Fichier PDF

Partagez, hébergez et archivez facilement vos documents au format PDF

Partager un fichier Mes fichiers Boite à outils PDF Recherche Aide Contact



pwc pg controle interne .pdf



Nom original: pwc_pg_controle_interne.pdf
Titre: 01/1ere Couverture ok
Auteur: Laurence

Ce document au format PDF 1.5 a été généré par QuarkXPress Passportª 4.11: AdobePS 8.6 (219) / Acrobat Distiller 4.05 for Macintosh, et a été envoyé sur fichier-pdf.fr le 23/11/2013 à 19:07, depuis l'adresse IP 41.103.x.x. La présente page de téléchargement du fichier a été vue 1684 fois.
Taille du document: 2.8 Mo (65 pages).
Confidentialité: fichier public




Télécharger le fichier (PDF)









Aperçu du document


LANDWELL & ASSOCIÉS
Société d’avocats

Contrôle interne
Au-delà des concepts, 40 questions aux praticiens

"Pocket Guide"

"Pocket Guide"

Contrôle interne – Au-delà des concepts, 40 questions aux praticiens
Ce document a été réalisé par
le comité LSF/SOA constitué par PricewaterhouseCoopers
et le cabinet d’avocats Landwell & Associés
Pour PricewaterhouseCoopers
Xavier MAITRIER, Associé,
Activité « Performance, Risques et Contrôle interne », Responsable du Comité LSF/SOA, 01 56 57 53 25
Christian MARTIN, Associé,
Activité « Audit Grands Groupes », 01 56 57 80 91
Dominique MÉNARD, Associée,
Activité « Audit & Conseil », Responsable de la méthodologie audit, 01 56 57 85 73
Dominique PERRIER, Associée,
Activité « Litiges, Investigations et Prévention de Fraudes », 01 56 57 80 17
Philippe PLAGNES, Associé,
Activité « Gestion des Ressources Humaines et Conduite du Changement », 01 56 57 82 14
Marie-Hélène SARTORIUS, Associée,
Activité « Perfomance, Risques et Contrôle interne », 01 56 57 56 46
Brian TOWHILL, Associé,
Activité « Services à l’Audit Interne », 01 56 57 11 24

Pour Landwell & Associés
Sylvie LE DAMANY, Avocat, associée,
Ancien Secrétaire de la Conférence de la Cour d’appel de Paris,
Responsable du département « Litiges/ Droit pénal des affaires », 01 56 57 82 70

Bruno THOMAS, Avocat, associé,
Responsable du département « Corporate », 01 56 57 83 75
avec le concours du Département Publications et Consultations

Claude LOPATER, Associé, Responsable du Département
Stéphanie BERRA, Manager

Novembre 2004

CONTRÔLE INTERNE
Au-delà des concepts, 40 questions aux praticiens
Sarbanes-Oxley Act, Loi de Sécurité Financière, Kon TraG
en Allemagne, Dutch Corporate Gouvernance Code…
et enfin Directive européenne… le contrôle interne
est sous les feux des projecteurs des régulateurs.
Cette pression pour une mise en oeuvre d’un contrôle interne
de qualité, visant à rétablir la confiance des marchés financiers,
ne doit pas occulter le fait que le contrôle interne
est avant tout un dispositif de maîtrise des activités
mis en place par l’Entreprise, pour l’Entreprise.
L’incitation plus ou moins vive du législateur
est donc un catalyseur qui aujourd’hui doit être perçu
comme l’opportunité d’améliorer le fonctionnement
de l’entreprise, et ce au travers d’une gouvernance claire
et d’un contrôle interne adapté et efficace.
Le contrôle interne dépend de l’activité, de l’organisation
et des modes de fonctionnement de l’entreprise :
il est propre à chaque entreprise
et résulte d’une démarche rigoureuse d’analyse des enjeux
et de mise en place de dispositifs adaptés et efficaces.
Ce guide vise à donner quelques références de bonnes pratiques
et via le jeu des questions-réponses, à illustrer
comment certains sujets qui se posent immanquablement,
lors d’une démarche de mise en œuvre d’un dispositif
de contrôle interne, peuvent être abordés.

Le Comité LSF / SOA

LANDWELL & ASSOCIÉS
Société d’avocats

LEXIQUE
AFEP

Association Française des Entreprises Privées

AMF

Autorité des Marchés Financiers

AMRAE

Association pour le Management des Risques
et des Assurances de l’entreprise

CAC

Commissaire aux Comptes

CEO

Chief Executive Officer

CFO

Chief Financial Officer

CNCC

Compagnie Nationale
des Commissaires aux Comptes

COSO

Committee Of Sponsoring Organizations
de la Commission Treadway

EPA

Établissement Public Administratif

EPIC

Établissement Public
à caractère Industriel et Commercial

ERM

Enterprise Risk Management

IFACI

Institut Français de l’Audit
et du Contrôle Interne

LSF

Loi de Sécurité Financière

MEDEF

Mouvement des Entreprises de France

PCAOB

Public Company Accounting Oversight Board

SEC

Securities and Exchange Commission

SOA

Sarbanes-Oxley Act

SOMMAIRE

Pourquoi le contrôle interne
est-il aujourd’hui
une préoccupation du management ? . . . . . . . . . . . 5
Du contrôle interne
à la maîtrise des activités . . . . . . . . . . . . . . . . . . . . . . . 17
Qui fait quoi ?
Quelles évolutions
dans l’organisation de l’entreprise ? . . . . . . . . . . . . 27
En pratique, quel projet mettre en œuvre ? . . . . 39
Quel apport pour l’entreprise à long terme ? . . . 49
Quelle communication
sur le contrôle interne ? . . . . . . . . . . . . . . . . . . . . . . . . 55
Sommaire détaillé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

3

POURQUOI LE CONTRÔLE INTERNE
EST-IL AUJOURD’HUI
UNE PRÉOCCUPATION
DU MANAGEMENT ?

Q1. Quelles sont les obligations créées par la LSF ? . . . . . 6
Q2. Quel est le périmètre de la LSF ? . . . . . . . . . . . . . . . . . 7
Q3. Quel est le champ d’application de cette loi ? . . . . . . 8
Q4. Quelle est la responsabilité du Président
du conseil afférente à cette nouvelle obligation
issue de l’article 117 de la LSF ? . . . . . . . . . . . . . . . . . . 9
Q5. En quoi la LSF diffère-t-elle du SOA
en vigueur aux États-Unis ? . . . . . . . . . . . . . . . . . . . . . 11
Q6. Quelles sont les évolutions prévues en Europe
en matière de contrôle interne
et de gouvernance ? . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Q7. Quelles sont les obligations légales
dans les autres pays ? . . . . . . . . . . . . . . . . . . . . . . . . . 14
Q8. Quel est le rôle des « grands acteurs de place »
et des régulateurs ?
Comment influencent-ils la gestion
du contrôle interne dans les entreprises ? . . . . . . . . 15

5

LE CONTRÔLE, PRÉOCCUPATION DU MANAGEMENT

Q1.

Quelles sont les obligations créées par la LSF ?

La LSF crée de nouvelles obligations de communication
sur la gouvernance et le contrôle interne pour toutes les
sociétés anonymes et pour les sociétés faisant appel
public à l’épargne :
Sociétés Anonymes – Article 117 – « le Président du
conseil d’administration [ou de surveillance] rend
compte dans un rapport [à l’assemblée générale] :
– des conditions de préparation et d’organisation des
travaux du conseil ;
– des procédures de contrôle interne mises en place ;
– des limitations de pouvoirs de la direction générale ».
Personnes morales faisant appel public à l’épargne (SA,
SCA ou autres) – Article 122 : « elles rendent publiques
les informations relevant des conditions de préparation
et d’organisation des travaux du conseil et des
procédures de contrôle interne dans les conditions
fixées par l’Autorité des Marchés Financiers ».

6

Contrôle interne – Au-delà des concepts, questions aux praticiens

LE CONTRÔLE, PRÉOCCUPATION DU MANAGEMENT

Q2.

Quel est le périmètre de la LSF ?

La LSF ne définit pas les « procédures de contrôle
interne » auxquelles elle fait référence dans les
articles 117 et 122.
Après débats entre les différents acteurs de place
impliqués dans l’évaluation ou la gestion du contrôle
interne de l’entreprise, un consensus est apparu pour
considérer que la LSF couvre le champ complet du
contrôle interne, c’est-à-dire, l’ensemble des politiques
et procédures mises en œuvre dans l’entreprise,
destinées à fournir une assurance raisonnable quant à
la gestion rigoureuse et efficace de ses activités.
Le contrôle interne a ainsi trait à la maîtrise de
l’ensemble des activités de l’entreprise et n’est pas
limité aux informations comptables et financières. Par
essence, il apporte une « assurance raisonnable », et
non une certitude, quant à la réalisation des objectifs de
l’entreprise.
Les dispositifs de prévention de la fraude font partie du
contrôle interne.

"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

7

LE CONTRÔLE, PRÉOCCUPATION DU MANAGEMENT

Q3.

Quel est le champ d’application de cette loi ?

L’obligation d’établir un rapport à l’attention de
l’assemblée générale s’impose à toutes les sociétés
anonymes (SA), cotées ou non, et les sociétés faisant
appel public à l’épargne tant à titre individuel qu’en
qualité de société de tête d’un groupe consolidé.
Le périmètre du contrôle interne s’étend pour les
groupes aux procédures destinées à assurer le contrôle
sur leurs filiales et aux procédures destinées à garantir la
fiabilité des comptes consolidés.
Ces dispositions visent également des sociétés ou
établissements spécifiques qui se voient assimilés aux
sociétés anonymes par la réglementation, tels que :
– les sociétés anonymes coopératives à capital variable,
les sociétés anonymes sportives professionnelles ;
– les établissements publics industriels et commerciaux
ayant la forme d’une société anonyme, sauf s’il existe
une loi instituant l’établissement (ou décidant la
transformation d’un EPA en EPIC) et comportant une
disposition expresse contraire (l’article 117 ne peut être
écarté par voie réglementaire).
Les personnes morales autres que les SA et faisant
appel public à l’épargne sont également concernées
par cette obligation et doivent rendrent publiques les
informations relevant des procédures de contrôle
interne dans les conditions fixées par l’Autorité des
Marchés Financiers.
8

Contrôle interne – Au-delà des concepts, questions aux praticiens

LE CONTRÔLE, PRÉOCCUPATION DU MANAGEMENT

Il s’agit en particulier des sociétés en commandite par
actions et des sociétés étrangères :
– admises aux négociations sur un marché réglementé
français,
– non admises aux négociations sur un marché
réglementé français mais faisant ponctuellement appel
public à l’épargne en France, par exemple dans le cadre
d’une offre aux salariés de ses filiales françaises.
Les sociétés par actions simplifiées et les sociétés à
responsabilité limitée ne sont pas soumises à cette
obligation de publicité. Néanmoins, leurs mandataires
sociaux restent clairement responsables des mesures de
contrôle interne permettant la maîtrise de leurs activités.
Q4.

Quelle est la responsabilité du Président
du conseil afférente à cette nouvelle obligation
issue de l’article 117 de la LSF ?

L’article 117 de la LSF fait peser sur le Président du
conseil d’administration (de surveillance) une
responsabilité quant à la rédaction et au contenu du
rapport sur les procédures de contrôle interne mises en
place dans l’entreprise.
La loi ne prévoit pas de sanctions spécifiques.
Néanmoins, il est précisé que le rapport du Président est
« joint » au rapport du conseil d’administration ou de
surveillance à l’assemblée annuelle (rapport annuel).
Les tribunaux pourraient dès lors, considérer qu’il fait
"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

9

LE CONTRÔLE, PRÉOCCUPATION DU MANAGEMENT

partie de ce dernier et qu’il suit le même régime
juridique. Dans cette hypothèse :
– l’absence de rapport annuel, son défaut de
communication ou de mise à disposition peuvent être
sanctionnés pénalement (D67 art. 16, 53, 293 al 4,
Code Pénal art. 131-13),
– les dirigeants sociaux pourraient faire l’objet d’une
injonction sous astreinte de procéder au dépôt du
rapport ou d’y faire procéder (Code de commerce, art.
L 123-5-1 et art. L 238-1).
Par ailleurs, la responsabilité civile du Président pourra
être mise en jeu au titre de la rédaction et du contenu
de ce rapport s’il est démontré une faute caractérisée
dans la rédaction du rapport, un préjudice et un lien de
causalité entre faute et préjudice, sachant que la
responsabilité de tous les administrateurs ou membres
du conseil de surveillance pourra être recherchée dans
la mesure où le Président aura pris la précaution
d’obtenir l’approbation des membres du conseil quant
au contenu du rapport. Celui-ci relève de la
responsabilité des administrateurs et membres du
conseil de surveillance.
Enfin, de façon très exceptionnelle, la responsabilité
pénale du Président et des membres du conseil pourrait
également être mise en jeu sur le terrain du délit de
communication d’informations fausses ou trompeuses
sur les perspectives ou la situation d’une société dont
les titres sont négociés sur un marché réglementé. Pour
que les faits puissent être qualifiés comme tels, il

10

Contrôle interne – Au-delà des concepts, questions aux praticiens

LE CONTRÔLE, PRÉOCCUPATION DU MANAGEMENT

faudrait que les informations publiées par l’AMF ou
communiquées par le Président à l’assemblée soient
considérées comme étant particulièrement sensibles et
aient pu influencer le cours de bourse.
Quoi qu’il en soit, cette responsabilité du Président sur
la rédaction et le contenu du rapport ne doit pas
occulter la responsabilité plus fondamentale de la
direction générale sur la qualité intrinsèque du
contrôle interne mis en place dans l’entreprise.
Q5.

En quoi la LSF diffère-t-elle du SOA
en vigueur aux États-Unis ?

Les objectifs et la philosophie des deux textes sont
différents :
– le SOA vise à apporter une réponse concrète et rapide
aux préoccupations des marchés financiers quant à la
fiabilité de l’information financière. Il est donc centré
sur cette information et le contrôle de celle-ci, pour les
seules sociétés cotées ; il requiert du CEO et du CFO
qu’ils affirment leur responsabilité quant à la fiabilité de
cette information ;
– la LSF vise à inciter les entreprises françaises à s’engager
dans une dynamique d’amélioration du contrôle interne
et plus spécifiquement de gestion de leurs risques (cf.
rapport du Sénat – « LSF un an après »). Elle cible le
dispositif de contrôle interne dans son ensemble, pour
toutes les SA, et requiert du Président qu’il rende compte
aux actionnaires de ce dispositif d’ensemble.

"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

11

12

Sarbanes-Oxley Act
Les sociétés cotées
Défini et limité au contrôle interne
relatif à l’information financière
et aux procédures de communication
des informations aux marchés
Utilisation obligatoire
d’un référentiel reconnu.
COSO cité comme exemple par la SEC
Explicite

CEO et CFO
Pour les sociétés soumises
au reporting accéléré : exercices clos
au 15 novembre 2004 et après.
Exercices clos au 15 avril 2005
et après pour les autres (FPI)

Loi de Sécurité Financière
Toutes les SA (APE et non APE)
et les sociétés APE
Non défini
(sauf pour les travaux du CAC)
Implicitement, champ complet
du contrôle interne
Pas d’utilisation obligatoire
d’un référentiel reconnu
Non explicite

Président du CA ou du CS
Exercices ouverts à compter
du 1er janvier 2003

Champ d’application

Définition et périmètre
du contrôle interne

Référentiel
de contrôle interne

Obligation
de documentation
et de tests des contrôles

Emetteur du rapport

Date d’application

LE CONTRÔLE, PRÉOCCUPATION DU MANAGEMENT

Les principales différences entre ces deux textes sont
illustrées ci-dessous.

Contrôle interne – Au-delà des concepts, questions aux praticiens

LE CONTRÔLE, PRÉOCCUPATION DU MANAGEMENT

Q6.

Quelles sont les évolutions prévues en Europe
en matière de contrôle interne
et de gouvernance ?

La proposition de directive sur le contrôle légal des
comptes du 16 mars 2004 contient deux mesures en
matière de contrôle interne :
– le test de connaissances théoriques inclus dans
l’examen d’aptitudes professionnelles auquel sont
soumis les auditeurs devrait notamment couvrir la
gestion des risques et le contrôle interne (art. 8) ;
– l’auditeur ou le cabinet d’audit devrait faire un
rapport au comité d’audit sur les questions
fondamentales soulevées par l’audit, notamment les
faiblesses majeures du contrôle interne en rapport avec
le processus d’élaboration de l’information financière
(art. 39).
En outre, la proposition de directive sur la
responsabilité des administrateurs du 28 octobre 2004
prévoit la publication par les sociétés cotées, dans une
partie distincte du rapport de gestion, d’une
« déclaration annuelle sur le gouvernement
d’entreprise » incluant la description des systèmes
internes de contrôle et de gestion des risques du groupe
en relation avec le processus d’établissement des
comptes consolidés (art. 2).
Remarque : les dispositions prévues par ces deux
directives devraient être transposées par les Etats
membres au plus tard pour le 1er janvier 2007.

"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

13

LE CONTRÔLE, PRÉOCCUPATION DU MANAGEMENT

Q7.

Quelles sont les obligations légales
dans les autres pays ?

Des lois relatives au renforcement de la gouvernance et
du contrôle interne des entreprises, souvent appelées
lois « post-Enron », ont été adoptées dans la plupart des
grands pays industriels.
Les principales dispositions prises par ces textes se
résument comme suit :
– renforcement de la gouvernance ;
– renforcement de la responsabilité des dirigeants ;
– augmentation des sanctions liées à la publication
d’informations inexactes ;
– enrichissement de l’information financière et de
l’information donnée aux marchés sur le contrôle
interne ;
– renforcement des mécanismes anti-fraudes ;
– mise en place de règles plus strictes de contrôle de
l’indépendance des auditeurs.
Ces textes s’appliquent pour la plupart uniquement aux
sociétés cotées ou sociétés faisant appel public à
l’épargne.

14

Contrôle interne – Au-delà des concepts, questions aux praticiens

LE CONTRÔLE, PRÉOCCUPATION DU MANAGEMENT

Q8.

Quel est le rôle des « grands acteurs de place »
et des régulateurs ?
Comment influencent-ils la gestion
du contrôle interne dans les entreprises ?

Les dispositions de la LSF relatives au rapport sur le
contrôle interne sont succinctes et ne font pas l’objet
d’un décret d’application. Aussi, les « acteurs de
place » et les régulateurs jouent-ils un rôle déterminant
dans l’interprétation de cette nouvelle obligation et le
conseil aux entreprises pour sa mise en œuvre.
Dès novembre 2003, le MEDEF et l’AFEP ont ainsi
proposé que les termes de la loi « rend compte […] des
procédures de contrôle interne » soient interprétés
comme l’obligation de décrire le contrôle interne, et
non de l’évaluer. Ils ont également proposé une
définition du terme contrôle interne et un modèle de
rapport du Président – définition et modèle qui ont été
largement utilisés par les entreprises pour cette première
année d’application.
Au cas particulier des sociétés faisant appel public à
l’épargne, et conformément au rôle qui lui est attribué
par le texte de loi, l’AMF a émis une première
recommandation en janvier 2004, préconisant
notamment d’utiliser les lignes directrices données par
le MEDEF et l’AFEP, de préciser les diligences qui soustendent l’analyse du Président et d’entamer une
démarche progressive d’évaluation permettant d’aboutir
à terme à une appréciation de l’adéquation et de
l’efficacité du contrôle interne.
"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

15

LE CONTRÔLE, PRÉOCCUPATION DU MANAGEMENT

Les acteurs de place et régulateurs ont ainsi été moteurs
dans l’interprétation et l’application de ce nouveau
texte en 2003.
Pour l’avenir, compte tenu des enjeux de
communication financière associés à ce nouveau
rapport, il est probable que les sociétés faisant appel
public à l’épargne contribuent aussi à la définition de la
tendance, notamment :
– en donnant une information de plus en plus
spécifique à leur organisation et à leur activité,
– en apportant des appréciations sur tout ou partie de
leur dispositif,
– et en s’engageant pour ce faire dans des démarches
internes d’amélioration de leurs dispositifs de contrôle.

16

Contrôle interne – Au-delà des concepts, questions aux praticiens

DU CONTRÔLE INTERNE
À LA MAÎTRISE DES ACTIVITÉS

Q9. Qu’est-ce que le contrôle interne ? . . . . . . . . . . . . . 18
Q10. Qu’est-ce que le COSO ? . . . . . . . . . . . . . . . . . . . . . . 19
Q11. Quel est le lien
entre contrôle interne et gouvernance ? . . . . . . . . . . 21
Q12. Quel est le lien
entre contrôle interne et gestion des risques ? . . . . 22
Q13. Quel est le lien
entre contrôle interne et dispositif anti-fraude ? . . . 23
Q14. Quel est le poids relatif de la partie financière
dans l’ensemble du contrôle interne ? . . . . . . . . . . . 24
Q15. Quelles évolutions pour les modèles existants ? . . . 25

17

DU CONTRÔLE INTERNE À LA MAÎTRISE DES ACTIVITÉS

Q9.

Qu’est-ce que le contrôle interne ?

La LSF ne donne pas de définition du contrôle interne.
Dans leurs rapports 2003, les entreprises ont
majoritairement repris la définition proposée par le
rapport du COSO, ou ont donné une définition qui s’en
rapproche – à l’exception des établissements financiers
qui ont fait référence au règlement de la commission
bancaire 97-02.
Le SOA en revanche, dans ses textes d’application, fait
explicitement référence au rapport du COSO et à la
définition qu’il propose.
Selon le rapport du COSO, le contrôle interne est un
processus mis en œuvre par le conseil d’administration,
les dirigeants et le personnel de l’entreprise, pour
fournir une assurance raisonnable quant à la réalisation
des trois objectifs suivants :
– la réalisation et l’optimisation des opérations,
– la fiabilité des opérations financières,
– la conformité aux lois et règlements.
Au-delà des concepts, l’enjeu véritable du contrôle
interne est la maîtrise des activités – ce pourrait être
d’ailleurs une plus juste traduction du terme anglais
« Internal Control ».

18

Contrôle interne – Au-delà des concepts, 40 questions aux praticiens

DU CONTRÔLE INTERNE À LA MAÎTRISE DES ACTIVITÉS

Q10. Qu’est-ce que le COSO ?

Le Committee Of Sponsoring Organizations de la
Commission Treadway est un groupe de réflexion
constitué aux Etats-Unis en 1985.
Ce groupe a développé un référentiel méthodologique
d’analyse du contrôle interne, dénommé « le COSO »
qui a été édité en France en 1992 sous le titre « La
pratique du contrôle interne ».
En résumé, le COSO structure l’analyse du contrôle
interne selon les trois objectifs cités précédemment et
pour chacun d’eux selon cinq composantes :
– l’environnement de contrôle,
– l’évaluation des risques,
– les activités de contrôle,
– l’information et la communication,
– le pilotage (du contrôle interne).
Ce cadre d’analyse se décline sur chaque activité et
fonction de l’entreprise.
Ce référentiel méthodologique est représenté
schématiquement par un cube, couvrant l’ensemble des
dimensions du contrôle interne de l’entreprise, dit Cube
COSO.

"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

19

DU CONTRÔLE INTERNE À LA MAÎTRISE DES ACTIVITÉS

Il n’existe pas à ce jour de modèle de contrôle interne
d’inspiration française, mais des groupes de travail
existent au sein d’organismes tels que l’ordre des
Experts Comptables, la CNCC et l’IFACI.
La CNCC, dans son avis technique de mars 2004 sur le
rapport du Président, fait référence à la définition du
contrôle interne du COSO.
PricewaterhouseCoopers est, au plan mondial, coauteur du rapport du COSO.

20

Contrôle interne – Au-delà des concepts, 40 questions aux praticiens

DU CONTRÔLE INTERNE À LA MAÎTRISE DES ACTIVITÉS

Q11. Quel est le lien
entre contrôle interne et gouvernance ?

Il n’existe pas de définition légale du gouvernement
d’entreprise mais il est possible de le définir par ses
objectifs : promouvoir l’autorégulation et organiser la
transparence.
Le gouvernement d’entreprise, qui régit les relations entre
l’organe de contrôle, le conseil d’administration / conseil
de surveillance et les organes de direction (direction
générale, directoire) peut être considéré comme une partie
du dispositif général de contrôle interne.
Les membres du conseil d’administration (de surveillance)
doivent avoir une parfaite connaissance de la stratégie,
des risques et des actions mises en œuvre pour réussir la
première et limiter les seconds. Ils doivent être tenus
régulièrement informés de l’état d’avancement de cette
stratégie et des incidents de manière à pouvoir décider
des mesures correctrices adaptées. Ils font rapport de leurs
travaux à l’assemblée.
Acteurs

Contrôle interne

Conseil
Direction
Générale

Ensemble
du
personnel

Gouvernement
d'entreprise
Enjeux
Reporting

Contrôle interne
sur les opérations

"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

21

DU CONTRÔLE INTERNE À LA MAÎTRISE DES ACTIVITÉS

Q12. Quel est le lien
entre contrôle interne et gestion des risques ?

La reconnaissance du caractère essentiel de la gestion
des risques au regard du contrôle interne s’est traduite
récemment par l’émergence du concept de l’Enterprise
Risk Management (ERM) issu des travaux du COSO, et
repris sous l’appellation « COSO 2 ».
En France, l’importance de la gestion des risques a été
soulignée dans le rapport d’information au Sénat – Loi
de Sécurité Financière 1 an après – du 27 juillet 2004.
Ce rapport indique clairement que la gestion des
risques se place au cœur des enjeux du renforcement
du contrôle interne.
Associer étroitement contrôle interne et gestion des
risques assure que le contrôle interne est un outil
opérationnel pour le management, adapté aux enjeux
de l’activité et non un dispositif formel dénué d’intérêt :
il s’agit d’éviter la constitution de référentiels exhaustifs
de procédures de contrôle interne qui seraient par trop
complexes et coûteux à concevoir et plus encore à
maintenir.
Le contrôle interne défini comme la maîtrise des
activités s’appuie sur une vision pragmatique des enjeux
de l’entreprise, des principaux risques associés et des
réponses apportées par les dispositifs de contrôle
interne. Ainsi, par la conception, le déploiement,
l’évaluation et le pilotage d’un dispositif de contrôle

22

Contrôle interne – Au-delà des concepts, 40 questions aux praticiens

DU CONTRÔLE INTERNE À LA MAÎTRISE DES ACTIVITÉS

interne structuré sur la gestion des risques, l’entreprise
se donne une « assurance raisonnable » de réalisation
de ses objectifs.
Q13. Quel est le lien
entre contrôle interne et dispositif anti-fraude ?

Pour qu’une fraude soit commise, il faut généralement
qu’un ou plusieurs individus aient subi des pressions
personnelles et/ou incitations financières, et qu’ils aient
l’opportunité de commettre la fraude, par exemple en
cas d’absence temporaire de séparation des tâches.
En conséquence, le contrôle interne permet de réduire
le risque de fraude ; toutefois, ce n’est pas
nécessairement suffisant car la réalisation d’une fraude
consiste bien souvent à contourner le dispositif de
contrôle interne (par exemple, lorsqu’une personne
utilise son positionnement hiérarchique pour ne pas
suivre les procédures normales).
C’est pourquoi il est nécessaire de mettre en place des
dispositifs anti-fraude spécifiques sur la base d’une
analyse de vulnérabilité de l’entreprise ou du groupe.
Cette analyse sera conduite de manière progressive à
partir d’une compréhension de l’environnement de
contrôle général et d’un diagnostic des situations à
risques.

"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

23

DU CONTRÔLE INTERNE À LA MAÎTRISE DES ACTIVITÉS

Q14. Quel est le poids relatif de la partie financière
dans l’ensemble du contrôle interne ?

La fiabilité de l’information financière constitue l’un des
trois objectifs du contrôle interne.
La « partie financière » du contrôle interne dépasse, sur
le plan des organisations et des processus, le périmètre
de la fonction comptable et financière de l’entreprise.
Elle implique l’ensemble des fonctions de l’entreprise
dont les activités génèrent des événements qui ont
vocation à être traduits dans les états financiers.
L’objectif de fiabilité de l’information financière est par
conséquent très transversal à l’organisation et mobilise
la grande majorité des fonctions de l’entreprise. Est-il
prépondérant par rapport aux deux autres objectifs ? Le
COSO ne le dit pas. Cependant, avec le SOA, le
régulateur américain a mis l’accent essentiellement sur
l’objectif de fiabilité de l’information financière. Certes,
le régulateur français, avec la LSF, ne privilégie aucun
des objectifs. Cependant, il distingue l’objectif de
fiabilité de l’information financière en soumettant aux
« observations » du CAC la partie du rapport sur le
contrôle interne relative à l’élaboration de l’information
financière.
Enfin, dans la pratique, on constate une certaine priorité
donnée par les entreprises à la vérification du contrôle
interne relatif à la fiabilité de l’information financière,
qui peut s’expliquer par la volonté des entreprises de
rassurer les marchés financiers.
24

Contrôle interne – Au-delà des concepts, 40 questions aux praticiens

DU CONTRÔLE INTERNE À LA MAÎTRISE DES ACTIVITÉS

Q15. Quelles évolutions pour les modèles existants ?

Le modèle COSO a été retenu par le régulateur US
comme le modèle de référence sur le contrôle interne.
Ce modèle disponible depuis 1992 a pu être confronté
à la réalité du management d’entreprise du fait d’une
large diffusion notamment aux USA.
Les observations émises par les praticiens ont entre
autres suscité la poursuite des réflexions qui ont conduit
depuis 5 ans à l’émergence du concept d’Enterprise
Risk Management. L’ERM « framework » du COSO 2
est disponible sous sa version définitive depuis octobre
2004.
D’un point de vue opérationnel, l’ERM est un processus
facilitant :
– la gestion des incertitudes des activités, la gestion des
risques et des opportunités,
– l’identification des événements pouvant être à
l’origine de risques, ainsi que la définition des solutions
de contrôle interne adaptées, offrant une assurance
raisonnable quant à la réalisation des objectifs,
– l’alignement de la gestion des risques avec la stratégie
de l’entreprise.
En identifiant les événements auxquels l’entreprise est
soumise, le management peut aussi déterminer les
opportunités pour améliorer sa performance.
"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

25

DU CONTRÔLE INTERNE À LA MAÎTRISE DES ACTIVITÉS

L’ERM représente également une orientation vers un
processus plus complet de gestion des risques et à ce
titre, il a retenu l’intérêt de la Securities and Exchange
Commission (SEC). Dans une communication d’avril
2004, la SEC souligne le besoin pour les entreprises
d’adopter une attitude « proactive » pour l’identification
des zones de risques. Elle insiste de même sur
l’obligation de mettre en oeuvre des contrôles pour
réduire ou éliminer leurs risques et d’initier une
approche « top-to-bottom ».

26

Contrôle interne – Au-delà des concepts, 40 questions aux praticiens

QUI FAIT QUOI ?
QUELLES ÉVOLUTIONS
DANS L’ORGANISATION
DE L’ENTREPRISE ?
Q16. Qui sont les responsables du contrôle interne ? . . . 28
Q17. Qui est acteur du contrôle interne ? . . . . . . . . . . . . . 29
Q18. Quels sont les rôles de l’Audit Interne
et du Risk Manager ?
Définissent-ils le contrôle interne ? . . . . . . . . . . . . . . 29
Q19. Quelles sont les difficultés rencontrées
pour mettre en place un dispositif de contrôle interne
adapté et efficace au niveau des groupes ? . . . . . . . 30
Q20. Quel est le rôle de la direction juridique ?
Son rôle s’étend-t-il à la vérification
de l’application de l’ensemble des lois
et règlements dans l’entreprise ? . . . . . . . . . . . . . . . . 31
Q21. Quel est le rôle de la DRH ? . . . . . . . . . . . . . . . . . . . . 32
Q22. N’y a-t-il pas double emploi
entre assurance qualité et contrôle interne ?
Comment intégrer les travaux de la Direction de
la Qualité dans la démarche de contrôle interne ? . 33
Q23. Quel est le rôle de la Direction Financière ?
Son périmètre d’intervention va-t-il
au-delà du département comptable ? . . . . . . . . . . . . 34
Q24. Quel est le rôle de la Direction des Systèmes
d’Information (DSI) ?
Quels impacts sur ses modes de fonctionnement ? 35
Q25. Quel est le rôle du commissaire aux comptes ? . . . 36
27

QUI FAIT QUOI ?

Q16. Qui sont les responsables du contrôle interne ?

Le management : c’est la direction générale qui est
responsable de la mise en œuvre du contrôle interne
dans l’entreprise, c’est à dire le Président Directeur
Général, le Directeur Général, les Directeurs Généraux
Délégués et le Directoire.
Les organes de contrôle : le conseil d’administration et
le conseil de surveillance ont pour rôle de surveiller et
guider la direction générale afin de s’assurer de la mise
en œuvre du contrôle interne. Ils sont assistés le cas
échéant par des comités ad hoc (comité d’audit, comité
des risques, comité des rémunérations…).
Les parties prenantes de l’entreprise, notamment les
actionnaires, engagent plus facilement des actions en
responsabilité à l’encontre des dirigeants et des organes
de contrôle. Une défaillance dans le contrôle interne
peut être non seulement la source d’actions judiciaires
en responsabilité mais peut également favoriser des
actes de malveillance également générateurs d’actions
en responsabilité, notamment sur le fondement de la
négligence.
Les assureurs Responsabilité civile des mandataires
sociaux et des entreprises s’intéressent de plus en plus
au contrôle interne mis en place par leurs assurés…

28

Contrôle interne – Au-delà des concepts, questions aux praticiens

QUI FAIT QUOI ?

Q17. Qui est acteur du contrôle interne ?

Ayant posé la maîtrise des activités de l’entreprise
comme l’enjeu du contrôle interne, c’est tout
naturellement l’ensemble des collaborateurs de
l’entreprise qui est concerné, et qui est acteur du
contrôle interne, du « top management » au personnel
d’exécution.
La prise en compte des objectifs du contrôle interne et
l’application des dispositifs qui y sont associés, sont à
intégrer dans les définitions de responsabilités, de
fonctions, de postes, etc. des personnels et dans les
procédures d’évaluation de la performance.
Q18. Quels sont les rôles de l’Audit Interne
et du Risk Manager ?
Définissent-ils le contrôle interne ?

Non, comme indiqué précédemment, la définition du
contrôle interne relève de la responsabilité du
management.
Les départements d’audit interne et de gestion des
risques ont un rôle important à jouer dans le dispositif
de contrôle interne : selon la mission qui leur est
allouée dans l’entreprise, ils réalisent un travail
d’animation de ce dispositif, de diffusion des meilleures
pratiques dans l’entreprise et/ou d’évaluation et de
contrôle ponctuel des procédures en place.
"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

29

QUI FAIT QUOI ?

Cette répartition des rôles permet en particulier à l’audit
interne de préserver l’objectivité qui est nécessaire à
l’exercice de sa fonction : n’ayant pas participé à la
définition du dispositif de contrôle interne, il est en
mesure d’en apprécier l’adéquation et l’efficacité, en
toute indépendance.
Q19. Quelles sont les difficultés rencontrées
pour mettre en place un dispositif
de contrôle interne adapté et efficace
au niveau des groupes ?

En France, le groupe de sociétés n’a pas la personnalité
morale : les sociétés du groupe sont autonomes d’un
point de vue juridique ; elles ont un patrimoine et une
responsabilité distincts.
L’un des enjeux des groupes est d’assurer une
cohérence en leur sein entre les structures juridiques et
l’organisation opérationnelle pour :
– assurer un meilleur suivi de l’activité,
– limiter les risques d’erreur et de fraude,
– mieux gérer le risque de mise en jeu de la
responsabilité des mandataires sociaux.
La société tête de groupe qui a les mêmes pouvoirs
qu’un actionnaire majoritaire ne peut rien imposer
juridiquement à ses filiales en matière de contrôle
interne ; cela étant, elle va devoir veiller à harmoniser
les procédures internes au moyen de règles intra
groupes.
30

Contrôle interne – Au-delà des concepts, questions aux praticiens

QUI FAIT QUOI ?

Il s’ensuit une nécessaire contractualisation de ces
obligations au sein de conventions de direction de
groupe. Celles-ci ont pour objet d’harmoniser les règles
applicables aux filiales et à leurs dirigeants, dès lors
qu’elles appartiennent au même groupe.
Q20. Quel est le rôle de la direction juridique ?
Son rôle s’étend-t-il à la vérification
de l’application de l’ensemble des lois
et règlements dans l’entreprise ?

La direction juridique a un rôle évident dans le cadre de
la démarche de contrôle interne. Il appartient tout
d’abord à la direction générale de déterminer le rôle de
la direction juridique groupe et celui des directions des
filiales et d’instituer des règles de reporting claires et
cohérentes.
C’est surtout aux juristes du groupe pris dans leur
ensemble qu’il appartient :
– d’assurer l’animation de la réalisation de l’objectif de
« conformité aux lois et règlements » du contrôle
interne dans l’ensemble de l’entreprise,
– de sensibiliser les dirigeants et de clarifier les rôles et
responsabilités,
– de proposer aux dirigeants les solutions juridiques
relevant de la composante « environnement de
contrôle » du contrôle interne.

"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

31

QUI FAIT QUOI ?

Q21. Quel est le rôle de la DRH ?

La Direction des Ressources Humaines intervient
également dans la démarche de contrôle interne, au
côté le plus souvent de la Direction Juridique, dans la
mise en place de chartes d’éthique / codes de conduite
destinés, notamment, à sensibiliser l’ensemble des
observateurs de l’entreprise, voire des tiers (partenaires,
fournisseurs, ...) à la nécessité de respecter les lois et
règlements en vigueur.
Elle peut également être sollicitée dans le cadre de la
mise en place des délégations de pouvoirs qui
permettent d’organiser les rôles et responsabilités des
dirigeants et des délégataires et de gérer, au sein de
l’entreprise, le risque de responsabilité pénale.
Le contrôle interne nécessite de formaliser le système de
délégations existant et de vérifier régulièrement son
efficacité.

32

Contrôle interne – Au-delà des concepts, questions aux praticiens

QUI FAIT QUOI ?

Q22. N’y a-t-il pas double emploi
entre assurance qualité et contrôle interne ?
Comment intégrer les travaux
de la Direction de la Qualité
dans la démarche de contrôle interne ?

Les démarches de l’assurance qualité poursuivent des
objectifs opérationnels. Il s’agit de rechercher l’optimum
d’efficacité dans l’organisation, les process et les
méthodes pour maximiser les résultats d’une activité ou
d’un process.
Il existe des synergies évidentes avec le contrôle interne,
non seulement dans les démarches et la nature des
travaux réalisés, mais aussi sur le fond, dans les objectifs
et les résultats à atteindre. En effet, les démarches
d’assurance qualité lorsqu’elles sont menées en
profondeur, dans une recherche d’excellence, intègrent
les dispositifs de contrôle. De même, le contrôle interne
comprend dans sa définition un objectif de réalisation
et d’optimisation des opérations, qui rejoint celui de
l’assurance qualité.
La mise en œuvre des démarches de contrôle interne
révèle fréquemment des opportunités d’amélioration de
l’efficacité et de la performance des activités.
Enfin, assurance qualité et contrôle interne ont aussi
comme point commun d’agir sur les comportements et
la culture générale d’entreprise.

"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

33

QUI FAIT QUOI ?

Q23. Quel est le rôle de la Direction Financière ?
Son périmètre d’intervention va-t-il au-delà
du département comptable ?

La Direction Financière est responsable de l’animation
de l’ensemble des éléments du dispositif de contrôle
interne contribuant à la réalisation de l’objectif de
« fiabilité de l’information financière ».
Par définition, ces éléments sont, pour grande partie,
extérieurs à la fonction financière : ils portent
notamment sur les processus opérationnels de
traitement des transactions en amont des systèmes
comptables, ainsi que sur tout mécanisme de
remontée d’information des événements nécessitant
une traduction comptable. La direction financière est en
mesure d’en apprécier l’adéquation et l’efficacité sur
l’ensemble de ce périmètre.
Par ailleurs, la Direction Financière tient également un
rôle majeur dans la communication aux marchés
financiers ; elle est également impliquée dans le projet
de contrôle interne à ce titre.

34

Contrôle interne – Au-delà des concepts, questions aux praticiens

QUI FAIT QUOI ?

Q24. Quel est le rôle de la
Direction des Systèmes d’Information (DSI) ?
Quels impacts
sur ses modes de fonctionnement ?

Les activités des entreprises s’appuient fortement sur
l’informatique. Les processus sont informatisés et le
patrimoine applicatif et technique est de plus en plus
complexe à gérer pour les fonctions informatiques qui sont
en charge de leur développement et de leur exploitation.
Historiquement, les développements de systèmes ont été
effectués dans une logique d’automatisation de tâches.
Les méthodologies de développement mettent l’accent
sur la modélisation des flux et des opérations, sans toujours
prendre suffisamment en considération les enjeux de
contrôle interne tels que : séparation des tâches,
rapprochements automatiques, états d’analyse et de
vérification à mettre à disposition des utilisateurs, etc.
Il convient donc de s’assurer de la prise en compte
effective des problématiques de contrôle interne dans
les phases de développement et de maintenance des
applications.
La complexité des applications, la sophistication et la
puissance des technologies rendent l’informatique toujours
plus complexe à maîtriser sur le plan du contrôle interne
et notamment de la sécurité. C’est une véritable réflexion
qui doit être menée dans l’entreprise par les DSI afin
d’évaluer les risques et d’apprécier l’adéquation du
dispositif de contrôle interne.
"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

35

QUI FAIT QUOI ?

Q25. Quel est le rôle du commissaire aux comptes ?

Le rôle du commissaire aux comptes est défini par la
LSF et l’avis de la Compagnie Nationale des
Commissaires aux Comptes (CNCC) du 23 mars 2003 –
confirmé par un avis du Haut Conseil du Commissariat
aux Comptes.
L’article 120 de la LSF prévoit que les commissaires aux
comptes « présentent dans un rapport […] leurs
observations sur le rapport [du Président] pour celles
des procédures de contrôle interne qui sont relatives à
l’élaboration et au traitement de l’information
comptable et financière ». Le commissaire aux comptes
n’émet donc pas à proprement parlé un avis sur le
contrôle interne mais fait plus simplement des
observations sur le rapport du Président, pour les
procédures de contrôle interne relatives à l’information
comptable et financière.
Pour ce faire, l’avis technique de la CNCC précise que
« le commissaire aux comptes met en œuvre les
diligences lui permettant de s’assurer que les
informations et, le cas échéant, les déclarations,
contenues dans le rapport du Président, sur les
procédures de contrôle interne relatives à l’élaboration
et au traitement de l’information comptable et
financière, sont présentées de manière sincère ».
L’information est considérée comme sincère dès lors
qu’elle est corroborée par les travaux du commissaire
aux comptes et lui paraît être pertinente et non
susceptible d’être mal interprétée.
36

Contrôle interne – Au-delà des concepts, questions aux praticiens

QUI FAIT QUOI ?

L’étendue des travaux à mener par le commissaire aux
comptes sur le contrôle interne relatif à l’information
financière dépend ainsi de la nature des informations
données dans le rapport du Président et de la capacité
de la société à apporter des éléments probants justifiant
ces déclarations.
Les informations relatives à l’organisation des travaux du
conseil ou au contrôle interne des opérations, données
par le Président dans son rapport, font simplement
l’objet d’une lecture d’ensemble par le commissaire aux
comptes.

"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

37

EN PRATIQUE,
QUEL PROJET METTRE EN ŒUVRE ?

Q26. Faut-il un projet de mise à niveau
du contrôle interne ? . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Q27. Quelle démarche pour améliorer
le contrôle interne . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Q28. Comment entamer une démarche
de contrôle interne ? . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Q29. La démarche doit-elle être la même
pour un projet LSF et un projet SOA ? . . . . . . . . . . . 43
Q30. Comment organiser le projet ? . . . . . . . . . . . . . . . . . 44
Q31. Que documenter et jusqu’où ? . . . . . . . . . . . . . . . . . 45
Q32. Comment assurer la qualité du dispositif
contrôle interne lorsqu’on a recours
à des sous-traitants ou à l’externalisation
de certaines fonctions ? . . . . . . . . . . . . . . . . . . . . . . . 45
Q33. Peut-on institutionnaliser la dénonciation
des fraudes en France
(Whistleblowing aux USA) ? . . . . . . . . . . . . . . . . . . . . 46
Q34. Qu’est ce qu’un Consultant externe
peut apporter au projet ? . . . . . . . . . . . . . . . . . . . . . . 48

39

QUEL PROJET METTRE EN ŒUVRE ?

Q26. Faut-il un projet de mise à niveau
du contrôle interne ?

La réponse s’étudie au cas par cas. Elle découle des
réponses apportées à deux questions préliminaires :
– L’entreprise dispose-t-elle d’une vision de synthèse
de son contrôle interne actuel : ses enjeux, ses
principaux risques, les dispositifs de contrôle en place
et leur niveau d’application ?
– Le dispositif de contrôle interne est-il adapté à
l’entreprise et répond-t-il aux objectifs de
communication du Président dans le cadre du rapport
LSF ?
Selon les réponses apportées, l’entreprise pourrait être
amenée à lancer un projet de mise à niveau de son
contrôle interne.
Si l’entreprise entre dans le champ d’application du
SOA, il est peu probable que son dispositif de contrôle
interne soit conforme, en particulier la documentation.
Il sera donc nécessaire de lancer un projet de mise en
conformité.

40

Contrôle interne – Au-delà des concepts, questions aux praticiens

QUEL PROJET METTRE EN ŒUVRE ?

Q27. Quelle démarche
pour améliorer le contrôle interne ?

La démarche dans son principe est relativement simple.
Elle se structure en trois phases :
– Une phase d’initialisation ou de cadrage, au cours de
laquelle les objectifs du projet sont définis, le plus
souvent en s’appuyant sur un pré-diagnostic du contrôle
interne, permettant de dégager les activités, entités et
thèmes prioritaires. L’organisation de projet, le planning,
les ressources et le référentiel méthodologique sont
définis en conséquence.
– Un plan de mise en œuvre, généralement structuré
autour de trois thèmes :
• le gouvernement d’entreprise,
• la maîtrise des opérations,
• la conformité aux lois.
Cette phase comprend des diagnostics détaillés, des
plans d’actions et des tests.
Pour les groupes, ces travaux peuvent être conduits sur
une unité pilote sur laquelle un core model de contrôle
interne est développé, puis déployé ensuite sur
l’ensemble des unités du groupe.
– Une phase de stabilisation et de fonctionnement
courant, qui vise à s’assurer de la bonne appropriation
des nouveaux dispositifs par le management et
l’ensemble des collaborateurs concernés. C’est une
phase critique pour l’entreprise car il s’agit de
"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

41

QUEL PROJET METTRE EN ŒUVRE ?

pérenniser l’ensemble des travaux réalisés et d’intégrer
définitivement le contrôle interne dans les modes de
fonctionnement de l’entreprise.
Q28. Comment entamer
une démarche de contrôle interne ?

La phase d’initialisation est particulièrement critique car
elle positionne le projet dans l’entreprise induisant son
niveau de priorité et les ressources à mobiliser.
Concrètement, il s’agit de réfléchir autour de trois
thèmes :
– Clarifier les enjeux pour l’entreprise : enjeux
juridiques (responsabilité des dirigeants, …), enjeux de
communication (attentes du marché, attitudes des
concurrents, …), enjeux de maîtrise des activités (où
sont les principaux risques ? sont-ils bien couverts ? …).
– Évaluer le niveau actuel du contrôle interne, afin de
définir des objectifs réalistes dans le temps.
– Tenir compte de la stratégie de l’entreprise pour fixer
les priorités.
Enjeux, niveau actuel de contrôle interne et stratégie de
l’entreprise constituent les trois paramètres de base à
prendre en compte pour fixer les objectifs du projet
contrôle interne.

42

Contrôle interne – Au-delà des concepts, questions aux praticiens

QUEL PROJET METTRE EN ŒUVRE ?

Q29. La démarche doit-elle être la même
pour un projet LSF et un projet SOA ?

A l’origine, la démarche est fondamentalement
différente.
Avec la LSF, le législateur demande au Président de
s’assurer que ses risques sont maîtrisés. Le périmètre
couvre l’ensemble des activités de l’entreprise et le
Président rend compte des procédures de contrôle
interne mises en place. La démarche sera construite
dans une approche top/down fondée sur une analyse
des enjeux et des risques.
Dans le cadre du SOA, le régulateur demande au
CEO/CFO de démontrer à des tiers que l’information
financière publiée est fiable. Le périmètre couvre
uniquement l’information financière. L’obligation de
preuve engendre une exigence de documentation forte.
La démarche sera construite dans une approche
transversale fondée sur l’identification des comptes
significatifs dans les états financiers et l’analyse du
contrôle interne relatif à l’alimentation de ces
comptes.
Ce sont donc deux démarches distinctes, mais
vraisemblablement appelées à converger à terme du
fait de la priorité donnée dans la pratique à la fiabilité
de l’information financière dans les projets LSF.

"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

43

QUEL PROJET METTRE EN ŒUVRE ?

Q30. Comment organiser le projet ?

Naturellement, l’organisation du projet dépend de ses
objectifs, de son ambition. C’est un projet avec une
forte composante de changement. Par conséquent, le
chef de projet doit être rattaché au responsable ayant
autorité sur le périmètre du projet.
Compte tenu de la nature du projet, l’équipe projet a
vocation à être pluridisciplinaire avec des compétences
d’opérationnels, de financiers, de juristes,
d’informaticiens ainsi que des experts à identifier en
fonction de l’activité. Les services méthodes et
assurance qualité peuvent aussi apporter leurs
compétences en matière d’analyse des processus et
activités de l’entreprise.
Des relais, voire temporairement des équipes, sont à
prévoir dans chaque direction/unité opérationnelle
impactée par le projet. Ces relais jouent à la fois un rôle
« d’apporteur » des connaissances et spécificités sur les
activités, et un rôle de « diffuseur » des pratiques à
mettre en place, puis un rôle d’animation et de suivi.
Selon la structure des entreprises, les équipes peuvent
être centralisées avec des relais dans chaque entité, ou
décentralisées dans chaque entité avec une animation
centrale.
Le projet est animé avec les techniques et outils
habituellement utilisés dans la gestion des projets
transversaux.
44

Contrôle interne – Au-delà des concepts, questions aux praticiens

QUEL PROJET METTRE EN ŒUVRE ?

Q31. Que documenter et jusqu’où ?

Pour les entreprises soumises au SOA, les règles de
documentation ont été précisément définies dans les
textes d’application (cf. PCAOB). Pour la LSF, le
régulateur et les organismes professionnels n’ont pas
défini de normes en la matière.
La documentation doit être d’un niveau suffisant pour
permettre au Président, dans le contexte de son
entreprise, de fonder son opinion sur le contrôle
interne.
Une bonne pratique est d’avoir un minimum de
formalisation de l’environnement de contrôle, des
principaux risques et des contrôles clés.

Q32. Comment assurer
la qualité du dispositif de contrôle interne
lorsqu’on a recours à des sous-traitants
ou à l’externalisation de certaines fonctions ?

Par principe, en sous-traitant ou en externalisant tout ou
partie d’une activité, l’entreprise ne se dédouane pas de
sa responsabilité en matière de contrôle interne.
Ainsi, l’entreprise doit obtenir de ses sous-traitants des
engagements en matière de contrôle interne, au même
titre que pour la prestation principale, et en vérifier
"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

45

QUEL PROJET METTRE EN ŒUVRE ?

régulièrement l’application. Plusieurs techniques sont
possibles et peuvent être utilisées simultanément. A
titre d’exemple :
– des engagements précis du sous-traitant dans le cadre
de contrats de service, incluant la composante contrôle
interne,
– le droit pour l’entreprise d’effectuer des audits chez le
sous-traitant,
– la possibilité d’obtenir des certifications de la part de
tiers.
Q33. Peut-on institutionnaliser
la dénonciation des fraudes en France
(Whistleblowing aux USA) ?

Aux Etats-Unis, le SOA a renforcé la protection du
salarié « délateur ». En France, certaines sociétés,
principalement des filiales de sociétés américaines,
mettent en place les Codes de conduite de leur maison
mère comportant des clauses de « Whistleblowing ».
Certains de ces Codes encouragent les salariés à révéler
les infractions commises au sein de la société, dont ils
auraient connaissance. D’autres, mentionnent que la
non dénonciation (ou la non « délation ») de tels faits
par les salariés constitue une faute qui pourra être
sanctionnée.
Deux questions principales se posent en droit français
quant à ces dispositions : la validité de l’organisation
46

Contrôle interne – Au-delà des concepts, questions aux praticiens

QUEL PROJET METTRE EN ŒUVRE ?

du contrôle des salariés par l’encouragement de la
« délation » et la sanction du salarié qui n’aura pas
dénoncé une infraction.
La dénonciation est un mode de preuve licite en droit
français. L’utilisation de renseignements transmis par
des tiers pour dénoncer des actions frauduleuses est
admise tant en matière pénale qu’en matière fiscale, par
exemple.
Toutefois, la mise en place de ce type de mécanisme de
dénonciation n’est pas sans difficultés. La CNIL s’est
montrée hostile au caractère « inquisitorial » de tels
procédés, soulignant qu’ils pouvaient porter atteinte aux
droits et libertés des salariés.
La Cour de Cassation n’a pas pris position à ce jour sur
la licéité de ce type de clause mais les juges du fond
semblent réticents.
En tout état de cause, si ces clauses conduisent à une
modification du règlement intérieur ou font l’objet
d’une contractualisation avec les salariés, elles doivent
être soumises à la consultation des institutions
représentatives.
Certaines ONG, telles que Transparency International,
souhaitent que les entreprises favorisent l’adoption de
codes de conduite encourageant la dénonciation de
pratiques frauduleuses avec intervention du législateur
instaurant un droit d’alerte.

"Pocket Guide"

LANDWELL & ASSOCIÉS
Société d’avocats

47

QUEL PROJET METTRE EN ŒUVRE ?

Q34. Qu’est ce qu’un Consultant externe
peut apporter au projet ?

Quels sont les caractéristiques et facteurs clés de succès
du projet ?
Il s’agit d’un projet transverse à l’entreprise, qui
implique l’ensemble des fonctions et des activités : les
opérationnels, le juridique, la finance, l’informatique,
les ressources humaines, etc.
En amont du projet, il faut donc pouvoir mobiliser, faire
partager les concepts, faire travailler ensemble des
collaborateurs de profils très divers. Un consultant externe
rompu au travail en équipe pluridisciplinaire peut
grandement faciliter et accélérer le cadrage du projet.
Très vite ensuite les équipes projets sont confrontées
aux difficultés d’identification et de catégorisation des
principaux risques ; le consultant externe peut apporter
la méthodologie d’analyse des risques, les expertises
spécifiques sur un sujet précis, ainsi que les référentiels
des meilleures pratiques, assurant, de ce fait, une
meilleure exhaustivité et une plus grande efficacité dans
le déroulement des travaux.
L’amélioration des contrôles, c’est aussi des
changements dans l’organisation et les modes de
fonctionnement. Le consultant externe peut être un
facilitateur dans la conduite de ces changements,
sachant que son savoir-faire habituel en matière
d’organisation et de gestion de projet peut aussi faire
gagner un temps précieux à l’entreprise.
48

Contrôle interne – Au-delà des concepts, questions aux praticiens

QUEL APPORT À LONG TERME ?

Q35. Comment pérenniser
la démarche de contrôle intene ? . . . . . . . . . . . . . . . 50
Q36. En quoi le contrôle interne
contribue-t-il à l’amélioration
de la performance de l’entreprise ? . . . . . . . . . . . . . . 51
Q37. Reporting au management
et aux organes de gourvernance :
à quelle fréquence et quel contenu ? . . . . . . . . . . . . 52

49


Documents similaires


Fichier PDF 03 audit et controle de gestion
Fichier PDF 03 audit et controle de gestion
Fichier PDF themes de formation
Fichier PDF pwc pg controle interne
Fichier PDF controle interne
Fichier PDF pf regime des groupes de societes


Sur le même sujet..