Les grandes orientations en matière de contrôle interne sont déterminées en fonction des objectifs de la société.
Ces objectifs doivent être déclinés au niveau des différentes unités de l’entité et clairement communiquées aux collaborateurs afin que ces derniers comprennent et adhèrent à la politique de l’organisation en matière de risques et de contrôle.
Le contrôle interne est d’autant plus pertinent qu’il est fondé sur des règles de conduite et d’intégrité portées par les organes de gouvernance et communiquées à tous les collaborateurs. Il ne saurait en effet se réduire à un dispositif purement formel en marge duquel pourraient survenir des manquements graves à l’éthique des affaires.
En effet, le dispositif de contrôle interne ne peut empêcher à lui seul que des personnes de la société commettent une fraude, contreviennent aux dispositions légales ou réglementaires, ou communiquent à l’extérieur de la société des informations trompeuses sur sa situation. Dans ce contexte, l’exemplarité constitue un vecteur essentiel de diffusion des valeurs au sein de la société.
Composantes
Le dispositif de contrôle interne comprend cinq composantes étroitement liées.
Bien que ces composantes soient applicables à toutes les sociétés, leur mise en oeuvre peut être faite de façon différente selon la taille et le secteur d’activité des sociétés.
Ces cinq composantes sont les suivantes :
1) Une organisation comportant une définition claire des responsabilités, disposant des ressources et des compétences adéquates et s’appuyant sur des systèmes d’information, sur des procédures ou modes opératoires, des outils et des pratiques appropriés.
La mise en oeuvre d’un dispositif de contrôle interne doit reposer sur des principes fondamentaux mais aussi sur :
- une organisation appropriée qui fournit le cadre dans lequel les activités nécessaires à la réalisation des objectifs sont planifiées, exécutées, suivies et contrôlées ;
- des responsabilités et pouvoirs clairement définis qui doivent être accordés aux personnes appropriées en fonction des objectifs de la société. Ils peuvent être formalisés et communiqués au moyen de descriptions de tâches ou de fonctions, d’organigrammes hiérarchiques et fonctionnels, de délégations de pouvoirs et devraient respecter le principe de séparation des tâches ;
- une politique de gestion des ressources humaines qui devrait permettre de recruter des personnes possédant les connaissances et compétences nécessaires à l’exercice de leur responsabilité et à l’atteinte des objectifs actuels et futurs de la société ;
- des systèmes d’information adaptés aux objectifs actuels de l’organisation et conçus de façon à pouvoir supporter ses objectifs futurs. Les systèmes informatiques sur lesquels s’appuient ces systèmes d’information doivent être protégés efficacement tant au niveau de leur sécurité physique que logique afin d’assurer la conservation des informations stockées. Leur continuité d’exploitation doit être assurée au moyen de procédures de secours. Les informations relatives aux analyses, à la programmation et à l’exécution des traitements doivent faire l’objet d’une documentation ;
- des procédures ou modes opératoires qui précisent la manière dont devrait s'accomplir une action ou un processus (objectifs à atteindre à un horizon donné, définitions de fonctions et de lignes hiérarchiques/fonctionnelles, lignes de conduite, outils d'aide à la décision et d'évaluation, fréquence de contrôle, personne responsable du contrôle, …), quels qu'en soient la forme et le support. Dans ce contexte et en référence à l’article L225-235 du code de commerce, la CNCC a, dans un avis technique, donné les précisions suivantes « les procédures de contrôle interne relatives à l’élaboration et au traitement de l’information comptable et financière s’entendent de celles qui permettent à la société de produire les comptes et les informations sur la situation financière et ces comptes. Ces informations sont celles extraites des comptes annuels ou consolidés ou qui peuvent être rapprochées des données de base de la comptabilité ayant servi à l’établissement de ces comptes ». On trouvera, en annexe 1, « questionnaire relatif au contrôle interne comptable et financier », certaines questions qui peuvent se poser sur les procédures comptables et financières, mises en place par la société ;
- des outils ou instruments de travail (bureautique, informatique) qui doivent être adaptés aux besoins de chacun et auxquels chaque utilisateur devrait être dûment formé ;
- des pratiques communément admises au sein de la société.
2) La diffusion en interne d’informations pertinentes, fiables, dont la connaissance permet à chacun d’exercer ses responsabilités.
La société devrait disposer de processus qui assurent la communication d’informations pertinentes, fiables et diffusées en temps opportun aux acteurs concernés de la société afin de leur permettre d’exercer leurs responsabilités.
3) Un système visant à recenser, analyser les principaux risques identifiables au regard des objectifs de la société et à s’assurer de l’existence de procédures de gestion de ces risques
En raison de l’évolution permanente de l’environnement ainsi que du contexte réglementaire, les sociétés doivent mettre en place des méthodes pour recenser, analyser et gérer les risques d’origine interne ou externe auxquels elles peuvent être confrontées et qui réduiraient la probabilité d’atteinte des objectifs.
Recensement des risques
La société doit recenser les principaux risques identifiables, internes ou externes pouvant avoir un impact sur la probabilité d’atteindre les objectifs qu’elle s’est fixés. Cette identification, qui s’inscrit dans le cadre d’un processus continu, devrait couvrir les risques qui peuvent avoir une incidence importante sur sa situation.
La société doit recenser les principaux risques identifiables, internes ou externes pouvant avoir un impact sur la probabilité d’atteindre les objectifs qu’elle s’est fixés. Cette identification, qui s’inscrit dans le cadre d’un processus continu, devrait couvrir les risques qui peuvent avoir une incidence importante sur sa situation.
Analyse des risques
Il convient pour ce faire de tenir compte de la possibilité d’occurrence des risques et de leur gravité potentielle, ainsi que de l’environnement et des mesures de maîtrise existantes. Ces différents éléments ne sont pas figés, ils sont pris en compte, au contraire, dans un processus de gestion des risques.
Procédures de gestion des risques
La Direction Générale ou le Directoire avec l’appui d’une direction des risques, si elle existe,
devraient définir des procédures de gestion des risques.
On trouvera, en annexe 1 « questionnaire relatif à l’analyse et à la maîtrise des risques », certaines
questions qui peuvent se poser au sujet de ces procédures.
La Direction Générale ou le Directoire avec l’appui d’une direction des risques, si elle existe,
devraient définir des procédures de gestion des risques.
On trouvera, en annexe 1 « questionnaire relatif à l’analyse et à la maîtrise des risques », certaines
questions qui peuvent se poser au sujet de ces procédures.
4) Des activités de contrôle proportionnées aux enjeux propres à chaque processus, et conçues pour s’assurer que les mesures nécessaires sont prises en vue de maîtriser les risques susceptibles d’affecter la réalisation des objectifs
Les activités de contrôle sont présentes partout dans l’organisation, à tout niveau et dans toute fonction qu’il s’agisse de contrôles orientés vers la prévention ou la détection, de contrôles manuels ou informatiques ou encore de contrôles hiérarchiques. En tout état de cause, les activités de contrôle doivent être déterminées en fonction de la nature des objectifs auxquels elles se rapportent et être proportionnées aux enjeux de chaque processus. Dans ce cadre, une attention toute particulière devrait être portée aux contrôles des processus de construction et de fonctionnement des systèmes d’information.
5) Une surveillance permanente portant sur le dispositif de contrôle interne ainsi qu’un examen régulier de son fonctionnement.
Comme tout système, le dispositif de contrôle interne doit faire l’objet d’une surveillance permanente. Il s’agit de vérifier sa pertinence et son adéquation aux objectifs de la société. Mise en oeuvre par le management sous le pilotage de la Direction Générale ou du Directoire, cette surveillance prend notamment en compte l’analyse des principaux incidents constatés, le résultat des contrôles réalisés ainsi que des travaux effectués par l’audit interne, lorsqu’il existe. Cette surveillance s’appuie notamment sur les remarques formulées par les commissaires aux comptes et par les éventuelles instances réglementaires de supervision.
La surveillance peut utilement être complétée par une veille active sur les meilleures pratiques en matière de contrôle interne. Surveillance et veille conduisent, si nécessaire, à la mise en oeuvre d’actions correctives et à l’adaptation du dispositif de contrôle interne.
La Direction Générale ou le Directoire apprécient les conditions dans lesquelles ils informent le Conseil des principaux résultats des surveillances et examens ainsi exercés.
No comments:
Post a Comment