L efficacité du contrôle interne : De la compliance à l intégration à la stratégie de l entreprise

Transcription

1 ISSN : ISBN : N 11 - Octobre 2014 L efficacité du contrôle interne : De la compliance à l intégration à la stratégie de l entreprise

2 LA DFCG, L ASSOCIATION DES PROFESSIONNELS FINANCE-GESTION PRÉSENTATION DU COMITÉ SCIENTIFIQUE EN 50 ANS, LA DFCG EST DEVENUE UN RÉFÉRENT DANS LA SPHÈRE FINANCIÈRE En 1964 a été créée l ANCG, l Association Nationale des Conseillers et Contrôleurs de Gestion. Après quelques années d existence marquées par un fort développement du métier de contrôleur et le lancement de l Association Internationale (IAFEI), elle a décidé d adopter le nom d Association Nationale des Directeurs Financiers et de Contrôle de Gestion dont le sigle est DFCG. Aujourd hui, la DFCG est une association de professionnels - Directeurs Financiers et/ou Directeurs de Contrôle de Gestion - d entreprises privées ou publiques. Des enseignants et des conseils d entreprises dans les domaines de la gestion, des finances et des systèmes d information en sont également membres. Elle accueille les jeunes professionnels se destinant au plus haut niveau de la profession au sein du club DFCG Avenir. LA DIFFÉRENCE COMME SOURCE D ENRICHISSEMENT QUATRE MISSIONS ESSENTIELLES Créé en 2008, le Comité Scientifique poursuit quatre missions essentielles : RASSEMBLER l ensemble des compétences de la DFCG dans les domaines techniques d intérêt pour les directeurs financiers et de contrôle de gestion, FAIRE VIVRE le volet «intellectuel» de l Association, COMMUNIQUER auprès des médias sur des problématiques touchant nos professions, DONNER UN AVIS QUALIFIÉ sur des projets de textes législatifs ou réglementaires et leur application. n 1 des associations des professionnels finances-gestion membres sociétés représentant 1/3 du PIB de la France 50 d existence L Association compte quelques membres répartis dans tous les secteurs économiques et géographiques du pays. La DFCG regroupe toutes les tailles d entreprises, depuis la PME jusqu aux grands groupes internationaux. À l image du tissu économique français, une forte proportion de PME et ETI est représentée par ses directeurs administratifs et financiers ou directeurs finance-gestion. Cette diversité est une formidable source d échange d expériences et d enrichissement des débats. EXCELLER DANS NOS MISSIONS ENRICHIR professionnellement ses membres, par l échange d idées et d expériences, dans le cadre de manifestations et de formations, par la publication de sa revue Finance&Gestion et du blog Vox Fi, par les travaux de son Comité Scientifique. OUVRIR à chaque membre la richesse du réseau DFCG, structuré en groupes régionaux et en groupes sectoriels pour plus de proximité. INTERNATIONALISER nos contacts avec les associations similaires à l étranger, notamment au sein de l International Association of Financial Executives Institutes (IAFEI). INTERVENIR sur les problématiques comptables et financières en concertation étroite avec les associations professionnelles de la finance telles que l APDC (Association des Professionnels et Directeurs Comptabilité et Gestion), l AFIGESE (Association Finance - Gestion - Évaluation des Collectivités Territoriales), l AFDCC (Association des Crédit Managers), l AFTE (Association Française des Trésoriers d Entreprise), l IFACI (Institut Français de l Audit et du Contrôle Internes), l AMRAE (Association pour le Management des Risques et des Assurances de l Entreprise), l IFA (Institut Français des Administrateurs), EOA (European Outsourcing Association). SUSCITER la réflexion et le travail en commun pour faire émerger des pôles d expertise, permettant à la DFCG d être un acteur de référence dans le débat économique et financier. ACCUEILLIR ses membres dans un espace de convivialité, dans un réseau professionnel et solidaire. C est également la possibilité d intégrer plus rapidement la communauté financière et de progresser dans son quotidien avec une attention particulière portée sur la gestion de carrière. ÉCHANGER des expertises métiers complémentaires dans le cadre de la Maison de la Finance. Cette «Maison de la Finance», regroupant l AFDCC, l APDC et la DFCG, est une première initiative dans le monde associatif professionnel et permet, dès à présent, à tous les collaborateurs des services financiers des entreprises de se retrouver sous un même toit avec une panoplie complète de services et conseils pour les accompagner au quotidien dans le développement de leurs compétences : formations, ressources documentaires, événements, groupes de travail, commissions métier. SEPT COMMISSIONS THÉMATIQUES Chaque commission est co-présidée par un directeur financier et par un expert de premier plan et coordonne les travaux des groupes de travail qui lui sont rattachés : COMMISSION CONTRÔLE DE GESTION ET AIDE À LA DÉCISION, présidée par Olivier Stephan et Frédéric Doche ; COMMISSION SYSTÈMES D INFORMATION & SYSTÈMES D AIDE À LA DÉCISION, présidée par Denis Molho et Jean de Sigy ; COMMISSION CORPORATE FINANCE, présidée par Christian Nouvion ; COMMISSION GOUVERNANCE, présidée par Guillaume Lebeau ; COMMISSION MAÎTRISE DES RISQUES ET CONTRÔLE INTERNE, présidée par Florence Giot et Marc Duchevet ; COMMISSION NORMES COMPTABLES, présidée par Éric Ropert et Emmanuelle Cordano ; COMMISSION FISCALITÉ D ENTREPRISE, présidée par Gianmarco Monsellato et Romain Grau. Les travaux des groupes de travail peuvent concerner des thèmes d actualité, une réflexion, la technique ou une vision prospective. Ils sont ensuite restitués sous forme de publications (articles ou dossiers dans Finance&Gestion, cahiers techniques, fiches point de vue ) ou de participations à des tables-rondes lors d événements. Le Comité Scientifique publie des ouvrages dans une collection DFCG-Eyrolles, dirigée par François-Xavier Simon. Pour tout renseignement complémentaire, contactez Stéphanie POINDRELLE, au ou stephaniepoindrelle@dfcg.asso.fr 3

3 n 11 Groupe de travail présidé par : Florence GIOT, VP Finance Efficiency, ALSTOM SOMMAIRE COMPOSITION du groupe de travail Membres du groupe de travail : Jean-Paul ARTAUD, Responsable Mission «Maîtrise des Risques», RTE Murielle BESSARD, Gestion des risques opérationnels et contrôle interne, RTE Kristine BUCHOLD, Contrôleuse de Gestion, REXEL Xavier DECROOCQ, Directeur Finance, Groupe VIZADA Hervé de FONTENIOUX, Senior Consultant, ATOS Consulting François JEAN, Responsable Département Reporting international, AFNOR Pascal KEREBEL, Consultant senior expert, CEGOS Maurice LECROEL, Head of Internal Control, GDF SUEZ Energy Europe INTRODUCTION Résumé introductif et lien avec le précédent cahier technique Le Dispositif de contrôle interne existant L état de l art : l état des lieux du dispositif de contrôle interne L évaluation du niveau de maturité du dispositif de contrôle interne Les moyens associés au déploiement du dispositif de contrôle interne Une équipe de contrôle interne dédiée Les outils dédiés Le portage du dispositif de contrôle interne par la gouvernance MESURER LA PERFORMANCE / OPTIMISER LE DISPOSITIF DE CONTRÔLE INTERNE Mesurer la performance du dispositif de contrôle interne Préciser les attendus du contrôle Renforcer l implication des opérationnels par rapport au dispositif de contrôle interne : la pratique de l auto-testing Adapter le dispositif et cibler les zones critiques De la nécessité de déterminer les zones critiques Pour adapter le dispositif de contrôle interne Les Modalités d enrichissement du dispositif de contrôle interne L évolution de la réglementation et l intégration de multi-contraintes liées à différentes places de cotation L existence de nouvelles impulsions données par les directives groupe Le retour d expérience analysé via la revue du contrôle interne Adapter le niveau de contrôle en fonction de l appétence aux risques des dirigeants Maîtriser le coût du contrôle et démontrer la valeur ajoutée apportée par le contrôle interne via les plans d action correctifs Le chiffrage du dispositif de contrôle interne La création de valeur par le contrôle interne, via la mise en œuvre des plans d action correctifs Dispositif de lutte anti-fraude & protection de la création de valeur actionnariale La psychologie du fraudeur et les raisons du passage à l acte Positionnement du dispositif de lutte anti-fraude dans le système de contrôle interne La mise à jour des manuels et le risque de fraude

4 2. LE CONTRÔLE INTERNE UTILISÉ EN TANT QU OUTIL DE DÉVELOPPEMENT OPÉRATIONNEL DE L ENTREPRISE Partager les bonnes pratiques, harmoniser les processus et embarquer les contrôles au système d information Le contrôleur interne : un Business partner De la transcription de recommandations génériques à leur application pratique Vers l harmonisation des processus A l intégration des contrôles à l ERP/PGI (Enterprise Resource Planning / Progiciel de Gestion Intégré) De la compliance au pilotage intégré de la performance Les scenarii de rupture : Fusion/Acquisition, Mise en place de Centres de Services Partagés (CSP), Joint-Venture (JV)/Joint-Agreement Contrôle interne et évolution du périmètre de consolidation Fusion-absorption et acquisition de sociétés Co entreprise et société affiliée Abandon d activité, restructuration et reconversion industrielle Contrôle interne et évolutions majeures organisationnelles Passage en mode centres de services partagés (CSP) Externalisation Délocalisation CONCLUSION INTRODUCTION Le contrôle interne est souvent perçu dans de nombreuses organisations, comme étant un dispositif répondant à une ou des exigences réglementaires et n apportant aucune valeur ajoutée, voire paralysant la performance opérationnelle. Dans le même temps, et depuis les crises financières des années 2000, les obligations légales 1 ou réglementaires en matière de sécurisation financière, ainsi que les diligences accrues demandées aux administrateurs 2, poussent au contraire à renforcer la gouvernance 3 et les dispositifs tant de maîtrise des risques que de contrôle interne. De fait, les équipes de management plus particulièrement en charge d apporter une réponse à ce surcroit de diligence et de contrôle se trouvent tiraillées avec la nécessité absolue de garantir la performance opérationnelle au quotidien. L objet du présent cahier technique est de faire tomber des préjugés infondés, en démontrant qu un dispositif de contrôle interne robuste et efficace s inscrit dans le portage de la stratégie de l entreprise, sécurise l atteinte des objectifs et est créateur de valeur actionnariale. Dans la première et la deuxième partie du présent cahier technique, nous démontrerons la nécessité, compte tenu de la prise en compte d un niveau de maturité initial du dispositif de contrôle interne dans l entreprise, de piloter la montée en puissance de l efficacité de ce dernier, non pas uniquement pour des raisons de conformité réglementaire, mais surtout dans l optique de créer un dispositif de contrôle interne robuste, protecteur de la rémunération à long terme de l actionnaire, du cashflow et de l atteinte des objectifs. Un contrôle interne robuste se doit d être un élément majeur du capital immatériel de l entreprise et la question se pose de savoir comment évaluer sa contribution à l efficacité, voire jusqu à son impact sur l évaluation du Goodwill dans un processus de fusions/ acquisitions, ce qui mériterait un article dédié. La deuxième partie explique aussi quels outils permettent de mesurer et d augmenter la performance du dispositif de contrôle interne, de présenter les éléments de valeur ajoutée qu il apporte et d analyser les nouveaux axes de développement. La troisième partie montre comment un contrôle interne efficace devient un outil de portage de la performance opérationnelle de l entreprise, et comment il s inscrit dans la boite à outil du top et middle management. Elle présente entre autre les pistes de communication et les axes à développer pour faire la promotion interne du dispositif de contrôle interne et faire adhérer les managers opérationnels à ce dispositif (transformation de freins en bénéfices perçus). Cette partie aborde également les scenarii de rupture et de crise qui peuvent être associés à l évolution d un dispositif de contrôle interne dans un groupe Dont : - La loi NRE, no du 15 mai 2001 relative aux nouvelles régulations économiques, en ses dispositions sur le droit des sociétés - Loi sur la Sécurité Financière, no du 1 er août Ordonnance du 8 décembre Depuis l ordonnance de 2008, l activité de contrôle interne et la gestion des risques sont associées par la loi. Les initiatives européennes et nationales en matière de sécurisation financière ont alourdi les charges de surveillance et de contrôle financier dans de nombreuses sociétés. Elles impliquent les administrateurs qui y participent au sein d un conseil et désormais de certains comités ad hoc. 3. Gouvernance et Contrôle interne, ouvrage collectif ADAE, éd. L Harmattan, (Dans le cadre des premiers pas dans le contrôle interne, l ADAE préconise l évaluation préalable du niveau de maturité de la gouvernance de l entreprise. Pour ce faire, la matrice MGA qu elle propose constitue un bon point de départ pour que l entreprise assume sa spécificité et adopte une gouvernance adaptée pour maîtriser son contrôle interne et son exposition aux risques). 7

5 Résumé introductif et lien avec le précédent cahier technique Le dispositif de contrôle interne existant Dans le hors-série N 1 de novembre 2010, nous avions cherché à préciser les étapes et difficultés associées à la construction d un système de contrôle interne performant, la trajectoire d amélioration de ce dispositif et les leviers de communication interne et externe de ce dernier. Avant d aborder ce hors-série N 11 consacré à l optimisation du dispositif de contrôle interne et à la relation de ce dernier avec la stratégie de l entreprise nous allons rappeler les principaux postulats du précédent cahier technique. Année 1 Séparation des tâches Délégation de pouvoirs MODELE DE BASE Année 2 Questionnaire relatif au contrôle interne de l information comptable et financière 1. L ÉTAT DE L ART : L ÉTAT DES LIEUX DU DISPOSITIF DE CONTRÔLE INTERNE 1.1. L évaluation du niveau de maturité du dispositif de contrôle interne A ce stade, l entreprise a déployé les prérequis de tout dispositif de contrôle interne : cartographie des processus, cartographie des risques, principaux points de contrôles couvrant les risques (matrice processus risques contrôles). Le questionnaire de contrôle interne est formalisé. Elle organise des campagnes d auto-évaluation régulières, remonte les dysfonctionnements, et suit les plans d actions, comme élément clé de réduction du niveau d exposition aux risques. Selon le schéma publié dans notre hors-série N o 11 sur le contrôle interne : l entreprise est au niveau «modèle de maitrise». Année 3 Cartographie des risques Cartographie des processus Questionnaire relatif à l analyse et à la maîtrise des risques Mesure de l efficacité du dispositif - Key Performance indicators - Key Risk indicators - Indicateurs de Pilotage MODELE DE CONTRÔLE MODELE DE MAITRISE MODELE D EVALUATION un tableau de bord consolidé intégrant : d une part les indicateurs de performance (atteinte des objectifs) et de pilotage (allocation de moyen et dysfonctionnement du processus) produits par la qualité et le contrôle de gestion et d autre part les KRI / Indicateurs de Contrôle Interne produits par le contrôle interne et le risk management permettant au manager de disposer d une vision d ensemble du processus dont il a la responsabilité? - L organisation du dispositif de gouvernance des risques de l entreprise (contrôle interne, audit interne, risk management ) est-elle optimale? et permet-elle in fine de pousser l efficacité de ce dispositif? Le constat du groupe de travail fait état de fréquente nonsynchronisation dans ce domaine : les méthodologies et les outils ne sont pas forcément alignés ; il n existe pas à proprement parler de pratique standard de place (i.e. l ensemble des sujets placés sous la même direction versus des fonctions distinctes), tout dépend en pratique de l historique, des personnes en place et des demandes exprimées par les parties prenantes (direction générale, comité d audit, régulateurs, gouvernance ). Cette non synchronisation peut être lourdement préjudiciable en terme d efficacité du contrôle interne, puisque certaines activités de contrôle proposées peuvent être incohérentes (et non proportionnées) avec l évolution du véritable niveau d exposition aux risques. De la même manière, les questionnaires de contrôle interne sont souvent initialement réfléchis par processus, avec une intégration ultérieure des risques associés définis contrôle par contrôle. Il convient donc de veiller à ce qu il existe une vision discriminante pour chaque risque majeur issu de la cartographie des risques et que chaque risque majeur ressorte bien dans la structure des questionnaires et soit cohérent avec les activités de contrôle proposées. La fréquence des mises à jour des manuels de contrôle interne et des évaluations n est pas toujours gérée de manière cohérente et synchrone (nouveaux risques générant de nouvelles activités de contrôle, mais aussi suppression d activités de contrôle si le risque est devenu sans objet). En effet, certains risques associés aux processus sont impactés par des actions de transformation, des projets, ou des évolutions rapides qui rendent une fréquence annuelle inadaptée. Le passage d un contrôle interne centré sur l information comptable et financière à un dispositif couvrant également les risques opérationnels n est pas toujours bien réalisé. Par exemple, les échelles de cotation doivent être revues et affinées (les impacts ne sont plus simplement de nature financière mais aussi qualitatifs impact sur l image de marque, impact sur la notation, l horizon de raisonnement peut dépasser l exercice en cours ). 8 Le dispositif de contrôle interne Afin d atteindre le niveau «modèle d évaluation», certaines questions doivent être posées. L objet du présent cahier technique est de proposer des bonnes pratiques apportées par le groupe de travail à ses interrogations : - Les KRI (Key Risk Indictors) / Indicateurs de Contrôle Interne sont-ils cohérents avec les indicateurs de performance des processus permettant de s assurer de l atteinte des objectifs opérationnels associés? et d une façon générale, n existe-t-il pas de conflits d objectifs en terme de performance, flexibilité et réactivité d une part, et de sécurisation du processus d autre part? Exemple, sur le processus achats, les points de contrôle clefs peuvent être en place (entre autres les contrôles bloquants préventifs de la fraude), mais en revanche se traduire par des délais de traitement et de règlement dégradés, générant une non-qualité perçue par les fournisseurs et les opérationnels et une moins bonne maîtrise globale du processus. - Pour optimiser le pilotage de la performance opérationnelle par les propriétaires de processus, est-il envisageable de produire Le niveau de profondeur et d assurance fourni par le dispositif de contrôle interne n est pas toujours ajusté en fonction des risques à couvrir : parfois, une simple auto-évaluation du management suffit ; dans d autres cas, des tests détaillés réalisés par des tiers (audit interne par exemple seront nécessaires). De la même manière, la fréquence des revues devra être appréciée au cas par cas. In fine, plus le dispositif est complet et plus le coût en sera élevé (coût des contrôles de premier niveau, supervision par le management, réalisation des autoévaluations, performance des tests, etc). - L ensemble des risques est-il couvert? Si une entreprise prétend ne pas couvrir l ensemble des risques et des processus par son dispositif de contrôle interne, elle se doit de justifier comment la maîtrise des activités non couvertes est assurée par d autres dispositifs de pilotage de performance de l entreprise (risk management, qualité, RSE, développement durable, etc). Par exemple : la problématique du contrôle export dans le secteur militaire et aérospatial peut être confiée à un dispositif particulier pour prévenir tout risque majeur de collusion, de corruption active ou passive. De même, certains groupes isolent le dispositif de lutte anti-fraude interne et externe alors que 9

6 10 d autres intègrent le risque de fraude au sein des manuels de contrôle interne. L ensemble des combinaisons sont possibles à condition de vérifier qu il n existe pas de redondances et qu à l opposé, il n existe pas de domaine non couvert par un dispositif dédié Les moyens associés au déploiement du dispositif de contrôle interne Une équipe de contrôle interne dédiée A ce stade, l entreprise est sortie du mode projet pour passer en mode processus récurrent. Elle a généralement une équipe de contrôle interne dédiée en central avec fréquemment des correspondants par filiale significative, par zone géographique et par unité d affaire. En revanche, les relations avec les autres fonctions sont souvent peu claires et non optimisées. Les fonctions travaillent souvent en silos (audit, contrôle interne, qualité, finance ) sauf tentative de créer des directions intégrées. En mode contrôle interne optimisé (niveau de maturité élevé et réfléchi dans une logique d amélioration continue) il convient de se reposer un certain nombre de questions quant : - au profil de la fonction (compétences requises : viser non pas seulement des profils financiers mais rechercher des profils plus opérationnels, privilégier des profils plus expérimentés capables de faire du design de processus et réfléchir à l architecture d un dispositif de contrôle interne, versus des profils plus junior) - au positionnement de la fonction : ligne de reporting (Finance / Direction Générale), lien avec les autres fonctions (Direction des Risques, Direction de la Qualité, Direction de l Audit Interne ) en prenant systématiquement en compte la dimension «prévention du risque de conflit d intérêt» (exemple : risque d être juge et partie, risque de résultats d auto-évaluation biaisés, etc ) Les outils dédiés Afin de gérer efficacement les campagnes d envoi et de traitement des questionnaires d auto-évaluation, il est recommandé de disposer d un outil de gestion des questionnaires de contrôle interne (type : Enablon, SAP GRC, Oracle GRC, RVR, outil maison, etc ) afin de faciliter la remontée et le traitement des dysfonctionnements et avoir une vision synthétique du reporting et du monitoring (notes des auto-évaluations, tests par cycle de contrôle interne, filiale, pays, zone). C est un prérequis non négociable pour les grands groupes, du fait des volumes gérés et de l exigence de traçabilité demandée par les audits (interne et externe) sans lequel l optimisation du dispositif de contrôle interne ne semble pas envisageable. 2. LE PORTAGE DU DISPOSITIF DE CONTRÔLE INTERNE PAR LA GOUVERNANCE Le portage réel et sincère du dispositif de contrôle interne par la gouvernance et le top management de l entreprise est une condition non négociable de montée en puissance de la maturité du dispositif de contrôle interne. Cela peut se traduire par exemple par la nomination de sponsors contrôle interne sur les filiales significatives, membres du conseil d administration ou du comité exécutif. Ces derniers doivent via leur légitimité et leur leadership faire la promotion du dispositif auprès de l ensemble des parties prenantes salariés, banquiers, analystes, agences de notation, etc. A ce titre, ils se doivent d être exemplaires dans leur attitude et leur pratique. Ainsi certains groupes ont volontairement créé des manuels de contrôle interne éthique et déontologique, sur lesquels les dirigeants doivent s auto-évaluer régulièrement (risque de délit d initié, prévention de la corruption active-passive, atteinte au fonctionnement du marché). Ces manuels prévoient également des tests réalisés par le contrôle interne permettant de s assurer de la mise en œuvre effective de ces points de contrôle. Il est effet inenvisageable de faire monter le niveau d efficacité du contrôle interne si les dirigeants et la gouvernance ne sont pas soumis aux mêmes contraintes, exigences, et aux mêmes règles du jeu que l ensemble des collaborateurs. Mesurer la performance / Optimiser le dispositif de contrôle interne 1. MESURER LA PERFORMANCE DU DISPOSITIF DE CONTRÔLE INTERNE Une première tendance minimaliste consiste à avoir une vision mécanique de la mise en œuvre des contrôles, consistant à considérer que la réalisation des campagnes d autoévaluation, la mise en place des plans d actions et le testing relèvent d une simple obligation de moyen. Ce type d approche présente de nombreuses limites ; - L évaluation de l efficacité du dispositif est indirecte, non démonstrative. Elle ne permet pas directement de répondre affirmativement à la question de la sincérité des comptes, - Cette démarche est statique et mécanique. Le raisonnement est cohérent et sécurisant mais ne permet pas vraiment de répondre à l efficacité directe (relation de cause à effet) des activités de contrôle proposées, - Le risque majeur réside dans l existence d une déconnection entre l évaluation du dispositif de contrôle interne et l atteinte des objectifs. Il s agit en raisonnement symétrique du syndrome ISO 9001 : l entreprise démontre que son organisation est tournée vers une qualité perçue par le client, cela ne signifie en aucun cas que le produit soit de qualité! Cette approche à minima doit être complétée par : - L analyse des résultats des audits, internes et externes, - L analyse de KPI (Key Performance Indicators) ayant un rapport avec les cycles de contrôle interne et l analyse des incohérences observées, - La mise en place d un dispositif de remontée des incidents. En synthèse, l évaluation de l efficacité du contrôle interne réside dans l intime conviction qu a le contrôleur interne à avoir agi sur le niveau de l exposition aux risques. Il se doit d évaluer la cotation nette du risque en prenant en compte les résultats des autoévaluations, les tests, la mise en œuvre des plans d action correctifs, les alertes remontées par les auditeurs internes et externes, les incidents opérationnels déclarés, les indicateurs opérationnels, etc 1.1. Préciser les attendus du contrôle Afin de sécuriser les auto-évaluations et s assurer que les contrôles répondent aux attentes et sont exercés de façon efficace, une première étape vise à préciser les attendus du contrôle via la rédaction d objectifs-assertions associées à chaque cycle de contrôle interne (s assurer que le risque est supprimé ou a minima mis sous contrôle). Il s agit d être plus directif quant à ce qui doit être fait (c est à dire lister les sous-activités et les différentes étapes du contrôle) via la rédaction d éléments plus détaillés présentés comme étant les exigences recherchées à minima en terme de contrôle interne. Concrètement, cela va se matérialiser par un déroulement en 3 étapes : Etape1 : le contenu de la procédure correspond à l exigence du groupe? Etape 2 : si oui, la procédure locale est-elle efficace (c est-à-dire couvre-t-elle réellement le risque)? Etape 3 : ce résultat est-il corroboré par des KPI / métriques? Exemple : Etape 1 : l élément de contrôle est décrit. Exemple : la procédure groupe exige systématiquement l émission d un bon de commande. Etape 2 : les caractéristiques du contrôle sont précisées. Exemple : bon de commande issu de l ERP, dument validé par le manager accrédité, émis avant réalisation de la prestation et réception de la facture. Etape 3 : le taux d anomalies maximum autorisé est défini. Exemple : 90% de factures avec commande, 0% de bon de commande émis après réalisation de la prestation et/ou après réception de la facture. 1 11

7 1.2. Renforcer l implication des opérationnels par rapport au dispositif de contrôle interne : la pratique de l auto-testing Toujours en restant dans le domaine de l auto-évaluation, l entreprise peut mettre en place des campagnes d auto-testing «pratique des 4 yeux» afin de sécuriser les remontées des unités et re-dynamiser le dispositif (principalement utile quand tous les contrôles sont estimés «efficaces» par les unités). Cette pratique de l auto-testing vient Cycle Risk Control objective Control activity Number / Title Control activity description compléter les techniques de tests classiques réalisées par des équipes de contrôleurs internes dédiés. Le principe de l auto-testing est le suivant : sur la base de plan de test et de règles d échantillonnage définies en central, les entités/départements vont «s auto-tester» sur un certain nombre de contrôles (après formation dédiée sur les techniques de test mais en n intervenant pas sur les activités de contrôle qu ils réalisent au fil de l eau). Cf exemple de fiche de test ci-dessous : Treasury Payment security control risk : cash or securities may be lost, stolen, destroyed, or temporarily diverted. Errors and omissions in physical safeguarding, authorisation, and transaction processing may not be detected and corrected. Payment security control : means of payment are properly controlled and secured. C083.02/Bank account reconciliation process All bank accounts are reconciled with bank statements at least monthly, are performed by an employee independent of the cash receipt and disbursement functions, and are reviewed and approved by a supervisor. Actions to clear reconciling items are quickly initiated and there should be no reconciling item over 3 months. Les avantages majeurs de l auto-testing sont de permettre de s assurer que les contrôles fonctionnent correctement dans le temps et de détecter des anomalies/dysfonctionnements que l on n aurait pas nécessairement décelés autrement. Il permet aussi une implication optimale des opérationnels vis-à-vis du dispositif de contrôle interne. Les difficultés de l auto-testing sont les suivantes : il faut être suffisamment précis & directif (de façon à éviter les erreurs d interprétation et de méthode employée) tout en laissant place au libre-arbitre et nommer un tuteur (contrôle interne) qui présentera les techniques de performance de tests (interviews, audit documentaire, plans d échantillonnage, etc.) et s assurer de l application effective des règles éthiques et déontologiques associées à la pratique des tests. degré de disponibilité de l information, confidentialité de l information traitée, criticité des interfaces entrantes et sortantes, complexité du processus. Les outils suivants sont aussi à prendre en considération pour déterminer les zones à risques : - les cartographies de risques existantes, - le recensement des risques avérés par l exploitation des bases d incidents et de dysfonctionnements des processus, rapports d audits, indicateurs de performance et revues de processus, - identification des risques potentiels en se centrant sur les objectifs à atteindre et les événements potentiels qui peuvent en compromettre l atteinte ou en se comparant avec des concurrents cotés (chapitre facteurs de risques du document de référence). 12 Test sample (testing periods) Documents / rights to be obtained Test steps (generic) Inspection Exceptions noted (Unit specific) Level of maturity (Unit specific) Tester s name & function Testee s name & function Random selection of 4 months from the current fiscal year Random selection of 3 bank accounts (or all if less) for each of the selected month Bank account reconciliations. Bank accounts parameters in ERP/accounting system (this should provide you with the complete list of bank accounts set in the system including those with a zero value which the G/L often hides). Bank statements. Bank sub-ledgers. For the 4 selected months and selected bank accounts check the following 1. There is a reconciliation for all bank accounts shown in ERP/accounting system parameters. 2. Bank reconciliations tie up with related bank statements and GL. 3. Reconciling items are not older than 3 months. If so, they are justified 4. Ensure for the 6 most significant reconciling items (or all if there are less) that they are promptly cleared (with bank statements, bank ledgers of the next period). 5. Bank reconciliations are done by a person independent of cash receipt or disbursement function (or a mitigating control exists). 6. Bank reconciliations are approved as per the Unit DoA or procedure and formally signed. Existence of control (implementation) Existence of control (implementation) Existence of control (implementation) Existence of control (implementation) Existence of control (design) Existence of control (implementation) Tests results (Unit specific) Yes / No Comments 2. ADAPTER LE DISPOSITIF ET CIBLER LES ZONES CRITIQUES 2.1. De la nécessité de déterminer les zones critiques Construire un contrôle interne efficace, ne signifie pas développer une approche linéaire et systématique, mais au contraire construire une approche discriminante, multi critères permettant de s assurer d une diminution effective du niveau d exposition aux risques. Dans ce contexte, il existe différents critères de fixation des zones critiques : - poids du processus analysé dans les états financiers de l entreprise (bilan, état des performances, état de variation des flux de trésorerie), - niveau d exposition aux risques en brut et en net, c'est-à-dire avant et après mise en œuvre d activités de contrôle efficaces ; le comité d audit se concentrant sur les risques pour lesquels la cotation nette est égale à la cotation brute, c'est-à-dire les risques sur lesquels l entreprise ne parvient pas à agir, - en dehors du critère de la matérialité du processus dans les comptes, qui est un critère classique utilisé en terme de révision comptable, il est nécessaire d intégrer d autres paramètres tels que : exigence en terme de complétude du flux, Il faut aussi systématiser l analyse des risques via une analyse causale et une analyse de leur impact en utilisant le cadre de référence de l AMF sous la double dimension de «menace» ou «d opportunité manquée», en le reliant à un fait générateur spécifique, en identifiant les causes et les conséquences possibles. Dans le cadre de la mise en œuvre de la boucle d amélioration continue du contrôle interne, après les étapes d identification et d évaluation du risque objectivées, viendra celle de son traitement effectif : - la suppression ou l évitement : en cessant les activités à l origine du risque, - le transfert : réalisé par la souscription de produits d assurance, la mise en place d opérations de couverture-produits dérivés ou autres techniques de transfert contractuel des risques hors assurance, - la réduction par des mesures visant à réduire la probabilité de survenance et/ou l impact du risque : ce sont les actions relevant du dispositif de contrôle interne, - l acceptation du risque en ne prenant aucune des mesures précédentes nécessitant la mise en œuvre de techniques d autofinancement des risques volontaire. En ce qui concerne plus spécifiquement la technique de réduction du risque, il 13

8 conviendra de distinguer les actions de «maîtrise», les actions de «contrôle» et les actions de «surveillance» : - les actions de maîtrise : ce sont les actions en cours ou nouvelles qui visent à réduire le risque à un niveau acceptable tant en impact qu en fréquence. Si le risque est jugé acceptable, il ne sera pas nécessaire de le traiter par des actions nouvelles. Ces actions interviendront tantôt sur les causes (préventif), tantôt sur les conséquences (protection) du risque, et viendront modifier sa mesure (impact et/ou fréquence). On peut se questionner sur l efficacité de ces actions de maîtrise dès lors que risque net (après actions de maîtrise) est voisin du risque brut (avant actions de maîtrise) ou n atteint pas le niveau souhaité. Dans un tel cas, l action de maîtrise serait à reconsidérer. - les actions de contrôle : selon l AMF, ces actions sont conçues pour s assurer que les actions de maîtrise du risque sont effectivement mises en œuvre. Selon la norme ISO 9001, elles permettent d évaluer la conformité à un référentiel par observation et jugement accompagné, si nécessaire, de mesures d essais. Elles doivent être effectuées à des étapes appropriées de la réalisation d un «produit» pour vérifier que les exigences relatives à ce produit sont satisfaites. Elles se traduisent par des contrôles clés sélectionnés selon les risques et enjeux à priori, avant délivrance du produit pour en garantir la conformité aux exigences. - les actions de surveillance : leur finalité sera de vérifier l efficacité du dispositif à postériori (après livraison du produit) au regard de l objectif à atteindre. Elles ne doivent pas être confondues avec les activités de contrôle. Exemple de différenciation entre moyen de maîtrise, action de contrôle et de surveillance sur les processus personnel, activité de remboursement des frais de déplacements. Objectif Risque Moyen de maîtrise Action de contrôle Surveillance contrôle interne, qui ne couvrent qu un nombre limité de risques. L équilibre idéal est trouvé lorsque l on est en mesure d identifier les activités de contrôle qui prolongent la couverture des risques de l environnement de contrôle. Ainsi, un contrôle des droits d accès au système d information contribue à la couverture des risques d environnement de contrôle tels que la fraude, la sécurité de l information, les délégations de pouvoir, la séparation des fonctions. Articulation entre les dispositifs de contrôle interne et de cartographie des risques Analyse de risques détaillée Contrôle interne : maîtrise systématique et priorisée des risques et activités Traitement Plans d actions Evaluation Validation Reporting Conformité et respect des décisions Groupe (Guide CI) Risques «métier», opérationnels, projets, externes, stratégiques, organisationnels... Actions de maîtrise Plan de Contrôle Interne Auto-évaluation Rapport de CI - Objectifs Groupe - Objectifs Entité Les risques majeurs de l entité proviennent - d une sélection des analyses détaillées - et d une analyse par le management La maîtrise des risques majeurs est pilotée au sein du dispositif de contrôle interne Reporting en cohérence Cartographie des risques : prise de recul et priorisation stratégique pour la maîtrise des risques majeurs Partage sur les risques au sein de la direction (identification et hiérarchisation Stratégies de maîtrise Plans d actions priorisés Suivi d efficacité Cartographie des risques Sélection des risques majeurs Caractérisation des risques majeurs Priorisation stratégique Validation Reporting Eviter la fraude sur les notes de frais Fraude sur les notes de frais Barème de note de frais et règles de prise en compte de ces frais Un positionnement pertinent des contrôles sera à rechercher ce qui permet de réduire leur nombre et leurs coûts. Une analyse détaillée du processus considéré, passant en revue les tâches élémentaires constitutives de ce processus, sera nécessaire pour déterminer les contrôles clés à mettre en place. L automatisation des contrôles dans les systèmes d information-progiciels intégrés sera à envisager : - pour éviter le rejet par les utilisateurs, il est nécessaire de privilégier les contrôles non invasifs (messages d alerte non bloquants). - pour s assurer que le contrôle est bien fait, il est indispensable de mettre en place des alertes (pop-up) sur des flux financiers sensibles. Il est aussi indispensable de réfléchir à Vérification par un responsable de la bonne application des règles avant validation Contrôle régulier sur échantillon l évolution de l équilibre entre les différentes composantes du dispositif de contrôle interne : en renforçant l environnement de contrôle et/ou en approfondissant l analyse des risques. Une telle démarche permet de mieux rationaliser les activités de contrôle et de s inscrire ainsi dans la durée en consolidant environnement de contrôle et analyse des risques. En effet, la composante «environnement de contrôle» du COSO est le socle du dispositif qui couvre souvent plusieurs risques connexes et s applique à l ensemble des processus. Le renforcement de cette dimension s avère être souvent moins «coûteuse» que la mise en œuvre d activités de contrôle spécifiques à chaque manuel de 2.2. Pour adapter le dispositif de contrôle interne La résultante de cette analyse est la qualification des contrôles en «clés» et «non clés». Les contrôles «clés» constituent le socle de base et doivent être sécurisés en priorité. Exemple: séparation des taches, délégation de pouvoir, code d éthique, qualification fournisseur, sélection fournisseur, rapprochement bancaire, approbations des paiements, backup informatiques. Ils seront évalués systématiquement sur la période, alors que l évaluation des contrôles «non clés» pourra se faire de façon aléatoire ou sur la base d un rythme pluriannuel. Sur cette base, un questionnaire d autoévaluation à géométrie variable peut être déployé en fonction des enjeux et de la taille de l entité à laquelle il s adresse (rapport complet et simplifié peuvent cohabiter sur la base d un même guide de contrôle interne), en restant vigilant sur le fait que limiter d emblée le périmètre à certaines entités peut être «néfaste». Il est préférable de considérer que le questionnaire complet s applique à tous et d utiliser la logique du «comply or explain», c'est-à-dire demander à l opérationnel d expliciter pourquoi telle ou telle activité de contrôle est non applicable par rapport à son périmètre d intervention effectif. Trop souvent, on considère «à tort» qu il y a des domaines du contrôle interne réservés à certaines entités (souvent opérationnelles) ce qui n incite pas les entités fonctionnelles à s appuyer sur le contrôle interne comme un levier potentiel pour accompagner leurs décisions. Par ailleurs, pour les contrôles «non clés», l entreprise pourra décider de cadencer les campagnes d auto-évaluation sur la base des résultats obtenus si les indicateurs de 14 15

9 performance le permettent. Si depuis un certain nombre de mois les indicateurs sont au vert la fréquence d auto-évaluation peut être réduite. Dans ce contexte, on peut prévoir que les entités opérationnelles ne feront pas l objet d une auto-évaluation complète tous les ans et prioriser les tests en fonction de l inter-comparaison réalisée entre les entités (via l auto-évaluation + une analyse de KPI + des indicateurs de non-qualité fournis par des partenaires + des indicateurs qui «font» douter de la maîtrise du processus, exemple : inventaire qui ne tourne pas ). Les unités atteignant les exigences du groupe en matière d efficacité seront exemptées de l auto-évaluation annuelle. Exemple : une unité prouvant par la production d un KPI que plus de 90% de factures reçues ont un bon de commande et que 0% de bon de commande n est émis après réalisation de la prestation et/ou après réception de la facture, sera exempté d une auto-évaluation sur ce point de contrôle. Il est aussi envisageable de structurer les campagnes de tests en les organisant par thèmes sur lesquels l équipe contrôle interne souhaite se concentrer. Exemple : pratique des Commissaires aux Comptes qui s appuient sur un socle permanent de contrôles et des thèmes de révision «tournants» ; les résultats de ces tests se matérialisant par la production de notes d orientation dédiées à l amélioration de la performance des métiers. Dans le contexte actuel, le dispositif de contrôle interne, va devoir prouver qu il est non seulement efficace (atteinte des objectifs) mais qu il est efficient (atteinte des objectifs sous contrainte de minimisation des moyens engagés). Pendant de nombreuses années, la priorité était la construction de dispositifs de contrôle interne robustes sans intégrer la dimension coût de revient du dispositif. Aujourd hui la tendance est au downsizing des dispositifs de contrôle interne en sortant d une approche linéaire pour se concentrer sur les risques significatifs, ou en réduisant le coût des tests et des auto évaluations via l automatisation du contrôle interne dans les systèmes d information. 3. LES MODALITÉS D ENRICHISSEMENT DU DISPOSITIF DE CONTRÔLE INTERNE Notre expérience nous amène à réfléchir sur les raisons de l évolution irréversible des dispositifs de contrôle interne au sein des entreprises. Nous avons identifié trois facteurs majeurs d enrichissement d un dispositif de contrôle interne dans le temps, à savoir : - L évolution de la réglementation et l intégration de multi-contraintes liée à l existence de différentes places de cotations, - L existence de nouvelles impulsions données par les directives groupe, - Le retour d expérience analysé via la revue du contrôle interne L évolution de la réglementation & l intégration de multi contraintes liées à l existence de places de cotation multiples L évolution des réglementations mondiales concernant le contrôle interne et le risk management, tous secteurs d activité confondus, fait ressortir trois grands axes d évolution : - obligation d évaluer l efficacité du dispositif, de mesurer le niveau d exposition aux risques résiduels et de proposer des plans d action significatifs en cas de non couverture, - relation établie entre la non-maîtrise des risques et une sur-constitution des fonds propres, - relation établie entre la rémunération du top management (stock options) et la maîtrise effective des risques (niveau résiduel). La prise en compte de ces évolutions qui sont, de notre point de vue, irréversibles amène forcement à réfléchir sur l évolution du dispositif de contrôle interne sur plusieurs points : - La hiérarchisation classique de traitement prioritaire des risques basée sur les critères de fréquence et d impact nous semble aujourd hui dépassée. En effet, la contrainte consistant (dans le secteur banque & assurance pour le moment ) à définir le niveau d allocation des fonds propres en fonction du niveau de maîtrise des risques, amène forcément à introduire la notion d appétence aux risques dans la chaine de commandement de l entreprise, en s assurant d une traçabilité de cette dernière, et ceci dans le respect de la protection de la rémunération de l actionnaire, - La logique d une rémunération du top management et des administrateurs, adossant les stocks options ou la partie variable de leur rémunération à une maîtrise des risques résiduels, aboutit forcément à une réorganisation de la gouvernance de l entreprise, en demandant à chaque administrateur de devenir «risk owner» et de challenger personnellement un méta risque critique pouvant affecter l atteinte des objectifs de l entreprise de façon significative, - La contrainte de l existence de plusieurs unités d affaires au sein du même groupe ne relevant pas du même secteur d activité doit amener les groupes à parfois construire plusieurs cartographies de risques compte tenu de l existence de contraintes réglementaires (ainsi de nombreux constructeurs automobiles ayant une unité d affaire financement de véhicules, doivent construire pour cette dernière une cartographie conforme à Bâle 3 associée à une BU banque de détail), - La contrainte d une multi cotation sur plusieurs places boursières amène aussi les groupes à construire une plateforme méthodologique commune à l ensemble des filiales, tirée vers le haut en fonction de la place de cotation la plus exigeante du point de vue de la démonstration de l efficacité du contrôle interne. Ainsi de nombreux groupes cotés à la fois sur Euronext et sur le NYSE ont été tirés vers le haut du fait de l existence de la section 404 de la loi Sarbanes Oxley, qui exigeait dès 2002 d évaluer l efficacité du contrôle interne L existence de nouvelles impulsions données par les directives groupe L enrichissement du contrôle interne dans le temps peut aussi passer par des impulsions venant de la gouvernance de l entreprise indépendantes des évolutions réglementaires. Les principales initiatives dans ce domaine peuvent être les suivantes : - Décision de portage managérial du dispositif de contrôle via le management (en rendant obligatoire l exercice d auto évaluation), - Décision de retrait d une place de cotation du fait de la lourdeur du dispositif et du coût associé (exemple du retrait de la cotation du NYSE de nombreux groupes européens), - Décision sans aucune obligation légale de développer un dispositif de lutte anti-fraude interne et externe, en affichant fréquemment un niveau de tolérance zéro, - Décision d affiner la structure des manuels de contrôle interne en prenant en compte des spécificités organisationnelles à risque (processus externalisés, processus de centres de services partagés avec création de manuels de contrôle interne miroir client/fournisseur), - Décision de renforcer la dimension éthique et déontologique via la création de tests spécifiques permettant de s assurer de la mise en œuvre effective de ces activités de contrôle. 3.3 Le retour d expérience analysé via la revue du contrôle interne Les revues de contrôle interne sont essentielles pour s assurer d un enrichissement du dispositif de contrôle interne réfléchi et organisé. Ces revues portent sur plusieurs points : - Relecture de la cohérence rédactionnelle des différents cycles de contrôle interne (achats, ventes, immobilisations, etc.). En effet, il s agit de s assurer que les activités de contrôle proposées couvrent bien les risques en fonction des évolutions réglementaires, des évolutions organisationnelles, des alertes remontées, des évolutions des systèmes d information, 16 17

10 - Diminution de la charge de travail liée aux auto-évaluations, en substituant aux activités de contrôle manuelles des KPI/KRI répondant à la même finalité, - Diminution de la charge de travail liée aux auto évaluations et à la traçabilité des activités de contrôle faites au fil de l eau via automatisation du contrôle interne dans les systèmes d information en prévenant tout blocage de l activité opérationnelle (sauf risque de fraude majeur légitimant la mise en œuvre d un contrôle bloquant), - Revue de la cotation brute des risques en fonction de l alimentation effective de base incidents ou de tableaux de bord sinistralité, relecture de l impact via modélisation des conséquences en euros (chiffrage de pertes d exploitation, de pertes matérielles, de pertes humaines, etc), - Revue de la cotation nette des risques (risque résiduel) par analyse multi dimensionnelle des résultats des auto-évaluations, des tests et de la mise en œuvre effective des plans d actions correctifs. D une façon générale, il s avère fort intéressant d intégrer ces revues de contrôle interne dans le format général des revues de direction (au sens qualité), afin que les managers puissent intégrer le contrôle interne en tant que composante de leur pilotage opérationnel. Ces «rendez-vous incontournables» du management dans une vision cohérente et planifiée présentant les bonnes pratiques et les success stories associées au contrôle interne participent au déploiement de la boucle d amélioration continue du contrôle interne: - rendez-vous «amont» (analyse/ diagnostic/ décision d actions), - rendez-vous «aval» (pilotage / suivi d actions). Le tout intégré dans une planification commune et dont les relevés de conclusion sont partagés et utilisés d un rendez-vous à l autre Adapter le niveau de contrôle en fonction de l appétence aux risques des dirigeants Il n y a pas création de valeur sans prise de risque maîtrisée La notion d appétence aux risques des dirigeants peut relever d une exigence règlementaire ou d un choix interne à l entreprise. Dans le premier cas, les réglementations BALE III pour les banques et SOLVENCY II pour les compagnies d assurance européennes imposent une traçabilité du niveau d appétence aux risques pour un certain nombre de processus significatifs, exemple : lancement d un nouveau produit, sous-traitance, fusion-acquisition. De même, le UK Corporate Governance Code de 2010 lie la rémunération variable des dirigeants (stocks options, autres avantages) outre à l atteinte de KPIs de performance, à la démonstration de la contribution du top management à la réduction effective du niveau d exposition aux risques. L appétence au risque se définit comme le niveau de risque agrégé qu une entreprise accepte de prendre en vue de la poursuite de son activité et de son développement et plus généralement dans l atteinte de ses objectifs. Elle est proposée par la Direction Générale et validée par les actionnaires via leurs représentants en conseil d administration ou conseil de surveillance. Elle est très dépendante de la sensibilité du top management et des administrateurs à la notion de risques et sera par nature difficile à objectiver. Elle constitue cependant un point d équilibre parfois implicite entre les objectifs de développement et de rentabilité et les risques induits. Elle trouve sa traduction opérationnelle dans la politique de gestion des risques que définit la Direction Générale en cohérence étroite avec la stratégie de l entreprise ainsi que dans le pilotage nécessaire à son application effective. Le Conseil d administration, et plus particulièrement le Comité d Audit, se doit d impulser et de challenger la démarche de surveillance des risques dans l entreprise. A partir des informations obtenues, il suit les risques les plus significatifs et, en ce qui concerne ces derniers, apprécie l exposition aux risques et sa cohérence avec la stratégie proposée par le top management et s assure de l efficacité des dispositifs de maîtrise des risques. Ainsi, dans un contexte d incertitude accru, les administrateurs ont un rôle essentiel et grandissant à jouer dans la surveillance des risques et leur maîtrise. C est particulièrement vrai pour les membres du comité d audit, instance rendue obligatoire pour les sociétés cotées et/ou intervenant sur les marchés réglementés par l ordonnance du 8 décembre 2008, qui assure le «suivi de l efficacité des systèmes de contrôle interne et de gestion des risques» et des actions prises en cas de défaillance sous la responsabilité du Conseil. Plus généralement, les administrateurs doivent : 1. définir la stratégie de l entreprise sur la base d une analyse pertinente des opportunités et risques associés à leurs choix, 2. exercer leurs responsabilités au regard de la surveillance des dispositifs de gestion des risques et de contrôle interne, 3. contribuer activement au développement et au maintien d un environnement de contrôle de qualité. S il existe dans l entreprise plusieurs processus de gestion des risques qui posent chacun un cadre et des limites dans la prise de risques, il n existe en revanche que rarement de vision globale et consolidée de l exposition aux risques de l entreprise. Cette absence de vision globale peut entraîner : des déséquilibres non maîtrisés dans les prises de risques de l entreprise, une gestion en «silos» des risques qui ne permet pas à l entreprise de piloter ses risques en mesurant le niveau global et la contribution marginale de chacun de ses risques au niveau global. Pour illustrer cette problématique, prenons un exemple issu de la gestion du risque de contrepartie. Le risque de contrepartie se définit comme la perte que subirait l entreprise si le tiers (la contrepartie) avec lequel l entreprise est en relation contractuelle faisait défaut et n honorait pas ainsi ses obligations. Dans le domaine client par exemple, ce risque s analysera par le montant des factures impayées ; dans le domaine fournisseur, il s analyse comme le coût de remplacement correspondant à ce que doit payer l entreprise pour reconstituer sa position antérieure. Dès lors que la gestion du risque se fait par domaine indépendant les uns des autres et sans qu il y ait un minimum d échanges d informations entre eux, l entreprise ne pourrait pas déterminer son exposition globale par rapport à des tiers présents sur plusieurs domaines, des tiers par exemple qui seraient clients et fournisseurs de l entreprise! Bref, à défaut d avoir un optimum global, nous avons des optima locaux. Les dysfonctionnements observés, des scénarii (stress-test,.) combinant plusieurs risques élémentaires peuvent être utilisés pour sensibiliser via des ateliers - les dirigeants à cette question et les amener à exprimer leurs limites au-delà desquelles les risques ne sont plus admissibles. Dans ce cadre, l appétence et la tolérance aux risques pourront être appréhendées. L établissement de ces limites est un exercice délicat car subjectif ; le caractère acceptable ou non d un risque dépend de sa nature, des valeurs et critères de l entreprise compte tenu de ses métiers. Décider du niveau d exposition au risque acceptable va permettre de définir le ou les mécanismes de traitement les plus appropriés et l allocation des ressources nécessaires à leur fonctionnement, voire le niveau d allocation des fonds propres nécessaires (obligation légale pour le secteur banque assurance). Les agences de notation qui apprécient la solvabilité des entreprises évaluent leur gouvernance selon plusieurs critères. Une 18 19

11 attention particulière est portée au fonctionnement du Conseil d Administration ou du Directoire et Conseil de Surveillance. En particulier, l existence, la taille, la fréquence des réunions, l indépendance et les missions du Comité d Audit au rang desquelles figure le suivi de l efficacité des dispositifs de contrôle interne et de gestion des risques sont pris en compte dans l évaluation. Si une bonne gouvernance n est pas gage d une meilleure solvabilité, elle est au moins gage du sérieux des dirigeants et des administrateurs qui s emploient à gérer les principaux aléas auxquels l entreprise pourrait être soumise Maîtriser le coût du contrôle / démontrer la valeur ajoutée apportée par le contrôle interne via les plans d action correctifs A ce jour, peu d entreprises sont en capacité à chiffrer d une part le coût du dispositif de contrôle interne, et d autre part à démontrer la création de valeur de ce dispositif. Depuis 2003, la problématique du coût n était pas ressentie comme étant une priorité, l enjeu étant la capacité à être en conformité avec des réglementations contraignantes en terme de construction du dispositif, d évaluation de l efficacité de ce dernier et de minimisation des déficiences significatives. Cependant, un rapide retour d expérience récent prouve que de nombreux groupes français se sont délistés du New York Stock Exchange, du fait du surdimensionnement et des coûts de fonctionnement engagés par le dispositif de contrôle interne Sarbanes Oxley. D autre part, la priorité n est plus aujourd hui de faire du contrôle interne pour du contrôle interne, mais de démontrer la création de valeur apportée par ce dispositif. Le chiffrage du dispositif de contrôle interne pose de fait la question de son juste dimensionnement compte tenu de la taille du groupe (effectif, sites), de la matérialité des processus dans les comptes, de l éclatement géographique du groupe dans le monde, de la volonté ou non de fusionner ce dispositif avec la qualité par exemple. Il dépend aussi du niveau de portage managérial que le groupe souhaite mettre en œuvre et de l existence ou non d indicateurs de qualité comptable et de KPI / KRI Le chiffrage du dispositif de contrôle interne La valorisation du dispositif de contrôle interne en coût complet, ou via la méhode Activity based Costing (comptabilité par activité : méthode analytique visant à chiffrer le coût de revient par processus) peut être schématisée comme ci-contre : Composantes du coût du dispositif de contrôle interne Groupe COUT DIRECT Masse salariale et frais de déplacements de l équipe contrôle interne groupe + correspondants Contrôle interne zone ou business unit (au prorata temporis du temps passé) Dotation aux amortissements des progiciels contrôle interne stockant la documentation du contrôle interne + paramétrage Honoraires des consultants intervenant sur la construction ou l évolution du dispositif de contrôle interne Honoraires des commissaires aux comptes dans le cadre de leurs travaux sur le contrôle interne (au prorata temporis) Sous-traitance de la réalisation de tests Budget de formation au contrôle interne certification des contrôleurs internes Communication financière sur le dispositif de contrôle interne Commentaires Présuppose l existence d un système d affectation horaire pour les contrôleurs internes ne travaillant pas en temps complet sur ce dispositif Enablon, Oracle GRC, SAP GRC Rédaction des référentiels de contrôle interne, veille, actualisation des cartographies des risques ou de processus A condition que les commissaires aux comptes affectent leur temps sur ce thème Dans le cadre de processus externalisés ou sur des thématiques pointues Formations d expertise, développement d e-learning dédiés ou développement de formation contrôle interne pour managers Temps homme valorisé sur la production du rapport du Président sur l efficacité du contrôle interne et du risk management et facteurs de risques sur la partie contrôle interne COUT INDIRECT Equivalent temps passé par les opérationnels à alimenter les questionnaires d auto-évaluations A condition qu il existe un système d affectation horaire pour les opérationnels dédiés aux auto-évaluations, tests, plans d action (X heures hommes * taux horaire standard) Equivalent temps passé par les opérationnels à mettre en œuvre les plans d action correctifs Idem Développements de contrôles bloquants ou non bloquants dans les systèmes d informations relevant du contrôle interne ou de la prévention de la fraude Chiffrage des besoins fonctionnels développements de contrôles bloquants 20 21

12 L élément essentiel ne figurant pas dans le tableau ci-dessus, et très difficilement mesurable, est le temps passé par les opérationnels à réaliser les contrôles au fil de l eau et à les documenter. Cet élément est pourtant essentiel à l arbitrage coût/bénéfice du contrôle. Exemple : le groupe exige un bon de commande systématique. Quid du coût de revient de ce dernier comparé au montant de la commande? La création de valeur par le contrôle interne, via la mise en œuvre des plans d action correctifs Le contrôle interne a été présenté depuis une dizaine d années comme un dispositif protégeant les objectifs de l entreprise, ses actifs, s assurant de la conformité et de la sincérité des comptes ; en bref dispositif démontrant la robustesse de l entreprise. Il est concurrencé par d autres dispositifs prônant plus le pilotage de la performance (contrôle de gestion, qualité) ou par le risk management, en général plus accepté par les opérationnels que le contrôle interne. Le contrôle interne, doit donc pour assurer sa légitimité, au-delà du fait qu il s agit d un dispositif réglementaire, démontrer la valeur ajoutée qu il apporte à l entreprise. Cette démonstration n est pas envisageable sur la partie auto-évaluation et testing, qui sont relativement mécaniques, mais sur la partie proposition et mise en œuvre effective des plans d action correctifs significatifs, permettant d agir de façon substantielle sur les niveaux d exposition aux risques. Le tableau ci-contre synthétise la façon de présenter l analyse de la création de valeur par la mise en œuvre d un plan d action correctif établit : à l initiative de l opérationnel si le résultat de l auto-évaluation ou du test est défavorable, à l initiative du contrôleur interne s il infirme le résultat de l auto-évaluation, à l initiative de l audit interne et/ou des commissaires aux comptes en cas de déficiences significatives identifiées. Ce type de démarche vise en priorité les plans d action sur lesquels le niveau d exposition aux risques brut et net est élevé et qui de ce fait pourraient être reportés au comité d audit. Le descriptif du plan d action, doit être très précis et réaliste. Il doit prioriser les actions «non cash» (procédures, transfert contractuel) en priorité pour prévenir les objections classiques (pas de ressources, pas de budget). Il doit modéliser dès que cela est possible l impact du plan d action sur le bilan et/ou le compte de résultat et/ou l état de variation des flux de trésorerie en présentant les bénéfices de la mise en œuvre de ce dernier (à minima protection du résultat, du cash-flow opérationnel) et si possible démonstration d une véritable création de valeur par diminution du BFR par exemple ou diminution des OPEX suite à simplification rationalisation du processus. IC REFERENTIAL reference CONTROL ACTIVITY reference PRIORITY TREATMENT DECISIONAL TREE NATURE /TYPOLOGIE OF ACTION PLAN CREATION OF VALUE TO THE IMPLEMENTATION OF THE ACTION PLAN IMPACT OF THE ACTION PLAN ON THE P&L ACCOUNT STATEMENT ACTION PLAN IMPLEMENTATION FORM (1) Deficiency materiality (2) Alert from external or internal auditors (3) Implementation of the action plan after the last test campaign Comments OPEX in Euros Total Training Procedure (quality, security, IC, risk management, crisis management, etc) Safety security crisis investment Contractual transfer Back up Fees (technical expertise, consulting, etc) Other OPEX Other CAPEX DECREASE OF ASSETS COST SAVINGS In KEuros Yes / No Yes / No CAPEX in Euros % of assets CONTENT OF THE ACTION PLAN and /or % of liabilities and owner s IMPACT OF THE ACTION PLAN ON THE BALANCE SHEET DECREASE OF LIABILITIES MARGINAL REVENUES INCREASE OF STOCHHOLDER S EQUITY SUM OF REVENUES ACTION PLAN OWNER DECREASE OF INVENTORIES and /or % of expenses DATES DECREASE OF AR (accounts receivables) COMMENTS and /or % of revenues OTHER COMMENTS INCREASE OF AR (accounts payables) Protection of assets (decrease of fair value due to a disaster) Decrease of assets (sales of assets, creation of special purpose entities, special purpose vehicule) Decrease of working capital requirement Decrease of provisions (decrease of frequency or magnituede Protection of stock sholder s equity (decrease of unrealized loss) Decrease of LT or short financial debts Decrease of impairment depreciation Increase of sales in value Protection of other ordinary revenues 0 Decrease of opex (automation, outsourcing, SSC, etc) Protection of ordinary income -EBIT 0 Prevention of other recurring costs -reconversion, etc) Prevention of underactivity Decrease of depreciation amortization IMPACT OF THE ACTION PLAN ON THE STATEMENT OF CASHFLOW increase of operating cashflows increase of investing/desinvesting cashflows increase of financing cashflows IMPACT OF THE ACTION PLAN ON THE CREATION OF VALUE /EVA AND FREE CASHFLOWS NET OPERATING PROFIT AFTER TAX ROI ESCOUNTED BY UNDERWRITTERS AND SHAREHOLDERS = increase in cash and cash equivalents EVA GENERATED BY THE ACTION PLAN wacc Income taxes rate 0,08 0,33 FREE CASHFLOWS GENERATED BY THE ACTION PLAN

13 3.6. Dispositif de lutte anti-fraude & protection de la création de valeur actionnariale Les autorités de tutelle et les Commissaires aux Comptes demandent de plus en plus aux sociétés, d identifier au sein de leur dispositif de contrôle interne les activités de contrôle directement préventives de la fraude que cette dernière soit interne, externe ou mixte. A la différence du secteur banque et assurance, où les groupes doivent démontrer l existence de ce dispositif de façon autonome, les groupes industriels n y sont pas réglementairement soumis. Néanmoins, beaucoup s interrogent sur les conséquences de la médiatisation d un risque avéré de blanchiment d argent ou de financement du terrorisme, lié aux processus vente, achat ou trésorerie. La qualification d un cas de fraude doit répondre à 2 critères : - la conscience délibérée que la personne a de frauder (critère exigé dans le cas d une procédure pénale et la différenciant de l erreur), - le mode opératoire correspondant à une faille perçue du dispositif de contrôle interne ou un contournement d une activité de contrôle. La tolérance à la fraude dans les groupes industriels tend de plus en plus vers zéro La psychologie du fraudeur et les raisons du passage à l acte Pour construire un dispositif de prévention de la fraude efficace il s avère indispensable de rentrer dans la psychologie du fraudeur en différentiant : - le fraudeur «par défaut» Il répond au mécanisme du triangle de la fraude : - besoin de trouver rapidement des liquidités, - déculpabilisation («ce n est qu un emprunt provisoire», «c est une juste rétribution de mon travail», etc.), - existence d une faille perçue et l inexistence ou l insuffisance de supervision par le management de premier niveau. - le délinquant financier Le prédateur Le profil du prédateur est bien différent de celui du fraudeur «par défaut». Chez ce dernier, le besoin de frauder est lié à un sentiment de pouvoir et d impunité, qui le placent au-delà des lois et des systèmes. Cela peut se traduire par un besoin d enrichissement personnel via la participation à de la corruption active ou passive, à l exercice de délit d initié (cession anticipée de stocks options dans le cadre de fusions acquisitions, etc.). Le sentiment de culpabilité n existe pas. Le prédateur a au contraire une supériorité intellectuelle, une arrogance, une fierté du dispositif de fraude qu il a conçu et qu il pense être indétectable. Enfin la faille du dispositif de contrôle interne a été montée de toute pièce par le profil prédateur, et les activités de contrôle interne sont souvent contournées par ce dernier Positionnement du dispositif de lutte anti-fraude dans le système de contrôle interne Dans de nombreuses entreprises, la mise en place d un dispositif de lutte anti-fraude passe tout d abord par des actions managériales visant à interdire des pratiques vécues comme étant acquises et relevant de l avantage en nature (rentrée scolaire faite au frais de l entreprise, etc.) alors qu en fait, il s agit de pratiques déviantes. L étape suivante consiste à développer un dispositif formel de lutte anti-fraude, qui tout en étant efficace, doit être conforme à la prévention du risque d atteinte à la vie privée, du risque de délation, ou d infraction aux libertés publiques. En ce qui concerne le dispositif de contrôle interne, la bonne pratique consiste à : - réaliser une sous-cartographie des risques de fraudes par cycle / processus, - re-classifier les activités de contrôle par grandes typologies, en identifiant celles qui sont directement préventives de la fraude pour chaque processus et en développant éventuellement des contrôles bloquant dédiés La mise à jour des manuels et le risque de fraude Il s avère indispensable afin de prévenir tout risque d erreur et ou de fraude de réunir régulièrement les départements consolidation, doctrine comptable et contrôle interne afin de procéder à une relecture complète des manuels (contrôle interne, comptable & financier, système d information, etc.). Au-delà d un contrôle interne se limitant à une assurance raisonnable quant à la sincérité des comptes, un dispositif mature se doit d apporter une robustesse dans la prévention des risques de fraudes afin de protéger la rémunération de l actionnaire et prévenir les risques civils et ou pénaux des mandataires sociaux

14 26 Le contrôle interne utilisé en tant qu outil de développement opérationnel de l entreprise 1. PARTAGER LES BONNES PRATIQUES, HARMONISER LES PROCESSUS ET EMBARQUER LES CONTRÔLES DANS LE SYSTÈME D INFORMATION 1.1. Le contrôleur interne : un Business partner - Son profil Le contrôleur interne doit être en veille permanente et en écoute active pour identifier tout paramètre pouvant impacter le dispositif de contrôle interne groupe tant dans sa construction (évolution des référentiels, de processus et de risques) que dans l adaptation des pratiques à des caractéristiques spécifiques qu il va rencontrer sur le terrain (tout en respectant le cadre conceptuel défini au niveau groupe). Le contrôle interne se doit de porter par son attitude l image du groupe, souvent sans posséder la légitimité de fait de l audit interne ni la pression hiérarchique portant entre autres sur la mise en œuvre des plans d actions correctifs. Son leadership et sa capacité à établir une relation gagnant-gagnant sont essentiels. - Son kit de communication Comme beaucoup de dispositif, l un des écueils classiques est le non-feedback au niveau des managers de proximité sur les résultats des auto-évaluations, des tests et des plans d actions correctifs. Fréquemment dans les groupes côtés un reporting contrôle interne est diffusé à la Direction mais sans s assurer de la redescente de ces informations au niveau des contributeurs directs. Cela crée un sentiment de frustration et d essoufflement du dispositif qui est préjudiciable à son efficacité. Trop souvent également, seuls les points négatifs sont mis en exergue sans valorisation des opérationnels sur les améliorations réalisées et sans partage de bonnes pratiques entre les unités opérationnelles. Pour faciliter ce feedback d information aux contributeurs clés du dispositif le contrôle interne dispose d un kit d outils à utiliser : - L intranet : Un site Intranet dédié contrôle interne / risques peut ainsi être accessible à l ensemble des collaborateurs de la société afin de faciliter le partage des connaissances et les échanges sur les questions soulevées par les différentes communautés au sein du Groupe. - Les revues de performance : L intégration de la dimension contrôle interne dans les revues de Direction / de processus doit se faire via un ordre du jour intégrant systématiquement un chapitre ad-hoc. Ces revues intègrent les résultats des autoévaluations (test et plans d actions), le reporting fraude, les indicateurs de performance et le reporting des incidents et anomalies («issue log»). - Une hot-line dédiée contrôle interne 1.2. De la transcription de recommandations génériques à leur application pratique 2 Outre sa responsabilité de contrôle de l application des règles, le contrôle interne est le moteur pour s assurer du déploiement réaliste et pratique de cette règle. Pour toutes les requêtes ne trouvant pas une résolution locale ou sur la base du manuel de procédures, le contrôle interne doit s impliquer. Son rôle est d apporter un support aux collaborateurs pour résoudre les difficultés, traduire les recommandations génériques dans le langage des utilisateurs. Il participe opérationnellement à la résolution des anomalies en proposant notamment des solutions adaptées aux spécificités des processus locaux et des besoins de l activité. Cette proximité du contrôle interne avec les utilisateurs est indispensable. Le contrôle interne ne doit pas se positionner dans une optique inquisition ou jugement («Votre processus est insuffisant» ou «Les principes ne sont pas correctement appliqués.»)» mais développer une démarche pragmatique basée sur la recherche d une solution («Voici une méthode possible pour optimiser ce processus» ou «Notre proposition est la suivante pour vous permettre de d appliquer dans le respect des règles la spécificité de cette procédure») Le contrôle interne a dans ses missions la traduction opérationnelle des règles qui sont édictées. Il doit être un facilitateur et toujours à l aide des utilisateurs parfois en difficulté dans la transposition de certaines décisions, ou les rendre compatibles avec les processus en place. C est par une telle attitude qu il véhicule au mieux son expertise. Exemple d intervention du Contrôle Interne : Une entité se voit recommander par l audit interne de supprimer sa caisse (existence physique de liquidités), l objectif de cette mesure étant d éliminer un risque élevé de détournement pour une tâche complexe et manuelle. Au niveau opérationnel, cette modification est souvent mal comprise. La caisse sert notamment à avancer de l argent pour des petites fournitures, faire des avances sur frais. Sa disparition va être perçue comme étant un frein. S il n y a plus de liquidités, des collaborateurs peuvent aller jusqu à refuser de réaliser les opérations nécessitant l utilisation de ces dernières. Quelle est l action du Contrôle Interne dans ce contexte? Le contrôle interne délivre des règles et des principes, réalise des contrôles de l efficience des processus mais a également une mission d assistance permanente auprès des utilisateurs via ses points de contact. Ce travail de terrain utilise tous les vecteurs de communication interne et nécessite une implication dans la résolution de toutes les difficultés. Lors de la décision de suppression de la caisse ou des liquidités au sein d entité, le contrôle interne doit : - Proposer les solutions alternatives de gestion des opérations comme la réalisation d avance sur frais pour les salariés concernés, la délivrance de carte de frais internationale pour la gestion des devises afin de supprimer les caisses en devises, - Accompagner et contacter les interlocuteurs locaux du contrôle interne afin de résoudre les problèmes spécifiques comme la gestion de petites fournitures, les pourboires Pour chacun de ces points, le contrôle interne doit proposer une solution alternative répondant aux règles édictées mais surtout permettant aux opérationnels de continuer leurs opérations dans les meilleures conditions. - Suivre la liste des anomalies, «Issue Log» afin de connaitre les difficultés locales non résolues et apporter aux utilisateurs une solution. L objectif étant de ne pas dire «Il faut faire» mais «Voici comment vous pouvez résoudre l anomalie» 1.3. Vers l harmonisation des processus Pourquoi aller vers des processus standardisés? Cahier Technique N 11 Au-delà de la simple évaluation du contrôle interne laissant des marges de manœuvre substantielles aux filiales du groupe, la montée en puissance passe obligatoirement par la mise de œuvre de processus standardisés et optimisés. 27

15 Faute à être en capacité à démontrer la spécificité d un processus au sein d une business unit, zone, ligne de produit, la mise en œuvre de processus standardisé va permettre : - la mise en conformité plus rapide de l ensemble des entités du groupe via la diffusion de bonnes pratiques, - des gains de productivité par l élimination d activité facultative ou de sur-contrôle (définition d un process LEAN), - la mobilité interne au groupe facilitée en réduisant le temps d appropriation des méthodes de travail, - une supervision de proximité et un contrôle interne facilité, - une transition vers des schémas type centres de services partagés (CSP) ou externalisation sécurisée. Comment? 2 leviers principaux ont été identifiés. - Les bonnes pratiques identifiées au niveau filiales / groupe. Au-delà d une description générique d un attendu du contrôle, la bonne pratique est une application concrète, un exemple de procédure, un mode opératoire applicable en l état sans interprétation. Elle intègre à l origine les cas spécifiques justifiés et propose un contrôle compensatoire associé. Cette définition des bonnes pratiques doit se faire en mode atelier, hors contrainte système d informations, de façon à la rendre générique, duplicable et réplicable. Il est conseillé de commencer par des activités de contrôles génériques et non négociables : rapprochement bancaire, gestion des caisses, programmation des départs / mouvements salariés, règles générales d archivage, etc Les gains de ce type de démarche sont multiples : - Gagner du temps en évitant à chaque unité de créer son propre document («réinventer la poudre») en produisant le document une fois en central pour tous, - Permettre à certains collaborateurs d accéder à une information qu ils n auraient pas osé demander et, par ce biais, réaliser correctement l activité de contrôle (exemple : un collaborateur financier qui ne sait pas faire un rapprochement bancaire ). Cette approche doit être pragmatique et ne vise pas l exhaustivité. Elle se concentre sur les dysfonctionnements et les gains de productivité les plus significatifs. Ce mode de réflexion du contrôle interne se situe en écart avec le principe général qui consiste à dire que l opérationnel est en charge de rédiger sa propre procédure. Néanmoins, la rédaction de ces bonnes pratiques visant à supprimer des risques inacceptables et à prendre la main sans déresponsabiliser pour autant les opérationnels en mettant à leur disposition un kit «prêt à l emploi» rédigé par les experts contrôle interne est vécue comme créateur de forte valeur ajoutée par les membres du groupe de travail A l intégration des contrôles à l ERP/PGI (Enterprise Resource Planning / Progiciel de Gestion Intégré) L étape ultime de l harmonisation des processus réside dans la mise en œuvre d un mono ERP groupe embarquant les contrôles dans le système d information. La pratique révèle que, globalement, le contrôle interne s avère être le parent pauvre des projets de refonte des systèmes d information en entreprise. Or, si la dimension contrôle interne n est pas prise en compte dans la définition même du projet, elle est difficilement récupérable à posteriori. Il s agit dans un premier temps de voir quels sont les outils concrets pouvant aider l entreprise à mettre en place une gouvernance de projet optimale. Avoir pour ambition d intégrer l ensemble du contrôle interne dans le système d information de gestion ne semble pas être réaliste. L objectif est bien sûr d en intégrer un maximum, et ce de façon non négociable, mais en s interdisant de paralyser les processus métier. Le contrôle interne doit être partie prenante des migrations ERP pour définir pour chaque processus (achats, ventes, personnel, ) les critères qui vont amener à plus ou moins automatiser les activités de contrôles et développer des contrôles bloquants (matérialité du processus dans les comptes, cas de fraude avéré, niveau de confidentialité des informations, résultat d audit ou d autoévaluation, alerte des commissaires aux comptes, etc.). Cette approche aboutira à l établissement d une check-list de contrôles à vérifier avec l éditeur du progiciel lors de la définition du projet, et peut nécessiter des développements d activités de contrôles spécifiques. La mise en œuvre de processus standardisés dans l ERP permettra à terme de produire en automatique les indicateurs de performance ou de risques à partir de fonctionnalités natives prévues par l éditeur. Ces indicateurs donneront la mesure objective de l existence du contrôle et permettront l adaptation du dispositif de contrôle interne en conséquence. Exemple : % de factures sans commande, changement des coordonnées bancaires, nombre d écritures manuelles, etc 2. DE LA COMPLIANCE AU PILOTAGE INTÉGRÉ DE LA PERFORMANCE Le contrôle interne fait partie de l un des dispositifs de gouvernance des risques sur lesquels les groupes cotés doivent rendre des comptes (risk management, lutte anti-fraude, lutte anti blanchiment, conformité) et dont l efficacité est évaluée par l audit interne d une part et par les autorités de tutelle, les agences de notation et les commissaires aux comptes d autre part. Ces dispositifs réglementaires et non négociables se retrouvent fonctionner en parallèle avec d autres dispositifs qui ont été mis en œuvre et déployés, soit pour raisons stratégiques (contrôle de gestion via l implémentation de balanced scorecards ou de la méthode ABC Activity Based Costing), soit pour des raisons réglementaires (qualité, sécurité, environnement dans certains secteurs), soit par «non choix» (les mêmes dispositifs mais sans véritable motivation du top management, si ce n est la peur de perte de compétitivité, ou la peur de perte d un marché du fait de la non mise en œuvre ou du non maintien dudit dispositif). Le fonctionnement en parallèle de l ensemble de ces dispositifs qui, comme nous l avons déjà mentionné, peuvent dans certaines entreprises fonctionner en silos étanches, peut se traduire dans les entreprises par deux types d effets pervers : - Pour le top management : non alimentation ou paralysie du fonctionnement des dispositifs (non-participation aux revues de direction, ou aux revues de processus associés, mise en œuvre ou report des plans d action associés aux faiblesses des dits dispositifs), - Pour le middle management : non-sens donné à ces dispositifs, dont les opérationnels ne comprennent pas les spécificités et la légitimité et qui se traduisent par une sollicitation accrue de ces derniers en terme de temps consacré et de demandes d information souvent similaires et redondantes. Or, si nous prenons le temps de la réflexion, même si les finalités de ces dispositifs peuvent être différentes, même si certains domaines sont spécifiques à certains (ainsi la qualité n intégrera pas la réflexion sur la prévention de la fraude, et réciproquement, le contrôle interne ne se fixe pas comme axe d analyse la mesure de la qualité perçue par le client), il existe de nombreux points communs à l ensemble de ces dispositifs : - Raisonnement en terme de processus, avec un niveau de granularité différent en fonction du dispositif (activités élémentaires en contrôle interne pour les processus de supports, raisonnement macro pour la qualité pour les mêmes processus), - Raisonnement en terme d alignement stratégique, c'est-à-dire s assurer que les processus concourent à l atteinte des objectifs (balanced scorecards et 28 29

16 dashboard en contrôle de gestion, objectifs de contrôle interne décrits dans les manuels de contrôle interne), - Raisonnement en terme de risques pouvant affecter les processus et compromettre l atteinte des dits objectifs stratégiques (risques opérationnels et stratégiques en Corporate Risk management, risques comptables, financiers et de fraude pour le contrôle interne), - Définition des activités de contrôle visant à couvrir les risques et nécessitant une mesure d efficacité (contrôle interne, qualité, développement durable, RSE) - Obligation de mettre en œuvre des plans d action correctifs en cas d écarts d efficacité ou de non atteinte des objectifs (contrôle de gestion, contrôle interne, qualité, risk management) Il est donc possible, et certaines entreprises en donnent l exemple concret, de raisonner de façon transversale et non plus en silos étanches en prenant les initiatives suivantes : - Création d une plateforme méthodologique commune à l ensemble des dispositifs sur le triptyque processus risques objectifs se traduisant par la formalisation d une fiche signalétique processus transverse, par des tableaux de bord intégrés (Key Performance Indicators - KPI, Key Risk Indicators - KRI, indicateurs de pilotage), - Revue de direction et de processus intégrés (ou l ensemble des dispositifs sont évalués dans la même revue), ce qui permet de redonner vie à certains dispositifs «en jachère», - Définition d une base documentaire unique de l ensemble des dispositifs, - Réalisation d audits internes opérationnels regroupant les audits ayant des caractéristiques communes (qualité, sécurité, environnement d une part, contrôle interne, risk management et RSE d autre part); l audit interne conservant une finalité plus régalienne continuant à être réfléchi et intégré dans le cadre d un plan d audit pluriannuel avec une exigence d indépendance, L intérêt d une telle approche est majeur. Elle permet de concilier des dispositifs complémentaires dans leur finalité : - dispositif de compliance développé dans une posture de gardien du temple (contrôle interne, lutte anti-fraude, lutte anti blanchiment, risk management, RSE) d une part, - et dispositif de portage de la performance opérationnelle (contrôle de gestion, qualité, développement durable) d autre part. Une telle démarche permet de donner du sens à l action pour les opérationnels, de réduire les coûts de fonctionnement de ces dispositifs, d améliorer le pilotage pour le top management avec des outils intégrés (revue de direction, tableaux de bord intégrés). Exemple : dans le cadre de la mesure de la performance d un Centre de Service Partagé (CSP) : - Le contrôle de gestion va être intéressé par mesurer la productivité des équipes. Exemple : nombre de factures traitées par collaborateurs, - La qualité va privilégier la satisfaction client (interne/externe). Exemple : délai de paiement fournisseurs, - Le contrôle interne va se concentrer sur les transactions atypiques. Exemple : nombre de facture sans bon de commande. La création d un tableau de bord couvrant le triptyque «coût qualité risque» permet une meilleure efficacité dans le suivi de la performance au fil de l eau, et des s assurer de l intégration systématique de la dimension contrôle interne souvent laissée à l abandon. 3. LES SCENARII DE RUPTURE : FUSION / ACQUISITION, MISE EN PLACE DE CENTRES DE SERVICES PARTAGÉS (CSP), JOINT-VENTURE (JV) / JOINT AGREEMENT Dans ce dernier chapitre, nous allons traiter des cas de figure particuliers associés au dispositif de contrôle interne, que nous dénommerons «scenarii de rupture», liés soit à des évolutions brutales du périmètre de consolidation statutaire, soit à des évolutions lourdes dans l organisation (passage en mode services partagés, délocalisation, externalisation). Toutes ces opérations entrainent des modifications significatives des process générant des zones d incertitudes parfois complexes 3.1. Contrôle interne et évolution du périmètre de consolidation Plusieurs scenarii peuvent être cités avec des modalités d organisation du dispositif de contrôle différentes ; à savoir fusion/ absorption, acquisition de sociétés, coentreprise, abandon d activité (arrêt ou vente de l activité d une unité d affaire) et restructuration ou reconversion industrielle Fusion-absorption et acquisition de sociétés Force est de constater que la dimension robustesse du contrôle interne de la société cible, n est pas intégrée à ce jour dans le processus d évaluation de la société. Alors qu il existe un dispositif d audit en risk management d acquisition portant sur les risques opérationnels (atteinte à l environnement, responsabilité civile, etc.), l efficacité du contrôle interne n est pas à ce jour une composante identifiée du Goodwill. A contrario, les retours d expérience sur les acquisitions réalisées dans les groupes font ressortir une sous-estimation du coût et des difficultés associées à l intégration du référentiel de contrôle interne de la société prédatrice. Du fait de cultures, systèmes et process différents l intégration est rendue difficile. Cela se matérialise souvent par une «nostalgie» vis-à-vis de l ancien dispositif de contrôle interne, ou par des freins et des objections, dont il faut définir le traitement avant l acquisition. Cette phase transitoire est en elle-même porteuse de risque. L absence de procédure, un poste vacant ou un contrôle non effectué sur des opérations sensibles comme les autorisations de paiement ou les enregistrements de cash peuvent être lourdes de conséquence. En général, l année de l acquisition, les résultats associés aux auto-évaluations et aux tests peuvent s effondrer, soit parce que le dispositif est en phase de construction dans la société acquise, soit parce que les exigences des manuels de contrôle interne de la société acquise sont inférieures aux exigences de la société prédatrice. Une intégration de la composante contrôle interne au plus tôt est donc essentielle afin d assurer une transition sécurisée Co entreprise et société affiliée La structuration d un dispositif de contrôle interne dépend en fait du droit de vote que possède la holding dans ses différentes participations. En ce qui concerne les filiales, par définition le référentiel de contrôle interne groupe s applique. En ce qui concerne les sociétés affiliées ou les co-entreprises, soit le référentiel groupe s applique, soit celui du principal actionnaire, soit un compromis est réalisé en faisant un mix de bonnes pratiques entre les deux référentiels. Il s agit donc d apprécier les écarts méthodologiques appliqués entre les 2 référentiels et les exigences demandées par les régulateurs des différents groupes 30 31

17 actionnaires (exemple : une co-entreprise ayant un actionnaire américain soumis à Sarbanes Oxley Act a des exigences d évaluation de l efficacité du contrôle interne conformité avec la section 404). Si le dispositif de contrôle interne groupe ne s applique pas, la charge de surveillance du niveau d exposition aux risques de la co-entreprise ou de la société affiliée est transférée aux administrateurs représentant le groupe dans la co-entreprise ou au représentant du groupe dans le comité d audit, qui se doit de challenger avec une vigilance accrue les choix arrêtés en terme de gouvernance des risques (cartographie des risques, options comptables à risque, etc.) Abandon d activité/restructuration et reconversion industrielle Ce type de scenarii de rupture concerne les abandons d activité (exemple de la vente d une unité d affaire) ou d une restructuration ou reconversion d un site industriel. Dans ce cas de figure, le dispositif de surveillance des entités concernées doit être renforcé du fait de la tension et des inquiétudes que causent de telles réorganisations. Une attention particulière doit être envisagée vis-à-vis de la fraude interne, ou vis-à-vis du dispositif de risk management et de sécurité physique (prévention d actions de sabotage). Il faut aussi prévoir dans ce cas figure les modalités de restitution de l historique des résultats des auto-évaluations et des tests associés de l entité cédée à l acquéreur éventuel, si le groupe n a pas décidé d un arrêt définitif sans cession à un tiers Contrôle interne et évolutions majeures organisationnelles Dans cette typologie de scenarii de rupture associée au contrôle interne, nous nous focaliserons sur 3 cas de figure qui le plus souvent sont réfléchis de façon combinatoire dans les groupes : Passage en mode Centres de Services Partagés (CSP) Le passage en mode services partagés (comptabilité, achats, contrôle de gestion, personnel, etc) des fonctions supports présuppose, dans une logique de relation clients/fournisseurs, de construire des référentiels de contrôle interne en mode miroir : un manuel pour le client envoyant les flux d informations au CSP, un manuel pour le CSP décrivant les transactions réalisées par ce dernier, et les flux d information envoyés à la société cliente. En général les principales difficultés rencontrées sont aux interfaces. On observe fréquemment 2 cas à risques : - Soit des cas de double contrôle par manque de confiance de la partie cédante, - Soit une absence de contrôle chacun pensant le contrôle réalisé par l autre partie. Une bonne définition des Service Level Agreement (SLA) ou catalogue de services avec une définition claire des rôles et responsabilités est donc primordiale afin d éviter ces dysfonctionnement. Une surveillance accrue de la performance des centres de services partagés est également essentielle en raison notamment de l effet domino associés (1 CSP impactant x unités clientes) Externalisation Le mode surveillance des processus externalisés passe par des exigences de reporting renforcées portant sur le traitement des anomalies et des incidents, des KPI lié au déroulement des activités, mais nécessite aussi des audits terrain réguliers réalisés par l équipe contrôle interne prévus contractuellement et se traduisant par la rédaction d un rapport de contrôle interne Délocalisation Le mode de surveillance est identique au point précédent mais nécessite en général en plus, la présence d un personnel d encadrement sur site en charge de la surveillance de l application des procédures et bonnes pratiques groupe. La mise en œuvre d un contrôle interne délocalisé nécessite aussi de mettre en place des points de contrôle dédiés permettant de s assurer de la sécurité des transactions et du respect des règles de confidentialité des données traitées. Au travers de ces différents cas, il est très clair que les entreprises doivent inclure le contrôle interne dans toutes les évolutions d activités pouvant créer une rupture. Une entité structurée ne peut laisser sans contrôle des opérations majeures sans s assurer que les risques qu elle engendre sont couverts. Le contrôle interne doit être au centre des développements qu il s agisse de systèmes ou de business. L accompagnement du projet au démarrage (comme cela doit être le cas dans les ERP) assure une identification des différentes typologies de risques et permet d en limiter les impacts et permet de créer les conditions de l efficacité

18 Conclusion 3 Si le Hors-Série N 1 de Novembre 2010 était consacré à la construction du dispositif de contrôle interne, les membres du groupe de travail ont tenté dans cet ouvrage de décrire l évolution des dispositifs telle qu ils la vivent dans leurs entreprises. Après avoir construit, étoffé et renforcé leurs dispositifs de contrôle interne pendant plusieurs années, les entreprises ont maintenant le souci de la performance et du contrôle au plus juste. Le dispositif de contrôle interne doit maintenant prouver qu il est non seulement efficace (atteinte des objectifs) mais qu il est efficient (atteinte des objectifs sous contrainte de minimisation des moyens engagés). Il se doit de sortir d une approche linéaire qui visait à tout couvrir de façon homogène et systématique pour se concentrer sur les risques significatifs. Il doit être au plus proche des opérationnels et développer la dimension «business partner» en plus du rôle de «gardien du temple» qu il lui est traditionnellement dévolu. La mise en place de KPI / KRI afin d objectiver les résultats des auto-évalutions, redynamiser le dispositif, parler le langage des opérationnels, donner du sens à l action et viser la performance des processus est une tendance forte. Accompagner les évolutions majeures de l entreprise est le prochain grand chantier. Initié dans certains groupes, les membres du groupe de travail ont tenté de vous faire part de leur expérience et des principaux points de vigilance. Force est de constater que l anticipation, pourtant essentielle au succès de tels projets, n est pas encore optimum et que le contrôle interne est encore trop souvent impliqué tardivement. C est très certainement l enjeu de demain et l objet d un prochain ouvrage Cahiers Techniques n 11 - Octobre Éditeur : Association nationale des directeurs financiers et de contrôle de Gestion (DFCG), Association loi rue Pergolèse, CS 11655, Paris Cedex 16 (France) Directeur de la publication : Thierry LUTHI Directeur des Études : Pierre-Yves BING Mise en page et Impression : Planète Graphique, Le Mesnil Grémichon Saint-Martin-Du-Vivier 34

19 Contactez-nous Valérie SAINT-YVES 14 rue Pergolèse CS Paris Cedex 16 Tél. : Fax :