Vous êtes sur la page 1sur 5

Dossier

Dossier : Audit

Tendances du contrôle interne en 2007


et perspectives

Jean-Marc Truchi
PricewaterhouseCoopers
Associé
“ Comment ont évolué les démarches des entreprises
françaises en matière de contrôle interne, depuis la publication en
2007 du cadre de référence de l’AMF ?


Introduction la mise en conformité. Ainsi dès 2001 comment elles ont commencé à
e contrôle interne et plus géné- la Loi de Sécurité Financière (LSF) a adopter le cadre de référence de
L ralement la maîtrise des risques
sont devenus au cours des dernières
imposé aux présidents des conseils
d’administration (ou de surveillance)
l’AMF. Nous avons ainsi conduit l’ana-
lyse du contenu des rapports des
années des sujets parmi les préoccu- des sociétés anonymes faisant appel présidents des principales entre-
pations majeures des entreprises et à l’épargne de rendre compte des prises françaises (CAC 40 et SBF 120)
de leurs dirigeants. De nombreux procédures de contrôle interne. Cette émis au titre de l’année 2007 et
pays ont, à l’instar des États-Unis et loi ne fournissant aucune indication publiés jusqu’à fin mai 2008.
de la loi Sarbanes-Oxley, promulgué quant au référentiel auquel les entre-
prises doivent se conformer, l’Auto- Présentation des critères
des lois visant à préciser les obliga-
tions des dirigeants en matière de rité des Marchés Financiers (AMF) a de l’analyse
souhaité les aider en définissant un 'enquête (1) s’est notamment
contrôle interne conduisant de facto
à normer les démarches d’apprécia-
tion de l’efficacité des dispositifs de
qui leur permette de développer et
de piloter leur dispositif de contrôle
L appuyée sur les critères d’étude
suivants concernant le dispositif de
contrôle interne mis en place par les interne. Depuis janvier 2007 l’AMF contrôle interne :
entreprises. Si le régulateur améri- recommande par conséquent aux • Le référentiel choisi pour définir les
cain, dans le but de restaurer la entreprises françaises soumises à la objectifs du contrôle interne ou la mé-
confiance dans ses marchés finan- LSF l’utilisation du cadre de référence thodologie de l’ensemble du dispositif.
ciers, a choisi d’être directif et focalisé qu’elle propose.
• Les risques traités dans les rap-
sur l’information financière, d’autres Il nous a semblé utile, un an après ports et la manière dont ils sont pré-
pays comme la France ont opté pour l’entrée en vigueur de cette recom- sentés (risques opérationnels,
une démarche différente, plus large mandation, d’analyser la manière juridiques, industriels, environne-
dans son périmètre d’application (au- dont les entreprises françaises évo- mentaux, informatiques, d’erreurs ou
delà de l’information financière) et luent dans leur démarche de mise en de fraude, financiers).
offrant une plus grande latitude œuvre de leurs dispositifs de contrôle • Les dispositifs de contrôle interne
quant aux démarches à adopter pour interne et de maîtrise des risques et mis en place au sein de la société et
leur niveau de formalisation.
Définition du contrôle interne • L’organisation du contrôle in-
terne, et plus précisément concer-
nant les fonctions de pilotage du
10 %
contrôle interne et d’audit interne.
38 % COSO / AMF
COSO
• Les systèmes d’information et
AMF leur rôle dans le dispositif de contrôle
35 %
AFEP / MEDEF interne.
Définition propre
1%
• L’évaluation du contrôle interne
16 % et les procédures mises en place.
La Revue / Décembre 08
(08)
• Les projets d’amélioration du Méthodologie employée
dispositif de contrôle interne.
L’analyse de ces critères dans les rap-
11 %
ports des entreprises permet d’ap- 22 %
COSO / AMF
précier l’évolution de leurs dispositifs COSO
3% 25 %
de contrôle interne depuis 12 mois et AMF
d’identifier les objectifs qu’elles se AFEP / MEDEF
CRBF 97 -02
fixent pour les prochaines années.
16 % Interne
23 %
Tendances du contrôle interne
en 2007 Principaux risques non financiers

a) Le référentiel de contrôle 80
70 63 63 59
interne 60 53
46
50 42
• Définition du contrôle interne 40
30
En 2007, 43 entreprises utilisent la 20
10
définition d’un référentiel pour 0
s

décrire le contrôle interne. La défini-

s
ux

ls
el

ue

e
ue

rie
ta
nn

ud
iq
en
iq

st

fra
tio

at
tion du référentiel COSO (dont l’utili- rid

du
em

rm

de
ra

Ju

In
nn

fo

ou
sation est notamment imposée par la

In
ro
O

ur
vi

re
loi Sarbanes-Oxley) est mentionnée En

er
D'
dans 35 % des cas et le cadre de réfé-
rence de l’AMF est cité dans 16 % des 4 entreprises sur 5 mentionnent • les risques environnementaux
rapports. 10 % des entreprises désormais une méthodologie pour (83 %),
reprennent à la fois les objectifs du mettre en place le contrôle interne, • les risques industriels (74 %),
COSO et de l’AMF. contre 1 sur 2 en 2006. Cette nette • les risques informatiques (64 %),
Toutefois, le référentiel sur lequel augmentation traduit également
• les risques d’erreur ou de fraude
repose la définition énoncée n’est l’adoption du cadre de référence par
(60 %).
pas toujours explicitement men- les entreprises. En effet, 33 rapports
mentionnent le cadre de référence Par rapport à l’année 2006, les entre-
tionné. Les autres entreprises (38 %)
de l’AMF en 2007 contre 7 seulement prises ont cité plus fréquemment les
ont cité une définition du contrôle
en 2006. risques d’erreurs et de fraude
interne qui leur est propre contre
(+ 25 %), informatiques (+ 24 %) et
21 % en 2006. Enfin, certains rapports
ne mentionnent pas de définition du
b) Les risques industriels (+ 19 %), opérationnels
50 % des entreprises énumèrent les (+ 12 %) et environnementaux
contrôle interne.
risques auxquels elles sont soumises (+ 5 %). Cependant, les risques juri-
Il ressort dès lors qu’après un an diques restent stables.
d’existence le cadre de référence de dans le rapport du Président. Pour les
autres, les risques sont présentés 63 % des entreprises ne mentionnent
l’AMF commence progressivement à
dans une autre partie du document pas l’existence de comités des
s’imposer comme un référentiel sur
de référence. risques. Le pilotage des risques est
lequel les entreprises fondent leur
Les risques non financiers les plus généralement réalisé par les direc-
démarche d’évaluation de leur
cités sont : tions du contrôle interne et des
contrôle interne.
risques, l’audit interne ou encore le
• les risques opérationnels ou liés à
• Méthodologie d’élaboration du comité d’audit.
l’activité dans 88 % des cas,
contrôle interne
• les risques juridiques dans 88 % des • Méthodologie d’élaboration des
Près de 80 % des entreprises préci-
cas, risques
sent la méthodologie qu’elles em-
ploient pour la mise en place du 44 entreprises mentionnent l’exis-
contrôle interne. Le COSO et/ou le Existe-t-il un comité des risques ? tence d’une cartographie des risques,
cadre de référence de l’AMF sont aussi appelée grille ou matrice des
cités dans près de 60 % des rapports. risques. Sont également évoqués les
Par ailleurs, 22 % des entreprises se 37 %
axes d’analyse de la cartographie, la
fondent sur un référentiel interne, famille des risques et la méthode de
16 % suivent la trame de référence de Non Oui collecte des informations considé-
mentionné
l’AFEP/MEDEF et 3 % font référence à rées pour la construire. Il est à noter
63 %
des réglementations liées à leurs que les détails de la méthodologie
d’élaboration sont plus souvent
activités (ex. : règlement CRBF 97-02).
La Revue / Décembre 08
(09)
Mécanisme de gestion des risques
développés que dans les rapports de
80 2006. La majeure partie des entre-
69
70 62 prises s’inscrit désormais dans un
60
50 44
processus annuel de mise à jour de
40 leur portefeuille de risques.
30
20 • Le risque de fraude
10
0 Le risque de fraude occupe une place
Cartographie / grille / matrice Identification /
inventaire des risques
Utilisation d'une méthodologie
d'élaboration
plus importante en 2007. Il est désor-
mais cité dans 76 % des rapports
contre 35 % en 2006. 81 % des
Risque de fraude
entreprises possèdent une charte
Mentionné 55
d’éthique ou de déontologie et 38 %
Charte d'éthique 64 ont mis en place des démarches de
Département anti-fraude 8
sensibilisation qui passent notamment
par la formation. 8 entreprises évo-
Formation 28
quent l’existence d’un département
0 10 20 30 40 50 60 70 anti-fraude contre 1 l’année précé-
dente. Parmi ces entreprises, 5 d’entre
Moyens mis en œuvre pour le contrôle interne elles font partie du CAC 40 et 4 ne sont
80 pas soumises à la loi Sarbanes-Oxley.
70 64
59
60
50
51
46 c) Les dispositifs de contrôle
40 32
30 • Niveau de formalisation de
20 contrôle
10
0 Concernant le degré de formalisation
Charte d'éthique / Manuels de Manuels de Charte d'audit Manuel de des procédures, plus de 90 % de
de déontologie procédures procédures interne contrôle interne
comptables internes l’échantillon spécifie l’existence, la
mise à jour ou l’élaboration de
Principales procédures financières manuels ou de guides de contrôle
80
70
68 67
62
interne. Cette démarche de formali-
60 51
47
sation s’accompagne quasi-systéma-
50
40 tiquement d’une volonté de
30
20
communication aux services concer-
10 nés. Cette tendance reste à un niveau
0
Élaboration Reporting Suivi Suivi des actifs Contrôle qualité
élevé et en légère progression par
et consolidation
des comptes
des engagements
hors bilan
des infos financières rapport à 2006.
A contrario, il n’est fait mention d’un
Procédures Générales tableau de bord que dans 4 cas sur
80 10, ce qui représente néanmoins le
70 62
60 51
55 double par rapport à 2006. Ce
50 40 42 tableau de bord a pour objectif
40
30 d’améliorer le pilotage du dispositif
20
de contrôle interne ou des processus
10
0 de gestion des risques.
Identification et suivi Contrôle juridique Contrôle opérationnel Délégation de Plans de reprise
des risques pouvoir/séparation
des tâches
ou de continuité Les rapports analysés mentionnent
l’existence des documents suivants :
Pilotage du contrôle interne • Charte d’éthique/de déontologie.
40
34
• Manuel de procédures comptables.
30 • Manuels de procédures internes.
30
• Manuels de contrôle interne.
20 18
• Charte d’audit interne.
10
10 • Principales procédures financières
2
En ce qui concerne les procédures
0
Direction Générale Direction du Risk Management Comité d'audit Non précisé relatives à l’élaboration et au traite-
contrôle interne ment de l’information financière et
La Revue / Décembre 08
(10)
comptable, les entreprises communi-
Pilotage du contrôle interne
quent le plus souvent sur :
• Les procédures d’élaboration et de 70 % 63 %

consolidation des comptes. 60 %


50 %
• Les procédures de reporting.
40 % 32 % 2005
• Les procédures de suivi des enga- 30 % 2006
gements hors bilan. 20 % 15 % 13 % 15 %
10 %
• Les procédures de contrôle de la 10 %
7%
3%

qualité des informations financières 0%


Direction Générale Direction du contrôle Risk Management Comité d'audit
et comptables. interne non précisé
La qualité des informations finan-
cières, associée aux processus de Entité examinatrice des plans d'audit
reporting et d’élaboration/consolida-
tion des comptes est toujours au cœur Autres (ex. : comité Comité d'audit
exécutif…) et comité des comptes
des préoccupations en 2007 (9 entre- 3% 12 % Comité des comptes
prises sur 10, soit en moyenne 10 % de et direction générale
7%
plus que l’année 2006).

• Principales procédures non finan- Comité des comptes


Comité d'audit 12 %
cières 66 %
S’agissant des procédures non finan-
cières du contrôle interne, on Le pilotage du contrôle interne est fonction est le plus souvent rattachée
retrouve : assuré dans la majorité des cas par la à la Direction Générale (38 sociétés), à
• les procédures d’identification et de Direction Générale, assistée dans la direction financière (10 sociétés),
suivi des principaux risques, 50 % des cas par le comité d’audit et ou au comité d’audit (8 sociétés).
• les procédures de contrôle juri- en moindre proportion par la direc- Dans certains cas, la direction d’audit
dique (respect des lois et règle- tion du contrôle interne ou le Risk interne est rattachée au secrétariat
Management. général, ou à la direction des risques.
ments),
• les procédures de contrôle opéra- L’évolution par rapport à 2006 réside Les missions d’audit interne suivent
tionnel, dans la volonté d’instaurer des prin- le plus souvent un plan d’audit qui
cipes de gouvernance : le pilotage et décrit le périmètre, le planning et les
• les procédures de délégation de
la mise en œuvre incombaient sou- objectifs de la mission d’audit. Il est
pouvoirs/ séparation des tâches,
vent à la direction du contrôle examiné pour 46 entreprises par le
• les plans de reprise ou de continuité interne. Les tâches de suivi, de pilo- comité d’audit. Dans 82 % des cas, le
d’activité. tage et de mise en œuvre sont rapport précise que les missions
Les sociétés inclues dans l’échantillon désormais effectuées par des acteurs d’audit interne aboutissent à des
se sont appliquées à renforcer leur distincts. recommandations qui font l’objet
dispositif de contrôle juridique. d’un suivi.
61 rapports mentionnent l’existence
Désormais, plus de la moitié des
d’une fonction d’audit interne en
entreprises (autant du CAC 40 que du e) Les systèmes d'information
charge de vérifier le fonctionnement
SBF 120) sont préoccupées par le La majorité des entreprises utilise un
du dispositif de contrôle interne,
sujet, alors que seul un quart l’était intranet pour diffuser l’information
d’apprécier l’efficacité des procé-
une année auparavant. dures de contrôle associées, et de relative au contrôle interne. 80 % des
Les autres points marquants concer- formuler des recommandations entreprises utilisent des progiciels de
nent les procédures de délégation de d’amélioration si nécessaire. Cette reporting financier et/ou de consoli-
pouvoirs et les plans de continuité
d’activité, qui ont été cités respecti- Systèmes d'information
vement à 55 et 42 reprises, soit 30 %
de plus qu’en 2006. Intranet pour diffuser
59
l'information
d) L'organisation du contrôle
interne SI pour reporting financier 59
Le contrôle interne se veut à la
dimension des groupes, impliquant SI dédié au contrôle
38
les fonctions opérationnelles, comme interne

les fonctions support, les fonctions


0 10 20 30 40 50 60 70 80
dédiées et la Direction Générale.
La Revue / Décembre 08
(11)
Évaluation du contrôle interne Utilisation de questionnaires
pour l'évaluation du contrôle interne

Mentionné 16 %
dans le rapport 57

Non
Résultat mentionné 9

Mise en évidence Oui


de points faibles 7
de contrôle interne

0 4 0 80
84 %

dation qui permettent aux sociétés de questionnaire d’auto-évaluation est tion du dispositif de contrôle interne
renforcer la qualité et la fiabilité des désormais cité dans plus de 70 % des dans un objectif de rationalisation du
reportings financiers. Quelques rapports contre 60 % en 2006. nombre de contrôles. On note enfin
rapports évoquent l’évaluation des Les acteurs qui pilotent l’évaluation de nombreux projets liés aux
systèmes d’information à travers des du contrôle interne sont principale- systèmes d’information tels que des
audits informatiques, réalisés par ment l’audit interne et les organes de audits informatiques de sécurité, des
l’audit interne ou des consultants direction. revues des accès aux systèmes
externes. d’information ou la mise en place de
Les systèmes d’information permet- g) Les projets d'amélioration plans de reprise d’activité.
tent aussi d’intégrer le référentiel de du dispositif de contrôle interne
contrôle interne et de documenter
Conclusion
Les démarches que les entreprises
u-delà de la mise en place pro-
les processus opérationnels. Parfois,
ils permettent d’auto-évaluer le
contrôle interne, les risques et de
souhaitent entreprendre pour ren-
forcer le dispositif de contrôle interne
A gressive du cadre de référence de
l’AMF, l’analyse des rapports émis au
sont le plus souvent les suivantes : titre de 2007 met par conséquent en
suivre des plans d’actions associés
aux faiblesses détectées. Notons éga- • identifier les risques ou poursuivre évidence que le contrôle interne conti-
lement que les directions des leur analyse et leur suivi, nue à se structurer au sein des princi-
systèmes d’information sont rare- • entreprendre des démarches de pales entreprises françaises cotées.
ment citées comme des acteurs clés formalisation, mise à jour et harmo- Leurs démarches sont de plus en plus
du contrôle interne. nisation des procédures, centrées sur leurs risques majeurs et
• mettre en place ou améliorer leur incluent désormais des phases de
f) L'évaluation du contrôle vérification de l’efficacité opération-
dispositif d’évaluation,
interne nelle des dispositifs mis en place.
• aligner leur système de contrôle
Plus d’un tiers des rapports men- Couplée au fait que les rôles et res-
interne sur un référentiel (notam-
tionne l’évaluation du dispositif de ponsabilités en matière de pilotage du
ment le cadre de référence du
contrôle interne. Néanmoins, peu contrôle interne et de suivi des risques
contrôle interne publié par l’AMF),
font mention du résultat de l’évalua- se clarifient progressivement et qu’ils
tion et des éventuelles faiblesses tant • étendre le périmètre de contrôle apparaissent comme de réels enjeux
de conception que d’efficacité opé- interne. de management, cette évolution sem-
rationnelle du contrôle interne. L’uti- 26 entreprises citent d’autres types ble indiquer que les entreprises
lisation de questionnaires d’auto- de projets tels que la détection de acquièrent progressivement une
évaluation s’est répandue en 2007, le fraude ou des démarches d’optimisa- maturité qui leur permet aujourd’hui
d’envisager d’élargir le champ de leur
Projets liés au contrôle interne contrôle interne vers des aspects plus
opérationnels et moins centrés sur l’in-
Autres 26 formation financière. La prochaine
étape semble en effet résider dans
Mise en place /
amélioration du dispositif d'évaluation 33 l’utilisation du contrôle interne en tant
qu’outil au service du pilotage des
Extension du périmètre du contrôle interne 8
risques opérationnels et d’améliora-
Démarches de formalisation, mise à jour
38
tion de l’efficacité des processus. ■
et harmonisation des procédures

Identification / mise à jour, suivi des risques 47


Note :
1 . L’édition 2007 de l’« Enquête sur les rap-
Alignement du système de contrôle interne ports du président du conseil relatifs aux
sur un référentiel 25
dispositifs de contrôle interne » réalisée par
PricewaterhouseCoopers est à paraître fin
0 10 20 30 40 50
juin 2008.

La Revue / Décembre 08
(12)