Mettre en œuvre
le contrôle interne
dans un contexte
réglementaire mouvant
Où en sont les entreprises ?
Eric Dugelay
13 décembre 2007

1. Rappels sur le
contrôle interne.
2. Le contexte
réglementaire.
3. Résultats de nos
travaux.

3 ©2007 Deloitte Conseil
La démarche de contrôle interne est permanente
Toute démarche de contrôle interne doit être initiée par la Direction Générale de
l’entreprise qui, en s’appuyant sur une organisation interne et un dispositif
approprié, a pour objectif de confirmer la maîtrise des processus et des risques
au sein de l’entreprise
Vérification de l’existence
et de l’efficacité
• Auto-évaluation
• Tests de cheminement
• Tests sur échantillon
• Etc.
Diagnostic de l’existant
• Auto-évaluation
• Inventaire des procédures
et des risques
• Analyse de la conception
des contrôles
• Etc.
Organisation interne
• Directions opérationnelles
• Directions fonctionnelles
• Audit Interne
• Outils informatiques
• Méthodologies
• Etc.
Amélioration du dispositif
et pérennisation
• Identification des plans d’action
• Actions correctrices
• Evaluation suite à correction
• Harmonisation / Optimisation

4 ©2007 Deloitte Conseil
De nombreux acteurs sont impliqués pour répondre à la
diversité des enjeux du contrôle interne
Diverses Directions participent au dispositif de contrôle interne et assistent la
Direction Générale à identifier, évaluer, optimiser et péréniser un dispositif
efficace pour maîtriser les enjeux de l’entreprise
Direction
Générale
Direction du
Contrôle Interne
Audit Interne
Direction
Financière
Directions
Opérationnelles
Risk
Management
Direction
Informatique
Dispositif de contrôle interne
Renforcer la
gouvernance
Maîtriser les
risques
Clarifier les
responsabilités
Fiabiliser
l‘info financière
Optimiser
les processus
Prévenir
la fraude
Enjeux

1. Rappels sur le
contrôle interne.
2. Le contexte
réglementaire.
3. Résultats de nos
travaux.

6 ©2007 Deloitte Conseil
Le contexte réglementaire
L’environnement français
2003 2004 2005 2006 2007
LSF
CNCC
AMF
LSF Loi
Breton
AT
CNCC
NEP sur le
rapport CI
1er
groupe
de place
Lancement
du groupe
de place
Rapport
AMF sur
2003
Rapport
AMF sur
2004
Publication
du
document
principal du
cadre de
référence
par l'IFACI
Travaux sur
le guide
d'application
Publication du document
par l'AMF + consultation
publique
Rapport AMF sur
2005 et
recommandation
AMF sur le cadre
de référence
Transposition
ISA 315

7 ©2007 Deloitte Conseil
Le cadre de référence de l’AMF est compatible avec le
COSO*. Son guide d’application met l’accent sur le contrôle
interne comptable et financier
Recensement,
analyse et
gestion des
risques
Activit
és de
contrôle
proportionn
aux enjeux
Diffusion
en interne
d’
informations
Surveillance
permanente du
dispositif et
examen r
é
de son
fonctionnement
Organisation,
responsabilit
é
s,
modes
opé
ratoires, outils
Recensement,
analyse et
gestion des
risques
Activit
és de
contrôle
proportionnées
aux enjeux
Diffusion
en interne
d’
informations
Surveillance
permanente du
dispositif et
examen
régulier de son
fonction-
ne-
ment
Organisation,
responsabilités
modes
opé
ratoires, outils
Activités de Contrôle
Évaluation des Risques
C
onform
ité
Finance
O
pérationnel
Pilotage
Information et
Communication
Activités de Contrôle
Évaluation des Risques
Environnement de
Contrôle
Unité
A
Unité
B
Activité
1
Activité
2
Activités de Contrôle
Évaluation des Risques
C
onform
ité
Finance
O
pérationnel
Pilotage
Information et
Communication
Activités de Contrôle
Évaluation des Risques
Environnement de
Contrôle
Unité
A
Unité
B
Activité
1
Activité
2
*Référentiel de contrôle interne défini par le
Committee Of Sponsoring Organizations of
the Treadway Commission.

8 ©2007 Deloitte Conseil
Le contexte réglementaire
L'environnement international
EUROPE
US
29/06/08
Transposition
8e Directive
SOX :
Year 2
Revision
de Turnbull
2004 2005 2006 2007 2008
2003
UK
12 /01/07
Directive
transparence
05/09/08
Transposition
4e et 7e Directive
Audit
Standard
2
SOX :
Year 1
Revision du
combined code
19/12
Roundtable
PCAOB
Premiers
rapports
FPI
Nouvelles
guidances
SEC et
révision du
Standard 2

9 ©2007 Deloitte Conseil
Le contexte réglementaire
Les évolutions à venir
 4ème et 7ème Directives du 14 juin 2006
– Approche descriptive des systèmes de contrôle interne
et de gestion des risques
«(…) les sociétés faisant appel public à l’épargne fassent
chaque année une description des principales
caractéristiques des systèmes de contrôle interne
et de gestion des risques (…) »
 8ème Directive sur le contrôle légal des
comptes du 17 mai 2006
– Responsabilité du Comité d’Audit
« (…) Chaque entité d'intérêt public doit être dotée d'un
comité d'audit ».
« (…)le comité d'audit est notamment chargé des
missions suivantes:
a) suivi du processus d'élaboration de l'information
financière;
b) suivi de l'efficacité des systèmes de contrôle
interne, d'audit interne, le cas échéant, et de
gestion des risques de la société (…) »
29/06/08
Transposition
8e Directive
05/09/08
Transposition
4e et 7e Directive
2008

10 ©2007 Deloitte Conseil
Objectifs et fonctionnement du « groupe de place » AMF
 « Groupe de place » établi sous l’égide de l'AMF comportant :
– Des représentants des entreprises, de l’IFACI, des institutions comptables, des
personnes qualifiées, de l'AMF,…
– Un « guide d'application relatif au contrôle interne de l’information comptable et
financière »
 Objectifs :
– Mettre un outil de référence à la disposition des entreprises soumises à la LSF
– Contribuer à une plus grande homogénéité dans les rapports du Président
– Anticiper sur les 4ème, 7ème et 8ème directives
– Proposer un cadre compatible avec le COSO
 Application :
– Recommandation de l’AMF le 22 janvier 2007 pour les exercices ouverts à
compter du 1er janvier 2007

11 ©2007 Deloitte Conseil
La LSF et le cadre de référence de l’AMF, représentent une
opportunité réelle pour les acteurs du contrôle interne
Observation
des pratiques
de place
Approche de base Démarche avancée Meilleures pratiques
Contrôle interne
‘tourné vers le passé’
Contrôle interne ‘ancré
dans le présent’
Contrôle interne
‘orienté futur’
2003 => 2006
Rédaction d’un état
des lieux succinct
sur le dispositif de
contrôle interne
Identification des
insuffisances du
dispositif de contrôle
interne et proposition
d’actions d’amélioration
Déploiement d’une
approche de gestion
globale des risques
>2007
Niveau 1
recenser l’existant
et apprécier la
pertinence
Niveau 2
confirmer la réalité
opérationnelle
Niveau 3
compléter et
améliorer

1. Rappels sur le
contrôle interne.
2. Le contexte
réglementaire.
3. Résultats de nos
travaux.

13 ©2007 Deloitte Conseil
Enquête et expérience
 Enquête publique lancée par Deloitte en mai 2007 sur la fonction Contrôle
Interne auprès de l’ensemble des sociétés du SBF 120 à l’exception du secteur
banque/assurance, avec un bon niveau de représentativité :
– taux de réponse de près de 30%,
– diversité des entreprises ayant répondu (en termes de chiffre d’affaires, d’effectifs, de
secteurs d’activité ou de soumission aux réglementations internationales sur le contrôle
interne),
– Près d’un tiers (31,1%) des entreprises sondées sont cotées sur plusieurs places
financières. En particulier, 9 sur 31, soit 29% d’entre elles sont listées au New York
Stock Exchange ou l’étaient au moment de l’enquête.

14 ©2007 Deloitte Conseil
Deux questions centrales
 Est-ce que la fonction Contrôle Interne existe en tant que telle et quel rôle
joue-t-elle ?
– Quelle est la place accordée par les entreprises à la fonction Contrôle Interne lorsqu'elle
existe en tant que telle?
– Quel est son rayon d'action?
– Quels sont les moyens dont elle dispose?
– Quelles sont les interactions avec le Risk Management, le Contrôle de Gestion et l'Audit
Interne?
 Où en sont les sociétés de la Place dans la mise en œuvre d’un dispositif de
contrôle interne répondant aux attentes de l’AMF ?

15 ©2007 Deloitte Conseil
Thèmes
 Fonction Contrôle Interne et loi Sarbanes Oxley
 Relations entre fonctions Audit interne et Contrôle interne
 Contrôle interne et analyse des risques
 Questionnaires d’autoévaluation
 Evaluation du contrôle interne
 Prévention et détection des fraudes
 Quel référentiel interne ?

16 ©2007 Deloitte Conseil
Fonction Contrôle Interne et loi Sarbanes Oxley

17 ©2007 Deloitte Conseil
La fonction Contrôle Interne commence
tout juste à se développer en dehors des sociétés
soumises à Sarbanes Oxley où elle était apparue 1/2
 La charge de travail ayant découlé de l’article 404 de Sox a induit les sociétés
soumises à cette loi à se doter d’équipes de spécialistes du contrôle interne.
 Un peu plus de la moitié des sociétés (56%) ayant répondu à l’enquête disposent
aujourd’hui d’un département Contrôle Interne.
 La moitié environ d’entre elles ne sont pas soumises à Sox

18 ©2007 Deloitte Conseil
La fonction Contrôle Interne commence
tout juste à se développer en dehors des sociétés
soumises à Sarbanes Oxley où elle était apparue 2/2
 Les fonctions Contrôle Interne dédiées ont été créées depuis trois ans ou moins
pour 77% des départements existant.
 Ce calendrier est à rapprocher de celui de la mise en application de la LSF et de
Sox en France
Source de cet histogramme et
des suivants :
Enquête publique lancée par
Deloitte en mai 2007 sur la
fonction Contrôle Interne auprès
de l’ensemble des sociétés du
SBF 120 à l’exception du secteur
banque/assurance
Il y a moins d’1 an 17,1 %
Il y a 1 à 2 ans 17,1 %
Il y a 2 à 3 ans 42,9 %
Il y a plus de 3 ans 22,9 %
Quand votre département de contrôle interne a-t-il été mis en place ?

19 ©2007 Deloitte Conseil
Fonctions Audit interne et Contrôle interne

20 ©2007 Deloitte Conseil
L’Audit Interne reste le contrôleur du contrôle interne
mais a parfois aussi un rôle de coordination de la fonction
Contrôle Interne 1/2
 Près de 97% des sociétés sondées ont une équipe d’Audit Interne
de tailles relativement variables
 L’activité du département Contrôle Interne, lorsqu’il existe,
est coordonnée par l’Audit Interne dans 50% des cas

21 ©2007 Deloitte Conseil
L’Audit Interne reste le contrôleur du contrôle interne
mais a parfois aussi un rôle de coordination de la fonction
Contrôle Interne 2/2
 Ce département n’est audité par l’Audit Interne que pour un tiers des participants.
Le défaut d’indépendance pouvant résulter du point précédent est susceptible de
générer une difficulté à auditer le département Contrôle Interne
 Les missions de contrôle interne représentent 25% environ des missions
effectuées par l’Audit Interne
Dans le spectre des missions d’Audit interne, quel est le pourcentage
des missions ?
De contrôle interne 25,1 %
D’Audit Opérationnel 21,6 %
D’Audit financier 19 %
15,6 %
Conformité
Autres (à préciser) 11,5 %
Conseil 7,2 %

22 ©2007 Deloitte Conseil
La vérification de la conformité est plus attendue
de l’Audit Interne que l’assistance
ou le conseil au Management
 On note un retour à une perception de l’Audit Interne « classique » au sein des
sociétés où le service est perçu comme un vérificateur de la conformité pour deux
tiers des participants
Quelle notion décrit le mieux le rôle du département d’Audit Interne dans la société ?
Vérification de la conformité
Assistance au Management
Conseil au Management
10% 20% 30% 40% 50% 60% 70% 80% 90% 100 %
Pas du tout d’accord Plutôt d’accord
Plutôt pas d’accord Tout à fait d’accord
Neutre

23 ©2007 Deloitte Conseil
Contrôle interne et analyse des risques

24 ©2007 Deloitte Conseil
Les sociétés fondent en grande majorité leur plan d’audit
sur une analyse des risques
Comment est établi le plan d’audit ?
Selon un plan de rotation
Analyse des risques inhérents
Stratégie, métier et processus
10% 20% 30% 40% 50% 60% 70% 80% 90% 100 %
Pas du tout d’accord Plutôt d’accord
Plutôt pas d’accord Tout à fait d’accord
Neutre

25 ©2007 Deloitte Conseil
Une large majorité de sociétés déploient
une cartographie des risques
 La grande majorité (84%) des entreprises réalisent une cartographie des risques
– Le rapport 2006 de l’AMF indiquait déjà que plus de la moitié des sociétés sondées à
cette époque avait recours à la cartographie des risques
– Cet outil constitue l’une des composantes de l’approche proposée par le cadre de
référence de l’AMF

26 ©2007 Deloitte Conseil
Généralement annuelle,
la cartographie des risques intéresse
au premier chef la Direction Générale
 Pour gérer les risques
identifiés lors de la
cartographie, les
entreprises ont le plus
souvent recours à des
outils sur mesure (67%)
et non à des progiciels
du marché
Annuellement 50,9 %
Tous les 2 ans 18,9 %
Autres (à préciser) 30,2 %
A quelle fréquence la cartographie est elle mise à jour ?
Par qui les résultats de la cartographie sont-ils suivis ?
Direction Générale 49,1 %
Comité d’Audit 32,1 %
Autres (à préciser) 18,9 %
Conseil de surveillance) 0 %

27 ©2007 Deloitte Conseil
La cartographie des risques s’intéresse
à l’ensemble des risques de l’entreprise
 Si la fonction Contrôle Interne se concentre plus particulièrement sur les aspects
financiers, les personnes chargées du déploiement de la cartographie des risques
recensent l’ensemble des risques de l’entreprise pour 71% des sociétés sondées
Quels sont les principaux types de risques identifiés par la société ?
Tous les risques de l’entreprise 71,4 %
Opérationnels et Financiers 19 %
Autres (à préciser) 6,3 %
Opérationnels 3,2 %

28 ©2007 Deloitte Conseil
Malgré l’importance de la cartographie des risques,
moins de la moitié des sociétés
dispose d’une fonction Gestion des Risques
 Un peu moins de la moitié des participants (43%) cite l’existence d’une fonction
Gestion des Risques dédiée
 Plus de deux tiers (68%) des sociétés soulignent le lien existant entre les
fonctions Contrôle Interne, lorsqu’elle existe, et Gestion des Risques

29 ©2007 Deloitte Conseil
Les questionnaires d’autoévaluation

30 ©2007 Deloitte Conseil
Les questionnaires d’auto-évaluation du contrôle interne sont
largement répandus et déployés de manière pragmatique
 Plus de deux tiers (71%) des sociétés affirment utiliser un questionnaire de
contrôle interne
 Le cadre de référence de l’AMF préconise, en effet, l’utilisation d’un
« questionnaire relatif à l’analyse et à la maîtrise des risques »

31 ©2007 Deloitte Conseil
Les questionnaires d’auto-évaluation du contrôle interne sont
largement répandus et déployés de manière pragmatique
 Les questionnaires sont de taille raisonnable, ce qui en facilite l’adoption :
– 210 questions en moyenne
– questionnaires « courts » (moins de 200 questions) utilisés par 60% des participants à
l’enquête
 Les questionnaires sont complétés annuellement pour la grande majorité des
participants (92%)
Combien de questions comportent votre questionnaire
d’autoévaluation du CI ?
Moins de 100 28,9 %
De 100 à 199 31,1 %
De 200 à 299 13,3 %
4,4 %
De 300 à 399
De 400 à 499 13,3 %
500 et plus 8,9 %

32 ©2007 Deloitte Conseil
Les trois axes du COSO sont équitablement abordés dans les
questionnaires
 Le contrôle interne comptable et financier est considéré comme une priorité, ce
qui augure favorablement de la mise en place du guide d’application de l’AMF
sur ce sujet
Quels sont les thèmes abordés dans les questionnaires de contrôle interne ?
Qualité de l’information financière 65,6 %
Environnement de contrôle 65,6 %
Conformité à la réglementation 62,5 %
46,9 %
Efficacité opérationnelle
Autres (à préciser) 12.5 %
Activités de Contrôle
Évaluation des Risques
C
onform
ité
Finance
O
pérationnel
Pilotage
Information et
Communication
Activités de Contrôle
Évaluation des Risques
Environnement de
Contrôle
Unité
A
Unité
B
Activité
1
Activité
2
Activités de Contrôle
Évaluation des Risques
C
onform
ité
Finance
O
pérationnel
Pilotage
Information et
Communication
Activités de Contrôle
Évaluation des Risques
Environnement de
Contrôle
Unité
A
Unité
B
Activité
1
Activité
2

33 ©2007 Deloitte Conseil
L’analyse des réponses aux questionnaires intéresse
de nombreuses fonctions de l’entreprise
 Cinq fonctions sont citées par au moins un quart des personnes sondées comme
ayant une implication dans l’analyse des résultats de l’exercice d’auto-évaluation.
– Cette analyse est réalisée principalement par l’Audit Interne (57%) et le Comité Audit
(46%)
– Les questionnaires de contrôle interne ne sont analysés par la fonction Contrôle Interne
proprement dite que dans 25% des cas environ
Par qui sont suivis les résultats ?
Audit interne 57,1 %
Comité d’Audit 46 %
Direction Financière 34,9 %
30,2 %
Direction Générale
Contrôle Interne 25,4 %
Autres (à préciser) 12,7 %
Conseil de Surveillance 3,2 %

34 ©2007 Deloitte Conseil
Evaluation du contrôle interne

35 ©2007 Deloitte Conseil
57% des sociétés procèdent à une évaluation de leur contrôle
interne et plus du tiers de ces dernières en communiquent les
résultats
 L’évaluation du contrôle interne est communiquée à l’extérieur pour environ 21%
des participants
 Ce constat révèle la volonté des entreprises de renforcer leur transparence vis-à-
vis des investisseurs et du marché en général, et de suivre, dans ce sens, les
recommandations formulées par l’AMF dans son rapport 2006
L’analyse du contrôle interne dans la société
Donne-t-elle lieu à un plan
d’actions ?
76,2 %
Aboutit-elle à une évaluation,
même non communiquée à l’extérieur 57,1 %
Est-elle purement descriptive ? 25,4 %
20,6 %
Aboutit-elle à une évaluation
dont les résultats sont communiqués
à l’extérieur ?

36 ©2007 Deloitte Conseil
Prévention et détection des fraudes

37 ©2007 Deloitte Conseil
Les acteurs du contrôle interne doivent être à même de
contribuer à la prévention et la détection de la fraude, sujets
de préoccupation identifiés comme prioritaires
 Plus de 87% des sociétés sondées reconnaissent mener des actions
en prévention de la fraude
 Les infractions sont principalement détectées grâce à des contrôles
ponctuels du management et des missions de l’Audit Interne
 L’utilisation des Lignes d’Alerte Ethique commence à voir le jour
Comment sont détectées les fraudes ?
Contrôle ponctuel du Management 27 %
Mission de l’Audit Interne 26 %
Dénonciation 17 %
12 %
Ligne d’Alerte Ethique
Mission de l’Audit Externe 11 %
Autres (à préciser) 6 %

38 ©2007 Deloitte Conseil
L’investigation de la fraude incombe traditionnellement à
l’Audit Interne
 L’Audit Interne est également au centre du processus anti-fraude en étant le plus
souvent impliqué dans les investigations (44% des cas environ).
– Un peu moins d’un quart des participants font appel à un spécialiste de la fraude
Qui est en charge de l’investigation en cas de suspicion de fraude ?
L’Audit Interne 43,6 %
Un spécialiste de la fraude 17,9 %
Le Management 17,9 %
10,3 %
Autres (à préciser)
Les Ressources Humaines 10,3 %

39 ©2007 Deloitte Conseil
Les programmes anti-fraude formalisés ne font pas recette en
dehors des sociétés tenues par Sox d’en déployer un
 35% environ des sociétés n’ont qu’une réaction ponctuelle, et non pas
systématique, à la suspicion de fraude
 Seulement 21% des sociétés disposent de programmes anti-fraude formalisés
Quelle est l’approche fraude dans votre société ?
Réaction ponctuelle à la suspicion 34,9 %
Réactivité systématique à la suspicion 30,2 %
Programmes anti-fraude formalisés 20,9 %
14 %
Autres (à préciser)

40 ©2007 Deloitte Conseil
Les lignes éthiques, par contre, commencent à se développer,
mais la communication directe avec le Management est
privilégiée en cas de suspicion de fraude
 Les outils mis à disposition des employés pour signaler la fraude restent limités
 Moins de la moitié des sociétés ont mis en place des lignes éthiques spécifiques
(e-mail ou e-mail plus numéro de téléphone)
 Le canal d’information le plus utilisé est de loin la communication directe avec le
Management
Lorsqu’il constate une fraude, de quels outils dispose le salarié pour informer le Management ?
Autres (par ex communication à la hiérarchie) 81,8 %
Email spécifique 41,9 %
Numéro de téléphone spécifique 32,3 %

41 ©2007 Deloitte Conseil
Quel référentiel interne ?

42 ©2007 Deloitte Conseil
Le cadre de référence de l’AMF commence déjà à se
substituer à celui du COSO
 Plus des trois quart (78%) des sociétés participantes s’appuient sur un référentiel
de contrôle interne
 Parmi ces sociétés, près des deux tiers (63%) utilisent le COSO comme
référentiel de contrôle interne et un peu moins d’un tiers (29%) recourent d’ores et
déjà au cadre de référence de l’AMF
COSO 63,3 %
AMF 28,6 %
Interne 8,2 %
Autres (à préciser) 0,0 %
Sur quel référentiel votre société s’appuie-t-elle ?

Deloitte Conseil
Member of
Deloitte Touche Tohmatsu

44 ©2007 Deloitte Conseil
Eric Dugelay
Associé – en charge du pôle Risk Management
Deloitte Conseil
edugelay@deloitte.fr
+ 33 (0) 1 55 61 54 13
Contacts