Atelier AMRAE – A10 Le commissaire aux comptes (« CAC ») et la gestion des risques Intervenants Gilles de Courcel Président de la Commission Evaluation de la CNCC Associé Ricol-Lasteyrie Aymeric de la Morandière Commissaire aux comptes Associé Ernst&Young Thierry Luthi Président DFCG Directeur Financier Cegid Page 2 Modérateur Alain Gravier Responsable du Management Central des Risques FDJ (Française des Jeux) Pourquoi parler de l’interaction du CAC dans la gestion des risques ? Le rôle de l’entreprise : créer de la valeur donc une prise de risque Le risk manager a pour objectif d’évaluer et maîtriser les risques pris Page 3 Le CAC s’interroge sur les risques dans le cadre de la certification des comptes : une opportunité de poser les bonnes questions Une question d’actualité ? Une crise qui s’éternise Une volonté de s’en sortir Aversion aux risques des marchés Une attention accrue sur les risques pour l’entreprise et son CAC Une meilleure transparence des risques vis-à-vis des actionnaires Page 4 Agenda de l’atelier 1. La mission du CAC et les risques 2. Le CAC et le risk manager ont de bonnes raisons de s’entendre 3. Les limites de l’intervention du CAC 4. Les pistes d'améliorations pour les sociétés et les CAC Page 5 Rôle du dirigeant financier : Préparation Interface Anticipation Rôle du dirigeant financier : 1. La mission du CAC et les risques ● Anticipation 1.1 Rappel du champ d’intervention du CAC ● Préparation Le CAC certifie la régularité, la● sincérité des comptes annuels. Il vérifie Interface également la sincérité des informations communiquées aux actionnaires: – Rapport de gestion – Rapport du Président sur le contrôle interne et la gestion des risques (pour les sociétés cotées uniquement) Page 6 Le CAC assure une mission permanente qui lui permet d’intervenir à tout moment et d’avoir accès aux dirigeants dès que cela est nécessaire Si le CAC ne peut conseiller un dirigeant (non immixtion dans la gestion), il se doit de dialoguer avec lui : Page 7 Dialogue sur l’analyse de la situation de l’entreprise et les perspectives Devoir d’attention sur les risques pris et d’alerte sur la continuité d’exploitation Echanges sur les conséquences comptables voire fiscales et sociales des décisions stratégiques Environnement du secteur 1.2 La démarche du CAC Attentes des parties prenantes Compréhension des axes stratégiques définis par le management Compréhension de l'organisation Identification des risques Le CAC veut obtenir l'assurance raisonnable que les comptes ne comportent pas d'anomalies Problématiques comptables liées significatives. Stratégie d'audit L’approche d’audit conduite le CAC à d'identifier et d'évaluer le risque d'anomalies significatives dans les comptes. A l’issue de cette phase le CAC met en œuvre des procédures d'audit Page 8 Opinion sur les états financiers Environnement du contrôle Description des processus opérationnels et de support 1.2 La démarche du CAC 1.2.2 La revue du rapport du Président Rappel de l’obligation des sociétés cotées : Le président du conseil d’administration rend compte dans un rapport à l’assemblée générale : - des travaux du conseil d’administration et, - des procédures de contrôle interne et de gestion des risques relatives au traitement et à l’élaboration de l’information comptable et financière. Page 9 Rôle du dirigeant financier / RM: Préparation (RM) Délégation : lettre d’affirmation interne (DAF/RM) Apport dans une démarche structurante du comité d’audit (DAF/RM) Etendre la présence de dirigeants financiers indépendants au Comité d’Audit (DAF) Le comité d’audit est chargé du suivi de l’efficacité des systèmes de contrôle interne et de la gestion des risques de la société Page 10 L’implication des comités d’audit dans la revue de la gestion des risques est récente (transposition de la 8e directive en droit français en décembre 2008). 1.2 La démarche du CAC 1.2.2 La revue du rapport du Président (suite) Diligences du CAC (NEP 9505) : Le CAC apprécie la sincérité des informations données dans le rapport : Il prend connaissance du processus d'évaluation mis en place ainsi que de sa documentation, Il apprécie la qualité et le caractère suffisant de la documentation existante. Emission par le CAC d’un rapport sur le rapport du président indiquant ou non des observations sur les informations données Page 11 Rôle du dirigeant financier : Préparation (RM) Dialogue vs carto des risques : comment passer d’une appréciation interne à externe (DAF/RM) Comment apprécier la restitution des risques (facteurs de risques dans les rapports annuels) ? (DAF) Rôle du dirigeant financier : ● Préparation (RM) 1.2.3 Dans le document de référence les sociétés cotées décrivent les ● Dialogue vs carto des risques : principaux facteurs de risques de l’entreprise comment passer d’une appréciation Le CAC au titre de sa lecture d’ensemble document de référence vérifie interne à du externe (DAF/RM) l’exactitude des informations données. ● Comment apprécier la restitution des risques (facteurs de risques dans les Comment rendre cohérente l’information entre les facteurs de rapportsdonnée annuels) ? (DAF/RM) risques (externe) et la cartographie des risques (interne) ? Page 12 Exemples de communication sur la gestion des risques : HERMES Le processus de gestion des risques du groupe repose sur différents éléments, contribuant à l’identification, à l’analyse, à la hiérarchisation des risques, puis a mise en place des plans d’actions requis. Hermès International a également déployé des processus spécifiques pour surveiller certains risques, au travers de comités spécialisés ou de groupes de travail. Les recensements des principaux risques identifiables servent de base aux différentes activités et procédures de contrôle interne Le pilotage du système de gestion des risques est assuré par la DA&R. Celle-ci anime notamment le processus de cartographie des risques, afin d’assister les sociétés du groupe dans l’identification et l’analyse de leurs principaux risques. Elle effectue un suivi régulier de l’avancement des plans d’action qui en découlent dans les entités concernées et fait vivre les procédures de gestion des risques. Page 13 Exemples de communication sur la gestion des risques : AREVA ORGANISATION GÉNÉRALE EN MATIÈRE DE GESTION ET DE MAÎTRISE DES RISQUES La politique de gestion des risques et des assurances a pour objectif de protéger les activités, les résultats et les objectifs stratégiques du groupe. La DRA, en collaboration étroite avec les Directions opérationnelles, est responsable de la mise en œuvre de cette politique… Une cartographie des risques a été initiée par le groupe dès sa création. Page 14 Exemples de communication sur la gestion des risques : VEOLIA Le comite des risques Le comité des risques du Groupe est l’instance de validation et de suivi de l’efficacité des plans d’actions mis en œuvre relativement aux risques significatifs identifiés dans la cartographie. Il s’assure de l’effectivité des dispositifs de gestion des risques et les soutient, il peut en outre être amené à se positionner sur des risques qu’il jugerait inacceptables dans le cadre des activités. Il se réunit 3 à 4 fois par an ; la composition de ce comité peut être enrichie en fonction des sujets mis à l’ordre du jour. Il est animé par le directeur des risques du Groupe et présidé par le secrétaire général. À l’instar de Veolia Environnement, chacune des Divisions dispose de son propre comité des risques, afin de valider et de suivre le déploiement des plans d’action relatifs aux risques significatifs identifiés dans le processus de cartographie. Page 15 Une illustration … Méthodologie & Organisation… Contrôles périodiques Revue Directions Audits Page 16 Contrôles semestriels ou annuels, basés sur le Référentiel de Contrôles associé au Référentiel « Risques » (catégorisés par domaine), et réalisés auprès des responsables opérationnels (pour différentes entités) Des revues de Directions annuelles ou semestrielles pour partager les résultats des contrôles périodiques, des actions en cours et en synthèse valider les niveaux de criticité des Risques par domaine d’activité Des Audits spécifiques pour focus sur des problématiques à risques Gouvernance… Composantes Description des prérogatives Comité d'Audit Validation des orientations stratégiques vs Dispositifs de Contrôle Interne & Plan d'Actions Prioritaires (réduction des risques) Demandes d’audits ponctuels auprès du Contrôle Interne Comité de Pilotage du Contrôle Interne Validation de l'évaluation des risques, de l'avancement des Plans d'Actions Prioritaires et des protocoles de mise sous contrôle des risques Demandes d’audits ponctuels auprès du Contrôle Interne Restitution de l'évaluation des risques, de l'avancement des Plans Comité Opérationnel d'Actions Prioritaires et sensibilisation sur des problématiques prédéfinies : du Contrôle Interne information complétée des audits externes (CAC, …) Page 17 2. Le CAC et les risk managers ont de bonnes raisons de s’entendre 2.1 Les questions du CAC : illustrations 1. Quelle est l’organisation retenue sur la gestion des risques? 2. Quels sont vos risques majeurs et les plans d’actions associés? 3. Des limites acceptables pour l’entreprise ont-elles été définies ? 4. Certains plans d’actions ont-ils pris du retard ? Sont-ils inadaptés ? 5. Certains risques sont-ils avérés ? 6. Y-a-t-il une interaction entre la gestion des risques et les contrôles ? 7. La gestion des risques apporte-t-elle de la valeur aux différents métiers ? Page 18 Exemple d’interaction entre le risk manager (RM), la DAF/DG et le comité d’audit DG/ Comité audit RM : Plan de contrôles Audit DAF Organisation du dialogue RM : Revue de directions CAC RM : Synthèse cartographie Comités de pilotage Page 19 2.2 Le CAC est dans une démarche active d’identification des risques Comment ? Entretiens DG, DAF, Risk manager, études sectorielles, … Univers des risques pour l’entreprise Risques ayant une incidence directe sur les comptes • • • • • • Page 20 Non atteinte des objectifs financiers Continuité d'exploitation Dépendance clients/fournisseurs Risque de change Volatilité des prix Maîtrise des coûts et des investissements 2.3 Le CAC évalue les contrôles clés réduisant le risque d’erreur dans les comptes Cartographie des risques • • • • • • Page 21 Risques d’erreur sur les comptes Contrôles clés sur les processus alimentant les comptes Non atteinte des objectifs financiers - Dépréciation des actifs Continuité d'exploitation - Evaluation des actifs et passifs Dépendance vis-à-vis de clients/fournisseurs - Comptes clients et fournisseurs Risque de change – Résultat de change Volatilité des prix - Chiffre d’affaires et marges Maîtrise des coûts et des investissements – Evaluation des actifs 3. Les limites de l’intervention du CAC 3.1 Dans le cadre de la certification des comptes Le CAC doit communiquer aux dirigeants les déficiences majeures de contrôle interne en relation avec les comptes L’absence d’une gestion des risques structurée n’est pas un cas de déficience majeure de contrôle sur les comptes Il ne peut imposer la mise en place d’un dispositif de gestion des risques à un dirigeant mais le recommander fortement en faisant preuve de discernement et de tact Page 22 3.2 Dans le cadre de la revue du rapport du Président Le commissaire aux comptes n’a pas à vérifier la sincérité des informations, autres que celles portant sur les procédures de contrôle interne et de gestion des risques qui sont relatives à l'élaboration et au traitement de l'information comptable et financière. Page 23 4. Les pistes d’amélioration pour les sociétés et les CAC 4.1 Dans les sociétés cotées 4.1.1 Constats Une organisation dédiée à la gestion des risques Des dispositifs décrits dans le document de référence Page 24 4.1.2 Pistes de réflexion Vers un lien plus construit entre les risques et les comptes ? Vers une évaluation chiffrée des risques ? Des échanges plus réguliers entre le CAC et les risk managers sur les risques et les plans d’action Une prise en compte des risques plus importante par le CAC compte tenu du contexte et des nombreux estimés dans les comptes Page 25 Projections des résultats futurs : goodwill, frais de développements, marques, impôts différés actifs, stocks, ….. 4.2 Dans les sociétés non cotées 4.2.1 Constats Absence d’obligations réglementaires pour les sociétés non cotées Une large diversité de situations rencontrées : Page 26 les sociétés qui ont adopté un dispositif comparable à celui des sociétés cotées des sociétés qui ont une démarche de gestion des risques peu développée des sociétés qui n’ont pas de démarche de gestion des risques 4.2 Dans les sociétés non cotées (suite) 4.2.2 Pistes de réflexion Une mise en place plus systématique d’une démarche de gestion des risques Page 27 Un univers des risques plus ciblés : transmission de l’entreprise, managers clés, dépendance vis-à-vis des clients ou fournisseurs, …. Une cartographie simplifiée des risques et des plans d’actions synthétiques Des discussions régulières en comité de direction Le CAC doit être force de proposition pour encourager l’entreprise à rentrer dans un dispositif de gestion des risques Page 28 L’existence d’une démarche de gestion des risques est un facteur positif dans l’appréciation du CAC du risque d’audit de l’entreprise auditée Certains évènements sont déclencheurs d’une démarche structurée : accompagnement à l’international, changements de taille ou diversification à d’autres métiers Conclusion Les risques augmentent et la pression règlementaire s’accroît : Une coordination plus étroite entre les acteurs du contrôle et du risque est nécessaire La gestion des risques est insuffisamment développée dans les sociétés non cotées Un dialogue constructif entre le CAC et le risk manager doit s’intensifier: Les estimations dans les comptes sont de plus en plus nombreuses et conduisent le CAC à appréhender les risques futurs pouvant impacter les projections de résultats Un échange sur les risques et les bonnes pratiques est essentiel et porteur de valeur ajoutée pour les deux parties Page 30 Le CAC ne peut imposer la mise en place d’un dispositif de gestion des risques à un dirigeant Un groupe de travail CNCC /AMRAE sur le risque et le contrôle interne est à l’étude Réflexion sur la convergence et l’utilisation mutuelle des travaux Les bonnes volontés sont les bienvenues Journée de l’évaluation du 10 octobre 2013 de la CNCC : Participation AMRAE Participation DFCG Page 31