L’entreprise Marocaine soumise à la loi Sarbanes- Oxley . Proposition d’une démarche pour assister l’entreprise à évaluer son contrôle interne à l’égard de l’information financière conformément à cette loi

Lentreprise Marocaine soumise la loi Sarbanes-Oxley : Proposition dune dmarche pour assister lentreprise valuer son contrle interne
ne lgard de linformation financire conformment cette loi ---------------------------------------------------------------------------------------------------------------------------------------------------------Institut Suprieur de Commerce et dAdministration des Entreprises ----------
Lentreprise Marocaine soumise la loi SarbanesOxley :

Proposition dune dmarche pour assister lentreprise valuer son contrle interne lgard de linformation financire conformment cette loi
MEMOIRE PRESENTE EN VUE DE LOBTENTION DU DIPLOME NATIONAL DEXPERTISE COMPTABLE
Session Novembre 2007
Prsent par Directeur de recherche
: :
TALBI Mohamed As said Abdou Souleye DIOP
Remerciements
Je tiens remercier vivement Monsieur Abdou Souleye DIOP, Directeur de recherche qui a accept de diriger ce travail et pour lequel je demeure reconnaissant pour ses prcieux conseils.
Mes remerciements sadressent galement Monsieur Azeddine BENMOUSSA Matre de stage pour lequel je reste sincre et respectueux.
Mes remerciements sadressent galement Monsieur le Directeur de liscae, le corps enseignant et tout le personnel de linstitut pour les efforts dploys en vue dassurer la continuit et la russite du cycle dexpertise comptable.
Enfin, je tiens remercier mes parents et bien sr mon pouse pour leur soutien moral, ainsi que lensemble des personnes qui ont contribu dans la mesure du possible la ralisation de ce travail.
Lentreprise Marocaine soumise la loi Sarbanes-Oxley : Proposition dune dmarche pour assister lentreprise valuer son contrle interne lgard de linformation financire conformment cette loi --------------------------------------------------------------------------------------------------------------------------------------------------------------------
Note de synthse
La loi Sarbanes Oxley a t ratifie par le congrs des Etats-Unis en juillet 2002. Elle tient son nom des deux membres du congrs Amricain qui en ont t les rdacteurs : le Snateur Paul Sarbanes (Prsident de la commission des affaires bancaires) et le Congresseman Michael Oxley (Prsident de la commission des services financiers). La loi vient rpondre aux scandales financiers ayant branl les marchs financiers amricains suite des manipulations comptables au sein des socits cotes comme Enron, World com, Global Crossing et Imclone. La loi Sarbanes Oxley constituerait le texte lgislatif le plus important en terme de gouvernance dentreprise, de publication financire depuis les textes fondateurs de la Securities and Exchange Commission du dbut des annes 30. La loi est guide par trois grands principes : lexactitude et laccessibilit de linformation, la responsabilit des gestionnaires et lindpendance des organes vrificateurs. Elle a pour objectif daugmenter la responsabilit de la socit, de mieux protger les investisseurs et de leur redonner confiance ainsi quaux pargnants. Sont soumises cette loi les socits cotes aux Etats-Unis et leurs filiales. Ainsi, les socits installes au Maroc qui sont filiales des entreprises cotes aux Etats-Unis sont concernes par la loi Sarbanes-Oxley et doivent se conformer ses exigences. Les principales dispositions de la loi portent sur : la surveillance indpendante de la profession comptable, do la cration du Public Company Oversight Board (Conseil de supervision comptable) ; le renforcement de lindpendance des vrificateurs externes ; la responsabilit accrue du comit daudit et de la direction ; lamlioration de linformation financire.
Si la plupart des dispositions de la loi Sarbanes-Oxley qui concernent lentreprise ne sont pas difficiles appliquer, la partie de la loi relative lamlioration de linformation financire et portant essentiellement sur lvaluation du contrle interne lgard de
linformation financire par la direction (art 404 de la loi) revt un caractre contraignant compte tenu de lampleur des travaux mener, du cot de lopration dvaluation et aussi de manque de procdures spcifiques pour diriger cette valuation. Cest le thme de lamlioration de linformation financire et prcisment lvaluation du contrle interne lgard de linformation financire qui fera lobjet de ce mmoire, les autres thmes de la loi Sarbanes-Oxley seront brivement prsents afin de prciser lenvironnement lgal ayant accompagn les nouvelles exigences vis--vis du contrle interne. En effet, il est entendu par le contrle interne lgard de linformation financire1, le processus conu par le CEO (Directeur Gnral) et le CFO (Directeur financier) ou sous leur supervision, et mis en oeuvre par le conseil dadministration, la direction et dautres employs de lentit, pour fournir une assurance raisonnable que linformation financire est fiable et que les tats financiers ont t tablis, aux fins de la publication de linformation financire, conformment aux principes comptables gnralement reconnus. Ce terme sentend des politiques et procdures qui : concernent la tenue des comptes suffisamment dtaills qui donnent une image fidle des oprations et des cessions dactifs de lentit ; fournissent une assurance raisonnable que les oprations sont enregistres comme il se doit pour tablir les tats financiers conformment aux principes comptables gnralement reconnus et que les encaissements et dcaissements de lentit ne sont faits quavec lautorisation de la direction et du conseil dadministration ; fournissent une assurance raisonnable que toute acquisition, utilisation ou cession non autorise des actifs de lentit qui pourrait avoir une incidence importante sur les tats financiers est soit interdite, soit dtecte temps. Par rapport lvaluation du contrle interne lgard de linformation financire, la loi prvoit que chaque anne les dirigeants de lentreprise doivent mettre un rapport sur le contrle interne qui :
Daprs l Auditing Standard N2 An Audit of internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements du Public Company Accounting Oversight Board
confirme la responsabilit de la direction en ce qui concerne ltablissement et le maintien de contrle interne adquat et de procdures pour la communication financire ; contienne une valuation de lefficacit de la structure de contrle interne lgard de linformation financire et des procdures de communication financire la date de clture des comptes. Outre les dirigeants, le commissaire aux comptes doit galement produire un rapport sur le contrle interne lgard de linformation financire de lentreprise. Ce dernier dispose dune norme daudit spcialement labore par le PCAOB pour lui permettre la mise en uvre de sa mission. Toutefois, il nexiste pas une norme qui dfinit lapproche adopter par le management pour effectuer cette valuation. Aussi, il est difficile pour les entreprises de dgager les ressources internes ncessaires et capables de mener un projet dune telle envergure autour du contrle interne. Lexpert comptable conseil peut jouer un rle dterminant dans ce processus pour guider le management la mise en place et lvaluation du contrle interne lgard de linformation financire. A travers ce travail, nous nous placerons du ct de lexpert comptable-conseil qui propose une dmarche de travail pratique (issue dune exprience de terrain) pour assister les dirigeants de lentreprise effectuer lvaluation du contrle interne lgard de linformation financire en conformit avec la loi Sarbanes-Oxley (art 404 de la loi) et assister aussi les dirigeants amliorer ce dispositif de contrle interne. Notre dmarche dvaluation du contrle interne lgard de linformation financire comprend les grandes tapes suivantes : 1) Initiation du projet : prise de connaissance de lentreprise et de son environnement de contrle, constitution de lquipe projet, tablissement dun planning ; 2) Dfinition du primtre des travaux (choix des cycles et processus significatifs) ;
3) Production documentaire (analyse des risques et dfinition des activits de contrle) ; 4) Evaluation de la maturit des contrles ; 5) Ralisation des tests sur les contrles cls ; 6) Qualification des dficiences de contrle et communication des rsultats. 1- Initiation du projet Lexpert comptable conseil doit au dbut sinitier au projet travers la prise de connaissance de lentreprise et de son environnement de contrle, la participation la constitution de lquipe projet et ltablissement dun planning de ralisation du projet. Cette phase dinitiation est la premire phase de la mission daccompagnement de lexpert comptable conseil la direction de lentreprise pour lvaluation du contrle interne lgard de linformation financire, sa bonne gestion est primordiale pour la russite de tout le processus. 2- Dfinition du primtre des travaux Lexpert comptable conseil doit ensuite participer avec la direction de lentreprise et le commissaire aux comptes la dtermination du primtre des travaux. Cet exercice particulirement structurant et complexe dbute par le choix des cycles et processus significatifs. Lorsque la taille du groupe est importante et au cas o il existe des filiales significatives, il ya lieu de slectionner les entits intgrer dans le primtre dvaluation. Lobjectif in fine est de ressortir les contrles cls par processus et ventuellement par sous-processus et tester leur application. 3- Production documentaire Sur la base des cycles et processus significatifs dtermins, il sera procd lanalyse des risques (identification et hirarchisation des risques), la dtermination des activits de contrle et la mise jour et/ou la rdaction des procdures dans lesquelles seront consigns les points de contrle. Cette tape que nous appelons phase de documentation requiert la participation de plusieurs intervenants (Expert comptable conseil, audit interne, entits oprationnelles). Lanalyse des risques est mener par lexpert comptable conseil avec la collaboration de laudit interne de la socit qui dispose gnralement dune bonne connaissance des risques spcifiques lentreprise. La dtermination des activits de contrle et la rdaction des procdures sont menes essentiellement par les entits 6
oprationnelles qui ont normalement une connaissance suffisante des activits de contrle existantes et ralisables. 4- Evaluation de la maturit des contrles Lvaluation de la maturit des contrles est une tape conscutive ltape de documentation des contrles ; elle est mene par laudit interne de lentreprise. Lobjectif travers cette tape est de sassurer que tous les contrles cls identifis sont dun niveau de maturit standardis avant de procder la phase de test. 5- Ralisation des tests sur les contrles cls La phase de test est la dernire phase avant dmettre une conclusion sur le contrle interne lgard de linformation financire. Les tests sont raliss par les quipes oprationnelles et revus par laudit interne. Le rle de lexpert comptable conseil est important dans cette phase et ce travers la planification et llaboration des procdures de tests, la dtermination de la taille des chantillons et la consolidation et lanalyse des rsultats. 6- Qualification des dficiences de contrle et communication des rsultats Pour conclure, le management doit avec lassistance de lexpert comptable conseil qualifier la gravit des dficiences identifies. La qualification des dficiences est un exercice complexe qui sappuie notamment sur la probabilit et la matrialit des erreurs qui seraient potentiellement induites par ces dficiences de contrle interne. Les dficiences de contrle sont segmentes en trois niveaux, dficiences, dficiences significatives et faiblesses majeures ; en effet ce ne sont que les faiblesses majeures qui sont signales dans le rapport dvaluation, les dficiences significatives sont communiques au comit daudit. Ce processus dvaluation du contrle interne lgard de linformation financire par le management de lentreprise en loccurrence le CEO (Directeur Gnral) et le CFO (Directeur Financier) implique plusieurs intervenants (les entits oprationnelles, laudit interne, les commissaires aux comptes). Lexpert comptable conseil a un rle oprationnel dans ce processus et aussi un rle de coordinateur entre les diffrents intervenants. Compte tenu de la complexit du processus dvaluation et du haut degr de comptence que requiert la ralisation de cette mission, lexpert-comptable est le professionnel dsign 7
pour accomplir cette mission selon des standards levs de qualit. Des missions de ce type sont susceptibles de se prsenter davantage la profession et ce, pour plusieurs raisons : il est difficile pour les entreprises de dgager les ressources internes ncessaires pour constituer un projet autour du contrle interne. La plupart se font aider par un cabinet extrieur, tant par manque d'expertise que pour faire face l'ampleur des travaux mener, qu'ils dcouvrent au fil du projet ; il existe actuellement au Maroc plusieurs filiales de multinationales qui doivent se conformer la loi Sarbanes-Oxley, telles que, Mditlcom (Groupe Telephonica), Rgie des Tabacs (groupe Altadis), Lydec (groupe Suez) la politique de privatisation et louverture de capital des entreprises nationales sont susceptibles dattirer dautres multinationales qui seraient concernes par cette loi.
Liste des abrviations utilises
AMF CAC COSO CEO CFO CIIF Loi SOX LSF PCAOB Scoping SEC SI
Autorit des marchs financiers Commissaires aux comptes Committee Of Sponsoring Organisation of the Treadway Commission Chief Executive Officer (Directeur Gnral) Chief Financial Officer (Directeur Financier) Contrle Interne lgard de lInformation Financire Sarbanes-Oxley Act of 2002 Loi sur la scurit Financire Public Company Accounting Oversight Board Dsigne le choix des cycles et processus significatifs Securities and Exchange commission Systme dinformation
SOMMAIRE
Introduction 12
Partie 1 : Contexte gnral et tendue de la mission dvaluation du contrle interne lgard de linformation financire
Chapitre I : Contexte Gnral 1 Lentreprise marocaine et la loi SOX 2 La loi SOX, causes et effets Chapitre II : Le contrle interne et la loi SOX 1 Le contrle interne au sens large et le contrle interne lgard de linformation financire 2 Lvaluation du contrle interne lgard de linformation financire 3 Le cadre dvaluation recommand par la SEC : le COSO
15
16 16 19 40 40 44 49
Partie 2 : Conduite de la mission dvaluation du contrle interne lgard de linformation financire

Chapitre 1 : Comparaison entre les travaux du Commissaire aux comptes sur le contrle interne dans le cadre dune mission daudit et les nouvelles exigences de la loi SOX 1 Les travaux du Commissaire aux comptes sur le contrle interne dans le cadre dune mission daudit 2 Lvaluation du contrle interne dans le cadre de larticle 404 de la loi SOX Chapitre 2 : Initiation du projet 1 Prise de connaissance de lentreprise et de son contrle interne 2 Organisation du projet 3 Planning prvisionnel du projet
58
61
61 62
64 64 70 74
10
Chapitre 3 : Dfinition du primtre 1 Choix des cycles 2 Dcoupage du cycle en Processus Chapitre 4 : Documentation 1 Analyse des risques 2 Activits de contrle 3 Mise jour des procdures Chapitre 5 : Evaluation de la maturit des contrles et plans dactions 1 Evaluation de la maturit des contrles 2 Plans daction Chapitre 6 : Phase de tests 1 Planification des tests 2 Ralisation des tests 3 Analyse et validation des rsultats 4 Actions correctives Chapitre 7 : Qualification des dficiences et communication des rsultats 1 Conclure sur le contrle interne les concepts et leur mise en pratique 2 Communication des rsultats sur lvaluation du contrle interne
77 77 82 84 84 89 95 103 103 105 107 108 111 112 113 115 115 120
Conclusion
124
Annexes
126
11
Introduction
La loi Sarbanes-Oxley est considre aujourdhui comme le texte lgislatif le plus important en terme de gouvernance dentreprise, de publication financire depuis les textes fondateurs de la Securities and Exchange Commission (SEC). Larticle 404 de cette loi revt en particulier une grande importance et a soulev plusieurs controverses en raison dune part de son aspect coteux mais aussi vu quil responsabilise formellement les dirigeants de lentreprise en loccurrence le CEO (Directeur Gnral) et le CFO (Directeur Financier) sur le contrle interne et les oblige de lapprcier annuellement. Larticle 404 de la loi stipule que les socits devront produire un rapport de la direction sur le contrle interne, lequel rapport : confirme que la direction est responsable de la mise en place et de la gestion dune structure de contrle interne adquate et de procdures pour la communication financire ; contienne une valuation de lefficacit de la structure de contrle interne et des procdures de communication financire, la date de clture des comptes. Aprs ladoption de la loi, la SEC a publi une rgle dapplication de larticle 404 qui stipule que : Le contrle interne lgard de linformation financire ne peut tre considr comme effectif lorsquil comprend une ou plusieurs faiblesses majeures ; Le rapport annuel devra prciser la structure adopte par la direction pour valuer leffectivit des procdures de contrle interne. La SEC exige que les socits cotes utilisent une structure de contrle interne approprie et recommande lutilisation de la structure de contrle interne qui a t dfinie par le COSO2 ;
COSO (Committee of Sponsoring Organizations of the Treadway Commission) est une organisation prive sponsorise notamment par lAICPA (American Institute of Certified Public Accountants) et qui met des recommandations en matire dinformation financire.
12
Une attestation sur lvaluation faite par la direction devra tre obtenue des auditeurs de la socit. Les standards suivre pour tablir lattestation relvent du PCAOB3
La direction devra galement rendre compte, sur une base trimestrielle, de toute faiblesse significative du contrle interne.
Aprs la publication de la rgle de la SEC, une norme sur laudit du contrle interne lgard de linformation financire a t publie par le PCAOB destine aux auditeurs de socits cotes intitule Auditing Standard N2 An Audit of Internal Control Over Financial Reporting Performed in Conjunction with an Audit of Financial Statements . Hormis la rgle de la SEC et la norme du PCAOB, aucun texte spcifique na t crit afin de guider les socits dans lorganisation et la ralisation des travaux ncessaires une valuation structure de lefficacit de leur contrle interne lgard de linformation. Lobjectif de ce mmoire est donc de proposer une dmarche de travail pour assister la direction de lentreprise : effectuer une valuation du contrle interne lgard de linformation financire conformment la loi Sarbanes-Oxley ; amliorer le dispositif de contrle interne en rapport avec linformation financire. Ainsi dans une premire partie, nous prsenterons la loi SOX dans sa globalit (raisons de lapplication de la loi et ses principales dispositions) ainsi que la dimension contrle interne dans la loi. Cette prsentation comprendra galement une explication du lien entre la loi SOX et la socit de droit marocain ainsi que lapport de cette loi par rapport aux textes marocains en matire dinformation financire. Dans une seconde partie, nous prsenterons une proposition dapproche accompagne dun schma pour lvaluation du contrle interne lgard de linformation financire par le management de lentreprise. Cette rflexion sera taye par des exemples pratiques. Nous traiterons successivement de linitiation du projet, de la dfinition du primtre de
3
Auditing Standard N2 An Audit of internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements du Public Company Accounting Oversight Board.
13
lvaluation, de la production documentaire (analyse des risques, documentation des contrles), de lvaluation de la maturit des contrles et de la ralisation des tests sur les contrles et prparation des plans de correction. Nous prsenterons galement une comparaison entre lapproche adopte par les auditeurs externes pour lvaluation du contrle interne dans un objectif dmettre une opinion sur les comptes et lapproche propose dans le cadre dune valuation du contrle interne lgard de linformation financire. Dans le dernier chapitre de cette seconde partie, nous prsenterons les concepts lis la qualification des dficiences de contrle interne et nous proposerons des outils danalyse des dficiences de contrle interne et les travaux mettre en oeuvre pour pouvoir conclure sur le contrle interne lgard de linformation financire. Il sera prcis aussi les modalits de communication des rsultats de lvaluation (contenu et forme du rapport, les destinataires du rapport). En annexe, nous prsenterons des guides et des programmes de travail spcifiques qui sont des supports lexcution dune mission dvaluation du contrle interne lgard de linformation financire.
14
Partie 1 : Contexte gnral et tendue de la mission dvaluation du contrle interne lgard de linformation financire
Le contrle interne nest pas un concept nouveau ; il est en pleine volution et son champ dapplication sest nettement largi au fil des annes. Cela sexplique par la promulgation de ces nouvelles lois sur la scurit financire linstar de la loi SOX qui tentent dapporter une rponse la crise de confiance des investisseurs et des actionnaires dans la qualit de linformation financire. Les objectifs que cette nouvelle loi cherche atteindre donnent une dimension nouvelle au contrle interne. En effet, le contrle interne acquiert une dimension lgale avec la loi SOX. La premire partie de ce mmoire sera consacre la prsentation de la loi SOX dans sa globalit et la prsentation de la dimension du contrle interne dans la loi. Nous aborderons successivement : le champ dapplication de la loi SOX en spcifiant comment une entreprise de droit marocain peut tre soumise aux obligations de cette loi ; une prsentation de la loi SOX en mettant en vidence les raisons de lapplication de cette loi, ses principales dispositions, notamment celles relatives linformation financire ainsi que lapport de cette loi par rapport aux textes marocains en matire dinformation financire ; Un aperu sur le contrle interne, son cadre dvaluation conformment la loi SOX et la porte de cette valuation.
15
Chapitre I :
1
Contexte Gnral
Lentreprise marocaine et la loi SOX
Le 6 juin 2003, la SEC, en sa qualit de normalisateur, a adopt les rgles dapplication de la section 404 de la SOX. Ces rgles requirent que toute socit dposant des tats financiers auprs de la SEC, autres que les fonds dinvestissement, incluent dans leurs comptes annuels un rapport du management de la socit sur le contrle interne lgard de linformation financire, accompagn dun rapport dopinion de lauditeur externe sur cette valuation. Les socits concernes sont 4 types : 1. socits amricaines immatricules aux Etats-Unis (domestic US registrants) 2. socits trangres immatricules aux Etats-Unis (foreign private issuers (FPI) ou foreign registrants) et leurs filiales (si et seulement sil ya un impact sur les tats financiers consolids) 3. filiales des socits amricaines (si et seulement sil ya un impact sur les tats financiers consolids) 4. ventuellement, socits prvoyant dtre enregistres lavenir Toutefois, les dates dentres en vigueur de cette disposition de la loi diffrent : les socits amricaines avec un flottant suprieur USD 75 millions sont tenues de se conformer la loi partir de tout exercice clos au 15 juin 2004 ou aprs, les socits trangres immatricules aux Etats-Unis et autres socits amricaines sont tenues de se conformer la loi partir de tout exercice clos le 15 avril 2005 ou aprs. Cette date a t reporte par la SEC jusquaux exercices se terminant le 15 juillet 2006 ou aprs cette date. La porte de la loi SOX stend au-del des frontires des Etats-Unis et ses dispositions tmoignent de la volont du lgislateur de ne pas laisser ces frontires affecter la confiance de linvestisseur dans le march boursier. Cette vocation extraterritoriale de la loi SOX implique dans son sillage mme des socits marocaines, savoir les filiales installes au Maroc des socits amricaines et les filiales installes au Maroc des socits trangres immatricules aux Etats-Unis. 16
1.1
Entreprise Marocaine filiale dune socit amricaine cote aux Etats-Unis
Il sagit du troisime type de socits entrant dans le champ dapplication de la SOX savoir les filiales des socits amricaines (si et seulement sil ya un impact sur les tats financiers consolids). Il est entendu par filiale toute socit dont plus de 50% du capital appartient une autre socit dite socit mre . Plusieurs filiales des socits amricaines cotes aux Etats-Unis sont installes au Maroc et sont tenus donc de se conformer la loi SOX. Nous citons titre dexemple les socits, Coca Cola Export Corporation, Colgate Palmolive, Goodyear Maroc, Microsoft Afrique du Nord et de lOuest, Pfizer Laboratories, Procter & Gamble (Industries Marocaines Modernes), Citigroup, etc 1.2 Socit Marocaine cote aux Etats-Unis
Il sagit du deuxime type de socits entrant dans le champ dapplication de la SOX savoir les socits trangres immatricules aux Etats-Unis (foreign private issuers (FPI) ou foreign registrants). Dans ltat actuel des choses, il nexiste pas dentreprises marocaines cotes aux EtatsUnis, il nen demeure pas moins quil existe des entreprises marocaines filiales de socits trangres cotes aux Etats-Unis. Ces entreprises Marocaines sont tenues de se conformer la loi SOX si elles impactent les tats financiers de la socit mre. Des socits marocaines filiales de socits trangres cotes aux Etats-Unis qui sont concernes par la loi SOX, nous citons titre dexemple, Redal et Amendis (Groupe Veolia-Environnement), Mditel (Groupe Tlfonica), Maroc Tlcom (Groupe Vivendi Universal), LAFARGE, Sanofi-Aventis, etc Par ailleurs, cet aspect dextraterritorialit de la loi au mme titre quil implique les socits implique les cabinets daudit au Maroc. En effet, concernant la notion dincompatibilit largement voque dans la loi SOX, lOrdre des Experts Comptables du 17
Maroc est trs sensible et conscient de cette situation a tabli et mis en place une norme spcifique aux incompatibilits et indpendances du professionnel ; ce qui le met en harmonie avec les dispositions de la loi SOX en matire dincompatibilit. Toutefois, le flou persiste quand se pose la question de savoir dans quelle mesure la SEC peut obliger un cabinet daudit au Maroc lui remettre des documents de travail ou faire une dposition en qualit de tmoin lorsque leurs investigations sont en cours ; ce qui constitue une relle violation du principe de souverainet et de secret professionnel. Les consultations juridiques menes par les cabinets daudit au Maroc ont donn lieu un verdict nuancer. Les cabinets peuvent collaborer, mais sans pour autant saventurer divulguer des informations secrtes au sujet des comptes de leurs clients. La nuance concerne galement le tmoignage en justice. Les auditeurs des filiales marocaines ne rpondent favorablement une citation comparatre que si le juge marocain lautorise. Pour le reste, la demande des autorits amricaines ne devrait pas constituer en principe une gne pour les auditeurs marocains.
18
La loi SOX, causes et effets
La loi SOX a t vote par le congrs des Etats-Unis et ratifie par le Prsident Bush le 30 juillet 2002 suite aux scandales financiers ayant secou les Etats-Unis en 2001 et 2002. En effet, leuphorie des marchs financiers a impliqu une forte exigence de la part des investisseurs en terme de rentabilit et engag les entreprises dans des stratgies de croissance dmesures. Pour pouvoir rpondre aux exigences des diffrentes parties prenantes les dirigeants des entreprises nont pas hsit user de pratiques comptables totalement frauduleuses. Cest le cas de plusieurs socits avec Enron en tte, World com, Parmalat, etc La loi est venue rpondre la crise de confiance en la fiabilit des informations communiques par les entreprises et redonner confiance aux investisseurs et aux petits pargnants. Elle est guide par trois grands principes : l'exactitude et l'accessibilit de l'information, la responsabilit des gestionnaires et l'indpendance des vrificateurs. 2.1 Laffaire Enron
Cette entreprise cre en 1980 a connu un parcours assez impressionnant, elle a commenc ses activits comme distributeur local de gaz dans la rgion dHouston, elle a par la suite chang de dimension pour devenir un acteur majeur au niveau des Etats-Unis de lnergie. A la fin 2001, ses activits couvraient la production et lacheminement de combustible et de llectricit, des activits de ngoce de matires premires, la couverture des risques de crdit ou mtorologiques, la vente de bande passante (capacit de transmission dinformations sur le rseau de tlcommunication), etc. Enron tait devenue un exemple de succs. Cest ainsi que son cours en bourse a t multipli par quatre entre 1997 et 2000. Plusieurs magazines spcialiss en management faisaient son loge ainsi que celui de ses dirigeants. Le 16 octobre 2001 commena la chute dEnron qui tait aussi spectaculaire que son ascension. A cette date, on annona une perte de 618 millions de dollars pour le troisime trimestre 2001 aprs la constatation dune charge exceptionnelle dun milliard de dollars lie des transactions complexes avec des socits inconnues bases dans des paradis 19
fiscaux. Les marchs sont pris au dpourvu, le doute sest empar des acteurs boursiers entranant la chute du cours de 40% en cinq jours seulement. Le 22 octobre, la SEC annonce louverture dune enqute sur les comptes de la socit. Le 8 novembre, Enron annonce que ses rsultats doivent tre corrigs rtroactivement sur les exercices 1997 2000, pour un total de 569 millions de dollars tandis que sa dette doit tre augmente de 628 millions de dollars. Ces dclarations ont conduit une chute du cours dEnron de 75% en trois semaines. Le 2 dcembre, Enron est contrainte de se dclarer insolvable en se plaant sous la protection du chapitre 11 de la loi amricaine sur les faillites. En rsultat, cest presque 98% de sa valeur boursire, soit prs de 25 milliards de dollars qui ont disparu en un mois et demi. Ce qui est saisissant dans cette affaire, cest la multitude dactions dlibres qui se sont enchanes pendant plusieurs annes pour gonfler artificiellement les profits, masquer les pertes, manipuler les actifs et les engagements, organiser lvasion fiscale, inventer le chiffre daffaires, tromper les auditeurs, analystes et agences de rating, tout cela dans lobjectif denrichir le management, maintenir laugmentation rapide et rgulire de son rsultat et finalement trahir la confiance des employs et des investisseurs. Pour atteindre cet objectif le management a recouru trois types dactions : 1. camoufler les investissements dficitaires ou peu rentables en les sortant du bilan, 2. dgager des profits comptables par la manipulation dactifs, 3. constater du chiffre daffaires fictif. 1. Le camouflage dinvestissements dficitaires ou peu rentables met en oeuvre deux dispositifs qui permettent de sortir ces actifs du bilan sans les consolider : - Il repose sur la cration de structures financires appeles special purpose entities (SPE) qui prsentent deux particularits : elles ne sont pas consolides condition que la maison mre (ENRON) nen dtienne que 50%, les rgulateurs (en loccurrence lorgane comptable, le Financial Accounting Standard Board) nont pas formellement dfini le capital minimal acceptable pour de telles structures, implicitement fix par la SEC 3% du bilan. 20
- Il recourt par ailleurs des engagements hors bilan donns par la maison mre ces structures pour faciliter leur financement ; pour attirer les investisseurs, ces entits se sont vues attribuer une sorte de garantie dactifs sous forme doption dachat sur les titres ENRON. ENRON a ainsi pu sortir de son bilan des investissements lourds et peu rentables comme titre dexemple la centrale de Dhabol aux Indes ou linvestissement dans le traitement des eaux en Angleterre travers: 1. la cration dune SPE par apport de capitaux (3% du bilan), 50% par ENRON, 50% par un investisseur li (en loccurrence le Directeur Financier). 2. Appel au march pour le financement et garantie dactifs par ENRON. 3. Apport des actifs dENRON la SPE. 4. Dnouement : en cas de moins-value sur les actifs, ENRON apporte sa garantie soit sous forme de cession dactions, soit directement en cash : cest ce qui a prcipit la perte dENRON lautomne. Une remarque de porte gnrale simpose ici. Les socits disposent ainsi aux Etats-Unis dun outil dune grande flexibilit pour amnager leur bilan : condition quelles ne dtiennent pas plus de 50% de tels special purpose entities et que le capital de ces dernires soit gal 3% de leur bilan, elles ne seront pas consolides. Il ny a rien de surprenant ce que lutilisation de ces techniques financires soit trs rpandue. Ce qui est distinctif dans le cas dENRON, cest lopacit avec laquelle ont t traits les garanties hors bilan ce sera un volet pnal de laffaire et lampleur des camouflages qui ont t oprs il sagissait tout de mme de transformer des investissements lourds et dficitaires en vedettes de la cote ! Lanne 2000, ENRON a mentionn lexistence de transactions avec de telles structures pour 2,1 milliards, les gains affichs lis ces transactions se montant 500 millions. Selon estimation actuelle, lengagement dENRON au titre des garanties donnes ces diffrentes SPEs portait sur 55 millions de titres un cours moyen de 67.9$, soit un total de 3,7 milliards de dollars.
21
2. la ralisation de profits comptables lis la rvaluation artificielle de certains actifs : En effet, ENRON manipulait aussi les prix de transfert de ses actifs vers les SPE, donnant ainsi une image dforme des transactions correspondantes. Il arrivait quENRON cde une SPE non consolide, peu avant la date de clture des comptes, des actifs jugs indsirables dans le bilan de fin danne, pour les racheter quelques mois aprs un prix diffrent. Le prix de cession pouvait tre fix de manire arbitraire, soit parce que ENRON conservait le contrle effectif de lentit et pouvait lui imposer une dcision conomiquement non rationnelle, soit parce que la transaction comprenait des engagements annexes non inscrits son bilan, ou bien aussi une combinaison des deux facteurs. Citons le cas du dark fiber, une activit dans laquelle stait activement engage ENRON. Seule une faible partie de cet immense rseau de fibres optiques tait allume (i.e. utilise pour le transport de donnes Internet), le reste, en surcapacit, tait teint . Les droits associs lusage de ces actifs lavenir incertain taient de toute vidence difficiles valuer. La manipulation financire et comptable a fait appel une autre SPE qui a achet 100 millions ces droits, valus dans les livres dENRON 33 ; do le profit de 67 millions. Naturellement, la SPE ntait, pas bien videmment en mesure dattirer des investisseurs quen sappuyant sur les garanties apportes par ENRON. Au moment o la valeur des fibres optiques chutait, ENRON non seulement vitait de reconnatre ces pertes, puisquelles taient localises dans ses SPE non consolides, mais tait mme en mesure den tirer un profit. En effet, lvaluation des actifs dark fiber tait pleine dincertitudes ; or, lexistence dune transaction de march est le meilleur moyen de rvler le bon prix ; en lespce, le prix pay par la SPE a servi de rvlateur et lensemble de lactif dark fiber dtenu en propre par ENRON a t rvalu.
22
3. Constatation du chiffre daffaires fictif : ENRON stait fortement engage dans les activits de trading (commodities et produits financiers). Ainsi son chiffre daffaires avait plus que doubl en 2000 pour dpasser 100 milliards de dollars. La duperie par laquelle ENRON tait devenue la 7me compagnie mondiale, repose sur la convention consistant intgrer comme revenu le montant total des transactions effectues sur ENRON. En effet, lactivit de ngoce consiste mettre en relation des acheteurs et des vendeurs pour des relations dchanges portant sur de grandes quantits de biens. Dans certaines transactions, le ngociant ne porte que sur un temps trs court le risque de contrepartie (risque que le vendeur ne livre pas ou que lacheteur ne paie pas), et nest pas amen stocker les biens qui font lobjet de lchange. Pour cette raison, beaucoup dactivits de ngoce sont soumises des rgles de comptabilisation qui interdisent au ngociant denregistrer comme son propre chiffre daffaires le montant des biens changs. Seule, la marge ralise, entre le prix dachat et le prix de vente, correspond une vraie prise de risque conomique et entre comme chiffre daffaires dans le compte de rsultat du ngociant. ENRON a dtourn ces rgles pour ses activits de ngoce dlectricit qui constituaient 90% de son chiffre daffaires pour lexercice 2000. Aussi, ENRON a galement manipul la comptabilisation de contrats long terme de fourniture dnergie. Les principes comptables amricain stipule que ces contrats doivent tre inscrits au bilan leur juste valeur. Cette dernire devant tre dtermine par lobservation des prix du march et pour le cas des contrats long terme, pour lesquels il ny a pas de march de rfrence suffisamment liquide, la juste valeur rsulte de lactualisation des flux futurs dgags par ces contrats. ENRON sest base sur des hypothses trs optimistes pour calculer la valeur de ses contrats long terme qui se sont rvles par la suite loin de la ralit. La particularit de laffaire Enron ne rside pas seulement dans les sommes colossales mises en jeu et les multiples techniques utilises pour profiter des failles rglementaires et lexploitation des options comptables. Cette particularit est davantage due au fait que cest une affaire qui a montr toutes les insuffisances de lensemble du systme financier. Lensemble des composantes de ce systme a montr leur incapacit anticiper ce 23
scandale : A ct des auditeurs externes, tous les gardiens ont t dfaillants : en premier lieu le Board en interne, et en particulier le comit daudit, la SEC en externe, les analystes qui ont recommand le titre, la profession comptable acceptant par son inaction les maquillages les plus grossiers les banques daffaires qui ont construit pice par pice ldifice des special purpose entities . La loi SOX travers ses dispositions relatives aussi bien aux aspects comptables quaux aspects de contrle interne est donc venue rpondre linertie de tous ses intervenants en les impliquant tous pour veiller la scurit de linformation financire et partant pour protger les investisseurs et les pargnants.
2.2 Principales dispositions de la loi SOX

En rponse aux scandales financiers qui ont branl la confiance des investisseurs et srieusement terni le blason du capitalisme amricain au cours de l't 2002, la loi SOX a t adopte le 30 juillet 2002 en un temps record par un Congrs plac sous la pression de l'opinion publique et des milieux financiers. Aux termes du texte de loi, la SEC tait ainsi tenue d'adopter et de publier les rgles finales d'application de la loi SOX, pour la majorit d'entre elles, au plus tard le 30 janvier 2003. Cinq grands chantiers ont t ouverts par la loi SOX : 1. la rglementation et la surveillance de la profession de commissaire aux comptes o il sera galement question des dbuts et des premires propositions du Public Company Accounting Oversight Board ; 2. l'accroissement de l'indpendance des commissaires aux comptes ; 3. l'amlioration des pratiques de corporate governance ; 4. lamlioration de linformation financire ; 5. le renforcement de lexcution des rgles boursires et des sanctions.
24
Ces cinq chantiers comprennent les principales dispositions de la loi SOX. 1. Rglementation et surveillance de la profession de commissaire aux comptes : La loi SOX a mis fin la tradition d'autorgulation qui prvalait dans la profession amricaine de commissaire aux comptes en crant un nouvel organisme de rglementation et de surveillance, le Public Company Accounting Oversight Board ( PCAOB ), qui a pour rle de contrler l'audit des socits cotes aux Etats-Unis, sous le contrle de la SEC. Les pouvoirs confrs au PCAOB par le Titre I de la Loi sont tendus et comprennent : l'enregistrement de l'ensemble des firmes d'audit prparant ou mettant des rapports d'audit sur des socits cotes aux Etats-Unis, l'tablissement de standards en matire d'audit, de contrle qualit, d'thique ou d'indpendance, l'inspection des firmes d'audit enregistres, la conduite d'enqutes et l'adoption de procdures disciplinaires et de sanctions l'encontre des firmes d'audit enregistres. En plus de la loi SOX, dautres rgles dapplication ont t adopts par la SEC et par le PCAOB lui-mme pour permettre un fonctionnement limpide de cet organisme. a mise en activit du PCAOB Aux termes de la Loi, la SEC est charge de nommer les membres ainsi que le prsident du PCAOB. Ce dernier est compos de 5 membres (dont 2 experts comptables au plus). b - enregistrement des firmes d'audit auprs du PCAOB Aux termes de la Section 102 de la Loi, toutes les firmes d'audit auditant les comptes de socits cotes aux Etats-Unis devront tre enregistres auprs du PCAOB dans les 180 jours suivant la confirmation par la SEC du caractre oprationnel du PCAOB, soit au plus tard le 24 octobre 2003.
25
Le 7 mars 2003, le PCAOB a publi, pour commentaires, une proposition relative au systme d'enregistrement des firmes d'audit. Le systme d'enregistrement propos prvoit que : la dfinition des firmes d'audit soumises l'obligation d'enregistrement ne couvre pas les personnes physiques associes au sein des firmes d'audit, la demande d'enregistrement se fera par le biais d'un formulaire (fourni par le PCAOB) et devra tre transmise au PCAOB par Internet, les demandes d'enregistrement seront accessibles au public ( l'exception des informations personnelles ou prives dont les firmes d'audit pourront demander qu'elles soient traites de manire confidentielle par le PCAOB), les demandes d'enregistrement seront traites dans un dlai de 45 jours maximum compter de leur rception par le PCAOB, le montant de la redevance d'enregistrement variera selon la taille de la firme d'audit candidate l'enregistrement. Le PCAOB confirme que la proposition est applicable aux firmes d'audit trangres ds lors que celles-ci sont impliques de manire significative dans laudit ou la revue des comptes de socits cotes aux Etats-Unis. c - financement du PCAOB par les firmes d'audit et les socits cotes Le budget du PCAOB pour sa premire anne d'exercice 2003 a t estim $36,6 million. Pour les annes suivantes, le budget annuel est estim $50 million. Le PCAOB prvoit qu' la fin de 2003, il emploiera entre 200 et 300 employs. La Loi prvoit que le financement du PCAOB proviendra de deux sources. Aux termes de la Section 102(f) de la Loi, d'une part, chacune des firmes d'audit concernes sera redevable d'une redevance d'enregistrement ainsi que d'une redevance annuelle de fonctionnement, ces deux redevances devant tre de montants suffisants pour couvrir les cots de traitement et de revue des demandes d'enregistrement et des rapports annuels dposs auprs du PCAOB. Aux termes de la Section 109 de la Loi, d'autre part, les socits cotes aux Etats-Unis seront galement redevables d'une redevance annuelle dite annual accounting support fee qui variera selon la capitalisation boursire de chaque socit mettrice.
26
Le 14 mars 2003, le PCAOB a publi une proposition relative la fixation de l'annual accounting support fee payable par les socits cotes. La proposition distingue 4 catgories de socits cotes pour les besoins du calcul de la contribution individuelle la redevance. Seules les deux premires catgories de socits cotes sont redevables de la redevance. Il sagit : des socits cotes dont la capitalisation boursire mensuelle moyenne est suprieure $25 millions sur l'anne calendaire prcdente, des socits d'investissement ou socits cotes dont la capitalisation boursire mensuelle moyenne ou la valeur d'actif nette est suprieure $250 million sur l'anne prcdente). 2. Accroissement de l'indpendance des commissaires aux comptes Conformment la Section 208(a) de la loi SOX, la SEC a adopt la rgle finale d'application intitule Strengthening the Commission's Requirements Regarding Auditor Independence en date du 28 janvier 2003 qui prcise notamment les points suivants : Interdiction pour les firmes d'audit de fournir leurs clients la fois des services daudit et des services autres que des services d'audit (Section 206 de la Loi) : la SEC clarifie le champ d'application des 9 catgories de services autres que les services d'audit qui sont interdits (comptabilit, mise en place et mise en oeuvre des systmes d'information, valuation (en matire dapports en nature par exemple), actuariat, ressources humaines, externalisation de l'audit interne, conseils bancaires et en investissement, conseil juridique et services d'expertise non lis l'audit) et ritre sa position selon laquelle le conseil fiscal n'en fait pas partie et peut tre librement fourni par les firmes d'audit. Cette dernire dcision a fait l'objet de vives critiques du fait que la possibilit pour les firmes d'audit de rendre des services fiscaux leurs clients paralllement aux services d'audit reprsente une menace au principe selon lequel les firmes d'audit doivent s'abstenir d'auditer leurs propres travaux. Approbation pralable par le comit d'audit de la socit mettrice de l'ensemble des services d'audit et des services autres que les services d'audit autoriss fournis par la firme d'audit (Section 201(a) de la Loi) : la SEC ajoute 27
que le contenu de la mission confie la firme d'audit doit galement tre soumis l'approbation pralable du comit d'audit et fixe une exception l'obligation d'approbation pralable dans le cas o les services autres que les services d'audit reprsentent moins de 5% de la rmunration verse la firme d'audit sur l'exercice ; Rotation de certains associs de firmes d'audit tous les 5 ans (Section 203 de la Loi) : la SEC tend l'obligation de rotation aux audit partners4, en sus des lead partners5 et des concurring partners6. La SEC prescrit, pour la premire catgorie, une obligation de rotation tous les 7 ans accompagne d'une priode d'abstention de 5 ans et pour les deux dernires catgories, une obligation de rotation tous les 5 ans accompagne d'une priode d'abstention de 2 ans ; Interdiction pour une firme d'audit dauditer les comptes dune socit mettrice dans le cas o certains dirigeants de la socit mettrice ont t employs de la firme d'audit dans l'anne prcdant l'audit en qualit de lead partner, de concurring partner ou de membre de l'quipe daudit (Section 206 de la Loi) : la SEC prcise les types de dirigeants concerns, savoir tout dirigeant ayant un rle de surveillance dans le reporting financier et exempte par ailleurs les membres de l'quipe d'audit anciennement employs par la socit mettrice qui fournissent moins de 10 heures de services d'audit leur ancien employeur dans le cadre de leurs nouvelles fonctions. Amlioration de l'information communique au march par les socits cotes : la SEC oblige les socits cotes divulguer le montant des honoraires - sous-divis en 4 catgories7 - verss aux auditeurs au titre des 2 exercices prcdents, ainsi que les rgles et les procdures gouvernant leur comit d'audit ;
Un audit partner dsigne tout associ ayant un rle dans le processus de dcision relatif laudit ou qui est en contact rgulier avec la direction ou le comit daudit du client. 5 Le lead partner est lassoci principalement responsable de laudit (associ signataire). 6 Le concurring partner est lassoci qui assure un deuxime niveau de vrification dans le cadre dun audit. 7 Honoraires relatifs laudit, honoraires relatifs aux services lis laudit (ex. due diligences dans le cadre doprations de fusions-acquisitions), honoraires relatifs aux services fiscaux et autres honoraires
28
Ces rgles sont effectives depuis le 6 mai 2003, toutefois des priodes de transition ont t prvues. La SEC a prcis que l'ensemble de ces rgles s'appliquerait toute firme d'audit trangre auditant les comptes de socits cotes aux Etats-Unis. 3. Amlioration des pratiques de corporate governance Au sens de la loi SOX, il sagit de responsabiliser davantage le CEO et le CFO de linformation financire publie, de reconfigurer et consolider le rle du comit daudit et dassurer lindpendance des administrateurs. a - certification des rapports annuels et trimestriels par les dirigeants et mise en place de procdures et de contrles de l'information Aux termes de la Section 302(a), le CEO et le CFO d'une socit cote sont chacun tenus de certifier, eu gard aux informations contenues dans chacun des rapports annuels et trimestriels mis par la socit : qu'ils ont revu le rapport, que ce rapport ne contient, leur connaissance, aucune erreur ou omission, substantielle, que les tats financiers et l'information financire qu'il contient prsentent fidlement la situation financire, les rsultats et la trsorerie de la socit. En matire de contrle interne ces mmes dirigeants doivent attester quils : sont responsables de la mise en place et du maintien du contrle interne, ont conu ce contrle de telle sorte que toute information significative concernant lentreprise et les socits consolides est connue par les dirigeants, notamment pendant la prparation des rapports priodique, ont valu dans les 90 jours prcdant la certification, leffectivit de ces procdures et contrles et ont fait part des rsultats de cette valuation dans le rapport. Les dirigeants signataires doivent galement : signaler aux auditeurs et au comit daudit les dficiences significatives dans le contrle interne et les fraudes lies au contrle interne,
29
mentionner dans le rapport sur le contrle interne sil ya eu des changements significatifs dans le contrle interne aprs la date dvaluation.
La section 302 (a) de la loi SOX sapplique toutes les socits cts y compris les socits trangres cotes aux Etats-Unis et ce conformment la rgle finale dapplication de la SEC en date du 29 aot 2002 intitule Certification of Disclosure in Companies Quaterly and Annual Reports . b - Conseils d'administration et comits d'audit b.i. Conseil dadministration Selon les rgles du NYSE8 et le NASDAQ9, le conseil d'administration des socits cotes devra comprendre une majorit d'administrateurs indpendants. Selon la dfinition propose par le NYSE, un administrateur d'une socit A ne sera pas considr comme indpendant ds lors qu'il est tabli qu'au cours des 5 annes prcdentes, cet administrateur ou un membre direct de sa famille tait employ dans la socit, ou un affili ou un employ de la firme d'audit de la socit, ou encore un employ d'une autre socit dont le comit de rmunration comprenait un dirigeant de la socit A. A noter que le NYSE et le Nasdaq ont indiqu que leurs nouvelles rgles de corporate governance ne sont pas applicables aux socits cotes trangres, sauf si (i) plus de la moiti des actions de la socit sont dtenues par des amricains et (ii) soit la majorit des dirigeants sont amricains, soit plus de la moiti des actifs de la socit sont situs aux Etats-Unis, soit encore lactivit de la socit est administre essentiellement aux EtatsUnis. Par ailleurs, la Loi dans sa section 402 a interdit aux entreprises cotes daccorder des prts personnels leurs administrateurs et dirigeants. b.ii. Composition et pouvoirs du comit d'audit
New York Stock Exchange (Bourse des valeurs de New York) National Association of Securities Dealers Automated Quotations (plus grand march lectronique d'actions du monde)
9
30
D'aprs la loi SOX, le comit d'audit est : compos exclusivement d'administrateurs indpendants, charg directement du recrutement, de la rmunration et du contrle des firmes d'audit, capable d'engager des conseils indpendants et de fixer leur rmunration, charg de mettre en place des procdures pour la collecte et le traitement des rclamations adresses la socit par des tiers et relatives la comptabilit, les contrles comptables internes et les audits. Pour les rapports quentretiennent les commissaires aux comptes avec le comit daudit, il sagit pour le commissaire aux comptes de : reporter directement au comit d'audit, informer le comit daudit des politiques et pratiques utilises et de tous les traitements comptables alternatifs discuts avec la direction et des implications de ces traitements alternatifs, informer le comit daudit du traitement finalement adopt par les auditeurs ainsi que du contenu de toute correspondance importante change entre la direction et les auditeurs. Par ailleurs, la section 407 de la loi SOX impose quau moins un membre du comit daudit soit un expert financier. Cette rgle a t prcise par la SEC10. Ainsi, le conseil dadministration est responsable dvaluer si le comit daudit dispose dau moins un expert financier en son sein et si ce ou ces experts financiers sont indpendants de la direction ; Ceci doit tre indiqu dans le rapport annuel de la socit. Lexpert financier du comit daudit nest pas tenu plus de devoirs, dobligations ou de responsabilits quun autre membre du comit daudit. En revanche, il participe lever les connaissances et la capacit de jugement du comit.
10
Rgle finale dapplication adopte par la SEC le 1er avril 2003 intitule Standards Relating To Listed Company Audit Committies
31
Mais quentend-on par expert financier ? la SEC propose dvaluer lexpert financier du comit daudit sur la base de sa formation et de son exprience, dexpert-comptable, dauditeur, de responsable financier ou de contrleur, ou bien encore par sa position dans des fonction similaires. Lexpert financier doit : comprendre les tats financiers et les principes comptables gnralement reconnus, avoir de lexprience soit dans la prparation des tats financiers, soit dans laudit dentreprises comparables, possder lexprience des contrles comptables internes, connatre les contrles et les procdures en vue de la communication de linformation financire, avoir une bonne comprhension des fonctions du comit daudit.
La SEC indique que ces rgles sont applicables mme aux socits cotes trangres. 4. lamlioration de linformation financire Il sagit essentiellement pour les socits cotes : de rehausser linformation comptable fournie en fiabilisant linformation financire pro-forma divulgue au public, en fournissant une explication dtaille des engagements hors bilan et en communicant en temps rel sur les changements significatifs affectant la situation financire ou lactivit de la socit de procder une valuation annuelle du contrle interne lgard de linformation financire et de la valider par le commissaire aux comptes, et pour les commissaires aux comptes, il sagit de veiller la conservation des documents produits et utiliss dans le cadre de la conduite daudits et de revues financires.
a - rehausser linformation comptable
* Comptes pro-forma
Selon la Section 401(b) de la Loi, les informations pro-forma contenues dans un rapport dpos la SEC ou inclus dans un communiqu de presse ou toute autre communication publique ne doivent prsenter aucune erreur ou omission significative et tre rconcilies 32
avec la situation financire et les rsultats d'exploitation de la socit conformment aux US GAAP11.
* Communication sur les oprations hors-bilan
En rponse aux manipulations de comptes pratiques par Enron, WorldCom et autres dans le but de gonfler leurs rsultats, notamment par le biais des oprations hors-bilan, la Section 401(a) de la Loi a prescrit la communication de leurs oprations hors bilan par les socits cotes. En application de la Section 401(a), la SEC a adopt la rgle finale d'application12 et ce dans un souci de transparence des oprations ne figurant pas au bilan. Ainsi, les socits cotes sont tenues de produire, dans une section spciale une description dtaille de tout engagement hors-bilan ayant, ou susceptible d'avoir, dans l'immdiat ou dans le futur, un effet significatif sur la socit aux yeux des investisseurs. Cette information devra tre incluse dans tous les documents enregistrs, les rapports annuels et trimestriels et les communiqus concernant les tats financiers des exercices fiscaux clos au 15 juin 2003 ou une date ultrieure. De plus, les socits cotes sont tenues d'inclure dans leurs rapports annuels un tableau rcapitulatif de leurs engagements contractuels reprenant lensemble des montants des paiements dus par la socit au titre des contrats auxquels elle est partie. Cette information devra tre comprise dans les documents enregistrs, les rapports annuels et trimestriels et les communiqus concernant les tats financiers des exercices fiscaux clos au 15 dcembre 2003. La SEC prcise que ces deux nouvelles obligations sont applicables galement aux socits trangres cotes.
* Communication en temps-rel sur les changements significatifs affectant la condition financire ou l'activit de la socit
11
US GAAP : Generally Accepted Accounting Principles of US (Normes comptables des Etats Unis) Rgle intitule Disclosure in Management's Disclosure and Analysis about Off-Balance Sheet Arrangements and Aggregate Contractual Obligations en date du 27 janvier 2003, avec effet au 1er avril 2003.
12
33
Aux termes de la Section 409 de la Loi SOX, les socits cotes doivent informer le public, dans un bref dlai, de tout changement significatif affectant la situation financire ou l'activit de la socit constituant, aux yeux de la SEC, une information ncessaire ou utile la protection des investisseurs. La SEC a propos les lments ou vnements qui devront tre communiqus en temps rel, comprenant notamment : la conclusion ou la modification d'un contrat en dehors de la conduite normale des affaires ; la cration d'une obligation financire significative pour la socit ; toute dtrioration significative (material impairment) affectant la socit et la dcision d'une agence de notation de modifier l'indice attribu la socit. Etant prcis que ces dispositions ne seraient pas applicables aux socits trangres cotes.
b Evaluation du contrle interne lgard de linformation financire
Aux termes de la Section 404 de la Loi SOX, le rapport annuel des socits cotes doit contenir un rapport sur le contrle interne qui : confirme que la direction est responsable de la mise en place et de la gestion dune structure de contrle interne adquate et des procdures pour la communication financire, contienne une valuation de lefficacit de la structure de contrle interne et des procdures de communication financires, la date de clture des comptes. Les auditeurs externes doivent de leur part faire une attestation, dans leur rapport, sur lvaluation du contrle interne ralise par la direction de lentreprise. En application de la Section 404, La SEC a mis sa rgle finale dapplication13 qui comprend ce qui suit : concernant lvaluation par la direction de leffectivit des procdures de contrle interne la date de clture du dernier exercice fiscal. La SEC a fix le seuil en-dea duquel le contrle interne lgard de linformation financire ne peut tre considr comme effectif. Cela correspond lidentification par la direction dune ou plusieurs faiblesses significatives dans ledit systme de contrle interne ;
13
Rgle intitule Managements Reports on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports , en date du 5 juin 2003
34
le rapport annuel devra galement prciser la structure adopte par la direction pour valuer leffectivit desdites procdures de contrle interne. A cet gard, la SEC exige que les socits cotes utilisent une structure de contrle interne approprie et recommande lutilisation de la structure de contrle interne qui a t dfinie par le COSO ;
la direction devra galement rendre compte, sur une base trimestrielle, de toute faiblesse significative du contrle interne.
les socits mettrices autres que les socits de petite taille et les socits trangres devront se conformer ces nouvelles rgles pour leurs rapports annuels concernant les exercices fiscaux clos au 15 juin 2004 et au-del, tandis que les socits de petite taille et les socits trangres devront tre en rgle pour tous leurs rapports annuels concernant les exercices fiscaux clos au 15 avril 2005 et audel14.
Cest cette section 404 de la loi SOX qui est lobjet de ce prsent mmoire et sera largement dtaille travers la dfinition prcise du contrle interne lgard de linformation financire, la prsentation du cadre de lvaluation du contrle interne lgard de linformation financire et la porte de cette valuation.
c- Conservation des documents produits et utiliss dans le cadre de la conduite daudits et de revues financires
La firme d'audit Arthur Andersen doit sa perte son incrimination pour destruction de preuves et obstruction la justice. Afin d'empcher la destruction ou la fabrication d'lments de preuve et de prserver les archives en matire d'information financire et d'audit, la Section 802 de la Loi impose aux commissaires aux comptes qui auditent ou revoient les comptes d'une socit cote de conserver certains documents d'archive relatifs cet audit ou cette revue.
14
Ce dlai a t ramen pour les socits cotes trangres jusquaux exercices se terminant le 15 juillet 2006 ou aprs cette date, suite au communiqu de la SEC du 2 mars 2005.
35
Aux termes de la rgle finale d'application,15 la priode de conservation des documents d'archives relatifs aux audits et aux revues (initialement fixe 5 ans dans la proposition de la SEC) est augmente et dsormais fixe 7 ans et court compter de la clture de l'audit ou de la revue des tats financiers par le commissaire aux comptes. Les documents d'archives dsignent les documents de travail et certains autres documents contenant des conclusions, opinions, analyses et donnes financires relatifs l'audit ou la revue. Les firmes daudit sont tenues de se conformer cette obligation pour tous les audits et revues raliss partir du 31 octobre 2003. 5. Renforcement de lexcution des rgles boursires et des sanctions.
* Dispositions pnales
La loi SOX a renforc considrablement les sanctions pnales. Ainsi, la certification des tats financiers par le CEO et le CFO non conformes la rglementation est passible dune amende de 1 millions de dollars ou dun emprisonnement de 10 ans au plus. En outre, commettre intentionnellement la mme infraction fait passer lamende 5 millions de dollars et lemprisonnement jusqu 20 ans16. Aussi, la falsification de document dans lintention de faire obstruction la justice fait lobjet dune amende laquelle peuvent venir sajouter des peines de prison pouvant atteindre 20 ans17. Le dfaut de conservation par un auditeur des documents daudit pendant au moins 7 ans est galement sanctionn par la Loi.
* Responsabilit civile
La Section 30318 de la Loi SOX a donn comptence exclusive la SEC pour poursuivre civilement quiconque influencerait un auditeur de manire contestable aux fins de rendre les comptes certifis significativement trompeurs.
15
Rgle intitule Retention of Records Relevant to Audits and Reviews adopte par la SEC en date du 24 janvier 2003. 16 Section 906 de la loi SOX (Corporate responsibility for financial reports) 17 Section 802 de la loi SOX (Criminal penalties for altering documents) 18 Intitule Improper influence on conduct of audits)
36
Aussi, selon la Section 304 de la Loi, dans le cas o une socit cote est oblige de revoir ses comptes suite un non-respect des rgles de reporting financier, le CEO et le CFO devront rembourser tout bonus et tout bnfice sur la vente des actions de la socit reu ou ralis dans les 12 mois suivant l'tablissement ou le dpt des comptes faisant l'objet du rajustement.
37
2.3 Linformation financire : lgislation Marocaine et loi SOX

Larsenal juridique marocain en matire dinformation financire exige des personnes morales faisant appel public lpargne comprend principalement deux textes de loi savoir la loi 17/95 de la Socit Anonyme et la loi n 1-93-212 du 4 rabii Il 1414 (21 septembre 1993) relative au conseil dontologique des valeurs mobilires. Ces textes de loi ne comprennent pas des dispositions relatives la production par les personnes morales faisant appel public lpargne dun rapport sur lvaluation du contrle interne. Ainsi, les socits cotes au Maroc ne sont obliges de produire comme information financire que celle exige par ces lois savoir, les tats de synthse, le rapport de gestion, ainsi que les rapports des commissaires aux comptes (Rapport gnral, rapport spcial sur les conventions rglementes). Toutefois, certains secteurs dactivit conomique sont dots dune rglementation qui exige des entreprises qui y oprent la production dun rapport sur le contrle interne la fin de chaque anne. Il sagit en loccurrence des secteurs des assurances et des tablissements de crdit. Pour les tablissements de crdit, Bank Al Maghrib a mis une circulaire19 qui oblige les tablissements de crdit de mettre en place un systme de contrle interne pour se prmunir contre certains risques tels que les risques de liquidit, de solvabilit, de concentration des crdits et de dprciation des actifs. Ce dispositif de contrle interne tel que dfinit par Bank Al Maghrib est ax sur les lments suivants : conception, mise en uvre et suivi des tches du contrle interne ; dispositif de vrification des oprations et des procdures internes ; dispositif de mesure, de matrise et de surveillance des risques ; dispositif de contrle de la comptabilit.
La circulaire mise par Bank Al Maghrib oblige lorgane de direction des tablissements de crdit dtablir, au moins une fois par an, un rapport sur les activits du contrle interne
19
Circulaire n6 relative au contrle interne des tablissements de crdit
38
quil adresse lorgane dadministration. Ce rapport dcrit les actions de contrle effectues et les insuffisances releves, notamment au niveau des domaines que couvre le dispositif de gestion des risques, ainsi que les mesures correctrices y affrentes. Une copie du rapport est adresse Bank Al Maghrib au plus tard le 31 mars de lexercice suivant. Outre la circulaire n6 de Bank Al Maghrib, la loi n39-05 modifiant et compltant la loi n17-99 portant code des assurances du 14 fvrier 2006, oblige dans son article 239-2 les entreprises dassurances et de rassurance mettre en place un systme de contrle interne ayant pour objet lidentification, lvaluation, la gestion et le suivi des risques. Ce mme article 239-2 oblige ces entreprises dassurance et de rassurance de se doter dune structure daudit interne relevant directement du conseil dadministration ou de surveillance ayant pour mission notamment de vrifier lefficacit du systme de contrle interne. Cette structure tablit au moins une fois par an un rapport sur son activit et le remet aux commissaires aux comptes de lentreprise. En matire de rapport sur le contrle interne, il existe donc des diffrences importantes entre la loi SOX et la rglementation marocaine. Le tableau comparatif ci-aprs rsume les principales caractristiques des deux :
SOX Rglementation marocaine - Toutes les socits cotes (y - Les tablissements de crdit ; compris leurs filiales) - les entreprises dassurance et de rassurance. Primtre relatif au - Contrle interne lgard de - Contrle interne dans son linformation financire. ensemble. contrle interne Cadre du contrle interne - Utilisation obligatoire dun - Pas de rfrentiel reconnu rfrentiel reconnu ; mention du obligatoire. COSO par la SEC. - Non explicite Obligation de - Explicite documentation et de tests - Rapport de lorgane de direction (Etablissements de - Rapport du CEO et du CFO sur crdit) de laudit interne Rapport et niveau le CIIF. (entreprises dassurance et de dassurance Assurance positive rassurance). Assurance limite avec formulation dobservations - Bank Al Maghrib (pour les tablissements de crdits) et les - la SEC, les actionnaires, les commissaires aux comptes Destinataires du rapport investisseurs et autres tiers. (pour les entreprises dassurance et de rassurance). Champ dapplication
39
Chapitre II :
Le contrle interne et la loi SOX
La loi SOX est venue avec des dispositions importantes en matire de contrle interne travers la section 30220 et plus particulirement la section 40421 de la loi. En effet, la section 302 traite globalement de la certification par le management (CEO et CFO) de sa responsabilit sur le contrle interne. La section 404 est beaucoup plus exigeante puisquelle oblige chaque entreprise cote une valuation annuelle de lefficacit de la structure de contrle interne et des procdures de communication financire, la date de clture des comptes. La SEC a par ailleurs restreint le contrle interne au contrle interne lgard de linformation financire, considrant quil sagit de la notion qui correspond le mieux lobjectif initial de la loi et ce travers sa rgle dapplication 22 publie.
Le contrle interne au sens large et le contrle interne lgard de
linformation financire
1.1 Dfinitions du contrle interne
Le contrle interne nest pas un concept nouveau ; il na pas cess dvoluer et son champ dapplication sest nettement largi au fil des annes. Il nexiste pas dans les pays francophones une dfinition du contrle interne reconnue par lensemble des parties concernes, contrairement ce qui existe dans certains pays anglosaxons, notamment les Etats-Unis dAmrique. En revanche, plusieurs dfinitions existent et sont appliqus par des organismes professionnels reconnus. a- Le rfrentiel de la profession comptable : le cas marocain et franais * Rfrentiel marocain Dans son Manuel des Normes : Audit lgal et contractuel lOrdre des Experts Comptables du Maroc dfinit le contrle interne dans la partie rserve lvaluation du contrle interne comme suit :
20 21
Section 302 intitule Corporate responsibility for financial reports Section 404 intitule Management assessment of internal controls 22 Rgle dapplication intitule Managements Reports on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports , en date du 5 juin 2003
40
Le contrle interne est constitu par l'ensemble des mesures de contrle, comptable ou autre, que la direction dfinit, applique et surveille, sous sa responsabilit, afin d'assurer la protection du patrimoine de l'entreprise et la fiabilit des enregistrements comptables et des tats de synthse qui en dcoulent. Le contrle interne ainsi dfini doit permettre d'obtenir l'assurance raisonnable que : les oprations sont excutes conformment aux dcisions de la direction (systme d'autorisation et d'approbation); les oprations sont enregistres de telle faon que les tats de synthse qui en dcoulent sont rguliers et sincres et donnent une image fidle du rsultat de l'exercice, de la situation financire et du patrimoine de l'entreprise (contrles internes fiables lors du traitement des donnes et de l'laboration des tats de synthse) ; les actifs de l'entreprise sont sauvegards (sparation des tches, contrle physique sur les actifs, service d'audit interne, assurances, etc...). * Rfrentiel franais Les normes professionnelles ont prcis lacceptation des concepts issus des rfrentiels internationaux. Le rfrentiel de la profession comptable est constitu de la dfinition donne par lInternational Federation of Accountants (IFAC) et reprise par lOrdre des Experts Comptables et la Compagnie Nationale des Commissaires aux Comptes (norme 2.301 de la CNCC) qui dit : Le systme de contrle interne est lensemble des politiques et procdures mises en uvre par la direction dune entit en vue dassurer, dans la mesure du possible, la gestion rigoureuse et efficace de ses activits. b- Le rfrentiel dvelopp par la pratique du contrle interne : le COSO Le COSO est le seul rfrentiel existant actuellement en matire de contrle interne. Il est issu des travaux initis en 1985 aux Etats-Unis dAmrique par la Treadway
41
Commission23 qui tait charge de prparer une tude approfondie sur le contrle interne visant dfinir les nouveaux concepts et lapproche de rfrence. Le document final de ces travaux (Internal Control-Integrated Framwork) est apparu en 1992, communment appel COSO Report , COSO signifiant : Committee of Sponsoring Organizations of the Treadway Commission. Ce rapport est devenu le rfrentiel de nombreuses grandes entreprises. Le COSO donne du contrle interne la dfinition suivante : Le contrle interne est un processus mis en uvre par le conseil dadministration, les dirigeants et le personnel dune organisation, destin fournir une assurance raisonnable quant la ralisation des objectifs suivants : efficacit et rentabilit des activits; fiabilisation des informations financires ; conformit aux lois et aux rglementations en vigueur. Le premier objectif concerne les objectifs de base de lentreprise, y compris ceux relatifs aux performances, la rentabilit et la protection des ressources. Le deuxime couvre la prparation dtats financiers fiables et les informations publies extraites des tats financiers, telles que les publications des rsultats intermdiaires. Le troisime objectif se rapporte la conformit aux lois et aux rglements auxquels lentreprise est soumise. Ces trois objectifs bien quils soient distincts, ils se recoupent. 1.2 Dfinition du contrle interne lgard de linformation financire
Le contrle interne lgard de linformation financire vise exclusivement lobjectif de la fiabilit de linformation financire dfinit par le rfrentiel COSO. Il intgre les deux autres objectifs mais uniquement sous loptique du respect de limage fidle de la situation financire et du rsultat de lentreprise. La dfinition du contrle interne lgard de linformation financire qui existe est la mme donne par la SEC dans sa rgle dapplication24 et par le PCAOB dans sa norme
23
Cette commission fut cre en 1985 par lAICPA (American Institute of Certified Public Accountants), lIIA (Institute of Internal Auditors) et lIMA (Institute of Management Accountants) 24 Rgle dapplication intitule Managements Reports on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports , en date du 5 juin 2003
42
daudit 25. Ils dfinissent le contrle interne lgard de linformation financire comme suit : le contrle interne lgard de linformation financire sentend le processus conu par le chef de la direction(CEO) et le chef des finances (CFO) de lentit ou par des personnes exerant des fonctions analogues, ou sous leur supervision, et mis en oeuvre par le conseil dadministration, la direction et dautres employs de lentit, pour fournir une assurance raisonnable que linformation financire est fiable et que les tats financiers ont t tablis, aux fins de la publication de linformation financire, conformment aux principes comptables gnralement reconnus. Ce terme sentend des politiques et procdures qui : a. concernent la tenue de comptes suffisamment dtaills qui donnent une image fidle des oprations et des cessions dactifs de lentit; b. fournissent une assurance raisonnable que les oprations sont enregistres comme il se doit pour tablir les tats financiers conformment aux principes comptables gnralement reconnus et que les encaissements et dcaissements de lentit ne sont faits quavec lautorisation de la direction et du conseil dadministration; c. fournissent une assurance raisonnable que toute acquisition, utilisation ou cession non autorise des actifs de lentit qui pourrait avoir une incidence importante sur les tats financiers est soit interdite, soit dtecte temps.
1.3
Diffrence entre le contrle interne et le contrle interne lgard de
linformation financire Le contrle interne lgard de linformation financire ne constitue quune partie du contrle interne au sens large du terme. En effet, le contrle interne touche toutes les activits de la socit aussi bien les activits oprationnelles (production, vente) que les activits support (Approvisionnement, gestion des ressources humaines, gestion financire, juridique et rglementaire etc) lexception de quelques unes telles que la fixation des objectifs et la dtermination du plan stratgique lesquels constituent une responsabilit de gestion importante et une condition sine qua non du contrle interne.
25
Norme daudit intitule : Auditing Standard N2 An Audit of internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements
43
Le contrle interne lgard de linformation financire intervient essentiellement pour assurer la traduction des vnements ayant caractris les activits de la socit dans les comptes comptables de faon fiable et assurer aussi la protection du patrimoine.
2
2.1
Lvaluation du contrle interne lgard de linformation financire

A quoi correspond cette valuation ?
Aux termes de la Section 404 de la Loi SOX, le rapport annuel des socits cotes doit contenir un rapport sur le contrle interne qui : confirme que la direction est responsable de la mise en place et de la gestion dune structure de contrle interne adquate et des procdures pour la communication financire, contienne une valuation de lefficacit de la structure de contrle interne et des procdures de communication financires, la date de clture des comptes. Les auditeurs externes doivent de leur part faire une attestation, dans leur rapport, sur lvaluation du contrle interne ralise par la direction de lentreprise. La SEC est venue en juin 2003 avec sa rgle finale dapplication de lvaluation du contrle interne lgard de linformation financire qui comprend ce qui suit : concernant lvaluation par la direction de leffectivit des procdures de contrle interne la date de clture du dernier exercice fiscal. La SEC a fix le seuil en-dea duquel le contrle interne lgard de linformation financire ne peut tre considr comme effectif. Cela correspond lidentification par la direction dune ou plusieurs faiblesses significatives dans ledit systme de contrle interne ; le rapport annuel devra galement prciser la structure adopte par la direction pour valuer leffectivit desdites procdures de contrle interne ; une attestation sur lvaluation faite par la direction devra tre obtenue des auditeurs de la socit. Les standards suivre pour tablir lattestation relvent du PCAOB.
44
la direction devra galement rendre compte, sur une base trimestrielle, de toute faiblesse significative du contrle interne.
2.2
Cadre de lvaluation
La rgle dapplication de la SEC sur le contrle interne exige que la direction fonde son valuation de lefficacit du CIIF sur un cadre de contrle adquat, tabli par un organisme ou un groupe selon une dmarche ouverte et transparente, et recommande lutilisation de la structure de contrle interne qui a t dfinie par le COSO. Aux fins de la conformit larticle 404 de la Loi SOX, les metteurs inscrits auprs de la SEC, appliquent presque exclusivement le cadre de contrle dfini dans le document du COSO. Une description dtaille du COSO est dans la section n3 de la prsente partie. 2.3 Porte de lvaluation
Daprs la rgle dapplication de la SEC, lapprciation du CIIF doit reposer sur des procdures permettant den valuer la conception et den tester lefficacit. La SEC ne prescrit pas ltendue de lvaluation, elle la laisse lapprciation raisonnable de la Direction. Ainsi, la direction peut adapter son valuation de faon quelle tienne compte des circonstances particulires de lmetteur, dont sa taille, la nature de ses activits et la complexit de son exploitation. Aux termes de la rgle finale dapplication de la SEC de lvaluation du CIIF, les contrles apprcier sont notamment : les contrles sur la cration, lautorisation, lenregistrement, le traitement et la prsentation des comptes et lments dinformation significatifs et des assertions connexes contenues dans les tats financiers; les contrles sur le choix et lapplication de conventions comptables pertinentes et conformes au Plan comptable; les contrles et programmes de prvention de la fraude;
45
les contrles, notamment les contrles informatiques gnraux, dont dpendent dautres contrles; les contrles sur les oprations non courantes et non systmatiques qui sont significatives, notamment celles qui visent les comptes faisant appel au jugement et aux estimations;
les contrles sur le processus dinformation financire de fin de priode comptable; les contrles au niveau de lentit, y compris ceux qui font partie de lenvironnement de contrle.
Lapprciation du CIIF doit se fonder sur des procds suffisamment tendus pour permettre la fois dvaluer la conception du CIIF et de tester lefficacit de son fonctionnement. La nature des tests dpend dans une grande mesure de la significativit de chaque contrle. Lvaluation du CIIF porte sur les contrles la date de clture de lexercice comptable. La Direction doit nanmoins, valuer la conception et le fonctionnement du CIIF sur une priode suffisante qui lui permettra de juger de leur efficacit la clture de lexercice. 2.4 Responsables de lvaluation
Aux termes de la Section 302(a) de la loi SOX, le CEO (Directeur Gnral) et le CFO (Directeur Financier) d'une socit cote sont chacun tenus de certifier, eu gard aux informations contenues dans chacun des rapports annuels et trimestriels mis par la socit : qu'ils ont revu le rapport, que ce rapport ne contient, leur connaissance, aucune erreur ou omission, substantielle, que les tats financiers et l'information financire qu'il contient prsentent fidlement la situation financire, les rsultats et la trsorerie de la socit. Ces mmes dirigeants savoir le Directeur Gnral et le Directeur Financier, en matire de contrle interne doivent attester quils : sont responsables de la mise en place et du maintien du contrle interne,
46
ont conu ce contrle de telle sorte que toute information significative concernant lentreprise et les socits consolides est connue par les dirigeants, notamment pendant la prparation des rapports priodique,
ont valu dans les 90 jours prcdant la certification, leffectivit de ces procdures et contrles et ont fait part des rsultats de cette valuation dans le rapport.
Ceci tant, la responsabilit dattestation en matire dvaluation de contrle interne incombe entirement aux CEO et CFO, toutefois ces derniers peuvent se faire assister tout au long de ce processus complexe de diffrentes comptences aussi bien interne (responsables oprationnels, audit interne, etc.) quexterne (experts en contrle interne, consultants en informatique, etc.). 2.5 Rapport dvaluation
Aux termes de la rgle finale dapplication de la SEC de lvaluation du CIIF, lentreprise cote doit inclure dans son rapport sur le contrle interne lgard de linformation financire les lments suivants : a. une dclaration sur la responsabilit de la direction relativement ltablissement et au maintien dun contrle interne adquat lgard de linformation financire de lentit; b. une dclaration identifiant le cadre utilis par la direction pour procder lapprciation quelle est tenue de faire de lefficacit du CIIF de lentit; c. une apprciation de lefficacit du CIIF de lentit la date de clture de son dernier exercice, y compris une dclaration explicite sur la question de savoir si le CIIF est efficace. La direction de lentreprise ne peut pas conclure lefficacit du CIIF si celui comporte une ou plusieurs faiblesses importantes ; d. une dclaration selon laquelle le cabinet daudit qui a vrifi les tats financiers compris dans le rapport annuel a dlivr un rapport de certification sur lapprciation, faite par la direction, du contrle interne lgard de linformation financire de lentit.
47
Comment dterminer une faiblesse importante (material weakness) ? Le PCAOB dfinit une faiblesse importante comme une dficience significative ou une combinaison de dficiences significatives, et qui est telle quil est probable quune anomalie ayant des consquences matrielles sur les comptes de la socit ne soit ni prvenue ni dtecte Le PCAOB dfinit galement la dficience significative dans son standard n 2 comme suit : Une dficience significative sentend dune dficience du contrle, ou dune combinaison de dficiences du contrle, ayant une incidence ngative sur la capacit de lentit de gnrer, dautoriser, denregistrer, de traiter ou de communiquer des informations financires usage externe de faon fiable selon les principes comptables gnralement reconnus La qualification dune dficience de contrle en dficience, dficience significative ou faiblesse majeure sera largement dveloppe dans la troisime partie de ce mmoire.
48
Le cadre dvaluation recommand par la SEC : le COSO
COSO, qui jouit aux Etats-Unis dun large soutien de la part de diffrentes organisations professionnelles, a intgr les divers concepts et dfinitions du contrle interne dans un concept de base, le COSO Framework. COSO dfinit le contrle interne comme un processus influenc par le conseil dadministration, la direction et les collaborateurs, conu pour offrir une scurit approprie en vue datteindre les trois objectifs cls suivants: efficacit et rentabilit des activits; fiabilisation des informations financires ; conformit aux lois et aux rglementations en vigueur. Ces trois objectifs cls reprsentent lune des trois dimensions du cube COSO, comme le montre la figure ci-dessous. Ils peuvent tre atteints par les deux autres dimensions : les composantes (au nombre de 5), dune part, et lentreprise et ses divisions, dautre part. Les cinq composantes sont : lenvironnement de contrle (Control Environment) : les individus (leurs qualits individuelles et surtout leur intgrit, leur thique, leur comptence) et lenvironnement dans lequel ils oprent sont lessence mme de toute organisation. Ils en constituent le socle et le moteur ; lvaluation des risques (Risk Assessment) : lentreprise doit tre consciente des risques et tre en mesure de les matriser. Elle doit fixer les objectifs et les intgrer aux activits commerciales, financires, de production, de marketing et autres, afin de fonctionner de faon harmonieuse. Elle doit galement instaurer des mcanismes permettant didentifier, analyser et grer les risques correspondants ; les activits de contrle (Control Activities) : les normes et procdures de contrle doivent tre labores et appliques pour sassurer que sont excutes efficacement les mesures identifies par le management comme ncessaires la rduction des risques lis la ralisation des objectifs ;
49
linformation et la communication (Information & Communication) : les systmes dinformation et de communication sont articuls autour de ces activits de contrle. Ils permettent au personnel de recueillir et changer les informations ncessaires la conduite, la gestion et au contrle des oprations ;
le pilotage (Monitoring) : lensemble du processus doit faire lobjet dun suivi et des modifications doivent y tre apportes le cas chant. Ainsi, le systme peut ragir rapidement en fonction du contexte.
Chaque systme de contrle interne est unique. En effet, les socits et leurs besoins diffrent fondamentalement selon leur secteur dactivit, leur taille, leur culture et leur philosophie. Le systme de contrle interne sera gnralement diffrent dune socit lautre plutt dans sa mise en uvre que dans le fond. Le lien qui existe entre les trois objectifs (oprationnels, information financire, conformit) que cherche atteindre lentreprise, les cinq composantes du contrle interne et les activits de lentreprise est reprsent par le cube de Coso :
Le pilotage est ncessaire pour atteindre les trois objectifs et ce pour lensemble des activits de lentreprise
Le contrle interne sapplique lentreprise dans son ensemble ou lune quelconque de ses units ou activits.
Ce cube peut tre lu de diffrentes faons, mais ce qui en ressort globalement est que le contrle interne (les cinq composantes) est applicable lensemble des activits de lentreprise et est ncessaire la ralisation des trois objectifs de lentreprise (oprationnels, information financire, conformit).
50
3.1 Lenvironnement de contrle

3.1.1 lenvironnement gnral
Lenvironnement de contrle donne le ton dune organisation et dtermine le niveau de sensibilisation du personnel au besoin de contrles. La qualit de lenvironnement de contrle est fonction de lintgrit, de lthique et de la comptence du personnel et de la direction de lentreprise. Intgrit et thique Pour apprcier lintgrit, lthique du personnel, il convient de considrer notamment les facteurs suivants : Existence ou non de codes de conduite ; Assignation dobjectifs ralisables ou irralisables aux salaris ; Existence ou non de descriptifs formaliss des tches et des responsabilits ; Degr dimplication de la direction de lentreprise dans la gestion et le contrle.
Lexemple constitue la meilleure faon de promouvoir un message de comportement conforme lthique au sein de la socit. Toutefois, donner lexemple nest pas suffisant ; le management doit communiquer oralement au personnel les valeurs et les normes de conduite retenues par lorganisation. Il est aussi trs important que des sanctions soient prvues en cas de violation de ces codes de conduite et que des mcanismes de communication des infractions soient mis en place. Comptence Pour apprcier la comptence du personnel, il convient de considrer notamment les facteurs suivants : existence ou non danalyses de comptences ncessaires pour mener bien les tches confies ; degr de comprhension et de prise de conscience par les salaris de ce que lentreprise attend deux, notamment en ce qui concerne lexcution de leurs tches, lobjet de leurs responsabilits et leur comportement. La comptence doit reflter la connaissance et les aptitudes ncessaires laccomplissement des tches requises chaque poste. Le management doit prciser le niveau de qualit requis pour ces tches, en fonction des objectifs de la socit et des plans stratgiques mis en uvre.
51
Les autres lments de lenvironnement gnral de contrle sont les suivants : Conseil dadministration et comit daudit Le management est responsable devant le conseil dadministration. Celui-ci a pour rle de surveiller et piloter les activits de la socit, guider les dirigeants et apporter des conseils. Le comit daudit occupe une position privilgie : il a les pouvoirs ncessaires pour interroger la direction sur la faon dont elle assume ses responsabilits en matire dinformations financires, ainsi que pour sassurer du suivi des recommandations mises, notamment par laudit. Philosophie et style de management des dirigeants La philosophie et le style de management ont une incidence sur la conduite des affaires de lentreprise et sur le niveau de risque accept. Une entreprise qui a russi en prenant des risques importants aura une conception du contrle interne diffrente de celle qui aura d subir des consquences conomiques ou lgales graves pour stre aventure dans un domaine dangereux. Politique en matire de ressources humaines La politique de gestion des ressources humaines traduit les exigences de lentreprise en matire dintgrit, dthique et de comptence. Cette politique englobe le recrutement, la gestion des carrires, la formation, les valuations individuelles, les conseils aux employs, les promotions, la rmunration et les actions correctives. 3.1.2 Lorganisation gnrale Structure de lentreprise La mise en place dune structuration adquate implique la dfinition des principaux domaines dautorit et de responsabilit, ainsi que la cration dune organisation hirarchique conue pour faciliter la remonte des informations. La structuration dune entit dpend en partie de sa taille et de la nature de ses activits. Dlgation de pouvoir Cet aspect de lenvironnement de contrle concerne les dlgations de pouvoirs et de responsabilits au sein des activits oprationnelles, les liens hirarchiques permettant la remonte des informations et les rgles en matire dapprobation. La principale difficult rside dans le fait que les responsabilits ne doivent tre dlgues que dans la limite des objectifs raliser. 52
3.2 Lvaluation des risques

3.2.1 Identification des risques
Les objectifs Toute entreprise est confronte un ensemble de risques externes et internes qui doivent tre valus. Avant de procder cette valuation, il est ncessaire de dfinir des objectifs compatibles et cohrents. Les objectifs peuvent tre regroups en trois grandes catgories : objectifs lis aux oprations : performance, rentabilit, protection des ressources, etc objectifs lis aux informations financires : publication dinformations fiables ; objectifs de conformit : respect des lois et rglements. Les risques Lidentification et lanalyse des risques constituent un processus continu et rptitif. Ce processus est un lment cl dun systme de contrle interne efficace. Le management doit, tous les niveaux, identifier minutieusement les risques et prendre les mesures adquates afin de les limiter. Le processus dvaluation des risques devrait prendre en compte les risques potentiels. Il est essentiel que tous les risques soient identifis. Une fois que les principaux facteurs de risque identifis, les dirigeants peuvent alors les analyser et les rattacher, aux activits de lentreprise.
3.2.2 Analyse des risques
Il est ncessaire de procder une analyse des risques une fois que ceux-ci ont t identifis la fois au niveau de lentreprise et de chaque activit. Il existe diffrentes faons de procder cette analyse dans la mesure o bien des risques sont difficiles quantifier. Nanmoins, le processus, plus ou moins formel, se dcompose gnralement de la faon suivante : Evaluation de limportance du risque ; Evaluation de la probabilit (ou frquence) de survenance du risque ; Prise en compte de la faon dont le risque doit tre gr, c'est--dire valuation des mesures quil convient de prendre. Gnralement, un risque qui na pas dimpact significatif et dont la probabilit de survenance est faible, ne ncessite pas une analyse approfondie. En revanche, un risque majeur qui selon toute vraisemblance se concrtisera doit tre srieusement analys. Lvaluation des risques reste difficile ; on peut les dcrire au mieux comme tant forts , moyen ou faibles . 53
3.3 Activits de contrle

3.3.1 Typologie des activits de contrle
Il sagit de lensemble des procdures de contrle qui contribuent sassurer que les instructions de la direction sont bien appliques. Ces procdures de contrle concernent tous les domaines de lentreprise et tous les niveaux de personnel. Elles prennent la forme dapprobation, dautorisation, de vrification, de rapprochement, danalyses des performances par les responsables fonctionnels ou oprationnels, de contrles physiques, de sparations de tches, etc. Il existe de nombreux types dactivits de contrle, quil sagisse de contrles orients vers la prvention ou vers la dtection, de contrles manuels ou informatiques, ou encore de contrles hirarchiques.
3.3.2 Intgration des activits de contrle lvaluation des risques
Paralllement lvaluation des risques, le management doit dterminer et mettre en uvre le plan daction destin les matriser. Une fois dtermines, ces actions devront galement servir dfinir les oprations de contrle qui seront mises en uvre pour garantir leur excution correcte et en temps voulu.
3.3.3 Contrle des systmes dinformation
Les oprations de contrle relatives aux systmes dinformation peuvent tre rparties en deux groupes : les contrles globaux, qui sappliquent la quasi-totalit des oprations et contribuent assurer leur fonctionnement correct. Il sagit des contrles sur les logiciels dexploitation, les contrles daccs et les contrles sur le dveloppement et maintenance des applications ; les contrles applicatifs, qui comprennent des procdures programmes lintrieur mme des logiciels dapplication, ainsi que des procdures manuelles associes assurant le contrle du traitement des diffrentes transactions. Lensemble de ces contrles, permet de garantir lexhaustivit, lexactitude et la validit des informations, financires ou autres, stockes dans le systme. 54
3.4
Information et communication
Toutes les entreprises doivent recueillir les informations pertinentes (financires ou non) relatives aux vnements et activits, externes comme interne, identifis par la direction comme tant utiles la conduite des affaires. Ces informations doivent ensuite tre communiques dans une certaine forme et dans des dlais adquats aux personnes qui ont en besoin ; elles leur permettront dassumer leurs responsabilits et, notamment, deffectuer les contrles qui leur incombent.
3.4.1 Information
Le processus qui permet lidentification, la collecte, le traitement et la diffusion de linformation est communment appel systmes dinformation . Les systmes dinformation peuvent tre informatiss, manuels ou la combinaison des deux. Les systmes dinformations informatiss devraient tre conus de telles manires ce que la qualit des informations quils vhiculent rpond positivement aux questions suivantes : Contenu : toutes les informations ncessaires y-sont elles ? Dlai : linformation peut-elle tre obtenue en temps voulu ? Mise jour : est-ce la dernire information en date disponible ? Exactitude : linformation est-elle exacte ? Accessibilit : les parties intresses peuvent-elles obtenir cette information aisment ?
Les systmes dinformation de faon gnrale ne sont pas figs, mais doivent voluer en fonction dune part de lentreprise, et dautre part de son environnement.
3.4.2 Communication
La communication est diffrente selon quelle soit interne ou externe. La communication interne correspond notamment aux notes internes, aux procdures et modes opratoires qui aident la comprhension de ltendue des responsabilits, ainsi quaux rgles dthique et de comportement au sein de lentreprise. La communication externe correspond notamment aux informations ncessaires au dveloppement de lentreprise, aux rclamations des clients, lopinion des auditeurs externes sur les comptes, etc Moyens de communication La communication prend diverses formes, telles que des manuels de procdures, des notes internes, des revues internes, des tableaux daffichage, les messages transmis oralement (runion dquipe, entretien individuel). Aussi, les mesures prises par le management lgard des employs constituent galement un puissant moyen de communication interne. 55
3.5 Pilotage Le pilotage est le processus dvaluation du contrle interne travers le temps. Cet aspect temps est trs important du fait des changements internes et externes qui peuvent avoir lieu. Les oprations de pilotage peuvent tre pratiques soit au travers des activits courantes, soit par le biais dvaluations ponctuelles.
3.5.1 Oprations courantes de pilotage
Les oprations courantes de pilotage sont intgres dans lentreprise la chane des activits dexploitation. Elles comprennent les activits courantes de gestion et de supervision, les analyses comparatives, les rapprochements dinformations et autres tches courantes.
3.5.2 Evaluations ponctuelles
Les valuations ponctuelles peuvent tre effectues par laudit interne, ou par les responsables des divisions ou des fonctions particulires (auto-valuation) ou bien encore par des auditeurs externes. Ce processus ralis par les personnes comptentes implique globalement :
lvaluation critique de la manire dont les contrles sont conus ; dapprcier lopration dexcution des contrles (comment et par qui) ; de vrifier le respect de la frquence des contrles ; la mesure des actions correctives prises en charge en cas de contrles dfaillants.
La frquence des valuations ponctuelles dpend de limportance des risques couverts par les contrles internes, de lvolution de lentreprise (changement de stratgie, etc.) ou de son environnement.
3.5.3 Faiblesses de contrle interne et remonte de linformation
Le terme faiblesse , tel quil est utilis ici, dfinit, dans un systme de contrle interne, un lment auquel il faut prter attention. Une faiblesse peut correspondre une carence observe, potentielle ou relle. les faiblesses importantes sentendent daprs le PCAOB : une dficience significative, ou une combinaison de dficiences significatives, faisant en sorte quil ne soit pas trs improbable quune inexactitude importante dans les tats financiers annuels ou intermdiaires ne soit pas dtecte ou prvenue. La notification des faiblesses de contrle interne linterlocuteur appropri (directeur, comit daudit, conseil dadministration) constitue une condition importante pour le maintien de lefficacit du systme de contrle interne.
56
Conclusion de la premire partie Cette premire partie sest voulue didactique travers la prsentation du nouvel environnement impos par la loi Sarbanes-Oxley. Le fait de consacrer une partie importante de ce mmoire la prsentation de la loi et du cadre dvaluation recommand savoir le Coso est justifi par le fait que la loi est amricaine et par consquent elle nest pas trs pratique par les professionnels marocains. Aprs cette premire partie, une proposition dapproche pragmatique pour la conduite dune valuation du contrle interne lgard de linformation financire par la direction de lentreprise avec lassistance de lexpert comptable conseil sera dcrite.
57
Partie 2 : Conduite de la mission dvaluation du contrle interne lgard de linformation financire

La SEC na pas propos dans sa rgle dapplication intitule Managements Reports on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports , en date du 5 juin 2003 de procdures spcifiques pour diriger lvaluation du CIIF. Elle sest contente de dfinir dans le cadre de la porte de lvaluation quelques types de contrles tester. Mme sil nexiste aucun texte spcifique afin de guider les socits dans lorganisation et la ralisation des travaux ncessaires une valuation structure de lefficacit de leur contrle interne, le standard n2 du PCAOB a permis en partie de combler cette lacune et a constitu un guide intressant pour les socits tenues de ce conformer la loi. Ces dernires ont t plusieurs faire appel des cabinets daudit pour les assister dans leur dmarche dvaluation du contrle interne. Le rle de lexpert comptable conseil dans ce processus dvaluation serait trs important dans la mesure o celui-ci a une connaissance avre des diffrents risques susceptibles dentacher la fiabilit de linformation financire de lentreprise et est capable daccompagner le management dans la mise en place ou la revue du contrle interne. Cette deuxime partie de ce mmoire est ddie la prsentation dune dmarche pour lvaluation du CIIF par le management de lentreprise. Ce processus dvaluation implique plusieurs intervenants de lintrieur de lentreprise et de lextrieur et dans lequel lexpert comptable conseil peut jouer le rle de chef dorchestre pour coordonner le travail de tous les intervenants. Nous prsenterons dans un premier temps une comparaison entre lapproche adopte par les CAC pour lvaluation du contrle interne dans un objectif dmettre une opinion sur les comptes et lapproche propose dans le cadre dune valuation du CIIF. Ensuite nous prsenterons la dmarche pour lvaluation du CIIF et qui comprendra les grandes tapes suivantes :
58
Initiation du projet : prise de connaissance de lentreprise et de son environnement de contrle, constitution de lquipe projet, tablissement dun planning ; Dfinition du primtre (choix des cycles et processus significatifs) ; Production documentaire (analyse des risques et dfinition des activits de contrle) ; Evaluation de la maturit du CIIF ; Ralisation des tests sur les contrles et prparation des plans de correction ; La Qualification des dficiences et communication des rsultats.
59
Schma de lapproche dvaluation du CIIF Et rle des intervenants Initiation du projet

Prise de connaissance de lentreprise et de son environnement de contrle Expert comptable conseil Organisation du projet Comit de pilotage Expert comptable conseil Etablissement du planning Expert comptable conseil Comit de pilotage
Dfinition du primtre
Choix des cycles Expert comptable conseil Commissaire aux comptes Comit de pilotage Expert comptable conseil Dcoupage du cycle en processus Commissaire Comit de aux comptes pilotage
Documentation
Analyse des risques Expert Audit comptable interne conseil Dfinition des activits de contrle Entits Expert oprationnelles comptable conseil Mise jour Et contrle des procdures
Expert comptable conseil Entits oprationnelles
Evaluation de la maturit des contrles et plans daction

Evaluation de la maturit des contrles Expert Audit interne comptable conseil Plans daction Entits oprationnelles Expert comptable conseil
Phase de test
Planification des tests
Expert comptable conseil
Ralisation des tests CAC

Entits oprationnelles
CAC
Validation des rsultats des tests Audit interne
Plans de correction
Entits oprationnelles
Qualification des dficiences et communication des rsultats

Analyse des rsultats
Conclusion sur le contrle interne

CAC
CAC
Comit de pilotage
Communication des rsultats CEO et CAC CFO
60
Chapitre 1 : Comparaison entre les travaux du Commissaire aux comptes sur le contrle interne dans le cadre dune mission daudit et les nouvelles exigences de la loi SOX
1 Les travaux du Commissaire aux comptes sur le contrle interne dans le
cadre dune mission daudit

Le contrle interne est au cur des proccupations du commissaire aux comptes dans le cadre de sa mission. Le commissaire aux comptes apprcie le contrle interne de l'entreprise en fonction de son objectif de certification des tats de synthse. En consquence, il ne procdera une tude et une valuation du contrle interne que pour les systmes conduisant des comptes significatifs qu'il a identifis lors de la phase de planification de sa mission. Les travaux du commissaire aux comptes, relatifs au contrle interne (prise de connaissance de lenvironnement de contrle interne et valuation du risque de contrle), sont rsolument organiss dans un but de certification des comptes. Ses travaux sur le contrle interne lui permettent : didentifier les types danomalies significatives potentielles qui peuvent avoir une incidence sur les comptes ; de dfinir les procdures daudit appropries.
Lvaluation du contrle interne nest donc pas une fin en soi, mais une composante essentielle de lquation qui permet au commissaire aux comptes de dterminer une approche daudit adapte. C'est--dire, une approche permettant de produire une opinion daudit de qualit (les zones de risques ayant t systmatiquement identifies) et sappuyant sur une approche pragmatique. Dautre part, lvaluation du contrle interne par le commissaire aux comptes nest pas faite par rapport un rfrentiel de contrle interne reconnu tel que le COSO aux Etats-Unis ou le nouveau cadre de rfrence franais publi en mai 2006.
61
2 SOX
Lvaluation du contrle interne dans le cadre de larticle 404 de la loi
Lvaluation du contrle interne par les dirigeants de lentreprise et la certification du contrle interne par le commissaire aux comptes dans le cadre de la loi SOX est bien une fin en soi. En effet, aussi bien les dirigeants que le commissaire aux comptes doivent produire des rapports sur le contrle interne au titre de lexercice concern. Lvaluation du contrle interne par les dirigeants de la socit conformment larticle 404 de la loi SOX doit tre faite sur la base dun cadre de contrle adquat. La SEC dans sa rgle finale dapplication fait rfrence au cadre COSO. Ce cadre rappelons-le comprend cinq composantes essentielles savoir : Lenvironnement de contrle : lenvironnement dans lequel les personnes accomplissent leurs tches et assument leurs responsabilits ainsi que les qualits individuelles des collaborateurs et surtout leur intgrit, leur thique et leur comptence, constituent le socle de toute organisation. Evaluation des risques : lentreprise doit tre consciente des risques et les matriser. Elle doit fixer les objectifs et les intgrer toutes ses activits y compris financires afin de fonctionner de faon harmonieuse. Elle doit galement instaurer les mcanismes permettant didentifier, analyser et grer les risques correspondants. Activits de contrle : les normes et procdures de contrle doivent tre labores et appliques pour sassurer que sont excutes efficacement les mesures identifies par le management comme ncessaires la rduction des risques lis la ralisation des objectifs. Information et communication : les systmes dinformation et de communication permettent au personnel de recueillir et changer les informations ncessaires la conduite, la gestion et au contrle des oprations. Pilotage : lensemble du processus doit faire lobjet dun suivi et des modifications doivent y tre apportes le cas chant. Au-del de ce qui est requis pour les dirigeants dans le cadre de lvaluation du CIIF, mme le commissaire aux comptes tenu dmettre une opinion sur le contrle interne est tenu de se conformer des standards en matire de vrification du contrle interne.
62
En effet, le PCAOB avait publi en 2004 la norme relative au contrle interne Auditing Standard n2 An Audit of Internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements . Cette norme constitue une rfrence incontournable sur lvaluation du contrle interne lgard de linformation financire. Elle est particulirement dtaille puisquelle reprsente un document denviron 200 pages dcompos en 17 rubriques compltes par 5 annexes (Annexe 2). Par ailleurs certaines limites ont t constates au niveau de la norme et concernent notamment : la dtermination du primtre des entits considrer dans le cas de groupes de socits de taille significative ; la dfinition de la stratgie de tests (tendue des travaux, date de ralisation, ) ; la qualification des dficiences de contrle.
63
Chapitre 2 :
Initiation du projet
Il sagit de la premire phase de la mission daccompagnement de lexpert comptable conseil la direction de lentreprise pour lvaluation du CIIF. La bonne gestion de cette phase est primordiale pour la russite de lvaluation du CIIF par la direction de lentreprise. Cette premire phase regroupe trois tapes : Prise de connaissance de lentreprise et de son environnement de contrle Organisation du projet Etablissement dun planning prvisionnel dtaill pour la ralisation du projet
La premire tape qui consiste en la prise de connaissance de lentreprise et de son environnement de contrle est raliser par lexpert comptable conseil. Ceci lui permettra de cerner notamment lactivit de lentreprise, les diffrents processus lis lactivit, les diffrents intervenants dans ces processus ainsi que les systmes dinformation utiliss. Ltape dtablissement dun planning prvisionnel du projet doit tre ralise en coordination avec tous les protagonistes du projet : le comit de pilotage ; lquipe projet comprenant des contributeurs externes (lexpert comptable conseil et le consultant SI) ; le Commissaire aux comptes ; les responsables des cycles.
Lintrt de cette coordination est danticiper les contraintes qui peuvent surgir lors de la ralisation du projet et de fixer les rles et le budget temps pour tous les acteurs du projet.
1
1.1
Prise de connaissance de lentreprise et de son contrle interne

Prise de connaissance de lentreprise
La comprhension approfondie de lactivit de la socit est trs importante pour la russite de la mission de lexpert comptable conseil. La prise de connaissance de lentreprise se fait aussi bien de lintrieur que de lextrieur. 64
1.1.1 Informations externes lentreprise Divers informations manant de lextrieur peuvent participer la comprhension de lactivit par lexpert comptable conseil. Il sagit des informations telles que : les statistiques du secteur ; la composition de la concurrence ; la rglementation qui rgit le secteur ; les spcificits comptables, fiscales et sociales du secteur.
Les informations recueillies doivent tre centralises, notamment par le responsable de mission dsign par lexpert comptable conseil, ensuite analyses et synthtises. 1.1.2 Informations internes lentreprise Cette connaissance de lentreprise de lintrieur sacquiert travers notamment : lanalyse documentaire ; la ralisation dentretiens avec les responsables de la socit.
Lanalyse documentaire :
Une multitude de documents produits par lentreprise sont ncessaires lexpert comptable conseil dans le cadre de cette phase de prise de connaissance de lentreprise. Il sagit dune documentation sur : lorganisation de lentreprise ; lactivit (chiffre daffaires, liste des produits,.) les activits supports (les achats, la comptabilit, les ressources humaines) diverses informations utiles (informations juridiques, liste des filiales).
Une liste des principales informations utiles la mission de lexpert comptable conseil est dans le guide dvaluation du CIIF en annexe 3. Les entretiens :
A travers lanalyse documentaire, lexpert comptable conseil dfinit les cycles cls (voir chapitre 3 : Scoping) concernant lesquels il droulera des entretiens. 65
Lobjectif de lentretien est de prendre connaissance du cycle et de ces processus travers notamment la description des procdures en vigueur. Un test de conformit est utile la suite des entretiens puisquil permet dune part de sassurer de la bonne comprhension du processus et dautre part de confirmer que le descriptif est conforme la procdure telle quelle est applique par lentreprise. Pour les processus couverts par des procdures, lexpert comptable conseil dgagera lcart entre la procdure documentaire et la procdure applique, ceci permettra ventuellement la mise jour de la procdure. Pour les processus non couverts par des procdures, il prendra connaissance des divers risques et contrles relatifs au processus, lesquels seront par la suite documents dans une procdure. 1.2 Comprhension du contrle interne
Cette comprhension du contrle interne lgard de linformation financire doit couvrir les cinq composantes du contrle interne ainsi que dfinies par le rfrentiel Coso savoir : Lenvironnement de contrle ; Lvaluation des risques ; Les activits de contrle ; Linformation et communication ; Le pilotage.
A lintrieur de ces composantes, lexpert comptable conseil devrait se focaliser sur les lments faisant partie du CIIF tels que prvus par la SEC dont principalement les aspects : dautorisation des oprations dencaissement et de dcaissement ; de protection des actifs ; denregistrement des oprations et prsentation des comptes ; de risque de fraude. 1.2.1 Lenvironnement de contrle En matire dapprciation de lenvironnement de contrle une attention doit tre porte aux aspects garantissant la qualit de cet environnement : Intgrit, thique et comptence : Il convient de considrer les facteurs suivants pour apprcier lintgrit et thique : 66
existence de codes de conduite ; assignation dobjectifs ralisables ou non ralisables aux salaris ; existence ou non de descriptifs formaliss de tches et des responsabilits ; existence ou non danalyse de comptence pour mener bien les tches confies ;
Comit daudit et Audit interne : Les aspects suivants devraient tre approchs : les fonctions du comit daudit ; le degr dindpendance du dpartement daudit et ses rapports avec le comit daudit ; le niveau de comptence des auditeurs ; la qualit des rapports produits par le dpartement daudit ; le contenu des plans daudit.
Pilotage de lactivit : Existence ou non d'un reporting priodique sur les rsultats raliss ; Existence ou non dun suivi budgtaire
Dlgation : Les rgles en matire dinitiation des engagements ; Les diffrents niveaux dapprobation ; Lattention accorde au systme dautorisation.
1.2.2 Lvaluation des risques Lexpert comptable conseil demande lvaluation des risques prpare par la socit. Ceci lui permettra dune part de cartographier les processus faisant lobjet dune analyse des risques et dautre part identifier les processus dont les risques affrents nont pas t analyss. Pour les processus ayant fait lobjet dune analyse des risques, lexpert comptable conseil fait une revue du travail ralis par lentreprise pour apprcier dans quelle mesure il peut tre exploit. Cette revue permet galement dviter la redondance des travaux et par consquent une optimisation du budget temps.
67
Cette revue est faite par rapport la dmarche propose pour lvaluation des risques (voir partie II, chapitre 3). 1.2.3 Les activits de contrle Lexpert comptable conseil pour tous les cycles processus et sous processus choisis (voir partie II, chapitre 3 : Scoping), procdera : Au recensement des activits de contrle existantes ; A lanalyse de la sparation des tches. Concernant les activits de contrle existantes, le recensement portera aussi bien sur les contrles documents dans les procdures que sur les contrles qui ne le sont pas encore. Lanalyse de la sparation des tches permettra de reprer les ventuels cumuls de fonctions. En effet, pour rduire les risques derreurs et dirrgularit, lautorisation des transactions, lenregistrement de celles-ci et lenvoi ou la manipulation de lactif correspondant doivent tre effectus par des personnes diffrentes. Lensemble de ces travaux permettrait dune part lexploitation de lexistant notamment lors de la phase de documentation (dfinition des activits de contrles affrentes aux risques reprs) et dautre part, bien dfinir les responsables de contrles pour pouvoir garantir la sparation des tches. 1.2.4 Linformation et communication La prise de connaissance des systmes dinformations doit porter essentiellement sur les aspects suivants : Structure du service informatique (effectif, formation, sparation des tches) ; Matriel utilis (les capacits de sauvegarde, les frquences de sauvegarde) ; Logiciels utiliss et les types dinterfaces (manuels ou automatiques) avec le systme comptable ; La scurit du systme informatique (ordinateurs de secours disponibles, fichiers de secours dans dautres btiments, documentation des mthodes suivre en cas durgence).
68
Etant donn que lexpert comptable conseil ne peut prtendre dtenir les connaissances techniques approfondies des systmes informatiques le recours un consultant informatique est ncessaire surtout pour les entreprises voluant dans un environnement fortement informatis. Pour laspect communication, une attention doit tre accorde aux diffrents moyens de communication utiliss par lentreprise pour acheminer ses messages, tels que les sites intranet, les manuels de procdures, etc. 1.2.5 Le pilotage Le pilotage tant le processus dvaluation du contrle interne travers le temps pour vrifier son fonctionnement efficace, lexpert comptable conseil approchera dune part les services daudit interne pour apprcier leur valuation du contrle interne travers les missions daudit ralises et sollicitera dautre part les ventuels auto-valuations effectues par les entits oprationnelles. Lobjectif tant de comprendre comment le management pilote le contrle interne de faon gnrale.
69
2
2.1
Organisation du projet
Les intervenants dans le projet
Le projet devra idalement tre structur comme suit :

Comit de pilotage
Commissaire Aux comptes
Equipe projet
(Comprenant lexpert comptable conseil)
Responsable Cycle n 1
Responsable Cycle n
2.2
Le rle des intervenants dans le projet
2.2.1 Comit de pilotage Ce comit peut comprendre les directeurs des diffrents ples de lentreprise et serait prsid idalement par le CFO. Son rle sarticule autour des aspects suivants : Organisation gnrale du projet Validation des cycles et comptes significatifs Pilotage des ressources ddies au projet Validation et suivi du planning Validation des principales tapes du projet Interface avec les responsables de la socit mre (cote la bourse des USA)
2.2.2 Equipe projet Cette quipe est prside par un chef de projet issu de lentreprise. Elle combinera ressources internes de lentreprise, notamment laudit interne, et consultant externes (expert comptable conseil, consultant informatique). Son rle est essentiellement : Conduite oprationnelle et gestion du projet :
70
Choix des cycles et comptes significatifs Production et mise jour du planning du projet Dfinition et suivi des indicateurs cls du projet Prparation des tableaux de bord remis au comit de pilotage Suivi de lavancement des travaux Coordination des travaux des oprationnels
Suivi de la production documentaire : Validation des matrices de risques et hirarchisation des risques Identification des contrles cls Explication de lapproche et rdaction dinstructions pour les oprationnels Revue des procdures produites par les oprationnels Centralisation et mise jour de la documentation Assistance mthodologique aux responsables des cycles
Evaluation de la maturit des contrles : Identification des contrles cls en valuer la maturit Choix des quipes Rdaction dun guide de travail Consolidation et analyse des rsultats
Ralisation des tests et tablissement des plans de correction : Dtermination de la taille des chantillons Prparation dun mode opratoire pour la ralisation des tests Prparation des feuilles de tests Choix des quipes de tests Ralisation des tests Synthse et analyse des rsultats des tests Dfinition des plans de correction Suivi des plans de correction
Apprciation des dficiences et rdaction du rapport : Inventaire des dficiences de contrle identifies Qualification des dficiences de contrle 71
Analyse des dficiences de contrle Rdaction du rapport
A noter aussi que lquipe projet assure la coordination avec les Commissaires aux comptes en terme de choix des cycles et comptes significatifs, de choix des contrles cls tester, de dfinition de la taille des chantillons et danalyse des dficiences de contrle. Le rle de lexpert comptable conseil lintrieur de lquipe projet est important, il est comme un chef dorchestre. Son rle consiste apporter une expertise technique, un support mthodologique et du conseil en matire de diagnostic, damlioration et dvaluation du contrle interne lgard de linformation financire. Son apport sera dtaill dans chaque phase de ce processus dvaluation du CIIF dcrit dans ce mmoire. Pour le consultant informatique son rle est de participer lanalyse des risques, la dfinition des contrles informatiques gnraux et la supervision des tests sur ces contrles. En effet, les contrles informatiques gnraux couvrent les grands thmes suivants : Scurit des donnes et gestion des droits daccs Protection des systmes et des donnes Gestion des changements (migrations, mise en place de nouvelles versions).
A noter que les contrles gnraux sont regroups dans un seul cycle qui peut tre intitul Cycle Systme dinformation sur lequel intervient le consultant informatique. Pour les contrles sur les applications, appels contrles applicatifs , ils sont noys avec les autres contrles relatifs chaque cycle, leurs conceptions et leurs tests ne ncessitent pas le recours des spcialistes informatique. Par exemple pour le contrle du bon paramtrage des dures et des taux damortissement dans lapplication informatique, un test manuel sur un nombre de transactions rduites est suffisant pour sassurer de la fiabilit du paramtrage. 2.2.3 Responsables des cycles Pour chaque cycle (Immobilisations, Achats-Fournisseurs,..), il est dsign un responsable. Ces responsables de cycles sont des ressources internes de lentreprise, leur rle est essentiellement : Contribution lidentification des risques et la dfinition des contrles Mise jour ou rdaction des procdures 72
Formalisation et application des points de contrle Assistance des quipes de rdaction des procdures Revue des procdures Supervision des contrles Participation la mise en uvre des phases de test Application des plans de correction
2.2.4 Le Commissaire aux comptes Conformment larticle 404 de la loi SOX et lauditing Standard n2 mis par le PCAOB, le commissaire aux comptes a pour objectif dans le cadre de laudit du contrle interne lgard de linformation financire dexprimer une opinion sur lefficacit du contrle interne lgard de linformation financire de la socit. Les principales tapes de la mission du commissaire aux comptes sont les suivantes : Dtermination du primtre de ses travaux (Comptes significatifs et assertions pertinentes) Comprhension du contrle interne lgard de linformation financire de la socit Mise en uvre dune stratgie de tests Qualification des dficiences ventuelles de contrles et communication des rsultats. Une coordination est ncessaire entre la direction de lentreprise assiste par lexpert comptable conseil et le commissaire aux comptes, notamment lors de la dfinition des comptes significatifs et des processus sous-tendant linformation financire, aussi lors du choix des contrles cls tester. En effet, le commissaire aux comptes recourt souvent aux travaux raliss par dautres personnes, notamment laudit interne de la socit ou dautres personnes diligentes par la socit ; donc pour quil puisse bien exploiter ces travaux, il est ncessaire quil yait une coordination pralable entre le commissaire aux comptes et la direction de la socit.
73
Il existe par ailleurs entre lexpert comptable conseil et le commissaire aux comptes des frontires mais galement des points de rencontre. Cette situation se prsente schmatiquement comme suit :
Expert Comptable Conseil Conduite de lopration de documentation (Analyse des risques, revue des activits de contrles, revue des procdures) Planification et suivi de lopration dvaluation de la maturit des contrles Planification et suivi de lopration des tests
Commissaire aux comptes

* Comprhension de lenvironnement de contrle * Dfinition du primtre * Analyse des rsultats des tests * Qualification des dficiences
Ralisation des tests de cheminement Ralisation des tests de fonctionnement Rapport sur le CIIF
Assistance llaboration du rapport dvaluation du CIIF de la direction
Planning prvisionnel du projet
La planification dun projet dune telle envergure est dterminante pour sa russite. Cette russite est tributaire de : la dfinition de toutes les tapes du processus : du lancement du projet jusqu la diffusion du rapport ; le morcellement de ces tapes en plusieurs tches ; la fixation dun budget temps raliste ; la prvision des ressources humaines comptentes et suffisantes ; la prvision des runions priodiques pour le pilotage du projet ; ladhsion de tous les intervenants du projet ce planning, notamment le CEO et le CFO. 3.1 Proposition dun planning
La dure totale du projet, compte tenu de sa complexit, stablirait environ 21 mois et comprendrait les tapes suivantes : 1. Initiation du projet 2. Dfinition du primtre (Scoping) 3. Production documentaire 4. Evaluation de la maturit des contrles 74
5. Tests sur les contrles et tablissement des plans de corrections 6. Apprciation des dficiences et rdaction du rapport A noter que lvaluation du CIIF porte sur tout lexercice comptable, de ce fait les procdures comprenant les contrles doivent tre disponibles au plus tard au dbut de lexercice objet de lvaluation. Le planning stablirait de manire suggestive comme suit : Modle de planning :
Etapes du projet
Initiation du projet Dfinition du primtre Production documentaire Evaluation de la maturit des contrles Tests sur les contrles et tablissement des plans de corrections Apprciation des dficiences et rdaction du rapport NB : - Lexercice objet de lvaluation du CIIF tant lexercice N - Un planning dtaill comprenant les tches par tape est propos en annexe 4
N-1
Jul-Sept Oct-Dc Janv-Mar
N
Avr-Jui Jul-Sept Oct-Dc
N+1
Janv-Mar
La dure suggre ci-haut correspond au cas o la socit est tenue de se conformer pour la premire fois la loi SOX. Cette dure serait moins importante pour les exercices suivant le premier exercice dvaluation ainsi que pour les exercices durant lesquelles lentreprise pourrait subir des volutions au niveau de son organisation telles que : changement des processus suite des volutions dans les mtiers ou dans la faon de les exercer ; mise en place de nouveaux systmes informatiques ; acquisitions et cessions dentits. 75
3.2
Aperu sur la dure des tapes
Les tapes du projet les plus consommatrices de temps sont essentiellement la phase de production documentaire, la phase dvaluation de la maturit des contrles et surtout la phase des tests. La phase de production documentaire ncessite un budget temps important (environ 3 mois), tant donn quelle comprend des travaux consistants : lanalyse des risques, la dfinition des activits de contrle et surtout ltablissement et/ou la mise jour des procdures. Cette phase conditionne la bonne marche du projet. En effet, une analyse insuffisante des risques ou une mauvaise conception des activits de contrle entranera inluctablement des dficiences de contrle. Partant de l, le management a intrt accorder cette phase le temps et les ressources quil faut pour assurer sa bonne fin. La phase dvaluation de la maturit des contrles est la phase pralable la phase des tests. La dure de sa ralisation est importante (2 3 mois) tant donn quelle concerne tous les contrles cls dfinis ; elle est ralise par des ressources limites, notamment laudit interne de la socit auprs dun grand nombre dentits oprationnels. La phase des tests est la phase qui consomme le plus de temps dans ce projet (en moyenne 6 mois) et sa ralisation est fragmente dans le temps, tant donn les contraintes suivantes : Il est ncessaire de mener une campagne de test au milieu de lexercice et ce pour pouvoir dceler les imperfections et les corriger temps ; Il est matriellement impossible de raliser tous les tests de procdure dans les derniers jours prcdent la date de clture annuelle ; Il existe des contrles annuels qui ne peuvent tre tests quau dbut de lanne N+1, cest le cas des contrles relatifs aux activits de clture de lexercice.
76
Chapitre 3 :
Dfinition du primtre
La dfinition du primtre dintervention (choix des cycles et processus significatifs) est une des premires tapes des travaux raliss par la socit (expert comptable conseil et validation du comit de pilotage) et valide par le Commissaire aux comptes. Cette tape est capitale puisque trs structurante ; elle est dautant plus difficile lorsque la taille du groupe est importante. La ralisation de cette phase quon appelle scoping est inspire notamment du standard n2 du PCAOB. Cette phase consiste au choix des cycles partir notamment des tats financiers ensuite dcortiquer ces cycles en processus et ventuellement en sous-processus. Lobjectif in fine est de ressortir les contrles cls par processus et ventuellement par sousprocessus et tester leur application. Il est donc important quil yait convergence entre la direction de lentreprise et le Commissaire aux comptes sur les domaines significatifs pour que les conclusions sur le contrle interne lgard de linformation financire des deux acteurs ne soient pas diffrents. Le rle de lexpert comptable conseil dans cette phase est dassister la direction de lentreprise au choix des entits du primtre, au choix des cycles et comptes significatifs et la participation avec lquipe projet au dcoupage des cycle en processus et ventuellement en sous processus. Un guide de travail de lexpert comptable conseil est prsent en Annexe 3. Avant dentamer notre dmarche pour identifier les cycles, processus et sous processus concerns par la SOX, il est ncessaire, priori, de donner des dfinitions de ces diffrents concepts.
1
1.1
Choix des cycles

Dfinition dun cycle
Un cycle peut tre prsent comme un ensemble de comptes prsentant les mmes risques inhrents et sont utiliss pour traduire les mmes oprations.
77
Les cycles qui sont communment retenus par les professionnels dont notamment la compagnie nationale des commissaires aux comptes (France) dans lEncyclopdie des contrles comptables sont: 1.2 Achats et fournisseurs Immobilisations Paie et Personnel Trsorerie Stocks Ventes et clients Engagements hors bilan Identification des cycles
La dmarche pour lidentification des cycles est inspire notamment du standard n2 du PCAOB qui dcrit les principes didentification des comptes significatifs. Il sagit en fait didentifier les comptes qui sont susceptibles de contenir des erreurs qui individuellement ou de faon groupes pourraient avoir un impact matriel sur les tats financiers. Il sagit de tenir compte des facteurs quantitatifs et qualitatifs suivants : Montant et composition du compte Probabilit de pertes rsultant de fraudes ou derreurs Volume des oprations, complexit et homognit des oprations comptabilises dans le compte Nature du compte (par exemple, les comptes dattente ncessitent gnralement une attention particulire) Problmatique comptable associe au compte Existence doprations relatives des parties lies comptabilises dans ce compte La probabilit (ou la possibilit) quun passif ventuel significatif dcoule des activits reprsentes par le compte; Dun point de vue pratique, il est procd ltablissement dun listing des comptes utiliss dans la prparation des comptes consolids.
78
Il est procd ensuite la comparaison entre le solde de ces comptes par rapport lerreur tolrable (montant calcul partir du seuil de signification et qui reprsente le montant maximum au-del duquel une anomalie affecte la rgularit, la sincrit et limage fidle du compte) et ltablissement dune premire classification partir de ces lments quantitatifs. Ensuite, il est procd lanalyse des facteurs qualitatifs qui pourraient remettre en cause cette premire identification des comptes significatifs. Un tableau danalyse est propos en Annexe 5. A partir des comptes significatifs choisis, il est procd la dfinition des cycles. Pour lentreprise marocaine do ce travail est inspir, il a t identifi suite lanalyse des comptes consolids, les cycles suivants : Ventes / clients (activit A) Ventes / clients (activit B) Ventes / clients (activit C) Achats et fournisseurs Immobilisations Paie et Personnel Trsorerie Stocks Engagements hors bilan
En plus des cycles prcdemment cits dautres cycles susceptibles davoir un impact significatif sur linformation financire ont t aussi choisis, savoir : Arrts des comptes Les systmes dinformation Communication financire Aspects juridiques et rglementation Environnement de contrle
Le choix de ces derniers cycles est justifi par les raisons suivantes :
79
- Cycle arrt des comptes : ce cycle peut comprendre plusieurs risques lis notamment la multitude de sources dinformation qui alimentent ce cycle (le contrle de gestion de chaque branche dactivit, les entits rgionales, les filiales) et ltendu du cadre rglementaire qui rgit la production des comptes. Des risques peuvent se manifester lintrieur de ce cycle, travers par exemple : linexistence dun planning darrt de compte ou le non respect de ce planning, le suivi faillible des filiales et participations, la non-conformit par rapport aux normes comptables internationales, notamment des IFRS et US GAAP. - Cycle systme dinformation : la socit dispose de plusieurs systmes dinformation, notamment le SI Finance et Gestion (Finance-comptabilit, trsorerie, immobilisations, stock) et les SI Commerciaux. Des failles dans la gestion de ces systmes dinformation peuvent avoir un impact significatif sur linformation financire. Ces systmes dinformation autant ils permettent loptimisation des ressources, les gains de temps et la sauvegarde dinformation, autant ils comprennent des risques dus entre autres labsence doutils assurant la continuit dexploitation (back-up), linsuffisance de la gestion de lexploitation informatique (droits daccs, sauvegarde de donnes) et aussi aux management des systme dinformation (acquisition, maintenance, scurit). A noter que le cycle systme dinformation, traite les risques des systmes dinformation de faon gnrale tels que dcrits ci-dessus savoir la gestion de continuit de services, la sauvegarde de donnes et la gestion de droits daccs, la politique dacquisition de maintenance et de scurit. Les risques spcifiques tel ou tel systme dinformation sont traits lintrieur du cycle correspondant, par exemple le risque correspondant un mauvais paramtrage des taux damortissement sera trait dans le cycle Immobilisations. La prsence dun consultant informatique au sein de lquipe projet est ncessaire pour accompagner le responsable du cycle systme dinformation dans la ralisation des travaux menant lvaluation de lefficacit du contrle interne des systmes informatiques utiliss dans la prparation de linformation financire.
80
- Cycle communication financire : le choix de ce cycle a t fait en dehors de lobligation de se conformer la SOX parce que la socit marocaine do ce travail est inspir nest pas cote sur le march amricain, elle est plutt une filiale dune socit cote. Nous entendons par communication financire, les documents mis tels que le document de rfrence la demande de lautorit du March Financier en France et les communications de rsultat la presse et aux analystes financiers par et sous la responsabilit de la socit. Ceci dit, la communication financire est un axe important dans la relation quentretien la socit avec les tiers, elle doit tre entoure de suffisamment de contrles pour viter les risques derreur. - Cycle aspect juridique et rglementation : ce cycle englobe essentiellement les aspects lis la rglementation sectorielle, la rglementation boursire (CDVM), les litiges juridiques et fiscaux et aussi les dlgations de pouvoir. La rglementation aussi bien sectorielle que boursire correspond un ensemble dobligations auxquelles les socits doivent se conformer, le non respect de cette rglementation soumet lentreprise des sanctions. Par consquent, lentreprise doit mettre en place un ensemble dactivits de contrles qui lui permettent dviter de sexposer au risque de sanctions ou le cas chant prvoir des contrles qui permettent de prendre en charge ces risques au niveau des tats financiers.
Choix des entits du primtre

Par ailleurs, lorsque la socit comprend des filiales, il ya lieu dans ce cas de dfinir les entits entrant dans le primtre des travaux dvaluation du contrle interne lgard de linformation financire. Les entits individuellement significatives sont significatives par leur taille ou par leur risque spcifique. Dun point de vue pratique, une entit sera juge significative par sa taille si elle reprsente 5% du montant utilis pour le calcul du seuil de signification. Lidentification des entits significatives par leurs risques propres doit se baser sur lexprience en terme danomalies rencontres, sur lexistence de changements oprationnels importants et sur 81
lexistence de comptes ayant des soldes suprieurs lerreur tolrable calcule au niveau du groupe (environ 50% du seuil de signification). Aussi, il est possible mme pour les entits significatives dexclure du primtre dvaluation de leur contrle interne les comptes dont le solde nest pas important par rapport aux soldes consolids. Par exemple, si une entit a t slectionne comme entit significative et que ses stocks ne reprsentent quune infime portion des stocks du groupe (pour des raisons dactivit notamment), lvaluation du contrle interne relatif aux stocks de cette entit pourra tre carte. Un exemple simple illustrant la slection des entits significatives est prsent en Annexe n 6.
2 2.1
Dcoupage du cycle en Processus Dfinition dun processus
Le processus peut tre dfini comme un regroupement cohrent dactivits, aliment par des entres et qui sont transformes en sorties. A titre dexemple le cycle vente peut comprendre un ensemble de processus dont chacun peut avoir un impact sur les tats financiers. Il sagit des processus tels que, vente ralise par le biais dun rseau de distribution ou le processus vente directe ou encore le processus de vente en ligne.
2.2
Identification des processus
Lidentification des processus par cycle nest pas un exercice facile, il suppose une bonne connaissance de lentreprise. La concertation entre lexpert comptable conseil, lquipe projet et les responsables des cycles est ncessaire pour dfinir les processus relatifs chaque cycle. Le dcoupage des activits de la socit en processus et ventuellement en sous processus nest pas un exercice standard, il est ralis en fonction de lactivit de lentreprise et en fonction de ses comptes significatifs.
82
A titre dexemple, une entreprise ayant deux activits distinctes et chaque activit dispose de plus dun rseau de distribution. Le dcoupage propos est le suivant : Cycle Vente/ clients (Activit A) Vente / clients (Activit B) Processus - Vente directe - Vente via un rseau de distribution - Vente via internet - vente directe
Ce dcoupage peut tre encore affin avec le morcellement des processus en sous processus. En effet, les processus comportent une srie des tches telles que la saisie des donnes dentres jusqu la publication des donnes. Ces tches sont en fait des sous processus qui comprennent un ensemble de risques et un ensemble dactivits de contrles. Le dcoupage du processus vente directe (cycle Vente / clients Activit A ) pourrait produire les sous processus suivants : Paramtrage des comptes clients Gestion des commandes Gestion de la facturation Comptabilisation Gestion des encaissements Gestion des avoirs
En annexe 7 quelques exemples de dcoupage de cycles en processus et sous processus.
83
Chapitre 4 :
Documentation
Nous entendons par la phase documentation lensemble du processus qui dbute par lidentification des risques jusqu la formalisation des contrles dans des procdures. Cette phase de documentation sera dcortique comme suit : analyse des risques ; dtermination des activits de contrle ; mise jour des procdures.
Le rle de lexpert comptable dans cette tape est dassurer la conduite de lanalyse des risques et la documentation des activits de contrle et la revue de la mise jour des procdures. Un guide de travail de lexpert comptable conseil est prsent en Annexe 3.
Analyse des risques
Cette tape consiste tablir des matrices de risques par cycle, processus et sous processus. Lobjectif tant de dresser une cartographie des tous les risques susceptibles davoir un impact sur linformation financire par cycle, processus et sous processus. Cette tape peut tre mene par laudit interne de la socit qui dispose gnralement dune bonne connaissance des risques spcifiques lentreprise sous le pilotage de lexpert comptable conseil. Les entits oprationnelles chacune reprsente par son responsable de cycle peuvent elles aussi tre associes dans ltape didentification des risques (tape n 3 du processus danalyse des risques). Les rapports daudit interne sont aussi une source importante pour lidentification des risques spcifiques lentreprise. Lanalyse des risques passe par les tapes suivantes : conception dun canevas de matrice des risques ; dfinition des objectifs lis aux informations financires ; identification des risques ; hirarchisation des risques.
84
1.1
Conception dun canevas dune matrice des risques
La matrice de risques est tablie par cycle et par processus, elle constitue une base de donnes de tous les risques susceptibles davoir un impact sur linformation financire par cycle, processus et aussi par sous processus. La matrice de risques permet de faire ressortir la hirarchisation des risques par ordre dimportance. Cette matrice comprendra aprs la phase de scoping et lors de la phase danalyse des risques les lments suivants : le libell du cycle (Immobilisations, stocks, achats/fournisseurs..) les libells des processus et le cas chant des processus rattachs au cycle la rfrence du risque la description du risque matrialit du risque (importance) occurrence (probabilit) Qualification du risque (matrialit x occurrence) Les objectifs en matire dassertions sur les comptes (Existence ou survenance, Exhaustivit, Droits et obligations, Evaluation ou rattachement, Prsentation) Cette matrice sera enrichie au fur et mesure de lavancement du processus, lobjectif in fine tant darriver un rsultat de test pour chaque couple contrle-risque. 1.2 Dfinition des objectifs lis aux informations financires
Fixer les objectifs, est une condition pralable lvaluation des risques pouvant avoir un impact sur linformation financire. Les objectifs lis aux informations financires impliquent que les comptes soient rguliers et sincres et quils soient prpars conformment aux principes comptables gnralement admis ou dautres principes comptables pertinents ou encore la rglementation en vigueur pour ce qui est des informations financires publies.
85
Lobjectif, correspond rpondre la question quel est le risque sur mes comptes ? Les rponses sont un ensemble dassertions contenues dans les tats financiers : Existence ou survenance : les actifs, passifs et droits de proprit existent une date prcise et les transactions enregistres correspondent des vnements qui sont rellement survenus au cours dune priode dtermine. Exhaustivit : toutes les transactions, vnements ou circonstances qui sont survenus au cours dune priode spcifique et qui auraient d tre pris en compte au cours de cette mme priode ont effectivement t enregistres. Droits et obligations : les actifs correspondent aux droits et les passifs aux obligations de lentit une date donne. Evaluation ou rattachement : les lments de lactif, du passif, des produits et des charges sont comptabiliss leur juste montant conformment aux principes comptables appropris et pertinents. Les transactions sont mathmatiquement exactes, pour ce qui est de leur montant, et correctement enregistres dans les livres. Prsentation : les informations financires sont prsentes et dcrites de faon approprie et les informations fournies sont communiques clairement, 1.3 Identification des risques
Le risque est identifi par processus ou le cas chant par sous processus. Il est identifi par rapport aux objectifs (assertions contenues dans les tats financiers). Si lobjectif recherch pour un poste dactif tant la ralit, il faut dfinir compte tenu des spcificits de lentreprise un ou des risques qui peuvent avoir un impact sur lexistence de cet lment dactif. Prenons lexemple suivant : Les Cycle : immobilisation, processus : dprciation des actifs/Amortissement assertions relatives aux comptes damortissement concernent essentiellement
lexhaustivit et lvaluation. Les risques relatifs lexhaustivit seront par exemple : 86
Non saisie de mises en services Mauvais paramtrage de lapplication informatique de gestion des immobilisations.
Les risques relatifs lvaluation seront titre dexemple : Mthode ou dure d'amortissement inappropries, Erreurs de saisie des dates de mise en service Mauvais paramtrage de lapplication informatique de gestion des immobilisations.
Il est souhaitable didentifier dans un premier temps tous les risques potentiels pouvant se produire sil nexistait aucun contrle avant de procder leur hirarchisation. Lidentification des risques doit tre faite par lexpert comptable consultant avec laudit interne. Les entits oprationnelles reprsentes par leurs responsables de cycle sont aussi associes cette tape didentification des risques travers : 1.4 la validation des risques identifis par laudit interne et revus par lexpert comptable conseil, la reformulation ventuelle des risques remonts en fonction du vocabulaire et des spcificits de lentreprise, lajout ventuel des risques oublis par lexpert comptable consultant et laudit interne, le dcoupage de certains risques trop gnraux en risques plus spcifiques. Hirarchisation des risques
Il est ncessaire de procder une hirarchisation des risques une fois que ceux-ci ont t identifis. Il existe diffrentes faons de procder, dans la mesure o les risques sont difficiles quantifier. Ce que nous proposons et qui est plus ou moins formel se dcompose gnralement de la faon suivante : valuation de limportance du risque (matrialit), valuation de la probabilit de survenance du risque (occurrence), qualification du risque, qui reprsente le produit de la matrialit et de loccurrence.
La hirarchisation des risques savre difficile et elle doit tre rationnelle et minitieuse. Elle peut tre dcrite comme suit :
87
limportance du risque (matrialit): Il sagit dvaluer le risque financier inhrent aux lignes des tats financiers. Cette valuation devrait tre faite par lexpert comptableconsultant et laudit interne de lentreprise indpendamment de lefficacit des contrles mis en place par lentreprise. La matrialit du risque peut tre value au mieux comme tant leve , moyenne ou faible ; et on attribuera pour chacun des niveaux respectivement la cte 3, 2 et 1. Cette cte est dfinie en fonction notamment de limportance du solde du compte et aussi du volume des transactions comptabilises.
Pour la probabilit de survenance du risque (occurrence) : elle est value de la mme manire que limportance des risques, hormis le fait que ce sont les entits oprationnelles qui dfinissent son niveau du fait quils ont connaissance de loccurrence de lerreur. Lexpert comptable-consultant se chargera de la validation de cette notation en se rfrant notamment aux rapports daudit (interne et externe) qui peuvent comprendre des constats relatifs tel ou tel risque. Plusieurs facteurs interviennent dans la dtermination de la probabilit du risque, tels que : le type de transaction (routinier, non routinier, estimation comptable), complexit de la transaction (valuation actuarielle est beaucoup plus complique quun achat de marchandise), susceptibilit la fraude et aux erreurs.
Pour la qualification du risque, qui reprsente le produit de la matrialit et de loccurrence, on obtiendra des produits quon classifiera par niveau comme suit : Qualification du risque Niveau de risque
(Produit de la matrialit et loccurrence)
1 2 3 4 6 9
Faible Faible Moyen Moyen Elev Elev
La qualification du risque est ncessaire pour identifier les contrles cls tester en priorit par le management et qui seront revus par le commissaire aux comptes. Les contrles cls correspondent gnralement aux risques dont le niveau est lev.
88
A lissue de la phase danalyse des risques, il sera produit une matrice par cycle comprenant par processus : la description du risque, la rfrence du risque, lobjectif li linformation financire (lassertion sur les comptes), lvaluation du risque (matrialit, occurrence et qualification du risque).
Nous prsentons titre dillustration sous forme de matrice lanalyse des risques relative aux sous processus Gestion des mises en services faisant partie du cycle Immobilisation et du processus Gestion des immobilisations techniques . Rf du Description risque risque
Immo tech 12 Immo tech 13 Immo tech 14 Immo tech 15
du Assertion sur les Evaluation des risques comptes Matrialit Occurrence

Exhaustivit 3(*) Existence, Exhaustivit Evaluation Evaluation Existence Exhaustivit Evaluation 3 2(*) 1
Qualification
6 3
Remonte non exhaustive des mises en services des dpartements techniques Non exactitude des donnes de mises en service des dpartements techniques Erreur de valorisation des mises en services Erreur de saisie en comptabilit des mises en services
3 3
2 2
6 6
(*) La matrialit de ce risque a t juge leve tant donn les investissements importants en quipements techniques queffectue la socit et qui ont reprsent au titre du premier exercice de certification Sox un peu plus de 30 fois le seuil de signification fix par les Commissaires aux comptes. Loccurrence ou la probabilit de survenance du risque est juge par contre moyenne tant donn que lactivit est routinire et quil ya eu des cas non frquents de non remonte de mises en services signals dans les rapports des auditeurs internes.
Activits de contrle
Aprs la phase danalyse des risques, cest la phase de dtermination des contrles qui succde.
89
Cette phase devrait tre ralise essentiellement par les entits oprationnelles qui ont normalement une connaissance suffisante des activits de contrles existantes et ralisables. Lintervention de lexpert comptable consultant est ncessaire pour vrifier notamment que tous les objectifs de contrles ont t dfinis et que tous les contrles y correspondant ont t identifis. En effet, pour chaque risque identifi dans la phase danalyse des risques, il sera dfinit au minimum un contrle pour y faire face. La dtermination des contrles comprend les tapes suivantes : 2.1 lidentification de lobjectif du contrle, la description du contrle, la dfinition du type de contrle (prventif ou dtectif), la dfinition de la mthode du contrle (manuel ou automatique), lidentification de la frquence du contrle (systmatique, quotidien, hebdomadaire), la dtermination du responsable du contrle, la dtermination de lvidence du contrle (enregistrement associ), la dfinition des rgles de stockages (lieu de stockage, dure de stockage), les rgles de protection et daccs, le traitement de non-conformit.
Objectif de contrle
Pour chaque risque, il faut procder au moins la dtermination dun objectif de contrle. Lobjectif dun contrle consiste vrifier les aspects suivants : exhaustivit (Completeness) exactitude (Accuracy) validit (validity) scurit des accs (restricted access)
A noter que la diffrence entre les assertions sur les comptes dfinies prcdemment et les objectifs de contrles est que les premiers sappliquent aux risques, alors que lobjectif de contrle peut couvrir la totalit du risque comme il peut couvrir quune partie. 90
Par exemple, pour le risque derreur de saisie des mises en services des immobilisations techniques en comptabilit qui correspond plusieurs assertions : Existence, Exhaustivit, Evaluation. Nous aurons trois objectifs de contrles savoir lexhaustivit, lexactitude et validit. Une fois que ces objectifs de contrles dfinis, il sera procd une description littraire de ces objectifs. Nous illustrons ceci partir du dernier exemple cit ci-haut : Exhaustivit : sassurer de lenregistrement exhaustif en comptabilit des mises en service dclares par les services techniques ; Exactitude : sassurer de lenregistrement exact en comptabilit des mises en service dclares par les services techniques ; Validit : sassurer que les mises en services dclares par les services techniques sont valides par le responsable en question. 2.2 Description du contrle
Avant daborder la faon de dcrire un contrle, il ya lieu tout dabord de dfinir lactivit de contrle. Lactivit de contrle se dfinit comme lensemble des moyens humains, organisationnels ou matriels mis en place dans lentreprise qui sont de nature garantir la qualit de linformation comptable et la conservation du patrimoine. Une activit de contrle est dcrite de telle faon permettre de garantir la qualit de linformation comptable et/ou la conservation du patrimoine et bien sr pour rpondre lobjectif de contrle auquel elle correspond. Les activits de contrles sont classes de diffrentes manires, selon quil sagisse de contrles orients vers la prvention ou vers la dtection ou des contrles manuels ou automatiques.
91
2.3
Types de contrle (prventif ou dtectif)
Pour chaque objectif de contrle dfini, il est prfrable de dterminer aussi bien des contrles dtectifs que des contrles prventifs et ce dans un souci disoler le risque. Par contrle prventif et dtectif, nous entendons ce qui suit : - les contrles prventifs sont des contrles obligatoires qui constatent immdiatement les erreurs qui se prsentent. Ces contrles sont destins empcher que des erreurs puissent tre faites. Les contrles prventifs peuvent prendre la forme de contrles automatiques, ou manuels. Il est capital que ces contrles prventifs soient mis en place sous une forme correcte et lchelon appropri, par exemple sparation des fonctions, mots de passe et autorisations daccs, mesures de protections physiques. - les contrles dtectifs sont des contrles qui servent dceler des erreurs. Ils sont entre autres effectus si les contrles prventifs font apparatre des erreurs trop frquentes. Exemple :
Contrles de prvention Protection des chquiers dans un coffre Numrotation des factures Les entrepts sont bien ferms et bien gards Contrles de dtection Rapprochement bancaire Vrification des squences numriques des factures comptabilises Lentreprise procde linventaire physique prvu et constate quil existe dimportantes diffrences dexistants
2.4
Mthodes de contrle (manuel ou automatique)
Pour chaque contrle dfini, il ya lieu de prciser sil sagit dun contrle manuel ou dun contrle automatique. Cette distinction est utile notamment pour la phase des tests tant donn que la taille de lchantillon test pour les contrles automatiques est dune seule transaction contrairement aux contrles manuels dont la taille de lchantillon dpend de la priodicit du contrle. Evidemment, il ya lieu de faire la diffrence entre les contrles manuels et les contrles automatiques :
92
- Les contrles automatiques sont ceux effectus de faon programme par les logiciels informatiques. Ils sont plus efficaces et les plus rentables, car ils sont directement intgrs dans les processus de lentreprise par des mesures techniques ou dorganisation. - Les contrles manuels sont le complment des contrles programms sont par exemple les approbations, lexamen critique, les concordances, les contrles physiques et lexamen de listes derreurs. 2.5 Frquence du contrle
Il sagit de prciser pour chaque contrle la priodicit de sa ralisation. En effet, il ya lieu de distinguer entre les contrles priodiques et les contrles non priodiques. - les contrles priodiques sont des contrles qui ont une frquence connue, quil sagisse dune frquence annuelle, semestrielle, trimestrielle, mensuelle, hebdomadaire, quotidienne ou plusieurs fois par jour. - les contrles non priodiques sont des contrles raliss indpendamment du facteur temps, mais en fonction des transactions effectues et qui exigent dtre contrles. Le fait de distinguer entre les contrles priodiques et les contrles non priodiques et les frquences des contrles revt beaucoup dimportance, notamment pour la phase des tests tant donn que la taille de lchantillon varie en fonction de ces paramtres. 2.6 Responsables du contrle
Pour chaque contrle identifi il faut dfinir une personne responsable de sa ralisation. Cette responsabilit nest pas lie au grade, mais lactivit quexerce chaque personne dans lentreprise. En effet, Tous les collaborateurs de tous les chelons assument une responsabilit en matire de contrle (controls are everybodys business). Pratiquement tous les collaborateurs excutent des activits qui doivent tre contrles. Ils devraient donc tous connatre les principes du contrle interne et tre informs en dtail sur les contrles qui les concernent. Les collaborateurs doivent tre conscients de leur responsabilit lgard du processus de contrle et garantir lexcution efficace et rentable des tches de contrle qui leur sont confies. Il faut donc accorder lattention ncessaire leur formation. 93
2.7
Evidence du contrle
Cest le document qui justifie la ralisation du contrle tel que lcrit (visa sur facture, tat de rapprochement, tat informatique, etc) ou le fichier informatique aisment consultable et pouvant le cas chant tre dit (signature lectronique par exemple). 2.8 Rgles de stockage
Cest de dfinir comment les documents de contrles sont stocks et leur dure de conservation. Les documents de contrles peuvent tre stocks sous leur format papier (tat de rapprochement avec validation du responsable, check list des contrles avec validation.) ou sauvegard dans lapplication informatique au cas ou le fichier informatique est volumineux. La dure de conservation des documents de contrle est fixe en conformit avec les lois et rglement en vigueur notamment pour les aspects sociaux et fiscaux. Le livre des procdures fiscales Marocain fixe une priode de 10 ans de conservation des doubles des factures de vente ou des tickets de caisse, les pices justificatives des dpenses et des investissements, ainsi que les documents comptables ncessaires au contrle fiscal, notamment les livres sur lesquels les oprations ont t enregistres, le grand livre, le livre d'inventaire, les inventaires dtaills s'ils ne sont pas recopis intgralement sur ce livre, le livre-journal et les fiches des clients et des fournisseurs, ainsi que tout autre document prvu par la lgislation ou la rglementation en vigueur. 2.9 Rgles de protection et daccs
Cest lensemble des outils mis en place pour assurer la protection des documents de contrles sauvegards, par exemple Armoire ferm cls, PC ou bote e-mail protge par mot de passe, etc 2.10 Traitement de non-conformit
Cest dfinir lensemble des actions entreprendre au cas ou le contrle effectu ne produit pas les rsultats escompts. Cest le cas dun contrle qui consiste procder un rapprochement entre diverses sources, lequel rapprochement produit des carts. Le traitement
94
de non-conformit consiste investiguer cet cart, trouver son explication et le cas chant le corriger.
Mise jour des procdures
Les procdures et documents constituent indniablement des outils librateurs qui relguent les problmes dj rsolus au stade de routine et permettent aux facults cratrices d'tre disponibles pour les problmes non encore rsolus. Ils participent aussi rendre intelligibles pour les utilisateurs, la complexit des relations entre les units de l'entreprise et leurs liens avec l'extrieur (clients, partenaires, founisseurs...). Ces crits prsentent aussi dautres avantages puisquils : obligent la rflexion, permettent l'homognisation de l'information, la mmorisation et la vrification de l'information, deviennent une rfrence pouvant tre facilement diffuse, autorisent le classement et l'archivage des informations : "le bon document au bon endroit". La documentation des contrles est une exigence de la loi Sox, mme le PCAOB dans son Auditing standard n2 sur le contrle interne lgard de linformation financire, prcise que le vrificateur doit dterminer si la direction dispose dune documentation raisonnable lappui de son apprciationla documentation peut se prsenter sur diffrents supports : papiers, fichiers lectroniques, ou autres. Elle peut comprendre diffrents documents : manuels de politiques, modles de processus, graphiques dacheminement, descriptions demploi, documents et formulaires. La forme et ltendue de la documentation varient en fonction de la taille, de la nature et de la complexit de lentit La documentation des contrles par les responsables des cycles se dcline comme suit : identifier les contrles dj existants dans les procdures, pour les contrles nouvellement identifis, il ya lieu de rdiger de nouvelles procdures ou insrer ventuellement ces nouveaux contrles dans les anciennes procdures au cas o le processus est dj document, 95
mettre jour les anciennes procdures selon un formalisme bien dfini.
Ltablissement des procdures selon le formalisme qui rpond aux exigences de la loi SOX passe par diverses tapes. 3.1 Cartographie des processus
Les cycles sont dj dcortiqus par processus et ventuellement sous processus. La procdure tant tablie par processus ou le cas chant par sous processus, il ya lieu avant de commencer sa rdaction de cumuler les informations ncessaires sa ralisation Pour chaque processus ou sous-processus identifi, il ya lieu dlaborer une carte didentit : Finalit du processus Entres/sorties Acteurs Ressources Clients/fournisseurs Interactions avec les autres processus Identification des documents ncessaires
3.2
Mise jour du manuel de procdures
3.2.1 - Dsignation du/des rdacteur(s) : Le rdacteur est choisi parmi les personnes ayant une bonne matrise du thme objet du document. Si le document dcrit plusieurs activits et concerne plusieurs entits, il ya lieu de constituer un comit de rdaction faisant intervenir les diffrentes entits concernes. 3.2.2 - Rdaction du document La rdaction du document se fait en respectant les rgles suivantes : Modle du document : les procdures contiennent les paragraphes suivants :
- Objet de la procdure,
96
- Domaine dapplication (processus et/ou sous processus, entit (s) concerne (s)) - Dfinitions et terminologie, - Descriptif dtaill de la procdure, - Annexes, - Responsabilits (application et mise jour de la procdure). Codification du document : cette codification permet didentifier et de classer le
document. La codification se fait comme suit : Procdure PR + anagramme Direction + numro squentiel - PR : - Anagramme Direction : pour dsigner PRocdure dsigne labrviation de la Direction mettrice
Exemple : PR DF 10, signifie la procdure de la Direction Financire n10 3.2.3 - Vrification, validation et approbation du document Les niveaux de vrification, de validation et dapprobation sont dtermins globalement comme suit : Vrification Directeur Qualit Organisation Validation & Directeurs Directeurs de ples Approbation et Prsident du Directoire ou Prsident du Conseil dAdministration La vrification, la validation et lapprobation se font comme suit : Examen du document
Le Responsable de lentit mettrice examine le document afin de sassurer de la pertinence des dispositions dfinies et de leur adquation. Vrifier le document
Le vrificateur, en loccurrence la Direction Organisation & Qualit sassure de : la formalisation des points de contrles, la conformit du document aux principes arrts par lentreprise en matire de procdures.
97
la facilit de comprhension du document, du respect de l'organisation (organigrammes, attributions,), la cohrence par rapport aux autres procdures / documents existants (notes de services, instructions,). Validation du document
Il sagit de valider les dispositions/principes dfinis dans le document. Les Responsables de validation visent le document en apposant leur signature. Approbation du document
Il sagit dautoriser par lapprobateur la diffusion et lapplication du document. 3.2.4 - Diffusion du Document Dfinir la date dapplication La dtermination de la date dapplication tient compte du dlai ncessaire pour la diffusion et la formation du personnel concern sur les nouvelles dispositions. Elle dpend galement de la date dentre en vigueur du document (dans certains cas, une procdure peut tre approuve mais nentre pas immdiatement en en application, exemple : les procdures lies un nouveau SI peuvent tre approuves lavance mais ne sont applicables quaprs la mise en oeuvre du nouveau SI). Dfinir le mode de diffusion
Les documents doivent tre diffuss sur le site intranet de lentreprise. Le cas chant ils peuvent tre diffuss sous format papier notamment pour les procdures contenant des informations confidentielles des personnes bien identifies ou sur un site non accessible tous les collaborateurs. A noter aussi qu la diffusion de la nouvelle procdure ou celle qui est mise jour, il est procd au retrait de lancienne version de la procdure. 3.2.5- Revue des documents Les procdures sont revues en cas de besoin : suite la constatation dun dysfonctionnement, suite une volont damlioration (ex, suite fixation dun nouvel objectif), 98
suite un vnement particulier, exemple : rorganisation, mise en place dun nouveau SI, rclamation client, etc.
Dans tous les cas, chaque document est revu au moins une fois par an, lors de la revue du processus concern pour vrifier quil est toujours bien adapt. Lobjet de la revue des procdures est : dexaminer les dispositions dfinies afin de sassurer quelles sont toujours adaptes, pertinentes et efficaces, de passer en revue les contrles dfinis afin de sassurer de leur exhaustivit et de leur pertinence, de sassurer du respect du formalisme en matire de rdaction des procdures (format, signataires, etc.). A Noter aussi que si un document nest plus applicable, lentit mettrice en avise tous les destinataires afin quils arrtent son application et quils dtruisent la version papier en leur possession si elle existe et ce en concertation notamment avec la Direction Organisation & Qualit. 3.3 Contenu de la procdure
Les procdures comprennent principalement une description du processus objet de la procdure et une description des contrles mis en place pour couvrir les risques du processus. La description du processus se fait de faon littraire et/ou avec des Flows Chart destins prsenter les diffrentes tapes, les flux dinformations et les personnes qui interviennent dans le processus. Les Flows Chart mettent aussi en vidence les actions qui font lobjet de contrles formaliss. Chaque contrle est ensuite dtaill dans un tableau de contrle comprenant les lments suivants : 1. N du risque : cest le code attribu lors de la phase danalyse des risques, il est compos de deux lments : le premier dsigne les premires lettres du processus
99
concern (exemple, trso pour le processus trsorerie), le deuxime lment est compos dun n dordre (020 par exemple) 2. Description du risque : reprend le descriptif exact du risque tel quil a t rdig lors de la phase de lanalyse des risques 3. N du contrle : code attribu au contrle dans la procdure, ce code reprend le n du risque associ et lui ajoute une lettre, exemple : trso 020 a 4. Objectif du contrle : Cette rubrique dcrit dune faon rsume la finalit recherche par linstauration du contrle, il sagit essentiellement de couvrir un risque financier 5. Description du contrle : Il sagit de dcrire clairement et de faon dtaille en quoi consiste le contrle 6. Responsable du contrle (qui ?) : lentit charge (direction, division, service, cellule, position..) du contrle et le responsable le cas chant 7. Frquence du contrle (quand ?) : annuelle, semestrielle, mensuelle, hebdomadaire, quotidienne.etc 8. Enregistrement associ : Cette rubrique dcrit sous quelle forme est matrialis le contrle : document sign, fichier sauvegard, signature, cachet, 9. les rgles de stockage : Cette rubrique dcrit sous quelle forme les documents de contrles sont stocks et leur dure de conservation, 10. Rgles de protection et daccs : Cest lensemble des outils mis en place pour assurer la protection des documents de contrles sauvegards, par exemple Armoire ferm cls, PC ou bote e-mail protge par mot de passe, etc 11. Traitement de non-conformit : Cest dfinir lensemble des actions entreprendre au cas o le contrle effectu ne produit pas les rsultats escompts
100
Exemple : Ci-aprs un exemple de contrle effectu par le dpartement contrle de Gestion de lentreprise et qui consiste faire un contrle sur la cohrence de lvolution du Chiffre daffaires.
N Risque Risque Mob Prp 304
Description du Evolution non cohrente du Chiffre daffaires Risque Mob Prp 304-a N Contrle Objectif Contrle du S'assurer que les informations reues sont cohrentes
Contrle
Le contrleur de gestion vrifie la pertinence des informations eu gard lvolution constate sur les mois couls et aux Description du vnements pouvant influer sur les chiffres (par exemple les effets Contrle de saisonnalit)
Qui ?
Contrleur de gestion responsable de larrt du CA
Quand/ Mensuelle Frquence ? Enregistrement Revue analytique du Chiffre daffaires + Check List des contrles associ (annexe 15) valide.
Tableau des enregistrements : Nom de Responsable lenregistrement Identification dmission

Revue analytique du Chiffre daffaires + Check Titre + date List des contrles (annexe 15) valide.
Rgles de stockage Stockage
Protection & Dure de Accs conservation

Login + Mot de passe Accs scuris au partage CDG et limit aux contrleurs de gestion de la division.
Contrleur de gestion Contrleur de responsable de larrt Gestion du CA Format lectronique / 10 ans Serveur Central / Espace partag du Contrle de Gestion
101
Tableau des non conformits : N Contrle N de la non-conformit

Mob Prp 304-a
NC - Mob Prp 304-a
Quoi (non-conformits Prise en charge de CA fictif ou non prise en charge de Produit/Prestation) Chiffre daffaires rel Identification de la non- Comment conformit Qui Quoi Fluctuations importantes par rapport lhistorique
ou Contrleur de gestion responsable du calcul du CA En cas de fluctuation importante par rapport aux mois couls, le contrleur de gestion informe par mail lentit mettrice de linformation. Laquelle confirme par mail les variations constates et apportent des explications justificatives ou informe des corrections apportes. Mail de Rponse
Traitement de la nonconformit
Comment
Enregistrement associ
Tableau des enregistrements des non conformits : Nom de Responsable Identification lenregistrement dmission Rgles de stockage Stockage Protection & Dure de Accs conservation
Login + Mot de passe
Mail de rponse
Objet et mois
Bote de mail du Contrleur de Responsable de la gestion 10 ans facturation du ple responsable du calcul du CA
102
Chapitre 5 :
Evaluation de la maturit des contrles et plans dactions
Lvaluation de la maturit des contrles est une tape conscutive ltape de documentation des contrles. Lobjectif travers cette tape est de dfinir le niveau de maturit de chaque contrle et en fonction du niveau de maturit que les plans dactions seront dfinis. Cette action dvaluation est accomplie par lquipe daudit de lentreprise et porte sur les contrles cls identifis partir de la matrice des risques. Ces contrles cls sont des contrles qui sont mis en place pour couvrir des risques levs (cots entre 6 et 9) ayant un impact significatif sur linformation financire (cf chapitre 4, section 1). Le rle de lexpert comptable conseil dans cette phase se rsume essentiellement la conception des plans dvaluation destins aux auditeurs internes et la construction et au suivi des plans daction pour les contrles dun niveau de maturit faible. Un guide de travail de lexpert comptable est prsent en Annexe 3.
1
1.1
Evaluation de la maturit des contrles

Niveaux de maturit des contrles
Cinq niveaux de maturit des contrles ont t communment dfinis. La conformit par rapport la loi SOX est conditionne par latteinte dun niveau de maturit 4 pour les contrles cls. Ces cinq niveaux sont les suivants : Niveau 1 Non Fiable Environnement imprvisible o il n'y a pas de contrle dfini ou mis en place.
Niveau 2 Informel Les contrles sont dfinis et mis en place mais non documents de faon adquate, La plupart des contrles dpendent des individus, Il n'existe pas de formation ou de communication sur les activits de contrle.
103
Niveau 3 Standardis Les contrles sont dfinis et mis en place, Les contrles ont t documents et communiqus au personnel, Les faiblesses du contrle interne ne seront vraisemblablement pas dtectes, Des tests priodiques de suivi du contrle interne sont en cours de dfinition mais pas encore mis en uvre
Niveau 4 Supervis Existence de contrles standards et de tests priodiques sur l'efficacit de ces contrles destination de la direction, Pour faciliter les activits de contrles, des outils et des processus de contrle automatiques peuvent tre utiliss de faon limite.
Niveau 5 Optimis Existence d'un cadre de contrle interne intgr avec une supervision en temps rel par la direction et des amliorations en continu (gestion globale des risques), Des processus de contrle automatiques et des outils sont utiliss pour faciliter les activits de contrle et permettent la socit d'effectuer, si ncessaire, des changements rapides au sein des activits de contrle.
Exemple de contrles "Supervis" Une entreprise identifie ce qui suit : Risque : Non exhaustivit et non exactitude de la facturation ; Objectif de contrle : Les factures doivent tre traites avec exhaustivit et exactitude ; Contrle : Rapprochement entre la facture et le document d'expdition.
Aprs test sur ce contrle, il a t dtermin que le contrle de cette activit par "rapprochement entre la facture et le document d'expdition" est appropri, fonctionne comme prvu et suffisamment document.
104
1.2
Action dvaluation
Laction dvaluation est mene par laudit interne de lentreprise et porte sur les contrles cls identifis par la direction en coordination avec le commissaire aux comptes. Avant de procder lvaluation de la maturit des contrles, il ya lieu de procder la constitution des plans dvaluation par contrle cls. Ces plans comprennent un ensemble dinformations par contrle et galement une partie rserve la conclusion de lauditeur sur le niveau de maturit de chaque contrle. Un modle de plan dvaluation existe en Annexe 8 et les informations qui y sont consignes sont les suivantes : Intitul du cycle ; Rfrence et description du risque ; Identit du contrle ; Rfrence de la procdure ; Conclusion sur lvaluation.
Pour le premier exercice dvaluation du CIIF, laction dvaluation de la maturit des contrles doit normalement donner lieu un niveau de maturit 3 standardis pour les contrles cls identifis. Au cas ou certains contrles cls sont jugs dun niveau infrieur 3 (non fiable ou informel), il ya lieu de construire des plans dactions pour ramener tous les contrles cls au niveau de maturit 3 avant de procder la phase de test.
2
2.1
Plans daction
Construction des plans daction
Les plans dactions sont construits en fonction du niveau de maturit de chaque contrle. Comme prcis ci-dessus, seuls les contrles cls dont le niveau de maturit est infrieur 3 c'est--dire les contrles jugs non fiables (niveau 1) ou informels (niveau 2) qui donnent lieu la construction dun plan daction. Un contrle non fiable est un contrle qui nest pas mis en place en labsence de procdures communiques au personnel. 105
Un contrle informel est par contre un contrle mis en place, mais non document de faon appropri. Cest le cas par exemple dun contrle qui vise sassurer de lexhaustivit de la facturation travers un rapprochement entre les sorties de stock et la facturation, or la procdure na pas t explique aux oprationnels et ne comprend pas des prcisions sur lactivit de contrle, telles que : la frquence du contrle ; le responsable du contrle ; les documents utiliser pour documenter le contrle.
Les plans daction construire porteraient pour : Les contrles non fiables : sur llaboration dune procdure prcisant pour le contrle cl en question tous les lments qui permettent sa parfaite ralisation savoir, la description du contrle, le risque quil couvre, la frquence du contrle, etc. (cf Chap 4, section 2 : Activits de contrles). Pour les contrles informels : sur la mise jour de la procdure en y prcisant tous les lments qui permettent aux oprationnels de raliser les contrles de faon adquate et rgulire. 2.2 Mise en uvre des plans daction
La mise en uvre des plans daction doit tre faite avant la phase des tests, puisque les tests portent sur les contrles cls standardiss dont le niveau de maturit est situ 3. Il faut donc ramener tous les contrles cls un niveau de maturit 3 avant de les tester. Ces plans dactions sont raliss par les responsables des cycles en concertation avec lexpert comptable conseil. Une fois ces plans daction termins, laudit interne de lentreprise valuera une seconde fois la maturit des contrles pour lesquels les plans daction ont t dfinis. A la clture de cette phase dvaluation de la maturit des contrles, cest une nouvelle tape de ce processus dvaluation du CIIF qui souvre et qui est relative aux tests sur les contrles cls.
106
Chapitre 6 :
Phase de tests
La phase de tests consiste sassurer que les contrles cls identifis par la socit en concertation avec le commissaire aux comptes fonctionnent bien. Bien que le contrle interne lgard de linformation financire est valu la date de clture de lexercice (par exemple 31 dcembre), les tests sont raliss tout au long de lexercice et ne peuvent tre laisss jusqu la clture de lexercice tant donn les contraintes suivantes : Il est ncessaire de mener une campagne de test au milieu de lexercice et ce pour pouvoir dceler les imperfections et les corriger temps ; Il est matriellement impossible de raliser tous les tests de procdure dans les derniers jours prcdent la date de clture annuelle ; Toutefois, Il existe des contrles annuels qui ne peuvent tre tests quau dbut de lanne N+1, cest le cas des contrles relatifs aux activits de clture de lexercice. La campagne de test doit idalement dmarrer au dbut du 2me semestre de lanne et ce pour permettre lentreprise de couvrir lexception des contrles annuels tous les autres contrles (manuels et automatiques), savoir les contrles : raliss plusieurs fois par jour, quotidiens, hebdomadaires, mensuels, trimestriels, semestriels. La campagne des tests est ralise par les quipes oprationnelles et les rsultats des tests sont valids par laudit interne de lentreprise aprs une revue documentaire des dossiers de tests. Le rle de lexpert comptable conseil est important dans cette phase et ce travers la planification et llaboration des procdures de tests, la dtermination de la taille des chantillons, la consolidation et lanalyse des rsultats et la mise en place et suivi des plans de correction. Un guide travail de lexpert comptable conseil est prsent en Annexe 3. Cette phase de tests comprend les principales tapes suivantes : Planification des tests Ralisation des tests Analyse et validation des rsultats Mise en place et suivi des plans de correction
107
1 Planification des tests

1.1 Identification des contrles tester
Les contrles cls sont identifis suite la phase de la hirarchisation des risques (Cf Chap 4 Documentation, Sect 1 Analyse des risques). En fonction de la matrialit et de loccurrence du risque, il est procd la classification des risques en faibles, moyens et levs. Les contrles cls sont des contrles dterminants dans le respect des assertions et correspondent des risques qui sont jugs levs. Ces contrles peuvent tre de diverses natures : des contrles dtectifs, prventifs, manuels ou informatiques. A noter quil est ncessaire que les contrles cls soient identifis en concertation avec le commissaire aux comptes et ce pour sassurer que le champ dvaluation du CIIF soit le mme aussi bien pour le commissaire aux comptes que pour lentreprise. 1.2 Construction des procdures de test
La construction des procdures de test comprend les actions suivantes : Dtermination de la taille des chantillons Prparation dun mode opratoire pour la ralisation des tests Prparation des feuilles de tests Choix des quipes de tests
Taille des chantillons
Lorsquun test sur un contrle consiste slectionner des transactions et vrifier que les contrles ont correctement fonctionn par exemple en sassurant que chaque bon de commande est accompagn du bon de livraison et de la facture, la personne qui effectue le test doit connaitre au pralable la taille de lchantillon tester. La taille de lchantillon dpend notamment de la frquence du contrle (annuelle, trimestrielle, mensuelle,) de son type (manuel, automatique).
108
Pour le choix des lots, la technique de sondage ordinaire, base sur lexprience des quipes de test peut tre utilise. Une proposition pratique de rgle de slection dchantillon est prsente en Annexe 9. Cette proposition est le rsultat dune concertation entre le commissaire aux comptes, lexpert comptable conseil et lquipe projet base notamment sur lutilisation de tables statistiques pour la dtermination de la taille des chantillons. Mode opratoire pour les tests
Le mode opratoire, tabli par lexpert comptable conseil est destin aux quipes oprationnels qui vont raliser les tests. Ce mode opratoire comprend essentiellement une description : des techniques de tests adopter les diffrents rsultats possibles des tests les conclusions possibles sur les contrles
Les techniques de tests adoptes sont de deux types, lobservation et/ou la r-application. Lobservation consiste vrifier que le contrle est document (par exemple lexistence dun tat de rapprochement priodique valid entre la facturation et la comptabilit) ; la rapplication consiste par ailleurs vrifier lexistence du contrle et son bon fonctionnement. Le rsultat du test porte sur les aspects documentation et existence du contrle. Ainsi, un contrle peut bel et bien tre document sans pour autant quil existe et vis versa. Par exemple, une socit effectue rgulirement ses tats de rapprochements bancaires, toutefois ces derniers comprennent des suspens dun montant important quelle narrive pas expliquer. La conclusion sur le contrle consiste dire que le contrle ncessite correction ou nen ncessite pas. Un contrle ncessite une correction si une transaction de lchantillon nest pas bien documente ou mal applique.
109
Les feuilles de test
Les feuilles de tests sont tablies au pralable par lexpert comptable conseil et mis la disposition des personnes qui ralisent les tests. Les feuilles de tests comprennent un ensemble dinformations par contrle et galement une partie rserve la conclusion du testeur sur lexistence et la documentation du contrle. Un modle de feuille de test existe en Annexe 10 et les informations qui y sont consignes sont les suivantes : Intitul du cycle Rfrence et description du risque Identit du contrle Rfrence de la procdure ; Technique de test (Observation et/r-application) Travaux drouler par le testeur Taille de lchantillon (thorique & disponible) Conclusion sur le contrle (Aspects existence et documentation) Recommandation du testeur sur le contrle (Au cas o le contrle ncessite correction) Choix de lquipe de test
Pour veiller garantir lindpendance dans le processus dvaluation du CIIF, un principe fondamental doit tre respect savoir que la personne qui effectue le test doit tre diffrente de la personne qui effectue le contrle. Au del de ce principe, un ensemble de facteurs doivent tre pris en compte par lexpert comptable et lquipe projet pour laffectation des quipes de test : Le niveau dducation Le domaine de comptence et lexprience professionnelle Le degr de comptence professionnelle La dpendance hirarchique
110
2
2.1
Ralisation des tests

Lapproche adopte
Les feuilles de tests constituent le support indispensable pour la mise en uvre des tests. Cest en fonction des lments consigns sur la feuille de test que les tests seront raliss. Toutefois, avant deffectuer le test, le testeur doit prendre connaissance des lments suivants : La personne qui effectue le contrle La documentation utilise pour le contrle La date de mise en application de ce contrle
Le test du contrle peut tre un test dobservation et/ou un test de r-application. Ceci dpend de la nature de contrle. Ainsi, un contrle qui consiste vrifier que toutes les factures comptabilises comprennent le cachet saisie , le test correspondant ce contrle serait un test dobservation. Dautre part si un contrle consiste par exemple pour le directeur commercial passer en revue un rapport de vente et enquter lorsque la marge brute est anormalement basse ou leve, il ne suffit pas pour le testeur de demander au directeur commercial sil enqute sur les carts. Le testeur doit corroborer les rponses du directeur commercial aux moyens dautres procds tels que demander les explications donnes ces carts et vrifier la vracit de ces explications. Concernant ltendue des tests, le testeur doit constituer son chantillon, notamment pour les contrles qui fonctionnent continuellement (par exemple les contrles sur les ventes) sur une priode de temps tendue tant donn que le rapport de la direction sur le CIIF porte sur tout lexercice. Chaque test sur un contrle doit tre suffisamment document (feuille de test, copies des documents de contrle) et ce, pour les besoins de revue des dossiers de test par laudit interne et ventuellement par le commissaire aux comptes. 2.2 Conclusion du testeur
La conclusion du testeur porte sur ltat du contrle (existence et documentation) et sur le rsultat du test (contrle ncessitant correction ou ne ncessitant pas correction).
111
En effet, Un contrle ne ncessite pas correction sil a t correctement appliqu pour chacune des transactions testes (100% des cas). Un contrle ncessite correction si : Le contrle na pas t appliqu pour 1 au moins des transactions revues (dfaut dapplication/ existence) Le contrle a t appliqu mais na pas t document selon les dispositions de la procdure : les pices justifiant la ralisation du contrle ne sont pas disponibles ou nont pas t conserves (dfaut de matrialisation ou de documentation) A noter que les contrles pour lesquels la taille de lchantillon requise nest pas disponible (le cas des contrles semestriels dont lchantillon est de 2 transactions, alors que les tests ont eu lieu avant la fin de lexercice) ; le testeur ne peut pas conclure sur le contrle comme ncessitant correction, la conclusion sur ce contrle se fera une fois la taille de lchantillon requise est constitue.
3
3.1
Analyse et validation des rsultats

Revue des rsultats
Laudit interne de la socit procde une revue des tests effectus par les oprationnels. Cette revue porte sur : la technique de test utilise (observation et/ou r-application) ; la taille de lchantillon test ; lapplication du programme de travail ; la documentation du test (feuille de test, copies des documents de contrle) ; la conclusion sur le contrle.
La conclusion sur le contrle peut subir des changements au cas o la revue faite par laudit interne ressort des imperfections (taille de lchantillon insuffisant, technique de test utilise est lobservation au lieu de la r-application, documentation insuffisante du test). Les rsultats de ces tests sont consigns dans des matrices de risques comprenant un ensemble dinformations par risque et par contrle (Annexe 11).
112
3.2
Analyse des rsultats
Lanalyse des rsultats est faite par lexpert comptable conseil, elle consiste segmenter les contrles tests en trois catgories : les contrles ncessitant correction ; les contrles ne ncessitant pas correction ; les contrles dont lchantillon test est incomplet.
Concernant les contrles dont lchantillon test est incomplet (le cas des contrles annuels et semestriels dont la taille de lchantillon est respectivement dune et de deux transactions), dautres tests doivent tre planifis aprs la clture de lexercice. Pour les contrles ncessitant correction, il faut dterminer si la dfaillance est au niveau de la documentation du contrle ou de son application. Cest en fonction de cela que les actions correctives seront programmes. Les contrles ne ncessitant pas correction sont des contrles qui en principe ne seront plus tests par lentreprise ; ils peuvent toutefois ltre par le commissaire aux comptes sil le juge ncessaire.
Actions correctives
Un contrle ncessite correction si au mois une transaction de lchantillon est mal applique. La dfinition dune action corrective dpend de la dfaillance si celle-ci concerne lapplication ou la documentation du contrle. Lorsque la dfaillance concerne lapplication du contrle, le plan daction serait : 1. de corriger lanomalie releve lors des tests ; 2. de vrifier par la personne responsable du contrle que pour toutes les transactions non testes les contrles sont bien appliqus. Si la dfaillance concerne la documentation du contrle, les actions entreprendre sont essentiellement : 1. de vrifier sil existe un support de contrle, le cas chant il faut le concevoir et lajouter la procdure 113
2. de documenter les transactions qui ne le sont pas et qui ont t releves lors des tests 3. de vrifier par la personne responsable du contrle que les autres transactions non testes sont bien documentes. Le plan daction est mis en uvre par les entits oprationnelles et suivi par lexpert comptable conseil travers des tests effectus par lquipe daudit interne. Les rsultats de ces tests doivent tre bien analyss par lexpert comptable conseil. La pertinence de lanalyse est un lment important pour mettre une conclusion objective sur lvaluation du contrle interne lgard de linformation financire.
114
Chapitre 7 : Qualification des dficiences et communication des rsultats

1
1.1
Conclure sur le contrle interne les concepts et leur mise en pratique

Les concepts lis la qualification des dficiences de contrle interne entre
dficiences, dficiences significatives et faiblesses majeures Aux termes de la rgle finale dapplication de la SEC de lvaluation du CIIF, lentreprise cote doit inclure dans son rapport sur le contrle interne lgard de linformation financire entre autres, une apprciation de lefficacit du CIIF de lentit la date de clture de son dernier exercice, y compris une dclaration explicite sur la question de savoir si le CIIF est efficace. La direction de lentreprise ne peut pas conclure lefficacit du CIIF si celui comporte une ou plusieurs faiblesses majeures. La direction de lentreprise ayant identifi des dficiences de contrle interne doit valuer le niveau de gravit de ces dficiences. Les principes et les concepts mettre en uvre dans lvaluation des dficiences de contrle interne sont ceux prsents dans le standard n2 du PCAOB. Il ya lieu de dterminer si les dficiences identifies constituent individuellement ou de faon combine des dficiences significatives significant deficiencies ou des faiblesses majeures material weakness . Ces deux catgories de dficiences recouvrent des niveaux de dficiences importantes, avec une gravit plus importante pour les faiblesses majeures. 1- Les critres de qualification des dficiences La qualification des dficiences repose notamment sur les facteurs suivants : la probabilit quune dficience ou une combinaison de dficiences puissent engendrer une anomalie dans un compte ou une note aux tats financiers de la socit ; la magnitude de lanomalie potentielle rsultant dune dficience ou de plusieurs dficiences combines Probabilit : 115
Plusieurs indicateurs peuvent tre analyss pour dterminer la probabilit quune anomalie se produise dans les tats financiers du fait dune dficience ou dun groupe de dficiences de contrle interne. Ces indicateurs sont notamment : La frquence des anomalies dtectes lors des tests sur les contrles Le niveau de subjectivit, de complexit ou de jugement requis pour dterminer le montant en question (le cas des estimations comptables se traduit par un risque accru) Les interactions du contrle dficient avec dautres contrles La vulnrabilit la perte ou la fraude (dfaillance des contrles daccs informatiques) La magnitude : De la mme faon, plusieurs indicateurs peuvent tre analyss pour dterminer limpact dune anomalie pouvant rsulter dune dficience ou dun groupe de dficiences de contrle interne. Ces indicateurs sont notamment : Les montants financiers exposs cette dficience de contrle Le volume dactivit du compte expos cette dficience
2- Les dficiences significatives Daprs le standard n2 du PCAOB : Une dficience significative sentend dune dficience du contrle, ou dune combinaison de dficiences du contrle, ayant une incidence ngative sur la capacit de lentit de gnrer, dautoriser, denregistrer, de traiter ou de communiquer des informations financires usage externe de faon fiable selon les principes comptables gnralement reconnus et qui est telle quil est probable quune anomalie ayant des consquences matrielles sur les comptes de la socit ne soit ni prvenue ni dtecte. Les lments principaux de cette dfinition ont t aussi bien dfinis par le PCAOB : Un vnement est probable lorsquil est raisonnablement possible ; Une anomalie ayant des consquences matrielles sur les comptes lorsque compte tenu des circonstances, il est probable que cette anomalie ou le total des anomalies auront comme consquence dinfluer ou de modifier la dcision dune
116
personne (lutilisateur) sappuyant sur les tats financiers et ayant une connaissance raisonnable du monde des affaires et de lconomie . 3- les faiblesses majeures Une faiblesse majeure sentend dune dficience significative, ou dune combinaison de dficiences significatives, faisant en sorte quil soit probable quune anomalie ayant des consquences matrielles sur les comptes de la socit ne soit ni prvenue ni dtecte. Le PCAOB dans sa norme relative lapprciation du CIIF ne dfinit pas un seuil de matrialit partir duquel la dficience du contrle constitue une faiblesse majeure (material weakness). Pour dterminer cette dernire cest le jugement professionnel qui prvaut. Une proposition pour la dtermination dune faiblesse majeure est prsente ci-aprs ; elle sinspire dun cas rel. Elle a t dfinie en coordination entre la direction de lentreprise et le commissaire aux comptes hauteur: dun montant de limpact ventuel sur les tats financiers denviron 5% du bnfice aprs impt ; dune forte probabilit doccurrence.
O C C U R R E N C E
Dficience de contrle (control deficiency) Forte probabilit doccurrence Dficience de contrle (control deficiency)
Dficience significative (significant deficiancy)
Faiblesse importante (material weakness)
FMention comit daudit Groupe

Dficience de contrle (control deficiency)
Frapport CAC Frapport de lentreprise sur le CIIF

Dficience significative (significant deficiancy)
Faible probabilit doccurrence
FMention comit daudit Groupe)
>= 1,25% du bnfice aprs impt
>= 2,5% du bnfice aprs impt
>= 5% du bnfice aprs impt
Montant de limpact ventuel sur les tats financiers
En plus, le PCAOB dans sa norme relative lapprciation du CIIF tale quelques situations constituant au moins une dficience significative et comme tant un solide indice de
117
lexistence dune faiblesse importante dans le contrle interne lgard de linformation financire. Il sagit notamment d : un environnement de contrle inefficace (faible formalisation des procdures de travail, personnel non imprgn par la culture de contrle, niveau de comptences inadapt notamment pour la fonction comptable, etc.) ; une fonction daudit interne inefficace, notamment dans les entreprises de grandes tailles o une telle fonction se doit dtre forte pour que le contrle interne de lentit comporte une composante surveillance ou apprciation des risques efficace ; une fonction conformit avec les rglements inefficace dans une entit complexe qui oeuvre dans un secteur hautement rglement ; la dtection dune fraude de quelque ampleur que ce soit impliquant la haute direction (CEO et CFO) ; lexistence de dficiences significatives identifies et communiques dans le pass la direction et au comit daudit et pour lesquelles aucune action corrective na t entreprise par la socit.
1.2
Proposition dun outil danalyse des dficiences de contrle interne
Les dficiences de contrle identifies doivent tre consolides et catgorises. Un guide de travail est prsent en Annexe 3. La direction de lentreprise avec lassistance de lexpert comptable conseil doivent sintresser dans leur analyse des dficiences de contrle lexistence de contrles complmentaires. En effet, lexistence de contrles permettant de couvrir le mme type de risque et de satisfaire lassertion du compte significatif li, permet de limiter la dficience qui ne peut se traduire en une anomalie matrielle. A noter que la compensation dajustements ne peut occulter lexistence dune dficience de contrle interne. Par exemple, dans un mme compte significatif, deux erreurs de montants significatifs peuvent se compenser (solde du compte survalu du fait dune erreur et solde du compte sous valu du fait dune autre erreur). Dans cette situation, la magnitude avre de lanomalie rsultant de dficiences de contrle interne, est calcule en faisant la somme des
118
valeurs absolues des deux anomalies. Ce principe peut avoir des effets dfavorables sur le contrle interne lgard de linformation financire, mais pas deffet sur les comptes. Pour juger de la gravit dune dficience, il ya lieu de se poser la question suivante : dans quelle mesure la dfaillance ou le total des dfaillances peuvent influer ou modifier la dcision dune personne sappuyant sur les tats financiers et ayant une connaissance raisonnable du monde des affaires. Un arbre de dcision est propos en Annexe 12 afin de prsenter le cheminement ncessaire la qualification dune ou plusieurs dficiences de contrle interne entre les trois niveaux dfinis par le standard n2 du PCAOB : dficience , dficience significative et faiblesse majeure . Exemple de faiblesse majeure : Le rapprochement entre les commandes, les livraisons et la facturation nest pas effectu de faon rgulire par les services concerns de lentreprise. Ainsi, lors des tests sur les contrles, il a t dtect sur 25 transactions testes, 5 transactions non factures, ce qui reprsente une probabilit de 20% derreur de facturation. En se fondant sur ces faits, la direction de lentreprise doit conclure quil sagit dune faiblesse importante pour les raisons suivantes : a) on peut raisonnablement sattendre ce quune inexactitude dans les tats financiers rsultant de la dficience soit importante, puisque les oprations de vente sont dun montant significatif ; b) Il est raisonnablement possible que des inexactitudes de la sorte puissent survenir. Compte tenu la fois de lampleur et de la probabilit dune inexactitude dans les tats financiers qui rsulterait de cette dficience du contrle interne, celle-ci rpond la dfinition dune faiblesse majeure.
119
1.3
Conclusion sur le contrle interne
La conclusion de la direction de lentreprise sur le contrle interne ne peut tre pertinente que si le primtre couvert est suffisant et mme de permettre dmettre une opinion objective sur le contrle interne. Ainsi, les cas de changements organisationnels oprs au sein de lentreprise doivent tre pris en compte dans le processus dvaluation. Des changements tels que : processus modifis suite des volutions dans les mtiers ou faon de les exercer ; mise en place de nouveaux systmes informatiques ; acquisition et cessions dentits.
Par exemple dans le cas de la mise en place dun nouveau systme informatique comptable avant la fin de lexercice, cest bien le contrle interne relatif ce systme qui fait lobjet dvaluation par la socit. Une fois que le comit de pilotage sassure que le primtre dvaluation du CIIF a t bien couvert. Une analyse des principales dficiences de contrle est effectue pour tudier les possibilits de remdiation et pour cerner les dficiences pour lesquels aucune action ne peut se faire court terme (limite du systme dinformation, cot de correction lev,).
2
2.1
Communication des rsultats sur lvaluation du contrle interne

Contenu et format du rapport sur le contrle interne
Le rapport sur le contrle interne lgard de linformation financire est insr dans les tats financiers qui sont publis par les socits cotes la bourse de New York. Les socits filiales des entreprises cotes la bourse de New York doivent de leur ct prparer un rapport destin au groupe qui procdera la consolidation de tous les rapports de ses filiales slectionnes comme tant significatives avant de procder la publication de ses tats financiers consolids.
120
Le format du rapport de la direction de lentreprise sur le contrle interne nest pas prsent de faon formelle ni dans la rgle dapplication de la SEC ni dans le standard n2 du PCAOB. Un exemple de rapport de la direction est prsent en Annexe 13. Le contenu et le format du rapport des filiales est sens tre identique celui qui sera publi par le groupe. La rgle finale dapplication de la SEC de lvaluation du CIIF, prcise en revanche que lentreprise cote doit inclure dans son rapport sur le contrle interne lgard de linformation financire les lments suivants : a. une dclaration sur la responsabilit de la direction relativement ltablissement et au maintien dun contrle interne adquat lgard de linformation financire de lentit; b. une dclaration identifiant le cadre utilis par la direction pour procder lapprciation quelle est tenue de faire de lefficacit du CIIF de lentit; c. une apprciation de lefficacit du CIIF de lentit la date de clture de son dernier exercice, y compris une dclaration explicite sur la question de savoir si le CIIF est efficace. La direction de lentreprise ne peut pas conclure lefficacit du CIIF si celui comporte une ou plusieurs faiblesses importantes ;
Le PCAOB prcise galement dans sa norme quil nest pas permis la direction de fournir une dclaration dassurance ngative indiquant par exemple que rien na t port lattention de la direction qui pourrait laisser croire que le contrle interne lgard de linformation financire de lentit nest pas efficace . A noter que le rapport doit tre imprativement sign par le Directeur Gnral (CEO) et le Directeur Financier (CFO) de lentreprise. 2.2 Destinataires du rapport
Le rapport sur le contrle interne lgard de linformation financire de la filiale est transmis au Groupe qui procde la consolidation des rsultats. La synthse des dficiences de contrles communiques par les filiales sera porte dans le rapport sur le contrle interne
121
lgard de linformation financire du Groupe lequel fait partie intgrante des tats financiers publis par les socits cotes la bourse amricaine. Outre les faiblesses majeures qui sont consignes dans le rapport sur le contrle interne lgard de linformation financire, les dficiences significatives doivent tre prsentes au comit daudit qui doit en prendre connaissance pour envisager lapproche ncessaire leur rsolution.
122
Conclusion de la deuxime partie

Aprs le droulement dun ensemble dtapes par la direction de lentreprise avec lassistance de lexpert comptable conseil depuis la dfinition de primtre des travaux jusqu la ralisation des tests sur les contrles cls, il a t procd lanalyse des rsultats pour conclure sur le contrle interne lgard de linformation financire de lentreprise. Ces travaux danalyse comme nous lavons vu, sont des travaux dlicats qui comportent une part importante de subjectivit malgr le caractre systmatique des approches mises en uvre par la socit et aussi par le commissaire aux comptes. Une fois que lanalyse est termine et la conclusion sur le contrle interne aussi, la direction de lentreprise en la personne du CEO (Directeur Gnral) et du CFO (Directeur Financier) assiste par lexpert comptable conseil communique les rsultats de cette valuation. La forme de cette communication a galement t prsente.
123
Conclusion
Aprs lentre en vigueur de la loi SOX des critiques se sont leves quant au cot trs lev pour la mise en place et le suivi des procdures contrle interne exigs par larticle 404 de la loi. Ainsi, daprs un sondage publi 26 concernant le cot de la mise en conformit avec larticle 404 de la SOX, celui-ci slve en moyenne par entreprise 2 millions de dollars (12.000 heures de travail en interne, 3.000 heures de consultants externes) et 590.000 dollars dhonoraires daudit. En plus du cot lev de ce processus, il peut paratre dans certains cas des rsistances aux changements lintrieur de lentreprise du fait du niveau trs lev du formalisme quexige la loi. Mais au-del de ces aspects ngatifs qui demeurent ngligeables par rapport aux avantages de la loi. La loi constitue une opportunit pour lentreprise puisquelle lui permet de : constituer un rfrentiel de contrle interne exhaustif (laboration de procdures et modes opratoires, dispositif efficient de pilotage et suivi du contrle interne) mettre en vidence les ventuels disfonctionnements de contrle interne et dy remdier harmonisation des modes de fonctionnement lintrieur de lentreprise
Toutefois, la russite de ce processus de mise en place et dvaluation du contrle interne lgard de linformation financire est conditionne par plusieurs pralables. Il sagit principalement de : Lengagement de la haute direction de lentreprise, y compris le Directeur Gnral (CEO) et le Directeur Financier (CFO) ainsi que du comit daudit. Lefficacit de la planification et de laffectation des ressources. Des jalons doivent tre poss de faon raliste, le suivi doit tre fait de faon rgulire et le projet doit tre adquatement dot de ressources humaines hautement comptentes et objectives. La dlimitation de ltendue du projet permet dassurer que les domaines prioritaires soient identifis et permet galement un gain de temps et une optimisation des ressources ddies.
26
Publi par le Financial Executives International
124
La communication avec tous les intervenants et la dlimitation de leurs responsabilits. Limportance de bien cerner les contrles cls aux fins de la documentation et de lvaluation. Ceci permet de se focaliser ds le dpart et pendant toute la dure du projet sur les contrles ayant un impact sur linformation financire et non sur des contrles hors champs de la SOX qui peuvent concerner le domaine oprationnel ou laspect qualit.
Llaboration dun cadre et dune mthode de documentation des contrles homognes qui permet dassurer luniformit et la qualit des travaux. Mise en place dune stratgie de test prvoyant le rle de laudit interne, des entits oprationnelles ainsi que des consultants externes. Lchange de faon rgulire entre la direction de lentreprise et le commissaire aux comptes tout au long du processus dvaluation du CIIF et ce pour viter les discordances dopinions la fin du processus.
Aprs la promulgation de la loi SOX aux Etats-Unis, dautres pays notamment la France se sont manifests sur le plan de la scurit financire travers ladoption de la loi sur la scurit Financire (LSF) en aot 2003. Certes la loi SOX a t au dpart diffrente de la LSF par son degr de formalisme clairement dfini. En effet, contrairement la SOX, la LSF nimposait pas un cadre normatif de contrle interne tel que le COSO aux entreprises franaises. Ce nest quen mai 2006 quun cadre de rfrence a t produit suite linitiative de lautorit des marchs financiers (AMF). Cet intressement des Etats damliorer la qualit de linformation financire devra toucher inluctablement le Maroc qui a dores et dj impos aux compagnies dassurances et aux tablissements de crdit de se doter dun systme de contrle interne et de produire annuellement un rapport sur ledit systme. En outre, la loi SOX par son aspect extraterritorial permet des entreprises exerant au Maroc damliorer la qualit de leur information financire ce qui peut constituer un dclic pour que lEtat dclenche une rflexion pour renforcer la qualit de linformation financire produite par les entreprises cotes en bourse.
125
Annexes :
Annexe n 1 2 3 4 5 6 7 8 9 Titre Article 404 de la Loi Sarbanes-Oxley du 30 juillet 2002 Structure du Standard n2 du PCAOB du 9 mars 2004 Guide dvaluation du CIIF Planning dtaill du processus dvaluation du CIIF Tableau didentification des comptes significatifs Slection des entits significatives Exemples de cycles dcoups en processus et sous processus Exemple de Plan dvaluation de la maturit du contrle Illustration de la taille des chantillons slectionner en fonction de la frquence des contrles Exemple de feuille de test Exemple de matrice de risque Arbre de dcision pour la qualification des dficiences de contrle interne Modle de rapport dvaluation du CIIF par la direction de lentreprise Page 127 128 129 136 137 138 139 140 141
10 11 12 13
142 143 144 145
126
Annexe 1 : Article 404 de la loi Sarbanes-Oxley du 30 juillet 2002

----------------------------------------------------------------------------------------------------------------Public Law 107-204 SEC 404 MANAGEMENT ASSESSMENT OF INTERNAL CONTROLS (a) RULES REQUIRED.The Commission shall prescribe rules requiring each annual report required by section 13(a) or 15(d) of the Securities Exchange Act of 1934 (15 U.S.C. 78m or 78o(d)) to contain an internal control report, which shall (1) state the responsibility of management for establishing and maintaining an adequate internal control structure and procedures for financial reporting; and (2) contain an assessment, as of the end of the most recent fiscal year of the issuer, of the effectiveness of the internal control structure and procedures of the issuer for financial reporting. (b) INTERNAL CONTROL EVALUATION AND REPORTING.With respect to the internal control assessment required by subsection (a), each registered public accounting firm that prepares or issues the audit report for the issuer shall attest to, and report on, the assessment made by the management of the issuer. An attestation made under this subsection shall be made in accordance with standards for attestation engagements issued or adopted by the Board. Any such attestation shall not be the subject of a separate engagement.
127
Annexe 2 : Structure du Standard n2 du PCAOB du 9 mars 2004

----------------------------------------------------------------------------------------------------------------Titre Applicabilit de la norme Objectifs poursuivis par le Commissaire aux comptes dans laudit du contrle interne lgard de linformation financire Dfinitions des concepts lis au contrle interne lgard de linformation financire Rfrentiel utilis par la direction de lentreprise afin de raliser lvaluation de son contrle interne Les limites inhrentes au contrle interne La notion dassurance raisonnable La responsabilit de la direction de lentreprise Problmatiques lies la matrialit dans laudit du contrle interne lgard de linformation financire Problmatiques lies la fraude dans laudit du contrle interne lgard de linformation financire Raliser un audit du contrle interne lgard de linformation financire Lettre daffirmation Liens entre un audit du contrle interne et la mission daudit des comptes Documentation Rapports sur le contrle interne lgard de linformation financire Responsabilit du Commissaire aux comptes Communications exiges Date dapplication Annexe A Exemples de rapports daudit Annexe B Mise en uvre des tests Annexe C Protection des actifs Annexe D Exemples de dficiences significatives et faiblesses importantes Annexe E Environnement et lments probants pour conclure Paragraphe 13 46 7 12 13 15 16 17 19 20 21 22 23 24 26 27 141 142 144 145 158 159 161 162 199 200 206 207 214 215 216
128
Annexe 3 : Guide dvaluation du CIIF

----------------------------------------------------------------------------------------------------------------I - Obtenir les informations internes lentreprise : Elments Documentation sur lorganisation : Lorganigramme gnral de lentreprise ; Dsignation des responsables des entits et leurs coordonnes ; Fiches de postes ; Liste des usines, succursales, agences et units de stockage. Documentation sur lactivit : Ventes et clientle : Les derniers tableaux de bord pour chaque branche dactivit ; Ventilation du chiffre daffaires par produits et catgories de produits ; Liste des principaux clients (en volume daffaires) ; Politique commerciale et financire adopte (taux de remise, taux descompte, dlais de paiement, modes de paiement) ; Politique de contentieux ; Principe de la provision pour clients douteux ; Schma gnral du systme de facturation ; Les procdures rgissant le cycle. Fonction production : Schma du cycle de production (par produit) ; Les principales matires premires et produits semi-finis utiliss ; Priodicit et organisation des inventaires physiques ; Description du systme de valorisation des stocks ; Principe de la provision des stocks ; Les procdures rgissant le cycle. Appareil de production : Principales catgories dimmobilisations ; Politique damortissement ; Les dures damortissement ; Les procdures rgissant le cycle.
Rf et observations
Documentation sur les activits support Achats et Fournisseurs : Les principaux types de charges (en valeur) ; Liste des principaux fournisseurs (en distinguant les nationaux et les trangers) ; Conditions financires obtenues ; Modes de rglements utiliss ; 129
Elments Les procdures rgissant le cycle. Paie et personnel : Convention collective ; Mode de rmunration ; Montant des salaires par catgorie ; Nombre de salaris (par catgorie, par dpartement) Montant et nature des charges sociales ; Montant et nature des avantages sociaux accords ; Statistiques sur la rotation du personnel ; Les procdures rgissant le cycle. Trsorerie : Liste des comptes bancaires ; Liste des placements et leurs conditions ; Liste des rgies de trsorerie ; Lignes de crdit mis en place ; Contrat demprunt ; Les procdures rgissant le cycle. Systme comptable : Les derniers tats de synthse ; Manuel de procdures comptables ; Le plan des comptes ; La balance des comptes ; Les normes comptables utilises ; La liste des retraitements de consolidation.
Rf et observations
Divers autres documents : Informations juridiques et rglementaires : Statuts de lentreprise ; Composition du capital ; Composition du conseil dadministration ou de surveillance ; Derniers redressements fiscaux et sociaux ; Contrats importants ; Dernier rapport de gestion ; Rapport du CAC sur les conventions rglementes ; Les dcisions rendues par lautorit de rglementation du secteur (si elle existe) ; Les procdures rgissant les aspects juridiques et rglementaires. Informations financires : Rapport Gnral du CAC ; Dernires notes dinformations mises. Filiales et participations : Liste des filiales et participations ; 130
Elments Activit ; Localisation ; Structure du capital et des organes dadministration ; Derniers comptes annuels certifies.
Rf et observations
Engagements hors bilan : Engagements donns (types dengagement, montants, bnficiaires) Engagements reus (types dengagement, montants, donneurs). II Dfinition du primtre Taches 1 Choix des entits du primtre : a. Dtermination du seuil de signification (nous lavons situ 5% du rsultat courant avant impt (RCAI) consolid du groupe) b. Intgrer dans le primtre les entits dans le RCAI est suprieur ou gal au seuil de signification c. Etudier pour les filiales dont le RCAI est infrieur au seuil de signification le bien fond de les intgrer dans le primtre ou au moins dintgrer certains de leurs comptes significatifs au cas o leurs soldes sont suprieurs lerreur tolrable 2- Choix des cycles et comptes significatifs : d. Rcupration de la liste des comptes selon la structure de la liasse de consolidation e. Dtermination de lerreur tolrable (calcul partir du seuil de signification et qui reprsente le montant maximum au-del duquel une anomalie affecte la rgularit, la sincrit et limage fidle du compte) f. Comparaison entre le solde des comptes et lerreur tolrable : - si le solde du compte est suprieur lerreur tolrable, il est retenu comme un compte significatif ; - sinon, des critres qualitatifs sont pris en compte pour juger sil sera considr comme compte significatif. g. Les comptes identifis sont regroups en cycle h. Choix dautres cycles qui ne sont pas forcement matrialiss par des comptes comptables (Systme dinformation, aspects
Rf et observations
131
Taches juridiques et rglementaires,) 3- Dcoupage des cycles en processus et sous processus : i. Participation avec lquipe projet la : Dfinition des processus relatifs chaque cycle ; Dcomposition si possible des processus en sous processus.
Rf et observations
III Documentation Taches 1- Analyse des risques : a. Conception dun canevas de matrice des risques par cycle, processus et sous-processus (rfrence du risque, description du risque, matrialit du risque,..) b. Explication de la dmarche danalyse des risques laudit interne de lentreprise c. Charger laudit interne de lentreprise de : Dfinir des objectifs lis aux informations financires travers la rponse par des assertions sur les comptes (existence, exhaustivit, droits et obligations, valuation ou rattachements, prsentation) Dterminer des risques compte tenu des assertions dfinies Evaluer limportance du risque (faible, moyen ou lev) Evaluer la probabilit de survenance du risque (faible, moyenne, ou leve) Qualifier le risque (produit de la matrialit et de loccurrence) d. Consolidation et revue des travaux de laudit interne e. Validation avec les entits oprationnelles des risques dfinis et ajout ventuel dautres risques identifis par ces derniers. 2- Dtermination des activits de contrle f. Procder pour chaque risque la dtermination au moins dun objectif de contrle g. Explication de la dmarche de dtermination des activits de contrle aux responsables des cycles
Rf et observations
132
Taches h. Charger les responsables des cycles de : Procder la description de lactivit de contrle pour chaque objectif de contrle Prciser pour chaque activit de contrle sil sagit dun contrle prventif ou dtectif Prciser pour chaque activit de contrle sil sagit dun contrle manuel ou dun contrle automatique Dfinir pour chaque activit de contrle sa frquence (annuelle, semestrielle, trimestrielle, mensuelle, etc.) Dterminer le responsable de chaque activit de contrle Prciser le support de chaque activit de contrle (visa sur facture, tat de rapprochement, etc.) Dfinir les rgles de stockage des documents de contrle et leur dure de conservation Dterminer les rgles de protection et daccs pour assurer la protection des documents de contrle sauvegards Prciser le traitement de non-conformit (les actions entreprendre au cas o le contrle effectu ne produit pas les rsultats escompts) i. Consolidation et revue des travaux des responsables des cycles. 3- Revue des procdures j. Sassurer pour chaque cycle, processus et ventuellement pour chaque sous processus que lensemble des risques et activits de contrle ont t bien consigns dans le manuel de procdure mis jour k. Sassurer que le formalisme en matire de prsentation des procdures est respect l. Sassurer que toutes les procdures mises jour ont t valides, approuves et diffuss aux oprationnels IV Evaluation de la maturit des contrles et plans daction Taches 1- Evaluation de la maturit des contrles a. Identification des contrles cls (contrles relatifs aux risques
Rf et observations
Rf et observations
133
Taches levs cots entre 6 et 9) b. Conception des plans dvaluation (Annexe 8) c. Explication de la mthodologie dvaluation de la maturit des contrles aux auditeurs internes d. Prsentation des plans dvaluation aux auditeurs internes 2- Construction des plans daction e. Recensement des contrles dont le niveau de maturit nest pas standardis (non fiable ou informel) f. Construction des plans daction en fonction du niveau de maturit obtenu 3- Mise en ouvre des plans daction g. Sassurer que tous les plans daction dfinis ont t mis en oeuvre et que tous les contrles cls identifis sont dun niveau de maturit standardis. V- Phase des tests Taches 1- Planification des tests a. Identification de tous les contrles cls tester (en concertation avec le commissaire aux comptes) b. Dtermination de la taille des chantillons tester (en concertation avec le commissaire aux comptes) c. Prparation des feuilles de test d. Prparation dun mode opratoire pour la ralisation des tests e. Participation au choix des quipes de test 2- Analyse et validation des rsultats des tests f. Segmentation des contrles tests en trois catgories (contrles ncessitant correction, ne ncessitant pas correction, taille de lchantillon incomplte) g. Re-planifier des tests pour les contrles dont la taille de lchantillon est incomplte h. Segmenter les contrles ncessitant correction en dfaillance de
Rf et observations
Rf et observations
134
Taches documentation et dfaillance dapplication 3- Actions correctives i. Dfinition des actions correctives pour les contrles ncessitant correction j. Re-palnifier ces actions dans le temps k. Revue des rsultats de la deuxime campagne des tests VI- Qualification des dficiences de contrle Taches Procder la qualification des dficiences de contrle : a. Recenser les dficiences de contrle existantes b. Vrifier pour les dficiences de contrle existantes sil nexiste pas de contrle complmentaire ou redondant c. Valoriser les dficiences de contrles identifies d. Dterminer la probabilit des dficiences (forte probabilit, faible probabilit) e. Dterminer les dficiences de contrle, les dficiences significatives et les faiblesses importantes.
Rf et observations
Rf et observations
135
Annexe 4 : Planning dtaill du processus dvaluation du CIIF -----------------------------------------------------------------------------------------------------------------------------------------------------N-1

Jul-Sept I - Initiation du projet Prise de connaissance de lentreprise Organisation du projet Etablissement dun planning II - Dfinition du primtre Choix des cycles Choix des processus et sous-processus III - Production documentaire Analyse des risques Dfinition des activits de contrles Rdaction et mise jour des procdures IV - Evaluation de la maturit des contrles Choix des contrles cls Prparation des feuilles dvaluation Campagne dvaluation de la maturit des contrles Dtermination et communication des plans de correction V - Tests sur les contrles et tablissement des plans de corrections Dtermination de la taille des chantillons Mode opratoire et feuilles de tests Campagne de tests Plans de correction et suivi des plans de correction VI - Apprciation des dficiences et rdaction du rapport Analyse des dficiences de contrle Rdaction du rapport Oct-Dc Janv-Mar Avr-Jui
N
Jul-Sept Oct-Dc
N+1
Janv-Mar
136
Annexe 5 : Tableau didentification des comptes significatifs

----------------------------------------------------------------------------------------------------------------Compte (A) Solde (B) Suprieur lerreur Critres qualitatifs tolrable ? considrs (C) (D) Compte significatif ? (Oui/Non)
(A) la liste des comptes consolids. (B) le solde correspond au solde du compte consolid au niveau de la socit marocaine et de ses filiales. Le solde peut correspondre au solde du compte selon les derniers comptes audits ou tenir compte galement des donnes du budget. (C) lerreur tolrable est calcule partir du seuil de signification dtermin par le Commissaire aux comptes. Elle est fixe environ 50% du seuil de signification. (D) les critres qualitatifs considrer sont : le risque derreur ; la nature mme des comptes (les comptes de disponibilits, de provision pour risques et charges sont souvent jugs significatifs, mme si leur solde nexcde pas le montant de lerreur tolrable) ; le volume dactivit et la complexit du compte.
137
Annexe 6 : Slection des entits significatives -----------------------------------------------------------------------------------------Comptes significatifs Immobilisations corporelles Stocks Crances clients Disponibilits Charges constates d'avance Provisions Dettes Fournisseurs Autres dettes Ventes Charges d'exploitation Rsultat courant avant impt (RCAI) Total Consolid 1200 2775 3500 600 325 1000 3400 800 43680 34580 9100 Entits A 480 959 1250 170 120 120 1360 233 19200 15200 4000 B 360 833 1050 270 148 350 1020 277 14400 11400 3000 C 240 705 800 100 9 280 680 210 9600 7600 2000 D 120 278 400 60 48 250 340 80 480 380 100
Seuils de matrialit Seuil de signification (5% du RCAI) Erreur tolrable (50% du SS) % du RCAI consolid Dfinition du primtre d'valuation 455 228 44% Oui 33% Oui 22% Oui 1% Oui
Pour l'entit D mme si elle reprsente moins de 5% du seuil de signification, des soldes de certains de ses comptes sont suprieurs l'erreur tolrable et reprsente une part importante du solde consolid (crances clients, provisions.). Il serait possible dcarter les ventes et les achats de lentit D parce quelles reprsentent une part infime des soldes consolids.
138
Annexe 7 : Exemples de cycles dcoups en processus et sous processus ----------------------------------------------------------------------------------------------Cycles

Stocks
Processus correspondants
Stocks commerciaux (marchandises) Stocks techniques (matires et fournitures consommables)
Sous processus
- Planification des besoins ; - Gestion des rceptions et des livraisons ; - Inventaire des stocks ; Comptabilisation et valorisation des stocks ; - Traitement des provisions.
Gestion des encaissements Trsorerie Gestion des paiements Gestion des comptes bancaires (ouverture et clture, habilitations de Signatures) Rapprochements bancaires Gestion des placements et intrts financiers Patrimoine immobilier et foncier Acquisition Cession Dprciation Engagement de dpenses Traitement des mises en service (valorisation, mise jour de la base) Traitement des autres flux (cession, mises en rebus) Dprciation des immobilisations techniques
Immobilisations Immobilisations techniques
139
Annexe 8 : Exemple de Plan dvaluation de la maturit du contrle

---------------------------------------------------------------------------------------------------------------Rubrique
Cycle Rf Risque Risque Rf de contrle Description du contrle Arrt des comptes AC109 Crances clients errones AC109-a Rapprochement entre les comptes collectifs clients issus de la balance gnrale et les balances auxiliaires. Trimestriel Cellule de synthse Division Comptabilit Manuel Procdure "Clture comptable et de gestion"
Commentaire
Frquence du contrle Responsable du contrle Mthode du contrle Titre de la procdure
Date de diffusion procdure Technique dvaluation
4/01/2006 Observation - Les contrles sont dfinis et mis en place, - Les contrles ont t documents et communiqus au personnel suite une formation, Non Fiable Informel Standardis Supervis Optimis
Constat dvaluation Niveau de maturit du contrle
Conclusion Recommandations
Contrle ncessitant correction : Contrle ne ncessitant pas
Nant
Prpar par : (auditeur interne) Le :
140
Annexe 9 : Illustration de la taille des chantillons slectionner en fonction de la frquence des contrles
----------------------------------------------------------------------------------------------------------------Contrles priodiques : Nature du contrle Manuel Frquence du contrle Annuelle Semestrielle Trimestrielle Mensuelle Hebdomadaire Quotidienne Plusieurs fois par jour / Taille de lchantillon tester 1 2 3 4 10 25 25
Tester un exemple de chaque contrle automatique (1) (1) Sauf si les contrles informatiques gnraux sont efficaces ; sinon un chantillon de 25 est ncessaire. Contrles non priodiques : Dans certains cas, des contrles ne sont raliss que lorsque les oprations quils visent ont eu lieu. Dans ce cas, il est possible de dterminer lchantillon de test en se basant sur le nombre doprations ralises. Occurrence du contrle 1 2 ou 3 Entre 4 et 8 Entre 9 et 30 Plus de 30 Taille de lchantillon tester 1 2 3 4 25
Automatique
141
Annexe 10 : Exemple de feuille de test

----------------------------------------------------------------------------------------------------------------Rubrique
Cycle Rf Risque Risque Rf de contrle Description du contrle Arrt des comptes AC109 Crances clients errones AC109-a Rapprochement entre les comptes collectifs clients issus de la balance gnrale et les balances auxiliaires. Trimestriellle Cellule de synthse Division Comptabilit Manuel Procdure "Clture comptable et de gestion"
Commentaire
Frquence du contrle Responsable du contrle Mthode du contrle Titre de la procdure
Date de diffusion procdure Technique de test
Description des travaux faire
4/01/2006 Observation, Rapplication - Rcuprer l'tat de rapprochement, - Vrifier qu'il est sign par le responsable de la Div Compta, - Vrifier que les comptes collectifs clients issus de la balance gnrale sont conformes ceux de la comptabilit auxiliaire. En cas d'cart, demander les explications et les annexer au dossier de test 3
Taille de lchantillon thorique Taille de lchantillon disponible Etat du contrle Existe Document
Conclusion
Contrle ncessitant correction Contrle ne ncessitant pas correction
Recommandation
Testeur : M..(chef de service comptabilit fournisseur)
142
Annexe 11 : Exemple de matrice de risque

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Activit de contrle Assertions sur les comptes (1) Frquence du contrle (6) Objectifs du contrle (2) Mthode de contrle (5) Qualification du risque Taille de l'chantillon thorique Type de contrle (4) Maturit du contrle Test Documentation du contrle Application du contrle Taille de l'chantillon disponible
Technique de test
Rsultat du test
Contrle cl
Occurrence
Matrialit
Rf Risque
Risque
Rf Contrle
Description du contrle
Responsable du contrle
Ref Procdure
titre
AC108
Chiffre daffaires erron
AC108-a
Rapprochement Tableau de bord et les comptes de chiffre d'affaires, si le rapprochement est bon, M apposer la mention Ok sur ltat de rapprochement du CA
Responsable de la cellule de synthse Division Comptabilit
Existence Exhaustivit Evaluation
C, A, V
3 PR F 026
Procdure "Clture comptable et de gestion"
O,R
OK
KO
KO
AC109
Crances clients errones
AC109-a
Rapprochement entre les comptes collectifs clients T issus de la balance gnrale et les balances auxiliaires. Contrle global de cohrence : Cumul provisions de la clture prcdente +/M dotations/Reprises = Cumul provisions de la clture actuelle
Cellule de synthse Division Comptabilit
Existence x Exhaustivit Evaluation
C, A, V
3 PR F 026
Procdure "Clture comptable et de gestion" Procdure "Clture comptable et de gestion"
O,R
OK
OK
OK
AC114
Provisions pour crances 3 douteuses incohrentes
AC114-a
Chef Service reporting
Existence x Exhaustivit Evaluation
C, A, V
3 PR F 026
O,R
OK
OK
OK
Lgende : Frquence du contrle : (Q, quotidien ; M, mensuel ; T, trimestriel ; S, semestriel ; A, annuel) Objectifs de contrle : C completeness (exhaustivit) ; A accuracy (exactitude) ; V validity (validit) ; R restricted access (accs restreint) Type de contrle : (D, dtectif ; P, prventif) Mthode de contrle : (M, manuel ; A, automatique) Technique de test : (O, observation ; R, r-application) OK : ne ncessitant pas correction KO : ncessitant correction
143
Annexe 12 : Arbre de dcision pour la qualification des dficiences de contrle interne

-----------------------------------------------------------------------------------------------------------------
Est-ce que la magnitude potentielle est sans consquence sur les comptes annuels ? Non Existe-t-il des contrles redondants qui ont t tests et valus et qui permettent datteindre le mme objectif ? Non Est-ce quil existe des contrles compensatoires qui ont t tests et valus et qui rduisent la magnitude dune anomalie un niveau sans consquence pour les comptes annuels ? Non Est-ce que la probabilit qune anomalie matrielle se produise est trs faible ? Non Est- ce que des analyses complmentaires donnent penser que la probabilit quune anomalie matrielle se produise reste trs faible ? Non Faiblesse majeure
Oui Est-ce quun dirigeant prudent conclurait quil sagit au moins dune dficience pour les comptes annuels ?
Oui
Dficience Non
Oui
Oui Est-ce quun dirigeant prudent conclurait quil sagit dune faiblesse majeure pour les comptes annuels ? Dficience Significative
Non
Oui
Oui
144
Annexe 13 : Modle de rapport de la direction sur lvaluation du CIIF

----------------------------------------------------------------------------------------------------------------Rapport de la Direction sur le contrle interne lgard de linformation financire La direction est responsable de la prparation et de la prsentation des tats financiers consolids de la Socit et de la qualit gnrale de linformation financire communique par la Socit. La direction est charge galement de mettre en place et de maintenir un systme de contrle interne lgard de linformation financire. Le contrle interne lgard de linformation financire dune socit est le processus visant fournir une assurance raisonnable que linformation financire est fiable. Le contrle interne lgard de linformation financire dune socit sentend des politiques et procdures qui : 1) concernent la tenue de comptes suffisamment dtaills qui donnent une image fidle des oprations et des cessions dactifs de la socit; 2) fournissent une assurance raisonnable que les oprations sont enregistres comme il se doit pour tablir les tats financiers conformment aux principes comptables gnralement reconnus et que les encaissements et dcaissements de la socit ne sont faits quavec lautorisation de la direction et du conseil dadministration de la socit; 3) fournissent une assurance raisonnable que toute acquisition, utilisation ou cession non autorise des actifs de la socit qui pourrait avoir une incidence importante sur les tats financiers est soit interdite, soit dtecte temps. La direction a men une valuation de lefficacit du systme de contrle interne lgard de linformation financire en se basant sur le cadre de travail prsent dans le guide Internal Control Integrated Framework publi par le Committee of Sponsoring Organizations of the Treadway Commission. En fonction de cette valuation, la direction a conclu que le systme de contrle interne lgard de linformation financire de la Socit tait efficace au 31 dcembre .. En raison de ses limitations inhrentes, le contrle interne lgard de linformation financire pourrait ne pas prvenir ou dtecter les inexactitudes en temps opportun. Par ailleurs, lextrapolation aux priodes futures de toute valuation de lefficacit du contrle interne lgard de linformation financire implique le risque que les contrles deviennent inadquats en raison de changements dans les conditions ou que le degr de conformit avec les politiques ou les procdures se dtriore. Le commissaire aux comptes (Nom du CAC), sur la base de ses vrifications exprime une opinion sans rserve sur lefficacit du contrle interne lgard de linformation financire de la Socit au 31 dcembre .
Le Directeur Gnral Date du rapport
le Directeur Financier
145
BIBLIOGRAPHIE
Textes officiels
Textes lgislatifs Loi Sarbanes-Oxley Act of 2002 Loi 17/95 de la Socit Anonyme Loi n1-93-212 du 4 rabii II 1414 relative au conseil dontologique des valeurs mobilires La loi n39-05 portant code des assurances du 14 fvrier 2006
Textes rglementaires Avis de la Securities and Exchange Commission : N 33-8238, 34-47986 et IC-26068 du 5 juin 2003 Managements Reports on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports Communications de la Securities and Exchange Commission : N 2004-83 du 18 juin 2004 SEC Approves PCAOB Auditing Standard Regarding Audits of Internal Control in Conjunction with an Audit of Financial Statements N 2005-25 du 2 mars 2005 Extension of Compliance Dates for Non-Accelerated Filers and Foreign Private Issuers Regarding Internal Control Over Financial Reporting Requirements Circulaire de Bank Al Maghrib: Circulaire n6 relative au contrle interne des tablissements de crdit
Normes daudit Standard daudit du PCAOB: Auditing Standard n2 An Audit of Internal Control Over Financial Reporting Performed In Conjunction with an Audit of Financial Statements (Fvrier 2005) Manuel des normes Marocain : Audit lgal et contractuel
146
Ouvrages et publications
Coopers & Lybrand : La nouvelle pratique du contrle interne ditions dOrganisation Institut de lAudit interne & PricewaterhouseCoopers : La pratique du contrle interne Coso Report ditions dOrganisation Benot Pig : Audit et Contrle Interne ditions ems Management & Socit Ernst & Young : Preparing for Internal Control Reporting Price Waterhouse Coopers: Sarbanes-Oxley Act : section 404 Practical guidance for management
Articles et revues de presse spcialiss

Magasine Economie & Entreprises janvier 2004 : Londe de choc de la loi Sarbanes-Oxley Groupe HEC France : Audit Financier et contrle Interne : Lapport de la loi Sarbanes-Oxley M. Scanlon et A. Wakefield Additionnal SEC rulemaking to implement the Sarbanes-Oxley Act The Corporate & Securities Law Advisor 2002 P. Desceemaker Nouvelle regulation internationale des socits ctes : les principales dispositions du Sarbanes-Oxley Act of 2002 Bulletin Joly Socits 2003 KPMG Canada Avril 2004 : Article 404 de la loi Sarbanes-Oxley Aperu des exigences du PCAOB La tribune 17 juin 2005 : La loi Sarbanes-Oxley touche aussi les entreprises franaises Les Echos du 18 mars 2005 : Les metteurs trangers se plient laborieusement Sarbanes-Oxley CAmagazine le numro daot 2005 : Sur la route de Sarbanes-Oxley
147
Mmoires dExpertise Comptable Auteur THEROND Luc Titre Session Pays France
Proposition dune mthodologie daudit Mai - 1994 dans le cadre de lvaluation du contrle interne des entreprises informatises La certification du contrle interne dans Mai - 2006 le cadre de la loi Sarbanes-Oxley, un environnement nouveau pour le commissaire aux comptes : difficults et proposition pratique du standard n2 du PCAOB
MATHON Nicolas
France
ALLAIN Agns
Le contrle interne raffirm par la loi de Novembre - France scurit financire (LSF) : proposition 2004 dune approche mthodologique jusqu la rdaction du rapport sur le contrle interne lusage des petites et moyennes entreprises Une gestion intgre du contrle interne Mai - 2005 par limplmentation dun modle de contrle structur dans le contexte canadien France
VOISIN Stphane
Les sites Internet

Sites spcialiss SEC US Securities and Exchange Commission, Etats-Unis www.sec.gov PCAOB - Public Compagny Accounting Ovesight Board www.pcaobus.org Site des Publications financires des socits cotes www.edgar.com Loi Sarbanes-Oxley www.sarbanes-oxley.com IIA Institut of Internal Auditors, Etats-Unis www.theiia.org PricewaterhouseCoopers www.pwc.com 148

L’entreprise Marocaine soumise à la loi Sarbanes- Oxley . Proposition d’une démarche pour assister l’entreprise à évaluer son contrôle interne à l’égard de l’information financière conformément à cette loi

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

L’entreprise Marocaine soumise à la loi Sarbanes- Oxley . Proposition d’une démarche pour assister l’entreprise à évaluer son contrôle interne à l’égard de l’information financière conformément à cette loi

Transféré par

Droits d'auteur :

Formats disponibles

Lentreprise Marocaine soumise la loi Sarbanes-Oxley : Proposition dune dmarche pour assister lentreprise valuer son contrle interne

Lentreprise Marocaine soumise la loi SarbanesOxley :

MEMOIRE PRESENTE EN VUE DE LOBTENTION DU DIPLOME NATIONAL DEXPERTISE COMPTABLE

Session Novembre 2007

Prsent par Directeur de recherche

TALBI Mohamed As said Abdou Souleye DIOP

Liste des abrviations utilises

Partie 2 : Conduite de la mission dvaluation du contrle interne lgard de linformation financire

Lentreprise marocaine et la loi SOX

Entreprise Marocaine filiale dune socit amricaine cote aux Etats-Unis

La loi SOX, causes et effets

2.2 Principales dispositions de la loi SOX

2.3 Linformation financire : lgislation Marocaine et loi SOX

Circulaire n6 relative au contrle interne des tablissements de crdit

Le contrle interne et la loi SOX

Le contrle interne au sens large et le contrle interne lgard de

Diffrence entre le contrle interne et le contrle interne lgard de

Lvaluation du contrle interne lgard de linformation financire

Le cadre dvaluation recommand par la SEC : le COSO

3.1 Lenvironnement de contrle

3.2 Lvaluation des risques

3.3 Activits de contrle

Partie 2 : Conduite de la mission dvaluation du contrle interne lgard de linformation financire

Schma de lapproche dvaluation du CIIF Et rle des intervenants Initiation du projet

Evaluation de la maturit des contrles et plans daction

Ralisation des tests CAC

Validation des rsultats des tests Audit interne

Qualification des dficiences et communication des rsultats

Conclusion sur le contrle interne

Communication des rsultats CEO et CAC CFO

cadre dune mission daudit

Lvaluation du contrle interne dans le cadre de larticle 404 de la loi

Prise de connaissance de lentreprise et de son contrle interne

Le projet devra idalement tre structur comme suit :

Commissaire Aux comptes

Le rle des intervenants dans le projet

Analyse des dficiences de contrle Rdaction du rapport

Commissaire aux comptes

Assistance llaboration du rapport dvaluation du CIIF de la direction

Planning prvisionnel du projet

Aperu sur la dure des tapes

Choix des cycles

Choix des entits du primtre

Dcoupage du cycle en Processus Dfinition dun processus

Identification des processus

En annexe 7 quelques exemples de dcoupage de cycles en processus et sous processus.

Analyse des risques

Conception dun canevas dune matrice des risques

lexhaustivit et lvaluation. Les risques relatifs lexhaustivit seront par exemple : 86

Faible Faible Moyen Moyen Elev Elev

du Assertion sur les Evaluation des risques comptes Matrialit Occurrence

Types de contrle (prventif ou dtectif)

Mthodes de contrle (manuel ou automatique)

Mise jour des procdures

mettre jour les anciennes procdures selon un formalisme bien dfini.

Mise jour du manuel de procdures

Contrleur de gestion responsable de larrt du CA

Tableau des enregistrements : Nom de Responsable lenregistrement Identification dmission

Rgles de stockage Stockage

Protection & Dure de Accs conservation

Tableau des non conformits : N Contrle N de la non-conformit

NC - Mob Prp 304-a

Evaluation de la maturit des contrles et plans dactions

Evaluation de la maturit des contrles