Le dispositif de Contrôle Interne Cadre de référence Présentation des travaux du Groupe de Place – mai 2006 – Le dispositif de Contrôle Interne • Présentation des tra Sni* to View 9 mai 2006 – IFACI – pans – Mat 20 ISBN 2-91 5051-13-5 SOMMAIRE INTRODUCTION PREAMBULE 6 1. 1 LE CONTEXTE 225. 37 et 225. 8 du code de commerce qui trouvent leur origine dans la Loi de Sécurité Financière (ISF) du 1er août 2003 (article 117), dans les sociétés faisant appel public à l’épargne, le Président du Conseil d’Administration ou de Surveillance « rend compte, dans un rapport…. des procédures e contrôle interne mises en place par la société h. Pour ces mêmes sociétés, selon l’article L225-235 (article 120 de la LSF) : « les commissaires aux comptes présentent dans un rapport…. eurs observations sur le rapport (du Président) pour celles des procédures de contrôle interne relatives à l’élaboration et au traitement de l’information comptable et financière Dans son rapport 2004 sur le gouvernement d’entreprise et le contrôle interne, l’Autorité des Marchés Financiers (AMF) note « qu’à la différence de la gouvernance d’entreprise, qui bénéficie désormais de standards de place uxquels les émetteurs peuvent se comparer, l’absence d’un référentiel unanimement admis sur le contrôle interne en rend la description plus difficile et peut constituer un frein si fon souhaite pawenlr ? terme à une évaluation de l’adéquation et de l’efficacité des systèmes Dans ce cadre, l’AMF a confié, en avril 2005, à un groupe de travail « de Place »1 le choix et/ou l’adaptation d’un référentiel de contrôle interne à l’usage des sociétés françaises soumises aux obligations de la loi du 1er août 2003 en précisant que « le référentiel devrait constituer un util de gestion au service des entreprises falsant appel public ? l’épargne Dans sa lettre de mission2, l’AMF précise que « le référentiel élaboré ou retenu devra être confronté aux référentiels utilisés dans les juridictions étran tives dans le domaine PAGF OF juridictions étrangères significatives dans le domaine boursier, en particulier le référentiel COSO, afin de permettre d’éviter dans la mesure du possible une duplication des contraintes de reporting externe en relation avec le contrôle interne Et le régulateur ajoute que « l’objectif est également ‘anticiper les initiatives européennes figurant dans le projet de révision des 4ème et 7ème directives Les définitions du contrôle interne sont nombreuses et ont eu le plus souvent comme auteurs des organisations professionnelles de comptables. Il en est ainsl de la définition du contrôle interne donnée en 1977 par le Conseil de l’ordre des Experts Comptables : « le contrôle interne est rensemble des sécurités contribuant à la maîtrise de l’entreprise. Il a pour but d’un côté d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information, de l’autre l’application es instructions de la Direction et de favoriser Hamélioration des performances.
II se manifeste par l’organisation, les méthodes et les procédures de chacune des activités de l’entreprise, pour maintenir la pérennité de celle-ci En 1990, le règlement 90/08 du Comité de la Réglementation Bancaire et Financière impose aux établissements de crédit de se doter d’un système de contrôle interne et en définit les objectifs : a) « vérifier que les opérations réalisées par l’établissement ainsi que l’organisation et les procédures internes sont conformes aux dispositions législatives et églementaires en vigueur, aux normes et usages professionnels et déontologiques et aux orientations de l’organe exécutif ; 2 6 en annexe 2 de la liste nominative des participants aux travaux. Lettre de mission, cf. annexe 1 Le dispositif de Contrôle Interne : Cadre de référence b) vérifier que les limites fixées en matière de risques, notamment de contrepartie, de change, de taux d’intérêt ainsi que d’autres risques de marché, sont strictement respectées ; c) veiller à la qualité de l’information comptable et financière, en particulier aux conditions d’enregistrement, de conservation et de isponibilité de cette information. ? Le règlement 97/02 est venu par la suite préciser les éléments qui doivent composer le dispositif de contrôle interne des établissements de crédit : • a) « un système de contrôle des opérations et des procédures internes ; • b) une organisation comptable et de traitement de l’information • c) des systèmes de mesure des risques et des résultats ; • d) des systèmes de surveillance et de maitrise des risques ; • e) un système de documentation et d’information ; • f) un système de surveillance des flux d’espèces et des titres La plupart des autres secteurs d’activité n’étant pas soumis à une telle réglementation, la majorité des sociétés françaises ont mis en place leur propre dispositif de contrôle interne sans s’appuyer sur un référentiel spécifique. Il en a été de même dans les grands pays occidentaux jusqu’au début des années 1990, époque où les EtatsUnis d’abord puis le Canada et le Royaume-Uni ont publié soit un référentiel de contrôle interne, soit de bonnes pratiques en la matière.
Le référentiel le plus répandu est sans conteste, le document américain publié en 1992 ernal 6 ‘appellation de COSO, acronyme de « Committee of Sponsoring Organizations of the Treadway Commission », du nom du comité qui a conçu ce référentiel. A la suite des nombreux scandales financiers qui ont secoué les entreprises américaines à la fin des années 90 et au début des années 2000, les Etats-Unis ont adopté, le 30 juillet 2002, le Sarbanes Oxley Act (SOX). L’article 404 de cette loi exige que la Direction Générale engage sa responsabilité sur l’établissement d’une structure de contrôle interne comptable et financier et qu’elle évalue, annuellement, son efficacité au regard ‘un modèle de contrôle interne reconnu. Les commissaires aux comptes valident cette évaluation. our la mise en œuvre de cette section 404, la Securities and Exchange Commission (SEC) et le Public Company Accounting Oversight Baard (PCAOB) ont fortement recommandé aux entreprises américaines et étrangeres cotées à New York d’adopter le COSO comme référentiel de contrôle interne, ce qui a été le cas pour la trentaine de groupes français concernés par cette loi. Un an plus tard, le 1er août 2003, était promulguée en France la Loi de Sécurité Financière (LSF) qui, selon les utorités françaises, était « une réponse, à la fois politique et technique, à la crise de confiance dans les mécanismes du marché et aux insuffisances de régulation dont le monde économique et financier a pris connaissance depuis deux ans C’est au sein du chapitre Il « De la transparence dans les entreprises » du titre Ill « Modernisation du contrôle légal des comptes et Transparence » que se situent les articles 117 et 120 présentés en introduction.
Ces deux articles permettent d’opérer une distinction entre le contrôle interne d’une société en énéral et le ontrôle interne relatif à I’ s 6 le contrôle interne d’une société en général et le contrôle interne relatif à l’élaboration et au traitement de l’information comptable et financière. La LSF se distingue dès lors du SOX qui s’intéresse au seul contrôle interne comptable et financier. Ouvrage traduit en français par l’IFACl (Institut Français de l’Audit et du Contrôle Internes) et PwC (PricewaterhouseCoopers) en 1994 sous le titre « La pratique du contrôle interne – COSO Report »- copyright en français IFACI. Appliquée à son origine à l’ensemble des sociétés anonymes, ‘obligation pour le Président du Conseil d’Administration ou de Surveillance détablir un rapport a été limitée, en juillet 2005, par la Loi pour la Confiance et la Modernisation de l’Economie (Loi Breton) aux seules sociétés anonymes falsant appel public à l’épargne. Les débats qui ont précédé ou accompagné la promulgation de la LSF ont contribué à éclairer le concept de contrôle interne. Les pratiques des entreprises en la matière telles qu’observées depuis trois ans, témoignent cependant d’une grande diversité. Cette situation justifiait donc la décision de l’AMF de rechercher ne transcription pratique du concept sous la forme d’un cadre de référence. 1. 2. L’APPROCHE Le Groupe de Place a privilé ié une a s’efforçant de concilier : PAGF 6 roche pragmatique, savoir le COSO américain et le «TurnbuIl guidancel » britannique.
Du COSO, le groupe s’est inspiré des cinq composantes même si l’on ne retrouve pas à l’identique, dans le document de place, la terminologie utilisée par le référentiel amerlcaln. Rappelons-en les grands traits : • environnement de contrôle : l’environnement dans lequel les personnes accomplissent leurs tâches et ssument leurs responsabilités ainsi que les qualités individuelles des collaborateurs et surtout leur intégrité, leur éthique et leur compétence, constituent le socle de toute organisation ; • évaluation des risques . l’entreprise doit être consciente des risques et les maîtriser. Elle doit fixer des objectifs et les intégrer aux activités commerciales, financières, de production, de marketing et autres, afin de fonctionner de façon harmonieuse.
Elle doit également instaurer des mécanismes permettant d’identifier, analyser et gérer les risques correspondants ; ?? activités de contrôle : les normes et procédures de contrôle doivent être élaborées et appliquées pour s’assurer que sont exécutées efficacement les mesures identifiées par le management comme nécessaires à la réduction des risques liés à la réalisation des objectifs ; • information et communication : les systèmes d’information et de communication permettent au personnel de recueillir et échanger les informations nécessaires à la conduite, à la gestion et au contrôle des opérations ; • pilotage : l’ensemble du processus doit faire l’objet d’un suivi, et des modifications doivent y être pportées le cas échéant. Ainsi, le système peut-il réagir rapidement en fonction du contexte. Du Turnbull, le Groupe a r 7 6 c’est-à-dire celui d’un c’est-à-dire celui d’un guide – court – qui a pour but de . ?? « montrer une saine pratique professionnelle dans laquelle le contrôle interne est intégré dans les processus par lesquels la société poursuit ses objectlfs ; • rester applicable dans un environnement professionnel en mutation constante ; • permettre à chaque société de le mettre en œuvre d’une façon qui tienne compte de sa situation et de ses spécificités particulières Guide développé par l’ICAEW (l’Institut des Experts Comptables d’Angleterre et du pays de Galles) et publié en 1999 Le groupe n’a pas traité de la gouvernance, considérant que cet aspect avait été développé par des textes législatifs, les rapports Viénot et Bouton ainsi que par les principes de gouvernement d’Entrep ise de l’OCDE. Il a pris acte, par contre, des responsabilités du Conseil dAdministration et du Conseil de Surveillance qui en ressortent (cf. annexe 3 Principaux textes relatifs au gouvernement d’entreprise).
Pour l’élaboration de son Cadre de référence, le Groupe de Place ‘est également assuré de sa conformité avec les travaux de la Commission Européenne 4ème et 7ème directives comptables : la Commisslon Européenne, dans le cadre de son plan d’action, adopté en 2002, de modernisation du droit des sociétés et de renforcement du gouvernement d’entreprise, a publié des propositions de modifications. Il est notamment prévu que les sociétés faisa de l’information financière ou, au niveau consolidé, en relation avec le processus d’établissement des comptes consolidés. Il convient de souligner que les 4ème et 7ème directives etiennent une approche descriptive, tant en matière de contrôle interne qu’en matière de gestion des risques.
En outre, le domaine de la gestion des risques est abordé uniquement sous l’angle de sa relation avec l’établissement des comptes. 8ème directive sur le contrôle légal des comptes : cette proposition de directive qui a fait l’objet d’un accord polltlque au Conseil après son adoption fin septembre 2005 par le Parlement européen pose le principe que « les entités dintérët public doivent être dotées d’un Comité d’audit, tout en laissant, sous certaines conditions, aux Etats membres la ossibilité de ne pas imposer sa mise en place. Ainsi, les Etats membres peuvent permettre que « les fonctions attribuées au Comité d’audit soient exercées par l’organe d’administration ou de surveillance dans son ensemble » (article 39. ), ou encore, permettre ou décider que rensemble des dispositions relatives au Comité daudit ne s’appliquent pas aux entités « qui disposent dun organe remplissant des fonctions équivalentes à celles d’un Comité d’audit, instauré et fonctionnant en vertu des dispositions en vigueur dans l’Etat membre où l’entité à contrôler est enregistrée » (article 9. 5) Parmi les possibles fonctions d’un Comité d’audit sont notamment cités le suivi du processus d’élaboration de l’information financière, le suivi de l’efficacité des systèmes de contrôle interne, de l’audit interne, le cas échéant, et de la gestion des risques de la société.
Il est également prévu que le contrôleur légal [commissaire aux comptes] fasse rapport au it ç 6 également prévu que le contrôleur légal [commissaire aux comptes] fasse rapport au Comité d’audit sur les questions fondamentales soulevées par le contrôle légal notamment les faiblesses majeures du ontrôle interne en rapport avec le processus d’élaboration de l’information financière Ansi, c’est dans le cadre des dispositions législatives et réglementaires nationales et européennes mais également ? partir des pratiques de bonne gouvernance déjà reconnues en France et des deux modèles de contrôle interne rappelés ci-dessus, que le Groupe de Place a rédigé le présent cadre de référence de contrôle interne dont l’ambition est d’être global.
Il comprend des principes généraux de contrôle interne et deux questionnaires de portée générale, l’un relatif u contrôle interne comptable et financier, l’autre afférent ? l’analyse et à la maîtrise des risques, composante essentielle de tout dispositif de contrôle interne. Le questionnaire relatif au contrôle interne comptable et financier est destiné à devenir l’ossature d’un document plus approfondi susceptible de constituer un référentiel de procédures de contrôle interne relatives ? l’élaboration et au traitement de l’information financière et comptable. Ce document technique sera mis à la disposition des fonctions concernées de l’entrepris ion du