Atelier A N 13 Titre : Gestion des risques, audit interne et contrôle interne
Intervenants Georges BOUCHARD GAZ DE FRANCE Directeur de l'audit et des Risques. E.mail : georges.bouchard@gazdefrance.com Sylvie LE DAMANY LANDWELL Avocat Associé E.mail : sylvie.le.damany@fr.landwellglobal.com Annie BRESSAC IFACI Directeur du Développement E.mail :abressac@ifaci.com Institut de l Audit Interne Pierre-Alexandre BAPST Modérateur HERMES Directeur de l' Audit et des Risques E.mail : pierre-alexandre.bapst@hermes.com Gérard LANCNER YVES ROCHER Directeur Risk Management E.mail : gerard.lancner@yrnet.com
Gestion des risques, audit interne et contrôle interne Les présentations de cet atelier seront sur www.amrae.fr à partir du 1er mars 2007
Évolution de l'environnement législatif réglementaire et professionnel Témoignages Débat
Le contrôle interne : Contexte légal et réglementaire
Début 2002 : Contexte : le choc des affaires Une récession économique De grands scandales financiers aux États-Unis : Enron, Worldcom, En France : Vivendi Universal, Un constat : -les contre-pouvoirs fonctionnent mal -les modes de direction des grands groupes sont critiqués -en période de récession, l'erreur ne pardonne pas Un résultat : -une crise de confiance -une nécessité de régulation pour la rétablir -une réaction des autorités qui réglementent
Réaction du Législateur pour plus de transparence et une meilleure gestion des risques La loi sur les Nouvelles Régulations Économiques (NRE) 2001 Le Sarbanes-Oxley Act (SOX) 2002 La Loi de Sécurité Financière (LSF) 2003 La loi Breton 26 juillet 2005 de nouvelles responsabilités pour les entreprises et leurs dirigeants Des évolutions importantes au sein des entreprises en matière de contrôle interne et de gouvernance Une volonté d organiser plus efficacement les rôles et responsabilités entre les organes de direction et de contrôle Une formalisation des procédures de contrôle interne La mise en place d outils pour sensibiliser le management et tous les collaborateurs de l entreprise sur le risque de non-conformité aux lois et règlements : charte des dirigeants, code de conduite, délégations de pouvoirs et de signature Une montée en puissance des auditeurs internes, des risks managers, des risks officers, des déontologues
Contexte légal et de marché Réponses des législateurs Facteurs de risques externes Fraudes comptables Erreurs majeures de gestion Non respect des lois Facteurs de risques internes Perte de valeur Renforcement du gouvernement d'entreprise Perte de confiance des marchés Mise sous contrôle des activités de l'entreprise
1 er Août 2003 Nouvelles Dispositions en France (LSF) Sociétés Anonymes Article 117 de la LSF : «le Président du Conseil d'administration [ou de Surveillance] rend compte dans un rapport [à l'assemblée Générale] : des conditions de préparation et d'organisation des travaux du conseil des procédures de contrôle interne mises en place des limitations de pouvoirs de la Direction Générale Personnes morales faisant appel public à l'épargne (SA, SCA ou autres) Article 122 de la LSF : «elles rendent publiques les informations relevant des conditions de préparation et d'organisation des travaux du conseil et des procédures de contrôle interne dans les conditions fixées par l'autorité des Marchés Financiers (AMF)»
De nouvelles obligations en matière de transparence (LSF) Un rapport [à l'assemblée Générale] : sur l exercice par le conseil de son rôle sur les procédures de contrôle interne Dispositions applicables : pour tous les exercices ouverts à compter du 1er janvier 2003 Dans la LSF : toutes les SA (art. 117) et toutes les sociétés faisant APE (art. 122), tant au niveau individuel qu'au niveau consolidé (incluant les filiales consolidées, françaises ou étrangères, quelle que soit leur forme juridique) Modifié par la loi Breton du 26 juillet 2005 Seules les sociétés faisant appel public à l épargne Le texte de loi ne précise pas le contenu du rapport du Président ou les informations à publier et ne définit pas le contrôle interne
De nouvelles obligations en matière de transparence (LSF) Un rapport sur le rapport du Président - Art. 120 : "Les commissaires aux comptes présentent, dans un rapport [ ] leurs observations sur le rapport [du Président] pour celles des procédures de contrôle interne relatives à l'élaboration et au traitement de l'information comptable et financière" Le rapport du commissaire aux comptes couvre un périmètre de contrôle interne plus restreint que celui couvert par le rapport du Président
Pour mémoire : comparaison LSF / SOA Champ d'application Définition et périmètre du contrôle interne Référentiel de contrôle interne Obligation de documentation et de tests des contrôles Émetteur du rapport Date d'application Loi de Sécurité Financière Toutes les SA (APE et non APE) Et les sociétés APE Non défini Implicitement, champ complet du contrôle interne Pas d'utilisation obligatoire d'un référentiel Non explicite Président du CA ou du CS Exercices ouverts à compter du 1er janvier 2003 Sarbanes-Oxley Act (*) Les sociétés cotées Défini et limité au contrôle interne relatif à l'information financière et aux procédures de communication des informations aux marchés. Utilisation obligatoire d'un référentiel reconnu. COSO cité comme exemple par la SEC Explicite CEO et CFO Pour les sociétés soumises au reporting accéléré : exercices clos au 15 juin 2004 et après. Exercices clos au 15 avril 2005 et après pour les autres (FPI). (*) tel que précisé par le règlement SEC publié le 11 juin 2003
Un mouvement européen sur la gouvernance et la transparence Méthodologie d évaluation de la mise en œuvre des principes de l OCDE sur le gouvernement d entreprise 1 er décembre 2006 - Directive transparence qui instaure une déclaration des dirigeants dans le rapport financier annuel incluant une description des principaux risques et incertitudes auxquels ils sont confrontés Directive 2006/46/CE du 14 juin 2006 qui tend à accroître les rôles et responsabilités des administrateurs et autres organes de gestion et de surveillance sur l établissement des comptes annuels, le rapport de gestion et la déclaration afférente à la gouvernance (transposition au plus tard en 2008)
Les procédures d alerte autorisées en Europe Les sociétés soumises au SOA sont contraintes de mettre en place une procédure d alerte dite «whistleblowing» qui permet aux salariés de révéler les fraudes en matière comptable et financière. Toutes les entreprises françaises peuvent mettre en place un tel dispositif dans la mesure où elles se doivent d avoir un contrôle interne efficace. La CNIL par sa délibération n 2005-305 du 8 décembre 2005 (JO du 4 janvier 2006) est revenue sur son refus initial et catégorique d autoriser la mise en œuvre de dispositifs d alerte (sous certaines conditions). Aujourd hui, il existe désormais un modèle européen du whistleblowing d inspiration française puisque le dispositif a été adopté par les institutions européennes équivalentes à la CNIL.21
Enjeux juridiques Ménager la responsabilité des dirigeants : Lors de l exercice de leur mandat Lors de la production du rapport - Pas de sanction juridique spécifique dans la LSF, le rapport du Président est "joint" au rapport du conseil d'administration ou de surveillance à l'assemblée annuelle (rapport annuel) - Mais réaction du marché et observations du CAC Sensibiliser le conseil sur son rôle Assurer les relais au sein du groupe Remonter les informations pertinentes
Enjeux juridiques Responsabilité quant à la qualité du contrôle interne : Responsabilité de la Direction Générale / Directoire S assurer de l existence et de la qualité des procédures par le conseil En cas de carence dans la mise en place des procédures de contrôle interne, ou de procédures inefficaces, responsabilité civile collective des administrateurs / membres du conseil de surveillance et de la direction générale
Enjeux juridiques Responsabilité quant à la rédaction et au contenu du rapport : La responsabilité civile du Président et des administrateurs, s ils l ont approuvé, s'il est démontré une faute caractérisée, un préjudice et un lien de causalité entre faute et préjudice. De façon très exceptionnelle, leur responsabilité pénale pourrait également être mise en jeu sur le terrain du délit de communication d'informations fausses ou trompeuses sur les perspectives ou la situation d'une société dont les titres sont négociés sur un marché réglementé.
Une responsabilité accrue des dirigeants de l'entreprise Plus de transparence : accès à une information réservée à certains auparavant = source de détection de certaines anomalies voire certains délits Exemples : - renforcement du contrôle des conventions réglementées - possibilité d'obtenir les compte s sociaux par la procédure d'injonction de faire - rémunération dans les SA (cotées) - CE aux assemblées - renforcement du droit d'information des actionnaires Ceux qui sont informés doivent agir : renforcement des responsabilités Infraction en la qualité d'auteur ou de complice sur le terrain pénal Faute sur le terrain civil Sources éventuelles de poursuites sur le terrain civil sur le terrain pénal Renforcement des autorités de contrôle Exemples : - alourdissement des sanctions encourues par le commissaire aux comptes en cas de non révélation - Création du Haut Conseil du Commissariat aux Comptes - Création de l'autorité des Marchés Financiers (AMF) (+ possibilité de se constituer partie civile) Élargissement des possibilités d'actions de certains acteurs de l'entreprise Exemples : - extension du champ d'application de l'expertise de gestion - extension des possibilités d'actions des associations d'actionnaires
Un constat au travers du rapport de l AMF 2007 Conclusions en matière de gouvernance Conclusions en matière de contrôle interne
Les évolutions intervenues depuis 2006
Des définitions partagées?
Définition du management des risques selon Coso 2 Le management des risques est un processus mis en œuvre par le Conseil d administration, la Direction générale, le management et l ensemble des collaborateurs de l organisation. Il est pris en compte dans l élaboration de la stratégie ainsi que dans toutes les activités de l organisation. Il est conçu pour identifier les événements potentiels susceptibles d affecter les l organisation et pour gérer les risques dans les limites de son appétence pour le risque. Il vise à fournir une assurance raisonnable quant à l atteinte des objectifs de l organisation».
Les missions du risk-manager selon le Coso 2 Contribuer à définir les politiques et identifier les acteurs du management des risques (rôles, responsabilités, objectifs). Promouvoir les compétences en management des risques au sein de l entreprise. Aider à intégrer le management des risques dans les activités de planification et de management. Établir un langage commun. Faciliter la mise en place d un reporting superviser ce processus. risques et Rendre compte à la DG et recommander les actions nécessaires pour améliorer le processus de management des risques.
Le rôle de l audit interne L Audit Interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d entreprise, et en faisant des propositions pour renforcer leur efficacité.
Les missions de l audit interne Analyser et évaluer les processus de management des risques, de contrôle et de gouvernement d entreprise. Formuler des recommandations pour améliorer leur efficacité Rendre compte régulièrement des actions entreprises pour corriger les dysfonctionnements décelés. Vérifier que les dispositifs en place assurent la conformité aux lois et réglementations. Contribuer à la mise en place du processus de management des risques Animer, quand elle existe, une démarche d auto-évaluation des risques
Audit interne et contrôle interne Définition du contrôle interne selon COSO I : Processus mis en oeuvre par les dirigeants et le personnel d une organisation, à quel que niveau que ce soit, Destiné à leur donner en permanence une assurance raisonnable quant à la réalisation des objectifs de l organisation 3 catégories d objectifs Optimisation de l utilisation des ressources (Efficacité et efficience de l exploitation) Fiabilité des états financiers publiés Respect de lois et réglementations (conformité)
Le cadre de référence AMF
Le contexte et la démarche Principaux objectifs assignés par l AMF Le Groupe de Place Le Groupe de travail sur le CI comptable et financier Principales orientations
Structure du Cadre de Référence de Contrôle Interne Les principes généraux de contrôle interne ; Les questionnaires : Questionnaire relatif au contrôle interne comptable et financier; Questionnaire relatif à l analyse et à la maîtrise des risques. Le guide d application relatif au contrôle interne de l information comptable et financière publiée par les émetteurs.
Le cadre de référence
Définition Le contrôle interne est un dispositif de la société, défini et mis en œuvre sous sa responsabilité. Il comprend un ensemble de moyens, de comportements, de procédures et d actions adaptés aux caractéristiques propres de chaque société qui : contribue à la maîtrise de ses activités, à l efficacité de ses opérations et à l utilisation efficiente de ses ressources, et doit lui permettre de prendre en compte de manière appropriée les risques significatifs, qu ils soient opérationnels, financiers ou de conformité.
Définition (suite) Le dispositif vise plus particulièrement à assurer : La conformité aux lois et règlements; L application des instructions et des orientations fixées par la Direction Générale; Le bon fonctionnement des processus internes de la société, notamment ceux concourant à la sauvegarde de ses actifs; La fiabilité des informations financières.
Les 5 composantes retenues Le dispositif de contrôle interne, qui est adapté aux caractéristiques de chaque société doit prévoir : une organisation appropriée; la diffusion en interne d informations pertinentes ; un système visant à recenser et analyser les principaux risques identifiables et à s assurer de l existence de procédures de gestion de ces risques des activités de contrôle proportionnées aux enjeux une surveillance permanente du dispositif de contrôle interne.
Les 5 composantes retenues Le dispositif de contrôle interne, qui est adapté aux caractéristiques de chaque société doit prévoir : une organisation; la diffusion en interne d informations pertinentes ; un système visant à recenser et analyser les principaux risques identifiables et à s assurer de l existence de procédures de gestion de ces risques des activités de contrôle proportionnées aux enjeux une surveillance permanente du dispositif de contrôle interne.
La composante «recensement et analyse des risques» Mise en place de méthodes pour recenser, analyser et gérer les risques d origine interne ou externe qui réduiraient la probabilité d atteinte de leurs objectifs. Recensement, dans le cadre d un processus continu, des principaux risques identifiables Analyse des risques (processus de gestion des risques) Définition des procédures de gestion des risques par la Direction Générale ou le Directoire avec l appui d une Direction des risques, si elle existe. (cf. questionnaire relatif à l analyse et à la maîtrise des risques)
Le Guide d application relatif au contrôle interne de l information comptable et financière publiée par les émetteurs
Structure du guide d application relatif au contrôle interne comptable et financier Introduction incluant la définition et les objectifs Processus de pilotage de l organisation comptable et financière Processus concourant à l élaboration de l information comptable et financière publiée : Processus amont et processus de production de l information comptable et financière Processus d arrêté comptable et de communication financière Eléments du contrôle interne permettant d assurer une maîtrise de ces 3 familles de processus
Les Questionnaires
Structure du questionnaire relatif au contrôle interne comptable et financier 1. Rôle des organes de gouvernance 2. Organisation comptable et financière 3. Système d'information comptable et financier 4. Identification et analyse des risques affectant l'information comptable et financière 5. Activité de contrôle 6. Communication financière et comptable
Structure du questionnaire relatif à l analyse et à la maîtrise des risques 1. Principes généraux de gestion des risques 2. Identification des principaux risques Analyse des principaux risques Procédures de gestion des principaux risques Surveillance des risques et des procédures de gestion des risques
Les tendances observées La mise en place de processus de management des risques : Cartographie des risques Création d une fonction centrale et d un réseau de riskmanagers Le lancement de projets de renforcement ou de formalisation du contrôle interne : Réappropriation du CI par les managers Rétablissement du lien entre contrôle interne et risques Mise en conformité avec la réglementation Banques Assurances
Les tendances observées Forte sollicitation de l audit interne : LSF, SOX Assistance à la mise en place du processus de management des risque Réaffirmation du rôle d évaluation du contrôle interne : extension du périmètre et professionnalisation de l audit interne Des choix d organisation variés : Regroupement gestion des risques et audit interne sous une même autorité Création de fonction centrale de «responsable de contrôle interne» et de relais auprès des managers : animation du CI
L impact de la LSF pour l audit interne 64% des répondants soumis à la LSF L audit interne est fortement impliqué : Elaboration d un projet de rapport (65%) Participation au groupe de travail (34%) Animation de ce groupe de travail (19%) Impact positif de la LSF, notamment : Renforcement du dispositif de contrôle interne (70,6%) Changement dans la nature des missions de l audit interne Renforcement de l approche par les risques (19%) Missions d accompagnement à la mise en œuvre du contrôle interne, auto-évaluation (11%) Augmentation du nombre de missions orientées vers la vérification des informations comptables et financières (10%)
L impact de SOX pour l audit interne 14% des répondants soumis à SOX L audit interne est fortement impliqué dans 92% des cas : Equipe dédiée (74%) avec en moyenne 7 auditeurs internes Rôle variable : Tests des procédures de contrôle ou des contrôle internes mise en place (62,5%) Coordination du projet (41%) Participation au Comité de Pilotage (16%) Pilotage du projet (12,5%) Impact important de SOX, notamment : Renforcement du dispositif de contrôle interne (96%) Impact sur la réalisation du plan d audit (77%) Augmentation du nombre de missions d audit comptable et financier (71%)
L évolution des rôles : audit interne et fonction de contrôle interne Selon l enquête IFACI 2005 : 47% des répondants disposent d une fonction de contrôle interne distincte, d ancienneté variable Rattachement de la fonction de contrôle interne à la Direction Financière (27%) ou aux Directions opérationnelles (27%) Rôle : mettre en place, anime et suivre le contrôle interne Répartition des responsabilités entre contrôles permanents et périodiques est une des principales préoccupations des auditeurs internes dus secteur bancaire en 2005
L exemple du secteur bancaire (CRBF 97-02) Séparation du contrôle permanent et du contrôle périodique Contrôle permanent niveau 1 et 2 Contrôle périodique (niveau 3) : l audit interne La fonction conformité Chargée de veiller à l efficacité et la cohérence du contrôle du risque de non respect des lois, normes, et instructions externes et internes
Audit interne et management de risques
Gestion des risques, audit interne et contrôle interne : Recommandations Facteurs clés de succès
Un besoin de clarification des rôles et responsabilités Clarification nécessaire sur les rôles et les responsabilités des acteurs au cœur de la gouvernance et du contrôle interne : Conseil d Administration Direction générale Risk manager Audit interne Compliance officer «Chief Internal Control Officer» Direction juridique Nécessité de définir les rôles, les responsabilités Mettre en place et formaliser des délégations de pouvoirs efficaces pour une meilleure gestion des risques et responsabilités
Recommandations et facteurs clé de succès Développer un «référentiel» partagé : un cadre «intégré»de gestion des risques et de contrôle interne : Définitions Méthodologie (par exemple : évaluation de risques) Rechercher la différenciation des rôles pour organiser la complémentarité : Éviter la superposition des processus et des fonctions Optimiser les liens hiérarchiques et fonctionnels Partager les informations, par exemple cartographie des risques, évaluation des risques, bonnes pratiques de CI Préserver l indépendance de l audit interne et du riskmanagement
Apporter de la visibilité pour libérer les énergies Contrôle interne, gestion des risques, audit interne L'expérience de Gaz de France
Gaz de France aujourd'hui (1) 22 milliards d'euros de chiffre d'affaires dont 36 % à l'international 4 milliards d'euros de cash flow 3 milliards d'euros d'investissements 53 000 collaborateurs dont 53 % hors statut IEG
Gaz de France aujourd'hui (2) Un groupe juridiquement compact, avec peu de filiales très significatives Un management décentralisé Une culture historique davantage managériale que financière
Gaz de France aujourd'hui (3) Des approches du contrôle interne historiquement diverses et partielles Une sensibilité historique à certains risques Une culture d'audit managérial
Contrôle interne, Risques, Audit interne à Gaz de France (1) L'organisation actuelle 1 Directeur, 3 Délégués, 3 Filières L'histoire Rôle précurseur de l'audit interne Identification progressive des deux autres fonctions
Contrôle interne, Risques, Audit interne à Gaz de France (2) Cohérence des politiques Proximité et densité des échanges Respect des identités Cohérence des mises en oeuvre