Post on 22-Jan-2021
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures peut-on mesurer la valeur ajoutée du contrôle interne ?
MEMOIRE PROFESSIONNEL
LA VALEUR AJOUTÉE DU CONTRÔLE INTERNE EN ENTREPRISE
TUTEUR DE MEMOIRE : Nicolas HADJIDAKIS
CYCLE MASTER PROFESSIONNEL 2 : Master Audit Interne Contrôle Conseil
Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Jérémy CLEMENT
2012-2013
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures peut-on mesurer la valeur ajoutée du contrôle interne ?
REMERCIEMENTS
En préambule à ce mémoire, je souhaitais adresser mes remerciements les plus sincères
aux personnes qui m’ont apporté leur aide et qui ont contribué à l’élaboration de ce
mémoire ainsi qu’à la réussite de cette dernière année scolaire.
Je tiens à remercier sincèrement Monsieur HADJIDAKIS, qui, en sa qualité de tuteur de
mémoire, s’est toujours montré à l’écoute et très disponible pour me guider, me donner
de l’inspiration, m’accorder de l’aide et me consacrer de son temps.
J’exprime ma gratitude à tous les consultants et professionnels rencontrés lors des
recherches effectuées et qui ont accepté de répondre à mes questions avec beaucoup de
bonne volonté.
Ces remerciements s’adressent également à Bernard PORTIER, Manon BARDET
Lionel LOPES, Marjorie GUILLARD et Cynthia TISSON, mes collègues du service
Audit pour cette année passée en leur compagnie.
Merci également à Charlotte LECLERE pour son soutien indéfectible durant ces cinq
longues années d’études.
Merci à toutes et à tous.
SOMMAIRE
1
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
INTRODUCTION.............................................................................................................
PREMIÈRE PARTIE : LES ENJEUX EXTERNES ET INTERNES DU DISPOSITIF DE CONTRÔLE INTERNE ET DE MAITRISE DES RISQUES.........................................................1.1 Les enjeux externes dans le secteur de la mutualité..........2
1.1.1 La maîtrise des risques au cœur des préoccupations des autorités de contrôle
3
1.1.2 Précisions sur le cadre réglementaire du secteur de la mutualité3
1.1.3 L’impact de solvabilité II 3
1.2 Le dispositif de contrôle interne et de maitrise des risques déployé par MFP Services.........................................................2
1.2.1 L’activité de MFP Services3
1.2.2 La contrainte externe exercée par les autorités de tutelle de MFP Services
3
1.2.3 Objectifs et méthodologie du dispositif de maîtrise des risques 3
SECONDE PARTIE : LE CONTRÔLE INTERNE ET LA GESTION DES RISQUES...............2.1 Principes généraux de contrôle interne..............................2
2.1.1 Définition 3
2.1.2 Les composantes du contrôle interne 3
2.1.3 Acteurs du contrôle interne3
2.1 Principes généraux de la gestion des risques.....................22.1.1 Définition 3
2.1.2 Les composantes de la gestion des risques3
2.1.3 Les étapes de la gestion des risques 3
TROISIÈME PARTIE : UNE ACTIVITÉ CRÉATRICE DE VALEUR AJOUTÉE
3.1 La valeur ajoutée du contrôle interne ................................23.1.1 Définition 3
3.1.2 Contrôle interne et valeur ajoutée 3
3.1.3 Les conditions de création de valeur par le dispositif de contrôle interne
2
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
3.2 Mesure de la création de valeur par le contrôle interne.....23.2.1 Pourquoi mesurer la valeur ajoutée du contrôle interne 3
3.2.2 Comment mesurer la valeur ajoutée du contrôle interne 3
3.2.3 L’intérêt du suivi des coûts cachés 3
QUATRIÈME PARTIE : LE CAS MFP SERVICES.........................................................4.1 Contexte et définition de la mission....................................24.2 Hypothèses..........................................................................2
4.2.1 Recrutement d’un risque manager 3
4.2.2 Apport sur la partie financière : le rôle du contrôle de gestion 3
4.2.3 Mesure du climat social par un organisme extérieur 3
4.2.4 Mise en place d’une base d’incident 3
4.2.5 Mise en place d’une réelle séparation entre l’audit et le contrôle interne
3
4.2.6 Mettre le contrôle interne au cœur de la politique de l’entreprise 3
4.3 Etude complémentaire........................................................24.3.1 Présentation 3
4.3.2 Méthodologie 3
4.3.3 Principaux résultats 3
CONCLUSION..................................................................................................................
BIBLIOGRAPHIE............................................................................................................
TABLE DES FIGURES....................................................................................................
TABLE DES ANNEXES...................................................................................................
AVANT PROPOS
3
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Dans la cadre de ma cinquième année d’étude en Master 2 Audit Interne Contrôle
Conseil au sein de l’ESAM (en partenariat avec l’IAE de Lille), j’ai effectué un stage en
alternance en tant qu’auditeur interne dans le service Audit de la société MFP Services.
Je me suis rapidement rendu compte que le dispositif de contrôle interne peinait à
prouver son utilité et ce, dans toutes les strates de l’entreprise.
Partant de ce constat, j’ai pu remarquer que, d’une façon générale le dispositif de
contrôle interne était selon les personnes perçu comme une contrainte, une dépense
inutile, un frein à la productivité ou un dispositif obligatoire auquel l’entreprise ne peut
échapper. L’audit est, quand à lui, cantonné à l’image d’espion de la direction ou bien
« d’inspecteur des travaux finis ».
Naturellement je me suis tourné vers les acteurs du contrôle interne de l’entreprise afin
de comprendre la raison de cette « défiance » vis-à-vis du contrôle interne.
Le plus souvent, cela m’a été justifié par le fait que ni les collaborateurs, ni les
directions ne voyaient ce que le contrôle interne leur apportait.
Un autre problème régulièrement soulevé provient du nom du dispositif. Le mot
contrôle a une connotation péjorative. Hors, il a été traduit de l’anglais « internal
control » qui signifie, non pas contrôler, mais maîtriser. La première des erreurs est
donc en France de parler d’un dispositif de contrôle et non pas d’un dispositif de
maitrise de l’activité qui amènerait probablement moins de réticences de la part des
collaborateurs.
Enfin, pour être efficace, un dispositif de contrôle interne et de maîtrise des risques doit
être mis en place avec l’impulsion de la direction, ce qui associé au mot contrôle
provoque évidement un amalgame malheureux qui consiste à résumer le dispositif
comme un nouveau moyen de contrôle des patrons sur les salariés.
Est ensuite venu le problème des dirigeants : si le contrôle interne est en principe
bénéfique à une structure, pourquoi l’ensemble de ces derniers ne mettent ils pas un tel
dispositif en place ? Si ce dispositif permet à l’entreprise d’atteindre ses objectifs,
pourquoi ceux dont l’entreprise possède déjà un dispositif se contentent de répondre aux
obligations légales ?
Vient maintenant le problème de la valeur ajoutée. Le dispositif peine à prouver que non
seulement il permet de se mettre en conformité avec la loi mais qu’il peut également
créer de la valeur.
4
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Je me suis donc tout naturellement tourné vers ce sujet afin de comprendre ce que le
contrôle interne peut réellement apporter à une structure et si cet apport est mesurable
dans une entreprise.
INTRODUCTION
Au cours de ces dernières décennie, l’univers du contrôle interne et de la gestion des
risques a connu une évolution constante.
5
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Depuis la fin des années 90, de nombreux scandales financiers ont mis en avant un
manque de visibilité important des entreprises sur les risques que prennent leurs
dirigeants et salariés opérationnels au quotidien.
Le manque de moyens déployés pour maitriser les risques et fiabiliser les informations
financières publiées a fortement contribué au développement de ces
dysfonctionnements.
Les scandales Enron et Woldcom au début des années 2000 ont donné lieu à une remise
en cause du système financier qui a abouti aux lois Sarbanes Oxley.
Ces lois ont pour principaux objectifs de protéger les actionnaires en fiabilisant la
communication des données financières, de lutter contre les comportements frauduleux
des entreprises en mettant les dirigeants face à leurs responsabilités.
En France, la Loi de Sécurité Financière (LSF) impose aux entreprises de mettre en
place un cadre de contrôle interne dans les entreprises.
L’ensemble des sociétés cotées a aujourd’hui l’obligation de publier un rapport annuel
relatif au dispositif de contrôle interne mis en place au sein de leurs structures.
De ce fait, ces problématiques ne concernent plus uniquement le secteur bancaire, mais
également les organisations assurantielles et mutualistes qui doivent en assumer elles-
mêmes les implications.
Si dans un premier temps le dispositif de contrôle interne et de maitrise des risques ne
présentait qu’ un aspect de conformité, les récentes prise de position de l’IIA (Institute
of Internal Auditors) et 8ème directive stipulent que ce dispositif ne doit pas se restreindre
à cet aspect.
Le dispositif doit désormais être un outil au service de la gouvernance, de la maitrise
des risques et de la performances globale de l’entreprise.
Si il est de plus en plus accepté que le dispositif contribue à la performance globale de
l’entreprise, des questions subsistent quand à sa valeur ajoutée.
De ce fait, certaines entreprises ne voyant pas l’intérêt de développer le dispositif de
contrôle interne et de maitrise des risques, se contente de mettre en place un dispositif
répondant aux exigences externes avec des moyens minimum.
6
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Les salariés eux même sont souvent réticents au principe même de la mise en place d’un
contrôle interne, voyants ce dispositif comme un outil de surveillance et une contrainte
pénible et chronophage.
Dans les deux cas la réaction des dirigeants et des opérationnels provient du fait que la
valeur ajoutée d’un tel dispositif n’est pas clairement perçue.
Ce mémoire de recherche va donc s’attacher à répondre à la question :
Dans quelles mesures le dispositif de contrôle interne peut-il représenter une
valeur ajoutée pour l’entreprise ?
Nous tenterons donc de prouver que le dispositif de contrôle interne et de maitrise des
risques peut non seulement aider l’entreprise à atteindre ses objectifs, mais également
contribuer à la création de valeur en étudiant dans un premier temps les enjeux externes
et internes du dispositif de contrôle interne dans la société MFP Services qui appartient
au secteur de la mutualité.`
La seconde partie de ce mémoire à pour objectif de présenter les bases théoriques du
contrôle interne et de la maitrise des risques.
Dans un troisième temps nous nous attacherons à démontrer ce qu’est la valeur ajoutée
du contrôle interne, les conditions pour que le dispositif aide à créer de la valeur et
comment mesurer cette valeur ajoutée.
La dernière partie de ce mémoire portera sur le cas pratique de la société MFP Services
et aura pour finalité de formuler des préconisations afin d’aider le dispositif en place à
devenir un véritable outil au service de la création de valeur.
7
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
PREMIÈRE PARTIE : LES ENJEUX EXTERNES ET INTERNES DU DISPOSITIF DE CONTRÔLE INTERNE
1.1 – Les enjeux externes dans le secteur de la Mutualité
1.1.1 La maîtrise des risques au cœur des préoccupations des autorités
de contrôle
Comme nous venons de le voir en introduction, les différents scandales financier de ces
dernières années ont amené les pays à légiférer et mettre en place de nombreuses
réforme afin de fiabiliser l’information financière.
En raison de la similitude qu’il présente avec l’univers dans lequel évoluent les banques
et les compagnies d’assurance, le secteur de la mutualité est également concerné par
l’ensemble de ces réformes.
En effet, le secteur mutualiste demeure une activité à risque notamment pour deux
raisons principales :
La mutualisation des risques est à la base du fonctionnement et des activités
premières de l’entreprise : la mutuelle ne serait pas en mesure de satisfaire les
demandes simultanées de remboursements qui émaneraient de l’ensemble de
tous ses adhérents ; elle doit donc conquérir de nouvelles parts de marché pour
éviter ce risque, ou du moins le réduire.
Son activité financière l’oblige à investir les revenus réalisés grâce au
différentiel obtenu entre les sommes perçues et celles remboursées afin
d’anticiper une rentabilité, et ce, malgré la complexité de plus en plus importante
des instruments financiers, d’autant que ces mouvements financiers
(entrées/sorties ou encore encaissements/remboursements) ne sont pas
concomitants.
Ainsi, le décret n° 2008-468 du 19 mai 2008 applicable au Code de la Mutualité stipule
que toute mutuelle ou union doit disposer d’un dispositif de contrôle interne permanent,
et que le Conseil d’Administration doit approuver, a minima une fois par exercice, un
8
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
rapport de contrôle interne qui doit refléter l’état d’avancement ainsi que l’efficacité
réelle du dispositif de contrôle interne de l’entité.
La Cour des Comptes oblige également les mutuelles gestionnaires d’un régime
obligatoire d’assurance maladie à mettre à jour les démarches de contrôle interne
« métier » tous les ans.
1.1.2 Précisions sur le cadre réglementaire du secteur de la mutualité
Il existe trois types de mutuelles :
les mutuelles d’entreprises,
les mutuelles de fonctionnaires,
les mutuelles interprofessionnelles.
Ces mutuelles sont soumises au Code de la Mutualité dont la dernière réforme date de
2001. Ce nouveau cadre est semblable à celui qui régit les sociétés d’assurances.
Pour faire face aux nouvelles règles prudentielles qui leur ont été imposées, les
mutuelles ont donc été amenées à se restructurer et à se regrouper.
Le paysage de la mutualité est désormais composé en grande majorité d’entreprises de
taille importante, ce qui constitue une forte barrière à l’entrée.
Il est à noter que le nouveau Code de la Mutualité est basé sur un principe de
spécialisation. Les activités d’assurance sont donc à distinguer de la gestion des œuvres
sanitaires et sociales par exemple. Cette séparation est née de la volonté de protéger les
intérêts des assurés des risques liés aux autres activités de l’entreprise.
Depuis, les mutuelles sont mises en concurrence avec des institutions de prévoyance
ainsi que des sociétés d’assurances. Elles ont accès à de nouvelles garanties qui
représentent des engagements lourds et, en conséquence, sont soumises à des exigences
renforcées. Actuellement, les mutuelles ont l’obligation de publier des informations
comptables financières et prudentielles afin de pouvoir suivre/contrôler le
fonctionnement de leurs activités. L’ensemble de ces exigences a tendance à s’accroître
avec la mise en place de la réforme européenne Solvabilité II.
9
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
1.1.3 L’impact de Solvabilité II
La directive Solvabilité II a été votée et publiée au Journal officiel de l’Union
européenne en novembre 2009. Elle entrera en vigueur le premier janvier 2015. Des
premiers éléments sont à communiquer aux autorités de contrôle dès septembre 2013
sur les comptes 2012. La transposition doit être achevée dans les droits nationaux en
juillet 2014
Solvabilité II ne se limite pas à un calcul mais introduit également des exigences en
termes de gestion des risques, de gouvernance, de contrôle interne, …
En effet, l’objectif premier de solvabilité II est la réduction du risque de faillite de
l’entreprise.
Cela se traduit notamment par une augmentation des fonds propres afin d’augmenter la
capacité de l’entreprise à honorer ses engagements en toute circonstance. Ces nouvelles
exigences reposent sur trois piliers
Le premier pilier s’appuie sur une exigence quantitative relative aux fonds
propres que doivent posséder les sociétés d’assurances ainsi que sur les
provisions que ces dernières doivent posséder afin de rester solvables en toute
circonstance.
Le deuxième piler de Solvabilité II a pour objectif de fixer des normes
qualitatives en matière de gestion et de suivi des risques et de contrôle interne,
ainsi que de définir les rapports des entités avec les autorités de contrôle.
Le troisième pilier impose aux organismes la publication de certaines
informations détaillées à destination des autorités de contrôle.
Présentation du deuxième pilier de Solvabilité 2
Le deuxième pilier de la directive s’articule autour de sept thèmes majeurs :
Gouvernance et fit & proper
Risk management
ORSA
Contrôle interne et conformité
10
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Audit interne
Fonction actuarielle
Sous-traitance
Figure 1
L’impact du pilier 2 sur la gouvernance :
Avec Solvabilité II, la gouvernance des entreprises d’assurance est au cœur des
préoccupations des autorités de régulation (rapport Sharma sur les sociétés défaillantes).
« Les points clés à retenir :
Les exigences de gouvernance concernent l’ensemble des acteurs de l’entreprise
et pas seulement l’organisation des instances dirigeantes,
Solvabilité II exige des entreprises qu’elle mette en place un système de
gouvernance clair et documenté,
la responsabilité des dirigeants et du Conseil d’administration est accrue,
de nouvelles exigences en matière de compétences et d’honorabilité des
administrateurs, dirigeants et responsables de fonctions clés, font leur apparition.
La gouvernance entre dans le nouveau champ de contrôle de l’ACP, étant donné
qu’un défaut de gouvernance peut entrainer un capital add on,
Mise en place d’un dispositif de gestion des risques intégré au processus de
décision,
11
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Le renforcement du contrôle interne est sous la responsabilité de la gouvernance
de l’entreprise qui devra pour ce faire, mettre en place un certain nombre de
fonctions clés1 »
L’ensemble de ces dispositions sont à mettre en place tant au niveau du groupe que des
filiales.
L’impact du pilier 2 sur le management des risques :
Obligation de disposer d’une fonction Risk Management.
L’article évoquant le management des risques indique que les entreprises doivent
disposer d’un système de gestion des risques. Ce dispositif de gestion des risques doit :
être intégré à la structure organisationnelle de l’entité,
constituer un dispositif d’identification, d’évaluation et de gestion permanent
des risques,
être indépendant de toute autre fonction (y compris de l’Audit Interne et du
Contrôle interne),
La fonction Risk Management devra également :
formaliser une politique de maitrise des risques comprenant notamment les
objectifs et la stratégie de l’entreprise en matière de gestion des risques,
déterminer son niveau d’exposition au risque,
déterminer un seuil critique de niveau de risque acceptable pour la bonne marche
de l’entreprise,
prendre le management des risques en compte dans le développement de
chacune de ses activités ou en d’autres mots s’assurer pour chacune des activités
qu’elle projette de développer, qu’elle aura bien dans le futur, la capacité
financière et organisationnelle d’en assumer la maitrise au niveau des risques.
« La directive définit également sept types de risques opérationnels :
la fraude interne,
la fraude externe,
les ressources humaines,
1 Présentation interne MFP Services sur Solvabilité II
12
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
la réalisation des opérations,
le système d’information
périls. »2
ORSA (évaluation interne des risques et de la solvabilité).
« L’ORSA est un processus ayant pour but de démontrer une gestion efficace et
prudente de l’activité et d’évaluation de la solvabilité. »3
C’est également un outil d’aide à la décision.
L’article 45 consacré au dispositif ORSA (Own Risk and Solvency Assessmen ou auto
évaluation des risques) stipule que chaque entreprise devra, dans le cadre de son
système de gestion des risques, procéder à une évaluation interne de ses risques et de sa
solvabilité.
Le processus ORSA devra permettre de :
prendre en considération les risques quantifiables et non quantifiables qui ne
sont pas dans le SCR,
mesurer l’adéquation du SCR au profil de risque propre à l’entreprise
promouvoir au sein de l’entreprise une culture du risque,
s’assurer que l’entreprise réponde de façon continue et permanente aux
exigences en capital,
identifier l’évolution des besoins globaux de solvabilité, à court terme mais aussi
à long terme, en tenant compte de la stratégie de l’assureur et de ses projets de
développement,
faire la correspondance entre les fonds propres et le profil de risque de
l’entreprise.
Ce qu’il faut retenir du processus ORSA :
L’ORSA fait partie intégrante de la gouvernance de l’entreprise et est au cœur de
la gestion des risques
2 Memoire Aurelien LERDA : L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management3 http://www.varm.fr
13
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
L’ORSA est la connaissance par l’entreprise de ses propres risques et de sa
solvabilité actuelle et future
L’ORSA est un exercice propre à chaque entreprise à produire tant pour les solos
que pour les groupes
L’ORSA fait l’objet d’un rapport spécifique communiqué à la Direction générale
et au Conseil d’administration ainsi qu’à l’autorité de contrôle
L’impact du pilier 2 sur le contrôle interne :
Obligation de posséder une fonction contrôle interne :
Une fonction contrôle interne doit obligatoirement être mise en place dans l’entreprise
avec pour objectif d’atteindre les objectifs fixés au préalable par la direction tout en
minimisant les risques de l’entreprise.
Le service contrôle interne doit être totalement indépendant et détaché de toute autre
fonction (notamment de l’Audit interne).
Les entreprises doivent également :
mettre en place un dispositif de contrôle basé sur un cadre de référence comme
le COSO et le référentiel de l’AMF,
mettre en place des procédures, règles et stratégies de contrôle interne,
effectuer des contrôles de premier et second niveau,
respecter le principe de séparation des tâches,
mettre en place des tableaux de bord,
avoir une fonction conformité au sein de l’entreprise,
rédiger annuellement un rapport de contrôle interne à destination de l’ACP
approuvé par le Conseil d’Administration,
mettre en place un plan de suivi des améliorations relatives au contrôle interne,
impliquer le management dans le processus de contrôle interne en lui
communiquant régulièrement l’état et l’évolution du dispositif.4
L’impact du pilier 2 sur l’Audit Interne :
4 Memoire Aurelien LERDA : L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management
14
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
L’article 47 stipule :
qu’un service Audit Interne doit être mis en place dans toutes les structures,
que la fonction Audit interne doit être séparée de toute autre fonction,
que l’audit interne doit avoir pour fonction d’évaluer l’adéquation et l’efficacité
du dispositif de contrôle interne et des éléments de gouvernance,
que l’ensemble des conclusions et recommandations de l’audit interne doivent
être communiquées l’organe de gestion (décisionnaire) de l’entreprise.
Cet article est fondamental car il insiste sur la nécessité d’indépendance de l’Audit
Interne afin de le préserver de tout conflit d’intérêts et de garantir son objectivité lors de
ses missions.
Encore une fois la gouvernance de l’entreprise est responsabilisée car la fonction Audit
aura pour obligation de transmettre systématiquement l’ensemble de ses constats et
recommandations. Les directions ne pourront donc plus jouer sur l’absence de remontée
d’informations en cas de problème majeur.
1.2 – Le dispositif de contrôle interne et de maîtrise des risques déployé par
MFP Services
1.2.1 L’activité de MFP Services
Le groupe MFP Services
La création du groupe MFP Services en 2002 a fait suite à la reconfiguration de la
Mutualité de la Fonction Publique (MFP). Après plusieurs décennies de fonctionnement
dans le cadre d’une structure unique, les activités de la MFP ont dû s’insérer dans un
ensemble multi-structurel, notamment en raison du principe de spécialisation imposé
par le nouveau code de la mutualité.
Le groupe MFP Services est aujourd’hui composé :
d’une entité MFP Services,
d’une union de mutuelles dédiée (MFPrécaution),
de nombreuses filiales notamment dans le domaine assuranciel (MFPrima et
MFPrévoyance) et bancaires avec le groupe BFM (Banque Fédérale Mutualiste),
15
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
mais également sur d’autres secteurs (GIE MFGAM, GIE CHOREGIE, GIE
Mut’Santé, MFP Immobilier).
L’entité MFP Services
MFP Services est en charge des activités de prestations de services qui lui sont
déléguées par la CNAMTS, les mutuelles adhérentes et l’État.
Son cœur d’activité est la santé, étant donné que l’entreprise est délégataire de la gestion
du régime obligatoire de Sécurité Sociale et assure la gestion du régime complémentaire
pour le compte d’une trentaine de mutuelles de fonctionnaires.
MFP Services a le statut d’Union de Mutualiste ; son activité trouve son fondement
dans la loi Morice de 1947. Ce principe fondateur légitime l’exigence des mutuelles de
fonctionnaires et impose à la Sécurité Sociale de déléguer la gestion du régime
obligatoire de la Sécurité Sociale pour la fonction publique, aux mutuelles de
fonctionnaires.5
MFP Services assure actuellement la protection de près d’un million et demi de
personnes au titre du régime obligatoire et d’un million de personnes au titre du régime
complémentaire.
Les mutuelles organisent leur mode de fonctionnement en s’appuyant sur le principe de
la « délégation de gestion » : elles se focalisent sur la conquête de nouvelles parts de
marchés en développant leur stratégie commerciale et en élaborant des offres afin de
cibler d’autres clients et de fidéliser les adhérents, elles déterminent les prestations qui
leur sont destinées et perçoivent en contrepartie les cotisations et autres paiements des
adhérents.
Les aspects organisationnels, administratifs et logistiques sont assurés par MFP Services
en vertu du principe de délégation de gestion déjà évoqué. Cet aspect concerne
notamment le remboursement des soins, l’accueil physique des adhérents ainsi que leur
prise en charge et la qualité de service qui leur est octroyée. Le paiement de ces
services est assuré par l’Etat par l’intermédiaire de la Sécurité Sociale de la CNAM-TS
sous la forme de « remises de gestion » reversées à MFP Services, lesquelles lui
assurent ainsi sa plus grande source de revenus. Ces remises de gestion sont recalculées
tous les trois ans avec les organismes de Sécurité Sociale en tenant compte de nombreux
5 www.mfpservices.fr
16
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
critères comme par exemple, la masse de la population des adhérents concernés ou la
nature des prestations.
MFP Services dispose parallèlement d’une large gamme de services complémentaires :
prestations sociales interministérielles, éditiques, offres de formation ou conseil aux
mutuelles.
Rôle des autorités de tutelle à l’égard de MFP Services
Les autorités de tutelles sont des instances de contrôle et de fait, une contrainte externe
pour MFP Services. En effet, en raison de son implication et de sa prise de
participations dans d’autres organismes mutualistes, ainsi que dans des établissements
bancaires ou assurantiels, MFP Services est soumise au respect de normes
réglementaires souvent complexes, édictées par le code de la Mutualité et code de la
Sécurité Sociale, mais aussi par le code des Assurances et le droit bancaire.
« L’entreprise est placée sous le contrôle de plusieurs autorités de tutelles :
L’Autorité de Contrôle Prudentielle, qui exerce un contrôle direct sur les
entreprises relevant, entre autres, du code de la Mutualité.
Elle veille à ce que les entités soumises à son contrôle respectent les
dispositions législatives et réglementaires qui leur sont applicables et les
engagements contractuels qui les lient à leurs assurés ou adhérents. Cette
dernière contrôle également les activités bancaires du groupe. Elle est chargée
de contrôler le respect par les établissements de crédit et par les entreprises
d’investissement des dispositions législatives et règlementaires qui leur sont
applicables et de sanctionner les manquements constatés.
La Cour des Comptes, quant à elle, contrôle la gestion de toutes les
administrations et de tous les organismes publics nationaux, et notamment
l’emploi des fonds publics qui sont alloués à des organismes privés.
La CNAM TS (Caisse Nationale d’Assurance Maladie) s’implique dans la
démarche de maîtrise des risques de l’activité Assurance Maladie. Elle a un
droit de regard sur toute l’activité de MFP Services. L’une des
17
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
problématiques qu’elle soulève régulièrement est la difficulté pour les
mutuelles de fonctionnaires d’assurer un service compétitif pour l’État,
puisque le rapport qualité/prix des prestations est inférieur à celui que
peuvent proposer certaines mutuelles privées. Cette faiblesse fait donc
planer une menace sur l’entreprise, qui doit faire d’autant plus attention au
respect des contraintes imposées par la CNAM. »6
Ces autorités de tutelles ont donc un rôle accru en matière de contrôle. Les exigences
prudentielles à l’égard des mutuelles et des organismes d’assurances sont de plus en
plus rigoureuses et complexes depuis quelques années en raison de l’application des
normes Solvabilité II, Bâle II (et sa récente évolution Bâle III), ainsi que SOX. De ce
fait, les autorités de tutelles exercent un contrôle renforcé sur les mutuelles et plus
spécialement, sur leur capacité à gérer et à maîtriser leurs risques avec l’obligation
d’une plus grande transparence sur le sujet à l’égard de leurs adhérents.
Depuis 2007, MFP Services intègre ces contraintes et ces obligations dans la gestion de
ses propres risques.
1.2.3 Les objectifs du contrôle interne
De par le renforcement de la réglementation que nous venons d’exposer, le contrôle
interne est aujourd’hui l’un des objectifs prioritaires de l’entreprise pour garantir la
maîtrise des risques liés à ses activités. La mise en place de nouveaux dispositifs de
contrôle répondant à ces exigences est un véritable enjeu pour l’entreprise.
Le déploiement de ce processus de contrôle concerne toutes les directions de
l’entreprise et doit se traduire au quotidien par une implication permanente de tous les
acteurs de l’entreprise, ce qui nécessite une remise en question et une évolution de la
méthode de travail de chacun, et ce, dans le sens d’une amélioration du contrôle interne.
La réussite de cette transformation passe donc par la culture d’entreprise.
1.2.4 Le dispositif de maîtrise des risques
6 Document interne MFP Services
18
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
À cette fin, il a été mis en place un service d’Audit interne dont la fonction est
d’effectuer des missions d’audit ponctuelles et dont les ressources ont été utilisées à la
mise en place d’un dispositif de maîtrise des risques dans les directions de MFP
Services.
L’objectif de ce dispositif est d’intégrer le contrôle interne à la politique d’entreprise.
Une seconde étape consiste à faire adhérer les collaborateurs à une politique du
changement dans laquelle ils s’impliquent pleinement tant sur le plan organisationnel
que culturel. La dernière phase du déploiement du contrôle interne concerne l’esprit de
formalisation par lequel les collaborateurs doivent se sentir quotidiennement concernés
et responsabilisés dans leurs activités.
La mise en place de ce dispositif et son déploiement se réalisent en s’appuyant sur des
concepts et une méthodologie clairement définis et transmis par les auditeurs aux
responsables du contrôle interne afin qu’ils les intègrent et communiquent eux-mêmes
dans leurs propres directions.
Pour ce faire, les auditeurs ont recensé divers moyens de communication : la notion de
travail d’équipe, la planification des activités, la transversalité inter directions, des plans
de formation ou des actions à visée pédagogique et surtout une forte sensibilisation des
différents acteurs concernés grâce aux modes de communication interne au sein de
l’entreprise.
Organisation de la supervision en interne :
C’est la Direction Générale qui détermine la politique de maîtrise des risques. Les
divers Comités ou Groupes de travail, quant à eux, supervisent, planifient ou
coordonnent les différents travaux qui concernent la maitrise des risques. Les comités
spécifiques les plus représentatifs dans ce domaine sont : le comité d’Audit, le comité
de Pilotage du Contrôle interne ainsi qu’un Comité dédié aux exigences du contrôle
interne de la CNAM TS.
Dès la mise en place de ce nouveau dispositif, MFP Services a créé son propre Comité
d’Audit. Il a pour rôle d’informer le Conseil d’Administration sur les risques potentiels
ou avérés de l’entreprise ainsi que sur les dispositifs de contrôle interne afférents. Il
établit par ailleurs les missions de l’Audit.
19
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Un Comité de Pilotage du Contrôle interne a lui aussi été créé pour répondre aux choix
d’orientation et de coordination des actions de contrôle interne mises en œuvre, pour
veiller au bon fonctionnement du dispositif et à sa pérennité dans l’entreprise, et enfin
pour sensibiliser les collaborateurs et leur inculquer la notion de maitrise des risques.
C’est une instance opérationnelle. Le service d’Audit interne participe à ce comité, tout
comme les représentants des Directions métiers. Cette organisation garantit un travail
transverse dans le cadre d’objectifs communs. Enfin, il a été instauré un comité de
Pilotage spécifique à la maîtrise des risques liés à la gestion du régime obligatoire de la
Sécurité Sociale.
Chaque direction désigne des « référents contrôle interne » qui ont pour mission
d’élaborer et de diffuser des référentiels de contrôle interne dont ils assurent aussi la
maintenance.
Ce dispositif en matière de contrôle interne met en évidence la notion de responsabilité
propre à chaque direction, qui dispose des compétences et de l’expertise nécessaire pour
mener à bien cette mission, ainsi que de la connaissance précise de ses activités
quotidiennes. Comme nous l’avons déjà évoqué, nous pouvons constater qu’il s’agit
d’une véritable réorientation des activités des opérationnels qui s’inscrit dans le cadre
d’une politique de changement au sein de l’entreprise.
Une direction de MFP Services a par ailleurs instauré un « pôle contrôle interne et
régulation » dont la mission est de déployer le dispositif de maîtrise des risques liés à la
gestion du régime obligatoire de la Sécurité Sociale.
Cette structure a une mission plus opérationnelle que celle de l’audit interne. Enfin, une
équipe d’inspection a pour fonction de s’assurer que l’ensemble des équipes du réseau
de production respecte les procédures et les directives données par le siège social.
L’Inspection est chargée de contrôler que l’ensemble des lois édictées et des règlements
est correctement appliqué et que les consignes et procédures sont respectées.
L’Inspection relève d’éventuels dysfonctionnements en cas de non-respect des normes
réglementaires ou déontologiques, qui feront éventuellement l’objet d’actions
correctrices ou de préconisations par les équipes de contrôle.
20
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
SYNTHÈSE :
Comme nous venons de le voir, le paysage du contrôle interne est en proie à des grands
changements, tant à l’échelle mondiale que française.
L’univers de la mutualité dans lequel évolue la société MFP Services n’échappe pas à
ces évolutions.
De la volonté générale de légiférer pour apporter plus de sécurité aux clients et
actionnaires, est née la directive Solvabilité II qui impose notamment aux sociétés
d’assurance de mettre en place un dispositif de contrôle interne et de maitrise des
risques performant.
Pour répondre aux exigences des autorités de tutelle, la société MFP Services a mis en
place un dispositif qui continue d’évoluer pour s’adapter à un environnement en
constante mutation.
Nous allons maintenant, grâce à la deuxième partie de ce mémoire, entrer dans le détail
du fonctionnement d’un dispositif de contrôle interne et de maitrise des risques.
21
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
DEUXIÈME PARTIE : LE CONTRÔLE INTERNE ET LA GESTION DES RISQUES
2.1 Principes généraux du contrôle interne2.1.1 Définition
Définition du contrôle interne :
Définition du contrôle interne selon le Comittee Of Sponsoring Organizations de 1992
(COSO) :
« Le contrôle interne est un processus mis en œuvre par le Conseil d’Administration, les
dirigeants et le personnel d’une organisation, destiné à fournir une assurance
raisonnable quant à la réalisation des objectifs suivants :
la réalisation et l’optimisation des opérations,
la fiabilité des informations financières,
la conformité aux lois et règlements en vigueur. »
Afin de compléter la définition du COSO nous pouvons également retenir la définition
contenue dans le cadre de référence du contrôle interne de l’AMF (2008) :
« Le contrôle interne est un dispositif de la société, défini et mis en œuvre sous sa
responsabilité, qui vise à assurer :
la conformité aux lois et règlements,
l’application des instructions et des orientations fixées par la Direction
Générale ou le Directoire,
le bon fonctionnement des processus internes de la société, notamment ceux
concourant à la sauvegarde de ses actifs,
la fiabilité des informations financières,
et d’une façon générale, contribue à la maîtrise de ses activités, à l’efficacité de
ses opérations et à l’utilisation efficiente de ses ressources.
Il comprend un ensemble de moyens, de comportements, de procédures et d’actions
adaptés aux caractéristiques propres de chaque société qui :
contribue à la maîtrise de ses activités,
22
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
à l’efficacité de ses opérations et à l’utilisation efficiente de ses ressources,
et doit lui permettre de prendre en compte de manière appropriée les risques
significatifs, qu’ils soient opérationnels, financiers ou de conformité.
Le contrôle interne ne se limite donc pas à un ensemble de procédures ni aux seuls
processus comptables et financiers. Il ne recouvre pas non plus toutes les initiatives
prises par les organes dirigeants ou le management, comme la définition de la stratégie
de la société, la détermination des objectifs, les décisions de gestion, le traitement des
risques ou le suivi des performances.»
COSO :
Créé en 1992, COSO est le référentiel de base du contrôle interne. Sa mise en place
dans de nombreuses entreprises a été accélérée par les nouvelles lois (SOX, LSF…)
découlant des scandales financiers comme Enron et Worldcom. Ces lois imposent
notamment aux entreprises cotées, l’adoption d’un cadre conceptuel ainsi que
l’évaluation du contrôle interne. Les objectifs étant d’assurer :
La conformité aux lois et règlements,
L’application des instructions et des orientations fixées par la DG ou le
Directoire,
Le bon fonctionnement des processus internes de la société, notamment ceux
concourant à la sauvegarde de ses actifs (corporels et incorporels),
La fiabilité des informations financières.
Le Comittee Of Sponsoring Organizations (COSO) a donc dans un premier temps
identifié cinq éléments essentiels pour maîtriser les risques d’une activité (COSO 1).
Ces derniers ont dans un premier temps été présentés sous forme d’un diagramme
pyramidal (cf annexe) comprenant de la base à son sommet :
L’environnement de contrôle, c'est-à-dire une organisation comportant une
définition claire des responsabilités (formalisées et communiquées), disposant
des ressources et des compétences adéquates (politique de GRH) et s’appuyant
sur des SI (sécurisés physiquement et logiquement), sur des procédures ou
23
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
modes opératoires, des outils adaptés aux besoins de chacun + formation) et des
pratiques appropriées.
L’évaluation des risques, c'est-à-dire un système continu visant à recenser et
analyser (criticité) les principaux risques (internes ou externes) identifiables au
regard des objectifs de la société, et à s’assurer de l’existence de procédures de
gestion de ces risques.
L’information et la communication, c'est-à-dire la diffusion en interne
d’informations pertinentes, fiables, dont la connaissance permet à chacun
d’exercer ses responsabilités.
Les activités de contrôle, c'est-à-dire proportionnées aux enjeux propres à
chaque processus, et conçues pour s’assurer que les mesures nécessaires sont
prises en vue de maîtriser les risques susceptibles d’affecter la réalisation des
objectifs.
Le pilotage, c'est-à-dire une surveillance permanente portant sur le dispositif de
contrôle interne, ainsi que l’examen régulier de son fonctionnement. 7
Le référentiel a été mis à jour en 2002 (COSO 2).Il est maintenant présenté sous forme
de cube (cf annexe) et intègre désormais :
la typologie de contrôle interne (stratégique, opérationnel…),
la distinction des entités contrôlées,
la notion d’appétence au risque.
Son objectif est de compléter COSO 1 en donnant un cadre à la maîtrise des risques en
entreprise.
2.1.2 Les composantes du contrôle interne
La Direction Générale est responsable de la mise en place du dispositif de contrôle
interne. La politique de gestion du contrôle interne contenu dans ce dispositif est ensuite
communiquée à l’ensemble du personnel en vue de sa mise en place dans tous les
départements de l’entreprise.
7 Document interne MFP Services de présentation du COSO
24
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Lorsqu’il s’agit d’un groupe, la gouvernance de l’entreprise a pour obligation de veiller
à l’existence et à l’application de ces dispositifs au sein de ses filiales. Dans le cas où
une entreprise détient des participations, elle est dans l’obligation de prendre
connaissance des dispositifs mis en place dans les entreprises sur lesquelles elle exerce
une influence notable.
Selon le cadre de référence de l’AMF, le dispositif de contrôle interne de l’entreprise
doit prévoir :
une organisation comportant une définition claire des responsabilités, disposant
des ressources et des compétences adéquates et s’appuyant sur des systèmes
d’information, des procédures et des outils appropriés,
la diffusion en interne d’informations pertinentes et fiables, dont la
connaissance permet à chacun d’exercer ses responsabilités,
un dispositif de gestion des risques visant à recenser, analyser et traiter les
principaux risques identifiés au regard des objectifs de la société,
des activités de contrôle adaptées et proportionnées aux enjeux propres à
chaque processus et conçus pour réduire les risques susceptibles d’affecter la
réalisation des objectifs de la société,
une surveillance permanente du dispositif de contrôle interne ainsi qu’un
examen régulier de son fonctionnement. Cette surveillance, qui peut s’appuyer
sur la fonction d’audit interne, peut conduire à l’adaptation du dispositif de
contrôle interne.
2.1.3 Les acteurs du dispositif de contrôle interne
La gestion de la maîtrise des risques et du contrôle interne est, comme nous l’avons
expliqué, l’affaire des organes de gouvernance et de chaque service concerné à un
niveau collectif, mais elle est aussi, à titre individuel, l’affaire de chacun des acteurs de
l’entreprise et donc de chaque collaborateur.
La Direction Générale
La Direction Générale est chargée de définir et de piloter la stratégie de l’entreprise et
notamment le dispositif de gestion des risques et de contrôle interne. À cet effet, elle
25
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
s’informe de façon permanente sur le non-respect ou les insuffisances constatées afin
que des actions correctives soient mises en place.
Le Conseil d’Administration
Le Conseil d’Administration agit dans l’intérêt de l’entreprise. Pour ce faire, la
Direction Générale lui communique entre autres, les éléments clés du dispositif de
contrôle interne : le Conseil d’Administration pourra donc diligenter des contrôles ou
prendre des dispositions qu’il estimera adaptées aux circonstances en matière de gestion
de la maîtrise des risques.
Le Comité d’Audit
Le Comité d’Audit est nommé par le Conseil d’Administration. Selon l’article 39-2 de
la directive européenne qui concerne, l’une de ses missions est d’assurer le suivi de
l’efficacité des systèmes de contrôle interne, de l’audit et de la gestion des risques.
Le gestionnaire des risques
Le métier de gestionnaire des risques consiste essentiellement à identifier et analyser les
risques en conformité avec la politique des risques établie par la Direction Générale,
d’établir une cartographie des risques de l’entreprise, d’organiser des plans d’action et
d’en suivre l’efficacité afin de les prévenir ou de les corriger.
L’Audit Interne
Le service de l’Audit interne est sous la hiérarchie de la Direction Générale ; il est
indépendant des autres directions et services de l’entreprise. Cette spécificité lui permet
de mener à bien sa mission de contrôle sur le respect des normes réglementaires et
déontologiques auprès des différentes entités de l’entreprise et des collaborateurs en
établissant des constats et en émettant des préconisations.
Le Contrôle de Gestion
Le service du Contrôle de Gestion a un rôle essentiellement opérationnel, mais son
activité revêt un caractère fondamental dans le dispositif de la gestion du risque. En
26
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
effet, le Contrôle de Gestion fournit des données utiles aux gestionnaires des risques qui
permettent de constater ou d’anticiper le coût potentiel d’un risque. Ces informations
seront utilisées notamment dans le cadre d’actions correctives ou de plans
d’amélioration.
Le personnel de la société
Au niveau opérationnel, le bon fonctionnement du dispositif de contrôle et de gestion
des risques repose sur tout le personnel de l’entreprise. C’est au travers des activités
quotidiennes des collaborateurs, qu’on pourra évaluer le respect de ce dispositif. La
réussite de sa mise en application passe par une communication interne d’entreprise
claire, rigoureuse et efficace qui contribuera à la qualité et à la performance des
objectifs de chacun.
Les commissaires aux comptes
Enfin, bien qu’extérieurs à l’entreprise, il est important de faire référence aux
commissaires aux comptes pour décrire le processus de contrôle interne et de gestion
des risques. La mission principale des commissaires aux comptes est de vérifier et
certifier les comptes annuels de l’entreprise.
C’est dans le cadre de cette mission, qu’ils seront amenés à apprécier le dispositif de
contrôle interne et de maîtrise des risques, d’en estimer la pertinence et ses
conséquences dans le domaine comptable et financier. Les commissaires aux comptes
agissent en toute indépendance.
Complémentarité du contrôle interne et de la gestion des risques
Les dispositifs de gestion des risques et de contrôle interne sont complémentaires et
interdépendants dans la maîtrise des activités de l’entreprise :
le dispositif de gestion des risques a pour objectif d’appréhender et d’analyser
les risques majeurs de l’entreprise ; c’est par les contrôles internes mis en place
et qui relèvent du dispositif de contrôle interne qu’ils seront identifiés,
27
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
à l’inverse, le dispositif de contrôle interne se base sur le dispositif de gestion
des risques pour déterminer les risques à maîtriser,
enfin, le dispositif de gestion des risques associe à son déploiement des contrôles
qui relèvent du dispositif de contrôle interne afin d’assurer son efficacité.
Les deux dispositifs s’inscrivent dans un contexte environnemental commun de contrôle
qui est la base de la maîtrise des risques au sein de l’entreprise. Si leurs objectifs sont
distincts, ils sont donc en cela complémentaires. L’auditeur doit être en mesure de
conserver son indépendance de jugement (c’est donc une des raisons pour laquelle les
deux dispositifs doivent être appliqués par des entités dissociées), néanmoins chez MFP
Services, les auditeurs sont sous la hiérarchie du Comité d’Audit et le contrôle interne
dépend de la Direction Générale bien que les deux fonctions soient occupées par les
mêmes personnes. Ce point doit d’ailleurs faire l’objet d’une préconisation.
2.2 Principes généraux de la gestion des risquesLa notion de risque est indissociable de celle d’entreprise dans la mesure où dès sa
création aucun élément ne garantit la permanence et la stabilité de la vie de l’entreprise,
et ce, indépendamment de sa structure, de sa taille ou de son secteur d’activité.
2.2.1 Historique et évolution :
La littérature sur les courants de pensée économique montre que jusqu’au XVII siècle,
le risque était généralement assimilé à la prudence. Cette vision était issue des idées
philosophiques de l’époque. (citer un auteur)
La notion de risque prend réellement naissance avec l’évolution de la recherche
mathématique sur les calculs de probabilités au XVIIIème siècle. Les progrès
scientifiques, industriels et technologiques qui ont marqué le XIXème et le XXème
siècle ont mis en exergue la notion de risque industriel et humain générant le concept de
gestion des risques.
Dans notre système économique, social et financier, la gestion des risques oblige les
entreprises à élaborer des procédés performants et à se doter de moyens visant à se
28
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
protéger des divers risques qui les menacent dans un contexte environnemental de plus
en plus concurrentiel et fragilisé.
À partir des années 90, la prise de conscience des limites de nos ressources naturelles,
les évolutions socioculturelles, le développement de la mondialisation et des nouvelles
technologies en matière de communication ont contraint les entreprises à repenser leur
système de gestion des risques, en privilégiant les domaines de la sécurité des
personnes, de la protection de l’environnement et des normes de qualité.
L’instabilité politique, économique et financière de la crise actuelle observée à
l’international est source de risques nouveaux pour les entreprises, entrainant des
répercussions macro et microéconomiques et nécessitant une réactivité immédiate en
matière de gestion des risques.
2.2.2 Définition du risque :
Il existe de nombreuses définitions du risque, mais non pouvons retenir celle de
POUMADERE (chercheur à l’E.N.S de Cachan) :
« Les risques constituent une menace pour les êtres humains et ce à quoi ils sont
attachés. Associé à la notion d'événement, le risque se définit comme une entité à deux
dimensions : probabilité d'une part et conséquence(s) d'autre part. Mesure d'un danger
associant une mesure de l'occurrence d'un événement indésirable et une mesure de ses
effets ou conséquences. »
Ainsi que celle de l’IFACI (Institut Français de l’Audit et du Contrôle Interne) :
« Un risque est un ensemble d’aléas susceptible d’avoir des conséquences négatives sur
une entité et dont le contrôle interne et l’audit ont notamment pour mission d’assurer
autant que faire se peut, la maitrise »
Typologie des risques :
Les risques d’une entreprise s’analysent tout d’abord au regard de la sphère dans
laquelle ils évoluent : la sphère naturelle, technologique, sociopolitique et financière.8
8 www.ffsa.fr
29
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Figure 2
la sphère naturelle : concerne les risques liés à la nature (difficiles à prévoir et
à évaluer).
la sphère technologique : concerne les risques techniques liés à l’activité
humaine (exemples : risques informatiques, risques liés à une erreur de
manipulation ou à une défaillance technologique).
la sphère socio-politique : concerne les risques liés à notre système politico-
social.
la sphère financière : concerne les risques financiers qui peuvent impacter
l’entreprise.
Les différents types de risques existants pour une entreprise sont aussi répertoriés en
quatre catégories déterminées en fonction de leurs causes dont les quatre principales
sont : l’origine, l’activité, la nature et le niveau des risques.
Les risques en fonction de leur origine9
Selon leur origine, les risques peuvent être classés en deux catégories :
9 www.memoireonline.com Cartographie des risques liés au cycle ventes/clients par Mohamed Douty Soumah ISCAE-G 2009
30
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Figure 3
le risque interne qui provient d’un processus non performant ou de
l’information de gestion,
le risque externe qui est difficilement maitrisable et qui résulte d’un
changement dans l’environnement de l’entreprise.
Les risques en fonction de leur activité10
Selon leur activité, les risques peuvent être classés en cinq catégories :
Figure 4
I. les risques financiers : « correspondent aux différents risques inhérents aux
activités bancaires et financières, au sens large, et peuvent potentiellement concerner
10 www.memoireonline.com Cartographie des risques liés au cycle ventes/clients par Mohamed Douty Soumah ISCAE-G 2009
31
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
l’ensemble des agents économiques ; ils comprennent les risques de change, de taux ou
de liquidités »11,
II. le risque économique : « regroupe l’ensemble des risques associés à l’activité
économique des entreprises, il comprend les risques d’origine externe à l’entreprise
(risque politique ou risque d’inflation), mais aussi des risques spécifiques à l’entreprise
(risque opérationnel, risque d’escroquerie) »12,
III. les risques sociaux : « sont constitués des dérives possibles, internes ou externes à
l’entreprise, d’origine humaine, sociale, économique, législative ou politique, ou bien
encore à la communication de l’entreprise ou des médias »13,
IV. les risques environnementaux : « ce sont tous les risques associés au milieu dans
lequel évolue l’entreprise (région, ville, fournisseurs, etc.) »14. Ce sont donc des
éléments externes à l’entreprise qui peuvent contrarier son développement commercial
et stratégique.
V. les risques opérationnels : « sont les risques de pertes qui proviennent des erreurs
du professionnel au sens large, des systèmes ou processus, ou des événements externes,
tels que les risques de détérioration de l’outil industriel, les risques technologiques, les
risques climatiques ou environnementaux » 15.
VI.
« Selon le Comité de Bâle, ce sont les risques de pertes provenant de processus internes
inadéquats ou défaillants, de personnes et systèmes ou d’événements externes »16 .
11 www.trader-finance.fr12 www.trader-finance.fr13 www.pwc.fr14 portail-des-pme.fr article de Jean Christophe BONIS Qu’est ce que le risque environnemental ?15 www.lesechos.fr/finance-marches/16lecercle.lesechos.fr/abcedaire/Rique opérationnel par Pascal Ordonneau 29/04/2011
32
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Les risques en fonction de leur nature17
Selon leur nature, les risques peuvent être classés en quatre18 catégories :
Figure 5
le risque inhérent : « Pour OBERT (1995) c’est le risque qu’une erreur
significative se produise compte tenu des particularités de l’entreprise, de
ses activités, de son environnement. C’est le risque lié au secteur d’activité
de l’entreprise ; il ne dépend pas du dispositif de contrôle mis en place par
l’entreprise »,
le risque de non-contrôle : « Pour OBERT, c’est le risque que le système
interne de l’entreprise ne prévienne pas ou ne détecte pas de telles erreurs»,
le risque de non-détection : « C'est le risque résiduel après le passage de
l'audit interne.
Ce risque est du soit à une mauvaise interprétation des conclusions d'audit,
soit à une insuffisance d'investigation lors des travaux d'audit »,
le risque résiduel : « C’est le risque qui subsiste après l’application des
politiques de maîtrise des risques ».
17 www.memoireonline.com Cartographie des risques liés au cycle ventes/clients par Mohamed Douty Soumah ISCAE-G 200918 www.memoireonline.com Cartographie des risques liés au cycle ventes/clients par Mohamed Douty Soumah ISCAE-G 2009
33
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Les risques en fonction de leur niveau19
Selon leur nature, les risques peuvent être classés en trois catégories :
Figure 6
le risque potentiel : « c’est le risque maximum encouru en l’absence de tout
système de défense. Il est constitué à la fois des risques internes et des risques
externes »20,
le risque matériel : « C’est un risque qui s’est déjà matérialisé dans
l’entreprise et son impact doit être évalué afin de définir une politique efficace
pour sa maîtrise »21,
le risque possible : « C’est le risque potentiel contre lequel une entreprise
donnée ne s’est pas dotée de moyens pour le limiter ou le détecter ou le
corriger »22.
Le risque dans l’entreprise
La cartographie que nous venons de présenter met en évidence l’importance des
différents risques qui menacent les entreprises.
19 www.memoireonline.com Cartographie des risques liés au cycle ventes/clients par Mohamed Douty Soumah ISCAE-G 200920 www.afnor.org maîtrise des risques bibliothèque virtuelle documents et normes Penser la mise en œuvre du contrôle interne par Anne-Claude Gouvernec 01/09/200721 www.memoireonline.com Cartographie des risques liés au cycle ventes/clients par Mohamed Douty Soumah ISCAE-G 200922 www.memoireonline.com Cartographie des risques liés au cycle ventes/clients par Mohamed Douty Soumah ISCAE-G 2009
34
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
La maitrise des risques est donc pour les dirigeants un axe de priorité majeure, afin de
protéger l’entreprise de sa vulnérabilité tout en lui assurant sa longévité ; elle est aussi le
garant de la protection du système de production. On peut donc dire que le risque
représente une menace qui affaiblit l’entreprise si son impact négatif n’est pas canalisé
et maîtrisé.
En interne, il a des répercussions au niveau :
des ressources de l’entreprise,
de ses produits et/ou services,
de ses clients,
de sa durée de vie.
Si l’impact est trop important ou selon la nature du risque (confère la cartographie
présentée ci-dessus), les répercussions peuvent être aussi externes à l’entreprise et
toucher :
le marché,
l’activité
ou encore, l’environnement.
Ce sont les raisons pour lesquelles, la majorité des moyennes et grandes entreprises,
créent aujourd’hui de nouvelles fonctions au sein d’une structure dédiée à la gestion des
risques : il s’agit d’équipes spécialisées dans le domaine de la maitrise des risques, qui
sont dirigées par un gestionnaire du risque appelé aussi « risk manager ».
La finalité de ces nouvelles structures est d’anticiper ou de corriger les risques internes
et externes afin de diminuer au mieux les aléas qui pourraient entraver le
développement de l’entreprise ou nuire à son image de marque et à sa pérennité.
2.2.3 Les composantes de la gestion des risques
Il est donc du ressort de chaque entreprise d’instaurer un dispositif de gestion des
risques qui corresponde à ses besoins propres.
Néanmoins, ce dispositif qui doit répondre à au moins trois exigences fondamentales :
35
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
précision des fonctions et des responsabilités de chacun d’un point de vue
organisationnel,
élaboration d’un processus de gestion des risques en trois points :
identification,
analyse,
et traitement des risques,
et le pilotage permanent de la gestion des risques.
Ce dispositif doit faire l’objet de révisions continues puisqu’il est par essence établi en
fonction de risques survenus, lesquels ont fait l’objet d’actions correctives ou de plans
de redressement ou d’amélioration.
2.2.4 Les étapes de la gestion des risques
L’identification des risques
Dans un premier temps, il conviendra d’observer et de repérer le contexte dans lequel
s’inscrit le risque afin de prévoir et planifier l’activité concernée, puis de déterminer sa
finalité, ses objectifs et les moyens qui y sont rattachés. Il faudra en amont prévoir des
dispositifs de contrôle et des reportings. Les risques surviennent souvent de façon
inattendue et leurs conséquences peuvent nuire à la réalisation de l’activité et au
développement de l’entreprise comme nous l’avons déjà expliqué.
La phase d’identification du risque nécessite donc une analyse de la nature du risque et
de ses raisons de survenance : on parle alors des « facteurs de risques ».
Ce procédé est aujourd’hui, celui qui est le plus utilisé en matière de gestion des risques,
car il présente un point fort non négligeable : il permet d’anticiper les risques tout en se
focalisant sur l’optimisation maximale de leur traitement.
Les cinq risques majeurs pour une entreprise sont :
le marché et ses évolutions (tendances, globalisation, délocalisation),
les marchés financiers (investisseurs, actionnaires),
les risques de change, taux, matières premières,
les concurrents,
36
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
les risques de crédit et de contreparties.
Ces risques prennent une importance différente selon la sensibilité des secteurs
d’activité : à titre d’exemple, les secteurs bancaire et assurantiel s’intéressent davantage
aux risques financiers, liés à la distribution ou à la concurrence tandis que le secteur de
l’industrie sera plus sensible aux risques liés aux matières premières par exemple.
L’analyse des risques
Une fois les risques identifiés, ces derniers doivent être évalués en fonction de
l’importance des pertes potentielles et de leur probabilité de survenance.
Cependant les causes des risques et de leur survenance ainsi que les conséquences de
leurs répercussions sont parfois difficilement identifiables en raison du manque de
données sur la fréquence de certains risques ou de données non quantifiables.
La finalité de cette seconde étape est d’évaluer au mieux les risques identifiés afin de
mettre en place des actions prioritaires et d’établir ainsi, un plan de gestion des risques.
Il faudra donc en premier lieu repérer et identifier les risques fondamentaux en vue
d’organiser des plans d’actions efficaces dans le cadre de l’optimisation de la gestion
des risques.
Le risque est évalué grâce à la formule suivante :
Probabilité de survenance X gravité
On pourra en conclure que le risque est « maximum » quand la probabilité de
survenance sera élevée et que la perte estimée sera importante pour l’entreprise.
À ce niveau d’analyse, il est généralement fait référence à la cartographie des risques
qui renseigne sur les caractéristiques spatiales des risques, laquelle apporte des
précisions sur les différents critères qui caractérisent risques et leur vulnérabilité.
Le traitement des risques
Cette troisième phase de l’élaboration du processus de gestion des risques permet
d’envisager et de déterminer les plans d’action les plus appropriés pour traiter les
risques repérés.
37
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Il existe plusieurs méthodes de gestion des risques qui présentent des points communs
avec les catégories de DORFMAN regroupées sous la dénomination des « 4T » :
Présentation des 4 « t »
Figure 7
L’atténuation
La méthode de l’atténuation a pour finalité de traiter directement le risque et donc de
diminuer l’importance du sinistre, comme le sprinkler en matière d’incendies : son
utilisation permet de diminuer la fréquence des incendies et d’amoindrir la gravité du
risque en alertant directement les secours et en éteignant les feux.
La rétention
Le principe de rétention est d’accepter les conséquences du risque sans chercher à les
supprimer ni à les amoindrir. La rétention est utilisée dans les cas où une couverture
d’assurance des risques serait trop coûteuse et sans bénéfice réel à long terme. Il s’agit
là d’une décision d’entreprise.
Les risques non évités ou non transférés sont donc considérés comme acceptés ; seront
donc considérés comme acceptés les risques issus de faits inassurables ou trop onéreux
comme certaines catastrophes naturelles ou les faits de guerre par exemple.
L’évitement
L’évitement, du latin evitare qui signifie « éviter, fuir »23, consiste à « fuir » une activité
à risques ou plus précisément à y renoncer.
23 Dictionnaire Latin/français. Felix Gaffiot première édition 1934
38
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Cela implique un renoncement aux bénéfices éventuels qui auraient pu être obtenus en
exerçant cette activité. Il s’agit là encore d’un choix d’entreprise dans sa stratégie de
développement.
On peut donner en exemple le cas d’une entreprise qui renonce à conquérir un nouveau
marché afin d’éviter de possibles pertes ; a contrario cette entreprise renonce aussi aux
gains qu’elle aurait pu réaliser par la pénétration de ce nouveau marché.
Le transfert
Enfin, cette dernière méthode consiste à assurer le risque par la souscription d’un
contrat d’assurance. L’entreprise transfère le risque à l’assureur qui l’assumera s’il
survient, en contrepartie du paiement d’une prime d’assurance par l’entreprise. Le
principe du transfert est couramment utilisé par les « risk managers » : cette technique
est pour eux sécurisante et facilement applicable.
Le reporting
Pour être totalement efficace, le processus de la maitrise des risques s’appuie sur la
technique du reporting qui donne une traçabilité de la gestion des risques et plus
précisément de l’identification des risques et du suivi du dispositif de gestion.
Le reporting intègre une auto-évaluation des risques et des contrôles effectués par les
équipes opérationnelles.
Les données informatives du reporting constituent une richesse pour mener à bien la
gestion des risques ; il s’agit d’un élément primordial dans la réussite et l’optimisation
du dispositif de maitrise des risques, et ce, quels que soient la taille et le secteur
d’activité de l’entreprise concernée.
Un système d’information pour la gestion des risques (SIGR) permet de gérer
l’intégralité de l’activité de gestion des risques et joue un rôle de centralisation et de
consolidation des données.
Le Système d’ Information pour la Gestion des Risques permet également d’assurer un
suivi de l’activité et simplifie la communication avec les différentes parties prenantes du
projet.
39
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
SYNTHÈSE :
Nous venons dans le cadre de cette deuxième partie, de mettre en lumière le
fonctionnement d’un dispositif de contrôle interne et de maîtrise des risques dans
l’entreprise.
Il est essentiel de comprendre que ce dispositif doit impliquer l’ensemble de la structure
et non uniquement les professionnels du contrôle interne, de l’audit interne ou du risk
management.
Il est également important de retenir que les risques ont de nombreuses origines et sont
partout présents dans l’entreprise. Des outils et méthodes existent pour les maitriser et
en suivre l’évolution.
Nous allons maintenant passer à la troisième partie de ce mémoire qui va s’attacher à
démontrer que le contrôle interne ne se limite pas à aider l’entreprise à se mettre en
conformité avec la loi, mais qu’il s’avère être un outil de pilotage essentiel pour le
management de l’entreprise, ainsi qu’une activité pouvant créer de la valeur.
40
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
TROISIÈME PARTIE : UNE ACTIVITÉ CRÉATRICE DE VALEUR AJOUTÉE
3.1 La valeur ajoutée du contrôle interne 3.1.1 Définition
La valeur :
Il convient dans un premier temps de définir c’est qu’est la valeur. D’ordinaire, le terme
de valeur ajoutée est employé dans le domaine comptable et financier comme : « Le
supplément de valeur donné par l'entreprise, dans son activité, aux biens et aux services
en provenance des tiers. Elle est égale à la somme de la marge commerciale et de
la marge sur consommation de matières, diminuée des consommations de biens et de
services en provenance des tiers. La valeur ajoutée est utile pour caricaturer un secteur
et constitue une mesure de l'intégration de l'entreprise dans son secteur. »24
La création de valeur :
La création de valeur est quand à elle définissable comme « le Résultat de la capacité de
l'entreprise de réaliser un ou des investissements dont le taux de rentabilité s'avère être
supérieur aux taux de rentabilité exigé (le coût moyen pondéré du capital) compte tenu
du risque de l'investissement. La création de valeur est l'objectif rationnel de tout
dirigeant de société. »25
Appliquée au dispositif de contrôle interne, cette définition pourrait revenir à définir la
valeur ajoutée telle que : texte manquant
3.1.2 Contrôle interne et valeur ajoutée
24 Vernimmen.net25 Lesechos.fr
41
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Le contrôle interne est souvent perçu au mieux comme un mal nécessaire qui n’apporte
pas de gain direct et dont l’apport est impossible à mesurer/ quantifier, et au pire comme
une charge obligatoire sans aucune valeur ajoutée.
Il est vrai qu’il demeure difficile de mesurer en totalité l’apport du contrôle interne dans
la valeur ajoutée de l’entreprise ne serait ce que parce que la valeur perçue n’est pas la
même suivant les personnes. Elle est souvent interprétée de façon différente suivant les
attentes initiales des différentes parties prenantes.
Définir la valeur ajoutée du contrôle interne peut revenir à comparer les coûts engendrés
par le système de contrôle et les produits ou coûts évités à l’entreprise par ce même
dispositif.
La principale difficulté dans le calcul des coûts engendrés par le contrôle interne réside
dans le fait que si le dispositif est bien intégré aux activités courantes, le temps passé
par les ETP (Effectif Temps Plein) sur les tâches de contrôle interne devient
difficilement mesurable de façon fiable.
De plus tous les gains ne sont pas forcement quantifiables avec précision notamment de
certains gains indirects liés à l’image ou au bien-être au travail.
La valeur ajoutée du contrôle interne n’est donc pas mesurable par un simple calcul
arithmétique visant à comparer les coûts aux revenus (ce qui exclurait tous les coûts et
gains cachés), mais peut être appréhendée comme « le rapport entre un résultat
souhaité et un coût que l’on est prêt à supporter pour obtenir ce résultat »26.
Autre difficulté : un dispositif de contrôle interne est dynamique. Les résultats
dépendent donc énormément du contexte de l’entreprise à un instant T.
La valeur ajoutée du dispositif pour une structure :
Le contrôle interne :
Le Contrôle interne est vecteur d’harmonisation dans l’entreprise. Il permet à toute la
structure de parler le même langage, de travailler de la même façon, d’effectuer des
contrôles similaires qui pourront par la suite être comparés, ce qui favorisera la
diffusion des bonnes pratiques.
26 Cahier de recherche de l’IFACI « La création de valeur par le contrôle interne »
42
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Le contrôle interne joue un rôle important dans le climat social de l’entreprise. En effet
il peut permettre de motiver les salariés de différentes façons :
En les formants ; ces derniers seront plus efficace, constateront leurs progrès et
seront plus motivés.
En diffusant de bonnes pratiques qui résoudront certains des problèmes
rencontrés quotidiennement,
En jouant un rôle de diffuseur/remonteur d’informations. Si la parole leur est
donnée leur sentiment d’appartenance sera développé.
En aidant les salariés à se situer dans l’organisme. Dans le dispositif de contrôle
interne chacun a un rôle à jouer et une place bien précise. Il sera dont possible de
montrer à un employer qu’il a un rôle défini et important pour la structure et
qu’il n’est pas un anonyme de passage dont le travail importe peu.
Le management des risques :
La contribution à la maitrise des risques est un des principaux éléments de la valeur
ajoutée du dispositif pour les entreprises.
La mise en place d’un dispositif de contrôle interne et de maîtrise des risques permet de
connaître son entreprise en mettant en lumière des informations nouvelles. En effet
lorsque les informations remontées depuis une base d’incident par exemple sont
compilées cela permet de savoir si un risque se réalise souvent, d’identifier les causes de
ces réalisations etc.
L’audit interne :
D’après le cahier de recherche de l’IFACI sur la valeur ajouté du contrôle interne les
responsables de l’Audit sondés considèrent la valeur ajoutée de leur service est :
« La pertinence des recommandations, une bonne gestion de la crise ainsi que la
capacité à anticipation des risques. »
A cela nous pouvons ajouter :
43
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
que les recommandations effectuées permettent d’accroitre la performance de
l’entreprise,
que les auditeurs peuvent identifier des risques que le management des risques
aurait laissé passer,
que les auditeurs sont des canaux de communication et de diffusion des bonnes
pratiques de l’entreprise,
que l’audit apporte un regard indépendant sur un service, une activité à la
direction et joue un rôle de conseiller auprès des dirigeant dans leur prise de
décision,
que les auditeurs deviennent des « experts de la société » qui peuvent à terme
devenir manager dans la structure. Connaissant très bien le fonctionnement
global de l’entreprise ces derniers feront des managers efficace au service de la
performance de la structure.
3.1.3 Les conditions de création de valeur par le dispositif de contrôle
interne
La mise en place d’un dispositif de contrôle interne ne garantit en rien que celui-ci
représente une réelle valeur ajoutée pour l’entreprise. De nombreuses raisons peuvent
expliquer ce phénomène, comme :
un dispositif encore trop jeune,
un dispositif inadapté à l’entreprise,
un manque de moyens mis à disposition,
une inadéquation entre les ressources octroyées et les besoins réels,
une structure « âgée » et donc difficile à faire évoluer.
Il existe donc un certain nombre de conditions à respecter afin de faire du dispositif de
contrôle interne, un réel outil efficient au service de la création de valeur par
l’entreprise :
l’approche doit être réaliste et adaptée aux besoins des opérationnels (le cahier
de recherche de l’IFACI sur la création de valeur par le contrôle interne précise
44
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
qu’il faut contrôler ce qui doit être contrôlé et pas uniquement ce qu’on contrôle
habituellement).
Le contrôle interne doit bénéficier d’un soutient fort de la part de la gouvernance
de l’entreprise. Au plus les liens de rattachement seront élevés dans la
hiérarchie, au plus sont poids sera important dans la structure. Il pourra donc
avoir davantage d’influence, et ses effets positifs seront plus simples à
démontrer. Le dispositif doit également s’apparenter à un projet « d’entreprise »
et non à un projet classique qui par définition à un début et une fin. Des
ressources à moyen/long terme doivent donc être déployées afin d’assurer la
pérennité du dispositif et d’en garantir l’amélioration continue.
La valeur ajoutée du contrôle interne augmente lorsque l’ensemble de la
structure est mis à contribution. L’adhésion de tout le personnel de la société est
un facteur clé de réussite. Afin de remporter l’adhésion des opérationnels, il est
fondamental de ne pas faire du contrôle interne un sujet pour les spécialistes,
mais un outil à la portée de tous. Il est également important d’intégrer les
opérationnels dans toutes les étapes de la construction du dispositif.
Le système doit être homogène et parfaitement coordonné.
Le référentiel ne doit pas être figé. Il doit vivre et évoluer avec la structure. Le
dispositif de contrôle interne doit donc être contextualisé.
Il est également important de ne pas tomber dans le « spray and pray » (diffuser
massivement de l’information et des instructions en espérant un retour positif).
Le contrôle interne ne doit pas se contenter de satisfaire aux exigences
règlementaires, mais doit être un outil au service des managers en leur apportant
notamment de nouvelles informations. Il ne doit pas être vécu comme une
contrainte par les managers, mais bien au contraire, comme un levier au service
de la performance et de la création de valeur. Afin de développer la culture du
contrôle interne chez les responsables, il est important lors de la mise en place
du dispositif, de s’intéresser à leurs préoccupations quotidiennes et pas
uniquement aux aspects règlementaires.
Il est nécessaire de définir les clients du contrôle interne de l’entreprise afin de
prendre en compte leurs attentes pour construire un dispositif qui va représenter
pour eux, une valeur ajoutée. « Il existe deux types de clients, à savoir les clients
45
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
internes (DG, gouvernance, CA, Comité d’audit) et les clients externes
(investisseurs, CAC, autorités de tutelle) »27. Il faut ensuite déterminer des
critères de satisfaction de ces clients (critères qualitatifs et critères quantitatifs)
afin de pouvoir leur démontrer ce que le dispositif leur apporte.
Le système doit être pro actif : en effet, l’environnement de l’entreprise connaît
en permanence des évolutions (plus ou moins soudaines). Hors le système de
gestion des risques et le dispositif de contrôle interne doivent être constamment
en adéquation avec l’univers dans lequel l’entreprise évolue. Le dispositif doit
donc toujours anticiper les changements afin d’être prêt à s’adapter à toutes les
évolutions qui vont rythmer la vie de l’entreprise.
Le dispositif de gestion des risques doit s’attacher à la recherche d’efficacité
globale.
Une stricte séparation des tâches est importante entre l’audit interne, le contrôle
interne et le management des risques.
En ce qui concerne le suivit de l’efficacité du dispositif :
Une étude d’impact doit être effectuée avant et après chaque plan d’action afin
d’évaluer l’effet réel des changements opérés.
Le système de communication doit être personnalisé en fonction des parties
prenantes concernées par les résultats communiqués.
La communication interne du contrôle interne doit être basée sur les aspects
qualitatifs (efficacité dans un domaine par exemple) et pas seulement sur les
aspects règlementaires.
3.2 Mesure de la création de valeur par le contrôle interne3.2.1 Pourquoi mesurer la valeur ajoutée du contrôle interne
Néanmoins, il demeure important de mesurer la valeur ajoutée du dispositif de contrôle
interne d’une entreprise pour diverses raisons :
cela peut être un bon indicateur d’amélioration continue,
27 Colloque IFACI du 28 septembre 2010
46
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
les nombreuses composantes du dispositif de contrôle interne sont de bons outils
d’aide à la décision et au pilotage,
l’évaluation du contrôle interne de l’entreprise permet de faciliter son
implémentation,
cela permet de proportionner les ressources allouées au dispositif de contrôle
interne par rapport aux enjeux réels.
3.2.2 Comment mesurer la valeur ajoutée du contrôle interne
Mesure de l’efficacité du dispositif de contrôle : La balanced scorecard. La
balanced scorecard ou tableau de bord prospectif est un modèle de pilotage de la
performance créé par Robert KAPLAN et David NORTON.28Dans le cadre de leurs
recherches sur la création de valeur par le contrôle interne les chercheurs de
l’IFACI ont adapté le mode de base au dispositif de contrôle interne
Les différents indicateurs :
les clients : cet indicateur vise à mesurer la satisfaction des clients du contrôle
interne de l’entreprise.
28Figure 8
47
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
les activités : cet indicateur est essentiel, il vise à mettre en rapport les coûts
engagés les objectifs fixés au préalable.
les risques et opportunités : Cet indicateur permet d’évaluer la capacité du
dispositif à maitriser les risques de l’entreprise.
l’organisation et la gouvernance : cet indicateur vise à mesurer la capacité de
la structure à mettre en place une structure de gouvernance adaptée aux besoins
liés à son activité
3.2.3 L’intérêt du suivi des coûts cachés
Comme nous avons pu le voir bien qu’il existe une multitude d’indicateurs, il n’existe
pas encore de méthode officielle d’évaluation de l’apport du contrôle interne. Afin de
pouvoir évaluer avec fiabilité le dispositif il convient de :
trouver des indicateurs communs qui puissent être utilisables et compréhensibles
par l’ensemble des parties prenantes tel que les opérationnels, les dirigeants, les
autorités de contrôle et de tutelle, les actionnaires …
utiliser des indicateurs prenant en compte l’ensemble de la création de valeur
ajoutée par le contrôle interne et non des indicateurs prenant uniquement les
input ou output,
valoriser l’ensemble des dispositifs (coûts et bénéfices),
augmenter la pertinence des reportings et des indicateurs existants,
prendre en compte l’importance majeure des bénéfices intangibles et les mettre
en avant malgré tout.
L’ensemble de ces points présente majoritairement un problème de manque de recul par
rapport à l’évaluation du dispositif. Ce problème devrait se régler dans les années à
venir. le principal problème qui risque de persister est la prise en compte dans
l’évaluation des bénéfices intangibles. Il demeure compliqué de calculer/prévoir le coût
et le retour sur investissement de certaine partie du contrôle interne.
En effet, le calcul du retour sur investissement n’est pas toujours possible car :
au vu de la complexité du calcul, il est nécessaire que le dispositif soit mature
pour que le résultat soit fiable,
48
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
un dispositif de contrôle interne est un système vivant/dynamique dans le temps
et qui doit être évalué sur la durée et pas forcement à un instant « t »,
la mesure d’un retour sur investissement n’est pas forcément réalisable sur un
certain nombre de domaines appartenant au périmètre du contrôle interne tel que
l’exemplarité ou l’image par exemple…
Face à cette difficulté dans l’évaluation de la valeur ajoutée du contrôle interne la
théorie des coûts cachés d’Henry SAVALL président fondateur de l’ISEOR peut
s’avérer pertinente. Il peut paraitre inapproprié dans un devoir portant sur le contrôle
interne de traiter d’une théorie qui aurait plutôt sa place dans un travail de recherche sur
le contrôle de gestion, mais à la lecture des ouvrages de l’ISEOR, il apparaît clairement
que le contrôle interne, bien qu’il ne soit pas nommé en ces termes dans les travaux de
recherche de H.SAVALL, joue clairement un rôle majeur dans la maitrise des coûts
cachés. Peut être est-ce d’ailleurs dans ce domaine qu’il représente la plus forte valeur
ajoutée pour l’entreprise.
L’un des autres avantages non négligeables des travaux de L’ISEOR réside dans le fait
que cette entité a mis au point une méthode d’évaluation des coûts cachés. Il apparaît
donc évident que la mesure régulière de ces coûts permettra de mesurer les évolutions
entrainées par les plans d’améliorations mis en place par le contrôle interne.
L’ISEOR propose également quelques solutions de management et suivi des coûts et
performances cachés qu’il n’est pas inintéressant d’explorer afin d’aider le contrôle
interne à augmenter sa valeur ajoutée.
Notion de coût caché
La notion de coûts cachés a été modélisée par H.SAVALL chercheur et professeur
d’économie. Selon lui « un coût est considéré comme caché à partir du moment où il
n’apparaît pas explicitement dans un système d’information de l’entreprise (Système
comptable, budgétaire tableau de bord) ».
Cette méthode a fait suite au constat suivant :
49
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
« Les systèmes d’informations comptables ne permettent pas de mettre en évidence un
certain nombre de coûts qi sont pourtant supportés par les entreprises ».29
Un coût caché est donc un coût réel supporté par une entreprise, mais qui n’est pas
isolable dans la comptabilité (ne possède pas de dénomination comptable propre).
Ces coûts, bien que non identifiables, ont une incidence directe sur la performance
économique de l’entreprise (une récente étude menée dans une trentaine de pays et sur
plus de 1000 entreprises a démontré qu’en moyenne les coûts cachés représentent
chaque année pour les entreprises entre 15 000 et 60 000 euros par salariés).
Pourquoi calculer les coûts cachés ?
La motivation principale qui amène à une démarche de calcul des coûts cachés réside
avant tout dans une démarche de recherche d’efficacité.
Pour une entreprise les enjeux sont multiples :
le calcul de ces coûts peut aider à expliquer les différences d’efficacité entre
plusieurs entités, services d’un même groupe par exemple,
il peut également aider à expliquer les écarts entre les prévisions budgétaires et
les chiffres réellement constatés,
bien entendu l’objectif est également d’augmenter la rentabilité de l’entreprise
puisqu’une fois identifiés ces coûts pourront faire l’objet d’un plan d’action et
de suivi,
ces coûts étant identifiés et quantifiés les budgets établis seront plus fiables et le
pilotage de l’entreprise sera plus simple puisque les dirigeants pourront prendre
leurs décisions en s’appuyant sur des données fiables.
Il existe deux objectifs d’application quant à l’évaluation des coûts cachés :
L’évaluation à priori qui va servir à effectuer un bilan à un instant « t » des coûts
cachés supportés par l’entreprise et ainsi en estimer la compressibilité. Le gain
ou les non-coûts estimés pourront être pris en compte par la direction comme
objet de financement d’un autre poste de dépense ou bien venir en résultat dans
les provisions.29 Henri SAVALL, Véronique ZARDET : « Maîtriser les coûts et les performances cachés »
50
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
L’évaluation a posteriori qui permet de mesurer l’efficacité d’une politique
menée sur la réduction des coûts cachés. Si celle-ci s’avère être efficace, elle
pourra être appliquée à d’autres secteurs de la société par exemple.
Origine des coûts cachés
On peut généralement définir les coûts cachés comme des coûts de dysfonctionnement,
de non-performance ou de non-conformité.
H. SAVALL a classé les dysfonctionnements qui engendrent des coûts cachés et
affectent la performance de l’entreprise en six familles :
les conditions de travail,
l’organisation de travail,
la gestion du temps,
la communication-coordination-concertation,
la formation intégrée,
la mise en œuvre stratégique.
Types de coûts cachés :
Les coûts cachés sont composés de six parties, qui elles-mêmes sont à classer en deux
grandes catégories : les surcharges et les non produits.
Les surcharges :
les sursalaires qui correspondent au temps passé par une personne surqualifiée et
donc sur rémunérée sur une activité que ne devrait pas figurer dans ses
prérogatives,
le surtemps qui correspond au temps passé/gaspillé à résoudre un
dysfonctionnement,
la surconsommation qui correspond comme son nom l’indique au fait de
consommer d’avantage de ressource que nécessaire pour pallier à un
dysfonctionnement.
Les non produits :
51
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Les coûts d’opportunité qui correspondent à une perte de production ou
d’activité liée à un dysfonctionnement (panne à répétition qui donne une
mauvaise image de marque par exemple),
Les coûts de non-création de potentiel stratégique :
Ces coûts sont des coûts cachés indirects. H.SAVALL considère que le temps
passé à réguler un dysfonctionnement aurait pu être passé à créer de la valeur par
les agents. Par exemple, un ingénieur travaillant à résoudre une panne récurrente
aurait pu être utilisé à de la recherche et aurait pu aider à mettre au point plus tôt
un nouveau produit. Le coût de non-création de potentiel correspond au manque
à gagner engendré par ce retard.
Le coût des risques auxquels l’entreprise est exposée, liés aux
dysfonctionnements récurrents.
Comment détecter les coûts cachés ?
Dans une entreprise, rechercher les coûts cachés revient à rechercher les « poches de
sous-efficacité » de l’entreprise.
Méthode de calcul des coûts cachés :
L’évaluation des coûts cachés nécessite dans un premier temps d’identifier les sources
de dysfonctionnement (d’où l’utilité d’un système de contrôle interne et de maitrise des
risques efficace et utilisant des outils de reporting fiables).
Cela peut par exemple revenir à mettre en avant l’adéquation entre la formation et
l’emploi réel des employés afin de repérer les sources d’inefficacité.
Méthode SOF
La méthode SOF (social, organisationnel, financier) également nommée QQFI
(qualitative, quantitative, financière) a été mise en place par l’ISEOR dans le cadre de
ses travaux de recherche sur les coûts cachés en entreprise.
Elle permet d’évaluer le montant des coûts cachés d’une structure ainsi que d’estimer
les avantages (économiques) que la réduction de ces coûts va engendrer.
Cette méthode est organisée en trois modules :
52
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
un module Social, qui a pour but d’identifier les dysfonctionnements de base
ainsi que leur(s) origine(s),
un module Organisationnel, qui a pour objectif d’identifier les régulations
effectuées pour résoudre ces dysfonctionnements et mettre en avant leurs
incidences économiques,
et un module Financier qui a pour objectif d’évaluer de façon précise les coûts
engendrés par les régulations.
À partir de cette méthode simple, il est donc aisé d’évaluer l’apport du contrôle interne
dans la production de valeur par l’entreprise.
SYNTHÈSE :
Nous venons de démontrer que le dispositif de contrôle interne et de maîtrise des risques
peut être un outil au service de la création de valeur à condition de respecter certains
principes de fonctionnement.
Des solutions simples existent pour évaluer l’implication de ce dispositif dans la
création de valeur notamment grâce aux travaux d’Henry SAVALL sur le management
des coûts cachés de l’entreprise.
Nous allons à présent passer à la partie pratique de ce mémoire en traitant du cas de la
société MFP Services. Dans cette quatrième partie, nous nous attacherons à trouver des
solutions pour que le dispositif de contrôle interne de maîtrise de risques puisse non
plus se contenter de satisfaire aux obligations légales mais créer de la valeur.
QUATRIÈME PARTIE : LE CAS MFP SERVICES
4.1 Contexte et définition de la mission
53
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
MFP Services est une Union territoriale et hospitalière, composée de mutuelles des
fonctions publiques d’Etat,
La gouvernance de MFP Services peut être synthétisée ainsi :
MUTUELLES ADHERENTES
ASSEMBLEE GENERALE87 délégués (1 homme = 1 voix)
MUTUELLES ADHERENTES
MUTUELLES ADHERENTES
CONSEIL D’ADMINISTRATION21 Administrateurs
BUREAU EXECUTIF7 membres (Président Général, 6 Vice-
présidents) et 6 invités permanents
PRESIDENT GENERAL
3 COMITES SPECIALISES
Au sein de MFP Services, cinq acteurs opérationnels participent à la construction de
dispositifs de contrôle interne et de maîtrise des risques :
Le service Audit (SAI) réalise des missions d’audit et assure la coordination
des acteurs des dispositifs de contrôle interne au sein du groupe MFP Services,
Les référents « contrôle interne » (un par direction) veillent à la maîtrise des
processus dont ils ont la responsabilité, et assurent la construction et la
maintenance de référentiel de contrôle interne (avec le soutien du SAI),
Le Responsable de la Sécurité du Système d’Information (RSSI), rattaché à
la Direction des Activités Métiers et Maîtrise d’Ouvrage (DAMMOA), veille à
la bonne application de la Politique Générale de la Sécurité du Système
d’Information (PGSSI) et au déploiement du contrôle interne informatique,
54
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Les pôles PMS et CI rattachés à la DAMMOA, assurent le contrôle interne
spécifique à l’activité liée au RO « Assurance Maladie » à travers le déploiement
des PMS (Plans de Maîtrise Socle) et des PCSAC (Plans de Contrôle Socle de
l’Agent Comptable),
Le corps d’inspection vérifie au sein du Réseau que l’ensemble des entités
respecte les procédures et consignes émanant du Siège.
o L’organigramme structurel du contrôle interne
Les instances du contrôle interne de l’entité MFP Services sont composées d’un Comité
d’Audit et de Suivi Financier (CASUF), et de deux instances créées en 2011 (Comité
Opérationnel du Contrôle Interne - COMOP-CI - et le Comité de Pilotage du Contrôle
Interne - COPIL-CI -).
Leurs relations peuvent être synthétisées ainsi :
Direction Générale Conseil d’Administration
Audit
Comité d’Audit
Inspecteurs
Direction Générale Adjointe
Direction des Activités Métiers
et Maîtrise d’Ouvrage
Pôle PMS Pôle CI RSSI
Réseau CDG et CDC
Process Owners
Directions de MFP Services
Correspondants CI des filiales
Filiales du groupe MFP Services
55
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
o Structure organisationnelle des instances de contrôle interne
Le service audit interne
Directement rattaché à la Direction Générale et au CASUF (Comité d’Audit et de Suivi
Financier), le service audit interne de MFP Services a été créé en 2006 et se compose
actuellement de cinq personnes :
un responsable de service,
deux auditeurs séniors,
deux auditeurs juniors en contrat de professionnalisation (c’est le poste que
j’occupe).
« Les auditeurs réalisent des missions prévues dans le plan d’audit annuel validé par la
Direction Générale et le Comité d’Audit afin d’estimer et évaluer l’efficacité du
contrôle des activités par les opérationnels, en lien ou non avec l’existence d’un
dispositif de contrôle interne pour formuler des appréciations ou des recommandations.
Dans le cadre du contrôle interne, ils proposent des outils de référence en matière de
gestion et de maîtrise des risques, adaptés à l’évolution de l’activité de MFP Services et
opposables aux organismes de contrôle externe. »30
Quelques précisions :
30 Mémoire Manon BARDET : Les enjeux du déploiement d’un Système d’Information de Gestion des Risques au sein de MFP Services
COMITE OPERATIONNEL DU CONTRÔLE INTERNE (COMOP-CI)
COMITE DE PILOTAGE DU CONTRÔLE INTERNE (COPIL-CI) COMITE D’AUDIT ET DE SUIVI FINANCIER
Groupes de travail techniques sur des problématiques particulières
(Facultatifs)
CR des travaux
ReportingAlertes
Demandes d’arbitrage
ReportingAlertes
Constitution
ArbitragesRelevés de décisions
SIGR (SI de gestion des
risques)
InformationReporting
56
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Le dispositif est jeune et le service audit qui fait également office de service contrôle
interne et de management des risques a été créé il y’a peu (6 ans).
Il a été construit de façon décentralisé et en dehors de l’impulsion de la gouvernance
(approche bottum up).
Il n’existe pas d’interaction entre le contrôle interne de chaque service. Le dispositif
n’est pas transversal.
Le dispositif peine actuellement à prouver son utilité et se contente de répondre aux
exigences règlementaires.
4.2 Hypothèses
57
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
L’ensemble des hypothèses qui vont suivre ne sont pas formulées avec l’objectif de se
mettre en conformité avec une directive ou un référentiel en particulier. Le but est de
tenir compte de l’organisation actuel de la société MFP Services et d’apporter des pistes
pour que le dispositif de contrôle interne et de maitrise des risques afin que celui ci
devienne un véritable outil au service du management et de la performance globale de
l’entreprise.
Les hypothèses sont présentées sous la forme d’un QQOQCP (Qui, Quoi, Où,
Comment, Pourquoi) et feront l’objet d’une validation via un questionnaire et des
entretiens.
4.2.1 La mise en place d’une fonction Risk Manager est essentielle pour coter les
risques de façon fiable et mettre en place un dispositif de contrôle interne adapté.
Pourquoi ?
Qui ?Le service des ressources humaines,le Comité d'Auditla Direction Générale.
Quoi ?mettre en place une fonction risk manager au sein de l'entreprise MFP Services
Où?le poste sera basé au siège du groupe MFP Services.
Quand ?le plus rapidement possible
Comment ? les compétences n'étants pas forcement disponibles en interne l'utilisation d'un cabinet de recrutement s'impose.
58
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Le dispositif de gestion des risques fourni au dispositif de contrôle interne la liste des
risques qu’il a identifiés concernant la structure ainsi que l’évaluation qu’il en a faite.
Les bonnes pratiques et la logique veulent que dans une entreprise le dispositif de
contrôle interne (et de maitrise des risques) soit proportionné aux enjeux.
Les plans d’actions de maîtrise du contrôle interne seront entièrement basés sur les
informations communiquées par le risk manager.
La plus value la plus importante du risk manager va se situer dans l’évaluation qu’il va
faire des risques identifiés au préalable :
La cotation va permettre au contrôle interne la mise en adéquation du dispositif
et des enjeux réels. Cela évitera de déployer trop de moyens pour un risque avec
un potentiel d’impact très faible, et à contrario, cela permettra d’identifier les
risques qui peuvent vraiment impacter la structure de façon importante, et la
mettre en péril.
La cotation va permettre de chiffrer de façon « pécuniaire » l’impact potentiel
d’un risque. Cela pourra être utile encore une fois pour la mise en adéquation
des ressources allouées à la maitrise d’un risque et son éventuel impact. Dans le
cadre de solvabilité II, la fonction de manager des risques va également prendre
une grande importance puisque la prise en compte dans le bilan de certains actifs
sera soumise à l’évaluation des risques que portent ces actifs.
L’audit interne qui évalue le dispositif dans son ensemble, s‘appuie sur la cartographie
des risques qui lui est communiquée lors de l’élaboration de son plan d’audit.
4.2.2 Le contrôle de gestion est une source d’information essentielle dans un
dispositif de contrôle interne. Il permet de mesurer l’évolution d’une situation et
59
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
donc l’efficacité des plans d’actions mis en place. Le dispositif gagnerait en
efficacité si les différents acteurs se rapprochaient et que leur interaction était
renforcée.
Pourquoi ?
Dans la majorité des entreprises, le contrôle de gestion est utilisé pour des tâches
« classiques » que l’on pourrait assimiler à du retraitement plus ou moins poussé des
données issues de la comptabilité générale.
Il est à noter que la fonction de contrôle de gestion et la fonction contrôle interne ont
des objectifs en commun comme fiabiliser les informations, aider à atteindre les
objectifs, aide au pilotage de l’activité augmentation de la productivité et de la
Qui ?Le Contrôle de gestion,le risk manager,le service audit interne,le controle interne,la gouvernance.
Quoi ?S'appuyer plus régulièrement sur le service contrôle de gestion.Cela pourrait amener à la création de nouveau indicateurs par le contrôle de gestion en collaboration avec les autres parties prenantes.
Où?siège de l'entreprise (là ou se trouvent toutes les parties prenantes).
Quand ?Dès que possible.
Comment ? le rapprochement doit s'effectuer grace à des groupes de travaux commun durant lesquels les objectifs et besoins de chacun seraient exposés afin d'être pris en compte par l'autre partie.
60
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
performance globale, augmentation de l’efficience de l’utilisation des ressources,
contribution à la gestion des risques etc.
L’interaction est déjà existe entre les deux activités :
Le contrôle interne permet de fiabiliser les informations communiquées par le
contrôle de gestion,
Le contrôle de gestion peut jouer un rôle d’alerte pour le contrôle interne,
Grace aux chiffres issus du contrôle de gestion, le contrôle interne connaît mieux
la structure et peut adapter le dispositif en fonction des besoins réels de
l’entreprise,
Le contrôle de gestion comme le contrôle interne contribuent de plus en plus aux
prises de décision stratégiques des entreprises.
Le rôle du contrôle de gestion pourrait être élargie/renforcé en :
Menant dans un premier une campagne d’évaluation des coûts cachés pour se
faire une idée du poids que cela représente pour la structure.
Mettant en place de nouveau indicateur au service du contrôle interne ; ces
nouvelles informations pourront servir au contrôle interne à fabriquer lui même
de nouveaux indicateurs qui lui sont propres.
En aidant le manager des risques à chiffrer l’impact possible d’un risque grâce à
des coûts calculés par le contrôle de gestion.
Il est à noter que les budgets prévisionnels établis par le contrôle de gestion
devraient à l’avenir tenir compte de la « dimension risque » en tenant compte des
informations que le management des risques pourrait remonter. Ces informations
pourraient être issues de la base d’incident par exemple. Cela comprendrait le coût
des plans de maitrises à mettre en place et l’évaluation des impacts basés à la
survenance moyenne des incidents.
Le contrôle interne peut également aider à maitriser les coûts cachés d’une entreprise.
4.2.3 La mise en place d’une base d’incident est importante si l’on veut suivre
l’évolution d’une situation et mesurer l’efficacité des actions correctrices mises en
place
61
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Pourquoi ?
La base d’incident est un élément essentiel du dispositif de contrôle interne et de
maitrise des risques. Elle permet de :
De recenser et centraliser les incidents qui se produisent dans l’entreprise et
donc d’en suivre l’évolution dans le temps,
La base d’incident va permettre de chiffre les pertes annuelles dues aux incidents
qui surviennent,
Qui ?Les déclarants,les réferents contrôle interne,le service audit/contrôle interne,La Direction informatique.
Quoi ?Mise en place d'une base d'incident unique dans l'entreprise pour favoriser la remonter des informations relatives à la survenance d'un incident.
Où?La mise en place de la base d'incident devra avoir lieu dans l'ensemble de la société et sur l'ensemble des activités y compris celles qui sont déléguées.
Quand ?Une fois la cartographie des risques achevée par le risk manager.
Comment ? Une partie du logiciel Enablon a déjà été acquis par l'entreprise.Ce logiciel permet d'ajouter un module base d'incident.Il conviendrait dans un premier temps d'analyser le nombre de licences nécessaires, de completer la base via les informations de la cartographie des risques et de deployer l'outil après avoir formé le personnel à la déclaration d'incident.
62
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Elle va également permettre de garde la cartographie des risques à jour et de
l’affiner puisque la fréquence de la survenance et l’impact réel pourront être
analysés par le risk manager grâce à la remonté des informations.
La gestion des risques sera facilitée puisque l’ensemble des incidents sera
remonté et le dispositif pourra anticiper une aggravation de la situation.
Des plans de maitrises pourront être proposés et seront plus pertinent puisque la
connaissance du risk sera accrue grâce aux informations recueillies.
Impliquer l’ensemble du personnel dans le dispositif de contrôle interne et de
maitrise des risques puisque la mise en place de la base d’incident va rendre
accessible à tous les collaborateurs la déclaration des incidents de tous types.
Chacun se sentira donc acteur à par entière du dispositif.
Un des points important est le suivi de l’efficacité d’un plan d’action ; disposant
des chiffres (coûts et fréquences de survenance par exemple) avant le plan
d’action et après sa mise en place, le management des risques pourra plus
facilement juger de l’efficacité des actions correctives qui ont été menées.
Les informations serviront également à maintenant l’adéquation entre le
dispositif de maitrise d’un risque mis en place et le risque réel. Cela permettra
par exemple de ne pas mettre des moyens importants pour maitriser un risque
qui ne se réalise jamais et inversement un risque se réalisant régulièrement
pourra se voir allouer de nouveaux moyens pour être maitrisé.
La base d’incident pourra également aider à expliquer/rechercher et traiter les
coûts cachés de l’entreprise.
Pour conclure la base d’incident va se révéler être un véritable outil non seulement
au service du dispositif (gestion des risques, contrôle interne et l’audit) mais
également au service du top management qui grâce aux informations collectées
connaitra mieux sa structure et les problèmes qu’elle rencontre. Il pourra donc
prendre ses décisions en toute connaissance de la situation réelle.
4.2.4 Pour être efficace et apporter une réelle plus-value, le management des
risques, l’audit interne et le contrôle interne doivent impérativement être séparés.
Qui ?Le service audit interne,la direction générale,le service des ressources humaines.
Quoi ?Actuellement le service audit interne joue le role de service audit, service controle interne et risk mangement.Les 3 fonctions doivent être séparées.
Où?Siège de l'entreprise.
Quand ?Une fois un risk manager recruté.Avant l'échéance imposée par la directive Solvabilité II.
Comment ? Une fois un risk manager recruté il y aura deux solutions : soit l'équipe en place se sépare en deux groupes l'un prenant l'audit l'autre le controle interne.Soit un nouveau réferent controle interne devra être nommé dans la structure. Cette personne pourra être recruté en interne ou en externe.
63
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
A contrario, l’audit interne va pouvoir mettre en lumière des risques qui auraient pu
être mal identifiés ou mal évalué et donc donner de cette manière des éléments de
correction au Risk Manager pour qu’il puisse adapter sa cartographie des risques.
4.2.5 Le contrôle interne est plus efficace lorsqu’il est au cœur de la politique
globale de l’entreprise
Qui ?La gouvernance dans son ensemble,les managers,les opérationnels de l'entreprise,les acteurs du contrôle interne et de la maitrise des risques.
Quoi ?Integrer le contrôle interne dans l'ensemble des projets à venir.Intégrer le controle interne dans l'ensemble des taches quotidiennes.
Où?Dans toute la strcture.
Quand ?Immédiatement.
Comment ? En intégrant les acteurs du dispositif de controle interne et de maitrise des risques à tous les groupes de travaux de la strucure afin que le controle interne devienne le "squelette" de l'entreprise et plus un "exo squelette".
64
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Pourquoi ?
Pour obtenir l'adhésion de tous les acteurs, il faut l'inscrire dans un projet
d'entreprise soutenue par la direction. Pour cela il est important que la démarche
vienne de la direction générale pour lui donner une légitimité et l’inscrire dans la
durée.
D’après le COSO, « si le contrôle interne n'est pas porté par un environnement
de base incluant la Présidence et la Direction de l'entreprise, il se heurtera à de
grosses difficultés portant atteinte à son bon déroulement."
Il est également important d’inclure à chaque projet le management des risques,
la direction du contrôle interne, la direction financière afin que ces derniers ne
soient pas dans la réaction suite à une décision mais dans l’anticipation. Si le
dispositif a toujours un coup de retard il ne pourra jamais être performant et
couvrir efficacement l’ensemble de la structure. Cela permettra l’adéquation des
objectifs de coûts et de qualité par exemple.
Si le contrôle interne n’est pas intégré dans la politique globale de l’entreprise il
sera généralement mis de coté au bénéfice d’autres objectifs et devra par la suite
se battre pour mettre en place des contrôles sur des pratiques déjà existantes.
Il est bien plus difficile de venir greffer des contrôles à une activité que d’inclure
les contrôles dans le projet de base. De plus le contrôle interne aura du mal à
remporter l’adhésion de tous puisque dans ce système il sera perçu comme une
contrainte supplémentaire ou un frein à la production et non une aide. Hors le
contrôle interne est censé diffuser de bonnes pratiques. Il est toujours plus
simple de faire bien dès la première fois. Cela évite en plus des pertes de temps
inutiles qui ne seront bénéfiques ni pour l’entreprise ni pour le salarié (Cf partie
sur les coûts cachés).
65
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
4.2.6 Le dispositif de contrôle interne a une influence sur le climat social de
l’entreprise. Il est important de le faire évaluer régulièrement
Pourquoi ?
Le climat social d’une entreprise est très important. Il influence fortement la
performance globale de l’entreprise.
Qui ?Le service audit,le service des ressources humaines,un organisme exterieur,les opérationnels.
Quoi ?évaluer ou faire évaluer le climat socialle climat social.
Où?Ensemble de la structure (siège et centres de gestion).
Quand ?Afin de pouvoir suivre son évolution il serait utile d'évaluer le climat social de façon annuel.
Comment ? Soit en recourrant à un cabinet spécialisé soit en confiant la mission à l'audit interne.Quelque soit la méthode choisie les questionnaires seront anonyme et devront permettre la mise en place d'indicateurs pertinents.
66
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
La mesure du climat social de l’entreprise permettra d’anticiper d’éventuels
problèmes sociaux et managériaux.
Cela permettra également de prendre connaissance et de corriger tout
dysfonctionnement qui entraverait le bon fonctionnement de l’entreprise.
Les risques psychosociaux sont également très important dans une entreprise
notamment dans les entreprises comme MFP Services qui ont un
fonctionnement assez proche de celui de la fonction publique. En effet, ces
entreprises entrent peu à peu dans ce que l’on pourrait l’économie réelle avec
une forte concurrence et désormais des exigences de rentabilité et de
performance.
67
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
4.3 Etude complémentaire4.3.1 Présentation
68
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
4.3.2 Méthodologie
69
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
4.3.3 Principaux résultats
Résultat des questionnaires
55%
10%
25%
10%
Dans votre entreprise, le dispositif de contrôle interne a été mis en place pour :
Répondre à une obligation légaleRépondre à une demande des managersAugmenter la performance globale de l'entrepriseAutre
60%
30%
10%
La mise en place d'une fonction Risk Manager apporte une réelle plus value à un dispositif de
contrôle interne
Tout à fait d'accordPlutôt d'accordPlutôt pas d'accordpas d'accord
70
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
40%
45%
15%
La fonction Risk Manager est utile lorsque l'on veut mettre en adéquation le dispositif de contrôle in-
terne et les besoins réels
Tout à fait d'accordPlutôt d'accordPlutôt pas d'accordpas d'accord
40%
45%
15%
Les données générées par le contrôle de gestion doivent servir de base au Risk Manager pour
chiffrer les risques de l'entreprise
Tout à fait d'accordPlutôt d'accordPlutôt pas d'accordpas d'accord
71
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
55%35%
10%
Un suivi des coûts cachés de l'entreprise peut être utile pour évaluer l'impact d'un plan d'action
Tout à fait d'accordPlutôt d'accordPlutôt pas d'accordpas d'accord
30%
60%
10%
Le contrôle interne a un rôle à jouer dans le climat social de l'entreprise
Tout à fait d'accordPlutôt d'accordPlutôt pas d'accordpas d'accord
72
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
15%
40%
40%
50%
L'évolution du climat social est un bon indicateur pour mesurer les effets d'un dispositif de contrôle
interne
Tout à fait d'accordPlutôt d'accordPlutôt pas d'accordpas d'accord
90%
10%
Le contrôle interne est plus simple à mettre en place lorsqu'il est intégré dans la politique globale
de l'entreprise
Tout à fait d'accordPlutôt d'accordPlutôt pas d'accordpas d'accord
73
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
45%
25%
30%
Dans votre entreprise, le contrôle interne est in-tégré aux projets :
Dès leurs conceptionsUne fois les projets mis en placeAutre
65%
35%
L'utilisation d'une base d'incident est essentielle pour apprécier la mise en place d'un dispositif de
contrôle interne
Tout à fait d'accordPlutôt d'accordPlutôt pas d'accordpas d'accord
74
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
60%
40%
Votre entreprise utilise-t-elle une base d'incident ?
OuiNon
65%
25%
10%
Dans votre entreprise, les fonctions Audit Interne et Contrôle Interne sont-elles séparées ?
OuiNonAutre
75
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
40%
60%
Selon vous, un audit mené par des personnes rat -tachées au service de Contrôle Interne peut-il être
pertinent ?
OuiNon
Résultat des entretiens :
76
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
CONCLUSION
Il peut paraître ambivalent d’associer la notion de contrôle et de clients.Le contrôle interne est difficile à évaluer au même titre que le service RH ou le service contrôle de gestion, services pour lesquelles la valeur ajoutée n’est pas apparente.
77
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
BIBLIOGRAPHIE
78
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
TABLE DES FIGURES
79
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
TABLE DES ANNEXES COSO 1
COSO 2
80
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Organigramme MFP Services
Président Général
Directeur Général
Assistantes
Directeur de cabinet
Audit
Inspection
Direction Générale AdjointeDirection des Affaires Générales
Communication
Juridique
Direction des Ressources Humaines
Direction des Services Généraux
Pilotage Projets
Direction de la Relation Mutuelle et du Développement
Direction des Activités et Maîtrise
d’Ouvrage
Direction du Réseau
Directeur Adjoint
Direction Comptable et
Financière
Directeur AdjointDirecteur Adjoint