AMRAE Référentiel COSO 2013 sur le contrôle interne 6 mai 2014 Sommaire Préambule………………………………………………………………………………………………………… 2 Introduction sur la mise à jour du référentiel COSO..…………………………………………… 4 Une opportunité pour porter un regard « neuf » sur les dispositifs de contrôle interne ………………………………………………………………… 10 PwC 1 Préambule Articulation entre ERM et CI selon COSO • Le contrôle interne est un des dispositifs mis en place par l’entreprise pour maîtriser les risques de l’entreprise. • Le contrôle interne traite les risques en lien avec le fonctionnement de l’entreprise et l’exécution des processus / activités : – Réalisation et optimisation des opérations, – Fiabilité des informations financières, – Conformités aux lois et réglementations en vigueur. PwC • Le risk management traite l’ensemble des risques de l’entreprise en lien avec l’atteinte des objectifs de l’entreprise : – Y compris les risques de fonctionnement et d’exécution des processus, – Incluant les risques stratégiques et les opportunités. • Le COSO ERM développe aussi des concepts spécifique au management des risques tels que l’appétence aux risques et la tolérance. 2 Préambule Pourquoi s’interesser au référentiel COSO CI ? Certains des constats des entreprises sur leur dispositif de contrôle interne sont aussi applicables aux dispositifs ERM “Processus “administratif” sans grande valeur ajoutée pour le management” “Système figé” “Beaucoup de systèmes redondants” PwC 3 Introduction sur la mise à jour du référentiel COSO Référentiel COSO1 sur le contrôle interne Mise à jour “…COSO recently released its updated internal control framework, which is intended to provide more comprehensive and relevant conceptual and practical guidance by focusing on 17 principles to help management focus on important aspects of the components of internal control.” COSO a publié le 14 mai 2013 la mise à jour du référentiel de sur le contrôle interne dit COSO I. La version française sera disponible au 1er trimestre 2014 PwC a été mandaté par le Conseil d’Administration du COSO pour coordonner la mise à jour du référentiel et rédiger la nouvelle version. Cadre de référence Remarks at the 32nd Annual SEC and Financial Reporting Institute Conference Paul Beswick Chief Accountant, Office of the Chief Accountant U.S. Securities and Exchange Commission Pasadena, California May 30, 2013 PwC et l’IFACI assurent conjointement la traduction en langue française du référentiel. 1Committee of Sponsoring Organizations of the Treadway Commission. The COSO is a joint initiative of five private sector organizations, established in the United States, dedicated to providing thought leadership to executive management and governance entities on critical aspects of organizational governance, business ethics, internal control, enterprise risk management, fraud, and financial reporting. PwC Guide d’application Exemples d’outils d’évaluation Guide d’application Approches et exemples pour le reporting financier 5 « A more comprehensive … guidance » Architecture des documents Guide d’application au domaine comptable et financier Cadre de référence 5 Composantes 17 Principes 85 Points d’attention illustratifs Approches Exemples Environnement de contrôle Principes 1 à 5 20 points d’attention … … Evaluation des risques Principe 6: Définir des objectifs appropriés 25 points d’attention dont les suivants pour le Principe 6: Identifier les critères de qualité dans les états financiers Établir des liens entre les comptes, les critères de qualité et les risques • Respecte les normes comptables applicables Définir les objectifs en matière de reporting financier Évaluer la pertinence des objectifs fixés • Tient compte de la matérialité Principe 7: … • Dispose d'un reporting reflétant les activités de l'entité Déterminer la matérialité Revoir et mettre à jour la compréhension des normes applicables Prendre en compte les domaines d'activité de l'entité Principe 8: … Principe 9: … Déterminer la matérialité pour les états financiers d'une société non cotée Revoir et mettre à jour la compréhension des normes applicables Prendre en compte l'étendue des activités d'évaluation … Activités de contrôle Principes 10 à 12 16 points d’attention … … Information et communication Principes 13 à 15 14 points d’attention … … Pilotage Principes 16 et 17 10 points d’attention … … PwC 6 « A more comprehensive … guidance » Ce qui ne change pas... • La définition du contrôle interne et sa structuration autour de 5 composantes • Le besoin d’évaluer l’efficacité du contrôle interne et le cas échéant d’identifier les besoins de renforcement et d’y remédier PwC Ce qui change ou évolue... L’élargissement du domaine d’application au-delà du reporting financier (qualité, RSE…) Le renforcement des attentes (rôles des comités, alignement avec le business model…) en matière de gouvernance L’articulation explicite des 3 ‘lignes de défense’ dans l’entreprise (management, fonctions support, audit interne) Le besoin de mettre en place un « succession planning » pour les collaborateurs clés au contrôle interne Le rapprochement risques / performance / rémunération La cohérence du ‘tone at the top’ avec les comportements à travers l’entreprise (‘tone in the middle’) La meilleure utilisation des fonctionnalités des systèmes d’information pour développer des contrôles automatiques La prise en compte des sous-traitants / autres intervenants clés L’adaptabilité et l’adéquation du dispositif par rapport à l’évolution de l’entreprise (processus, rôles, structures, SI, CSP, périmètre d’activité…) Le besoin de démontrer l’efficacité de la mise en œuvre des 17 principes 7 Entrée en vigueur • Le COSO laissera à disposition les deux éditions, celle de 1992 et celle de 2013, jusqu’au 15 décembre 2014. • A partir de cette date, l’édition de 1992 sera officiellement remplacée par sa mise à jour de 2013. “I understand that COSO intends to supersede their 1992 Framework as of December 15, 2014, and we expect there will be questions about whether the SEC will provide management with any transition or implementation guidance to change from the existing framework to the new framework. COSO has publicly stated its belief that “users should transition their applications and related documentation to the updated Framework as soon as is feasible under their particular circumstances” and that “the key concepts and principles embedded in the original framework are fundamentally sound and broadly accepted in the marketplace, and accordingly, continued use of the 1992 framework during the transition period (May 14, 2013 to December 15, 2014) is acceptable.” COSO further explained “the COSO Board’s goal in updating the original Framework has been to reflect changes in the business and operating environments, to formalize more explicitly the principles embedded in the original framework that facilitate development of effective internal control and assessment of its effectiveness, and to increase the ease of use when applied to an entity objective.” SEC staff plans to monitor the transition for issuers using the 1992 framework to evaluate whether and if any staff or Commission actions become necessary or appropriate at some point in the future. However, at this time, I’ll simply refer users of the COSO framework to the statements COSO has made about their new framework and their thoughts about transition. “ Remarks at the 32nd Annual SEC and Financial Reporting Institute Conference Paul Beswick Chief Accountant, Office of the Chief Accountant U.S. Securities and Exchange Commission Pasadena, California May 30, 2013 PwC 8 PwC 9 Une opportunité pour porter un regard « neuf » sur les dispositifs de contrôle interne « Focusing on the 17 principles … help management focus on important aspects of the components of IC » Environnement de contrôle 1 L'organisation manifeste son engagement en faveur de l'intégrité et de valeurs éthiques. 2 Le Conseil fait preuve d'indépendance vis-à-vis du management. Il surveille la mise en place et le bon fonctionnement du dispositif de contrôle interne. 3 Le management, agissant sous la surveillance du Conseil, définit les structures, les rattachements, ainsi que les pouvoirs et les responsabilités appropriés pour atteindre les objectifs. 4 L'organisation manifeste son engagement à attirer, former et fidéliser des collaborateurs compétents conformément aux objectifs. 5 Afin d’atteindre ses objectifs, l’organisation instaure pour chacun un devoir de rendre compte de ses responsabilités en matière de contrôle interne. Evaluation des risques 6 L'organisation définit des objectifs de façon suffisamment claire pour rendre possible l'identification et l'évaluation des risques susceptibles d’affecter leur réalisation. 7 L'organisation identifie les risques associés à la réalisation de ses objectifs dans l'ensemble de son périmètre et procède à leur analyse de façon à déterminer comment ils doivent être gérés. 8 L'organisation intègre le risque de fraude dans son évaluation des risques susceptibles de compromettre la réalisation des objectifs. 9 L'organisation identifie et évalue les changements qui pourraient avoir un impact significatif sur le système de contrôle interne. Remarks at the 32nd Annual SEC and Financial Reporting Institute Conference Paul Beswick, Chief Accountant, Office of the Chief Accountant U.S. Securities and Exchange Commission Pasadena, California, May 30, 2013 PwC Activités de contrôle L'organisation sélectionne et développe les activités de contrôle qui 10 contribuent à ramener à des niveaux acceptables les risques associés à la réalisation des objectifs. 11 L'organisation sélectionne et développe des contrôles généraux informatiques pour faciliter la réalisation des objectifs. L'organisation met en place les activités de contrôle par le biais de 12 règles qui précisent les objectifs poursuivis, et de procédures qui mettent en œuvre ces règles. Information & communication L'organisation obtient ou génère, et utilise, des informations 13 pertinentes et fiables pour faciliter le fonctionnement des autres composantes du contrôle interne. L'organisation communique en interne les informations nécessaires 14 au bon fonctionnement des autres composantes du contrôle interne, notamment en matière d'objectifs et de responsabilités associés au contrôle interne. L'organisation communique avec les tiers sur les points qui affectent 15 le fonctionnement des autres composantes du contrôle interne. Activités de pilotage L'organisation sélectionne, développe et réalise des évaluations 16 continues et/ou ponctuelles afin de vérifier si les composantes du contrôle interne sont mise en place et fonctionnent. L'organisation évalue et communique les faiblesses de contrôle 17 interne en temps voulu aux parties chargées de prendre des mesures correctives, notamment à la direction générale et au Conseil, selon le cas. 11 Quelques illustrations pratiques Zoom 1. Comment s’assurer de la complétude de l’évaluation des risques? Prendre en compte les risques émergents et les risques de fraude Zoom 2. Comment s’assurer de la bonne remontée d’information / d’alertes? Trois lignes de défense / maîtrise Evaluation des risques 7 L'organisation identifie les risques associés à la réalisation de ses objectifs dans l'ensemble de son périmètre et procède à leur analyse de façon à déterminer comment ils doivent être gérés. 8 L'organisation intègre le risque de fraude dans son évaluation des risques susceptibles de compromettre la réalisation des objectifs. L'organisation identifie et évalue les changements qui pourraient avoir un impact significatif sur le 9 système de contrôle interne. Environnement de contrôle Le management, agissant sous la surveillance du Conseil, définit les structures, les rattachements, 3 ainsi que les pouvoirs et les responsabilités appropriés pour atteindre les objectifs. Information & communication L'organisation obtient ou génère, et utilise, des informations pertinentes et fiables pour faciliter le 13 fonctionnement des autres composantes du contrôle interne. Activités de pilotage L'organisation sélectionne, développe et réalise des évaluations continues et/ou ponctuelles afin 16 de vérifier si les composantes du contrôle interne sont mise en place et fonctionnent. Environnement de contrôle Zoom 3. Comment responsabiliser chacun pour le bon fonctionnement du contrôle interne? Une problématique liée au pilotage de la performance PwC 1 L'organisation manifeste son engagement en faveur de l'intégrité et de valeurs éthiques. Afin d’atteindre ses objectifs, l’organisation instaure pour chacun un devoir de rendre compte de 5 ses responsabilités en matière de contrôle interne. Activités de contrôle L'organisation sélectionne et développe les activités de contrôle qui contribuent à ramener à des 10 niveaux acceptables les risques associés à la réalisation des objectifs. Activités de pilotage L'organisation évalue et communique les faiblesses de contrôle interne en temps voulu aux parties 17 chargées de prendre des mesures correctives, notamment à la direction générale et au Conseil, selon le cas. 12 Zoom1 : Analyse des risques Prendre en compte les risques induit par l’évolution de la stratégie, risques émergents et les risques de fraude Exemple : le risque de fraude (1/2) L’incitation / la pression L’intérêt personnel est souvent un facteur de fraude , mais la principale motivation est souvent la pression de la hiérarchie ou le désir d'aider au succès de l’entreprise. Incitation/Pression ! Risque de Fraude Opportunité Comportement/ Justification Le triangle de la fraude PwC L’opportunité Les opportunités naissent naturellement du fait que l’environnement et les entreprise changent, évoluent avec le temps. Ces changements donnent systématiquement lieu à des failles dans le dispositif de contrôle interne lorsque l’organisation interne de l’entreprise n’est pas bien alignée aux changements en question. Exemple : avec la crise, la tendance est de réduire les effectifs, entrainant moins de séparation des tâches qui est un élément clé du contrôle anti-fraude. Dans ces circonstances, les freins et contrepoids initialement mis en place sont affaiblis et créent des opportunités pour la fraude. Les comportements et justifications Les actes frauduleux sont toujours justifiés… • « Tout le monde paie des pots de vin pour réaliser des ventes dans ce pays, il n'y a pas d'autre moyen. » • « Si les banquiers peuvent obtenir des millions d’euros de bonus, pourquoi ne puis-je pas en avoir une part? » • La « comptabilité créative »ce n'est pas de la fraude, c’est juste adapter un peu les règles ». • «J'ai reçu moins de bonus que ceux de ma promotion , alors je compense un peu par l'intermédiaire des notes de frais ». 13 Zoom1 : Analyse des risques Exemple : le risque de fraude (2/2) Autant que certains pays présentent des relais de croissance commerciale importants, les normes et pratiques commerciales peuvent être divergentes des attentes règlementaires internationales, et les enjeux de conformité et les risques se complexifient… Company X – Top ten emerging risks Illustrative controls evaluated for effectiveness in relation to fraud risks Processus / Domaine Recherche Exemple d’analyse Finalité Achats Recherche de doublons de factures fournisseurs Vérification de l’existence des transactions et de la bonne évaluation du stock Vente Recherche de prix inhabituels ou de réductions suspectes Vérification du processus de validation des réductions Inventaire / production Recherche des pièces/matières avec coûts inhabituels ou négatifs Vérification de la bonne évaluation des stocks Inventaire / production Recherche des pièces/matières avec coûts inhabituels ou négatifs Vérification de la bonne évaluation des stocks Gestion de la paie Recherche de salariés fictifs (présents dans le système de paie mais pas dans le système RH) Vérification de l’existence des salariés F GF DO DCI RA Légende: F : Fraude – GF : Gains Financiers – DO : Dysfonctionnement Opérationnel DCI : Dysfonctionnement du Contrôle Interne – RA : Qualifier les Risques et Augmenter l’Assurance PwC 14 Zoom 2: Suivi des risques et du contrôle / remontée d’information / d’alertes Trois lignes de défense / maîtrise • Articulation entre les trois lignes de défense / maîtrise (réalisation des contrôles, testing) • Articulation au sein des fonctions support et en particulier entre la gestion des risques, le contrôle interne, la conformité et la qualité (suivi, reporting) • Niveau d’assurance obtenu (profondeur d’analyse, analyse transverse) Source: IFACI PwC 15 Zoom 3: Responsabiliser chacun pour le bon fonctionnement du contrôle interne Une problématique liée au pilotage de la performance PwC 16 Zoom 3: Responsabiliser chacun pour le bon fonctionnement du contrôle interne Des bonnes pratiques pour faire une meilleure appréciation et appréhension des risques PwC 17 Tendances depuis 1 an ? Actions engagées depuis un an Les entreprises qui annoncent dans le Rapport du Président du le contrôle Interne utiliser le référentiel COSO ont en général analysé l’application des 17 principes. Les principales actions qui en découlent sont : • Réflexions sur l’élargissement du CI aux processus opérationnels, • Travail sur le renforcement des compétences et des “soft skills” des correspondants / animateurs du contrôle interne, • “Rebouclage” managérial vers le middle management avec les résultats des contrôles et l’identification de pistes d’amélioration du fonctionnement des activités, • Réflexion sur l’ergonomie des outils utilisés (méthodologiques, SI), • Automatisation des contrôles, • Clarification des rôles autour des 3 lignes de maîtrise. PwC 19 Les informations fournies dans la présente publication ont un caractère exclusivement général, et ne peuvent en aucun cas être assimilées à une prestation de conseil. Aussi, elles ne peuvent être utilisées comme un substitut à une consultation rendue par un professionnel compétent pour vous fournir un conseil adapté à votre situation. Nous ne fournissons aucune garantie (expresse ou implicite) en ce qui concerne l'exactitude et l'exhaustivité des informations contenues dans cette publication. En tout état de cause, la responsabilité des entités membres du réseau PwC ou de leur personnel ne pourra en aucun cas être engagée du fait ou à la suite d'une décision prise sur la base des informations contenues dans cette publication. © 2014 PricewaterhouseCoopers France. Tous droits réservés. Dans ce document, "PwC" fait référence à PricewaterhouseCoopers France une entité membre de PricewaterhouseCoopers International Limited, dont chaque entité membre est une personne morale indépendante.