Support de formation sur l’efficacite des systemes de controle interne et de management des risques
Support de formation sur l’efficacité des systèmes de contrôle interne et de management des risques
1 Que faut-il entendre par « efficacité des systèmes de contrôle interne et de gestion des risques» ?
Si l’on se réfère à la définition que donne le « COSO 2 »1 du dispositif de gestion des risques, il s’agit d’un « processus mis en œuvre par le conseil 2, les dirigeants et le personnel d’une organisation, exploité pour l’élaboration de la stratégie et transversal à l’entreprise ». Qu’en est-il alors d’un dispositif efficace de gestion des risques ?
1.1 Quels sont les objectifs du dispositif de gestion des risques et du contrôle interne ?
Gérer les risques est une partie essentielle de la mission légale de contrôle du conseil.
Les objectifs d’un système de contrôle interne et de gestion des risques et les principaux effets escomptés au sein de l’organisation sont de trois ordres :
1- Identifier les événements potentiels susceptibles d’affecter la réalisation des objectifs de l’organisation (positivement s’il s’agit d’opportunités, négativement s’il s’agit de risques).
Ce premier objectif a pour but de définir les contours du « portefeuille de risques » de l’organisation ;
2- Maîtriser les risques en fonction du niveau de risque que l’organisation est prête à accepter et que le conseil d’administration a défini pour accroître sa valeur.
Etroitement lié à la définition de la stratégie de l’organisation, un dispositif adéquat de gestion des risques doit :
• permettre au management de prendre ses décisions de façon éclairée, en cohérence avec le degré d’appétence ou d’aversion au risque de l’organisation et en fonction de la criticité des risques auxquels elle est exposée (probabilité d’occurrence et impact potentiel),
• en assurer la parade, et,
• prévoir les actions à mener en cas de survenance du risque.
3- Fournir une assurance raisonnable quant à la réalisation des objectifs de l’organisation.
A ce titre, intégrés à l’activité de gestion des risques, les mécanismes de contrôle interne doivent viser plus particulièrement à assurer :
• la conformité aux lois et règlements,
• l’application des instructions et des orientations fixées par le management,
• le bon fonctionnement des processus internes de la société, notamment ceux concourant à la sauvegarde des actifs,
• la fiabilité des informations financières.
1.2 Quelles caractéristiques pour un système efficace de contrôle interne et de gestion des risques ?
Un système est efficace dès lors qu’il répond aux objectifs pour lesquels il a été conçu et mis en œuvre. Ainsi, le système de gestion des risques et le processus de contrôle interne doivent fonctionner de manière imbriquée et coordonnée pour atteindre l’objectif de maîtrise des risques qui leur est assigné.
Système de contrôle interne et de gestion des risques
L’efficacité du système de gestion des risques et du contrôle interne passe par une bonne coordination des dispositifs autour d’activités-clés :
- cartographie et évaluation des risques
- définition et évaluation des activités de contrôle
- plans de remédiation
- pilotage et diffusion de l’information
- supervision continue
L’ensemble du dispositif doit être adapté aux caractéristiques propres de chaque entité. Néanmoins, quelle que soit l’organisation considérée, la mise en œuvre des 15 pratiques suivantes pourrait garantir l’efficacité du système.
Politique et stratégie :
1. L’appétence aux risques est définie par le conseil ;
2. les responsabilités en matière de gestion des risques (y compris les problématiques de délégation) sont clairement définies et diffusées au sein de l’entité ;
Analyse de l’exposition aux risques :
3. le recensement des événements potentiels susceptibles d’avoir un impact sur les objectifs de la société est réalisé de manière exhaustive et l’univers des risques est régulièrement mis à jour
; 4. les événements négatifs (internes ou externes) pouvant générer des risques sont analysés;
Evaluation des risques :
5. les risques et leurs incidences potentielles sont évalués;
6. les réponses aux risques sont élaborées;
7. les risques résiduels sont analysés en lien avec le niveau de risque acceptable tel que défini par le conseil ;
Activités de contrôle :
8. les activités de contrôle sont mises en œuvre dans chaque processus de l’organisation ;
9. les activités de contrôle font l’objet d’une évaluation ou auto-évaluation ;
10. les activités de contrôle sont supervisées par des fonctions de surveillance ;
11. l’évaluation des activités de contrôle fait l’objet d’une revue indépendante ;
Pilotage :
12. des indicateurs-clés de performance relatifs au dispositif de gestion des risques sont définis et suivis;
13. les plans de remédiation font l’objet d’un suivi documenté ;
14. les incidents avérés sont recensés et analysés;
15. les objectifs et la stratégie du dispositif sont régulièrement mis à jour.
In fine, suivre l’efficacité d’un système revient à suivre le niveau de réalisation de ses objectifs.
Cela suppose qu’il en existe une mesure, une évaluation.
2 Que doit mettre en œuvre le comité d’audit pour mener à bien cette mission ?
A la lumière des points de repère méthodologiques exposés ci-dessus, la seconde partie de ce document a pour ambition d’apporter un éclairage pragmatique sur la façon dont les comités d’audit pourraient exercer leur rôle compte tenu des exigences de l’ordonnance.
2.1 Quel cadre pour la mission du comité d’audit ?
- La charte du comité d’audit définit le cadre des responsabilités que le conseil confie au comité d’audit et formalise l’ensemble des missions du comité. En conséquence, il apparaît essentiel qu’elle soit amendée afin d’intégrer la nouvelle mission attribuée au comité en matière de suivi de l’efficacité du système de contrôle interne et de gestion des risques. Il sera nécessaire d’y décrire formellement la nature des travaux relevant de la responsabilité du comité au titre de sa mission et qu’il devra mettre en œuvre pour le compte du conseil.
- Il paraît également essentiel que le conseil soit en mesure de définir le périmètre des risques qui feront l’objet du suivi par le comité d’audit (risques financiers, risques industriels, risques sociaux, risques environnementaux, etc.).
- Par ailleurs, il apparaît nécessaire que le comité d’audit définisse un processus de communication et d’échange avec le conseil (modalités, fréquence, etc.) propre à sa mission de suivi de l’efficacité du système de contrôle interne et de gestion des risques. Les informations transmises devront porter aussi bien sur les éléments financiers que non financiers.
- Il conviendrait également que le comité d’audit rende compte formellement au conseil de l’exécution de sa mission de suivi de l’efficacité du dispositif de gestion des risques et de contrôle, et ce en conformité avec les diligences définies par le conseil dans la charte du comité d’audit. Cette communication devrait notamment intégrer l’appréciation de l’importance des défaillances dont le comité d’audit a eu connaissance à travers ses travaux, ainsi que du caractère approprié des plans d’actions afférents.
2.2 Quels acteurs le comité d’audit pourra-t-il solliciter ?
Pour permettre au comité d’audit de suivre l’efficacité des mécanismes de contrôle interne et de gestion des risques de l’entreprise, il apparaît indispensable d’organiser une communication spécifique et documentée entre la direction, les fonctions de gestion des risques, l’audit interne et le comité d’audit, chacune de ces fonctions devant contribuer à apporter au comité les informations et assurances dont il a besoin pour s’acquitter de sa mission. Le comité d’audit pourra notamment s’appuyer sur :
• le « risk manager » qui est responsable du recensement et du suivi des risques du groupe en mettant en place notamment une cartographie des risques qui est déployée au niveau de chaque entité du groupe ;
• le département de contrôle interne qui a pour mission d’assurer l’application des instructions de la direction et de favoriser l’amélioration des performances. Il met en place une organisation, des méthodes et des procédures pour chacune des activités de l’entreprise, afin de garantir sa pérennité ;
• l’audit interne qui est entre autres chargé de revoir périodiquement les moyens dont disposent les opérationnels pour gérer et contrôler l’entreprise. Ses objectifs sont de vérifier que les structures sont claires et bien adaptées, que les procédures comportent les sécurités suffisantes, que les opérations ne présentent pas d’irrégularités et que les informations diffusées sont sincères.
En outre, le comité d’audit pourra consulter des acteurs externes à l’entreprise, comme :
• les commissaires aux comptes qui se doivent d’alerter la direction et les organes de gouvernance sur les faiblesses significatives de contrôle interne affectant les procédures d’élaboration des comptes ;
• le cas échéant, les experts indépendants afin d’obtenir une évaluation tierce sur l’efficacité des systèmes de contrôle interne.
2.3 Quelles diligences le comité d’audit pourra-t-il mettre en œuvre ?
La mise en place du dispositif de gestion des risques et de contrôle interne relève de la responsabilité des dirigeants de l’entreprise, l’objectif étant de donner une assurance raisonnable que les objectifs de l’entreprise seront atteints.
L’enjeu pour le comité d’audit est d’avoir une vision d’ensemble du dispositif de gouvernance des risques et du contrôle interne. Il doit veiller à l’existence d’un système de contrôle interne et de gestion des risques et en apprécier le fonctionnement. Il doit notamment pouvoir apprécier les points suivants :
• l’adéquation entre l’approche retenue pour gérer les risques de l’entité et la stratégie de l’entité, ainsi que l’environnement légal, opérationnel et financier dans lequel elle évolue ;
• l’efficacité des contrôles pour les risques significatifs ;
• la mise en œuvre des plans d’actions, en cas de défaillances constatées.
Telles sont les implications concrètes du rôle élargi que lui a assigné la 8ème directive en lui confiant la surveillance du mécanisme de management des risques et plus spécifiquement le suivi de son efficacité. Les diligences présentées ci-dessous ont vocation à être mises en œuvre par les groupes cotés. Elles pourront faire l’objet d’une mise en œuvre simplifiée et/ou progressive dans les small et mid caps.
2.3.1 Première mission : réaliser un diagnostic du dispositif de gouvernance des risques et du contrôle interne
Pour réaliser son diagnostic du dispositif de gouvernance des risques et du contrôle interne, le comité d’audit pourrait procéder à un examen de l’existence des éléments constitutifs du dispositif en considérant les trois niveaux suivants :
• 1er niveau du dispositif de gouvernance des risques : les directions opérationnelles ;
• 2ème niveau du dispositif de gouvernance des risques : les fonctions de surveillance (Direction contrôle interne, Risk manager, Direction qualité, Direction des assurances,...);
• 3ème niveau du dispositif de gouvernance des risques : la fonction audit.
Les départements de gestion des risques, de contrôle interne, d’audit interne et l’auditeur externe sont des interlocuteurs-clés pour le comité d’audit pour répondre aux exigences de sa mission.
1- Premier niveau du dispositif de gouvernance des risques : les directions opérationnelles
Les directions opérationnelles évaluent et gèrent les risques. Elles mettent en œuvre les activités de contrôle. Pour réaliser son diagnostic, le comité d’audit pourrait examiner l’existence des éléments suivants :
…
2- Deuxième niveau du dispositif de gouvernance des risques : les fonctions de surveillance
Les fonctions de surveillance conçoivent les politiques et les procédures. Elles sont responsables de l’introduction de bonnes pratiques et du respect des procédures. Elles supervisent l’efficacité du dispositif. Pour réaliser son diagnostic, le comité d’audit pourrait examiner l’existence des éléments suivants :
Niveau 2 – Eléments DE DIAGNOSTIC AU NIVEAU DE LA FONCTION DE SURVEILLA
• Existence d’un référentiel adapté (cadre de référence AMF, Coso, autre)
• Existence d'un code éthique
• Existence d’un comité des risques
• Existence d’une procédure de revue de la centralisation des risques
• Existence d’une procédure de revue de l’évaluation des risques
• Existence d’une procédure de revue des plans de réponses aux risques
• Existence d’un service de contrôle interne
• Existence d’un département d’audit interne
• Existence d’une procédure de revue par l’audit interne/externe de l’auto- évaluation/évaluation des activités de contrôle
• Existence d’un dispositif de suivi des indicateurs-clés de performance relatifs au dispositif de gestion des risques
• Existence d’une procédure de revue des plans de remédiation (intégrant échéanciers, responsables, etc.)
• Existence d’une procédure de revue de l’analyse des incidents
• Existence d’une procédure de revue de la mise à jour des objectifs
3- Troisième niveau du dispositif de gouvernance des risques : la fonction audit
Les auditeurs internes réalisent des missions d’audit sur les procédures de contrôle qui permettent d’obtenir un avis indépendant sur le fonctionnement du système de contrôle interne et de gestion des risques. Les conclusions des travaux des auditeurs externes sur les faiblesses significatives de contrôle interne liées au processus d’élaboration de l’information financière constituent également un élément d’assurance indépendante.
Pour réaliser son diagnostic, le comité d’audit pourrait examiner l’existence des éléments suivants :
Niveau 3 – ELEMENTS DE DIAGNOSTIC AU NIVEAU DE LA FONCTION A
• Existence d’une fonction d’audit interne
• Examen de l’organisation de l’audit interne (rattachement, couverture des pays, etc.)
• Examen du plan d’audit interne en matière de diligences sur le dispositif de gestion des risques et de contrôle interne
• Examen du périmètre d’intervention des auditeurs externes
• Recours à des experts indépendants pour l’évaluation des risques et des activités de contrôle
• Revue par l’audit interne/externe de l’auto-évaluation/évaluation des activités de contrôle
2.3.2 Deuxième mission : obtenir des assurances de la direction sur le fonctionnement du système de contrôle interne et de gestion des risques
Une fois le diagnostic de gouvernance des risques et du contrôle interne établi, il conviendrait que le comité d’audit obtienne de la direction l’assurance que le dispositif fonctionne de manière efficace et ceci de manière dynamique dans le temps. Selon le mode de fonctionnement de l’entité, et en fonction de l’existence et de la profondeur des procédures mises en œuvre par les opérationnels, le comité d’audit pourrait être amené à déployer des approches différentes pour s’acquitter de ses missions en matière de suivi de l’efficacité des systèmes.
Examen d’ensemble du dispositif, appréciation du processus d’évaluation de l’efficacité et revue de la documentation sont les trois principaux leviers d’action des comités pour mener à bien leur mission de suivi.
1- L’entité a mis en place des indicateurs de risques
Les indicateurs de risques sont de plusieurs natures : des indicateurs de niveau du risque, des indicateurs de suivi de l’avancement des actions de maîtrise des risques et des indicateurs permettant le suivi de risques qui se sont effectivement avérés.
Afin d’examiner le fonctionnement du dispositif de gestion des risques, il conviendrait que le comité d’audit obtienne de la direction :
• le suivi des indicateurs d’alerte (ex : dérives par rapport aux prévisions) ;
• le degré de réalisation des plans de réponse aux risques significatifs (ex : recours à l’assurance, surveillance accrue, réduction de sa criticité) ;
• La synthèse des cas de risques avérés significatifs (incidents, fraude, sinistres...).
En interaction avec la fonction audit interne, il conviendrait que le comité d’audit confronte l’appréciation des risques des auditeurs à celle de la direction afin d’identifier et d’apprécier la portée des éventuelles divergences de vue.
2- L’entité a mis en place une procédure d’évaluation de l’efficacité des activités de contrôle
Les activités de contrôle sont documentées par les opérationnels. L’évaluation est réalisée par des services internes (direction du contrôle interne, direction de l’audit interne).
Le comité d’audit doit s’assurer de l’existence de l’évaluation de l’efficacité des activités de contrôle et de l’utilisation qui en est faite.
Afin d’assurer le suivi de l’efficacité des activités de contrôle, il conviendrait que le comité d’audit obtienne de la direction :
• la documentation relative à la mise à jour régulière des risques et des contrôles associés ;
• pour les risques majeurs, la synthèse des résultats des tests d’efficacité des activités de contrôle.
3- L’entité n’a pas mis en place de procédure d’évaluation de l’efficacité des activités de contrôle, mais procède à une auto-évaluation
Limitée à des critères prédéfinis et menée le plus souvent sur un mode déclaratif, l’auto-évaluation n’a pas la même portée qu’une procédure d’évaluation. Outre l’absence de vérification indépendante, une auto-évaluation ne saurait suffire à l’appréciation de l’efficacité des activités de contrôle. En effet, elle ne répond généralement pas aux exigences d’examen documenté et éprouvé (par le test) des procédures, telles que requises pour une mission d’évaluation de l’efficacité.
Afin d’assurer le suivi de l’efficacité des activités de contrôle, il conviendrait que le comité d’audit :
• obtienne de la direction la synthèse des résultats de l’auto-évaluation de l’efficacité des activités de contrôle ;
• demande à ce que les résultats de l’auto-évaluation fassent l’objet d’une revue indépendante. Cette revue aura pour objet de confronter l’auto-évaluation déclarative aux résultats de l’examen documenté et indépendant.
Sur cette base, il conviendrait que le comité d’audit analyse l’écart éventuel entre les résultats de l’auto-évaluation et les résultats de l’évaluation indépendante.
4- L’entité n’a pas mis en place de procédure d’évaluation ou d’auto-évaluation de l’efficacité des activités de contrôle
Dans ce cas, le comité d’audit pourrait solliciter la fonction audit (interne/ externe) pour qu’elle procède à une revue des contrôles-clés au sein de l’entité. Cette revue indépendante devra alors avoir une portée suffisamment large pour couvrir les risques clés de l’entité.
2.3.3 Troisième mission : procéder à l’examen des défaillances significatives du système de contrôle interne et de gestion des risques
Afin d’apprécier l’importance des défaillances du système de contrôle interne et de gestion des risques, il conviendrait que le comité d’audit :
• obtienne de la Direction, pour les incidents avérés, la synthèse des impacts financiers et extra-financiers ;
• obtienne de la Direction, pour les défaillances significatives identifiées, une estimation de leur impact potentiel ;
• examine les plans d’actions afin d’apprécier leur caractère approprié.
Table des matières :
Avant Propos
La mission de suivi de l’efficacité des systèmes de contrôle interne et de gestion des risques : quels enjeux pour les comités d’audit ? 1
Sommaire 2
1 Que faut-il entendre par « efficacité des systèmes de contrôle interne et de gestion des risques » ? 3
1.1 Quels sont les objectifs du dispositif de gestion des risques et du contrôle interne ? 3
1.2 Quelles caractéristiques pour un système efficace de contrôle interne et de gestion des risques ? 5
2 Que doit mettre en œuvre le comité d’audit pour mener à bien sa mission de « suivi de l’efficacité des systèmes de contrôle interne et de gestion des risques» ? 7
2.1 Quel cadre pour la mission du comité d’audit ? 7
2.2 Quels acteurs le comité d’audit pourra-t-il solliciter ? 8
2.3 Quelles diligences le comité d’audit pourra-t-il mettre en œuvre ? 9
2.4 Quelle documentation le comité d’audit pourra-t-il obtenir ? 15
Perspectives 16
Annexe - Exemple de tableau de bord pour le suivi de l’efficacité