memoire professionneljeremyc87.free.fr › m%e9moirej%e9r%e9mycl%e9men… · web viewla directive...
TRANSCRIPT
TUTEUR DE MEMOIRE : Nicolas HADJIDAKIScycle master professionnel 2 : Master Audit Interne Contrôle Conseil
MEMOIRE PROFESSIONNELLa valeur ajoutée du contrôle interne en entreprise
Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Jérémy CLEMENT
2012-2013
1
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
LE MEMOIRE DE
RECHERCHE APPLIQUEE
(MEMOIRE PROFESSIONNEL)MASTER 2
Nom :_____________________________________________________
Prénom :___________________________________________________
Tuteur Entreprise :_________________________________________________
Tuteur Ecole :_______________________________________________
Problématique retenue :_______________________________________ ______________________________________________________________________________________________________________________________________________________________________________
Date :
Signature du tuteur Ecole :
1
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
AVANT PROPOSDans la cadre de ma cinquième année d’étude en Master 2 Audit Interne Contrôle Conseil au
sein de l’ESAM (en partenariat avec l’IAE de Lille), j’ai effectué un stage en alternance en
tant qu’auditeur interne dans le service Audit de la société MFP Services.
Je me suis rapidement rendu compte que le dispositif de contrôle interne peinait à prouver son
utilité et ce, dans toutes les strates de l’entreprise.
Partant de ce constat, j’ai pu remarquer que d’une façon générale, le dispositif de contrôle
interne était, selon les personnes, perçu comme une contrainte, une dépense inutile, un frein à
la productivité ou un dispositif obligatoire auquel l’entreprise ne peut échapper. L’audit est,
quant à lui, cantonné à l’image d’espion de la direction ou bien « d’inspecteur des travaux
finis ».
Naturellement je me suis tourné vers les acteurs du contrôle interne de l’entreprise afin de
comprendre la raison de cette « défiance » vis-à-vis du contrôle interne.
Le plus souvent, cela m’a été justifié par le fait que ni les collaborateurs, ni les directions ne
voyaient ce que le contrôle interne leur apportait.
Un autre problème, régulièrement soulevé, provient du nom du dispositif : le mot « contrôle »
a une connotation péjorative. Hors, il a été traduit de l’anglais « internal control » qui signifie,
non pas contrôler, mais maîtriser. La première des erreurs est donc en France, de parler d’un
dispositif de contrôle, et non pas d’un dispositif de maitrise de l’activité qui amènerait
probablement moins de réticences de la part des collaborateurs.
Enfin, pour être efficace, un dispositif de contrôle interne et de maîtrise des risques doit être
mis en place avec l’impulsion de la direction, ce qui associé au mot « contrôle » provoque
évidement un amalgame malheureux qui consiste à résumer le dispositif comme un nouveau
moyen de contrôle des patrons sur les salariés.
Est ensuite venu le problème des dirigeants : si le contrôle interne est en principe bénéfique à
une structure, pourquoi l’ensemble de ces derniers ne mettent-ils pas ce dispositif en place ?
Si ce dispositif permet à l’entreprise d’atteindre ses objectifs, pourquoi les dirigeants dont
l’entreprise possède déjà un tel dispositif, se contentent-ils de répondre aux
2
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
obligations légales ? Vient maintenant le problème de la valeur ajoutée : le dispositif peine à
prouver que, non seulement, il permet de se mettre en conformité avec la loi, mais qu’il peut
également créer de la valeur.
Je me suis donc intéressé à ce sujet qui fera l’objet de mon travail de recherche, afin de
comprendre ce que le contrôle interne peut réellement apporter à une structure, et si cet apport
est mesurable dans une entreprise.
3
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
REMERCIEMENTSEn préambule à ce mémoire, je souhaitais adresser mes remerciements les plus sincères aux
personnes qui m’ont apporté leur aide et qui ont contribué à son élaboration, ainsi qu’à la
réussite de cette dernière année d’étude.
Je tiens à remercier sincèrement Monsieur HADJIDAKIS, qui, en sa qualité de tuteur de
mémoire, s’est toujours montré à l’écoute et très disponible pour me guider, me donner de
l’inspiration, m’accorder de l’aide et me consacrer de son temps.
J’exprime ma gratitude à tous les consultants et professionnels que j’ai rencontrés lors des
recherches effectuées et qui ont accepté de répondre à mes questions avec beaucoup de bonne
volonté.
Ces remerciements s’adressent également à Bernard PORTIER, Manon BARDET, Lionel
LOPES, Marjorie GUILLARD et Cynthia TISSON, mes collègues du service Audit pour cette
année passée en leur compagnie.
Merci également à Charlotte LECLERE pour son soutien indéfectible durant ces cinq longues
années d’études.
Merci à toutes et à tous.
4
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
SOMMAIREINTRODUCTION.....................................................................................
PREMIERE PARTIE : LES ENJEUX INTERNES ET EXTERNES DU DISPOSITIF DE CONTRÔLE INTERNE ET DE MAÎTRISE DES RISQUES........................................
1.1 Les enjeux externes dans le secteur de la mutualité...................21.1.1 La maîtrise des risque au cœur des préoccupations des autorités de contrôle 3
1.1.2 Précisions sur le cadre réglementaire du secteur de la mutualité 3
1.1.3 L’impact de solvabilité II 3
1.2 Le dispositif de contrôle interne et de maîtrise des risques déployé par MFP Services..................................................................2
1.2.1 L’activité de MFP Services 3
1.2.2 La contrainte externe exercée par les autorités de tutelle de MFP Services 3
1.2.3 Objectifs et méthodologie du dispositif de maîtrise des risques 3
SECONDE PARTIE : LE CONTRÔLE INTERNE ET LA GESTION DES RISQUES. .
2.1 Les principes généraux de contrôle interne................................22.1.1 Définition 3
2.1.2 Composantes du contrôle interne 3
2.1.3 Acteurs du contrôle interne 3
2.2 Les principes généraux de la gestion des risques.......................22.2.1 Définition 3
2.2.2 Composantes de la gestion du risque 3
2.2.3 Etapes de la gestion des risques 3
5
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
TROISIEME PARTIE : UNE ACTIVITÉ CRÉATRICE DE VALEUR AJOUTÉE
3.1 La valeur ajoutée du contrôle interne.........................................23.1.1 Définition 3
3.1.2 Contrôle interne et valeur ajoutée 3
3.1.3 Conditions de création de valeur par le dispositif de contrôle interne3
3.2 Mesure de la création de valeur par le contrôle interne ...........23.2.1 Pourquoi mesurer la valeur ajoutée du contrôle interne 3
3.2.2 Comment mesurer la valeur ajoutée du contrôle interne 3
3.2.3 L’intérêt du suivi des coûts cachés 3
QUATRIEME PARTIE : LE CAS MFP SERVICES.............................................
4.1 Contexte et définition de la mission.............................................2
4.2 Hypothèses.....................................................................................24.2.1
4.2.2
4.2.3
4.2.4
4.2.5
4.2.5
4.3 Etudes complémentaires...............................................................24.3.1 Méthodologie
4.3.2 Principaux résultats
4.3.3 Préconisations
CONCLUSION......................................................................................................
6
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
BIBLIOGRAPHIE................................................................................................
TABLE DES ANNEXES.........................................................
ANNEXES
INTRODUCTIONAu cours de ces dernières décennies, l’univers du contrôle interne et de la gestion des risques
a connu une évolution constante.
Depuis la fin des années 90, de nombreux scandales financiers ont mis en avant un manque de
visibilité important des entreprises sur les risques que prennent leurs dirigeants et salariés
opérationnels au quotidien.
Le manque de moyens déployés pour maitriser les risques et fiabiliser les informations
financières publiées, a fortement contribué au développement de ces dysfonctionnements.
Les scandales Enron et Woldcom, au début des années 2000, ont donné lieu à une remise en
cause du système financier qui a abouti aux lois Sarbanes Oxley. Ces lois ont pour principaux
objectifs de protéger les actionnaires en fiabilisant la communication des données financières
et de lutter contre les comportements frauduleux des entreprises en mettant les dirigeants face
à leurs responsabilités.
En France, la Loi de Sécurité Financière (LSF) impose aux entreprises de mettre en place un
cadre de contrôle interne. L’ensemble des sociétés cotées a aujourd’hui l’obligation de publier
un rapport annuel relatif au dispositif de contrôle interne mis en place au sein de leurs
structures.
De ce fait, ces problématiques ne concernent plus uniquement le secteur bancaire, mais
également les organisations assurantielles et mutualistes qui doivent en assumer elles-mêmes
les implications.
7
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Si dans un premier temps le dispositif de contrôle interne et de maitrise des risques ne
présentait qu’un aspect de conformité, les récentes prises de position de l’IIA (Institute of
Internal Auditors) et la 8ème directive stipulent que ce dispositif ne doit pas se restreindre à cet
aspect.
Le dispositif doit désormais être un outil au service de la gouvernance, de la maitrise des
risques et de la performance globale de l’entreprise.
S’il est de plus en plus accepté, que le dispositif contribue à la performance globale de
l’entreprise, des questions subsistent quant à sa valeur ajoutée.
De ce fait, certaines entreprises ne voyant pas l’intérêt de développer le dispositif de contrôle
interne et de maitrise des risques, se contente de mettre en place un dispositif répondant aux
exigences externes avec des moyens minimum.
Les salariés eux même sont souvent réticents au principe même de la mise en place d’un
contrôle interne, voyants ce dispositif comme un outil de surveillance et une contrainte
pénible voire chronophage. Dans les deux cas, la réaction des dirigeants et des opérationnels
provient du fait que la valeur ajoutée d’un tel dispositif n’est pas clairement perçue.
Ce mémoire de recherche va donc s’attacher à répondre à la question suivante :
Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur
ajoutée pour l’entreprise ?
Nous tenterons donc de prouver que le dispositif de contrôle interne et de maitrise des risques
peut non seulement aider l’entreprise à atteindre ses objectifs, mais également contribuer à la
création de valeur, en étudiant dans un premier temps, les enjeux externes et internes du
dispositif de contrôle interne dans la société MFP Services qui appartient au secteur de la
mutualité.
La seconde partie de ce mémoire à pour objectif de présenter les bases théoriques du contrôle
interne et de la maitrise des risques.
8
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Dans la troisième, nous nous attacherons à démontrer ce qu’est la valeur ajoutée du contrôle
interne, quelles sont les conditions pour que le dispositif aide à créer de la valeur et comment
se mesure cette valeur ajoutée.
Enfin, la dernière partie portera sur le cas pratique de la société MFP Services et aura pour
finalité de formuler des préconisations afin d’aider le dispositif en place à devenir un véritable
outil au service de la création de valeur.
PREMIÈRE PARTIE : LES ENJEUX EXTERNES ET INTERNES DU DISPOSITIF DE CONTRÔLE INTERNE
1.1Les enjeux externes dans le secteur de la Mutualité1.1.1 La maîtrise des risques au cœur des préoccupations des autorités de
contrôle
Comme nous venons de le voir en introduction, les différents scandales financiers de ces
dernières années ont amené les pays à légiférer et mettre en place de nombreuses réformes
afin de fiabiliser l’information financière.
En raison de la similitude qu’il présente avec l’univers dans lequel évoluent les banques et les
compagnies d’assurance, le secteur de la mutualité est également concerné par l’ensemble de
ces réformes. En effet, le secteur mutualiste demeure une activité à risque notamment pour
deux raisons principales :
La mutualisation des risques est à la base du fonctionnement et des activités premières
de l’entreprise : la mutuelle ne serait pas en mesure de satisfaire les demandes
simultanées de remboursements qui émaneraient de l’ensemble de tous ses adhérents ;
elle doit donc conquérir de nouvelles parts de marché pour éviter ce risque, ou du
moins le réduire.
Son activité financière l’oblige à investir les revenus réalisés grâce au différentiel
obtenu entre les sommes perçues et celles remboursées afin d’anticiper une rentabilité,
9
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
et ce, malgré la complexité de plus en plus importante des instruments financiers,
d’autant que ces mouvements financiers (entrées/sorties ou encore
encaissements/remboursements) ne sont pas concomitants.
Ainsi, le décret n° 2008-468 du 19 mai 2008 applicable au Code de la Mutualité stipule que
toute mutuelle ou union doit disposer d’un dispositif de contrôle interne permanent, et que le
Conseil d’Administration doit approuver, a minima une fois par exercice, un rapport de
contrôle interne qui doit refléter l’état d’avancement ainsi que l’efficacité réelle du dispositif
de contrôle interne de l’entité.
La Cour des Comptes oblige également les mutuelles gestionnaires d’un régime obligatoire
d’assurance maladie à mettre à jour les démarches de contrôle interne « métier » tous les ans.
1.1.2 Précisions sur le cadre réglementaire du secteur de la mutualité
Il existe trois types de mutuelles :
les mutuelles d’entreprises,
les mutuelles de fonctionnaires,
les mutuelles interprofessionnelles.
Ces mutuelles sont soumises au Code de la Mutualité dont la dernière réforme date de 2001.
Ce nouveau cadre est semblable à celui qui régit les sociétés d’assurances.
Pour faire face aux nouvelles règles prudentielles qui leur ont été imposées, les mutuelles ont
donc été amenées à se restructurer et à se regrouper. Le paysage de la mutualité est désormais
composé en grande majorité d’entreprises de taille importante, ce qui constitue une forte
barrière à l’entrée.
Il est à noter que le nouveau Code de la Mutualité est basé sur un principe de spécialisation.
Les activités d’assurance sont donc à distinguer de la gestion des œuvres sanitaires et sociales
par exemple. Cette séparation est née de la volonté de protéger les intérêts des assurés des
risques liés aux autres activités de l’entreprise.
10
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Depuis, les mutuelles sont mises en concurrence avec des institutions de prévoyance ainsi que
des sociétés d’assurances. Elles ont accès à de nouvelles garanties qui représentent des
engagements lourds et, en conséquence, sont soumises à des exigences renforcées.
Actuellement, les mutuelles ont l’obligation de publier des informations comptables
financières et prudentielles afin de pouvoir suivre/contrôler le fonctionnement de leurs
activités. L’ensemble de ces exigences a tendance à s’accroître avec la mise en place de la
réforme européenne Solvabilité II.
1.1.3 L’impact de Solvabilité II
La directive Solvabilité II a été votée et publiée au Journal officiel de l’Union européenne en
novembre 2009. Elle entrera en vigueur le premier janvier 2015. Des premiers éléments sont à
communiquer aux autorités de contrôle dès septembre 2013 sur les comptes 2012. La
transposition doit être achevée dans les droits nationaux en juillet 2014. Solvabilité II ne se
limite pas à un calcul, mais introduit également des exigences en termes de gestion des
risques, de gouvernance, de contrôle interne, etc.
En effet, l’objectif premier de Solvabilité II est la réduction du risque de faillite de
l’entreprise.
Cela se traduit notamment par une augmentation des fonds propres afin de renforcer la
capacité de l’entreprise à honorer ses engagements en toute circonstance. Ces nouvelles
exigences reposent sur trois piliers
Le premier pilier s’appuie sur une exigence quantitative relative aux fonds propres que
doivent posséder les sociétés d’assurances ainsi que sur les provisions que ces
dernières doivent posséder afin de rester solvables en toute circonstance.
Le deuxième piler de Solvabilité II a pour objectif de fixer des normes qualitatives en
matière de gestion et de suivi des risques et de contrôle interne, ainsi que de définir
les rapports des entités avec les autorités de contrôle.
Le troisième pilier impose aux organismes la publication de certaines informations
détaillées à destination des autorités de contrôle.
Présentation du deuxième pilier de Solvabilité 2
Le deuxième pilier de la directive s’articule autour de sept thèmes majeurs :
11
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Gouvernance et fit & proper
Risk management
ORSA
Contrôle interne et conformité
Audit interne
Fonction actuarielle
Sous-traitance
Figure 1
L’impact du pilier 2 sur la gouvernance :
Avec Solvabilité II, la gouvernance des entreprises d’assurance est au cœur des
préoccupations des autorités de régulation (rapport Sharma sur les sociétés défaillantes).
« Les points clés à retenir :
Les exigences de gouvernance concernent l’ensemble des acteurs de l’entreprise et
pas seulement l’organisation des instances dirigeantes,
Solvabilité II exige des entreprises qu’elle mette en place un système de gouvernance
clair et documenté,
la responsabilité des dirigeants et du Conseil d’administration est accrue,
de nouvelles exigences en matière de compétences et d’honorabilité des
administrateurs, dirigeants et responsables de fonctions clés, font leur apparition.
12
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
La gouvernance entre dans le nouveau champ de contrôle de l’ACP, étant donné
qu’un défaut de gouvernance peut entrainer un capital add on,
Mise en place d’un dispositif de gestion des risques intégré au processus de décision,
Le renforcement du contrôle interne est sous la responsabilité de la gouvernance de
l’entreprise qui devra pour ce faire, mettre en place un certain nombre de fonctions
clés. »1
L’ensemble de ces dispositions sont à mettre en place tant au niveau du groupe que des
filiales.
L’impact du pilier 2 sur le management des risques :
Obligation de disposer d’une fonction Risk Management
L’article évoquant le management des risques indique que les entreprises doivent disposer
d’un système de gestion des risques. Ce dispositif de gestion des risques doit :
être intégré à la structure organisationnelle de l’entité,
constituer un dispositif d’identification, d’évaluation et de gestion permanent des
risques,
être indépendant de toute autre fonction (y compris de l’Audit Interne et du Contrôle
interne).
La fonction Risk Management devra également
formaliser une politique de maitrise des risques comprenant notamment les objectifs
et la stratégie de l’entreprise en matière de gestion des risques,
déterminer son niveau d’exposition au risque,
déterminer un seuil critique de niveau de risque acceptable pour la bonne marche de
l’entreprise,
prendre le management des risques en compte dans le développement de chacune de
ses activités ou en d’autres mots s’assurer pour chacune des activités qu’elle projette
de développer, qu’elle aura bien dans le futur, la capacité financière et
organisationnelle d’en assumer la maitrise au niveau des risques.
1 Présentation interne MFP Services sur Solvabilité II
13
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
« La directive définit également sept types de risques opérationnels :
la fraude interne,
la fraude externe,
les ressources humaines,
la réalisation des opérations,
le système d’information
les périls. »2
ORSA (évaluation interne des risques et de la solvabilité).
« L’ORSA est un processus ayant pour but de démontrer une gestion efficace et prudente de
l’activité et d’évaluation de la solvabilité. »3
C’est également un outil d’aide à la décision.
L’article 45 consacré au dispositif ORSA (Own Risk and Solvency Assessmen ou auto
évaluation des risques) stipule que chaque entreprise devra, dans le cadre de son système de
gestion des risques, procéder à une évaluation interne de ses risques et de sa solvabilité.
Le processus ORSA devra permettre de :
prendre en considération les risques quantifiables et non quantifiables qui ne sont pas
dans le SCR,
mesurer l’adéquation du SCR au profil de risque propre à l’entreprise,
promouvoir au sein de l’entreprise une culture du risque,
s’assurer que l’entreprise réponde de façon continue et permanente aux exigences en
capital,
identifier l’évolution des besoins globaux de solvabilité à court terme, mais aussi à
long terme, en tenant compte de la stratégie de l’assureur et de ses projets de
développement,
faire la correspondance entre les fonds propres et le profil de risque de l’entreprise.
Ce qu’il faut retenir du processus ORSA :
2 Memoire Aurelien LERDA : L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management3 http://www.varm.fr
14
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
L’ORSA fait partie intégrante de la gouvernance de l’entreprise et est au cœur de la
gestion des risques.
L’ORSA est la connaissance par l’entreprise de ses propres risques et de sa solvabilité
actuelle et future.
L’ORSA est un exercice propre à chaque entreprise à produire tant pour les solos que
pour les groupes.
L’ORSA fait l’objet d’un rapport spécifique communiqué à la Direction générale et au
Conseil d’administration ainsi qu’à l’autorité de contrôle.
L’impact du pilier 2 sur le contrôle interne :
Obligation de posséder une fonction contrôle interne :
Une fonction contrôle interne doit obligatoirement être mise en place dans l’entreprise dont le
but est d’atteindre les objectifs fixés au préalable par la direction tout en minimisant les
risques de l’entreprise.
Le service contrôle interne doit être totalement indépendant et détaché de toute autre fonction
(notamment de l’Audit interne).
« Les entreprises doivent également :
mettre en place un dispositif de contrôle basé sur un cadre de référence comme le
COSO et le référentiel de l’AMF,
mettre en place des procédures, règles et stratégies de contrôle interne,
effectuer des contrôles de premier et second niveau,
respecter le principe de séparation des tâches,
mettre en place des tableaux de bord,
avoir une fonction conformité au sein de l’entreprise,
rédiger annuellement un rapport de contrôle interne à destination de l’ACP approuvé
par le Conseil d’Administration,
mettre en place un plan de suivi des améliorations relatives au contrôle interne,
impliquer le management dans le processus de contrôle interne en lui communiquant
régulièrement l’état et l’évolution du dispositif. »4
4 Mémoire Aurélien LERDA : L’impact du pilier 2 de Solvabilité 2 (« Gouvernance des risques ») sur les fonctions Audit Interne, Contrôle Interne et Risk Management
15
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
L’impact du pilier 2 sur l’Audit Interne :
L’article 47 stipule :
qu’un service Audit Interne doit être mis en place dans toutes les structures,
que la fonction Audit interne doit être séparée de toute autre fonction,
que l’audit interne doit avoir pour fonction d’évaluer l’adéquation et l’efficacité du
dispositif de contrôle interne et des éléments de gouvernance,
que l’ensemble des conclusions et recommandations de l’audit interne doivent être
communiquées à l’organe de gestion (décisionnaire) de l’entreprise.
Cet article est fondamental car il insiste sur la nécessité d’indépendance de l’Audit Interne
afin de le préserver de tout conflit d’intérêts et de garantir son objectivité lors de ses missions.
Encore une fois la gouvernance de l’entreprise est responsabilisée car la fonction Audit aura
pour obligation de transmettre systématiquement l’ensemble de ses constats et
recommandations. Les directions ne pourront donc plus jouer sur l’absence de remontée
d’informations en cas de problème majeur.
1.2 Le dispositif de contrôle interne et de maîtrise des risques déployé
par MFP Services1.2.1 L’activité de MFP Services
Le groupe MFP Services
La création du groupe MFP Services en 2002 a fait suite à la reconfiguration de la Mutualité
de la Fonction Publique (MFP). Après plusieurs décennies de fonctionnement dans le cadre
d’une structure unique, les activités de la MFP ont dû s’insérer dans un ensemble multi-
structurel, notamment en raison du principe de spécialisation imposé par le nouveau code de
la mutualité.
Le groupe MFP Services est aujourd’hui composé :
d’une entité MFP Services,
d’une union de mutuelles dédiée (MFPrécaution),
16
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
de nombreuses filiales notamment dans le domaine assuranciel (MFPrima et
MFPrévoyance) et bancaires avec le groupe BFM (Banque Fédérale Mutualiste), mais
également sur d’autres secteurs (GIE MFGAM, GIE CHOREGIE, GIE Mut’Santé,
MFP Immobilier).
L’entité MFP Services
MFP Services est en charge des activités de prestations de services qui lui sont déléguées par
la CNAMTS, les mutuelles adhérentes et l’État.
Son cœur d’activité est la santé, étant donné que l’entreprise est délégataire de la gestion du
régime obligatoire de Sécurité Sociale et assure la gestion du régime complémentaire pour le
compte d’une trentaine de mutuelles de fonctionnaires.
MFP Services a le statut d’Union de Mutualiste ; son activité trouve son fondement dans la loi
Morice de 1947. Ce principe fondateur légitime l’exigence des mutuelles de fonctionnaires et
impose à la Sécurité Sociale de déléguer la gestion du régime obligatoire de la Sécurité
Sociale pour la fonction publique, aux mutuelles de fonctionnaires.5
MFP Services assure actuellement la protection de près d’un million et demi de personnes au
titre du régime obligatoire et d’un million de personnes au titre du régime complémentaire.
Les mutuelles organisent leur mode de fonctionnement en s’appuyant sur le principe de la
« délégation de gestion » : elles se focalisent sur la conquête de nouvelles parts de marchés en
développant leur stratégie commerciale et en élaborant des offres afin de cibler d’autres
clients et de fidéliser les adhérents, elles déterminent les prestations qui leur sont destinées et
perçoivent en contrepartie les cotisations et autres paiements des adhérents.
Les aspects organisationnels, administratifs et logistiques sont assurés par MFP Services en
vertu du principe de délégation de gestion déjà évoqué. Cet aspect concerne notamment le
remboursement des soins, l’accueil physique des adhérents ainsi que leur prise en charge et la
qualité de service qui leur est octroyée.
Le paiement de ces services est assuré par l’Etat par l’intermédiaire de la Sécurité Sociale de
la CNAM-TS sous la forme de « remises de gestion » reversées à MFP Services, lesquelles lui
assurent ainsi sa plus grande source de revenus.
5 www.mfpservices.fr
17
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Ces remises de gestion sont recalculées tous les trois ans avec les organismes de Sécurité
Sociale en tenant compte de nombreux critères comme par exemple, la masse de la population
des adhérents concernés ou la nature des prestations.
MFP Services dispose parallèlement d’une large gamme de services complémentaires :
prestations sociales interministérielles, éditiques, offres de formation ou conseil aux
mutuelles.
Rôle des autorités de tutelle à l’égard de MFP Services
Les autorités de tutelles sont des instances de contrôle et de fait, une contrainte externe pour
MFP Services. En effet, en raison de son implication et de sa prise de participations dans
d’autres organismes mutualistes, ainsi que dans des établissements bancaires ou assurantiels,
MFP Services est soumise au respect de normes réglementaires souvent complexes, édictées
par le code de la Mutualité et code de la Sécurité Sociale, mais aussi par le code des
Assurances et le droit bancaire.
« L’entreprise est placée sous le contrôle de plusieurs autorités de tutelles :
L’Autorité de Contrôle Prudentielle, qui exerce un contrôle direct sur les
entreprises relevant, entre autres, du code de la Mutualité.
Elle veille à ce que les entités soumises à son contrôle respectent les dispositions
législatives et réglementaires qui leur sont applicables et les engagements
contractuels qui les lient à leurs assurés ou adhérents. Cette dernière contrôle
également les activités bancaires du groupe. Elle est chargée de contrôler le
respect par les établissements de crédit et par les entreprises d’investissement des
dispositions législatives et règlementaires qui leur sont applicables et de
sanctionner les manquements constatés.
La Cour des Comptes, quant à elle, contrôle la gestion de toutes les
administrations et de tous les organismes publics nationaux, et notamment
l’emploi des fonds publics qui sont alloués à des organismes privés.
La CNAM TS (Caisse Nationale d’Assurance Maladie) s’implique dans la
démarche de maîtrise des risques de l’activité Assurance Maladie. Elle a un droit
18
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
de regard sur toute l’activité de MFP Services. L’une des problématiques qu’elle
soulève régulièrement est la difficulté pour les mutuelles de fonctionnaires
d’assurer un service compétitif pour l’État, puisque le rapport qualité/prix des
prestations est inférieur à celui que peuvent proposer certaines mutuelles privées.
Cette faiblesse fait donc planer une menace sur l’entreprise, qui doit faire d’autant
plus attention au respect des contraintes imposées par la CNAM. »6
Ces autorités de tutelles ont donc un rôle accru en matière de contrôle. Les exigences
prudentielles à l’égard des mutuelles et des organismes d’assurances sont de plus en plus
rigoureuses et complexes depuis quelques années en raison de l’application des normes
Solvabilité II, Bâle II (et sa récente évolution Bâle III), ainsi que SOX. De ce fait, les autorités
de tutelles exercent un contrôle renforcé sur les mutuelles et plus spécialement, sur leur
capacité à gérer et à maîtriser leurs risques avec l’obligation d’une plus grande transparence
sur le sujet à l’égard de leurs adhérents.
Depuis 2007, MFP Services intègre ces contraintes et ces obligations dans la gestion de ses
propres risques.
1.2.2 Les objectifs du contrôle interne
De par le renforcement de la réglementation que nous venons d’exposer, le contrôle interne
est aujourd’hui l’un des objectifs prioritaires de l’entreprise pour garantir la maîtrise des
risques liés à ses activités. La mise en place de nouveaux dispositifs de contrôle répondant à
ces exigences est un véritable enjeu pour l’entreprise.
Le déploiement de ce processus de contrôle concerne toutes les directions de l’entreprise et
doit se traduire au quotidien par une implication permanente de tous les acteurs de
l’entreprise, ce qui nécessite une remise en question et une évolution de la méthode de travail
de chacun, et ce, dans le sens d’une amélioration du contrôle interne. La réussite de cette
transformation passe donc par la culture d’entreprise.
1.2.3 Le dispositif de maîtrise des risques
6 Document interne MFP Services
19
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
À cette fin, il a été mis en place un service d’Audit interne dont la fonction est d’effectuer des
missions d’audit ponctuelles et dont les ressources ont été utilisées à la mise en place d’un
dispositif de maîtrise des risques dans les directions de MFP Services.
L’objectif de ce dispositif est d’intégrer le contrôle interne à la politique d’entreprise. Une
seconde étape consiste à faire adhérer les collaborateurs à une politique du changement dans
laquelle ils s’impliquent pleinement tant sur le plan organisationnel que culturel. La dernière
phase du déploiement du contrôle interne concerne l’esprit de formalisation par lequel les
collaborateurs doivent se sentir quotidiennement concernés et responsabilisés dans leurs
activités.
La mise en place de ce dispositif et son déploiement se réalisent en s’appuyant sur des
concepts et une méthodologie clairement définis et transmis par les auditeurs aux
responsables du contrôle interne afin qu’ils les intègrent et communiquent eux-mêmes dans
leurs propres directions.
Pour ce faire, les auditeurs ont recensé divers moyens de communication : la notion de travail
d’équipe, la planification des activités, la transversalité inter directions, des plans de
formation ou des actions à visée pédagogique et surtout une forte sensibilisation des différents
acteurs concernés grâce aux modes de communication interne au sein de l’entreprise.
Organisation de la supervision en interne :
C’est la Direction Générale qui détermine la politique de maîtrise des risques. Les divers
Comités ou Groupes de travail, quant à eux, supervisent, planifient ou coordonnent les
différents travaux qui concernent la maitrise des risques. Les comités spécifiques les plus
représentatifs dans ce domaine sont : le comité d’Audit, le comité de Pilotage du Contrôle
interne ainsi qu’un Comité dédié aux exigences du contrôle interne de la CNAM TS.
Dès la mise en place de ce nouveau dispositif, MFP Services a créé son propre Comité
d’Audit. Il a pour rôle d’informer le Conseil d’Administration sur les risques potentiels ou
avérés de l’entreprise ainsi que sur les dispositifs de contrôle interne afférents. Il établit par
ailleurs les missions de l’Audit.
Un Comité de Pilotage du Contrôle interne a lui aussi été créé pour répondre aux choix
d’orientation et de coordination des actions de contrôle interne mises en œuvre, pour veiller
au bon fonctionnement du dispositif et à sa pérennité dans l’entreprise, et enfin pour
sensibiliser les collaborateurs et leur inculquer la notion de maitrise des risques. C’est une
20
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
instance opérationnelle. Le service d’Audit interne participe à ce comité, tout comme les
représentants des Directions métiers. Cette organisation garantit un travail transverse dans le
cadre d’objectifs communs. Enfin, il a été instauré un comité de Pilotage spécifique à la
maîtrise des risques liés à la gestion du régime obligatoire de la Sécurité Sociale.
Chaque direction désigne des « référents contrôle interne » qui ont pour mission d’élaborer et
de diffuser des référentiels de contrôle interne dont ils assurent aussi la maintenance.
Ce dispositif en matière de contrôle interne met en évidence la notion de responsabilité propre
à chaque direction, qui dispose des compétences et de l’expertise nécessaire pour mener à
bien cette mission, ainsi que de la connaissance précise de ses activités quotidiennes. Comme
nous l’avons déjà évoqué, nous pouvons constater qu’il s’agit d’une véritable réorientation
des activités des opérationnels qui s’inscrit dans le cadre d’une politique de changement au
sein de l’entreprise.
Une direction de MFP Services a par ailleurs instauré un « pôle contrôle interne et
régulation » dont la mission est de déployer le dispositif de maîtrise des risques liés à la
gestion du régime obligatoire de la Sécurité Sociale.
Cette structure a une mission plus opérationnelle que celle de l’audit interne. Enfin, une
équipe d’inspection a pour fonction de s’assurer que l’ensemble des équipes du réseau de
production respecte les procédures et les directives données par le siège social. L’Inspection
est chargée de contrôler que l’ensemble des lois édictées et des règlements est correctement
appliqué et que les consignes et procédures sont respectées. L’Inspection relève d’éventuels
dysfonctionnements en cas de non-respect des normes réglementaires ou déontologiques, qui
feront éventuellement l’objet d’actions correctrices ou de préconisations par les équipes de
contrôle.
SYNTHÈSE :
Comme nous venons de le voir, le paysage du contrôle interne est en proie à de grands
changements, tant à l’échelle mondiale que française.
L’univers de la mutualité dans lequel évolue la société MFP Services n’échappe pas à ces
évolutions.
21
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
De la volonté générale de légiférer pour apporter plus de sécurité aux clients et actionnaires,
est née la directive Solvabilité II qui impose notamment aux sociétés d’assurance de mettre en
place un dispositif de contrôle interne et de maitrise des risques performant.
Pour répondre aux exigences des autorités de tutelle, la société MFP Services a mis en place
un dispositif qui continue d’évoluer pour s’adapter à un environnement en constante mutation.
Nous allons maintenant, et ce sera l’objet de la deuxième partie de ce mémoire, entrer dans le
détail du fonctionnement d’un dispositif de contrôle interne et de maitrise des risques.
DEUXIÈME PARTIE : LE CONTRÔLE INTERNE ET LA GESTION DES RISQUES
2.1 Principes généraux du contrôle interne2.1.1 Définition
Définition du contrôle interne :
Définition du contrôle interne selon le Comittee Of Sponsoring Organizations de 1992
(COSO) :
« Le contrôle interne est un processus mis en œuvre par le Conseil d’Administration, les
dirigeants et le personnel d’une organisation, destiné à fournir une assurance raisonnable
quant à la réalisation des objectifs suivants :
la réalisation et l’optimisation des opérations,
la fiabilité des informations financières,
la conformité aux lois et règlements en vigueur. »
Afin de compléter la définition du COSO nous pouvons également retenir la définition
contenue dans le cadre de référence du contrôle interne de l’AMF (2008) :
« Le contrôle interne est un dispositif de la société, défini et mis en œuvre sous sa
responsabilité, qui vise à assurer :
la conformité aux lois et règlements,
22
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
l’application des instructions et des orientations fixées par la Direction Générale ou
le Directoire,
le bon fonctionnement des processus internes de la société, notamment ceux
concourant à la sauvegarde de ses actifs,
la fiabilité des informations financières,
et d’une façon générale, contribue à la maîtrise de ses activités, à l’efficacité de ses
opérations et à l’utilisation efficiente de ses ressources.
Il comprend un ensemble de moyens, de comportements, de procédures et d’actions adaptés
aux caractéristiques propres de chaque société qui :
contribue à la maîtrise de ses activités,
à l’efficacité de ses opérations et à l’utilisation efficiente de ses ressources,
et doit lui permettre de prendre en compte de manière appropriée les risques
significatifs, qu’ils soient opérationnels, financiers ou de conformité.
Le contrôle interne ne se limite donc pas à un ensemble de procédures ni aux seuls processus
comptables et financiers. Il ne recouvre pas non plus toutes les initiatives prises par les
organes dirigeants ou le management, comme la définition de la stratégie de la société, la
détermination des objectifs, les décisions de gestion, le traitement des risques ou le suivi des
performances.»
COSO :
Créé en 1992, COSO est le référentiel de base du contrôle interne. Sa mise en place dans de
nombreuses entreprises a été accélérée par les nouvelles lois (SOX, LSF…) découlant des
scandales financiers comme Enron et Worldcom. Ces lois imposent notamment aux
entreprises cotées, l’adoption d’un cadre conceptuel ainsi que l’évaluation du contrôle interne.
Les objectifs étant d’assurer :
la conformité aux lois et règlements,
l’application des instructions et des orientations fixées par la DG ou le Directoire,
le bon fonctionnement des processus internes de la société, notamment ceux
concourant à la sauvegarde de ses actifs (corporels et incorporels),
la fiabilité des informations financières.
23
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Le Comittee Of Sponsoring Organizations (COSO) a donc dans un premier temps identifié
cinq éléments essentiels pour maîtriser les risques d’une activité (COSO 1). Ces derniers ont
dans un premier temps été présentés sous forme d’un diagramme pyramidal (cf annexe)
comprenant de la base à son sommet :
L’environnement de contrôle, c'est-à-dire une organisation comportant une définition
claire des responsabilités (formalisées et communiquées), disposant des ressources et
des compétences adéquates (politique de GRH) et s’appuyant sur des SI (sécurisés
physiquement et logiquement), sur des procédures ou modes opératoires, des outils
adaptés aux besoins de chacun + formation) et des pratiques appropriées.
L’évaluation des risques, c'est-à-dire un système continu visant à recenser et analyser
(criticité) les principaux risques (internes ou externes) identifiables au regard des
objectifs de la société, et à s’assurer de l’existence de procédures de gestion de ces
risques.
L’information et la communication, c'est-à-dire la diffusion en interne d’informations
pertinentes, fiables, dont la connaissance permet à chacun d’exercer ses
responsabilités.
Les activités de contrôle, c'est-à-dire proportionnées aux enjeux propres à chaque
processus, et conçues pour s’assurer que les mesures nécessaires sont prises en vue de
maîtriser les risques susceptibles d’affecter la réalisation des objectifs.
Le pilotage, c'est-à-dire une surveillance permanente portant sur le dispositif de
contrôle interne, ainsi que l’examen régulier de son fonctionnement. 7
Le référentiel a été mis à jour en 2002 (COSO 2).Il est maintenant présenté sous forme de
cube (cf annexe) et intègre désormais :
la typologie de contrôle interne (stratégique, opérationnel…),
7 Document interne MFP Services de présentation du COSO
24
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
la distinction des entités contrôlées,
la notion d’appétence au risque.
Son objectif est de compléter COSO 1 en donnant un cadre à la maîtrise des risques en
entreprise.
2.1.2 Les composantes du contrôle interne
La Direction Générale est responsable de la mise en place du dispositif de contrôle interne. La
politique de gestion du contrôle interne contenu dans ce dispositif est ensuite communiquée à
l’ensemble du personnel en vue de sa mise en place dans tous les départements de
l’entreprise.
Lorsqu’il s’agit d’un groupe, la gouvernance de l’entreprise a pour obligation de veiller à
l’existence et à l’application de ces dispositifs au sein de ses filiales. Dans le cas où une
entreprise détient des participations, elle est dans l’obligation de prendre connaissance des
dispositifs mis en place dans les entreprises sur lesquelles elle exerce une influence notable.
Selon le cadre de référence de l’AMF, le dispositif de contrôle interne de l’entreprise doit
prévoir :
une organisation comportant une définition claire des responsabilités, disposant des
ressources et des compétences adéquates et s’appuyant sur des systèmes
d’information, des procédures et des outils appropriés,
la diffusion en interne d’informations pertinentes et fiables, dont la connaissance
permet à chacun d’exercer ses responsabilités,
un dispositif de gestion des risques visant à recenser, analyser et traiter les
principaux risques identifiés au regard des objectifs de la société,
des activités de contrôle adaptées et proportionnées aux enjeux propres à chaque
processus et conçus pour réduire les risques susceptibles d’affecter la réalisation des
objectifs de la société,
une surveillance permanente du dispositif de contrôle interne ainsi qu’un examen
régulier de son fonctionnement. Cette surveillance, qui peut s’appuyer sur la fonction
d’audit interne, peut conduire à l’adaptation du dispositif de contrôle interne.
2.1.3 Les acteurs du dispositif de contrôle interne
25
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
La gestion de la maîtrise des risques et du contrôle interne est, comme nous l’avons expliqué,
l’affaire des organes de gouvernance et de chaque service concerné à un niveau collectif, mais
elle est aussi, à titre individuel, l’affaire de chacun des acteurs de l’entreprise et donc de
chaque collaborateur.
La Direction Générale
La Direction Générale est chargée de définir et de piloter la stratégie de l’entreprise et
notamment le dispositif de gestion des risques et de contrôle interne.
À cet effet, elle s’informe de façon permanente sur le non-respect ou les insuffisances
constatées afin que des actions correctives soient mises en place.
Le Conseil d’Administration
Le Conseil d’Administration agit dans l’intérêt de l’entreprise. Pour ce faire, la Direction
Générale lui communique entre autres, les éléments clés du dispositif de contrôle interne : le
Conseil d’Administration pourra donc diligenter des contrôles ou prendre des dispositions
qu’il estimera adaptées aux circonstances en matière de gestion de la maîtrise des risques.
Le Comité d’Audit
Le Comité d’Audit est nommé par le Conseil d’Administration. Selon l’article 39-2 de la
directive européenne qui concerne, l’une de ses missions est d’assurer le suivi de l’efficacité
des systèmes de contrôle interne, de l’audit et de la gestion des risques.
Le gestionnaire des risques
Le métier de gestionnaire des risques consiste essentiellement à identifier et analyser les
risques en conformité avec la politique des risques établie par la Direction Générale, d’établir
une cartographie des risques de l’entreprise, d’organiser des plans d’action et d’en suivre
l’efficacité afin de les prévenir ou de les corriger.
L’Audit Interne
Le service de l’Audit interne est sous la hiérarchie de la Direction Générale ; il est
indépendant des autres directions et services de l’entreprise. Cette spécificité lui permet de
mener à bien sa mission de contrôle sur le respect des normes réglementaires et
26
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
déontologiques auprès des différentes entités de l’entreprise et des collaborateurs en
établissant des constats et en émettant des préconisations.
Le Contrôle de Gestion
Le service du Contrôle de Gestion a un rôle essentiellement opérationnel, mais son activité
revêt un caractère fondamental dans le dispositif de la gestion du risque.
En effet, le Contrôle de Gestion fournit des données utiles aux gestionnaires des risques qui
permettent de constater ou d’anticiper le coût potentiel d’un risque. Ces informations seront
utilisées notamment dans le cadre d’actions correctives ou de plans d’amélioration.
Le personnel de la société
Au niveau opérationnel, le bon fonctionnement du dispositif de contrôle et de gestion des
risques repose sur tout le personnel de l’entreprise. C’est au travers des activités quotidiennes
des collaborateurs, qu’on pourra évaluer le respect de ce dispositif. La réussite de sa mise en
application passe par une communication interne d’entreprise claire, rigoureuse et efficace qui
contribuera à la qualité et à la performance des objectifs de chacun.
Les commissaires aux comptes
Enfin, bien qu’extérieurs à l’entreprise, il est important de faire référence aux commissaires
aux comptes pour décrire le processus de contrôle interne et de gestion des risques. La
mission principale des commissaires aux comptes est de vérifier et certifier les comptes
annuels de l’entreprise.
C’est dans le cadre de cette mission, qu’ils seront amenés à apprécier le dispositif de contrôle
interne et de maîtrise des risques, d’en estimer la pertinence et ses conséquences dans le
domaine comptable et financier. Les commissaires aux comptes agissent en toute
indépendance.
Complémentarité du contrôle interne et de la gestion des risques
Les dispositifs de gestion des risques et de contrôle interne sont complémentaires et
interdépendants dans la maîtrise des activités de l’entreprise :
27
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
le dispositif de gestion des risques a pour objectif d’appréhender et d’analyser les
risques majeurs de l’entreprise ; c’est par les contrôles internes mis en place et qui
relèvent du dispositif de contrôle interne qu’ils seront identifiés,
à l’inverse, le dispositif de contrôle interne se base sur le dispositif de gestion des
risques pour déterminer les risques à maîtriser,
enfin, le dispositif de gestion des risques associe à son déploiement des contrôles qui
relèvent du dispositif de contrôle interne afin d’assurer son efficacité.
Les deux dispositifs s’inscrivent dans un contexte environnemental commun de contrôle qui
est la base de la maîtrise des risques au sein de l’entreprise. Si leurs objectifs sont distincts, ils
sont donc en cela complémentaires. L’auditeur doit être en mesure de conserver son
indépendance de jugement (c’est donc une des raisons pour laquelle les deux dispositifs
doivent être appliqués par des entités dissociées), néanmoins chez MFP Services, les auditeurs
sont sous la hiérarchie du Comité d’Audit et le contrôle interne dépend de la Direction
Générale bien que les deux fonctions soient occupées par les mêmes personnes. Ce point doit
d’ailleurs faire l’objet d’une préconisation.
2.2 Principes généraux de la gestion des risques
La notion de risque est indissociable de celle d’entreprise dans la mesure où dès sa création
aucun élément ne garantit la permanence et la stabilité de la vie de l’entreprise, et ce,
indépendamment de sa structure, de sa taille ou de son secteur d’activité.
2.2.1 Historique et évolution :
Le terme « risque » à pour origine le mot latin « resecum », qui signifie « ce qui coupe ». La
littérature sur les courants de pensée économique montre que jusqu’au XVII siècle, le risque
était généralement assimilé à la prudence. Cette vision était issue des idées philosophiques de
l’époque.
La notion de risque prend réellement naissance avec l’évolution de la recherche mathématique
sur les calculs de probabilités au XVIIIème siècle. Les progrès scientifiques, industriels et
28
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
technologiques qui ont marqué le XIXème et le XXème siècle ont mis en exergue la notion de
risque industriel et humain générant le concept de gestion des risques.
Dans notre système économique, social et financier, la gestion des risques oblige les
entreprises à élaborer des procédés performants et à se doter de moyens visant à se protéger
des divers risques qui les menacent dans un contexte environnemental de plus en plus
concurrentiel et fragilisé.
À partir des années 90, la prise de conscience des limites de nos ressources naturelles, les
évolutions socioculturelles, le développement de la mondialisation et des nouvelles
technologies en matière de communication ont contraint les entreprises à repenser leur
système de gestion des risques, en privilégiant les domaines de la sécurité des personnes, de la
protection de l’environnement et des normes de qualité.
L’instabilité politique, économique et financière de la crise actuelle observée à l’international
est source de risques nouveaux pour les entreprises, entrainant des répercussions macro et
microéconomiques et nécessitant une réactivité immédiate en matière de gestion des risques.
2.2.2 Définition du risque :
Il existe de nombreuses définitions du risque, mais non pouvons retenir celle de
POUMADERE (chercheur à l’E.N.S de Cachan) :
« Les risques constituent une menace pour les êtres humains et ce à quoi ils sont attachés.
Associé à la notion d'événement, le risque se définit comme une entité à deux dimensions :
probabilité d'une part et conséquence(s) d'autre part. Mesure d'un danger associant une
mesure de l'occurrence d'un événement indésirable et une mesure de ses effets ou
conséquences. »
Ainsi que celle de l’IFACI (Institut Français de l’Audit et du Contrôle Interne) :
« Un risque est un ensemble d’aléas susceptible d’avoir des conséquences négatives sur une
entité et dont le contrôle interne et l’audit ont notamment pour mission d’assurer autant que
faire se peut, la maitrise »
Typologie des risques :
Les risques d’une entreprise s’analysent tout d’abord au regard de la sphère dans laquelle ils
évoluent : la sphère naturelle, technologique, sociopolitique et financière.8
8 www.ffsa.fr
29
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Figure 2
la sphère naturelle : concerne les risques liés à la nature (difficiles à prévoir et à
évaluer).
la sphère technologique : concerne les risques techniques liés à l’activité humaine
(exemples : risques informatiques, risques liés à une erreur de manipulation ou à une
défaillance technologique).
la sphère socio-politique : concerne les risques liés à notre système politico-social.
la sphère financière : concerne les risques financiers qui peuvent impacter
l’entreprise.
Les différents types de risques existants pour une entreprise sont aussi répertoriés en quatre
catégories déterminées en fonction de leurs causes dont les quatre principales sont : l’origine,
l’activité, la nature et le niveau des risques.
Les risques en fonction de leur origine9
Selon leur origine, les risques peuvent être classés en deux catégories :
9 www.memoireonline.com Cartographie des risques liés au cycle ventes/clients par Mohamed Douty Soumah ISCAE-G 2009
30
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Figure 3
le risque interne qui provient d’un processus non performant ou de
l’information de gestion,
le risque externe qui est difficilement maitrisable et qui résulte d’un changement dans
l’environnement de l’entreprise.
Les risques en fonction de leur activité10
Selon leur activité, les risques peuvent être classés en cinq catégories :
Figure 4
10 www.memoireonline.com Cartographie des risques liés au cycle ventes/clients par Mohamed Douty Soumah ISCAE-G 2009
31
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
I. les risques financiers : « correspondent aux différents risques inhérents aux activités
bancaires et financières, au sens large, et peuvent potentiellement concerner l’ensemble des
agents économiques ; ils comprennent les risques de change, de taux ou de liquidités »11,
II. le risque économique : « regroupe l’ensemble des risques associés à l’activité
économique des entreprises, il comprend les risques d’origine externe à l’entreprise (risque
politique ou risque d’inflation), mais aussi des risques spécifiques à l’entreprise (risque
opérationnel, risque d’escroquerie) »12,
III. les risques sociaux : « sont constitués des dérives possibles, internes ou externes à
l’entreprise, d’origine humaine, sociale, économique, législative ou politique, ou bien encore
à la communication de l’entreprise ou des médias »13,
IV. les risques environnementaux : « ce sont tous les risques associés au milieu dans lequel
évolue l’entreprise (région, ville, fournisseurs, etc.) »14. Ce sont donc des éléments externes à
l’entreprise qui peuvent contrarier son développement commercial et stratégique.
V. les risques opérationnels : « sont les risques de pertes qui proviennent des erreurs du
professionnel au sens large, des systèmes ou processus, ou des événements externes, tels que
les risques de détérioration de l’outil industriel, les risques technologiques, les risques
climatiques ou environnementaux »15.
« Selon le Comité de Bâle, ce sont les risques de pertes provenant de processus internes
inadéquats ou défaillants, de personnes et systèmes ou d’événements externes »16 .
Les risques en fonction de leur nature17
11 www.trader-finance.fr12 www.trader-finance.fr13 www.pwc.fr14 portail-des-pme.fr article de Jean Christophe BONIS Qu’est ce que le risque environnemental ?15 www.lesechos.fr/finance-marches/16lecercle.lesechos.fr/abcedaire/Rique opérationnel par Pascal Ordonneau 29/04/2011
32
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Selon leur nature, les risques peuvent être classés en quatre18 catégories :
Figure 5
le risque inhérent : « Pour OBERT (1995) c’est le risque qu’une erreur
significative se produise compte tenu des particularités de l’entreprise, de ses
activités, de son environnement. C’est le risque lié au secteur d’activité de
l’entreprise ; il ne dépend pas du dispositif de contrôle mis en place par
l’entreprise »,
le risque de non-contrôle : « Pour OBERT, c’est le risque que le système interne
de l’entreprise ne prévienne pas ou ne détecte pas de telles erreurs»,
le risque de non-détection : « C'est le risque résiduel après le passage de l'audit
interne.
Ce risque est du soit à une mauvaise interprétation des conclusions d'audit, soit à
une insuffisance d'investigation lors des travaux d'audit »,
le risque résiduel : « C’est le risque qui subsiste après l’application des politiques
de maîtrise des risques ».
17 www.memoireonline.com Cartographie des risques liés au cycle ventes/clients par Mohamed Douty Soumah ISCAE-G 200918 www.memoireonline.com Cartographie des risques liés au cycle ventes/clients par Mohamed Douty Soumah ISCAE-G 2009
33
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Les risques en fonction de leur niveau19
Selon leur nature, les risques peuvent être classés en trois catégories :
Figure 6
le risque potentiel : « c’est le risque maximum encouru en l’absence de tout système
de défense. Il est constitué à la fois des risques internes et des risques externes »20,
le risque matériel : « C’est un risque qui s’est déjà matérialisé dans l’entreprise et
son impact doit être évalué afin de définir une politique efficace pour sa maîtrise »21,
le risque possible : « C’est le risque potentiel contre lequel une entreprise donnée ne
s’est pas dotée de moyens pour le limiter ou le détecter ou le corriger »22.
Le risque dans l’entreprise
La cartographie que nous venons de présenter met en évidence l’importance des différents
risques qui menacent les entreprises.
19 www.memoireonline.com Cartographie des risques liés au cycle ventes/clients par Mohamed Douty Soumah ISCAE-G 200920 www.afnor.org maîtrise des risques bibliothèque virtuelle documents et normes Penser la mise en œuvre du contrôle interne par Anne-Claude Gouvernec 01/09/200721 www.memoireonline.com Cartographie des risques liés au cycle ventes/clients par Mohamed Douty Soumah ISCAE-G 200922 www.memoireonline.com Cartographie des risques liés au cycle ventes/clients par Mohamed Douty Soumah ISCAE-G 2009
34
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
La maitrise des risques est donc pour les dirigeants un axe de priorité majeure, afin de
protéger l’entreprise de sa vulnérabilité tout en lui assurant sa longévité ; elle est aussi le
garant de la protection du système de production. On peut donc dire que le risque représente
une menace qui affaiblit l’entreprise si son impact négatif n’est pas canalisé et maîtrisé.
En interne, il a des répercussions au niveau :
des ressources de l’entreprise,
de ses produits et/ou services,
de ses clients,
de sa durée de vie.
Si l’impact est trop important ou selon la nature du risque (confère la cartographie présentée
ci-dessus), les répercussions peuvent être aussi externes à l’entreprise et toucher :
le marché,
l’activité
ou encore, l’environnement.
Ce sont les raisons pour lesquelles, la majorité des moyennes et grandes entreprises, créent
aujourd’hui de nouvelles fonctions au sein d’une structure dédiée à la gestion des risques : il
s’agit d’équipes spécialisées dans le domaine de la maitrise des risques, qui sont dirigées par
un gestionnaire du risque appelé aussi « risk manager ».
La finalité de ces nouvelles structures est d’anticiper ou de corriger les risques internes et
externes afin de diminuer au mieux les aléas qui pourraient entraver le développement de
l’entreprise ou nuire à son image de marque et à sa pérennité.
2.2.3 Les composantes de la gestion des risques
Il est donc du ressort de chaque entreprise d’instaurer un dispositif de gestion des risques qui
corresponde à ses besoins propres. Néanmoins, ce dispositif qui doit répondre à au moins trois
exigences fondamentales :
précision des fonctions et des responsabilités de chacun d’un point de vue
organisationnel,
élaboration d’un processus de gestion des risques en trois points :
35
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
identification,
analyse,
et traitement des risques,
pilotage permanent de la gestion des risques.
Ce dispositif doit faire l’objet de révisions continues puisqu’il est par essence établi en
fonction de risques survenus, lesquels ont fait l’objet d’actions correctives ou de plans de
redressement ou d’amélioration.
2.2.4 Les étapes de la gestion des risques
L’identification des risques
Dans un premier temps, il conviendra d’observer et de repérer le contexte dans lequel s’inscrit
le risque afin de prévoir et planifier l’activité concernée, puis de déterminer sa finalité, ses
objectifs et les moyens qui y sont rattachés. Il faudra en amont prévoir des dispositifs de
contrôle et des reportings. Les risques surviennent souvent de façon inattendue et leurs
conséquences peuvent nuire à la réalisation de l’activité et au développement de l’entreprise
comme nous l’avons déjà expliqué.
La phase d’identification du risque nécessite donc une analyse de la nature du risque et de ses
raisons de survenance : on parle alors des « facteurs de risques ».
Ce procédé est aujourd’hui, celui qui est le plus utilisé en matière de gestion des risques, car il
présente un point fort non négligeable : il permet d’anticiper les risques tout en se focalisant
sur l’optimisation maximale de leur traitement.
Les cinq risques majeurs pour une entreprise sont :
le marché et ses évolutions (tendances, globalisation, délocalisation),
les marchés financiers (investisseurs, actionnaires),
les risques de change, taux, matières premières,
les concurrents,
les risques de crédit et de contreparties.
36
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Ces risques prennent une importance différente selon la sensibilité des secteurs d’activité : à
titre d’exemple, les secteurs bancaire et assurantiel s’intéressent davantage aux risques
financiers, liés à la distribution ou à la concurrence tandis que le secteur de l’industrie sera
plus sensible aux risques liés aux matières premières par exemple.
L’analyse des risques
Une fois les risques identifiés, ces derniers doivent être évalués en fonction de l’importance
des pertes potentielles et de leur probabilité de survenance.
Cependant les causes des risques et de leur survenance ainsi que les conséquences de leurs
répercussions sont parfois difficilement identifiables en raison du manque de données sur la
fréquence de certains risques ou de données non quantifiables.
La finalité de cette seconde étape est d’évaluer au mieux les risques identifiés afin de mettre
en place des actions prioritaires et d’établir ainsi, un plan de gestion des risques. Il faudra
donc en premier lieu repérer et identifier les risques fondamentaux en vue d’organiser des
plans d’actions efficaces dans le cadre de l’optimisation de la gestion des risques.
Le risque est évalué grâce à la formule suivante :
Probabilité de survenance X gravité
On pourra en conclure que le risque est « maximum » quand la probabilité de survenance sera
élevée et que la perte estimée sera importante pour l’entreprise.
À ce niveau d’analyse, il est généralement fait référence à la cartographie des risques qui
renseigne sur les caractéristiques spatiales des risques, laquelle apporte des précisions sur les
différents critères qui caractérisent risques et leur vulnérabilité.
Le traitement des risques
Cette troisième phase de l’élaboration du processus de gestion des risques permet d’envisager
et de déterminer les plans d’action les plus appropriés pour traiter les risques repérés.
Il existe plusieurs méthodes de gestion des risques qui présentent des points communs avec
les catégories de DORFMAN regroupées sous la dénomination des « 4T » :
37
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Présentation des 4 « t »
Figure 7
L’atténuation
La méthode de l’atténuation a pour finalité de traiter directement le risque et donc de diminuer
l’importance du sinistre, comme le sprinkler en matière d’incendies : son utilisation permet de
diminuer la fréquence des incendies et d’amoindrir la gravité du risque en alertant directement
les secours et en éteignant les feux.
La rétention
Le principe de rétention est d’accepter les conséquences du risque sans chercher à les
supprimer ni à les amoindrir. La rétention est utilisée dans les cas où une couverture
d’assurance des risques serait trop coûteuse et sans bénéfice réel à long terme. Il s’agit là
d’une décision d’entreprise.
Les risques non évités ou non transférés sont donc considérés comme acceptés ; seront donc
considérés comme acceptés les risques issus de faits inassurables ou trop onéreux comme
certaines catastrophes naturelles ou les faits de guerre par exemple.
L’évitement
L’évitement, du latin evitare qui signifie « éviter, fuir »23, consiste à « fuir » une activité à
risques ou plus précisément à y renoncer.
Cela implique un renoncement aux bénéfices éventuels qui auraient pu être obtenus en
exerçant cette activité. Il s’agit là encore d’un choix d’entreprise dans sa stratégie de
développement.
23 Dictionnaire Latin/français. Felix Gaffiot première édition 1934
38
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
On peut donner en exemple le cas d’une entreprise qui renonce à conquérir un nouveau
marché afin d’éviter de possibles pertes ; a contrario cette entreprise renonce aussi aux gains
qu’elle aurait pu réaliser par la pénétration de ce nouveau marché.
Le transfert
Enfin, cette dernière méthode consiste à assurer le risque par la souscription d’un contrat
d’assurance. L’entreprise transfère le risque à l’assureur qui l’assumera s’il survient, en
contrepartie du paiement d’une prime d’assurance par l’entreprise. Le principe du transfert est
couramment utilisé par les « risk managers » : cette technique est pour eux sécurisante et
facilement applicable.
Le reporting
Pour être totalement efficace, le processus de la maitrise des risques s’appuie sur la technique
du reporting qui donne une traçabilité de la gestion des risques et plus précisément de
l’identification des risques et du suivi du dispositif de gestion.
Le reporting intègre une auto-évaluation des risques et des contrôles effectués par les équipes
opérationnelles.
Les données informatives du reporting constituent une richesse pour mener à bien la gestion
des risques ; il s’agit d’un élément primordial dans la réussite et l’optimisation du dispositif de
maitrise des risques, et ce, quels que soient la taille et le secteur d’activité de l’entreprise
concernée.
Un système d’information pour la gestion des risques (SIGR) permet de gérer l’intégralité de
l’activité de gestion des risques et joue un rôle de centralisation et de consolidation des
données.
Le Système d’ Information pour la Gestion des Risques permet également d’assurer un suivi
de l’activité et simplifie la communication avec les différentes parties prenantes du projet.
SYNTHÈSE :
Nous venons dans le cadre de cette deuxième partie, de mettre en lumière le fonctionnement
d’un dispositif de contrôle interne et de maîtrise des risques dans l’entreprise.
39
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Il est essentiel de comprendre que ce dispositif doit impliquer l’ensemble de la structure et
non uniquement les professionnels du contrôle interne, de l’audit interne ou du risk
management.
Il est également important de retenir que les risques ont de nombreuses origines et sont
partout présents dans l’entreprise. Des outils et méthodes existent pour les maitriser et en
suivre l’évolution.
Nous allons maintenant, dans la troisième partie de ce mémoire, nous attacher à démontrer
que le contrôle interne ne se limite pas à aider l’entreprise à se mettre en conformité avec la
loi, mais qu’il s’avère être un outil de pilotage essentiel pour le management de l’entreprise,
ainsi qu’une activité pouvant créer de la valeur.
TROISIÈME PARTIE : UNE ACTIVITÉ CRÉATRICE DE VALEUR AJOUTÉE
3.1 La valeur ajoutée du contrôle interne 3.1.1 Définition
La valeur :
Il convient dans un premier temps de définir c’est qu’est la valeur. D’ordinaire, le terme de
valeur ajoutée est employé dans le domaine comptable et financier comme : « Le supplément
de valeur donné par l'entreprise, dans son activité, aux biens et aux services en provenance
40
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
des tiers. Elle est égale à la somme de la marge commerciale et de la marge sur
consommation de matières, diminuée des consommations de biens et de services en
provenance des tiers. La valeur ajoutée est utile pour caricaturer un secteur et constitue une
mesure de l'intégration de l'entreprise dans son secteur. »24
La création de valeur :
La création de valeur est quand à elle, définissable comme « le Résultat de la capacité de
l'entreprise de réaliser un ou des investissements dont le taux de rentabilité s'avère être
supérieur aux taux de rentabilité exigé (le coût moyen pondéré du capital) compte tenu du
risque de l'investissement. La création de valeur est l'objectif rationnel de tout dirigeant de
société. »25
3.1.2 Contrôle interne et valeur ajoutée
Le contrôle interne est souvent perçu au mieux, comme un mal nécessaire qui n’apporte pas
de gain direct et dont l’apport est impossible à mesurer/ quantifier, et au pire, comme une
charge obligatoire sans aucune valeur ajoutée.
Il est vrai qu’il demeure difficile de mesurer en totalité l’apport du contrôle interne dans la
valeur ajoutée de l’entreprise, ne serait-ce que parce que la valeur perçue n’est pas la même
suivant les personnes. Elle est souvent interprétée de façon différente suivant les attentes
initiales des différentes parties prenantes.
Définir la valeur ajoutée du contrôle interne peut revenir à comparer les coûts engendrés par
le système de contrôle et les produits ou coûts évités à l’entreprise par ce même dispositif.
La principale difficulté dans le calcul des coûts engendrés par le contrôle interne réside dans
le fait que si le dispositif est bien intégré aux activités courantes, le temps passé par les ETP
(Effectif Temps Plein) sur les tâches de contrôle interne devient difficilement mesurable de
façon fiable.
De plus, tous les gains ne sont pas forcément quantifiables avec précision, notamment
certains gains indirects liés à l’image ou au bien-être au travail.
24 Vernimmen.net25 Lesechos.fr
41
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
La valeur ajoutée du contrôle interne n’est donc pas mesurable par un simple calcul
arithmétique visant à comparer les coûts aux revenus (ce qui exclurait tous les coûts et gains
cachés), mais peut être appréhendée comme « le rapport entre un résultat souhaité et un coût
que l’on est prêt à supporter pour obtenir ce résultat »26.
Autre difficulté : un dispositif de contrôle interne est dynamique. Les résultats dépendent
donc énormément du contexte de l’entreprise à un instant T.
La valeur ajoutée du dispositif pour une structure :
Le contrôle interne :
Le Contrôle interne est vecteur d’harmonisation dans l’entreprise. Il permet à toute la
structure de parler le même langage, de travailler de la même façon, d’effectuer des contrôles
similaires qui pourront par la suite être comparés, ce qui favorisera la diffusion des bonnes
pratiques.
Le contrôle interne joue un rôle important dans le climat social de l’entreprise. En effet, il
peut permettre de motiver les salariés de différentes façons :
En les formant ; ces derniers seront plus efficaces, constateront leurs progrès et seront
plus motivés.
En diffusant de bonnes pratiques qui résoudront certains problèmes rencontrés
quotidiennement.
En jouant un rôle de diffuseur/remonteur d’informations. Si la parole leur est donnée,
leur sentiment d’appartenance sera développé.
En aidant les salariés à se situer dans l’organisme. Dans le dispositif de contrôle
interne, chacun a un rôle à jouer et une place bien précise. Il sera donc possible de
montrer à salarié qu’il a un rôle défini et important pour la structure et qu’il n’est pas
un anonyme de passage dont le travail importe peu.
Le management des risques :
La contribution à la maitrise des risques est un des principaux éléments de la valeur ajoutée
du dispositif pour les entreprises.
La mise en place d’un dispositif de contrôle interne et de maîtrise des risques permet de
connaître son entreprise en mettant en lumière des informations nouvelles. En effet, lorsque
26 Cahier de recherche de l’IFACI « La création de valeur par le contrôle interne »
42
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
les informations remontées depuis une base d’incident par exemple, sont compilées, cela
permet de savoir si un risque se réalise souvent, d’identifier les causes de ces réalisations etc.
L’audit interne :
D’après le cahier de recherche de l’IFACI sur la valeur ajouté du contrôle interne, les
responsables de l’Audit sondés considèrent la valeur ajoutée de leur service est :
« La pertinence des recommandations, une bonne gestion de la crise ainsi que la capacité à
anticipation des risques. »
A cela nous pouvons ajouter :
que les recommandations effectuées permettent d’accroitre la performance de
l’entreprise,
que les auditeurs peuvent identifier des risques que le management des risques aurait
laissé passer,
que les auditeurs sont des canaux de communication et de diffusion des bonnes
pratiques de l’entreprise,
que l’audit apporte un regard indépendant sur un service, une activité à la direction et
joue un rôle de conseiller auprès des dirigeants dans leur prise de décision,
que les auditeurs deviennent des « experts de la société » qui peuvent à terme devenir
manager dans la structure. Connaissant très bien le fonctionnement global de
l’entreprise, ces derniers feront des managers efficaces au service de la performance
de la structure.
3.1.3 Les conditions de création de valeur par le dispositif de contrôle interne
La mise en place d’un dispositif de contrôle interne ne garantit en rien que celui-ci représente
une réelle valeur ajoutée pour l’entreprise. De nombreuses raisons peuvent expliquer ce
phénomène, comme :
un dispositif encore trop jeune,
un dispositif inadapté à l’entreprise,
un manque de moyens mis à disposition,
une inadéquation entre les ressources octroyées et les besoins réels,
43
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
une structure « âgée » et donc difficile à faire évoluer.
Il existe donc un certain nombre de conditions à respecter afin de faire du dispositif de
contrôle interne, un réel outil efficient au service de la création de valeur par l’entreprise :
L’approche doit être réaliste et adaptée aux besoins des opérationnels (le cahier de
recherche de l’IFACI sur la création de valeur par le contrôle interne précise qu’il faut
contrôler ce qui doit être contrôlé et pas uniquement ce que l’on contrôle
habituellement).
Le contrôle interne doit bénéficier d’un soutient fort de la part de la gouvernance de
l’entreprise. Au plus les liens de rattachement seront élevés dans la hiérarchie, au plus
son poids sera important dans la structure.
Il pourra donc avoir davantage d’influence, et ses effets positifs seront plus simples à
démontrer. Le dispositif doit également s’apparenter à un projet « d’entreprise » et non
à un projet classique qui par définition à un début et une fin. Des ressources à
moyen/long terme doivent donc être déployées afin d’assurer la pérennité du dispositif
et d’en garantir l’amélioration continue.
La valeur ajoutée du contrôle interne augmente lorsque l’ensemble de la structure est
mis à contribution. L’adhésion de tout le personnel de la société est un facteur clé de
réussite. Afin de remporter l’adhésion des opérationnels, il est fondamental de ne pas
faire du contrôle interne un sujet pour les spécialistes, mais un outil à la portée de tous.
Il est également important d’intégrer les opérationnels dans toutes les étapes de la
construction du dispositif.
Le système doit être homogène et parfaitement coordonné.
Le référentiel ne doit pas être figé. Il doit vivre et évoluer avec la structure. Le
dispositif de contrôle interne doit donc être contextualisé.
Il est également important de ne pas tomber dans le « spray and pray » (diffuser
massivement de l’information et des instructions en espérant un retour positif).
44
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Le contrôle interne ne doit pas se contenter de satisfaire aux exigences règlementaires,
mais doit être un outil au service des managers en leur apportant notamment de
nouvelles informations. Il ne doit pas être vécu comme une contrainte par les
managers, mais bien au contraire, comme un levier au service de la performance et de
la création de valeur. Afin de développer la culture du contrôle interne chez les
responsables, il est important lors de la mise en place du dispositif, de s’intéresser à
leurs préoccupations quotidiennes et pas uniquement aux aspects règlementaires.
Il est nécessaire de définir les clients du contrôle interne de l’entreprise afin de prendre
en compte leurs attentes pour construire un dispositif qui va représenter pour eux, une
valeur ajoutée. « Il existe deux types de clients, à savoir les clients internes (DG,
gouvernance, CA, Comité d’audit) et les clients externes (investisseurs, CAC, autorités
de tutelle) »27. Il faut ensuite déterminer des critères de satisfaction de ces clients
(critères qualitatifs et critères quantitatifs) afin de pouvoir leur démontrer ce que le
dispositif leur apporte.
Le système doit être pro actif : en effet, l’environnement de l’entreprise connaît en
permanence des évolutions (plus ou moins soudaines). Hors le système de gestion des
risques et le dispositif de contrôle interne doivent être constamment en adéquation
avec l’univers dans lequel l’entreprise évolue. Le dispositif doit donc toujours
anticiper les changements afin d’être prêt à s’adapter à toutes les évolutions qui vont
rythmer la vie de l’entreprise.
Le dispositif de gestion des risques doit s’attacher à la recherche d’efficacité globale.
Une stricte séparation des tâches est importante entre l’audit interne, le contrôle
interne et le management des risques.
En ce qui concerne le suivit de l’efficacité du dispositif :
27 Colloque IFACI du 28 septembre 2010
45
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Une étude d’impact doit être effectuée avant et après chaque plan d’action afin
d’évaluer l’effet réel des changements opérés.
Le système de communication doit être personnalisé en fonction des parties prenantes
concernées par les résultats communiqués.
La communication interne du contrôle interne doit être basée sur les aspects qualitatifs
(efficacité dans un domaine par exemple) et pas seulement sur les aspects
règlementaires.
3.2 Mesure de la création de valeur par le contrôle interne3.2.1 Pourquoi mesurer la valeur ajoutée du contrôle interne
Néanmoins, il demeure important de mesurer la valeur ajoutée du dispositif de contrôle
interne d’une entreprise pour diverses raisons :
cela peut être un bon indicateur d’amélioration continue,
les nombreuses composantes du dispositif de contrôle interne sont de bons outils
d’aide à la décision et au pilotage,
l’évaluation du contrôle interne de l’entreprise permet de faciliter son implémentation,
cela permet de proportionner les ressources allouées au dispositif de contrôle interne
par rapport aux enjeux réels.
3.2.2 Comment mesurer la valeur ajoutée du contrôle interne
Mesure de l’efficacité du dispositif de contrôle :
46
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Figure 8 :
La balanced scorecard. La balanced scorecard ou tableau de bord prospectif est un modèle de pilotage de la performance créé par Robert KAPLAN et David NORTON. 28Dans le cadre de leurs recherches sur la création de valeur par le contrôle interne les chercheurs de l’IFACI ont adapté le mode de base au dispositif de contrôle interne
Les différents indicateurs :
les clients : cet indicateur vise à mesurer la satisfaction des clients du contrôle interne
de l’entreprise.
les activités : cet indicateur est essentiel, il vise à mettre en rapport les coûts engagés
les objectifs fixés au préalable.
les risques et opportunités : Cet indicateur permet d’évaluer la capacité du dispositif
à maitriser les risques de l’entreprise.
l’organisation et la gouvernance : cet indicateur vise à mesurer la capacité de la
structure à mettre en place une structure de gouvernance adaptée aux besoins liés à son
activité.
3.2.3 L’intérêt du suivi des coûts cachés
Comme nous avons pu le voir, bien qu’il existe une multitude d’indicateurs, il n’existe pas
encore de méthode officielle d’évaluation de l’apport du contrôle interne. Afin de pouvoir
évaluer avec fiabilité le dispositif, il convient de :
28Figure 8
47
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
trouver des indicateurs communs qui puissent être utilisables et compréhensibles par
l’ensemble des parties prenantes tel que les opérationnels, les dirigeants, les autorités
de contrôle et de tutelle, les actionnaires, etc,
utiliser des indicateurs prenant en compte l’ensemble de la création de valeur ajoutée
par le contrôle interne et non des indicateurs prenant uniquement les input ou output,
valoriser l’ensemble des dispositifs (coûts et bénéfices),
augmenter la pertinence des reportings et des indicateurs existants,
prendre en compte l’importance majeure des bénéfices intangibles et les mettre en
avant malgré tout.
L’ensemble de ces points présente majoritairement un problème de manque de recul par
rapport à l’évaluation du dispositif. Ce problème devrait se régler dans les années à venir. le
principal problème qui risque de persister est la prise en compte dans l’évaluation des
bénéfices intangibles. Il demeure compliqué de calculer/prévoir le coût et le retour sur
investissement de certaine partie du contrôle interne.
En effet, le calcul du retour sur investissement n’est pas toujours possible car :
au vu de la complexité du calcul, il est nécessaire que le dispositif soit mature pour
que le résultat soit fiable,
un dispositif de contrôle interne est un système vivant/dynamique dans le temps et qui
doit être évalué sur la durée et pas forcément à un instant « t »,
la mesure d’un retour sur investissement n’est pas forcément réalisable sur un certain
nombre de domaines appartenant au périmètre du contrôle interne tel que
l’exemplarité ou l’image par exemple…
Face à cette difficulté dans l’évaluation de la valeur ajoutée du contrôle interne la théorie des
coûts cachés d’Henry SAVALL président fondateur de l’ISEOR peut s’avérer pertinente.
Il peut paraitre inapproprié dans un devoir portant sur le contrôle interne de traiter d’une
théorie qui aurait plutôt sa place dans un travail de recherche sur le contrôle de gestion, mais à
la lecture des ouvrages de l’ISEOR, il apparaît clairement que le contrôle interne, bien qu’il
ne soit pas nommé en ces termes dans les travaux de recherche de H.SAVALL, joue
48
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
clairement un rôle majeur dans la maitrise des coûts cachés. Peut-être est-ce d’ailleurs dans ce
domaine qu’il représente la plus forte valeur ajoutée pour l’entreprise.
L’un des autres avantages non négligeables des travaux de L’ISEOR réside dans le fait que
cette entité a mis au point une méthode d’évaluation des coûts cachés. Il apparaît donc évident
que la mesure régulière de ces coûts permettra de mesurer les évolutions entrainées par les
plans d’améliorations mis en place par le contrôle interne.
L’ISEOR propose également quelques solutions de management et suivi des coûts et
performances cachés qu’il n’est pas inintéressant d’explorer afin d’aider le contrôle interne à
augmenter sa valeur ajoutée.
Notion de coût caché
La notion de coûts cachés a été modélisée par H.SAVALL chercheur et professeur
d’économie. Selon lui « un coût est considéré comme caché à partir du moment où il
n’apparaît pas explicitement dans un système d’information de l’entreprise (Système
comptable, budgétaire tableau de bord) ».
Cette méthode a fait suite au constat suivant :
« Les systèmes d’informations comptables ne permettent pas de mettre en évidence un certain
nombre de coûts qi sont pourtant supportés par les entreprises ».29
Un coût caché est donc un coût réel supporté par une entreprise, mais qui n’est pas isolable
dans la comptabilité (ne possède pas de dénomination comptable propre).
Ces coûts, bien que non identifiables, ont une incidence directe sur la performance
économique de l’entreprise (une récente étude menée dans une trentaine de pays et sur plus de
1000 entreprises a démontré qu’en moyenne les coûts cachés représentent chaque année pour
les entreprises entre 15 000 et 60 000 euros par salariés).
Pourquoi calculer les coûts cachés ?
La motivation principale qui amène à une démarche de calcul des coûts cachés réside avant
tout dans une démarche de recherche d’efficacité.
29 Henri SAVALL, Véronique ZARDET : « Maîtriser les coûts et les performances cachés »
49
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Pour une entreprise les enjeux sont multiples :
le calcul de ces coûts peut aider à expliquer les différences d’efficacité entre plusieurs
entités, services d’un même groupe par exemple,
il peut également aider à expliquer les écarts entre les prévisions budgétaires et les
chiffres réellement constatés,
bien entendu l’objectif est également d’augmenter la rentabilité de l’entreprise
puisqu’une fois identifiés ces coûts pourront faire l’objet d’un plan d’action et de
suivi,
ces coûts étant identifiés et quantifiés les budgets établis seront plus fiables et le
pilotage de l’entreprise sera plus simple puisque les dirigeants pourront prendre leurs
décisions en s’appuyant sur des données fiables.
Il existe deux objectifs d’application quant à l’évaluation des coûts cachés :
L’évaluation à priori qui va servir à effectuer un bilan à un instant « t » des coûts
cachés supportés par l’entreprise et ainsi en estimer la compressibilité. Le gain ou les
non-coûts estimés pourront être pris en compte par la direction comme objet de
financement d’un autre poste de dépense ou bien venir en résultat dans les provisions.
L’évaluation a posteriori qui permet de mesurer l’efficacité d’une politique menée sur
la réduction des coûts cachés. Si celle-ci s’avère être efficace, elle pourra être
appliquée à d’autres secteurs de la société par exemple.
Origine des coûts cachés
On peut généralement définir les coûts cachés comme des coûts de dysfonctionnement, de
non-performance ou de non-conformité.
H. SAVALL a classé les dysfonctionnements qui engendrent des coûts cachés et affectent la
performance de l’entreprise en six familles :
les conditions de travail,
l’organisation de travail,
la gestion du temps,
la communication-coordination-concertation,
la formation intégrée,
50
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
la mise en œuvre stratégique.
Types de coûts cachés :
Les coûts cachés sont composés de six parties, qui elles-mêmes sont à classer en deux grandes
catégories : les surcharges et les non produits.
Les surcharges :
les sursalaires qui correspondent au temps passé par une personne surqualifiée et donc
sur rémunérée sur une activité que ne devrait pas figurer dans ses prérogatives,
le surtemps qui correspond au temps passé/gaspillé à résoudre un dysfonctionnement,
la surconsommation qui correspond comme son nom l’indique au fait de consommer
d’avantage de ressource que nécessaire pour pallier à un dysfonctionnement.
Les non produits :
Les coûts d’opportunité qui correspondent à une perte de production ou d’activité liée
à un dysfonctionnement (panne à répétition qui donne une mauvaise image de marque
par exemple),
Les coûts de non-création de potentiel stratégique :
Ces coûts sont des coûts cachés indirects. H.SAVALL considère que le temps passé à
réguler un dysfonctionnement aurait pu être passé à créer de la valeur par les agents.
Par exemple, un ingénieur travaillant à résoudre une panne récurrente aurait pu être
utilisé à de la recherche et aurait pu aider à mettre au point plus tôt un nouveau
produit. Le coût de non-création de potentiel correspond au manque à gagner engendré
par ce retard.
Le coût des risques auxquels l’entreprise est exposée, liés aux dysfonctionnements
récurrents.
Comment détecter les coûts cachés ?
Dans une entreprise, rechercher les coûts cachés revient à rechercher les « poches de sous-
efficacité » de l’entreprise.
Méthode de calcul des coûts cachés :
51
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
L’évaluation des coûts cachés nécessite dans un premier temps d’identifier les sources de
dysfonctionnement (d’où l’utilité d’un système de contrôle interne et de maitrise des risques
efficace et utilisant des outils de reporting fiables).
Cela peut par exemple revenir à mettre en avant l’adéquation entre la formation et l’emploi
réel des employés afin de repérer les sources d’inefficacité.
Méthode SOF
La méthode SOF (social, organisationnel, financier) également nommée QQFI (qualitative,
quantitative, financière) a été mise en place par l’ISEOR dans le cadre de ses travaux de
recherche sur les coûts cachés en entreprise.
Elle permet d’évaluer le montant des coûts cachés d’une structure ainsi que d’estimer les
avantages (économiques) que la réduction de ces coûts va engendrer.
Cette méthode est organisée en trois modules :
un module Social, qui a pour but d’identifier les dysfonctionnements de base ainsi que
leur(s) origine(s),
un module Organisationnel, qui a pour objectif d’identifier les régulations effectuées
pour résoudre ces dysfonctionnements et mettre en avant leurs incidences
économiques,
et un module Financier qui a pour objectif d’évaluer de façon précise les coûts
engendrés par les régulations.
À partir de cette méthode simple, il est donc aisé d’évaluer l’apport du contrôle interne dans la
production de valeur par l’entreprise.
SYNTHÈSE :
Nous venons de démontrer que le dispositif de contrôle interne et de maîtrise des risques peut
être un outil au service de la création de valeur à condition de respecter certains principes de
fonctionnement.
Des solutions simples existent pour évaluer l’implication de ce dispositif dans la création de
valeur notamment grâce aux travaux d’Henry SAVALL sur le management des coûts cachés
de l’entreprise.
52
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Nous allons à présent passer à la partie pratique de ce mémoire en traitant du cas de la société
MFP Services. Dans cette quatrième partie, nous nous attacherons à trouver des solutions pour
que le dispositif de contrôle interne de maîtrise de risques puisse non plus se contenter de
satisfaire aux obligations légales mais créer de la valeur.
MUTUELLES ADHERENTES
ASSEMBLEE GENERALE87 délégués (1 homme = 1 voix)
MUTUELLES ADHERENTES
MUTUELLES ADHERENTES
CONSEIL D’ADMINISTRATION21 Administrateurs
BUREAU EXECUTIF7 membres (Président Général, 6 Vice-
présidents) et 6 invités permanents
PRESIDENT GENERAL
3 COMITES SPECIALISES
53
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
QUATRIÈME PARTIE : LE CAS MFP SERVICES
4.1 Contexte et définition de la mission
MFP Services est une Union territoriale et hospitalière, composée de mutuelles des fonctions
publiques d’Etat.
La gouvernance de MFP Services peut être synthétisée ainsi :
Au sein de MFP Services, cinq acteurs opérationnels participent à la construction de
dispositifs de contrôle interne et de maîtrise des risques :
- le service Audit (SAI) réalise des missions d’audit et assure la coordination
des acteurs des dispositifs de contrôle interne au sein du groupe
MFP Services,
- référents « contrôle interne » (un par direction) veillent à la maîtrise des
processus dont ils ont la responsabilité, et assurent la construction et la
maintenance de référentiel de contrôle interne (avec le soutien du SAI),
54
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
- le Responsable de la Sécurité du Système d’Information (RSSI), rattaché
à la Direction des Activités Métiers et Maîtrise d’Ouvrage (DAMMOA),
veille à la bonne application de la Politique Générale de la Sécurité du
Système d’Information (PGSSI) et au déploiement du contrôle interne
informatique,
- les pôles PMS et CI rattachés à la DAMMOA, assurent le contrôle interne
spécifique à l’activité liée au RO « Assurance Maladie » à travers le déploiement
des PMS (Plans de Maîtrise Socle) et des PCSAC (Plans de Contrôle Socle de
l’Agent Comptable),
- le corps d’inspection vérifie au sein du Réseau que l’ensemble des entités
respecte les procédures et consignes émanant du Siège.
L’organigramme structurel du contrôle interne
Les instances du contrôle interne de l’entité MFP Services sont composées d’un Comité
d’Audit et de Suivi Financier (CASUF), et de deux instances créées en 2011 (Comité
Opérationnel du Contrôle Interne - COMOP-CI - et le Comité de Pilotage du Contrôle Interne
- COPIL-CI -).
Direction Générale Conseil d’Administration
Audit
Comité d’Audit
Inspecteurs
Direction Générale Adjointe
Direction des Activités Métiers
et Maîtrise d’Ouvrage
Pôle PMS Pôle CI RSSI
Réseau CDG et CDC
Process Owners
Directions de MFP Services
Correspondants CI des filiales
Filiales du groupe MFP Services
55
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Leurs relations peuvent être synthétisées ainsi :
Structure organisationnelle des instances de contrôle interne
Le service audit interne
Directement rattaché à la Direction Générale et au CASUF (Comité d’Audit et de Suivi
Financier), le service audit interne de MFP Services a été créé en 2006 et se compose
actuellement de cinq personnes :
un responsable de service,
deux auditeurs séniors,
deux auditeurs juniors en contrat de professionnalisation (c’est le poste que j’occupe
actuellement).
« Les auditeurs réalisent des missions prévues dans le plan d’audit annuel validé par la
Direction Générale et le Comité d’Audit afin d’estimer et évaluer l’efficacité du contrôle des
activités par les opérationnels, en lien ou non avec l’existence d’un dispositif de contrôle
interne pour formuler des appréciations ou des recommandations. Dans le cadre du contrôle
interne, ils proposent des outils de référence en matière gestion et de maîtrise des risques,
COMITE OPERATIONNEL DU CONTRÔLE INTERNE (COMOP-CI)
COMITE DE PILOTAGE DU CONTRÔLE INTERNE (COPIL-CI) COMITE D’AUDIT ET DE SUIVI FINANCIER
Groupes de travail techniques sur des problématiques particulières
(Facultatifs)
CR des travaux
ReportingAlertes
Demandes d’arbitrage
ReportingAlertes
Constitution
ArbitragesRelevés de décisions
SIGR (SI de gestion des
risques)
InformationReporting
56
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
adaptés à l’évolution de l’activité de MFP Services et opposables aux organismes de contrôle
externe. »30
Quelques précisions :
Le dispositif est jeune et le service audit qui fait également office de service contrôle
interne et de management des risques a été créé il y’a peu (6 ans).
Il a été construit de façon décentralisé et en dehors de l’impulsion de la gouvernance
(approche bottum up).
Il n’existe pas d’interaction entre le contrôle interne de chaque service. Le dispositif a
été conçu par direction et non par fonction. (Ceci aurait pu faire l’objet d’une
préconisation mais l’entreprise est déjà en train de modifier l’organisation de
dispositif).
Le dispositif peine actuellement à prouver son utilité et se contente de répondre aux
exigences règlementaires.
Un plan social a eu lieu en 2007.
L’âge moyen des salariés de la structure est supérieur à 50 ans.
Les moyens sont limités.
4.2 Hypothèses
L’ensemble des hypothèses qui vont suivre n’est pas formulé avec l’objectif de se mettre en
conformité avec une directive ou un référentiel en particulier. Le but est de tenir compte de
l’organisation actuelle de la société MFP Services et d’apporter des pistes pour que le
dispositif de contrôle interne et de maitrise des risques devienne un véritable outil au service
du management et de la performance globale de l’entreprise.
Les hypothèses sont présentées sous la forme d’un QQOQCP (Qui, Quoi, Où, Comment,
Pourquoi) et feront l’objet d’une validation grâce aux réponses obtenues à un questionnaire et
lors d’entretiens.
30 Mémoire Manon BARDET : Les enjeux du déploiement d’un Système d’Information de Gestion des Risques au sein de MFP Services
57
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
4.2.1 La mise en place d’une fonction Risk Manager est essentielle pour coter les risques de façon fiable et mettre en place un dispositif de contrôle interne adapté.
Pourquoi ?
Le dispositif de gestion des risques fournit au dispositif de contrôle interne la liste des risques
qu’il a identifiés concernant la structure ainsi que l’évaluation qu’il en a faite.
Les bonnes pratiques et la logique veulent que dans une entreprise le dispositif de contrôle
interne (et de maitrise des risques) soit proportionné aux enjeux.
Les plans d’actions de maîtrise du contrôle interne seront entièrement basés sur les
informations communiquées par le risk manager.
La plus value la plus importante du risk manager va se situer dans l’évaluation qu’il va faire
des risques identifiés au préalable :
La cotation va permettre au contrôle interne, la mise en adéquation du dispositif et des
enjeux réels. Cela évitera de déployer trop de moyens pour un risque avec un potentiel
58
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
d’impact très faible, et à contrario, cela permettra d’identifier les risques qui peuvent
vraiment impacter la structure de façon importante, et la mettre en péril.
La cotation va permettre de chiffrer de façon « pécuniaire » l’impact potentiel d’un
risque. Cela pourra être utile encore une fois pour la mise en adéquation des ressources
allouées à la maitrise d’un risque et son éventuel impact.
Dans le cadre de solvabilité II, la fonction de manager des risques va également
prendre une dimension importante puisque la prise en compte dans le bilan de certains
actifs sera soumise à l’évaluation des risques que portent ces actifs.
L’audit interne qui évalue le dispositif dans son ensemble, s’appuie sur la cartographie des
risques qui lui est communiquée lors de l’élaboration de son plan d’audit.
4.2.2 Le contrôle de gestion est une source d’information essentielle dans un dispositif de contrôle interne.
Il permet de mesurer l’évolution d’une situation et donc l’efficacité des plans d’actions mis en place. Le dispositif gagnerait en efficacité si les différents acteurs se rapprochaient et que leur interaction était renforcée.
59
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Pourquoi ?
Dans la majorité des entreprises, le contrôle de gestion est utilisé pour des tâches
« classiques » que l’on pourrait assimiler à du retraitement plus ou moins poussé des données
issues de la comptabilité générale.
Il est à noter que la fonction de contrôle de gestion et la fonction de contrôle interne ont des
objectifs communs, comme fiabiliser les informations, aider à atteindre les objectifs, aide au
pilotage de l’activité, augmentation de la productivité et de la performance globale, ainsi que
de l’efficience de l’utilisation des ressources, contribution à la gestion des risques, etc.
L’interaction entre les deux activités existe déjà :
le contrôle interne permet de fiabiliser les informations communiquées par le contrôle
de gestion,
le contrôle de gestion peut jouer un rôle d’alerte pour le contrôle interne,
grâce aux chiffres issus du contrôle de gestion, le contrôle interne connaît mieux la
structure et peut adapter le dispositif en fonction des besoins réels de l’entreprise,
le contrôle de gestion comme le contrôle interne contribuent de plus en plus aux prises
de décision stratégiques des entreprises.
Le rôle du contrôle de gestion pourrait être élargie/renforcé en :
menant dans un premier une campagne d’évaluation des coûts cachés pour se faire une
idée du poids que cela représente pour la structure,
mettant en place de nouveaux indicateurs au service du contrôle interne ; ces nouvelles
informations pourront servir au contrôle interne à fabriquer lui-même de nouveaux
indicateurs qui lui sont propres,
en aidant le manager des risques à chiffrer l’impact possible d’un risque grâce à des
coûts calculés par le contrôle de gestion.
Il est à noter que les budgets prévisionnels établis par le contrôle de gestion devraient à
l’avenir tenir compte de la « dimension risque » en tenant compte des informations que le
management des risques pourrait remonter.
60
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Ces informations pourraient être issues de la base d’incident par exemple. Cela
comprendrait le coût des plans de maitrise à mettre en place et l’évaluation des impacts
basés à la survenance moyenne des incidents.
Le contrôle interne peut également aider à maitriser les coûts cachés d’une entreprise.
4.2.3 La mise en place d’une base d’incident est importante si l’on veut suivre l’évolution d’une situation et mesurer l’efficacité des actions correctrices mises en place.
61
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Pourquoi ?
La base d’incident est un élément essentiel du dispositif de contrôle interne et de maitrise des
risques.
Elle permet :
de recenser et centraliser les incidents qui se produisent dans l’entreprise et donc d’en
suivre l’évolution dans le temps,
de chiffrer les pertes annuelles dues aux incidents qui surviennent,
de garder la cartographie des risques à jour et de l’affiner, puisque la fréquence de la
survenance et l’impact réel pourront être analysés par le risk manager grâce à la
remonté des informations.
d’anticiper une aggravation de la situation : la gestion des risques sera facilitée du fait
que l’ensemble des incidents sera remonté,
de proposer des plans de maitrise plus pertinents car la connaissance du risque sera
accrue grâce aux informations recueillies.
d’impliquer l’ensemble du personnel dans le dispositif de contrôle interne et de
maitrise des risques compte tenu que la mise en place de la base d’incidents va rendre
accessible, à tous les collaborateurs, la déclaration des incidents de tous types ; chacun
se sentira donc acteur à part entière du dispositif,
disposant des chiffres (coûts et fréquences de survenance par exemple) avant le plan
d’action et après sa mise en place, de suivre l’efficacité d’un plan d’action, ce qui est
un des points important ; le management des risques pourra donc plus facilement juger
de l’efficacité des actions correctives qui ont été menées.
de maintenir l’adéquation entre le dispositif de maitrise d’un risque mis en place et le
risque réel grâce aux informations: cela permettra par exemple de ne pas allouer de
moyens importants pour maitriser un risque qui ne se réalise jamais, et inversement,
d’accorder des moyens nouveaux pour maitriser un risque se réalisant régulièrement
pour être maitriser.
d’aider à expliquer/rechercher et traiter les coûts cachés de l’entreprise.
Pour conclure, la base d’incidents va se révéler être un véritable outil non seulement au
service du dispositif (gestion des risques, contrôle interne et l’audit) mais également au
62
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
service du top management qui grâce aux informations collectées connaitra mieux sa
structure et les problèmes qu’elle rencontre. Il pourra donc prendre ses décisions en toute
connaissance de la situation réelle.
4.2.4 Pour être efficace et apporter une réelle plus-value, le management des risques, l’audit interne et le contrôle interne doivent impérativement être séparés.
La séparation des tâches est un principe de base qui ne touche pas qu’au domaine du contrôle
interne et de la gestion des risques.
Ce principe va permettre de :
garder l’indépendance de l’ensemble des services,
Éviter les conflits d’intérêt,
acquérir plus de crédibilité et d’efficacité,
L’audit interne va pouvoir mettre en lumière des risques qui auraient pu être mal identifiés ou
mal évalués.
63
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
4.2.5 Le contrôle interne est plus efficace lorsqu’il est au cœur de la politique globale de l’entreprise.
Pourquoi ?
Pour obtenir l'adhésion de tous les acteurs, il faut l'inscrire dans un projet d'entreprise
soutenu par la direction. Pour cela, il est important que la démarche vienne de la
direction générale pour lui donner une légitimité et l’inscrire dans la durée.
D’après le COSO, « si le contrôle interne n'est pas porté par un environnement de
base incluant la Présidence et la Direction de l'entreprise, il se heurtera à de grosses
difficultés portant atteinte à son bon déroulement."
Il est également important d’inclure, à chaque projet, le management des risques, la
direction du contrôle interne et la direction financière, afin que ces derniers ne soient
64
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
pas dans la réaction suite à une décision, mais dans l’anticipation. Si le dispositif a
toujours un moment de retard, il ne pourra jamais être performant et couvrir
efficacement l’ensemble de la structure. Cela permettra donc, par exemple,
l’adéquation des objectifs de coûts et de qualité.
Si le contrôle interne n’est pas intégré dans la politique globale de l’entreprise, il sera
généralement mis de côté au bénéfice d’autres objectifs, et devra par la suite, se battre
pour mettre en place des contrôles sur des pratiques déjà existantes.
Il est bien plus difficile de venir greffer des contrôles à une activité, que d’inclure les
contrôles dans le projet de base. De plus, le contrôle interne aura du mal à remporter
l’adhésion de tous, puisque dans ce système, il sera perçu comme une contrainte
supplémentaire ou un frein à la production, et non comme une aide. Hors, le contrôle
interne est censé diffuser de bonnes pratiques. Il est toujours plus simple de faire bien
dès la première fois. Cela évite en plus des pertes de temps inutiles qui ne seront
bénéfiques ni pour l’entreprise ni pour le salarié (Cf. paragraphes 3.2.3 sur les coûts
cachés).
4.2.6 Le dispositif de contrôle interne a une influence sur le climat social de l’entreprise.
Il est important de le faire évaluer régulièrement
65
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Pourquoi ?
Le climat social d’une entreprise est très important. Il influence fortement sa performance
globale.
La mesure du climat social de l’entreprise permettra d’anticiper d’éventuels problèmes
sociaux et managériaux.
Cela permettra également, de prendre connaissance et de corriger tout
dysfonctionnement qui entraverait le bon fonctionnement de l’entreprise.
Les risques psychosociaux sont également très importants dans une entreprise,
notamment dans les entreprises comme MFP Services qui ont un fonctionnement assez
proche de celui de la fonction publique. En effet, ces entreprises entrent peu à peu
dans ce que l’on pourrait nommer l’économie réelle avec une forte concurrence et
désormais des exigences de rentabilité et de performance.
4.3 Etude complémentaire4.3.1 Méthodologie
La validation des hypothèses que nous venons de présenter a été soumise à la validation de
professionnels du métier de deux façons :
Un questionnaire interactif (dont la trame est disponible en annexe) comprenant une
quinzaine de questions simples, afin de valider la pertinence des hypothèses. La
possibilité de commenter les réponses a été donnée aux personnes ayant acceptées de
répondre au questionnaire. La synthèse des réponses recueillies va donc être présentée
sous forme de graphiques simples dont le commentaire tiendra compte en les
restituant, des remarques apportées par les professionnels.
Des entretiens ciblés, qui ont volontairement été menés en tenant compte au minimum
d’une trame. Ces entretiens ont été menés après l’obtention des premiers résultats des
questionnaires. Nous nous sommes aperçus que bien que toutes les personnes ayant
répondues étaient des professionnels du contrôle interne et de la gestion des risques, il
était difficile de dégager une forte tendance sur certains sujets. Le choix a dont été fait
de mener les entretiens sans suivre précisément la trame du questionnaire afin de
laisser les personnes interrogées la possibilité de développer leurs idées au maximum
66
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
et de les confronter aux premiers résultats des questionnaires. Ces entretiens font
également l’objet d’une synthèse reprenant les courants forts qui ont pu se dégager et
les éventuels compléments d’informations apportés par les personnes interrogées
Bien qu’établies en fonction des besoins de MFP Services, les questions posées dans le
questionnaire et lors des entretiens n’ont pas été orientées uniquement sur la structure de
l’entité, le but étant de rendre les hypothèses applicables à un maximum d’entreprises.
Des préconisations tenant compte des résultats du questionnaire et des entretiens seront
ensuite proposées.
4.3.2 Principaux résultats
Résultat des questionnaires
La présentation des résultats est effectuée sous forme de diagramme circulaire classique,
chacun correspondant à une question. A la suite de chaque diagramme suivront des
commentaires obtenues grâce au questionnaire et jugés intéressants pour comprendre les
reponses obtenues . Une synthèse de quelques lignes synthétiser les résultats obtenues.
La trame du questionnaire est disponible en annexe.
«
Da ns mon
entreprise le dispositif de contrôle interne a été imposé par la CNAMTS pour la partie
67
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
"métier" et l'ACP (lutte anti-blanchiment, etc.). Il a été étendu par la suite à l'ensemble
de la structure. »
« De nombreuses entreprises ont mis en place un dispositif de CI dans le cadre de
SOX. »
« Dans le domaine bancaire, mettre en place de le dispositif de contrôle interne est une
obligation imposée par le CRBF 97-02. »
"Pour les institutions de droit publique dotées de la personnalité morale, le SCI est
imposé et se décompose en deux parties bien distinctes . Une liée à une base légale
basée sur la NAS 890 et qui impose un SCI à effets financiers. Une seconde, liée à
contrôler la performance globale de l'entreprise . »
« Un Service de Contrôle Interne n'a aucun impact sur l'augmentation de la
performance. Il a pour objet l'analyse des risques, la prévention des risques par la mise
en place de procédure de contrôle qui doivent être exécutées périodiquement et surtout
analysées pour mettre sous contrôle les déviances tant négatives que positives vis-à-vis
des objectifs fixés par la direction."
68
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
"Le rôle du Risk Manager est de définir le cadre et les normes qui permettent la mise
sous contrôle des risques. Principes définis par le COSO II. »
« Cette fonction peut être portée par les managers. »
« La démarche IETS (identification évaluation traitement suivi) est au coeur de la mise
en place d'un bon dispositif de CI »
« Contrôle Interne et mitigation du risque sont liés et interdépendants. A condition
toutefois que le risk manager ne se limite pas aux risques de la Direction Générale, et
s'intéresse aussi aux "micro-risques" liés aux processus. ce n'est pas toujours facile s'il
n'y a qu'une personne pour la fonction, et il est utile qu'il monte un réseau de risk
managers (à temps très partiel) dans chaque processus/entité »
« La fonction risk manager est une terminologie comme une autre. Une entreprise peut
avoir un dispositif de contrôle interne qui apporte une plus value sans l'existence de
risk managers mais via la cellule contrôle interne uniquement. »
« Avoir une fonction dédiée permet d'implémenter plus rapidement le dispositif et que
la fonction est indépendante, ce qui optimise l'évaluation des risques et leur couverture
car si la fonction "Risk Manager" n'est pas mise en place, personne ne va prendre en
charge l'animation du dispositif de contrôle interne. Le risk management permet au
contrôle interne d’être plus qu'un garant de la conformité. La maîtrise des risques,
l'optimisation des processus, la sauvegarde des actifs contribuent à la création de
valeur précisément en empêchant la destruction de valeur. »
69
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
« La fonction Risk Manager permet d'affiner au mieux la cotation des risques,
d'identifier les coûts cachés et mettre en corrélation les moyens de maîtrise. »
« Le risk manager aide à prioriser les processus critiques, par lesquels il faut
commencer l'effort de mise en place de dispositif de CI. »
"C'est l'audit interne qui va évaluer l'efficacité du contrôle interne. C'est donc le rôle
de l'auditeur interne de s'assurer de la fiabilité du dispositif de contrôle interne et non
au risk manager. »
« Le risk managers va pouvoir tester les situations de crise via notamment les PCA."
« L'indépendance de la fonction permet de garder le cap sur les objectifs de
l'entreprise. Les moyens alloués sont proportionnels au dispositif à mettre en oeuvre et
aux contraintes opérationnelles qu'il soulève. Pour vivre, le dispositif se doit d'être
pragmatique. La fonction Risk Manager permet d'appréhender le profil de risque de
l'entreprise et ainsi de déterminer ses besoins de couverture. »
70
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
"Le contrôle de gestion a pour finalité de s'assurer de la bonne utilisation des
ressources en vue de gains d'efficience. Les problèmes qui relèvent de la compétence
du Risk Manager sont d'un tout autre domaine. Il s'agit de savoir si il y a des risques
réels tant au niveau de l'environnement extérieur qu'interne. Quels sont nos
concurrents ? Sommes-nous en retard dans l'innovation vis-à-vis d'eux ? Quels sont les
risques de changes auxquels pouvons nous être confrontés dans x, y ou z mois. En
interne avons nous les moyens de nos ambitions. La chaîne de production est elle
efficace, si oui pourquoi et présente-t'elle des risques ? si non pourquoi et pour quelles
raisons ..."
71
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
« Le contrôle de gestion est à même de chiffrer les risques puisqu' il connait les coûts
et sert à tirer la sonnette d'alarme lorsqu'il identifie des risques de dérives. Ils ont de
nombreuses informations (coût MOD par profil de poste, coût des projets, etc.). Il faut
également intégrer les données SI (temps d'indisponibilité des outils, etc.). Attention,
l'impact n'est pas forcément chiffrable par un contrôleur de gestion, quel est l'impact
d'une dégradation de l'image de marque ? Peu de contrôleurs de gestion évaluent
cela. »
« Tout reporting est susceptible de servir le dispositif »
« Ce type de réflexion est plutôt rare et pourtant … le contrôle de gestion génère des
analyses de coût, permettant de réaliser des "stress tests" très utiles à l'évaluation des
risques. »
« Les données ne doivent pas servir de base mais d'appui pour confirmer ses
constatations. Le score des risques ne se fait pas sur le seul impact financier mais
également sur des impacts qualitatifs (image, réputation, légal et réglementaire) que le
contrôle de gestion ne prendra pas en compte dans ses chiffres. »
« Les données ne doivent pas suffire mais peuvent aider »
« Le risk management doit se baser sur toute information pertinente, y compris celle
du contrôle de gestion. Il en est un élément nécessaire, notamment pour coter l'impact
des risques et mesurer la performance des actions mises en œuvre. »
72
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
« Oui
effectivement mais les données du contrôle de gestion ne sont peut être pas les seules
données à prendre en compte. »
« Le contrôle de gestion permet le contrôle des coûts, il est donc pertinent de l'associer
au Risk management pour déterminer les risques financiers éventuels. »
73
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
«
Cela
relève de
la
compétence du contrôle de gestion et non pas d'une gestion des risques. »
« Les coûts cachés doivent être suivis quant à leur impact sur le plan d'action. »
« Peut permettre d'éviter des surprises ! »
"Le contrôle interne ne cherche pas à évaluer l'impact d'un plan d'action mais met en
place un plan d'action selon l'impact d'un risque. C'est cet impact du risque et non du
plan d'action qui peut être en partie mesurée via les coûts de l'entreprise."
« En théorie évidemment. Dans la pratique c'est plus complexe à mettre en oeuvre,
toutes les organisations n'ayant pas à disposition ces données ou d'outils permettant de
les collecter (base incidents...) car on peut considérer que si les actions mises en
oeuvre sont efficaces, on devrait observer une évolution favorable des coûts cachés de
l'entreprise (sous réserve que les coûts cachés n'évoluent pas suite à l'apparition
d'éléments nouveaux qui n'existaient pas avant la mise en oeuvre du plan d'actions). »
« Je ne comprends pas l'éventuelle corrélation qu'il pourrait y avoir entre les deux »
74
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
« Le contrôle interne est une démarche de préservation de l'entreprise donc protection
des emplois des salariés du fait de la responsabilisation des dirigeants."
« Le contrôle n'est pas bien vécu dans notre pays, il faut impacter le moins possible le
climat social. »
« Ce n'est pas son rôle premier, mais en impliquant chacun à son niveau dans le
Contrôle Interne, l'auto-évaluation du dispositif est un outil de dialogue. En revanche,
s'il est perçu comme un "flicage" et un mode de répression, c'est une catastrophe ! »
« Les risques liés au climat social sont remontés et suivis dans le cadre du dispositif de
contrôle interne. »
« Le contrôle interne s'assure de l'efficience de l'ensemble des processus de
l'organisation. Il contribue ainsi à l'amélioration des conditions de travail. »
« En tant que "gardien du temple", le contrôle interne veille à la bonne application du
droit du travail ce qui peut contribuer au climat social favorable d'une entreprise. »
75
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
"Pour quelles raisons un dispositif qui apparaît de prime abord comme inutile et
contraignant pourrait améliorer le climat social ? Ceci d'autant plus que l'introduction
d'un contrôle interne accentue d'office le fait que les gens se sentent mis sous contrôle,
surveillé dans leur conduite quotidienne. Ils considèrent qu'en faisant cela, leur
direction leur retire une part de la confiance qu'ils pensaient qu'elle avait en vers eux.
Vaste débat..."
« Trop de facteurs pour que l'on puisse l'associer au dispositif de contrôle interne. »
« Trop d’éléments peuvent avoir de l'effet sur le climat social."
« L'environnement du contrôle est le socle du dispositif si le climat n’est pas bon le
contrôle ne sera pas bon. »
"Le dispositif de contrôle interne ne se limite pas aux risques sociaux »
76
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
« L'évolution du climat social d'une entreprise ne peut être associé au dispositif de
contrôle interne seul mais est fonction de bien d'autres facteurs, notamment
politiques."
« Trop de facteurs pour être imputer au Contrôle Interne »
« Cela peut être un bon indicateur mais s'en suffire n'est pas forcément opportun, le
dispositif de contrôle interne étant principalement mis en oeuvre pour pallier aux
principaux risques de l'organisation. »
« Je pense que l'on peut avoir un climat social très favorable alors que le dispositif de
contrôle interne est quasiment inexistant et vice-versa. »
« Le contrôle interne peut par des plans d'action, des actions de formation et de
sensibilisation améliorer le climat social. Le rôle du contrôle interne est d'être à
l'écoute et de porter assistance aux collaborateurs. Cette dimension humaine peut faire
évoluer favorablement le climat social. »
77
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
"Pour obtenir l'adhésion de tous les acteurs, il faut l'inscrire dans un projet d'entreprise
soutenue par la direction. Le projet ne doit en aucun cas sembler être imposé par le
Risk Manager. Le Risk Manager doit être avant tout l'interlocuteur de confiance entre
la Direction de projet, la direction et les personnes impliquées."
« Démarche devant nécessairement venir de la Direction Générale pour avoir
l'adhésion de tous. Impossible de le gérer autrement dans la durée. »
« Cela doit être le cas, sinon on a un DAF ou une Responsable du Contrôle Interne qui
court après le train sans jamais le rattraper. »
"C'est une prérogative absolue. Conformément au COSO, si le contrôle interne n'est
pas porté par un environnement de base incluant la Présidence et la Direction de
l'entreprise, il se heurtera à de grosses difficultés portant atteinte à son bon
déroulement."
« Oui si la politique résulte d'un engagement fort du top management. L'implication de
la Direction Générale est un élément moteur dans l'implémentation du contrôle interne
d'une organisation car les objectifs de Coût/Qualité/Délai doivent être en adéquation.
Si le contrôle interne n'est pas intégré dans la politique globale de l'entreprise, alors il
risque d'être mis de côté, au détriment d'objectifs liés directement à la "production"
(stock, délai de traitement,....). »
« Le contrôle interne sert à réaliser les objectifs de l'entreprise. Il doit donc être
intégré à la politique globale de l'entreprise pour y parvenir et avoir la légitimité que
cela implique. »
78
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
« Trop de pertes de temps sinon car on revient sur des décisions/développement pour
des raisons de contrôle interne. »
« Pas de culture du contrôle interne »
« Un bon projet renforce le Contrôle Interne »
« Car le contrôle interne n'est pas porté par tous les échelons de la Direction et n'est
donc pas utilisé comme un outil de pilotage ».
« Dans mon entreprise, le dispositif est mis en place dès la création du projet. Cela
permet de définir et mettre en oeuvre le référentiel de contrôle dès l'origine, pour
s'assurer que les principes basiques qui en découlent sont respectés mais surtout pour
répondre à une contrainte réglementaire (97-02) »
79
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Pour
certains
projets le
contrôle
interne
est pris
en
compte
dès la
phase de
conception alors que pour d'autres projets, le contrôle interne n'est pas sollicité.
80
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
"Oui, car cela permet d'identifier rapidement les récurrences et de pouvoir mettre en
place les mesures correctrices efficaces. Notez, que cela peut-être aussi le signe que le
dispositif de contrôle ne fonctionne pas."
« Un tableau de bord chiffré avec indication des solutions proposées et retenues est
nécessaire afin de s'assurer que les risques ont été identifiés et maitrisés, recensé les
risques et déterminer les coûts générés par leur survenance. »
«
C'est le C
du
PDCA (roue de Deming sur l’amélioration continue) »
« L'analyse de la sinistralité est une facteur majeur d'évaluation. »
"La mise en place d'un dispositif de contrôle interne peut se faire sans base incidents.
Cette base permettra en revanche de faire évoluer les risques relevés sur la base de ce
qui est vraiment arrivé. Attention ceci dit à bien garder à l'esprit que le contrôle interne
se situe sur des risques potentiels, inhérents aux activités, et non pas uniquement sur
les risques avérés que sont les incidents."
81
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
«
C'est
l'outil le
plus
couramment utilisé mais en fonction de la taille de l'organisation et des moyens
alloués, d'autres indicateurs tout aussi pertinents peuvent pallier à l'absence de base
incidents. »
« Une base incident permet d'évaluer l'évolution des incidents (type, volume,
fréquence,....). »
« La collecte des incidents permet d'isoler les causes et de pouvoir agir en
conséquence. »
82
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
"Un
audit
peut être
pertinent
même
mené par
un
contrôleur interne. Tout dépend des objectifs de gestion qui sont souhaités par la
direction. Cela dépend de la taille de l'entreprise et aussi de son domaine d'activité."
« L'audit peut mieux évaluer le dispositif de CI, et le CI est un contributeur de
confiance des processus et entités. »
« Cela est nécessaire pour assurer l'objectivité et l'indépendance de la fonction d'audit
interne. »
"C'est une obligation légale. »
83
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
« Un audit doit être mené par un Auditeur Interne. Les avantages sont l'indépendance
des fonctions qui permettent à l'Audit Interne de remplir sa mission d'évaluation du
dispositif de contrôle interne. Cela permet de mettre en œuvre les 3 niveaux de
contrôle et permet de ne pas cannibaliser les deux activités entre elles. L'inconvénient
est la nécessaire coordination des deux fonctions permettant d'avoir un dispositif de
contrôle cohérent et pertinent (actualisation de l'évaluation des risques de chaque
côté) »
« L'indépendance et l'impartialité de l'audit interne sont essentielles pour évaluer les
dispositifs de contrôle interne. »
« On ne peut être juge et partie ! »
« Il est difficile de juger son propre travail. A défaut d'un audit (interne ou externe),
c'est tjs mieux que rien. »
« Un audit peut être mené par le service de contrôle interne à condition que l'auditeur
n’ai pas participé à la mise en place du dispositif de contrôle interne qu'il audite. »
« Pas d'indépendance, problèmes de conflit d'intérêt. »
"Oui si et seulement si l'absence de conflit d'intérêt est respecté. »
84
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
« Je ne pense pas que des personnes rattachées au service de Contrôle Interne puissent
réaliser un audit du dispositif qu'elles ont mis en place : elles seraient alors "juge et
partie". »
« Il est difficile d'évaluer de façon impartiale un dispositif que l'on a mis en place. »
SYNTHÈSE :
85
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Résultat des entretiens :
Comme expliqué dans la méthodologie, les entretiens se sont déroulés de façon semi-
directive. Le but des ces interviews est de valider les hypothèses formulées et de confronter
les résultats des questionnaires aux arguments des professionnels qui ont accepté de répondre.
Parmi les personnes interrogées figurent :
Aude BESSEAU (Responsable financière),
Violaine LAROCHE (Chargée de contrôle interne),
Raymond GRANDJEAN (Consultant),
Seydou DIAO (Auditeur KPMG),
Bernard PORTIER (Responsable du Service Audit de MFP Services),
Lionel LOPEZ (Auditeur interne).
Lors de nos entretiens, nous avons été confrontés à des avis très divergents sur ce que doit être
le contrôle interne dans une entreprise.
Pour les uns, la fonction première du contrôle interne est de s’assurer de la conformité des
agissements au sein de la structure avec la législation en vigueur et à la fiabilité des
informations financières, pour d’autres, le dispositif doit avant tout s’attacher à veiller au
respect des procédures en vigueur au sein de l’entreprise.
Dans un second temps, il a été précisé par tous les interviewés, que le dispositif de contrôle
interne était très important dans l’atteinte des objectifs de l’entreprise (S.DIAO)
Il est également acquis pour l’ensemble des personnes interrogées, que le contrôle interne au
sens large du terme doit concerner l’ensemble de l’entreprise. Pour S. DIAO il est important
de « faire comprendre à l’ensemble de la structure que le dispositif de contrôle interne
relèvent de tous en en partant du vigile de l’entreprise jusqu'à la directions générale ».
« L’implication de tous est indispensable pour que le dispositif soit totalement opérationnel »
(V. LAROCHE).
La notion de contrainte est également revenue très régulièrement lors des entretiens ;
comment faire accepter le dispositif et qu’il ne soit pas perçu comme une contrainte ?
86
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Pour V. LAROCHE, « le contrôle interne sera toujours vécu comme une contrainte mais cette
vision peut être atténuée. Pour elle le contrôle interne doit prouver qu’il est un outil de
pilotage au service des opérationnels et qu’il aide les opérationnels au quotidien à optimiser
leurs activités. Pour les managers, le dispositif doit être un outil qui leur permet d’avoir une
vision d’ensemble sur une activité. Enfin, il est également important de mettre en avant
auprès des collaborateurs que le contrôle interne est là pour anticiper les problèmes dans le
cadre d’une amélioration continue et non pour remettre en cause ce qui est en place ».
Bien qu’il ait la possibilité d’influer sur le climat social (contrôle interne des RH par exemple
ou maitrise des risques psychosociaux) l’ensemble des interrogés a réfuté la possibilité
d’évaluer le contrôle interne en analysant le climat social, ces derniers précisant que trop de
facteurs entraient en jeux pour pouvoir attribuer au seul dispositif de contrôle interne et de
maitrise des risques, l’évolution du climat social.
Certaines conditions au bon fonctionnement d’un dispositif de contrôle interne dont certaines
reprennent les pistes étudiées dans ce mémoire, ont également été mises en avant comme :
La nécessitée pour un dispositif d’évoluer constamment avec l’entreprise,
La nécessitée de formaliser « des procédures simples, claires, régulièrement mises à
jour avec un process owner qui les anime » ((R. GRANDJEAN) ; « la culture de
l’oral est dangereuse pour les entreprises » (S. DIAO),
Le dispositif doit faire l’objet d’évaluations régulières afin de prouver son efficacité et
son utilité,
Chaque plan de développement (projet) doit être mis sous contrôle par l’entreprise
(A.BESSEAU). B. PORTIER précise également que dans le cadre de la directive
SOLVABILITE II, les entités vont avoir l’obligation de s’assurer qu’elles sont
capables de maitriser l’ensemble de leurs activités,
La séparation des tâches est essentielle, « On ne peut auditer ce que l’on a mis en
place. Le regard ne sera pas objectif. » (A. BESSEAU et S. DIAO),
Une définition claire des responsabilités des personnels participant à la mise en œuvre
des mesures de sécurité (maitrise),
Rendre concernés l’ensemble des acteurs de l’entreprise. Pour ce faire, il faut « partir
du principe que tout un chacun est à la fois client et fournisseur d’informations et que
celles-ci doivent être rigoureuses et précises pour le bien de l’entreprise ; chacun doit
87
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
comprendre qu’il fait parti d’un engrenage et que rien ne peut fonctionner si tous les
engrenages ne sont pas interconnectés » (R. GRANDJEAN).
En ce qui concerne l’évaluation du contrôle interne, il n’a pas été possible de mettre d’accord
tous les interviewés :
Pour V. LAROCHE l’évaluation du dispositif doit être effectuée « dans le but de vérifier que
le dispositif est efficace, que les contrôles existants sont pertinents et contribuent à la maitrise
d’un ou plusieurs risques ».
Cette dernière précise que « l’évaluation de l’apport du dispositif ne serait pas forcément
pertinente puisque cela reviendrait à quantifier des pertes qui auraient été supportées par
l’entreprise si les risques s’étaient réalisés. Hors, il est difficile de savoir ce qu’il se serait
passé si le dispositif n’avait pas été en place ».
Pour l’ensemble des autres personnes interviewées, il serait également pertinent d’évaluer
l’apport du dispositif non seulement grâce à l’évolution de la survenance des risques (ce que
permet une base d’incidents), la piste des coûts cachés étant jugée pertinente mais non
prioritaire dans un dispositif encore jeune.
La majorité des professionnels a également souligné la complémentarité entre le dispositif de
contrôle interne et le dispositif de contrôle de gestion.
Pour ces derniers, un rapprochement des acteurs de ces deux dispositifs permettrait de croiser
et donc de fiabiliser les informations (il a été précisé par A. BESSEAU que la source des
informations du contrôle interne est en majorité humaine, donc sujette à des erreurs ou
approximations, et qu’un croisement des informations avec le contrôle de gestion permet de
fiabiliser les informations). S.DIAO a également ajouté que s’ils sont pertinents, les tableaux
de bord et les indicateurs de contrôle de gestion permettront au dispositif de contrôle interne
de mieux fonctionner et pourquoi pas de s’évaluer. Pour R. GRANDJEAN le dispositif de
contrôle interne permet aux collaborateurs à faire bien la première fois et donc à éviter les
surcoûts liés à la répétition inutile des tâches. L’impact du dispositif pourra donc se retrouver
dans les indicateurs du contrôle de gestion.
La nécessité de disposer d’un système d’information pertinent (base d’incidents comprise) a
été soulignée par l’ensemble des interviewés sans faire l’objet de commentaires particuliers.
88
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Enfin la perception de la valeur ajoutée du dispositif de contrôle interne a également été très
variée :
réduire les risques d'erreurs significatives dans les états financiers (risque acceptable),
atteinte des objectifs fixés pas la gouvernance,
diffusion d’informations financières fiables,
protection des actifs (réduire le risque de vol, d'actif fictif, suivi des actifs, etc.),
procédures basées sur les bonnes pratiques,
séparation des tâches incompatibles et donc absence de conflits d’intérêts,
permet de savoir qui a fait quoi, quand, comment... Une bonne planification, une
bonne exécution et un bon contrôle,
satisfaction des clients,
réduction des risques internes et externes,
aide à l’amélioration du management,
augmentation de l’efficience dans l’utilisation des ressources,
aide à l’amélioration continue,
culture de la performance,
meilleure diffusion des bonnes pratiques et des informations.
SYNTHÈSE :
Dans un premier temps il est intéressant de préciser que les résultats de ces interviews sont
assez proches de ceux obtenus via les questionnaires.
Ces entretiens démontrent, s’il en était encore le besoin, qu’il existe une multitude
d’approches et de visions du dispositif de contrôle interne et de maitrise des risques. Nous
avons pu constater que cette vision évoluait énormément suivant la formation et le poste
occupé et selon les personnes interrogées. La majorité des hypothèses a été jugée pertinente à
l’exception de la nécessité de faire auditer le climat social. D’une façon générale, il a été
possible de constater que l’ensemble des acteurs étaient convaincus de la valeur ajoutée du
dispositif de contrôle interne et de maitrise des risques ; en revanche, aucune certitude n’a pu
ressortir de ces entretiens concernant la possibilité d’évaluer avec fiabilité l’apport du
dispositif dans la création de valeur de l’entreprise. Cela s’explique encore une fois par le
caractère intangible de nombreux aspects de la valeur ajoutée du dispositif.
89
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
4.3.3 Préconisations
Grâce à l’enquête terrain que nous venons de réaliser et aux divers points de vus des
professionnels interrogés, nous allons présenter des préconisations qui auront pour but d’aider
le dispositif de contrôle interne et de maitrise des risques de l’entreprise MFP Services à
devenir une activité à valeur ajoutée.
Cette liste n’est pas exhaustive mais contient des points de passages intéressants dans la
démarche d’amélioration du dispositif.
Ces recommandations contiennent également des pistes pour évaluer l’apport du dispositif
dans la création de valeur afin de lui donner les moyens de prouver son apport auprès des
différentes parties prenantes de la structure.
1) Mettre en place une réelle séparation entre les fonctions de contrôle interne, Audit
interne et Management des risques. Mis à par le fait que cela est rendu obligatoire par
la directive Solvabilité II, une séparation des taches permettra :
La mise en place d’une cartographie des risques plus fiable,
Un meilleur suivi des risques,
Une amélioration de la pertinence des audits internes,
Une absence de conflits d’intérêts pour tous les acteurs,
Une spécialisation et donc une amélioration des performances des différentes
fonctions,
De faciliter la mise en place du dispositif de contrôle interne ; les contrôleurs
internes ne seront chargés que de mettre en place les contrôles, de remonter les
informations et de diffuser les bonnes pratiques. Actuellement le temps du
service est réparti sur les trois fonctions et aucun de domaines ne peut être
traité correctement dans son intégralité avec les effectifs actuels.
90
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
Pour conclure sur cette première recommandation, il est important de comprendre qu’une
séparation des taches ne doit en aucun cas couper les liens et la circulation d’information entre
les différentes fonctions. Elles resteront dépendante les unes des autres. Le Service Audit qui
pourra être scindé en deux pour former un service d’audit interne et un service contrôle
interne. Cela entrainera une spécialisation des équipes. Il faudra néanmoins faire attention à ce
que les auditeurs n’auditent pas pendant un certain temps les services ou fonctions dont ils
avaient la responsabilité en tant que contrôleurs internes.
2) Les ressources ne sont pas disponibles en interne pour répondre aux besoins de la
première préconisation, il conviendrait donc de recruter un manager des risques.
Ce dernier devra dans un premier temps établir une nouvelle cartographie des risques,
coter ces risques et leurs impacts potentiels et par la suite devra animer au quotidien la
gestion des risques de l’entreprise.
3) Afin de mener une politique de gestion des risques efficace, le manager des risques
devra mettre en place une base d’incident au sein de la structure.
Cette base devra être régulièrement alimentée en informations par le Risk Manager.
Elle permettra entre autre :
la mise à jour de la cartographie des risques,
4) Mettre le contrôle interne au cœur de la politique de l’entreprise
91
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
5) Apports sur la partie financière : le rôle du contrôle de gestion
92
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
CONCLUSION
Nous avons vu dans un premier temps que le paysage du contrôle interne est en pleine
mutation. Les récents scandales financiers ont amené aux lois Sarbane Oxley et plus
récemment Bale III et Solvabilité II afin de protéger les actionnaires et clients des entreprises
en renforçant les structures et fiabilisant les informations financières communiquées.
Dans un second temps nous avons présenté le fonctionnement global d’un dispositif de
contrôle interne et de maitrise des risques dans une entreprise.
Nous avons ensuite démontré que sous certaines conditions, le dispositif de contrôle interne et
de maitrise des risques peut représenter une valeur ajoutée pour les entreprises.
En effet, un dispositif de contrôle interne et de maitrise des risques ne peut fonctionner de
façon optimale que s’il :
Est intégré dans la politique globale et bénéficie du soutient de la gouvernance de
l’entreprise,
obtient l’adhésion de tous,
n’est pas figé et évolue avec la structure,
se met au service de la structure en devenant un outil au service du management sans
se contenter de satisfaire aux exigences règlementaire,
s’attache à la recherche d’une efficacité globale,
respecte le principe de séparation des taches,
répond aux attentes des clients internes et externes du dispositif.
Parmi les éléments de valeur ajoutée nous pouvons retenir que le dispositif:
93
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
est vecteur de communication et d’harmonisation dans l’entreprise,
favorise la diffusion des bonnes pratiques,
permet de sécuriser et de pérenniser les activités de l’entreprise grâce au dispositif de
maitrise des risques,
permet aux organes dirigeants de mieux connaître l’entreprise et donc de prendre de
meilleures décisions,
d’accroitre la performance globale de l’entreprise.
Bien qu’évidente la valeur ajoutée du contrôle interne est le plus souvent intangible ce qui
amène obligatoirement l’ensemble de la structure à se poser la question de l’utilité réelle d’un
tel dispositif.
Pour cela le dispositif doit non seulement prouver son efficacité (cela est couramment fait
notamment dans les rapports annuels de contrôle interne) mais également montrer ce qu’il
apporte réellement à l’entreprise.
Bien qu’il n’existe par d’indicateurs universels, quelques méthodes d’évaluations
commencent à voir le jour :
L’Institut Française de L’Audit et du Contrôle Interne vient dans son cahier de
recherche sur la création de valeur par le contrôle interne de proposer une adaptation
de la balanced scorecard permettant la prise en compte des éléments non seulement
financiers mais également d’éléments moins tangibles comme l’image ou la
satisfaction.
Afin de conserver une approche financière qui conviendra à de nombreuses parties
prenantes pour à qui le terme de valeur ne parle que si elle est chiffrée, la théorie des
coûts cachés d’Henry SAVALL mériterait d’être explorée. En effet le dispositif de
contrôle interne permet de diffuser les bonnes pratiques avec pour objectif de « faire
bien dès la premières fois ». A titre d’exemple, si le dispositif permet aux salariés de
ne pas renouveler inutilement des tâches, leur productivité devrait s’accroitre et
l’évolution devrait pouvoir se retrouver dans l’analyse des coûts cachés.
Dans un derniers temps nous avons pu traiter du cas de la société MFP Services qui rencontre
quelques difficultés quant à la mise en place de son dispositif de contrôle interne et de
94
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
maitrise des risques. Il est important de préciser que ce n’est pas un cas isolé. En effet, durant
les entretiens menés pour les besoins de cet ouvrage, nous avons pu constater que de
nombreuses structures ne disposent pas de dispositif de contrôle interne et de maitrise des
risques efficient. Comme le dispositif de la société MFP Services, ces derniers peinent à
prouver leur utilité. Des recommandations ont donc été formulées pour répondre aux besoins
actuels du dispositif de l’entreprise MFP Services. Cependant ces préconisations ont
volontairement été sélectionnées pour être applicable à un maximum de structures.
95
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
BIBLIOGRAPHIE
96
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
TABLE DES ANNEXES
97
CYCLE MASTER PROFESSIONNEL 2 – Dans quelles mesures le dispositif de contrôle interne peut-il représenter une valeur ajoutée pour l’entreprise ?
ANNEXES