Dossier
Dossier : Audit
Tendances du contrôle interne en 2007
et perspectives
Jean-Marc Truchi
PricewaterhouseCoopers
Associé
“ Comment ont évolué les démarches des entreprises
françaises en matière de contrôle interne, depuis la publication en
2007 du cadre de référence de l’AMF ?
Introduction
e contrôle interne et plus géné-
L ralement la maîtrise des risques
sont devenus au cours des dernières
années des sujets parmi les préoccu-
pations majeures des entreprises et
de leurs dirigeants. De nombreux
pays ont, à l’instar des États-Unis et
de la loi Sarbanes-Oxley, promulgué
des lois visant à préciser les obliga-
tions des dirigeants en matière de
contrôle interne conduisant de facto
à normer les démarches d’apprécia-
tion de l’efficacité des dispositifs de
contrôle interne mis en place par les
entreprises. Si le régulateur améri-
cain, dans le but de restaurer la
confiance dans ses marchés finan-
ciers, a choisi d’être directif et focalisé
sur l’information financière, d’autres
pays comme la France ont opté pour
une démarche différente, plus large
dans son périmètre d’application (au-
delà de l’information financière) et
offrant une plus grande latitude
quant aux démarches à adopter pour
Définition du contrôle interne
10 %
38 %
1%
16 %
”
la mise en conformité. Ainsi dès 2001
la Loi de Sécurité Financière (LSF) a
imposé aux présidents des conseils
d’administration (ou de surveillance)
des sociétés anonymes faisant appel
à l’épargne de rendre compte des
procédures de contrôle interne. Cette
loi ne fournissant aucune indication
quant au référentiel auquel les entre-
prises doivent se conformer, l’Auto-
rité des Marchés Financiers (AMF) a
souhaité les aider en définissant un
qui leur permette de développer et
de piloter leur dispositif de contrôle
interne. Depuis janvier 2007 l’AMF
recommande par conséquent aux
entreprises françaises soumises à la
LSF l’utilisation du cadre de référence
qu’elle propose.
Il nous a semblé utile, un an après
l’entrée en vigueur de cette recom-
mandation, d’analyser la manière
dont les entreprises françaises évo-
luent dans leur démarche de mise en
œuvre de leurs dispositifs de contrôle
interne et de maîtrise des risques et
COSO / AMF
COSO
AMF
35 %
AFEP / MEDEF
Définition propre
La Revue / Décembre 08
(08)
comment elles ont commencé à
adopter le cadre de référence de
l’AMF. Nous avons ainsi conduit l’ana-
lyse du contenu des rapports des
présidents des principales entre-
prises françaises (CAC 40 et SBF 120)
émis au titre de l’année 2007 et
publiés jusqu’à fin mai 2008.
Présentation des critères
de l’analyse
'enquête (1) s’est notamment
L appuyée sur les critères d’étude
suivants concernant le dispositif de
contrôle interne :
• Le référentiel choisi pour définir les
objectifs du contrôle interne ou la mé-
thodologie de l’ensemble du dispositif.
• Les risques traités dans les rap-
ports et la manière dont ils sont pré-
sentés (risques opérationnels,
juridiques, industriels, environne-
mentaux, informatiques, d’erreurs ou
de fraude, financiers).
• Les dispositifs de contrôle interne
mis en place au sein de la société et
leur niveau de formalisation.
• L’organisation du contrôle in-
terne, et plus précisément concer-
nant les fonctions de pilotage du
contrôle interne et d’audit interne.
• Les systèmes d’information et
leur rôle dans le dispositif de contrôle
interne.
• L’évaluation du contrôle interne
et les procédures mises en place.
• Les projets d’amélioration du Méthodologie employée
dispositif de contrôle interne.
L’analyse de ces critères dans les rap-
11 %
ports des entreprises permet d’ap- 22 %
COSO / AMF
précier l’évolution de leurs dispositifs COSO
3% 25 %
de contrôle interne depuis 12 mois et AMF
d’identifier les objectifs qu’elles se AFEP / MEDEF
CRBF 97 -02
fixent pour les prochaines années.
16 % Interne
23 %
Tendances du contrôle interne
en 2007 Principaux risques non financiers

a) Le référentiel de contrôle 80
70 63 63 59
interne 60 53
46
50 42
• Définition du contrôle interne 40
30
En 2007, 43 entreprises utilisent la 20
10
définition d’un référentiel pour 0
s

décrire le contrôle interne. La défini-

s
ux

ls
el

ue

e
ue

rie
ta
nn

ud
iq
en
iq

st

fra
tio

at
tion du référentiel COSO (dont l’utili- rid

du
em

rm

de
ra

Ju

In
nn

fo
pé

ou
sation est notamment imposée par la

In
ro
O

ur
vi

re
loi Sarbanes-Oxley) est mentionnée En

dans 35 % des cas et le cadre de réfé-
rence de l’AMF est cité dans 16 % des
rapports. 10 % des entreprises
reprennent à la fois les objectifs du
COSO et de l’AMF.
Toutefois, le référentiel sur lequel
repose la définition énoncée n’est
pas toujours explicitement men-
tionné. Les autres entreprises (38 %)
ont cité une définition du contrôle
interne qui leur est propre contre
21 % en 2006. Enfin, certains rapports
ne mentionnent pas de définition du
contrôle interne.
Il ressort dès lors qu’après un an
d’existence le cadre de référence de
l’AMF commence progressivement à
s’imposer comme un référentiel sur
lequel les entreprises fondent leur
démarche d’évaluation de leur
contrôle interne.
• Méthodologie d’élaboration du
contrôle interne
Près de 80 % des entreprises préci-
sent la méthodologie qu’elles em-
ploient pour la mise en place du
contrôle interne. Le COSO et/ou le
cadre de référence de l’AMF sont
cités dans près de 60 % des rapports.
Par ailleurs, 22 % des entreprises se
fondent sur un référentiel interne,
16 % suivent la trame de référence de
l’AFEP/MEDEF et 3 % font référence à
des réglementations liées à leurs
activités (ex. : règlement CRBF 97-02).
er
D'
4 entreprises sur 5 mentionnent • les risques environnementaux
désormais une méthodologie pour (83 %),
mettre en place le contrôle interne, • les risques industriels (74 %),
contre 1 sur 2 en 2006. Cette nette • les risques informatiques (64 %),
augmentation traduit également
• les risques d’erreur ou de fraude
l’adoption du cadre de référence par
(60 %).
les entreprises. En effet, 33 rapports
mentionnent le cadre de référence Par rapport à l’année 2006, les entre-
de l’AMF en 2007 contre 7 seulement prises ont cité plus fréquemment les
en 2006. risques d’erreurs et de fraude
(+ 25 %), informatiques (+ 24 %) et
b) Les risques industriels (+ 19 %), opérationnels
50 % des entreprises énumèrent les (+ 12 %) et environnementaux
risques auxquels elles sont soumises (+ 5 %). Cependant, les risques juri-
diques restent stables.
dans le rapport du Président. Pour les
autres, les risques sont présentés 63 % des entreprises ne mentionnent
dans une autre partie du document pas l’existence de comités des
de référence. risques. Le pilotage des risques est
Les risques non financiers les plus généralement réalisé par les direc-
cités sont : tions du contrôle interne et des
risques, l’audit interne ou encore le
• les risques opérationnels ou liés à
comité d’audit.
l’activité dans 88 % des cas,
• les risques juridiques dans 88 % des • Méthodologie d’élaboration des
cas, risques
44 entreprises mentionnent l’exis-
Existe-t-il un comité des risques ? tence d’une cartographie des risques,
aussi appelée grille ou matrice des
risques. Sont également évoqués les
37 %
axes d’analyse de la cartographie, la
famille des risques et la méthode de
Non Oui collecte des informations considé-
mentionné
rées pour la construire. Il est à noter
63 %
que les détails de la méthodologie
d’élaboration sont plus souvent
La Revue / Décembre 08
(09)
 Mécanisme de gestion des risques
développés que dans les rapports de
80 2006. La majeure partie des entre-
69
70 62 prises s’inscrit désormais dans un
60
50 44
processus annuel de mise à jour de
40 leur portefeuille de risques.
30
20 • Le risque de fraude
10
0 Le risque de fraude occupe une place
Cartographie / grille / matrice Identification /
inventaire des risques
Utilisation d'une méthodologie
d'élaboration
plus importante en 2007. Il est désor-
mais cité dans 76 % des rapports
contre 35 % en 2006. 81 % des
Risque de fraude
entreprises possèdent une charte
Mentionné 55
d’éthique ou de déontologie et 38 %
Charte d'éthique 64 ont mis en place des démarches de
Département anti-fraude 8
sensibilisation qui passent notamment
par la formation. 8 entreprises évo-
Formation 28
quent l’existence d’un département
0 10 20 30 40 50 60 70 anti-fraude contre 1 l’année précé-
dente. Parmi ces entreprises, 5 d’entre
Moyens mis en œuvre pour le contrôle interne elles font partie du CAC 40 et 4 ne sont
80 pas soumises à la loi Sarbanes-Oxley.
70 64
59
60
50
51
46 c) Les dispositifs de contrôle
40 32
30 • Niveau de formalisation de
20 contrôle
10
0 Concernant le degré de formalisation
Charte d'éthique / Manuels de Manuels de Charte d'audit Manuel de des procédures, plus de 90 % de
de déontologie procédures procédures interne contrôle interne
comptables internes l’échantillon spécifie l’existence, la
mise à jour ou l’élaboration de
Principales procédures financières manuels ou de guides de contrôle
80
70
68 67
62
interne. Cette démarche de formali-
60 51
47
sation s’accompagne quasi-systéma-
50
40 tiquement d’une volonté de
30
20
communication aux services concer-
10 nés. Cette tendance reste à un niveau
0
Élaboration Reporting Suivi Suivi des actifs Contrôle qualité
élevé et en légère progression par
et consolidation
des comptes
des engagements
hors bilan
des infos financières rapport à 2006.
A contrario, il n’est fait mention d’un
Procédures Générales tableau de bord que dans 4 cas sur
80 10, ce qui représente néanmoins le
70 62
60 51
55 double par rapport à 2006. Ce
50 40 42 tableau de bord a pour objectif
40
30 d’améliorer le pilotage du dispositif
20
de contrôle interne ou des processus
10
0 de gestion des risques.
Identification et suivi Contrôle juridique Contrôle opérationnel Délégation de Plans de reprise
des risques pouvoir/séparation
des tâches
ou de continuité Les rapports analysés mentionnent
l’existence des documents suivants :
Pilotage du contrôle interne • Charte d’éthique/de déontologie.
40
34
• Manuel de procédures comptables.
30 • Manuels de procédures internes.
30
• Manuels de contrôle interne.
20 18
• Charte d’audit interne.
10
10 • Principales procédures financières
2
En ce qui concerne les procédures
0
Direction Générale Direction du Risk Management Comité d'audit Non précisé relatives à l’élaboration et au traite-
contrôle interne ment de l’information financière et
La Revue / Décembre 08
(10)
comptable, les entreprises communi-
Pilotage du contrôle interne
quent le plus souvent sur :
• Les procédures d’élaboration et de 70 % 63 %

consolidation des comptes. 60 %

50 %
• Les procédures de reporting.
40 % 32 % 2005
• Les procédures de suivi des enga- 30 % 2006
gements hors bilan. 20 % 15 % 13 % 15 %
10 %
• Les procédures de contrôle de la 10 %
7%
3%

qualité des informations financières 0%

Direction Générale Direction du contrôle Risk Management Comité d'audit
et comptables. interne non précisé
La qualité des informations finan-
cières, associée aux processus de Entité examinatrice des plans d'audit
reporting et d’élaboration/consolida-
tion des comptes est toujours au cœur Autres (ex. : comité Comité d'audit
exécutif…) et comité des comptes
des préoccupations en 2007 (9 entre- 3% 12 % Comité des comptes
prises sur 10, soit en moyenne 10 % de et direction générale
7%
plus que l’année 2006).

• Principales procédures non finan- Comité des comptes

cières
S’agissant des procédures non finan-
cières du contrôle interne, on
retrouve :
• les procédures d’identification et de
suivi des principaux risques,
• les procédures de contrôle juri-
dique (respect des lois et règle-
ments),
• les procédures de contrôle opéra-
tionnel,
• les procédures de délégation de
pouvoirs/ séparation des tâches,
• les plans de reprise ou de continuité
d’activité.
Les sociétés inclues dans l’échantillon
se sont appliquées à renforcer leur
dispositif de contrôle juridique.
Désormais, plus de la moitié des
entreprises (autant du CAC 40 que du
SBF 120) sont préoccupées par le
sujet, alors que seul un quart l’était
une année auparavant.
Les autres points marquants concer-
nent les procédures de délégation de
pouvoirs et les plans de continuité
d’activité, qui ont été cités respecti-
vement à 55 et 42 reprises, soit 30 %
de plus qu’en 2006.
d) L'organisation du contrôle
interne
Le contrôle interne se veut à la
dimension des groupes, impliquant
les fonctions opérationnelles, comme
Comité d'audit
66 %
Le pilotage du contrôle interne est
assuré dans la majorité des cas par la
Direction Générale, assistée dans
50 % des cas par le comité d’audit et
en moindre proportion par la direc-
tion du contrôle interne ou le Risk
Management.
L’évolution par rapport à 2006 réside
dans la volonté d’instaurer des prin-
cipes de gouvernance : le pilotage et
la mise en œuvre incombaient sou-
vent à la direction du contrôle
interne. Les tâches de suivi, de pilo-
tage et de mise en œuvre sont
désormais effectuées par des acteurs
distincts.
61 rapports mentionnent l’existence
d’une fonction d’audit interne en
charge de vérifier le fonctionnement
du dispositif de contrôle interne,
d’apprécier l’efficacité des procé-
dures de contrôle associées, et de
formuler des recommandations
d’amélioration si nécessaire. Cette
Systèmes d'information
Intranet pour diffuser
l'information
SI pour reporting financier
SI dédié au contrôle
interne
12 %
fonction est le plus souvent rattachée
à la Direction Générale (38 sociétés), à
la direction financière (10 sociétés),
ou au comité d’audit (8 sociétés).
Dans certains cas, la direction d’audit
interne est rattachée au secrétariat
général, ou à la direction des risques.
Les missions d’audit interne suivent
le plus souvent un plan d’audit qui
décrit le périmètre, le planning et les
objectifs de la mission d’audit. Il est
examiné pour 46 entreprises par le
comité d’audit. Dans 82 % des cas, le
rapport précise que les missions
d’audit interne aboutissent à des
recommandations qui font l’objet
d’un suivi.
e) Les systèmes d'information
La majorité des entreprises utilise un
intranet pour diffuser l’information
relative au contrôle interne. 80 % des
entreprises utilisent des progiciels de
reporting financier et/ou de consoli-
59
59
38

les fonctions support, les fonctions

0 10 20 30 40 50 60 70 80
dédiées et la Direction Générale.
La Revue / Décembre 08
(11)
 Évaluation du contrôle interne Utilisation de questionnaires
pour l'évaluation du contrôle interne

Mentionné 16 %
dans le rapport 57

Non
Résultat mentionné 9

Mise en évidence Oui

de points faibles 7
de contrôle interne

0 4 0 80
84 %

dation qui permettent aux sociétés de questionnaire d’auto-évaluation est tion du dispositif de contrôle interne
renforcer la qualité et la fiabilité des désormais cité dans plus de 70 % des dans un objectif de rationalisation du
reportings financiers. Quelques rapports contre 60 % en 2006. nombre de contrôles. On note enfin
rapports évoquent l’évaluation des Les acteurs qui pilotent l’évaluation de nombreux projets liés aux
systèmes d’information à travers des du contrôle interne sont principale- systèmes d’information tels que des
audits informatiques, réalisés par ment l’audit interne et les organes de audits informatiques de sécurité, des
l’audit interne ou des consultants direction. revues des accès aux systèmes
externes. d’information ou la mise en place de
Les systèmes d’information permet- g) Les projets d'amélioration plans de reprise d’activité.
tent aussi d’intégrer le référentiel de du dispositif de contrôle interne
contrôle interne et de documenter
Conclusion
Les démarches que les entreprises
u-delà de la mise en place pro-
les processus opérationnels. Parfois,
ils permettent d’auto-évaluer le
contrôle interne, les risques et de
souhaitent entreprendre pour ren-
forcer le dispositif de contrôle interne
A gressive du cadre de référence de
l’AMF, l’analyse des rapports émis au
sont le plus souvent les suivantes : titre de 2007 met par conséquent en
suivre des plans d’actions associés
aux faiblesses détectées. Notons éga- • identifier les risques ou poursuivre évidence que le contrôle interne conti-
lement que les directions des leur analyse et leur suivi, nue à se structurer au sein des princi-
systèmes d’information sont rare- • entreprendre des démarches de pales entreprises françaises cotées.
ment citées comme des acteurs clés formalisation, mise à jour et harmo- Leurs démarches sont de plus en plus
du contrôle interne. nisation des procédures, centrées sur leurs risques majeurs et
• mettre en place ou améliorer leur incluent désormais des phases de
f) L'évaluation du contrôle vérification de l’efficacité opération-
dispositif d’évaluation,
interne nelle des dispositifs mis en place.
• aligner leur système de contrôle
Plus d’un tiers des rapports men- Couplée au fait que les rôles et res-
interne sur un référentiel (notam-
tionne l’évaluation du dispositif de ponsabilités en matière de pilotage du
ment le cadre de référence du
contrôle interne. Néanmoins, peu contrôle interne et de suivi des risques
contrôle interne publié par l’AMF),
font mention du résultat de l’évalua- se clarifient progressivement et qu’ils
tion et des éventuelles faiblesses tant • étendre le périmètre de contrôle apparaissent comme de réels enjeux
de conception que d’efficacité opé- interne. de management, cette évolution sem-
rationnelle du contrôle interne. L’uti- 26 entreprises citent d’autres types ble indiquer que les entreprises
lisation de questionnaires d’auto- de projets tels que la détection de acquièrent progressivement une
évaluation s’est répandue en 2007, le fraude ou des démarches d’optimisa- maturité qui leur permet aujourd’hui
d’envisager d’élargir le champ de leur
Projets liés au contrôle interne contrôle interne vers des aspects plus
opérationnels et moins centrés sur l’in-
Autres 26 formation financière. La prochaine
étape semble en effet résider dans
Mise en place /
amélioration du dispositif d'évaluation 33 l’utilisation du contrôle interne en tant
qu’outil au service du pilotage des
Extension du périmètre du contrôle interne 8
risques opérationnels et d’améliora-
Démarches de formalisation, mise à jour
38
tion de l’efficacité des processus. ■
et harmonisation des procédures

Identification / mise à jour, suivi des risques 47

Note :
1 . L’édition 2007 de l’« Enquête sur les rap-
Alignement du système de contrôle interne ports du président du conseil relatifs aux
sur un référentiel 25
dispositifs de contrôle interne » réalisée par
PricewaterhouseCoopers est à paraître fin
0 10 20 30 40 50
juin 2008.

La Revue / Décembre 08
(12)