Atelier SWEP "Audit et contrôle interne" 4 mars 2010 Notes d'exposé de Christophe Quiévreux. Contrôle interne La seule définition "officielle" du contrôle interne, connue internationalement depuis 1992, est celle qu'on appelle le COSO. Le COSO est un cadre de référence, en d'autres mots, une définition, du contrôle interne. Le référentiel COSO définit le contrôle interne comme un processus mis en œuvre par les dirigeants à tous les niveaux de l’entreprise et destiné à fournir une assurance raisonnable quant à la réalisation des trois objectifs suivants : la réalisation et l'optimisation des opérations, la fiabilité des informations financières, et la conformité aux lois et règlements Selon le modèle COSO, le contrôle interne se compose de 5 éléments: L'environnement du contrôle: il s'agit ici de ce qu'on appelle souvent «the tone at the top» qui a une influence importante sur la prise de conscience du contrôle par les travailleurs de l'organisation. L'environnement du contrôle contient notamment : l'expression de la mission et des valeurs de l'organisation le structure et le fonctionnement des organes de gestion les règles d'éthique et d'intégrité les mesures prises pour assurer la compétence (organes de gestion et personnel) le style opératoire de la direction L'on retrouve ici les notions typiques de la Corporate Governance : Composition, rôle et fonctionnement du conseil d’administration et du Comité de Direction Création des comités d’audit, de rémunérations, de nominations critères d'indépendance éthique et intégrité L'analyse de risques: toute organisation s'expose à une multitude de risques tant externes qu'internes. L'analyse de risques est le processus qui Définit le niveau et le type de risque acceptables ; 1 Evalue régulièrement le niveau de risque atteint (par des mesures qualitatives – somme d’avis – ou des mesures quantitatives – modèles de prévisions) ; Définit comment les risques identifiés doivent être traités (accepter, réduire, transférer). Activités de contrôle: Ce composant inclut toutes les procédures mises en place par le management afin de s’assurer que les opérations sont « bien » exécutées (effectivement ; de façon maîtrisée ; et au moindre coût). Elles comprennent une vaste gamme d’activités telles que les autorisations, les vérifications, les réconciliations, les revues de rapport. Elles peuvent être manuelles ou informatisées, et sont réparties à tous les niveaux de l’entreprise. L’importance de ces activités sera bien sûr dépendante de du risque identifié (voir composant ci-dessus). Soulignons le fait que l’existence de manuels de procédures n’est en aucun cas un gage que les procédures sont réellement appliquées. L’essentiel réside dans la substance, non dans la forme. [exemples donnés lors de l'exposé] Information et communication: Ce composant vise le système d’information (aujourd’hui, informatisée, pour l’essentiel) de l’entreprise, ainsi que la manière dont la communication est diffusée à travers l’organisation. Le but est de disposer, en tant qu'organisation, des informations suffisantes, tant à l'intérieur qu'à l'extérieur, pour exécuter et contrôler les activités de l'organisation. Il est également important que des mécanismes soient en place pour transmettre des informations importantes à la direction et au conseil d'administration. [exemples donnés lors de l'exposé] Surveillance «monitoring»: il s'agit du processus qui évalue si le système de contrôle interne fonctionne bien. Il comporte d'une part, la surveillance permanente, la supervision normale des responsables du management opérationnel et d'autre part, les évaluations séparées. Le besoin d'évaluations séparées (tant en ce qui concerne le contenu que la durée) dépend des résultats de l'analyse de risques et des activités de surveillance permanente. Le contrôle interne est donc, dans une entreprise (publique ou privée) l'ensemble des mesures prises par la direction et mises en place à tous niveaux, en vue d'assurer que les objectifs de l'entreprise sont atteints dans le respect des lois et sans perte de patrimoine. Les 5 composants du modèle COSO s’appliquent de façon variable à différents niveaux de l’entreprise. Au niveau de l’organisation globale. C’est par exemple le cas de l’environnement de contrôle, qui, par nature, n’existe qu’au niveau global, c’est-à-dire qu’une vue d’ensemble de l’entreprise est nécessaire pour le mettre en place (il n’existe qu’un organigramme , un code d’éthique, un ensemble d’objectifs, une seule politique de personnel…). 2 Ce sera également le cas de l’information, si le système de gestion informatisé est centralisé au niveau de la maison mère (ERP), sans possibilité pour les filiales d’adapter le système localement. Au niveau des activités ou filiales de l’entreprise. Les activités de contrôle se retrouvent typiquement à ce niveau, de même que les activités de surveillance locale (supervision, audit interne local), ainsi que l’information et la communication, dans la mesure où elles sont gérées et décidées au niveau de l’activité ou de la filiale. Selon COSO, l’environnement de contrôle d’une entreprise correspond à l’addition de la perspective globale d’une part, et de toutes les perspectives par filiales et / ou par activité d’autre part. Vue synoptique des 3 objectifs, 5 composants et des niveaux d'application: le COSO CUBE: 3 Gouvernance d'Entreprise Dans une acception large, la gouvernance d'entreprise ou corporate gouvernance représente l'organisation du contrôle et de la gestion de l'entreprise. De façon plus étroite, le terme de gouvernance d'entreprise est utilisé pour désigner l'articulation entre l'actionnaire et la direction de la société, et donc principalement le fonctionnement du conseil d'administration et du comité d'audit Principes du Code De Corporate Governance belge. 1. LA SOCIETE ADOPTE UNE STRUCTURE CLAIRE DE GOUVERNANCE D'ENTREPRISE 2. LA SOCIETE SE DOTE D'UN CONSEIL D'ADMINISTRATION EFFECTIF ET EFFICACE QUI PREND DES DECISIONS DANS L'INTERET SOCIAL 3. TOUS LES ADMINISTRATEURS FONT PREUVE D'INTEGRITE ET D'ENGAGEMENT 4. LA SOCIETE INSTAURE UNE PROCEDURE RIGOUREUSE ET TRANSPARENTE POUR LA NOMINATION ET L'EVALUATION DU CONSEIL D'ADMINISTRATION ET DE SES MEMBRES 5. LE CONSEIL D'ADMINISTRATION CONSTITUE DES COMITES SPECIALISES 6. LA SOCIETE DEFINIT UNE STRUCTURE CLAIRE DE MANAGEMENT EXECUTIF 7. LA SOCIETE REMUNERE LES ADMINISTRATEURS ET LES MANAGERS EXECUTIFS DE MANIERE EQUITABLE ET RESPONSABLE 8. LA SOCIETE RESPECTE LES DROITS DE TOUS LES ACTIONNAIRES ET ENCOURAGE LEUR PARTICIPATION 9. LA SOCIETE ASSURE UNE PUBLICATION ADEQUATE DE SA GOUVERNANCE D'ENTREPRISE Note: Débat actuel :la gouvernance d'entreprise doit elle se faire au profit des seuls actionnaires ("shareholders") ou de l'ensemble des parties prenantes ("stakeholders"). (cf. "théories des parties prenantes" du Prof. Edward Freeman et "responsabilité sociétale des entreprises" (Philippe de Woot) - sites intéressants: businessandsociety.be; epegon.eu) 4 Audit Interne L'Audit Interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d'entreprise, et en faisant des propositions pour renforcer leur efficacité. (Traduction de la définition internationale approuvée par l'IIA le 29 juin 1999). Note: L'audit interne est donc une activité, idéalement dépendant du comité d'audit (afin de garantir son indépendance par rapport au management) qui rassure celui-ci quant à la mise en place, par la direction, d'un environnement de contrôle suffisamment efficace. Accessoirement, l'audit interne participe à l'amélioration de l'environnement de contrôle interne, par ses recommandations. L'auditeur interne analyse un système (le contrôle interne). Il n'a pas vocation à analyser des transactions particulières, au contraire d'un vérificateur. L'audit interne est une activité, une profession, dépendant des "actionnaires". Le contrôle interne est un processus, un ensemble de mesures, mis en place la direction de l'entreprise, dont celle ci est seule responsable. 5 Réponse aux questions posées 1. Comment le contrôle interne peut-il assurer la qualité de la Gouvernance ? C'est au mieux la même chose (1ere définition de la CG) , au pire, le contraire (définition étroite): la gouvernance (cf définition ci dessus) correspond au composant n°1 du contrôle interne, l'"environnement de contrôle". 2. Quelles sont les limites de ce contrôle (complexité, rigidité, transparence, excès possibles) ? Limite inférieure: le niveau d'assurance souhaité par les "stakeholders" (shareholders pour le secteur privé?) Limite supérieure: le coût 3. Comment arbitrer les conflits d'objectifs (contrôle v/v action) ? Si le contrôle est bien compris et bien communiqué, il es nécessaire à la réalisation des objectifs, (du moins à long terme) donc il ne devrait pas y avoir de conflits. Si il y a malgré tout conflit, lieu de l'arbitrage: comité de direction / comité d'audit Arguments: aligner les vues de chacun par rapport aux objectifs stratégiques à long terme 4. Quel est le rôle de l'audit interne dans le contrôle interne ? C'est le 5ème composant, celui qui s'assure, de façon indépendante par rapport au management, que celui ci a bien mis en place les 4 autres 5. Quelle est la responsabilité de l'auditeur interne face au risque de fraude / de mauvaises pratiques ? Selon les standards de l'IIA, l'auditeur interne: - évalue si le système de contrôle interne couvre le risque de fraude - dispose de la connaissance suffisante pour repérer les indicateurs de fraude - informe le comité d'audit en cas de détection de fraude MAIS : - il n'est pas responsable de détecter les fraudes - il n'est pas sensé avoir l'expertise d'une personne "dont la première responsabilité serait de détecter et d'investiguer en matière de fraude". Note: L'auditeur évalue un système, et propose des recommandations en vue de l'améliorer et de l'adapter aux risques identifiés. Un auditeur n'est pas un vérificateur de transactions particulières. D'autres personnes doivent être affectées à cela par le management. L'auditeur s'assure que ces vérificateurs fonctionnent efficacement. C'est uniquement dans ce contexte, qu'un auditeur va, le cas échéant, RE vérifier certaines transactions particulières. Le premier responsable, en matière de prévention et de détection de la fraude, est le management. La première mesure à prendre est d'éviter de susciter la fraude (cf. théorie du triangle de la fraude: opportunité-besoin/pression/rationalisation) 6. Quelles difficultés rencontre-t-il concrètement ? Par exemple qu'on pense qu'il est là pour détecter les fraudes :-) . Mais aussi: incompréhension voire hostilité 6 manque de collaboration Un seul mot d'ordre: expliquer et convaincre, en commençant par la direction 7. Quelles sont les limites et les conditions de succès de l'audit interne ? LIMITES l'audit interne ne remplace pas le management l'audit interne ne voit pas tout car il ne contrôle pas tout (notion de coût) l'audit de la gouvernance (fonctionnement du Conseil et du comité d'audit). CONDITIONS DE SUCCES la légitimité de son existence doit être limpide (pourquoi veut-on un audit interne, qui le veut, celui qui le veut me soutient-il et le fait-il savoir dans l'organisation que je vais devoir auditer? ) comprendre les priorités de l'organisation, et aligner son plan d'audit sur celles ci afin d'apporter de la valeur disposer d'une excellente connaissance de l'organisation auditée disposer d'un excellent bagage de techniques d'audit y compris des systèmes d'informations neutralité intégrité savoir communiquer dans un langage compréhensible par les dirigeants: synthèse, clarté, brièveté et impact. ______________________________________________________ Christophe Quiévreux Président de l'Institut des Auditeurs Internes Professeur à l'ICHEC et à l'Ecole Supérieure des Sciences fiscales Associé Deloitte Email: [email protected] 7