Le dispositif de Contrôle Interne : Cadre de référence
Compte Rendu : Le dispositif de Contrôle Interne : Cadre de référence. Rechercher de 53 000+ Dissertation Gratuites et Mémoiresdescription plus difficile et peut constituer un frein si l’on souhaite parvenir à terme à une évaluation de l’adéquation et de l’efficacité des systèmes ». Dans ce cadre, l’AMF a confié, en avril 2005, à un groupe de travail « de Place »* le choix et/ou l’adaptation d’un référentiel de contrôle interne à l’usage des sociétés françaises soumises aux obligations de la loi du 1er août 2003 en précisant que « le référentiel devrait constituer un outil de gestion au service des entreprises faisant appel public à l’épargne ». Dans sa lettre de mission†, l’AMF précise que « le référentiel élaboré ou retenu devra être confronté aux référentiels utilisés dans les juridictions étrangères significatives dans le domaine boursier, en particulier le référentiel COSO, afin de permettre d’éviter dans la mesure du possible une duplication des contraintes de reporting externe en relation avec le contrôle interne ». Et le régulateur ajoute que « l’objectif est également d’anticiper les initiatives européennes figurant dans le projet de révision des 4ème et 7ème directives ». 1.2 Le contexte
Les définitions du contrôle interne sont nombreuses et ont eu le plus souvent comme auteurs des organisations professionnelles de comptables. Il en est ainsi de la définition du contrôle interne donnée en 1977 par le Conseil de l’Ordre des Experts Comptables : « le contrôle interne est l’ensemble des sécurités contribuant à la maîtrise de l’entreprise. Il a pour but d’un côté d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information, de l’autre l’application des instructions de la Direction et de favoriser l’amélioration des performances. Il se manifeste par l’organisation, les méthodes et les procédures de chacune des activités de l’entreprise, pour maintenir la pérennité de celle-ci ». En 1990, le règlement 90/08 du Comité de la Réglementation Bancaire et Financière impose aux établissements de crédit de se doter d’un système de contrôle interne et en définit les objectifs : a) « vérifier que les opérations réalisées par l’établissement ainsi que l’organisation et les procédures internes sont conformes aux dispositions législatives et réglementaires en vigueur, aux normes et usages professionnels et déontologiques et aux orientations de l’organe exécutif ;
*
Composition du Groupe de Place, cf. annexe 1 suivie en annexe 2 de la liste nominative des participants aux travaux.
†
Lettre de mission, cf. annexe 1
3
b) vérifier que les limites fixées en matière de risques, notamment de contrepartie, de change, de taux d’intérêt ainsi que d’autres risques de marché, sont strictement respectées ; c) veiller à la qualité de l’information comptable et financière, en particulier aux conditions d’enregistrement, de conservation et de disponibilité de cette information. » Le règlement 97/02 est venu par la suite préciser les éléments qui doivent composer le dispositif de contrôle interne des établissements de crédit : • a) « un système de contrôle des opérations et des procédures internes ; • b) une organisation comptable et de traitement de l’information ; • c) des systèmes de mesure des risques et des résultats ; • d) des systèmes de surveillance et de maîtrise des risques ; • e) un système de documentation et d’information ; • f) un système de surveillance des flux d’espèces et des titres ». La plupart des autres secteurs d’activité n’étant pas soumis à une telle réglementation, la majorité des sociétés françaises ont mis en place leur propre dispositif de contrôle interne sans s’appuyer sur un référentiel spécifique. Il en a été de même dans les grands pays occidentaux jusqu’au début des années 1990, époque où les Etats-Unis d’abord puis le Canada et le Royaume-Uni ont publié soit un référentiel de contrôle interne, soit de bonnes pratiques en la matière. Le référentiel le plus répandu est, sans conteste, le document américain publié en 1992 et intitulé « Internal Control – Integrated Framework‡ », plus connu sous l’appellation de COSO, acronyme de « Committee of Sponsoring Organizations of the Treadway Commission », du nom du comité qui a conçu ce référentiel. A la suite des nombreux scandales financiers qui ont secoué les entreprises américaines à la fin des années 90 et au début des années 2000, les Etats-Unis ont adopté, le 30 juillet 2002, le Sarbanes Oxley Act (SOX). L’article 404 de cette loi exige que la Direction Générale engage sa responsabilité sur l’établissement d’une structure de contrôle interne comptable et financier et qu’elle évalue, annuellement, son efficacité au regard d’un modèle de contrôle interne reconnu. Les commissaires aux comptes valident cette évaluation. Pour la mise en œuvre de cette section 404, la Securities and Exchange Commission (SEC) et le Public Company Accounting Oversight Board (PCAOB) ont fortement recommandé aux entreprises américaines et étrangères cotées à New York d’adopter le COSO comme référentiel de contrôle interne, ce qui a été le cas pour la trentaine de groupes français concernés par cette loi. Un an plus tard, le 1er août 2003, était promulguée en France la Loi de Sécurité Financière (LSF) qui, selon les autorités françaises, était « une réponse, à la fois politique et technique, à la crise de confiance dans les mécanismes du marché et aux insuffisances de régulation dont le monde économique et financier a pris connaissance depuis deux ans ». C’est au sein du chapitre II « De la transparence dans les entreprises » du titre III « Modernisation du contrôle légal des comptes et Transparence » que se situent les articles 117 et 120 présentés en introduction.
‡
Ouvrage traduit en français par l’IFACI (Institut Français de l’Audit et du Contrôles Internes) et PwC (PricewaterhouseCoopers) en 1994 sous le titre « La pratique du contrôle interne- COSO Report »- copyright en français IFACI.
4
Ces deux articles permettent d’opérer une distinction entre le contrôle interne d’une société en général et le contrôle interne relatif à l’élaboration et au traitement de l’information comptable et financière. La LSF se distingue dès lors du SOX qui s’intéresse au seul contrôle interne comptable et financier. Appliquée à son origine à l’ensemble des sociétés anonymes, l’obligation pour le Président du Conseil d’Administration ou de Surveillance d’établir un rapport a été limitée, en juillet 2005, par la Loi pour la Confiance et la Modernisation de l’Economie (Loi Breton) aux seules sociétés anonymes faisant appel public à l’épargne. Les débats qui ont précédé ou accompagné la promulgation de la LSF ont contribué à éclairer le concept de contrôle interne. Les pratiques des entreprises en la matière telles qu’observées depuis trois ans, témoignent cependant d’une grande diversité. Cette situation justifiait donc la décision de l’AMF de rechercher une transcription pratique du concept sous la forme d’un cadre de référence. 1.3 L’approche
Le Groupe de Place a privilégié une approche pragmatique, s’efforçant de concilier : • les « bonnes pratiques » observées à l’étranger, • la réglementation française, • les recommandations des rapports sur la Gouvernance d’entreprise, et • les évolutions des 4ème, 7ème et 8ème directives européennes Les éléments essentiels des deux principaux référentiels ont été ainsi examinés par le Groupe à savoir le COSO américain et le «Turnbull guidance§ » britannique. Du COSO, le groupe s’est inspiré des cinq composantes même si l’on ne retrouve pas à l’identique, dans le document de place, la terminologie utilisée par le référentiel américain. Rappelons-en les grands traits : • environnement de contrôle : l’environnement dans lequel les personnes accomplissent leurs tâches et assument leurs responsabilités ainsi que les qualités individuelles des collaborateurs et surtout leur intégrité, leur éthique et leur compétence, constituent le socle de toute organisation ; • évaluation des risques : l’entreprise doit être consciente des risques et les maîtriser. Elle doit fixer des objectifs et les intégrer aux activités commerciales, financières, de production, de marketing et autres, afin de fonctionner de façon harmonieuse. Elle doit également instaurer des mécanismes permettant d’identifier, analyser et gérer les risques correspondants; • activités de contrôle : les normes et procédures de contrôle doivent être élaborées et appliquées pour s’assurer que sont exécutées efficacement les mesures identifiées par le management comme nécessaires à la réduction des risques liés à la réalisation des objectifs ; • information et communication : les systèmes d’information et de communication permettent au personnel de recueillir et échanger les informations nécessaires à la conduite, à la gestion et au contrôle des opérations ; • pilotage : l’ensemble du processus doit faire l’objet d’un suivi, et des modifications doivent y être apportées le cas échéant. Ainsi, le système peut-il réagir rapidement en fonction du contexte.
Guide développé par l’ICAEW (l’Institut des Experts Comptables d’Angleterre et du Pays de Galle) et
...