Introduction Nombreux scandales financiers dans les années 2000 Crise des subprimes en 2008 Perte de 5 milliards d’euros par la Société Générale… ⇨fragilité de l’information comptable et financière ⇨difficulté à rendre compte fidèlement de la situation d’une entreprise Contrôle interne et audit = les 2 piliers qui soutiennent la crédibilité de toute information comptable et financière CI = tout ce qui est mis en œuvre pour sécuriser la collecte, le traitement et la transmission de l’information Audit = regard extérieur sur la qualité de cette information CI et audit = rôle essentiel pour faire confiance à l’information transmise CH1 LES ENJEUX DU CONTRÔLE INTERNE
CH2 PRESENTATION GENERALE DE
L’AUDIT
CH3 PRATIQUE DE L’AUDIT
FINANCIER CH1 ENJEUX DU CONTRÔLE INTERNE I. Définitions
II. Rôle du contrôle interne
III. Mise en œuvre
I. Définitions A. L’approche classique B. La définition des commissaires aux comptes C. L’approche proposée par le COSO D. Le cadre de référence de l’AMF A. L’approche classique Contrôle interne : traduction littérale de « internal control » (business control – USA) « control » = maîtrise Contrôle = surveiller pour évaluer A. L’approche classique (2) CI = ensemble des dispositifs ayant pour but d’assurer ◦ la protection du patrimoine ◦ La qualité de l’information ◦ L’application des instructions de la Direction ◦ L’amélioration des performances A. L’approche classique (3) Traduction concrète du CI : ◦ Un état d’esprit pour toute personne exerçant une autorité dans l’organisation ◦ Un ensemble de moyens, mesures, méthodes
2 catégories de contrôles : ◦ Contrôles administratifs ou opérationnels
◦ Contrôles comptables ou financiers
I. Définitions A. L’approche classique B. La définition des commissaires aux comptes C. L’approche proposée par le COSO D. Le cadre de référence de l’AMF B. Définition des CAC (2003) Les procédures de CI impliquent : ◦ Le respect des politiques de gestion ◦ La sauvegarde des actifs ◦ La prévention et la détection des fraudes ◦ L’exactitude et l’exhaustivité des enregistrements comptables ◦ L’établissement en temps voulu d’informations comptables et financières stables B. Définition des CAC (2003) (2) Définition plus large : ◦ CI abordé en termes de processus et plus seulement de techniques et de dispositifs de sécurité ◦ L’ensemble du personnel de l’entreprise est concerné I. Définitions A. L’approche classique B. La définition des commissaires aux comptes C. L’approche proposée par le COSO D. Le cadre de référence de l’AMF C. Approche COSO Committee of Sponsoring Organization of the Treadway Commission Définition 1992 ◦ Processus mis en œuvre par le CA, les dirigeants et le personnel d’une organisation ◦ Destiné à fournir une assurance raisonnable quant à la réalisation des objectifs suivants : Réalisation et optimisation des opérations Fiabilité des informations financières Conformité aux lois et aux réglementations en vigueur C. Approche COSO (2) COSO1 : 5 éléments essentiels pour une bonne maîtrise des activités ◦ Base = environnement de contrôle ◦ Évaluation des risques ◦ Activités de contrôle ◦ Information et communication satisfaisantes ◦ Pilotage par chaque responsable à son niveau C. Approche COSO (3) COSO2 ou Enterprise Risk Management ◦ Étude réalisée aux USA à la suite du Sarbanes – Oxley Act (ou Loi SOX de juillet 2002) ◦ Montre qu’un bon contrôle interne ne peut exister sans une gestion globale des risques C. Approche COSO (4) Nouvelle mise à jour en mai 2013 5 composants conservés Définition de 17 principes C. Approche COSO (5) Point sur la loi SOX (1) oblige les sociétés cotées au NYSE à mettre en place des contrôles internes pour éviter la fraude, l’utilisation d’informations financières erronées, ainsi que la perte des données oblige aussi à faire valider les contrôles par un organisme d’audit externe. Sanctions exemplaires : ◦ exclusion de la société de la bourse américaine ◦ sanctions financières (amendes très élevées) ◦ sanctions criminelles jusqu’à 20 ans de prison pour le dirigeant Point sur la loi SOX (2) s'accompagne de la création d'une agence indépendante de régulation, la Public Company Accounting Oversight Board, ou PCAOB (surveillance des audits comptables) interdit à une société d'audit de combiner les prestations de conseil et d'audit pour un même client LSF en France en 2003 / H3C I. Définitions A. L’approche classique B. La définition des commissaires aux comptes C. L’approche proposée par le COSO D. Le cadre de référence de l’AMF D. Cadre de référence AMF Issu d’un groupe de travail « de Place » en 2006 - 2007 Non obligatoire (« comply or explain ») Comprend : ◦ Des principes généraux de CI ◦ Un guide d’application du CI de l’information comptable et financière ◦ Deux questionnaires : L’un sur le CI comptable et financier L’autre sur l’analyse et la maîtrise des risques CH1 ENJEUX DU CONTRÔLE INTERNE I. Définitions
II. Rôle du contrôle interne
III. Mise en œuvre
II. Rôle du contrôle interne Objectif général = atteindre les buts fixés par la Direction, décliné en 4 objectifs spécifiques A. Protection du patrimoine B. Fiabilité et intégrité des informations financières C. Respect des lois, règlements et contrats D. Efficacité et efficience des opérations A. Protection du patrimoine Sécurité des actifs : immobilisations et stocks, liquidités et moyens de paiement Plus largement : ◦ Les salariés ◦ L’image de l’entreprise ◦ La technologie ◦ Les informations confidentielles II. Rôle du contrôle interne A. Protection du patrimoine B. Fiabilité et intégrité des informations financières C. Respect des lois, règlements et contrats D. Efficacité et efficience des opérations B. Fiabilité et intégrité des informations financières Le CI doit permettre aux informations d’être Fiables et vérifiables Exhaustives Pertinentes Disponibles II. Rôle du contrôle interne A. Protection du patrimoine B. Fiabilité et intégrité des informations financières C. Respect des lois, règlements et contrats D. Efficacité et efficience des opérations C. Respect des lois, règlements et contrats Respect de toutes les règles, internes et externes Exemple audit de conformité II. Rôle du contrôle interne A. Protection du patrimoine B. Fiabilité et intégrité des informations financières C. Respect des lois, règlements et contrats D. Efficacité et efficience des opérations D. Efficacité et efficience des opérations Prise en compte dans le CI de questions comme : L’entreprise a-t-elle les moyens de sa politique ? Les moyens dont elle dispose sont-ils utilisés de façon optimale ? Synthèse CI indispensable : ◦ Permet de s’assurer que les décisions prises sont correctement appliquées ◦ Garantit la qualité du produit fabriqué ou de la prestation effectuée ◦ Décèle les anomalies de fonctionnement Audit = « contrôle » du contrôle interne CH1 ENJEUX DU CONTRÔLE INTERNE I. Définitions
II. Rôle du contrôle interne
III. Mise en œuvre
III. Mise en œuvre Petites entreprises : besoins en matière de CI et moyens limités Rôle essentiel du chef d’entreprise ≠ Grandes entreprises avec un actionnariat diffus et une relation d’agence entre actionnaires et dirigeants Et groupes avec des filiales dont la société- mère doit s’assurer de l’existence d’un CI III. Mise en œuvre A. Les acteurs B. Les outils et techniques C. L’importance du facteur humain A. Les acteurs (1) Direction générale : ◦ Conçoit et pilote le dispositif de CI ◦ Rend compte au conseil d’administration Conseil d’administration ( ou de surveillance) : Peut demander les vérifications nécessaires Comité d’audit (s’il existe) : collabore avec l’audit interne pour si nécessaire identifier les écarts de la direction et agir en conséquence Renforcement du CI A. Les acteurs (2) Service d’audit interne (s’il existe) : ◦ évalue le fonctionnement du dispositif de CI et préconise des améliorations ◦ Sensibilise et forme l’encadrement au CI, sans être directement impliqué dans la mise en œuvre quotidienne du dispositif ◦ Rend compte à la direction générale et au conseil d’administration / comité d’audit A. Les acteurs (3) Personnel : ◦ en charge du fonctionnement et de la surveillance du dispositif ◦ Rôle bien sûr important des cadres financiers et (s’il en existe) des contrôleurs internes B. Les outils et techniques 1. Au niveau de l’organisation a) Séparation des tâches b) Supervision c) Délégations de pouvoir d) Conservation des actifs 2. Au niveau du déroulement des tâches a) Séparation des tâches (1) Risque : une même personne peut commettre une malversation et la dissimuler Nécessité : ◦ Définir clairement la structure organisationnelle et les différentes étapes des opérations ◦ Identifier les tâches incompatibles entre elles 3 grandes étapes pour chaque opération : ◦ Autorisation + Contrôle ◦ Détention / Manipulation physique ◦ Enregistrement comptable Préférable qu’une même personne ne soit pas en charge de 2 étapes a) Séparation des tâches (2) Exemples : ◦ Exécution et contrôle d’une opération confiées à des personnes différentes ◦ Pas de cumul des fonctions de concepteur et d’utilisateur d’un système informatique ◦ Tenue de la comptabilité et signature sur les comptes bancaires incompatibles ◦ Double signature sur les comptes conseillée ◦ Rotation du personnel utile a) Séparation des tâches (3) Principe difficilement applicable dans les petites entreprises : ◦ Rôle très important de contrôle du dirigeant ◦ Possibilité d’externaliser certaines fonctions b) Supervision = approbation finale des transactions et vérification de la réalisation des contrôles de base c) Délégations de pouvoir Autorisations accordées en fonction du niveau de compétence et de responsabilité Définition précise des autorisations, habilitations et pouvoirs de chacun Exemples : ◦ Qui donne son accord pour le remboursement des notes de frais ? ◦ Qui autorise une décision d’investissement au-delà d’un certain montant ? ◦ À quel moment une commande de réapprovisionnement doit-elle être passée ? d) Conservation des actifs (1) 2 risques principaux : ◦ Détournement ⇨non détention ◦ Dégradation ⇨ perte de valeur Éviter les détournements d’actifs : ◦ Par vol ◦ Par négligence Éviter la dégradation d’actifs ◦ Inévitables ◦ Évitables d) Conservation des actifs (2) Mesures nécessaires : ◦ Restriction des accès à certains documents (diffusion limitée), certaines applications ou fichiers (droits, mots de passe), à certains lieux (badges), ce qui facilite aussi la séparation des tâches ◦ Protection physique : Actifs sensibles ou coûteux : chéquiers, espèces, processus de fabrication, contrats, informations financières, ordinateurs… Coffre, armoire ou salle fermée à clé, surveillance physique ou vidéo… 2. Au niveau du déroulement des tâches a) Identification des sources d’erreurs b) Recherche d’un contrôle adapté c) Matérialisation des contrôles effectués a) Identification des sources d’erreurs Définition précise des tâches pour une réalisation et un contrôle facile Tentation pour certains de compliquer les tâches exemples b) Recherche d’un contrôle adapté = CI qui permet : ◦ D’identifier les risques ◦ De les limiter au maximum ◦ Tout en étant facilement réalisable et peu coûteux Étape 1 : définition des risques et de leurs conséquences Étape 2 : définition des objectifs du CI Étape 3 : réaliser les contrôles adaptés c) Matérialisation des contrôles effectués Identification des personnes réalisant les opérations Matérialisation ◦ Pour les contrôles humains ◦ Pour les contrôles automatiques C. L’importance du facteur humain Introduction : Article sur la prise en compte du facteur humain 1. Étude PWC 2. La fraude et les indices de détection (Ordre des experts-comptables) 1. L’enquête PWC (www.pwc.fr/enquetefraude2011) C. L’importance du facteur humain Introduction : Article sur la prise en compte du facteur humain 1. Étude PWC 2. La fraude et les indices de détection (Ordre des experts comptables) 2. Fraude et indices de détection Qu’est-ce que la fraude ? Panorama des fraudes Indices de détection Exemples de schémas de fraude Qu’est-ce que la fraude ? Panorama des fraudes Les indices Indices liés à l’environnement de l’entité Indices liés aux processus/cycles Indices liés à l’environnement Exemples de facteurs de risque / opportunité Exemples de facteurs de risque / pression Exemples de facteurs de risque / rationalisation Indices liés aux processus 2 méthodes possibles : ◦ Utiliser des indicateurs types pour tous les dossiers ◦ Rechercher des scénarios de fraude possibles et en déduire les indices à rechercher Exemples de schémas de fraude Exemples d’indices / processus achat (1) Faiblesses du contrôle interne : ◦ Paiements sur des copies, fax ◦ Paiements sans justificatif ◦ Absence de protection des moyens de paiements ◦ Pas de procédure avec la banque pour les virements ◦ Mauvaise séparation des fonctions… Exemples d’indices / processus achat (2) Indicateurs : ◦ Anomalies dans la base fournisseur ◦ Employé correspondant à un fournisseur ◦ Paiements en double dans la comptabilité ◦ Anomalies dans le rapprochement bancaire ◦ Journal inhabituel pour l’écriture ◦ Augmentation des paiements à un fournisseur ◦ Bons de commande orphelins… Exemples d’indices / processus vente (1) Faiblesses du contrôle interne : ◦ Procédure de passage à perte ◦ Mauvaise séparation des fonctions Exemples d’indices / processus vente(2) Indicateurs : ◦ Avoirs fictifs (sans justificatif) ◦ Anomalies de séquence des factures ◦ Augmentation des douteux ◦ Passages à pertes non justifiés ◦ Anomalies dans les délais de paiement (lent) ◦ Variation du CA anormale en fin d’année Exemples d’indices / processus stocks (1) Faiblesses du contrôle interne : ◦ Carence dans les procédures d’inventaire, de cut-off ◦ Mauvaise procédure de retours ◦ Mauvais étiquetage ◦ Mauvaise séparation des fonctions ◦ Accès non sécurisé aux zones de stockage Exemples d’indices / processus stocks(2) Indicateurs : ◦ Volume inhabituel de rebuts ◦ Ecarts d’inventaire ◦ Anomalies dans les marges par produit