Impacts des nouvelles lois de sécurité financière sur le Contrôle Interne et le Système d'Information
1. La Loi de Sécurité Financière : ses obligations et ses conséquences
A la suite de plusieurs scandales financiers (Enron, Worldcom aux Etats-Unis, Parmalat en Europe), plusieurs pays ont promulgué des lois dites de sécurité financière afin de redonner confiance aux investisseurs et épargnants :
- Sarbanes Oxley Act (Etats-Unis 2002)
- Loi de Sécurité Financière (France 2003)
Ces lois imposent aux entreprises de nouvelles obligations favorisant la transparence et l'exactitude des comptes. Elles introduisent des changements majeurs dans le domaine de la gouvernance d'entreprise.
Les enjeux
La gestion du risque pour un meilleur pilotage de l’entreprise
Le rapport sur le contrôle interne doit démontrer aux actionnaires et investisseurs que l’entreprise se donne les moyens de garantir une communication financière transparente et fiable.
C’est en cela que la mise en place, ou l’adaptation, de la fonction de gestion du risque représente une véritable opportunité pour l’entreprise d’engager une réflexion autour de l’amélioration de ses processus et de son contrôle interne. Cette réflexion doit porter sur l’ensemble des métiers de votre entreprise ainsi que sur l’efficacité du système d’information.
Le gouvernement d’entreprise
Les lois de sécurité financière imposent aussi aux sociétés de veiller à ce que les membres de son conseil d’administration, ou de son conseil de surveillance, répondent à certains critères d’indépendance. Ce même conseil devra, dans le rapport, rendre compte de son travail concernant l’amélioration du contrôle interne.
L'enjeu pour les entreprises est de transformer les obligations de conformité en un avantage concurrentiel.
La Loi de Sécurité Financière du 1er août 2003 a pour objectif d'améliorer la protection des épargnants et investisseurs. Elle crée de nouvelles obligations d'information pour les entreprises en matière de gouvernement d'entreprise et de contrôle interne. Le président de toute société anonyme doit, chaque année, rendre compte aux actionnaires, dans un rapport, des conditions de préparation et d'organisation des travaux du conseil ainsi que des procédures de contrôle interne mises en place par la société.
Ces dispositions sont applicables :
- pour tous les exercices ouverts à compter du 1er janvier 2003
- pour toutes les SA et toutes les sociétés APE (Appel Public à l'Epargne), tant au niveau individuel qu'au niveau consolidé (incluant les filiales consolidées, françaises ou étrangères, quelle que soit leur forme juridique)
Le texte de loi ne précise pas le contenu du rapport du Président ou des informations à publier. Les articles 117, 120 & 122 impliquent que le Président du Conseil devra s'appuyer sur une évaluation formelle du dispositif de contrôle interne en place pour émettre son rapport.
L'évaluation formelle du dispositif mis en place dans l'entreprise doit être effectuée afin de confirmer :
- l'exhaustivité de la couverture des risques
- l'adéquation du dispositif de contrôle au regard des risques
- la qualité du fonctionnement de ce dispositif
2. Les modalités pratiques de mise en oeuvre pour permettre de répondre à ces nouvelles exigences.
Les objectifs de cette démarche sont :
- de s'assurer que le contrôle interne de l'entreprise est adapté aux objectifs de l'entreprise et à son activité,
- de mettre en place l'organisation et les processus qui permettront de s'assurer chaque année de la qualité du contrôle interne.
Les travaux relatifs à l'application de la Loi de Sécurité Financière peuvent s'inscrire dans une logique de gestion de projet et, à ce titre, bénéficier d'un encadrement et de moyens appropriés.
Le projet doit être structuré :
- constituer un comité de pilotage qui rapportera au Président.
- revalider les étapes du projet et son planning et rassembler les ressources nécessaires afin de sécuriser son bon déroulement : responsable de projet, ressources et compétences (humaines, techniques et méthodologiques), planification, détermination des points de validation et produits finis.
Exemple d'approche structurée autour de 4 phases :
1. Phase de cadrage
- Définition du projet
- Définir le cadre conceptuel et le périmètre
- Faire le point des exigences de la loi de sécurité financière afin d'avoir une vision claire et partagée du périmètre du projet
- Organisation du projet
- Mettre en place un mode projet et structurer le projet
- Fixer des objectifs et estimer la charge de travail
- Mettre en place un processus de gestion des priorités
2. Analyse de l'existant
- Identification et Cartographie des risques
- Identifier les informations impactées par la loi de sécurité financière
- Analyser les activités et les process liés aux informations identifiées
- Étudier les procédures et les contrôles liés aux informations
- Préparer une cartographie des risques
- Étude documentaire complète
- Recenser et analyser la documentation afférente :
- aux process identifiés
- aux procédures identifiées
- aux contrôles identifiés au regard des exigences de la loi de sécurité financière
- Formaliser les forces et faiblesses du processus de documentation
3. Diagnostic
- Évaluation
- Évaluer la qualité et l'efficacité des procédures et des contrôles
- Effectuer des tests pour assurer que toute information "matérielle" est : connue, exacte, disponible régulièrement
- Vérifier l'adéquation des contrôles avec les risques à maîtriser
- Vérifier le bon fonctionnement opérationnel des contrôles
- Analyse des écarts
- Apprécier le degré de couverture des exigences de la loi de sécurité financière par l'organisation et les procédures concernés
- Comparer les procédures et les contrôles existants relatifs aux informations aux bonnes pratiques (indicateurs)
- Identifier les points de vulnérabilité du système d'information financier
4. Plan de mise en conformité
- Définition
- Définir un niveau de contrôle interne cible
- Identifier les "écarts" et les opportunités d'améliorations
- Définir de nouveaux indicateurs (sur l'ensemble du périmètre de l'entreprise)
- Définir les adaptations/impacts en termes de SI, améliorations de processus et d'organisation
- Mise en oeuvre
- Préparer un planning de réalisation des recommandations détaillé par processus
- Préciser de manière synthétique et hiérarchisée les actions à entreprendre, une estimation du temps nécessaire à leur réalisation, les services et responsables auxquels devront être confiées la mise en œuvre de chacune de ces actions
Cet article provient de PREVINFO
L'url pour cet article est :
https://www.previnfo.net/sections.php?op=viewarticle&artid=10