Mettre en uvre le contrle interne dans un contexte rglementaire mouvant O en sont les entreprises ?

Eric Dugelay

13 dcembre 2007

1. Rappels sur le contrle interne.

2. Le contexte rglementaire. 3. Rsultats de nos travaux.

La dmarche de contrle interne est permanente

Toute dmarche de contrle interne doit tre initie par la Direction Gnrale de lentreprise qui, en sappuyant sur une organisation interne et un dispositif appropri, a pour objectif de confirmer la matrise des processus et des risques au sein de lentreprise
Organisation interne Directions oprationnelles Directions fonctionnelles Audit Interne Outils informatiques Mthodologies Etc. Diagnostic de lexistant Auto-valuation Inventaire des procdures et des risques Analyse de la conception des contrles Etc.

Amlioration du dispositif et prennisation Identification des plans daction Actions correctrices Evaluation suite correction Harmonisation / Optimisation

Vrification de lexistence et de lefficacit Auto-valuation Tests de cheminement Tests sur chantillon Etc.

2007 Deloitte Conseil

De nombreux acteurs sont impliqus pour rpondre la diversit des enjeux du contrle interne
Diverses Directions participent au dispositif de contrle interne et assistent la Direction Gnrale identifier, valuer, optimiser et prniser un dispositif efficace pour matriser les enjeux de lentreprise
Direction Financire Audit Interne Direction du Contrle Interne

Direction Informatique
Risk Management Directions Oprationnelles

Direction Gnrale

Dispositif de contrle interne

Fiabiliser linfo financire Optimiser les processus Renforcer la gouvernance

Enjeux
Prvenir la fraude
Clarifier les responsabilits

Matriser les risques

2007 Deloitte Conseil

1. Rappels sur le contrle interne. 2. Le contexte rglementaire.

3. Rsultats de nos travaux.

Le contexte rglementaire
Lenvironnement franais
LSF AT CNCC Loi Breton Transposition ISA 315

LSF
CNCC

NEP sur le rapport CI

2003

2004

2005

2006

2007

AMF
1er groupe de place Rapport AMF sur 2003 Lancement du groupe de place Rapport AMF sur 2004 Rapport AMF sur 2005 et recommandation AMF sur le cadre de rfrence

Publication du document principal du Travaux sur le guide cadre de rfrence d'application par l'IFACI Publication du document par l'AMF + consultation publique

2007 Deloitte Conseil

Le cadre de rfrence de lAMF est compatible avec le COSO*. Son guide dapplication met laccent sur le contrle interne comptable et financier

Surveillance Diffusion permanente du permanente du en interne dispositif et et dispositif dinformations examen examen r rgulier de son Organisation, fonctionde son s, fonctionnement neresponsabilits responsabilit modes ment op ratoires, outils

Activits de Contrle valuation des Risques Environnement de Contrle

*Rfrentiel de contrle interne dfini par le Committee Of Sponsoring Organizations of the Treadway Commission.
7 2007 Deloitte Conseil

Unit A

Information et Communication

Unit B

Pilotage

Activit 1

Recensement, Activit s de contrle analyse et proportionn gestion des proportionnes aux enjeux risques

Activit 2

l valuation des Risques ne n it e io c t rm ra Activits de Contrle fo an n p on Fi O C

Le contexte rglementaire
L'environnement international
05/09/08 Transposition 4e et 7e Directive

EUROPE

12 /01/07 Directive transparence

29/06/08 Transposition 8e Directive

2003

2004

2005

2006

2007

2008

US

Audit Standard 2

SOX : Year 1

SOX : Year 2

19/12 Nouvelles Roundtable guidances PCAOB SEC et rvision du Standard 2 Premiers rapports FPI

UK
Revision de Turnbull Revision du combined code

2007 Deloitte Conseil

Le contexte rglementaire
Les volutions venir
4me et 7me Directives du 14 juin 2006
05/09/08 Transposition 4e et 7e Directive

29/06/08 Transposition 8e Directive

Approche descriptive des systmes de contrle interne et de gestion des risques () les socits faisant appel public lpargne fassent chaque anne une description des principales caractristiques des systmes de contrle interne et de gestion des risques ()

2008

8me Directive sur le contrle lgal des comptes du 17 mai 2006

Responsabilit du Comit dAudit () Chaque entit d'intrt public doit tre dote d'un comit d'audit . ()le comit d'audit est notamment charg des missions suivantes: a) suivi du processus d'laboration de l'information financire; b) suivi de l'efficacit des systmes de contrle interne, d'audit interne, le cas chant, et de gestion des risques de la socit ()

2007 Deloitte Conseil

Objectifs et fonctionnement du groupe de place AMF

Groupe de place tabli sous lgide de l'AMF comportant :
Des reprsentants des entreprises, de lIFACI, des institutions comptables, des personnes qualifies, de l'AMF, Un guide d'application relatif au contrle interne de linformation comptable et financire

Objectifs :
Mettre un outil de rfrence la disposition des entreprises soumises la LSF Contribuer une plus grande homognit dans les rapports du Prsident

Anticiper sur les 4me, 7me et 8me directives

Proposer un cadre compatible avec le COSO

Application :
Recommandation de lAMF le 22 janvier 2007 pour les exercices ouverts compter du 1er janvier 2007

10

2007 Deloitte Conseil

La LSF et le cadre de rfrence de lAMF, reprsentent une opportunit relle pour les acteurs du contrle interne

Observation des pratiques de place

Approche de base
Contrle interne tourn vers le pass Rdaction dun tat des lieux succinct sur le dispositif de contrle interne

Dmarche avance
Contrle interne ancr dans le prsent Identification des insuffisances du dispositif de contrle interne et proposition dactions damlioration

Meilleures pratiques
Contrle interne orient futur Dploiement dune approche de gestion globale des risques

2003 => 2006

>2007

Niveau 1
recenser lexistant et apprcier la pertinence

Niveau 2
confirmer la ralit oprationnelle

Niveau 3
complter et amliorer

11

2007 Deloitte Conseil

1. Rappels sur le contrle interne. 2. Le contexte rglementaire.

3. Rsultats de nos travaux.

Enqute et exprience
Enqute publique lance par Deloitte en mai 2007 sur la fonction Contrle Interne auprs de lensemble des socits du SBF 120 lexception du secteur banque/assurance, avec un bon niveau de reprsentativit :
taux de rponse de prs de 30%, diversit des entreprises ayant rpondu (en termes de chiffre daffaires, deffectifs, de secteurs dactivit ou de soumission aux rglementations internationales sur le contrle interne),

Prs dun tiers (31,1%) des entreprises sondes sont cotes sur plusieurs places financires. En particulier, 9 sur 31, soit 29% dentre elles sont listes au New York Stock Exchange ou ltaient au moment de lenqute.

13

2007 Deloitte Conseil

Deux questions centrales

Est-ce que la fonction Contrle Interne existe en tant que telle et quel rle joue-t-elle ?
Quelle est la place accorde par les entreprises la fonction Contrle Interne lorsqu'elle existe en tant que telle? Quel est son rayon d'action? Quels sont les moyens dont elle dispose?

Quelles sont les interactions avec le Risk Management, le Contrle de Gestion et l'Audit Interne?

O en sont les socits de la Place dans la mise en uvre dun dispositif de contrle interne rpondant aux attentes de lAMF ?

14

2007 Deloitte Conseil

Thmes
Fonction Contrle Interne et loi Sarbanes Oxley Relations entre fonctions Audit interne et Contrle interne

Contrle interne et analyse des risques

Questionnaires dautovaluation Evaluation du contrle interne Prvention et dtection des fraudes Quel rfrentiel interne ?

15

2007 Deloitte Conseil

Fonction Contrle Interne et loi Sarbanes Oxley

16

2007 Deloitte Conseil

La fonction Contrle Interne commence tout juste se dvelopper en dehors des socits soumises Sarbanes Oxley o elle tait apparue 1/2
La charge de travail ayant dcoul de larticle 404 de Sox a induit les socits soumises cette loi se doter dquipes de spcialistes du contrle interne. Un peu plus de la moiti des socits (56%) ayant rpondu lenqute disposent aujourdhui dun dpartement Contrle Interne. La moiti environ dentre elles ne sont pas soumises Sox

17

2007 Deloitte Conseil

La fonction Contrle Interne commence tout juste se dvelopper en dehors des socits soumises Sarbanes Oxley o elle tait apparue 2/2
Les fonctions Contrle Interne ddies ont t cres depuis trois ans ou moins pour 77% des dpartements existant.
Ce calendrier est rapprocher de celui de la mise en application de la LSF et de Sox en France
Quand votre dpartement de contrle interne a-t-il t mis en place ?

Il y a moins d1 an
Il y a 1 2 ans Il y a 2 3 ans Il y a plus de 3 ans

17,1 %
17,1 % 42,9 % 22,9 % Source de cet histogramme et des suivants : Enqute publique lance par Deloitte en mai 2007 sur la fonction Contrle Interne auprs de lensemble des socits du SBF 120 lexception du secteur banque/assurance

18

2007 Deloitte Conseil

Fonctions Audit interne et Contrle interne

19

2007 Deloitte Conseil

LAudit Interne reste le contrleur du contrle interne mais a parfois aussi un rle de coordination de la fonction Contrle Interne 1/2
Prs de 97% des socits sondes ont une quipe dAudit Interne de tailles relativement variables
Lactivit du dpartement Contrle Interne, lorsquil existe, est coordonne par lAudit Interne dans 50% des cas

20

2007 Deloitte Conseil

LAudit Interne reste le contrleur du contrle interne mais a parfois aussi un rle de coordination de la fonction Contrle Interne 2/2
Ce dpartement nest audit par lAudit Interne que pour un tiers des participants. Le dfaut dindpendance pouvant rsulter du point prcdent est susceptible de gnrer une difficult auditer le dpartement Contrle Interne Les missions de contrle interne reprsentent 25% environ des missions effectues par lAudit Interne
Dans le spectre des missions dAudit interne, quel est le pourcentage des missions ? De contrle interne DAudit Oprationnel DAudit financier Conformit 25,1 % 21,6 % 19 % 15,6 % 11,5 % 7,2 %

Autres ( prciser)
Conseil

21

2007 Deloitte Conseil

La vrification de la conformit est plus attendue de lAudit Interne que lassistance ou le conseil au Management
On note un retour une perception de lAudit Interne classique au sein des socits o le service est peru comme un vrificateur de la conformit pour deux tiers des participants
Quelle notion dcrit le mieux le rle du dpartement dAudit Interne dans la socit ?

Vrification de la conformit Assistance au Management Conseil au Management 10% 20% 30% 40% 50% 60% 70% 80% 90% 100 %

Pas du tout daccord

Plutt pas daccord

Neutre

Plutt daccord

Tout fait daccord

22

2007 Deloitte Conseil

Contrle interne et analyse des risques

23

2007 Deloitte Conseil

Les socits fondent en grande majorit leur plan daudit sur une analyse des risques

Comment est tabli le plan daudit ?

Selon un plan de rotation Analyse des risques inhrents Stratgie, mtier et processus

10%

20%

30%

40%

50%

60%

70%

80%

90%

100 %

Pas du tout daccord

Plutt pas daccord

Neutre

Plutt daccord

Tout fait daccord

24

2007 Deloitte Conseil

Une large majorit de socits dploient une cartographie des risques

La grande majorit (84%) des entreprises ralisent une cartographie des risques
Le rapport 2006 de lAMF indiquait dj que plus de la moiti des socits sondes cette poque avait recours la cartographie des risques Cet outil constitue lune des composantes de lapproche propose par le cadre de rfrence de lAMF

25

2007 Deloitte Conseil

Gnralement annuelle, la cartographie des risques intresse au premier chef la Direction Gnrale
A quelle frquence la cartographie est elle mise jour ?

Annuellement
Tous les 2 ans Autres ( prciser) 18,9 % 30,2 %

50,9 %

Par qui les rsultats de la cartographie sont-ils suivis ?

Pour grer les risques identifis lors de la cartographie, les entreprises ont le plus souvent recours des outils sur mesure (67%) et non des progiciels du march

Direction Gnrale Comit dAudit Autres ( prciser) Conseil de surveillance) 0 % 18,9 % 32,1 %

49,1 %

26

2007 Deloitte Conseil

La cartographie des risques sintresse lensemble des risques de lentreprise

Si la fonction Contrle Interne se concentre plus particulirement sur les aspects financiers, les personnes charges du dploiement de la cartographie des risques recensent lensemble des risques de lentreprise pour 71% des socits sondes

Quels sont les principaux types de risques identifis par la socit ?

Tous les risques de lentreprise Oprationnels et Financiers Autres ( prciser) Oprationnels 6,3 % 3,2 % 19 %

71,4 %

27

2007 Deloitte Conseil

Malgr limportance de la cartographie des risques, moins de la moiti des socits dispose dune fonction Gestion des Risques
Un peu moins de la moiti des participants (43%) cite lexistence dune fonction Gestion des Risques ddie Plus de deux tiers (68%) des socits soulignent le lien existant entre les fonctions Contrle Interne, lorsquelle existe, et Gestion des Risques

28

2007 Deloitte Conseil

Les questionnaires dautovaluation

29

2007 Deloitte Conseil

Les questionnaires dauto-valuation du contrle interne sont largement rpandus et dploys de manire pragmatique
Plus de deux tiers (71%) des socits affirment utiliser un questionnaire de contrle interne Le cadre de rfrence de lAMF prconise, en effet, lutilisation dun questionnaire relatif lanalyse et la matrise des risques

30

2007 Deloitte Conseil

Les questionnaires dauto-valuation du contrle interne sont largement rpandus et dploys de manire pragmatique
Les questionnaires sont de taille raisonnable, ce qui en facilite ladoption :
210 questions en moyenne questionnaires courts (moins de 200 questions) utiliss par 60% des participants lenqute
Combien de questions comportent votre questionnaire dautovaluation du CI ? Moins de 100 De 100 199 De 200 299 De 300 399 De 400 499 500 et plus 8,9 % 4,4 % 13,3 % 13,3 % 28,9 % 31,1 %

Les questionnaires sont complts annuellement pour la grande majorit des participants (92%)
31 2007 Deloitte Conseil

Les trois axes du COSO sont quitablement abords dans les questionnaires
Le contrle interne comptable et financier est considr comme une priorit, ce qui augure favorablement de la mise en place du guide dapplication de lAMF sur ce sujet
Quels sont les thmes abords dans les questionnaires de contrle interne ?

Qualit de linformation financire Environnement de contrle Conformit la rglementation Efficacit oprationnelle Autres ( prciser) 12.5 % 46,9 %

65,6 % 65,6 % 62,5 %

Activits de Contrle valuation des Risques

32

Environnement de Contrle 2007 Deloitte Conseil

Unit A

Information et Communication

Unit B

Pilotage

Activit 1

Activit 2

l valuation des Risques ne it e on m ti nc or ra Activits de Contrle f na p on Fi O C

Lanalyse des rponses aux questionnaires intresse de nombreuses fonctions de lentreprise

Cinq fonctions sont cites par au moins un quart des personnes sondes comme ayant une implication dans lanalyse des rsultats de lexercice dauto-valuation.
Cette analyse est ralise principalement par lAudit Interne (57%) et le Comit Audit (46%)
Les questionnaires de contrle interne ne sont analyss par la fonction Contrle Interne proprement dite que dans 25% des cas environ
Par qui sont suivis les rsultats ?

Audit interne Comit dAudit Direction Financire 34,9 % 46 %

57,1 %

Direction Gnrale
Contrle Interne Autres ( prciser) Conseil de Surveillance 3,2 % 12,7 %

30,2 %
25,4 %

33

2007 Deloitte Conseil

Evaluation du contrle interne

34

2007 Deloitte Conseil

57% des socits procdent une valuation de leur contrle interne et plus du tiers de ces dernires en communiquent les rsultats
Lvaluation du contrle interne est communique lextrieur pour environ 21% des participants Ce constat rvle la volont des entreprises de renforcer leur transparence vis-vis des investisseurs et du march en gnral, et de suivre, dans ce sens, les recommandations formules par lAMF dans son rapport 2006
Lanalyse du contrle interne dans la socit

Donne-t-elle lieu un plan dactions ? Aboutit-elle une valuation, mme non communique lextrieur Est-elle purement descriptive ? Aboutit-elle une valuation dont les rsultats sont communiqus lextrieur ? 25,4 % 20,6 % 57,1 %

76,2 %

35

2007 Deloitte Conseil

Prvention et dtection des fraudes

36

2007 Deloitte Conseil

Les acteurs du contrle interne doivent tre mme de contribuer la prvention et la dtection de la fraude, sujets de proccupation identifis comme prioritaires
Plus de 87% des socits sondes reconnaissent mener des actions en prvention de la fraude Les infractions sont principalement dtectes grce des contrles ponctuels du management et des missions de lAudit Interne Lutilisation des Lignes dAlerte Ethique commence voir le jour
Comment sont dtectes les fraudes ?

Contrle ponctuel du Management Mission de lAudit Interne Dnonciation Ligne dAlerte Ethique 12 % 17 %

27 % 26 %

Mission de lAudit Externe

Autres ( prciser) 6%

11 %

37

2007 Deloitte Conseil

Linvestigation de la fraude incombe traditionnellement lAudit Interne

LAudit Interne est galement au centre du processus anti-fraude en tant le plus souvent impliqu dans les investigations (44% des cas environ).
Un peu moins dun quart des participants font appel un spcialiste de la fraude

Qui est en charge de linvestigation en cas de suspicion de fraude ? LAudit Interne Un spcialiste de la fraude Le Management Autres ( prciser) Les Ressources Humaines 10,3 % 10,3 % 17,9 % 17,9 %

43,6 %

38

2007 Deloitte Conseil

Les programmes anti-fraude formaliss ne font pas recette en dehors des socits tenues par Sox den dployer un
35% environ des socits nont quune raction ponctuelle, et non pas systmatique, la suspicion de fraude

Seulement 21% des socits disposent de programmes anti-fraude formaliss

Quelle est lapproche fraude dans votre socit ?

Raction ponctuelle la suspicion

Ractivit systmatique la suspicion Programmes anti-fraude formaliss Autres ( prciser) 14 % 20,9 %

34,9 %
30,2 %

39

2007 Deloitte Conseil

Les lignes thiques, par contre, commencent se dvelopper, mais la communication directe avec le Management est privilgie en cas de suspicion de fraude
Les outils mis disposition des employs pour signaler la fraude restent limits Moins de la moiti des socits ont mis en place des lignes thiques spcifiques (e-mail ou e-mail plus numro de tlphone) Le canal dinformation le plus utilis est de loin la communication directe avec le Management
Lorsquil constate une fraude, de quels outils dispose le salari pour informer le Management ?

Autres (par ex communication la hirarchie) Email spcifique Numro de tlphone spcifique 41,9 % 32,3 %

81,8 %

40

2007 Deloitte Conseil

Quel rfrentiel interne ?

41

2007 Deloitte Conseil

Le cadre de rfrence de lAMF commence dj se substituer celui du COSO

Plus des trois quart (78%) des socits participantes sappuient sur un rfrentiel de contrle interne

Parmi ces socits, prs des deux tiers (63%) utilisent le COSO comme rfrentiel de contrle interne et un peu moins dun tiers (29%) recourent dores et dj au cadre de rfrence de lAMF
Sur quel rfrentiel votre socit sappuie-t-elle ?

COSO AMF Interne Autres ( prciser) 0,0 % 8,2 % 28,6 %

63,3 %

42

2007 Deloitte Conseil

Deloitte Conseil

Member of Deloitte Touche Tohmatsu

Contacts

Eric Dugelay Associ en charge du ple Risk Management Deloitte Conseil edugelay@deloitte.fr + 33 (0) 1 55 61 54 13

44

2007 Deloitte Conseil