Académique Documents
Professionnel Documents
Culture Documents
Résumé
Remerciements
De plus, j’ai aussi pu découvrir une partie du métier de l’audit interne grâce à Marie
Estelle, manager d’audit ou encore grâce à LM, auditrice IT, qui ont bien voulu
partager leurs expériences et connaissances avec moi.
Puis, je remercie aussi l’ensemble du service financier au sein duquel j’ai pu évoluer
cette année. Notamment MK (consolideur) et AG (contrôleur) qui m’ont tenu
compagnie lorsque les auditeurs partaient tous à l’étranger. Et qui m’ont expliqué
une partie de leur travail. Je remercie aussi BD (IT) et PL (EHS) avec qui j’ai pu
travailler sur différents projets et qui n’ont pas hésité à m’aider lors de la réalisation
de mes projets.
Et surtout, je remercie CB, directeur de l'audit d’Imerys, de m’avoir permis de réaliser
ce stage au sein de son service.
Enfin je remercie SKEMA pour m'avoir permis d'effectuer mon mastère spécialisé
d’audit en alternance au sein d’Imerys. Et à ses professeurs qui m'ont apporté les
connaissances nécessaires à la réalisation de mon futur projet professionnel. Et
principalement les professeurs, de l’option d’audit externe qui a pour moi dispensé
des cours d’une excellente qualité. Ainsi que mon Tuteur, Monsieur EC, qui a su
m’orienter et m’aider dans la réalisation de cette thèse.
I. Introduction genérale 4
A. Contexte général 4
B. Le rôle joué par le contrôle interne au sein des entreprises 5
C. Choix du sujet et problématique 7
II. Partie 1 : Diagnostic terrain 9
A. Méthodologies utilisées 9
a) L’observation participante...............................................................................9
b) Entretiens et réponses questionnaires..........................................................14
c) Benchmark....................................................................................................16
B. Les grandes questions de recherche 19
C. Analyse des résultats 19
a) Des règles et procédures encore trop méconnus des salariés.....................19
b) Un service non adapté à la taille de l’entreprise...........................................21
c) Un référentiel insuffisant pour prévenir les risques.......................................22
III. Partie 2 : Etat de l’art 23
A. L’audit interne, le contrôle interne et les risques 24
B. Les différentes lois et référentiels existants 26
a) Les lois internationales..................................................................................30
b) COSO vs AMF...............................................................................................34
C. La mise en place d’un référentiel de contrôle interne propre à chaque
entreprise 39
a) Les différentes méthodes de mettre en place un référentiel interne par les
entreprises..................................................................................................................39
b) Un référentiel de contrôle interne pour une société décentralisée industrielle
42
IV. Partie 3 : Recommandations 43
A. Choix du référentiel 43
a) Référentiels externes.....................................................................................43
b) Référentiels internes......................................................................................44
B. Les contrôles doivent être mis en place par les filiales elles-mêmes 48
C. Se tenir à jour des réglementations 49
V. Conclusion 51
I. Introduction générale
Dans un premier temps, il va falloir définir le contexte général ainsi que le sujet afin
d’extraire la problématique de ma thèse.
A. Contexte général
Elles doivent se plier aux différents audits externes des Big4 chaque année, comme
toutes les entreprises cotées. Qui évalue la gestion financière de l’entreprise, le
contrôle interne et la gestion des risques de l’entreprise. Ces cabinets effectuent
ensuite des recommandations que l’entreprise choisit ou non de suivre. Les
actionnaires ont ensuite accès à ces rapports. C’est pourquoi l’entreprise a tout
intérêt à mettre en place un bon audit interne et contrôle interne.
Ces audits sont demandés par la direction et le conseil d’administration qui sont les
principales parties concernées et donc chargés de doter l’entreprise de dispositif de
contrôle interne et de gestion des risques. Ces audits de contrôle restent obligatoires
pour les sociétés cotées et d’autres sociétés (suivant leur chiffre d’affaires et nombre
d’employés).
C’est là tout l’enjeu d’une entreprise cotée internationale comme Imerys. Cette
entreprise est un leader mondial dans l’industrie minière, de l’extraction à la
transformation. Cette société exploite les 30 minéraux existants au travers de 115
sites miniers dans le monde entier et les transforme au sein de 250 sites industriels.
Elle est localisée actuellement dans 52 pays, de la France au Brésil en passant par
la Thaïlande, les États-Unis ou encore les Zimbabwe. Imerys est une société cotée
au SBF 120 (Nyse Euronext Paris) et réalise un chiffre d’affaires de 4 milliards
d’euros pour 400 millions de résultats nets en 2013. Le capital est détenu en
majorité par deux grands hommes d’affaires tels que le Belge Albert Frère et le
Canadien Paul Desmarais. Le mode de gestion opérationnel retenu est la
décentralisation. L’activité de l’entreprise est organisée en 4 branches selon les
métiers, et elle-même redécoupée en divisions. Les responsables de ces divisions
gèrent leurs propres activités. Ils ont pour seule obligation de suivre les
développements stratégiques du Groupe. La gouvernance de l’entreprise est
constituée d’un Président Directeur général (Gilles MICHEL ancien directeur de
Citroën), d’un comité exécutif, d’un conseil d’administration ainsi que trois comités
spécialisés que sont le comité stratégique, le comité des nominations et des
rémunérations et enfin le comité d’audit.1
Le contrôle interne est défini aujourd’hui de différentes manières par les entreprises.
Mais elle est définie de la manière suivante par la législation américaine, qui est
régie par la loi Sarbanes-Oxley (SOX). Chaque entreprise cotée doit publier un
rapport sur les procédures du contrôle interne mises en place. En France, les
directives européennes et les lois françaises transposent la plupart du temps ces lois
américaines en apportant leur touche sur certains sujets. Toutes ces entreprises
doivent donc mettre en place un service de contrôle interne bien que les modalités
ne soient pas définies et qu’il n’existe pas de mode d’emploi type. Le contrôle interne
a pour rôle d’assurer la transparence sur les informations comptables et financières
de l’entreprise. Le contrôle interne a pour but d’assurer le suivi des réglementations
internationales au sein de l’entreprise et de rendre fiables toutes les informations
données par les dirigeants. Mais il a aussi un rôle de prévention contre les risques
inhérents à l’activité de l’entreprise. Un risque se définit de la manière suivante : « un
aléa dont la survenance prive un système d’une ressource et l’empêche d’atteindre
ses objectifs ». Quant à la gestion des risques, il s’agit d’un « processus appliqué
tout au long d’un programme et qui regroupe des activités d’identification,
d’estimation et de maîtrise des risques » 2. Les risques ne sont plus seulement
comptables et financiers, mais aussi opérationnels, sociétales, éthiques et
d’image.3Selon Daniel Lebègue, Président de l’institut français des administrateurs
(IFA), « la gestion des risques et le contrôle des décisions sont en un mot, une
science tout humaine dont on connait, depuis l’antiquité, les ressorts fondamentaux :
clarté des objectifs, audace, rigueur et collégialité dans leur mise en œuvre ».
Enfin, il est recommandé de s’appuyer sur des référentiels tels que le COSO
(committee of sponsoring organizations) ou encore le cadre de référence de l’AMF
(Autorité des marchés financiers), et tout autre référentiel professionnel.
1
http://www.imerys.com/scopi/group/imeryscom/imeryscom.nsf/pagesref/SCOI-8S4DU5?
Opendocument&lang=fr La gouvernance d’Imerys
2
http://www.cairn.info.ebooks.propedia.fr/revue-management-et-avenir-2012-5-page-14.htm Définition du
risque par Wibo (2000) et de la gestion des risques par Courtot (1998).
3
CORDEL Frédéric, LEBEGUE Daniel (2013), « Gestion des risques et contrôle interne, de la conformité à
l’analyse décisionnelle », édition Vuibert, 271 pages
l’encourage à sa propre gestion des risques et son contrôle interne sans lui imposer
des règles/procédures strictes comme aux États-Unis.4
Pour résumer, le contrôle interne au sein d’une entreprise a pour rôle de conformer
l’entreprise aux lois internationales. De rendre les informations financières et
économiques de l’entreprise et de la direction transparentes. Mais aussi et surtout
de prévenir et d’éviter les risques potentiels de l’entreprise.
Pour cela les entreprises décident d’établir un référentiel interne du contrôle interne,
c’est-à-dire un moyen de vérifier que toutes les règles édictées par l’entreprise par la
direction sont bien appliquées au siège, dans les filiales ou encore par les sous-
traitants. Les entreprises s’appuient sur des référentiels déjà existants, mais aussi
sur les lois SOX/LSF ou encore les normes ISO. 5Cela se traduit de différentes
manières en entreprise, par des contrôles automatiques informatiques, par des
questionnaires auprès des différents services ou encore par des audits. 6Chaque
entreprise crée son propre référentiel interne. Et ce référentiel est tenu comme
secret pour la plupart des entreprises, qui ne souhaitent pas communiquer leur
recette miracle.
Pour finir, il faut savoir que ces règles ne s’appliquent qu’aux entreprises cotées
c’est-à-dire les entreprises ayant émis des actions en bourse pour financer une
partie de leur capital.7 Ce sont donc les entreprises qui sont liées aux marchés
financiers directement. Elles ont alors une partie détenue par des actionnaires. Ces
derniers s’intéressent principalement aux rapports financiers demandés par les
institutions puisqu’ils sont les premiers exposés en cas de problème. C’est aussi en
cela qu’ils sont les principaux acteurs concernés puisqu’il s’agit de leurs
investissements qu’ils risquent de perdre en cas de défaillance de l’entreprise.
4
GUMB Bernard, NOEL Christine (2006), « Le contrôle interne au travers des représentations que s’en font les
dirigeants de groupes du CAC 40 : une étude exploratoire », HAL-SHS déposé par EM-Grenoble, p.3
5
http://www.ifaci.com/bibliotheque/bibliotheque-en-ligne-telecharger-la-documentation-professionnelle/
referentiels-de-controle-interne-150.html Les différents référentiels utilisés par les entreprises selon l’IFACI
6
http://www.focusifrs.com/content/view/full/1881 Exemples de questionnaires de contrôle interne
7
http://www.trader-finance.fr/lexique-finance/definition-lettre-S/Societe-cotee.html
prévenir et limiter les risques. J’ai alors choisi d’intégrer le département des risques
et du contrôle interne d’Imerys, une société industrielle qui exerçait alors la revue du
poste « trésorerie ». Je me suis dit pouvoir leur apporter quelques connaissances du
milieu bancaire. Et qu’ils pouvaient m’apprendre la gestion des risques au sein d’une
entreprise industrielle, non seulement le métier de contrôleur interne, mais aussi
celui d’auditeur interne.
C’est pourquoi le choix de ce sujet a été une évidence pour moi. Il correspond à la
fois à mon parcours, il me permet cette fois-ci d’être de l’autre côté de la barrière (en
entreprise) et de comprendre les enjeux concernant le risque dans une grande
entreprise cotée telle qu’Imerys. De plus, le secteur de l’industrie était pour moi du
nouveau, puisqu’il s’agit d’un milieu que je ne connaissais pas et pouvoir mettre en
place des outils de la gestion des risques du milieu bancaire (en avance par rapport
à celui de l’industrie) à l’industrie est un vrai challenge.
Dans un premier temps, il faudra faire l’état du contrôle interne au sein d’Imerys à
travers un diagnostic terrain. Dans un deuxième temps, un état de l’art devra être fait
afin de connaitre l’ensemble des référentiels existants et théories pouvant être mis
en place par le contrôle interne des entreprises. Dans un dernier temps, des
recommandations seront faites en adaptant la théorie au terrain, c’est-à-dire en
proposant les meilleures pratiques possible pour une société industrielle cotée
décentralisée.
II. Partie 1 : Diagnostic Terrain
A. Méthodologies utilisées
La logique générale retenue ici est l’induction. Je vais partir de faits observés, de
situations, de données sur le terrain pour aller vers le général c’est-à-dire voir ce
qu’il se fait en théorie et dans les autres entreprises, ce qu’il serait possible
d’appliquer à Imerys pour rendre le contrôle interne plus efficace.
L’approche méthodologique sera qualitative. Tout d’abord parce qu’il s’agit d’un
raisonnement inductif, c’est-à-dire que je pars de l’analyse d’observations non
numériques sur le terrain. Ensuite parce que je me trouve au sein d’une petite
équipe, de l’audit et du contrôle interne et qu’il s’agit d’une fonction ultra-
confidentielle. Sachant qu’il ne sera pas possible de s’appuyer que sur des données
qualitatives, il y aura certaines données quantitatives, mais dans une moindre
mesure.
C’est pourquoi j’ai choisi d’utiliser l’observation participante, les entretiens non
directifs et le benchmark.
a) L’observation participante
La collecte des données se fera tout d’abord via l’observation participante réalisée
lors de mon alternance. L’observation participante est une façon de collecter des
informations sur un environnement étudié en y participant. C'est-à-dire en vivant
avec les personnes observées et en partageant leurs activités. Cela permet de faire
exactement ce qu’elles font, d’interagir avec elles, de vivre la situation soi-même.
C’est une immersion totale dans la vie du sujet d’étude. Il s’agit en premier lieu
d’analyser les comportements des personnes observées. Mais aussi de voir quelles
sont leurs interactions avec les autres, avec les différentes situations, missions ou
autres. On a évidemment un statut interne qui nous permet d’appartenir au groupe et
ainsi partager l’ensemble du quotidien du sujet. Le plus difficile pour l’enquêteur
étant d’être dedans tout en restant en dehors afin d’avoir un avis objectif sur l’objet
et non modifié par sa propre expérience. L’enquêteur se doit en effet d’être neutre or
cela reste relativement compliqué lorsque l’on est acteur d’où l’inconvénient de ce
type d’enquête. C’est pourquoi l’observateur doit intégrer dans l’analyse sa propre
participation. J'ai donc participé au sujet d'enquête puisque j'ai travaillé pendant un
an au sein du service du contrôle interne et des risques en tant que chargée du
contrôle interne et des risques en alternance.
http://www.imerys.com/scopi/group/imeryscom/imeryscom.nsf/pagesref/SCOI-8S4DZX?
8
Il faut ensuite vérifier que toutes ces règles ont bien été transmises par les
managers des filiales à leurs employés. Cette année, nous avons récupéré les
questionnaires d’auto-évaluation de 49 filiales et du siège (30 entités principales et
20 petites entités, distinctes ainsi en termes de nombre d’employés). Une partie des
évaluations portait sur la trésorerie (pour les grandes entités et le siège), vous
trouverez un exemple en annexe 1. Alors que les évaluations des petites entités
portaient sur l’ensemble de la chaine de valeur (des ressources humaines à
l’informatique en passant par les achats et la trésorerie, etc.). 39 questions pour le
questionnaire de trésorerie et 65 pour le questionnaire global des petites entités.
Que ce soit les procédures ou les questionnaires, ces derniers étaient réalisés à
l’aide du cadre de référence de l’AMF et des lois applicables tel que la LSF. 9 Imerys
étant une société internationale, mais avant tout française, elle a choisi de s’inspirer
de ce référentiel-là pour construire ces propres règles, ces questionnaires ainsi que
le service du contrôle interne. Mais aussi et tout simplement parce que ces lois
http://www.imerys.com/scopi/group/imeryscom/imeryscom.nsf/pagesref/SCOI-8S4DZX?
9
Suite à cela, nous devions récupérer les réponses, les analyser, approfondir
certaines questions si leurs réponses n’étaient pas claires et leur attribuer une note.
Suite à cela des recommandations sont faites pour que les entités puissent elles-
mêmes mettre en place des plans d’action afin de remédier à leurs lacunes. Il s’agit
de là bien sûr que d’une recommandation puisque Imerys Corporate n’a pas le droit
d’imposer ces recommandations aux entités étant chacune décentralisée, donc
autonome en matière de contrôle. Le choix des entités à autoévalué était réalisé
conjointement avec l’audit interne. Les critères étaient à la fois financiers (baisse du
chiffre d’affaires ou problèmes financiers), mais aussi opérationnels (des fraudes
détectées, ou une mauvaise note donnée par l’audit interne). Bien qu’en général, le
contrôle interne soit en amont de l’audit interne, l’audit interne, audite en général, les
entités mal notées du contrôle interne. Cela fonctionne dans les deux sens que cela
fonctionne à Imerys.
Enfin, lorsqu’une campagne est terminée, une synthèse est réalisée afin de
présenter les résultats devant le comité d’audit afin de prendre les mesures
nécessaires. Si les résultats sont trop mauvais, l’équipe d’audit interne se déplacera
sur place.
Quant à la gestion des risques, je n’ai vu qu’une toute petite partie de cette fonction.
Ma responsable m’a appris à réaliser une cartographie des risques, celle-ci n’est
réalisée qu’une fois tous les deux ans (faute de temps). En demandant à un
échantillon d’entités de donner l’ensemble des risques liés à leur activité et de les
classer. De plus, ma responsable fait ce travail de son côté. Elle réalise ensuite une
analyse de leurs réponses, leur pose d’autres questions si nécessaire. Elle réunit
alors les deux travaux et réalise une cartographie des risques que je ne peux
malheureusement pas divulguer. J’ai, en revanche, eu la chance de travailler sur les
risques pays, un rapport qui consiste à montrer dans quels pays nous sommes les
plus engagés et dans lesquels il y a un risque criminel, politique ou naturel plus ou
moins élevé.
J'ai réalisé quelques entretiens qualitatifs durant mon année à Imerys. Sachant que
l'interrogation des employés de mon entreprise sur le contrôle interne est prohibée
de par la nature de ce métier, je me suis cantonnée à des entretiens semi et non
directifs auprès de différents acteurs d’Imerys. De ma responsable, en passant par
des employés du siège, aux employés des différentes filiales avec qui j’ai pu
échanger lors de la réception des questionnaires ou encore lors de projet commun
sur le contrôle interne.
10
Chapitre 4 – facteurs de risques et contrôle interne, du document de référence publié en 2014 (disponible sur
le site internet Imerys.com
11
http://www.cairn.info/page.php?ID_ARTICLE=DEC_COMBE_2007_01_0024 Définition de l'entretien semi-
directif
Réponses d’Anne B., responsable du contrôle interne et des risques à Imerys :
« Le contrôle interne à Imerys a été mis en place en amont de l’audit interne afin
d’informer les entités des règles et procédures à respecter vis-à-vis du Groupe
Imerys et de pouvoir contrôler à distance les entités de la filiale. Mais surtout de
prévenir les éventuels risques. Notre rôle essentiel est de mettre en place les
procédures, de communiquer dessus et de les faire mettre en place par les entités
indépendantes [...]. Et pendant ce temps-là, il faut se tenir au courant de toutes les
nouvelles réglementations mises en place par les institutions internationales. Le
problème c’est que toute seule, il est difficile de réaliser tout cela en même temps.
Le référentiel choisi c’est-à-dire le cadre de référence de l’AMF et son guide
d’application publié en janvier 2007, transposé via les guides de procédures et les
questionnaires d’auto-évaluation prend beaucoup de temps, c’est pourquoi je fais
appel chaque année à un alternant et aux auditeurs internes. Les questionnaires me
semblaient être une bonne idée au début, puisque c’est ce qui se fait en plus dans la
plupart des entreprises du CAC40, mais nous n’avons pas les mêmes moyens que
ces entreprises, il est donc difficile de mettre en place un tel référentiel pour qu’il soit
efficace […]. C’est pourquoi nous essayons de trouver une solution alternative à ces
questionnaires qui prennent beaucoup trop de temps par rapport à ce qu’ils
apportent sur la maitrise des risques et le respect des procédures par les entités. Et
consacrer ainsi plus de temps à la gestion des risques ».
c) Benchmark
Tout d’abord, Imerys a un seul concurrent direct, OMYA, une entreprise suisse dont
il est difficile d’obtenir des informations, celle-ci n’étant pas cotée. Il est uniquement
possible de trouver sur internet qu’il existe un département d’audit interne et de
gestion des risques.
12
http://www.lesechos.fr/finance-marches/vernimmen/definition_benchmark.html Définition d’un benchmark
C’est pourquoi j’ai choisi de comparer Imerys à une entreprise industrielle d’un de
mes camarades de classe. Spie, société parisienne pour l’industrie électrique. Cette
entreprise réalise 4,6 milliards de chiffre d’affaires (un peu plus qu’Imerys) et dispose
de 37000 salariés soit le double d’Imerys. Cette société, tout comme Imerys dispose
de nombreuses filiales, dont certaines, à l’étranger. Cependant, à la différence
d’Imerys l’entreprise a choisi d’agir en amont, en matière de gestion des risques,
c’est-à-dire prévenir par la communication et l’information des procédures et la mise
en place de contrôle au sein de chaque filiale. Cela se traduit par une plus forte
implication dans le contrôle interne que l’audit interne à la différence d’Imerys. Le
contrôle interne est aussi sous la direction de l’audit interne. En effet, la société
dispose de plus de contrôleurs internes que d’auditeurs internes. De plus, chaque
filiale est chargée de mettre en place ses propres mesures de contrôle interne et
d’applications des règles du Groupe. Il y a régulièrement des réunions et des
comités des risques sur les contrôles mis en place par les opérationnels des
différentes filiales. Comme Imerys les normes et procédures sont communiquées via
l’intranet, mais elles sont en plus communiquées et animées par chaque
fonction/métier sur place. Une remontée des opérations réalisées est faite auprès de
la direction de l’audit interne. L’audit interne et les risques consolident les résultats
pour identifier les risques et constituer la cartographie des risques. L’entreprise
réalise donc des comités des risques à la différence d’Imerys qui n’a pour l’instant
qu’un comité d’audit interne.
J’ai un autre camarade de classe qui travaille pour Lafarge, entreprise ayant un
chiffre d’affaires et une masse salariale 4 fois plus importante qu’Imerys, mais pour
un résultat net de 600M€ (contre 4Mds de CA et 400M€ de RN pour Imerys)
(concurrent indirect d’Imerys) avec qui j’ai pu discuter, qui m’a aussi confirmé
l’importance du service du contrôle interne dans son entreprise qui dispose
d’avantages de contrôleur interne de manière proportionnelle.
Il faut aussi savoir que tous les appels étaient enregistrés et que le fait d’être en
open space ou dans des bureaux ouverts permettait de se surveiller mutuellement
(théorie du prisonnier). Les managers n’avaient plus qu’à relever ce qu’ils pouvaient
entendre ou encore utiliser nos écoutes en cas de désaccords avec des clients. Le
contrôle était donc permanent, une certaine rigueur qui peut oppresser, stresser
certains employés.
Les questionnaires d’auto-évaluation ont été créés pour essayer d’évaluer la gestion
des risques des 245 entités distante. Le problème c’est que toutes ces entités ne
sont pas évaluées toutes en mêmes temps et sur les mêmes sujets. Il est donc
impossible de couvrir l’ensemble des entités et de déceler d’éventuels risques. De
plus, malgré les recommandations faites par le contrôle interne aux entités
autoévaluées, il s’avère que celle-ci ne met pas forcément en place les plans
d’action demandés pour remédier aux lacunes constatées lorsque l’audit passe. Les
entités savent qu’elles n’ont pas obligation de suivre les recommandations du siège
alors elles ne le font pas. De plus, ces questionnaires reposent sur la confiance
entre le contrôleur de l’entité qui le remplit et le service du contrôle interne qui reçoit
et même en analysant les réponses ne peut pas déceler toutes les incohérences
voire mensonges de la part de l’entité. Enfin, il a été par exemple demandé cette
année aux 50 interviewés de répondre via l’ERP d’audit et contrôle interne (RVR), un
progiciel dans lequel l’entreprise a investi beaucoup d’argent pour faciliter le travail
de récolte des données, des échanges, des recommandations et du suivi des plans
d’action. Cependant seulement 10 entreprises sur les 50 ont rempli via l’ERP. Les
autres ont renvoyé les questionnaires sous forme d’Excel (fichier Excel extrait de
l’ERP), ce qui a fait perdre beaucoup de temps au service du contrôle interne quant
à la réimportation de ces questionnaires dans l’ERP. Cela montre la difficulté à
imposer des comportements, des règles à des entités qui sont indépendantes,
13
Extrait de « propositions d’évolution du Blue Book » par Anne B., responsable du contrôle interne, document
interne à Imerys, strictement confidentiel.
décentralisées et qui communiquent difficilement avec le siège. Concernant les
plans d’action, certaines entités respectent les deadlines fixés et créent elles-mêmes
leurs propres plans d’action que les auditeurs peuvent suivre à distance, cependant
une majorité ne réalise pas ces plans d’action ou alors affirme les réaliser.
La synthèse des évaluations permet de planifier les éventuels futurs audits à réaliser
et de faire un point sur l’impact du contrôle interne, c’est-à-dire de la communication
des règles et procédures du Groupe. Là encore les auditeurs ne peuvent pas
réaliser 245 audits dans l’année, ils doivent sélectionner parmi cela et parmi les
entités qui ont de mauvais résultats ou qui ont subi des fraudes. Une campagne
d’audit interne réalise environ 2 audits par mois, sans compter les audits ponctuels
lorsqu’il y a des problèmes dans une entité. Ce qui fait 24 entités environ sur 245
d’audits par année. Les missions sont courtes (2 à 3 semaines) et portent souvent
sur quelques sujets précis. Ils sont souvent là pour constater les lacunes et rédigent
des rapports de centaines de pages et de recommandations qu’ils envoient ensuite à
l’entité, en espérant que celle-ci les appliquera. Le directeur de l’audit et son équipe
veillent bien sûr à ce que les plans d’action soient suivis surtout pour les entités les
plus préoccupantes. Mais cela reste encore un trop faible échantillon sur les 245
entités.
La question est donc quel référentiel adopter et de quelle manière l’adapter pour qu’il
soit efficace et prenne en compte toutes les particularités d’une entreprise comme
Imerys.
L’étude de terrain a pu prouver que le référentiel utilisé par Imerys n’était pas le plus
adapté ou du moins le plus efficient. De nombreuses fraudes ont eu lieu à cause du
manque de contrôles, de moyens ou encore de communication. Il s’agit maintenant
de savoir quelles sont les bonnes pratiques à adopter dans le cadre d’une entreprise
cotée industrielle telles que Imerys et surtout de quelle manière. J’ai pu au cours de
mon stage alterné lire de nombreux rapports des différentes institutions (AMF,
AFNOR, IFACI…) ou encore assisté à des colloques/conférences sur le sujet
(conférences Thomson Reuters, PwC, Afep, Medef…), mais aussi consulter des
articles des différentes bibliothèques en ligne comme Cyberlibris ou encore Cairns…
En France, l’audit légal est obligatoire depuis 1966 pour les sociétés par actions ou
toutes sociétés dépassant deux des trois critères suivants : un chiffre d’affaires (2M€
et plus pour les SAS et 3,1M€ et plus pour les autres entreprises) ou un nombre de
salariés (20 et plus pour les SAS et 50 et plus pour les autres entreprises) ou encore
avoir un bilan (1M€ et plus pour les SAS, et 1,55M€ et plus pour les autres
entreprises)14. À différencier de l’audit contractuel, qui n’est pas obligatoire, mais qui
peut être demandé par une entreprise afin d’être examiné sur la performance d’une
ou plusieurs de ses fonctions et pas seulement sur ses états financiers. 15L’un
certifie la véracité des comptes alors que l’autre évalue les processus mis en place
au niveau de l’organisation de l’entreprise, de sa gestion. C’est là qu’est la différence
entre l’audit financier et l’audit des processus. Il apparait ensuite une distinction des
audits de manière géographique, ceux réalisés par des entreprises externes (audit
financier et comptable) et ceux réalisés en interne, par des salariés de l’entreprise
qui se recentrent sur les processus internes de l’entreprise. L’audit interne arrive
alors en prévention de l’audit externe. Les entreprises créent leur propre service
d’audit afin d’évaluer elles-mêmes leur management des risques tant sur les
processus que de manière financière. Mais c’est aussi évaluer l’efficacité du
processus du contrôle interne et du gouvernement de l’entreprise. Pour résumer,
l’audit interne vérifie qu’il existe bien un contrôle interne sur chaque processus
(transactions opérationnelles) alors que l’audit externe vérifie qu’il y a bien des
points de contrôles sur l’ensemble des flux financiers. La création d’un comité d’audit
a été imposée à partir de 2008, pour toutes les sociétés faisant appel aux titres
14
https://www.cncc.fr/audit-legal-entreprise.html définition d’une société ayant l’obligation d’un audit légal
15
EBONDO WA MANDZILA Eustache, professeur à Euromed, « Organisation et méthodologie de l’audit
interne », juin 2013, p18-19
financiers publics. Un comité composé de professionnels de la gestion des risques
et du contrôle interne.16
Évaluer le contrôle interne revient à vérifier qu’il a bien pour rôle de faire appliquer
les règles du référentiel choisi et d’éviter que les provisions soient utilisées, c’est-à-
dire mettre en place des systèmes de recouvrement afin d’éviter d’utiliser ces
provisions. C’est donc vérifier que tous les processus sont contrôlés 17. Il n’y a
cependant aucune obligation d’avoir un service d’audit interne ou de contrôle
interne, ils sont juste fortement recommandés aujourd’hui et depuis les années 90
(suites aux différentes fraudes, scandales financiers…). L’audit et le contrôle interne
tels que nous les connaissons aujourd’hui datent donc des années 2000 en France.
De nombreuses lois, cadre de références et de normes internationales relatives au
contrôle interne sont sortis afin de préciser le cadre du contrôle interne et de la
gestion des risques, mais aussi pour accroitre la transparence vis-à-vis des
investisseurs devenus méfiants et inquiets. Il y a deux manières de réaliser un plan
d’audit soit par le contrôle interne (conformité aux règles, procédures, c’est-à-dire de
la prévention) soit par les risques c’est-à-dire les incidents qui ont lieu à un instant T.
Entre 200318 et 2005, apparait la fonction de Risk manager (FRM), via Véret et
Mekouar : « Nous forgeons l’espoir que le ‘risk manager’ aura une fonction
clairement définie vers 2010 au plus tard… que nous contribuerons à clarifier le
champ d’action du praticien ».19 Elle nait des problématiques en matière de gestion
des risques que se posent les conseils d’administration des grandes entreprises.
Ces dernières mettent alors en place ce que l’on appelle l’ « enterprise wide risk
management » (ERM), c’est un modèle anglo-saxon qui définit la gestion des
risques de manière globale, c’est faire en sorte que la responsabilité de l’entreprise
ne soit jamais engagée, donc éviter les sanctions par la prévention en contrôlant
systématiquement les risques. Pour cela, les entreprises appliquent ce qu’on appelle
16
CORDEL Frédéric, LEBEGUE Daniel (2013), Gestion des risques et contrôle interne, de
la conformité à l’analyse décisionnelle, édition Vuibert, p14
17
Cours de M. Aquiba, professeur d’audit interne de SKEMA
18
« Profil du risk manager de demain », Ernst et Young (2003)
19
Caroline Aubry, « La naissance de la fonction risk manager en France », Revue management et avenir, N°55,
juillet-août 2012, management prospective Edition : http://www.cairn.info.ebooks.propedia.fr/revue-
management-et-avenir-2012-5-page-14.htm#no3
des référentiels qui seront définis dans la partie suivante. Le rôle du risk manager
est alors de prévenir tous les risques éventuels encourus par son entreprise. Le
Problème étant que ce titre regroupe à la fois le risk manager groupe, mais aussi
opérationnel. Et selon les entreprises, il n’y aura que des risk manager groupe, des
risk manager par zone géographique ou encore des risk manager opérationnels. Les
entreprises ne sont d’ailleurs elles-mêmes pas d’accord entre elles quand il s’agit de
qualifier un professionnel de « risk manager » puisque chacune a sa propre
définition.
Cette fonction existe pour deux raisons : la théorie des coûts de transaction ainsi
que pour la réallocation des ressources de manière la plus efficiente possible (dû à
l’évolution des facteurs environnementaux). Le risk manager doit alors contrôler,
informer et veiller au bon déroulement de l’entreprise. La fonction se définit au sein
des entreprises par la coercition dans un premier temps, c’est-à-dire se conformer
aux règles des organisations auprès desquelles elles dépendent ou doivent rendre
des comptes, exemple de l’état avec les lois (NRE, LSF, Soft law). Dans un
deuxième temps, par la transmission des normes (COSO, best practices,
procédures internes…), c’est-à-dire se mettre en conformité avec les institutions
professionnelles du secteur d’activité de l’entreprise. Et troisièmement, par
l’imitation, c’est-à-dire imiter ces concurrents, les autres pays dans les cas où
l’entreprise ne sait quelle position adopter (imitation des lois américaines). C’est à
partir de 2008 que la fonction prend toute son envergure après les scandales
(Rhodia, BP) et la crise, les entreprises renforcent cette fonction et y en même
temps contraint par l’AMF, les normes ISO et même les agences de notation telle
que standards & poor’s qui note entre autres l’ERM des entreprises. Il apparait
d’ailleurs une association des associations/institutions tel qu’entre l’AMRAE
(association pour le management des risques et des assurances de l’entreprise),
standard & poors et l’IFACI.
En 2010, selon une étude réalisée par AON (assurance), 70% des entreprises
disposent d’un département de gestion des risques. 20 Dont 54% sont rattachées au
directeur financier, donc au département financier.
Bien que la loi impose aux entreprises de mettre en place un cadre réglementaire,
elle leur laisse libre choix en ce qui concerne le choix du référentiel sur lequel
s’appuyer pour créer son propre référentiel interne. En plus des lois fixées
auxquelles les entreprises doivent se conformer, elles décident de créer en amont
leurs propres règles, c’est ce qu’on appelle les « soft laws »21 en comparaison aux
lois (hard laws). Comme nous avons pu le voir lors de nos cours de RSE, les
entreprises ont le choix de se contraindre aux lois (d’attendre que lois imposent de
nouvelles règles à mettre en place au sein de l’entreprise) ou de mettre en place
elles-mêmes en amont des règles. Il s’agit alors soit qu’une entreprise réactive soit
proactive.22 Il existe aussi une distinction entre marchés régulés et marché médiés.
Le premier concerne les normes et réglementations en vigueur ; le second
20
AON, Risk Management Global Survey , 2011
21
http://www.ifa-asso.com/download.php?module=documents&file_id=400&fichier_nom=document-
400.pdf&name=document Définition de la soft law et hard law selon l’IFA
22
Cours de développement durable et comptabilité de M. Marc Journeault, octobre 2013
correspond aux médias, notes et classements via l’opinion, les réseaux sociaux….
Leur comportement de renforcement (haut niveau de compliance et d’engagement)
leur permet d’augmenter leur performance.23
Table 2: Les différents niveaux d’application de la conformité (Rodolphe DURAND, professeur en stratégie à HEC
Paris)
Compliance with socially approved goal
Level of Yes No
procedural High Strengthening Targeting behavior
commitment behavior ++
+
Low Abiding behavior Finessing behavior
+ -
23
Colloque sur le risqué et la conformité (13/11/13), de Thomson reuters, avec DURAND Rodolphe, professeur
en stratégie des entreprises d’HEC Paris, NUYENS Hedwige, responsable des affaires prudentielles chez BNP
Paribas, AUDOUIH Odilon, Directeur DELOITTE Conseil et DE LIGNIERES Luc, directeur des risques chez
AXA.
24
http://www.landwell.fr/enquete-sur-les-rapports-des-presidents-sur-le-controle-interne-et-la-gestion-des-
risques.html Enquête rapports des présidents contrôle interne gestion des risques novembre 2009 (PwC)
Ensuite, toujours selon le même rapport de PwC, ces entreprises traduisent ces
référentiels en interne de la manière suivante : via une charte d’éthique ou d’audit
interne, un manuel de procédures (comptable, interne), et/ou un manuel de contrôle
interne.
Table 4 : référentiels internes mis en place par les mêmes entreprises précédentes
Enfin, voici ce qu’il est fait en matière de détection des risques et de mise en place
de dispositifs de contrôle interne. Les entreprises mettent en place des
méthodologies d’identification des risques telles que :
Table 6 : Axe d’amélioration des services de contrôle interne des mêmes
entreprises :
Le graphique montre bien cette faiblesse du contrôle interne, il semble encore trop
peu impliqué dans l’évolution de celui-ci.
Bien qu’une grande majorité des entreprises mettent en place l’ensemble de ses
dispositifs. Leur pertinence réside dans leuractualisation. En effet, les risques
évoluent et changent, c’est pourquoi la cartographie des risques doit être très
régulièrement mise à jour. De plus l’évaluation du contrôle interne ne permet pas de
détecter les erreurs humaines, ni d’imposer la mise en place de tous les dispositifs
du contrôle interne par manque de moyens, ou encore d’ajuster de manière
constante le contrôle interne en fonction de l’évolution de l’environnement de
l’entreprise. Les questionnaires d’auto-évaluation représentent tout de même 64%
des méthodes d’évaluation du contrôle interne pour les grandes entreprises en 2008.
25
Colloque sur le risqué et la conformité (13/11/13), de Thomson reuters, avec DURAND Rodolphe, professeur
en stratégie des entreprises d’HEC Paris, NUYENS Hedwige, responsable des affaires prudentielles chez BNP
Paribas, AUDOUIH Odilon, Directeur DELOITTE Conseil et DE LIGNIERES Luc, directeur des risques chez
AXA.
26
Réunion AFEP à AFNOR groupe (21/11/2013), « La normalisation au service des organisations », présentée
par PEYRAT Olivier, Directeur général d’AFNOR ; BIROUSTE Nicolas, responsable département
management et services ; BRUN Émilie, Chef de projets ISO 26000.
Les normes ISO (Organisation internationale de Normalisation) permettent aux
entreprises de sécuriser leur activité en suivant les bonnes pratiques proposées par
l’ISO dans leur secteur. L’ISO couvre la quasi-totalité de secteur de l’industrie. 27
Voici les principales normes ISO concernant le contrôle interne et la gestion des
risques:
- ISO 19600 : compliance et anticorruption
- ISO 31000 : Management des risques
- ISO 9000 : management de la qualité
- ISO 26000 : Responsabilité sociétale
- ISO 45001 : Santé et sécurité au travail
L’Afnor, l’un des principaux acteurs de l’ISO, souhaite en effet mieux anticiper,
appréhender et gérer les effets des évènements. Mais aussi accompagner le
développement du management des risques dans les organisations pour être en
capacité d’en maitriser les potentialités. Ainsi que définir la notion de système de
management des risques ; faciliter son implémentation dans tout type
d’organisation ; devenir un outil intégré d’aide à la décision.
27
http://www.iso.org/iso/fr/home/about.htm Définition d’une norme ISO
28
Réunion AFEP à AFNOR groupe (21/11/2013), « La normalisation au service des organisations », présentée
par PEYRAT Olivier, Directeur général d’AFNOR ; BIROUSTE Nicolas, responsable département
management et services ; BRUN Émilie, Chef de projets ISO 26000.
La loi SOX :
Tout d’abord, commençons par les dites « hard laws », les lois internationales et
nationales imposées aux entreprises cotées. La plus connue étant la loi Sarbanes-
Oxley (SOX). Cette loi est émise en 2002, en réponse aux affaires Enron, Arthur
Andersen ou encore Worldcom. « Une loi décrite comme la plus importante de
l’histoire depuis l’époque de Franklin D. Roosevelt » (Georges W Bush). 29 La
première conséquence de cette loi a été pour les entreprises de se réfugier auprès
de fonds privés et non plus des fonds publics (d’où la baisse importante des places
boursières dans les années 2000), c’est-à-dire de se retirer des places boursières
américaines afin d’éviter les contraintes imposées par la loi Sarbanes-Oxley, trop
lourde pour beaucoup d’entreprises en termes de coûts, de temps et de sanctions.
Le point majeur pour le contrôle interne est le rendu obligatoire de l’élaboration d’un
rapport sur l’efficacité du contrôle interne en matière de reporting financier afin de
protéger au mieux les investisseurs. C’est-à-dire de vérifier l’exactitude des données
financières des entreprises conformément aux lois sur les valeurs mobilières et ainsi
de les rendre transparentes pour tous. 30 Cette loi a pour but de responsabiliser les
entreprises en matière de lutte contre la fraude. Ces trois principes :
- La responsabilité des dirigeants
- L’indépendance des audits externes et autres organisations vérificatrices
- L’exactitude et la transparence de l’information
29
KENSINGER John W. (2011), Research in finance, edition Emerald Group, p 16
30
Étude de l’IIA Research Foundation, intitulée « Assessment Guide for U.S. Legislative, Regulatory, and
Listing Exchanges Requirements Affecting Internal Auditing”.
31
http://www.sec.gov/rules/final/33-8183.htm Site américain de la SEC et définition de son rôle
La Loi LSF :
La loi LSF (la loi de sécurité financière) est en fait la version française de la loi
SOX, comme l’AMF est la version française de la SEC. La LSF impose plus ou
moins les mêmes directives énoncées précédemment telles que la véracité des états
financiers et la transparence. La principale différence est dans la manière de
procéder qui là n’est pas répressive, mais préventive 33. La LSF veut être une
réponse aux demandes concernant le manque d’encadrement, de réglementations
vis-à-vis du marché financier et des entreprises afin que les crises passées ne se
réitèrent pas. Elle n’est pas là pour punir, mais pour réguler et redonner confiance
aux investisseurs. Les sociétés concernées sont toutes les SA faisant appel au
marché public (plus restrictif que la SOX), il leur est demandé entre autres de faire
un rapport sur les travaux du conseil d’administration ou de surveillance ainsi que
sur les procédures mises en place par le contrôle interne au sein de l’entreprise. Les
entreprises doivent créer un rapport annuel et leur faire approuver et annoter par un
commissaire aux comptes (comme la SOX). Puis l’AMF à la différence de la SEC
crée à son tour un rapport sur l’entreprise à base de ses données récoltées. Il existe
bien sur d’autres lois plus ou moins ressemblantes à celle de la loi américaine, mais
toujours sur le même principe de plus de transparence, de s’assurer de la fiabilité
de l’information financière et d’éviter les risques éventuels. Suite à l’application de
cette loi, tout comme la SOX, il s’est posé la question de quelles procédures du
contrôle interne, s’agissaient-ils de mettre en place ? Quel référentiel suivre ou
adopter ? C’est ce que nous allons voir dans la partie suivante.
b) COSO vs AMF
Il existe ensuite les référentiels par pays comme le COSO (référentiel du contrôle
interne aux États-Unis) ou le cadre de référence de l’AMF (référentiel du contrôle
interne français) qui deviennent finalement internationaux puisqu’ils sont repris à
travers le monde. Il est bien sûr possible de suivre plusieurs référentiels, mais il est
quand même recommandé de suivre d’abord ceux des pays dans lesquels
l’entreprise a des affaires. Ce sont des référentiels créés par des associations
professionnelles, des organisations (ex : Institute of internal auditors, équivalent de
l’IFACI en France). Cependant ces commissions restent indépendantes des
organismes qui la composent.
32
LALLEMENT Geoffrey, consultant senior, « section 404 de la loi SOX : quel impact sur les entreprises
européennes cotées sur le marché américain ? », PDF
http://www.groupeonepoint.com/sites/groupeonepoint.com/files/nodes/letter_article/
section_404_de_la_loi_sox.pdf
33
BERNARD Frédéric, GAYRAUD Rémi (06/2013), Contrôle interne, Maxima, p44
Il existe des référentiels liés à un domaine particulier ou à un type de risque. C’est
l’exemple du COBIT qui est un dérivé du COSO, mais qui est la référence en
matière de contrôle interne des systèmes d’information.
Un outil de gestion
Le COSO est un modèle proposé par une commission composée des associations,
institutions, mais aussi de différents représentants de l’industrie, d’entreprises
comptables ou encore de sociétés financières. Il pose en fait le cadre du contrôle
interne et le définit comme dans le schéma ci-dessus. Le contrôle interne doit alors
mettre en place des moyens qui permettent d’optimiser les processus, de rendre
plus fiables les informations financières et de se conformer aux lois et
réglementations. Chaque entreprise établit alors ces moyens en fonction de ce
référentiel. Le COSO est découpé en 5 parties : environnement de contrôle,
l’évaluation des risques, l’activité de contrôle, l’information et communication et le
pilotage. Ces 5 parties se traduisent de la manière suivante en entreprise 35 :
- Environnement de contrôle : La mise en place d’un code éthique et de
conduite émanant de la direction (du CA et du management des risques) ou encore
d’une culture d’entreprise axée sur des valeurs humaines.
- L’évaluation des risques : Mettre en place des systèmes d’identification et de
détection des risques via une cartographie des risques par exemple…
34
Conférence de l’IFACI, sur le thème « Innovation, maitrise et performance : réinventer l’audit et le contrôle
interne », présenté par Klaus Gressenbauer, Directeur de l’audit interne de la BCE et Paul Sobel, Président de
l’IIA, le 14 novembre 2013.
35
BERNARD Frédéric, GAYRAUD Rémi (06/2013), Contrôle interne, Maxima, p 26
- Activités de contrôle : Mettre en place un moyen de contrôle qui permet de
vérifier que les procédures et les normes édictées par l’entreprise sont bien suivies
par tout le monde. Il existe plusieurs contrôles, le défectif, le préventif ;
l’informatique, le manuel ; le hiérarchique et l’opérationnel.
- Information et communication : Il faut rendre l’information transparente. Elle
doit être transversale, descendante et ascendante. Il faut aussi prendre en comptes
les informations extérieures. La communication est le meilleur moyen de
transmettre les règles de la direction aux opérationnels. Il faut qu’elle soit
efficace et claire, mais surtout qu’elle atteigne tous les employés concernés.
- Pilotage : C’est contrôler l’efficacité du contrôle interne, trouver ses faiblesses et
de le renforcer en permanence.
Comme nous pouvons le voir sur les schémas ci-dessus, le COSO 2 (aussi appelé
Enterprise Risk Management) ajoute une composante essentielle à notre
problématique. C’est la prise en compte des différentes strates d’une entreprise
(filiales, unités, divisions et entreprises) à la différence du COSO qui lui limité son
analyse sur les processus dans leur ensemble. C’est aujourd’hui le référentiel le plus
appliqué par les entreprises européennes.
36
http://www.bpms.info/levolution-du-referentiel-coso-du-controle-interne-au-management-des-risques/ société
de consulting BPMS, sur l’évolution du référentiel COSO, par DALMASSO Coralie
De plus, une mise à jour du référentiel a été faite en 2013, le contrôle interne doit en
plus prendre en compte les évolutions de ses environnements opérationnels. Mais
aussi augmenter son périmètre d’optimisation des processus, de reporting et des
objectifs fixés en matière de contrôle interne. Enfin, la demande de développer les
objectifs non financiers (en termes de conformité, reporting et de processus). Les
différents éléments ajoutés aux 5 précédents :
- Fixation des objectifs : Les objectifs doivent être fixés en fonction de
l’appétence au risque de l’entreprise, afin déterminer les risques acceptables par le
contrôle interne.
- Identification des évènements : C’est prendre en compte les risques liés à
l’activité et au secteur de l’entreprise et ainsi de classer les risques suivants qu’ils
soient stratégiques, financiers, juridiques, opérationnels, images, humaines,
environnementales ou sanitaires. Ou encore selon leur nature qu’ils soient internes
ou externes.
- Évolution de l’élément Évaluation des risques : il faut déterminer la puissance
de l’impact du risque (majeur, limité, faible…), le quantifier (une sorte de
préprovision) ainsi que la probabilité que cet évènement se produise (très probable,
probable, rare…).
- Le traitement des risques : Faut-il le supprimer ? Le transférer ou l’accepter ?
Après le COSO, c’est le référentiel de l’AMF qui est le plus suivi par les entreprises
en termes de contrôle interne et de gestion des risques, notamment à Imerys.
37
CORDEL Frédéric, LEBEGUE Daniel (2013), Gestion des risques et contrôle interne, de la conformité à
l’analyse décisionnelle, édition Vuibert, p 30
de la LSF qui existait bien avant 2007. Les différences avec le référentiel américain
sont les suivantes :
- L’AMF propose des questionnaires afin d’évaluer le dispositif du contrôle interne
et financier d’une entreprise ainsi que sa maitrise des risques.
- Elle propose aussi un guide pour rédiger les informations comptables et
financières ainsi que pour la rédaction du rapport du président du Conseil
d’administration ou de surveillance.
L’AMF a mis cela en place suite aux reproches remontés sur le COSO, décrit
comme trop théorique et pas assez factuel. En effet, ce cadre transpose aussi toutes
les nouvelles réglementations européennes, afin que les entreprises puissent être
informées en temps et en heure et s’y conformer.
La question maintenant est quel référentiel adopté lorsque nous sommes une
entreprise cotée à la fois aux états unis et en France ?
38
Colloque sur le risque et la conformité (13/11/13), de Thomson reuters
Garder un œil permanent sur la filiale même en l’absence de rattachement
hiérarchique.
Définir les indicateurs de performance et de qualité » (ex. : 0 défaut)
Mettre en place des sanctions
Début de la mise en place de la conformité
Refondre le processus de veille réglementaire via la direction juridique
Mettre à jour la cartographie des risques
Former et évaluer les collaborateurs
Communiquer avec la direction
39
Colloque sur le risque et la conformité (13/11/13), de Thomson reuters
L’étude « Cost of compliance » de Thomson Reuters explique qu’il faut savoir que ce
qui coûte le plus cher c’est le coût de la non-conformité (coûts cachés) ainsi que les
risques de réputation et sanctions pénales. Certaines entreprises ont disparu pour
cette raison. La mise en place de la conformité/ du contrôle représente un coût
élevé, mais bien moindre que ce qu’il permet d’éviter. Il faut pour calculer ses coûts
prendre en compte la taille critique et l’impact que pourrait avoir une non-conformité.
La hausse des réglementations diminue les risques. C’est un contrôle permanent qui
le permet. Il se crée des associations professionnelles telles que l’AFPA qui partage
leurs informations sur les risques.
Selon Luc de Lignières, directeur des risques AXA « Les risques opérationnels sont
les risques les plus minimes pour les entreprises, derrière les risques métiers et les
risques financiers. La gestion des risques c’est accepter les défaillances éventuelles
et mettre des suivis au niveau des opérationnels. Axa ne met pas en place
uniquement ces contrôles en fonctions des lois et référentiels existants, mais utilise
aussi ses 200 ans de scénarios pour intégrer des réglementations en fonction des
évènements passés. Le nombre d’occurrences rend ce modèle fiable et permet
d’anticiper les coûts. La fraude est un risque de fréquence. Cependant ce référentiel
ne prend pas en compte les aléas ».
Selon l’AFNOR40, un référentiel interne, c’est tout d’abord déterminer les personnes
aptes dans les filiales qui seront en charge des reportings. C’est regarder ce qu’il se
fait dans les autres entreprises ou les autres filiales et les faire appliquer par les
opérationnels eux-mêmes.
D’après le cadre de référence de l’AMF, une société mère doit veiller à ce que le
dispositif de contrôle interne soit aussi existant au sein des filiales, mais qu’il soit
adapté en fonction des caractéristiques de chacune et aux relations entre la holding
et les filiales. 41
Les groupes français décentralisés doivent rendre flexible leur manière de mettre en
place leurs dispositifs de contrôle interne afin de permettre une réelle efficacité
quand il s’agit de gérer de nombreuses filiales dans le monde entier. Il est pour cela
nécessaire de déléguer, de responsabiliser chaque filiale tout en mettant des
dispositifs de contrôle pour s’assurer que l’application des procédures et des
réglementations du groupe sont bien appliquées par les délégués de filiales.
A. Choix du référentiel
a) Référentiels externes
Imerys utilise jusqu’à maintenant le cadre de référence de l’AMF comme nous avons
pu le voir précédemment. Or, il n’est pas possible de se limiter au cadre de l’AMF qui
en fait reprend les grandes lignes du COSO et n’inclut pas tous ces éléments. Le
COSO est considéré comme le meilleur référentiel par les entreprises européennes.
Et les États-Unis ont une avance sur nous de plusieurs années, ils ont pu d’ailleurs
revoir et améliorer leur référentiel en créant l’ERM, le COSO II qui selon moi
regroupe l’ensemble des enjeux et des problématiques du contrôle interne et de la
gestion des risques d’une entreprise.
De plus, pour une entreprise comme Imerys qui est cotée au NYSE Euronext Paris,
et qui dispose de filiales à travers le monde entier autant utilisé le référentiel le plus
international possible. Mais il ne faut pas oublier que la maison mère est française et
doit avant tout rendre des comptes à la LSF, donc ne pas suivre le cadre de
référence de l’AMF serait une erreur.
Je pense donc que dans l’attente d’un référentiel international unique, Imerys devrait
suivre les deux référentiels comme le font déjà 22% d’entreprises cotées en France.
Bien sûr Imerys doit en plus prendre en compte, les lois et normes internationales
qui ne sont pas toujours toutes transposées dans les référentiels. Il est pour cela
important de continuer à se tenir informer en participant aux réunions des
organisations et associations qui créent ces référentiels, les réglementations et plus
précisément pour les industries. Car les conférences auxquelles j’ai pu assister ce
sont intéressées d’avantages aux entreprises bancaires et assurances alors que le
secteur de l’industrie est aussi un réel enjeu en matière de conformité et de contrôle
interne, et qu’il est encore loin de la conformité appliquée à ces milieux, en avance
sur les autres secteurs. Bien qu’il soit intéressant de s’en inspirer comme je vais le
42
Voir annexe 6
proposer dans la partie suivante. Tout n’est pas applicable au secteur industriel. Et
hormis certaines normes ISO et directives européennes par beaucoup de normes et
lois ne s’appliquent particulièrement à l’industrie (hormis la dernière CBCR) ou
encore les normes citées ci-dessus. Il faut savoir que je n’ai pas parlé de RSE
(responsabilité société des entreprises) dans cette thèse, car Imerys distingue le
département du contrôle interne et de l’audit interne du département EHS
(Environnement, hygiène et sécurité) qui dispose d’une bien plus grande équipe que
le contrôle interne. Un département dont je me suis inspiré lorsque j’étais à Imerys.
b) Référentiels internes
En effet, comme nous avons pu le voir lors de la partie terrain, le référentiel interne
actuel n’est pas le plus efficace. Il est impossible de contrôler et de surveiller les 250
entités d’Imerys du siège. Pour cela, nous avons commencé à changer certaines
manières de procéder.
Par exemple, nous avons pris conscience qu’avant de contrôler et d’envoyer des
questionnaires d’auto-évaluation, il valait peut-être mieux former, informer et
communiquer sur les procédures. Car ces questionnaires ont montré les lacunes et
les limites de différentes filiales à connaitre et à appliquer les règles édictées par le
groupe.
Pour accroitre la communication, nous avons tout d’abord décidé de réaliser des
formations (que j’ai pu observer au niveau du département EHS, et qui fonctionne
bien auprès des employés). Ensuite, nous avons pensé à refondre le site intranet et
à mieux communiquer dessus. Enfin, pour vérifier l’efficacité de ces modifications,
nous avons réalisé de plus petits questionnaires, mais pour les 250 filiales chaque
année sur 2 thèmes et non plus un thème pour une trentaine de filiales.
Les formations :
Après avoir récolté les questionnaires des deux années précédentes sur la paye
et sur la trésorerie, ma responsable et moi nous sommes dits qu’il fallait remédier au
manque d’information, de connaissances de procédures des contrôleurs de chaque
entité. Pour cela, nous avons pris exemple sur l’équipe EHS qui réalise des web-
conférences mensuels (webex), sur un sujet donné et différent à chaque fois. Nous
avons donc mis en place au mois de mai et juin deux formations, une sur la paye et
une sur la trésorerie. Nous avons alors contacté les 250 représentants de filiales
(contrôleurs, comptables… toute personne pouvant être concernée) par mail, un
mois avant pour leur annoncer qu’il y aurait 6 formations (sur les deux thèmes, en
français et en anglais, et deux créneaux horaires différents pour les formations en
anglais).
Sur les 250 personnes invitées nous avons eu environ 80 personnes au total soit 1/3
des personnes concernées, ce qui pour une première fois relativement appréciable
puisque le département EHS arrive à avoir après plusieurs années de formations 40
personnes maximum par sessions. Nous avons donc une bonne marge de
progression. Et nous en profitons pour envoyer ensuite par mail le support de
présentation (oral et PowerPoint) et nous demandons aux contrôleurs de le
transmettre à tous leurs employés/collègues concernés. Nous espérons ainsi
toucher un plus large périmètre. J’ai proposé à ma responsable de mettre en place
des questionnaires à la fin de chaque formation pour savoir si les personnes ont bien
compris. Ces questionnaires seront mis en place ultérieurement. De même, ma
responsable se servira à l’avenir de ces webex pour parler du Blue Book, le site
intranet des procédures.
De plus, la mise en place d’un comité des risques pourrait faciliter le suivi de
l’efficacité du contrôle interne et des risques. Aujourd’hui seulement 36% des
entreprises ont un comité des risques, c’est peut-être une piste à explorer pour
Imerys dans le futur43. J’ai sur la demande du Comex réalisé un rapport sur la
création ou non d’un tel comité (voir annexe 4, rapport sur la création ou non d’un
comité des risques). La conclusion a été qu’il n’était peut-être pas adapté pour
l’instant à Imerys de par sa taille et ses moyens, mais qu’à terme, créer un comité
des risques serait une excellente opportunité en matière de gain de performance du
contrôle interne et de la gestion des risques. Cela permettrait également d’aider le
risk manager en l’aidant à progresser et à suivre ses plans d’action mis en place. Le
risk manager resterait celui qui maitrise les risques puisqu’il ne s’agit que d’un
comité non permanent.
B. Les contrôles doivent être mis en place par les filiales elles-mêmes
Comme disait Adam Smith « Si l’on veut que telle manière d’être, telle habitude de
vie s’établit, la dernière chose à faire soit d’ordonner que l’on s’y conforme. Voulez-
vous être obéi ? Il ne faut pas vouloir qu’on fasse : il faut faire qu’on veille. »
Selon, M. Aquiba, professeur d’audit interne à SKEMA, pour que les
recommandations soient appliquées par les entités, il faut toujours passer par la
direction de la filiale ou du service concerné. C’est en quelque sorte une caution, qui
permet en plus de transmettre la responsabilité du Groupe à l’entité concernée.
Je pense qu’il faudrait que ce soit les entités elles-mêmes qui proposent des
recommandations et non le siège. Qu’elles mettent en place elles-mêmes leurs
propres plans d’action en fonction de leur moyen de leur propre évaluation et le
siège n’aurait plus qu’à valider les nouvelles mises en place à distance via un
reporting ou l’ERP. Comme ça la société mère aurait la preuve que l’entité est
responsable en cas de problème. Même si la maison mère reste l’unique
responsable au regard de la loi en cas d’incident.
Je pense aussi qu’il serait intéressant de mettre en place un programme de partage
des bonnes pratiques entre filiales d’un même pays et même au-delà. Ou d’une
même activité (ex. : extraction de talc). Et pourquoi ne pas les mettre en compétition
et proposer une prime aux 5 premières en fonction de leurs résultats. Cette pratique
existe déjà dans le milieu bancaire entre les agences d’un même secteur, puis au
niveau national. Cela incite les employés à être les meilleurs pour être récompensés
par un bonus de fin de mois ou de fin d’année plus important que leurs collègues
d’une autre agence. Ce qui n’empêche pas les salariés de plusieurs agences de
travailler main dans la main et de se donner des affaires, notamment grâce à la
culture de l’entreprise.
Nous avons par exemple commencé à créer des plans de continuité d’activité afin
d’anticiper les risques éventuels de chaque entité. (Voir Annexe 5). Le PCA réalisé
via un Excel est totalement basé sur le COSO II, chaque entité doit déterminer ses
risques, évaluer leur impact, leur probabilité et proposer une solution en cas de
survenance de celui-ci. Je l’ai pour l’instant moi-même réalisé avec ma responsable
pour 5 entités. Nous allons ensuite envoyer ce modèle aux 250 filiales et demander
qu’elles le remplissent et nous le renvoient dans un délai imparti. Cela permettra de
responsabiliser encore plus les entités, et de connaitre leur plan d’action en cas de
problème. C’est un moyen de plus pour le contrôle interne d’être informé et de
maitriser les risques de chacune de ces filiales à distance. Ces PCA serviront
d’ailleurs à la réalisation de la cartographie des risques, puisqu’auparavant ma
responsable envoyait des questionnaires aux entités pour connaitre les principaux
risques de leur filiale selon eux. Cela permettra un gain de temps et une meilleure
transparence entre l’entité et la maison mère.
Il m’a été posé cette question par ma responsable, car l’environnement évoluant en
permanence et sans arrêt, comment faire pour se tenir au courant des nouvelles
règlementations, lois, normes, etc. mises en place et concernant notre entreprise.
Jusqu’à maintenant ma responsable se tient au courant via les mises à jour des
référentiels et des lois existantes. En ce qui concerne les nouvelles règles, elle se
tient au courant en allant aux réunions professionnelles, aux conférences sur le sujet
qui ont lieu chaque année sur Paris. Cette année nous sommes allées à 6
meetings. Avec une application pas forcément évidente pour certains. De plus, ces
conférences sont pour toutes les entreprises et non pas sur un type d’entreprise
spécifique. Parfois, les réunions sont concentrées sur un sujet en particulier
(exemple de l’industrie textile et de l’histoire du Rana Plaza). Il serait intéressant de
créer un groupe avec les entreprises du même secteur qu’Imerys comme l’AFPA
pour les assurances. Elles réalisent des réunions de groupe d’entreprises du même
secteur pour partager et travailler sur la gestion des risques et des nouvelles
réglementations qu’il faut mettre en place, c’est-à-dire partager les informations
entre sociétés du même secteur. Ce qui parait aujourd’hui encore trop tôt, les
entreprises industrielles tiennent encore trop à la confidentialité de leur méthode de
gestion des risques et du contrôle interne. En attendant, je conseille à Imerys de
sélectionner les bonnes associations, groupements d’entreprises ou encore
institutions auxquelles appartenir pour être tenu au courant et d’envoyer une
personne sur toutes les conférences en lien afin que celle-ci puisse en faire un
rapport, car cela était relativement chronophage pour ma responsable, j’y allais
parfois toute seule du coup, pour la décharger.
Je conseille aussi à Imerys de suivre les lois américaines qui sont souvent ensuite
transposées dans le droit européen puis français. Ils sont souvent en avance, et se
tenir au courant de l’évolution me parait être nécessaire afin d’avoir une longueur
d’avance sur les autres entreprises qui attendent que ces nouvelles lois ou normes
soient transposées dans le droit français ou suggérées par les organisations et
associations. Il faut être tout simplement proactif.
Conclusion
Le plus difficile est sa mise en place. Il existe notamment des référentiels externes
comme le COSO ou le cadre de l’AMF, mais ils restent très théoriques. Il n’y a pas
de guide précisant exactement comment les entreprises doivent mettre en place leur
dispositif du contrôle interne. C’est pourquoi les entreprises créent des groupes de
travail, ou réalisent des veilles concurrentielles, à la recherche des meilleures
pratiques. De plus, la mise en place du référentiel interne dépend des particularités
intrinsèques de l’entreprise, c’est-à-dire de sa taille, de son organisation, de son
activité ou encore de ses moyens. Il n’y a donc pas de recette unique. Cependant il
faut faire en sorte que ce référentiel soit appliqué par l’ensemble de l’entreprise, ce
qui est d’autant plus complexe pour une entreprise ayant des filiales partout dans le
monde et de plus décentralisées.
C’est là qu’intervient la communication, l’une des meilleures armes pour faire
connaitre les procédures, les réglementations et les pratiques à adopter par les
filiales. Attention, il ne s’agit que de suggérer pas d’imposer. Il faut pour cela
responsabiliser les filiales elles-mêmes pour qu’elles puissent mettre en place leurs
propres outils, moyens pour respecter les directives du Groupe et qu’elles se sentent
naturellement partie intégrante de ce suivi.
C’est ce qu’essaye de faire Imerys, tout particulièrement depuis cette année. J’ai
travaillé sur ce sujet afin d’améliorer l’efficacité du contrôle interne après plusieurs
fraudes dans des filiales étrangères. Cependant, le contrôle interne manque de
moyens financiers, de moyens humains et d’un référentiel unique adapté à sa
situation.
C’est pourquoi j’ai proposé la mise en place de nouvelles mesures afin d’améliorer la
maitrise des risques dans l’état actuel, mais il faudra à terme qu’Imerys investisse
dans le contrôle interne et pas uniquement dans l’audit interne.
Je propose en plus de s’appuyer sur le cadre de référence de l’AMF de travailler à
partir du COSO, et du COSO II (ERM), nous avons d’ailleurs déjà commencé à
mettre en place des PCA créés suivant les éléments du COSO II. Nous avons
commencé à refaire le site intranet sur lequel se trouve les procédures groupe à
suivre afin qu’il soit plus attractif et que les employés aient plus envie de s’y référer
en cas de méconnaissance d’une procédure ou autre. Nous avons retravaillé les
procédures pour qu’elles soient schématisées donc plus accessibles à l’ensemble
des employés à travers le monde entier. Car la traduction du Français vers une autre
langue n’est pas forcément comprise de la même manière. Nous avons donc
retravaillé le sens des phrases, réduit la taille des documents et les avons imagés
afin que ce soit plus parlant, et surtout plus attirant. Enfin, nous avons investi dans la
communication en créant des formations, qui permettent d’agir en amont, au lieu
d’évaluer, nous avons décidé que former les employés concernés était plus pertinent
et ensuite évaluer. Ma responsable se servira en plus de ces formations pour
communiquer sur le site intranet des procédures. Nous demandons aussi aux
managers des entités de retransmettre les formations au sein de leur entité et que
des questionnaires seront ensuite envoyés afin de vérifier qu’ils ont bien lus et
surtout compris les procédures et réglementations demandées.
Cela permet de sensibiliser les entreprises, sans leur imposer mais en les
responsabilisant, en les mettant au cœur de la gestion des risques, les filiales se
sentent alors concerner.
Le prochain progrès sera d’intégrer un ERP unique au sein de l’entreprise afin que
les filiales soient reliées au siège et que des contrôles automatiques soient possibles
à distance et en permanence. Mais cela nécessite un coût encore plus élevé qui je
pense viendra avec l’expansion d’Imerys, qui est une entreprise en croissance
permanente depuis 3-4 ans.
Imerys saura-t-elle éviter à l’avenir les fraudes et pertes financières connues cette
année ? Sera-t-elle l’une des entreprises les plus proactives en matière de contrôle
interne à l’avenir dans le secteur industriel ? Sera-t-elle à l’initiative de nouveaux
groupes de travail pour partager les risques entre entreprises industrielles comme le
font les entreprises en assurances ?
Bibliographie
Ouvrages :
- SCHICK Pierre, VERA Jacques, LOURROUILH-PAREGE Olivier (2011),
Audit interne et référentiels de risques : gouvernance – management des risques –
contrôles internes, Dunod
- BERNARD Frédéric, GAYRAUD Rémi (06/2013), Contrôle interne, Maxima
- CORDEL Frédéric, LEBEGUE Daniel (2013), Gestion des risques et contrôle
interne, de la conformité à l’analyse décisionnelle, édition Vuibert, 271 pages
- KENSINGER John W. (2011), Research in finance, edition Emerald Group,
322 pages
Documents internes :
- Extrait de « propositions d’évolution du Blue Book » par Anne B., responsable
du contrôle interne, document interne à Imerys, strictement confidentiel.
- Chapitre 4 – facteurs de risques et contrôle interne, du document de
référence publié en 2013.
Documents PDF :
- Document de référence 2013 d’Imerys :
http://www.imerys.com/Scopi/Group/imeryscom/imeryscom.nsf/pagesref/NDEN-
9HDPGK/$file/ImerysDDR2013VF.pdf
- EBONDO WA MANDZILA Eustache, professeur à Euromed, Organisation et
méthodologie de l’audit interne, juin 2013, p18-19 :
http://www.numilog.fr/package/extraits_pdf/e247708.pdf
- Profil du risk manager de demain, Ernst et Young (2003)
- LALLEMENT Geoffrey, consultant senior, section 404 de la loi SOX : quel
impact sur les entreprises européennes cotées sur le marché américain ? PDF
http://www.groupeonepoint.com/sites/groupeonepoint.com/files/nodes/letter_article/
section_404_de_la_loi_sox.pdf
Cours utilisés :
- Audit interne de M. Aquiba, avril 2013
Définition de la soft Law et hard Law selon l’IFA :
http://www.ifa-asso.com/download.php?
module=documents&file_id=400&fichier_nom=document-400.pdf&name=document
- Développement durable et comptabilité de M. Marc Journeault, octobre 2013
Sites internet utilisés :
o http://www.soxlaw.com/ Définition de la loi américaine SOX
- http://www.legifrance.gouv.fr/affichTexte.do?
cidTexte=JORFTEXT000000428977 Définition de la LSF
- http://www.pwc.fr/referentiel-coso-2013.html Définition d’un référentiel
- http://www.trader-finance.fr/lexique-finance/definition-lettre-S/Societe-
cotee.html Définition d’une société cotée
- http://www.ifaci.com/bibliotheque/bibliotheque-en-ligne-telecharger-la-
documentation-professionnelle/referentiels-de-controle-interne-150.html Les
différents référentiels utilisés par les entreprises pour leur contrôle interne par
l’IFACI.
- http://www.focusifrs.com/content/view/full/1881 Exemples de questionnaires
de contrôle interne
- http://www.cairn.info/page.php?ID_ARTICLE=DEC_COMBE_2007_01_0024
Définition de l'entretien semi-directif
- http://www.lesechos.fr/finance-marches/vernimmen/definition_benchmark.html
Définition d’un benchmark
- http://www.imerys.com/scopi/group/imeryscom/imeryscom.nsf/pagesref/SCOI-
8S4DZX?OpenDocument&Lang=FR Référentiel d’Imerys
- http://www.imerys.com/scopi/group/imeryscom/imeryscom.nsf/pagesref/SCOI-
8S4DU5?Opendocument&lang=fr La gouvernance d’Imerys
- http://www.imerys.com/scopi/group/imeryscom/imeryscom.nsf/pagesref/SCOI-
8S4DZX?OpenDocument&Lang=FR définition du contrôle interne chez Imerys
- https://www.cncc.fr/audit-legal-entreprise.html définition d’une société ayant
l’obligation d’un audit légal
- http://www.ifa-asso.com/download.php?
module=documents&file_id=400&fichier_nom=document-400.pdf&name=document
Définition de la soft law et hard law selon l’IFA
- http://www.landwell.fr/enquete-sur-les-rapports-des-presidents-sur-le-controle-
interne-et-la-gestion-des-risques.html Enquête rapports des présidents contrôle
interne gestion des risques novembre 2009 (PwC)
- http://www.sec.gov/rules/final/33-8183.htm Site américain de la SEC et
définition de son rôle
- http://www.afnor.org/groupe/a-propos-d-afnor/qui-sommes-nous définition de
l’Afnor
- http://www.iso.org/iso/fr/home/about.htm Définition d’une norme ISO
- http://www.bpms.info/levolution-du-referentiel-coso-du-controle-interne-au-
management-des-risques/ société de consulting BPMS, sur l’évolution du référentiel
COSO, par DALMASSO Coralie
Glossaire
- SOX44 : Sarbanes-Oxley Act (2002), est une loi imposant les grandes
entreprises américaines à se conformer à différentes réglementations. Elle impose
par exemple par l’article 302, que les rapports annuels présentent de manière fidèle
la situation financière de l’entreprise ou encore que l’entreprise doive établir une liste
de ces lacunes en termes de contrôle interne.
- LSF45 : Loi de sécurité financière (2003), est l’équivalent de la loi américaine
SOX en France, elle régit aussi les différentes réglementations en ce qui concerne la
publication des informations financières des grandes entreprises, le renforcement du
contrôle interne, ou encore la responsabilité des dirigeants.
- COSO46 : Le committee of Sponsoring Organizations, est un référentiel du
contrôle interne reconnu par les lois ci-dessus. Il définit les différentes procédures à
mettre en place
- RCI : référentiel du contrôle interne, c’est-à-dire les outils qui permettront de
limiter les risques en mettant en place des points de contrôles par exemple.
- CA : Chiffre d’affaires, c’est-à-dire toutes les ventes réalisées par l’entreprise.
- RN : Résultat net, ce qui reste à l’entreprise après avoir payé toutes les
charges employées pour produire et les impôts sur la société.
- ERM : Enterprise of risk management, un des processus employés par les
entreprises pour gérer les risques.
- FRM : Fonction risk manager, fonction du responsable risque
- AMRAE : Association pour le management des risques et des assurances de
l’entreprise
- COBIT :
- AMF : Autorité des marchés financiers
- IAS : International accounting standard
- IFA : Institut français des administrateurs
- IFACI : Institut français de l’audit et du contrôle interne
- IFRS : International Financial reporting standards
- IIA : Institute of internal auditors
- ISO : International Organization for Standardization, organisation
internationale de normalisation. C’est un organisme qui crée des normes
internationales qui peuvent être volontairement appliquées par les entreprises. Elles
favorisent le commerce international et permettent de garantir la sécurité des
différents secteurs d’activités pour les entreprises qui suivent ces normes.
- SEC : Securities and exchange commission, l’équivalent de l’AMF aux états
unis, elle surveille la bourse, les marches financiers et les entreprises cotées.
- ROI : Return on Investment, le retour sur investissement espéré par
l’entreprise
- FCPA : federal corrupt practices act, loi américaine anticorruption, équivalente
du UK bribery act
- AFNOR : Association française de normalisation, c’est une association qui
aide les organisations à mettre en place les normes et réglementation 47 ;
- CBCR : Country by country reporting, nouveau rapport demandé par les
États-Unis (Dodd Frank Act) transposé en Europe puis en France pour 2014,
44
http://www.soxlaw.com/ Définition de la loi américaine SOX
45
http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000428977 Définition de la LSF
46
http://www.pwc.fr/referentiel-coso-2013.html Définition d’un référentiel
47
http://www.afnor.org/groupe/a-propos-d-afnor/qui-sommes-nous définition de l’Afnor
s’appliquant qu’aux industries extractives. Ce rapport demande de clarifier tous les
montants supérieurs à 100K€
- RSE : responsabilité sociétale des entreprises.
- EHS : Environnement, hygiène et sécurité. Nom d’un service/département
d’une entreprise industrielle en charge de la sécurité des employés, de leur santé,
mais aussi de l’environnement lié aux extractions réalisées.
- CER : capital expenditure request, c’est la demande d’un budget pour le
développement d’un projet.
- CAPEX : capital expenditure, c’est-à-dire les investissements.
IMERYS X
I – CONTEXT
In order to assess and improve the global efficiency of the Group internal controls,
annual self-assessment questionnaires relating to the Group significant operational
and financial processes are regularly submitted by the Group Internal Control
department to the consolidated entities.
II - INDIVIDUAL RATING
REQUIRES
The self-rating of the treasury process is 3.05 for X IMPROVEMENT
Based on the assessments of the X team, we have identified the following control
deficiencies that are disclosed below for your attention.
Bank reconciliations
Bank reconciliations are monthly performed but it is the same person who
realizes the reconciliation and who is in charge of bank records. It means the
Financial Controller in the entity X. Bank reconciliations should be performed, or
reviewed, by a third party who is independent from the one in charge of bank
records. The person reviewing the bank reconciliations (generally the Financial
Controller or the General Manager) should be a person in a higher position in the
hierarchy than the one in charge of the bank records. The review should be based
on supporting documentation such as extraction from the accounting system (directly
extracted by the reviewer or provided to him or her in a no modifiable form) and
original bank statements.
IV – FOLLOW-UP
In a few months, the assessed entities will be asked to report whether they have
implemented action plans in order to improve their internal controls compared with
their 2013 internal control assessments. The internal control department is available
to discuss these topics with you.
The assessments will be updated every 4 or 5 years depending on the Risk and
Internal Control Committee’s decisions.
Mots clés : comité des risques ; comité d’audit ; gestion des risques ; comité
spécialisé ; comité des risques distinct du comité d’audit ; comités supplémentaires ;
comités spécialisés ; AMF ; MEDEF ; AFEP ; IFACI ; EBA …
PWC :
o D’après le rapport des présidents de 2009 de Landwell & associés – PWC, la
mise en place d’un Comité de risques par la Direction générale est à ce sujet
particulièrement intéressante, et ce pour deux raisons :
DELOITTE :
o D’après Deloitte sur le comité d’audit et/ou des risques :
Seul comité spécialisé du conseil dont la création a été rendue
obligatoire pour certaines catégories de sociétés, le comité d’audit est au cœur
du dispositif de gouvernance.
Sans préjudice des compétences de l’organe chargé de l’administration, de la
direction et de la surveillance, ce comité est notamment chargé d’assurer le suivi :
a) Du processus d’élaboration de l’information financière ;
b) De l'efficacité des systèmes de contrôle interne et de gestion des risques de
la société
c) Du contrôle légal des comptes annuels et des comptes consolidés
d) De l’indépendance des commissaires aux comptes
76% des entreprises disposent d’un comité du conseil en charge du suivi des
risques :
KPMG
o D’après le benchmark des pratiques des groupes du CAC40 (décembre 2013
basés sur les DDR 2012 des entreprises), 38 % des entreprises ont un comité
des risques :
o Leur mission principale étant la gestion des risques et la méthodologie
d’identification des risques. Les groupes n’ayant pas un comité des risques laissent
la responsabilité au comité d’audit.
Sources :
- http://www.ey.com/FR/fr/Newsroom/News-releases/Communique-de-presse---
Edition-2013-du-Panorama-des-pratiques-de-gouvernance-des-societes-cotees-
francaises
- http://www.corpgov.deloitte.com/site/frafre/audit-committee/
- http://www.landwell.fr/assets/files/pdf/2009/
enquete_rapports_des_presidents_controle_interne_gestion_des_risques_novembr
e_2009.pdf
- https://www.pwc.ch/user_content/editor/files/publ_ass/
pwc_comites_audit_ch_f.pdf
- http://www.corpgov.deloitte.com/binary/
com.epicentric.contentmanagement.servlet.ContentDeliveryServlet/FrFre/
Documents/Home/Bale3%20-gouvernance.pdf
- http://www.kpmg.com/FR/fr/IssuesAndInsights/ArticlesPublications/
Documents/Benchmark-pratiques-groupes-CAC-40-122013.pdf
- http://www.lafarge.fr/04182013-Shareholders-internal_control-2012-fr.pdf
- http://www.lafarge.fr/03262010-Shareholders-internal_control-fr.pdf
- http://www.lafarge.fr/wps/portal/1_5_4-Controle_Interne
- http://www.veolia.com/fr/groupe/gouvernance/
- http://www.veolia.com/fr/groupe/gouvernance/comite-risques/
- http://corporate.arcelormittal.com/investors/corporate-governance/risk-
management-and-audit
VINCI : Un comité d’audit et un comité des risques
Comité d’audit Comité des risques
Sous la Conseil d’administration Direction générale
responsabilité
:
Composition : - Trois administrateurs – l’administrateur-directeur
indépendants général ;
- ; directeur général adjoint ; – le directeur général
directeur financier ; CAC adjoint, directeur financier
du Groupe ;
– le directeur de l’audit
interne ;
– le président (ou directeur
général) du pôle concerné ;
– les représentants
opérationnels de la société
qui présente l’affaire ;
– les représentants
fonctionnels de cette
société ou du pôle
concerné
Rôle : - Aide le Conseil à veiller à - En charge des
l’exactitude et à la sincérité des opérations de croissance
comptes sociaux et consolidés de externe et des cessions
VINCI, ainsi qu’à la qualité de d’activités
- L’information délivrée. - Revue des
- Processus d’élaboration de engagements techniques,
l’information financière juridiques et financiers
- Examiner les projets de - Revue du montant
comptes annuels des seuils en termes
- Veiller à l’efficacité des d’investissements
systèmes du contrôle interne et de - S’occupent des
gestion des risques opérations de promotion
- Suivi du contrôle légal des immobilière, de concession
comptes sociaux et comptes et de partenariat public-
consolidés des CACS. privé
- Examen de la politique du - Examiner les
groupe en matière d’assurances affaires qui comportent des
- Mise en place de procédures risques
en matière d’éthique et de
concurrence
- http://www.vinci.com/vinci/transactions.nsf/(unid)/
5BF24B62646DFC0AC1257B8F00526370/$file/2011-controleinterne-fr.pdf
Exemple d’une société dont le comité des risques appartient au conseil
d’administration :
SCOR (assurance) :
Comité d’audit Comité des risques
Sous la Conseil d’administration Conseil d’administration
responsabilité
:
Composition : 5 administrateurs indépendants 7 administrateurs
indépendants
Rôle : - Examiner la situation - Identifier
financière du Groupe - Les risques majeurs
- Le respect des procédures auxquels le groupe est
internes ainsi que les contrôles et confronté tant à l’actif qu’au
diligences effectués par les passif
commissaires aux comptes et par la - S’assurer que les
direction de l’audit interne moyens de suivi et de
- S’assure de la qualité et de la maîtrise de ces risques ont
transparence des comptes du été mis en place.
Groupe. - Il examine les
- Examen de la pertinence des principaux risques du
choix et de la bonne application des Groupe et la politique
méthodes comptables d’Enterprise Risk
- Examiner les conventions Management (ERM)
réglementées, d’analyser et de
répondre aux questions des salariés
en matière de contrôle interne
- http://www.scor.com/fr/le-groupe/gouvernance/comites-du-conseil-
dadministration.html
- BNP Paribas distingue le comité des comptes du comité du contrôle interne :
http://www.bnpparibas.com/nous-connaitre/gouvernement-dentreprise/conseil-
dadministration/comites (je ne sais pas si le comité des comptes s’apparente dans
ce cas-là au comité d’audit).
Annexe 5 : Exemple de PCA, basé sur le COSO II, commencé à être mis en place en 2014
Annexe 6 : Country by country reporting
SOURCE :
http://www.assemblee-nationale.fr/14/pdf/ta/ta0289.pdf
http://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/fr/intm/141190.pdf
CONTENU :
Art. 174 : Adhésion à l’ITIE de la France : En matière de transparence dans le
domaine des industries extractives, le Gouvernement a pris la décision en 2013
d’engager le processus formel d’adhésion à l’initiative pour la transparence dans les
industries extractives (ITIE ou EITI)
CBCR : Construction en ce moment d’un modèle de rapport pays par pays par
l’OCDE le 30/01/2014
Aujourd’hui la seule obligation d’information est limitée aux noms, nombre
d’employés et chiffre d’affaires, les informations vues ci-dessus, seront bientôt à
caractère obligatoire.
Il s’agira de créer un dossier maitre mondial et un dossier local par pays.
Un brouillon a été réalisé par l’OCDE pour le transfert des prix des taxes.
Les nouvelles règles introduisent une « clause d’équivalence » qui permettrait aux
entreprises de publier un rapport sur la base des exigences obligatoires d'un pays
tiers, à condition que celles-ci soient considérées comme équivalentes à l'exigence
de l’UE. Le pouvoir d'adopter de telles décisions d’équivalence, sur la base de
critères spécifiques concernant, par exemple, le contenu et la fréquence de
l'obligation de déclaration, est délégué à la Commission.
Contenu :
Objectifs : rendre public et rapprocher les versements effectués par les industries
extractives et les encaissements réalisés par l'État (taxes, redevances et bonus de
signature) ainsi que promouvoir et renforcer l’approche axée sur le dialogue entre
une multiplicité de parties prenantes.
Lien ITIE / directive transparence de l’UE : La directive a été en partie créée pour
promouvoir l’adoption de l’initiative de transparence des industries extractives dans
les pays où elles sont implantées. C’est à partir du moment que le pays hôte décide
d’adopter l’ITIE, que la nouvelle directive comptable de transparence s’applique et
devient obligatoire pour toutes les industries extractives présentes dans le pays.
L’UE ne vient qu’appuyer cette mesure en obligeant toutes les sociétés extractives
de l’Union européenne à divulguer leurs chiffres que les pays aient adopté l’ITIE ou
non.
Différences Dodd Frank Act / directive UE : L’UE a mis en place cette directive pour
correspondre à loi américaine et le domaine international dans lequel cette loi est
appliquée. Selon les Américains, cette loi n’aurait pas pu être complètement
appliquée sans une uniformisation internationale (SEC). Les obligations des deux
lois sont relativement similaires, l’UE va plus loin en rajoutant l’industrie forestière et
les sociétés non cotées ainsi que toutes les grandes sociétés privées pas forcément
extractives.
La valeur et la nature des dépenses sociales si elles sont demandées par la loi ; la
divulgation des dépenses sociales volontaire est encouragée (The value and nature
of social expenditures if they are required by law; the disclosure of voluntary social
expenditure is encouraged).
Le Dodd Frank Act demande aussi à toutes les industries extractives hormis les
sociétés forestières et non cotées de divulguer les paiements faits auprès des
gouvernements, pays par pays et projet par projet. Cette loi a pris effet en novembre
2012 et les entreprises devront rendre leurs premiers rapports sur l’année 2014.
Cette loi incluse de divulguer les informations suivantes :
Commercial development activities, including exploration, extraction, processing and
export or acquisition of any license for such activity
Taxes
Royalties
Dividends
Bonuses
Payments for infrastructure improvements
Récapitulatif :
Annexe 7: synthèse des premiers nouveaux questionnaires d’auto-évaluations.
n en
tio dd
ta e n ce ida r bi
da nc e va
l
at
a t fo
te
r da id en ts
n e v nd es rd m nt en
as e r y a t t e ay e m
m a tt ta on ng da as p ym cu
ee d en rati t an rm ic
oy an m en u nti m o ron k pa r do
l e u a k d t c
p m c ep ym co n n ec e pe
Entities: Em Ti Do pr Pa Ac Ba Ve El Ch Pa
Imerys A
Imerys B
Imerys C
Imerys D
Imerys E
Imerys F
Imerys G
Imerys H
Imerys I
Imerys J
Imerys K