Les enjeux de la mise en place d'un

référentiel de contrôle interne commun

au sein d'une société industrielle
cotée décentralisée
Mastère spécialisé en Audit, Contrôle de gestion et Systèmes d’information (MS)

Résumé

Aujourd’hui, le contrôle interne est une fonction support grandissante dans

toutes les entreprises, principalement au sein des entreprises cotées. Ces dernières
doivent effectivement se conformer aux normes et règles internationales encadrant
leur manière de gérer leur entreprise principalement comptable et financière. Pour
cela, les entreprises mettent en place des référentiels internes, s’appuyant souvent
sur des modèles déjà existants issus de différentes institutions internationales (AMF,
IIA…). Le plus difficile étant de les appliquer à sa propre entreprise. Ce qui est le
problème d’Imerys SA, une société cotée industrielle, et de surcroit décentralisée
dans le monde entier. En effet, imposer des règles à des entités qui ont leur propre
gestion, leur propre gouvernance n’est pas chose aisée. Ma responsable, charger
des risques et du contrôle interne à Imerys m’a donc demandé de remettre en
question le référentiel actuel du contrôle interne qui ne touche pas l’ensemble des
entités, qui n’est pas suffisamment efficace au vu des fraudes récentes. Et de leur
proposer des arrangements, ou de redéfinir totalement leur référentiel en adaptant
les normes internationales à leur structure d’entreprise française industrielle
décentralisée.

Currently, internal control is growing support function in all businesses, primarily in

listed companies. They must actually comply with international standards and rules
for financial and accounting management of the company. To do this, companies set
up intern standards, often based on existing models from different international
institutions like AMF or IIA. The most difficult is to apply to his own business. This is
the problem of Imerys SA, a listed industrial society and decentralized and in
addition worldwide. Imposing rules to entities that have their own management, their
own governance is not easy. My supervisor, responsible for risk management and
internal control of Imerys has asked me to question the current framework of internal
control that does not affect all entities. And to suppose some arrangements, or
completely redefine their internal control standard adapting international standards to
their decentralized structure of French industrial enterprise.

Remerciements

Je remercie tout d’abord, l’équipe de l’audit interne de m’avoir accueillie comme

l’une des leurs pendant ces neuf mois. Plus particulièrement, Anne B., ma
responsable, qui m'a accompagné tout au long de mon stage. Qui m’a permis
d’apprendre un maximum sur le contrôle interne et la gestion des risques, mais pas
seulement. Elle m’a laissé beaucoup d’autonomie, de responsabilités et a su m’aider
personnellement à prendre en confiance en moi.

De plus, j’ai aussi pu découvrir une partie du métier de l’audit interne grâce à Marie
Estelle, manager d’audit ou encore grâce à LM, auditrice IT, qui ont bien voulu
partager leurs expériences et connaissances avec moi.

Puis, je remercie aussi l’ensemble du service financier au sein duquel j’ai pu évoluer
cette année. Notamment MK (consolideur) et AG (contrôleur) qui m’ont tenu
compagnie lorsque les auditeurs partaient tous à l’étranger. Et qui m’ont expliqué
une partie de leur travail. Je remercie aussi BD (IT) et PL (EHS) avec qui j’ai pu
travailler sur différents projets et qui n’ont pas hésité à m’aider lors de la réalisation
de mes projets.
Et surtout, je remercie CB, directeur de l'audit d’Imerys, de m’avoir permis de réaliser
ce stage au sein de son service.

Enfin je remercie SKEMA pour m'avoir permis d'effectuer mon mastère spécialisé
d’audit en alternance au sein d’Imerys. Et à ses professeurs qui m'ont apporté les
connaissances nécessaires à la réalisation de mon futur projet professionnel. Et
principalement les professeurs, de l’option d’audit externe qui a pour moi dispensé
des cours d’une excellente qualité. Ainsi que mon Tuteur, Monsieur EC, qui a su
m’orienter et m’aider dans la réalisation de cette thèse.

Table des matières

I. Introduction genérale 4
A. Contexte général 4
B. Le rôle joué par le contrôle interne au sein des entreprises 5
C. Choix du sujet et problématique 7
II. Partie 1 : Diagnostic terrain 9
A. Méthodologies utilisées 9
a) L’observation participante...............................................................................9
b) Entretiens et réponses questionnaires..........................................................14
c) Benchmark....................................................................................................16
B. Les grandes questions de recherche 19
C. Analyse des résultats 19
a) Des règles et procédures encore trop méconnus des salariés.....................19
b) Un service non adapté à la taille de l’entreprise...........................................21
c) Un référentiel insuffisant pour prévenir les risques.......................................22
III. Partie 2 : Etat de l’art 23
A. L’audit interne, le contrôle interne et les risques 24
B. Les différentes lois et référentiels existants 26
a) Les lois internationales..................................................................................30
b) COSO vs AMF...............................................................................................34
C. La mise en place d’un référentiel de contrôle interne propre à chaque
entreprise 39
a) Les différentes méthodes de mettre en place un référentiel interne par les
entreprises..................................................................................................................39
b) Un référentiel de contrôle interne pour une société décentralisée industrielle
42
IV. Partie 3 : Recommandations 43
A. Choix du référentiel 43
a) Référentiels externes.....................................................................................43
b) Référentiels internes......................................................................................44
B. Les contrôles doivent être mis en place par les filiales elles-mêmes 48
C. Se tenir à jour des réglementations 49
V. Conclusion 51
I. Introduction générale

Dans un premier temps, il va falloir définir le contexte général ainsi que le sujet afin
d’extraire la problématique de ma thèse.

A. Contexte général

Aujourd’hui, dans un contexte de crise économique et financière, le cadre

international se durcit vis-à-vis des entreprises. Bien que des lois et des
réglementations existent depuis les années 70 (« foreign corrupt practices act » en
1977). Les régulateurs leur demandent de rendre de plus en plus de comptes sur
l’ensemble de leurs activités. Et ils imposent notamment aux plus grandes
entreprises de publier le rapport de leurs comptes. La loi, espère ainsi, rendre le
marché plus transparent afin d’éviter de nouvelles crises financières et de
défaillances d’entreprises.

La transparence est devenue encore plus difficile avec la mondialisation. Les

entreprises détiennent des capitaux, des affaires dans le monde entier. Cependant
la plupart des pays n’appliquent pas les mêmes réglementations, voire aucune. Les
lois demandent donc aux entreprises internationales de rendre aussi des comptes
sur leurs affaires à l’étranger afin de réduire l’opacité qu’elles ont sur certains pays.
L’ensemble de ces lois ont bien évidemment un impact sur les affaires des
entreprises. Celles-ci choisissent ou non de travailler dans tel ou tel pays de peur de
ne pas suivre les réglementations imposées dans leurs propres pays. Et si elles
choisissent de travailler avec certains pays risqués, elles doivent rendre d’avantages
de comptes et de transparences, mais surtout renforcer leurs contrôles et maitrise
des risques.

Elles doivent se plier aux différents audits externes des Big4 chaque année, comme
toutes les entreprises cotées. Qui évalue la gestion financière de l’entreprise, le
contrôle interne et la gestion des risques de l’entreprise. Ces cabinets effectuent
ensuite des recommandations que l’entreprise choisit ou non de suivre. Les
actionnaires ont ensuite accès à ces rapports. C’est pourquoi l’entreprise a tout
intérêt à mettre en place un bon audit interne et contrôle interne.

Ces audits sont demandés par la direction et le conseil d’administration qui sont les
principales parties concernées et donc chargés de doter l’entreprise de dispositif de
contrôle interne et de gestion des risques. Ces audits de contrôle restent obligatoires
pour les sociétés cotées et d’autres sociétés (suivant leur chiffre d’affaires et nombre
d’employés).

C’est là tout l’enjeu d’une entreprise cotée internationale comme Imerys. Cette
entreprise est un leader mondial dans l’industrie minière, de l’extraction à la
transformation. Cette société exploite les 30 minéraux existants au travers de 115
sites miniers dans le monde entier et les transforme au sein de 250 sites industriels.
Elle est localisée actuellement dans 52 pays, de la France au Brésil en passant par
la Thaïlande, les États-Unis ou encore les Zimbabwe. Imerys est une société cotée
au SBF 120 (Nyse Euronext Paris) et réalise un chiffre d’affaires de 4 milliards
d’euros pour 400 millions de résultats nets en 2013. Le capital est détenu en
majorité par deux grands hommes d’affaires tels que le Belge Albert Frère et le
Canadien Paul Desmarais. Le mode de gestion opérationnel retenu est la
décentralisation. L’activité de l’entreprise est organisée en 4 branches selon les
métiers, et elle-même redécoupée en divisions. Les responsables de ces divisions
gèrent leurs propres activités. Ils ont pour seule obligation de suivre les
développements stratégiques du Groupe. La gouvernance de l’entreprise est
constituée d’un Président Directeur général (Gilles MICHEL ancien directeur de
Citroën), d’un comité exécutif, d’un conseil d’administration ainsi que trois comités
spécialisés que sont le comité stratégique, le comité des nominations et des
rémunérations et enfin le comité d’audit.1

B. Le rôle joué par le contrôle interne au sein des entreprises

Le contrôle interne est défini aujourd’hui de différentes manières par les entreprises.
Mais elle est définie de la manière suivante par la législation américaine, qui est
régie par la loi Sarbanes-Oxley (SOX). Chaque entreprise cotée doit publier un
rapport sur les procédures du contrôle interne mises en place. En France, les
directives européennes et les lois françaises transposent la plupart du temps ces lois
américaines en apportant leur touche sur certains sujets. Toutes ces entreprises
doivent donc mettre en place un service de contrôle interne bien que les modalités
ne soient pas définies et qu’il n’existe pas de mode d’emploi type. Le contrôle interne
a pour rôle d’assurer la transparence sur les informations comptables et financières
de l’entreprise. Le contrôle interne a pour but d’assurer le suivi des réglementations
internationales au sein de l’entreprise et de rendre fiables toutes les informations
données par les dirigeants. Mais il a aussi un rôle de prévention contre les risques
inhérents à l’activité de l’entreprise. Un risque se définit de la manière suivante : « un
aléa dont la survenance prive un système d’une ressource et l’empêche d’atteindre
ses objectifs ». Quant à la gestion des risques, il s’agit d’un « processus appliqué
tout au long d’un programme et qui regroupe des activités d’identification,
d’estimation et de maîtrise des risques » 2. Les risques ne sont plus seulement
comptables et financiers, mais aussi opérationnels, sociétales, éthiques et
d’image.3Selon Daniel Lebègue, Président de l’institut français des administrateurs
(IFA), « la gestion des risques et le contrôle des décisions sont en un mot, une
science tout humaine dont on connait, depuis l’antiquité, les ressorts fondamentaux :
clarté des objectifs, audace, rigueur et collégialité dans leur mise en œuvre ».

Enfin, il est recommandé de s’appuyer sur des référentiels tels que le COSO
(committee of sponsoring organizations) ou encore le cadre de référence de l’AMF
(Autorité des marchés financiers), et tout autre référentiel professionnel.

Deuxièmement, le contrôle interne se définit par la loi de la sécurité financière (LSF),

qui comme la loi américaine impose un rapport sur les activités économiques et
financières de l’entreprise. Et qui comme la loi SOX doit faire l’objet d’un rapport de
l’audit externe. À l’instant de la loi américaine qui impose sa réglementation aux
entreprises américaines, la loi française préfère responsabiliser l’entreprise et

1
http://www.imerys.com/scopi/group/imeryscom/imeryscom.nsf/pagesref/SCOI-8S4DU5?
Opendocument&lang=fr La gouvernance d’Imerys
2
http://www.cairn.info.ebooks.propedia.fr/revue-management-et-avenir-2012-5-page-14.htm Définition du
risque par Wibo (2000) et de la gestion des risques par Courtot (1998).
3
CORDEL Frédéric, LEBEGUE Daniel (2013), « Gestion des risques et contrôle interne, de la conformité à
l’analyse décisionnelle », édition Vuibert, 271 pages
l’encourage à sa propre gestion des risques et son contrôle interne sans lui imposer
des règles/procédures strictes comme aux États-Unis.4

Pour résumer, le contrôle interne au sein d’une entreprise a pour rôle de conformer
l’entreprise aux lois internationales. De rendre les informations financières et
économiques de l’entreprise et de la direction transparentes. Mais aussi et surtout
de prévenir et d’éviter les risques potentiels de l’entreprise.

Pour cela les entreprises décident d’établir un référentiel interne du contrôle interne,
c’est-à-dire un moyen de vérifier que toutes les règles édictées par l’entreprise par la
direction sont bien appliquées au siège, dans les filiales ou encore par les sous-
traitants. Les entreprises s’appuient sur des référentiels déjà existants, mais aussi
sur les lois SOX/LSF ou encore les normes ISO. 5Cela se traduit de différentes
manières en entreprise, par des contrôles automatiques informatiques, par des
questionnaires auprès des différents services ou encore par des audits. 6Chaque
entreprise crée son propre référentiel interne. Et ce référentiel est tenu comme
secret pour la plupart des entreprises, qui ne souhaitent pas communiquer leur
recette miracle.
Pour finir, il faut savoir que ces règles ne s’appliquent qu’aux entreprises cotées
c’est-à-dire les entreprises ayant émis des actions en bourse pour financer une
partie de leur capital.7 Ce sont donc les entreprises qui sont liées aux marchés
financiers directement. Elles ont alors une partie détenue par des actionnaires. Ces
derniers s’intéressent principalement aux rapports financiers demandés par les
institutions puisqu’ils sont les premiers exposés en cas de problème. C’est aussi en
cela qu’ils sont les principaux acteurs concernés puisqu’il s’agit de leurs
investissements qu’ils risquent de perdre en cas de défaillance de l’entreprise.

C. Choix du sujet et problématique

Notre étude portera sur le référentiel interne à Imerys, ma responsable et moi-même

avons choisi ce sujet, car il est plus que jamais au cœur de l’actualité et nécessaire.
Imerys a mis son premier service de contrôle interne en place en 2008. L’entreprise
souhaite savoir si celui-ci est suffisamment efficace, si le référentiel utilisé est le bon.
Jusqu’à maintenant la décentralisation de l’entreprise ne permet pas de savoir si les
règles et les principes de la société sont réellement appliqués partout dans le
monde, dans l’ensemble de ses filiales, du moins pas dans les 250 entités en même
temps. Or le contrôle interne est essentiel afin de mieux gérer les risques de toutes
natures auxquels peut être confronté aujourd’hui un groupe industriel français coté.
Pour ma part, je suis issue d’une formation bancaire, j’ai exercé différents métiers au
sein de la banque de 2008 à 2013, du poste d’agent commercial en passant par
chargée d’affaires internationales jusqu’à conseillère entreprise en 2013. J’ai donc
été sensibilisée à la conformité et à la gestion des risques, car l’activité d’une
banque est basée sur la gestion du risque. Il est donc très important de savoir

4
GUMB Bernard, NOEL Christine (2006), «  Le contrôle interne au travers des représentations que s’en font les
dirigeants de groupes du CAC 40 : une étude exploratoire », HAL-SHS déposé par EM-Grenoble, p.3
5
http://www.ifaci.com/bibliotheque/bibliotheque-en-ligne-telecharger-la-documentation-professionnelle/
referentiels-de-controle-interne-150.html Les différents référentiels utilisés par les entreprises selon l’IFACI
6
http://www.focusifrs.com/content/view/full/1881 Exemples de questionnaires de contrôle interne
7
http://www.trader-finance.fr/lexique-finance/definition-lettre-S/Societe-cotee.html
prévenir et limiter les risques. J’ai alors choisi d’intégrer le département des risques
et du contrôle interne d’Imerys, une société industrielle qui exerçait alors la revue du
poste « trésorerie ». Je me suis dit pouvoir leur apporter quelques connaissances du
milieu bancaire. Et qu’ils pouvaient m’apprendre la gestion des risques au sein d’une
entreprise industrielle, non seulement le métier de contrôleur interne, mais aussi
celui d’auditeur interne.

C’est pourquoi le choix de ce sujet a été une évidence pour moi. Il correspond à la
fois à mon parcours, il me permet cette fois-ci d’être de l’autre côté de la barrière (en
entreprise) et de comprendre les enjeux concernant le risque dans une grande
entreprise cotée telle qu’Imerys. De plus, le secteur de l’industrie était pour moi du
nouveau, puisqu’il s’agit d’un milieu que je ne connaissais pas et pouvoir mettre en
place des outils de la gestion des risques du milieu bancaire (en avance par rapport
à celui de l’industrie) à l’industrie est un vrai challenge.

Comment mettre en place le bon référentiel, notamment avec peu de moyens au

sein d’un service de contrôle interne naissant ?
Comment s’y retrouver parmi la multitude de réglementations existantes, de
référentiels et lesquels choisir de suivre en entreprise ? Et de quelle manière ?
Comment connaitre et appliquer toutes les réglementations des pays dans lesquels
Imerys est implanté ?
Comment contrôler et gérer les risques d’une société dont le fonctionnement est
décentralisé ?
Comment communiquer toutes ces règles à travers plus de 250 entités en même
temps  et à travers le monde?
Est-il possible d’uniformiser l’ensemble des processus aux unités de production dans
le monde ?

Comment mesurer et mettre en place ces réglementations à distance ? Et les

suivre ?

La difficulté étant d’imposer ces règles internationales obligatoires à des entités

totalement décentralisées et indépendantes, loin de comprendre et de se conformer
aux règles du Groupe qui font de droit leurs propres règles, leurs propres contrôles
alors que c’est bien le siège, la société mère qui devra rendre des comptes si une
fraude ou un accident ou un non-respect des règles internationales a lieu.

En quoi est-il nécessaire de définir un référentiel interne de contrôle interne

dans une société industrielle décentralisée et comment le mettre en place et le
faire vivre ?

Dans un premier temps, il faudra faire l’état du contrôle interne au sein d’Imerys à
travers un diagnostic terrain. Dans un deuxième temps, un état de l’art devra être fait
afin de connaitre l’ensemble des référentiels existants et théories pouvant être mis
en place par le contrôle interne des entreprises. Dans un dernier temps, des
recommandations seront faites en adaptant la théorie au terrain, c’est-à-dire en
proposant les meilleures pratiques possible pour une société industrielle cotée
décentralisée.
II. Partie 1 : Diagnostic Terrain

Le diagnostic terrain a été réalisé au travers de différentes méthodologies. Ce qui a

permis de trouver les grandes questions de recherche associées à la problématique
de l’entreprise. Toutes ces informations feront l’objet d’une analyse pertinente du
contrôle interne d’Imerys.

Voici les différentes méthodologies utilisées pour récupérer les informations :

A. Méthodologies utilisées

La logique générale retenue ici est l’induction. Je vais partir de faits observés, de
situations, de données sur le terrain pour aller vers le général c’est-à-dire voir ce
qu’il se fait en théorie et dans les autres entreprises, ce qu’il serait possible
d’appliquer à Imerys pour rendre le contrôle interne plus efficace.

L’approche méthodologique sera qualitative. Tout d’abord parce qu’il s’agit d’un
raisonnement inductif, c’est-à-dire que je pars de l’analyse d’observations non
numériques sur le terrain. Ensuite parce que je me trouve au sein d’une petite
équipe, de l’audit et du contrôle interne et qu’il s’agit d’une fonction ultra-
confidentielle. Sachant qu’il ne sera pas possible de s’appuyer que sur des données
qualitatives, il y aura certaines données quantitatives, mais dans une moindre
mesure.

C’est pourquoi j’ai choisi d’utiliser l’observation participante, les entretiens non
directifs et le benchmark.

a) L’observation participante

La collecte des données se fera tout d’abord via l’observation participante réalisée
lors de mon alternance. L’observation participante est une façon de collecter des
informations sur un environnement étudié en y participant. C'est-à-dire en vivant
avec les personnes observées et en partageant leurs activités. Cela permet de faire
exactement ce qu’elles font, d’interagir avec elles, de vivre la situation soi-même.
C’est une immersion totale dans la vie du sujet d’étude. Il s’agit en premier lieu
d’analyser les comportements des personnes observées. Mais aussi de voir quelles
sont leurs interactions avec les autres, avec les différentes situations, missions ou
autres. On a évidemment un statut interne qui nous permet d’appartenir au groupe et
ainsi partager l’ensemble du quotidien du sujet. Le plus difficile pour l’enquêteur
étant d’être dedans tout en restant en dehors afin d’avoir un avis objectif sur l’objet
et non modifié par sa propre expérience. L’enquêteur se doit en effet d’être neutre or
cela reste relativement compliqué lorsque l’on est acteur d’où l’inconvénient de ce
type d’enquête. C’est pourquoi l’observateur doit intégrer dans l’analyse sa propre
participation. J'ai donc participé au sujet d'enquête puisque j'ai travaillé pendant un
an au sein du service du contrôle interne et des risques en tant que chargée du
contrôle interne et des risques en alternance.

1. La fonction du contrôle interne au sein d’Imerys

Le contrôle interne au sein d’Imerys a différentes fonctions. Tout d’abord, il doit
édicter les différentes règles, procédures et bonnes pratiques à suivre par le Groupe
et les filiales. Puis, il faut mettre en place des formations et animer le site intranet
des procédures afin de communiquer sur ces règles. Ensuite, il faut vérifier que ces
règles sont bien suivies par les différentes entités en réalisant des questionnaires
d’auto-évaluation ainsi que des recommandations pour les entités évaluées. Et enfin
les résultats doivent être communiqués à la direction et à l’audit. Il faut aussi
rappeler qu’à Imerys le service du contrôle interne a aussi en charge la gestion des
risques. Voici les principes fondateurs du contrôle à Imerys :
 une organisation choisie et maîtrisée, intégrant des hommes et des femmes
compétents et responsables ;
 une communication interne ciblée ;
 une analyse périodique des risques principaux du Groupe ;
 des activités de contrôle adaptées ;
 une revue régulière des pratiques de contrôle interne dans le Groupe. 8

La première mission du contrôle interne est de rédiger les différents règles et

principes à appliquer par les employés de l’entreprise. Il faut mettre à jour en
permanence le manuel du contrôle interne ainsi que le code d’éthique et de conduite
d’Imerys. Ces documents sont ensuite publiés sur le site intranet « Blue Book » où
tous les employés (ou une partie selon les restrictions) peuvent venir consulter les
documents. Effectivement le Blue Book s’adresse principalement aux managers et
secondement aux employés qui sur les chantiers n’ont pas forcément la possibilité
de consulter internet ou ni même connaissance de l’existence de ce site.

Comme il est montré en Annexe 1, extrait de Google Analytics de l’audience du site.

Cette année, seulement 2222 utilisateurs se sont connectés pour réaliser 5277
sessions (connections comprenant à la fois les nouveaux et utilisateurs connus).
37% de ses sessions représentent des nouvelles connections, cela veut dire que le
reste des sessions sont les mêmes personnes qui reviennent. Et le taux de rebond
de 18,76% montre que sur toutes ses sessions, environ 20% d’utilisateurs n’ont pas
dépassé la première page (page d’accueil). Quant au nombre de pages vues par
session, et le nombre de pages vues montre que les contenus sont intéressants
(avec 36076 vues et presque 7 pages visitées par sessions.
Voici un exemple du site :
Table 1 : Le Blue book

http://www.imerys.com/scopi/group/imeryscom/imeryscom.nsf/pagesref/SCOI-8S4DZX?
8

OpenDocument&Lang=FR définition du contrôle interne chez Imerys

En plus du site intranet pour communiquer, il y a la formation au code d’éthique et de
conduite par exemple. Elle est obligatoire pour tous les employés qui arrivent dans la
société et tous ceux qui n’ont pas encore été formés (siège et direction des filiales,
c’est-à-dire jusqu’à N-6). On dispose d’un fichier de tous les employés des
ressources humaines, il faut ensuite vérifier avec les fichiers du contrôle interne,
lesquels sont formés et lesquels ne le sont pas. Environ 115 employés ont été
formés en 2009, 230 en 2010, pas de formation en 2011, 375 en 2012, 275 en 2013
sur les 3000 employés du siège ou des directions des filiales qui doivent être formés.
Sachant que les 13000 restants ne sont pas formés.

Il faut aussi ajouter la publication du code d’éthique et de conduite du Groupe, qui

est mis à jour et publié chaque année. Voilà tout ce qui concerne la communication
des procédures et règles du groupe.

Il faut ensuite vérifier que toutes ces règles ont bien été transmises par les
managers des filiales à leurs employés. Cette année, nous avons récupéré les
questionnaires d’auto-évaluation de 49 filiales et du siège (30 entités principales et
20 petites entités, distinctes ainsi en termes de nombre d’employés). Une partie des
évaluations portait sur la trésorerie (pour les grandes entités et le siège), vous
trouverez un exemple en annexe 1. Alors que les évaluations des petites entités
portaient sur l’ensemble de la chaine de valeur (des ressources humaines à
l’informatique en passant par les achats et la trésorerie, etc.). 39 questions pour le
questionnaire de trésorerie et 65 pour le questionnaire global des petites entités.

Que ce soit les procédures ou les questionnaires, ces derniers étaient réalisés à
l’aide du cadre de référence de l’AMF et des lois applicables tel que la LSF. 9 Imerys
étant une société internationale, mais avant tout française, elle a choisi de s’inspirer
de ce référentiel-là pour construire ces propres règles, ces questionnaires ainsi que
le service du contrôle interne. Mais aussi et tout simplement parce que ces lois
http://www.imerys.com/scopi/group/imeryscom/imeryscom.nsf/pagesref/SCOI-8S4DZX?
9

OpenDocument&Lang=FR Référentiel d’Imerys

américaines sont ensuite transposées dans le droit français et sont en général
équivalentes à quelques différences près. Ce référentiel couvre l’ensemble des
sociétés consolidées au sein du Groupe.

Le rôle de ma responsable était donc de construire ces questionnaires, de revoir

chaque année celui des petites entités afin d’intégrer de nouveaux contrôles liés à
de nouvelles normes. Quant à celui des entités principales, chaque année un thème
différent était choisi. Les questionnaires d’auto-évaluations n’ont été mis en place
qu’en 2008. 5 thèmes ont été évalués pour l’instant et à chaque fois sur un
échantillon d’une cinquantaine d’entreprises, sur les 250. Les questionnaires sont
ensuite envoyés via un ERP et/ou par mail, les entités avaient quelques semaines
pour les retourner.

Suite à cela, nous devions récupérer les réponses, les analyser, approfondir
certaines questions si leurs réponses n’étaient pas claires et leur attribuer une note.
Suite à cela des recommandations sont faites pour que les entités puissent elles-
mêmes mettre en place des plans d’action afin de remédier à leurs lacunes. Il s’agit
de là bien sûr que d’une recommandation puisque Imerys Corporate n’a pas le droit
d’imposer ces recommandations aux entités étant chacune décentralisée, donc
autonome en matière de contrôle. Le choix des entités à autoévalué était réalisé
conjointement avec l’audit interne. Les critères étaient à la fois financiers (baisse du
chiffre d’affaires ou problèmes financiers), mais aussi opérationnels (des fraudes
détectées, ou une mauvaise note donnée par l’audit interne). Bien qu’en général, le
contrôle interne soit en amont de l’audit interne, l’audit interne, audite en général, les
entités mal notées du contrôle interne. Cela fonctionne dans les deux sens que cela
fonctionne à Imerys.

Enfin, lorsqu’une campagne est terminée, une synthèse est réalisée afin de
présenter les résultats devant le comité d’audit afin de prendre les mesures
nécessaires. Si les résultats sont trop mauvais, l’équipe d’audit interne se déplacera
sur place.

Quant à la gestion des risques, je n’ai vu qu’une toute petite partie de cette fonction.
Ma responsable m’a appris à réaliser une cartographie des risques, celle-ci n’est
réalisée qu’une fois tous les deux ans (faute de temps). En demandant à un
échantillon d’entités de donner l’ensemble des risques liés à leur activité et de les
classer. De plus, ma responsable fait ce travail de son côté. Elle réalise ensuite une
analyse de leurs réponses, leur pose d’autres questions si nécessaire. Elle réunit
alors les deux travaux et réalise une cartographie des risques que je ne peux
malheureusement pas divulguer. J’ai, en revanche, eu la chance de travailler sur les
risques pays, un rapport qui consiste à montrer dans quels pays nous sommes les
plus engagés et dans lesquels il y a un risque criminel, politique ou naturel plus ou
moins élevé.

2. Le service du contrôle interne au sein d’Imerys

Le service existe depuis 2006, mais il a été vraiment mis en place en 2008 par Anne
B. ma responsable qui a été embauchée après 12 ans de cabinet externe pour
mettre en place ce service sous la direction de l’audit interne. Les principales
procédures sont préparées sous la responsabilité du département des risques et du
contrôle interne et revues par PDG. Un rapport est communiqué auprès des
commissaires aux comptes pour discussion et au comité d’audit pour revue avant
approbation du conseil d’administration. 10 Nous travaillons en collaboration étroite
avec le service financier (afin d’obtenir les données chiffrées de la consolidation par
exemple en termes de risque) et cette année nous avons contrôlé et audité le
service de trésorerie du siège. Ma responsable, en charge des risques et du contrôle
interne, dispose d’un alternant chaque année, dans le but de l’aider. Le service rend
des comptes au comité d’audit et parfois au Comex (concernant la gestion des
risques principalement). Il n’existe pas de comité des risques pour le moment. J’ai
donc travaillé avec Anne pendant 9 mois, sur les missions vues précédemment.
Anne n’a pas la possibilité de recruter ni de se déplacer, des auditeurs internes
travaillent donc pour le contrôle interne, le cas échéant, lors de la récolte des
résultats par exemple.

b) Entretiens et réponses questionnaires

J'ai réalisé quelques entretiens qualitatifs durant mon année à Imerys. Sachant que
l'interrogation des employés de mon entreprise sur le contrôle interne est prohibée
de par la nature de ce métier, je me suis cantonnée à des entretiens semi et non
directifs auprès de différents acteurs d’Imerys. De ma responsable, en passant par
des employés du siège, aux employés des différentes filiales avec qui j’ai pu
échanger lors de la réception des questionnaires ou encore lors de projet commun
sur le contrôle interne.

J’ai pu réaliser de nombreux entretiens semi-directifs 11 avec ma responsable (du

contrôle interne et des risques du Groupe) et d’autres employés. Dans le cadre de
mes missions, nous avons pu échanger sur de nombreux sujets liés à ma thèse. Ce
type d’entretien permet de poser des questions vagues, de suggérer des termes
pour faire parler l’interlocuteur. Les questions abordées n’ont pas d’ordre et c’est
l’interlocuteur qui dirige l’entretien, l’enquêteur ne fait qu’orienter. Ainsi l’interviewé
va être amené à donner des informations auxquelles l’enquêteur n’aurait pas pensé.
C’est un bon moyen d’obtenir des informations quand celles-ci sont difficiles à avoir,
mais aussi quand l’enquêteur ne connait pas réellement toutes les singularités du
sujet. Ce qui est le cas des employés d’Imerys afin de déceler leurs lacunes sur les
procédures ou encore leurs appréciations du site intranet. On ne sait pas quelles
informations la personne peut nous communiquer non plus. Il a fallu donc écrire
quelques questions et un ensemble de thèmes à aborder afin de laisser parler les
personnes librement.

Voici les thèmes abordés durant les entretiens :

- Le rôle du contrôle interne à Imerys
- Les procédures Trésorerie et paye
- Les raisons de la méconnaissance des procédures
- La connaissance et l’appréciation du site intranet des procédures
- Les différents niveaux de prise de décision
- La construction des questionnaires

10
Chapitre 4 – facteurs de risques et contrôle interne, du document de référence publié en 2014 (disponible sur
le site internet Imerys.com
11
http://www.cairn.info/page.php?ID_ARTICLE=DEC_COMBE_2007_01_0024 Définition de l'entretien semi-
directif
Réponses d’Anne B., responsable du contrôle interne et des risques à Imerys :
« Le contrôle interne à Imerys a été mis en place en amont de l’audit interne afin
d’informer les entités des règles et procédures à respecter vis-à-vis du Groupe
Imerys et de pouvoir contrôler à distance les entités de la filiale. Mais surtout de
prévenir les éventuels risques. Notre rôle essentiel est de mettre en place les
procédures, de communiquer dessus et de les faire mettre en place par les entités
indépendantes [...]. Et pendant ce temps-là, il faut se tenir au courant de toutes les
nouvelles réglementations mises en place par les institutions internationales. Le
problème c’est que toute seule, il est difficile de réaliser tout cela en même temps.
Le référentiel choisi c’est-à-dire le cadre de référence de l’AMF et son guide
d’application publié en janvier 2007, transposé via les guides de procédures et les
questionnaires d’auto-évaluation prend beaucoup de temps, c’est pourquoi je fais
appel chaque année à un alternant et aux auditeurs internes. Les questionnaires me
semblaient être une bonne idée au début, puisque c’est ce qui se fait en plus dans la
plupart des entreprises du CAC40, mais nous n’avons pas les mêmes moyens que
ces entreprises, il est donc difficile de mettre en place un tel référentiel pour qu’il soit
efficace […]. C’est pourquoi nous essayons de trouver une solution alternative à ces
questionnaires qui prennent beaucoup trop de temps par rapport à ce qu’ils
apportent sur la maitrise des risques et le respect des procédures par les entités. Et
consacrer ainsi plus de temps à la gestion des risques ».

Réponses de Bertrand D., gestionnaire de projet IT d’Imerys :

« Nous avons travaillé avec le service du contrôle interne cette année sur le Blue
Book, le site intranet du contrôle interne où se trouve l’ensemble des procédures que
peuvent consulter toutes les entités à travers le monde. En effet, le site se fait vieux,
il n’est pas attirant et donne l’impression de venir du début des années 2000, ce qui
n’est pas le cas pourtant. […]. Je comprends pourquoi Anne cherche à le changer, et
améliorer ainsi la communication avec les entités à travers le monde, car il reste
pour l’instant peu consulté et peu connu. Nous pourrions le rendre plus attractif et
surtout interactif […]. Il faut donc travailler sur une nouvelle ébauche du site, si le
service du contrôle interne souhaite avoir plus de visites. Cela demande un certain
coût, mais qui peut s’avérer intéressant dans le cadre de l’objectif d’Anne en termes
de communications avec les filiales[…].

Réponse d’un auditeur :

« Nous sommes une équipe d’une dizaine d’auditeurs, nous travaillons main dans la
main avec l’équipe du contrôle interne, elle nous avertit lorsqu’il faut aller contrôler
une entité, le directeur de l’audit décide alors s’il faut se déplacer ou non. Nous
demandons parfois de l’aide à l’équipe du contrôle interne quand nous sommes
débordés, mais nous aidons aussi leur équipe quand ils le sont. Nous suivons
cependant en priorité les ordres de notre directeur d’audit qui est notre responsable
direct, bien que nous appréciions de pouvoir aider Anne, nous sommes souvent
débordés et donc pas disponibles pour l’aider, du moins dans l’immédiat. […] »
Réponses récurrentes ou inquiétantes des différents services de trésorerie
contrôlés :
«  Je n’étais pas au courant de cette procédure » ; « Pouvez-vous me confirmer que
je suis bien en charge de la trésorerie dans mon entité, et que ce n’est pas mon
collègue M. X ? » « Pensez-vous vraiment que nous pouvons mettre en place une
séparation des tâches efficace alors que nous sommes que cinq dans notre
entité ? » ; « Nous ne savions pas qu’il fallait une approbation écrite de la trésorerie
Groupe pour ouvrir un compte bancaire dans une banque non recommandée » ;
« L’assistante de Direction comptabilise les encaissements et émet les factures » ;
« Les demandes de virements bancaires sont transmises à la banque via notre
fax» ; « Les Normes éthiques du Groupe seront communiquées bientôt lors des
réunions de sécurité à venir et affichées dans les espaces communs où elles sont
très visibles. Elles seront également incluses dans les « welcome pack » ; « Un
appel d’offres n’est pas effectué systémiquement auprès de différents fournisseurs
concernant les nouveaux investissements, nous avons déjà nos propres
fournisseurs » ; « nous ne revoyons pas systématiquement notre fichier client en cas
de modifications ou de nouvelles entrées, tout est fait au fur et à mesure, nous
avons seulement 5 principaux clients et nous leur faisons confiance s’il nous
demande de modifier une adresse ou un RIB ». Etc.

J’ai choisi ensuite de réaliser un benchmark afin de comparer le contrôle interne et la

gestion des risques d’Imerys avec d’autres entreprises du même secteur, mais aussi
d’autres secteurs, tels que la banque. Pour prouver que le contrôle interne d’Imerys
est trop faible et nécessite des investissements, car il s’agit d’un des plus grands
enjeux de ces dernières années afin d’éviter les fraudes et toutes autres crises.

c) Benchmark

L’utilisation d’un benchmark est nécessaire afin de comparer le niveau de

performance d’un service de son entreprise avec celui d’autres entreprises du même
secteur ou carrément d’un secteur différent, mais en avance par rapport à celui-ci.
Un benchmark permet de mettre en place les meilleures pratiques et d’améliorer les
performances de l’entreprise12. C’est pourquoi il me parait essentiel de réaliser un
benchmark pour connaitre le niveau d’avancée d’Imerys par rapport à ses
concurrents directs, mais aussi indirects en termes de secteur d’activité, mais aussi
en termes de contrôle interne d’entreprises cotées. Le problème étant la
confidentialité des entreprises sur ses pratiques du contrôle interne. Il m’a été très
difficile de récupérer des informations auprès d’autres entreprises hormis les
entreprises dans lesquels j’ai pu travailler. Mes camarades de classe m’ont permis
d’en apprendre d’avantages, mais là encore tout cela reste très confidentiel. Je ne
pourrai donc divulguer qu’une partie du fonctionnement de leur contrôle interne et de
manière globale.

Tout d’abord, Imerys a un seul concurrent direct, OMYA, une entreprise suisse dont
il est difficile d’obtenir des informations, celle-ci n’étant pas cotée. Il est uniquement
possible de trouver sur internet qu’il existe un département d’audit interne et de
gestion des risques.

12
http://www.lesechos.fr/finance-marches/vernimmen/definition_benchmark.html Définition d’un benchmark
C’est pourquoi j’ai choisi de comparer Imerys à une entreprise industrielle d’un de
mes camarades de classe. Spie, société parisienne pour l’industrie électrique. Cette
entreprise réalise 4,6 milliards de chiffre d’affaires (un peu plus qu’Imerys) et dispose
de 37000 salariés soit le double d’Imerys. Cette société, tout comme Imerys dispose
de nombreuses filiales, dont certaines, à l’étranger. Cependant, à la différence
d’Imerys l’entreprise a choisi d’agir en amont, en matière de gestion des risques,
c’est-à-dire prévenir par la communication et l’information des procédures et la mise
en place de contrôle au sein de chaque filiale. Cela se traduit par une plus forte
implication dans le contrôle interne que l’audit interne à la différence d’Imerys. Le
contrôle interne est aussi sous la direction de l’audit interne. En effet, la société
dispose de plus de contrôleurs internes que d’auditeurs internes. De plus, chaque
filiale est chargée de mettre en place ses propres mesures de contrôle interne et
d’applications des règles du Groupe. Il y a régulièrement des réunions et des
comités des risques sur les contrôles mis en place par les opérationnels des
différentes filiales. Comme Imerys les normes et procédures sont communiquées via
l’intranet, mais elles sont en plus communiquées et animées par chaque
fonction/métier sur place. Une remontée des opérations réalisées est faite auprès de
la direction de l’audit interne. L’audit interne et les risques consolident les résultats
pour identifier les risques et constituer la cartographie des risques. L’entreprise
réalise donc des comités des risques à la différence d’Imerys qui n’a pour l’instant
qu’un comité d’audit interne.

J’ai un autre camarade de classe qui travaille pour Lafarge, entreprise ayant un
chiffre d’affaires et une masse salariale 4 fois plus importante qu’Imerys, mais pour
un résultat net de 600M€ (contre 4Mds de CA et 400M€ de RN pour Imerys)
(concurrent indirect d’Imerys) avec qui j’ai pu discuter, qui m’a aussi confirmé
l’importance du service du contrôle interne dans son entreprise qui dispose
d’avantages de contrôleur interne de manière proportionnelle.

Concernant, mes différentes expériences en entreprise donc principalement des

banques. Le contrôle interne et la gestion des risques sont au cœur du métier. En
effet, les risques de crédit, de marché et de liquidité sont omniprésents. La
conformité et la gestion des risques sont ce qui permet d’éviter à tout prix que ces
risques deviennent réels. Il a d’ailleurs été prouvé par l’histoire qu’une mauvaise
gestion des risques pouvait entrainer la faillite des plus grandes banques
d’investissement comme Lehman Brothers en 2008. C’est pourquoi, après cela et
l’histoire de Jérôme Kerviel, les banques ont durci leurs contrôles. Nous devions
tous avoir connaissances des procédures, règles et autres lois auxquelles nous
devions nous conformer. Pour cela, les entreprises utilisaient la formation, la
communication ou encore les contrôles à plusieurs niveaux. Tous les employés
devaient recevoir les formations, du guichetier au directeur d’agence en passant par
les employés des sièges. Elles étaient soit réalisées en ligne soit en vrai. Nous
avions ensuite des tests à passer afin de vérifier que nous avions bien retenu la
formation. Il fallait par exemple un minimum de 80% pour valider la formation, sinon
il fallait recommencer jusqu’à avoir les 80%. De plus, les conseillers en agence
étaient objectivés en fonction de leur conformité. Les salariés ayant un taux de
conformité (les contrats signés, les dossiers des clients complets) important
bénéficiaient d’une prime sur salaire. À l’inverse, il m’était demandé en agence
d’aller mener de petits audits, auprès de mes collègues mauvais en termes de
conformité afin de les contraindre à rendre conformes leurs dossiers, c’est ce qu’on
appelle la surveillance permanente en banque. C’est en général le directeur
d’agence qui s’en charge, étant à l’époque son alternante et sachant que je voulais
m’orienter vers l’audit par la suite, il m’a confié cette mission. La proximité qu’il existe
au sein d’une agence entre les différents collègues facilite et à la fois rend difficile
cette tâche. Je m’explique, je connaissais tous mes collègues, il fallait cependant
parfois revenir plusieurs fois afin d’obtenir un document signé ou autre, il fallait donc
à la fois être conviviale et stricte. Et si cela ne fonctionnait pas, il fallait
éventuellement passer par un autre collègue ou encore le faire soi-même. Ce qui
n’est pas possible dans une grande entreprise.

Il faut aussi savoir que tous les appels étaient enregistrés et que le fait d’être en
open space ou dans des bureaux ouverts permettait de se surveiller mutuellement
(théorie du prisonnier). Les managers n’avaient plus qu’à relever ce qu’ils pouvaient
entendre ou encore utiliser nos écoutes en cas de désaccords avec des clients. Le
contrôle était donc permanent, une certaine rigueur qui peut oppresser, stresser
certains employés.

Enfin, la direction communiquait directement avec nous, nous avions régulièrement

des mails du PDG ou des directeurs de services afin d’être toujours au courant avant
le public des avancements des affaires scandaleuses, fraudes ou toutes autres
affaires qui pouvaient paraitre dans les journaux. Nous avions alors avec toutes les
consignes pour nous comporter d’une certaine manière et quoi dire à nos proches,
ou toutes autres personnes étrangères à l’entreprise. Le moindre manquement à ces
consignes, si elles étaient sues pouvaient entrainer des sanctions extrêmement
lourdes.

B. Les grandes questions de recherche 

Le référentiel employé actuellement par Imerys est-il suffisamment pertinent ?

Le service du contrôle interne au sein d’Imerys est-il adapté ?
Le référentiel et le service du contrôle interne sont-ils réellement efficients en
termes de préventions des risques ?

C. Analyse des résultats

a) Des règles et procédures encore trop méconnues des salariés

Comme il est possible de le constater lors de l’observation participante, peu de
personnes ont connaissance des règles et principes édictés par le Groupe. En effet,
le Blue book est très peu consulté (2222 utilisateurs sur 16000 potentiels).
Cependant les graphiques de Google Analytics (annexe 1) nous permettent de dire
que les contenus sont intéressants et visités, malgré une première page dépassée
que dans 80% de cas (presque 20% ne la dépassent pas).

Ma responsable a établi un constat : « Excepté les contrôleurs de divisions et le

Corporate (ils représentent environ 3000 personnes), peu d’employés connaissent le
Blue Book. En dehors de la culture groupe qui n’incitait pas les opérationnels
jusqu’ici à utiliser les outils du Groupe, d’autres facteurs expliquent ce phénomène :
- un grand nombre de documents pour répondre à un besoin de communication
externe et non à un besoin interne au Groupe ;
- le BB contient beaucoup de documents très denses avec beaucoup
d’informations, ce qui décourage les éventuels utilisateurs ; les informations clés
pour les opérationnels sont noyées dans des textes très denses;
- la recherche d’information (par exemple par mots clés) et la navigation dans la
base ne sont pas optimales ;
- la mise en forme des documents n’est pas adaptée à une lecture rapide avec
des points d’attention pour les choses importantes à retenir ; pas de standardisation
des documents
- les employés ne savent pas quels sont les documents qui les concernent
vraiment (selon leur division, leur service, leur niveau managérial) ;
- Il n’y a pas suffisamment de communication et d’animation autour du Blue Book
pour renforcer l’intérêt (communication régulière, session d’introduction au BB);
certains documents datent de 2005/2006 et ne sont pas mis à jour ;
- la technologie utilisée pour supporter le BB est dépassée
- il y a des « Blue books » internes dans certains groupes (Calderys)
- Site non ergonomique, non intuitif
- Obsolète niveau design, statique
- Bluebook = titre non parlant (utilisé en chimie essentiellement)

Manque la traduction des documents en plusieurs langues ».13

Les différents entretiens menés par ma responsable et moi m’ont prouvé que les
règles édictées par le contrôle interne n’étaient pas forcément connues ou
appliquées. Les contrôleurs de division et le corporate (le siège) ne représentent que
500 employés sur les 16000 existants. Quant aux formations, sur les 3000 managers
et employés du siège qui doivent être formés, seulement 1/3 des employés ont été
formés sans compter ceux qui sont partis entre temps et les nouveaux arrivants.

Les questionnaires d’auto-évaluation ont été créés pour essayer d’évaluer la gestion
des risques des 245 entités distante. Le problème c’est que toutes ces entités ne
sont pas évaluées toutes en mêmes temps et sur les mêmes sujets. Il est donc
impossible de couvrir l’ensemble des entités et de déceler d’éventuels risques. De
plus, malgré les recommandations faites par le contrôle interne aux entités
autoévaluées, il s’avère que celle-ci ne met pas forcément en place les plans
d’action demandés pour remédier aux lacunes constatées lorsque l’audit passe. Les
entités savent qu’elles n’ont pas obligation de suivre les recommandations du siège
alors elles ne le font pas. De plus, ces questionnaires reposent sur la confiance
entre le contrôleur de l’entité qui le remplit et le service du contrôle interne qui reçoit
et même en analysant les réponses ne peut pas déceler toutes les incohérences
voire mensonges de la part de l’entité. Enfin, il a été par exemple demandé cette
année aux 50 interviewés de répondre via l’ERP d’audit et contrôle interne (RVR), un
progiciel dans lequel l’entreprise a investi beaucoup d’argent pour faciliter le travail
de récolte des données, des échanges, des recommandations et du suivi des plans
d’action. Cependant seulement 10 entreprises sur les 50 ont rempli via l’ERP. Les
autres ont renvoyé les questionnaires sous forme d’Excel (fichier Excel extrait de
l’ERP), ce qui a fait perdre beaucoup de temps au service du contrôle interne quant
à la réimportation de ces questionnaires dans l’ERP. Cela montre la difficulté à
imposer des comportements, des règles à des entités qui sont indépendantes,
13
Extrait de « propositions d’évolution du Blue Book » par Anne B., responsable du contrôle interne, document
interne à Imerys, strictement confidentiel.
décentralisées et qui communiquent difficilement avec le siège. Concernant les
plans d’action, certaines entités respectent les deadlines fixés et créent elles-mêmes
leurs propres plans d’action que les auditeurs peuvent suivre à distance, cependant
une majorité ne réalise pas ces plans d’action ou alors affirme les réaliser.

La synthèse des évaluations permet de planifier les éventuels futurs audits à réaliser
et de faire un point sur l’impact du contrôle interne, c’est-à-dire de la communication
des règles et procédures du Groupe. Là encore les auditeurs ne peuvent pas
réaliser 245 audits dans l’année, ils doivent sélectionner parmi cela et parmi les
entités qui ont de mauvais résultats ou qui ont subi des fraudes. Une campagne
d’audit interne réalise environ 2 audits par mois, sans compter les audits ponctuels
lorsqu’il y a des problèmes dans une entité. Ce qui fait 24 entités environ sur 245
d’audits par année. Les missions sont courtes (2 à 3 semaines) et portent souvent
sur quelques sujets précis. Ils sont souvent là pour constater les lacunes et rédigent
des rapports de centaines de pages et de recommandations qu’ils envoient ensuite à
l’entité, en espérant que celle-ci les appliquera. Le directeur de l’audit et son équipe
veillent bien sûr à ce que les plans d’action soient suivis surtout pour les entités les
plus préoccupantes. Mais cela reste encore un trop faible échantillon sur les 245
entités.

b) Un service non adapté à la taille de l’entreprise

Le service du contrôle interne est composé de seulement 2 personnes, et d’une

seule à temps complet puisque la deuxième personne est un alternant qui change
chaque année. La responsable du contrôle interne doit donc chaque année
réapprendre et réexpliquer à son nouvel alternant ce qu’il devra faire. Ce qui prend
du temps et ne facilite pas forcément le travail de la responsable qui de son côté est
débordée. Il est demandé beaucoup d’autonomie à l’alternant, ce qui peut être
risqué. Bien que la responsable vérifie le travail fait, il arrive parfois de ne pas faire
autrement que de faire confiance pour gérer tel ou tel projet afin de respecter les
différents deadlines. La connaissance acquise par l’étudiant est chaque année
perdue puisqu’il n’y a pas de transmission entre l’ancien et le nouveau, seule la
responsable détient l’ensemble de la connaissance. Le directeur d’audit qui est son
responsable vérifie la plupart des travaux effectués, et ils travaillent d’ailleurs
souvent ensemble. Cependant, le directeur d’audit ignore par exemple ce que fait
l’alternant. Il faut savoir que l’alternant réalise aussi des travaux pour l’audit comme
des rapports de missions d’audit ou encore la communication des synthèses sur les
questionnaires du contrôle interne. L’alternant a donc accès à l’ensemble des
activités de l’audit et du contrôle interne. Il y a ici un réel risque de perte des
informations concernant le contrôle interne ou de vol de données. L’une des règles
de l’audit est pourtant de ne jamais laisser une seule personne garder toute la
connaissance. Je sais qu’en partant, j’ai emporté avec moi une certaine
connaissance, que j’ai essayé au mieux de retranscrire par mail ou de transmettre à
mes collègues. Mais ma responsable m’a demandé si elle pouvait m’appeler en cas
de besoin à son retour de vacances en septembre. Enfin, il faut ajouter le problème
de la langue, le service d’audit d’Imerys est principalement composé d’étrangers
(essentiellement d’auditeurs parlant les langues des entités auditées), la moitié parle
et comprend le français alors que l’autre moitié non, n’étant pas bilingue moi-même il
était parfois difficile de communiquer avec certaines personnes de l’équipe et c’est
aussi un problème dans les deux sens quand les auditeurs étrangers auditent les
sociétés en France et les auditeurs français audit les sociétés étrangères. Cela pose
non seulement des problèmes de compréhension et de communication sur le
contrôle des règles et procédures, mais aussi sur la récolte des réponses que ce soit
pour les questionnaires d’auto-évaluations ou d’audit. Il peut nous arriver de mal
comprendre notre interlocuteur et de lui redemander plusieurs ce qu’il veut dire par
là. Car le contrôle interne tout comme l’audit repose sur la communication et la
compréhension.

La comparaison du service de contrôle interne d’Imerys et de Spie met en évidence

la différence de gestion des risques entre ces deux entreprises. L’un choisit la
prévention alors que l’autre préfère la sanction. Là encore, il faudrait connaitre les
résultats des uns et des autres pour comprendre et savoir qu’elle est la meilleure
méthode. C’est pourquoi une étude théorique est nécessaire. Car si les entreprises
avaient la réponse, elle l’appliquerait toute et n’aurait plus à se soucier de la gestion
de leurs risques.

c) Un référentiel insuffisant pour prévenir les risques

En effet, Imerys a choisi d’adapter le cadre référentiel de l’AMF au niveau du siège

et de le transposer de la manière suivante : le contrôle interne crée des procédures,
les communique et réalise des questionnaires d’auto-évaluations afin de connaitre
l’état de leur application. Les auditeurs internes vont ensuite vérifier sur place sur les
contrôles sont bien mis en place et effectue indépendamment du contrôle interne
des contrôles d’entités choisies suivant leur étant de santé financière. Cependant, ce
référentiel est réellement appliqué de A à Z dans seulement 50 entités par an sur les
245 existantes et sur seulement un sujet par an pour les plus grandes entités et de
manière brève pour les petites entités. De plus, le service du contrôle interne de par
sa taille insuffisante ne peut se permettre de réaliser des questionnaires pour 245
unités sur toutes les fonctions de la chaine de valeur. Le référentiel n’est donc pas
bien adapté à une entreprise comme Imerys qui compte 16000 employés et 250
filiales.

De plus, il s’agit d’un référentiel international ignorant les spécificités comptables et

financières de chaque pays. Bien qu’il soit demandé à chaque entité de remplir ces
données dans un logiciel de comptabilité, qui sont ensuite consolidées et
uniformisées au niveau du Groupe, certaines pratiques restent et perdurent dans ces
pays. Ces pratiques poussent à des fraudes comme nous avons pu le constater
cette année. En effet, Imerys a perdu de fortes sommes d’argent cette année en
Chine, mais aussi en Amérique latine. D’une part parce qu’en Chine les papiers
importants ne sont pas signés à la main, mais avec un tampon (il est bien sûr
demandé à la personne responsable de garder ce tampon enfermé à clé dans un
endroit sûr), mais il arrive que des personnes malveillantes tombent dessus et
signent de faux papiers au nom d’Imerys. Quant au Brésil, les bons de commande et
les factures ne font qu’un, il est alors impossible de vérifier l’un par rapport à l’autre
là encore des fraudes sont facilement réalisables.
Il faut aussi rappeler qu’Imerys est une entreprise industrielle, qu’elle n’a pas les
mêmes risques que les autres secteurs d’activités. Pour cette société ceux sont les
risques environnementaux, la sécurité des personnes ainsi que les risques liés la
sécurité de l’information qui sont primordiale à la différence des banques dont les
 risques principaux reposent sur les risques de crédit, de marché et de liquidité (cf. le
benchmark).

La question est donc quel référentiel adopter et de quelle manière l’adapter pour qu’il
soit efficace et prenne en compte toutes les particularités d’une entreprise comme
Imerys.

III. Partie 2 : État de l’art

L’étude de terrain a pu prouver que le référentiel utilisé par Imerys n’était pas le plus
adapté ou du moins le plus efficient. De nombreuses fraudes ont eu lieu à cause du
manque de contrôles, de moyens ou encore de communication. Il s’agit maintenant
de savoir quelles sont les bonnes pratiques à adopter dans le cadre d’une entreprise
cotée industrielle telles que Imerys et surtout de quelle manière. J’ai pu au cours de
mon stage alterné lire de nombreux rapports des différentes institutions (AMF,
AFNOR, IFACI…) ou encore assisté à des colloques/conférences sur le sujet
(conférences Thomson Reuters, PwC, Afep, Medef…), mais aussi consulter des
articles des différentes bibliothèques en ligne comme Cyberlibris ou encore Cairns…

A. L’audit interne, le contrôle interne et les risques

En France, l’audit légal est obligatoire depuis 1966 pour les sociétés par actions ou
toutes sociétés dépassant deux des trois critères suivants : un chiffre d’affaires (2M€
et plus pour les SAS et 3,1M€ et plus pour les autres entreprises) ou un nombre de
salariés (20 et plus pour les SAS et 50 et plus pour les autres entreprises) ou encore
avoir un bilan (1M€ et plus pour les SAS, et 1,55M€ et plus pour les autres
entreprises)14. À différencier de l’audit contractuel, qui n’est pas obligatoire, mais qui
peut être demandé par une entreprise afin d’être examiné sur la performance d’une
ou plusieurs de ses fonctions et pas seulement sur ses états financiers. 15L’un
certifie la véracité des comptes alors que l’autre évalue les processus mis en place
au niveau de l’organisation de l’entreprise, de sa gestion. C’est là qu’est la différence
entre l’audit financier et l’audit des processus. Il apparait ensuite une distinction des
audits de manière géographique, ceux réalisés par des entreprises externes (audit
financier et comptable) et ceux réalisés en interne, par des salariés de l’entreprise
qui se recentrent sur les processus internes de l’entreprise. L’audit interne arrive
alors en prévention de l’audit externe. Les entreprises créent leur propre service
d’audit afin d’évaluer elles-mêmes leur management des risques tant sur les
processus que de manière financière. Mais c’est aussi évaluer l’efficacité du
processus du contrôle interne et du gouvernement de l’entreprise. Pour résumer,
l’audit interne vérifie qu’il existe bien un contrôle interne sur chaque processus
(transactions opérationnelles) alors que l’audit externe vérifie qu’il y a bien des
points de contrôles sur l’ensemble des flux financiers. La création d’un comité d’audit
a été imposée à partir de 2008, pour toutes les sociétés faisant appel aux titres

14
https://www.cncc.fr/audit-legal-entreprise.html définition d’une société ayant l’obligation d’un audit légal
15
EBONDO WA MANDZILA Eustache, professeur à Euromed, « Organisation et méthodologie de l’audit
interne », juin 2013, p18-19
financiers publics. Un comité composé de professionnels de la gestion des risques
et du contrôle interne.16

Évaluer le contrôle interne revient à vérifier qu’il a bien pour rôle de faire appliquer
les règles du référentiel choisi et d’éviter que les provisions soient utilisées, c’est-à-
dire mettre en place des systèmes de recouvrement afin d’éviter d’utiliser ces
provisions. C’est donc vérifier que tous les processus sont contrôlés 17. Il n’y a
cependant aucune obligation d’avoir un service d’audit interne ou de contrôle
interne, ils sont juste fortement recommandés aujourd’hui et depuis les années 90
(suites aux différentes fraudes, scandales financiers…). L’audit et le contrôle interne
tels que nous les connaissons aujourd’hui datent donc des années 2000 en France.
De nombreuses lois, cadre de références et de normes internationales relatives au
contrôle interne sont sortis afin de préciser le cadre du contrôle interne et de la
gestion des risques, mais aussi pour accroitre la transparence vis-à-vis des
investisseurs devenus méfiants et inquiets. Il y a deux manières de réaliser un plan
d’audit soit par le contrôle interne (conformité aux règles, procédures, c’est-à-dire de
la prévention) soit par les risques c’est-à-dire les incidents qui ont lieu à un instant T.

La définition des risques est l’essence même de l’existence du contrôle interne.

C’est la probabilité qu’un événement survienne et empêche un objectif d’être atteint.
Les différents moyens de maitriser les risques sont de 3 niveaux :
- 1er niveau : le référentiel du contrôle interne (RCI), via un outil, il faut prendre un
processus et vérifier que les objectifs souhaités sont bien appliqués, il faut alors
trouver les zones à risques et les contrôler.
- 2e niveau : Les risques métiers, ce sont des risques qui dépendent de chaque
activité.
- 3e niveau : La cartographie des risques, elle permet de mettre en évidence les
risques que pourrait rencontrer l’entreprise en fonction de son activité, de sa
gouvernance et des moyens mis en place pour les maitriser.
L’ensemble de ces niveaux sont mis en place soit par l’audit interne, soit par le
contrôle interne suivant les entreprises. C’est alors que l’entreprise décide soit
d’assumer le risque, soit de le réduire, soit de le supprimer tout simplement.

Entre 200318 et 2005, apparait la fonction de Risk manager (FRM), via Véret et
Mekouar : « Nous forgeons l’espoir que le ‘risk manager’ aura une fonction
clairement définie vers 2010 au plus tard… que nous contribuerons à clarifier le
champ d’action du praticien ».19 Elle nait des problématiques en matière de gestion
des risques que se posent les conseils d’administration des grandes entreprises.
Ces dernières mettent alors en place ce que l’on appelle l’  « enterprise wide risk
management » (ERM), c’est un modèle anglo-saxon qui définit la gestion des
risques de manière globale, c’est faire en sorte que la responsabilité de l’entreprise
ne soit jamais engagée, donc éviter les sanctions par la prévention en contrôlant
systématiquement les risques. Pour cela, les entreprises appliquent ce qu’on appelle
16
CORDEL Frédéric, LEBEGUE Daniel (2013), Gestion des risques et contrôle interne, de
la conformité à l’analyse décisionnelle, édition Vuibert, p14
17
Cours de M. Aquiba, professeur d’audit interne de SKEMA
18
« Profil du risk manager de demain », Ernst et Young (2003)
19
Caroline Aubry, « La naissance de la fonction risk manager en France », Revue management et avenir, N°55,
juillet-août 2012, management prospective Edition : http://www.cairn.info.ebooks.propedia.fr/revue-
management-et-avenir-2012-5-page-14.htm#no3
des référentiels qui seront définis dans la partie suivante. Le rôle du risk manager
est alors de prévenir tous les risques éventuels encourus par son entreprise. Le
Problème étant que ce titre regroupe à la fois le risk manager groupe, mais aussi
opérationnel. Et selon les entreprises, il n’y aura que des risk manager groupe, des
risk manager par zone géographique ou encore des risk manager opérationnels. Les
entreprises ne sont d’ailleurs elles-mêmes pas d’accord entre elles quand il s’agit de
qualifier un professionnel de « risk manager » puisque chacune a sa propre
définition.

Cette fonction existe pour deux raisons : la théorie des coûts de transaction ainsi
que pour la réallocation des ressources de manière la plus efficiente possible (dû à
l’évolution des facteurs environnementaux). Le risk manager doit alors contrôler,
informer et veiller au bon déroulement de l’entreprise. La fonction se définit au sein
des entreprises par la coercition dans un premier temps, c’est-à-dire se conformer
aux règles des organisations auprès desquelles elles dépendent ou doivent rendre
des comptes, exemple de l’état avec les lois (NRE, LSF, Soft law). Dans un
deuxième temps, par la transmission des normes (COSO, best practices,
procédures internes…), c’est-à-dire se mettre en conformité avec les institutions
professionnelles du secteur d’activité de l’entreprise. Et troisièmement, par
l’imitation, c’est-à-dire imiter ces concurrents, les autres pays dans les cas où
l’entreprise ne sait quelle position adopter (imitation des lois américaines). C’est à
partir de 2008 que la fonction prend toute son envergure après les scandales
(Rhodia, BP) et la crise, les entreprises renforcent cette fonction et y en même
temps contraint par l’AMF, les normes ISO et même les agences de notation telle
que standards & poor’s qui note entre autres l’ERM des entreprises. Il apparait
d’ailleurs une association des associations/institutions tel qu’entre l’AMRAE
(association pour le management des risques et des assurances de l’entreprise),
standard & poors et l’IFACI.

En 2010, selon une étude réalisée par AON (assurance), 70% des entreprises
disposent d’un département de gestion des risques. 20 Dont 54% sont rattachées au
directeur financier, donc au département financier.

B. Les différentes lois et référentiels existants

Bien que la loi impose aux entreprises de mettre en place un cadre réglementaire,
elle leur laisse libre choix en ce qui concerne le choix du référentiel sur lequel
s’appuyer pour créer son propre référentiel interne. En plus des lois fixées
auxquelles les entreprises doivent se conformer, elles décident de créer en amont
leurs propres règles, c’est ce qu’on appelle les « soft laws »21 en comparaison aux
lois (hard laws). Comme nous avons pu le voir lors de nos cours de RSE, les
entreprises ont le choix de se contraindre aux lois (d’attendre que lois imposent de
nouvelles règles à mettre en place au sein de l’entreprise) ou de mettre en place
elles-mêmes en amont des règles. Il s’agit alors soit qu’une entreprise réactive soit
proactive.22 Il existe aussi une distinction entre marchés régulés et marché médiés.
Le premier concerne les normes et réglementations en vigueur ; le second
20
AON, Risk Management Global Survey , 2011
21
http://www.ifa-asso.com/download.php?module=documents&file_id=400&fichier_nom=document-
400.pdf&name=document Définition de la soft law et hard law selon l’IFA 
22
Cours de développement durable et comptabilité de M. Marc Journeault, octobre 2013
correspond aux médias, notes et classements via l’opinion, les réseaux sociaux….
Leur comportement de renforcement (haut niveau de compliance et d’engagement)
leur permet d’augmenter leur performance.23

Table 2: Les différents niveaux d’application de la conformité (Rodolphe DURAND, professeur en stratégie à HEC
Paris)
Compliance with socially approved goal
Level of Yes No
procedural High Strengthening Targeting behavior
commitment behavior ++
+
Low Abiding behavior Finessing behavior
+ -

Le professeur Durand insiste sur la communication et la proactivité qui est le seul

moyen pour une entreprise d’espérer un ROI sur sa mise en conformité. Il faut
anticiper les réglementations, ne pas être passif et attendre que les lois tombent.
Pour, lui c’est un choix stratégique.

En ce qui concerne les références de « Soft Laws », les entreprises françaises

cotées en matière de contrôle interne et de gestion des risques, elles ont choisi de
suivre les recommandations de l’AMF, de l’IFA, de l’AFEP/MEDEF, COSO 1 et 2
(ERM) et du cadre de référence de l’AMF. 24

Table 3 : Référentiels utilisés par 40 sociétés du CAC 40 et 30 autres sociétés

cotées

23
Colloque sur le risqué et la conformité (13/11/13), de Thomson reuters, avec DURAND Rodolphe, professeur
en stratégie des entreprises d’HEC Paris, NUYENS Hedwige, responsable des affaires prudentielles chez BNP
Paribas, AUDOUIH Odilon, Directeur DELOITTE Conseil et DE LIGNIERES Luc, directeur des risques chez
AXA.
24
http://www.landwell.fr/enquete-sur-les-rapports-des-presidents-sur-le-controle-interne-et-la-gestion-des-
risques.html Enquête rapports des présidents contrôle interne gestion des risques novembre 2009 (PwC)
Ensuite, toujours selon le même rapport de PwC, ces entreprises traduisent ces
référentiels en interne de la manière suivante : via une charte d’éthique ou d’audit
interne, un manuel de procédures (comptable, interne), et/ou un manuel de contrôle
interne.
Table 4 : référentiels internes mis en place par les mêmes entreprises précédentes

Enfin, voici ce qu’il est fait en matière de détection des risques et de mise en place
de dispositifs de contrôle interne. Les entreprises mettent en place des
méthodologies d’identification des risques telles que :

Table 5 : Dispositifs utilisés pour identifier les risques :

Enfin, le rapport reproche aux services de contrôles internes de peu évoluer et de se

cantonner aux axes d’amélioration suivants :

Table 6 : Axe d’amélioration des services de contrôle interne des mêmes
entreprises :
Le graphique montre bien cette faiblesse du contrôle interne, il semble encore trop
peu impliqué dans l’évolution de celui-ci.

Bien qu’une grande majorité des entreprises mettent en place l’ensemble de ses
dispositifs. Leur pertinence réside dans leuractualisation. En effet, les risques
évoluent et changent, c’est pourquoi la cartographie des risques doit être très
régulièrement mise à jour. De plus l’évaluation du contrôle interne ne permet pas de
détecter les erreurs humaines, ni d’imposer la mise en place de tous les dispositifs
du contrôle interne par manque de moyens, ou encore d’ajuster de manière
constante le contrôle interne en fonction de l’évolution de l’environnement de
l’entreprise. Les questionnaires d’auto-évaluation représentent tout de même 64%
des méthodes d’évaluation du contrôle interne pour les grandes entreprises en 2008.

D’après M. Aquiba, professeur d’audit interne à SKEMA, le contrôle interne a pour

rôle de réaliser des entretiens de phase d’approche via cette méthodologie :
Il choisit le référentiel du COSO et de l’AMF.

Processus Objectif Risque Contrôle Program of

Work
A. Être sûr de 1. Conforme
2. Test d’efficacité
1. Validation référentielle : entre l’audit et l’audité ; le contrôle interne est un
processus qui doit accompagner les autres processus.

 Processus du contrôle interne :

1. Éléments de base (environnement) du contrôle interne
2. Maitrise des risques par les opérationnels
3. Activités de contrôle
4. Information et communication
5. Pilotage du processus de CI

 Précisions de l’environnement du CI : exemple du COSO1 :

1. Une organisation adaptée connue et reconnue et compatible avec les activités
2. Respecter les objectifs, définir une stratégie pour son activité, des plans, des
axes de progrès.
3. Il faut des personnes motivées (en nombre juste nécessaire), sensibiliser aux
concepts de qualité et contrôle interne, savoir qui fait quoi et connaitre les principaux
rouages de cette structure.
4. Que la séparation des tâches soit suffisante compte tenu des contrôles de 1 er
niveau qu’effectuent les hiérarchies. Il n’est pas possible de faire de la séparation
des tâches dans toutes les structures (dépendant souvent de leur taille). C’est un
luxe pour les entreprises qui peuvent se permettre ça. Dans les cas des petites
entreprises, c’est obligatoirement la hiérarchie qui va contrôler.
5. Un SI et des enregistrements adaptés ; des tableaux de bords et indicateurs de
performances des managers.
6. La sécurité, la sauvegarde, et la protection des biens, des personnes, des actifs,
du patrimoine et de l’image.
C’est la méthodologie du référentiel COSO, qui est aujourd’hui ajourné (COSO2).
Comme vu précédemment, le référentiel n’est qu’un moyen de mettre en place
l’ERM. Les entreprises s’appuient dans la majorité sur ce cadre. Les deux
référentiels les plus utilisés sont donc le COSO et l’AMF selon différentes études des
cabinets d’expertise comptable (voir schémas précédents). Bien sûr, il existe
d’autres référentiels tels que le COBIT (un dérivé du COSO, spécialisé sur les
systèmes d’information), ou encore les lois SOX/LSF qui sont en fait reprises par ces
deux référentiels. Les entreprises ont le choix de s’appuyer sur un ou plusieurs de
ces référentiels. Il est possible de les connaitre en lisant les documents de
référence, les rapports annuels des entreprises cotées comme Imerys qui déclare
s’appuyer sur le cadre de référence de l’AMF comme 44% des grandes entreprises
interrogées précédemment.

a) Les lois internationales

Les lois anticorruptions :

Les lois internationales en matière de gestion des risques sont nombreuses et se
traduisent sous différentes formes. Il y a par exemple les lois anticorruptions, des
pays comme l’Angleterre ou les États-Unis créent des lois impliquant les sociétés du
monde entier (ce qui est aussi le cas de la loi SOX, mais pas à caractère obligatoire
comme celles-ci). Il s’agit par exemple du UK Bribery Act ou encore de la FCPA
(Federal corrupt pratices act). Sur demande de l’OCDE (et de sa convention), ces
lois obligent tous les pays à rendre des comptes sur leurs affaires dans les pays
étrangers (pot de vin, faute, agent public, responsabilité, mise en œuvre de la
convention de l’OCDE). Cette convention rend les lois américaines et britanniques
extraterritoriales. C’est-à-dire que tout lien que peut avoir une entreprise avec les
États-Unis peut se retrouver devant la cour de justice américaine si elles ne
respectent pas les lois édictées par ces pays (exemple : une personne de
l’entreprise fait escale aux états unis ou encore une des banques utilisées par une
filiale est américaine). De même pour le Royaume-Uni, « The UK Bribery ACT » est
encore plus dur puisqu’elle s’applique à partir du moment où l’entreprise a un lien
économique avec le pays c’est-à-dire un fournisseur, une transaction ou encore une
filiale. 25

Les normes ISO :

En France, c’est l’AFNOR qui participe à la mise en place des normes ISO
concernant les entreprises cotées26 ; les entreprises n’ont pas accès aux normes
européennes ni internationales, mais aux normes françaises. C’est alors
qu’intervient l’AFNOR pour mettre en place les normes. Elle permet d’atteindre les
différentes réglementations en mettant en place des normes qui sont des moyens de
les respecter pour les entreprises.
L’AFNOR estime le potentiel de croissance donnée par la mise en place de normes
dans une entreprise de 0,8%.
Les ONG développent elles-mêmes leurs propres référentiels. Cela favorise la
collaboration avec les autres parties prenantes et permet l’équité des règles
concurrentielles.

25
Colloque sur le risqué et la conformité (13/11/13), de Thomson reuters, avec DURAND Rodolphe, professeur
en stratégie des entreprises d’HEC Paris, NUYENS Hedwige, responsable des affaires prudentielles chez BNP
Paribas, AUDOUIH Odilon, Directeur DELOITTE Conseil et DE LIGNIERES Luc, directeur des risques chez
AXA.
26
Réunion AFEP à AFNOR groupe (21/11/2013), « La normalisation au service des organisations », présentée
par PEYRAT Olivier, Directeur général d’AFNOR ; BIROUSTE Nicolas, responsable département
management et services ; BRUN Émilie, Chef de projets ISO 26000.
Les normes ISO (Organisation internationale de Normalisation) permettent aux
entreprises de sécuriser leur activité en suivant les bonnes pratiques proposées par
l’ISO dans leur secteur. L’ISO couvre la quasi-totalité de secteur de l’industrie. 27
Voici les principales normes ISO concernant le contrôle interne et la gestion des
risques:
- ISO 19600 : compliance et anticorruption
- ISO 31000 : Management des risques
- ISO 9000 : management de la qualité
- ISO 26000 : Responsabilité sociétale
- ISO 45001 : Santé et sécurité au travail

Il y a aussi les ISO propres à des pays :

- ISO PC 271 sur la « compliance management system » (australie) ou encore
l’ISO PC 278 « anti bribery management system » (Royaume-Uni)
- ISO TC 262 qui concerne le « risk management » par l’Australie et la Grande-
Bretagne. Cette norme propose des lignes directrices en termes d’implémentation
(WG1) et des normes fondamentales pour le management du risque (WG2).
Les normes ISO dépendent aussi du secteur d’activité de l’entreprise, par exemple
pour l’industrie minière, les normes correspondantes sont les suivantes :
- ISO/TC 82
- ISO 73 (73020,73040…)
- ISO 14001
- ISO 9001

Les normes sont réévaluées tous les 3 à 5 ans. L’organisation internationale de la

normalisation s’est fixé un deadline afin de définir la conformité et les outils à utiliser
pour sa mise en œuvre pour novembre 2015. Quant à la mise en œuvre de la lutte
contre la corruption ; l’identification des risques d’abus de confiance ; le contrôle et la
confiance partenariale, ceux sont des sujets qui devront être normés en décembre
201628

L’Afnor, l’un des principaux acteurs de l’ISO, souhaite en effet mieux anticiper,
appréhender et gérer les effets des évènements. Mais aussi accompagner le
développement du management des risques dans les organisations pour être en
capacité d’en maitriser les potentialités. Ainsi que définir la notion de système de
management des risques ; faciliter son implémentation dans tout type
d’organisation ; devenir un outil intégré d’aide à la décision.

27
http://www.iso.org/iso/fr/home/about.htm Définition d’une norme ISO
28
Réunion AFEP à AFNOR groupe (21/11/2013), « La normalisation au service des organisations », présentée
par PEYRAT Olivier, Directeur général d’AFNOR ; BIROUSTE Nicolas, responsable département
management et services ; BRUN Émilie, Chef de projets ISO 26000.
La loi SOX :
Tout d’abord, commençons par les dites « hard laws », les lois internationales et
nationales imposées aux entreprises cotées. La plus connue étant la loi Sarbanes-
Oxley (SOX). Cette loi est émise en 2002, en réponse aux affaires Enron, Arthur
Andersen ou encore Worldcom. « Une loi décrite comme la plus importante de
l’histoire depuis l’époque de Franklin D. Roosevelt » (Georges W Bush). 29 La
première conséquence de cette loi a été pour les entreprises de se réfugier auprès
de fonds privés et non plus des fonds publics (d’où la baisse importante des places
boursières dans les années 2000), c’est-à-dire de se retirer des places boursières
américaines afin d’éviter les contraintes imposées par la loi Sarbanes-Oxley, trop
lourde pour beaucoup d’entreprises en termes de coûts, de temps et de sanctions.
Le point majeur pour le contrôle interne est le rendu obligatoire de l’élaboration d’un
rapport sur l’efficacité du contrôle interne en matière de reporting financier afin de
protéger au mieux les investisseurs. C’est-à-dire de vérifier l’exactitude des données
financières des entreprises conformément aux lois sur les valeurs mobilières et ainsi
de les rendre transparentes pour tous. 30 Cette loi a pour but de responsabiliser les
entreprises en matière de lutte contre la fraude. Ces trois principes :
- La responsabilité des dirigeants
- L’indépendance des audits externes et autres organisations vérificatrices
- L’exactitude et la transparence de l’information

Elle impose à la direction de chaque entreprise de faire certifier ces comptes ; en

collaboration avec la SEC (securities and exchange commission) elle demande à ce
que les entreprises publient leur code de l’éthique, ou encore leur rapport d’audit
ainsi que le rapport des commissaires aux comptes ; la SEC31, l’institution
américaine qui vérifie l’application des règles régissant le marché boursier
américain (équivalent de l’AMF en France) doit effectuer tous les 3 ans une
vérification de la bonne application de la loi SOX auprès de toutes les sociétés
américaines cotées (ou des sociétés étrangères enregistrées auprès de la SEC,
c’est-à-dire étant cotée en Bourse américaine ou encore les entreprises
extraterritoriales, ce qui est le cas d’Imerys) ; elle demande à ce que chaque
entreprise se dote d’un comité d’audit et que les audits externes ne soient pas
toujours réalisés par les mêmes cabinets ; un organisme de surveillance et de
sanctions pénales a été créé pour punir toutes les entreprises qui ne respecteraient
pas ces lois, le Public Company Accouting Oversight Board (PCAOB), cependant ce
dernier a été contraint d’alléger les obligations vis-à-vis de la SOX en 2007 ; enfin,
toutes les entreprises doivent mettre en place un contrôle interne, de préférence en
suivant le référentiel COSO (sans obligation), cependant la PCAOB permet la
possibilité d’une défaillance de la part des contrôles internes si elle est découverte
en amont de la publication des comptes (afin de permettre une réduction des coûts).
Les limites de cette loi sont comme édictées précédemment : son coût et sa non-
efficacité. En effet, cette loi n’a pas permis d’éviter la dernière crise financière de
2008. Cela pose plusieurs questions : les lois qu’impose la SOX ne sont-elles pas
trop lourdes ? Et ne seraient-elles pas elles-mêmes responsables des dernières
crises et fraude ? Ainsi que des différentes fermetures boursières ? 32

29
KENSINGER John W. (2011), Research in finance, edition Emerald Group, p 16
30
Étude de l’IIA Research Foundation, intitulée « Assessment Guide for U.S. Legislative, Regulatory, and
Listing Exchanges Requirements Affecting Internal Auditing”.
31
http://www.sec.gov/rules/final/33-8183.htm Site américain de la SEC et définition de son rôle
La Loi LSF :
La loi LSF (la loi de sécurité financière) est en fait la version française de la loi
SOX, comme l’AMF est la version française de la SEC. La LSF impose plus ou
moins les mêmes directives énoncées précédemment telles que la véracité des états
financiers et la transparence. La principale différence est dans la manière de
procéder qui là n’est pas répressive, mais préventive 33. La LSF veut être une
réponse aux demandes concernant le manque d’encadrement, de réglementations
vis-à-vis du marché financier et des entreprises afin que les crises passées ne se
réitèrent pas. Elle n’est pas là pour punir, mais pour réguler et redonner confiance
aux investisseurs. Les sociétés concernées sont toutes les SA faisant appel au
marché public (plus restrictif que la SOX), il leur est demandé entre autres de faire
un rapport sur les travaux du conseil d’administration ou de surveillance ainsi que
sur les procédures mises en place par le contrôle interne au sein de l’entreprise. Les
entreprises doivent créer un rapport annuel et leur faire approuver et annoter par un
commissaire aux comptes (comme la SOX). Puis l’AMF à la différence de la SEC
crée à son tour un rapport sur l’entreprise à base de ses données récoltées. Il existe
bien sur d’autres lois plus ou moins ressemblantes à celle de la loi américaine, mais
toujours sur le même principe de plus de transparence, de s’assurer de la fiabilité
de l’information financière et d’éviter les risques éventuels. Suite à l’application de
cette loi, tout comme la SOX, il s’est posé la question de quelles procédures du
contrôle interne, s’agissaient-ils de mettre en place ? Quel référentiel suivre ou
adopter ? C’est ce que nous allons voir dans la partie suivante.

b) COSO vs AMF

Différents référentiels existent en matière de mise en place du contrôle interne au

sein d’une entreprise. Tout d’abord il y a des référentiels attitrés à un secteur comme
« Sovabilité II » ou encore « Bâle II et Bâle III », qui sont les référentiels utilisés et
suivis par le système bancaire et assurance. Il faut savoir que les entreprises des
autres secteurs se servent notamment des études des assurances pour le propre
compte (exemple d’AON, à Imerys, nous nous basons sur leur cartographie des
risques pays en termes de risques criminels, politiques et naturels) ou encore des
sociétés comme COFACE, qui sont aujourd’hui reconnues comme des références
en matière de risques pays.

Il existe ensuite les référentiels par pays comme le COSO (référentiel du contrôle
interne aux États-Unis) ou le cadre de référence de l’AMF (référentiel du contrôle
interne français) qui deviennent finalement internationaux puisqu’ils sont repris à
travers le monde. Il est bien sûr possible de suivre plusieurs référentiels, mais il est
quand même recommandé de suivre d’abord ceux des pays dans lesquels
l’entreprise a des affaires. Ce sont des référentiels créés par des associations
professionnelles, des organisations (ex : Institute of internal auditors, équivalent de
l’IFACI en France). Cependant ces commissions restent indépendantes des
organismes qui la composent.
32
LALLEMENT Geoffrey, consultant senior, « section 404 de la loi SOX : quel impact sur les entreprises
européennes cotées sur le marché américain ? », PDF
http://www.groupeonepoint.com/sites/groupeonepoint.com/files/nodes/letter_article/
section_404_de_la_loi_sox.pdf
33
BERNARD Frédéric, GAYRAUD Rémi (06/2013), Contrôle interne, Maxima, p44
Il existe des référentiels liés à un domaine particulier ou à un type de risque. C’est
l’exemple du COBIT qui est un dérivé du COSO, mais qui est la référence en
matière de contrôle interne des systèmes d’information.

Le COSO et le COSO II (ERM):

Le COSO définit le contrôle interne comme une assurance pour la direction de la
bonne application des procédures, des lois financières, etc. Orienté finance à la
base en 1992 (date de sa création), le COSO s’intéresse aujourd’hui davantage au
RSE, mais aussi à l’évolution des systèmes d’information (COBIT). Le COSO
souhaite lutter contre la fraude, clarifier les rôles des acteurs clés en entreprise et
instaurer le principe de bonne gouvernance ainsi que le devoir de rendre compte en
permanence de toutes les activités de l’entreprise. 34
Table 7 : définition du COSO (cours SI et ERP)

Une opportunité pour

l’entreprise d’améliorer :
Un des piliers de la Système Son
de
gouvernance d’entreprise fonctionnement
contrôle
interne Son organisation
Sa performance

Un outil de gestion

Le COSO est un modèle proposé par une commission composée des associations,
institutions, mais aussi de différents représentants de l’industrie, d’entreprises
comptables ou encore de sociétés financières. Il pose en fait le cadre du contrôle
interne et le définit comme dans le schéma ci-dessus. Le contrôle interne doit alors
mettre en place des moyens qui permettent d’optimiser les processus, de rendre
plus fiables les informations financières et de se conformer aux lois et
réglementations. Chaque entreprise établit alors ces moyens en fonction de ce
référentiel. Le COSO est découpé en 5 parties : environnement de contrôle,
l’évaluation des risques, l’activité de contrôle, l’information et communication et le
pilotage. Ces 5 parties se traduisent de la manière suivante en entreprise 35 :
- Environnement de contrôle : La mise en place d’un code éthique et de
conduite émanant de la direction (du CA et du management des risques) ou encore
d’une culture d’entreprise axée sur des valeurs humaines.
- L’évaluation des risques : Mettre en place des systèmes d’identification et de
détection des risques via une cartographie des risques par exemple…

34
Conférence de l’IFACI, sur le thème « Innovation, maitrise et performance : réinventer l’audit et le contrôle
interne », présenté par Klaus Gressenbauer, Directeur de l’audit interne de la BCE et Paul Sobel, Président de
l’IIA, le 14 novembre 2013.
35
BERNARD Frédéric, GAYRAUD Rémi (06/2013), Contrôle interne, Maxima, p 26
- Activités de contrôle : Mettre en place un moyen de contrôle qui permet de
vérifier que les procédures et les normes édictées par l’entreprise sont bien suivies
par tout le monde. Il existe plusieurs contrôles, le défectif, le préventif ;
l’informatique, le manuel ; le hiérarchique et l’opérationnel.
- Information et communication : Il faut rendre l’information transparente. Elle
doit être transversale, descendante et ascendante. Il faut aussi prendre en comptes
les informations extérieures. La communication est le meilleur moyen de
transmettre les règles de la direction aux opérationnels. Il faut qu’elle soit
efficace et claire, mais surtout qu’elle atteigne tous les employés concernés.
- Pilotage : C’est contrôler l’efficacité du contrôle interne, trouver ses faiblesses et
de le renforcer en permanence.

En 2004, le COSO évolue, et devient le COSO 2, il détaille davantage le processus

de management des risques à mettre en place. Le COSO 2 ne devient cependant
pas un nouveau référentiel puisque le COSO reste le référentiel, il n’est qu’un
modèle de gestion des risques proposé par la SOX et le COSO. Le COSO 2
propose une méthodologie et un certain formalisme. De plus, pour le COSO 2 la
mise en conformité n’est pas seulement un moyen d’éviter les risques, mais aussi
une opportunité. Il demande à l’entreprise de définir son niveau de risque
« appétence au risque » auquel elle est prête à faire face. Ainsi que d’indiquer le
seuil de tolérance du niveau de ce risque en termes de variations. En plus du COSO
qui demande l’établissement de rapport de conformité, le COSO 2 demande aux
entreprises de définir des objectifs stratégiques Groupe en plus des opérationnels en
ce qui concerne la gestion des risques. Voici l’évolution du référentiel en image :
Table 7 : COSO et COSO 236

Comme nous pouvons le voir sur les schémas ci-dessus, le COSO 2 (aussi appelé
Enterprise Risk Management) ajoute une composante essentielle à notre
problématique. C’est la prise en compte des différentes strates d’une entreprise
(filiales, unités, divisions et entreprises) à la différence du COSO qui lui limité son
analyse sur les processus dans leur ensemble. C’est aujourd’hui le référentiel le plus
appliqué par les entreprises européennes.

36
http://www.bpms.info/levolution-du-referentiel-coso-du-controle-interne-au-management-des-risques/ société
de consulting BPMS, sur l’évolution du référentiel COSO, par DALMASSO Coralie
De plus, une mise à jour du référentiel a été faite en 2013, le contrôle interne doit en
plus prendre en compte les évolutions de ses environnements opérationnels. Mais
aussi augmenter son périmètre d’optimisation des processus, de reporting et des
objectifs fixés en matière de contrôle interne. Enfin, la demande de développer les
objectifs non financiers (en termes de conformité, reporting et de processus). Les
différents éléments ajoutés aux 5 précédents :
- Fixation des objectifs : Les objectifs doivent être fixés en fonction de
l’appétence au risque de l’entreprise, afin déterminer les risques acceptables par le
contrôle interne.
- Identification des évènements : C’est prendre en compte les risques liés à
l’activité et au secteur de l’entreprise et ainsi de classer les risques suivants qu’ils
soient stratégiques, financiers, juridiques, opérationnels, images, humaines,
environnementales ou sanitaires. Ou encore selon leur nature qu’ils soient internes
ou externes.
- Évolution de l’élément Évaluation des risques : il faut déterminer la puissance
de l’impact du risque (majeur, limité, faible…), le quantifier (une sorte de
préprovision) ainsi que la probabilité que cet évènement se produise (très probable,
probable, rare…).
- Le traitement des risques : Faut-il le supprimer ? Le transférer ou l’accepter ?
Après le COSO, c’est le référentiel de l’AMF qui est le plus suivi par les entreprises
en termes de contrôle interne et de gestion des risques, notamment à Imerys.

Cadre de référence de l’AMF :

Ce référentiel français existe depuis 2007 et a été mis à jour récemment, il ne
s’agit pas ici d’une association professionnelle, mais d’un régulateur (équivalent de
la SEC), son périmètre est uniquement national et s’applique aux sociétés cotées.
Le référentiel encadre à la fois le contrôle interne financier et non financier. Tout
comme le COSO, l’AMF traite de l’ERM de manière partielle. L’AMF définit le
contrôle interne aussi de la même manière que le COSO, c’est « Un dispositif de la
société, défini et mis en œuvre sous sa responsabilité visant à assurer :
la conformité aux lois et règlements, l’application des instructions et des orientations
fixées par la direction générale ou le directoire, le bon fonctionnement des processus
internes de la société, notamment ceux concourant à la sauvegarde de ses actifs
ainsi que la fiabilité des informations financières. De manière générale, il contribue à
la maîtrise des activités de la société, à l’efficacité de ses opérations et à l’utilisation
efficiente de ses ressources. En contribuant à prévenir et à maîtriser les risques de
ne pas atteindre les objectifs que s’est fixés la société, le dispositif de contrôle
interne joue un rôle clé dans la conduite et le pilotage de ses différentes activités.
Toutefois, le contrôle interne ne peut fournir une garantie absolue que les objectifs
de la société seront atteints ».37 L’AMF s’inspire du COSO, mais essaye d’éviter de
demander les mêmes contraintes en matière de reporting par exemple afin de ne
pas alourdir le contrôle interne d’une entreprise française qui respecterait déjà les
lois internationales et le référentiel COSO, sachant que le cadre de référence de
l’AMF a repris les éléments du COSO. L’AMF est donc en quelque sorte un
complément de ce référentiel puisque de toute façon, les entreprises françaises
utilisaient le COSO avant le cadre de référence afin de se conformer aux obligations

37
CORDEL Frédéric, LEBEGUE Daniel (2013), Gestion des risques et contrôle interne, de la conformité à
l’analyse décisionnelle, édition Vuibert, p 30
de la LSF qui existait bien avant 2007. Les différences avec le référentiel américain
sont les suivantes :
- L’AMF propose des questionnaires afin d’évaluer le dispositif du contrôle interne
et financier d’une entreprise ainsi que sa maitrise des risques.
- Elle propose aussi un guide pour rédiger les informations comptables et
financières ainsi que pour la rédaction du rapport du président du Conseil
d’administration ou de surveillance.
L’AMF a mis cela en place suite aux reproches remontés sur le COSO, décrit
comme trop théorique et pas assez factuel. En effet, ce cadre transpose aussi toutes
les nouvelles réglementations européennes, afin que les entreprises puissent être
informées en temps et en heure et s’y conformer.
La question maintenant est quel référentiel adopté lorsque nous sommes une
entreprise cotée à la fois aux états unis et en France ?

C. La mise en place d’un référentiel de contrôle interne propre à chaque

entreprise

a) Les différentes méthodes de mettre en place un référentiel interne par les

entreprises

D’après Odilon AUDOUIH38, Directeur Conseil chez DELOITTE, les enjeux

principaux pour l’entreprise sont les pertes financières, c’est pourquoi il est
primordial de mettre en place un programme de référentiel interne. Il faut selon lui
bâtir des dispositifs au-delà des lois via l’identification des risques, la prévention, le
contrôle et surtout de l’animation de la filière conformité/contrôle interne. La
mise en place d’un référentiel interne passe par les droits durs, les droits mous et les
procédures, mais surtout par leur anticipation (processus de veille réglementaire par
rapport au risque initial).

1- La mise en place d’un référentiel réglementaire est essentielle cela se

traduit par :
 L’analyse du dispositif de contrôle déjà en place
 La détermination du risque résiduel
 L’estimation des impacts et des niveaux de priorité
 Une conception de programme de contrôle
 Et se construit ainsi :
 En dimensionnant les moyens humains et techniques (il n’y en a souvent pas
assez)
 En intégrant les risques de non-conformité au niveau des risques opérationnels.
 En utilisant les outils de gestion et la base de données des incidents.
 En uniformisant les méthodes, c’est-à-dire traiter le risque de la même manière
pour toutes les entités (maison mère – filiales)
 En consolidant les risques transversaux, c’est à dire qui se retrouvent au sein
de plusieurs processus (intérêt de mettre en place une cartographie).
 Dans le cas d’une entreprise décentralisée :
 Compenser la décentralisation par du reporting
 Faire régulièrement des contrôles sur place

38
Colloque sur le risque et la conformité (13/11/13), de Thomson reuters
 Garder un œil permanent sur la filiale même en l’absence de rattachement
hiérarchique.
 Définir les indicateurs de performance et de qualité » (ex. : 0 défaut)
 Mettre en place des sanctions
 Début de la mise en place de la conformité
 Refondre le processus de veille réglementaire via la direction juridique
 Mettre à jour la cartographie des risques
 Former et évaluer les collaborateurs
 Communiquer avec la direction

2- Autre méthode de mise en place d’un référentiel interne selon Hedwige

NUYENS, responsable des affaires prudentielles chez BNP Paribas 39 :
 Théorie des 5 C :
 Complain
 Combat
 Communicate
 Comply
 Come back
 Complain : La réglementation est un coût, il vaut donc mieux attendre que les
employés se plaignent plutôt que de leur imposer une réglementation.
 Combat : Il faut organiser et adapter les réglementations en interne (celles de
demain afin de se préparer au plus tôt et ne pas attendre qu’elles soient une
obligation). Pour cela =>, dialogue avec les institutions, associations au niveau
national, européen et international.
 Communicate : communiquer permet d’obtenir un soutien financier. Pour cela il
faut expliquer aux parties prenantes notamment aux filiales, fournisseurs… ce qu’est
une réglementation. Expliquer que c’est d’un intérêt public. Il faut pour cela que
l’entreprise soit solide et puisse prévoir les risques systémiques (écrire son
testament en cas de crise, c’est-à-dire voir de quoi se défaire en termes d’actifs pour
continuer à exister). Il faut de plus accroitre la transparence ; renforcer la supervision
et pénaliser la spéculation.
 Comply : trouver des budgets, mettre en place des solutions flexibles pour
pouvoir les adapter aux évolutions des futures réglementations et donc éviter
d’automatiser totalement les processus, mais de les rendre semi-manuels.
 Comeback : S’adapter rapidement et intelligemment donne un avantage
compétitif. Cela permet par exemple de se défaire plus tôt de ses activités qui ne
marcheront plus. Il faut un management fort qui prend des décisions fortes et
rapides. Le plus important est d’impliquer les clients et non leur cacher les évolutions
dues aux nouvelles réglementations. (hausse de la réputation)
 La réglementation peut être un moteur sous-jacent, un facteur clé de succès, un
moyen de différenciation. Un moyen de réaliser mieux son métier.
 Depuis la crise, les entreprises ont compris qu’elles avaient besoin de l’opinion
publique, des instances mondiales pour évoluer.

Il est nécessaire de s’organiser et de créer un référentiel réglementaire afin de

mettre en place l’abondance des réglementations en les sélectionnant. Chacun doit
rechercher sa propre protection ; démontrer la qualité de ses propres dispositifs. Les
crises renforcent le rôle de la compliance.

39
Colloque sur le risque et la conformité (13/11/13), de Thomson reuters
L’étude « Cost of compliance » de Thomson Reuters explique qu’il faut savoir que ce
qui coûte le plus cher c’est le coût de la non-conformité (coûts cachés) ainsi que les
risques de réputation et sanctions pénales. Certaines entreprises ont disparu pour
cette raison. La mise en place de la conformité/ du contrôle représente un coût
élevé, mais bien moindre que ce qu’il permet d’éviter. Il faut pour calculer ses coûts
prendre en compte la taille critique et l’impact que pourrait avoir une non-conformité.
La hausse des réglementations diminue les risques. C’est un contrôle permanent qui
le permet. Il se crée des associations professionnelles telles que l’AFPA qui partage
leurs informations sur les risques.

Selon Luc de Lignières, directeur des risques AXA « Les risques opérationnels sont
les risques les plus minimes pour les entreprises, derrière les risques métiers et les
risques financiers. La gestion des risques c’est accepter les défaillances éventuelles
et mettre des suivis au niveau des opérationnels. Axa ne met pas en place
uniquement ces contrôles en fonctions des lois et référentiels existants, mais utilise
aussi ses 200 ans de scénarios pour intégrer des réglementations en fonction des
évènements passés. Le nombre d’occurrences rend ce modèle fiable et permet
d’anticiper les coûts. La fraude est un risque de fréquence. Cependant ce référentiel
ne prend pas en compte les aléas ».

b) Un référentiel de contrôle interne pour une société décentralisée

industrielle

Selon l’AFNOR40, un référentiel interne, c’est tout d’abord déterminer les personnes
aptes dans les filiales qui seront en charge des reportings. C’est regarder ce qu’il se
fait dans les autres entreprises ou les autres filiales et les faire appliquer par les
opérationnels eux-mêmes.

D’après le cadre de référence de l’AMF, une société mère doit veiller à ce que le
dispositif de contrôle interne soit aussi existant au sein des filiales, mais qu’il soit
adapté en fonction des caractéristiques de chacune et aux relations entre la holding
et les filiales. 41

Les groupes français décentralisés doivent rendre flexible leur manière de mettre en
place leurs dispositifs de contrôle interne afin de permettre une réelle efficacité
quand il s’agit de gérer de nombreuses filiales dans le monde entier. Il est pour cela
nécessaire de déléguer, de responsabiliser chaque filiale tout en mettant des
dispositifs de contrôle pour s’assurer que l’application des procédures et des
réglementations du groupe sont bien appliquées par les délégués de filiales.

Le référentiel du contrôle interne à mettre en place dépend aussi du secteur, les

obligations ne sont pas les mêmes que le secteur de la banque et assurance par
exemple. Cependant, le secteur de l’industrie extractive nécessite un encadrement
40
Réunion AFEP à AFNOR groupe (21/11/2013), « La normalisation au service des organisations »,
présentée par PEYRAT Olivier, Directeur général d’AFNOR ; BIROUSTE Nicolas, responsable
département management et services ; BRUN Émilie, Chef de projets ISO 26000.
41
CORDEL Frédéric, LEBEGUE Daniel (2013), Gestion des risques et contrôle interne, de la conformité à
l’analyse décisionnelle, édition Vuibert, p36
 lui aussi particulier. Par exemple, les normes ISO énoncées précédemment (qui ne
sont pas obligatoires, mais vivement conseillées). Et il y a l’existence de vraies lois à
mettre en place. Tout récemment, il a été émis l’idée de créer un « country by
country reporting » demandant aux industries extractives une totale transparence en
matière des flux, des transactions entre les différents pays. Ce rapport a été
demandé par une directive européenne (Art. 236.) puis par la France (Art 174) dans
le cadre de l’adhésion à l’ITIE (initiative pour la transparence dans les industries
extractives). Cela imposerait les industries de ce type à dévoiler les montants tirés
de l’exploitation des ressources extractives et versés aux états, il s’agira en quelque
sorte d’un rapport par pays en matière fiscale » qui concernera toutes les sociétés
cotées. 42 Cette réglementation est issue là encore de la réglementation américaine,
appelée la loi Dodd Frank qui a pris effet en novembre 2012 (détails dans l’annexe
6).

IV. Partie 3 : Recommandations

A. Choix du référentiel

a) Référentiels externes

Imerys utilise jusqu’à maintenant le cadre de référence de l’AMF comme nous avons
pu le voir précédemment. Or, il n’est pas possible de se limiter au cadre de l’AMF qui
en fait reprend les grandes lignes du COSO et n’inclut pas tous ces éléments. Le
COSO est considéré comme le meilleur référentiel par les entreprises européennes.
Et les États-Unis ont une avance sur nous de plusieurs années, ils ont pu d’ailleurs
revoir et améliorer leur référentiel en créant l’ERM, le COSO II qui selon moi
regroupe l’ensemble des enjeux et des problématiques du contrôle interne et de la
gestion des risques d’une entreprise.

De plus, pour une entreprise comme Imerys qui est cotée au NYSE Euronext Paris,
et qui dispose de filiales à travers le monde entier autant utilisé le référentiel le plus
international possible. Mais il ne faut pas oublier que la maison mère est française et
doit avant tout rendre des comptes à la LSF, donc ne pas suivre le cadre de
référence de l’AMF serait une erreur.

Je pense donc que dans l’attente d’un référentiel international unique, Imerys devrait
suivre les deux référentiels comme le font déjà 22% d’entreprises cotées en France.
Bien sûr Imerys doit en plus prendre en compte, les lois et normes internationales
qui ne sont pas toujours toutes transposées dans les référentiels. Il est pour cela
important de continuer à se tenir informer en participant aux réunions des
organisations et associations qui créent ces référentiels, les réglementations et plus
précisément pour les industries. Car les conférences auxquelles j’ai pu assister ce
sont intéressées d’avantages aux entreprises bancaires et assurances alors que le
secteur de l’industrie est aussi un réel enjeu en matière de conformité et de contrôle
interne, et qu’il est encore loin de la conformité appliquée à ces milieux, en avance
sur les autres secteurs. Bien qu’il soit intéressant de s’en inspirer comme je vais le

42
Voir annexe 6
proposer dans la partie suivante. Tout n’est pas applicable au secteur industriel. Et
hormis certaines normes ISO et directives européennes par beaucoup de normes et
lois ne s’appliquent particulièrement à l’industrie (hormis la dernière CBCR) ou
encore les normes citées ci-dessus. Il faut savoir que je n’ai pas parlé de RSE
(responsabilité société des entreprises) dans cette thèse, car Imerys distingue le
département du contrôle interne et de l’audit interne du département EHS
(Environnement, hygiène et sécurité) qui dispose d’une bien plus grande équipe que
le contrôle interne. Un département dont je me suis inspiré lorsque j’étais à Imerys.

b) Référentiels internes

Concernant le référentiel interne à adopter, c’est-à-dire les processus et contrôle

à mettre en place pour répondre aux objectifs des référentiels externes et des
lois/réglementations en vigueur, certains aspects sont à revoir.

En effet, comme nous avons pu le voir lors de la partie terrain, le référentiel interne
actuel n’est pas le plus efficace. Il est impossible de contrôler et de surveiller les 250
entités d’Imerys du siège. Pour cela, nous avons commencé à changer certaines
manières de procéder.

Par exemple, nous avons pris conscience qu’avant de contrôler et d’envoyer des
questionnaires d’auto-évaluation, il valait peut-être mieux former, informer et
communiquer sur les procédures. Car ces questionnaires ont montré les lacunes et
les limites de différentes filiales à connaitre et à appliquer les règles édictées par le
groupe.

Pour accroitre la communication, nous avons tout d’abord décidé de réaliser des
formations (que j’ai pu observer au niveau du département EHS, et qui fonctionne
bien auprès des employés). Ensuite, nous avons pensé à refondre le site intranet et
à mieux communiquer dessus. Enfin, pour vérifier l’efficacité de ces modifications,
nous avons réalisé de plus petits questionnaires, mais pour les 250 filiales chaque
année sur 2 thèmes et non plus un thème pour une trentaine de filiales.

Les formations :
Après avoir récolté les questionnaires des deux années précédentes sur la paye
et sur la trésorerie, ma responsable et moi nous sommes dits qu’il fallait remédier au
manque d’information, de connaissances de procédures des contrôleurs de chaque
entité. Pour cela, nous avons pris exemple sur l’équipe EHS qui réalise des web-
conférences mensuels (webex), sur un sujet donné et différent à chaque fois. Nous
avons donc mis en place au mois de mai et juin deux formations, une sur la paye et
une sur la trésorerie. Nous avons alors contacté les 250 représentants de filiales
(contrôleurs, comptables… toute personne pouvant être concernée) par mail, un
mois avant pour leur annoncer qu’il y aurait 6 formations (sur les deux thèmes, en
français et en anglais, et deux créneaux horaires différents pour les formations en
anglais).

Sur les 250 personnes invitées nous avons eu environ 80 personnes au total soit 1/3
des personnes concernées, ce qui pour une première fois relativement appréciable
puisque le département EHS arrive à avoir après plusieurs années de formations 40
personnes maximum par sessions. Nous avons donc une bonne marge de
progression. Et nous en profitons pour envoyer ensuite par mail le support de
présentation (oral et PowerPoint) et nous demandons aux contrôleurs de le
transmettre à tous leurs employés/collègues concernés. Nous espérons ainsi
toucher un plus large périmètre. J’ai proposé à ma responsable de mettre en place
des questionnaires à la fin de chaque formation pour savoir si les personnes ont bien
compris. Ces questionnaires seront mis en place ultérieurement. De même, ma
responsable se servira à l’avenir de ces webex pour parler du Blue Book, le site
intranet des procédures.

Le site intranet Blue book :

Au regard de l’obsolescence du site intranet Blue Book, du nombre d’utilisateurs
(2222 sur 16000) et de la non-connaissance de celui-ci par les employés (comme vu
précédemment sur la partie terrain). Nous avons décidé de refaire le site intranet.
J’ai donc été en charge de l’expression des besoins, du CER (capital expenditure
request). J’ai demandé que le site soit interactif, qu’il y ait du partage possible, qu’il
soit ergonomique et qu’il ait un moteur de recherche avancé (comme celui de
Google). J’ai de plus demandé, à qu’il soit possible d’identifier chaque employé qui
consulte une page puisque ce site est lié à l’identifiant de la boite mail de
l’entreprise. Nous en avons profité pour refaire une partie des procédures (paye,
trésorerie, RH, Capex) et les rendre plus attractives en les synthétisant (des
procédures de 40 pages, les employés ne les lisent pas), ainsi qu’en mettant des
schémas, des images parlantes, qui ont beaucoup plus d’impact que des écrits. Le
site permettra de réaliser des statistiques plus précises. De plus, les administrateurs
auront aussi la main sur la partie graphique du site, ils pourront améliorer le design,
l’ergonomie, ce qui n’était pas possible dans le précédent. Imerys espère ainsi
gagner des utilisateurs, en réalisant pour son lancement une campagne de
communication par mail, sur le site intranet global de l’entreprise, via les formations,
et les questionnaires. Afin de faire du Blue Book un site de référence en cas de
doute d’un salarié vis-à-vis d’une procédure ou d’un comportement à avoir en cas de
situation qu’il ne connait pas. Il sera par la suite possible de mettre en place des
petits quizz afin que l’employé puisse se noter et connaitre son niveau de
connaissances sur une procédure (comme cela se fait en banque). Les
administrateurs auront bien sûr accès à leurs notes. Et pourquoi pas imposer à
l’avenir des questionnaires / quizz obligatoires pour tous les employés concernés par
les procédures et qui devront acquérir un minimum de 80% pour valider leurs
connaissances (comme en banque).

Les questionnaires d’auto-évaluation :

Nous avons mis en place juste avant que je parte de nouveaux questionnaires
toujours basés sur la confiance du contrôleur de la filiale qui répond en face. Il s’agit
d’un questionnaire sur la trésorerie et la paye chacun ayant une ou deux questions
(voir annexe 7). Ce sont des questions plus générales qui demandent si la personne
suit bien telle ou telle règle énoncée dans telle ou telle procédure. Nous avons déjà
eu quelques réponses (comme vous pouvez le voir dans l’annexe 7). Mais pour
l’instant aucune sanction n’est prévue en cas de « non » ou de réponse « partielle ».
Il va donc falloir mettre en place des recommandations ou renforcer les contrôles
des entités qui répondront non ou partiellement. Sachant que ces questionnaires
sont basés sur la confiance, ils ne reflètent pas toujours la réalité. C’est pourquoi
nous avons besoin des audits et les réponses aux questionnaires seront bien sûr
vérifiées sur place. Cependant comme nous avons pu le voir nous sommes limités
en termes de moyens et n’avons suffisamment d’auditeurs pour vérifier les 250
entités chaque année. Il faut donc trouver un moyen de vérifier, que les réponses
aux questionnaires soient vraies, par exemple en mettant en place des contrôles
informatiques ou encore en réalisant des contrôles manuels à distance (testing), ce
que réalise le contrôle interne de Lafarge ou Spie par exemple. Imerys ne réalise
absolument pas de testing, jugé comme impossible au niveau financier. Du coup,
l’entreprise réalise des recommandations et met en place des plans d’action au
travers d’un ERP d’audit (RVR), et demande des rendus à l’entreprise de manière
régulière. Cependant il va être difficile de faire ça avec 250 filiales, puisque jusqu’à
maintenant nous interrogions seulement 50 entités par an. Il faut donc trouver une
autre solution que celle-ci, du moins pour l’instant et tant qu’il n’y aura pas
suffisamment de moyens.

En ce qui concerne la gestion des risques, ma responsable ne m’a quasiment pas

fait travailler dessus, car elle travaille davantage sur le contrôle interne et n’a pas le
temps de réaliser régulièrement la cartographie des risques par exemple. Bien qu’il
soit recommandé d’en faire au moins une par an afin de suivre l’évolution des
risques identifiés, identifier les nouveaux risques et prendre les dispositions
nécessaires pour limiter leurs impacts. Imerys n’ayant pas le temps ni les moyens ne
réalise que tous les 3-4 ans une nouvelle cartographie des risques, car l’entreprise
estime que les risques n’évoluent pas aussi vite que cela et de toute façon ma
responsable n’en a simplement pas le temps d’en réaliser une par an. Il est de toute
façon évident que Imerys doit développer son équipe de contrôle interne, car
comparer à des entreprises plus ou moins similaires en termes de secteur d’activité
ou de chiffre d’affaires et résultat, tel que Spie ou Lafarge, Imerys reste vraiment en
deçà. Elle ne dispose que d’une personne et d’un alternant pour faire tout cela
quand Spie dispose d’une dizaine de contrôleurs internet et Lafarge plus d’une
vingtaine.

De plus, la mise en place d’un comité des risques pourrait faciliter le suivi de
l’efficacité du contrôle interne et des risques. Aujourd’hui seulement 36% des
entreprises ont un comité des risques, c’est peut-être une piste à explorer pour
Imerys dans le futur43. J’ai sur la demande du Comex réalisé un rapport sur la
création ou non d’un tel comité (voir annexe 4, rapport sur la création ou non d’un
comité des risques). La conclusion a été qu’il n’était peut-être pas adapté pour
l’instant à Imerys de par sa taille et ses moyens, mais qu’à terme, créer un comité
des risques serait une excellente opportunité en matière de gain de performance du
contrôle interne et de la gestion des risques. Cela permettrait également d’aider le
risk manager en l’aidant à progresser et à suivre ses plans d’action mis en place. Le
risk manager resterait celui qui maitrise les risques puisqu’il ne s’agit que d’un
comité non permanent.

Enfin, il faut remettre en question l’organisation du contrôle interne d’Imerys qui

part du Groupe pour descendre dans les filiales. Cependant, il n’est pas possible
d’imposer des directives à des filiales qui ont leurs propres gouvernances. Une
société décentralisée pose la question de comment faire appliquer les procédures et
réglementations du groupe sans les imposer. Alors bien sûr, il y a la communication,
4334
http://www.landwell.fr/enquete-sur-les-rapports-des-presidents-sur-le-controle-interne-et-la-gestion-des-
risques.html Enquête rapports des présidents contrôle interne gestion des risques novembre 2009 (PwC)
la culture d’entreprise qui joue, mais ce n’est pas suffisant comme nous allons en
parler dans la partie suivante.

B. Les contrôles doivent être mis en place par les filiales elles-mêmes

Comme disait Adam Smith « Si l’on veut que telle manière d’être, telle habitude de
vie s’établit, la dernière chose à faire soit d’ordonner que l’on s’y conforme. Voulez-
vous être obéi ? Il ne faut pas vouloir qu’on fasse : il faut faire qu’on veille. »
Selon, M. Aquiba, professeur d’audit interne à SKEMA, pour que les
recommandations soient appliquées par les entités, il faut toujours passer par la
direction de la filiale ou du service concerné. C’est en quelque sorte une caution, qui
permet en plus de transmettre la responsabilité du Groupe à l’entité concernée.
Je pense qu’il faudrait que ce soit les entités elles-mêmes qui proposent des
recommandations et non le siège. Qu’elles mettent en place elles-mêmes leurs
propres plans d’action en fonction de leur moyen de leur propre évaluation et le
siège n’aurait plus qu’à valider les nouvelles mises en place à distance via un
reporting ou l’ERP. Comme ça la société mère aurait la preuve que l’entité est
responsable en cas de problème. Même si la maison mère reste l’unique
responsable au regard de la loi en cas d’incident.
Je pense aussi qu’il serait intéressant de mettre en place un programme de partage
des bonnes pratiques entre filiales d’un même pays et même au-delà. Ou d’une
même activité (ex. : extraction de talc). Et pourquoi ne pas les mettre en compétition
et proposer une prime aux 5 premières en fonction de leurs résultats. Cette pratique
existe déjà dans le milieu bancaire entre les agences d’un même secteur, puis au
niveau national. Cela incite les employés à être les meilleurs pour être récompensés
par un bonus de fin de mois ou de fin d’année plus important que leurs collègues
d’une autre agence. Ce qui n’empêche pas les salariés de plusieurs agences de
travailler main dans la main et de se donner des affaires, notamment grâce à la
culture de l’entreprise.

D’après M. Éric Caspers, professeur à SKEMA et directeur adjoint stratégie

financiers – pôles audit, comptabilité, risques et trésorerie à Vilogia, il est impossible
d’imposer des règles à des filiales qui ont leur propre gouvernance (qui sont
décentralisées). Il faut faire en sorte de les responsabiliser, que ce soit elles qui le
veuillent. Il faut toutefois une coordination entre les différentes filiales afin de pouvoir
les contrôler. S’il n’est pas possible de contraindre, il faut alors suggérer, il faut
communiquer et rendre les contrôleurs opérationnels responsables. Il faut rendre
cohérent l’environnement de contrôle entre les différentes filiales en prenant en
compte la maturité de chacune par rapport au Groupe. Cela prendra un certain
temps et dépendra aussi de la taille de chaque entreprise puisqu’il n’est pas possible
de mettre en place les mêmes règles et procédures selon la taille de l’entreprise.
C’est pourquoi nous commençons à mettre en place des formations qui seront
ensuite transmises par les opérationnels auprès de leurs salariés. Notre responsable
et le directeur de l’audit se sont bien rendu compte qu’il était impossible de réaliser
tous les contrôles depuis le siège et via la vingtaine d’audits par an. Responsabiliser
les entités est donc un objectif du contrôle et de l’audit interne d’Imerys. C’est
pourquoi ils ont commencé à renforcer la communication et commencé à chercher
un moyen de déléguer tout en continuant à surveiller et tout savoir en permanence
de ce qu’il se passe dans les entités.
Le COSO 2 approuve d’ailleurs cette démarche, il est conseillé aux entreprises
internationales en termes d’ERM de faire en sorte que les contrôles soient mis en
place par les filiales elles-mêmes (suivant leurs propres risques). Cela permet de
responsabiliser l’entreprise tout en lui laissant son indépendance. Le Groupe vérifie
alors que les contrôles sont bien suivis au travers de rapports (mise en place de
reporting mensuel par exemple) ou au travers d’audits internes réalisés de manière
régulière.

Nous avons par exemple commencé à créer des plans de continuité d’activité afin
d’anticiper les risques éventuels de chaque entité. (Voir Annexe 5). Le PCA réalisé
via un Excel est totalement basé sur le COSO II, chaque entité doit déterminer ses
risques, évaluer leur impact, leur probabilité et proposer une solution en cas de
survenance de celui-ci. Je l’ai pour l’instant moi-même réalisé avec ma responsable
pour 5 entités. Nous allons ensuite envoyer ce modèle aux 250 filiales et demander
qu’elles le remplissent et nous le renvoient dans un délai imparti. Cela permettra de
responsabiliser encore plus les entités, et de connaitre leur plan d’action en cas de
problème. C’est un moyen de plus pour le contrôle interne d’être informé et de
maitriser les risques de chacune de ces filiales à distance. Ces PCA serviront
d’ailleurs à la réalisation de la cartographie des risques, puisqu’auparavant ma
responsable envoyait des questionnaires aux entités pour connaitre les principaux
risques de leur filiale selon eux. Cela permettra un gain de temps et une meilleure
transparence entre l’entité et la maison mère.

C. Se tenir à jour des réglementations

Il m’a été posé cette question par ma responsable, car l’environnement évoluant en
permanence et sans arrêt, comment faire pour se tenir au courant des nouvelles
règlementations, lois, normes, etc. mises en place et concernant notre entreprise.
Jusqu’à maintenant ma responsable se tient au courant via les mises à jour des
référentiels et des lois existantes. En ce qui concerne les nouvelles règles, elle se
tient au courant en allant aux réunions professionnelles, aux conférences sur le sujet
qui ont lieu chaque année sur Paris. Cette année nous sommes allées à 6
meetings. Avec une application pas forcément évidente pour certains. De plus, ces
conférences sont pour toutes les entreprises et non pas sur un type d’entreprise
spécifique. Parfois, les réunions sont concentrées sur un sujet en particulier
(exemple de l’industrie textile et de l’histoire du Rana Plaza). Il serait intéressant de
créer un groupe avec les entreprises du même secteur qu’Imerys comme l’AFPA
pour les assurances. Elles réalisent des réunions de groupe d’entreprises du même
secteur pour partager et travailler sur la gestion des risques et des nouvelles
réglementations qu’il faut mettre en place, c’est-à-dire partager les informations
entre sociétés du même secteur. Ce qui parait aujourd’hui encore trop tôt, les
entreprises industrielles tiennent encore trop à la confidentialité de leur méthode de
gestion des risques et du contrôle interne. En attendant, je conseille à Imerys de
sélectionner les bonnes associations, groupements d’entreprises ou encore
institutions auxquelles appartenir pour être tenu au courant et d’envoyer une
personne sur toutes les conférences en lien afin que celle-ci puisse en faire un
rapport, car cela était relativement chronophage pour ma responsable, j’y allais
parfois toute seule du coup, pour la décharger.
Je conseille aussi à Imerys de suivre les lois américaines qui sont souvent ensuite
transposées dans le droit européen puis français. Ils sont souvent en avance, et se
tenir au courant de l’évolution me parait être nécessaire afin d’avoir une longueur
d’avance sur les autres entreprises qui attendent que ces nouvelles lois ou normes
soient transposées dans le droit français ou suggérées par les organisations et
associations. Il faut être tout simplement proactif.

Conclusion

Aujourd’hui, définir un référentiel interne efficace est essentiel. Il permet

d’éviter aux entreprises fraudes, pertes financières ou encore une mauvaise
réputation. En effet, l’application du référentiel interne par le contrôle interne de
l’entreprise permet de maitriser les risques et de se conformer aux règles et lois
internationales. L’enjeu est d’autant plus important lorsque l’entreprise est cotée
puisque les investisseurs sont les premiers concernés en cas de défaillance. Une
erreur et les actionnaires peuvent réduire voire supprimer leur soutien financier à
l’entreprise et, dans le pire des cas, la mettre en faillite. Il faut donc apporter une
attention particulière à les rassurer. C’est là qu’intervient le contrôle interne en
rendant transparentes les informations financières, en se conformant aux normes
internationales, etc.

Le plus difficile est sa mise en place. Il existe notamment des référentiels externes
comme le COSO ou le cadre de l’AMF, mais ils restent très théoriques. Il n’y a pas
de guide précisant exactement comment les entreprises doivent mettre en place leur
dispositif du contrôle interne. C’est pourquoi les entreprises créent des groupes de
travail, ou réalisent des veilles concurrentielles, à la recherche des meilleures
pratiques. De plus, la mise en place du référentiel interne dépend des particularités
intrinsèques de l’entreprise, c’est-à-dire de sa taille, de son organisation, de son
activité ou encore de ses moyens. Il n’y a donc pas de recette unique. Cependant il
faut faire en sorte que ce référentiel soit appliqué par l’ensemble de l’entreprise, ce
qui est d’autant plus complexe pour une entreprise ayant des filiales partout dans le
monde et de plus décentralisées.
C’est là qu’intervient la communication, l’une des meilleures armes pour faire
connaitre les procédures, les réglementations et les pratiques à adopter par les
filiales. Attention, il ne s’agit que de suggérer pas d’imposer. Il faut pour cela
responsabiliser les filiales elles-mêmes pour qu’elles puissent mettre en place leurs
propres outils, moyens pour respecter les directives du Groupe et qu’elles se sentent
naturellement partie intégrante de ce suivi.

C’est ce qu’essaye de faire Imerys, tout particulièrement depuis cette année. J’ai
travaillé sur ce sujet afin d’améliorer l’efficacité du contrôle interne après plusieurs
fraudes dans des filiales étrangères. Cependant, le contrôle interne manque de
moyens financiers, de moyens humains et d’un référentiel unique adapté à sa
situation.

C’est pourquoi j’ai proposé la mise en place de nouvelles mesures afin d’améliorer la
maitrise des risques dans l’état actuel, mais il faudra à terme qu’Imerys investisse
dans le contrôle interne et pas uniquement dans l’audit interne.
Je propose en plus de s’appuyer sur le cadre de référence de l’AMF de travailler à
partir du COSO, et du COSO II (ERM), nous avons d’ailleurs déjà commencé à
mettre en place des PCA créés suivant les éléments du COSO II. Nous avons
commencé à refaire le site intranet sur lequel se trouve les procédures groupe à
suivre afin qu’il soit plus attractif et que les employés aient plus envie de s’y référer
en cas de méconnaissance d’une procédure ou autre. Nous avons retravaillé les
procédures pour qu’elles soient schématisées donc plus accessibles à l’ensemble
des employés à travers le monde entier. Car la traduction du Français vers une autre
langue n’est pas forcément comprise de la même manière. Nous avons donc
retravaillé le sens des phrases, réduit la taille des documents et les avons imagés
afin que ce soit plus parlant, et surtout plus attirant. Enfin, nous avons investi dans la
communication en créant des formations, qui permettent d’agir en amont, au lieu
d’évaluer, nous avons décidé que former les employés concernés était plus pertinent
et ensuite évaluer. Ma responsable se servira en plus de ces formations pour
communiquer sur le site intranet des procédures. Nous demandons aussi aux
managers des entités de retransmettre les formations au sein de leur entité et que
des questionnaires seront ensuite envoyés afin de vérifier qu’ils ont bien lus et
surtout compris les procédures et réglementations demandées.

Cela permet de sensibiliser les entreprises, sans leur imposer mais en les
responsabilisant, en les mettant au cœur de la gestion des risques, les filiales se
sentent alors concerner.

De plus, il n’y a pas de sanctions en cas de non-connaissances des règles et

procédures, mais des recommandations sont faites en fonction de la particularité de
la filiale et ces dernières ont les supports en cas de méconnaissances et d’une
interrogation sur comment agir ou se comporter quand elles ne savent pas. Il reste à
constater si cela va améliorer l’efficacité du contrôle interne malgré son manque de
moyen. Je pense que la communication et la responsabilisation des filiales permettra
déjà une certaine amélioration et permettra un gain de temps pour ma responsable
qui pourra se consacrer d’avantages à la gestion des risques, un peu laissé pour
compte par manque de temps et de moyens pour le moment. Car le contrôle interne
c’est la maitrise des risques, il n’est pas possible de séparer les deux. Le dispositif
du contrôle interne doit être en adéquation avec les risques de l’entreprise qui
évoluent chaque année. C’est pourquoi l’identification des risques via la cartographie
des risques par exemple se doit d’être actualisée régulièrement. La construction des
PCA par les filiales permettra d’ailleurs la création de cette cartographie de manière
simplifiée. Enfin, comme les benchmarks ont pu le prouver, Imerys doit investir dans
le contrôle interne et éventuellement créer un comité des risques afin de décharger
le comité d’audit d’une partie de cette fonction. Et ainsi la rendre plus efficiente et
plus indépendante de l’audit interne qu’actuellement. Afin que le contrôle interne
reprenne sa place en amont de l’audit interne et s’occupe que de sa fonction, donc
pas en réalisant de mini audit comme jusqu’à maintenant avec les questionnaires
d’auto-évaluations qui étaient bien trop complexes à gérer.

Le prochain progrès sera d’intégrer un ERP unique au sein de l’entreprise afin que
les filiales soient reliées au siège et que des contrôles automatiques soient possibles
à distance et en permanence. Mais cela nécessite un coût encore plus élevé qui je
pense viendra avec l’expansion d’Imerys, qui est une entreprise en croissance
permanente depuis 3-4 ans.
Imerys saura-t-elle éviter à l’avenir les fraudes et pertes financières connues cette
année ? Sera-t-elle l’une des entreprises les plus proactives en matière de contrôle
interne à l’avenir dans le secteur industriel ? Sera-t-elle à l’initiative de nouveaux
groupes de travail pour partager les risques entre entreprises industrielles comme le
font les entreprises en assurances ?

Bibliographie

Publications et enquêtes d’organismes/entreprises/institutions :

- AFNOR (2004), Référentiel d’évaluation interne, conception ou adaptation,
Document code 1605
- IFACI (2010), Les dispositifs de gestion des risques et de contrôle interne :
cadre de référence / AMF
- IFACI, Risk management and internal control systems – reference framework
– AMF
- IFACI (2007), Référentiel de CI – cadre de référence
- IFACI (2007), recommandation AMF
- IFACI, Comparaison COSO – COCO - Turnbull
- AON, Risk Management Global Survey, 2011
- Etude de l’IIA Research Foundation, intitulée Assessment Guide for U.S.
Legislative, Regulatory, and Listing Exchanges Requirements Affecting Internal
Auditing.

Articles de revues littéraires :

- KARFOUL Hazem, LAMARQUE Eric (2011), « Proposition d’une mesure de
l’efficacité du système de contrôle interne d’un établissement bancaire »,
Management & avenir, n° n°48, p. 362-381
- CAPPELLETTI Laurent (2006), « Vers une institutionnalisation de la fonction
contrôle interne ? », Comptabilité – Contrôle – Audit, Tome 12, p 27-43
- ZAWADZKI Cindy (2013/02), « La maitrise du risque de fraude par des
mécanismes informels », Revue française de gestion, n°231, p. 117-131
- AUBRY Caroline (2012/05), « la naissance de la fonction risk manager en
France », Management & Avenir, n°55, p 14-35
- GUMB Bernard, NOEL Christine (2006), « Le contrôle interne au travers des
représentations que s’en font les dirigeants de groupes du CAC 40 : une étude
exploratoire », HAL-SHS déposé par EM-Grenoble, 24 pages.
- Caroline Aubry, « La naissance de la fonction risk manager en France »,
Revue management et avenir, N°55, juillet-août 2012, management prospective
Edition, p14 -35 : http://www.cairn.info.ebooks.propedia.fr/revue-management-et-
avenir-2012-5-page-14.htm#no3
Congrès :
- Colloque THOMSON REUTERS (13/11/2013), « colloque sur le risque et la
conformité », PowerPoint reçus à la fin du congrès et documentation sur place. Avec
DURAND Rodolphe, professeur en stratégie des entreprises d’HEC Paris, NUYENS
Hedwige, responsable des affaires prudentielles chez BNP Paribas, AUDOUIH
Odilon, Directeur DELOITTE Conseil et DE LIGNIERES Luc, directeur des risques
chez AXA
- Conférence de l’IFACI (14/11/2013), sur le thème « Innovation, maitrise et
performance : réinventer l’audit et le contrôle interne », présenté par Klaus
Gressenbauer, Directeur de l’audit interne de la BCE et Paul Sobel, Président de
l’IIA.
- Réunion AFEP à AFNOR Groupe (21/11/2013), « La normalisation au service
des organisations », présentée par PEYRAT Olivier, Directeur général d’AFNOR ;
BIROUSTE Nicolas, responsable département management et services ; BRUN
Émilie, Chef de projets ISO 26000.

Ouvrages :
- SCHICK Pierre, VERA Jacques, LOURROUILH-PAREGE Olivier (2011),
Audit interne et référentiels de risques : gouvernance – management des risques –
contrôles internes, Dunod
- BERNARD Frédéric, GAYRAUD Rémi (06/2013), Contrôle interne, Maxima
- CORDEL Frédéric, LEBEGUE Daniel (2013), Gestion des risques et contrôle
interne, de la conformité à l’analyse décisionnelle, édition Vuibert, 271 pages
- KENSINGER John W. (2011), Research in finance, edition Emerald Group,
322 pages

Documents internes :
- Extrait de « propositions d’évolution du Blue Book » par Anne B., responsable
du contrôle interne, document interne à Imerys, strictement confidentiel.
- Chapitre 4 – facteurs de risques et contrôle interne, du document de
référence publié en 2013.

Documents PDF :
- Document de référence 2013 d’Imerys :
http://www.imerys.com/Scopi/Group/imeryscom/imeryscom.nsf/pagesref/NDEN-
9HDPGK/$file/ImerysDDR2013VF.pdf
- EBONDO WA MANDZILA Eustache, professeur à Euromed, Organisation et
méthodologie de l’audit interne, juin 2013, p18-19 :
http://www.numilog.fr/package/extraits_pdf/e247708.pdf
-  Profil du risk manager de demain, Ernst et Young (2003)
- LALLEMENT Geoffrey, consultant senior, section 404 de la loi SOX : quel
impact sur les entreprises européennes cotées sur le marché américain ? PDF
http://www.groupeonepoint.com/sites/groupeonepoint.com/files/nodes/letter_article/
section_404_de_la_loi_sox.pdf

Cours utilisés :
- Audit interne de M. Aquiba, avril 2013
Définition de la soft Law et hard Law selon l’IFA :
http://www.ifa-asso.com/download.php?
module=documents&file_id=400&fichier_nom=document-400.pdf&name=document
- Développement durable et comptabilité de M. Marc Journeault, octobre 2013
Sites internet utilisés :
o http://www.soxlaw.com/ Définition de la loi américaine SOX
- http://www.legifrance.gouv.fr/affichTexte.do?
cidTexte=JORFTEXT000000428977 Définition de la LSF
- http://www.pwc.fr/referentiel-coso-2013.html Définition d’un référentiel
- http://www.trader-finance.fr/lexique-finance/definition-lettre-S/Societe-
cotee.html Définition d’une société cotée
- http://www.ifaci.com/bibliotheque/bibliotheque-en-ligne-telecharger-la-
documentation-professionnelle/referentiels-de-controle-interne-150.html Les
différents référentiels utilisés par les entreprises pour leur contrôle interne par
l’IFACI.
- http://www.focusifrs.com/content/view/full/1881 Exemples de questionnaires
de contrôle interne
- http://www.cairn.info/page.php?ID_ARTICLE=DEC_COMBE_2007_01_0024
Définition de l'entretien semi-directif
- http://www.lesechos.fr/finance-marches/vernimmen/definition_benchmark.html
Définition d’un benchmark
- http://www.imerys.com/scopi/group/imeryscom/imeryscom.nsf/pagesref/SCOI-
8S4DZX?OpenDocument&Lang=FR Référentiel d’Imerys
- http://www.imerys.com/scopi/group/imeryscom/imeryscom.nsf/pagesref/SCOI-
8S4DU5?Opendocument&lang=fr La gouvernance d’Imerys
- http://www.imerys.com/scopi/group/imeryscom/imeryscom.nsf/pagesref/SCOI-
8S4DZX?OpenDocument&Lang=FR définition du contrôle interne chez Imerys
- https://www.cncc.fr/audit-legal-entreprise.html définition d’une société ayant
l’obligation d’un audit légal
- http://www.ifa-asso.com/download.php?
module=documents&file_id=400&fichier_nom=document-400.pdf&name=document
Définition de la soft law et hard law selon l’IFA 
- http://www.landwell.fr/enquete-sur-les-rapports-des-presidents-sur-le-controle-
interne-et-la-gestion-des-risques.html Enquête rapports des présidents contrôle
interne gestion des risques novembre 2009 (PwC)
- http://www.sec.gov/rules/final/33-8183.htm Site américain de la SEC et
définition de son rôle
- http://www.afnor.org/groupe/a-propos-d-afnor/qui-sommes-nous définition de
l’Afnor
- http://www.iso.org/iso/fr/home/about.htm Définition d’une norme ISO
- http://www.bpms.info/levolution-du-referentiel-coso-du-controle-interne-au-
management-des-risques/ société de consulting BPMS, sur l’évolution du référentiel
COSO, par DALMASSO Coralie
Glossaire

- SOX44 : Sarbanes-Oxley Act (2002), est une loi imposant les grandes
entreprises américaines à se conformer à différentes réglementations. Elle impose
par exemple par l’article 302, que les rapports annuels présentent de manière fidèle
la situation financière de l’entreprise ou encore que l’entreprise doive établir une liste
de ces lacunes en termes de contrôle interne.
- LSF45 : Loi de sécurité financière (2003), est l’équivalent de la loi américaine
SOX en France, elle régit aussi les différentes réglementations en ce qui concerne la
publication des informations financières des grandes entreprises, le renforcement du
contrôle interne, ou encore la responsabilité des dirigeants.
- COSO46 : Le committee of Sponsoring Organizations, est un référentiel du
contrôle interne reconnu par les lois ci-dessus. Il définit les différentes procédures à
mettre en place
- RCI : référentiel du contrôle interne, c’est-à-dire les outils qui permettront de
limiter les risques en mettant en place des points de contrôles par exemple.
- CA : Chiffre d’affaires, c’est-à-dire toutes les ventes réalisées par l’entreprise.
- RN : Résultat net, ce qui reste à l’entreprise après avoir payé toutes les
charges employées pour produire et les impôts sur la société.
- ERM : Enterprise of risk management, un des processus employés par les
entreprises pour gérer les risques.
- FRM : Fonction risk manager, fonction du responsable risque
- AMRAE : Association pour le management des risques et des assurances de
l’entreprise
- COBIT :
- AMF : Autorité des marchés financiers
- IAS : International accounting standard
- IFA : Institut français des administrateurs
- IFACI : Institut français de l’audit et du contrôle interne
- IFRS : International Financial reporting standards
- IIA : Institute of internal auditors
- ISO : International Organization for Standardization, organisation
internationale de normalisation. C’est un organisme qui crée des normes
internationales qui peuvent être volontairement appliquées par les entreprises. Elles
favorisent le commerce international et permettent de garantir la sécurité des
différents secteurs d’activités pour les entreprises qui suivent ces normes.
- SEC : Securities and exchange commission, l’équivalent de l’AMF aux états
unis, elle surveille la bourse, les marches financiers et les entreprises cotées.
- ROI : Return on Investment, le retour sur investissement espéré par
l’entreprise
- FCPA : federal corrupt practices act, loi américaine anticorruption, équivalente
du UK bribery act
- AFNOR : Association française de normalisation, c’est une association qui
aide les organisations à mettre en place les normes et réglementation 47 ;
- CBCR : Country by country reporting, nouveau rapport demandé par les
États-Unis (Dodd Frank Act) transposé en Europe puis en France pour 2014,
44
http://www.soxlaw.com/ Définition de la loi américaine SOX
45
http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000428977 Définition de la LSF
46
http://www.pwc.fr/referentiel-coso-2013.html Définition d’un référentiel
47
http://www.afnor.org/groupe/a-propos-d-afnor/qui-sommes-nous définition de l’Afnor
s’appliquant qu’aux industries extractives. Ce rapport demande de clarifier tous les
montants supérieurs à 100K€
- RSE : responsabilité sociétale des entreprises.
- EHS : Environnement, hygiène et sécurité. Nom d’un service/département
d’une entreprise industrielle en charge de la sécurité des employés, de leur santé,
mais aussi de l’environnement lié aux extractions réalisées.
- CER : capital expenditure request, c’est la demande d’un budget pour le
développement d’un projet.
- CAPEX : capital expenditure, c’est-à-dire les investissements.

Table des illustrations

Table 1 : Le Blue book................................................................................................11

Table 2: Les différents niveaux d’application de la conformité (Rodolphe DURAND,
professeur en stratégie à HEC Paris).........................................................................27
Table 3 : Référentiels utilisés par 40 sociétés du CAC 40 et 30 autres sociétés
cotées..........................................................................................................................27
Table 4 : référentiels internes mis en place par les mêmes entreprises précédentes
....................................................................................................................................28
Table 5 : Dispositifs utilisés pour identifier les risques :.............................................28
Table 6 : Axe d’amélioration des services de contrôle interne des mêmes
entreprises :................................................................................................................28
Table 7 : définition du COSO (cours SI et ERP)..........................................................1
Table 8 : COSO et COSO 2........................................................................................37
Annexes

Annexe 1 : Les audiences du Bluebook

Annexe 2 : Exemple de questions des questionnaires d’auto-évaluation (strictement
confidentiel) :
Annexe 3 : exemple de recommandations

INTERNAL CONTROL SYNTHESIS

BASED ON THE 2013 INTERNAL CONTROL CAMPAIGN RESULTS

IMERYS X

I – CONTEXT

In order to assess and improve the global efficiency of the Group internal controls,
annual self-assessment questionnaires relating to the Group significant operational
and financial processes are regularly submitted by the Group Internal Control
department to the consolidated entities.

In 2013, 30 of the main entities of the Group, contributing to nearly 65 % of

consolidated revenues, and 20 small and medium entities have been part of the
internal control assessment:
- the 30 main entities, including the entity X, assessed their treasury processes;
- The 20 small and medium entities assessed their global internal control
mechanisms on a limited scope.
The consolidated results will be presented to the Group Audit Committee in
December 2013.

II - INDIVIDUAL RATING

The assessments are based on the following principles:

 if the global rating is from 3.50 to 4, the level of internal control is
good;
 if the global rating is from 3 to 3.49, the level of internal control is
acceptable with observations;
 if the global rating is from 2.50 to 2.99, the level of internal control
requires improvement;
 If the global rating is below 2.50, the level of internal control is
critical.

REQUIRES
The self-rating of the treasury process is 3.05 for X IMPROVEMENT

III – SPECIFIC OBSERVATIONS FOR THE ENTITY

Based on the assessments of the X team, we have identified the following control
deficiencies that are disclosed below for your attention.

Critical or important control deficiencies

Medium control deficiencies or improvements

Bank reconciliations

 Bank reconciliations are monthly performed but it is the same person who
realizes the reconciliation and who is in charge of bank records. It means the
Financial Controller in the entity X. Bank reconciliations should be performed, or
reviewed, by a third party who is independent from the one in charge of bank
records. The person reviewing the bank reconciliations (generally the Financial
Controller or the General Manager) should be a person in a higher position in the
hierarchy than the one in charge of the bank records. The review should be based
on supporting documentation such as extraction from the accounting system (directly
extracted by the reviewer or provided to him or her in a no modifiable form) and
original bank statements.

IV – FOLLOW-UP

In a few months, the assessed entities will be asked to report whether they have
implemented action plans in order to improve their internal controls compared with
their 2013 internal control assessments. The internal control department is available
to discuss these topics with you.
The assessments will be updated every 4 or 5 years depending on the Risk and
Internal Control Committee’s decisions.

Annexe 4 : Rapport réalisé par moi-même pour le Comex sur la création ou

non d’un comité des risques
Comité des risques

Recherches à effectuer sur la place, l'organisation et les responsabilités des

comités des risques mis en place par les groupes européens et les diverses
recommandations sur le sujet (notamment de l'AMF) > lister les recherches
effectuées et les sources obtenues puis synthétiser les résultats obtenus.

Mots clés : comité des risques ; comité d’audit ; gestion des risques ; comité
spécialisé ; comité des risques distinct du comité d’audit ; comités supplémentaires ;
comités spécialisés ; AMF ; MEDEF ; AFEP ; IFACI ; EBA …

D’après M. AQUIBA, ancien directeur d’audit à Renault (professeur à SKEMA) :

« L’idéal est d’avoir un comité d’audit et un comité des risques, mais c’est déjà bien
si l’entreprise dispose d’un comité d’audit qui intègre les risques. Cela dépend des
moyens de l’entreprise ».

I. Les lois, réglementations et articles mentionnant le comité des risques :

Selon l’institut français des administrateurs :

o  D’après l’IFA :
 En tout état de cause, le comité d’audit ne peut se décharger d’aucune de ses
missions (audit / gestions des risques). Il doit avoir une vue d’ensemble des sujets
portés à son examen. Si un comité des risques était constitué, il serait de bonne
pratique que le mode de composition figurant au deuxième alinéa de l’article L.
823-19 du Code de commerce soit également respecté pour ce comité et que les
membres des deux comités se rencontrent régulièrement afin d’assurer une
coordination de leurs travaux respectifs et de veiller à ce que l’ensemble des
problématiques aient été appréhendées ».

o Guide méthodologique de l’IFA « les comités d’audit 100 bonnes pratiques » :

 Le conseil d’administration définit les missions du comité d’audit en
fonction des besoins spécifiques de la société et de l’existence ou non d’autres
comités spécialisés, tels que le comité des risques ou le comité financier, et de
déterminer la structure et le mode de fonctionnement du comité d’audit.
 Par ailleurs, dans le cas où la supervision des risques serait confiée à un
comité des risques distinct du comité d’audit, il conviendrait que le comité d’audit
obtienne de ce comité les informations utiles pour l’exécution de ses missions. Il
pourrait être recommandé qu’au moins un membre du comité d’audit fasse partie du
comité en charge de la supervision des risques.

o Le rôle de l’administrateur dans la maitrise des risques (IFA) :

 Les risques comptables et financiers sont par nature suivis par le comité
d’audit. Ce comité peut aussi superviser les autres risques à la demande du conseil.
Si le conseil a décidé la création d’un comité des risques, le comité d’audit
conserve la supervision des risques de nature comptable et financière ; pour
les autres risques, un partage des rôles devra être défini.

Comité consultatif de la législation et de la réglementation financière :

o D’après le texte de loi de régulation bancaire et financière (2010), tous les
établissements financiers ont l’obligation d’avoir un comité des risques qui
peut cependant être intégré dans le comité d’audit.

AMF, cadre de référence :

o Le comité d’audit est chargé du suivi de l’efficacité des systèmes de contrôle
interne, d’audit interne, le cas échéant, et de gestion des risques de la société.
o L’AMF a institué un comité spécialisé (comité des risques) ou comité
d’audit pour les entités dont les titres sont admis sur un marché règlementé.
o La gouvernance des dispositifs de gestion des risques est assurée par les
instances ou fonctions suivantes : le comité des risques ; le comité d’audit
et/ou l’audit interne.
o Selon, une enquête réalisée par l’APDC et l’AMRAE avec des membres
d’entreprises gestionnaires des risques dont Imerys, 35% sont issus d’un comité
des risques contre 30% d’un comité d’audit. Dans 92% des cas, le comité des
risques s’intéresse à l’ensemble des risques de l’entreprise et non uniquement des
risques financiers.
o Réponse de l’AMF à la question « est-il obligatoire de créer un comité des
risques distinct d’un comité d’audit ?» :
 Selon l’article 74 de la directive 2013/36/EU, cela doit s’appliquer selon
l’ampleur et la complexité des risques inhérents au métier ou à l’activité de
l’entreprise.
 Selon les articles 76 à 95 de la CRD. Par conséquent, une institution, tout en
n'étant pas considérée comme « significatif », peut être considérée comme ayant
des risques suffisants par rapport à sa nature, l'ampleur et la complexité d'exiger la
mise en place d’un comité des risques, tandis que les institutions plus petites et
moins complexes ne sont pas tenues d'établir un tel comité sous des considérations
de proportionnalité.
 Bien qu'il n'existe aucune définition du terme « significatif » dans le règlement
(UE) n ° 575/2013 (CRR), la directive 2013/36/EU (CRD), ou dans les lignes
directrices de l'initiative TSA existantes, les lignes directrices de l'initiative TSA sur
l'état de la gouvernance interne, au titre du point 14.6 et en particulier 14.12, que les
institutions doivent mettre en place un comité des risques soumis au principe de
proportionnalité. En attendant l’élaboration de lignes directrices énonçant la
définition de « significatif » dans ce contexte, les États membres devraient appliquer
leurs propres critères pour prendre cette décision.

European Banking Authority :

o L’article 76 (3) stipule que les institutions financières importantes
doivent créer un comité des risques. Cependant les autorités compétentes
peuvent permettre à des institutions non considérées comme importantes de
combiner le comité d’audit avec le comité des risques (article 41 de la directive
européenne 2006/43/EC).

II. Quelques exemples de sociétés distinguant ou intégrant le comité des

risques dans le comité d’audit :

 Le comité d’audit de Total intègre la gestion des risques :

o TOTAL dispose de 4 comités, dont le comité de gouvernance et d’éthique, le
comité des rémunérations, le comité stratégique et le Comité d’audit. Ce dernier
exerce différentes missions, parmi lesquelles :
 La désignation des Commissaires aux comptes et le suivi de leur contrôle
des comptes de Total (audition et rapport écrit au Conseil d’administration) ;
 L’étude des comptes sociaux de la société mère et des comptes
consolidés (avant examen par le Conseil d’administration) ;
 Le suivi de la mise en place des procédures de contrôle interne et de
gestion des risques ;
 Le contrôle de l’efficacité de ces procédures, avec le concours du
département d’audit interne ;
 À la demande du Conseil d’administration, l’examen des opérations
majeures envisagées par le Groupe ;
 La mise en place et le suivi du Code d’éthique financière ;
 La mise en place et le suivi d’un processus d’alerte ouvert aux salariés,
actionnaires ou tiers en matière de traitement comptable, de contrôle interne et
d’audit ;
 Le cas échéant, l’examen des opérations importantes du Groupe à l’occasion
desquelles aurait pu se produire un conflit d’intérêts ;
 L’examen du processus de validation des réserves prouvées du Groupe.
Source :
- http://total.com/fr/groupe/gouvernance/conseil-d-administration/comite-audit
 Le comité d’audit de Lagardère intègre aussi la gestion des risques :
o Il y a deux comités, dont celui des nominations et rémunérations et le comité
d’audit. Voici ces missions :
 En application de son règlement intérieur, il se réunit au moins quatre fois par
an et a notamment pour missions :
 De procéder à l'examen des comptes et de la permanence des méthodes
comptables adoptées pour l'établissement des comptes consolidés et sociaux de
Lagardère SCA et d'assurer le suivi du processus d'élaboration de l'information
financière ;
 D’assurer le suivi du contrôle légal des comptes annuels et consolidés par les
Commissaires aux Comptes
 D’assurer le suivi de l'indépendance des Commissaires aux Comptes ;
 D’émettre une recommandation sur les Commissaires aux Comptes dont la
nomination est proposée à l'Assemblée générale ;
 de s'assurer de l'existence des procédures de contrôle interne et de gestion
des risques, et notamment des procédures relatives (i) à l'élaboration et au
traitement de l'information comptable et financière servant à la préparation des
comptes (ii) à l'évaluation et à la gestion des risques (iii) au respect par Lagardère
SCA et ses filiales des principales réglementations qui leur sont applicables ; le
Comité d'Audit prend connaissance à cette occasion des éventuelles observations
et/ou suggestions des Commissaires aux Comptes sur ces procédures de contrôle
interne et examine les éléments du rapport du Président du Conseil de Surveillance
relatif aux procédures de contrôle interne et de gestion des risques ;
 D’assurer le suivi de l'efficacité des systèmes de contrôle interne et de gestion
des risques ;
 D’examiner plus spécifiquement, en ce qui concerne l'audit interne de la
Société, ses activités, son programme d'audit, son organisation, son fonctionnement
et ses réalisations ;
 D’examiner les conventions liantes, directement ou indirectement, le Groupe
aux dirigeants de Lagardère SCA ; il convient ici de rappeler que la rémunération de
membres de la Gérance est assurée par la société Lagardère Capital &
Management, liée au Groupe par un contrat de prestation de services. L'application
de ce contrat, approuvé par le Conseil et par l'Assemblée générale sous le régime
des conventions réglementées, fait l'objet d'un suivi régulier pour lequel le Conseil a
délégué le Comité d'Audit. Ce suivi porte entre autres sur le montant des charges
refacturées au titre du contrat comprenant pour l'essentiel la rémunération des
membres composant la Gérance ;
 De préparer chaque année un résumé de son activité au cours de l'année
écoulée, destiné à être communiqué aux actionnaires (via le rapport du Conseil de
Surveillance et le rapport du Président du Conseil de Surveillance).
Source :
- http://www.lagardere.com/groupe/gouvernement-d-entreprise/comite-d-audit-
2701.html
 Les comités de gestion des risques chez RENAULT :
o Il y a 5 comités spécialisés du Conseil d’administration chez Renault :
Comité de l’audit, des risques et de l’éthique ; comité des rémunérations ; comité
des nominations et de la gouvernance ; comité de stratégie internationale ; comité
de stratégie industrielle.
o Le comité d’audit, des risques et de l’éthique : Conformément au
règlement intérieur du Conseil, ce comité s’assure de la conformité aux standards en
vigueur des méthodes comptables utilisées ; donne son avis sur la nomination ou le
renouvellement des commissaires aux comptes et sur la qualité de leurs travaux ;
veille au respect des règles garantissant leur indépendance ; vérifie la pertinence
des méthodes de contrôle interne ; examine le périmètre des sociétés consolidées.
o Sous la direction de l’éthique, il existe un comité d’éthique et de
conformité : Le Comité d’éthique et de conformité est composé de représentants
des fonctions et directions suivantes : audit, maîtrise des risques et organisation,
juridique, ressources humaines, responsabilité sociale de l’entreprise,
environnement, prévention et protection du Groupe, finance, réglementation
technique et homologation. Missions :
 Normalisation de l’organisation du gouvernement de l’entreprise et des
missions des comités de gouvernance en charge de l’éthique, du management des
risques, du contrôle interne et de la conformité,
 Mise à jour du dispositif relatif à la prévention du délit d’initiés,
 Publication de règles d’usage du réseau social d’entreprise ;
o Évolution d’un Comité des risques Groupe en Comité risques et contrôle
interne, avec pour mission de s’assurer du déploiement des dispositifs risques et
contrôle interne sur l’ensemble des activités opérationnelles et entités du Groupe ;
Missions :
 Diagnostic de la fonction Management des risques avec précision des
modalités de fonctionnement et renforcement de la fonction auprès des
opérationnels.
 Mise à jour de la cartographie des risques Groupe établie en 2010,
 Lancement d’un projet de sécurisation des principaux processus de
l’entreprise (sécurité opérationnelle, conformité réglementaire).
o Suivi des risques liés à la sécurité des SI via un comité des risques
informatiques au niveau du groupe :
 Organisé par la DSIR en collaboration avec la Direction du management des
risques et les représentants des principales directions opérationnelles de l’entreprise
et du programme maîtrise de l’information
Source :
- http://www.renault.com/fr/lists/archivesdocuments/renault%20-%20document
%20de%20r%C3%A9f%C3%A9rence%202012.pdf#page=169
III. Le comité des risques distinct du comité d’audit vu par les cabinets :

 ERNST & YOUNG :

o D’après l’édition 2013 du Panorama des pratiques de gouvernance des
sociétés cotées françaises d’Ernst & Young : Le développement des comités
supplémentaires, tels que le comité de gouvernance, le comité des risques (distinct
du comité d’audit) et le comité d’éthique et/ou RSE, continue de progresser (sur
l’année 2013, période non précisée) :

o Période de janvier 2010 à décembre 2011 : La distinction entre les comités

des risques et les comités d’audit ne concerne que 14% des sociétés du CAC
40 ; 8% pour le SBF 120 et 5% pour les midcaps. Cette distinction est encore
naissante.

 PWC :
o D’après le rapport des présidents de 2009 de Landwell & associés – PWC, la
mise en place d’un Comité de risques par la Direction générale est à ce sujet
particulièrement intéressante, et ce pour deux raisons :

 Ce comité rassemble tous les acteurs de la maîtrise des risques et favorise

leur collaboration. La Direction générale est ainsi assurée de l’exhaustivité du
périmètre d’analyse et de la cohérence des risques majeurs au regard des enjeux de
l’entreprise. Elle évite une gestion des risques en silo et améliore la cohérence «
risque et dispositif de maîtrise ».
 La création d’un Comité des risques au niveau de la Direction générale
facilite les relations avec le Comité du Conseil en charge du suivi de la gestion
des risques : le Comité des risques est l’interlocuteur privilégié du Comité du
Conseil. Il favorise par ailleurs la formalisation des travaux nécessaires au Comité
pour formuler un avis auprès du conseil en matière de gestion des risques et de
contrôle interne.
 Ce Comité des risques n’est en aucun cas incompatible avec la fonction
de Risk Manager, il en est même complémentaire : il l’aide à faire progresser et à
suivre les plans d’action décidés, en tant que structure non permanente, il
n’empêche pas le Risk Manager d’animer le dispositif global de maîtrise des risques.
  Seulement 68% des comités d’audit se sentent compétents pour la
gestion des risques, ce qui doit être analysé de manière critique. Souvent cette
tâche relève du conseil d’administration dans son ensemble ou à l’instar de ce qui se
passe dans les banques, d’un comité distinct des risques.

 DELOITTE :
o D’après Deloitte sur le comité d’audit et/ou des risques :
 Seul comité spécialisé du conseil dont la création a été rendue
obligatoire pour certaines catégories de sociétés, le comité d’audit est au cœur
du dispositif de gouvernance.
 Sans préjudice des compétences de l’organe chargé de l’administration, de la
direction et de la surveillance, ce comité est notamment chargé d’assurer le suivi :
a) Du processus d’élaboration de l’information financière ;
b) De l'efficacité des systèmes de contrôle interne et de gestion des risques de
la société
c) Du contrôle légal des comptes annuels et des comptes consolidés
d) De l’indépendance des commissaires aux comptes

 Deloitte explique que Bâle 3 va proposer de nouvelles directives relatives à la

gouvernance prochainement dont l’obligation de créer un comité des risques
(article 75.3) et une fonction de gestion des risques indépendante des
fonctions opérationnelles et de gestion (article 75.5).
 Faut-il créer un Comité des Risques distinct du Comité d’Audit ? p.42 du
doc « corpgov.deloitte.com »
 Il parait difficile d’isoler les risques ayant uniquement un impact comptable et
financier dans le portefeuille de risques de l’entreprise.
 S’il existe un comité d’audit et un comité des risques, la synthèse des
risques résulte de la consolidation des travaux des deux comités.
 Si cela se fait, il faut faire attention à définir rigoureusement les rôles et
responsabilités de chacun pour éviter les lacunes ou recouvrir les mêmes risques.
 Si le comité d’audit ne parvient pas à dégager le temps nécessaire à une
analyse rigoureuse des systèmes de contrôle interne et de gestion des risques, les
administrateurs peuvent demander la création d’un comité des risques qui leur
permettra de disposer des résultats d’un travail plus approfondi et d’une mise à jour
plus régulière du suivi des risques.
 La création d’un comité des risques distinct du comité d’audit n’est pas
obligatoire. Elle peut être choisie lorsque les risques à superviser, la nature des
compétences à mobiliser ou le secteur d’activité de l’entreprise sont complexes.
 L’implication des organes de gouvernance et de direction des entreprises SBF
120 impliquées dans la gestion des risques :

 76% des entreprises disposent d’un comité du conseil en charge du suivi des
risques :

 Il s’agit à 88% d’un comité d’audit

rattaché au CA

 KPMG
o D’après le benchmark des pratiques des groupes du CAC40 (décembre 2013
basés sur les DDR 2012 des entreprises), 38 % des entreprises ont un comité
des risques :
o Leur mission principale étant la gestion des risques et la méthodologie
d’identification des risques. Les groupes n’ayant pas un comité des risques laissent
la responsabilité au comité d’audit.

Sources :
- http://www.ey.com/FR/fr/Newsroom/News-releases/Communique-de-presse---
Edition-2013-du-Panorama-des-pratiques-de-gouvernance-des-societes-cotees-
francaises
- http://www.corpgov.deloitte.com/site/frafre/audit-committee/
- http://www.landwell.fr/assets/files/pdf/2009/
enquete_rapports_des_presidents_controle_interne_gestion_des_risques_novembr
e_2009.pdf
- https://www.pwc.ch/user_content/editor/files/publ_ass/
pwc_comites_audit_ch_f.pdf
- http://www.corpgov.deloitte.com/binary/
com.epicentric.contentmanagement.servlet.ContentDeliveryServlet/FrFre/
Documents/Home/Bale3%20-gouvernance.pdf
- http://www.kpmg.com/FR/fr/IssuesAndInsights/ArticlesPublications/
Documents/Benchmark-pratiques-groupes-CAC-40-122013.pdf

IV. Les entreprises du même secteur qu’IMERYS :

o LAFARGE : Un comité d’audit et un comité du contrôle interne

http://www.lafarge.fr/03262010-Shareholders-internal_control-fr.pdf
o ARCELORMITTAL : Un comité d’audit et un comité des risques (créé en
2009)
http://corporate.arcelormittal.com/news-and-media/press-releases/2009/jun/05-06-
2009?lang=french
o EDF : un comité d’audit intégrant les risques
http://presentation.edf.com/gouvernance/comites-specialises-40334.html
o GDF SUEZ : un comité d’audit
http://www.gdfsuez.com/groupe/gouvernance/conseil-dadministration/comites-du-
conseil/
o AREVA : un comité d’audit intégrant les risques
http://www.areva.com/FR/groupe-3292/comite-d-audit-conseil-de-surveillance-pour-
la-conformite-comptable-et-financiere.html
o SAINT GOBAIN : un comité des comptes intégrant les risques
http://www.saint-gobain.fr/fr/groupe/notre-organisation/conseil-dadministration/
comite-des-comptes
o VEOLIA : Un comité d’audit et un comité des risques
http://www.veolia.com/fr/groupe/gouvernance/comite-risques/
o EIFFAGE : Un comité d’audit intégrant les risques
http://www.eiffage.com/files/ra_eiffage_2011_financier.pdf
o VINCI : Un comité d’audit et un comité des risques
http://www.vinci.com/vinci/transactions.nsf/(unid)/
446AA444D040A3CDC1257433006247CB/$file/2007-controleinterne.pdf

 LAFARGE : un comité d’audit et un comité du contrôle interne :

Comité d’audit Comité du contrôle
interne
Sous la Le conseil d’administration Direction du groupe
responsabilité  (direction financière et
: direction du contrôle
interne)
Composition : 7 Administrateurs indépendants Directeur financier du
groupe ; responsables
financiers ; directeur audit
interne ; directeur SI ;
directeur énergie et
sourcing ; directeur
juridique
Rôle : - S’assure de la pertinence des - Animation
comptes et des méthodes processus de contrôle
comptables adoptées. interne
- S’informe de la situation - Pilotage des
financière de l’entreprise. travaux sur le contrôle
- Étudie les rapports des interne financier
commissaires aux comptes et - Assiste les pays et
s’assure de leur indépendance. responsables fonctionnels
- Contrôle l’existence de pour la mise en œuvre
procédures antifraude. des standards

- http://www.lafarge.fr/04182013-Shareholders-internal_control-2012-fr.pdf
- http://www.lafarge.fr/03262010-Shareholders-internal_control-fr.pdf
- http://www.lafarge.fr/wps/portal/1_5_4-Controle_Interne

 ARCELORMITTAL : un comité d’audit et un comité des risques

Comité d’audit Comité des risques
Sous la Conseil d’administration Direction générale
responsabilité 
:
Composition : 4 administrateurs indépendants 4 administrateurs
indépendants + directeur
général du groupe
Rôle : - Servir comme un tiers - Le Comité de
indépendant et objectif pour surveiller Risque est chargé de
le processus d'information financière conseiller le Conseil
de la société et le système de d'administration sur la
contrôle interne. gestion de risque
- Examiner et évaluer les efforts -  S’assurer
 de l’audit interne et des cabinets qu'Arcelor Mittal observe
d’audit. un processus efficace de
- Fournir une voie de gestion des risques en
communication entre les experts support de la gestion et
comptables indépendants, la gestion de la prise de décision
financière, le service d'audit interne journalière.
et le CA. - Déterminer les
- Approuver la nomination et risques liés à la réalisation
frais des auditeurs indépendants. des objectifs.
- Suivi de l'indépendance des - Revoir et évaluer la
auditeurs externes. gestion des risques et leur
mise en œuvre
-
- http://corporate.arcelormittal.com/news-and-media/press-releases/2009/jun/
05-06-2009?lang=french
- http://corporate.arcelormittal.com/~/media/Files/A/ArcelorMittal/investors/
annual-reports/2013/annual-report-2013.pdf

 VEOLIA : un comité (spécialisé) des comptes et de l’audit + un comité

(supplémentaire) des risques.
Comité des comptes et Comité des risques
d’audit
Sous la Conseil d’administration Direction du groupe
responsabilité 
:
Composition : Administrateurs indépendants Représentant des divisions et de
de Veolia  Veolia environnement
Rôle : - Revue des comptes - L'identification des
annuels risques majeurs ;
- Des principales options - L’évaluation des
comptables ; dispositifs de prise en charge de
- Des tests de chacun de ces risques, au
dépréciation d'actifs ; niveau de Veolia
- Des contrats à risque. Environnement, des divisions ou
des filiales ;
- Le suivi des plans
d'action qui lui sont présentés ou
qu'il a initiés.
-

- http://www.veolia.com/fr/groupe/gouvernance/
- http://www.veolia.com/fr/groupe/gouvernance/comite-risques/
- http://corporate.arcelormittal.com/investors/corporate-governance/risk-
management-and-audit
 VINCI : Un comité d’audit et un comité des risques
Comité d’audit Comité des risques
Sous la Conseil d’administration Direction générale
responsabilité 
:
Composition : - Trois administrateurs – l’administrateur-directeur
indépendants général ;
-  ; directeur général adjoint ; – le directeur général
directeur financier ; CAC adjoint, directeur financier
du Groupe ;
– le directeur de l’audit
interne ;
– le président (ou directeur
général) du pôle concerné ;
– les représentants
opérationnels de la société
qui présente l’affaire ;
– les représentants
fonctionnels de cette
société ou du pôle
concerné
Rôle : - Aide le Conseil à veiller à - En charge des
l’exactitude et à la sincérité des opérations de croissance
comptes sociaux et consolidés de externe et des cessions
VINCI, ainsi qu’à la qualité de d’activités
- L’information délivrée. - Revue des
- Processus d’élaboration de engagements techniques,
l’information financière juridiques et financiers
- Examiner les projets de - Revue du montant
comptes annuels des seuils en termes
- Veiller à l’efficacité des d’investissements
systèmes du contrôle interne et de - S’occupent des
gestion des risques opérations de promotion
- Suivi du contrôle légal des immobilière, de concession
comptes sociaux et comptes et de partenariat public-
consolidés des CACS. privé
- Examen de la politique du - Examiner les
groupe en matière d’assurances affaires qui comportent des
- Mise en place de procédures risques
en matière d’éthique et de
concurrence
- http://www.vinci.com/vinci/transactions.nsf/(unid)/
5BF24B62646DFC0AC1257B8F00526370/$file/2011-controleinterne-fr.pdf
Exemple d’une société dont le comité des risques appartient au conseil
d’administration :
 SCOR (assurance) :
Comité d’audit Comité des risques
Sous la Conseil d’administration Conseil d’administration
responsabilité 
:
Composition : 5 administrateurs indépendants 7 administrateurs
indépendants
Rôle : - Examiner la situation - Identifier
financière du Groupe - Les risques majeurs
- Le respect des procédures auxquels le groupe est
internes ainsi que les contrôles et confronté tant à l’actif qu’au
diligences effectués par les passif
commissaires aux comptes et par la - S’assurer que les
direction de l’audit interne moyens de suivi et de
- S’assure de la qualité et de la maîtrise de ces risques ont
transparence des comptes du été mis en place.
Groupe. - Il examine les
- Examen de la pertinence des principaux risques du
choix et de la bonne application des Groupe et la politique
méthodes comptables d’Enterprise Risk
- Examiner les conventions Management (ERM)
réglementées, d’analyser et de
répondre aux questions des salariés
en matière de contrôle interne
- http://www.scor.com/fr/le-groupe/gouvernance/comites-du-conseil-
dadministration.html
- BNP Paribas distingue le comité des comptes du comité du contrôle interne :
http://www.bnpparibas.com/nous-connaitre/gouvernement-dentreprise/conseil-
dadministration/comites (je ne sais pas si le comité des comptes s’apparente dans
ce cas-là au comité d’audit).
Annexe 5 : Exemple de PCA, basé sur le COSO II, commencé à être mis en place en 2014
Annexe 6 : Country by country reporting

Loi d’orientation et de programmation relative à la politique de développement

et de solidarité internationale 
Recherche : sur le Projet de loi français, texte adopté n°289 par l’Assemblée
nationale en première lecture, qui est en fait un début de la transposition de la
directive européenne.

SOURCE :
http://www.assemblee-nationale.fr/14/pdf/ta/ta0289.pdf
http://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/fr/intm/141190.pdf

CONTENU :
Art. 174 : Adhésion à l’ITIE de la France : En matière de transparence dans le
domaine des industries extractives, le Gouvernement a pris la décision en 2013
d’engager le processus formel d’adhésion à l’initiative pour la transparence dans les
industries extractives (ITIE ou EITI)

Art. 236 : Transposition de la directive européenne : Parallèlement, la France

engage la transposition des dispositions des Directives comptables concernant
certaines obligations pour les entreprises extractives européennes en matière de
publication, pays par pays et projet par projet, des montants tirés de l’exploitation
des ressources extractives et versés à des États afin d’en assurer l’effectivité pour
les comptes arrêtés au 31 décembre 2014. Plus largement, la France soutient au
niveau européen « un rapport par pays en matière fiscale » de la part des grands
sociétés et groupes.

Directive européenne de transparence et nouvelle loi comptable

Recherche : Directive européenne issue de la Directive Transparence, directive
2013/50 en octobre 2013 associée à la nouvelle directive comptable, directive
2013/34/UE, de juin 2013 (EU Accounting and transparency directives). Elle doit
être transposée dans le droit français au plus tard le 20 juillet 2015. Et une première
application sur les états financiers des entreprises européennes pour l’exercice
commençant le 1er janvier 2016.
Sources :
http://www.focusifrs.com/ ;
http://europa.eu/rapid/press-release_SPEECH-13-468_fr.htm
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?
uri=OJ:L:2013:294:0013:0027:FR:PDF
http://europa.eu/rapid/press-release_MEMO-13-541_en.htm
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?
uri=OJ:L:2013:182:0019:0076:EN:PDF
http://www.pwc.com/en_GX/gx/tax/publications/assets/pwc_tax_transparency_and-
country_by_country_reporting.pdf
http://www.alternatives-economiques.fr/industrie-extractive--la-transparence-avance-
en-europe_fr_art_1214_63813.html
Contenu :
Obligation de transparence et de reporting annuel sur les flux financiers country-by-
country and project-by-project.
Un rapport distinct et consolidé par la société mère (ayant au moins une filiale à
l’étranger).
Les États membres imposent aux grandes entreprises et à toutes les entités d'intérêt
public actives dans les industries extractives ou l'exploitation des forêts primaires
d'établir et de rendre public un rapport sur les paiements effectués au profit de
gouvernements sur une base annuelle. Au plus tard, 6 mois après la clôture de
l’exercice, et mis à disposition du public pendant 10 ans. Les sommes versées
déclarées sont à un niveau consolidé.
Cependant aucune sanction n’est prévue en cas de manquement à ces nouvelles
obligations.

Contenu du rapport (art. 43 de la directive européenne) :

Paiements dont le montant est supérieur à 100 000€.
Le montant total des paiements effectués au profit de chaque gouvernement.
Le montant total par type de paiements :
Droits à la production (production entitlements)
Impôts ou taxes perçus sur le revenu (taxes levied on the income, production)
Bénéfices des sociétés (profit of companies)
Redevances (royalties)
Dividendes (dividends)
Primes de signature, de découverte et de production (bonuses such as signature,
discovery and production business)
Droits de licence, frais de location, droits d’entrée et autres contreparties de licence
(licence fees, rental fees, entry fees and other considerations for licences and/or
concessions)
Paiements pour des améliorations d’infrastructures, des paiements effectués au
profit de chaque gouvernement (payments for infrastructure improvements)
Le montant total des paiements correspondant à chaque projet et par type de
paiements
Déclarer les paiements en nature au profit des gouvernements en valeur et volume.
Et mettre des notes expliquant comment elles ont été établies.
Refléter la substance du paiement ou de l’activité concernée plutôt que la forme. Les
paiements et activités ne peuvent pas être scindés ou regroupés pour échapper à
l’application de cette directive.

Une entreprise ne doit pas être incluse dans ce rapport si :

Des restrictions sévères et durables entament substantiellement l'exercice par
l'entreprise mère de ses droits sur le patrimoine ou la gestion de cette entreprise.
Dans des cas extrêmement rares où les informations nécessaires pour établir le
rapport consolidé sur les paiements effectués au profit des gouvernements
conformément à la présente directive ne peuvent être obtenues sans frais
disproportionnés ou sans délai injustifié.
Les actions ou parts de cette entreprise sont détenues exclusivement en vue de leur
cession ultérieure.
Parallèlement, lancement par la DG TRADE d’une consultation publique au sujet
des "minerais de conflit".
Dans ce cadre, la possibilité d'imposer des obligations de ‘due diligence’ aux
entreprises importatrices de minerais sera aussi considérée. Ce travail pourrait avoir
un impact, dans le futur, sur les Directives transparence et comptable.
CBCR / PBPR
Recherche: Sur le « country by country reporting » et le « project by project
reporting »
Sources:
http://www.ey.com/Publication/vwLUAssets/FiscAlerte_2014_No_06/$FILE/
FiscAlerte2014No06.pdf 
http://www.oecd.org/ctp/transfer-pricing/discussion-draft-transfer-pricing-
documentation.pdf
http://europa.eu/rapid/press-release_MEMO-13-541_en.htm 
http://www.amiando.com/eventResources/X/t/EWtREBW7MUMaqt/Silas_Olang.pdf
Contenu :

CBCR : Construction en ce moment d’un modèle de rapport pays par pays par
l’OCDE le 30/01/2014
Aujourd’hui la seule obligation d’information est limitée aux noms, nombre
d’employés et chiffre d’affaires, les informations vues ci-dessus, seront bientôt à
caractère obligatoire.
Il s’agira de créer un dossier maitre mondial et un dossier local par pays.
Un brouillon a été réalisé par l’OCDE pour le transfert des prix des taxes.
Les nouvelles règles introduisent une « clause d’équivalence » qui permettrait aux
entreprises de publier un rapport sur la base des exigences obligatoires d'un pays
tiers, à condition que celles-ci soient considérées comme équivalentes à l'exigence
de l’UE. Le pouvoir d'adopter de telles décisions d’équivalence, sur la base de
critères spécifiques concernant, par exemple, le contenu et la fréquence de
l'obligation de déclaration, est délégué à la Commission.

PBPR : Il s’agit de déclarer l’ensemble des sommes associé aux activités

opérationnelles régies par un contrat unique. Certains accords multiples pourront
être considérés comme UN projet s’ils sont sensiblement interconnectés.
EXEMPLE DE RAPPORT PROJET PAR PROJET (ici celui de la Tanzanie)
EXEMPLE DE RAPPORT PAYS PAR PAYS
ITIE / EITI
Recherche : Initiative pour la transparence dans les industries extractives, ou
’Extractive Industries Transparency Initiative
Sources :
http://www.banquemondiale.org/fr/results/2013/04/15/extractive-industries-
transparency-initiative-results-profile
http://www.pwc.com/en_GX/gx/tax/publications/assets/pwc_tax_transparency_and-
country_by_country_reporting.pdf

Contenu :
Objectifs : rendre public et rapprocher les versements effectués par les industries
extractives et les encaissements réalisés par l'État (taxes, redevances et bonus de
signature) ainsi que promouvoir et renforcer l’approche axée sur le dialogue entre
une multiplicité de parties prenantes.

Lien ITIE / directive transparence de l’UE : La directive a été en partie créée pour
promouvoir l’adoption de l’initiative de transparence des industries extractives dans
les pays où elles sont implantées. C’est à partir du moment que le pays hôte décide
d’adopter l’ITIE, que la nouvelle directive comptable de transparence s’applique et
devient obligatoire pour toutes les industries extractives présentes dans le pays.
L’UE ne vient qu’appuyer cette mesure en obligeant toutes les sociétés extractives
de l’Union européenne à divulguer leurs chiffres que les pays aient adopté l’ITIE ou
non.

Différences Dodd Frank Act / directive UE : L’UE a mis en place cette directive pour
correspondre à loi américaine et le domaine international dans lequel cette loi est
appliquée. Selon les Américains, cette loi n’aurait pas pu être complètement
appliquée sans une uniformisation internationale (SEC). Les obligations des deux
lois sont relativement similaires, l’UE va plus loin en rajoutant l’industrie forestière et
les sociétés non cotées ainsi que toutes les grandes sociétés privées pas forcément
extractives.

Rapport : L’ITIE demande la publication d’informations supplémentaires dans le

rapport pays par pays que celles obligatoires énoncées par la directive européenne :
Les produits issus d’intérêts de la part de l’état de la production ou d’autres revenus
perçus en nature (the proceeds from the sake of the state's share of production or
other revenues collected in kind.)

La mise à disposition des infrastructures, des biens, des services en échange

d’exploration ou de concessions minières (the provision of infrastructure, goods,
services in exchange for exploration or mining concessions.

La valeur et la nature des dépenses sociales si elles sont demandées par la loi ; la
divulgation des dépenses sociales volontaire est encouragée (The value and nature
of social expenditures if they are required by law; the disclosure of voluntary social
expenditure is encouraged).

Chiffre d'affaires du transport de pétrole, de gaz et de minéraux si ce sont l'un des

plus importants flux de revenus dans le secteur extractif. (Revenues from the
transportation of oil, gas and minerals where these are one of the largest revenues
streams in the extractive sector).

La propriété des licences d'exploration et d'exploitation minière devrait être

divulguée, de préférence via un registre publié disponible ou à défaut le rapport de
l'ITIE. (The ownership of exploration and mining licenses should be disclosed,
preferably via a publically available register or failing that the EITI report).

Divulgation de la propriété effective de sociétés extractives est recommandée.

(Disclosure of the beneficial ownership of extractive companies is recommended).
La divulgation publique des contrats pour l'exploration et l'exploitation des
ressources naturelles sont encouragées. (Public disclosure of contracts for the
exploration and exploitation of natural resources is encouraged).

Pays participant de l’ITIE:

Dodd Frank Act

Recherche: Sur le Dodd- Frank Wall street Reform and Consumer Protection Act
Sources :
http://www.lexology.com/library/detail.aspx?g=424e4f74-ebe2-4482-90e7-
8f6ccf86f511 
Contenu :
La loi Dodd Frank a pour but d’enrayer les financements occultes versés aux pays
en développement par le secteur des industries extractives. Elle demande aux
entreprises inscrites à la SEC (Securities and Exchange Commission) de publier les
commissions qu'elles versent aux gouvernements de chaque pays dans lequel elles
opèrent, pour exploiter leurs ressources pétrolières, gazières et minières.

Le Dodd Frank Act demande aussi à toutes les industries extractives hormis les
sociétés forestières et non cotées de divulguer les paiements faits auprès des
gouvernements, pays par pays et projet par projet. Cette loi a pris effet en novembre
2012 et les entreprises devront rendre leurs premiers rapports sur l’année 2014.
Cette loi incluse de divulguer les informations suivantes :
Commercial development activities, including exploration, extraction, processing and
export or acquisition of any license for such activity
Taxes
Royalties
Dividends
Bonuses
Payments for infrastructure improvements

Récapitulatif :
Annexe 7: synthèse des premiers nouveaux questionnaires d’auto-évaluations.

Global synthesis of evaluations

Questions:
Payroll:
1. Are your existing internal control procedures compliant with employee master data management rules as stated in §. 1.1 of the Group's payroll procedure?
2. Are your existing internal control procedures compliant with time and attendance rules as stated in §. 1.2 of the Group's payroll procedure?
3. Are your existing internal control procedures compliant with rules for documentary evidence of salary increase as stated in §. 1.3 of the Group's payroll procedure?
4. Are your existing internal control procedures compliant with rules for preparation and validation of payroll calculation as stated in §. 2 of the Group's payroll procedure?
5. Are your existing internal control procedures compliant with rules for payroll payment as stated in §. 3 of the Group's payroll procedure?
6. Are your existing internal control procedures compliant with rules for payroll accounting as stated in §. 4 of the Group's payroll procedure?
Payment:
1. Are your bank mandates compliant with bank mandates rules as stated in §. 1 of the Group's payment procedure?
2. Are your existing internal control procedures compliant with vendor master data management rules as stated in §. 2 of the Group's payment procedure?
3. Are your existing internal control procedures compliant with electronic payment rules as stated in §. 3.1 of the Group's payment procedure?
4. Are your existing internal control procedures compliant with check payment rules as stated in §. 3.3 of the Group's payment procedure?
5. Are payments by fax or other signed paper documents strictly forbidden as stated in §. 3.2 of the Group's payment procedure?

n en
tio dd
ta e n ce ida r bi
da nc e va
l
at
a t fo
te
r da id en ts
n e v nd es rd m nt en
as e r y a t t e ay e m
m a tt ta on ng da as p ym cu
ee d en rati t an rm ic
oy an m en u nti m o ron k pa r do
l e u a k d t c
p m c ep ym co n n ec e pe
Entities: Em Ti Do pr Pa Ac Ba Ve El Ch Pa
Imerys A
Imerys B
Imerys C
Imerys D
Imerys E
Imerys F
Imerys G
Imerys H
Imerys I
Imerys J
Imerys K