Atelier A N°13 Titre : Gestion des risques, audit interne et contrôle interne Intervenants Georges BOUCHARD GAZ DE FRANCE Directeur de l'Audit et des Risques. E.mail : [email protected] Sylvie LE DAMANY LANDWELL Avocat Associé E.mail : [email protected] Annie BRESSAC Pierre-Alexandre BAPST IFACI Directeur du Développement E.mail :[email protected] HERMES Directeur de l' Audit et des Risques E.mail : [email protected] Modérateur Gérard LANCNER YVES ROCHER Directeur Risk Management E.mail : [email protected] Institut de l’Audit Interne “Gestion des risques, audit interne et contrôle interne” Les présentations de cet atelier seront sur www.amrae.fr à partir du 1er mars 2007 • Évolution de l'environnement législatif réglementaire et professionnel • Témoignages • Débat Le contrôle interne : Contexte légal et réglementaire Contexte : le choc des affaires Début 2002 : –Une récession économique –De grands scandales financiers aux États-Unis : Enron, Worldcom, … –En France : Vivendi Universal, … –Un constat : -les contre-pouvoirs fonctionnent mal -les modes de direction des grands groupes sont critiqués -en période de récession, l'erreur ne pardonne pas –Un résultat : -une crise de confiance -une nécessité de régulation pour la rétablir -une réaction des autorités qui réglementent Réaction du Législateur pour plus de transparence et une meilleure gestion des risques ¾ La loi sur les Nouvelles Économiques (NRE) 2001 Régulations ¾ Le Sarbanes-Oxley Act (SOX) 2002 de nouvelles responsabilités pour les entreprises et leurs dirigeants ¾ La Loi de Sécurité Financière (LSF) 2003 ¾ La loi Breton 26 juillet 2005 Des évolutions importantes au sein des entreprises en matière de contrôle interne et de gouvernance • Une volonté d’organiser plus efficacement les rôles et responsabilités entre les organes de direction et de contrôle • Une formalisation des procédures de contrôle interne • La mise en place d’outils pour sensibiliser le management et tous les collaborateurs de l’entreprise sur le risque de non-conformité aux lois et règlements : charte des dirigeants, code de conduite, délégations de pouvoirs et de signature… • Une montée en puissance des auditeurs internes, des risks managers, des risks officers, des déontologues… Contexte légal et de marché Réponses des législateurs Facteurs de risques externes • Fraudes comptables • Erreurs majeures de gestion • Non respect des lois Facteurs de risques internes Perte de valeur Renforcement du gouvernement d'entreprise Perte de confiance des marchés Mise sous contrôle des activités de l'entreprise Nouvelles Dispositions en France (LSF) 1er Août 2003 ¾ Sociétés Anonymes – Article 117 de la LSF : « le Président du Conseil d'Administration [ou de Surveillance] rend compte dans un rapport [à l'Assemblée Générale] : – des conditions de préparation et d'organisation des travaux du conseil – des procédures de contrôle interne mises en place – des limitations de pouvoirs de la Direction Générale” ¾ Personnes morales faisant appel public à l'épargne (SA, SCA ou autres) – Article 122 de la LSF : « elles rendent publiques les informations relevant des conditions de préparation et d'organisation des travaux du conseil et des procédures de contrôle interne dans les conditions fixées par l'Autorité des Marchés Financiers (AMF) » De nouvelles obligations en matière de transparence (LSF) ¾ Un rapport [à l'Assemblée Générale] : • sur l’exercice par le conseil de son rôle • sur les procédures de contrôle interne ¾ Dispositions applicables : • pour tous les exercices ouverts à compter du 1er janvier 2003 • Dans la LSF : toutes les SA (art. 117) et toutes les sociétés faisant APE (art. 122), tant au niveau individuel qu'au niveau consolidé (incluant les filiales consolidées, françaises ou étrangères, quelle que soit leur forme juridique) ¾ Modifié par la loi Breton du 26 juillet 2005 • Seules les sociétés faisant appel public à l’épargne ¾ Le texte de loi ne précise pas le contenu du rapport du Président ou les informations à publier et ne définit pas le contrôle interne De nouvelles obligations en matière de transparence (LSF) ¾ Un rapport sur le rapport du Président - Art. 120 : "Les commissaires aux comptes présentent, dans un rapport [ ] leurs observations sur le rapport [du Président] pour celles des procédures de contrôle interne relatives à l'élaboration et au traitement de l'information comptable et financière" – Le rapport du commissaire aux comptes couvre un périmètre de contrôle interne plus restreint que celui couvert par le rapport du Président Pour mémoire : comparaison LSF / SOA Champ d'application Loi de Sécurité Financière Sarbanes-Oxley Act (*) Toutes les SA (APE et non APE) Les sociétés cotées Et les sociétés APE Non défini Implicitement, champ complet du contrôle interne Défini et limité au contrôle interne relatif à l'information financière et aux procédures de communication des informations aux marchés. Référentiel de contrôle interne Pas d'utilisation obligatoire d'un référentiel Utilisation obligatoire d'un référentiel reconnu. Obligation de documentation et de tests des contrôles Non explicite Explicite Émetteur du rapport Président du CA ou du CS CEO et CFO Date d'application Exercices ouverts à compter du 1er janvier 2003 Pour les sociétés soumises au reporting accéléré : exercices clos au 15 juin 2004 et après. Définition et périmètre du contrôle interne COSO cité comme exemple par la SEC Exercices clos au 15 avril 2005 et après pour les autres (FPI). (*) tel que précisé par le règlement SEC publié le 11 juin 2003 Un mouvement européen sur la gouvernance et la transparence ¾ Méthodologie d’évaluation de la mise en œuvre des principes de l’OCDE sur le gouvernement d’entreprise – 1er décembre 2006 ¾ Directive transparence qui instaure une déclaration des dirigeants dans le rapport financier annuel incluant une description des principaux risques et incertitudes auxquels ils sont confrontés ¾ Directive 2006/46/CE du 14 juin 2006 qui tend à accroître les rôles et responsabilités des administrateurs et autres organes de gestion et de surveillance sur l’établissement des comptes annuels, le rapport de gestion et la déclaration afférente à la gouvernance (transposition au plus tard en 2008) Les procédures d’alerte autorisées en Europe… ¾ Les sociétés soumises au SOA sont contraintes de mettre en place une procédure d’alerte dite « whistleblowing » qui permet aux salariés de révéler les fraudes en matière comptable et financière. ¾ Toutes les entreprises françaises peuvent mettre en place un tel dispositif dans la mesure où elles se doivent d’avoir un contrôle interne efficace. ¾ La CNIL par sa délibération n°2005-305 du 8 décembre 2005 (JO du 4 janvier 2006) est revenue sur son refus initial et catégorique d’autoriser la mise en œuvre de dispositifs d’alerte (sous certaines conditions). ¾ Aujourd’hui, il existe désormais un modèle européen du whistleblowing d’inspiration française puisque le dispositif a été adopté par les institutions européennes équivalentes à la CNIL.21 Enjeux juridiques ¾Ménager la responsabilité des dirigeants : –Lors de l’exercice de leur mandat –Lors de la production du rapport - Pas de sanction juridique spécifique dans la LSF, le rapport du Président est "joint" au rapport du conseil d'administration ou de surveillance à l'assemblée annuelle (rapport annuel) - Mais réaction du marché et observations du CAC ¾Sensibiliser le conseil sur son rôle ¾Assurer les relais au sein du groupe ¾Remonter les informations pertinentes Enjeux juridiques ¾Responsabilité quant à la qualité du contrôle interne : – Responsabilité de la Direction Générale / Directoire – S’assurer de l’existence et de la qualité des procédures par le conseil – En cas de carence dans la mise en place des procédures de contrôle interne, ou de procédures inefficaces, responsabilité civile collective des administrateurs / membres du conseil de surveillance et de la direction générale Enjeux juridiques ¾Responsabilité quant à la rédaction et au contenu du rapport : – La responsabilité civile du Président et des administrateurs, s’ils l’ont approuvé, s'il est démontré une faute caractérisée, un préjudice et un lien de causalité entre faute et préjudice. – De façon très exceptionnelle, leur responsabilité pénale pourrait également être mise en jeu sur le terrain du délit de communication d'informations fausses ou trompeuses sur les perspectives ou la situation d'une société dont les titres sont négociés sur un marché réglementé. Une responsabilité accrue des dirigeants de l'entreprise Plus de transparence : accès à une information réservée à certains auparavant = source de détection de certaines anomalies voire certains délits ÖExemples : - renforcement du contrôle des conventions réglementées - possibilité d'obtenir les compte s sociaux par la procédure d'injonction de faire - rémunération dans les SA (cotées) - CE aux assemblées - renforcement du droit d'information des actionnaires Ceux qui sont informés doivent agir : renforcement des responsabilités ÖInfraction en la qualité d'auteur ou de complice sur le terrain pénal ÖFaute sur le terrain civil Sources éventuelles de poursuites Ösur le terrain civil Ösur le terrain pénal Renforcement des autorités de contrôle ÖExemples : - alourdissement des sanctions encourues par le commissaire aux comptes en cas de non révélation - Création du Haut Conseil du Commissariat aux Comptes - Création de l'Autorité des Marchés Financiers (AMF) (+ possibilité de se constituer partie civile) Élargissement des possibilités d'actions de certains acteurs de l'entreprise ÖExemples : - extension du champ d'application de l'expertise de gestion - extension des possibilités d'actions des associations d'actionnaires Un constat au travers du rapport de l’AMF 2007 ¾ Conclusions en matière de gouvernance ¾ Conclusions en matière de contrôle interne Les évolutions intervenues depuis 2006 Des définitions partagées ? Définition du management des risques selon Coso 2 ¾ Le management des risques est un processus mis en œuvre par le Conseil d’administration, la Direction générale, le management et l’ensemble des collaborateurs de l’organisation. ¾ Il est pris en compte dans l’élaboration de la stratégie ainsi que dans toutes les activités de l’organisation. Il est conçu pour identifier les événements potentiels susceptibles d’affecter les l’organisation et pour gérer les risques dans les limites de son appétence pour le risque. Il vise à fournir une assurance raisonnable quant à l’atteinte des objectifs de l’organisation » . Les missions du risk-manager selon le Coso 2 ¾ Contribuer à définir les politiques et identifier les acteurs du management des risques (rôles, responsabilités, objectifs). ¾ Promouvoir les compétences en management des risques au sein de l’entreprise. ¾ Aider à intégrer le management des risques dans les activités de planification et de management. ¾ Établir un langage commun. ¾ Faciliter la mise en place d’un reporting risques et superviser ce processus. ¾ Rendre compte à la DG et recommander les actions nécessaires pour améliorer le processus de management des risques. Le rôle de l’audit interne ¾ L’Audit Interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. ¾ Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efficacité. Les missions de l’audit interne ¾ Analyser et évaluer les processus de management des risques, de contrôle et de gouvernement d’entreprise. ¾ Formuler des recommandations pour améliorer leur efficacité ¾ Rendre compte régulièrement des actions entreprises pour corriger les dysfonctionnements décelés. ¾ Vérifier que les dispositifs en place assurent la conformité aux lois et réglementations. ¾ Contribuer à la mise en place du processus de management des risques ¾ Animer, quand elle existe, une démarche d’auto-évaluation des risques Audit interne et contrôle interne ¾ Définition du contrôle interne selon COSO I : – Processus mis en oeuvre par les dirigeants et le personnel d’une organisation, à quel que niveau que ce soit, – Destiné à leur donner en permanence une assurance raisonnable quant à la réalisation des objectifs de l’organisation ¾ 3 catégories d’objectifs – Optimisation de l’utilisation des ressources (Efficacité et efficience de l’exploitation) – Fiabilité des états financiers publiés – Respect de lois et réglementations (conformité) Le cadre de référence AMF Le contexte et la démarche ¾Principaux objectifs assignés par l’AMF ¾Le Groupe de Place ¾Le Groupe de travail sur le CI comptable et financier ¾Principales orientations Structure du Cadre de Référence de Contrôle Interne ¾Les principes généraux de contrôle interne ; ¾Les questionnaires : – Questionnaire relatif au contrôle interne comptable et financier; – Questionnaire relatif à l’analyse et à la maîtrise des risques. ¾Le guide d’application relatif au contrôle interne de l’information comptable et financière publiée par les émetteurs. ¾Le cadre de référence Définition Le contrôle interne est un dispositif de la société, défini et mis en œuvre sous sa responsabilité. Il comprend un ensemble de moyens, de comportements, de procédures et d’actions adaptés aux caractéristiques propres de chaque société qui : ¾contribue à la maîtrise de ses activités, à l’efficacité de ses opérations et à l’utilisation efficiente de ses ressources, et ¾doit lui permettre de prendre en compte de manière appropriée les risques significatifs, qu’ils soient opérationnels, financiers ou de conformité. Définition (suite) ¾ Le dispositif vise plus particulièrement à assurer : – La conformité aux lois et règlements; – L’application des instructions et des orientations fixées par la Direction Générale; – Le bon fonctionnement des processus internes de la société, notamment ceux concourant à la sauvegarde de ses actifs; – La fiabilité des informations financières. Les 5 composantes retenues Le dispositif de contrôle interne, qui est adapté aux caractéristiques de chaque société doit prévoir : Î une organisation appropriée; Î la diffusion en interne d’informations pertinentes ; Î un système visant à recenser et analyser les principaux risques identifiables et à s’assurer de l’existence de procédures de gestion de ces risques Î des activités de contrôle proportionnées aux enjeux Î une surveillance permanente du dispositif de contrôle interne. Les 5 composantes retenues Le dispositif de contrôle interne, qui est adapté aux caractéristiques de chaque société doit prévoir : Î une organisation; Î la diffusion en interne d’informations pertinentes ; Î un système visant à recenser et analyser les principaux risques identifiables et à s’assurer de l’existence de procédures de gestion de ces risques Î des activités de contrôle proportionnées aux enjeux Î une surveillance permanente du dispositif de contrôle interne. La composante «recensement et analyse des risques» Mise en place de méthodes pour recenser, analyser et gérer les risques d’origine interne ou externe qui réduiraient la probabilité d’atteinte de leurs objectifs. ÎRecensement, dans le cadre d’un processus continu, des principaux risques identifiables ÎAnalyse des risques (processus de gestion des risques) ÎDéfinition des procédures de gestion des risques par la Direction Générale ou le Directoire avec l’appui d’une Direction des risques, si elle existe. (cf. questionnaire relatif à l’analyse et à la maîtrise des risques) ¾Le Guide d’application relatif au contrôle interne de l’information comptable et financière publiée par les émetteurs Structure du guide d’application relatif au contrôle interne comptable et financier • • • Introduction incluant la définition et les objectifs Processus de pilotage de l’organisation comptable et financière Processus concourant à l’élaboration de l’information comptable et financière publiée : – Processus amont et processus de production de l’information comptable et financière – Processus d’arrêté comptable et de communication financière Ð Eléments du contrôle interne permettant d’assurer une maîtrise de ces 3 familles de processus ¾Les Questionnaires Structure du questionnaire relatif au contrôle interne comptable et financier 1. Rôle des organes de gouvernance 2. Organisation comptable et financière 3. Système d'information comptable et financier 4. Identification et analyse des risques affectant l'information comptable et financière 5. Activité de contrôle 6. Communication financière et comptable Structure du questionnaire relatif à l’analyse et à la maîtrise des risques 1. 2. ¾ ¾ Principes généraux de gestion des risques Identification des principaux risques Analyse des principaux risques Procédures de gestion des principaux risques ¾ Surveillance des risques et des procédures de gestion des risques Les tendances observées ¾La mise en place de processus de management des risques : •Cartographie des risques •Création d’une fonction centrale et d’un réseau de riskmanagers ¾ Le lancement de projets de renforcement ou de formalisation du contrôle interne : •Réappropriation du CI par les managers •Rétablissement du lien entre contrôle interne et risques ¾Mise en conformité avec la réglementation • Banques • Assurances Les tendances observées ¾Forte sollicitation de l’audit interne : •LSF, SOX •Assistance à la mise en place du processus de management des risque •Réaffirmation du rôle d’évaluation du contrôle interne : extension du périmètre et professionnalisation de l’audit interne ¾Des choix d’organisation variés : •Regroupement gestion des risques et audit interne sous une même autorité •Création de fonction centrale de «responsable de contrôle interne» et de relais auprès des managers : animation du CI L’impact de la LSF pour l’audit interne ¾ 64% des répondants soumis à la LSF ¾ L’audit interne est fortement impliqué : – Elaboration d’un projet de rapport (65%) – Participation au groupe de travail (34%) – Animation de ce groupe de travail (19%) ¾ Impact positif de la LSF, notamment : – Renforcement du dispositif de contrôle interne (70,6%) ¾ Changement dans la nature des missions de l’audit interne – Renforcement de l’approche par les risques (19%) – Missions d’accompagnement à la mise en œuvre du contrôle interne, auto-évaluation (11%) – Augmentation du nombre de missions orientées vers la vérification des informations comptables et financières (10%) L’impact de SOX pour l’audit interne ¾ 14% des répondants soumis à SOX ¾ L’audit interne est fortement impliqué dans 92% des cas : – Equipe dédiée (74%) avec en moyenne 7 auditeurs internes ¾ Rôle variable : – Tests des procédures de contrôle ou des contrôle internes mise en place (62,5%) – Coordination du projet (41%) – Participation au Comité de Pilotage (16%) – Pilotage du projet (12,5%) ¾ Impact important de SOX, notamment : – Renforcement du dispositif de contrôle interne (96%) – Impact sur la réalisation du plan d’audit (77%) – Augmentation du nombre de missions d’audit comptable et financier (71%) L’évolution des rôles : audit interne et fonction de contrôle interne Selon l’enquête IFACI 2005 : ¾ 47% des répondants disposent d’une fonction de contrôle interne distincte, d’ancienneté variable ¾ Rattachement de la fonction de contrôle interne à la Direction Financière (27%) ou aux Directions opérationnelles (27%) ¾ Rôle : mettre en place, anime et suivre le contrôle interne ¾ Répartition des responsabilités entre contrôles permanents et périodiques est une des principales préoccupations des auditeurs internes dus secteur bancaire en 2005 L’exemple du secteur bancaire (CRBF 97-02) ¾Séparation du contrôle permanent et du contrôle périodique – Contrôle permanent niveau 1 et 2 – Contrôle périodique (niveau 3) : l’audit interne ¾La fonction conformité – Chargée de veiller à l’efficacité et la cohérence du contrôle du risque de non respect des lois, normes, et instructions externes et internes Audit interne et management de risques Gestion des risques, audit interne et contrôle interne : Recommandations Facteurs clés de succès Un besoin de clarification des rôles et responsabilités ¾ Clarification nécessaire sur les rôles et les responsabilités des acteurs au cœur de la gouvernance et du contrôle interne : – – – – – – – Conseil d’Administration Direction générale Risk manager Audit interne Compliance officer « Chief Internal Control Officer » Direction juridique… ¾ Nécessité de définir les rôles, les responsabilités ¾ Mettre en place et formaliser des délégations de pouvoirs efficaces pour une meilleure gestion des risques et responsabilités Recommandations et facteurs clé de succès ¾Développer un «référentiel » partagé : un cadre «intégré»de gestion des risques et de contrôle interne : •Définitions •Méthodologie (par exemple : évaluation de risques) ¾Rechercher la différenciation des rôles pour organiser la complémentarité : •Éviter la superposition des processus et des fonctions •Optimiser les liens hiérarchiques et fonctionnels •Partager les informations, par exemple cartographie des risques, évaluation des risques, bonnes pratiques de CI ¾Préserver l’indépendance de l’audit interne et du riskmanagement Apporter de la visibilité pour libérer les énergies Contrôle interne, gestion des risques, audit interne L'expérience de Gaz de France Gaz de France aujourd'hui (1) • 22 milliards d'euros de chiffre d'affaires dont 36 % à l'international • 4 milliards d'euros de cash flow • 3 milliards d'euros d'investissements • 53 000 collaborateurs dont 53 % hors statut IEG Gaz de France aujourd'hui (2) • Un groupe juridiquement compact, avec peu de filiales très significatives • Un management décentralisé • Une culture historique davantage managériale que financière Gaz de France aujourd'hui (3) • Des approches du contrôle interne historiquement diverses et partielles • Une sensibilité historique à certains risques • Une culture d'audit managérial Contrôle interne, Risques, Audit interne à Gaz de France (1) • L'organisation actuelle 1 Directeur, 3 Délégués, 3 Filières • L'histoire – Rôle précurseur de l'Audit interne – Identification progressive des deux autres fonctions Contrôle interne, Risques, Audit interne à Gaz de France (2) • Cohérence des politiques • Proximité et densité des échanges • Respect des identités • Cohérence des mises en oeuvre