Dossier : Audit
Comment ont volu les dmarches des entreprises franaises en matire de contrle interne, depuis la publication en 2007 du cadre de rfrence de lAMF ?
Introduction
e contrle interne et plus gnralement la matrise des risques sont devenus au cours des dernires annes des sujets parmi les proccupations majeures des entreprises et de leurs dirigeants. De nombreux pays ont, linstar des tats-Unis et de la loi Sarbanes-Oxley, promulgu des lois visant prciser les obligations des dirigeants en matire de contrle interne conduisant de facto normer les dmarches dapprciation de lefficacit des dispositifs de contrle interne mis en place par les entreprises. Si le rgulateur amricain, dans le but de restaurer la confiance dans ses marchs financiers, a choisi dtre directif et focalis sur linformation financire, dautres pays comme la France ont opt pour une dmarche diffrente, plus large dans son primtre dapplication (audel de linformation financire) et offrant une plus grande latitude quant aux dmarches adopter pour
la mise en conformit. Ainsi ds 2001 la Loi de Scurit Financire (LSF) a impos aux prsidents des conseils dadministration (ou de surveillance) des socits anonymes faisant appel lpargne de rendre compte des procdures de contrle interne. Cette loi ne fournissant aucune indication quant au rfrentiel auquel les entreprises doivent se conformer, lAutorit des Marchs Financiers (AMF) a souhait les aider en dfinissant un qui leur permette de dvelopper et de piloter leur dispositif de contrle interne. Depuis janvier 2007 lAMF recommande par consquent aux entreprises franaises soumises la LSF lutilisation du cadre de rfrence quelle propose. Il nous a sembl utile, un an aprs lentre en vigueur de cette recommandation, danalyser la manire dont les entreprises franaises voluent dans leur dmarche de mise en uvre de leurs dispositifs de contrle interne et de matrise des risques et
comment elles ont commenc adopter le cadre de rfrence de lAMF. Nous avons ainsi conduit lanalyse du contenu des rapports des prsidents des principales entreprises franaises (CAC 40 et SBF 120) mis au titre de lanne 2007 et publis jusqu fin mai 2008.
Les projets damlioration du dispositif de contrle interne. Lanalyse de ces critres dans les rapports des entreprises permet dapprcier lvolution de leurs dispositifs de contrle interne depuis 12 mois et didentifier les objectifs quelles se fixent pour les prochaines annes.
22 % 3%
Mthodologie employe
16 % 23 %
Interne
53
46
42
ux
el
es
ls
ue
rid
em
du
rm
Ju
nn
In
fo
4 entreprises sur 5 mentionnent dsormais une mthodologie pour mettre en place le contrle interne, contre 1 sur 2 en 2006. Cette nette augmentation traduit galement ladoption du cadre de rfrence par les entreprises. En effet, 33 rapports mentionnent le cadre de rfrence de lAMF en 2007 contre 7 seulement en 2006.
les risques environnementaux (83 %), les risques industriels (74 %), les risques informatiques (64 %), les risques derreur ou de fraude (60 %). Par rapport lanne 2006, les entreprises ont cit plus frquemment les risques derreurs et de fraude (+ 25 %), informatiques (+ 24 %) et industriels (+ 19 %), oprationnels (+ 12 %) et environnementaux (+ 5 %). Cependant, les risques juridiques restent stables. 63 % des entreprises ne mentionnent pas lexistence de comits des risques. Le pilotage des risques est gnralement ralis par les directions du contrle interne et des risques, laudit interne ou encore le comit daudit. Mthodologie dlaboration des risques 44 entreprises mentionnent lexistence dune cartographie des risques, aussi appele grille ou matrice des risques. Sont galement voqus les axes danalyse de la cartographie, la famille des risques et la mthode de collecte des informations considres pour la construire. Il est noter que les dtails de la mthodologie dlaboration sont plus souvent
b) Les risques
50 % des entreprises numrent les risques auxquels elles sont soumises dans le rapport du Prsident. Pour les autres, les risques sont prsents dans une autre partie du document de rfrence. Les risques non financiers les plus cits sont : les risques oprationnels ou lis lactivit dans 88 % des cas, les risques juridiques dans 88 % des cas,
Existe-t-il un comit des risques ?
D' er re ur ou
En
vi
ro
In
de
ra
fra ud e
iq u
rie
ta
en
st
at
iq
dvelopps que dans les rapports de 2006. La majeure partie des entreprises sinscrit dsormais dans un processus annuel de mise jour de leur portefeuille de risques. Le risque de fraude Le risque de fraude occupe une place plus importante en 2007. Il est dsormais cit dans 76 % des rapports contre 35 % en 2006. 81 % des entreprises possdent une charte dthique ou de dontologie et 38 % ont mis en place des dmarches de sensibilisation qui passent notamment par la formation. 8 entreprises voquent lexistence dun dpartement anti-fraude contre 1 lanne prcdente. Parmi ces entreprises, 5 dentre elles font partie du CAC 40 et 4 ne sont pas soumises la loi Sarbanes-Oxley.
Risque de fraude
Mentionn Charte d'thique Dpartement anti-fraude Formation 0 10 20 8 28 30 40 50 60 70 55 64
Reporting
Concernant le degr de formalisation des procdures, plus de 90 % de lchantillon spcifie lexistence, la mise jour ou llaboration de manuels ou de guides de contrle interne. Cette dmarche de formalisation saccompagne quasi-systmatiquement dune volont de communication aux services concerns. Cette tendance reste un niveau lev et en lgre progression par rapport 2006. A contrario, il nest fait mention dun tableau de bord que dans 4 cas sur 10, ce qui reprsente nanmoins le double par rapport 2006. Ce tableau de bord a pour objectif damliorer le pilotage du dispositif de contrle interne ou des processus de gestion des risques. Les rapports analyss mentionnent lexistence des documents suivants : Charte dthique/de dontologie. Manuel de procdures comptables. Manuels de procdures internes. Manuels de contrle interne. Charte daudit interne. Principales procdures financires En ce qui concerne les procdures relatives llaboration et au traitement de linformation financire et
Procdures Gnrales
80 70 60 50 40 30 20 10 0
Identification et suivi des risques Contrle juridique Contrle oprationnel Dlgation de pouvoir/sparation des tches Plans de reprise ou de continuit
62 51 40
55 42
comptable, les entreprises communiquent le plus souvent sur : Les procdures dlaboration et de consolidation des comptes. Les procdures de reporting. Les procdures de suivi des engagements hors bilan. Les procdures de contrle de la qualit des informations financires et comptables. La qualit des informations financires, associe aux processus de reporting et dlaboration/consolidation des comptes est toujours au cur des proccupations en 2007 (9 entreprises sur 10, soit en moyenne 10 % de plus que lanne 2006). Principales procdures non financires Sagissant des procdures non financires du contrle interne, on retrouve : les procdures didentification et de suivi des principaux risques, les procdures de contrle juridique (respect des lois et rglements), les procdures de contrle oprationnel, les procdures de dlgation de pouvoirs/ sparation des tches, les plans de reprise ou de continuit dactivit. Les socits inclues dans lchantillon se sont appliques renforcer leur dispositif de contrle juridique. Dsormais, plus de la moiti des entreprises (autant du CAC 40 que du SBF 120) sont proccupes par le sujet, alors que seul un quart ltait une anne auparavant. Les autres points marquants concernent les procdures de dlgation de pouvoirs et les plans de continuit dactivit, qui ont t cits respectivement 55 et 42 reprises, soit 30 % de plus quen 2006.
2005 2006
Comit d'audit 66 %
Le pilotage du contrle interne est assur dans la majorit des cas par la Direction Gnrale, assiste dans 50 % des cas par le comit daudit et en moindre proportion par la direction du contrle interne ou le Risk Management. Lvolution par rapport 2006 rside dans la volont dinstaurer des principes de gouvernance : le pilotage et la mise en uvre incombaient souvent la direction du contrle interne. Les tches de suivi, de pilotage et de mise en uvre sont dsormais effectues par des acteurs distincts. 61 rapports mentionnent lexistence dune fonction daudit interne en charge de vrifier le fonctionnement du dispositif de contrle interne, dapprcier lefficacit des procdures de contrle associes, et de formuler des recommandations damlioration si ncessaire. Cette
fonction est le plus souvent rattache la Direction Gnrale (38 socits), la direction financire (10 socits), ou au comit daudit (8 socits). Dans certains cas, la direction daudit interne est rattache au secrtariat gnral, ou la direction des risques. Les missions daudit interne suivent le plus souvent un plan daudit qui dcrit le primtre, le planning et les objectifs de la mission daudit. Il est examin pour 46 entreprises par le comit daudit. Dans 82 % des cas, le rapport prcise que les missions daudit interne aboutissent des recommandations qui font lobjet dun suivi.
Systmes d'information
59
59
38
40
50
60
70
80
16 %
Non
Rsultat mentionn 9
Oui
80
84 %
dation qui permettent aux socits de renforcer la qualit et la fiabilit des reportings financiers. Quelques rapports voquent lvaluation des systmes dinformation travers des audits informatiques, raliss par laudit interne ou des consultants externes. Les systmes dinformation permettent aussi dintgrer le rfrentiel de contrle interne et de documenter les processus oprationnels. Parfois, ils permettent dauto-valuer le contrle interne, les risques et de suivre des plans dactions associs aux faiblesses dtectes. Notons galement que les directions des systmes dinformation sont rarement cites comme des acteurs cls du contrle interne.
questionnaire dauto-valuation est dsormais cit dans plus de 70 % des rapports contre 60 % en 2006. Les acteurs qui pilotent lvaluation du contrle interne sont principalement laudit interne et les organes de direction.
tion du dispositif de contrle interne dans un objectif de rationalisation du nombre de contrles. On note enfin de nombreux projets lis aux systmes dinformation tels que des audits informatiques de scurit, des revues des accs aux systmes dinformation ou la mise en place de plans de reprise dactivit.
Conclusion
u-del de la mise en place progressive du cadre de rfrence de lAMF, lanalyse des rapports mis au titre de 2007 met par consquent en vidence que le contrle interne continue se structurer au sein des principales entreprises franaises cotes. Leurs dmarches sont de plus en plus centres sur leurs risques majeurs et incluent dsormais des phases de vrification de lefficacit oprationnelle des dispositifs mis en place. Couple au fait que les rles et responsabilits en matire de pilotage du contrle interne et de suivi des risques se clarifient progressivement et quils apparaissent comme de rels enjeux de management, cette volution semble indiquer que les entreprises acquirent progressivement une maturit qui leur permet aujourdhui denvisager dlargir le champ de leur contrle interne vers des aspects plus oprationnels et moins centrs sur linformation financire. La prochaine tape semble en effet rsider dans lutilisation du contrle interne en tant quoutil au service du pilotage des risques oprationnels et damlioration de lefficacit des processus. I Note :
. Ldition 2007 de l Enqute sur les rapports du prsident du conseil relatifs aux dispositifs de contrle interne ralise par PricewaterhouseCoopers est paratre fin juin 2008.
26 33
Extension du primtre du contrle interne Dmarches de formalisation, mise jour et harmonisation des procdures
8 38
Identification / mise jour, suivi des risques Alignement du systme de contrle interne sur un rfrentiel
47 25
10
20
30
40
50