Rôle des administrateursen matière de contrôle interneet de gestion des risques

Postface de Jean-Luc DebackPrésident de APIA

Table des matières

Introduction

A Responsabilité de l’administrateuren matière de contrôle interne

1) Les textes applicables 2) Spécificités au regard de la question du contrôle interne

B Comportement des administrateursvis-à-vis de cette problématique

1) Avant ou au début d’un mandat 2) En cours de mandat au fil de l’eau et de façon périodique

C Le rôle de l’administrateurdans l’identification et l’anticipation des risques

1) La démarche 2) L’identification des risques

Postface deJean-Luc Deback, Président de APIA

« Rôle des administrateurs en matière de contrôle interne et de gestion des risques »

Depuis la publication du présent Cahier APIA, le législateur, sensible aux critiquesselon lesquelles le dispositif mis en place par la loi LSF n’était pas adapté aux PME, estvenu circonscrire l’obligation d’établissement du rapport sur le contrôle interne auxseules sociétés « faisant appel public à l’épargne » (loi n° 2005-842 du 26 juillet 2005,articles 7-I et 7-II modifiant les articles L. 225-37 et L. 225-68 du Code de commerce).

APIA considère pour autant que les PME, si elles ne sont plus soumises à l’obligationlégale d’émettre un rapport sur les procédures de contrôle interne, ne doivent pas sedésintéresser de cette problématique et que l’élaboration et la mise en place d’unepolitique de contrôle interne et de gestion des risques au sein de l’entreprise est unfacteur d’une bonne gouvernance.

1

Introduction

L a prise de risques est à l'essence même de l'entreprise et constitue la contrepartieinévitable de la création de richesses. L'objectif d'un dispositif de contrôleinterne n'est donc pas d'annihiler toute prise de risques mais de doter

l'entreprise d'une organisation homogène et cohérente lui permettant d'assurerraisonnablement à ses actionnaires :

• la protection de leur patrimoine ;• la régularité des opérations effectuées ;• une application sincère des orientations stratégiques définies et des directives ;• la qualité de l'information qui leur est transmise ;• l'efficacité du fonctionnement de l'entreprise.

A l'interface des actionnaires et du fonctionnement opérationnel de l'entreprise, leconseil d’administration1 joue donc un rôle essentiel appelé Gouvernance. Laresponsabilité du conseil d’administration a été définie par le rapport Bouton au traversd'une quadruple mission :

• définir la stratégie de l'entreprise, • désigner les mandataires sociaux chargés de gérer l'entreprise dans le cadre de cette

stratégie,• choisir le mode d'organisation (dissociation ou cumul des fonctions de président

et de directeur général), • contrôler la gestion et veiller à la qualité de l'information fournie aux actionnaires.

Face à cette responsabilité de surveillance, l'administrateur peut légitimement se poser

la question des moyens dont il dispose pour exercer sa mission : comment puis-jem'assurer que l'entreprise dispose d'un dispositif de maîtrise adéquat alors que je n'aipas vocation à aller sur le terrain ?

L'objectif du présent fascicule est d'accompagner l'administrateur dans sa réflexion surle périmètre de ses obligations et la manière de mettre en œuvre une approche adaptéesur cette question délicate de la gestion des risques et du contrôle interne :

• D'un point de vue strictement juridique, quelles sont mes responsabilitésd'administrateur à l'égard des questions relatives à la gestion des risques et aucontrôle interne ?

• Quel comportement personnel adopter ?• Comment influencer l'organisation du rôle du conseil d’administration en matière

d'anticipation des risques ?

1 Ou le Conseil de Surveillance selon le mode d’organisation choisi

2

1. Les textes applicables

Le sixième alinéa de l’article L. 225-37 du Code decommerce (institué par la loi LSF du 1er août 2003)dispose que : « Le président du conseil d’administrationrend compte […] des conditions de préparation et d’or-ganisation des travaux du conseil ainsi que des procé-dures de contrôle interne mises en place par la société.[…] ». Le dernier alinéa de l’article L. 225-68 duCode de commerce prévoit une obligation similaire àla charge du président du conseil de surveillance.

L’article L. 225-25 du Code de commerce (tel quemodifié par la loi NRE du 15 mai 2001 et par la loiLSF du 1er août 2003) stipule que : « Le conseil d’administration détermine les orientationsde l’activité de la société et veille à leur mise en œuvre.Sous réserve des pouvoirs expressément attribués auxassemblées d’actionnaires et dans la limite de l’objetsocial, il se saisit de toute question intéressant la bonnemarche de la société et règle par ses délibérations lesaffaires qui la concernent ».« […].« Le conseil d’administration procède aux contrôles etvérifications qu’il juge opportun. Le président ou le direc-teur général de la société est tenu de communiquer àchaque administrateur tous les documents et informationsnécessaires à l’accomplissement de sa mission. […] ».

L’article L. 225-51 du Code de commerce dispose que :« Les administrateurs et le directeur général sont respon-sables, individuellement ou solidairement selon le cas,envers la société ou envers les tiers, soit des infractionsaux dispositions législatives ou réglementaires applicablesaux sociétés anonymes, soit des violations des statuts, soitdes fautes commises dans leur gestion ».

Des textes similaires existent pour les S.A. à directoi-re et conseil de surveillance. Ainsi, l’article L. 225-68stipule que le « conseil de surveillance exerce le contrôlepermanent de la gestion de la société par le directoire ; àtoute époque de l’année, le conseil de surveillance opèreles vérifications et contrôles qu’il juge opportuns et peut

se faire communiquer les documents qu’il estime utiles àl’accomplissement de sa mission ». L’article L. 225-257,quant à lui, dispose que les « membres du conseil desurveillance sont responsables des fautes personnelles com-mises dans l’exécution de leur mandat. Ils n’encourentaucune responsabilité en raison des actes de la gestion etde leur résultat. Ils peuvent être déclarés civilement res-ponsables des délits commis par les membres du directoi-re si, en en ayant eu connaissance, ils ne les ont pas révé-lés à l’assemblée générale. » Nécessitant une faute per-sonnelle, la responsabilité du membre du conseil desurveillance se distingue donc de celle de l’adminis-trateur. Ainsi, contrairement aux règles applicablesaux administrateurs, une faute commune à plusieursmembres du conseil de surveillance n’entraîne pas uneobligation solidaire de ceux-ci à la réparation dudommage.

Dans une S.A.S., il y a lieu de se référer aux disposi-tions de l’article L. 227-8 du Code de commerce,lequel prévoit que les « règles régissant la responsabilitédes membres du conseil d’administration et du directoiredes sociétés anonymes sont applicables au président et auxdirigeants de la société par actions simplifiée ». Dés lors,tout dépendra de la nature des fonctions et des pou-voirs attribués par les statuts sociaux à l’éventuelorgane intermédiaire (comité stratégique, conseild’administration, conseil de surveillance, etc.). Si sesfonctions et pouvoirs sont assimilables à ceux d’unconseil d’administration de S.A., l’on devra considé-rer que la nature et l’étendue de la responsabilité deses membres sont identiques à celles d’un administra-teur. A l’inverse, si l’organe intermédiaire a unesimple fonction de surveillance de la gestion menéepar la direction générale, l’on doit, semble-t-il, consi-dérer que ses membres ne sont pas assimilables à des« dirigeants ». Dés lors, ces derniers échapperaient àtoute responsabilité légale. Mais, il faut alors recon-naître la nature contractuelle du lien les unissant auxassociés : chargés d’une mission de surveillance, ilssont responsables vis-à-vis de leurs mandants, les asso-ciés, des fautes qu’ils commettent dans l’exercice deleur mandat. Il conviendra donc de se référer aux

A - Responsabilité de l’administrateuren matière de contrôle interne

3

dispositions des statuts sociaux. L’ANSA a bien résu-mé cette position en considérant qu’au regard de l’ar-ticle L. 227-8 susvisé, « un membre d’un simple organede surveillance ne peut être assimilé à un « dirigeant »ayant une responsabilité identique à celle d’un adminis-trateur d’une société anonyme. Seule l’appartenance àune véritable structure de direction implique une telleresponsabilité, les autres organes ayant une responsabili-té variant selon les pouvoirs et les principes de la respon-sabilité civile (à l’exemple des membres du conseil de sur-veillance des sociétés anonymes) ».2

2. Spécificités au regardde la question du contrôle interne

Au regard de l’article L. 225-25 du Code de commer-ce susvisé, le conseil d’administration dispose donc detrès larges pouvoirs qui recouvrent non seulement lesorientations stratégiques de l’entreprise mais aussi sonfonctionnement quotidien. Certes, ce dernier relèvesurtout de la compétence de la direction générale,mais le conseil d’administration ne saurait s’en désin-téresser ; il engagerait sa responsabilité s’il ne sur-veillait pas l’action de la direction générale, mêmedans ce domaine. Le conseil de surveillance, quant àlui, a pour mission principale de contrôler, de façonpermanente, la gestion de l’entreprise menée par ledirectoire.

Ces principes généraux se retrouvent, selon nous,dans le domaine du contrôle interne :

• la définition, la mise en place, l’organisation, lesuivi, l’amélioration, etc., du contrôle interne del’entreprise relève de la compétence de la directiongénérale ;

• conformément aux pouvoirs qui lui sont reconnuspar la loi, le conseil d’administration (ou le conseilde surveillance) peut se saisir de toute questionintéressant la marche et le fonctionnement del’entreprise et, notamment, le système de contrô-le interne ; il peut procéder aux contrôles et véri-fications du système mis en place par la directiongénérale ; il engagerait sa responsabilité à ne pas lefaire ;

• inversement, le conseil d’administration (ou leconseil de surveillance) ne peut empiéter sur lespouvoirs que la loi attribue à la direction générale ;

Comme l’a justement souligné l’ANSA, les responsa-bilités de chaque organe social sont donc claires3 :

• le directeur général (ou le directoire) est respon-sable de l’établissement des procédures de contrô-le interne et des moyens mis en œuvre pour lesfaire fonctionner ou en contrôler l’application ;

• le conseil d’administration (ou le conseil de sur-veillance) est responsable du contrôle des procé-dures ;

• le président du conseil d’administration (ou leprésident du conseil de surveillance) est respon-sable de l’établissement du rapport spécial devantdécrire ces procédures, et des informations qu’ilcontient.

En cela, la responsabilité du conseil d’administrationet/ou de l’administrateur (ou du conseil de sur-veillance) au regard de la question du contrôle inter-ne ne présente pas véritablement de spécificité parrapport à la responsabilité de droit commun de cesorganes sociaux.

Il convient donc de se référer à la jurisprudence tradi-tionnelle qui sanctionne depuis longtemps le défautde surveillance, la passivité des administrateurs ouleur abstention à intervenir. La formulation de ces arrêts est ferme et claire : « ilincombe aux administrateurs d’exercer une sur-veillance active et efficace de la direction de la socié-té ». Pour autant, la mission de contrôle qui incombe auconseil d’administration (ou au conseil de surveillan-ce) et la responsabilité qui en découle, ne se confondpas avec celle des auditeurs externes. La tâche duconseil est d’une autre nature : il doit s’assurer que ledispositif mis en place est cohérent ; il doit s’assurerde la pertinence et de la permanence des procédures.

Les développements qui précèdent sont confortés parune évolution réglementaire récente. En effet, l’or-donnance n° 2004-1382 du 20 décembre 2004 com-plète (pour les exercices ouverts après le 1er janvier2005) la liste des informations devant être inséréesdans le rapport de gestion du conseil d’administration(ou du directoire) : indicateurs clés de performance denature non financière ayant trait à l’activité spécifiquede la société, notamment des informations relativesaux questions d’environnement et de personnel ;

2 ANSA, CJ du 7 juillet 1995.3 Communication ANSA, Comité Juridique n° 3267 du 5 novembre 2003.

4

description des principaux risques et incertitudes aux-quels la société est confrontée ; indications sur l’utili-sation d’instruments financiers par l’entreprise, ges-tion des risques financiers, politique de couverture,etc.

Autant d’informations et d’éléments entrant dans lechamp d’application du contrôle interne de l’entre-prise !

Définitions préalables

La définition du contrôle interne selon l’IFACI :

« Il s’agit d’un processus mis en œuvre par les dirigeants et le per-sonnel d’une organisation, à quelque niveau que ce soit, destinéà leur donner en permanence une assurance raisonnable que : 1) les opérations sont réalisées, sécurisées, optimisées et permet-tent ainsi à l’organisation d’atteindre ses objectifs de base, deperformance, de rentabilité, et de protection du patrimoine ; 2) les informations financières sont fiables ;

3) les lois, les réglementations et les directives de l’organisationsont respectées ».autrement dit:« Ensemble de mesures et d’attitudes permettant aux dirigeantsd’une entreprise de ne pas être trahis volontairement ou invo-lontairement par ceux à qui reviennent, par des délégationsclaires et précises, de respecter lois, règles et consignes, d’informersur la réalité de l’exploitation, d’anticiper les risques, de préser-ver le patrimoine. »

1) Avant ou au début d’un mandat

Conformément à la charte APIA, un administrateurdoit préalablement à la prise de son mandat évaluer lesouci de transparence, de rigueur et de conformité deses dirigeants, c’est à dire leur capacité à annoncer cequ’ils comptent faire, en tout domaine présentant unintérêt pour le conseil d’administration, puis de réali-ser ce qu’ils ont prévu ou d’expliquer pourquoi cela nes’est pas passé comme attendu.

Il doit le faire pour étalonner son futur niveau de vigi-lance.

Les domaines à propos desquels cette capacité doitêtre appréciée sont :

• les règles du pouvoir (qui décide quoi ?) et leurrespect,

• les règles d’organisation (qui fait quoi et rapporteà qui ?) et leur respect,

• les normes de l’entreprise (qualité, relationssociales, charte clients) et leur respect

• les règles de sécurité (sur l’exploitation, sur lepatrimoine, sur les personnes, sur l’environne-ment) et leur respect,

• les règles de contrôle (qui s’assure de quoi ?) et leurrespect.

L’administrateur peut s’inspirer de check-lists exis-tantes (cf. encadré4) pour se sensibiliser à des aspectsauxquels il ne penserait peut-être pas spontanémentmais sûrement pas les utiliser pour entrer en relationavec le dirigeant.

Tout est dans le questionnement et l’observation per-

tinents à l’occasion de l’examen de sujets qui s’y prê-tent. Il sera par exemple obligatoire et très facile pourun administrateur attentif de savoir rapidement si undirigeant est de culture orale mais avec une connais-sance très détaillée de ce qui se passe dans son entre-prise ou au contraire de culture écrite, voire procédu-rale, mais avec un certain détachement du quoti-dien...

La façon dont il abordera les questions de contrôleinterne ensuite ne sera bien sûr pas du tout la mêmedans les 2 cas...

Il ne faut pas non plus négliger l’aspect « état des lieux »initial que représente cette nécessaire appréciation dela culture du dirigeant : un administrateur qui engage sa responsabilité a ledroit et le devoir d’émettre des réserves formelles s’ilestime une culture d’entreprise dangereuse, voire derefuser d’y prendre un mandat.

B - Comportements des administrateursvis à vis de cette problématique

4 Se référer au document Ernst & Young, disponible sur demande.

5

Un conseil d’administration, soucieux de ses respon-sabilités, se doit de demander une démarche structuréesur le risque-management.

1) La démarche

Le conseil d’administration n’a pas à intervenir direc-tement dans la gestion des risques – c’est la tâche des

dirigeants – mais à s’assurer que les risques sont biensous leur contrôle et ne peuvent mettre l’entreprise endanger sérieux.

Pour ceci, le conseil vérifiera que chaque zone derisque est prise en compte par l’un des membres dumanagement de l’entreprise. La matrice COSO « Univers des risques » (voir ci-

Pour établir ce premier état des lieux, les quatrequestions-clé suivantes permettront de pré-qualifierrapidement la sensibilité de la direction et des admi-nistrateurs d’une entreprise à l’importance ducontrôle interne :◊ Est-ce que le contrôle interne de l’entreprise est docu-

menté (procédures), actualisé (mises à jour ou correc-tions régulières), expliqué (séances de présentation,de formation), mis en valeur (récompenses ou sanc-tions) ?

◊ Est-ce que le management de l’entreprise privilégie laprudence par des objectifs réalistes, par des prévisionsdébattues et justifiées, par une culture de l’identifi-cation et de l’anticipation des risques ?

◊ Est-ce que les règles prévalant à la détermination desrémunérations, des primes et intéressements, des pro-motions sont dans toutes l’entreprise orientées vers laperformance saine et durable et non au service d’in-térêts à très court terme (le résultat de la seule annéeen cours), ou médiatiques (« l’affaire du siècle ») ouindividuels (le prix de l’action pour des stocks-options) ?

◊ Est-ce que la direction de l’entreprise a une culture dela transparence et du débat sur les questions les plussensibles (arrêté des comptes, budgets et plans, arbi-trages stratégiques, risques majeurs) et si oui avecqui ? Son équipe de direction ? Son conseil d’admi-nistration ? Des conseils extérieurs ?

Exemple de check-lists pour l’administrateur

2) En cours de mandat au fil de l’eauet de façon périodique

Cette appréciation initiale de la culture de l’entrepri-se en matière de contrôle interne détermine le niveaude vigilance et d’intervention de l’administrateur.

Un bon administrateur, un bon conseil, devant ren-forcer le dirigeant, c’est sur les aspects suivants qu’ilsauront à bien étalonner leur influence et à faire pro-gresser l’entreprise :

• sur la qualité (précision, fiabilité, fraîcheur), lacohérence (toujours croiser les chiffres !) et la per-tinence (quelle décision peut-on efficacementprendre avec cette donnée ?) de l’information,

• sur la mise en perspective arrière des informations:un écart entre prévu et réalisé n’est pas un constatobsolète que l’on met en pertes et profits ; il signifiequelque chose dont il faut tenir compte...,

• sur la culture de l’écrit et du juste milieu en lamatière,

• sur la culture du double regard, de l’échange : le

meilleur chef d’entreprise n’a jamais raison tout letemps et longtemps ; de même la personne la plushonnête ne peut pas se contrôler elle-même...

• sur le refus de la personne indispensable, du « baron » : un collaborateur dont le dirigeant estplus ou moins otage représente un risque énormeen matière de contrôle interne...,

• sur le bon dosage « confiance-méfiance », « délé-gations-centralisations » : les 2 extrémités repré-sentent un risque interne équivalent et élevé carl’illusion du tout contrôle permet autant d’abusque le laisser-faire. La confiance ne dispense pasde la vigilance, question de juste milieu,

• sur la prétendue hauteur de vue du dirigeant quil’éloigne du détail ou de la petite information trèsrévélateurs d’une évolution ou d’un risque encorelatents...Inévitable dans les grandes entreprises, ladistance du dirigeant avec son quotidien est unfacteur important de risque,

• sur l’identification, l’anticipation et les arbitragesdes risques que doit assumer l’entreprise ; ce pointà lui seul justifie le développement suivant.

C. Le rôle de l’administrateurdans l’identification et l’anticipation des risques

6

dessous) constitue pour cela un outil précieux, enpermettant de faire de façon exhaustive un lien entreles zones de risques et les responsables opérationnelsqui ont à les gérer.

Dans ce contexte, la direction financière et la direc-tion des ressources humaines jouent un rôle addi-tionnel d’expert auprès de la direction générale. Ilspeuvent, souvent avec le responsable qualité, établirpour le compte de la direction générale un auditinterne des risques.

2) Identifier les risques

Chaque risque significatif doit être identifié, et à cha-cun devrait s’appliquer une couverture d’assurance.Le caractère de risque significatif s’apprécie par :

• la nature du risque• le montant financier correspondant• la probabilité d’occurrence du risque• la période de son impact : exercice en cours,

moyen terme (< 3 ans), long terme

La couverture complète des risques majeurs ou usuelss’opère par :

• une assurance classique (ex. assurance dom-mages),

• une assurance spécifique (ex. couverture de chan-ge, affacturage, …) ou

• un autre mode (ex. délégation de responsabilité,séparation ordonnateur/payeur contre les risquesde faute ou de fraude, assurance qualité, …)

Cependant, par défaut, il subsiste certains risquesrésiduels, qui peuvent être significatifs, et qui netrouvent pas de formule de couverture adéquate.

On peut trouver dans cette catégorie des risques telsque :

- En catégorie Stratégie : les dépendances clients oufournisseurs, l’évolution des lois et règlements, lesrisques pays, les stratégies des concurrents, lesrisques de substitution de produits ou de techno-logie, …

- En Opérations : les niveaux de stock, la casse d’unéquipement-clé, la perte d’un collaborateur-clé,…

- En Finances : l’exigibilité des crédits, le rating del’entreprise par un organisme extérieur, …

- En Knowledge : le risque de non confidentialité,la fiabilité de l’informatique, les attaques externessur celle-ci, les lacunes de la veille intellectuelle,…

C’est à propos de ces risques résiduels, lorsque leursconséquences peuvent devenir significatives, que leconseil doit être saisi, pour information et pour déci-sion, en précisant l’horizon de temps sur lequel ilspeuvent impacter. Il appartient notamment au conseilde s’attacher à en réduire l’occurrence et la gravité.

Il est donc souhaitable – au moins une fois par an –de procéder en conseil d’administration à une revuede ces risques, sur la base d’un audit préparé à l’ini-tiative de la direction générale. Cette revue consistera à rappeler la méthode utiliséepour identifier les risques, les responsables en chargedes différentes zones de risques, et surtout la liste desrisques résiduels significatifs identifiés mais non cou-verts par une assurance.

Sur ces derniers, le conseil aura à prendre position età décider s’ils peuvent continuer à être courus, etcomment.

Sept questionsaux membres du conseil

1) Existe-t-il un comité d’audit internedes risques de l’entreprise ? Qui enfait partie ?

2) Quelle méthode d’identification desrisques est utilisée par l’entreprise ?

3) Comment est réparti « l’univers desrisques » entre les différents managersde l’entreprise ?

4) Quand le conseil a-t-il été pour ladernière fois informé sur les risquessignificatifs ?

5) Certains d’entre eux n’étaient-ils pascouverts complètement par une assu-rance ? Quelle position a prise leconseil sur ceux-ci ? Etes-vous tou-jours en accord avec cette position ?

6) Avez-vous envisagé le « scénario dupire » pouvant affecter l’entreprise,pour l’exercice en cours, ou pour lestrois prochaines années ?

7) Que proposez-vous pour réduire cerisque de « scénario du pire ? »

7

Exemple type d’univers des risques

Stratégie

Actionnaires

Partenaire commercial

Client

Gouvernement

Fournisseur

Ethique

Planning stratégique

Allocationdes ressources

Gestion de l’activité

Réputation

Concurrent

Dynamique de marché

Pays

Economie

Transaction

PartenairesGouvernement

d’entreprise

Structure

du marché

Processus support

Production& logistique

Marketing & Vente

Nouveau Produit/Service

Autresactifs corporels

Usine, Propriétéet Terrain

Formation

Ressourceshumaines

ProcessusActifs

physiques

Personnels

& culture

Loi & règlementation

Contrat

Responsabilité

Juridique

Opérations

Hardware

Logiciels

Réseaux

Planificationet développement

Opérations

Organisation & Suivi

Actifs incorporels

Gestion du savoir

Information

SystèmesGestion

de l’information

Propriété

intellectuelle

Knowledge

Cours desmatières premières

Taux d’intérêt

Taux de change

Recouvrement

Gestion de trésorerie

Couverture

Financement

MarchéLiquidité

& Crédit

Fiscalité

Comptabilité

Réglementation& Conformité

Reporting

Fonds Propres

Dettes

Répartition

du Capital

Finances

L’universdes risques

L’universdes risques

L’univers des risques selon COSO

8

« Contrôle interne » : deux mots qui font rarementpartie du vocabulaire naturel d’un chef d’entreprise,bien plus préoccupé, jour après jour, par la mise aupoint de produits ou services compétitifs, par laconquête et la satisfaction de ses clients.

« Qui veut la fin, veut les moyens » : dans une com-pétition économique de tous les instants, la prioritépeut effectivement être d’aller au plus vite, au pluscourt, au plus efficace...

Mais personne ne peut tenir ainsi la distance : imagi-ne t’on le trafic aérien sans tours de contrôle quifixent les règles de vol et en surveillent l’applicationen permanence ?

A condition de ne pas passer à l’autre extrême, auculte de la procédure, le contrôle interne est un inves-tissement hautement rentable dans la durée :

• il oblige le dirigeant à structurer son organisation• il permet à chacun de connaître ce qui est attendu

de lui, donc d’être responsabilisé et par là motivé• il permet à chacun dans l’entreprise de savoir qui

est responsable de quoi et d’aller droit au but encas de question sans inonder 36 destinataires decopies de notes ou de mails : les gains de temps etde réactivité sont considérables

• il inculque naturellement une culture du risque,donc de son anticipation

• il entraîne naturellement une culture de la trans-parence, donc de communication.

Ce terrain du contrôle interne est un de ceux surlequel un administrateur professionnel peut avoir,dans la durée, une action déterminante sans lamoindre interférence opérationnelle dans l’entreprise.

Il suffit de procéder par étapes, en partant du sommetet en terminant au niveau des opérateurs.

A chaque fois, entre « n » et « n-1 », ce sont les mêmesquestions à poser, ce sont les mêmes réponses à vali-der, à transcrire, à traduire en modus operandi:

• « quels sont en quelques mots mes objectifs, mespriorités, mes règles de conduite ? Si je suis chefd’entreprise, ils me viennent de mon conseil d’ad-ministration, donc de mes actionnaires ; si je suisun employé, ils me viennent de mon supérieurdirect »

• « sur quels critères serai-je jugé pour apprécier l’at-teinte de ces objectifs, le respect de ces priorités etde ces règles? »

• « comment je décline mes objectifs, priorités etrègles de conduite auprès de ceux dont j’ai la res-ponsabilité directe, comment je les communique,comment je m’assure que ceux-ci se les réappro-prient? »

• « comment je les contrôle ensuite pour être àmême de réagir pour adapter, corriger, pourrécompenser, pour sanctionner ? »

• « comment je m’assure de leur retransmission, deleur déclinaison à leurs propres adjoints ? »

Conseils d’administration après conseils, au rythmedes sujets naturellement traités, en 2 ou 3 ans, tout cequi conditionne la performance d’une entreprisepourra ainsi être passé au tamis de ce regard decontrôle interne : la mise à jour des plans moyenterme et des budgets, les revues de contrats ou mar-chés (fournisseurs ou clients), la politique salariale, lesystème de délégations et d’engagement des dépenses,la sécurité, la chaîne logistique, l’arrêté des comptes,le reporting,...

Il pourrait parfaitement être envisagé que, sous l’ani-mation d’un administrateur professionnel, le conseild’administration accompagne le chef d’entreprisedans son élaboration progressive du guide de contrô-le interne de son entreprise : pour APIA, ce serait lameilleure application des lois sur la gouvernance...

Jean-Luc DebackPrésident de APIA

Postface :Le contrôle interne vu par APIA

Présentation des participantsà cette étude

APIA106 rue Robert – 69006 Lyon – Tél. 06 31 29 83 8820 rue de la Banque – 75002 ParisSite : www. Apia.asso.frContact : contact@apia.asso.fr

Créée fin 2003, APIA est une association dont l’objectif est de promouvoir et de professionnaliser lafonction d’administrateur d’entreprises et de lui donner un label.

Initiée par un groupe de dirigeants d’entreprises moyennes, APIA s’est élargie depuis à d’autresdirigeants et à de nombreux partenaires, experts reconnus des métiers proches des entreprises.

Les membres et les partenaires travaillent ensemble sur des thèmes liés aux fonctions et responsabilitésdes administrateurs pour enrichir leur pratique professionnelle, mieux aider les chefs d’entreprises etcontribuer à la pérennité et au développement de celles-ci.

ERNST & YOUNG129 rue Servient – 69326 Lyon Cedex 03 – Tél. 04 78 63 16 16Site : www.ernst-young.frContact : Pascal Rhoumy

Ernst & Young rassemble des professionnels spécialisés en audit, droit et finance afin de conjuguer,mission par mission, dans le strict respect des réglementations en vigueur, l'ensemble des compétencesutiles pour apporter des réponses appropriées et justifiées à la vie économique et financière desentreprises et des organisations.Ernst & Young Business Risk Services (BRS) est la référence en France dans le domaine de l'AuditInterne et de la gestion des risques (Risk Management). Avec 10 années d'expérience, et forte de 150collaborateurs intégrés dans un réseau international structuré de 5 100 professionnels, cette équiperegroupe des compétences sectorielles spécialisées.

LAMY LEXEL AVOCATS ASSOCIES91 Cours Lafayette – 69455 Lyon cedex 06 - Tél. 04 72 74 53 00Site : www.lamy-lexel.comContact : Vincent Medail

LAMY LEXEL Avocats Associés est l’un des principaux cabinets indépendants de droit des affaires enFrance, avec des bureaux à Paris, Lyon et dans les Alpes.

Fort de 130 personnes, dont 75 avocats, LAMY LEXEL demeure un cabinet à taille humaine, quiaccompagne ses clients tant en France qu'à l'international, dans une démarche de forte implicationopérationnelle conjuguant créativité, réactivité et culture du résultat.

Nos avocats, proches des préoccupations du monde de l’entreprise, portent une attention particulièreaux exigences économiques, aux réalités sociales et à l’environnement de leurs clients. Ils s'efforcent defaire aboutir les projets des chefs d'entreprise, en en sécurisant les processus majeurs.

Régulièrement impliqué dans les moments majeurs de la vie des PME, fusion, croissance externe, cessionou transmission, appel au marché financier, restructuration du capital, etc., LAMY LEXEL sait aussicombien une bonne gouvernance d'entreprise donne confiance aux partenaires et à l'environnement del'entreprise, et permet de mener à bien des opérations à fort enjeu.

129 rue Servient - 69326 Lyon Cedex 03Tél : 04 78 63 16 16 - Fax 04 78 63 16 00

91 Cours Lafayette - 69455 Lyon Cedex 06Tél : 04 72 74 53 00 - Fax 04 78 52 26 00

9 boulevard Malesherbes - 75008 ParisTél : 01 55 27 24 00 - Fax 01 55 27 24 24