1
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Cours Risk-management et Contrôle InterneCours Risk-management et Contrôle Interne
Lionel Tourtier
CNAM 2005-2006
CNAM Master Finance d’entreprise
2
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Séance 2 : Maîtrise des risques et contrôle interne
– La fonction financière au cœur du dispositif de contrôle– Un problème de corporate governance– Le renforcement des réglementations : 8ème directive, IFRS, NRE, Dif– La mise en oeuvre de SOX et LSF : éléments de comparaison– Le référentiel COSO et ses équivalents en Europe– Le référentiel COBIT comme complément– Les outils ERM– La dimension éthique comme vecteur de transparence
– La fonction financière au cœur du dispositif de contrôle– Un problème de corporate governance– Le renforcement des réglementations : 8ème directive, IFRS, NRE, Dif– La mise en oeuvre de SOX et LSF : éléments de comparaison– Le référentiel COSO et ses équivalents en Europe– Le référentiel COBIT comme complément– Les outils ERM– La dimension éthique comme vecteur de transparence
3
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
La fonction financière au cœur du dispositif de contrôle
Equilibre financier
Rentabilité
Flexibilité
Risque
Contrôle
4
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Le risque : une notion inséparable de celle de rentabilité et de flexibilité
Le risque économique dépend de :
La pertinence de la stratégie
la sensibilité du résultat (à divers événements : variation de salaires, matières premières...),
la part des frais fixes : analyse du "point mort",
la variation des besoins en fonds de roulement
Le risque systémique des activités dépend :
de la qualité des procédures
de l’efficacité du risk management
5
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Le contrôle assure fiabilité du reporting et respect de la conformité légale
La performance de l'entreprise dépend (en partie) de l'organisation et du "reporting".
Le Directeur Financier, assisté du contrôleur de gestion et du risk manager doivent adapter la conception du SI de gestion financière aux processus et aux risques majeurs attachés
Le SI doit fournir des résultats fiables, dans des délais utiles pour décider d'actions correctives et modifier plans, budgets et niveaux de risques : le l’ERP à l’ERM
La décentralisation suppose un langage économique commun et un « pilote dans l’avion »
Les services juridiques doivent veiller au bon respect des lois et règlements
6
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Un problème de corporate governanceUn problème de corporate governance
Fin d’un modèleFin d’un modèleFin d’un modèleFin d’un modèle
7
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
La crise de confiance des marchés financiers
8
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Les premières heures du 21ème siècleont été secouée par les scandales financiers
9
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Ces “affaires” ont sérieusement mis à mal la confiance des investisseurs et du public
D’un capitalisme non contrôlé… … à un capitalisme régulé
August 1982 – March 2000
1982 1991 2000
800
11,000
3,000
DJIA IInitial
Growth
Tax CutsAnd Free
Trade
IIConsolidation/Acceleration
US WinsCold/Gulf
Wars
IIIIrrational
Exuberance
Y2K and InternetBubble
Overview
Sarbanes-Oxley Act of 2002
March 2000 - December 2003 - Beyond
2000 2002 2004
11,000
Institutional Mistrust
7,000
9,000
DJIA IBear
Market
Post Y2K& Internet Bubble
Bursts
IICrisis of
Confidence
Sept 11,2001,Enron andAndersen
IIIMarket
Differentiation
Public Companies Respond to Sarbanes-Oxley
Sarbanes/Oxley
L.S.F.
Source Deloitte
10
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Une remise en cause du modèle de corporate governance et de l’image des dirigeants
• “Opinion polls now place business people in lower esteem than politicians.”
• - Jennifer Merritt (2002) “For MBAs, Soul Searching 101,” Business Week, Sept. 16, p. 64.
• “A W.S.J./NBC poll found that 57% of general public believed that standards & values of corporate leaders & executives had dropped in the last 20 years.”
• -Eric Hellweg (2002) www.business2.0.com, Sept. 10
12
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
La mondialisation éloigne la DG du terrain de jeu opérationnel
Comment assurer l’efficacité du contrôle et sur quel type de risque ?
DGDG
13
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Le contrôle interne contribue directement au gouvernement d’entreprise
Créer/rétablirle « chaînon manquant"
Renforcer la structure de
contrôle interne existante
Gouvernement d'Entreprise
Activités de contrôle
14
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Les attentes des fonds de pension :
Investor Responsibility Action Project (IRAP)
Morality:Morality: Are you putting my money in companies run by moral leaders? How do you judge this morality?
Capital Stewardship:Capital Stewardship: Are you investing my money with CEOs who hold investor money “in trust”?
Clarity and Common Sense:Clarity and Common Sense: Are you placing my money with CEOs who understand their businesses and can articulate this to others?
Credible Accounting:Credible Accounting: Is the CEO clearly explaining why GAAP and pro forma numbers differ, and avoiding the quarterly earnings guidance game?
Long-term Commitment:Long-term Commitment: Is my money going to companies that you feel comfortable holding on to for at least three years?
15
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Project (IRAP) : suite
Listening to StakeholdersListening to Stakeholders:: Are you investing my money with CEOs who develop plans and take actions based on listening to and understanding employee, investor and customer needs?
Compensation:Compensation: Are you investing in companies where the compensation of the CEO is only between 30-40 times, or at least reasonably connected to, that of front-line operating people?
Values-Based Actions:Values-Based Actions: Are you putting my money with leaders who talk about and also act on their values, especially in relation to the environment and the communities they serve?
Preparation and Succession Plan:Preparation and Succession Plan: Are you investing my money with CEOs who have a clearly defined plan not only to choose a successor, but also to prepare that individual for leadership?
16
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Gouvernance et conception de l’entreprise
– La conception du rôle de l’entreprise et de son gouvernement est déterminante dans les modalités de contrôle de l’exercice du pouvoir des dirigeants sociaux
• Ceux-ci doivent-ils servir uniquement l’intérêt des actionnaires ou l’intérêt Ceux-ci doivent-ils servir uniquement l’intérêt des actionnaires ou l’intérêt social ?social ?
– La réponse à cette question détermine, en partie, le rôle des administrateurs indépendants qui devraient jouer, selon les nouveaux textes, un rôle central
• En fait, leur efficacité dépendra de leur indépendance vis-à-vis des dirigeants et En fait, leur efficacité dépendra de leur indépendance vis-à-vis des dirigeants et des actionnaires, de leur compétence et du temps nécessaire pour exercer de des actionnaires, de leur compétence et du temps nécessaire pour exercer de façon sérieuse un contrôle dans des organisations de plus en plus complexesfaçon sérieuse un contrôle dans des organisations de plus en plus complexes
– Les mesures envisagées en matière de régulation de l’information financière sont principalement destinées aux acteurs des marchés financiers
• Une telle optique peut poser un problème de pertinence si l’on considère la Une telle optique peut poser un problème de pertinence si l’on considère la globalité des problèmes liés à la gouvernance sociétaleglobalité des problèmes liés à la gouvernance sociétale
17
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
La réponse réglementaire à travers SOX et SEFI
La réponse réglementaire à travers SOX et SEFI
18
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Un accroissement en France des obligations en matière de reporting : NRE, risques, etc.
• Bilan social de la loi de 1977
• Réglementations en matière d’environnement (directive européenne nommée Seveso III du 16 12 2003, etc.)
• Article 116 de la loi du 15 mai 2001 (NRE) et décret d’application
• Loi Genisson sur l’égalité professionnelle
• Loi sur les risques industriels et technologiques du 30 juillet 2003
• Mise en place de directive sur la transparence financière à partir de juin 2005
• Loi de sécurité financière
Député C Genisson
19
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
L’article 116 de la loi 2001-420 du 15 mai 2001 dite NRE
• Le rapport visé à l’article L 225-102 rend compte de la rémunération totale et des avantages de toute nature versés, durant l’exercice, à chaque mandataire social
• Il indique également le montant des rémunérations et des Il indique également le montant des rémunérations et des avantages de toute nature que chacun de ces mandataires a reçu avantages de toute nature que chacun de ces mandataires a reçu durant l’exercice de la part des sociétés contrôlées au sein de durant l’exercice de la part des sociétés contrôlées au sein de l’article L.233-16l’article L.233-16
• Il comprend également la liste de l’ensemble des mandats et Il comprend également la liste de l’ensemble des mandats et fonctions exercés dans toute société par chacun de ces fonctions exercés dans toute société par chacun de ces mandataires durant l ’exercicemandataires durant l ’exercice
• Il comprend également des informations, dont la liste est fixée par décret en Conseil d ’État, sur le manière dont la société prend en compte les conséquences sociales et environnementales de son activité »
20
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Composition du bilan social toujours en application
Un document annuel qui présente sept grands chapitres :
– emploi
– rémunération et charges accessoires
– conditions d’hygiène et de sécurité
– autres conditions de travail
– formation
– relations professionnelles
- conditions de vie des salariés
- Un document plutôt orienté interne pour l’information des partenaires sociaux, avec un fort contenu statistique
21
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Composition du Rapport Développement durable : les données sociales
• L’effectif total, les embauches à contrat à durée déterminée et à contrat à durée indéterminée, les heures supplémentaires, la main-d’œuvre extérieure à la société
• Le cas échéant, les informations relatives aux plans de réduction des effectifs
• L’organisation du temps de travail• Les rémunérations et leur évolution• Les relations professionnelles• Les conditions d’hygiène et de sécurité• La formation• L ’emploi et l’insertion des travailleurs handicapés• Les œuvres sociales• L ’importance de la sous-traitance
22
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
La notion de responsabilité sociale
Le rapport doit également :
« exposer la manière dont la société prend en compte l’impact territorial de ses activités en matière d’emploi et de développement régional.
Il décrit, le cas échéant, les relations entretenues par la société avec les associations d ’insertion, les établissements d ’enseignement, les associations de défense de l’environnement, les associations de consommateurs et les populations riveraines.
Il indique l’importance de la sous-traitance et la manière dont la société promeut auprès de ses sous-traitants et s’assure du respect par ses filiales des dispositions des conventions fondamentales de l’Organisation internationale du travail.
Il indique en outre la manière dont les filiales étrangères de l ’entreprise prennent en compte l ’impact de leurs activités sur le développement régional et la populations locales. »
23
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Composition du Rapport Développement durable : les données environnementales
• La consommation de ressources en eau, matières premières et énergie• Les mesures prises pour limiter les atteintes à l’équilibre biologique• Les démarches d ’évaluation ou de certification entreprises• Les mesures prises, le cas échéant, pour assurer la conformité de l’activité
de la sociétés• Les dépenses engagées pour prévenir les conséquences de l’activité de la
société sur l’environnement• L’existence au sein de la société de services internes de gestion de
l’environnement, la formation et l’information des salariés sur celui-ci ; les moyens consacrés à la réduction des risques pour l’environnement ainsi que l’organisation mise en place pour faire face aux accidents de pollution ayant des conséquences au-delà des établissements de la société
• Le montant des provisions et garanties pour risques en matière d’environnement, sauf si cette information est de nature à causer un préjudice sérieux avec la société dans un litige en cours
• Le montant des indemnités versées au cours de l’exercice en exécution d’une décision judiciaire en matière d’environnement et les actions menées en réparation de dommages causés à celui-ci
• Tous les éléments sur les objectifs que la société assigne à ses filiales à l’étranger sur les points 1 à 6 ci-dessus
24
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
La mise en place du Document Unique
• Le décret n° 2001-1016 du 5 novembre 2001 impose la création d’un document baptisé « Document Unique » à tous les employeurs, et ce, quelle que soit l’activité de l’entreprise, dès lors qu’il existe au moins un salarié
• L'absence de rédaction du Document Unique ou de sa mise à jour est punie d'une amende de 1500 € , doublée en cas de récidive
• C’est un document synthétique sur lequel doivent être transcrits et mis à jour les résultats de l’évaluation des risques pour la sécurité et la santé de salariés
• Il est tenu à la disposition notamment des représentants du personnel, des employés exposés à ces risques, de l'inspection du travail– En cas d'accident du travail alors que le risque avait été relevé dans le
Document Unique, la faute inexcusable de l'employeur sera de fait établie et sa responsabilité pénale aggravée
25
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
L’inventaire des risques identifiés
• Cet inventaire doit obligatoirement figurer dans le document unique – Il comprend l’identification des dangers et l‘analyse des risques, résultant
de l’étude des conditions d’exposition des salariés à ces dangers
• Le découpage en unités de travail est créé en fonction des caractéristiques de l’entreprise ou de l’activité (ex : par établissement, par atelier, par secteur d’activité)
• Le recensement des risques se fait sur place et pour chaque situation de travail (ex : fonctionnement normal, réglage, dépannage, maintenance exceptionnelle)
26
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Exemples de classification des risques
• Produits et/ou matière (toxicité, pollution, incendie),
• Environnement de travail (bruit, travail sur écran, travail en hauteur),
• Machines et équipements (coupures, projections, brûlures),
• Manutention manuelle (efforts inadaptés, chute de la charge),
• Manutention mécanique (rupture des accessoires, incident mécanique),
• Levage (inadaptation de l’implantation de la grue, conditions climatiques),
• Tâches, organisation (rythme de travail, manque de formation, complexité),
• Circulation (manque de signalisation, circulation de piétons),
• Homme (tenue inadaptée, charge physique)
27
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
De nouvelles normes comptables : les IFRS
• Les scandales comptables de 2002-2003 (US et Europe) ont altéré la crédibilité de l’information financière
• Le passage aux IAS / IFRS (International Financial Reporting Standard) va permettre de passer à un standard supérieur de qualité d’information en et hors d’Europe
• Quels sont les avantages des normes IFRS ?• Normaliser la présentation des comptes au niveau international, Normaliser la présentation des comptes au niveau international,
pour faciliter leur lecture par tout investisseur sur une place pour faciliter leur lecture par tout investisseur sur une place financière quelle qu’elle soitfinancière quelle qu’elle soit
• Introduire des références normalisées dans l’élaboration des Introduire des références normalisées dans l’élaboration des comptes qui soient respectueuses des exigences économiques et comptes qui soient respectueuses des exigences économiques et non plus patrimonialesnon plus patrimoniales
• Favoriser les pratiques de gouvernance d’entrepriseFavoriser les pratiques de gouvernance d’entreprise
28
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Une révolution dans la façon de penseravec le principe de la « juste valeur »
• Les nouvelles normes consacrent la préférence du principe de « valeur de marché » (fair value ) à celui de « prudence »
• D’où une évaluation à la valeur du marché de certains actifs et une comptabilisation des gains et des pertes latentes
• Une vraie révolution comptable, car au lieu de comptabiliser un actif à un Une vraie révolution comptable, car au lieu de comptabiliser un actif à un coût historique, ce sont les recettes générées par cet actif que l’on va coût historique, ce sont les recettes générées par cet actif que l’on va chercher à mesurer : actualisation des flux de recetteschercher à mesurer : actualisation des flux de recettes
• Les capitaux propres ne seront plus un montant fixe mais un différentiel Les capitaux propres ne seront plus un montant fixe mais un différentiel entre actif et passifentre actif et passif
Actifs évalués Actifs évalués aux coûts aux coûts
historiqueshistoriques
Actifs évalués Actifs évalués aux coûts aux coûts
historiqueshistoriques
HierHier
Ce que l’actif a coûtéCe que l’actif a coûté
Actifs évalués Actifs évalués à la juste valeurà la juste valeurActifs évalués Actifs évalués
à la juste valeurà la juste valeur
20052005
Ce que l’actif va rapporter ou Ce que l’actif va rapporter ou entraîner comme pertes…entraîner comme pertes…
Dépréciation à la Dépréciation à la valeur de marchévaleur de marché
29
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
L’impact IFRS : la norme IAS 36 coûte à Eurotunnel la moitié de ses fonds propres !
L’application de la norme IAS 36 (dépréciation d’actifs) a contraint Eurotunnel à une dépréciation exceptionnelle de 1,85 milliards d’euros au 31 12 2003 !
• Soit la différence entre la valeur nette comptable des Soit la différence entre la valeur nette comptable des immobilisations et la valeur d’utilité des actifsimmobilisations et la valeur d’utilité des actifs
L’imputation sur les fonds propres s’élève à 1,6 milliards d’euros !
Cela traduit la réduction des flux futurs d’exploitation établie à la lumière des résultats de 2003 (calculée au terme de la concession de 2086) et de leurs conséquences négatives sur la capacité d’endettement du Groupe ainsi que la hausse des taux de marché
30
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Les dispositions de la Directive européennesur la transparence
• La directive imposerait à tous les émetteurs de valeurs mobilières de divulguer périodiquement au public : – un rapport financier annuel ayant fait l'objet d'un contrôle légal (états
financiers établis conformément aux normes comptables internationales) et un rapport de gestion, dans les trois mois suivant la clôture de chaque exercice;
– un rapport financier semestriel condensé, établi conformément à la norme IAS 34 («information financière intermédiaire»), assorti d'une actualisation du dernier rapport annuel de gestion.
• En outre, les émetteurs d'actions seraient tenus de publier un rapport financier trimestriel plus succinct aux premier et troisième trimestres de chaque exercice– contenant leur chiffre d'affaires net et leur résultat avant ou après
impôt ainsi que, si les émetteurs le souhaitent, de brèves indications tendancielles concernant leur développement sur le reste de l'exercice
31
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Directive sur Abus de marché et projet de directive sur l’audit
32
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
SOX et L.S.F. instaure un reporting financier et un contrôle très réglementés
• Le contrôle au sein de SOX est centré sur la qualité du reporting financier, ce qui n’exclut nullement les conséquences des risques identifiés ou non
• La faculté de « dénonciation » par un collaborateur ou un tiers caractérise SOX à la différence de LSF qui ignore cette démarche
• L.S.F. présente une absence de précision du texte de loi quant au contenu des informations à produire, ce qui indirectement ouvre un champ relativement large au contrôle
• Conséquences : ces deux textes conduisent à la mise en œuvre d’une véritable politique de maîtrise des risques, les plus divers et qui sont susceptibles d’affecter la valeur de l’entreprise
33
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Les grandes lignes de SOX et de SEFI
“Americans will always do the right thing…..
after they have exhausted all other options”
Sir Winston Churchill
34
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
SOX : l’architecture générale
I. Public Company Accounting Oversight Board
II. Auditor Independence
III. Corporate Responsibility
IV. Enhanced Financial Disclosures
V. Analyst Conflicts of Interest
VI. Commission Resources and Authority
VII. Studies and Reports
VIII. Corporate and Criminal Fraud Accountability
IX. White Collar Crime Penalty
X. Corporate Tax Returns
XI. Corporate Fraud and Accountability
Exactitude de Exactitude de l’informationl’information
Accessibilité de Accessibilité de l’informationl’information
Responsabilité Responsabilité des gestionnairesdes gestionnaires
Indépendance des Indépendance des auditeursauditeurs
35
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Le champ d’application de SOX
• Toutes les entreprises cotées sur les marchés financiers des Etats-Unis– Les entreprises opérant dans d’autres juridictions peuvent être confrontées
aux mêmes contraintes réglementaires (exemple du bill 198 dans l’Ontario, similaire à certaines sections de SOX)
– Le calendrier de respect de SOX et les contraintes réglementaires évoluent au fur et à mesure du temps
• Sox est de nature extra-territoriale– A l’heure actuelle, elle concernerait environ 350 sociétés cotées en Europe
• Les entreprises non cotées doivent satisfaire aux contraintes de SOX avant toute émission de titres sur le marché financier ou la cession significative d’actions à une entreprise cotée
– Allongement du processus de due diligence en cas de cession de société cotée
36
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Le Sarbanes-Oxley act de 2002 en bref
• Documents de travail (article 802) : la destruction des documents de travail entraîne l’application d’amendes très lourdes
• Gouvernement d’entreprise et responsabilité (article 301 à 306, 402 à 407, 901 à 911 et 1101 à 1107)
• Création d’un comité d’audit composés de membres indépendant de part leur rémunération et en relation direct avec les auditeurs
• L’entreprise doit s’assurer que les managers sont aptes à tenir leur poste• Les directeurs généraux et les directeurs administratifs et financiers doivent signer les
états financiers et restent responsables du contrôle interne (rapport à émettre)• En cas de modifications importantes des états financiers, les directeurs généraux et les
directeurs administratifs devront s’acquitter d’une indemnité importante• Interdiction formelle d’octroyer des prêts aux dirigeants.• Lourdes amendes prévues en cas de fraude, documents détruits, usage de faux
37
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
SOX et impact décisionnel
38
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Les avantages recherchés de SOX vu du côté outre-atlantique
• Augmentation de la confiance dans le reporting des résultats par les CEO/CFO
• Amélioration de la coordination des équipes de gestion de l’entreprise
• Amélioration et clarification du système de gouvernement d’entreprise
• Efficacité des procédures et process pour détecter rapidement les risques d’activités, les dysfonctionnements de management
• Démarche systématique de mise en conformité (i.e., transactions, gestion du personnel, principes comptables, contrôle interne, procédures opérationnelles)
• Augmentation de l’efficacité opérationnelle
39
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Quelques “premiers résultats” de Sarbanes-Oxley Act
40
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
L’instauration en France de nouvelles dispositions en matière de reporting : L.S.F.
Les objectifs de la loi N°2003-706 du 1er août 2003Les objectifs de la loi N°2003-706 du 1er août 2003• Permettre au système financier de fonctionner dans la confiance et dans la
transparence• Répondre à l’évolution permanente des techniques financières• Répondre aux inquiétudes des marchés :
Mettre en place des autorités de régulation fortesMettre en place des autorités de régulation fortes Protéger les épargnantsProtéger les épargnants Garantir la sincérité des comptesGarantir la sincérité des comptes Garantir la transparence du fonctionnement des entreprisesGarantir la transparence du fonctionnement des entreprises
De façon plus concrète, la loi vise notamment, dans le cadre de l’assainissement des pratiques de gouvernance, à renforcer le contrôle interne :
Le président du CA doit rendre compte, dans son rapport annuel, des Le président du CA doit rendre compte, dans son rapport annuel, des procédures de contrôle interne mises en place par la sociétéprocédures de contrôle interne mises en place par la société
41
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Le champ d’application de la L.S.F.
• Sociétés concernées : Initialement toutes les sociétés anonymes (cotées et non cotées), mais la loi pour la confiance et la modernisation de l’économie a restreint aux seules sociétés cotées
• C’est le président du Conseil d’administration ou de surveillance qui est chargé du rapport, lequel relève donc de sa responsabilité personnelle– Les articles L.225-37 et L.225-68 disposent que le président « rend
compte » des procédures de contrôle mises en place par la société• Dans le cas d’établissement de comptes consolidés, le rapport porte également
sur les procédures de contrôle interne des filiales, placées sous le contrôle de la société mère
• En outre, chaque filiale ayant la forme anonyme et son siège en France devra établir un rapport
42
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Les obligations en matière de contrôle et de reporting
SOX : An act to protect investors by improving the accuracy and reliability of
corporate disclosures…
43
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
L.S.F. : l’architecture du rapport du Président
• Objectifs de la société en matière de procédures de contrôle interne• Description synthétique des procédures de contrôle mises en place :
– Organisation générale des procédures de contrôle interneOrganisation générale des procédures de contrôle interne– Présentation des informations synthétiques sur les procédures de contrôle Présentation des informations synthétiques sur les procédures de contrôle
interne mises en place par la société (doit être focalisé sur les éléments interne mises en place par la société (doit être focalisé sur les éléments significatifs susceptibles d’avoir un impact sur le patrimoine ou sur les significatifs susceptibles d’avoir un impact sur le patrimoine ou sur les résultats de la société)résultats de la société)
44
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
L.S.F. : le contenu du rapport du Présidentsur le contrôle interne
• Le président rend compte notamment de l’efficience des procédures de contrôle interne mises en place– il indique dans quelle mesure ces procédures ont permis d’atteindre les
objectifs fixés au contrôle interne– Il mentionne le cas échéant les mesures prises afin de pouvoir atteindre
ces objectifs et de pallier les éventuelles faiblesses de conception ou de fonctionnement susceptibles d’avoir une incidence sur l’information sur la situation financière et les comptes
• Ce rapport doit être joint au rapport de gestion du conseil d’administration ou du conseil de surveillance et par conséquent, il doit suivre le même régime de publicité que ce dernier soit :
– Envoi aux actionnaires sur leur demande ou mise à leur disposition Envoi aux actionnaires sur leur demande ou mise à leur disposition quinze jour avant l’assemblée générale ordinaire,quinze jour avant l’assemblée générale ordinaire,
– Présentation à l’assemblée générale annuelle,Présentation à l’assemblée générale annuelle,– Dépôt au greffe du tribunal de commerce dans le mois qui suit Dépôt au greffe du tribunal de commerce dans le mois qui suit
l’assemblée ordinaire annuellel’assemblée ordinaire annuelle
45
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Réponse ministérielle du 29 07 2004 sur l’article L.225-37 et L.225-68 du code de commerce
• Selon la réponse ministérielle (publiée au Journal officiel du 29 juillet 2004) lorsque « Le président (…) rend compte des procédures de Le président (…) rend compte des procédures de contrôle interne mises en place par la sociétécontrôle interne mises en place par la société », », il doitil doit « « à ce titre, à ce titre, relater ces procédures, en cohérence avec les autres éléments inclus relater ces procédures, en cohérence avec les autres éléments inclus dans le rapport de gestion, en fournissant des indications factuelles et dans le rapport de gestion, en fournissant des indications factuelles et synthétiques sur leurs caractéristiques, sans être tenu de les évaluer ni synthétiques sur leurs caractéristiques, sans être tenu de les évaluer ni d’apprécier l’adéquation ou l’efficacité du contrôle interned’apprécier l’adéquation ou l’efficacité du contrôle interne.. »
Ce rapport «vise également à fournir au commissaire aux comptes une vise également à fournir au commissaire aux comptes une base de travail supplémentaire, pour l’évaluation du contrôle interne base de travail supplémentaire, pour l’évaluation du contrôle interne qu’il effectue dans le cadre de sa mission permanente et qui peut le qu’il effectue dans le cadre de sa mission permanente et qui peut le conduire, le cas échéant, à faire état aux organes sociaux des conduire, le cas échéant, à faire état aux organes sociaux des déficiences ou faiblesse majeures qu’il aurait relevées dans le contrôle déficiences ou faiblesse majeures qu’il aurait relevées dans le contrôle interne.interne. »
46
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
L’analyse de KPMG sur l’application de L.S.F.pour la première année 2003
Des rapports homogènes dans leur structure, mais pas dans leur contenu
• Pour la première année d'application, le plan des rapports analysés présente une certaine homogénéité– En effet, deux tiers des sociétés suivent la structure de rapport
proposée par les syndicats patronaux (AFEP et MEDEF)
– Néanmoins, la taille des rapports reste très variable avec une amplitude allant de 3 à 25 pages
• Sur les 52 sociétés étudiées, seules 2 d'entre elles, assujetties à la loi Sarbanes-Oxley, ont conclu à l'efficacité de leur contrôle interne
• Les autres sociétés de l’échantillon ont procédé à une description, et non à une évaluation, de certains aspects de leur organisation
47
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Enquête KPMG : une approche perfectible dans la gestion des responsabilités
• Bien que le rapport soit rédigé sous la responsabilité personnelle du président, il apparaît que ce dernier communique peu sur la manière ce dernier communique peu sur la manière dont il gère ses responsabilités, sur la mise en place de délégations dont il gère ses responsabilités, sur la mise en place de délégations de pouvoir et sur les éventuelles limitations aux pouvoirs du directeur de pouvoir et sur les éventuelles limitations aux pouvoirs du directeur généralgénéral
• Les présidents mettent l'accent sur le bon gouvernement de leur entreprise en évoquant, dans 71 % des rapports, le fonctionnement des conseils (nombre de séances, rôles des administrateurs...) et dans 77 % des cas l'existence de comités spécialisés
• Néanmoins, seulement 54 % des sociétés précisent la composition du conseil permettant d'apprécier l'indépendance des administrateurs
48
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
SOX: les points qui nous intéressent
I. Executives:I. Responsibility for financial reporting and keeping the markets informedII. Certifications: - 302 “Disclosure controles & procedures”
- 404 “Internal controls for financial reporting”
- 906 “CEO/CFO’s written statement on fairness”
III. Implement Code of Ethics and whistleblower procedure
II. Supervisory Board:I. Enhanced oversightII. Appointment of a “financial expert”
III. Auditors:I. IndependenceII. Attestation on internal controls
49
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Le lien entre l’article 404 et 302 de SOXà travers les états financiers
Internal Controls and Procedures for Financial Reporting
Disclosure Controls and Procedures
NotesNotes
Cash FlowCash Flow
Income Income StatementStatement
BalanceBalanceSheetSheet
FinancialFinancialStatementsStatements
FinancialFinancialStatementsStatements
BusinessBusiness
PropertiesProperties
LegalLegalProceedingsProceedings
Section 302Section 404
Annual Annual Report onReport onForm 10Form 10--KK
Annual Annual Report onReport onForm 10Form 10--KK
50
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Précisions nécessaires en matière de terminologie versus SOX
Definition of “internal control over financial reporting”:Definition of “internal control over financial reporting”:
- Encompasses subset of internal controls addressed in the COSO Report that Encompasses subset of internal controls addressed in the COSO Report that pertains to financial reporting objectivespertains to financial reporting objectives
- Including controls over safeguarding assetsIncluding controls over safeguarding assets
- Disclosure controls and procedures need to ensure that information required to be Disclosure controls and procedures need to ensure that information required to be disclosed by the issuer is recorded, processed, summarized and reported and is disclosed by the issuer is recorded, processed, summarized and reported and is accumulated and communicated within the time periods specified in the accumulated and communicated within the time periods specified in the Commission’s rules and formsCommission’s rules and forms
-Internal control is the process, effected by an entity’s board of directors, Internal control is the process, effected by an entity’s board of directors, management and other personnel, designed to provide reasonable assurance management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in three categories: regarding the achievement of objectives in three categories:
-Effectiveness and efficiency of operationsEffectiveness and efficiency of operations
-Reliability of financial reportingReliability of financial reporting
-Compliance with laws and regulations Compliance with laws and regulations
51
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
SOX: Scope of 302 and 404
Disclosure Requirements
Source Deloitte
Internal Controls Over Financial Reporting
Internal Accounting
Controls
Financial Reporting
Compliance&
Regulatory
Operations Disclosure Controls and Procedures
Other aspects of Compliance and Operations relate to DC&P
52
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Les caractéristiques du contrôle versus SOX
• Une documentation adaptée aux exigences :• Mise en conformité avec l’article SOX 404 et preuve de cette conformitéMise en conformité avec l’article SOX 404 et preuve de cette conformité• Identification à temps des faiblesses du contrôleIdentification à temps des faiblesses du contrôle• Définition d’actions prioritaires pour remédier à ces faiblesses et suivi de ces actionsDéfinition d’actions prioritaires pour remédier à ces faiblesses et suivi de ces actions• Constitution d’une base d’informations pour faciliter le travail des auditeursConstitution d’une base d’informations pour faciliter le travail des auditeurs
• Appui technologique possible (I.T.) :• Exhaustivité, cohérence et qualité de la documentation sur le pilotageExhaustivité, cohérence et qualité de la documentation sur le pilotage• Identification des manques de transparences et zones de progrèsIdentification des manques de transparences et zones de progrès• Amélioration de la documentation sur le pilotageAmélioration de la documentation sur le pilotage• Liens avec les autres risques et démarche de prévention Liens avec les autres risques et démarche de prévention • Audit du contrôleAudit du contrôle• Conduite facilitée du projetConduite facilitée du projet
53
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
La « Section 302 »
CEOCEO/CFO Must Certify Quarterly and Annually that:/CFO Must Certify Quarterly and Annually that:– SEC report being filed has been reviewedSEC report being filed has been reviewed– Report does not contain any untrue statements or omit any material facts necessary to Report does not contain any untrue statements or omit any material facts necessary to
make the statements made not misleadingmake the statements made not misleading– Financial statements fairly present, in all material respects, the financial position, results of Financial statements fairly present, in all material respects, the financial position, results of
operations and cash flowsoperations and cash flows– He/she is responsible for and has designed, established, and maintained Disclosure He/she is responsible for and has designed, established, and maintained Disclosure
Controls & Procedures (“DC&P”), as well as evaluated and reported on the effectiveness of Controls & Procedures (“DC&P”), as well as evaluated and reported on the effectiveness of those controls and procedures within 90 days of the report filing datethose controls and procedures within 90 days of the report filing date
– Deficiencies and material weaknesses in internal control have been disclosed to Audit Deficiencies and material weaknesses in internal control have been disclosed to Audit Committee and auditors, as well as any fraud (material or not) involving anyone with a Committee and auditors, as well as any fraud (material or not) involving anyone with a significant role in internal controlsignificant role in internal control
– Significant changes in internal control affecting controls for periods beyond review have Significant changes in internal control affecting controls for periods beyond review have been reported in the certification, including any corrective actions with regard to significant been reported in the certification, including any corrective actions with regard to significant deficiencies and material weaknessesdeficiencies and material weaknesses
54
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
La “Section 404”
• Assessment• Management’s assessment must be based on procedures sufficient
both to evaluate design and test operating effectiveness
• Management must maintain evidential matter, including documentation, to provide reasonable support for the assessment (both design and testing) of effectiveness
• Any material weakness in internal control over financial reporting precludes management from reporting that internal control is effective
• Reiteration of guidance regarding independence: • Auditors may assist management in documenting internal Auditors may assist management in documenting internal
controls. controls.
• Management must be actively involved in the process; cannot Management must be actively involved in the process; cannot delegate assessment responsibility to the auditordelegate assessment responsibility to the auditor
55
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Les principales actions à engager
• Actions to 302:• Enhance DC&P assessment and turn into consistent and
continuous process
• Ensure coverage of entire organization (incl. all material subsidiaries)
• Embedding into regular review and monitoring processes
• Actions to 404:• Document of processes & internal controls (process/activity, risk,
control, responsibility)
• Management’s evaluation of effectiveness (audits and self assessments)
• Attestation by external auditor
• Attestation by the auditor on management’s report on internal control requires (404 & 103):• Management accepts responsibility and assess internal controls
• Controls are suitable designed and appropriately documented
56
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
La gestion des risques : une approche non totalement aboutie
Enquête KPMG sur l’application de L.S.F.• Dans l'ensemble, les sociétés ont précisé les risques majeurs auxquels elles
sont exposées, répondant ainsi à la recommandation déjà existante de l'AMF de mentionner les principaux risques dans le document de référence
• Cependant, les modalités de gestion des risques ne sont pas décrites de façon systématique et ce, malgré un cadre juridique déjà existant dans les domaines sociaux et environnementaux
• Seules 19 % des sociétés sélectionnées ont mentionné l'existence d'une cartographie des risques
57
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Les risques sont souvent gérés de façon cloisonnée du fait d’une organisation en “silos”
CreditRisk
MarketRisk
A/LMRisk
OperationalRisk
Who
How
• Chief Credit Officer
• Treasurer
• Asset/Liability Manager
• CFO
• Business Managers
• Internal Audit
• Corporate Actuarial
• Exposure Limits
• Portfolio Measurement
• Securitization/ Derivatives
• Trading and A/LM Limits
• Value at Risk Management
• Financial Derivatives
• Controls
• Audit Review
• Insurance
• Investment Limits
• Portfolio Return
• Growth Limits
Il faut donc favoriser la transversalité dans le traitement du contrôle
58
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
La définition du contrôle interne
• « Ensemble des politiques et procédures mises en œuvre par la direction « Ensemble des politiques et procédures mises en œuvre par la direction d’une entité en vue d’assurer, dans la mesure du possible, la gestion d’une entité en vue d’assurer, dans la mesure du possible, la gestion rigoureuse et efficace de ses activités. »rigoureuse et efficace de ses activités. »
International Federation of Accountants (IFAC)
• « Le contrôle interne est l’ensemble des sécurités contribuant à la maîtrise « Le contrôle interne est l’ensemble des sécurités contribuant à la maîtrise de l’entreprise. Il a pour but, d’un côté, d’assurer la protection, la de l’entreprise. Il a pour but, d’un côté, d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information, de l’autre, sauvegarde du patrimoine et la qualité de l’information, de l’autre, l’application des instructions de la direction et de favoriser l’amélioration l’application des instructions de la direction et de favoriser l’amélioration des performances. Il se manifeste par l’organisation, les méthodes et des performances. Il se manifeste par l’organisation, les méthodes et procédures dans chacune des activités de l ’entreprise pour maintenir procédures dans chacune des activités de l ’entreprise pour maintenir l’organisation de celle-ci. »l’organisation de celle-ci. »
Ordre des experts-comptables, congrès 1997
59
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Vers un référentiel de "préférence" : le COSO
Enquête KPMG sur l’application de la loi L.S.F.• En l'absence de référentiel légal en matière de contrôle interne, la majorité des
entreprises se réfère de manière ponctuelle aux objectifs et à la terminologie utilisée par le COSO, même si seulement une entreprise sur cinq déclare avoir choisi le COSO comme référentiel de contrôle interne
• Seulement 53 % des entreprises étudiées font état de plans de progrès permettant, à terme, d'apprécier l'efficacité des procédures de contrôle interne
• En revanche, 72 % des sociétés visées par la loi Sarbanes-Oxley mentionnent la démarche entreprise pour atteindre une évaluation des procédures de contrôle interne
60
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Qu’est-ce que le référentiel COSO ?
Le COSO (Committee Of Sponsoring Organizations) regroupe aux USA les associations et instituts dans les domaines de la Comptabilité et de l'Audit Interne qui ont sponsorisés les travaux de cette Commission et qui sur la base de ses recommandations ont rédigé le « COSO Framework » ou référentiel COSO publié en 1992
Le référentiel COSO a donné naissance à un Cube dont les 3 faces visibles représentent les 3 objectifs, les 5 composants et les processus de l'entreprise
Ce Cube se découpe en 3 x 5 x p cubes élémentaires (p=nombre de processus de l'entreprise) qui donnent la base des évaluations à réaliser : « Evaluer dans toute entité et pour tout processus la façon dont chacun des 5 composants du Contrôle Interne participe à chacun des 3 objectifs »
61
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Information and Communication
• Pertinent information identified, captured and communicated in a timely manner.
• Access to internal and externally generated information.
• Flow of information that allows for successful control actions from instructions on responsibilities to summary of findings for management action.
Monitoring
• Assessment of a control system’s performance over time.
• Combination of ongoing and separate evaluation.
• Management and supervisory activities.
• Internal audit activities.
Risk Assessment
• Risk assessment is the identification and analysis of relevant risks to achieving the entity’s objectives-forming the basis for determining control activities.
La nomenclature COSO
Control Environment
• Sets tone of organization-influencing control consciousness of its people.
• Factors include integrity, ethical values, competence, authority, responsibility.
• Foundation for all other components of control.
Control Activities
• Policies/procedures that ensure management directives are carried out.
• Range of activities including approvals, authorizations, verifications, recommendations, performance reviews, asset security and segregation of duties.
62
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
COSO et COBIT
« Modèle de contrôle informatique »- Security Code of Conduct (DTI UK), IT Control Guidelines (CICA Canada), Security Handbook (NIST USA)
« Modèle de contrôle d’entreprise »- COSO USA
COBITCOBIT
Control Objectives for Information and related Technology
Outils de pilotageOutils de pilotage
63
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
La définition du contrôle dans le cadre du référentiel COSO
– Le contrôle interne est un processus mis en œuvre par la direction générale, le management et le personnel et conçu pour fournir une assurance raisonnable quant à l'accomplissement des objectifs :
optimisation des opérations optimisation des opérations fiabilité des informations financièresfiabilité des informations financières conformité aux lois et aux réglementations en vigueurconformité aux lois et aux réglementations en vigueur
– L’optimisation des opérations comprend l’amélioration des performances et la protection des ressources / actifs
– Les activités pour y répondre : Activités de gouvernanceActivités de gouvernance Activités opérationnellesActivités opérationnelles Activités de supportActivités de support
64
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
identifier, analyser, gérer les risques
Transparence, meilleure gestion financière, cohérence des actions avec le projet, garantie
juridique
QUALITE DU SERVICE
Clarifier responsabilités
Fiabiliser les informations
Identifier et corriger les dysfonctionnements
juridiques et/ou financiers
Mettre en place des dispositifs de
prévention des risques
Les objectifs du dispositif de contrôle interne
65
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Le périmètre du contrôle interne
Les opérations contrôlées : Les processus opérationnels : achats, ventes…. Les processus comptables : trésorerie, achats, ventes… Les opérations financières :
La préparation et le suivi budgétaireLa préparation et le suivi budgétaire Les investissementsLes investissements Les processus liés aux opérations d’information de gestion (contrôle de Les processus liés aux opérations d’information de gestion (contrôle de
gestion, comptabilité analytique…..)gestion, comptabilité analytique…..) Les opérations juridiques :
La préparation et le suivi des contratsLa préparation et le suivi des contrats Les contrats de travailLes contrats de travail
Autres opérations : La gestion du courrierLa gestion du courrier La gestion du système informatiqueLa gestion du système informatique
66
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
L’évaluation du dispositif de contrôle interne
Il est nécessaire d’établir un diagnostic général sur le niveau de risque L’étude doit porter sur :
l’organisation les acteurs les missions, les opérations effectuées les procédures
conceptionconception fonctionnementfonctionnement
le système d’information : – en terme de contrôle des processus (traçabilité), – de remontées d’informations fiables (intégrité, origine de l’information), – d’organisation et de délégation des pouvoirs (contrôle d’accès)
67
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
La mise en œuvre du contrôle : les opérations à effectuer
• Identification des comptes majeures et processus critiques dans le reporting financier
• Identification et évaluation par processus de la criticité des risques (impact, probabilité et déductibilité) en regard des objectifs visés
• Spécification des actions de contrôle et des outils d'évaluation à partir d'une nomenclature standard
• Auto-évaluations du système de contrôle interne par les directeurs concernés
• Recueil de l'avis des auditeurs externes • Définition et suivi des plans d'action• Génération des lettres de certification de comptes pour les signataires
concernés• Consultations multi-critères permettant de générer tout type de
diagrammes et d'annexes en vue de la rédaction du Rapport sur le Contrôle interne prévus par la Loi
68
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Les limites du contrôle interne
Le contrôle interne n’est pas une panacée : il ne permet pas de prétendre avoir éliminé tous les risques afférents à une organisation
C’est un dispositif dynamique, en adéquation avec l’environnement
Ce n’est pas une simple fonction mais une méthode, un état d’esprit visant à améliorer la gestion des activités
Ce n’est pas une inspection générale à caractère répressif Il s’agit d’impliquer chaque acteur, de lui démontrer l’utilité des procédures en
l’intégrant dans le cadre des contrôles
Diplomatie (expliquer pour rassurer)Diplomatie (expliquer pour rassurer) Pédagogie (annoncer les objectifs et méthodes)Pédagogie (annoncer les objectifs et méthodes) Motivation des acteursMotivation des acteurs
69
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Le Contrôle Interne : 5 objectifs
• La protection et la sauvegarde des personnes et du patrimoineprotection et la sauvegarde des personnes et du patrimoine (sécurité des agents, protection juridique des élus, sauvegarde des biens matériels de la collectivité…)
• La qualité de l'informationqualité de l'information (fiabilité et traçabilité des informations reçues et des informations produites, visas et documents)
• L'application des instructions de la directionL'application des instructions de la direction (chaque élément doit faire l'objet de notes écrites, transmises à des destinataires précis et identifiés dont le visa de réception doit être formalisé)
• L'amélioration des performancesL'amélioration des performances (à cet égard sera mis en œuvre un certain nombre d'indicateurs de gestion permettant de s'assurer que les décisions et les procédures mises en œuvre soient respectées et les conséquences transmises au management concerné)
• L'obligation de se conformer aux lois et règlements en vigueurL'obligation de se conformer aux lois et règlements en vigueur (il sera important de mettre en œuvre une veille juridique afin que toute modification significative soit transmise aux acteurs concernés dans les meilleurs délais pour prendre en compte les modifications)
70
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Identifier et cartographier les processus
Ma
na
ge
me
nt
Op
éra
tio
nn
el
Su
pp
ort
Me
sure
XX
XX
typologie
Nom du processus
Etablir le budgetFormermesurer et surveillet le produitConcevoir et développer le produit
Etablir une typologie
71
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Le recensement de 34 processus critiques dans un groupe de la grande distribution
Planning & OrganisationAI1 Define a strategic IT Plan
AI2 Define the Information Architecture
AI3 Determine Technological Direction
AI4 Define the IT Organisation &
Relationships
AI5 Manage the IT investment
AI6 Communicate Management Aims
& Direction
AI7 Manage Human Resources
AI8 Ensure compliance with External
Requirements
AI9 Assess risks
AI10 Manage Projects
AI11 Manage Quality
Planning & OrganisationAI1 Define a strategic IT Plan
AI2 Define the Information Architecture
AI3 Determine Technological Direction
AI4 Define the IT Organisation &
Relationships
AI5 Manage the IT investment
AI6 Communicate Management Aims
& Direction
AI7 Manage Human Resources
AI8 Ensure compliance with External
Requirements
AI9 Assess risks
AI10 Manage Projects
AI11 Manage Quality
Delivery & SupportAI1 Define & Manage Service Levels
AI2 Manage 3rd party services
AI3 Manage Performance & Capacity
AI4 Ensure Continuous Service
AI5 Ensure Systems Security
AI6 Identify & Allocate Costs
AI7 Educate & Train users
AI8 Assist & Advise Customers
AI9 Manage the configuration
AI10 Manage Problems & Incidents
AI11 Manage Data
AI12 Manage Facilities
AI13 Manage Operations
Delivery & SupportAI1 Define & Manage Service Levels
AI2 Manage 3rd party services
AI3 Manage Performance & Capacity
AI4 Ensure Continuous Service
AI5 Ensure Systems Security
AI6 Identify & Allocate Costs
AI7 Educate & Train users
AI8 Assist & Advise Customers
AI9 Manage the configuration
AI10 Manage Problems & Incidents
AI11 Manage Data
AI12 Manage Facilities
AI13 Manage Operations
Acquisition & ImplementationAI1 Identify Automated Solutions
AI2 Acquire & Maintain Application Software
AI3 Acquire & Maintain Techn. Infrastructure
AI4 Develop & Maintain Procedures
AI5 Install & Accredit Systems
AI6 Manage Changes
Acquisition & ImplementationAI1 Identify Automated Solutions
AI2 Acquire & Maintain Application Software
AI3 Acquire & Maintain Techn. Infrastructure
AI4 Develop & Maintain Procedures
AI5 Install & Accredit Systems
AI6 Manage Changes
MonitoringM1 Monitor the Processes
M2 Assess Internal Control Adequacy
M3 Obtain Independent Assurance
M4 Provide for Independent Audit
MonitoringM1 Monitor the Processes
M2 Assess Internal Control Adequacy
M3 Obtain Independent Assurance
M4 Provide for Independent Audit
Par comparaison, IBM en recense 54 : 3000 points de contrôle, dont 312 pour la France, avec une fréquence mensuelle de 60 %
72
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
SOX: Meeting SEC Expectations
• Compliance with COSO control standards (or other accepted standards; IT Governance Institute recently recommended CobiT for general IT controls assessment)
• Clear documentation of internal controls as well as the testing processes
• Evidence that management have evaluated the adequacy of the design and the effectiveness of operation of the procedures and controls
• Evidence that the auditor has adequately evaluated the design and operation of financial controls
• Evidence that the audit committee and/or disclosure committee have taken a keen interesting the effectiveness of controls
73
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Une évolution nécessaire des outils de pilotage pour réduire la prime de risque
74
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
L'audit interne : fonction primordiale dans la maîtrise du contrôle interne
Enquête KPMG sur l’application de L.S.F.• L'audit interne est, pour la grande majorité des présidents (94%), au cœur de
la maîtrise du contrôle interne• Cependant, cette fonction est rarement identifiée comme un outil de pilotage• D'une façon générale, le pilotage du contrôle interne est peu évoqué par les
sociétés de l’échantillon
75
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Les départements internes impactés par SOX
Finance 100%
IT 95.7%
Sales 43.5%
Human Resources 39.1%
Customer Service 30.4%
Marketing 17.4%
Other 8.7%
Source: The Robert Francis Group
76
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
L’interaction entre les risques implique la mise en place d’un système ERM
Business Risk
OperationalRisk
FinancialRisk
IT and business process
outsourcing
Derivatives documentation and counterparty risk
FX risk in a new foreign market
Enterprise-Wide Risks Financial Risks
MarketRisk
LiquidityRisk
CreditRisk
Credit Risk Associated with
Investments
Credit Risk Associated with Borrowers and Counterparties
Funding Liquidity
Asset Liquidity
77
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Quatre facteurs poussent à la mise en place des E.R.M.
Corporate Disasters
• Enron• WorldCom• Adelphia• Mutual Funds
IndustryInitiatives
• Treadway Report, US• Turnbull Report, UK• Dey Report, Canada
Best Practices
• Banks• Asset Managers• Energy Firms• Corporations
RegulatoryActions
• S.E.C.• Sarbanes-Oxley• Basel II• LS.F.• Directive Transparence
EnterpriseRisk
Management
78
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Du risk management à l’ERM
79
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
La mesure de la criticité des processus et de leur suivi induit un pilotage type ABC-ABM
– La méthode ABC implique dans la démarche l’ensemble de l’institution (ABM ou Activity based management ») : cela favorise un management transversal et participatif
– La méthode ABM met à plat les processus et permet de travailler avec les acteurs à leur optimisation, par un raisonnement transversal à l’organisation– Un processus est un ensemble d’opérations ou d’activités
réalisées par des acteurs avec des moyens et selon des références en vue d’une finalité
– Une procédure est un document qui décrit de façon formalisée les tâches à accomplir pour mettre en œuvre le processus
80
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
ABC et ABM
– ABC : la recherche de véritables unités d’œuvre (inducteurs) représentatifs d’une consommation objective
– charges indirectes réparties réduites au minimum,
– comptabilité analytique, coût de revient, recherche des gisements de rentabilité fondés sur le même modèle
– mise en évidence des écarts de coût des produits, clients en fonction de leur complexité, volume, cycle de vie
– ABM : les processus sont hiérarchisés en fonction de leur valeur client
– tableaux de bord incluant des objectifs de performance différents pour chaque processus,
– organisation améliorée en travaillant conjointement sur l‘accroissement de valeur pour les clients et la réduction de coûts
81
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Visualisation ABC-ABM
« COSTING » (ABC)
Les ressources sont mobilisées
puis consommées
donc imputées
Clé de répartition (« resource driver »)
aux
ACTIVITES
qui forment des processus
Imputation (unité d’œuvre)
Que consomment les produits
et les autres aspects de l ’offre de l ’entreprise
MANAGEMENT (ABM)
De quoi dépendent-elles ?
Quels inducteurs d’activité (activity
drivers) ?
Quelles lois de coûts (cost drivers) ?
Quelles performances ?
Quels indicateurs ?
Quels inducteurs de performance (performance
drivers) ?
Qu’attend-on de l’activité ?
Source H. Bouquin Dauphine
82
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Une évolution qui implique de corriger les maux habituels de l’entreprise
• Procédures longues et incertaines• Délais et budgets incontrôlables et dépassés• Négociations qui ne convergent pas• Remise en question des décisions• Désaveu des mandataires• Ajournement des rendez-vous• Absentéisme en réunion• Réunions sans ordre du jour, durée limite ni compte rendu• Pannes sans responsable identifié• Messagerie et courrier infidèles• Documentation non à jour• « Certification qualité » substituant une sécurité illusoire à la vigilance et à
l'esprit de responsabilité • Informatique désordonnée (ressaisies manuelles, ergonomie pénible, référentiels
redondants)
83
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Vers une culture du risque maîtrisé : les 3 ingrédients
84
Co
nce
pti
on
- P
ed@
gogi
a L
. T
OU
RT
IER
200
4 -
Tou
s dr
oits
de
repr
oduc
tion
rése
rvés
Facteurs de motivation des ingénieurs : l’éthique de l’entreprise et sa politique environnementale au 10è rang
Equité
Poste
Management
Rémunération
Eq. de vies
Apprendre
AutonomieEtre
reconnu
Carrière
Avenir Entreprise
Ethique
Politique RH
0%
10%
20%
30%
40%
50%
60%
70%
80%
DRH ANDCP
Ensemble des centraliens
Equipe >250 personnes
% d
e c
ita
tio
ns
(3
pri
nc
ipa
ux
Fa
cte
urs
)
Enquête Mai 2003
Top Related