AFAI – Cadre de référence AMF,

Contrôle interne IT
25 mars 2008

Price Waterhouse Coopers

 Sommaire

• Contexte
• Définition du contrôle interne
• Structure du cadre de référence
• Evolution du cadre de référence (2008)
• Les composantes du contrôle interne
• Dispositif de gestion des risques (opérationnels S.I.)
• Impact système d’information
• Organisation et sécurité des systèmes d’information

25.03.2008
 Contexte
• Dans le cadre des obligations prévues par le code de commerce pour les sociétés
faisant appel public à l’épargne, l’AMF a publié en 2006 un cadre de référence qui
a fait l’objet d’une recommandation de l’AMF le 22 janvier 2007 et applicable
depuis les exercices ouverts à compter du 1er janvier 2007.

• Ce cadre de référence sur le contrôle interne prévoit que "chaque société est
responsable de son organisation propre et donc de son contrôle interne" et
que le cadre de référence "n’a pas vocation à être imposé aux so ciétés" mais à être
utilisé par celles-ci "pour superviser ou, le cas échéant, développer leur disposit if
de contrôle interne, sans cependant constituer des directives sur la façon de
concevoir leur organisation".
Concerne les sociétés cotées hors secteurs réglementés (ex. banque, assurance, psi) qui font l’objet de
réglementations spécifiques de la part de régulateurs tels que la Commission Bancaire ou la Banque de
France.

25.03.2008
 Définition du contrôle interne (AMF)
Le contrôle interne est un dispositif de la société, défini et mis en
œuvre sous sa responsabilité, qui vise à assurer (finalités):
• la conformité aux lois et règlements ;
• l’application des instructions et des orientations fixées par la direction générale
ou le directoire ;
• le bon fonctionnement des processus internes de la société, notamment ceux
concourant à la sauvegarde de ses actifs ;
• la fiabilité des informations financières.
et d’une façon générale, contribue à la maîtrise de ses activités, à
l’efficacité de ses opérations et à l’utilisation efficiente de ses
ressources.

Conformité Gouvernance Gestion des risques Fiabilité de l’information financière

25.03.2008
 Structure du cadre de référence

Dispositif de contrôle interne

Cadre de référence Guide d’application

Principes généraux de contrôle

interne Processus de pilotage
de l’organisation
Analyse et Contrôle interne comptable et financière
maîtrise des comptable et
risques Gouvernance financier Processus contribuant à
d’entreprise l’élaboration de
Annexe 1 Annexe 1 l’information comptable et
Annexe 4 financière

Finalités
1. Maîtrise des activités,
2. Efficacité des opérations
3. Utilisation efficiente des ressources
4. Réponses appropriées aux risques significatifs
(opérationnels, financiers, conformité)

25.03.2008
 Structure du cadre de référence : éléments S.I.

n "composantes du Dispositif de contrôle interne nVolets: 1.1.5. Organisation

contrôle interne" (pages 14 et sécurité des systèmes
Cadre de référence Guide d’application
à 16) dans les première et d'information (page 29 et 30),
la quatrièmes composantes Principes généraux de contrôle
interne Processus de pilotage
de l’organisation 1.2.1 Organisation,
du dispositif de contrôle Analyse et
maîtrise des
Contrôle interne
comptable et
comptable et financi ère

Processus contribuant à compétences et moyens

risques Gouvernance financier
interne Annexe 1
d’entreprise
Annexe 1
l’élaboration de
l’information comptable et
(pages 30 et 31)
Annexe 4 financi ère

Finalités
1. Maîtrise des activités,
2. Efficacité des opérations
3. Utilisation efficiente des ressources
4. Réponses appropriées aux risques significatifs
(opérationnels, financiers, conformité)

n Questionnaires
C1« Organisation comportant une définition claire des responsabilités,
disposant des ressources et des compétences adéquates et s’appuy ant
sur des systèmes d’information, sur des procédures ou modes
opératoires, des outils et des pratiques appropriés »
C4
« Activités de contrôle proportionnées aux enjeux propres à chaque
processus, et conçues pour s’assurer que les mesures nécessaires sont
prises en vue de maîtriser les risques susceptibles d’affecter la
réalisation des objectifs »

25.03.2008
 Evolution du cadre de référence (2008)
• Pas d’évolution majeures si ce n’est un allègement des contraintes
réglementaires pesant sur les valeurs moyennes et petites proposées par l'AMF
ainsi que,
• Le "cadre de référence du contrôle interne » : guide spécifique de mise en œuvre
pour les valeurs moyennes et petites.

• La notion de "valeur moyenne et petite" retenue par l'AMF

– Le groupe de travail AMF a recommandé de définir les valeurs moy ennes et petites
comme celles ayant, à la date de clôture de leur exercice, une capitalisation boursière
inférieure ou égale à 750 millions d'euros.
– En cas de franchissement de ce seuil, le groupe de travail AMF a recommandé que le
changement de régime ne soit applicable à la société concernée que pour l'exercice
suivant celui au cours duquel le seuil a été franchi.

25.03.2008
 Les composantes du contrôle interne (cadre de
référence AMF)
Le dispositif de contrôle interne comprend cinq composantes :
1. Une organisation comportant une définition claire des responsabilités, disposant des
compétences adéquates et s’appuyant sur des systèmes d’informati on, sur des procédures,
des outils et des pratiques appropriés.
2. La diffusion en interne d’informations pertinentes, fiables, dont la connaissance permet
à chacun d’exercer ses responsabilités
3. Un système visant à recenser, analyser les principaux risques identifiables au regard
des objectifs de la société et à s’assurer de l’existence de procédures de gestion de ces
risques
4. Des activités de contrôle proportionnées aux enjeux propres à chaque processus, et
conçues pour s’assurer que les mesures sont prises en vue de maîtriser les risques
susceptibles d’affecter la réalisation des objectifs
5. Une surveillance permanente portant sur le dispositif de contrôle interne ainsi qu’un
examen régulier de son fonctionnement

25.03.2008
 Dispositif de gestion du risque (opérationnel
S.I.)
• Annexe 1 du cadre de référence, questionnaire relatif à l’analyse et à la maîtrise
des risques

Politique de
gestion des
risques

Surveillance et Cartographie et
procédures de mécanismes de
gestions mise à jour en
associées continu

Gestion des Analyse des

grands risques risques et des
impacts

25.03.2008
 Système d’information
• La mise en œuvre d’un dispositif de contrôle interne doit reposer sur des systèmes
d’information adaptés aux objectifs actuels de l’organisation et conçus de façon à
pouvoir supporter ses objectifs futurs.
– Les systèmes informatiques doivent être protégés efficacement tant au niveau de
leur sécurité physique que logique afin d’assurer la conservation des informations
stockées.
– Leur continuité d’exploitation doit être assurée au moyen de procédures de secours.
– Les informations relatives aux analyses, à la programmation et à l’exécution des
traitements doivent faire l’objet d’une documentation.
• Les activités de contrôle sont présentes partout dans l’organisation, à tout niveau
et dans toute fonction qu’il s’agisse de contrôles orientés vers la prévention ou la
détection, de contrôles manuels ou informatiques ou encore de contrôles
hiérarchiques.
En tout état de cause, les activités de contrôle doivent être déterminées en fonction de la
nature des objectifs auxquels elles se rapportent et être propor tionnées aux enjeux de chaque
processus. Dans ce cadre, une attention toute particulière devrait être portée aux contrôles
des processus de construction et de fonctionnement des systèmes d’information.

25.03.2008
 Organisation et sécurité du S.I.
• La tenue de la comptabilité au moyen de systèmes informatisés implique qu’une
organisation claire et formalisée soit établie, et que des dispositifs destinés à
assurer la sécurité physique et logique des systèmes et données
informatiques soient mis en place.
• Les systèmes d’information doivent permettre de satisfaire aux exigences de
sécurité, de fiabilité, de disponibilité et de pertinence de l’information
comptable et financière.
• L’organisation et le fonctionnement de l’ensemble du système d’information doit
faire l’objet de règles précises en matière d’accès au système, de validation des
traitements et de procédure de clôture, de conservation des données, et de
vérifications des enregistrements.
• Il doit exister des procédures et des contrôles permettant d’assurer la qualité et
la sécurité de l’exploitation, de la maintenance et du développement (ou du
paramétrage) des systèmes de comptabilité et de gestion ainsi que des systèmes
alimentant directement ou indirectement les systèmes comptables et de gestion.

25.03.2008
 Rapport AMF 2007
• Contrôle interne, principales recommandations
– Définir plus précisément le périmètre couvert, le nouveau cadre de référence précise
que le périmètre doit comprendre la société-mère et les sociétés intégrées dans les
comptes consolidés
– Se conformer au plan correspondant au référentiel sur lequel les sociétés s’appuient
pour la rédaction de leur rapport (les ¾ des entreprise de l’échantillon s’appuient sur le
Coso ou un dérivé)
– Faire apparaître le lien entre le recensement des risques et les procédures de
gestion des risques
– Renforcer le lien entre les objectifs énoncés et la description des procédures
effectivement mises en place par les sociétés
– Présenter les diligences ayant permis la préparation du rapport du président (en
introduction du rapport)
– Entreprises soumises à SOX: communiquer sur les pistes d’amélioration envisagées
à la suite des travaux d’appréciation; Communiquer au marché les défaillances ou
insuffisances graves du contrôle interne

25.03.2008