amrae référentiel coso 2013 sur le contrôle...
TRANSCRIPT
Sommaire
Préambule………………………………………………………………………………………………………… 2
Introduction sur la mise à jour du référentiel COSO..…………………………………………… 4
Une opportunité pour porter un regard « neuf » sur les dispositifs de contrôle interne ………………………………………………………………… 10
PwC 1
Préambule Articulation entre ERM et CI selon COSO
• Le contrôle interne est un des dispositifs mis en place par l’entreprise pour maîtriser les risques de l’entreprise.
• Le contrôle interne traite les risques en lien avec le fonctionnement de l’entreprise et l’exécution des processus / activités :
– Réalisation et optimisation des opérations,
– Fiabilité des informations financières,
– Conformités aux lois et réglementations en vigueur.
• Le risk management traite l’ensemble des risques de l’entreprise en lien avec l’atteinte des objectifs de l’entreprise :
– Y compris les risques de fonctionnement et d’exécution des processus,
– Incluant les risques stratégiques et les opportunités.
• Le COSO ERM développe aussi des concepts spécifique au management des risques tels que l’appétence aux risques et la tolérance.
PwC 2
Préambule Pourquoi s’interesser au référentiel COSO CI ?
Certains des constats des entreprises sur leur dispositif de contrôle interne sont aussi applicables aux dispositifs ERM
“Processus “administratif” sans grande valeur ajoutée pour le management”
“Système figé”
PwC 3
“Beaucoup de systèmes redondants”
Guide d’application
Approches et exemples
pour le reporting financier
Référentiel COSO1 sur le contrôle interne Mise à jour
COSO a publié le 14 mai 2013 la mise à jour du référentiel de sur le contrôle interne dit COSO I.
La version française sera disponible au 1er trimestre 2014
PwC a été mandaté par le Conseil d’Administration du COSO pour coordonner la mise à jour du référentiel et rédiger la nouvelle version.
PwC et l’IFACI assurent conjointement la traduction en langue française du référentiel.
1Committee of Sponsoring Organizations of the Treadway Commission. The
COSO is a joint initiative of five private sector organizations, established in the
United States, dedicated to providing thought leadership to executive
management and governance entities on critical aspects of organizational
governance, business ethics, internal control, enterprise risk management, fraud,
and financial reporting.
PwC
Guide d’application
Exemples d’outils
d’évaluation
Cadre de référence
“…COSO recently released its updated internal control framework, which is intended to provide more comprehensive and relevant conceptual and practical guidance by focusing on 17 principles to help management focus on important aspects of the components of internal control.”
Remarks at the 32nd Annual SEC and Financial Reporting Institute Conference Paul Beswick Chief Accountant, Office of the Chief Accountant U.S. Securities and Exchange Commission Pasadena, California May 30, 2013
5
« A more comprehensive … guidance »
Architecture des documents
5 Composantes 17 Principes 85 Points d’attention
illustratifs Approches Exemples
Environnement de contrôle
Principes 1 à 5 20 points d’attention … …
Evaluation des risques
Principe 6: Définir des objectifs appropriés
Principe 7: …
Principe 8: …
Principe 9: …
25 points d’attention dont les suivants pour le Principe 6:
• Respecte les normes comptables applicables
• Tient compte de la matérialité
• Dispose d'un reporting reflétant les activités de l'entité
Identifier les critères de qualité dans les états financiers
Définir les objectifs en matière de reporting financier
Déterminer la matérialité
Revoir et mettre à jour la compréhension des normes applicables
Prendre en compte les domaines d'activité de l'entité
Établir des liens entre les comptes, les critères de qualité et les risques
Évaluer la pertinence des objectifs fixés
Déterminer la matérialité pour les états financiers d'une société non cotée
Revoir et mettre à jour la compréhension des normes applicables
Prendre en compte l'étendue des activités d'évaluation
…
Activités de contrôle
Principes 10 à 12 16 points d’attention … …
Information et communication
Principes 13 à 15 14 points d’attention … …
Pilotage Principes 16 et 17 10 points d’attention … …
Cadre de référence
Guide d’application au domaine comptable et financier
PwC 6
« A more comprehensive … guidance »
Ce qui ne change pas... Ce qui change ou évolue...
• La définition du contrôle interne et sa structuration autour de 5 composantes
• Le besoin d’évaluer l’efficacité du contrôle interne et le cas échéant d’identifier les besoins de renforcement et d’y remédier
L’élargissement du domaine d’application au-delà du reporting financier (qualité, RSE…)
Le renforcement des attentes (rôles des comités, alignement avec le business model…) en matière de gouvernance
L’articulation explicite des 3 ‘lignes de défense’ dans l’entreprise (management, fonctions support, audit interne)
Le besoin de mettre en place un « succession planning » pour les collaborateurs clés au contrôle interne
Le rapprochement risques / performance / rémunération
La cohérence du ‘tone at the top’ avec les comportements à travers l’entreprise (‘tone in the middle’)
La meilleure utilisation des fonctionnalités des systèmes d’information pour développer des contrôles automatiques
La prise en compte des sous-traitants / autres intervenants clés
L’adaptabilité et l’adéquation du dispositif par rapport à l’évolution de l’entreprise (processus, rôles, structures, SI, CSP, périmètre d’activité…)
Le besoin de démontrer l’efficacité de la mise en œuvre des 17 principes
7 PwC
Entrée en vigueur
• Le COSO laissera à disposition les deux éditions, celle de 1992 et celle de 2013, jusqu’au 15 décembre 2014.
• A partir de cette date, l’édition de 1992 sera officiellement remplacée par sa mise à jour de 2013.
PwC
“I understand that COSO intends to supersede their 1992 Framework as of December 15, 2014, and we expect there will be questions about whether the SEC will provide management with any transition or implementation guidance to change from the existing framework to the new framework. COSO has publicly stated its belief that “users should transition their applications and related documentation to the updated Framework as soon as is feasible under their particular circumstances” and that “the key concepts and principles embedded in the original framework are fundamentally sound and broadly accepted in the marketplace, and accordingly, continued use of the 1992 framework during the transition period (May 14, 2013 to December 15, 2014) is acceptable.” COSO further explained “the COSO Board’s goal in updating the original Framework has been to reflect changes in the business and operating environments, to formalize more explicitly the principles embedded in the original framework that facilitate development of effective internal control and assessment of its effectiveness, and to increase the ease of use when applied to an entity objective.” SEC staff plans to monitor the transition for issuers using the 1992 framework to evaluate whether and if any staff or Commission actions become necessary or appropriate at some point in the future. However, at this time, I’ll simply refer users of the COSO framework to the statements COSO has made about their new framework and their thoughts about transition. “ Remarks at the 32nd Annual SEC and Financial Reporting Institute Conference Paul Beswick Chief Accountant, Office of the Chief Accountant U.S. Securities and Exchange Commission Pasadena, California May 30, 2013
8
« Focusing on the 17 principles … help management focus on important aspects of the components of IC »
Environnement de contrôle
L'organisation manifeste son engagement en faveur de l'intégrité et
de valeurs éthiques.
Le Conseil fait preuve d'indépendance vis-à-vis du management. Il
surveille la mise en place et le bon fonctionnement du dispositif de
contrôle interne.
Le management, agissant sous la surveillance du Conseil, définit les
structures, les rattachements, ainsi que les pouvoirs et les
responsabilités appropriés pour atteindre les objectifs.
L'organisation manifeste son engagement à attirer, former et fidéliser
des collaborateurs compétents conformément aux objectifs.
Afin d’atteindre ses objectifs, l’organisation instaure pour chacun un
devoir de rendre compte de ses responsabilités en matière de
contrôle interne.
Evaluation des risques
L'organisation définit des objectifs de façon suffisamment claire pour
rendre possible l'identification et l'évaluation des risques susceptibles
d’affecter leur réalisation.
L'organisation identifie les risques associés à la réalisation de ses
objectifs dans l'ensemble de son périmètre et procède à leur analyse
de façon à déterminer comment ils doivent être gérés.
L'organisation intègre le risque de fraude dans son évaluation des
risques susceptibles de compromettre la réalisation des objectifs.
L'organisation identifie et évalue les changements qui pourraient avoir
un impact significatif sur le système de contrôle interne.
Activités de contrôle
L'organisation sélectionne et développe les activités de contrôle qui
contribuent à ramener à des niveaux acceptables les risques
associés à la réalisation des objectifs.
L'organisation sélectionne et développe des contrôles généraux
informatiques pour faciliter la réalisation des objectifs.
L'organisation met en place les activités de contrôle par le biais de
règles qui précisent les objectifs poursuivis, et de procédures qui
mettent en œuvre ces règles.
Information & communication
L'organisation obtient ou génère, et utilise, des informations
pertinentes et fiables pour faciliter le fonctionnement des autres
composantes du contrôle interne.
L'organisation communique en interne les informations nécessaires
au bon fonctionnement des autres composantes du contrôle interne,
notamment en matière d'objectifs et de responsabilités associés au
contrôle interne.
L'organisation communique avec les tiers sur les points qui affectent
le fonctionnement des autres composantes du contrôle interne.
Activités de pilotage
L'organisation sélectionne, développe et réalise des évaluations
continues et/ou ponctuelles afin de vérifier si les composantes du
contrôle interne sont mise en place et fonctionnent.
L'organisation évalue et communique les faiblesses de contrôle
interne en temps voulu aux parties chargées de prendre des mesures
correctives, notamment à la direction générale et au Conseil, selon le
cas.
Remarks at the 32nd Annual SEC and Financial Reporting Institute Conference Paul Beswick, Chief Accountant, Office of the Chief Accountant U.S. Securities and Exchange Commission Pasadena, California, May 30, 2013
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
PwC 11
Quelques illustrations pratiques
Environnement de contrôle
L'organisation manifeste son engagement en faveur de l'intégrité et de valeurs éthiques.
Afin d’atteindre ses objectifs, l’organisation instaure pour chacun un devoir de rendre compte de
ses responsabilités en matière de contrôle interne.
Evaluation des risques
L'organisation identifie les risques associés à la réalisation de ses objectifs dans l'ensemble de son
périmètre et procède à leur analyse de façon à déterminer comment ils doivent être gérés.
L'organisation intègre le risque de fraude dans son évaluation des risques susceptibles de
compromettre la réalisation des objectifs.
L'organisation identifie et évalue les changements qui pourraient avoir un impact significatif sur le
système de contrôle interne.
Activités de contrôle
L'organisation sélectionne et développe les activités de contrôle qui contribuent à ramener à des
niveaux acceptables les risques associés à la réalisation des objectifs.
Information & communication
L'organisation obtient ou génère, et utilise, des informations pertinentes et fiables pour faciliter le
fonctionnement des autres composantes du contrôle interne.
Activités de pilotage
L'organisation évalue et communique les faiblesses de contrôle interne en temps voulu aux parties
chargées de prendre des mesures correctives, notamment à la direction générale et au Conseil,
selon le cas.
1
5
7
8
9
10
13
17
Zoom 1. Comment s’assurer de la complétude de l’évaluation des risques? Prendre en compte les risques émergents et les risques de fraude
Zoom 2. Comment s’assurer de la bonne remontée d’information / d’alertes? Trois lignes de défense / maîtrise
Zoom 3. Comment responsabiliser chacun pour le bon fonctionnement du contrôle interne? Une problématique liée au pilotage de la performance
Environnement de contrôle
Le management, agissant sous la surveillance du Conseil, définit les structures, les rattachements,
ainsi que les pouvoirs et les responsabilités appropriés pour atteindre les objectifs. 3
Activités de pilotage
L'organisation sélectionne, développe et réalise des évaluations continues et/ou ponctuelles afin
de vérifier si les composantes du contrôle interne sont mise en place et fonctionnent. 16
PwC 12
Zoom1 : Analyse des risques Prendre en compte les risques induit par l’évolution de la stratégie, risques émergents et les risques de fraude Exemple : le risque de fraude (1/2)
L’incitation / la pression L’intérêt personnel est souvent un facteur de fraude , mais la principale motivation est souvent la pression de la hiérarchie ou le désir d'aider au succès de l’entreprise.
L’opportunité Les opportunités naissent naturellement du fait que l’environnement et les entreprise changent, évoluent avec le temps. Ces changements donnent systématiquement lieu à des failles dans le dispositif de contrôle interne lorsque l’organisation interne de l’entreprise n’est pas bien alignée aux changements en question. Exemple : avec la crise, la tendance est de réduire les effectifs, entrainant moins de séparation des tâches qui est un élément clé du contrôle anti-fraude. Dans ces circonstances, les freins et contrepoids initialement mis en place sont affaiblis et créent des opportunités pour la fraude.
Les comportements et justifications Les actes frauduleux sont toujours justifiés… • « Tout le monde paie des pots de vin pour réaliser des ventes dans ce
pays, il n'y a pas d'autre moyen. » • « Si les banquiers peuvent obtenir des millions d’euros de bonus,
pourquoi ne puis-je pas en avoir une part? » • La « comptabilité créative »ce n'est pas de la fraude, c’est juste adapter
un peu les règles ». • «J'ai reçu moins de bonus que ceux de ma promotion , alors je compense
un peu par l'intermédiaire des notes de frais ».
Incitation/Pression
Comportement/ Justification Opportunité
! Risque de
Fraude
Le triangle de la fraude
PwC 13
Zoom1 : Analyse des risques Exemple : le risque de fraude (2/2)
Autant que certains pays présentent des relais de croissance commerciale importants, les normes et pratiques commerciales peuvent être divergentes des attentes règlementaires internationales, et les enjeux de conformité et les risques se complexifient…
Processus / Domaine
Exemple d’analyse Finalité Recherche
F GF DO DCI RA
Achats Recherche de
doublons de factures fournisseurs
Vérification de l’existence des transactions et
de la bonne évaluation du
stock
Vente Recherche de prix inhabituels ou de
réductions suspectes
Vérification du processus de
validation des réductions
Inventaire / production
Recherche des pièces/matières avec coûts inhabituels ou
négatifs
Vérification de la bonne évaluation
des stocks
Inventaire / production
Recherche des pièces/matières avec coûts inhabituels ou
négatifs
Vérification de la bonne évaluation
des stocks
Gestion de la paie
Recherche de salariés fictifs (présents dans
le système de paie mais pas dans le
système RH)
Vérification de l’existence des
salariés
Légende: F : Fraude – GF : Gains Financiers – DO : Dysfonctionnement Opérationnel DCI : Dysfonctionnement du Contrôle Interne – RA : Qualifier les Risques et Augmenter l’Assurance
Company X – Top ten emerging risks Illustrative controls evaluated for effectiveness in relation to fraud risks
PwC 14
Zoom 2: Suivi des risques et du contrôle / remontée d’information / d’alertes Trois lignes de défense / maîtrise
• Articulation entre les trois lignes de défense / maîtrise (réalisation des contrôles, testing)
• Articulation au sein des fonctions support et en particulier entre la gestion des risques, le contrôle interne, la conformité et la qualité (suivi, reporting)
• Niveau d’assurance obtenu (profondeur d’analyse, analyse transverse)
Source: IFACI
PwC 15
Zoom 3: Responsabiliser chacun pour le bon fonctionnement du contrôle interne Une problématique liée au pilotage de la performance
PwC 16
Zoom 3: Responsabiliser chacun pour le bon fonctionnement du contrôle interne Des bonnes pratiques pour faire une meilleure appréciation et appréhension des risques
PwC 17
Actions engagées depuis un an
Les entreprises qui annoncent dans le Rapport du Président du le contrôle Interne utiliser le référentiel COSO ont en général analysé l’application des 17 principes.
Les principales actions qui en découlent sont :
• Réflexions sur l’élargissement du CI aux processus opérationnels,
• Travail sur le renforcement des compétences et des “soft skills” des correspondants / animateurs du contrôle interne,
• “Rebouclage” managérial vers le middle management avec les résultats des contrôles et l’identification de pistes d’amélioration du fonctionnement des activités,
• Réflexion sur l’ergonomie des outils utilisés (méthodologiques, SI),
• Automatisation des contrôles,
• Clarification des rôles autour des 3 lignes de maîtrise.
PwC 19
Les informations fournies dans la présente publication ont un caractère exclusivement général, et ne
peuvent en aucun cas être assimilées à une prestation de conseil. Aussi, elles ne peuvent être utilisées
comme un substitut à une consultation rendue par un professionnel compétent pour vous fournir un
conseil adapté à votre situation. Nous ne fournissons aucune garantie (expresse ou implicite) en ce qui
concerne l'exactitude et l'exhaustivité des informations contenues dans cette publication. En tout état de
cause, la responsabilité des entités membres du réseau PwC ou de leur personnel ne pourra en aucun
cas être engagée du fait ou à la suite d'une décision prise sur la base des informations contenues dans
cette publication.
© 2014 PricewaterhouseCoopers France. Tous droits réservés. Dans ce document, "PwC" fait référence
à PricewaterhouseCoopers France une entité membre de PricewaterhouseCoopers International Limited,
dont chaque entité membre est une personne morale indépendante.