Transcript
Audit interne & Contrôle Interne
SOMMAIRE INTRODUCTION VOLET I : DEVELOPPEMENT DU CONCEPT DE CONTROLE INTERNE Chapitre I : Le contrôle interne : Objectifs et dispositifs Section 1 : Définition du Contrôle Interne Section 2 : Objectifs du Contrôle Interne Section 3 : Les dispositifs du contrôle interne Chapitre II : Les circuits de gestion interne : Principal outil de contrôle interne A - Circuit Ventes Clients B – Circuit Immobilisations C – Circuit Trésorerie D – Circuit Paie Personnel E – Circuit production Stock F – Circuit Achat – Fournisseur Chapitre III : Le contrôle interne : Outil incontournable e la sécurité financière. Section 1 : le contenu de la loi sarbanes-oxley: Section 2 : le contrôle interne dans la loi sarbanes-oxley Section 3 : conséquences de la loi sarbanes-oxley sur l’organisation de l’entreprise
VOLET II : LA PRATIQUE DE L’AUDIT INTERNE Chapitre I : Emergence du concept de l’audit interne a) b) c) d) e)
SGO
Du concept de l’audit interne A quoi sert l’audit interne ? Mesure d’efficacité du contrôle interne Qualités de l’auditeur interne Audit interne et Hiérarchie
1
Audit interne & Contrôle Interne
Chapitre II : Les nouvelles tendances : l’audit interne, vecteur d’une bonne gouvernance a) b)
l’audit interne est-il source de gage ou outil de développement de l’entreprise ? Développement de l’obligation de reddition des comptes
Chapitre III : La pratique de l’audit interne a) b) c) d) e) f) g) h) i) j) k) l)
Le rapport d’audit interne Le compte rendu final L’ossature du rapport La Feuille de révélation et d’analyse du problème La feuille de couverture Budget, allocation, Planning, Suivi Le programme de vérifications Le rapport d’orientation Le tableau des forces et faiblesses apparentes Le plan d’approche Ordre de mission Notion de risque
CONCLUSION GENERALE BIBLIOGRAPHIE ANNEXES
SGO
2
Audit interne & Contrôle Interne
INTRODUCTION
L
e terme audit a connu une large diffusion durant ces dernières décennies. Il ne s’agit plus d’une terminologie professionnelle, mais, du terme devenu lui-
même courant dans le monde moderne des affaires. En effet, le développement d’activités
géographiquement
dispersées,
le
recours
sans
cesse
à
des
financements extérieurs et le développement des marchés boursiers ont fait de l’entreprise une entité complexe dont un suivi fiable nécessite un contrôle fréquent et en profondeur. Compte tenu de l’importance de ces enjeux, il est indispensable que les différents dispositifs des contrôles interne et externe s’imposent
constamment
à
l’entreprise
afin
d’améliorer
l’efficacité
et
le
fonctionnement de la société. L’audit a pour objectif d’effectuer des travaux rigoureux et systématiques afin d’étudier, de vérifier et d’évaluer les différentes facettes de l’activité de l’entreprise. Ces exigences peuvent être appréhendées par différents niveaux d’audit s’attachant chacun à une dimension de l’entreprise : L’audit comptable et financier, l’audit interne, l’audit opérationnel, l’audit informatique… L’un des aspects majeurs de l’audit concerne aussi bien la vérification des données financières, que la régularité et la sincérité des comptes présentés par les dirigeants de l’entreprise. L’objectif assigné à l’audit dans ce contexte est d’exprimer une opinion indépendante sur les états financiers établis selon des règles et principes comptables généralement admis et les normes professionnelles en vigueur. La mission de l’auditeur externe comprend aussi l’évaluation des contrôles internes et le bon fonctionnement du système d’information de l’entreprise. La fonction d’audit interne donne à cet égard l’assurance raisonnable que les opérations menées, les décisions prises sont « sous contrôle » et qu’elles contribuent donc aux objectifs de l’entreprise.
SGO
3
Audit interne & Contrôle Interne
A cette fin, l’audit interne évalue le niveau du contrôle interne, donc la capacité de l’organisation à atteindre efficacement les objectifs qui lui sont assignés et à maîtriser les risques inhérents à son activité. L’existence de dysfonctionnements, de faiblesses ou erreurs dans le système de gestion d’une entreprise ont pour source principale la défaillance de l’un des dispositifs du contrôle interne mis en place à savoir : les objectifs, les moyens, l’organisation, le système d’information, la supervision ainsi que les méthodes et procédures. Pour mieux cerner le système de gestion d’une entreprise, les auditeurs procèdent à la décomposition du contrôle interne en plusieurs cycles à savoir : le cycle vente-client, immobilisation, trésorerie, paie-personnel, production, stock et achat-fournisseur objet de présent rapport. L’objectif essentiel de ce travail est d’expliquer la relation existante entre l’audit interne et le contrôle interne. A cet égard, ce travail présentera dans un premier volet le développement et l’émergence du concept de contrôle interne et dans un deuxième volet le développement du concept de l’audit interne et sa pratique au niveau des organisations.
SGO
4
Audit interne & Contrôle Interne
VOLET I: DE L’EMERGENCE DU CONTRÔLE INTERNE
SGO
5
Audit interne & Contrôle Interne
CHAPITRE PREMIER : LE CONTRÔLE INTERNE : OBJECTIFS ET DISPOSITIFS La notion de contrôle interne a suscité depuis longtemps de nombreuses réflexions s’articulant toutes autour de sa définition et son objectif. Ce qui a eu pour conséquence une multitude d’acceptions du terme. Les études sur le sujet sont donc nombreuses et de qualité, mais au fil des années, de congrès en colloque, la notion s’est ainsi précisée et affinée. Dans ce qui suit, nous allons présenter : Une définition du Contrôle Interne (Section 1). Les objectifs du Contrôle Interne (Section 2). Les dispositifs du Contrôle Interne (Section 3).
SECTION 1: DÉFINITION DU CONTRÔLE INTERNE. Les définitions du Contrôle Interne sont nombreuses, mais l’accord se fait sur l’essentiel. Les auditeurs externes, les commissaires au compte, les experts comptables ont été les premiers en France à développer et approfondir la notion de contrôle interne, et ce pour atteindre les objectifs spécifiques assignés à leur fonction : Certifier la régularité, la sincérité et l’image fidèle des comptes et résultats. Le contrôle interne est donc un moyen, alors que pour les auditeurs internes, il s’agit d’un objectif. En 1997, l’Ordre des Experts Comptables et Comptables Agréés (OECCA) a donné au contrôle interne la définition suivante : «Le contrôle interne est l’ensemble des sécurités contribuant à la maîtrise de l’entreprise. Il a pour but, d’un côté, d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information, de l’autre, l’application des instructions de la direction et de favoriser l’amélioration des performances. Il se manifeste
SGO
6
Audit interne & Contrôle Interne
par l’organisation, les méthodes et les procédures de chacune des activités de l’entreprise, pour maintenir la pérennité de celle–ci » (1). En 1992, l’American Institute Certified Public Account (AICPA) avance la définition suivante : «Le contrôle interne est un processus mis en place par le conseil d’administration, les dirigeants et le personnel d’une organisation destiné à fournir une assurance raisonnable quant à la réalisation des objectifs»(2). Cette définition met l’accent sur un certain nombre d’éléments : Du fait, le contrôle interne est :
Un processus : C’est donc un ensemble d’éléments en interaction ayant tous pour objectif d’assurer la continuité d’exploitation et la pérennité de l’organisation.
Mis en place par : Les dirigeants et le personnel, dans ce sens, il est mis par tous les membres de l’organisation.
En vue d’une assurance raisonnable : son rôle est d’aider l’entreprise à atteindre ses objectifs ; le contrôle interne n’est pas conçu pour garantir la réussite de l’organisation, son objectif est relatif et non absolu.
SECTION 2 : OBJECTIFS DU CONTRÔLE INTERNE : Le contrôle interne concourt à la réalisation d’un objectif général à savoir la continuité de l’entreprise dans le cadre de la réalisation des buts poursuivis. Cet objectif peut être décliné en quatre objectifs particuliers à savoir: •
La sécurité des actifs.
•
La qualité des informations.
•
Le respect des directives.
•
L’optimisation des ressources.
a- La sécurité des actifs : Un bon système de contrôle interne doit viser à préserver le patrimoine de l’entreprise. Mais, il faut étendre la notion et comprendre par-là non seulement les actifs immobilisés de toutes natures, les stocks, les actifs immatériels, mais également les hommes qui constituent l’élément le plus précieux du patrimoine
1 2
J.Renard «Théorie & Pratique de l’Audit Interne», p116 OP.cit p119 SGO
7
Audit interne & Contrôle Interne
de l’entreprise et qui peut se trouver détruit par un incident fortuit dû à une mauvaise maîtrise des opérations. Enfin, la technologie ainsi que les informations confidentielles de l’entreprise. b- La qualité des informations : L’image de l’entreprise se reflète dans les informations qu’elle donne à l’extérieur et qui concernent ses activités et ses performances. Ces informations doivent être : •
Fiables et vérifiables.
•
Pertinentes.
•
Disponibles. b-1. Fiables et vérifiables :
Il faut que le système d’information permette de vérifier l’exactitude de l’information. Ainsi, le contrôle interne doit comporter un système de preuve garantissant et justifiant la qualité des informations fournies. Le système de contrôle interne doit garantir la qualité des enregistrements et permettre d’éviter toute omission de l’un des éléments faisant partie de la chaîne de traitement. b-2. Pertinentes : L’information doit être adaptée au but poursuivi, sinon, elle est superflue. b-3. Disponibles: Le contrôle interne adapté doit permettre de fournir des informations au moment opportun et qui sont aisément accessibles. c- Le respect des directives : Cet aspect contraignant du contrôle interne impose de respecter toutes les règles tant internes qu’externes. d- L’optimisation des ressources : L’entreprise se doit d’utiliser ses ressources de façon économique et efficace. Cette utilisation des ressources est la résultante de la compréhension et du respect des normes opérationnelles tout en procédant à une analyse par écarts afin d’aboutir à des actions correctives.
SGO
8
Audit interne & Contrôle Interne
SECTION 3 : LES DISPOSITIFS DU CONTRÔLE INTERNE : Un contrôle interne réussi doit réunir des dispositifs qui doivent être mis en place. Ces dispositifs peuvent être regroupés sous les rubriques suivantes (4): •
Les objectifs.
•
Les moyens.
•
Le système d’information.
•
Les procédures.
•
L’organisation.
•
La supervision.
a- Les objectifs : Ces objectifs doivent naturellement s’insérer dans le cadre des objectifs généraux du contrôle interne déjà traité dans le paragraphe 2 et concourir à la réalisation de la mission assignée au responsable. Aussi, ces objectifs doivent être déclinés à l’intérieur du service de façon à ce que chaque objectif spécifique se réalise par la réalisation cumulée de sousobjectifs. Ils doivent également être mesurables c’est-à-dire exprimés en termes numériques ; seuils à atteindre ou à dépasser. Enfin, les objectifs doivent être ambitieux et pouvoir être suivis par les systèmes d’information qui sont à la disposition du management. b- Les moyens : Ces moyens doivent permettre d’atteindre des objectifs prédéfinis : b-1. Moyens humains : Sans personnel compétent, tout système de contrôle interne est condamné. En effet, nombreux sont les cas dans lesquels les anomalies rencontrées ont pour cause une formation insuffisante. L’organisation doit donc se doter des moyens humains suffisants et veiller à leur épanouissement grâce aux programmes de formation professionnelle. b-2. Moyens financiers : Les budgets d’exploitation et d’investissement doivent nécessairement être corrélés avec les objectifs. Ils ne doivent être ni figés ni réduits. 4 4
( ) J. Renard «Théories & Pratiques de l’Audit Interne», p141. SGO
9
Audit interne & Contrôle Interne
De ce fait, chaque entreprise doit se procurer les moyens financiers permettant d’atteindre les objectifs dessinés. b-3. Moyens techniques : Enfin, l’entreprise se doit d’acquérir les moyens techniques, commerciaux, industriels ainsi que les techniques de gestion. c- L’organisation : Il s’agit d’un élément particulièrement important dans la panoplie des dispositifs du contrôle interne. Une organisation de qualité doit respecter trois principes généraux :
L’adaptation :
Le
principe
essentiel
est
que
l’organisation
doit
être
« adaptée» à la culture, à l’environnement, et à l’activité. Ce principe d’adaptation doit se conjuguer avec le second principe : l’objectivité.
L’objectivité : Ce principe équilibre le précédent ; adaptabilité certes, mais aussi permanence relative dans la mesure où une mutation, un départ ne doivent pas à chaque fois remettre en cause l’organisation existante.
La sécurité ou la séparation des tâches de telle façon que certaines d’entre elles ne puissent être exercées par une seule et même personne.
Ainsi, dans une organisation donnée et pour une opération donnée, aucune personne ne doit remplir plus d’une fonction essentielle. Il s’agit de :
♦ Fonction d’exécution : toute personne qui accomplit une tâche en suivant des consignes prédéterminées.
♦ Fonction d’autorisation : toute personne ayant le pouvoir de décision, quant aux budgets et investissement.
♦ Fonction d’enregistrement : elle est exercée par des comptables et concerne toute personne qui rentre des informations dans la chaîne de traitement comptable.
♦ Fonction de contrôle : toute personne chargée de contrôler l’exécution et supervise le travail des autres.
SGO
10
Audit interne & Contrôle Interne
d- Le système d’information : L’observation des systèmes d’information par l’auditeur interne doit le conduire à examiner les cinq critères qui vont lui permettre de porter un jugement sur la qualité de ces dispositifs :
Ils doivent concerner toutes les fonctions.
Ils doivent être fiables et vérifiables.
Ils doivent être exhaustifs.
Ils doivent être disponibles en temps opportun.
Ils doivent être utiles et pertinents.
e- Les méthodes et procédures : Les méthodes
et procédures de l’entreprise doivent être définies et concerner
toutes les activités et tous les processus. Ces documents doivent être :
Ecrits : dans des manuels de procédures à la disposition de l’ensemble du personnel.
Simples et spécifiques : pour que chaque personne de l’organisation puisse les comprendre.
f-
Mis à jour régulièrement.
Portés à la connaissance des exécutants.
La supervision :
La supervision est d’abord un acte d’assistance des collaborateurs dans l’exécution des tâches difficiles et nouvelles. Elle est, ensuite, un acte gratifiant du fait qu’elle montre l’intéressement du superviseur quant au travail fournis. Enfin, c’est un acte de vérification.
SGO
11
Audit interne & Contrôle Interne
CHAPITRE DEUXIEME : LES CIRCUITS DE GESTION INTERNE : PRINCIPAL OUTIL DE CONTRÔLE INTERNE Chaque entreprise est organisée sous forme de circuits. Chaque circuit est décomposé en un ensemble de procédures. La procédure est définie comme étant la description détaillée des étapes successives des traitements des données depuis la naissance de l’opération jusqu’à son enregistrement comptable. Les principaux circuits de gestion de l’entreprise sont : Ventes–Clients. Immobilisations. Trésorerie. Paie-personnel. Production–Stocks. Achat–fournisseur. A. Circuit ventes–clients : Le circuit ventes–clients débute de la réception de la commande du client et se termine par l’encaissement du produit de la vente (5). Les risques potentiels liés au cycle ventes–clients sont essentiellement : Sortie de marchandises ou prestations réalisées non facturées ; risque de perte. Retour de marchandises n’ayant pas donné lieu à l’émission d’un avoir ; risque de détournement de la marchandise et un risque de non-détection des avoirs à établir à la fin de l’exercice. Surévaluation du chiffre d’affaires ou de la marge brute. Avoirs non justifiés. 5 5
( ) Cahiers Français, « Audit & Management », p.73 SGO
12
Audit interne & Contrôle Interne
Non-comptabilisation de factures et /ou avoirs : Un risque de perte et de détournement. Chiffre d’affaires erronée et risque de perte ou de litige avec les clients. Ventes à des clients non solvables…etc. L’évaluation de ce circuit doit donc permettre à l’auditeur de s’assurer que : •
Tous les avoirs à émettre sont comptabilisés sur la bonne période.
•
Les séparations des fonctions sont suffisantes.
•
Tous les risques de perte sur les ventes sont provisionnés.
•
Toutes les ventes enregistrées sont correctement imputées.
•
Toutes les ventes et tous les retours de marchandises sont réels.
B. Circuit Immobilisations : Le contrôle interne dans ce cas à pour objectifs : S’assurer que les séparations des tâches sont réalisées. S’assurer que les acquisitions des immobilisations sont dûment autorisées par des personnes habilitées et qu’elles sont correctement comptabilisées. S’assurer de l’existence et l’appartenance des immobilisations à l’entreprise. S’assurer du classement et de l’évaluation de ces immobilisations. Enfin, s’assurer du respect des principes relatifs aux amortissements et aux provisions. C. Circuit Trésorerie : Etant donné que la trésorerie constitue souvent un indicateur précoce des difficultés qu’une entreprise peut rencontrer ; le rôle du contrôle interne consiste donc à s’assurer de la fidélité des comptes inscrits en trésorerie et qu’ils reflètent réellement la situation de celle-ci. Elle
est
donc
le
poste
le
plus
exposé
aux
risques :
fraudes,
erreurs,
détournements et mauvaise gestion. Dans ce cas, le rôle du contrôle interne serait de : S’assurer que les séparations des tâches sont suffisantes. S’assurer que tous les paiements et recettes sont comptabilisés. S’assurer que les recettes sont intégralement et rapidement remises en banque. S’assurer que l’encaissement des effets est régulièrement suivi.
SGO
13
Audit interne & Contrôle Interne
S’assurer que les paiements sont justifiés et dûment autorisés. D. Circuit Paie-Personnel. Ce circuit s’intéresse à l’aspect humain de l’organisation et traite alors tous les éléments qui lui y sont rattachés : paie, recrutement, licenciement, retraite, démission, accident de travail…etc. Les risques liés à ce circuit sont : •
Rémunération à des personnes fictives.
•
Non-respect des dispositions légales régissant le droit du travail à
savoir : respect du salaire minimum, droit de repos, heures de travail et heures supplémentaires, primes d’ancienneté, les charges sociales…etc. Il faut alors s’assurer que : Les séparations des tâches sont suffisantes. La procédure de la paie est établie correctement. Les dispositions légales régissant le travail sont respectées. Les personnes figurant dans le journal de paie ont le droit de rémunération. E. Circuit Production–Stock : L’étude de ce circuit porte sur deux aspects (6): •
Aspect produit ;
•
Aspect processus de production.
1- Aspect produit : le contrôle interne se doit de vérifier si les produits sont bien stockés, et que les lieux de stockage permettent une protection suffisante du produit.
2- Aspect processus de production : dans ce cas, le contrôle interne vérifie par exemple la politique de sous-traitance. F. Circuit Achat–Fournisseur : C’est le circuit qui recouvre l’organisation de l’entreprise dans ses relations avec ses fournisseurs de biens et services.
(6) L.Collins et Valin, « Contrôle interne : Aspects financiers, opérationnels et
6
stratégiques », p.202. SGO
14
Audit interne & Contrôle Interne
CHAPITRE TROISIEME : LE CONTRÔLE INTERNE : OUTIL INCOUNTOURNABLE DE LA SECURITÉ FINANCIERE Les nombreux scandales qui ont alors frappé les Etats-Unis en 2001 et au début de l’année 2002 (avec Enron, en tête, mais aussi Adelphia, Xerox, et surtout WorldCom) ont entraîné, comme le rappelle Descheemaeker (2003), une réaction brutale du législateur américain et l’adoption de la loi dite « SarbanesOxley », votée par le Congrès des Etats-Unis et ratifiée par le président Bush le 30 juillet 2002. Cette loi Sarbanes-Oxley constitue la plus importante réforme aux Etats-Unis depuis la crise des années 1930 et le Securities Act de 1934 qui régit encore largement le monde de la finance aux Etats-Unis. Elle est guidée par trois grands principes : l’exactitude et l’accessibilité de l’information, la responsabilité des gestionnaires et l’indépendance des organes vérificateurs. La loi a pour objectif d’augmenter la responsabilité de la société et de mieux protéger les investisseurs, ainsi que redonner confiance aux investisseurs et aux petits épargnants (Rioux, 2003). Cette loi comporte un volet qui nous préoccupe directement : l’obligation pour les dirigeants des sociétés américaines d’évaluer l’efficacité et la qualité de leur système de contrôle interne. Ainsi, après avoir présenté brièvement les principaux éléments de cette loi, nous développerons les dispositions portant sur le contrôle interne. Mais il convient de ne pas négliger les conséquences de cette loi américaine, tant en termes d’organisation des entreprises qu’au plan mondial. La loi sur la sécurité financière fournit un excellent aperçu des possibles conséquences sur la santé financiére des organisations.
SGO
15
Audit interne & Contrôle Interne
SECTION 1 : LE CONTENU DE LA LOI SARBANES-OXLEY: La loi contient six axes principaux (Rioux, 2003, Descheemaeker, 2003). 1.1 Certification des comptes Le Directeur Général (Chief Executive Officer - CEO) et le Directeur Financier (Chief Financial Officer - CFO) sont obligés de certifier les états financiers publiés, au moyen d’une déclaration signée (loi Sarbanes-Oxley, section 302). 1.2 Contenu des rapports Les entreprises doivent fournir à la Securities and Exchange Commission (SEC) des informations supplémentaires afin d’améliorer l’accès à l’information et la fiabilité de cette information. Les entreprises doivent rendre publics les ajustements comptables identifiés par les auditeurs, les engagements hors bilan, ainsi que les changements dans la propriété des actifs détenus par les dirigeants. En outre, les dirigeants doivent rédiger un rapport sur les procédures du contrôle interne (voir ci-après) et préciser si un code d’éthique a été adopté. 1.3 Contrôle de la SEC La SEC devra procéder à un contrôle régulier des sociétés cotées, ce contrôle devant intervenir au moins une fois tous les trois ans. 1.4 Création du Public Company Accounting Oversight Board (PCAOB) Dans le cadre de la
loi (sections 101-109),
un nouvel organisme
de
réglementation et de surveillance est créé, le Public Company Accounting Oversight Board. Cet organisme doit superviser les cabinets d’audit, établir des normes, mener des enquêtes et sanctionner les personnes physiques ou morales qui ne respectent pas les règles. Dépendant de la SEC, ce nouvel organisme de contrôle comprend cinq membres nommés par celle-ci, et dispose de pouvoirs d’enquête et de sanction. 1.5 Sanctions Des sanctions pénales sont créées et d’autres considérablement renforcées. Nous retiendrons à titre d’exemple que la certification d’états financiers non conformes à la réglementation est passible d’une amende d’un million de dollars ou d’un emprisonnement de 10 ans au plus. En outre, la commission
SGO
16
Audit interne & Contrôle Interne
intentionnelle de la même infraction fait passer l’amende à 5 millions de dollars et l’emprisonnement à 20 ans (section 906 de la Loi Sarbanes-Oxley). La falsification de documents dans le but de faire obstacle à une enquête fait l’objet d’une amende à laquelle peuvent venir s’ajouter des peines de prison pouvant atteindre 20 ans (section 802).
SECTION 2 : LE CONTRÔLE INTERNE DANS LA LOI SARBANES-OXLEY Dans le cadre de l’amélioration du contenu des rapports évoquée ci-dessus, la loi Sarbanes- Oxley contient divers articles concernant les nouvelles responsabilités des dirigeants d’entreprise en matière de contrôle interne. Il s’agit notamment des sections 302 et 404. Il paraît cependant utile de fournir brièvement une définition de la notion de contrôle interne et de s’interroger sur l’éventuel diagnostic sur les insuffisances du contrôle interne sous-jacent à la loi SarbanesOxley. 2.1. Insuffisances du contrôle interne Alors que la loi Sarbanes-Oxley contient des dispositions très importantes en matière de contrôle interne, nous ne trouvons pas trace d’un éventuel diagnostic sur les insuffisances de ce contrôle. Par exemple, dans le rapport du Sénat américain (2002) publié à la suite de l’affaire Enron, plusieurs causes de la débâcle sont avancées : non-respect des obligations fiduciaires (manque de contrôle du conseil d’administration), comptabilité à haut risque, conflits d’intérêts indésirables, importance du « hors bilan », rémunérations excessives et manque d’indépendance (du conseil d’administration et des auditeurs). Le contrôle interne n’est aucunement mentionné comme ayant été un « problème » dans le cadre de l’affaire Enron. Aussi, les dispositions de la loi Sarbanes-Oxley sur le contrôle interne sont souvent présentées sans motivation spécifique mais comme contribuant à l’amélioration de l’information financière (voir Rioux, 2002 et Descheemaeker, 2003). 2.2. Certification des états financiers (Section 302) Avant d’aborder le contrôle interne proprement dit, il convient de mentionner le fait que, aux termes de la section 302 de la Loi8, le Directeur Général (CEO) et le Directeur Financier (CFO) de l’entreprise doivent préparer une déclaration, accompagnant le rapport des auditeurs, qui certifie la validité des états financiers et des indications hors bilan contenues dans le rapport annuel (ou les SGO
17
Audit interne & Contrôle Interne
rapports périodiques). Cette déclaration doit aussi signaler que les états financiers présentent de manière sincère, dans tous leurs aspects significatifs, la situation financière et les résultats de l’activité de l’entreprise. Ce travail qui impose une « certification des états financiers » par les dirigeants a également des conséquences en matière de contrôle interne puisque les dirigeants attestent qu’ils : - sont responsables de la mise en place et du maintien du contrôle interne9 ; - ont conçu ce contrôle de telle sorte que toute information significative concernant l’entreprise et les sociétés consolidées est connue par les dirigeants, notamment pendant la période de préparation des rapports périodiques ; - ont évalué l’efficacité du contrôle interne de l’entreprise à moins de 90 jours de la publication des rapports ; - ont présenté dans leur rapport leurs conclusions concernant l’efficacité du contrôle interne fondées sur leur évaluation. En outre, les dirigeants doivent signaler aux auditeurs et au comité d’audit les déficiences dans le contrôle interne et les fraudes liées au contrôle interne. Enfin, les dirigeants doivent mentionner dans leur rapport s’il y a eu des changements significatifs dans le contrôle interne après la date d’évaluation. 2.3. Evaluation du contrôle interne (Section 404) La Loi11 exige que chaque rapport annuel contienne un rapport sur le contrôle interne qui : - confirme que la direction est responsable de la mise en place et de la gestion d’une structure de contrôle interne adéquate et de procédures pour la communication financière. - contienne une évaluation de l’efficacité de la structure de contrôle interne et des procédures de communication financière, à la date de clôture des comptes. Quant aux auditeurs, ils doivent faire une attestation, dans leur rapport, sur l’évaluation du contrôle interne réalisée par la direction de l’entreprise. 2.4. Commentaires Depuis longtemps, la SEC avait essayé de faire adopter des propositions sur le reporting du contrôle interne, mais toute tentative avait échoué jusqu’en 2002,
SGO
18
Audit interne & Contrôle Interne
quand la mise en place de la loi Sarbanes-Oxley fournit l’occasion notamment pour définir les obligations des sociétés au sujet du contrôle interne (Barlas, 2003). La réaction des groupes cotés n’a pas été enthousiaste : les réticences qui avaient joué contre les anciennes propositions étant toujours présentes, mais le pouvoir de négociation des sociétés s’est trouvé affaibli suite à la série de scandales des années 2001-2002. Les objections à l’encontre des dispositions de la loi sur le contrôle interne sont notamment les suivantes (Barlas, 2003) : - le coût des procédures d’attestation et du rapport fourni par des auditeurs indépendants pourrait être trop élevé et finalement dépasser la valeur de l’information apportée aux investisseurs. - les normes qui doivent être élaborés par le PCAOB (organisme évoqué précédemment) concernant l’émission des rapports sur le contrôle interne ne sont pas encore publiées. Or une telle publication sur le contrôle interne va inévitablement soulever une problématique coûts/bénéfices. Quelle information publier ? Cette information est-elle utile ? Cette information n’est-elle pas trop coûteuse ?
SECTION 3 : CONSÉQUENCES
DE LA LOI
SARBANES-OXLEY
SUR L’ORGANISATION DE
L’ENTREPRISE
La loi Sarbanes-Oxley, et notamment ses composantes traitant du contrôle interne, va tout d’abord avoir des conséquences sur les entreprises elles-mêmes. L’objectif de la SEC avec la loi Sarbanes-Oxley est, rappelons-le, de s’assurer qu’une société met bien en place les procédures nécessaires à la collecte, l’analyse et la diffusion de toute information qui doit être incluse dans les rapports financiers. En conséquence, en raison de l’obligation de certifier les états financiers par la direction de l’entreprise (sec. 302 de la loi), les sociétés doivent considérer le fait d’adopter des procédures internes particulières pour délivrer ces certifications. Dans ce contexte, le Directeur Général et le Directeur Financier doivent discuter avec le Comité d’Audit, le Conseil d’Administration et les auditeurs externes,
SGO
19
Audit interne & Contrôle Interne
toute déclaration concernant les états financiers de l’entreprise mentionnée dans les rapports périodiques. Si l’on en vient au contrôle interne, la loi oblige les entreprises à évaluer, sous la responsabilité de la Direction, l’efficacité de la conception et la mise en place des procédures de contrôle. Cette évaluation a pour objectif d’identifier les points faibles de chaque procédure ainsi que toute faiblesse qui puisse mettre en cause la capacité de l’entreprise à collecter, analyser et révéler l’information exigée dans un délai de temps défini. Tout changement dans les procédures de contrôle, y compris les actions correctives qui ont été prises suite à l’identification de faiblesses ou déficiences, doit également être évalué. Avant la publication du rapport annuel, les résultats de cette évaluation doivent être communiqués et réexaminés par la Direction et par le Conseil d’Administration de l’entreprise (Sullivan, 2002). La SEC ne propose pas de procédures spécifiques pour diriger cette évaluation. Chaque entreprise doit plutôt développer les procédures qui s’adaptent le mieux à sa gestion et au déroulement de ses activités. Néanmoins, la SEC propose la création d’un comité dépendant de la Direction qui serait responsable de l’évaluation du caractère significatif des informations obtenues (materiality of information) et de la détermination de l’opportunité de leur publication (determining disclosure obligations on a timely basis ). Selon la SEC, ce comité peut être formé par les membres suivants (Sullivan, 2002) : - Chef comptable (principal accounting officer) - Responsable juridique ou membre du management qui rend compte au responsable juridique (the general counsel or other senior legal official with responsibility for disclosure matters who reports to the general counsel ) - Responsable de la gestion des risques (principal risk management officer ) - Responsable des relations avec les actionnaires (chief investor relations officer) - Autres membres du management ou employés, y compris des personnes qui participent aux différentes activités, si la société le juge nécessaire. Enfin, les exigences de la loi Sarbanes-Oxley sur la validation du contrôle interne augmenteront sensiblement le coût de l’audit pour les groupes cotés aux Etats-
SGO
20
Audit interne & Contrôle Interne
Unis (Accounting Office Management & Administration Report, 2002) : les auditeurs voudront avoir la certitude que le processus de contrôle choisi par le management
est
rigoureux,
ce
qui
comportera
un
renforcement
des
vérifications. Les contrôles financiers devront être dûment documentés et communiqués à toutes les personnes concernées, et leur efficacité testée. Inévitablement, ces lourdes procédures risquent de focaliser l’attention du management sur la forme des contrôles, et de faire passer au deuxième plan le contenu.
SGO
21
Audit interne & Contrôle Interne
VOLET II: LA PRATIQUE DE L’AUDIT INTERNE
SGO
22
Audit interne & Contrôle Interne
DÉFINITIONS : L'audit interne est maintenant une fonction d'assistance au management, Issue du contrôle comptable et financier, la fonction audit interne recouvre de nos jours une conception beaucoup plus large et plus riche, répondant aux exigences croissantes des la gestion de plus en plus complexe des entreprises : nouvelles méthodes de direction (délégation, décentralisation, motivation), informatisation, concurrence... La déclaration des responsables de l'audit interne de l'I.I.A. (The Institute of Internal Auditors) indique : « L'audit interne et à l'intérieur d'une entreprise (ou d'un organisme), une activité indépendante d'appréciation du contrôle des opérations ; il est de l'entreprise (ou de l'organisme). C'est, dans ce domaine, un contrôle qui a pour fonction d'estimer et d'évaluer l'efficacité des autres contrôles ». Son objectif est d'assister les membres de l'entreprise (ou de l'organisme) dans l'exercice efficace de leurs responsabilités. Dans ce but, l'audit interne fournit des analyses, des appréciations, des recommandations, des avis et des informations concernant les activités examinées. Ceci inclut la promotion du contrôle efficace à un coût raisonnable. L'audit interne apporte sa contribution à l'ensemble des activités de l'entreprise car dans chaque domaine -
qu'il s'agissent des aspects financiers, administratifs,
informatiques, industriels, commerciaux ou sociaux - d'après Larry Sawyer, diriger c'est toujours planifier les tâches, organiser les responsabilités, conduire les opérations et en contrôler la marche. Le management, l'accompagne et l'éclaire. Larry Sawyer dit : "La tâche de dirigeant est difficile. L'aide dont il a le plus besoin n'est pas celle d'un vérificateur qui pointe des chiffres, ou même signale la violation des règles et des procédures, ou montre qu'elle sont périmées, inapplicables ou inefficaces ; c'est celle de quelqu'un qui peut comprendre ses problèmes et lui donner des avis sur la façon de les résoudre en se fondant sur les principes éprouvés du management". L'audit intervient mandaté par la Direction pour aller examiner un point ou une activité de l'organisation - une filiale, une fonction, un processus - et établir un diagnostic alertant les responsables et la direction, et une thérapeutique visant la sécurité des actifs et la fiabilité des informations, l'efficacité des opérations, la
SGO
23
Audit interne & Contrôle Interne
compétitivité de l'organisme (mais pas plus que le médecin, l'audit ne met en oeuvre la prescription qu'il recommande). Envoyé en terrain peu connu, dans une filiale ou sur un sujet qu'il découvre, muni d'informations partielles et approximatives et généralement sans connaissance technique approfondie des opérations à examiner, l'auditeur doit déceler leurs principales faiblesses, en déterminer les causes, en évaluer les conséquences, leur trouver un remède et convaincre les responsables d'agir. Ce métier d'auditeur est passionnant mais difficile. Il demande des qualités personnelles et des connaissances variées, notamment des connaissances en management. L'auditeur pratique en effet le doute méthodique, il s'appuie sur les quatre préceptes énoncés par Descartes il y a plus de 350 ans dans son Discours de la méthode pour bien mener sa raison et chercher la vérité... 1) Ne recevoir aucune chose pour vraie que je ne la connusse évidemment être elle...; 2) Diviser chacune des difficultés... en autant de parcelles... qu'il serait requis pour les mieux résoudre ; 3) Conduire par ordre mes pensées, en commençant par les objets les plus simples et les plus aisés à connaître, pour monter peu à peu... jusqu'à la connaissance des plus composés...; 4) Faire partout des dénombrements si entiers, et des revues si générales, que je fusse assuré de ne rien omettre". De la méthode cartésienne on ne retient souvent que l'analyse, malgré le troisième précepte et le but recherché : reconstruire la science en partant du principe "Je pense donc je suis". De même, l'auditeur fait d'abord preuve d'ouverture, il écoute, prête l'oreille, prête attention, observe et analyse (j'audite donc je pense) ; puis il fait la synthèse de ses observations et déductions pour imaginer des solutions, reconstruire l'organisation (j'audite donc j'anime). L'auditeur doit maîtriser les techniques et outils de son art : l'interview, le diagramme de circulation... Mais connaître son métier n'est pas seulement savoir manipuler les appareils et les outils, c'est aussi avoir une approche des situations et des problèmes,
SGO
24
Audit interne & Contrôle Interne
c'est-à-dire démarche. Le bon sens et l'intuition ne suffisent pas ; le génie peut-être, mais peut-on compter dessus ? L'auditeur n'est normalement pas en situation d'expert (ou génie du marketing gourou de la stratégie, magicien de la finance), et même s'il l'est, il s'appuie sur une méthodologie. La "méthodologie" est ce qu'il y a de commun à toute mission d'audit.
SGO
25
Audit interne & Contrôle Interne
CHAPITRE PREMIER : EMERGENCE DU CONCEPT DE L’AUDIT INTERNE A. DU CONCEPT
DE L’AUDIT INTERNE
Au départ, l'audit est une technique de mesure d'éventuelles dérives par rapport à certaines normes. C'est le cas, par exemple, pour la certification légale des comptes, qui est une obligation d'autant plus facile à instaurer que les normes en ce domaine sont précises. Par contre, certifier qu'une entreprise et dans une situation régulière à l'égard du fisc est déjà une gageure... Mais à supposer que cette entreprise soit, apparemment en situation régulière, qui se hasardera à affirmer qu'il n'y a pas de risque de redressement...? Ceci ne veut pas dire pour autant qu'un auditeur interne (ou externe d'ailleurs) se refusera à conduire des investigations en matière fiscale, mais à l'évidence, l'audit s'oriente de plus en plus vers une approche intégrée globale de l'entreprise. Chaque audit particulier doit permettre de déboucher sur un audit de direction. L'audit de stratégie couronne l'édifice en permettant de vérifier que chacune des fonctions de l'entreprise est efficace dans la réalisation du résultat final. L'audit devient alors un audit de la performance et les normes d'audit se situent dans la réalisation des quatre notions suivantes : notion d’efficacité notion d'efficience notion de pertinence notion d’économie
Notion d’efficacité : une réponse positive à la question "est-ce que l'objectif est atteint ?" souvent donne naissance à la question suivante : existe-t-il une autre alternative plus efficace, pour atteindre les mêmes résultats ? L'efficacité examine le rapport entre l'effort et la performance. Par efficience, on entend le rapport entre les biens ou les services produits, d'une part, et les ressources utilisées pour les produire, d'autre part.
SGO
26
Audit interne & Contrôle Interne
Dans une opération basée sur l'efficience, pour tout ensemble de ressources utilisées le produit obtenu et maximum, ou encore les moyens utilisés sont minimaux pour toute qualité et quantité données de produits ou de services. La notion de pertinence reste très subjective et difficile à mesurer. Toutefois, on pourra admettre que la pertinence est la conformité des moyens et des actions mis en oeuvre en vue d'atteindre un objectif donné. Autrement dit, être pertinent c'est atteindre efficacement et d'une manière efficiente l'objectif fixé. Par économie, on entend les conditions dans lesquelles on acquiert des ressources humaines et matérielles. Pour qu'une opération soit économique, l'acquisition des ressources doit être faite d'une qualité acceptable et au coût le plus bas possible. Audit interne vs Audit externe :
RUBRIQUE Statut de l’intervenant Finalités
AUDIT INTERNE Dépendance de la direction
AUDIT EXTERNE Indépendant
Sécurité de la direction
Sécurité des actionnaires et des tiers
Objectifs
*Régularité et rigueur de l’information interne et externe *Sécurité des personnes et des biens *Efficacité de la gestion *Négocie son programme de travail *Passe le contrôle interne en revue pour provoquer des améliorations *Travaille sur ordre de mission
Régularité et sécurité de l’information publiée
Moyens
Axe de recherche
Non respect du cadre juridique, réglementaire ou comptable Non actualisation des comptes Erreurs ou omissions Fraudes, gaspillage ou perte
Domaine d’intervention
Compte, opération, élément du patrimoine, organisation et système, structure et fonction, budgets,… Recommandations et suivi représentent un outil de gestion et de direction Audit de régularité Audit d’efficacité Audit diagnostic
Résultat Attribution
B. A QUOI
SERT L’AUDIT INTERNE
SGO
*fixe lui-même son programme de travail *Passe le contrôle interne pour déterminer le niveau de ses contrôles *Négocie le nombre de ses mandats Non respect du cadre juridique, réglementaire Non respect de la sincérité des comptes Erreurs ou omissions fraudes Compte, opération, élément du patrimoine, budget. Certification avec ou sans réserves ou refus de certification sont un outil d’information Audit de régularité en grande partie
?
27
Audit interne & Contrôle Interne
Dans l'idéal, un bon interne pourrait répondre à la définition suivante : c'est dispositif interne à l'entreprise (ou à l'administration) qui vise à : Apprécier l'exactitude et la sincérité des informations, notamment comptable, qui sont produites par les systèmes d'information internes à l'entreprise, Assurer la sécurité physique et comptable des opérations et vérifier la bonne application des règles et des procédures applicables, Garantir l'intégrité du patrimoine de l'entreprise et permettre l'appréciation des risques engagés, Juger de l'efficacité des systèmes de gestion (appréciation des résultats de l'organisation, des procédés de production). Dans le secteur bancaire, ces différentes fonctions sont primordiales du fait des risques financiers encourus par les entreprises. L'information sur la situation exacte du porteuse, le calcul des gains et des pertes potentiels qui en découlent (plus et moins-values latentes), la nécessaire utilisation des instruments de couverture existants ne peuvent être correctement assurés qu'à ce prix. Par ailleurs, l'audit interne présente également une vertu qui est loin d'être négligeable : il permet d'informer les auditeurs externes... Et ce, de deux façon : d'abord par les résultats et les critiques qu'il relève, qui donnent à ceux-ci des éléments de réflexion et leur suggèrent des pistes de recherche : ensuite par les qualités ou les défauts qui lui sont propres : l'inexistence ou la faiblesse caractérisée d'un service d'audit interne, l'insuffisance des missions de contrôle, la faiblesse des normes utilisées sont autant de signes d'une mauvaise gestion de l'entreprise.
C. MESURES D’EFFICACITÉ D’UN CONTRÔLE INTERNE : Les critères utilisés permettant de juger de la qualité d'un service d'audit interne sont les suivants :
Indépendance des auditeurs internes : Cette conditions est souvent assurée par un rattachement hiérarchique des services d'audit à la direction générale, mais une telle solution n'est pas non plus exemple de risque ; il est en tout état de cause essentiel que les conclusions des auditeurs internes soient transmises sans interférence aux principaux responsable de l'entreprise,
SGO
28
Audit interne & Contrôle Interne
Compétence
reconnue
des
auditeurs
internes,
notamment
dans
les
disciplines fondamentales de leur métier : comptabilité, analyse financière, organisation, informatique,
Existence d'une véritable programmation des travaux d'audit, en fonction d'objectifs et de priorités définis préalablement, qui permet une affectation optimale des moyens disponibles tout en assurant un nombre minimal des audit annuels ; recours concomitant à des contrôles opinés dans les services, à l'initiative des auditeurs et pas seulement à la demande des dirigeants (condition d'indépendance),
Elaboration et utilisation de normes d'audit ou, pour le moins de méthodes harmonisées de contrôle, de règles écrites réunies par exemple dans un "manuel d'audit",
Exhaustivité et permanence du dispositif de l'audit, qui doit permettre d'analyser l'intégralité des activités de l'entreprise, même si les contraintes de moyens et d'efficacité impliquent de concentrer les efforts sur les principales zones à risques ; le recours aux techniques d'audit informatique - Les auditeurs étant branchés directement sur les systèmes informatiques de l'entreprise - offre une solution intéressante.
Garantie de l'efficacité des audits par un dispositif permettant d'assurer les suites nécessaires aux constations des auditeurs : structures de décision et d’arbitrage, compte rendu annuel des réalisations, etc. Un bon audit interne constitue en fait une véritable assurance contre le risque : elle ne l'élimine certainement pas mais permet de l'appréhender, de le gérer
et d'en
limiter les conséquences. La définition de l'audit interne, telle qu'elle est promulguée par « l’Institue of Internal Auditors » à subi plusieurs révisions en 1974, 1957 et 1971 et, partant d'un point de vue strictement comptable, et axé sur la recherche des fraudes, l'audit interne a progressivement étendu son champ d'action à toutes les activités de l'entreprise et a orienté son activité vers l'amélioration des procédures de l'entreprise.
D. QUALITÉS DE L’AUDITEUR INTERNE :
SGO
29
Audit interne & Contrôle Interne
Indépendance : Les auditeurs internes doivent indépendants des activités qu'ils auditent.
Compétence professionnelle : les auditeurs internes doivent effectuer leurs travaux avec compétence et conscience professionnelle.
Etendue des travaux : L'audit interne a pour vocation d’évaluer toutes les opérations, tous les rouages, tous les systèmes, toutes les fonctions de l’entreprise. Cette notion d'universalité qui est l'essence même de l'audit interne, s'exerce dans un cadre spécifique qui est celui de l’évolution de l'efficacité du système de contrôle interne.
Exécution du travail d'audit : le travail d'audit doit comprendre la planification des missions, l'examen et l'évaluation des informations recueillies, la communication des résultats obtenus et le suivi.
Gestion du service d'audit interne : Le directeur de l'audit interne doit diriger son service de façon appropriée.
E. AUDIT
INTERNE ET
HIÉRARCHIE
L'audit interne dispose d'un référentiel. Celui-ci se compose de standards et d'une charte qui fixent les règles dans lesquelles s'exerce la fonction de l'audit interne dans l'entreprise. La structure du service d'audit interne peut différer d'une entreprise à l'autre et dépend également des effectifs et de la taille du service. L'auditeur est concerné par toutes les phases de l'activité. Il a accès à tous les secteurs de l'entreprise. Pour exercer convenablement cette responsabilité, l'auditeur doit au préalable élaborer des plans. Le processus de cette planification nécessite la fixation d'objectifs dans un plan
pluriannuel qui couvre une période de 3 à 5 ans, liste des sujets
identifiés et les classes par degré de risque, détermine l'intensité et la périodicité des audits et fixe les budgets temps. Parallèlement, un programme annuel est établi, il fait référence au plan pluriannuel, liste les missions de suivi des recommandations, les moyens disponibles, les missions urgentes non programmées, l'identification des zones à risques dont l'analyse doit retenir
trois
SGO
caractéristiques
fondamentales,
à
savoir
l'impact
financier,
la
30
Audit interne & Contrôle Interne
vulnérabilité intrinsèque et le dernier état des connaissances sur le système de gestion en place. Recrutement des auditeurs internes : Le recrutement des auditeurs a pour objectif de constituer une équipe d’auditeurs dont les caractéristiques permettront de la remplir la mission assignée au service. Le choix de l’équipe est tributaire de plusieurs considérations tels que les objectifs de l’audit (comptable, opérationnel, régularité, efficacité, etc.) les contraintes économiques, techniques, etc. La formation : Trois niveaux sont à signaler :
La formation de base : Elle est indispensable pour acquérir les techniques, les outils....
La formation pour les audits spécialisés : Elle s’intéresse aux spécialités telles que l’informatique, la trésorerie, la fiscalité, le juridique, le social, etc.
La formation sur le tas : Elle se fonde sur la travail en équipe associant débutants et confirmés. Il est à noter que pour être plus opérationnel, il y a lieu d’éviter le trop de spécialisation des équipes. L’évaluation : L’évaluation des assistants est faite dès la fin de la mission. Elle porte sur la performance réalisée et sur le potentiel de l’assistant et comporte des recommandations. L’évaluation doit être présentée à l’intéressé. Elle est basée sur des fiches d’évaluation ponctuelle de la performance de chacun des auditeurs de l’équipe. Ces fiches sont établies par les chefs de mission.
SGO
31
Audit interne & Contrôle Interne
CHAPITRE DEUXIEME : LES NOUVELLES TENDANCES : L’AUDIT INTERNE, VECTEUR D’UNE BONNE GOUVERNANCE Les scandales financiers à répétition, les états comptables irréguliers de certaines sociétés cotées et l’effondrement boursier de ces dernières années ont créé un véritable traumatisme au plan international. Les premières réactions, venues des Etats-Unis, lieu de la plupart des affaires actuelles, exigent, par exemple pour la SEC le 27 juin 2002, que les directeurs généraux et financiers des grandes sociétés cotées certifient en prêtant serment la sincérité des comptes ou, au contraire, qu’ils admettent publiquement les « zones d’ombre » existant dans leurs états financiers. Le Sarbanes-Oaxley Act, promulgué par le président des Etats-Unis, conforte, le 30 juillet 2002, cette idée de poursuite des dirigeants et de responsabilité des conseils d’administration.
De manière générale, ces premières évolutions légales participent à l’amélioration de la gouvernance, entendue comme l’ensemble des « mécanismes organisationnels qui ont pour effet de délimiter les pouvoirs et d’influencer les décisions des dirigeants, autrement
dit,
qui
gouvernent
leur
conduite
et
définissent
leur
espace
discrétionnaire» (CHARREAUX, 1997a, p. 1). Comme l’indique PESQUEUX, c’est en effet « tout l’environnement politique et social de l’entreprise qui demande aujourd’hui des comptes. Le Sommet de la Terre de Johannesburg (Afrique du Sud) – et c’est extrêmement significatif – a mis en avant le terme anglais d’accountability1, mais en lui rendant son sens originel, celui de donner une image fidèle de l’ensemble des activités de l’entreprise, avec une connotation de responsabilité ».
A. DÉVELOPPEMENT Les
nouvelles
DE L’OBLIGATION DE REDDITION DES COMPTES
réglementations
financières
répondent
à
: ces
inquiétudes
en
redéfinissant non seulement la responsabilité des équipes dirigeantes, mais aussi celle des organisations chargées de l’audit externe légal. Concernant ce dernier point, le Sarbanes-Oaxley Act aborde ainsi le rôle des auditeurs légaux en modifiant les SGO
32
Audit interne & Contrôle Interne
règles d’indépendance des cabinets d’audit chargés de certifier les comptes des émetteurs d’actions cotées. En voulant instituer une nouvelle gouvernance plus transparente et efficace face à certaines
insuffisances,
les
textes
actuels
remettent
ainsi
au
centre
des
préoccupations les notions de responsabilité, d’audit externe et de reddition des comptes. L’obligation de reddition des comptes3 apparaît en effet comme un sousensemble de la gouvernance qui implique « le contrôle, l’évaluation et la supervision des agents organisationnels pour s’assurer qu’ils agissent pour le mieux des intérêts des actionnaires et des détenteurs d’intérêts »
B. L’AUDIT
INTERNE OUTIL DE DÉVELOPPEMENT DE L’ORGANISATION
:
1 - Le contrôle interne, outil d’aide à l’atteinte des résultats : Chaque dirigeant ou responsable d’entité organise et pilote le contrôle à l’intérieur de son périmètre de délégation pour obtenir l’assurance raisonnable que les objectifs de performance qui lui ont été fixés seront atteints. Ces activités de contrôle, menées à tous les niveaux hiérarchiques et fonctionnels de la structure concernée, recouvrent la mise en œuvre des délégations de pouvoir, la mise en place de dispositifs de contrôle et d’autocontrôle, l’appréciation des performances opérationnelles, la sécurité du patrimoine et la séparation des fonctions, lorsque celle-ci est requise. 2 - L’audit interne, fonction d’appui au management : Outil de contrôle du contrôle interne, l’audit s’intègre (phase contrôle) dans le cycle d’amélioration continue des performances construit autour des quatre phases suivantes : planifier, déployer, contrôler, améliorer. 3 - L’audit interne, un des critères d’appréciation de la fiabilité des informations financières : « Comités d’audit et règles d’audit » Selon, la loi Sarbanes Oaxley, les entreprises doivent mettre en place un comité d’audit indépendant pour superviser le processus de vérification. Ce comité est responsable du choix, de la désignation, de la rémunération et la supervision des auditeurs. Il doit également mettre en place des procédures pour recevoir et traiter les réclamations mettant en cause la comptabilité, les contrôles internes comptables et l’audit, et pour garantir le traitement confidentiel des observations émanant du personnel de la société concernant des problèmes comptables ou d’audit (loi Sarbanes-Oxley, section 301).
SGO
33
Audit interne & Contrôle Interne
En outre, la loi prévoit la rotation des auditeurs externes (section 203). Par ailleurs, dans le souci de réduire les conflits d’intérêts, les auditeurs externes ne peuvent offrir à l’entreprise dont ils vérifient les comptes, des services autres que ceux qui sont directement reliés à cette activité (notamment des services liés à la mise en place de systèmes d’information) (loi Sarbanes-Oxley, section 201). Ainsi, l’avis émanant de l’auditeur externe dépendra amplement de l’appréciation du contrôle interne. La disposition d’un service d’audit interne va constituer sans doute une sécurité de plus, et anticipera certainement tous ou partie des irrégularités qui peuvent être constatées.
SGO
34
Audit interne & Contrôle Interne
CHAPITRE TROISIEME : LA PRATIQUE DE L’AUDIT INTERNE Toute mission d’audit interne se passe en trois phases : Phase d’Etude Phase de Vérification Phase de Conclusion Mais chaque phase se subdivise elle-même en sous phases.
1. Notion de risque : En langage courant, risque veut dire la réalisation d’un événement redouté, ses conséquences, ses causes ou les trois à la fois. Pour l’auditeur, le risque est la combinaison de trois constituants qu’il convient de distinguer : L’incident réalisé ou potentiel, ou manifestation du risque.
Son incidence financière (ou autre), ou impact du risque.
Les causes organisationnelles du risque, ou facteurs du risque. Exemple :
Manifestation Audit de sécurité du Détérioration stock d’emballage en carton
Impact
Facteur
Perte financière
Laxisme (Indulgence)
S’il n’y a pas de conséquence regrettable pour l’entreprise, on ne peut pas parler d’un risque. Les conséquences financières d’un dysfonctionnement peuvent être exprimées en pertes réellement constatées ou en en Manque à gagner. Les impacts peuvent se situer directement au niveau financier, mais ils peuvent aussi l’être indirectement.
SGO
35
Audit interne & Contrôle Interne
Les facteurs de risque sont donc des lacunes de l’organisation
et il convient à
l’auditeur interne de les chercher et les chasser. Il s’agit donc de lacunes au niveau de la conception de l’organisation où l’on a pas prévu soit : de faire : Par exemple un inventaire physique au moins une fois par an. de contrôler que c’est fait : Par exemple demander un compte rendu à l’employé responsable de l’établissement de l’inventaire physique. S’assurer qu’il est correctement fait : Par exemple à travers des recoupements avec les autres données au sein de l’organisation, il faut trouver un équilibre. Suivre les performance : Par exemple, vérifier le respect des normes de rotation de stock pour ne pas tomber en sur-stockage et
générer ainsi des
coût inutiles. Pour détecter ces risques (y compris ceux qui ont pour source l’extérieur de l’entreprise), l’entreprise doit être décomposée en activités.
2. Ordre de mission : L’ordre de mission est le mandat donné par la direction générale à l’audit Interne, qui informe les principaux responsables concernés par l’intervention imminente des auditeurs. Pour des raisons d’urgence, l’ordre de mission peut ne pas être diffusé mais les auditeurs ont implicitement le feu vert pour réagir à la situation qui se présente devant eux. Cet ordre de mission permet d’informer les acteurs de l’entité auditée afin que les auditeurs puissent mener à bien leur mission. Il est distribué à tous les acteurs concernés et comporte le nom des auditeurs qui mèneront le travail. L’ordre de mission précise les motivations à l’origine de cette demande d’audit et le titre du demandeur si ce dernier n’y voit pas d’inconvénient.
3. Le plan d’approche : Le plan d’approche organise la phase d’étude ; il associe à une prise de connaissance du domaine à auditer défini par l’ordre de mission et une prise de conscience de ses
SGO
36
Audit interne & Contrôle Interne
habituels risques et opportunités d’amélioration, une décomposition du sujet de la mission en objets auditables qui produit le référentiel (activités puis opération). Il s’agit d’être en mesure de :
Identifier les règles de référence, la définition des travaux et la méthodologie optimale. l’auditeur doit être orienté dans son recensement des procédures et outils existants. les Check List peuvent constituer
une bonne aide dans la
préparation du travail. C'est la mesure de Régularité.
L’objet du plan d’approche est d’orienter la mission en fonction de l’évaluation des facteurs clés de succès du domaine audité. Il s’agit de définir, identifier et analyser les indicateurs permettant cette évaluation. L’auditeur doit être orienté dans son appréciation par le rappel des concepts de référence en organisation, en gestion et une documentation collectée sur le domaine étudié. C’est la mesure de L’efficacité. Il faut donc retenir que toute action d’audit ne doit émaner qu’après une réflexion préalable elle-même étayée par une connaissance du domaine étudié La première question à se poser est : « de quoi s’agit-il ? » L’analyse des risques que le plan d’approche prépare va s’appuyer sur trois éléments : Une prise de connaissance du domaine à auditer. Une décomposition du sujet de la mission, en général bref et abstrait en objets auditables. On appelle objets auditables toute activité élémentaire du domaine audité, enrichi de ses objectifs spécifiques, de ses risques et de ses caractéristiques de fonctionnement. Il peut être une opération (Réception des achats) ou un élément de fonctionnement (UN moyen de paiement : chèque) Une prise de conscience des risques et opportunités d’amélioration que l’on peut rencontrer dans le domaine : quels sont les points que l’on peut examiner ? Le référentiel d’analyse des risques : Il s’agit de détecter la situation théorique à laquelle l’auditeur doit arriver ; c’est l’ensemble des objectifs du contrôle
SGO
37
Audit interne & Contrôle Interne
Les indicateurs et indices traduisent de manière concrète et détaillée les critères d’évaluation qui permettrons d’apprécier, en terme de risque ou de résultat observé, l’atteinte d’un objectif de contrôle. L’organisation de la phase d’étude : L’ampleur que doit prendre la phase de reconnaissance et le degrés de finesse du plan dépend du type d’objectifs d’audit- ouvert ou fermé- assignés à la mission, de la connaissances
ou
méconnaissance
du
domaine
audité,
de
l’expérience
ou
l’inexpérience des auditeurs ; bref, des difficultés escomptées par l’auditeur. Cela veut dire que si un auditeur maîtrise parfaitement le domaine en question d’analyse, il passera rapidement sur l’analyse du risque et abordera les phases suivantes de l’audit. Dans cette phase, l’auditeur aura recours à diverses techniques dont les plus utilisées sont : l’interview, la revue analytique et le diagramme de circulation. Démarche de travail : Programme de travail de la phase d’étude : Il précisera o
les diverses interviews à tenir, (nom, fonction, lieu, n° de téléphone ) et le plan de chaque interview
o
les visites à faire et les principaux renseignements à recueillir
o
les recherche et travaux à réaliser pour compléter les informations utiles (Identification des sujets, documents, emplacement....)
o
Eventuellement,
les
travaux
d’adaptation
des
programmes
de
travail
standards. Budget, affectation des travaux, planning : Le programme de travail de la phase d’étude, dès qu’il sera établi, servira de base à la définition : o
Le temps nécessaire pour mener l’ensemble de la phase d’étude, y compris l’analyse des risques
o
Les
divers
déplacements
à
prévoir
et
les
diverses
charges
et
frais
correspondant. o
Les effectifs et compétences nécessaires
SGO
38
Audit interne & Contrôle Interne
o
Du planning à respecter pour établir le rapport d’orientation à une date fixée raisonnable.
On peut dire que la phase d’étude représente le 1er tiers de la mission et 25% à 50% du travail terrain.
4. Le tableau des forces et faiblesses apparentes : Il conclut la phase d’analyse des risques réalisée sur la base des objectifs définis dans le plan d’approche ; il présente de manière synthétique et argumentée les présomptions ou l’avis de l’auditeur sur chacun des thèmes analysés. il constitue l’état des lieux des forces et
faiblesses réelles ou potentielles et permet de
hiérarchiser les risques dans le but de préparer le rapport d’orientation. En matière de régularité, les forces et faiblesses peuvent s’exprimer qualitativement ou quantitativement par rapport à des règles, procédures et systèmes existants. En matière d’efficacité,
les forces et faiblesses peuvent s’exprimer qualitativement ou
quantitativement par rapport à des résultats attendus et à leurs conditions d’obtention : cohérence des objectifs et des moyens, suivi des actions et des résultats. Ces forces et faiblesses doivent s’exprimer par rapport à un objectif de contrôle interne ou une caractéristique
normalement attendues pour
assurer
le bon
fonctionnement d’une organisation ou l’atteinte d’un résultat escompté.
5. Le rapport d’orientation : Il définit et formalise les axes d’investigation de la mission et ses limites ; il les exprime en objectifs à atteindre par l’audit pour le demandeur et les audités. Il doit être effectué à partir du tableau des forces et faiblesses apparentes et matérialisées par le responsable d’audit interne. Il doit définir la mission en terme d’objectifs à atteindre par l’audit, exprimés dans le langage de son client (le demandeur ou l’audité) et doit être discuté avec lui chaque fois que cela est possible. Sauf en matière de régularité, on ne recherchera pas l’exhaustivité mais un bon rapport (compromis)
entre les attentes -de la direction, du demandeur et des
audités- et les capacités en temps et compétences des auditeurs.
SGO
39
Audit interne & Contrôle Interne
6. Le programme de vérifications : Le programme de vérifications définit les travaux que l’auditeur va effectuerinvestigations- pour vérifier
la réalité des forces et des faiblesses apparentes –
confirmer l’existence des forces et évaluer l’incidence des faiblesses. Ces travaux peuvent être des observations, des rapprochements, des interviews.... C’est la gamme de fabrication à mettre en œuvre pour atteindre les objectifs du rapport d’orientation. C’est un document interne au service d’audit, destiné à définir, répartir dans l’équipe, planifier et suivre les travaux des auditeurs.
7. Budget, allocation, Planning, Suivi : Il organise la mission dans le temps et dans l’espace et ce à partir de la fin de la phase d’étude à la diffusion du rapport (sachant que le plan d’approche organisait le travail jusqu’à la fin de la phase d’étude). Il est reflété par l’état d’avancement de la mission régulièrement mis à jour. Chaque tâche du programme de vérification doit être estimée pour maîtriser le déroulement de la mission au-delà de la phase d’étude et remettre en cause le programme d’orientation. Les tâches du programme de certifications doivent être affectées clairement aux auditeurs pour qu chacun sache ce qu’il a à faire. Les dates, lieu, temps et les tâches du programme de vérifications qui seront effectués doivent être prévus pour organiser le déploiement des auditeurs, obtenir la disponibilité des audités et contrôler les imprévus. L’avancement des travaux doit être contrôlé pour maîtriser le déroulement de la mission d’audit et assurer son efficacité
8. La feuille de couverture : C’est un document qui, établi en deux temps, décrit les modalités de mise en œuvre d’une tâche définie dans le programme de vérifications, puis met en évidence les conclusions qui ont été tirées. Elle est le document d’articulation entre le programme de vérifications et le travail sur le terrain d’une section (ou partie de section ) avec ses conclusions , ainsi qu’entre le dossier de analytique et le dossier synthétique. Tout auditeur doit pouvoir comprendre et exécuter l’action prévue d’une manière fiable et objective à la simple lecture de la feuille de couverture.
SGO
40
Audit interne & Contrôle Interne
Il doit dresser les conclusions qui répondent de manière d’une manière précise, concise et contrôlables aux buts fixés à l’action.
9. La Feuille de révélation et d’analyse du problème : C’est le papier de travail synthétique par lequel l’auditeur documente chaque dysfonctionnement, conclut chaque section du travail terrain et communique avec l’audité concerné. La FRAP attire l’attention sur les conséquences des dysfonctionnements et les recommandations de l’auditeur, plus que sur les faiblesses elles même. Tout dysfonctionnement digne d’être signalé sera formulé sous forme de FRAP : i. ii.
Le problème qui le résume. Les faits qui le prouvent
iii.
Les causes qui l’expliquent
iv.
Les conséquences que cela entraîne
v.
Les recommandations qui le résolvent
Toute section de travail Terrain se termine par l’une des deux mentions « FRAP » ou Pas de FRAP quand elle n’aboutit pas à un dysfonctionnement digne d’être signalé.
10.
L’ossature du rapport :
Elle est élaborée à partir des problèmes figurants sur les FRAP- et des conclusions figurant sur les feuilles de couverture pour les points satisfaisants - . Elle est l’enchaînement des messages que l’audit veut livrer lors des présentations et dans le rapport concluant la mission. L’équipe d’audit doit structurer sa réflexion et organiser son discours avant de rendre compte de ses travaux et conclusions aux principaux responsables audités,au demandeur et à la direction que ça soit par oral ou par écrit. Important : Il est tentant de rédiger directement le projet de rapport pendant le travail terrain, mais tout n’est pas à dire et pas forcément dans le même ordre, d’où l’utilité d’une ossature de rapport considérée comme un brouillon.
11.
Le compte rendu final :
Le compte rendu final est la présentation orale par le chef de mission, au principal responsable de l’entité auditée, des observations les plus importantes. Il est effectué
SGO
41
Audit interne & Contrôle Interne
à la fin de l a phase du travail terrain. Il est parfois précédé de comptes rendus provisoires. Le compte rendu suppose de l’équipe d’audit une parfaite maîtrise des conclusions avancées. Il engage sa crédibilité et peut avoir des conséquences irréversibles. Avant de quitter le terrain, l’équipe d’audit doit répondre au souhait légitime, exprimé ou non, du principal responsable de l’entité auditée, d’être informé et le premier du résultat des vérifications effectuées et des conclusions dégagées. L’ossature du rapport en constitue la base. Il s’agit également de présenter les problèmes de façon à convaincre le responsable de la nécessité de revoir son organisation.
12.
Le rapport d’audit interne :
En fin d’intervention, le rapport d’audit interne est présenté.
SGO
42
Audit interne & Contrôle Interne
Pour Conclure : Envoyé en terrain peu connu, muni d’information partielles et approximative et généralement sans connaissance technique approfondies des opérations à examiner, l’auditeur doit déceler leur principales faiblesses en déterminant les causes, en évaluer les conséquences , leur trouver un remède et convaincre les responsables d’agir. C’est un métier passionnant mais difficile. Il demande des qualités personnelles et des connaissances variées, notamment en management. L’une des caractéristiques principales de l’auditeur est le scepticisme. Il dépasse de plus en plus la stricte dimension comptable et financière pour s'étendre à l'ensemble des fonctions de l'entreprise. En ce sens, un audit interne se rapproche davantage d'un audit opérationnel ou d’une mission de conseil et s'éloigne des pratiques et des finalités de l'audit externe qui se limite en principe au contrôle de la validité des informations fournies par les systèmes existants. C'est un examen méthodologique d'une situation, par une équipe structurée, indépendante et compétente qui, d'une part, s'assure de la validité matérielle des éléments qu'elle doit contrôler, et d'autre part, vérifie la conformité du traitement des faits avec les règles, les normes et les procédures de contrôle interne, autrement dit, examiner les composants de l’organisation et les conditions de fonctionnement d’une activité déterminée, pour les comprendre et identifier les risques et opportunités qu’ils recèlent .
SGO
43
Audit interne & Contrôle Interne
CONCLUSION "L'audit est une fonction à part entière, qui mérite ses spécialistes, qui a ses "créneaux", plus ou moins sujets à la mode, ce que dénotent les termes d'audit de management, d'audit social, d'audit total". Dans un environnement changeant, l'auditeur peut jouer un rôle dépassant largement ce lui de "contrôleur" pou devenir un "catalyseur" encourageant les dirigeants d'entreprise à agir... Du rôle de simple "contrôleur" jusqu'à celui de "consultant" l'éventail est large et les situations recentrées très variables d'une entreprise à l'autre. Quoi qu'il en soit, l'existence d'une structure d'audit interne au sein d'un organisme ou d'un entreprise traduit la volonté affirmée de la part de ses instances dirigeantes de se doter d'un outil en vue de limiter les risques, de rendre les organisations existences plus performantes, plus généralement d'accroître l'efficacité. Encore s'agit-il de s'assurer que l'outil mis en place est bien apte à accomplir la mission qu'on lui a assignée. A l'évidence, quelle que soit la nature des missions confiées à l'audit interne, le niveau d'efficacité sera fonction d'un certain nombre de paramètres, dont la plupart ne sont d'ailleurs pas spécifiques à cette fonction, mais sont des critères valables pour toute structure de l'entreprise qui se veut performante, car l'efficacité passe par la" qualité totale" au sens actuel du terme. L'efficacité, et donc le résultat pour l’entreprise, seront d'autant plus grands, que chacun de ses critères aura pu être optimisé, apportant ainsi une contribution significative à l'ensemble. Cette optimisation a ses limites, qui peuvent être classées en quatre grandes catégories, selon leur nature : - Une première limite est liée aux hommes. Aux auditeurs bien sûr, compte tenu de leurs aptitudes à assumer la fonction, de leurs connaissances, de leur formation, de leurs qualités intrinsèques, mais aussi aux audités et à leur comportement, à leurs
SGO
44
Audit interne & Contrôle Interne
réactions face aux contrôles qu'il subissent ou à la remise en cause éventuelle de leur façon de travailler et de leurs habitudes. Enfin, l'attitude des dirigeants d'entreprise et le soutien
qu'ils apportent à leur structure d'audit interne, tant au niveau du
rattachement hiérarchique, que de l'élaboration du programme annuel et de la prise en compte des recommandations, est un gage majeur de réussite. - Une deuxième limite est constituée par le rapport efficacité/coût. L'existence d'une structure performante d'audit coûte cher en terme de salaires, de frais de déplacements, de frais de structure. Il faut donc que l'équipe se rentabilise et il n'est pas toujours évident de mesurer concrètement sa productivité. - La troisième limite est liée au fait que la mise en place du contrôle interne vient souvent à l'encontre de l'efficacité immédiate. Ainsi, à titre d'exemple, avec le développement de l'informatique et la complexité des problèmes qui lui sont liés, quel avantage pour l'entreprise de faire évoluer les gens compétents et expérimentés ! - Le quatrième type de limite concerne l'évolution rapide des techniques et des méthodes de travail, le meilleur exemple en étant l'informatique qui permet désormais de travailler en temps réel, ce qui va tout
à fait dans le sens de
l'efficacité, mais par contre, conduit souvent à des systèmes inauditables.
SGO
45
Audit interne & Contrôle Interne
BIBLIOGRAPHIE
J. Renard, «Théorie et pratique de l’Audit Interne», Edition d’organisation 2000.
Cahier Français « Audit & Management » n° 48. Lemant, « La conduite d’une mission d’audit ».
Abdelhamid EL GADI « Audit et contrôle de gestion », Imprimerie MITHAK AL MAGHREB – RABAT.
Bernard Grand et Bernard Verdalle, « Audit comptable et financier » Edition Economica 1999.
Michel Joras, « Les fondamentaux de l’audit » Edition Préventique 1996. Rapport de L’AMF 2003. Jean Raffegeau « L’audit opérationnel » Edition PUF 1989 Jean Raffegeau et Alain Ritz « Audit et informatique » Edition PUF 1996 « La conduite d’une mission d’audit interne» IFACI Edition Dunod 1997
Lionel Colins & Gérard Vallin « Audit et contrôle interne. Aspects financiers, opérationnels et stratégiques », 4ème édition Dalloz.
Mohamed Harakat « Finances publiques et droit budgétaire au Maroc », 1ère édition 2002, Imp. El Maarif Al Jadida Rabat.
SGO
46
Audit interne & Contrôle Interne
ANNEXES
Annexe 1 : Développement historique du concept de l’audit Annexe 2 : Evolution historique du champ du contrôle interne Annexe 3 : La Notion de risque d’audit Annexe 4 : Différences entre auditeurs internes et auditeurs externes
SGO
47
Audit interne & Contrôle Interne
ANNEXE DÉVELOPPEMENT
HISTORIQUE DU CONCEPT DE L’AUDIT
La notion de l’audit et son apport à la vie économique ont été appréciés depuis longtemps. En effet, l’histoire de l’audit est très ancienne, dès le 3ème siècle avant Jésus Christ, les gouvernements romains désignaient des questeurs pour contrôler les comptabilités de toutes les provinces. C’est à cette époque aussi que remonte l’utilisation du terme Audit qui provient du verbe latin Auditeur qui signifie écouter. L’audit trouve aussi ses racines dans l’histoire arabo-musulmane et ce en la Hisba. Le Mouhtassib a dû être une sorte de commissaire au compte de la cité arabomusulmane andalouse ou maghrébine avant d’étendre ses prérogatives à d’autres domaines d’activité. En effet, le principe, les règles et les procédures de la Hisba ne constituaient rien d’autre qu’un système de contrôle interne. Un système qui, à l’âge d’or de la civilisation arabo-islamique, n’a pas manqué d’être décrit et formulé. L’objectif du travail de l’auditeur a évolué progressivement d’une recherche spécifique des fraudes dans les écritures comptables jusqu’à une appréciation globale de la fidélité des rapports émis par une agence économique et analyse critique de la fiabilité des procédures et des structures de celle-ci. Les objectifs de l’audit ont évolué à travers les temps, le tableau suivant représente cette évolution : Période
Objectifs de l’audit
2000 avant Christ
Punir les voleurs pour les détournements de fonds. Protéger le patrimoine.
1700 à 1850
Réprimer les fraudes et punir les fraudeurs. Protéger le patrimoine.
1850 à 1900
Eviter les fraudes et attester la fiabilité du bilan.
1900 à 1940
Eviter les fraudes et les erreurs et attester la fiabilité des états financiers historiques.
1970 à 1990
Attester la qualité du contrôle interne et le respect des normes comptables et normes d’audit.
SGO
48
Audit interne & Contrôle Interne
A partir de 1990
Attester l’image fidèle des comptes et la qualité du contrôle interne dans le respect des normes. Protection contre la fraude internationale. Source : « Audit et contrôle interne. Aspects financiers, opérationnels et stratégiques ». Lionel Colins & Gérard Vallin. 4ème édition Dalloz.
L’évolution de l’audit que l’on vient d’évoquer s’est produite dans un environnement économique typique des pays occidentaux. Le développement de l’audit est dû essentiellement aux pressions indirectes, puis directes d’un important marché financier. Celui ci, imposé progressivement ses exigences quant à la qualité de l’information financière et effectuait sur cette base l’analyse de la qualité de gestion. et effectuait sur cette base l’analyse de la qualité de gestion.
ANNEXE EVOLUTION TERMINOLOGIQUE DU CONCEPT DE CONTRÔLE INTERNE
Les premières utilisations du terme contrôle semblent dater du 18ème siècle où il désigne en particulier la marque du poinçon de l’Etat sur une pièce d’orfèvrerie (WATHELET, 2000, p. 165). Plus communément, la signification de ce terme est rapprochée de « contre-rôle », c’est à dire du registre tenu en double par rapport auquel on appréciait l’authenticité et la conformité du contenu du rôle (SANTO et VERRIER, 1993, p. 65 ; BOUQUIN, 2001, p. 34). Dans les deux cas, les significations traditionnelles du contrôle dominent, à savoir celles de vérification, d’inspection et de surveillance (RATIER, 1978, p. 218). Depuis, une autre acception de ce terme est apparue, au sens de maîtrise, conformément à la principale signification du verbe anglais « to control ». BOUQUIN (1994, p. 3) remarque, d’ailleurs, que le « contrôle de gestion est une traduction pauvre de « management control » qui désigne le fait pour les dirigeants d’avoir la maîtrise de l’organisation qu’ils gèrent ». Il semble, toutefois, que la bivalence du terme de contrôle ne soit pas essentiellement due à la traduction dans un sens anglais - français. GOODWIN déclare, en effet, que cette confusion a pour source la première traduction anglaise de l’ouvrage de FAYOL (1916) où le contrôle aurait du être traduit par « to measure, to compare, to examine, to check or to inspect», au lieu du verbe « to control ».
SGO
49
Audit interne & Contrôle Interne
Pour illustrer cette confusion, Mc MICKLE (1978, p. 221) utilise deux analogies diamétralement séparées. La première reprend les propos de LONGENECKER qui affirme que : « le contrôle renvoie à la régulation de l’organisation pour s’assurer de la
réalisation
des
objectifs
organisationnels
et
de
l’achèvement
des
plans
organisationnels. Cela correspond, dans un sens à la conduite et au freinage d’une automobile. ». D’un autre côté, GOODWIN observe que « si on se demandait lequel, entre le volant et le compteur de vitesse, était le mécanisme de contrôle de notre voiture, la plupart d’entre nous vont sans hésiter choisir le volant. Pourtant dans le sens du management, la seule réponse correcte est le compteur ». Dans la première de ces deux analogies, le contrôle est utilisé au sens de pilotage, tandis que la seconde fait référence au concept de mesure, plus proche de la conception de FAYOL (1916). Cette opposition terminologique, entre la notion de surveillance, attachée aux dimensions de pouvoir et de sanction (CHAUDEMANCHE et COHANIER, 1997), et la notion de maîtrise, semble pouvoir se justifier selon une logique moyens/fin, grâce à laquelle la différence entre « contrôles » et « contrôle » peut aussi être motivée. Il apparaît, en effet, que l’acceptation originelle et traditionnelle du contrôle fait référence aux moyens mis en œuvre pour s’assurer de la conformité par rapport à un référentiel de normes ou à un système de règles. FRANCOIS-NOYER (1994) parle, dans ce cas, de « contrôles », proches des principes de mesure et d’information, en relation avec les faits et ayant un caractère analytique et opérationnel. Au contraire, le contrôle entendu au sens de maîtrise met l’accent sur l’objectif poursuivi par l’organisation. Le « contrôle » devient alors une finalité, généralement fonction des souhaits de l’équipe dirigeante et ayant un caractère normatif. Aussi cette différenciation terminologique du contrôle nous permet de mieux comprendre la relative confusion entre les différentes définitions du contrôle et du contrôle interne. En effet, certaines de ces définitions sont, tout d’abord, fondées sur une logique de moyen. Ainsi pouvons-nous constater par exemple avec GIBERT (1980, p. 44) que le contrôle est « un système d’information qui permettra de voir si les objectifs ont été
SGO
50
Audit interne & Contrôle Interne
atteints (contrôle d’efficacité) et si la consommation de moyens n’a pas été excessive eu égard aux résultats obtenus (contrôle d’efficience) ». Il est encore défini par FLAMHOLTZ (1983, p. 154) comme « les actions et activités engagées pour influencer la probabilité que les individus iront dans le sens qui conduit à la réalisation des objectifs organisationnels » EVOLUTION HISTORIQUE DU CONCEPT DU CONTRÔLE INTERNE
Si l’utilisation de vérificateurs dans l’administration, remonte à l’antiquité grecque & romaine, en France la cour des comptes a été créée en 1319 (par ordonnance de Philippe Le Long). Les méthodes évoluent conjointement à la notion de contrôle interne (voir annexe 1 : développement historique du concept de l’audit) dont les principaux développements sont les suivants : Jusqu’en 1929, la notion de contrôle interne n’existe pas. Nous sommes à l’ère du capitalisme « sauvage ». Les entreprises croissent dans un contexte qui n’est pas encore réactif à la notion de risque. Phase 1 : La crise de 1929 Le contrôle interne est balbutiant, il s’agit avant tout d’un contrôle de régularité par rapport aux normes comptables. Phase 2 : entre la crise de 1929 et les années 1960 C’est l’ère des multinationales modernes. Les contrôles mis en œuvre entre le siége et les filiales sont avant tout des contrôles de conformité aux procédures définies par le groupe. Phase 3 : des années 1960 aux années 1980 On assiste à l’extension du contrôle interne à des notions d’efficacité, de qualité voire d’efficience compte tenu d’un environnement concurrentiel accru. C’est l’ère des regroupements de moyens et de la chasse aux « gaspillages ».
SGO
51
Audit interne & Contrôle Interne
Phase 4 : des années 1980 aux années 1990 Des pans entiers de l’industrie américaine sont secoués (IBM, Genenral Motors…). Les ressources de l’entreprise doivent être alors mobilisées pour appliquer la politique de restructuration des Grands Patrons qui viennent d’être nommés. Les « process » doivent être contrôlés et rationalisés mais également correspondre aux politiques décidées par les managers. Phase 5 : des années 1990 aux années 2001 De nombreux scandales sont venus ébranler la confiance portée sur le système de contrôle interne et la moralité des dirigeants des grandes entreprises (caisses d’épargne américaines…). Il convient de retrouver une éthique dans le déroulement des affaires (état d’esprit). L’efficacité, l’efficience des « process » sont toujours recherchées mais dans un contexte ou les décisions du management sont toujours contrôlées. Phase 6 : depuis les années 2001 Les nombreux scandales qui ont frappé les Etats-Unis en 2001 et au début de l’année 2002 (avec Enron, en tête, mais aussi Adelphia, Xerox, et surtout WorldCom) ont entraîné, une réaction brutale du législateur américain et l’adoption de la loi dite « Sarbanes-Oxley ». Cette loi constitue la plus importante réforme aux Etats-Unis depuis la crise des années 1930 et le Securities Act de 1934 qui régit encore largement le monde de la finance aux Etats-Unis (voir en détail chapitre 3 du volet 1). EVOLUTION HISTORIQUE DU CHAMP DU CONTRÔLE INTERNE DES ORGANISATIONS
1962
1977
1992
OECCA - France
Committee of sponsoring organisation – COSO -1992
*Organisation rationnelle
*Partie intégrante de
*Processus visant à fournir une
de la comptabilité.
l’organisation.
assurance raisonnable sur la
*Prévention des erreurs.
*Dispositif permettant :
*Prévention des fraudes.
- La prévention - La sauvegarde du patrimoine - Assurance de l’application des instructions
SGO
réalisation des objectifs *Système de management stratégique *Optimisation des opérations *Respect des lois &
52
Audit interne & Contrôle Interne
- Amélioration de la performance
règlements.
Source : « Finances publiques et droit budgétaire au Maroc ». Mohamed Harakat. 1ème édition 2002, Imp. El Maarif Al Jadida Rabat.
ANNEXE LA NOTION DE RISQUE D’AUDIT
La notion de risque d’audit apparaît comme complexe et difficilement saisissable (Power 1995). Cependant, le processus de formalisation de l’audit contemporain l’a décomposée en plusieurs éléments susceptibles d’être appréhendés individuellement et articulés de manière à pouvoir être utilisés par les praticiens. On distingue donc le plus souvent les composantes de risque suivantes (Raffegeau et al. 1994) :
le « risque inhérent » est lié à la position financière plus ou moins saine de l’entreprise, à l'attitude de sa direction ou au fait d'évoluer dans un secteur d'activité particulier. Ce risque est souvent spécifique à certains cycles en raison de difficultés d’évaluation, de leur caractère sensible ou de leur importance dans les comptes ;
le « risque de contrôle interne » représente la possibilité que les défaillances intrinsèques du système d'information de l’entreprise ne lui permettent pas de produire des comptes fiables ;
le « risque de non détection » est la possibilité que les travaux d'audit soient inefficaces et ne détectent pas une erreur significative présente dans les comptes, ce qui revient à certifier des comptes faux. Le risque d'audit est la résultante de ces trois composantes, ce que l’on représente souvent sous la forme mathématique : RA = RI x RCI x RND (Lesage 1999). Il est dépendant du niveau de ses trois composantes au sens où il sera d'autant plus élevé que celles-ci le seront. Le risque d’audit est quantifiable par l'intermédiaire de la notion de « seuil de signification » ou « seuil de matérialité». Cette notion reflète le fait que les comptes de chaque entreprise recèlent nécessairement des erreurs et des inexactitudes, car ils sont le résultat d'un processus comptable forcément imparfait et qui, en outre, se base sur des hypothèses et des estimations subjectives. L'objectif à atteindre n'est donc pas de dire que les comptes sont exacts, mais de faire en sorte
SGO
53
Audit interne & Contrôle Interne
que le montant des erreurs soit inférieur à un seuil défini. Dans ce contexte, le risque d'audit devient le fait que le montant cumulé des erreurs soit supérieur au seuil de matérialité (par exemple, 5% des capitaux propres), c'est à dire qu'il ait un impact considéré comme significatif sur les comptes certifiés10. Pour l’auditeur, le risque professionnel est alors lié à la certification de comptes qui présentent des erreurs cumulées supérieures au seuil de signification.
ANNEXE DIFFÉRENCES ENTRE AUDITEURS INTERNES ET
AUDITEURS EXTERNES
RAPPORTANNUEL2004GESTIONDESRISQUES
GESTION DES RISQUES 1. LA GESTION GLOBALE DES RISQUES
La maîtrise des risques est une des priorités stratégiques de la Banque. En 2004, celle-ci a continué à investir dans l’amélioration de la gestion des risques. Cet important programme, engagé en 2002, est en ligne avec les principes de référence aux niveaux national et international. La BCV poursuit les objectifs suivants en matière de gestion des risques : promouvoir un standard élevé en matière de gestion des risques pour toutes ses activités ; avoir une transparence complète sur les risques, ne pas s’engager dans des risques qu’elle ne peut pas gérer de manière appropriée ; s’assurer que son profil de risque est en adéquation avec son niveau de fonds propres et sa capacité d’autofinancement. La Banque veut atteindre ces objectifs en se fondant sur quatre piliers expliqués ci-après :
SGO
54
Audit interne & Contrôle Interne
1.1 La politique et la stratégie des risques La politique et la stratégie des risques, validées par le Conseil d’administration, définissent les limites globales de la prise de risques et posent les principes de base du fonctionnement de la gestion des risques. En 2004, la Banque a formalisé sa stratégie pour le risque de crédit, le risque de marché et les risques opérationnels. Elle cherche à évoluer vers une gestion intégrée des risques, qui repose sur des concepts cohérents au niveau de l’ensemble de la Banque et qui, appliquée systématiquement, doit permettre de mieux comprendre et de mieux gérer l’exposition globale au risque.
1.2 La gouvernance et l’organisation de la gestion des risques
La gouvernance et l’organisation de la gestion des risques ont été précisées en 2004 afin d’appliquer de façon systématique les mêmes principes de gestion des risques dans toute la Banque. Les responsabilités des principaux intervenants en matière de gestion des risques ont été affinées : Le Conseil d’administration valide la politique et la stratégie des risques. Il est responsable de la surveillance globale du profil de risque de la Banque. A cet effet, il dispose en particulier d’un rapport mensuel sur l’ensemble des risques. La Direction générale est responsable de l’exécution de la gestion des risques. Pour cela, le Comité Risques de la Direction générale (CRDG) a été mis en place en 2003. Son rôle est de proposer la politique et la stratégie des risques de la Banque, de surveiller étroitement le profil de risque, de piloter l’ensemble des développements et des améliorations en matière de gestion des risques. Le CRDG est composé du Chief Financial Officer (présidence), du Président de la Direction générale, du responsable de la Division trading, du responsable de la Division entreprises et du Chief Risk Officer. Le Chief Risk Officer, responsable du Département risk management rattaché à la Division finance et risques, élabore et propose au CRDG la politique et la stratégie des risques de la Banque ; il surveille le respect des limites globales de risques et développe les méthodes et les modèles de la gestion des risques. Il assure le reporting des risques de la Banque. Pour évoluer vers une gestion intégrée des risques, ses responsabilités ont été élargies en 2004 afin de couvrir l’ensemble des risques (hors compliance). Dans le cadre de leurs politiques d’affaires, les Divisions (Division entreprises, Division réseau, Division trading, Division gestion privée et institutionnelle) sont chargées de prendre et de suivre les risques 128
liés à leurs activités respectives. Les responsabilités du développement et de la réalisation des affaires sont séparées des responsabilités d’analyse et de contrôle opérationnel des risques.
1.3 Les méthodes de gestion des risques
La Banque utilise les méthodes de gestion moderne des risques. Elles s’appuient, en particulier, sur les recommandations du Comité de Bâle et de l’Association suisse des banquiers (ASB), tout en respectant les exigences réglementaires en la matière. Sous le pilotage du Comité Risques de la Direction générale, la Banque investit dans la mise en place de techniques avancées en matière de gestion des risques intégrant ainsi les nouveaux développements en la matière.
1.4 Le reporting des risques
Le reporting des risques permet un suivi de l’ensemble des risques de la Banque. Le reporting mensuel des risques, établi par le Chief Risk Officer, est traité par le Comité Risques de la Direction générale et remis aux autres membres de la Direction générale, aux membres du Conseil d’administration et à l’Audit interne. Le concept du reporting des risques, validé par le Conseil d’administration, évolue avec les méthodes de la gestion des risques.
2. GESTION DU RISQUE DE CRÉDIT
Le risque de crédit résulte de la possibilité qu’une contrepartie fasse défaut sur ses obligations financières envers la Banque. Il inclut le risque de règlement et les facteurs de risque liés à un pays. Toutes les formes d’engagements de crédit (bilan et hors bilan) avec la clientèle non bancaire, d’autres banques ou des marchés organisés représentent un risque de crédit pour la Banque.
2.1 Séparation entre la vente et l’analyse / octroi des crédits
En 2004, la Banque a réalisé un projet majeur d’amélioration des processus et de l’organisation de la gestion des crédits. En matière de gestion du risque de crédit, ce projet crée une séparation stricte entre les fonctions de vente et les fonctions d’analyse et d’octroi. Pour toutes les activités de crédit, les fonctions d’analyse et d’octroi ont été placées sous la responsabilité d’un Chief Credit Officer, rattaché à la Division entreprises. Les compétences d’octroi ont été redéfinies pour tenir compte de l’engagement de crédit et de la perte attendue. Au-delà d’un certain seuil de compétence, les engagements de crédit sont octroyés par le Comité de crédit de la Direction générale ou par le Conseil d’administration.
SGO
55
Audit interne & Contrôle Interne
2.2 Analyse du risque de crédit Chaque crédit est analysé lors de son octroi, de son renouvellement, à l’occasion de nouvelles demandes, ou suite à certains événements comme, par exemple, un dépassement. La notation (rating) de la contrepartie est au centre de l’analyse du risque de crédit. Elle consiste à attribuer une classe de risque à chaque contrepartie. Chaque classe de risque indique une certaine probabilité de défaut. Les ratings sont réalisés sur la base de modèles internes adaptés aux caractéristiques des différents types de contreparties. Ces modèles se distinguent au niveau des variables prises en compte (financières et / ou qualitatives) ainsi qu’au niveau de la technique de développement du modèle utilisée. Ils ont été développés sur la base des exigences des approches Internal Rating Based (IRB) des Accords de Bâle II. Chaque modèle de rating permet d’attribuer chaque contrepartie à l’une des sept classes de risque B1 à B7 (elles-mêmes réparties en 17 sous-classes) définies de façon homogène pour toute la Banque. Les contreparties non compromises sont réparties sur les classes B1 à B5. Aujourd’hui, une classe de risque a ainsi été attribuée à plus de trois quarts du portefeuille crédits de la Banque. RAPPORTANNUEL2004GESTIONDESRISQUES
129
RAPPORTANNUEL2004GESTIONDESRISQUES
Fin 2004, le modèle de rating des professionnels de l’immobilier a été finalisé. Pour ce segment de clientèle important, la Banque dispose maintenant d’un outil de référence pour la détermination de la classe de risque de ces contreparties. L’analyse des sûretés (garanties et gages) est une autre composante majeure de l’analyse du risque de crédit. En 2004, la Banque a introduit une nouvelle méthode d’évaluation des objets immobiliers. En ligne avec les nouvelles recommandations de l’ASB, elle détermine pour chaque objet immobilier sa valeur vénale aux conditions actuelles du marché. Cette méthode fait intervenir différents modèles selon le type de l’objet.
2.3 Surveillance du risque de crédit
La surveillance du risque de crédit s’appuie sur la revue périodique des dossiers de crédits (appelée renouvellements internes) et sur un système de détection des risques accrus. Le système de renouvellements internes définit, pour les différents types de crédit, la durée maximale entre deux analyses du risque de crédit. En 2004, le système de renouvellement interne a été revu dans le sens d’une plus forte différenciation du traitement en fonction du niveau de risque.
Classes de risque, distribution des soldes débiteurs, en % du total, maison mère, au 31.12.2004 130
60 50 40 30 20 10 0 B5 B4 B3 B2 B1
Crédits aux particuliers (non compromis) 90 75 60 45 30 15 0 B5 B4 B3 B2 B1
Crédits aux corporations de droit public (non compromis) 60 50 40 30 20 10 0 B5 B4 B3 B2 B1
Crédits aux entreprises (non compromis)
Un système de détection des crédits compromis assure l’identification des crédits à risque accru par les conseillers et les analystes. Le suivi strict des dépassements des limites et des découverts constitue un élément clé de ce système.
2.4 Provisionnement du risque de crédit
SGO
56
Audit interne & Contrôle Interne
La Banque détermine des provisions spécifiques pour chaque crédit compromis (voir définitions détaillées aux points 2.3 et 2.4 du chapitre « Principes d’évaluation des risques »). Le besoin en provisions spécifiques est déterminé sur la base d’une analyse pour chaque crédit compromis. Dans le cadre de cette analyse, les sûretés sont prises à leur valeur de liquidation. Cette dernière reflète la valeur nette que la Banque estime obtenir en réalisant la sûreté aux conditions actuelles du marché et après déduction des frais liés à la réalisation et des coûts éventuels de détention de la sûreté. Pour chaque crédit provisionné, les besoins en provisions sont revus au minimum une fois par année. Un outil informatique pour gérer cette information a été mis en place ; son bon fonctionnement a été confirmé par l’auditeur externe en 2004.
2.5 Analyse du portefeuille de crédits
En 2004, la Banque a réalisé des développements importants en matière d’analyse du portefeuille de crédits. Un prototype pour l’analyse de la perte attendue et le calcul des besoins en fonds propres selon les approches IRB des Accords de Bâle II a été réalisé. Il fait intervenir la probabilité de défaut, l’exposition attendue au défaut et la perte en cas de défaut spécifique de chaque engagement de crédit. Ce prototype représente une étape intermédiaire. En 2004, l’installation d’une application professionnelle d’analyse, de gestion des provisions et de reporting des risques du portefeuille de crédits a été décidée, un fournisseur a été sélectionné et mandaté. La mise en production de cette application, qui représente un élément clé de la préparation de la Banque à l’application des Accords de Bâle II, est planifiée pour début 2006.
2.6 Gestion des gages dans le cadre du négoce (collateral management)
La gestion des gages (collateral management) permet de réduire de façon significative les expositions au risque de crédit dans les activités de négoce. Après avoir préparé les premiers contrats de gestion des garanties en 2003, des accords avec cinq banques ont pu être conclus en 2004.
3. GESTION DU RISQUE DE MARCHÉ
Le risque de marché résulte de la possibilité de pertes sur les positions de négoce (trading book) ou sur les positions hors portefeuille de négoce (banking book) de la Banque suite à des changements RAPPORTANNUEL2004GESTIONDESRISQUES
Engagements de crédits compromis, en CHF milliards, maison mère 131
6 5 4 3 2 1 0 2004 2003 2001 2002 2000 RAPPORTANNUEL2004GESTIONDESRISQUES
de paramètres du marché, en particulier au niveau du prix du sous-jacent (ou de son évaluation, pour des marchés moins liquides) et de sa volatilité.
3.1 Risque de marché des portefeuilles de négoce (trading book)
La Banque distingue deux portefeuilles de négoce : les positions de négoce de la Division trading avec des stratégies à très court terme, et les positions de gestion financière de la Division gestion privée et institutionnelle, avec des stratégies à moyen terme. L’analyse et le contrôle du risque de marché de ces deux portefeuilles sont assurés par le Département back-office négociation rattaché à la Division services et donc indépendant des deux Divisions responsables de la prise de risque de marché. L’analyse et le contrôle du risque de marché sont réalisés sur la base de techniques modernes de mesure de risque : la Value-at-Risk (VaR), des analyses des pertes en cas de stress et des tests de sensibilité. Au niveau des portefeuilles, des limites de VaR et de perte en cas de stress sont définies. Pour les différents groupes de sous-jacents du portefeuille de négoce, des limites de VaR et de sensibilités sont utilisées.
3.2 Risque de marché hors portefeuille de négoce (banking book)
Le principal risque de marché sur le banking book est le risque de taux. Le risque de taux résulte de la possibilité d’une baisse de la marge d’intérêt et / ou de la valeur des fonds propres consécutifs à des mouvements de la courbe de taux (yield curve). L’exposition au risque de taux au bilan résulte des déséquilibres entre la taille et les termes (échéances des taux fixés) des positions à l’actif et au passif. Ces déséquilibres sont exprimés en termes d’écarts (gaps) de risque de taux par échéance.
SGO
57
Audit interne & Contrôle Interne
La gestion opérationnelle du risque de taux est assurée par le Département ALM (Asset & Liability Management), rattaché à la Division finance et risques. La stratégie et les limites de prise de risques de taux sont décidées par le Comité ALM de la Direction générale dans le cadre défini par la stratégie financière. Le risque de taux est mesuré sur la base de techniques d’ALM modernes : la Value-atRisk (VaR), la sensibilité des fonds propres à la courbe de taux, leur duration et la perte de marge d’intérêt en cas de stress. La Banque gère de manière prudente son risque de taux. Une augmentation modérée des taux telle qu’attendue actuellement par le marché n’aura pas d’impact matériel sur le résultat de la Banque.
3.3 Risque de liquidité
Le risque de liquidité résulte de la possibilité d’une indisponibilité d’actif liquide et / ou d’un accès insuffisant ou difficile au refinancement. L’exposition au risque de liquidité est donnée par les écarts (gaps) de liquidité par échéance résiduelle. La gestion opérationnelle de la liquidité et le financement à court terme sont assurés par la trésorerie (Division trading). La trésorerie poursuit une gestion prudente des ratios de liquidité définis par les articles 15 à 20 de l’Ordonnance sur les banques et les caisses d’épargne (OB). A cet effet, 0 50 100 150 200 250 12/04 12/03 12/02
Gestion Taux de couverture de la liquidité 2, maison mère (en %) 132
la trésorerie réalise des placements à court terme (repurchase agreements, créances comptables à court terme de la Confédération et placements sur le marché monétaire) et des financements à court terme (emprunts bancaires). Actuellement, la Banque a un niveau de liquidité très satisfaisant qui s’établit à 183% mesuré en termes de taux de liquidité 2.
4. GESTION DES RISQUES OPÉRATIONNELS
En appliquant les recommandations du Comité de Bâle, les risques opérationnels résultent d’une inadéquation ou d’un dysfonctionnement au niveau des processus, des personnes ou des systèmes en interne ou au niveau externe à la Banque. Ils incluent le risque juridique, en particulier, le risque de payer des dommages et intérêts ou des amendes suite à un dysfonctionnement. Le risque opérationnel n’est pas activement recherché par la Banque dans l’objectif de réaliser un rendement, mais résulte des activités de la Banque. Une directive de gestion des risques opérationnels, élaborée en 2004, assure leur identification et leur suivi systématique lorsqu’ils sont accrus ou avérés pour la Banque. Lorsqu’ils sont latents, les risques opérationnels accrus ou avérés sont provisionnés selon une procédure définie. Le principe des quatre yeux est un élément clé pour réduire le risque opérationnel. Dans le cadre de la redéfinition des processus de crédit, ce principe est appliqué systématiquement aux activités représentant un risque opérationnel important. L’informatique est une source potentielle de risques opérationnels majeurs. En 2004, la Banque a continué à améliorer la maîtrise de ce risque en renforçant la gestion de la sécurité informatique. RAPPORTANNUEL2004GESTIONDESRISQUES
133
http://www.bcv.ch/html/pdf/apropos/rapport_annuel/2004/RA2004_f_14_risques.pdf
SGO
58
