En France, le Président d'une Société Anonyme (SA) doit désormais, dans un rapport joint au rapport de gestion sur les comptes sociaux et les comptes consolidés, rendre compte des procédures de contrôle interne mises en place dans l’entreprise.

La loi couvre trois volets principaux : la modernisation des autorités de contrôle des marchés financiers, la sécurité des épargnants et des assurés et enfin le contrôle légal des comptes ainsi que la transparence et le gouvernement d'entreprise. Ce dernier volet s’adresse non seulement aux sociétés faisant appel public à l’épargne, mais à toutes les sociétés anonymes.

Les points plus particulièrement à noter sont les suivants :

La LSF confie au Président d’une société la responsabilité de la rédaction et du contenu d’un rapport annuel sur les procédures de contrôle interne mises en place. Ce volet de la LSF vise à imposer un usage étendu et très pragmatique du contrôle interne, dans une acception plus anglo-saxonne proche du contrôle des opérations (par opposition à une simple obligation formelle). Cette fonction renforcée du contrôle interne et des reportings associés doit permettre d’instiller une réelle culture de gouvernement d’entreprise entre les organes de contrôles (conseil d’administration ou de surveillance) et les organes de direction pour au final déboucher sur plus de transparence vis-à-vis des actionnaires.

Pour les personnes morales qui font appel à la générosité publique :

• rotation obligatoire des commissaires aux comptes et membres signataires d'une société de commissaires aux comptes après 6 années consécutives de contrôle des comptes (article 822-14 du C.C)

• mesures de rédaction et de lisibilité du rapport (article 225-235 du C.C)

• publicité de l'appartenance à un réseau et l'information sur le montant des honoraires versés (article 820-3 du C.C).

Pour les conventions réglementées, la LSF assouplit les mesures prises par la loi NRE qui avait étendu la procédure des conventions aux personnes morales de droit privé non commerçantes ayant une activité économique et aux associations recevant des subventions publiques (article 612-5 du Code de Commerce) en spécifiant que le rapport spécial ne porte pas sur les conventions non significatives.

Un Haut Conseil du Commissariat aux Comptes a été mis en place comme organisme référent afin de réguler les normes d'exercice professionnel

Le Sarbanes-Oxley Act (SOA) de 2002 concerne les seules sociétés cotées sur les marchés financiers nord américains auprès de la SEC et visait à sa création à apporter une réponse rapide à la crise de confiance en la fiabilité des informations communiquées par les entreprises. Le SOA est donc centré sur le contrôle de ces informations et il exige de surcroît que les directeurs généraux et directeurs financiers (CEO et CFO) engagent leur responsabilité sur la fiabilité de celles-ci.

L’article 404 traite des obligations liées au contrôle interne dans l’optique de la fiabilité de l’information financière délivrée. Il introduit l’exigence d’un rapport d’évaluation de la qualité du contrôle interne dans l’entreprise, l’obligation (lourde) de documenter les tests de contrôle interne réalisés et met un fort accent sur les dispositifs anti-fraudes. Cet article rend obligatoire l’utilisation d’un cadre d’analyse reconnu en matière de contrôle interne et cite en substance le référentiel COSO.

Le référentiel méthodologique COSO2 :

Il se présente comme un cube dont les 3 dimensions sont :

1 - Concourir à la réalisation des 3 objectifs suivants :
- la réalisation et l’optimisation des opérations,
- la fiabilité des opérations financières,
- la conformité aux lois et règlements

2 - Analyser pour chacun de ces trois objectifs les cinq composantes du contrôle interne suivantes :
- l’environnement de contrôle,
- l’évaluation des risques,
- les activités de contrôle,
- l’information et la communication,
- le pilotage du contrôle interne

3 - Appliquer cette double approche à chaque activité et fonction de l’entreprise

COSO 2 promeut, sur la base de cette analyse en « cube », l’émergence de la notion de gestion des risques de l’entreprise, « l’Enterprise Risk Management ou ERM ».

Cette gestion des risques doit être considérée dans une optique de pilotage : quels risques veut-on absolument éviter, quels risques sont inutiles, quels risques est-on prêt à prendre pour profiter de quelles opportunités ou conserver quel avantage ?

Règlementation dite "Bâle 2"

Le dispositif réglementaire Bâle 2 concerne les établissements financiers européens. Il a été publié en 2004 et vise à une homologation des établissements par le régulateur. Il apporte des contraintes méthodologiques en précisant des étapes de perfectionnement à suivre et en décomposant les risques par grandes natures pour les établissements financiers : risques de Crédit, risques de Marché et risques Opérationnels.

Exemple : Risques Opérationnels

Le premier niveau de perfectionnement est « l’approche standard » pour laquelle il faut :
- mettre en place un dispositif de collecte des incidents, avec une historisation longue et une consolidation le cas échéant (risques réalisés),
- découper les activités de la banque par ligne de métier,
- identifier les risques opérationnels de la banque, et dégager leurs composantes,
- évaluer les pertes potentielles liées à la réalisation de ces risques,
- définir des indicateurs de suivi des risques, construire et diffuser largement des reportings internes sur les risques, et mettre en place des plans d’actions pour faire suite à ces reportings.

A ces premières obligations s’ajoutent pour « l’approche avancée » :
- mettre en place une entité indépendante, responsable de la gestion des risques opérationnels, des procédures et des contrôles,
- utiliser des données externes pour la prise en compte de risques extrêmes
- calculer les fonds propres à mobiliser sur la base des incidents et des données externes collectées.

La collecte des incidents selon Bâle 2 ou toute autre forme de recensement permettra de positionner chaque risque à un niveau adéquat, qui n’est généralement pas le niveau de granularité le plus fin d’une analyse référentiel processus.

Pour plus d'informations :