Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Entreprise
  2. Management

Titre : Gestion des risques, audit interne et contrôle interne

publicité 
Atelier A N°13
Titre : Gestion des risques, audit
interne et contrôle interne
Intervenants
Georges BOUCHARD
GAZ DE FRANCE
Directeur de l'Audit et des Risques.
E.mail : [email protected]
Sylvie LE DAMANY
LANDWELL
Avocat Associé
E.mail : [email protected]
Annie BRESSAC
Pierre-Alexandre BAPST
IFACI
Directeur du Développement
E.mail :[email protected]
HERMES
Directeur de l' Audit et des Risques
E.mail : [email protected]
Modérateur
Gérard LANCNER
YVES ROCHER
Directeur Risk Management
E.mail : [email protected]
Institut de
l’Audit Interne
“Gestion des risques, audit
interne et contrôle interne”
Les présentations de cet atelier seront sur
www.amrae.fr
à partir du 1er mars 2007
• Évolution de l'environnement législatif
réglementaire et professionnel
• Témoignages
• Débat
Le contrôle interne :
Contexte légal et
réglementaire
Contexte : le choc des affaires
Début 2002 :
–Une récession économique
–De grands scandales financiers aux États-Unis : Enron,
Worldcom, …
–En France : Vivendi Universal, …
–Un constat :
-les contre-pouvoirs fonctionnent mal
-les modes de direction des grands groupes sont critiqués
-en période de récession, l'erreur ne pardonne pas
–Un résultat :
-une crise de confiance
-une nécessité de régulation pour la rétablir
-une réaction des autorités qui réglementent
Réaction du Législateur pour plus de transparence
et une meilleure gestion des risques
¾ La loi sur les Nouvelles
Économiques (NRE) 2001
Régulations
¾ Le Sarbanes-Oxley Act (SOX) 2002
de
nouvelles
responsabilités
pour les entreprises et leurs dirigeants
¾ La Loi de Sécurité Financière (LSF) 2003
¾ La loi Breton 26 juillet 2005
Des évolutions importantes au sein des entreprises en matière de
contrôle interne et de gouvernance
• Une volonté d’organiser plus efficacement les rôles et responsabilités
entre les organes de direction et de contrôle
• Une formalisation des procédures de contrôle interne
• La mise en place d’outils pour sensibiliser le management et tous les
collaborateurs de l’entreprise sur le risque de non-conformité aux lois et
règlements : charte des dirigeants, code de conduite, délégations de
pouvoirs et de signature…
• Une montée en puissance des auditeurs internes, des risks managers,
des risks officers, des déontologues…
Contexte légal et de marché
Réponses des législateurs
Facteurs de
risques
externes
• Fraudes comptables
• Erreurs majeures de gestion
• Non respect des lois
Facteurs de
risques
internes
Perte de valeur
Renforcement
du
gouvernement
d'entreprise
Perte de confiance des marchés
Mise sous
contrôle des
activités de
l'entreprise
Nouvelles Dispositions en France (LSF)
1er Août 2003
¾ Sociétés Anonymes – Article 117 de la LSF : « le Président du Conseil
d'Administration [ou de Surveillance] rend compte dans un rapport [à
l'Assemblée Générale] :
– des conditions de préparation et d'organisation des travaux du conseil
– des procédures de contrôle interne mises en place
– des limitations de pouvoirs de la Direction Générale”
¾ Personnes morales faisant appel public à l'épargne (SA, SCA ou autres) –
Article 122 de la LSF : « elles rendent publiques les informations
relevant des conditions de préparation et d'organisation des travaux
du conseil et des procédures de contrôle interne dans les conditions
fixées par l'Autorité des Marchés Financiers (AMF) »
De nouvelles obligations en matière
de transparence (LSF)
¾ Un rapport [à l'Assemblée Générale] :
• sur l’exercice par le conseil de son rôle
• sur les procédures de contrôle interne
¾ Dispositions applicables :
• pour tous les exercices ouverts à compter du 1er janvier 2003
• Dans la LSF : toutes les SA (art. 117) et toutes les sociétés
faisant APE (art. 122), tant au niveau individuel qu'au niveau
consolidé (incluant les filiales consolidées, françaises ou
étrangères, quelle que soit leur forme juridique)
¾ Modifié par la loi Breton du 26 juillet 2005
• Seules les sociétés faisant appel public à l’épargne
¾ Le texte de loi ne précise pas le contenu du rapport du Président
ou les informations à publier et ne définit pas le contrôle interne
De nouvelles obligations en matière
de transparence (LSF)
¾ Un rapport sur le rapport du Président - Art. 120 : "Les
commissaires aux comptes présentent, dans un rapport [ ] leurs
observations sur le rapport [du Président] pour celles des
procédures de contrôle interne relatives à l'élaboration et au
traitement de l'information comptable et financière"
– Le rapport du commissaire aux comptes couvre un périmètre de
contrôle interne plus restreint que celui couvert par le rapport du
Président
Pour mémoire : comparaison LSF / SOA
Champ d'application
Loi de Sécurité Financière
Sarbanes-Oxley Act (*)
Toutes les SA (APE et non APE)
Les sociétés cotées
Et les sociétés APE
Non défini
Implicitement, champ complet du contrôle
interne
Défini et limité au contrôle interne relatif à
l'information financière et aux procédures de
communication des informations aux
marchés.
Référentiel de contrôle
interne
Pas d'utilisation obligatoire d'un référentiel
Utilisation obligatoire d'un référentiel reconnu.
Obligation de
documentation et de
tests des contrôles
Non explicite
Explicite
Émetteur du rapport
Président du CA ou du CS
CEO et CFO
Date d'application
Exercices ouverts à compter du 1er janvier
2003
Pour les sociétés soumises au reporting
accéléré : exercices clos au 15 juin 2004 et
après.
Définition et périmètre
du contrôle interne
COSO cité comme exemple par la SEC
Exercices clos au 15 avril 2005 et après pour
les autres (FPI).
(*) tel que précisé par le règlement SEC publié le 11 juin 2003
Un mouvement européen sur la gouvernance
et la transparence
¾ Méthodologie d’évaluation de la mise en œuvre des principes de
l’OCDE sur le gouvernement d’entreprise – 1er décembre 2006 ¾ Directive transparence qui instaure une déclaration des dirigeants
dans le rapport financier annuel incluant une description des
principaux risques et incertitudes auxquels ils sont confrontés
¾ Directive 2006/46/CE du 14 juin 2006 qui tend à accroître les
rôles et responsabilités des administrateurs et autres organes de
gestion et de surveillance sur l’établissement des comptes
annuels, le rapport de gestion et la déclaration afférente à la
gouvernance (transposition au plus tard en 2008)
Les procédures d’alerte autorisées en Europe…
¾ Les sociétés soumises au SOA sont contraintes de mettre en place
une procédure d’alerte dite « whistleblowing » qui permet aux
salariés de révéler les fraudes en matière comptable et financière.
¾ Toutes les entreprises françaises peuvent mettre en place un tel
dispositif dans la mesure où elles se doivent d’avoir un contrôle
interne efficace.
¾ La CNIL par sa délibération n°2005-305 du 8 décembre 2005 (JO
du 4 janvier 2006) est revenue sur son refus initial et catégorique
d’autoriser la mise en œuvre de dispositifs d’alerte (sous certaines
conditions).
¾ Aujourd’hui, il existe désormais un modèle européen du
whistleblowing d’inspiration française puisque le dispositif a été
adopté par les institutions européennes équivalentes à la CNIL.21
Enjeux juridiques
¾Ménager la responsabilité des dirigeants :
–Lors de l’exercice de leur mandat
–Lors de la production du rapport
- Pas de sanction juridique spécifique dans la LSF, le rapport du
Président est "joint" au rapport du conseil d'administration ou de
surveillance à l'assemblée annuelle (rapport annuel)
- Mais réaction du marché et observations du CAC
¾Sensibiliser le conseil sur son rôle
¾Assurer les relais au sein du groupe
¾Remonter les informations pertinentes
Enjeux juridiques
¾Responsabilité quant à la qualité du contrôle interne :
– Responsabilité de la Direction Générale / Directoire
– S’assurer de l’existence et de la qualité des procédures par
le conseil
– En cas de carence dans la mise en place des procédures de
contrôle interne, ou de procédures inefficaces,
responsabilité civile collective des administrateurs /
membres du conseil de surveillance et de la direction
générale
Enjeux juridiques
¾Responsabilité quant à la rédaction et au contenu du
rapport :
– La responsabilité civile du Président et des
administrateurs, s’ils l’ont approuvé, s'il est démontré une
faute caractérisée, un préjudice et un lien de causalité entre
faute et préjudice.
– De façon très exceptionnelle, leur responsabilité pénale
pourrait également être mise en jeu sur le terrain du délit
de communication d'informations fausses ou trompeuses
sur les perspectives ou la situation d'une société dont les
titres sont négociés sur un marché réglementé.
Une responsabilité accrue des
dirigeants de l'entreprise
Plus de transparence :
accès à une information
réservée à certains
auparavant = source de
détection de
certaines anomalies
voire certains délits
ÖExemples :
- renforcement du contrôle
des conventions
réglementées
- possibilité d'obtenir les
compte s sociaux par la
procédure d'injonction de
faire
- rémunération dans les SA
(cotées)
- CE aux assemblées
- renforcement du droit
d'information des
actionnaires
Ceux qui sont informés doivent
agir : renforcement des
responsabilités
ÖInfraction en la qualité d'auteur ou
de complice sur le terrain pénal
ÖFaute sur le terrain civil
Sources éventuelles de
poursuites
Ösur le terrain civil
Ösur le terrain pénal
Renforcement des autorités de contrôle
ÖExemples :
- alourdissement des sanctions encourues par le
commissaire aux comptes en cas de non révélation
- Création du Haut Conseil du Commissariat aux
Comptes
- Création de l'Autorité des Marchés Financiers (AMF) (+
possibilité de se constituer partie civile)
Élargissement des
possibilités
d'actions de
certains acteurs de
l'entreprise
ÖExemples :
- extension du champ
d'application de
l'expertise de gestion
- extension des
possibilités d'actions
des associations
d'actionnaires
Un constat au travers du rapport de l’AMF 2007
¾ Conclusions en matière de gouvernance
¾ Conclusions en matière de contrôle
interne
Les évolutions intervenues
depuis 2006
Des définitions partagées ?
Définition du management des
risques selon Coso 2
¾ Le management des risques est un processus mis en œuvre
par le Conseil d’administration, la Direction générale, le
management et l’ensemble des collaborateurs de
l’organisation.
¾ Il est pris en compte dans l’élaboration de la stratégie ainsi
que dans toutes les activités de l’organisation. Il est conçu
pour identifier les événements potentiels susceptibles
d’affecter les l’organisation et pour gérer les risques dans les
limites de son appétence pour le risque. Il vise à fournir une
assurance raisonnable quant à l’atteinte des objectifs de
l’organisation » .
Les missions du risk-manager selon le Coso 2
¾ Contribuer à définir les politiques et identifier les acteurs
du management des risques (rôles, responsabilités,
objectifs).
¾ Promouvoir les compétences en management des risques au
sein de l’entreprise.
¾ Aider à intégrer le management des risques dans les
activités de planification et de management.
¾ Établir un langage commun.
¾ Faciliter la mise en place d’un reporting risques et
superviser ce processus.
¾ Rendre compte à la DG et recommander les actions
nécessaires pour améliorer le processus de management des
risques.
Le rôle de l’audit interne
¾ L’Audit Interne est une activité indépendante et
objective qui donne à une organisation une assurance sur
le degré de maîtrise de ses opérations, lui apporte ses
conseils pour les améliorer, et contribue à créer de la
valeur ajoutée.
¾ Il aide cette organisation à atteindre ses objectifs en
évaluant, par une approche systématique et méthodique,
ses processus de management des risques, de contrôle, et de
gouvernement d’entreprise, et en faisant des propositions
pour renforcer leur efficacité.
Les missions de l’audit interne
¾ Analyser et évaluer les processus de management des
risques, de contrôle et de gouvernement d’entreprise.
¾ Formuler des recommandations pour améliorer leur
efficacité
¾ Rendre compte régulièrement des actions entreprises pour
corriger les dysfonctionnements décelés.
¾ Vérifier que les dispositifs en place assurent la conformité
aux lois et réglementations.
¾ Contribuer à la mise en place du processus de management
des risques
¾ Animer, quand elle existe, une démarche d’auto-évaluation
des risques
Audit interne et contrôle interne
¾ Définition du contrôle interne selon COSO I :
– Processus mis en oeuvre par les dirigeants et le personnel
d’une organisation, à quel que niveau que ce soit,
– Destiné à leur donner en permanence une assurance
raisonnable quant à la réalisation des objectifs de
l’organisation
¾ 3 catégories d’objectifs
– Optimisation de l’utilisation des ressources (Efficacité et
efficience de l’exploitation)
– Fiabilité des états financiers publiés
– Respect de lois et réglementations (conformité)
Le cadre de référence AMF
Le contexte et la démarche
¾Principaux objectifs assignés par l’AMF
¾Le Groupe de Place
¾Le Groupe de travail sur le CI comptable et
financier
¾Principales orientations
Structure du Cadre de Référence de
Contrôle Interne
¾Les principes généraux de contrôle interne ;
¾Les questionnaires :
– Questionnaire relatif au contrôle interne
comptable et financier;
– Questionnaire relatif à l’analyse et à la maîtrise
des risques.
¾Le guide d’application relatif au contrôle
interne de l’information comptable et
financière publiée par les émetteurs.
¾Le cadre de référence
Définition
Le contrôle interne est un dispositif de la société, défini et
mis en œuvre sous sa responsabilité.
Il comprend un ensemble de moyens, de comportements, de
procédures et d’actions adaptés aux caractéristiques
propres de chaque société qui :
¾contribue à la maîtrise de ses activités, à l’efficacité de ses
opérations et à l’utilisation efficiente de ses ressources, et
¾doit lui permettre de prendre en compte de manière appropriée
les risques significatifs, qu’ils soient opérationnels, financiers
ou de conformité.
Définition (suite)
¾ Le dispositif vise plus particulièrement à
assurer :
– La conformité aux lois et règlements;
– L’application des instructions et des
orientations fixées par la Direction Générale;
– Le bon fonctionnement des processus internes
de la société, notamment ceux concourant à la
sauvegarde de ses actifs;
– La fiabilité des informations financières.
Les 5 composantes retenues
Le dispositif de contrôle interne, qui est adapté aux
caractéristiques de chaque société doit prévoir :
Î une organisation appropriée;
Î la diffusion en interne d’informations pertinentes ;
Î un système visant à recenser et analyser les principaux
risques identifiables et à s’assurer de l’existence de
procédures de gestion de ces risques
Î des activités de contrôle proportionnées aux enjeux
Î une surveillance permanente du dispositif de contrôle
interne.
Les 5 composantes retenues
Le dispositif de contrôle interne, qui est adapté aux
caractéristiques de chaque société doit prévoir :
Î une organisation;
Î la diffusion en interne d’informations pertinentes ;
Î un système visant à recenser et analyser les principaux
risques identifiables et à s’assurer de l’existence de
procédures de gestion de ces risques
Î des activités de contrôle proportionnées aux enjeux
Î une surveillance permanente du dispositif de contrôle
interne.
La composante «recensement et analyse des
risques»
Mise en place de méthodes pour recenser, analyser et
gérer les risques d’origine interne ou externe qui
réduiraient la probabilité d’atteinte de leurs objectifs.
ÎRecensement, dans le cadre d’un processus continu, des
principaux risques identifiables
ÎAnalyse des risques (processus de gestion des risques)
ÎDéfinition des procédures de gestion des risques par la
Direction Générale ou le Directoire avec l’appui d’une
Direction des risques, si elle existe. (cf. questionnaire
relatif à l’analyse et à la maîtrise des risques)
¾Le Guide d’application relatif au
contrôle interne de l’information
comptable et financière publiée
par les émetteurs
Structure du guide d’application relatif au
contrôle interne comptable et financier
•
•
•
Introduction incluant la définition et les objectifs
Processus de pilotage de l’organisation
comptable et financière
Processus concourant à l’élaboration de
l’information comptable et financière publiée :
–
Processus amont et processus de production de
l’information comptable et financière
– Processus d’arrêté comptable et de communication
financière
Ð
Eléments du contrôle interne permettant d’assurer une
maîtrise de ces 3 familles de processus
¾Les Questionnaires
Structure du questionnaire relatif au
contrôle interne comptable et financier
1. Rôle des organes de gouvernance
2. Organisation comptable et financière
3. Système d'information comptable et
financier
4. Identification et analyse des risques
affectant l'information comptable et
financière
5. Activité de contrôle
6. Communication financière et comptable
Structure du questionnaire relatif à l’analyse
et à la maîtrise des risques
1.
2.
¾
¾
Principes généraux de gestion des risques
Identification des principaux risques
Analyse des principaux risques
Procédures de gestion des principaux
risques
¾ Surveillance des risques et des procédures
de gestion des risques
Les tendances observées
¾La mise en place de processus de management des risques
:
•Cartographie des risques
•Création d’une fonction centrale et d’un réseau de riskmanagers
¾ Le lancement de projets de renforcement ou de
formalisation du contrôle interne :
•Réappropriation du CI par les managers
•Rétablissement du lien entre contrôle interne et risques
¾Mise en conformité avec la réglementation
• Banques
• Assurances
Les tendances observées
¾Forte sollicitation de l’audit interne :
•LSF, SOX
•Assistance à la mise en place du processus de management des
risque
•Réaffirmation du rôle d’évaluation du contrôle interne : extension
du périmètre et professionnalisation de l’audit interne
¾Des choix d’organisation variés :
•Regroupement gestion des risques et audit interne sous une
même autorité
•Création de fonction centrale de «responsable de contrôle
interne» et de relais auprès des managers : animation du CI
L’impact de la LSF pour l’audit interne
¾ 64% des répondants soumis à la LSF
¾ L’audit interne est fortement impliqué :
– Elaboration d’un projet de rapport (65%)
– Participation au groupe de travail (34%)
– Animation de ce groupe de travail (19%)
¾ Impact positif de la LSF, notamment :
– Renforcement du dispositif de contrôle interne (70,6%)
¾ Changement dans la nature des missions de l’audit
interne
– Renforcement de l’approche par les risques (19%)
– Missions d’accompagnement à la mise en œuvre du contrôle
interne, auto-évaluation (11%)
– Augmentation du nombre de missions orientées vers la vérification
des informations comptables et financières (10%)
L’impact de SOX pour l’audit interne
¾ 14% des répondants soumis à SOX
¾ L’audit interne est fortement impliqué dans 92% des
cas :
– Equipe dédiée (74%) avec en moyenne 7 auditeurs internes
¾ Rôle variable :
– Tests des procédures de contrôle ou des contrôle internes mise en place
(62,5%)
– Coordination du projet (41%)
– Participation au Comité de Pilotage (16%)
– Pilotage du projet (12,5%)
¾ Impact important de SOX, notamment :
– Renforcement du dispositif de contrôle interne (96%)
– Impact sur la réalisation du plan d’audit (77%)
– Augmentation du nombre de missions d’audit comptable et financier
(71%)
L’évolution des rôles : audit interne
et fonction de contrôle interne
Selon l’enquête IFACI 2005 :
¾ 47% des répondants disposent d’une fonction de contrôle
interne distincte, d’ancienneté variable
¾ Rattachement de la fonction de contrôle interne à la
Direction Financière (27%) ou aux Directions
opérationnelles (27%)
¾ Rôle : mettre en place, anime et suivre le contrôle interne
¾ Répartition des responsabilités entre contrôles
permanents et périodiques est une des principales
préoccupations des auditeurs internes dus secteur
bancaire en 2005
L’exemple du secteur bancaire
(CRBF 97-02)
¾Séparation du contrôle permanent et du
contrôle périodique
– Contrôle permanent niveau 1 et 2
– Contrôle périodique (niveau 3) : l’audit
interne
¾La fonction conformité
– Chargée de veiller à l’efficacité et la
cohérence du contrôle du risque de non
respect des lois, normes, et instructions
externes et internes
Audit interne et management de risques
Gestion des risques, audit
interne et contrôle interne :
Recommandations
Facteurs clés de succès
Un besoin de clarification des rôles et
responsabilités
¾ Clarification nécessaire sur les rôles et les responsabilités des
acteurs au cœur de la gouvernance et du contrôle interne :
–
–
–
–
–
–
–
Conseil d’Administration
Direction générale
Risk manager
Audit interne
Compliance officer
« Chief Internal Control Officer »
Direction juridique…
¾ Nécessité de définir les rôles, les responsabilités
¾ Mettre en place et formaliser des délégations de pouvoirs efficaces
pour une meilleure gestion des risques et responsabilités
Recommandations et facteurs clé de succès
¾Développer un «référentiel » partagé : un cadre
«intégré»de gestion des risques et de contrôle interne :
•Définitions
•Méthodologie (par exemple : évaluation de risques)
¾Rechercher la différenciation des rôles pour
organiser la complémentarité :
•Éviter la superposition des processus et des fonctions
•Optimiser les liens hiérarchiques et fonctionnels
•Partager les informations, par exemple cartographie des risques,
évaluation des risques, bonnes pratiques de CI
¾Préserver l’indépendance de l’audit interne et du riskmanagement
Apporter de la visibilité pour libérer les énergies
Contrôle interne, gestion des
risques, audit interne
L'expérience de Gaz de France
Gaz de France aujourd'hui (1)
• 22 milliards d'euros de chiffre d'affaires
dont 36 % à l'international
• 4 milliards d'euros de cash flow
• 3 milliards d'euros d'investissements
• 53 000 collaborateurs
dont 53 % hors statut IEG
Gaz de France aujourd'hui (2)
• Un groupe juridiquement compact,
avec peu de filiales très significatives
• Un management décentralisé
• Une culture historique
davantage managériale que financière
Gaz de France aujourd'hui (3)
• Des approches du contrôle interne
historiquement diverses et partielles
• Une sensibilité historique à certains risques
• Une culture d'audit managérial
Contrôle interne, Risques, Audit interne à
Gaz de France (1)
• L'organisation actuelle
1 Directeur, 3 Délégués, 3 Filières
• L'histoire
– Rôle précurseur de l'Audit interne
– Identification progressive des deux autres fonctions
Contrôle interne, Risques, Audit interne à
Gaz de France (2)
• Cohérence des politiques
• Proximité et densité des échanges
• Respect des identités
• Cohérence des mises en oeuvre
Documents connexes
CV jihed
CV jihed
Mes médicaments à l`Hôpital
Mes médicaments à l`Hôpital
Diplôme Supérieur de Comptabilité et de Gestion
Diplôme Supérieur de Comptabilité et de Gestion
Télécharger l`organigramme
Télécharger l`organigramme
Réponse à l`offre WAUA1FY14 – Auditeur assistant
Réponse à l`offre WAUA1FY14 – Auditeur assistant
AUDITEUR INFORMATIQUE - Banque centrale du Luxembourg
AUDITEUR INFORMATIQUE - Banque centrale du Luxembourg
CV Ekke Munz - Management de transition
CV Ekke Munz - Management de transition
audit et ctrl de gestion
audit et ctrl de gestion
audit et ctrl de gestion
audit et ctrl de gestion
Diplôme d`Etudes Supérieures Spécialisées
Diplôme d`Etudes Supérieures Spécialisées
Océane Consulting (Tanaguru)
Océane Consulting (Tanaguru)
Liste des formations concernées par le calendrier de toutes les
Liste des formations concernées par le calendrier de toutes les
File - Faculté des sciences économiques, des sciences
File - Faculté des sciences économiques, des sciences
Belmokhtar Yacine 90 rue Charles keller, 54 000 Nancy
Belmokhtar Yacine 90 rue Charles keller, 54 000 Nancy
Charles Michel DIOP
Charles Michel DIOP
formulaire-de-demande-d-audit
formulaire-de-demande-d-audit
la fonction de stabilisation du secteur public
la fonction de stabilisation du secteur public
PORTUGAL - LISBONNE Audit technique de l`Ambassade de
PORTUGAL - LISBONNE Audit technique de l`Ambassade de
domaines de competences
domaines de competences
l`audit média : bonne idée ou absurdité - SWA-ASA
l`audit média : bonne idée ou absurdité - SWA-ASA
Role du comite d`audit en matiere de cybersecurite
Role du comite d`audit en matiere de cybersecurite
Communiqué de presse LSF Interactive étoffe son Service Clients a
Communiqué de presse LSF Interactive étoffe son Service Clients a
Téléchargement
publicité