Atelier A N°13

Titre : Gestion des risques, auditinterne et contrôle interne

Intervenants

Modérateur

Sylvie LE DAMANYLANDWELLAvocat AssociéE.mail : sylvie.le.damany@fr.landwellglobal.com

Georges BOUCHARD GAZ DE FRANCEDirecteur de l'Audit et des Risques.E.mail : georges.bouchard@gazdefrance.com

Pierre-Alexandre BAPST

Gérard LANCNERYVES ROCHERDirecteur Risk ManagementE.mail : gerard.lancner@yrnet.com

HERMESDirecteur de l' Audit et des RisquesE.mail : pierre-alexandre.bapst@hermes.com

Annie BRESSAC IFACIDirecteur du DéveloppementE.mail :abressac@ifaci.com

Institut del’Audit Interne

“Gestion des risques, audit interne et contrôle interne”

Les présentations de cet atelier seront surwww.amrae.fr

à partir du 1er mars 2007

• Évolution de l'environnement législatif réglementaire et professionnel

• Témoignages

• Débat

Le contrôle interne :Contexte légal et

réglementaire

Contexte : le choc des affaires

Début 2002 :–Une récession économique–De grands scandales financiers aux États-Unis : Enron, Worldcom, …–En France : Vivendi Universal, …–Un constat :

-les contre-pouvoirs fonctionnent mal-les modes de direction des grands groupes sont critiqués-en période de récession, l'erreur ne pardonne pas

–Un résultat :-une crise de confiance-une nécessité de régulation pour la rétablir-une réaction des autorités qui réglementent

Réaction du Législateur pour plus de transparence et une meilleure gestion des risques

• Une volonté d’organiser plus efficacement les rôles et responsabilités entre les organes de direction et de contrôle

• Une formalisation des procédures de contrôle interne• La mise en place d’outils pour sensibiliser le management et tous les

collaborateurs de l’entreprise sur le risque de non-conformité aux lois et règlements : charte des dirigeants, code de conduite, délégations de pouvoirs et de signature…

• Une montée en puissance des auditeurs internes, des risks managers, des risks officers, des déontologues…

Des évolutions importantes au sein des entreprises en matière de contrôle interne et de gouvernance

La loi sur les Nouvelles Régulations Économiques (NRE) 2001Le Sarbanes-Oxley Act (SOX) 2002La Loi de Sécurité Financière (LSF) 2003La loi Breton 26 juillet 2005

de nouvelles responsabilités pour les entreprises et leurs dirigeants

Contexte légal et de marchéRéponses des législateurs

Mise sous contrôle des activités de l'entreprise

Renforcement du

gouvernement d'entreprise

Facteurs derisques externes

Facteurs derisquesinternes

Perte de valeur

• Fraudes comptables• Erreurs majeures de gestion• Non respect des lois

Perte de confiance des marchés

Nouvelles Dispositions en France (LSF)

1er Août 2003

Sociétés Anonymes – Article 117 de la LSF : « le Président du Conseil d'Administration [ou de Surveillance] rend compte dans un rapport [àl'Assemblée Générale] :

– des conditions de préparation et d'organisation des travaux du conseil– des procédures de contrôle interne mises en place– des limitations de pouvoirs de la Direction Générale”

Personnes morales faisant appel public à l'épargne (SA, SCA ou autres) –Article 122 de la LSF : « elles rendent publiques les informations relevant des conditions de préparation et d'organisation des travaux du conseil et des procédures de contrôle interne dans les conditions fixées par l'Autorité des Marchés Financiers (AMF) »

De nouvelles obligations en matièrede transparence (LSF)

Un rapport [à l'Assemblée Générale] :• sur l’exercice par le conseil de son rôle• sur les procédures de contrôle interne

Dispositions applicables :• pour tous les exercices ouverts à compter du 1er janvier 2003• Dans la LSF : toutes les SA (art. 117) et toutes les sociétés

faisant APE (art. 122), tant au niveau individuel qu'au niveau consolidé (incluant les filiales consolidées, françaises ou étrangères, quelle que soit leur forme juridique)

Modifié par la loi Breton du 26 juillet 2005• Seules les sociétés faisant appel public à l’épargne

Le texte de loi ne précise pas le contenu du rapport du Président ou les informations à publier et ne définit pas le contrôle interne Le texte de loi ne précise pas le contenu du rapport du Président ou les informations à publier et ne définit pas le contrôle interne

De nouvelles obligations en matièrede transparence (LSF)

Un rapport sur le rapport du Président - Art. 120 : "Les commissaires aux comptes présentent, dans un rapport [ ] leurs observations sur le rapport [du Président] pour celles des procédures de contrôle interne relatives à l'élaboration et au traitement de l'information comptable et financière"

– Le rapport du commissaire aux comptes couvre un périmètre de contrôle interne plus restreint que celui couvert par le rapport du Président

Pour mémoire : comparaison LSF / SOA

CEO et CFOPrésident du CA ou du CSÉmetteur du rapport

Pour les sociétés soumises au reportingaccéléré : exercices clos au 15 juin 2004 et

après.Exercices clos au 15 avril 2005 et après pour

les autres (FPI).

Exercices ouverts à compter du 1er janvier 2003

Date d'application

ExpliciteNon expliciteObligation de documentation et de tests des contrôles

Utilisation obligatoire d'un référentiel reconnu. COSO cité comme exemple par la SEC

Pas d'utilisation obligatoire d'un référentielRéférentiel de contrôle interne

Défini et limité au contrôle interne relatif à l'information financière et aux procédures de

communication des informations aux marchés.

Non définiImplicitement, champ complet du contrôle

interne

Définition et périmètre du contrôle interne

Les sociétés cotéesToutes les SA (APE et non APE)Et les sociétés APE

Champ d'application

Sarbanes-Oxley Act (*)Loi de Sécurité Financière

CEO et CFOPrésident du CA ou du CSÉmetteur du rapport

Pour les sociétés soumises au reportingaccéléré : exercices clos au 15 juin 2004 et

après.Exercices clos au 15 avril 2005 et après pour

les autres (FPI).

Exercices ouverts à compter du 1er janvier 2003

Date d'application

ExpliciteNon expliciteObligation de documentation et de tests des contrôles

Utilisation obligatoire d'un référentiel reconnu. COSO cité comme exemple par la SEC

Pas d'utilisation obligatoire d'un référentielRéférentiel de contrôle interne

Défini et limité au contrôle interne relatif à l'information financière et aux procédures de

communication des informations aux marchés.

Non définiImplicitement, champ complet du contrôle

interne

Définition et périmètre du contrôle interne

Les sociétés cotéesToutes les SA (APE et non APE)Et les sociétés APE

Champ d'application

Sarbanes-Oxley Act (*)Loi de Sécurité Financière

(*) tel que précisé par le règlement SEC publié le 11 juin 2003

Un mouvement européen sur la gouvernance et la transparence

Méthodologie d’évaluation de la mise en œuvre des principes de l’OCDE sur le gouvernement d’entreprise – 1er décembre 2006 -

Directive transparence qui instaure une déclaration des dirigeants dans le rapport financier annuel incluant une description des principaux risques et incertitudes auxquels ils sont confrontés

Directive 2006/46/CE du 14 juin 2006 qui tend à accroître les rôles et responsabilités des administrateurs et autres organes de gestion et de surveillance sur l’établissement des comptes annuels, le rapport de gestion et la déclaration afférente à la gouvernance (transposition au plus tard en 2008)

Les procédures d’alerte autorisées en Europe…Les sociétés soumises au SOA sont contraintes de mettre en place une procédure d’alerte dite « whistleblowing » qui permet aux salariés de révéler les fraudes en matière comptable et financière.

Toutes les entreprises françaises peuvent mettre en place un tel dispositif dans la mesure où elles se doivent d’avoir un contrôle interne efficace.

La CNIL par sa délibération n°2005-305 du 8 décembre 2005 (JO du 4 janvier 2006) est revenue sur son refus initial et catégorique d’autoriser la mise en œuvre de dispositifs d’alerte (sous certaines conditions).

Aujourd’hui, il existe désormais un modèle européen du whistleblowing d’inspiration française puisque le dispositif a étéadopté par les institutions européennes équivalentes à la CNIL.21

Enjeux juridiques

Ménager la responsabilité des dirigeants :–Lors de l’exercice de leur mandat–Lors de la production du rapport

- Pas de sanction juridique spécifique dans la LSF, le rapport du Président est "joint" au rapport du conseil d'administration ou de surveillance à l'assemblée annuelle (rapport annuel)

- Mais réaction du marché et observations du CAC

Sensibiliser le conseil sur son rôle

Assurer les relais au sein du groupe

Remonter les informations pertinentes

Enjeux juridiques

Responsabilité quant à la qualité du contrôle interne :– Responsabilité de la Direction Générale / Directoire

– S’assurer de l’existence et de la qualité des procédures par le conseil

– En cas de carence dans la mise en place des procédures de contrôle interne, ou de procédures inefficaces, responsabilité civile collective des administrateurs / membres du conseil de surveillance et de la direction générale

Responsabilité quant à la rédaction et au contenu du rapport :

– La responsabilité civile du Président et des administrateurs, s’ils l’ont approuvé, s'il est démontré une faute caractérisée, un préjudice et un lien de causalité entre faute et préjudice.

– De façon très exceptionnelle, leur responsabilité pénalepourrait également être mise en jeu sur le terrain du délit de communication d'informations fausses ou trompeuses sur les perspectives ou la situation d'une société dont les titres sont négociés sur un marché réglementé.

Enjeux juridiques

Une responsabilité accrue desdirigeants de l'entreprise

Infraction en la qualité d'auteur ou de complice sur le terrain pénalFaute sur le terrain civil

Exemples : - renforcement du contrôle

des conventions réglementées

- possibilité d'obtenir les comptes sociaux par la procédure d'injonction de faire

- rémunération dans les SA (cotées)

- CE aux assemblées- renforcement du droit

d'information des actionnaires

Exemples : - extension du champ

d'application de l'expertise de gestion

- extension des possibilités d'actions des associations d'actionnaires

Exemples : - alourdissement des sanctions encourues par le

commissaire aux comptes en cas de non révélation- Création du Haut Conseil du Commissariat aux

Comptes- Création de l 'Autorité des Marchés Financiers (AMF) (+

possibilité de se constituer partie civile)

Plus de transparence : accès à une information

réservée à certains auparavant = source de

détection de certaines anomalies voire certains délits

Ceux qui sont informés doivent agir : renforcement des

responsabilités

Sources éventuelles de poursuites

sur le terrain civilsur le terrain pénal

Élargissement des possibilités d'actions de

certains acteurs de l'entreprise

Renforcement des autorités de contrôle

Un constat au travers du rapport de l’AMF 2007

Conclusions en matière de gouvernance

Conclusions en matière de contrôle interne

Les évolutions intervenues depuis 2006

Des définitions partagées ?

Définition du management des risques selon Coso 2

Le management des risques est un processus mis en œuvre par le Conseil d’administration, la Direction générale, le management et l’ensemble des collaborateurs de l’organisation. Il est pris en compte dans l’élaboration de la stratégie ainsi que dans toutes les activités de l’organisation. Il est conçu pour identifier les événements potentiels susceptibles d’affecter les l’organisation et pour gérer les risques dans les limites de son appétence pour le risque. Il vise à fournir une assurance raisonnable quant à l’atteinte des objectifs de l’organisation » .

Les missions du risk-manager selon le Coso 2

Contribuer à définir les politiques et identifier les acteurs du management des risques (rôles, responsabilités, objectifs).Promouvoir les compétences en management des risques au sein de l’entreprise.Aider à intégrer le management des risques dans les activités de planification et de management.Établir un langage commun.Faciliter la mise en place d’un reporting risques et superviser ce processus.Rendre compte à la DG et recommander les actions nécessaires pour améliorer le processus de management des risques.

Le rôle de l’audit interne

L’Audit Interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée.

Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efficacité.

Les missions de l’audit interne

Analyser et évaluer les processus de management des risques, de contrôle et de gouvernement d’entreprise.Formuler des recommandations pour améliorer leur efficacitéRendre compte régulièrement des actions entreprises pour corriger les dysfonctionnements décelés.Vérifier que les dispositifs en place assurent la conformitéaux lois et réglementations.Contribuer à la mise en place du processus de management des risquesAnimer, quand elle existe, une démarche d’auto-évaluation des risques

Audit interne et contrôle interne

Définition du contrôle interne selon COSO I :– Processus mis en oeuvre par les dirigeants et le personnel

d’une organisation, à quel que niveau que ce soit,– Destiné à leur donner en permanence une assurance

raisonnable quant à la réalisation des objectifs de l’organisation

3 catégories d’objectifs– Optimisation de l’utilisation des ressources (Efficacité et

efficience de l’exploitation)– Fiabilité des états financiers publiés– Respect de lois et réglementations (conformité)

Le cadre de référence AMF

Le contexte et la démarche

Principaux objectifs assignés par l’AMFLe Groupe de PlaceLe Groupe de travail sur le CI comptable et financierPrincipales orientations

Structure du Cadre de Référence de Contrôle Interne

Les principes généraux de contrôle interne ;

Les questionnaires :– Questionnaire relatif au contrôle interne

comptable et financier; – Questionnaire relatif à l’analyse et à la maîtrise

des risques.

Le guide d’application relatif au contrôle interne de l’information comptable et financière publiée par les émetteurs.

Le cadre de référence

Définition Le contrôle interne est un dispositif de la société, défini et

mis en œuvre sous sa responsabilité.

Il comprend un ensemble de moyens, de comportements, de procédures et d’actions adaptés aux caractéristiques propres de chaque société qui :

contribue à la maîtrise de ses activités, à l’efficacité de ses opérations et à l’utilisation efficiente de ses ressources, etdoit lui permettre de prendre en compte de manière appropriée les risques significatifs, qu’ils soient opérationnels, financiers ou de conformité.

Définition (suite)

Le dispositif vise plus particulièrement àassurer :

– La conformité aux lois et règlements; – L’application des instructions et des

orientations fixées par la Direction Générale; – Le bon fonctionnement des processus internes

de la société, notamment ceux concourant à la sauvegarde de ses actifs;

– La fiabilité des informations financières.

Les 5 composantes retenuesLe dispositif de contrôle interne, qui est adapté aux caractéristiques de chaque société doit prévoir :

une organisation appropriée; la diffusion en interne d’informations pertinentes ;un système visant à recenser et analyser les principaux

risques identifiables et à s’assurer de l’existence de procédures de gestion de ces risques

des activités de contrôle proportionnées aux enjeuxune surveillance permanente du dispositif de contrôle

interne.

Les 5 composantes retenuesLe dispositif de contrôle interne, qui est adapté aux caractéristiques de chaque société doit prévoir :

une organisation; la diffusion en interne d’informations pertinentes ;un système visant à recenser et analyser les principaux

risques identifiables et à s’assurer de l’existence de procédures de gestion de ces risques

des activités de contrôle proportionnées aux enjeuxune surveillance permanente du dispositif de contrôle

interne.

La composante «recensement et analyse des risques»

Mise en place de méthodes pour recenser, analyser et gérer les risques d’origine interne ou externe qui réduiraient la probabilité d’atteinte de leurs objectifs.

Recensement, dans le cadre d’un processus continu, des principaux risques identifiables

Analyse des risques (processus de gestion des risques)Définition des procédures de gestion des risques par la

Direction Générale ou le Directoire avec l’appui d’une Direction des risques, si elle existe. (cf. questionnaire relatif à l’analyse et à la maîtrise des risques)

Le Guide d’application relatif au contrôle interne de l’information comptable et financière publiée par les émetteurs

Structure du guide d’application relatif au contrôle interne comptable et financier

• Introduction incluant la définition et les objectifs• Processus de pilotage de l’organisation

comptable et financière• Processus concourant à l’élaboration de

l’information comptable et financière publiée :– Processus amont et processus de production de

l’information comptable et financière– Processus d’arrêté comptable et de communication

financière

Eléments du contrôle interne permettant d’assurer une maîtrise de ces 3 familles de processus

Les Questionnaires

Structure du questionnaire relatif au contrôle interne comptable et financier

1. Rôle des organes de gouvernance2. Organisation comptable et financière3. Système d'information comptable et

financier4. Identification et analyse des risques

affectant l'information comptable et financière

5. Activité de contrôle6. Communication financière et comptable

Structure du questionnaire relatif à l’analyse et à la maîtrise des risques

1. Principes généraux de gestion des risques2. Identification des principaux risques

Analyse des principaux risquesProcédures de gestion des principaux risquesSurveillance des risques et des procédures de gestion des risques

La mise en place de processus de management des risques :

•Cartographie des risques•Création d’une fonction centrale et d’un réseau de risk-managers

Le lancement de projets de renforcement ou de formalisation du contrôle interne :

•Réappropriation du CI par les managers•Rétablissement du lien entre contrôle interne et risques

Mise en conformité avec la réglementation • Banques• Assurances

Les tendances observées

Forte sollicitation de l’audit interne :•LSF, SOX•Assistance à la mise en place du processus de management des risque•Réaffirmation du rôle d’évaluation du contrôle interne : extension du périmètre et professionnalisation de l’audit interne

Des choix d’organisation variés :•Regroupement gestion des risques et audit interne sous une même autorité•Création de fonction centrale de «responsable de contrôle interne» et de relais auprès des managers : animation du CI

Les tendances observées

L’impact de la LSF pour l’audit interne

64% des répondants soumis à la LSFL’audit interne est fortement impliqué :– Elaboration d’un projet de rapport (65%)– Participation au groupe de travail (34%)– Animation de ce groupe de travail (19%)

Impact positif de la LSF, notamment :– Renforcement du dispositif de contrôle interne (70,6%)

Changement dans la nature des missions de l’audit interne– Renforcement de l’approche par les risques (19%)– Missions d’accompagnement à la mise en œuvre du contrôle

interne, auto-évaluation (11%)– Augmentation du nombre de missions orientées vers la vérification

des informations comptables et financières (10%)

L’impact de SOX pour l’audit interne

14% des répondants soumis à SOXL’audit interne est fortement impliqué dans 92% des cas :– Equipe dédiée (74%) avec en moyenne 7 auditeurs internes

Rôle variable :– Tests des procédures de contrôle ou des contrôle internes mise en place

(62,5%)– Coordination du projet (41%)– Participation au Comité de Pilotage (16%)– Pilotage du projet (12,5%)

Impact important de SOX, notamment :– Renforcement du dispositif de contrôle interne (96%)– Impact sur la réalisation du plan d’audit (77%)– Augmentation du nombre de missions d’audit comptable et financier

(71%)

L’évolution des rôles : audit interne et fonction de contrôle interne

Selon l’enquête IFACI 2005 :47% des répondants disposent d’une fonction de contrôle interne distincte, d’ancienneté variable Rattachement de la fonction de contrôle interne à la Direction Financière (27%) ou aux Directions opérationnelles (27%)Rôle : mettre en place, anime et suivre le contrôle interneRépartition des responsabilités entre contrôles permanents et périodiques est une des principales préoccupations des auditeurs internes dus secteur bancaire en 2005

L’exemple du secteur bancaire(CRBF 97-02)

Séparation du contrôle permanent et du contrôle périodique– Contrôle permanent niveau 1 et 2– Contrôle périodique (niveau 3) : l’audit

interneLa fonction conformité– Chargée de veiller à l’efficacité et la

cohérence du contrôle du risque de non respect des lois, normes, et instructions externes et internes

Audit interne et management de risques

Gestion des risques, audit interne et contrôle interne :

RecommandationsFacteurs clés de succès

Un besoin de clarification des rôles et responsabilités

Clarification nécessaire sur les rôles et les responsabilités des acteurs au cœur de la gouvernance et du contrôle interne :

– Conseil d’Administration– Direction générale– Risk manager– Audit interne– Compliance officer– « Chief Internal Control Officer »– Direction juridique…

Nécessité de définir les rôles, les responsabilités

Mettre en place et formaliser des délégations de pouvoirs efficaces pour une meilleure gestion des risques et responsabilités

Développer un «référentiel » partagé : un cadre «intégré»de gestion des risques et de contrôle interne :

•Définitions•Méthodologie (par exemple : évaluation de risques)

Rechercher la différenciation des rôles pour organiser la complémentarité :

•Éviter la superposition des processus et des fonctions•Optimiser les liens hiérarchiques et fonctionnels•Partager les informations, par exemple cartographie des risques,évaluation des risques, bonnes pratiques de CI

Préserver l’indépendance de l’audit interne et du risk-management

Recommandations et facteurs clé de succès

Apporter de la visibilité pour libérer les énergies

Contrôle interne, gestion des risques, audit interne

L'expérience de Gaz de France

Gaz de France aujourd'hui (1)

• 22 milliards d'euros de chiffre d'affairesdont 36 % à l'international

• 4 milliards d'euros de cash flow

• 3 milliards d'euros d'investissements

• 53 000 collaborateurs dont 53 % hors statut IEG

Gaz de France aujourd'hui (2)

• Un groupe juridiquement compact, avec peu de filiales très significatives

• Un management décentralisé

• Une culture historique davantage managériale que financière

Gaz de France aujourd'hui (3)

• Des approches du contrôle interne historiquement diverses et partielles

• Une sensibilité historique à certains risques

• Une culture d'audit managérial

Contrôle interne, Risques, Audit interne àGaz de France (1)

• L'organisation actuelle1 Directeur, 3 Délégués, 3 Filières

• L'histoire– Rôle précurseur de l'Audit interne– Identification progressive des deux autres fonctions

• Cohérence des politiques

• Proximité et densité des échanges

• Respect des identités

• Cohérence des mises en oeuvre

Contrôle interne, Risques, Audit interne àGaz de France (2)