1 / 44

Implementing Internal Control in a Changing Regulatory Context

This article explores the status of internal control implementation in businesses and the challenges posed by evolving regulatory frameworks. It discusses the approach, tools, and methodologies for effective internal control and emphasizes the involvement of various departments in achieving control objectives. The article also highlights the regulatory context in France and internationally, including directives, standards, and guidelines.

fauna
Download Presentation

Implementing Internal Control in a Changing Regulatory Context

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Mettre en œuvrele contrôle internedans un contexte réglementaire mouvantOù en sont les entreprises ? Eric Dugelay 13 décembre 2007

  2. 1. Rappels sur le contrôle interne.2.Le contexte réglementaire.3. Résultats de nos travaux.

  3. La démarche de contrôle interne est permanente Toute démarche de contrôle interne doit être initiée par la Direction Générale de l’entreprise qui, en s’appuyant sur une organisation interne et un dispositif approprié, a pour objectif de confirmer la maîtrise des processus et des risques au sein de l’entreprise • Organisation interne • Directions opérationnelles • Directions fonctionnelles • Audit Interne • Outils informatiques • Méthodologies • Etc. • Diagnostic de l’existant • Auto-évaluation • Inventaire des procédures et des risques • Analyse de la conception des contrôles • Etc. • Amélioration du dispositifet pérennisation • Identification des plans d’action • Actions correctrices • Evaluation suite à correction • Harmonisation / Optimisation • Vérification de l’existence et de l’efficacité • Auto-évaluation • Tests de cheminement • Tests sur échantillon • Etc.

  4. DirectionFinancière DirectionInformatique DirectionGénérale RiskManagement Audit Interne DirectionsOpérationnelles Direction duContrôle Interne Dispositif de contrôle interne Fiabiliserl‘info financière Renforcer lagouvernance Enjeux Optimiserles processus Maîtriser lesrisques Prévenirla fraude Clarifier lesresponsabilités De nombreux acteurs sont impliqués pour répondre à la diversité des enjeux du contrôle interne Diverses Directions participent au dispositif de contrôle interne et assistent la Direction Générale à identifier, évaluer, optimiser et péréniser un dispositif efficace pour maîtriser les enjeux de l’entreprise

  5. 1. Rappels sur le contrôle interne.2. Le contexte réglementaire.3. Résultats de nos travaux.

  6. Le contexte réglementaireL’environnement français LSF AT CNCC Loi Breton NEP sur le rapport CI Transposition ISA 315 LSF CNCC 2007 2003 2004 2005 2006 AMF Rapport AMF sur 2005 et recommandation AMF sur le cadre de référence 1er groupe de place Rapport AMF sur 2003 Rapport AMF sur 2004 Lancement du groupe de place Publication du document principal du cadre de référence par l'IFACI Travaux sur le guide d'application Publication du document par l'AMF + consultation publique

  7. Activit Activit é é s de s de Recensement, Recensement, contrôle contrôle analyse et analyse et proportionnées proportionn gestion des gestion des aux enjeux aux enjeux risques risques Surveillance Surveillance Diffusion Diffusion permanente du permanente du en interne en interne dispositif et dispositif et d d informations informations ’ ’ examen r examen é régulier de son fonction- ne- ment Organisation, Organisation, de son s, responsabilités responsabilit é fonctionnement modes modes op op é é ratoires, outils ratoires, outils Le cadre de référence de l’AMF est compatible avec le COSO*. Son guide d’application met l’accent sur le contrôle interne comptable et financier *Référentiel de contrôle interne défini par le Committee Of Sponsoring Organizations of the Treadway Commission.

  8. Le contexte réglementaireL'environnement international 05/09/08 Transposition 4e et 7e Directive 12 /01/07Directive transparence 29/06/08 Transposition 8e Directive EUROPE 2008 2003 2004 2005 2006 2007 Audit Standard 2 SOX : Year 1 SOX : Year 2 19/12 Roundtable PCAOB US Nouvelles guidances SEC et révision du Standard 2 Premiers rapports FPI UK Revisionde Turnbull Revision du combined code

  9. Le contexte réglementaireLes évolutions à venir • 4ème et 7ème Directives du 14 juin 2006 • Approche descriptive des systèmes de contrôle interne et de gestion des risques «(…) les sociétés faisant appel public à l’épargne fassent chaque année une description des principales caractéristiques des systèmes de contrôle interne et de gestion des risques (…) » • 8ème Directive sur le contrôle légal des comptes du 17 mai 2006 • Responsabilité du Comité d’Audit « (…) Chaque entité d'intérêt public doit être dotée d'un comité d'audit ». « (…)le comité d'audit est notamment chargé des missions suivantes: a) suivi du processus d'élaboration de l'information financière; b) suivi de l'efficacité des systèmes de contrôle interne, d'audit interne, le cas échéant, et de gestion des risques de la société (…) » 05/09/08 Transposition 4e et 7e Directive 29/06/08 Transposition 8e Directive 2008

  10. Objectifs et fonctionnement du « groupe de place » AMF • « Groupe de place » établi sous l’égide de l'AMF comportant : • Des représentants des entreprises, de l’IFACI, des institutions comptables, des personnes qualifiées, de l'AMF,… • Un « guide d'application relatif au contrôle interne de l’information comptable et financière » • Objectifs : • Mettre un outil de référence à la disposition des entreprises soumises à la LSF • Contribuer à une plus grande homogénéité dans les rapports du Président • Anticiper sur les 4ème, 7ème et 8ème directives • Proposer un cadre compatible avec le COSO • Application : • Recommandation de l’AMF le 22 janvier 2007 pour les exercices ouverts à compter du 1er janvier 2007

  11. La LSF et le cadre de référence de l’AMF, représentent une opportunité réelle pour les acteurs du contrôle interne Niveau 1 recenser l’existantet apprécier la pertinence Niveau 2 confirmer la réalité opérationnelle Niveau 3 compléter et améliorer

  12. 1. Rappels sur le contrôle interne.2. Le contexte réglementaire.3. Résultats de nos travaux.

  13. Enquête et expérience • Enquête publique lancée par Deloitte en mai 2007 sur la fonction Contrôle Interne auprès de l’ensemble des sociétés du SBF 120 à l’exception du secteur banque/assurance, avec un bon niveau de représentativité : • taux de réponse de près de 30%, • diversité des entreprises ayant répondu (en termes de chiffre d’affaires, d’effectifs, de secteurs d’activité ou de soumission aux réglementations internationales sur le contrôle interne), • Près d’un tiers (31,1%) des entreprises sondées sont cotées sur plusieurs places financières. En particulier, 9 sur 31, soit 29% d’entre elles sont listées au New York Stock Exchange ou l’étaient au moment de l’enquête.

  14. Deux questions centrales • Est-ce que la fonction Contrôle Interne existe en tant que telle et quel rôlejoue-t-elle ? • Quelle est la place accordée par les entreprises à la fonction Contrôle Interne lorsqu'elle existe en tant que telle? • Quel est son rayon d'action? • Quels sont les moyens dont elle dispose? • Quelles sont les interactions avec le Risk Management, le Contrôle de Gestion et l'Audit Interne? • Où en sont les sociétés de la Place dans la mise en œuvre d’un dispositif de contrôle interne répondant aux attentes de l’AMF ?

  15. Thèmes • Fonction Contrôle Interne et loi Sarbanes Oxley • Relations entre fonctions Audit interne et Contrôle interne • Contrôle interne et analyse des risques • Questionnaires d’autoévaluation • Evaluation du contrôle interne • Prévention et détection des fraudes • Quel référentiel interne ?

  16. Fonction Contrôle Interne et loi Sarbanes Oxley

  17. La fonction Contrôle Interne commencetout juste à se développer en dehors des sociétéssoumises à Sarbanes Oxley où elle était apparue 1/2 • La charge de travail ayant découlé de l’article 404 de Sox a induit les sociétés soumises à cette loi à se doter d’équipes de spécialistes du contrôle interne. • Un peu plus de la moitié des sociétés (56%) ayant répondu à l’enquête disposent aujourd’hui d’un département Contrôle Interne. • La moitié environ d’entre elles ne sont pas soumises à Sox

  18. Il y a moins d’1 an 17,1 % Quand votre département de contrôle interne a-t-il été mis en place ? 17,1 % Il y a 1 à 2 ans Il y a 2 à 3 ans 42,9 % Il y a plus de 3 ans 22,9 % La fonction Contrôle Interne commencetout juste à se développer en dehors des sociétéssoumises à Sarbanes Oxley où elle était apparue 2/2 • Les fonctions Contrôle Interne dédiées ont été créées depuis trois ans ou moins pour 77% des départements existant. • Ce calendrier est à rapprocher de celui de la mise en application de la LSF et de Sox en France Source de cet histogramme et des suivants : Enquête publique lancée par Deloitte en mai 2007 sur la fonction Contrôle Interne auprès de l’ensemble des sociétés du SBF 120 à l’exception du secteur banque/assurance

  19. Fonctions Audit interne et Contrôle interne

  20. L’Audit Interne reste le contrôleur du contrôle internemais a parfois aussi un rôle de coordination de la fonction Contrôle Interne 1/2 • Près de 97% des sociétés sondées ont une équipe d’Audit Internede tailles relativement variables • L’activité du département Contrôle Interne, lorsqu’il existe,est coordonnée par l’Audit Interne dans 50% des cas

  21. Dans le spectre des missions d’Audit interne, quel est le pourcentage des missions ? De contrôle interne 25,1 % D’Audit Opérationnel 21,6 % D’Audit financier 19 % Conformité 15,6 % 11,5 % Autres (à préciser) Conseil 7,2 % L’Audit Interne reste le contrôleur du contrôle internemais a parfois aussi un rôle de coordination de la fonction Contrôle Interne 2/2 • Ce département n’est audité par l’Audit Interne que pour un tiers des participants. Le défaut d’indépendance pouvant résulter du point précédent est susceptible de générer une difficulté à auditer le département Contrôle Interne • Les missions de contrôle interne représentent 25% environ des missions effectuées par l’Audit Interne

  22. Quelle notion décrit le mieux le rôle du département d’Audit Interne dans la société ? Vérification de la conformité Assistance au Management Conseil au Management 10% 20% 30% 40% 50% 60% 70% 80% 90% 100 % Neutre Plutôt pas d’accord Tout à fait d’accord Pas du tout d’accord Plutôt d’accord La vérification de la conformité est plus attenduede l’Audit Interne que l’assistanceou le conseil au Management • On note un retour à une perception de l’Audit Interne « classique » au sein des sociétés où le service est perçu comme un vérificateur de la conformité pour deux tiers des participants

  23. Contrôle interne et analyse des risques

  24. Comment est établi le plan d’audit ? 10% 20% 30% 40% 50% 60% 70% 80% 90% 100 % Selon un plan de rotation Analyse des risques inhérents Stratégie, métier et processus Neutre Plutôt pas d’accord Tout à fait d’accord Pas du tout d’accord Plutôt d’accord Les sociétés fondent en grande majorité leur plan d’auditsur une analyse des risques

  25. Une large majorité de sociétés déploientune cartographie des risques • La grande majorité (84%) des entreprises réalisent une cartographie des risques • Le rapport 2006 de l’AMF indiquait déjà que plus de la moitié des sociétés sondées à cette époque avait recours à la cartographie des risques • Cet outil constitue l’une des composantes de l’approche proposée par le cadre de référence de l’AMF Exemple de format de cartographie des risques

  26. Par qui les résultats de la cartographie sont-ils suivis ? Direction Générale 49,1 % Annuellement 50,9 % Comité d’Audit 32,1 % 18,9 % Tous les 2 ans Autres (à préciser) 18,9 % Autres (à préciser) 30,2 % Conseil de surveillance) 0 % Généralement annuelle,la cartographie des risques intéresseau premier chef la Direction Générale • Pour gérer les risques identifiés lors de la cartographie, les entreprises ont le plus souvent recours à des outils sur mesure (67%)et non à des progicielsdu marché A quelle fréquence la cartographie est elle mise à jour ?

  27. Quels sont les principaux types de risques identifiés par la société ? Autres (à préciser) 6,3 % Tous les risques de l’entreprise 71,4 % Opérationnels et Financiers 19 % Opérationnels 3,2 % La cartographie des risques s’intéresseà l’ensemble des risques de l’entreprise • Si la fonction Contrôle Interne se concentre plus particulièrement sur les aspects financiers, les personnes chargées du déploiement de la cartographie des risques recensent l’ensemble des risques de l’entreprise pour 71% des sociétés sondées

  28. Malgré l’importance de la cartographie des risques,moins de la moitié des sociétésdispose d’une fonction Gestion des Risques • Un peu moins de la moitié des participants (43%) cite l’existence d’une fonction Gestion des Risques dédiée • Plus de deux tiers (68%) des sociétés soulignent le lien existant entre les fonctions Contrôle Interne, lorsqu’elle existe, et Gestion des Risques

  29. Les questionnaires d’autoévaluation

  30. Les questionnaires d’auto-évaluation du contrôle interne sont largement répandus et déployés de manière pragmatique • Plus de deux tiers (71%) des sociétés affirment utiliser un questionnaire de contrôle interne • Le cadre de référence de l’AMF préconise, en effet, l’utilisation d’un « questionnaire relatif à l’analyse et à la maîtrise des risques »

  31. Combien de questions comportent votre questionnaire d’autoévaluation du CI ? Moins de 100 28,9 % De 100 à 199 31,1 % De 200 à 299 13,3 % De 300 à 399 4,4 % De 400 à 499 13,3 % 500 et plus 8,9 % Les questionnaires d’auto-évaluation du contrôle interne sont largement répandus et déployés de manière pragmatique • Les questionnaires sont de taille raisonnable, ce qui en facilite l’adoption : • 210 questions en moyenne • questionnaires « courts » (moins de 200 questions) utilisés par 60% des participants à l’enquête • Les questionnaires sont complétés annuellement pour la grande majorité des participants (92%)

  32. Quels sont les thèmes abordés dans les questionnaires de contrôle interne ? Qualité de l’information financière 65,6 % Environnement de contrôle 65,6 % Conformité à la réglementation 62,5 % Efficacité opérationnelle 46,9 % Autres (à préciser) 12.5 % Les trois axes du COSO sont équitablement abordés dans les questionnaires • Le contrôle interne comptable et financier est considéré comme une priorité, ce qui augure favorablement de la mise en place du guide d’application de l’AMF sur ce sujet

  33. Par qui sont suivis les résultats ? Audit interne 57,1 % Comité d’Audit 46 % Direction Financière 34,9 % Direction Générale 30,2 % Contrôle Interne 25,4 % Autres (à préciser) 12,7 % Conseil de Surveillance 3,2 % L’analyse des réponses aux questionnaires intéressede nombreuses fonctions de l’entreprise • Cinq fonctions sont citées par au moins un quart des personnes sondées comme ayant une implication dans l’analyse des résultats de l’exercice d’auto-évaluation. • Cette analyse est réalisée principalement par l’Audit Interne (57%) et le Comité Audit (46%) • Les questionnaires de contrôle interne ne sont analysés par la fonction Contrôle Interne proprement dite que dans 25% des cas environ

  34. Evaluation du contrôle interne

  35. L’analyse du contrôle interne dans la société Donne-t-elle lieu à un pland’actions ? 76,2 % Aboutit-elle à une évaluation,même non communiquée à l’extérieur 57,1 % Est-elle purement descriptive ? 25,4 % Aboutit-elle à une évaluationdont les résultats sont communiquésà l’extérieur ? 20,6 % 57% des sociétés procèdent à une évaluation de leur contrôle interne et plus du tiers de ces dernières en communiquent les résultats • L’évaluation du contrôle interne est communiquée à l’extérieur pour environ 21% des participants • Ce constat révèle la volonté des entreprises de renforcer leur transparence vis-à-vis des investisseurs et du marché en général, et de suivre, dans ce sens, les recommandations formulées par l’AMF dans son rapport 2006

  36. Prévention et détection des fraudes

  37. Comment sont détectées les fraudes ? Contrôle ponctuel du Management 27 % Mission de l’Audit Interne 26 % Dénonciation 17 % Ligne d’Alerte Ethique 12 % Mission de l’Audit Externe 11 % Autres (à préciser) 6 % Les acteurs du contrôle interne doivent être à même de contribuer à la prévention et la détection de la fraude, sujets de préoccupation identifiés comme prioritaires • Plus de 87% des sociétés sondées reconnaissent mener des actions en prévention de la fraude • Les infractions sont principalement détectées grâce à des contrôles ponctuels du management et des missions de l’Audit Interne • L’utilisation des Lignes d’Alerte Ethique commence à voir le jour

  38. Qui est en charge de l’investigation en cas de suspicion de fraude ? L’Audit Interne 43,6 % Un spécialiste de la fraude 17,9 % Le Management 17,9 % Autres (à préciser) 10,3 % Les Ressources Humaines 10,3 % L’investigation de la fraude incombe traditionnellement à l’Audit Interne • L’Audit Interne est également au centre du processus anti-fraude en étant le plus souvent impliqué dans les investigations (44% des cas environ). • Un peu moins d’un quart des participants font appel à un spécialiste de la fraude

  39. Quelle est l’approche fraude dans votre société ? Réaction ponctuelle à la suspicion 34,9 % Réactivité systématique à la suspicion 30,2 % Programmes anti-fraude formalisés 20,9 % Autres (à préciser) 14 % Les programmes anti-fraude formalisés ne font pas recette en dehors des sociétés tenues par Sox d’en déployer un • 35% environ des sociétés n’ont qu’une réaction ponctuelle, et non pas systématique, à la suspicion de fraude • Seulement 21% des sociétés disposent de programmes anti-fraude formalisés

  40. Lorsqu’il constate une fraude, de quels outils dispose le salarié pour informer le Management ? Autres (par ex communication à la hiérarchie) 81,8 % Email spécifique 41,9 % Numéro de téléphone spécifique 32,3 % Les lignes éthiques, par contre, commencent à se développer, mais la communication directe avec le Management est privilégiée en cas de suspicion de fraude • Les outils mis à disposition des employés pour signaler la fraude restent limités • Moins de la moitié des sociétés ont mis en place des lignes éthiques spécifiques (e-mail ou e-mail plus numéro de téléphone) • Le canal d’information le plus utilisé est de loin la communication directe avec le Management

  41. Quel référentiel interne ?

  42. Sur quel référentiel votre société s’appuie-t-elle ? COSO 63,3 % AMF 28,6 % Interne 8,2 % 0,0 % Autres (à préciser) Le cadre de référence de l’AMF commence déjà à se substituer à celui du COSO • Plus des trois quart (78%) des sociétés participantes s’appuient sur un référentiel de contrôle interne • Parmi ces sociétés, près des deux tiers (63%) utilisent le COSO comme référentiel de contrôle interne et un peu moins d’un tiers (29%) recourent d’ores et déjà au cadre de référence de l’AMF

  43. Contacts Eric Dugelay Associé – en charge du pôle Risk Management Deloitte Conseil edugelay@deloitte.fr + 33 (0) 1 55 61 54 13

More Related