Tourtier Cours Riskmgtetcontrole2

Cours Risk-management et
Conception - Ped@gogia L. TOURTIER 2004 - Tous droits de reproduction réservés
Contrôle Interne
Lionel Tourtier
CNAM 2005-2006
CNAM Master Finance d’entreprise
1
Séance 2 : Maîtrise des risques
et contrôle interne
– La fonction financière au cœur du dispositif de

contrôle
– Un problème de corporate governance
– Le renforcement des réglementations : 8ème

directive, IFRS, NRE, Dif
– La mise en oeuvre de SOX et LSF : éléments de
comparaison
– Le référentiel COSO et ses équivalents en
Europe
– Le référentiel COBIT comme complément
– Les outils ERM
– La dimension éthique comme vecteur de
transparence
2
La fonction financière
au cœur du dispositif de contrôle
Equilibre financier
Rentabilité
Flexibilité
Risque
Contrôle
3
Le risque : une notion inséparable de
celle de rentabilité et de flexibilité
Le risque économique dépend de :
 La pertinence de la stratégie
 la sensibilité du résultat (à divers événements : variation de salaires,

matières premières...),
 la part des frais fixes : analyse du "point mort",
 la variation des besoins en fonds de roulement
Le risque systémique des activités dépend :
 de la qualité des procédures
 de l’efficacité du risk management
4
Le contrôle assure fiabilité du reporting
et respect de la conformité légale
La performance de l'entreprise dépend (en partie) de
l'organisation et du "reporting".
 Le Directeur Financier, assisté du contrôleur de gestion et du risk

manager doivent adapter la conception du SI de gestion financière

aux processus et aux risques majeurs attachés
 Le SI doit fournir des résultats fiables, dans des délais utiles pour
décider d'actions correctives et modifier plans, budgets et niveaux de
risques : le l’ERP à l’ERM
 La décentralisation suppose un langage économique commun et un

« pilote dans l’avion »
 Les services juridiques doivent veiller au bon respect des lois et

règlements
5
governance
Un problème de corporate
Fin d’un modèle
6
marchés financiers
La crise de confiance des
7
Les premières heures du 21ème
siècle
ont été secouée par les scandales
financiers
8
Ces “affaires” ont sérieusement
mis à mal la confiance des
investisseurs et du public
August 1982 – March 2000 March 2000 - December 2003 - Beyond
Institutional Mistrust
DJIA I II III
DJIA I II III Bear Crisis of Market
Initial Consolidation/ Irrational Market Confidence Differentiation
11,000
11,000 Growth Acceleration Exuberance

Post Y2K Sept 11,2001, Public Companies
Tax Cuts US Wins Y2K and & Internet Enron and Respond to Sarbanes-
9,000
And Free Cold/Gulf Internet Bubble Andersen Oxley
3,000
Trade Wars Bubble Bursts
7,000
800
1982 1991 2000 2000 2002 2004
D’un capitalisme non contrôlé… … à un capitalisme régulé
Sarbanes-Oxley Act of 2002

Overview
Sarbanes/Oxley
L.S.F.
Source
Deloitte
9
Une remise en cause du modèle
de corporate governance et de
l’image des dirigeants
• “Opinion polls now place business people
in lower esteem than politicians.”
• - Jennifer Merritt (2002) “For MBAs, Soul Searching 101,” Business Week,
Sept. 16, p. 64.
• “A W.S.J./NBC poll found that 57% of

general public believed that standards &
values of corporate leaders & executives
had dropped in the last 20 years.”
• -Eric Hellweg (2002) www.business2.0.com, Sept. 10
10
La mondialisation éloigne
la DG du terrain de jeu
opérationnel
Comment assurer l’efficacité du contrôle et sur quel type de risque ?
DG
DG
12
Le contrôle interne contribue
directement au gouvernement
d’entreprise
Re ntrô
co
nf le
Gouvernement
or in
d'Entreprise
ce te
r l rn
as ee
Créer/rétablir
tru xis
ct ta
le « chaînon manquant"
ur nt
ed e
e
Activités de
contrôle
13
Investor Responsibility Action
Project (IRAP)
 Morality: Are you putting my money in companies run
by moral leaders? How do you judge this morality?
 Capital Stewardship: Are you investing my money

with CEOs who hold investor money “in trust”?
 Clarity and Common Sense: Are you placing my money

with CEOs who understand their businesses and can
articulate this to others?
 Credible Accounting: Is the CEO clearly explaining

why GAAP and pro forma numbers differ, and avoiding
the quarterly earnings guidance game?
 Long-term Commitment: Is my money going to

companies that you feel comfortable holding on to for
at least three years? 14
Project (IRAP) : suite
 Listening to Stakeholders: Are you investing my
money with CEOs who develop plans and take actions
based on listening to and understanding employee,
investor and customer needs?
 Compensation: Are you investing in companies where

the compensation of the CEO is only between 30-40
times, or at least reasonably connected to, that of
front-line operating people?
 Values-Based Actions: Are you putting my money with

leaders who talk about and also act on their values,
especially in relation to the environment and the
communities they serve?
 Preparation and Succession Plan: Are you investing

my money with CEOs who have a clearly defined plan
not only to choose a successor, but also to prepare
that individual for leadership? 15
Gouvernance et
conception de l’entreprise
– La conception du rôle de l’entreprise et de son
gouvernement est déterminante dans les modalités
de contrôle de l’exercice du pouvoir des dirigeants
sociaux
• Ceux-ci doivent-ils servir uniquement l’intérêt des
actionnaires ou l’intérêt social ?

– La réponse à cette question détermine, en partie, le
rôle des administrateurs indépendants qui
devraient jouer, selon les nouveaux textes, un rôle
central
• En fait, leur efficacité dépendra de leur indépendance
vis-à-vis des dirigeants et des actionnaires, de leur
compétence et du temps nécessaire pour exercer de
façon sérieuse un contrôle dans des organisations de
plus en plus complexes
– Les mesures envisagées en matière de régulation
de l’information financière sont principalement
destinées aux acteurs des marchés financiers
• Une telle optique peut poser un problème de
16
à travers SOX et SEFI

La réponse réglementaire
17
Un accroissement en France
des obligations en matière de
reporting : NRE, risques, etc.
• Bilan social de la loi de 1977
• Réglementations en matière d’environnement (directive européenne
nommée Seveso III du 16 12 2003, etc.)
• Article 116 de la loi du 15 mai 2001 (NRE) et décret d’application
• Loi Genisson sur l’égalité professionnelle

• Loi sur les risques industriels et technologiques du 30 juillet 2003
• Mise en place de directive sur la transparence financière à partir de
juin 2005
• Loi de sécurité financière
Député C
Genisson
18
L’article 116 de la loi 2001-420
du 15 mai 2001 dite NRE
• Le rapport visé à l’article L 225-102 rend compte de la rémunération
totale et des avantages de toute nature versés, durant l’exercice, à
chaque mandataire social
• Il indique également le montant des rémunérations et des
avantages de toute nature que chacun de ces mandataires a reçu

durant l’exercice de la part des sociétés contrôlées au sein de
l’article L.233-16
• Il comprend également la liste de l’ensemble des mandats et
fonctions exercés dans toute société par chacun de ces
mandataires durant l ’exercice
• Il comprend également des informations, dont la liste est fixée par
décret en Conseil d ’État, sur le manière dont la société prend en
compte les conséquences sociales et environnementales de son
activité »
19
Composition du bilan social
toujours en application
Un document annuel qui présente sept grands chapitres :

– emploi
– rémunération et charges accessoires
– conditions d’hygiène et de sécurité

– autres conditions de travail
– formation
– relations professionnelles
- conditions de vie des salariés
- Un document plutôt orienté interne pour l’information des
partenaires sociaux, avec un fort contenu statistique
20
Composition du Rapport
Développement durable : les
données sociales
• L’effectif total, les embauches à contrat à durée déterminée et à
contrat à durée indéterminée, les heures supplémentaires, la
main-d’œuvre extérieure à la société
•
Le cas échéant, les informations relatives aux plans de réduction

des effectifs
• L’organisation du temps de travail
• Les rémunérations et leur évolution
• Les relations professionnelles
• Les conditions d’hygiène et de sécurité
• La formation
• L ’emploi et l’insertion des travailleurs handicapés
• Les œuvres sociales
• L ’importance de la sous-traitance
21
La notion de responsabilité
sociale
Le rapport doit également :
« exposer la manière dont la société prend en compte l’impact territorial
de ses activités en matière d’emploi et de développement régional.
Il décrit, le cas échéant, les relations entretenues par la société avec les
associations d ’insertion, les établissements d ’enseignement, les
associations de défense de l’environnement, les associations de
consommateurs et les populations riveraines.
Il indique l’importance de la sous-traitance et la manière dont la société
promeut auprès de ses sous-traitants et s’assure du respect par ses
filiales des dispositions des conventions fondamentales de
l’Organisation internationale du travail.
Il indique en outre la manière dont les filiales étrangères de l ’entreprise
prennent en compte l ’impact de leurs activités sur le développement
régional et la populations locales. »
22
Composition du Rapport
Développement durable : les
données environnementales
• La consommation de ressources en eau, matières premières et énergie
• Les mesures prises pour limiter les atteintes à l’équilibre biologique
• Les démarches d ’évaluation ou de certification entreprises
• Les mesures prises, le cas échéant, pour assurer la conformité de l’activité
de la sociétés
• Les dépenses engagées pour prévenir les conséquences de l’activité de la

société sur l’environnement
• L’existence au sein de la société de services internes de gestion de
l’environnement, la formation et l’information des salariés sur celui-ci ; les
moyens consacrés à la réduction des risques pour l’environnement ainsi
que l’organisation mise en place pour faire face aux accidents de pollution
ayant des conséquences au-delà des établissements de la société
• Le montant des provisions et garanties pour risques en matière
d’environnement, sauf si cette information est de nature à causer un
préjudice sérieux avec la société dans un litige en cours
• Le montant des indemnités versées au cours de l’exercice en exécution
d’une décision judiciaire en matière d’environnement et les actions
menées en réparation de dommages causés à celui-ci
• Tous les éléments sur les objectifs que la société assigne à ses filiales à
l’étranger sur les points 1 à 6 ci-dessus
23
La mise en place du Document Unique
• Le décret n° 2001-1016 du 5 novembre 2001 impose la

création d’un document baptisé « Document Unique » à
tous les employeurs, et ce, quelle que soit l’activité de
l’entreprise, dès lors qu’il existe au moins un salarié
• L'absence de rédaction du Document Unique ou de sa

mise à jour est punie d'une amende de 1500 € , doublée
en cas de récidive
• C’est un document synthétique sur lequel doivent être
transcrits et mis à jour les résultats de l’évaluation des
risques pour la sécurité et la santé de salariés
• Il est tenu à la disposition notamment des représentants
du personnel, des employés exposés à ces risques, de
l'inspection du travail
– En cas d'accident du travail alors que le risque avait
été relevé dans le Document Unique, la faute
inexcusable de l'employeur sera de fait établie et sa24
L’inventaire des risques
identifiés
• Cet inventaire doit obligatoirement figurer dans le document unique
– Il comprend l’identification des dangers et l‘analyse des risques, résultant
de l’étude des conditions d’exposition des salariés à ces dangers
• Le découpage en unités de travail est créé en fonction des
caractéristiques de l’entreprise ou de l’activité (ex : par établissement,

par atelier, par secteur d’activité)
• Le recensement des risques se fait sur place et pour chaque situation
de travail (ex : fonctionnement normal, réglage, dépannage,
maintenance exceptionnelle)
25
Exemples de classification des risques
• Produits et/ou matière (toxicité, pollution, incendie),

• Environnement de travail (bruit, travail sur écran, travail en hauteur),
• Machines et équipements (coupures, projections, brûlures),
• Manutention manuelle (efforts inadaptés, chute de la charge),

• Manutention mécanique (rupture des accessoires, incident
mécanique),
• Levage (inadaptation de l’implantation de la grue, conditions
climatiques),
• Tâches, organisation (rythme de travail, manque de formation,
complexité),
• Circulation (manque de signalisation, circulation de piétons),
• Homme (tenue inadaptée, charge physique)
26
De nouvelles normes comptables
: les IFRS
• Les scandales comptables de 2002-2003 (US et Europe) ont
altéré la crédibilité de l’information financière
• Le passage aux IAS / IFRS (International Financial Reporting
Standard) va permettre de passer à un standard supérieur de
qualité d’information en et hors d’Europe

• Quels sont les avantages des normes IFRS ?
• Normaliser la présentation des comptes au niveau international,
pour faciliter leur lecture par tout investisseur sur une place
financière quelle qu’elle soit
• Introduire des références normalisées dans l’élaboration des
comptes qui soient respectueuses des exigences économiques et
non plus patrimoniales
• Favoriser les pratiques de gouvernance d’entreprise
27
Une révolution dans la façon de
penser
avec le principe de la « juste
•
valeur »
Les nouvelles normes consacrent la préférence du principe de «
valeur de marché » (fair value ) à celui de « prudence »
• D’où une évaluation à la valeur du marché de certains actifs et une
comptabilisation des gains et des pertes latentes
• Une vraie révolution comptable, car au lieu de comptabiliser un actif à un

coût historique, ce sont les recettes générées par cet actif que l’on va
chercher à mesurer : actualisation des flux de recettes
• Les capitaux propres ne seront plus un montant fixe mais un différentiel
entre actif et passif
Hier 2005
Actifs Actifs
évalués évalués à
aux coûts la juste Dépréciation à la
valeur de marché
historique valeur
Ce que l’actif
s a Ce que l’actif va
coûté rapporter ou entraîner
comme pertes… 28
L’impact IFRS : la norme IAS 36
coûte à Eurotunnel la moitié de
ses fonds propres !
L’application de la norme IAS 36 (dépréciation d’actifs) a contraint
Eurotunnel à une dépréciation exceptionnelle de 1,85 milliards d’euros au 31
12 2003 !
• Soit la différence entre la valeur nette comptable des
immobilisations et la valeur d’utilité des actifs

L’imputation sur les fonds propres s’élève à 1,6 milliards d’euros !
Cela traduit la réduction des flux futurs d’exploitation établie à la lumière
des résultats de 2003 (calculée au terme de la concession de 2086) et de
leurs conséquences négatives sur la capacité d’endettement du Groupe
ainsi que la hausse des taux de marché
29
Les dispositions de la Directive
européenne
sur la transparence
• La directive imposerait à tous les émetteurs de valeurs mobilières de
divulguer périodiquement au public :
– un rapport financier annuel ayant fait l'objet d'un contrôle légal (états
financiers établis conformément aux normes comptables
internationales) et un rapport de gestion, dans les trois mois suivant
la clôture de chaque exercice;

– un rapport financier semestriel condensé, établi conformément à la
norme IAS 34 («information financière intermédiaire»), assorti d'une
actualisation du dernier rapport annuel de gestion.
• En outre, les émetteurs d'actions seraient tenus de publier un rapport

financier trimestriel plus succinct aux premier et troisième trimestres de
chaque exercice
– contenant leur chiffre d'affaires net et leur résultat avant ou après
impôt ainsi que, si les émetteurs le souhaitent, de brèves indications
tendancielles concernant leur développement sur le reste de
l'exercice
30
Directive sur Abus de marché

et projet de directive sur l’audit
31
SOX et L.S.F. instaure un
reporting financier
et un contrôle très réglementés
• Le contrôle au sein de SOX est centré sur la qualité du reporting
financier, ce qui n’exclut nullement les conséquences des risques
identifiés ou non
• La faculté de « dénonciation » par un collaborateur ou un tiers
caractérise SOX à la différence de LSF qui ignore cette démarche

• L.S.F. présente une absence de précision du texte de loi quant au
contenu des informations à produire, ce qui indirectement ouvre un
champ relativement large au contrôle
• Conséquences : ces deux textes conduisent à la mise en œuvre d’une
véritable politique de maîtrise des risques, les plus divers et qui sont
susceptibles d’affecter la valeur de l’entreprise
32
Les grandes lignes de SOX et de

SEFI
“Americans will always do the right thing…..
after they have exhausted all other options”
Sir Winston Churchill
33
SOX : l’architecture générale
I. Public Company Accounting Oversight Board
II. Auditor Independence
III. Corporate Responsibility
IV. Enhanced Financial Disclosures
V. Analyst Conflicts of Interest

VI. Commission Resources and Authority
VII. Studies and Reports
VIII. Corporate and Criminal Fraud Accountability
IX. White Collar Crime Penalty
X. Corporate Tax Returns
XI. Corporate Fraud and Accountability
Exactitude Accessibilité Responsabili Indépendan
de de té des ce des
l’informatio l’informatio gestionnaire auditeurs
n n s
34
Le champ d’application de SOX
• Toutes les entreprises cotées sur les marchés financiers

des Etats-Unis
– Les entreprises opérant dans d’autres juridictions
peuvent être confrontées aux mêmes contraintes
réglementaires (exemple du bill 198 dans l’Ontario,

similaire à certaines sections de SOX)
– Le calendrier de respect de SOX et les contraintes
réglementaires évoluent au fur et à mesure du temps
• Sox est de nature extra-territoriale
– A l’heure actuelle, elle concernerait environ 350
sociétés cotées en Europe
• Les entreprises non cotées doivent satisfaire aux
contraintes de SOX avant toute émission de titres sur le
marché financier ou la cession significative d’actions à
une entreprise cotée
– Allongement du processus de due diligence en cas de
cession de société cotée
35
Le Sarbanes-Oxley act de 2002 en
bref
• Documents de travail (article 802) : la destruction des
documents de travail entraîne l’application d’amendes très
lourdes
• Gouvernement d’entreprise et responsabilité (article 301 à
306, 402 à 407, 901 à 911 et 1101 à 1107)

• Création d’un comité d’audit composés de membres
indépendant de part leur rémunération et en relation direct
avec les auditeurs
• L’entreprise doit s’assurer que les managers sont aptes à
tenir leur poste
• Les directeurs généraux et les directeurs administratifs et
financiers doivent signer les états financiers et restent
responsables du contrôle interne (rapport à émettre)
• En cas de modifications importantes des états financiers, les
directeurs généraux et les directeurs administratifs devront
s’acquitter d’une indemnité importante
• Interdiction formelle d’octroyer des prêts aux dirigeants.
• Lourdes amendes prévues en cas de fraude, documents 36
SOX et impact décisionnel
37
Les avantages recherchés de SOX
vu du côté outre-atlantique
• Augmentation de la confiance dans le reporting des résultats par les
CEO/CFO
• Amélioration de la coordination des équipes de gestion de l’entreprise
• Amélioration et clarification du système de gouvernement d’entreprise
• Efficacité des procédures et process pour détecter rapidement les risques

d’activités, les dysfonctionnements de management
• Démarche systématique de mise en conformité (i.e., transactions, gestion
du personnel, principes comptables, contrôle interne, procédures
opérationnelles)
• Augmentation de l’efficacité opérationnelle
38
de Sarbanes-Oxley Act
Quelques “premiers résultats”
39
L’instauration en France de
nouvelles dispositions en
matière de reporting : L.S.F.
Les objectifs de la loi N°2003-706 du 1er août 2003
• Permettre au système financier de fonctionner dans la
confiance et dans la transparence
• Répondre à l’évolution permanente des techniques

financières
• Répondre aux inquiétudes des marchés :
 Mettre en place des autorités de régulation fortes
 Protéger les épargnants
 Garantir la sincérité des comptes
 Garantir la transparence du fonctionnement des
entreprises
De façon plus concrète, la loi vise notamment, dans le
cadre de l’assainissement des pratiques de
gouvernance, à renforcer le contrôle interne :
 Le président du CA doit rendre compte, dans son
rapport annuel, des procédures de contrôle interne
40
Le champ d’application de la
L.S.F.
• Sociétés concernées : Initialement toutes les sociétés
anonymes (cotées et non cotées), mais la loi pour la
confiance et la modernisation de l’économie a
restreint aux seules sociétés cotées
• C’est le président du Conseil d’administration ou de

surveillance qui est chargé du rapport, lequel relève
donc de sa responsabilité personnelle
– Les articles L.225-37 et L.225-68 disposent que le président « rend
compte » des procédures de contrôle mises en place par la société
• Dans le cas d’établissement de comptes consolidés, le
rapport porte également sur les procédures de
contrôle interne des filiales, placées sous le contrôle
de la société mère
• En outre, chaque filiale ayant la forme anonyme et son
siège en France devra établir un rapport
41
Les obligations en
matière
de contrôle et de
reporting
SOX : An act to protect
investors by improving the
accuracy and reliability of
corporate disclosures…
42
L.S.F. : l’architecture
du rapport du Président
• Objectifs de la société en matière de procédures de
contrôle interne
• Description synthétique des procédures de contrôle
mises en place :
– Organisation générale des procédures de contrôle

interne
– Présentation des informations synthétiques sur les
procédures de contrôle interne mises en place par la
société (doit être focalisé sur les éléments significatifs
susceptibles d’avoir un impact sur le patrimoine ou sur
les résultats de la société)
43
L.S.F. : le contenu du rapport du
Président
sur le contrôle interne
• Le président rend compte notamment de l’efficience des
procédures de contrôle interne mises en place
– il indique dans quelle mesure ces procédures ont permis d’atteindre les
objectifs fixés au contrôle interne
– Il mentionne le cas échéant les mesures prises afin de pouvoir atteindre

ces objectifs et de pallier les éventuelles faiblesses de conception ou de
fonctionnement susceptibles d’avoir une incidence sur l’information sur la
situation financière et les comptes
• Ce rapport doit être joint au rapport de gestion du conseil

d’administration ou du conseil de surveillance et par conséquent, il doit
suivre le même régime de publicité que ce dernier soit :
– Envoi aux actionnaires sur leur demande ou mise à leur disposition
quinze jour avant l’assemblée générale ordinaire,
– Présentation à l’assemblée générale annuelle,
– Dépôt au greffe du tribunal de commerce dans le mois qui suit
l’assemblée ordinaire annuelle
44
Réponse ministérielle du 29 07
2004 sur l’article L.225-37 et
L.225-68 du code de commerce
• Selon la réponse ministérielle (publiée au Journal officiel du 29 juillet
2004) lorsque « Le président (…) rend compte des procédures de
contrôle interne mises en place par la société », il doit « à ce titre,
relater ces procédures, en cohérence avec les autres éléments inclus
dans le rapport de gestion, en fournissant des indications factuelles et

synthétiques sur leurs caractéristiques, sans être tenu de les évaluer ni
d’apprécier l’adéquation ou l’efficacité du contrôle interne. »
Ce rapport «vise également à fournir au commissaire aux comptes une

base de travail supplémentaire, pour l’évaluation du contrôle interne
qu’il effectue dans le cadre de sa mission permanente et qui peut le
conduire, le cas échéant, à faire état aux organes sociaux des
déficiences ou faiblesse majeures qu’il aurait relevées dans le contrôle
interne. »
45
L’analyse de KPMG sur
l’application de L.S.F.
pour la première année 2003
Des rapports homogènes dans leur structure, mais pas dans leur
contenu
• Pour la première année d'application, le plan des rapports analysés
présente une certaine homogénéité

– En effet, deux tiers des sociétés suivent la structure de rapport
proposée par les syndicats patronaux (AFEP et MEDEF)
– Néanmoins, la taille des rapports reste très variable avec une
amplitude allant de 3 à 25 pages
• Sur les 52 sociétés étudiées, seules 2 d'entre elles, assujetties à la loi
Sarbanes-Oxley, ont conclu à l'efficacité de leur contrôle interne
• Les autres sociétés de l’échantillon ont procédé à une description, et
non à une évaluation, de certains aspects de leur organisation
46
Enquête KPMG : une approche
perfectible dans la gestion des
responsabilités
• Bien que le rapport soit rédigé sous la responsabilité personnelle du
président, il apparaît que ce dernier communique peu sur la manière
dont il gère ses responsabilités, sur la mise en place de délégations
de pouvoir et sur les éventuelles limitations aux pouvoirs du directeur
général
• Les présidents mettent l'accent sur le bon gouvernement de leur
entreprise en évoquant, dans 71 % des rapports, le fonctionnement
des conseils (nombre de séances, rôles des administrateurs...) et
dans 77 % des cas l'existence de comités spécialisés
• Néanmoins, seulement 54 % des sociétés précisent la composition
du conseil permettant d'apprécier l'indépendance des administrateurs
47
SOX: les points qui nous
intéressent
I. Executives:
• Responsibility for financial reporting and
keeping the markets informed
• Certifications: - 302 “Disclosure controles &
procedures”
- 404 “Internal controls for
financial reporting”
- 906 “CEO/CFO’s written
statement on fairness”
• Implement Code of Ethics and whistleblower
procedure
II. Supervisory Board:

• Enhanced oversight
• Appointment of a “financial expert”
III. Auditors:
48
Le lien entre l’article 404 et 302
de SOX
à travers les états financiers
Internal Controls and Disclosure Controls and
Procedures for Financial Procedures
Reporting
Notes
Cash Financial
Flow Statements
Income
Statement Busin
ess
Balance Proper
Sheet ties
Legal
Financial Proceedin
Statements gs
Annual
Annual
Report on
Form 10-
10-K
Section Section 302

404
49
Précisions nécessaires en
matière
de terminologie versus SOX
-Internal control is the process, effected by an entity’s board of directors,
management and other personnel, designed to provide reasonable assurance
regarding the achievement of objectives in three categories:
-Effectiveness and efficiency of operations
-Reliability of financial reporting

-Compliance with laws and regulations
- Disclosure controls and procedures need to ensure that information required to be

disclosed by the issuer is recorded, processed, summarized and reported and is
accumulated and communicated within the time periods specified in the
Commission’s rules and forms
Definition of “internal control over financial reporting”:

- Encompasses subset of internal controls addressed in the COSO Report that
pertains to financial reporting objectives
- Including controls over safeguarding assets
50
SOX: Scope of 302 and
404
Disclosure Requirements
Operations Financial Compliance Disclosure
Reporting & Controls and

Procedures
Regulatory
Other aspects
of Compliance
and Operations
Internal relate to DC&P
Accounting
Controls Internal
Controls Over
Financial
Reporting
Source
Deloitte
51
Les caractéristiques du contrôle
versus SOX
• Une documentation adaptée aux exigences :
• Mise en conformité avec l’article SOX 404 et preuve de
cette conformité
• Identification à temps des faiblesses du contrôle
• Définition d’actions prioritaires pour remédier à ces

faiblesses et suivi de ces actions
• Constitution d’une base d’informations pour faciliter le
travail des auditeurs
• Appui technologique possible (I.T.) :

• Exhaustivité, cohérence et qualité de la documentation sur
le pilotage
• Identification des manques de transparences et zones de
progrès
• Amélioration de la documentation sur le pilotage
• Liens avec les autres risques et démarche de prévention
• Audit du contrôle 52
La « Section 302 »
CEO/CFO Must Certify Quarterly and Annually that:
– SEC report being filed has been reviewed
– Report does not contain any untrue statements or omit any
material facts necessary to make the statements made not
misleading
– Financial statements fairly present, in all material respects,
the financial position, results of operations and cash flows
– He/she is responsible for and has designed, established, and
maintained Disclosure Controls & Procedures (“DC&P”), as
well as evaluated and reported on the effectiveness of those
controls and procedures within 90 days of the report filing
date
– Deficiencies and material weaknesses in internal control have
been disclosed to Audit Committee and auditors, as well as any
fraud (material or not) involving anyone with a significant role
in internal control
– Significant changes in internal control affecting controls for
periods beyond review have been reported in the certification,
53
La “Section 404”
• Assessment
• Management’s assessment must be based on procedures sufficient both to
evaluate design and test operating effectiveness
• Management must maintain evidential matter, including documentation, to
provide reasonable support for the assessment (both design and testing) of
effectiveness
• Any material weakness in internal control over financial reporting precludes
management from reporting that internal control is effective
• Reiteration of guidance regarding independence:
• Auditors may assist management in documenting internal controls.
• Management must be actively involved in the process; cannot delegate
assessment responsibility to the auditor
54
Les principales actions à engager
• Actions to 302:
• Enhance DC&P assessment and turn into consistent and
continuous process
• Ensure coverage of entire organization (incl. all material
subsidiaries)
• Embedding into regular review and monitoring processes
• Actions to 404:
• Document of processes & internal controls (process/activity, risk,
control, responsibility)
• Management’s evaluation of effectiveness (audits and self
assessments)
• Attestation by external auditor
• Attestation by the auditor on management’s report on internal control
requires (404 & 103):
• Management accepts responsibility and assess internal controls
• Controls are suitable designed and appropriately documented
55
La gestion des risques :
une approche non totalement
aboutie
Enquête KPMG sur l’application de L.S.F.
• Dans l'ensemble, les sociétés ont précisé les risques
majeurs auxquels elles sont exposées, répondant ainsi
à la recommandation déjà existante de l'AMF de
mentionner les principaux risques dans le document de

référence
• Cependant, les modalités de gestion des risques ne
sont pas décrites de façon systématique et ce, malgré
un cadre juridique déjà existant dans les domaines
sociaux et environnementaux
• Seules 19 % des sociétés sélectionnées ont mentionné
l'existence d'une cartographie des risques
56
Les risques sont souvent gérés
de façon cloisonnée du fait d’une
organisation en “silos”
Credit Market A/LM Operational
Risk Risk Risk Risk
• Chief Credit • CFO • Treasurer • Internal Audit

Who Officer
• Business • Asset/Liability • Corporate
Managers Manager Actuarial
• Exposure • Investment • Trading and • Controls

Limits Limits A/LM Limits
How • Portfolio • Portfolio • Value at Risk

• Audit Review
Measurement Return Management
• Securitization/ • Growth • Financial
Derivatives Limits Derivatives • Insurance
Il faut donc favoriser la transversalité dans le

traitement du contrôle
57
La définition du contrôle interne
• « Ensemble des politiques et procédures mises en
œuvre par la direction d’une entité en vue
d’assurer, dans la mesure du possible, la gestion
rigoureuse et efficace de ses activités. »
International Federation of Accountants (IFAC)
• « Le contrôle interne est l’ensemble des sécurités

contribuant à la maîtrise de l’entreprise. Il a pour
but, d’un côté, d’assurer la protection, la
sauvegarde du patrimoine et la qualité de
l’information, de l’autre, l’application des
instructions de la direction et de favoriser
l’amélioration des performances. Il se manifeste
par l’organisation, les méthodes et procédures
dans chacune des activités de l ’entreprise pour
maintenir l’organisation de celle-ci. »
58
Vers un référentiel de
"préférence" :
le COSO
Enquête KPMG sur l’application de la loi L.S.F.
• En l'absence de référentiel légal en matière de contrôle
interne, la majorité des entreprises se réfère de
manière ponctuelle aux objectifs et à la terminologie
utilisée par le COSO, même si seulement une

entreprise sur cinq déclare avoir choisi le COSO comme
référentiel de contrôle interne
• Seulement 53 % des entreprises étudiées font état de
plans de progrès permettant, à terme, d'apprécier
l'efficacité des procédures de contrôle interne
• En revanche, 72 % des sociétés visées par la loi
Sarbanes-Oxley mentionnent la démarche entreprise
pour atteindre une évaluation des procédures de
contrôle interne
59
Qu’est-ce que le référentiel COSO
?
Le référentiel COSO a donné naissance à
un Cube dont les 3 faces visibles
représentent les 3 objectifs, les 5
composants et les processus de
l'entreprise
Ce Cube se découpe en 3 x 5 x p cubes

élémentaires (p=nombre de processus de
l'entreprise) qui donnent la base des
évaluations à réaliser : « Evaluer dans
toute entité et pour tout processus la
façon dont chacun des 5 composants du
Contrôle Interne participe à chacun des 3
objectifs »
Le COSO (Committee Of Sponsoring Organizations) regroupe aux USA les associations et

instituts dans les domaines de la Comptabilité et de l'Audit Interne qui ont sponsorisés
les travaux de cette Commission et qui sur la base de ses recommandations ont rédigé le
« COSO Framework » ou référentiel COSO publié en 1992
60
La nomenclature COSO
Monitoring
• Assessment of a control Control Activities
system’s performance over • Policies/procedures that
time. ensure management
• Combination of ongoing and directives are carried out.
separate evaluation. • Range of activities including

• Management and supervisory approvals, authorizations,
activities. verifications,
recommendations,
• Internal audit activities. performance reviews, asset
Control Environment security and segregation of
Information and Communication
duties.
• Pertinent information identified, • Sets tone of organization-
influencing control consciousness
captured and communicated in a of its people. Risk Assessment
timely manner. • Risk assessment is the
• Factors include integrity, ethical
• Access to internal and externally values, competence, authority, identification and analysis of
generated information. responsibility. relevant risks to achieving
• Foundation for all other the entity’s objectives-
• Flow of information that allows for components of control. forming the basis for
successful control actions from determining control
instructions on responsibilities to activities.
summary of findings for
management action.
61
Outils de pilotage
COSO et COBIT
« Modèle de contrôle informatique » « Modèle de contrôle d’entreprise »

- Security Code of Conduct (DTI UK), IT Control - COSO USA
Guidelines (CICA Canada),
Security Handbook (NIST USA)
COBIT
Control Objectives for Information and related Technology
62
La définition du contrôle
dans le cadre du référentiel COSO
– Le contrôle interne est un processus mis en œuvre par la direction

générale, le management et le personnel et conçu pour fournir une
assurance raisonnable quant à l'accomplissement des objectifs :
optimisation des opérations

fiabilité des informations financières
conformité aux lois et aux réglementations en vigueur
– L’optimisation des opérations comprend l’amélioration des

performances et la protection des ressources / actifs
– Les activités pour y répondre :

Activités de gouvernance
Activités opérationnelles
Activités de support
63
Les objectifs du dispositif de
contrôle interne
identifier, analyser, gérer les risques
Identifier et corriger les

Mettre en place des
Clarifier Fiabiliser les dysfonctionnements
dispositifs de
responsabilités informations juridiques et/ou
prévention des risques
financiers
Transparence, meilleure gestion financière,

cohérence des actions avec le projet, garantie
juridique
QUALITE DU
SERVICE
64
Le périmètre du contrôle interne
 Les opérations contrôlées :
 Les processus opérationnels : achats, ventes….
 Les processus comptables : trésorerie, achats,
ventes…
 Les opérations financières :

 La préparation et le suivi budgétaire
 Les investissements
 Les processus liés aux opérations d’information de
gestion (contrôle de gestion, comptabilité
analytique…..)
 Les opérations juridiques :
 La préparation et le suivi des contrats
 Les contrats de travail
 Autres opérations :
 La gestion du courrier
 La gestion du système informatique
65
L’évaluation du dispositif de
contrôle interne
 Il est nécessaire d’établir un diagnostic général
sur le niveau de risque
 L’étude doit porter sur :
 l’organisation
 les acteurs
 les missions, les opérations effectuées
 les procédures
 conception
 fonctionnement
 le système d’information :
– en terme de contrôle des processus (traçabilité),
– de remontées d’informations fiables (intégrité, origine
de l’information),
– d’organisation et de délégation des pouvoirs (contrôle
d’accès)
66
La mise en œuvre du contrôle :
les opérations à effectuer
• Identification des comptes majeures et processus critiques dans le
reporting financier
• Identification et évaluation par processus de la criticité des risques
(impact, probabilité et déductibilité) en regard des objectifs visés
• Spécification des actions de contrôle et des outils d'évaluation à partir
d'une nomenclature standard

• Auto-évaluations du système de contrôle interne par les directeurs
concernés
• Recueil de l'avis des auditeurs externes
• Définition et suivi des plans d'action
• Génération des lettres de certification de comptes pour les signataires
concernés
• Consultations multi-critères permettant de générer tout type de
diagrammes et d'annexes en vue de la rédaction du Rapport sur le
Contrôle interne prévus par la Loi
67
Les limites du contrôle interne
 Le contrôle interne n’est pas une panacée : il ne
permet pas de prétendre avoir éliminé tous les
risques afférents à une organisation
 C’est un dispositif dynamique, en adéquation avec

l’environnement
 Ce n’est pas une simple fonction mais une méthode,

un état d’esprit visant à améliorer la gestion des
activités
 Ce n’est pas une inspection générale à caractère

répressif
 Il s’agit d’impliquer chaque acteur, de lui démontrer
l’utilité des procédures en l’intégrant dans le cadre
des contrôles
68
Le Contrôle Interne : 5
objectifs
• La protection et la sauvegarde des personnes et du patrimoine
(sécurité des agents, protection juridique des élus,
sauvegarde des biens matériels de la collectivité…)
• La qualité de l'information (fiabilité et traçabilité des
informations reçues et des informations produites, visas et

documents)
• L'application des instructions de la direction (chaque élément
doit faire l'objet de notes écrites, transmises à des
destinataires précis et identifiés dont le visa de réception doit
être formalisé)
• L'amélioration des performances (à cet égard sera mis en
œuvre un certain nombre d'indicateurs de gestion permettant
de s'assurer que les décisions et les procédures mises en
œuvre soient respectées et les conséquences transmises au
management concerné)
• L'obligation de se conformer aux lois et règlements en vigueur
(il sera important de mettre en œuvre une veille juridique afin
que toute modification significative soit transmise aux acteurs
69
Identifier et cartographier les
processus
Etablir une typologie
typ o lo g ie
M a na ge m e nt
O p é ra tio n n e l
No m d u p ro ce ssu s
S u p p o rt
M e su re
E tablir le budget X
F orm er X
m es urer et s urveillet le produit X
C onc evoir et développer le produit X
70
Le recensement de 34 processus
critiques dans un groupe de la
grande distribution
Delivery & Support
Planning & Organisation Monitoring
AI1 Define & Manage Service Levels
AI1 Define a strategic IT Plan M1 Monitor the Processes
AI2 Manage 3rd party services
AI2 Define the Information Architecture M2 Assess Internal Control Adequacy
AI3 Manage Performance & Capacity
AI3 Determine Technological Direction M3 Obtain Independent Assurance
AI4 Ensure Continuous Service

AI4 Define the IT Organisation & M4 Provide for Independent Audit
AI5 Ensure Systems Security
Relationships
Acquisition & Implementation AI6 Identify & Allocate Costs
AI5 Manage the IT investment
AI1 Identify Automated Solutions AI7 Educate & Train users
AI6 Communicate Management Aims
AI2 Acquire & Maintain Application Software AI8 Assist & Advise Customers
& Direction
AI3 Acquire & Maintain Techn. Infrastructure AI9 Manage the configuration
AI7 Manage Human Resources
AI4 Develop & Maintain Procedures AI10 Manage Problems & Incidents
AI8 Ensure compliance with External
AI5 Install & Accredit Systems AI11 Manage Data
Requirements
AI6 Manage Changes AI12 Manage Facilities
AI9 Assess risks
AI13 Manage Operations
AI10 Manage Projects
AI11 Manage Quality
Par comparaison, IBM en recense 54 : 3000 points de

contrôle, dont 312 pour la France, avec une fréquence
mensuelle de 60 %
71
SOX: Meeting SEC
Expectations
• Compliance with COSO control standards (or other accepted
standards; IT Governance Institute recently recommended CobiT
for general IT controls assessment)
• Clear documentation of internal controls as well as the testing

processes
• Evidence that management have evaluated the adequacy of the
design and the effectiveness of operation of the procedures and
controls
• Evidence that the auditor has adequately evaluated the design
and operation of financial controls
• Evidence that the audit committee and/or disclosure committee
have taken a keen interesting the effectiveness of controls
72
Une évolution nécessaire des outils de

pilotage pour réduire la prime de risque
73
L'audit interne : fonction
primordiale dans la maîtrise du
contrôle interne
Enquête KPMG sur l’application de L.S.F.
• L'audit interne est, pour la grande majorité des
présidents (94%), au cœur de la maîtrise du contrôle
interne
• Cependant, cette fonction est rarement identifiée
comme un outil de pilotage
• D'une façon générale, le pilotage du contrôle interne
est peu évoqué par les sociétés de l’échantillon
74
Les départements internes
impactés par SOX
Finance 100%
IT 95.7%
Sales 43.5%
Human Resources 39.1%

Customer Service 30.4%
Marketing 17.4%
Other 8.7%
Source: The Robert Francis Group
75
L’interaction entre les risques
implique la mise en place
d’un système ERM
Enterprise-Wide Risks Financial Risks Credit Risk
FX risk in a new Associated with
foreign market Investments
Market
Financial Risk
Asset Liquidity
Risk
Credit
Liquidity Risk
Business Operational Risk
Risk Risk
Credit Risk
Associated with
IT and business Derivatives Borrowers and
process documentation and Funding Liquidity
Counterparties
outsourcing counterparty risk
76
Quatre facteurs poussent à
la mise en place des E.R.M.
• Enron
Corporate • WorldCom
Disasters • Adelphia
• Banks • Mutual Funds
• Asset Managers
• Energy Firms
• Corporations
Best
Enterprise Regulatory
Practices Risk Actions
Management
• S.E.C.
• Sarbanes-Oxley
• Basel II
• LS.F.
• Treadway Report, US Industry • Directive
• Turnbull Report, UK Initiatives Transparence
• Dey Report, Canada
77
Du risk management à l’ERM
78
La mesure de la criticité des
processus et de leur suivi
induit un pilotage type ABC-
ABM
– La méthode ABC implique dans la démarche l’ensemble de
l’institution (ABM ou Activity based management ») : cela favorise
un management transversal et participatif
– La méthode ABM met à plat les processus et permet de travailler
avec les acteurs à leur optimisation, par un raisonnement

transversal à l’organisation
– Un processus est un ensemble d’opérations ou d’activités
réalisées par des acteurs avec des moyens et selon des
références en vue d’une finalité
– Une procédure est un document qui décrit de façon formalisée les
tâches à accomplir pour mettre en œuvre le processus
79
ABC et ABM
– ABC : la recherche de véritables unités d’œuvre (inducteurs)

représentatifs d’une consommation objective
– charges indirectes réparties réduites au minimum,
– comptabilité analytique, coût de revient, recherche des gisements
de rentabilité fondés sur le même modèle

– mise en évidence des écarts de coût des produits, clients en
fonction de leur complexité, volume, cycle de vie
– ABM : les processus sont hiérarchisés en fonction de leur valeur

client
– tableaux de bord incluant des objectifs de performance différents
pour chaque processus,
– organisation améliorée en travaillant conjointement sur
l‘accroissement de valeur pour les clients et la réduction de coûts
80
Visualisation ABC-ABM
« COSTING » (ABC)
De quoi dépendent- Les ressources sont
elles ?
MANAGEMENT
mobilisées
(ABM) puis consommées

donc imputées
Clé de répartition (« resource

driver ») Quelles
Quels
inducteur performances
s ? Quels
aux
d’activité indicateurs ?
(activity ACTIVITES Quels
drivers) ? inducteurs de
qui forment des
Quelles performance
processus
lois de (performance
coûts drivers) ?
(cost Imputation (unité
drivers) ? d’œuvre)
Que consomment les
produits Qu’attend-
on de
et les autres aspects de
Source H. Bouquin l ’offre de l ’entreprise l’activité ?
Dauphine
81
Une évolution qui implique de
corriger
les maux habituels de
l’entreprise
• Procédures longues et incertaines
• Délais et budgets incontrôlables et dépassés
• Négociations qui ne convergent pas
• Remise en question des décisions
• Désaveu des mandataires

• Ajournement des rendez-vous
• Absentéisme en réunion
• Réunions sans ordre du jour, durée limite ni compte
rendu
• Pannes sans responsable identifié
• Messagerie et courrier infidèles
• Documentation non à jour
• « Certification qualité » substituant une sécurité
illusoire à la vigilance et à l'esprit de responsabilité
• Informatique désordonnée (ressaisies manuelles,
ergonomie pénible, référentiels redondants)
82
maîtrisé :
les 3 ingrédients
Vers une culture du risque
83
Facteurs de motivation des ingénieurs
: l’éthique de l’entreprise et sa
politique environnementale au 10è
80%
rang
Enquête Mai 2003
Poste DRH ANDCP
70%
Ensemble des centraliens
% de citations (3 principaux Facteurs)
60% Equipe >250 personnes

50%
Management
40% Carrière
Eq. de
Apprendre Avenir
vies
Rémunération Entreprise
30% Autonomie
Etre
reconnu
20%
Ethique
10% Politique
RH Equité
0%
84

Tourtier Cours Riskmgtetcontrole2

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Tourtier Cours Riskmgtetcontrole2

Uploaded by

Copyright:

Available Formats

Cours Risk-management et

Conception - Ped@gogia L. TOURTIER 2004 - Tous droits de reproduction réservés

– La fonction financière au cœur du dispositif de

– Le renforcement des réglementations : 8ème

 la sensibilité du résultat (à divers événements : variation de salaires,

 la part des frais fixes : analyse du "point mort",

 la variation des besoins en fonds de roulement

Le risque systémique des activités dépend :

 de la qualité des procédures

 de l’efficacité du risk management

 Le Directeur Financier, assisté du contrôleur de gestion et du risk

manager doivent adapter la conception du SI de gestion financière

 La décentralisation suppose un langage économique commun et un

 Les services juridiques doivent veiller au bon respect des lois et

11,000 Growth Acceleration Exuberance

1982 1991 2000 2000 2002 2004

D’un capitalisme non contrôlé… … à un capitalisme régulé

Sarbanes-Oxley Act of 2002

• “A W.S.J./NBC poll found that 57% of

 Capital Stewardship: Are you investing my money

with CEOs who hold investor money “in trust”?

 Clarity and Common Sense: Are you placing my money

 Credible Accounting: Is the CEO clearly explaining

 Long-term Commitment: Is my money going to

 Compensation: Are you investing in companies where

 Values-Based Actions: Are you putting my money with

 Preparation and Succession Plan: Are you investing

actionnaires ou l’intérêt social ?

à travers SOX et SEFI

• Loi Genisson sur l’égalité professionnelle

avantages de toute nature que chacun de ces mandataires a reçu

Un document annuel qui présente sept grands chapitres :

– conditions d’hygiène et de sécurité

Le cas échéant, les informations relatives aux plans de réduction

• Les dépenses engagées pour prévenir les conséquences de l’activité de la

• Le décret n° 2001-1016 du 5 novembre 2001 impose la

• L'absence de rédaction du Document Unique ou de sa

caractéristiques de l’entreprise ou de l’activité (ex : par établissement,

• Produits et/ou matière (toxicité, pollution, incendie),

• Manutention manuelle (efforts inadaptés, chute de la charge),

qualité d’information en et hors d’Europe

• Une vraie révolution comptable, car au lieu de comptabiliser un actif à un

immobilisations et la valeur d’utilité des actifs

la clôture de chaque exercice;

• En outre, les émetteurs d'actions seraient tenus de publier un rapport

Directive sur Abus de marché

caractérise SOX à la différence de LSF qui ignore cette démarche

Les grandes lignes de SOX et de

Sir Winston Churchill

V. Analyst Conflicts of Interest

• Toutes les entreprises cotées sur les marchés financiers

réglementaires (exemple du bill 198 dans l’Ontario,

306, 402 à 407, 901 à 911 et 1101 à 1107)

SOX et impact décisionnel

• Efficacité des procédures et process pour détecter rapidement les risques

• Répondre à l’évolution permanente des techniques

• C’est le président du Conseil d’administration ou de

– Organisation générale des procédures de contrôle

– Il mentionne le cas échéant les mesures prises afin de pouvoir atteindre

• Ce rapport doit être joint au rapport de gestion du conseil

dans le rapport de gestion, en fournissant des indications factuelles et

Ce rapport «vise également à fournir au commissaire aux comptes une

présente une certaine homogénéité