Pilotage du contrle interne

70 % 60 % 50 % 40 % 30 % 20 % 10 % 0% Direction Gnrale Direction du contrle Risk Management interne Comit d'audit non prcis
7% 10 % 15 % 13 % 15 % 3% 32 % 63 %

2005 2006

Entit examinatrice des plans d'audit

Autres (ex. : comit excutif) 3% Comit d'audit et comit des comptes Comit des comptes 12 % et direction gnrale 7%

Comit d'audit 66 %

Comit des comptes 12 %

Le pilotage du contrle interne est assur dans la majorit des cas par la Direction Gnrale, assiste dans 50 % des cas par le comit daudit et en moindre proportion par la direction du contrle interne ou le Risk Management. Lvolution par rapport 2006 rside dans la volont dinstaurer des principes de gouvernance : le pilotage et la mise en uvre incombaient souvent la direction du contrle interne. Les tches de suivi, de pilotage et de mise en uvre sont dsormais effectues par des acteurs distincts. 61 rapports mentionnent lexistence dune fonction daudit interne en charge de vrifier le fonctionnement du dispositif de contrle interne, dapprcier lefficacit des procdures de contrle associes, et de formuler des recommandations damlioration si ncessaire. Cette

fonction est le plus souvent rattache la Direction Gnrale (38 socits), la direction financire (10 socits), ou au comit daudit (8 socits). Dans certains cas, la direction daudit interne est rattache au secrtariat gnral, ou la direction des risques. Les missions daudit interne suivent le plus souvent un plan daudit qui dcrit le primtre, le planning et les objectifs de la mission daudit. Il est examin pour 46 entreprises par le comit daudit. Dans 82 % des cas, le rapport prcise que les missions daudit interne aboutissent des recommandations qui font lobjet dun suivi.

e) Les systmes d'information

La majorit des entreprises utilise un intranet pour diffuser linformation relative au contrle interne. 80 % des entreprises utilisent des progiciels de reporting financier et/ou de consoli-

Systmes d'information

d) L'organisation du contrle interne

Le contrle interne se veut la dimension des groupes, impliquant les fonctions oprationnelles, comme les fonctions support, les fonctions ddies et la Direction Gnrale.

Intranet pour diffuser l'information

59

SI pour reporting financier

59

SI ddi au contrle interne 0 10 20 30

38

40

50

60

70

80

La Revue / Dcembre 08 (11)

valuation du contrle interne

Mentionn dans le rapport

Utilisation de questionnaires pour l'valuation du contrle interne

57

16 %

Non
Rsultat mentionn 9

Mise en vidence de points faibles de contrle interne 0

Oui

80

84 %

dation qui permettent aux socits de renforcer la qualit et la fiabilit des reportings financiers. Quelques rapports voquent lvaluation des systmes dinformation travers des audits informatiques, raliss par laudit interne ou des consultants externes. Les systmes dinformation permettent aussi dintgrer le rfrentiel de contrle interne et de documenter les processus oprationnels. Parfois, ils permettent dauto-valuer le contrle interne, les risques et de suivre des plans dactions associs aux faiblesses dtectes. Notons galement que les directions des systmes dinformation sont rarement cites comme des acteurs cls du contrle interne.

questionnaire dauto-valuation est dsormais cit dans plus de 70 % des rapports contre 60 % en 2006. Les acteurs qui pilotent lvaluation du contrle interne sont principalement laudit interne et les organes de direction.

g) Les projets d'amlioration du dispositif de contrle interne

Les dmarches que les entreprises souhaitent entreprendre pour renforcer le dispositif de contrle interne sont le plus souvent les suivantes : identifier les risques ou poursuivre leur analyse et leur suivi, entreprendre des dmarches de formalisation, mise jour et harmonisation des procdures, mettre en place ou amliorer leur dispositif dvaluation, aligner leur systme de contrle interne sur un rfrentiel (notamment le cadre de rfrence du contrle interne publi par lAMF), tendre le primtre de contrle interne. 26 entreprises citent dautres types de projets tels que la dtection de fraude ou des dmarches doptimisa-

tion du dispositif de contrle interne dans un objectif de rationalisation du nombre de contrles. On note enfin de nombreux projets lis aux systmes dinformation tels que des audits informatiques de scurit, des revues des accs aux systmes dinformation ou la mise en place de plans de reprise dactivit.

Conclusion
u-del de la mise en place progressive du cadre de rfrence de lAMF, lanalyse des rapports mis au titre de 2007 met par consquent en vidence que le contrle interne continue se structurer au sein des principales entreprises franaises cotes. Leurs dmarches sont de plus en plus centres sur leurs risques majeurs et incluent dsormais des phases de vrification de lefficacit oprationnelle des dispositifs mis en place. Couple au fait que les rles et responsabilits en matire de pilotage du contrle interne et de suivi des risques se clarifient progressivement et quils apparaissent comme de rels enjeux de management, cette volution semble indiquer que les entreprises acquirent progressivement une maturit qui leur permet aujourdhui denvisager dlargir le champ de leur contrle interne vers des aspects plus oprationnels et moins centrs sur linformation financire. La prochaine tape semble en effet rsider dans lutilisation du contrle interne en tant quoutil au service du pilotage des risques oprationnels et damlioration de lefficacit des processus. I Note :
. Ldition 2007 de l Enqute sur les rapports du prsident du conseil relatifs aux dispositifs de contrle interne ralise par PricewaterhouseCoopers est paratre fin juin 2008.

f) L'valuation du contrle interne

Plus dun tiers des rapports mentionne lvaluation du dispositif de contrle interne. Nanmoins, peu font mention du rsultat de lvaluation et des ventuelles faiblesses tant de conception que defficacit oprationnelle du contrle interne. Lutilisation de questionnaires dautovaluation sest rpandue en 2007, le

Projets lis au contrle interne

Autres Mise en place / amlioration du dispositif d'valuation

26 33

Extension du primtre du contrle interne Dmarches de formalisation, mise jour et harmonisation des procdures

8 38

Identification / mise jour, suivi des risques Alignement du systme de contrle interne sur un rfrentiel

47 25

10

20

30

40

50

La Revue / Dcembre 08 (12)