Mettre en œuvre

le contrôle interne
dans un contexte
réglementaire mouvant
Où en sont les entreprises ?
Eric Dugelay

13 décembre 2007
1. Rappels sur le
contrôle interne.
2. Le contexte
réglementaire.
3. Résultats de nos
travaux.
La démarche de contrôle interne est permanente

Toute démarche de contrôle interne doit être initiée par la Direction Générale de
l’entreprise qui, en s’appuyant sur une organisation interne et un dispositif
approprié, a pour objectif de confirmer la maîtrise des processus et des risques
au sein de l’entreprise

Organisation interne Diagnostic de l’existant

• Directions opérationnelles • Auto-évaluation

• Directions fonctionnelles • Inventaire des procédures
• Audit Interne et des risques
• Outils informatiques • Analyse de la conception
• Méthodologies des contrôles
• Etc. • Etc.

Amélioration du dispositif Vérification de l’existence

et pérennisation et de l’efficacité

• Identification des plans d’action • Auto-évaluation

• Actions correctrices • Tests de cheminement
• Evaluation suite à correction • Tests sur échantillon
• Harmonisation / Optimisation • Etc.

3 ©2007 Deloitte Conseil

De nombreux acteurs sont impliqués pour répondre à la
diversité des enjeux du contrôle interne

Diverses Directions participent au dispositif de contrôle interne et assistent la

Direction Générale à identifier, évaluer, optimiser et péréniser un dispositif
efficace pour maîtriser les enjeux de l’entreprise

Direction Direction
Financière Informatique
Risk
Audit Interne Management
Direction
Direction du Générale Directions
Contrôle Interne Opérationnelles

Dispositif de contrôle interne

Fiabiliser Renforcer la
l‘info financière gouvernance
Enjeux
Optimiser Maîtriser les
les processus risques

Prévenir Clarifier les

la fraude responsabilités

4 ©2007 Deloitte Conseil

1. Rappels sur le
contrôle interne.
2. Le contexte
réglementaire.
3. Résultats de nos
travaux.
 Le contexte réglementaire
L’environnement français

LSF AT Loi Transposition NEP sur le

LSF CNCC Breton ISA 315 rapport CI
CNCC

2003 2004 2005 2006 2007

AMF
1er Rapport Rapport Rapport AMF sur
groupe AMF sur AMF sur 2005 et
de place 2003 2004 recommandation
AMF sur le cadre
Lancement Publication de référence
du groupe du
de place document
principal du Travaux sur
cadre de le guide
référence d'application
par l'IFACI
Publication du document
par l'AMF + consultation
publique

6 ©2007 Deloitte Conseil

Le cadre de référence de l’AMF est compatible avec le
COSO*. Son guide d’application met l’accent sur le contrôle
interne comptable et financier

n el
Évaluation des Risques
n e ité
Recensement, Activités de it o

Activité 2
nc m
contrôle ra Activités
a de or
Contrôle
f
analyse et pé n on
Fi

Activité 1
gestion des proportionnées
proportionn O C
risques aux enjeux Pilotage

Unité B
Information et

Unité A
Surveillance Communication
Diffusion permanente
permanentedudu
en interne dispositif
dispositif
et et Activités de Contrôle
d’informations examen
examen ér
régulier de son Évaluation des Risques
Organisation, fonction-
de son Environnement de
responsabilités
responsabilit s, ne-
é fonctionnement Contrôle
modes ment
opératoires, outils
*Référentiel de contrôle interne défini par le
Committee Of Sponsoring Organizations of
the Treadway Commission.

7 ©2007 Deloitte Conseil

 Le contexte réglementaire
L'environnement international
05/09/08
Transposition
4e et 7e Directive
12 /01/07 29/06/08
EUROPE Directive Transposition
transparence 8e Directive

2003 2004 2005 2006 2007 2008

US Audit SOX : SOX : 19/12 Nouvelles

Standard Year 1 Year 2 Roundtable guidances
2 PCAOB SEC et
révision du
Standard 2
Premiers
rapports
FPI

UK
Revision Revision du
de Turnbull combined code

8 ©2007 Deloitte Conseil

Le contexte réglementaire
Les évolutions à venir

 4ème et 7ème Directives du 14 juin 2006

05/09/08 – Approche descriptive des systèmes de contrôle interne
Transposition et de gestion des risques
4e et 7e Directive
«(…) les sociétés faisant appel public à l’épargne fassent
29/06/08 chaque année une description des principales
Transposition caractéristiques des systèmes de contrôle interne
8e Directive et de gestion des risques (…) »

 8ème Directive sur le contrôle légal des

2008 comptes du 17 mai 2006
– Responsabilité du Comité d’Audit
« (…) Chaque entité d'intérêt public doit être dotée d'un
comité d'audit ».
« (…)le comité d'audit est notamment chargé des
missions suivantes:
a) suivi du processus d'élaboration de l'information
financière;
b) suivi de l'efficacité des systèmes de contrôle
interne, d'audit interne, le cas échéant, et de
gestion des risques de la société (…) »

9 ©2007 Deloitte Conseil

 Objectifs et fonctionnement du « groupe de place » AMF

 « Groupe de place » établi sous l’égide de l'AMF comportant :

– Des représentants des entreprises, de l’IFACI, des institutions comptables, des
personnes qualifiées, de l'AMF,…
– Un « guide d'application relatif au contrôle interne de l’information comptable et
financière »

 Objectifs :
– Mettre un outil de référence à la disposition des entreprises soumises à la LSF
– Contribuer à une plus grande homogénéité dans les rapports du Président
– Anticiper sur les 4ème, 7ème et 8ème directives
– Proposer un cadre compatible avec le COSO

 Application :
– Recommandation de l’AMF le 22 janvier 2007 pour les exercices ouverts à
compter du 1er janvier 2007

10 ©2007 Deloitte Conseil

La LSF et le cadre de référence de l’AMF, représentent une
opportunité réelle pour les acteurs du contrôle interne

Observation Approche de base Démarche avancée Meilleures pratiques

des pratiques Contrôle interne Contrôle interne ‘ancré Contrôle interne
de place ‘tourné vers le passé’ dans le présent’ ‘orienté futur’
Rédaction d’un état Identification des Déploiement d’une
des lieux succinct insuffisances du approche de gestion
2003 => 2006 sur le dispositif de dispositif de contrôle globale des risques
contrôle interne interne et proposition
d’actions d’amélioration

Niveau 1 Niveau 2 Niveau 3

>2007
recenser l’existant confirmer la réalité compléter et
et apprécier la opérationnelle améliorer
pertinence

11 ©2007 Deloitte Conseil

1. Rappels sur le
contrôle interne.
2. Le contexte
réglementaire.
3. Résultats de nos
travaux.
Enquête et expérience
 Enquête publique lancée par Deloitte en mai 2007 sur la fonction Contrôle
Interne auprès de l’ensemble des sociétés du SBF 120 à l’exception du secteur
banque/assurance, avec un bon niveau de représentativité :

– taux de réponse de près de 30%,

– diversité des entreprises ayant répondu (en termes de chiffre d’affaires, d’effectifs, de
secteurs d’activité ou de soumission aux réglementations internationales sur le contrôle
interne),
– Près d’un tiers (31,1%) des entreprises sondées sont cotées sur plusieurs places
financières. En particulier, 9 sur 31, soit 29% d’entre elles sont listées au New York
Stock Exchange ou l’étaient au moment de l’enquête.

13 ©2007 Deloitte Conseil

Deux questions centrales

 Est-ce que la fonction Contrôle Interne existe en tant que telle et quel rôle
joue-t-elle ?

– Quelle est la place accordée par les entreprises à la fonction Contrôle Interne lorsqu'elle
existe en tant que telle?
– Quel est son rayon d'action?
– Quels sont les moyens dont elle dispose?
– Quelles sont les interactions avec le Risk Management, le Contrôle de Gestion et l'Audit
Interne?

 Où en sont les sociétés de la Place dans la mise en œuvre d’un dispositif de

contrôle interne répondant aux attentes de l’AMF ?

14 ©2007 Deloitte Conseil

Thèmes

 Fonction Contrôle Interne et loi Sarbanes Oxley

 Relations entre fonctions Audit interne et Contrôle interne
 Contrôle interne et analyse des risques
 Questionnaires d’autoévaluation
 Evaluation du contrôle interne
 Prévention et détection des fraudes
 Quel référentiel interne ?

15 ©2007 Deloitte Conseil

Fonction Contrôle Interne et loi Sarbanes Oxley

16 ©2007 Deloitte Conseil

La fonction Contrôle Interne commence
tout juste à se développer en dehors des sociétés
soumises à Sarbanes Oxley où elle était apparue 1/2

 La charge de travail ayant découlé de l’article 404 de Sox a induit les sociétés
soumises à cette loi à se doter d’équipes de spécialistes du contrôle interne.
 Un peu plus de la moitié des sociétés (56%) ayant répondu à l’enquête disposent
aujourd’hui d’un département Contrôle Interne.
 La moitié environ d’entre elles ne sont pas soumises à Sox

17 ©2007 Deloitte Conseil

La fonction Contrôle Interne commence
tout juste à se développer en dehors des sociétés
soumises à Sarbanes Oxley où elle était apparue 2/2

 Les fonctions Contrôle Interne dédiées ont été créées depuis trois ans ou moins
pour 77% des départements existant.
 Ce calendrier est à rapprocher de celui de la mise en application de la LSF et de
Sox en France

Quand votre département de contrôle interne a-t-il été mis en place ?

Il y a moins d’1 an 17,1 %

Source de cet histogramme et
Il y a 1 à 2 ans 17,1 % des suivants :
Enquête publique lancée par
Deloitte en mai 2007 sur la
Il y a 2 à 3 ans 42,9 %
fonction Contrôle Interne auprès
de l’ensemble des sociétés du
Il y a plus de 3 ans 22,9 % SBF 120 à l’exception du secteur
banque/assurance

18 ©2007 Deloitte Conseil

Fonctions Audit interne et Contrôle interne

19 ©2007 Deloitte Conseil

L’Audit Interne reste le contrôleur du contrôle interne
mais a parfois aussi un rôle de coordination de la fonction
Contrôle Interne 1/2

 Près de 97% des sociétés sondées ont une équipe d’Audit Interne
de tailles relativement variables

 L’activité du département Contrôle Interne, lorsqu’il existe,

est coordonnée par l’Audit Interne dans 50% des cas

20 ©2007 Deloitte Conseil

L’Audit Interne reste le contrôleur du contrôle interne
mais a parfois aussi un rôle de coordination de la fonction
Contrôle Interne 2/2

 Ce département n’est audité par l’Audit Interne que pour un tiers des participants.
Le défaut d’indépendance pouvant résulter du point précédent est susceptible de
générer une difficulté à auditer le département Contrôle Interne
 Les missions de contrôle interne représentent 25% environ des missions
effectuées par l’Audit Interne

Dans le spectre des missions d’Audit interne, quel est le pourcentage

des missions ?

De contrôle interne 25,1 %

D’Audit Opérationnel 21,6 %

D’Audit financier 19 %

Conformité 15,6 %

Autres (à préciser) 11,5 %

Conseil 7,2 %

21 ©2007 Deloitte Conseil

La vérification de la conformité est plus attendue
de l’Audit Interne que l’assistance
ou le conseil au Management
 On note un retour à une perception de l’Audit Interne « classique » au sein des
sociétés où le service est perçu comme un vérificateur de la conformité pour deux
tiers des participants

Quelle notion décrit le mieux le rôle du département d’Audit Interne dans la société ?

Vérification de la conformité

Assistance au Management

Conseil au Management

10% 20% 30% 40% 50% 60% 70% 80% 90% 100 %

Pas du tout d’accord Plutôt pas d’accord Neutre Plutôt d’accord Tout à fait d’accord

22 ©2007 Deloitte Conseil

Contrôle interne et analyse des risques

23 ©2007 Deloitte Conseil

Les sociétés fondent en grande majorité leur plan d’audit
sur une analyse des risques

Comment est établi le plan d’audit ?

Selon un plan de rotation

Analyse des risques inhérents

Stratégie, métier et processus

10% 20% 30% 40% 50% 60% 70% 80% 90% 100 %

Pas du tout d’accord Plutôt pas d’accord Neutre Plutôt d’accord Tout à fait d’accord

24 ©2007 Deloitte Conseil

Une large majorité de sociétés déploient
une cartographie des risques

 La grande majorité (84%) des entreprises réalisent une cartographie des risques
– Le rapport 2006 de l’AMF indiquait déjà que plus de la moitié des sociétés sondées à
cette époque avait recours à la cartographie des risques
– Cet outil constitue l’une des composantes de l’approche proposée par le cadre de
référence de l’AMF

25 ©2007 Deloitte Conseil

Généralement annuelle,
la cartographie des risques intéresse
au premier chef la Direction Générale

A quelle fréquence la cartographie est elle mise à jour ?  Pour gérer les risques
identifiés lors de la
Annuellement 50,9 %
cartographie, les
Tous les 2 ans 18,9 % entreprises ont le plus
souvent recours à des
Autres (à préciser) 30,2 %
outils sur mesure (67%)
et non à des progiciels
Par qui les résultats de la cartographie sont-ils suivis ? du marché

Direction Générale 49,1 %

Comité d’Audit 32,1 %

Autres (à préciser) 18,9 %

Conseil de surveillance) 0 %

26 ©2007 Deloitte Conseil

La cartographie des risques s’intéresse
à l’ensemble des risques de l’entreprise

 Si la fonction Contrôle Interne se concentre plus particulièrement sur les aspects

financiers, les personnes chargées du déploiement de la cartographie des risques
recensent l’ensemble des risques de l’entreprise pour 71% des sociétés sondées

Quels sont les principaux types de risques identifiés par la société ?

Tous les risques de l’entreprise 71,4 %

Opérationnels et Financiers 19 %

Autres (à préciser) 6,3 %

Opérationnels 3,2 %

27 ©2007 Deloitte Conseil

Malgré l’importance de la cartographie des risques,
moins de la moitié des sociétés
dispose d’une fonction Gestion des Risques
 Un peu moins de la moitié des participants (43%) cite l’existence d’une fonction
Gestion des Risques dédiée

 Plus de deux tiers (68%) des sociétés soulignent le lien existant entre les
fonctions Contrôle Interne, lorsqu’elle existe, et Gestion des Risques

28 ©2007 Deloitte Conseil

Les questionnaires d’autoévaluation

29 ©2007 Deloitte Conseil

Les questionnaires d’auto-évaluation du contrôle interne sont
largement répandus et déployés de manière pragmatique

 Plus de deux tiers (71%) des sociétés affirment utiliser un questionnaire de

contrôle interne

 Le cadre de référence de l’AMF préconise, en effet, l’utilisation d’un

« questionnaire relatif à l’analyse et à la maîtrise des risques »

30 ©2007 Deloitte Conseil

Les questionnaires d’auto-évaluation du contrôle interne sont
largement répandus et déployés de manière pragmatique

 Les questionnaires sont de taille raisonnable, ce qui en facilite l’adoption :

– 210 questions en moyenne
– questionnaires « courts » (moins de 200 questions) utilisés par 60% des participants à
l’enquête

Combien de questions comportent votre questionnaire

d’autoévaluation du CI ?

Moins de 100 28,9 %

De 100 à 199 31,1 %

De 200 à 299 13,3 %

De 300 à 399 4,4 %

De 400 à 499 13,3 %

500 et plus 8,9 %

 Les questionnaires sont complétés annuellement pour la grande majorité des

participants (92%)

31 ©2007 Deloitte Conseil

Les trois axes du COSO sont équitablement abordés dans les
questionnaires

 Le contrôle interne comptable et financier est considéré comme une priorité, ce

qui augure favorablement de la mise en place du guide d’application de l’AMF
sur ce sujet
Quels sont les thèmes abordés dans les questionnaires de contrôle interne ?

Qualité de l’information financière 65,6 %

Environnement de contrôle 65,6 %

Conformité à la réglementation 62,5 %

Efficacité opérationnelle 46,9 %

Autres (à préciser) 12.5 %

el
Évaluation des Risques
onn e ité
i

Activité 2
at nc
o rm
r Activités de Contrôle
f
pé na on
Fi

Activité 1
O C
Pilotage

Unité B
Information et

Unité A
Communication
Activités de Contrôle

Évaluation des Risques

Environnement de
Contrôle
32 ©2007 Deloitte Conseil
L’analyse des réponses aux questionnaires intéresse
de nombreuses fonctions de l’entreprise

 Cinq fonctions sont citées par au moins un quart des personnes sondées comme
ayant une implication dans l’analyse des résultats de l’exercice d’auto-évaluation.
– Cette analyse est réalisée principalement par l’Audit Interne (57%) et le Comité Audit
(46%)
– Les questionnaires de contrôle interne ne sont analysés par la fonction Contrôle Interne
proprement dite que dans 25% des cas environ

Par qui sont suivis les résultats ?

Audit interne 57,1 %

Comité d’Audit 46 %

Direction Financière 34,9 %

Direction Générale 30,2 %

Contrôle Interne 25,4 %

Autres (à préciser) 12,7 %

Conseil de Surveillance 3,2 %

33 ©2007 Deloitte Conseil

Evaluation du contrôle interne

34 ©2007 Deloitte Conseil

57% des sociétés procèdent à une évaluation de leur contrôle
interne et plus du tiers de ces dernières en communiquent les
résultats

 L’évaluation du contrôle interne est communiquée à l’extérieur pour environ 21%

des participants
 Ce constat révèle la volonté des entreprises de renforcer leur transparence vis-à-
vis des investisseurs et du marché en général, et de suivre, dans ce sens, les
recommandations formulées par l’AMF dans son rapport 2006

L’analyse du contrôle interne dans la société

Donne-t-elle lieu à un plan

76,2 %
d’actions ?
Aboutit-elle à une évaluation,
même non communiquée à l’extérieur 57,1 %

Est-elle purement descriptive ? 25,4 %

Aboutit-elle à une évaluation
dont les résultats sont communiqués 20,6 %
à l’extérieur ?

35 ©2007 Deloitte Conseil

Prévention et détection des fraudes

36 ©2007 Deloitte Conseil

 Les acteurs du contrôle interne doivent être à même de
contribuer à la prévention et la détection de la fraude, sujets
de préoccupation identifiés comme prioritaires

 Plus de 87% des sociétés sondées reconnaissent mener des actions

en prévention de la fraude
 Les infractions sont principalement détectées grâce à des contrôles
ponctuels du management et des missions de l’Audit Interne
 L’utilisation des Lignes d’Alerte Ethique commence à voir le jour

Comment sont détectées les fraudes ?

Contrôle ponctuel du Management 27 %

Mission de l’Audit Interne 26 %

Dénonciation 17 %

Ligne d’Alerte Ethique 12 %

Mission de l’Audit Externe 11 %

Autres (à préciser) 6%

37 ©2007 Deloitte Conseil

L’investigation de la fraude incombe traditionnellement à
l’Audit Interne

 L’Audit Interne est également au centre du processus anti-fraude en étant le plus

souvent impliqué dans les investigations (44% des cas environ).
– Un peu moins d’un quart des participants font appel à un spécialiste de la fraude

Qui est en charge de l’investigation en cas de suspicion de fraude ?

L’Audit Interne 43,6 %

Un spécialiste de la fraude 17,9 %

Le Management 17,9 %

Autres (à préciser) 10,3 %

Les Ressources Humaines 10,3 %

38 ©2007 Deloitte Conseil

Les programmes anti-fraude formalisés ne font pas recette en
dehors des sociétés tenues par Sox d’en déployer un

 35% environ des sociétés n’ont qu’une réaction ponctuelle, et non pas
systématique, à la suspicion de fraude
 Seulement 21% des sociétés disposent de programmes anti-fraude formalisés

Quelle est l’approche fraude dans votre société ?

Réaction ponctuelle à la suspicion 34,9 %

Réactivité systématique à la suspicion 30,2 %

Programmes anti-fraude formalisés 20,9 %

Autres (à préciser) 14 %

39 ©2007 Deloitte Conseil

Les lignes éthiques, par contre, commencent à se développer,
mais la communication directe avec le Management est
privilégiée en cas de suspicion de fraude

 Les outils mis à disposition des employés pour signaler la fraude restent limités
 Moins de la moitié des sociétés ont mis en place des lignes éthiques spécifiques
(e-mail ou e-mail plus numéro de téléphone)
 Le canal d’information le plus utilisé est de loin la communication directe avec le
Management

Lorsqu’il constate une fraude, de quels outils dispose le salarié pour informer le Management ?

Autres (par ex communication à la hiérarchie) 81,8 %

Email spécifique 41,9 %

Numéro de téléphone spécifique 32,3 %

40 ©2007 Deloitte Conseil

 Quel référentiel interne ?

41 ©2007 Deloitte Conseil

Le cadre de référence de l’AMF commence déjà à se
substituer à celui du COSO

 Plus des trois quart (78%) des sociétés participantes s’appuient sur un référentiel
de contrôle interne
 Parmi ces sociétés, près des deux tiers (63%) utilisent le COSO comme
référentiel de contrôle interne et un peu moins d’un tiers (29%) recourent d’ores et
déjà au cadre de référence de l’AMF

Sur quel référentiel votre société s’appuie-t-elle ?

COSO 63,3 %

AMF 28,6 %

Interne 8,2 %

Autres (à préciser) 0,0 %

42 ©2007 Deloitte Conseil

 Member of
Deloitte Conseil Deloitte Touche Tohmatsu
Contacts

Eric Dugelay
Associé – en charge du pôle Risk Management
Deloitte Conseil
edugelay@deloitte.fr
+ 33 (0) 1 55 61 54 13

44 ©2007 Deloitte Conseil