Cours Risk-management et Contrôle Interne Lionel Tourtier CNAM 2005-2006 CNAM Master Finance d’entreprise

Séance 2 : Maîtrise des risques et contrôle interne La fonction financière au cœur du dispositif de contrôle Un problème de corporate governance Le renforcement des réglementations : 8ème directive, IFRS, NRE, Dif La mise en oeuvre de SOX et LSF : éléments de comparaison Le référentiel COSO et ses équivalents en Europe Le référentiel COBIT comme complément Les outils ERM La dimension éthique comme vecteur de transparence

La fonction financière au cœur du dispositif de contrôle Equilibre financier Rentabilité Flexibilité Risque Contrôle

Le risque : une notion inséparable de celle de rentabilité et de flexibilité Le risque économique dépend de : La pertinence de la stratégie la sensibilité du résultat (à divers événements : variation de salaires, matières premières...), la part des frais fixes : analyse du "point mort", la variation des besoins en fonds de roulement Le risque systémique des activités dépend : de la qualité des procédures de l’efficacité du risk management

Le contrôle assure fiabilité du reporting et respect de la conformité légale La performance de l'entreprise dépend (en partie) de l'organisation et du "reporting". Le Directeur Financier, assisté du contrôleur de gestion et du risk manager doivent adapter la conception du SI de gestion financière aux processus et aux risques majeurs attachés Le SI doit fournir des résultats fiables, dans des délais utiles pour décider d'actions correctives et modifier plans, budgets et niveaux de risques : le l’ERP à l’ERM La décentralisation suppose un langage économique commun et un « pilote dans l’avion » Les services juridiques doivent veiller au bon respect des lois et règlements

Un problème de corporate governance Fin d’un modèle                                      Un problème de corporate governance

La crise de confiance des marchés financiers

Les premières heures du 21ème siècle ont été secouée par les scandales financiers

March 2000 - December 2003 - Beyond Ces “affaires” ont sérieusement mis à mal la confiance des investisseurs et du public August 1982 – March 2000 March 2000 - December 2003 - Beyond Institutional Mistrust 7,000 9,000 DJIA I Bear Market Post Y2K & Internet Bubble Bursts II Crisis of Confidence Sept 11,2001, Enron and Andersen III Differentiation Public Companies Respond to Sarbanes-Oxley I Initial Growth Tax Cuts And Free Trade II Consolidation/ Acceleration US Wins Cold/Gulf Wars III Irrational Exuberance Y2K and Internet Bubble DJIA 11,000 11,000 3,000 800 1982 1991 2000 2000 2002 2004 D’un capitalisme non contrôlé… … à un capitalisme régulé Sarbanes/Oxley L.S.F. Source Deloitte

Une remise en cause du modèle de corporate governance et de l’image des dirigeants “Opinion polls now place business people in lower esteem than politicians.” - Jennifer Merritt (2002) “For MBAs, Soul Searching 101,” Business Week, Sept. 16, p. 64. “A W.S.J./NBC poll found that 57% of general public believed that standards & values of corporate leaders & executives had dropped in the last 20 years.” -Eric Hellweg (2002) www.business2.0.com, Sept. 10

La mondialisation éloigne la DG du terrain de jeu opérationnel Comment assurer l’efficacité du contrôle et sur quel type de risque ? DG

Le contrôle interne contribue directement au gouvernement d’entreprise Créer/rétablir le « chaînon manquant" Renforcer la structure de contrôle interne existante Gouvernement d'Entreprise Activités de contrôle

Les attentes des fonds de pension : Investor Responsibility Action Project (IRAP) Morality: Are you putting my money in companies run by moral leaders? How do you judge this morality? Capital Stewardship: Are you investing my money with CEOs who hold investor money “in trust”? Clarity and Common Sense: Are you placing my money with CEOs who understand their businesses and can articulate this to others? Credible Accounting: Is the CEO clearly explaining why GAAP and pro forma numbers differ, and avoiding the quarterly earnings guidance game? Long-term Commitment: Is my money going to companies that you feel comfortable holding on to for at least three years?

Project (IRAP) : suite Listening to Stakeholders: Are you investing my money with CEOs who develop plans and take actions based on listening to and understanding employee, investor and customer needs? Compensation: Are you investing in companies where the compensation of the CEO is only between 30-40 times, or at least reasonably connected to, that of front-line operating people? Values-Based Actions: Are you putting my money with leaders who talk about and also act on their values, especially in relation to the environment and the communities they serve? Preparation and Succession Plan: Are you investing my money with CEOs who have a clearly defined plan not only to choose a successor, but also to prepare that individual for leadership?

Gouvernance et conception de l’entreprise La conception du rôle de l’entreprise et de son gouvernement est déterminante dans les modalités de contrôle de l’exercice du pouvoir des dirigeants sociaux Ceux-ci doivent-ils servir uniquement l’intérêt des actionnaires ou l’intérêt social ? La réponse à cette question détermine, en partie, le rôle des administrateurs indépendants qui devraient jouer, selon les nouveaux textes, un rôle central En fait, leur efficacité dépendra de leur indépendance vis-à-vis des dirigeants et des actionnaires, de leur compétence et du temps nécessaire pour exercer de façon sérieuse un contrôle dans des organisations de plus en plus complexes Les mesures envisagées en matière de régulation de l’information financière sont principalement destinées aux acteurs des marchés financiers Une telle optique peut poser un problème de pertinence si l’on considère la globalité des problèmes liés à la gouvernance sociétale

La réponse réglementaire à travers SOX et SEFI                                                     La réponse réglementaire à travers SOX et SEFI

Un accroissement en France des obligations en matière de reporting : NRE, risques, etc. Bilan social de la loi de 1977 Réglementations en matière d’environnement (directive européenne nommée Seveso III du 16 12 2003, etc.) Article 116 de la loi du 15 mai 2001 (NRE) et décret d’application Loi Genisson sur l’égalité professionnelle Loi sur les risques industriels et technologiques du 30 juillet 2003 Mise en place de directive sur la transparence financière à partir de juin 2005 Loi de sécurité financière Député C Genisson

L’article 116 de la loi 2001-420 du 15 mai 2001 dite NRE Le rapport visé à l’article L 225-102 rend compte de la rémunération totale et des avantages de toute nature versés, durant l’exercice, à chaque mandataire social Il indique également le montant des rémunérations et des avantages de toute nature que chacun de ces mandataires a reçu durant l’exercice de la part des sociétés contrôlées au sein de l’article L.233-16 Il comprend également la liste de l’ensemble des mandats et fonctions exercés dans toute société par chacun de ces mandataires durant l ’exercice Il comprend également des informations, dont la liste est fixée par décret en Conseil d ’État, sur le manière dont la société prend en compte les conséquences sociales et environnementales de son activité »

Composition du bilan social toujours en application Un document annuel qui présente sept grands chapitres : emploi rémunération et charges accessoires conditions d’hygiène et de sécurité autres conditions de travail formation relations professionnelles conditions de vie des salariés Un document plutôt orienté interne pour l’information des partenaires sociaux, avec un fort contenu statistique

Composition du Rapport Développement durable : les données sociales L’effectif total, les embauches à contrat à durée déterminée et à contrat à durée indéterminée, les heures supplémentaires, la main-d’œuvre extérieure à la société Le cas échéant, les informations relatives aux plans de réduction des effectifs L’organisation du temps de travail Les rémunérations et leur évolution Les relations professionnelles Les conditions d’hygiène et de sécurité La formation L ’emploi et l’insertion des travailleurs handicapés Les œuvres sociales L ’importance de la sous-traitance

La notion de responsabilité sociale Le rapport doit également : «  exposer la manière dont la société prend en compte l’impact territorial de ses activités en matière d’emploi et de développement régional. Il décrit, le cas échéant, les relations entretenues par la société avec les associations d ’insertion, les établissements d ’enseignement, les associations de défense de l’environnement, les associations de consommateurs et les populations riveraines. Il indique l’importance de la sous-traitance et la manière dont la société promeut auprès de ses sous-traitants et s’assure du respect par ses filiales des dispositions des conventions fondamentales de l’Organisation internationale du travail. Il indique en outre la manière dont les filiales étrangères de l ’entreprise prennent en compte l ’impact de leurs activités sur le développement régional et la populations locales. »

Composition du Rapport Développement durable : les données environnementales La consommation de ressources en eau, matières premières et énergie Les mesures prises pour limiter les atteintes à l’équilibre biologique Les démarches d ’évaluation ou de certification entreprises Les mesures prises, le cas échéant, pour assurer la conformité de l’activité de la sociétés Les dépenses engagées pour prévenir les conséquences de l’activité de la société sur l’environnement L’existence au sein de la société de services internes de gestion de l’environnement, la formation et l’information des salariés sur celui-ci ; les moyens consacrés à la réduction des risques pour l’environnement ainsi que l’organisation mise en place pour faire face aux accidents de pollution ayant des conséquences au-delà des établissements de la société Le montant des provisions et garanties pour risques en matière d’environnement, sauf si cette information est de nature à causer un préjudice sérieux avec la société dans un litige en cours Le montant des indemnités versées au cours de l’exercice en exécution d’une décision judiciaire en matière d’environnement et les actions menées en réparation de dommages causés à celui-ci Tous les éléments sur les objectifs que la société assigne à ses filiales à l’étranger sur les points 1 à 6 ci-dessus

La mise en place du Document Unique Le décret n° 2001-1016 du 5 novembre 2001 impose la création d’un document baptisé « Document Unique » à tous les employeurs, et ce, quelle que soit l’activité de l’entreprise, dès lors qu’il existe au moins un salarié L'absence de rédaction du Document Unique ou de sa mise à jour est punie d'une amende de 1500 € , doublée en cas de récidive C’est un document synthétique sur lequel doivent être transcrits et mis à jour les résultats de l’évaluation des risques pour la sécurité et la santé de salariés Il est tenu à la disposition notamment des représentants du personnel, des employés exposés à ces risques, de l'inspection du travail En cas d'accident du travail alors que le risque avait été relevé dans le Document Unique, la faute inexcusable de l'employeur sera de fait établie et sa responsabilité pénale aggravée

L’inventaire des risques identifiés Cet inventaire doit obligatoirement figurer dans le document unique Il comprend l’identification des dangers et l‘analyse des risques, résultant de l’étude des conditions d’exposition des salariés à ces dangers Le découpage en unités de travail est créé en fonction des caractéristiques de l’entreprise ou de l’activité (ex : par établissement, par atelier, par secteur d’activité) Le recensement des risques se fait sur place et pour chaque situation de travail (ex : fonctionnement normal, réglage, dépannage, maintenance exceptionnelle)

Exemples de classification des risques Produits et/ou matière (toxicité, pollution, incendie), Environnement de travail (bruit, travail sur écran, travail en hauteur), Machines et équipements (coupures, projections, brûlures), Manutention manuelle (efforts inadaptés, chute de la charge), Manutention mécanique (rupture des accessoires, incident mécanique), Levage (inadaptation de l’implantation de la grue, conditions climatiques), Tâches, organisation (rythme de travail, manque de formation, complexité), Circulation (manque de signalisation, circulation de piétons), Homme (tenue inadaptée, charge physique)

De nouvelles normes comptables : les IFRS Les scandales comptables de 2002-2003 (US et Europe) ont altéré la crédibilité de l’information financière Le passage aux IAS / IFRS (International Financial Reporting Standard) va permettre de passer à un standard supérieur de qualité d’information en et hors d’Europe Quels sont les avantages des normes IFRS ? Normaliser la présentation des comptes au niveau international, pour faciliter leur lecture par tout investisseur sur une place financière quelle qu’elle soit Introduire des références normalisées dans l’élaboration des comptes qui soient respectueuses des exigences économiques et non plus patrimoniales Favoriser les pratiques de gouvernance d’entreprise

Une révolution dans la façon de penser avec le principe de la « juste valeur » Les nouvelles normes consacrent la préférence du principe de « valeur de marché » (fair value ) à celui de « prudence » D’où une évaluation à la valeur du marché de certains actifs et une comptabilisation des gains et des pertes latentes Une vraie révolution comptable, car au lieu de comptabiliser un actif à un coût historique, ce sont les recettes générées par cet actif que l’on va chercher à mesurer : actualisation des flux de recettes Les capitaux propres ne seront plus un montant fixe mais un différentiel entre actif et passif Actifs évalués aux coûts historiques Hier Ce que l’actif a coûté Actifs évalués à la juste valeur 2005 Ce que l’actif va rapporter ou entraîner comme pertes… Dépréciation à la valeur de marché

L’impact IFRS : la norme IAS 36 coûte à Eurotunnel la moitié de ses fonds propres ! L’application de la norme IAS 36 (dépréciation d’actifs) a contraint Eurotunnel à une dépréciation exceptionnelle de 1,85 milliards d’euros au 31 12 2003 ! Soit la différence entre la valeur nette comptable des immobilisations et la valeur d’utilité des actifs L’imputation sur les fonds propres s’élève à 1,6 milliards d’euros ! Cela traduit la réduction des flux futurs d’exploitation établie à la lumière des résultats de 2003 (calculée au terme de la concession de 2086) et de leurs conséquences négatives sur la capacité d’endettement du Groupe ainsi que la hausse des taux de marché

Les dispositions de la Directive européenne sur la transparence La directive imposerait à tous les émetteurs de valeurs mobilières de divulguer périodiquement au public : un rapport financier annuel ayant fait l'objet d'un contrôle légal (états financiers établis conformément aux normes comptables internationales) et un rapport de gestion, dans les trois mois suivant la clôture de chaque exercice; un rapport financier semestriel condensé, établi conformément à la norme IAS 34 («information financière intermédiaire»), assorti d'une actualisation du dernier rapport annuel de gestion. En outre, les émetteurs d'actions seraient tenus de publier un rapport financier trimestriel plus succinct aux premier et troisième trimestres de chaque exercice contenant leur chiffre d'affaires net et leur résultat avant ou après impôt ainsi que, si les émetteurs le souhaitent, de brèves indications tendancielles concernant leur développement sur le reste de l'exercice

Directive sur Abus de marché et projet de directive sur l’audit

SOX et L.S.F. instaure un reporting financier et un contrôle très réglementés Le contrôle au sein de SOX est centré sur la qualité du reporting financier, ce qui n’exclut nullement les conséquences des risques identifiés ou non La faculté de « dénonciation » par un collaborateur ou un tiers caractérise SOX à la différence de LSF qui ignore cette démarche L.S.F. présente une absence de précision du texte de loi quant au contenu des informations à produire, ce qui indirectement ouvre un champ relativement large au contrôle Conséquences : ces deux textes conduisent à la mise en œuvre d’une véritable politique de maîtrise des risques, les plus divers et qui sont susceptibles d’affecter la valeur de l’entreprise

Les grandes lignes de SOX et de SEFI                                                                                          Les grandes lignes de SOX et de SEFI “Americans will always do the right thing….. after they have exhausted all other options” Sir Winston Churchill

SOX : l’architecture générale Public Company Accounting Oversight Board Auditor Independence Corporate Responsibility Enhanced Financial Disclosures Analyst Conflicts of Interest Commission Resources and Authority Studies and Reports Corporate and Criminal Fraud Accountability White Collar Crime Penalty Corporate Tax Returns Corporate Fraud and Accountability Exactitude de l’information Accessibilité de l’information Responsabilité des gestionnaires Indépendance des auditeurs

Le champ d’application de SOX Toutes les entreprises cotées sur les marchés financiers des Etats-Unis Les entreprises opérant dans d’autres juridictions peuvent être confrontées aux mêmes contraintes réglementaires (exemple du bill 198 dans l’Ontario, similaire à certaines sections de SOX) Le calendrier de respect de SOX et les contraintes réglementaires évoluent au fur et à mesure du temps Sox est de nature extra-territoriale A l’heure actuelle, elle concernerait environ 350 sociétés cotées en Europe Les entreprises non cotées doivent satisfaire aux contraintes de SOX avant toute émission de titres sur le marché financier ou la cession significative d’actions à une entreprise cotée Allongement du processus de due diligence en cas de cession de société cotée

Le Sarbanes-Oxley act de 2002 en bref Documents de travail (article 802) : la destruction des documents de travail entraîne l’application d’amendes très lourdes Gouvernement d’entreprise et responsabilité (article 301 à 306, 402 à 407, 901 à 911 et 1101 à 1107) Création d’un comité d’audit composés de membres indépendant de part leur rémunération et en relation direct avec les auditeurs L’entreprise doit s’assurer que les managers sont aptes à tenir leur poste Les directeurs généraux et les directeurs administratifs et financiers doivent signer les états financiers et restent responsables du contrôle interne (rapport à émettre) En cas de modifications importantes des états financiers, les directeurs généraux et les directeurs administratifs devront s’acquitter d’une indemnité importante Interdiction formelle d’octroyer des prêts aux dirigeants. Lourdes amendes prévues en cas de fraude, documents détruits, usage de faux

SOX et impact décisionnel

Les avantages recherchés de SOX vu du côté outre-atlantique Augmentation de la confiance dans le reporting des résultats par les CEO/CFO Amélioration de la coordination des équipes de gestion de l’entreprise Amélioration et clarification du système de gouvernement d’entreprise Efficacité des procédures et process pour détecter rapidement les risques d’activités, les dysfonctionnements de management Démarche systématique de mise en conformité (i.e., transactions, gestion du personnel, principes comptables, contrôle interne, procédures opérationnelles) Augmentation de l’efficacité opérationnelle

Quelques “premiers résultats” de Sarbanes-Oxley Act

Les objectifs de la loi N°2003-706 du 1er août 2003 L’instauration en France de nouvelles dispositions en matière de reporting : L.S.F. Les objectifs de la loi N°2003-706 du 1er août 2003 Permettre au système financier de fonctionner dans la confiance et dans la transparence Répondre à l’évolution permanente des techniques financières Répondre aux inquiétudes des marchés : Mettre en place des autorités de régulation fortes Protéger les épargnants Garantir la sincérité des comptes Garantir la transparence du fonctionnement des entreprises De façon plus concrète, la loi vise notamment, dans le cadre de l’assainissement des pratiques de gouvernance, à renforcer le contrôle interne : Le président du CA doit rendre compte, dans son rapport annuel, des procédures de contrôle interne mises en place par la société

Le champ d’application de la L.S.F. Sociétés concernées : Initialement toutes les sociétés anonymes (cotées et non cotées), mais la loi pour la confiance et la modernisation de l’économie a restreint aux seules sociétés cotées C’est le président du Conseil d’administration ou de surveillance qui est chargé du rapport, lequel relève donc de sa responsabilité personnelle Les articles L.225-37 et L.225-68 disposent que le président « rend compte » des procédures de contrôle mises en place par la société Dans le cas d’établissement de comptes consolidés, le rapport porte également sur les procédures de contrôle interne des filiales, placées sous le contrôle de la société mère En outre, chaque filiale ayant la forme anonyme et son siège en France devra établir un rapport

Les obligations en matière de contrôle et de reporting                                                                                          Les obligations en matière de contrôle et de reporting SOX : An act to protect investors by improving the accuracy and reliability of corporate disclosures…

L.S.F. : l’architecture du rapport du Président Objectifs de la société en matière de procédures de contrôle interne Description synthétique des procédures de contrôle mises en place : Organisation générale des procédures de contrôle interne Présentation des informations synthétiques sur les procédures de contrôle interne mises en place par la société (doit être focalisé sur les éléments significatifs susceptibles d’avoir un impact sur le patrimoine ou sur les résultats de la société)

L.S.F. : le contenu du rapport du Président sur le contrôle interne Le président rend compte notamment de l’efficience des procédures de contrôle interne mises en place il indique dans quelle mesure ces procédures ont permis d’atteindre les objectifs fixés au contrôle interne Il mentionne le cas échéant les mesures prises afin de pouvoir atteindre ces objectifs et de pallier les éventuelles faiblesses de conception ou de fonctionnement susceptibles d’avoir une incidence sur l’information sur la situation financière et les comptes Ce rapport doit être joint au rapport de gestion du conseil d’administration ou du conseil de surveillance et par conséquent, il doit suivre le même régime de publicité que ce dernier soit : Envoi aux actionnaires sur leur demande ou mise à leur disposition quinze jour avant l’assemblée générale ordinaire, Présentation à l’assemblée générale annuelle, Dépôt au greffe du tribunal de commerce dans le mois qui suit l’assemblée ordinaire annuelle

Réponse ministérielle du 29 07 2004 sur l’article L. 225-37 et L Réponse ministérielle du 29 07 2004 sur l’article L.225-37 et L.225-68 du code de commerce Selon la réponse ministérielle (publiée au Journal officiel du 29 juillet 2004) lorsque « Le président (…) rend compte des procédures de contrôle interne mises en place par la société », il doit « à ce titre, relater ces procédures, en cohérence avec les autres éléments inclus dans le rapport de gestion, en fournissant des indications factuelles et synthétiques sur leurs caractéristiques, sans être tenu de les évaluer ni d’apprécier l’adéquation ou l’efficacité du contrôle interne. » Ce rapport «vise également à fournir au commissaire aux comptes une base de travail supplémentaire, pour l’évaluation du contrôle interne qu’il effectue dans le cadre de sa mission permanente et qui peut le conduire, le cas échéant, à faire état aux organes sociaux des déficiences ou faiblesse majeures qu’il aurait relevées dans le contrôle interne. »

L’analyse de KPMG sur l’application de L. S. F L’analyse de KPMG sur l’application de L.S.F. pour la première année 2003 Des rapports homogènes dans leur structure, mais pas dans leur contenu Pour la première année d'application, le plan des rapports analysés présente une certaine homogénéité En effet, deux tiers des sociétés suivent la structure de rapport proposée par les syndicats patronaux (AFEP et MEDEF) Néanmoins, la taille des rapports reste très variable avec une amplitude allant de 3 à 25 pages Sur les 52 sociétés étudiées, seules 2 d'entre elles, assujetties à la loi Sarbanes-Oxley, ont conclu à l'efficacité de leur contrôle interne Les autres sociétés de l’échantillon ont procédé à une description, et non à une évaluation, de certains aspects de leur organisation

Enquête KPMG : une approche perfectible dans la gestion des responsabilités Bien que le rapport soit rédigé sous la responsabilité personnelle du président, il apparaît que ce dernier communique peu sur la manière dont il gère ses responsabilités, sur la mise en place de délégations de pouvoir et sur les éventuelles limitations aux pouvoirs du directeur général Les présidents mettent l'accent sur le bon gouvernement de leur entreprise en évoquant, dans 71 % des rapports, le fonctionnement des conseils (nombre de séances, rôles des administrateurs...) et dans 77 % des cas l'existence de comités spécialisés Néanmoins, seulement 54 % des sociétés précisent la composition du conseil permettant d'apprécier l'indépendance des administrateurs

SOX: les points qui nous intéressent Executives: Responsibility for financial reporting and keeping the markets informed Certifications: - 302 “Disclosure controles & procedures” - 404 “Internal controls for financial reporting” - 906 “CEO/CFO’s written statement on fairness” Implement Code of Ethics and whistleblower procedure Supervisory Board: Enhanced oversight Appointment of a “financial expert” Auditors: Independence Attestation on internal controls

Le lien entre l’article 404 et 302 de SOX à travers les états financiers Internal Controls and Procedures for Financial Reporting Disclosure Controls and Procedures Notes Cash Flow Income Statement Balance Sheet Financial Statements Financial Statements Business Properties Legal Proceedings Section 302 Section 404

Précisions nécessaires en matière de terminologie versus SOX Definition of “internal control over financial reporting”: Encompasses subset of internal controls addressed in the COSO Report that pertains to financial reporting objectives Including controls over safeguarding assets Disclosure controls and procedures need to ensure that information required to be disclosed by the issuer is recorded, processed, summarized and reported and is accumulated and communicated within the time periods specified in the Commission’s rules and forms Internal control is the process, effected by an entity’s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in three categories: Effectiveness and efficiency of operations Reliability of financial reporting Compliance with laws and regulations

Disclosure Requirements SOX: Scope of 302 and 404 Disclosure Requirements Source Deloitte Internal Controls Over Financial Reporting Internal Accounting Controls Financial Reporting Compliance & Regulatory Operations Disclosure Controls and Procedures Other aspects of Compliance and Operations relate to DC&P

Les caractéristiques du contrôle versus SOX Une documentation adaptée aux exigences : Mise en conformité avec l’article SOX 404 et preuve de cette conformité Identification à temps des faiblesses du contrôle Définition d’actions prioritaires pour remédier à ces faiblesses et suivi de ces actions Constitution d’une base d’informations pour faciliter le travail des auditeurs Appui technologique possible (I.T.) : Exhaustivité, cohérence et qualité de la documentation sur le pilotage Identification des manques de transparences et zones de progrès Amélioration de la documentation sur le pilotage Liens avec les autres risques et démarche de prévention Audit du contrôle Conduite facilitée du projet

La « Section 302 » CEO/CFO Must Certify Quarterly and Annually that: SEC report being filed has been reviewed Report does not contain any untrue statements or omit any material facts necessary to make the statements made not misleading Financial statements fairly present, in all material respects, the financial position, results of operations and cash flows He/she is responsible for and has designed, established, and maintained Disclosure Controls & Procedures (“DC&P”), as well as evaluated and reported on the effectiveness of those controls and procedures within 90 days of the report filing date Deficiencies and material weaknesses in internal control have been disclosed to Audit Committee and auditors, as well as any fraud (material or not) involving anyone with a significant role in internal control Significant changes in internal control affecting controls for periods beyond review have been reported in the certification, including any corrective actions with regard to significant deficiencies and material weaknesses

La “Section 404” Assessment Management’s assessment must be based on procedures sufficient both to evaluate design and test operating effectiveness Management must maintain evidential matter, including documentation, to provide reasonable support for the assessment (both design and testing) of effectiveness Any material weakness in internal control over financial reporting precludes management from reporting that internal control is effective Reiteration of guidance regarding independence: Auditors may assist management in documenting internal controls. Management must be actively involved in the process; cannot delegate assessment responsibility to the auditor KEY POINT: Management’s documentation is key and is required to be maintained as evidential matter to support its assessment. Prior to the final issuance of this Rule, many companies were wavering on the necessity of their documentation of their internal controls; however, the final rule makes it clear that both their internal controls and their assessment of the design and operating effectiveness must be maintained. Management must also report any material weaknesses they identify and such weaknesses will preclude them from reporting that internal control is effective.

Les principales actions à engager Actions to 302: Enhance DC&P assessment and turn into consistent and continuous process Ensure coverage of entire organization (incl. all material subsidiaries) Embedding into regular review and monitoring processes Actions to 404: Document of processes & internal controls (process/activity, risk, control, responsibility) Management’s evaluation of effectiveness (audits and self assessments) Attestation by external auditor Attestation by the auditor on management’s report on internal control requires (404 & 103): Management accepts responsibility and assess internal controls Controls are suitable designed and appropriately documented

La gestion des risques : une approche non totalement aboutie Enquête KPMG sur l’application de L.S.F. Dans l'ensemble, les sociétés ont précisé les risques majeurs auxquels elles sont exposées, répondant ainsi à la recommandation déjà existante de l'AMF de mentionner les principaux risques dans le document de référence Cependant, les modalités de gestion des risques ne sont pas décrites de façon systématique et ce, malgré un cadre juridique déjà existant dans les domaines sociaux et environnementaux Seules 19 % des sociétés sélectionnées ont mentionné l'existence d'une cartographie des risques

Les risques sont souvent gérés de façon cloisonnée du fait d’une organisation en “silos” Credit Risk Market A/LM Operational Who How Chief Credit Officer Treasurer Asset/Liability Manager CFO Business Managers Internal Audit Corporate Actuarial Exposure Limits Portfolio Measurement Securitization/ Derivatives Trading and A/LM Limits Value at Risk Management Financial Derivatives Controls Audit Review Insurance Investment Limits Portfolio Return Growth Limits Il faut donc favoriser la transversalité dans le traitement du contrôle

La définition du contrôle interne « Ensemble des politiques et procédures mises en œuvre par la direction d’une entité en vue d’assurer, dans la mesure du possible, la gestion rigoureuse et efficace de ses activités. » International Federation of Accountants (IFAC) « Le contrôle interne est l’ensemble des sécurités contribuant à la maîtrise de l’entreprise. Il a pour but, d’un côté, d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information, de l’autre, l’application des instructions de la direction et de favoriser l’amélioration des performances. Il se manifeste par l’organisation, les méthodes et procédures dans chacune des activités de l ’entreprise pour maintenir l’organisation de celle-ci. » Ordre des experts-comptables, congrès 1997

Vers un référentiel de "préférence" : le COSO Enquête KPMG sur l’application de la loi L.S.F. En l'absence de référentiel légal en matière de contrôle interne, la majorité des entreprises se réfère de manière ponctuelle aux objectifs et à la terminologie utilisée par le COSO, même si seulement une entreprise sur cinq déclare avoir choisi le COSO comme référentiel de contrôle interne Seulement 53 % des entreprises étudiées font état de plans de progrès permettant, à terme, d'apprécier l'efficacité des procédures de contrôle interne En revanche, 72 % des sociétés visées par la loi Sarbanes-Oxley mentionnent la démarche entreprise pour atteindre une évaluation des procédures de contrôle interne

Qu’est-ce que le référentiel COSO ? Le référentiel COSO a donné naissance à un Cube dont les 3 faces visibles représentent les 3 objectifs, les 5 composants et les processus de l'entreprise Ce Cube se découpe en 3 x 5 x p cubes élémentaires (p=nombre de processus de l'entreprise) qui donnent la base des évaluations à réaliser : « Evaluer dans toute entité et pour tout processus la façon dont chacun des 5 composants du Contrôle Interne participe à chacun des 3 objectifs » Le COSO (Committee Of Sponsoring Organizations) regroupe aux USA les associations et instituts dans les domaines de la Comptabilité et de l'Audit Interne qui ont sponsorisés les travaux de cette Commission et qui sur la base de ses recommandations ont rédigé le « COSO Framework » ou référentiel COSO publié en 1992

Information and Communication La nomenclature COSO Monitoring Assessment of a control system’s performance over time. Combination of ongoing and separate evaluation. Management and supervisory activities. Internal audit activities. Control Activities Policies/procedures that ensure management directives are carried out. Range of activities including approvals, authorizations, verifications, recommendations, performance reviews, asset security and segregation of duties. Information and Communication Pertinent information identified, captured and communicated in a timely manner. Access to internal and externally generated information. Flow of information that allows for successful control actions from instructions on responsibilities to summary of findings for management action. Control Environment Sets tone of organization-influencing control consciousness of its people. Factors include integrity, ethical values, competence, authority, responsibility. Foundation for all other components of control. Risk Assessment Risk assessment is the identification and analysis of relevant risks to achieving the entity’s objectives-forming the basis for determining control activities.

Outils de pilotage COSO et COBIT « Modèle de contrôle informatique » Security Code of Conduct (DTI UK), IT Control Guidelines (CICA Canada), Security Handbook (NIST USA) « Modèle de contrôle d’entreprise » COSO USA COBIT Control Objectives for Information and related Technology

La définition du contrôle dans le cadre du référentiel COSO Le contrôle interne est un processus mis en œuvre par la direction générale, le management et le personnel et conçu pour fournir une assurance raisonnable quant à l'accomplissement des objectifs : optimisation des opérations fiabilité des informations financières conformité aux lois et aux réglementations en vigueur L’optimisation des opérations comprend l’amélioration des performances et la protection des ressources / actifs Les activités pour y répondre : Activités de gouvernance Activités opérationnelles Activités de support

Les objectifs du dispositif de contrôle interne

Le périmètre du contrôle interne Les opérations contrôlées : Les processus opérationnels : achats, ventes…. Les processus comptables : trésorerie, achats, ventes… Les opérations financières : La préparation et le suivi budgétaire Les investissements Les processus liés aux opérations d’information de gestion (contrôle de gestion, comptabilité analytique…..) Les opérations juridiques : La préparation et le suivi des contrats Les contrats de travail Autres opérations : La gestion du courrier La gestion du système informatique

L’évaluation du dispositif de contrôle interne Il est nécessaire d’établir un diagnostic général sur le niveau de risque L’étude doit porter sur : l’organisation les acteurs les missions, les opérations effectuées les procédures conception fonctionnement le système d’information : en terme de contrôle des processus (traçabilité), de remontées d’informations fiables (intégrité, origine de l’information), d’organisation et de délégation des pouvoirs (contrôle d’accès)

La mise en œuvre du contrôle : les opérations à effectuer Identification des comptes majeures et processus critiques dans le reporting financier Identification et évaluation par processus de la criticité des risques (impact, probabilité et déductibilité) en regard des objectifs visés Spécification des actions de contrôle et des outils d'évaluation à partir d'une nomenclature standard Auto-évaluations du système de contrôle interne par les directeurs concernés Recueil de l'avis des auditeurs externes Définition et suivi des plans d'action Génération des lettres de certification de comptes pour les signataires concernés Consultations multi-critères permettant de générer tout type de diagrammes et d'annexes en vue de la rédaction du Rapport sur le Contrôle interne prévus par la Loi

Les limites du contrôle interne Le contrôle interne n’est pas une panacée : il ne permet pas de prétendre avoir éliminé tous les risques afférents à une organisation C’est un dispositif dynamique, en adéquation avec l’environnement Ce n’est pas une simple fonction mais une méthode, un état d’esprit visant à améliorer la gestion des activités Ce n’est pas une inspection générale à caractère répressif Il s’agit d’impliquer chaque acteur, de lui démontrer l’utilité des procédures en l’intégrant dans le cadre des contrôles Diplomatie (expliquer pour rassurer) Pédagogie (annoncer les objectifs et méthodes) Motivation des acteurs

Le Contrôle Interne : 5 objectifs La protection et la sauvegarde des personnes et du patrimoine (sécurité des agents, protection juridique des élus, sauvegarde des biens matériels de la collectivité…) La qualité de l'information (fiabilité et traçabilité des informations reçues et des informations produites, visas et documents) L'application des instructions de la direction (chaque élément doit faire l'objet de notes écrites, transmises à des destinataires précis et identifiés dont le visa de réception doit être formalisé) L'amélioration des performances (à cet égard sera mis en œuvre un certain nombre d'indicateurs de gestion permettant de s'assurer que les décisions et les procédures mises en œuvre soient respectées et les conséquences transmises au management concerné) L'obligation de se conformer aux lois et règlements en vigueur (il sera important de mettre en œuvre une veille juridique afin que toute modification significative soit transmise aux acteurs concernés dans les meilleurs délais pour prendre en compte les modifications)

Identifier et cartographier les processus Etablir une typologie

Le recensement de 34 processus critiques dans un groupe de la grande distribution Planning & Organisation AI1 Define a strategic IT Plan AI2 Define the Information Architecture AI3 Determine Technological Direction AI4 Define the IT Organisation & Relationships AI5 Manage the IT investment AI6 Communicate Management Aims & Direction AI7 Manage Human Resources AI8 Ensure compliance with External Requirements AI9 Assess risks AI10 Manage Projects AI11 Manage Quality Delivery & Support AI1 Define & Manage Service Levels AI2 Manage 3rd party services AI3 Manage Performance & Capacity AI4 Ensure Continuous Service AI5 Ensure Systems Security AI6 Identify & Allocate Costs AI7 Educate & Train users AI8 Assist & Advise Customers AI9 Manage the configuration AI10 Manage Problems & Incidents AI11 Manage Data AI12 Manage Facilities AI13 Manage Operations Acquisition & Implementation AI1 Identify Automated Solutions AI2 Acquire & Maintain Application Software AI3 Acquire & Maintain Techn. Infrastructure AI4 Develop & Maintain Procedures AI5 Install & Accredit Systems AI6 Manage Changes Monitoring M1 Monitor the Processes M2 Assess Internal Control Adequacy M3 Obtain Independent Assurance M4 Provide for Independent Audit Par comparaison, IBM en recense 54 : 3000 points de contrôle, dont 312 pour la France, avec une fréquence mensuelle de 60 %

SOX: Meeting SEC Expectations Compliance with COSO control standards (or other accepted standards; IT Governance Institute recently recommended CobiT for general IT controls assessment) Clear documentation of internal controls as well as the testing processes Evidence that management have evaluated the adequacy of the design and the effectiveness of operation of the procedures and controls Evidence that the auditor has adequately evaluated the design and operation of financial controls Evidence that the audit committee and/or disclosure committee have taken a keen interesting the effectiveness of controls

Une évolution nécessaire des outils de pilotage pour réduire la prime de risque

L'audit interne : fonction primordiale dans la maîtrise du contrôle interne Enquête KPMG sur l’application de L.S.F. L'audit interne est, pour la grande majorité des présidents (94%), au cœur de la maîtrise du contrôle interne Cependant, cette fonction est rarement identifiée comme un outil de pilotage D'une façon générale, le pilotage du contrôle interne est peu évoqué par les sociétés de l’échantillon

Les départements internes impactés par SOX Finance 100% IT 95.7% Sales 43.5% Human Resources 39.1% Customer Service 30.4% Marketing 17.4% Other 8.7% Source: The Robert Francis Group

L’interaction entre les risques implique la mise en place d’un système ERM Business Risk Operational Risk Financial Risk IT and business process outsourcing Derivatives documentation and counterparty risk FX risk in a new foreign market Enterprise-Wide Risks Financial Risks Market Risk Liquidity Risk Credit Risk Credit Risk Associated with Investments Credit Risk Associated with Borrowers and Counterparties Funding Liquidity Asset Liquidity

Quatre facteurs poussent à la mise en place des E.R.M. Corporate Disasters Enron WorldCom Adelphia Mutual Funds Best Practices Banks Asset Managers Energy Firms Corporations Regulatory Actions S.E.C. Sarbanes-Oxley Basel II LS.F. Directive Transparence Enterprise Risk Management Industry Initiatives Treadway Report, US Turnbull Report, UK Dey Report, Canada

Du risk management à l’ERM

La mesure de la criticité des processus et de leur suivi induit un pilotage type ABC-ABM La méthode ABC implique dans la démarche l’ensemble de l’institution (ABM ou Activity based management ») : cela favorise un management transversal et participatif La méthode ABM met à plat les processus et permet de travailler avec les acteurs à leur optimisation, par un raisonnement transversal à l’organisation Un processus est un ensemble d’opérations ou d’activités réalisées par des acteurs avec des moyens et selon des références en vue d’une finalité Une procédure est un document qui décrit de façon formalisée les tâches à accomplir pour mettre en œuvre le processus

ABC et ABM ABC : la recherche de véritables unités d’œuvre (inducteurs) représentatifs d’une consommation objective charges indirectes réparties réduites au minimum, comptabilité analytique, coût de revient, recherche des gisements de rentabilité fondés sur le même modèle mise en évidence des écarts de coût des produits, clients en fonction de leur complexité, volume, cycle de vie ABM : les processus sont hiérarchisés en fonction de leur valeur client tableaux de bord incluant des objectifs de performance différents pour chaque processus, organisation améliorée en travaillant conjointement sur l‘accroissement de valeur pour les clients et la réduction de coûts

Visualisation ABC-ABM « COSTING » (ABC) Les ressources sont mobilisées puis consommées donc imputées Clé de répartition (« resource driver ») aux ACTIVITES qui forment des processus Imputation (unité d’œuvre) Que consomment les produits et les autres aspects de l ’offre de l ’entreprise MANAGEMENT (ABM) De quoi dépendent-elles ? Quels inducteurs d’activité (activity drivers) ? Quelles lois de coûts (cost drivers) ? Quelles performances ? Quels indicateurs ? Quels inducteurs de performance (performance drivers) ? Qu’attend-on de l’activité ? Source H. Bouquin Dauphine

Une évolution qui implique de corriger les maux habituels de l’entreprise Procédures longues et incertaines Délais et budgets incontrôlables et dépassés Négociations qui ne convergent pas Remise en question des décisions Désaveu des mandataires Ajournement des rendez-vous Absentéisme en réunion Réunions sans ordre du jour, durée limite ni compte rendu Pannes sans responsable identifié Messagerie et courrier infidèles Documentation non à jour « Certification qualité » substituant une sécurité illusoire à la vigilance et à l'esprit de responsabilité  Informatique désordonnée (ressaisies manuelles, ergonomie pénible, référentiels redondants)

Vers une culture du risque maîtrisé : les 3 ingrédients

Facteurs de motivation des ingénieurs : l’éthique de l’entreprise et sa politique environnementale au 10è rang Enquête Mai 2003 % de citations (3 principaux Facteurs)