Memoire de med Nizar Taiech
Transcription
Memoire de med Nizar Taiech
La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB PLAN DETAILLE Introduction Première partie : Le contrôle interne et l’évolution du contexte législatif Chapitre 1 : Le contrôle interne Section 1 : Définitions 1. Définition du système comptable des entreprises Tunisien 2. Définition du contrôle interne à l‟échelle Internationale A. Définition de l'International Federation of Accountants (IFAC) B. Définition du Committee of Sponsoring Organization (COSO) C. Définition du Public Company Accounting Board (PCAOB) D. Définition de l'Autorite des Marches FGinanciers (AMF) 3. Définition du contrôle interne à l‟égard de l‟information financière Section 2 : Objectifs suivi par le contrôle interne 1. Fiabilisation des données 2. Prévention et sauvegarde du patrimoine 3. Optimisation des ressources 4. Prévention et détection des erreurs et des fraudes Section 3 : La responsabilité des différents intervenants en matière de contrôle interne 1. Responsabilité du maintien d‟un bon système de contrôle interne 2. La responsabilité de la direction 3. La responsabilité des organes de contrôle A. Les organes de vérification internes B. Les auditeurs externs Chapitre 2 : Le contexte réglementaire évolutif en matière de contrôle interne Section 1 : Les obligations inhérentes au contrôle interne et leur évolution Sous section 1 : Les obligations à la charge des organes de direction 1. Les obligations à l‟échelle internationale A. Aux USA B. En France 2. Les obligations en Tunisie Sous section 2 : Les obligations à la charge des auditeurs et l’élargissement de leurs missions 1. Les obligations à l‟échelle internationale A. Aux USA B. En France 2. Les obligations en Tunisie Section 2 : L’évolution de la normalisation en matière de contrôle interne Sous section 1 : Cadre de références pour le contrôle interne 1. Le COSO 1: Internal control – Integrated framework A. Historique 1 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech Page -5-10-11-11-11-12-12-13-14-15-17-18-18-18-18-18-20-20-21-23-23-24-26-26-26-26-27-29-31-35-35-35-37-40-43-43-44-44- 1 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB B. Les principes C. Le cadre cubique du COSO i. Les 3 objectifs ii. Les 5 composantes du contrôle interne 2. Le COSO 2: Entreprise risk management framework A. Positionnement du COSO 2 par rapport au COSO1 B. Les nouvelles notions introduites par COSO 2 C. Le cadre cubique du COSO 2 i. Niveaux de l‟organisation ii. Gestion des risques : Les 8 composantes iii. Objectifs Sous section 2: Normes d’audit et l’apparition de l’AS 5 1. Les normes de l’IFAC A. Le contrôle interne et la définition de la méthodologie d‟audit B. Le risque de contrôle et son impact sur la mission d‟audit 2. Les normes d’audit du PCAOB A. Présentation B. Nouveautés de l‟approche d‟audit i. Un double objectif ii. Concept du contrôle interne relatif à la publication des états financiers iii. Limites inhérentes au contrôle interne, assurance raisonnable et matérialité iv. Approche d‟audit Section 3 : Analyse des pratiques du contrôle interne en Tunisie 1. Pratiques des directions en matière du contrôle interne en Tunisie 2. Pratiques des auditeurs en matière du contrôle interne en Tunisie -45-45-46-46-48-48-48-49-49-50-52-53-53-53-55-57-57-57-57-58-59- Conclusion de la première partie -71- -61-62-63-66- Deuxième partie : Démarche d’évaluation du système de contrôle interne : Le COSO et l’AS 5 -72- Chapitre 1 : Référentiels et composantes Section 1 : Présentation 1. COSO 2. Standard d‟audit n°5 du PCAOB (AS5) Section 2 : Composantes du contrôle interne à l’égard des deux référentiels 1. Les cinq composantes COSO A. Environnement de contrôle B. Evaluation du risque C. Activités de contrôle D. Information et communication E. Pilotage et suivi 2. L’AS 5 : Approche top down ou l’approche par les risques -73-73-73-76-79-79-80-80-81-81-82-83- 2 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 2 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB A. Les contrôles au sein de l‟entreprise (L‟environnement de contrôle) B. Les comptes C. Les process D. Les risques E. Les contrôles à tester Chapitre 2 : Evaluation du contrôle interne : Vers l’utilisation d’une approche combinée Section 1 : L’environnement du contrôle interne 1. Intégrité et éthique 2. Organisation et style de gouvernance 3. Pouvoir et responsabilités 4. Règles et pratiques 5. Les ressources humaines et la valorisation de la compétence Section 2 : Le contrôle interne à l’égard de l’information financière 1. Définition des comptes significatifs 2. Les assertions 3. Identification des process et des flux de transactions significatives 4. Cartographie des risques d‟erreurs au niveau des états financiers Section 3 : Evaluation des risques : COSO Entreprise Risk Management 1. Objectifs du reporting financier 2. Risques au niveau du reporting financier 3. Risque de fraudes Section 4 : Les contrôles au niveau de l’entreprise 1. Les contrôles instaurés par la direction 2. L‟auto contrôle 3. Le process de clôture 4. Les normes et sécurités comptables 5. Les sécurités au niveau du système d‟information 6. Documentation Section 5 : Tests et évaluation des contrôles : Evaluation des risques 1. Contrôles à tester 2. Tests de cheminement 3. Tests d‟efficacité de la conception A. Contrôles manuels B. Contrôles automatisés (système d‟information) 4. Tests d‟évaluation du fonctionnement 5. Etendue des tests et jugement professionnel 6. Utilisation de travaux d‟autrui 7. Finalisation et documentation Section 6 : Appréciation globale et proposition d’axes d’amélioration : Rapport d’évaluation, pilotage et suivi de la mise en place 1. Conditions quant à l’évaluation A. Normes de travail B. Formation technique, compétence et connaissances des éléments à évaluer 3 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech -83-84-85-86-86-87-87-87-89-90-91-92-92-92-94-96-97-98-98-99-100-102-102-104-105-106-106-107-108-108-108-110-110-111-111-112-112-113-115-115-115-116- 3 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB C. Compétence, objectivité et indépendance D. Diligences E. Planification et déroulement de la mission F. Responsabilité 2. Conclusion des travaux et rapport A. Rapport de la direction B. Evaluation du rapport de la direction C. Rapport de l‟auditeur i. Formulation du rapport ii. Modification du rapport iii. Rapport distincts ou combines iv. Date d‟émission du rapport v. Evénements postérieurs à la date de clôture vi. Effets de la formulation d‟un avis motive sur le contrôle interne sur l‟attestation des états financiers vii. Lettre d‟affirmation viii. Autres communications ix. La notion de l‟assurance raisonnable Section 7 : Le pilotage et le suivi 1. Le pilotage permanent 2. Les évaluations ponctuelles -117-118-119-122-123-123-126-128-129-132-134-134-135-136- Conclusion de la deuxième partie -141- Troisième partie : Etude empirique : Mise en place du référentiel COSO et de la norme d‟audit 5 du PCAOB en tant que référentiels de certification du contrôle interne : Etude d‟impact et de faisabilité. Section 1 : Présentation du questionnaire 1. Méthodologie 2. Champ d‟application et caractéristiques de l‟échantillon Section 2 : Synthèse 1. Présentation des résultats 2. Conclusion de l‟enquête -136-138-139-139-139-140- -143- -144-143-155-156-156-167- Conclusion générale -168- Bibliographie -171- 4 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 4 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB INTRODUCTION GENERALE Pouvant être délaissé parfois, par les responsables des entreprises et sacrifié au détriment des bonnes performances économiques, situation ayant été à l‟origine de nombreux scandales financiers, le contrôle interne, a été remis sur la sellette, et est redevenu depuis quelques années un sujet d‟actualité, et au centre d‟une réglementation qui ne cesse d‟évoluer et de devenir de plus en plus contraignante tant au niveau national qu‟international. En effet, les autorités et les gouvernements ont été incités, à instaurer rapidement de nouvelles lois, permettant de renforcer la sécurité financière et de redonner confiance aux investisseurs. Dans un contexte d‟affaiblissement de la confiance des bailleurs de fonds, les législateurs de nombreux pays, ont eu des réactions fortes afin d‟amener les sociétés à une plus grande transparence et à fiabiliser les informations financières qu‟elles publient. C‟est ainsi que la loi de sécurité financière Américaine, le « Sarbanes Oxley Act », que la loi de sécurité financière Française et que la loi de sécurité financière Tunisienne, lois citées à titre limitatif et pour les besoins du présent travail, ont été promulguées1. Ces lois ont instauré de nouvelles obligations, tant pour les organes de direction, que pour les organes de contrôle. Ces obligations ont pour finalité de réinstaurer un climat de confiance pour les actionnaires et de fiabiliser et d‟écourter les délais de production des informations financières et surtout de mettre en place des règles encore plus contraignantes pour permettre une bonne gouvernance. Ces nouvelles obligations visent trois axes majeurs, à savoir, l‟exactitude des informations financières publiées, le renforcement de la responsabilité des gestionnaires et l‟indépendance des organes de vérification. 1 Ces lois ont été cités à titre limitatif pour le besoin de ce travail et du fait que la loi Américaine constitue le texte précurseur ayant crée un précédent en matière de sécurités financières, alors que la loi Française a été citée vu la forte connexité des lois Tunisiennes aux textes de lois Français. 5 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 5 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Cette évolution a été initiée essentiellement par la loi Américaine2, ayant créé un précédent en la matière, qui a mis l‟accent surtout, sur l‟amélioration des informations financières et ce notamment par l‟accroissement de l‟importance donnée au système de contrôle interne. La réglementation Américaine a introduit une obligation d‟auto-évaluation par les organes de direction et l‟appréciation de cette auto-évaluation par les auditeurs. En effet, la loi oblige les organes de direction de procéder à l‟auto-évaluation de leur système de contrôle interne, d‟émettre un rapport à ce sujet, et de soumettre ce rapport d‟évaluation à l‟auditeur, qui en évalue la portée. Pour la France, la loi de sécurité financière Française3, à l‟instar de la loi américaine, avait pour finalité de restaurer la confiance des investisseurs dans les marchés financiers et dans les entreprises. La loi Française a porté une refonte des organes de contrôle du secteur financier français créant ainsi deux grandes autorités de contrôle dotées de pouvoirs forts et étendus4. Elle a mis en place des mesures pour sécuriser les épargnants et les assurés 5. De plus, elle a surtout mis en place un système de renforcement des sécurités financières entraînant ainsi, la nécessité pour les dirigeants des entreprises d‟avoir un regard nouveau sur le contrôle interne. Le président de toute société anonyme (à conseil d‟administration ou à conseil de surveillance), cotée ou non cotée, doit, en effet, dès les exercices ouverts à compter du 1er janvier 2003, présenter un rapport joint au rapport de gestion sur les conditions de préparation et d‟organisation des travaux du conseil, ainsi que sur les procédures de contrôle interne mises en place par la société. Ce rapport, fait en outre, l‟objet d‟un rapport du commissaire aux comptes, joint au rapport général et portant sur les procédures de contrôle interne relatives à l‟élaboration et au traitement de l‟information comptable et financière. En Tunisie, la loi 2005-96 du 18 Octobre 2005 ayant instauré le renforcement de la sécurité des relations financières, a mis en place les obligations de renforcement de l‟obligation de 2 Le sarbanes-oxley Act : Loi adoptée le 30/07/2002 3 Loi 2003-706 portant loi de sécurité financière Française, loi adoptée par le parlement Français le 17 Juillet 2003 et approuvée pat le conseil constitutionnel Français en date du 02/08/2003. 4 L‟autorité des marchés financiers et la commission de contrôle des assurances, des mutuelles et des institutions de prévoyance ont vu le jour en lieu et place des organes de contrôles existants auparavant 5 Titre II de la loi de sécurités financières Française 6 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 6 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB dépôt, de communication, de divulgation et de publication des informations financières, de mise en place et renforcement des organes de contrôle au sein des entreprises (Comités d‟audit), de renforcement de l‟indépendance des auditeurs et ce par la délimitation des prestations à offrir, par la mise en place d‟un système de rotation obligatoire, par la mise en place du Co-commissariat aux comptes… Et surtout l‟accroissement du rôle donné au système de contrôle interne et ce par la mise en place d‟obligations à la charge des organes de direction et à la charge des auditeurs légaux. C‟est ainsi que les termes de la loi renforçant les sécurités financières combinée avec les lois 94-117 du 14 novembre 1994 et la loi 2005-65 du 27 juillet 2005 ayant modifié et complété le code des sociétés commerciales, ont mis à la charge des organes de direction l‟obligation d‟insérer « des éléments sur le contrôle interne » au niveau du rapport de gestion6, et de communiquer aux commissaires aux comptes « une déclaration annuelle…pour attester qu‟ils ont fourni les diligences nécessaires pour garantir l‟exhaustivité et la conformité des états financiers à la législation comptable…» . De plus, la lecture combinée de ces lois (la loi renforçant les sécurités financières et la loi 2005-65 du 27 Juillet 20057), fait ressortir l‟obligation, pour les commissaires aux comptes, de revue périodique des systèmes de contrôle interne8, Cette revue doit être couronnée par l‟insertion d‟un paragraphe au niveau du rapport général, portant une évaluation du contrôle interne, pour ce qui est des sociétés faisant appel public à l‟épargne9. Le législateur Tunisien, et à l‟instar de ses homologues à l‟étranger, a accentué et renforcé ces obligations, aussi bien celles incombant aux organes de contrôle qu‟aux organes de direction en matière d‟évaluation et d‟attestation du bon fonctionnement de ces systèmes de contrôle interne. Ces dispositifs sont considérés comme pouvant contribuer à l‟amélioration de la qualité de l‟information financière. 6 Article 3 nouveau de la loi n 94-117 du 14 Novembre 1994 7 Article 266 alinéa 2 nouveau de la loi 2005-65 loi modifiant et complétant le code des sociétés commerciales 8 L‟article 266 au niveau de son alinéa 2 (nouveau) stipule que : « Le commissaire aux comptes certifie la sincérité et la régularité des comptes annuels de la société…Il vérifie périodiquement l‟efficacité du système de contrôle interne » 9 Article 3 nouveau de la loi 2005-96 ayant modifie l‟article 14 de la loi 94-117 du 14 novembre 1994 portant réorganisation du marche financier. 7 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 7 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Cependant, les nouvelles dispositions législatives introduites par la loi renforçant les sécurités financières, n‟ont pas été suffisamment étayées, et posent, à notre sens, un problème de mise en place et d‟application. C‟est ainsi qu‟aucun référentiel permettant d‟attester les systèmes de contrôle interne n‟a été prévu par cette loi et qu‟aucune norme professionnelle n‟a été mise en place pour faire face à cette obligation, à ce jour, et bien qu‟on ait adopté les normes de l‟IFAC, lesdites normes n‟ont pas prévu de référentiel permettant l‟évaluation du contrôle interne10. C‟est à ce titre, qu‟il nous parait opportun, d‟analyser les expériences des autres pays, et notamment celles où des démarches concrètes et concluantes ont été mis en place. L‟exemple américain nous parait être le mieux adapté pour cela, étant donné que ces obligations ont été édictées par la loi de sécurités financières américaine, une loi considérée comme le texte législatif le plus important en matière de gouvernance d‟entreprise. Elle est la première loi ayant vu le jour. Elle a une portée extraterritoriale11, et surtout elle a été développée et enrichie par des textes de mise en application développés et retraités pour tenir compte des difficultés de sa mise en place.. Le présent mémoire a pour objectif d‟éclaircir la mise en place de ces obligations ainsi que leur impact sur les travaux d‟audit, et porte sur l‟étude du référentiel le plus connu à l‟échelle internationale, à savoir le référentiel COSO ainsi que la norme d‟audit 5 du PCAOB. Il tente d‟aboutir à la proposition d‟un guide permettant la certification du contrôle interne. Pour se faire, nous nous proposons de structurer notre travail en trois parties - La première partie traitera le contrôle interne et l‟évolution du contexte réglementaire y afférent. Nous nous proposons de passer en revue les définitions données au contrôle interne, les objectifs visés par la mise en place d‟un bon système de contrôle interne ainsi que les responsabilités incombant aux différents intervenants en la matière, avant de passer en revue 10 Pour les établissements financiers, la BCT dans sa circulaire 2006-19 a défini un cadre permettant la mise en place d‟un bon système de contrôle interne. Cette circulaire ne sera pas étudiée dans le présent mémoire (Cf limites du sujet) 11 Le SOX act s‟applique a toutes les sociétés cotées aux USA et pourrait s‟appliquer même aux filiales des groupes étrangers implantes en Tunisie 8 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 8 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB les évolutions des contextes légaux en Tunisie et à l‟international en matière de gouvernance et surtout en matière de contrôle interne et les obligations qui ont été introduites par les lois de sécurités financières en la matière. Cette première partie sera couronnée par la présentation de l‟état des lieux des pratiques des entreprises Tunisiennes en la matière. - La deuxième partie sera, quant à elle, consacrée à l‟étude du référentiel COSO et de la norme d‟audit 5 du PCAOB parmi les référentiels les plus utilisés pour la certification du contrôle interne et elle aboutira à la proposition d‟une démarche combinée pour l‟évaluation du contrôle interne. - La troisième partie portera sur l‟étude de faisabilité de la mise en place du référentiel COSO et de la norme d‟audit 5 du PCAOB en tant que référentiels pour la certification du contrôle interne dans le contexte Tunisien et sera matérialisée et enrichie par les résultats d‟un questionnaire à adresser aux professionnels tunisiens. 9 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 9 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Première partie : Le contrôle interne et l’évolution du contexte législatif 10 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 10 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Chapitre 1 : Le contrôle interne Le contrôle interne est un dispositif, défini et mis en œuvre par plusieurs intervenants au sein de l‟entreprise et sous leurs responsabilités. Il a été défini par de nombreuses organisations professionnelles. Dans ce qui suit, nous allons présenter les différentes définitions du contrôle interne en Tunisie et à l‟échelle internationale, les objectifs qui lui sont assignés, avant de délimiter les responsabilités des divers intervenants en la matière. Section 1 : Définitions Les définitions du contrôle interne sont nombreuses et ont eu le plus souvent comme auteurs des organisations professionnelles de comptables. Dans ce qui suit, nous allons présenter la définition fournie par le système comptable tunisien, et celles des principales organisations professionnelles à l‟échelle internationale, avant de définir le contrôle interne à l‟égard de l‟information financière. Paragraphe 1 : Définition du système comptable tunisien La définition du contrôle interne a été présentée au niveau de la norme comptable générale du système comptable des entreprises, tunisien promulgué par la loi n° 96-112 du 30 décembre 199612. Le contrôle interne est défini “comme étant un processus, mis en œuvre par la direction, la hiérarchie, le personnel d'une entreprise, et destiné à fournir une assurance raisonnable quant à la réalisation des objectifs suivants: • promouvoir l'efficience et l'efficacité, • protéger les actifs, • garantir la fiabilité de l'information financière, • assurer la conformité aux dispositions légales et réglementaires”. 12 Deuxième partie de la norme comptable générale : Dispositions relatives à l'organisation comptable 11 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 11 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Le système de contrôle interne, ainsi, mis en place, a pour finalité de permettre à l'information produite par la comptabilité de vérifier les caractéristiques qualitatives prévues par le cadre conceptuel13. . Ces caractéristiques sont « les attributs que doit revêtir l'information financière véhiculée dans les états financiers et qui sont indispensables pour garantir la production et la divulgation d'informations financières utiles à la prise de décision14», à savoir une information intelligible, pertinente, fiable et comparable. Paragraphe 2 : Définition du contrôle interne à l’échelle Internationale A l‟échelle internationale, diverses définitions ont été données au contrôle interne, par des organisations professionnelles. Pour les besoins de ce travail, nous présenterons la définition donnée par l‟International Federation of Accountants (IFAC), le Public Company Accountng Oversight Board (PCAOB), le Committe of Sponsoring Organizations of the Traedway Commission (COSO) et l‟Autorité des Marchés Financiers (AMF) Française. A. Définition de l’International Federation of Accountants (IFAC) Le contrôle interne, a été défini au niveau de la norme internationale d‟audit 315 : « Connaissance de l‟entité et de son environnement et évaluation du risque d‟anomalies significatives ». Ladite norme, a présenté le contrôle interne, comme étant un processus, conçu et mis en place par les personnes constituant le gouvernement d‟entreprise, la direction et d‟autres membres du personnel, pour fournir une assurance raisonnable quant à la réalisation des objectifs de l'entité en ce qui concerne la fiabilité de l‟information financière, l'efficacité et l'efficience des opérations, ainsi que leur conformité avec les textes législatifs et réglementaires applicables. 13 Les caractéristiques qualitatives de l‟information financière ont été décrites au niveau du paragraphe 19, du décret n° 96-2459 du 30 décembre 1996, portant approbation du cadre conceptuel de la comptabilité 14 Les caractéristiques qualitatives de l‟information financière ont été décrites au niveau du paragraphe 19, du décret n° 96-2459 du 30 décembre 1996, portant approbation du cadre conceptuel de la comptabilité. 12 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 12 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Il en résulte que le contrôle interne est conçu et mis en œuvre pour répondre aux risques identifiés, qui sont liés à l‟activité, et qui menacent la réalisation des objectifs suivis par l‟entreprise. Le contrôle interne est constitué par : (a) l‟environnement de contrôle ; (b) le processus d‟évaluation des risques de l'entité ; (c) le système d'information, y compris les processus opérationnels y afférents, relatif à l‟information financière et à sa communication ; (d) les activités de contrôle ; (e) le suivi des contrôles. Notons enfin que les normes techniques de l‟IFAC ont été adoptées par l‟ordre des experts comptables Tunisiens et qu‟il s‟en suit que cette définition ait été adoptée par le même corps en Tunisie. Notons que la définition de l‟IFAC a été reprise par le Compagnie Nationale des Commissaires aux Comptes (CNCC) pour qui le contrôle interne est : « l‟ensemble des politiques et procédures (contrôles internes) mises en œuvre par la direction d‟une entité en vue d‟assurer, dans la mesure du possible, la gestion rigoureuse et efficace de ses activités. Ces procédures impliquent le respect des politiques de gestion, la sauvegarde des actifs, la prévention et la détection des irrégularités et inexactitudes, l‟exactitude et l‟exhaustivité des enregistrements comptables et l‟établissement en temps voulu d‟informations financières ou comptables fiables. Le système de contrôle interne s‟entend au-delà des domaines directement liés au système comptable 15». B. Définition du Committe of Sponsoring Organizations of the Traedway Commission (COSO) COSO est l‟acronyme abrégé de Committee Of Sponsoring Organizations of the Treadway Commission, une commission à but non lucratif qui établit en 1992 une définition standard du contrôle interne et crée un cadre pour évaluer son efficacité. 15 Norme 2-301 du CNCC. Evaluation du risque et contrôle interne 13 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 13 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB COSO a défini le contrôle interne, comme suit : « Le contrôle interne est un processus, mis en œuvre par le conseil d‟administration, les dirigeants et le personnel d‟une organisation destiné à fournir une assurance raisonnable quant à la réalisation d‟objectifs entrant dans les catégories suivantes : La réalisation et l‟optimisation des opérations ; La fiabilité des informations financières ; La conformité aux lois et réglementations en vigueur. » Pour chaque activité de l‟entreprise, le contrôle interne se doit d‟être analysé selon ces 3 objectifs et au niveau de 5 composantes qui sont : L‟environnement de contrôle; L‟évaluation des risques ; Les activités de contrôle, L‟information et la communication ; Le pilotage du contrôle interne. » La définition donnée par le COSO, ressemble largement à celle préconisée par le système comptable tunisien, étant donné que le système comptable tunisien a été promulgué en 1996, alors que le COSO avait émis son rapport en 1992 et que le système comptable avait repris la définition donnée par le cadre COSO. C. Définition du Public Company Accounting Oversight Board (PCAOB) Le Public Company Accouting Oversight Board est un organisme privé, à but non lucratif, ayant été créé en 2002 par le Sarbanes_Oxley Act. Le PCAOB a été crée, dans l‟objectif de superviser les travaux des auditeurs des sociétés faisant appel public à l‟épargne et de s‟assurer de la qualité de leurs travaux et de leur indépendance, avec pour objectif ultime de protéger les intérêts des investisseurs et autres bailleurs de fonds. Le PCAOB, dans la loi organique l‟ayant crée, a été accrédité du pouvoir de légiférer dans le cadre des attributions qui lui ont été conférés. Le PCAOB a émis un ensemble de normes portant sur la mise en place des obligations insérées par la loi de sécurité financière Américaine et notamment sur la mise en application de la norme permettant l‟auto-évaluation 14 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 14 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB du contrôle interne par la direction et l‟expression d‟une opinion par les auditeurs sur cette même évaluation. Le contrôle interne a été défini au niveau de la norme d‟audit No. 5, ayant abrogé et remplacé la norme No. 216, comme étant un processus mis en place par, ou sous, la responsabilité de la direction, les principaux responsables, et impacté par le conseil d‟administration, le management et le personnel, et qui a pour finalité de donner une assurance raisonnable quant à la fiabilité du reporting financier et le déroulement des conditions de sa préparation. Il englobe toutes les règles et procédures permettant de : S‟assurer de l‟exhaustivité des enregistrements comptables et de leur représentation fidèle des transactions et des mouvements ayant eu lieu sur les actifs de l‟entreprise ; Fournir une assurance raisonnable que la totalité des transactions de l‟entreprise ont été traduites de façon fidèle au niveau des états financiers et que ces mêmes transactions ont été autorisées et approuvées par la direction, et : Fournir une assurance raisonnable quant à la prévention et la détection en temps opportun des acquisitions, utilisations et cessions non autorisées et qui ont un impact sur les états financiers de l‟entreprise. D. Définition de l’Autorité des Marchés Financiers (AMF) L'Autorité des marchés financiers (AMF) est l'autorité française de régulation des marchés financiers. Elle a été instaurée par la loi n°2003-706 du 1er août 2003 complétée par le décret n°2003-1109 du 21 novembre 2003 (modifié par le décret n°2005-131 du 14 février 2005). L‟AMF est venu se substituer aux autorités existantes préalablement : Elle est issue de la fusion de la Commission des opérations de bourse (COB), du Conseil des marchés financiers (CMF) et du Conseil de discipline de la gestion financière (CDGF). 16 Auditing standard No. 2 – An Audit of Internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements ayant vu le jour le 09/03/204, abrogée et remplacée en date du 12/07/2007 par Auditing Standard No. 5 – An Audit of Internal Control Over Financial ReportingThat Is Integrated with An Audit of Financial Statements 15 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 15 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB l‟AMF, dans sa publication : « Le dispositif de Contrôle Interne : Cadre de référence17 », a défini le contrôle interne de la manière suivante: « le contrôle interne est l‟ensemble des sécurités contribuant à la maîtrise de l‟entreprise. Il a pour but d‟un côté d‟assurer la protection, la sauvegarde du patrimoine et la qualité de l‟information, de l‟autre l‟application des instructions de la direction et favoriser l‟amélioration des performances. Il se manifeste par l‟organisation, les méthodes et les procédures de chacune des activités de l‟entreprise, pour maintenir la pérennité de celle-ci » Vers une définition générale du contrôle interne : Il ressort des définitions précitées, que le contrôle interne est un système ou processus ; ensemble de procédures et de sécurités; qui sont mises en place par les diverses parties prenantes de l‟entreprise et par les diverses hiérarchies, telle une culture, et qui touchent la totalité des activités d‟une entreprise, qui fonctionnent efficacement et de façon efficiente, afin de permettre à l‟entreprise d‟atteindre ses objectifs, tout en lui permettant de protéger ses avoirs et en identifiant et maitrisant les risques inhérents à la réalisation de ses objectifs stratégiques, de lui permettre de se conformer aux obligations légales et réglementaires dont elle est sujette, et de produire une information financière conforme à la réalité économique, raisonnablement exempte d‟erreurs et de manipulations. Un système de contrôle interne qui fonctionne bien, est un système qui fonctionne de façon efficace et efficiente: L‟efficience nous amène à l‟une des hypothèses sous-jacentes à la publication de l‟information financière, à savoir l‟avantage/coût. Un contrôle interne efficient est, par suite, un système dont la mise en place entraîne des avantages, tel que les coûts de mise en place engagés auparavant ne sont plus ressentis. 17 Dans le cadre des obligations prévues par le code de commerce pour les sociétés faisant appel public à l‟épargne, l‟AMF a publié en 2006 un cadre de référence qui a fait l‟objet d‟une recommandation de l‟AMF le 22 janvier 2007 et sera applicable pour les exercices ouverts à compter du 1er janvier 2007. Ce cadre de référence sur le contrôle interne prévoit que "chaque société est responsable de son organisation propre et donc de son contrôle interne" et que le cadre de référence "n‟a pas vocation à être imposé aux sociétés" mais à être utilisé par celles-ci "pour superviser ou, le cas échéant, développer leur dispositif de contrôle interne, sans cependant constituer des directives sur la façon de concevoir leur organisation". 16 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 16 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB L‟efficacité a trait au bon fonctionnement du système. Un système qui fonctionne de façon efficace, est un système fonctionnant correctement et de façon pertinente. Toutefois, l‟efficacité ne devrait pas être considérée comme une notion absolue. Un système qui fonctionne, ne veut en aucun cas dire que c‟est un système où il n y‟a pas d‟écarts de conformité, mais c‟est un système où les écarts, s‟ils existent, sont non significatifs. Ceci veut dire qu‟un système qui fonctionne, c‟est un système qui permet de déceler les écarts et les fraudes importantes. Le système de contrôle interne ainsi mis en place, permet de fournir une assurance raisonnable quant à son bon fonctionnement. Cette assurance, ne peut en aucun cas être absolue, du fait du risque inhérent au contrôle interne provenant du jugement humain y intervenant d‟une part, et de l‟arbitrage avantage/cout, découlant de sa mise en place, d‟autre part. Paragraphe 3 : Définition du contrôle interne à l’égard de l’information financière Le système de contrôle interne à l‟égard de l‟information financière est défini comme étant un processus, conçu par le chef de la direction et le chef des finances ou par des personnes exerçant des fonctions analogues, ou sous leur supervision, et mis en œuvre par le conseil d'administration, la direction ou d'autres employés, pour fournir une assurance raisonnable que l'information financière est fiable et que les états financiers ont été établis, aux fins de la publication de l'information financière, conformément aux principes et normes comptables y compris les politiques et procédures qui : a) concernent la tenue de dossiers suffisamment détaillés qui donnent une image fidèle et qui reflètent la réalité des opérations et des cessions d'actifs de l'entreprise; b) fournissent une assurance raisonnable que les opérations sont enregistrées correctement pour établir les états financiers conformément aux normes et principes comptables admis et que les encaissements et décaissements de l‟entreprise ne sont faits qu'avec l'autorisation de la direction et du conseil d'administration; c) fournissent une assurance raisonnable que toute acquisition, utilisation ou cession non autorisée des actifs de l'émetteur qui pourrait avoir une incidence importante sur les états financiers est soit interdite, soit détectée à temps;18 18 PCAOB Audit standard # 5 / Appendix A : Definition 17 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 17 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Il s‟agit donc ici, d‟opérer une distinction entre le contrôle interne d‟une société en général et le contrôle interne relatif à l‟élaboration et au traitement de l‟information comptable et financière d‟autre part. Le contrôle interne à l‟égard de l‟information financière est donc le processus de contrôle interne mis en place pour assurer le bon fonctionnement de la seule fonction financière et comptable au sein de l‟entreprise. Ce système de contrôle interne a pour finalité d‟assurer la fiabilité de l‟information financière publiée et sa conformité à la réalité économique de la totalité des transactions ayant eu lieu. Il s‟agit donc, d‟une des composantes du système de contrôle interne d‟une entreprise, et même sa principale composante, qui a pour objectif de concourir à la production d‟une information fiable, en conformité à la réalité économique, d‟une part, et aux lois et règlements d‟autres part . Le contrôle interne à l‟égard de l‟information financière, concentre ainsi, son champ d‟application sur la seule fonction financière et comptable, alors que le système comptable des entreprises Tunisiennes semble consacrer le contrôle interne en sa globalité, c‟est à dire le contrôle interne touchant la totalité des activités de l‟entreprise et non de sa seule fonction comptable et financière. A l‟instar du contrôle interne de l‟entreprise, le contrôle interne comptable et financier ne peut fournir qu‟une assurance raisonnable quant à la réalisation de ses objectifs. En effet, aussi bien conçu et structuré soit-il, le contrôle interne comptable et financier ne peut fournir une garantie absolue, vu les limites inhérentes à la fonction comptable et financière, dues à la part importante du jugement d‟une part, et des dysfonctionnements pouvant y survenir d‟autre part, et ce en dépit de la volonté de l‟entreprise et des responsables chargés de sa mise en place. Section 2 : Objectifs suivi par le contrôle interne Les objectifs suivis par le contrôle interne se détaillent comme suit : - Fiabilisation des données 18 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 18 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB - Prévention et sauvegarde du patrimoine - Optimisation des ressources - Prévention et détection des erreurs et des fraudes Ces objectifs ont été repris par la totalité des autorités législatives aussi bien en Tunisie qu‟à l‟échelle internationale. Ces objectifs peuvent être regroupés comme suit : Objectifs opérationnels : Ces objectifs ont trait à l‟optimisation des ressources et à l‟utilisation efficace et efficiente de ces dernières. Objectifs d‟information : Il s‟agit des objectifs de fiabilité des communications financières en interne et celles destinées au public, ainsi que la détection des erreurs qui peuvent s‟y insérer. Objectifs de conformité : Il s‟agit de la conformité aux lois et règlements applicables et par suite à la prévention et détection d‟éventuelles fraudes. Les objectifs opérationnels de contrôle interne concernent l'efficacité et l'efficience de l‟entreprise dans l'utilisation de ses actifs, et ses autres ressources, qu‟ils soient corporels ou incorporels, ainsi que dans sa protection en cas de pertes. L‟efficacité a trait à une vision unique du personnel qui œuvrerait avec droiture afin de réaliser les objectifs fixés de façon efficiente ; C‟est à dire sans occasionner de coûts imprévus, ou excessifs, ni privilégier des intérêts, autres, que ceux de l'établissement. L‟efficacité n‟est pas, toutefois, à portée absolue, car un système qui fonctionne, ne veut en aucun cas dire, que c‟est un système où il n y‟a pas d‟écarts de conformité, mais c‟est un système où les écarts s‟ils existent, seraient non significatifs. Ceci veut dire qu‟un système qui fonctionne permettrait de déceler les écarts et les fraudes importantes et ainsi les objectifs de conformité suivis. Les objectifs de conformité garantissent que toute l'activité est conduite en conformité avec les lois ou réglementations et exigences prudentielles applicables, ainsi qu'avec les politiques 19 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 19 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB et procédures internes. Cet objectif doit être satisfait pour préserver les droits et la réputation de l‟entreprise. L‟entreprise est appelée à inventorier la totalité de ces lois et règlements, à leur mise à jour, à les insérer dans ses procédures internes et à en informer et former ses employés. Les objectifs d'information portent sur la préparation de rapports fiables et aussi récents que possible, indispensables à la prise de décision au sein de l‟entreprise. La fiabilité est l‟une des caractéristiques qualitative requise de l‟information financière. Les critères constituant les composantes du concept de fiabilité sont essentiellement la représentation fidèle, la neutralité et la vérifiabilité19. Ces objectifs couvrent la totalité des communications financières et autres, qu‟elles soient destinées aux autorités gouvernementales, ou à d'autres usages, externes ou internes. Les données reçues par la direction, le conseil d'administration, les actionnaires et les autorités de contrôle devraient être d'une qualité et d'une intégrité, suffisantes, pour que leurs bénéficiaires puissent s'y référer pour fonder leurs décisions. Section 3 : La responsabilité des différents intervenants en matière de contrôle interne Après avoir défini le contrôle interne et les objectifs provenant de sa mise en place, nous allons à ce niveau définir les responsabilités des différents intervenants en la matière Paragraphe 1 : Responsabilité pour le maintien d’un bon système de contrôle interne Tel que défini auparavant, le contrôle interne est, donc, un système ou processus, ou encore, ensemble de procédures et de sécurités; qui sont mises en place par les diverses parties 19 Décret n° 96-2459 du 30 décembre 1996, portant approbation du cadre conceptuel de la Comptabilité / Paragraphe 25 à 28 : La notion de fiabilité, se rapporte à la préparation de documents établis sur une base sincère à partir de principes et règles comptables exhaustifs et bien définis. Pour se faire elle doit représenter fidèlement à savoir correspondre ou concorder avec la réalité des événements et leurs traductions dans les communications de l‟entreprise, être neutre sans parti pris, et vérifiable qui repose sur des données probantes et sur des évaluations dont les méthodes sont divulguées avec l'information elle-même. 20 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 20 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB prenantes de l‟entreprise et par les diverses hiérarchies, qui touchent la totalité de ses activités et qui fonctionnent efficacement et de façon efficiente. Le contrôle interne donc, fait intervenir la totalité des parties prenantes au sein d‟une entreprise, et à divers échelons, qu‟ils soient le conseil d‟administration, les dirigeants ou le personnel. Ces organes, internes à l‟entreprise, ont à leur charge la responsabilité de sa mise en place et de veille sur son bon fonctionnement. Mais le contrôle interne ne fait pas intervenir que des organes internes ; En effet, les lois, et notamment les lois de sécurités financières, que ça soit en Tunisie ou à l‟étranger, ont conféré un rôle très important en la matière pour les auditeurs légaux : Ces derniers sont appelés à en attester et certifier le bon fonctionnement. Dans ce qui suit, nous allons présenter les responsabilités des directions d‟une part, et des organes de contrôle, internes et externes, d‟autre part, dans l‟implémentation et le maintien d‟un bon système de contrôle interne. Paragraphe 2 : La responsabilité de la direction La direction est le pilier, et le garant de la mise en place d‟un système de contrôle interne. Selon le code des sociétés commerciales, la direction d‟une entreprise bénéficie « des pouvoirs les plus étendus pour agir en toutes circonstances au nom de la société …20» Il s‟en suit que, la direction bénéficie en vertu des pouvoirs qui lui sont conférés par le conseil d‟administration, des pouvoirs les plus étendus pour mettre en œuvre les stratégies et politiques approuvées par le conseil, permettant d‟atteindre les objectifs fixés. Il en découle donc, que la direction est responsable de la mise en place des politiques de contrôle interne appropriées et de s‟assurer de leurs bons fonctionnement. La direction générale, responsable de la gestion quotidienne de l‟entreprise et la définition de sa structure organisationnelle, est chargée de définir, d'impulser et de surveiller le dispositif 20 Article 211 de la loi 2000-93 du 3 Novembre 2000 portant promulgation du code des sociétés commerciales 21 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 21 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB de contrôle interne, le mieux adapté qui soit, à la situation et aux activités de l‟entreprise, qui est apte à déceler ses dysfonctionnements, ses insuffisances et les difficultés de sa mise en application, et qui veille à l'engagement des actions correctives, s‟il y a lieu de le faire. La direction est donc le seul garant de la discipline et de l‟organisation au sein de l‟entreprise. Elle est responsable de véhiculer ces éléments au sein d‟elle et ainsi au sein des ressources humaines dont elle dispose. Ces éléments constituent l‟environnement de contrôle de l‟entreprise21. La direction définit la structure de l‟entreprise, attribue les pouvoirs et les restreints dans le but de mener à bien ses actions et atteindre ses objectifs. Il s‟en suit, qu‟elle est la seule garante de la mise en place d‟un bon système de contrôle interne. Ce rôle a été consacré par le législateur tunisien au niveau de plusieurs lois. Les termes de la loi renforçant les sécurités financières. combinée avec les lois 94-117 du 14 novembre 1994 et la loi 2005-65 du 27 juillet 2005 ayant modifié et complété le code des sociétés commerciales22, ont mis à la charge des organes de direction, l‟obligation d‟insérer « des éléments sur le contrôle interne » au niveau du rapport de gestion23, et de communiquer aux commissaires aux comptes « une déclaration annuelle…pour attester qu‟ils ont fourni les diligences nécessaires pour garantir l‟exhaustivité et la conformité des états financiers à la législation comptable…» ; Le texte de cette déclaration, défini par l‟arrêté du ministre des finances du 17 Juin 2006, inclut une attestation, sur le bon fonctionnement du système de contrôle interne de l‟entreprise.24 La déclaration précitée, est signée par les organes de direction et par les chargés des affaires financières et comptables. 21 Norme comptable générale / Partie 2 : Dispositions relatives à l‟organisation comptable / Paragraphe 9 : Environnement de contrôle 22 Article 13 quinter du code des sociétés commerciales 23 Article 3 nouveau de la loi n 94-117 du 14 Novembre 1994 24 Le paragraphe 2 de la lettre d‟affirmation annexe a l‟arrêté stipule « Nous n‟avons connaissance d‟aucune irrégularités concernant…la définition et le bon fonctionnement des systèmes comptables et de contrôle interne… » 22 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 22 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Paragraphe 3 : La responsabilité des organes de contrôle A présent nous allons présenter les limites de la responsabilité des organes de vérification internes et externes en matière de contrôle interne. A. Les organes de vérification internes : Les comités d’audit Tant à l‟échelle nationale, qu‟internationale, les comités d‟audit sont considérés comme étant les garants privilégiés des mécanismes permettant d‟améliorer le gouvernement des entreprises, et de s'assurer de la pertinence et de la permanence des méthodes comptables adoptées pour l'établissement des comptes sociaux, et de vérifier que les procédures internes de collecte et de contrôle des informations garantissent celles-ci. Ceci a pour effet, de renforcer le contrôle interne et remonter les défaillances au conseil d‟administration le cas échéant. De même, responsable du pilotage de la procédure de sélection des commissaires aux comptes, ainsi que de leur rémunération25, le comité d‟audit a un rôle prépondérant dans la garantie de la réalisation d‟un contrôle externe de qualité. En Tunisie et selon le code des sociétés commerciales, « le comité permanent d'audit veille au respect par la société de la mise en place de systèmes de contrôle interne performant, de nature à promouvoir l'efficience, l'efficacité, la protection des actifs de la société, la fiabilité de l'information financière et le respect des dispositions légales et réglementaires. Le comité assure le suivi des travaux des organes de contrôle de la société, propose la nomination du ou des commissaires aux comptes et agrée la désignation des auditeurs internes26» Le comité d‟audit a donc un rôle de contrôle important et central, qui permet la mise en place d‟un bon système de contrôle interne fonctionnant de la façon escomptée. 25 Les honoraires des commissaires aux comptes en Tunisie sont prévus par un barème et sont par suite plafonnés 26 Article 256 bis du code des sociétés commerciales ajouté par la loi 2005-96 du 18 Octobre 2005 relative à la loi renforçant les sécurités financières. 23 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 23 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Dans le cadre de ses attributions, le comité d‟audit est assisté, d‟une part, par l‟audit interne, en tant qu'élément interne majeur de la surveillance continue du système de contrôle interne, et également les auditeurs externes pour qui, il est l'interlocuteur privilégié. B. Les organes de vérification externes : Les auditeurs externes Le rôle des auditeurs externes en matière de contrôle interne a été consacré en Tunisie à plusieurs niveaux, que ce soit par le Code des Sociétés Commerciales et les lois subséquentes l‟ayant modifiée, la loi renforçant les sécurités financières ou encore les normes d‟exercice professionnel régissant la profession de l‟audit légal, à savoir les normes internationales d‟audit de l‟IFAC. L‟article 266 alinéa 2 nouveau la loi 2005-65 du 27 Juillet 2005 ayant modifiée et complétée le code des sociétés commerciales, a mis à la charge des commissaires aux comptes des sociétés faisant appel public à l‟épargne l‟obligation de revue périodique des systèmes de contrôle interne27, Les termes de la loi renforçant les sécurités financières, ont accentué la teneur de cette obligation, en mettant à la charge des commissaires aux comptes l‟obligation de revue périodique des systèmes de contrôle interne28, Ladite revue doit être couronnée par l‟insertion d‟un paragraphe portant une appréciation du contrôle interne, au niveau du rapport général du commissaire aux comptes, pour ce qui est des sociétés faisant appel public à l‟épargne. De leur part, les normes techniques de l‟IFAC, adoptées en tant que normes techniques régissant l‟exercice de l‟audit légal en Tunisie29, mettent le contrôle interne au centre des préoccupations de l‟auditeur légal, dans le cours de la réalisation de sa mission d‟audit. 27 L‟article 266 au niveau de son alinéa 2 (nouveau) stipule que : « Le commissaire aux comptes certifie la sincérité et la régularité des comptes annuels de la société…Il vérifie périodiquement l‟efficacité du système de contrôle interne » 28 L‟article 266 au niveau de son alinéa 2 (nouveau) stipule que : « Le commissaire aux comptes certifie la sincérité et la régularité des comptes annuels de la société…Il vérifie périodiquement l‟efficacité du système de contrôle interne » 29 le Conseil de l'Ordre des experts-comptables a adopté les normes ISA de l'IFAC, d'application obligatoire à partir de l'année 2000 comme étant le cadre de référence pour l‟exercice des missions d‟audit en Tunisie suite 24 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 24 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Ces normes, définissent les principes fondamentaux concernant la prise de connaissance du système de contrôle interne et des composantes du risque d‟audit, notamment le risque de contrôle, et précisent leurs modalités d‟application. Dans le cadre de sa mission d‟audit, le commissaire aux comptes organise ses travaux sur le contrôle interne dans le but de la certification des comptes. Pour se faire, le commissaire aux comptes définit une stratégie d‟audit adaptée permettant de produire une opinion de qualité. Dans ce cadre d‟idée, l‟évaluation du contrôle interne, n‟est pas une fin en soi, mais une composante principale permettant de délimiter le champ des travaux à effectuer par l‟auditeur légal, et de mettre en place une stratégie structurée lui permettant de certifier et de formuler, de façon claire, son opinion d‟audit. aux insuffisances relevées au niveau des normes que l‟OECT avait publié et rendu obligatoire pour les professionnels au cours de la période 1984-1999. 25 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 25 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Chapitre 2 : Le contexte réglementaire évolutif en matière de contrôle interne Les lois de sécurités financières, ont pour finalité d‟atteindre l‟objectif ultime de rétablissement de la confiance des investisseurs, et autres bailleurs de fonds, suite aux nombreuses défaillances financières enregistrées dans divers horizons. Ces lois, qui ont couvert, par ailleurs, une multitude de thèmes, ont été considérées comme les textes législatifs les plus importants, en matière de gouvernance et de publications financières. Bien que certains thèmes de ces lois ne sont pas directement liés à l‟objet du présent mémoire, nous passerons en revue, dans ce qui suit, l‟évolution enregistrée au niveau de l‟environnement légal ayant accompagné l‟apparition de ces nouvelles obligations en matière de contrôle interne, en Tunisie et à l‟étranger, et ce aussi bien pour les organes de direction que pour les auditeurs. Section 1 : Les obligations inhérentes au contrôle interne et leur évolution Dans ce qui suit, nous allons présenter la portée des nouvelles obligations inhérentes au contrôle interne, pour les directions et les organes de contrôles, et qui ont été introduites par les lois des sécurités financières, en Tunisie et à l‟échelle internationale. Sous section 1 : Les obligations à la charge des organes de direction De nouvelles obligations inhérentes au contrôle interne ont été introduites par les lois des sécurités financières, aussi bien en Tunisie qu‟à l‟étranger. Dans ce qui suit, nous allons présenter, la portée de ces obligations pour ce qui est des organes de direction. Paragraphe 1 : Les obligations à l’échelle internationale Dans ce qui suit, nous allons présenter, l‟étendue de ces obligations au niveau des contextes Américain et Français. 26 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 26 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB A. Aux USA La survenance de plusieurs scandales financiers outre atlantique, a engendré de vives réactions, visant à terme, à réinstaurer un climat de confiance au sein des marchés. La réaction du législateur Américain a été vive en donnant naissance à une loi renforçant la gouvernance et le contrôle interne, à savoir la loi Sarbanes-Oxley30, loi qui reste à ce jour, la loi la plus importante en la matière. La loi Américaine, s‟est focalisée sur 3 axes majeurs, à savoir, l‟exactitude et l‟accessibilité de l‟information financière, la responsabilité des gestionnaires et l‟indépendance des organes vérificateurs31. La loi Américaine est venue accentuer les obligations en matière de bonne gouvernance, en rendant obligatoire des pratiques considérées jusque là, comme bonnes mais n‟ayant pas de force de loi, et en insérant un volet pénal pour sanctionner le non respect de ces obligations. C‟est ainsi que la loi SOX est venue renforcer le rôle conféré aux organes de contrôle au sein des entreprises (Comités d‟audit), obligeant celles faisant appel public à l‟épargne aux Etats Unis de se prémunir de tels corps. Elle a en outre, consacré l‟indépendance des membres le formant, et l‟a rendu le seul vis-à-vis des auditeurs externes. D‟autre part, SOX a contribué à l‟amélioration de la qualité des reportings financiers, exigeant une information détaillée et plus complète sur les engagements hors bilan d‟une part, et une information en pro-forma si nécessaire, d‟autre part. Les entreprises, sont aussi obligées de divulguer les ajustements comptables identifiés par les auditeurs et informer sur les richesses des dirigeants Mais surtout, des mesures de certification et d‟attestation personnelle des reportings financiers et des systèmes de contrôle interne ont été mises à la charge des organes de 30 Sarbanes-Oxley Act ayant vu le jour le 23 Juillet 2002 Loi au nom de ces 2 auteurs, le sénateur Sarbanes et le membre de la chambre des députés Oxley. 31 Le rôle des organes de vérification externe sera développé au niveau de la section 2.2.2 Les obligations à la charge des auditeurs et l‟élargissement de leurs missions 27 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 27 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB direction. Il s‟agit là, des mesures les plus importantes qui ont accrues l‟importance donnée aux systèmes de contrôle interne. Cet accroissement a été consacré par l‟insertion d‟une obligation de description et d‟auto-évaluation par les organes de direction de ce dispositif, et l‟exigence d‟émettre un rapport à ce sujet. Ledit rapport porte, en outre, un engagement, de la part du management, sur la mise en place et la bonne tenue de procédures de contrôle interne adéquates, pour permettre le bon fonctionnement de l‟entreprise (Le management en la personne des CEO et des CFO sont responsables du contrôle interne au sein de l‟entreprise). En effet, c‟est au niveau de ses sections 30232 et 40433 que SOX a mis l‟accent sur la qualité du contrôle interne au sein de l‟entreprise. L‟article 302 portant sur la certification des états financiers par les dirigeants34, a obligé les dirigeants à attester qu‟ils : Sont responsables de la mise en place et du maintien du contrôle interne ; Ont conçu ce dispositif de telle sorte que toute information significative concernant l‟entreprise est connue par eux Ont évalué l‟efficacité du contrôle interne à moins de 90 jours de la publication du rapport ; Ont présenté dans leur rapport leurs conclusions sur le dispositif de contrôle interne suite à son évaluation et notifié les auditeurs et le comité d‟audit des déficiences et fraudes relevés ainsi que tous les changements qui y étaient intervenus. L‟article 404 pour sa part, traitant « L‟évaluation du contrôle interne », exige que chaque rapport annuel contienne un rapport sur le contrôle interne qui : Confirme que la direction est responsable de la mise en place et de la gestion des procédures et autres structures de contrôle interne pour la communication financière ; 32 SOX Act / Title 3 : Corporate responsibility for financial reports 33 SOX Act / Title 4 : Management assesment of internal controls 34 Le CEO et le CFO doivent préparer une déclaration, accompagnant le rapport des auditeurs, qui certifie la validité des états financiers et des indicateurs présentés en hors bilan contenues dans le rapport annuel. La déclaration doit aussi signaler que les états financiers présentent de manière sincère, dans tous leurs aspects significatifs, la situation financière et les résultats de l‟activité de l‟entreprise. 28 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 28 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Contienne une évaluation de l‟efficacité de ce qui est mis en place à la date de clôture des états financiers35. Notons que la loi Américaine a limité la notion du contrôle interne à son seul volet financier et que la SEC a reconnu le référentiel COSO, dont nous développerons les composantes plus tard, come étant le référentiel permettant d‟atteindre les obligations qu‟elle a édicté. Enfin la loi SOX, a instauré un cadre légal plus contraignant permettant de sanctionner lourdement les contrevenants en la matière, accroissant, ainsi, les responsabilités et prévoyant des peines pénales aussi bien pour les organes de direction que pour les organes de vérification. B. En France Dans le même contexte de l‟adoption de la loi Sarbanes-Oxley aux États-Unis, une loi de sécurités financières a été adoptée en France36, avec pour ambition la restauration de la confiance sur les marchés financiers, ébranlés par la crise ouverte née des scandales financiers aux États-Unis. Les différentes dispositions, de la loi Française, s‟articulent autour de trois axes majeurs: La modernisation des autorités de contrôle avec la création de l‟Autorité des marchés financiers ; Le renforcement de la sécurité des épargnants et, L‟amélioration du contrôle des comptes des entreprises. 35 L‟article 404 a prévu également que les auditeurs évaluent, dans leur rapport, l‟évaluation du contrôle interne faite par les dirigeants et insèrent leurs conclusions sur cette dernière au niveau de leur rapport. Cette partie sera développée au niveau de la section 2.2.2 Les obligations à la charge des auditeurs et l‟élargissement de leurs missions 36 Loi de sécurité financière n° 2003-706 du 1er août 2003 (JO du 2 août 2003)12 29 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 29 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB La loi Française, a porté une refonte des organes de contrôle du secteur financier français créant ainsi deux grandes autorités de contrôle, dotées de pouvoirs forts et étendus37. Elle a mis en place des mesures pour sécuriser les épargnants et les assurés 38. De plus, elle a surtout mis en place un système de renforcement des sécurités financières, amenant, les dirigeants d‟entreprise à avoir un regard nouveau sur le contrôle interne. Ces nouvelles dispositions, rendent obligatoire à tout président de toute société anonyme (à conseil d‟administration ou à conseil de surveillance), cotée ou non cotée, à partir des exercices ouverts à compter du 1er janvier 2003, de présenter un rapport joint au rapport de gestion sur les conditions de préparation et d‟organisation des travaux du conseil, ainsi que sur les procédures de contrôle interne mises en place par la société39. Ce rapport fait en outre, l‟objet d‟une évaluation par le commissaire aux comptes. Ce dernier doit joindre à son rapport général, un rapport40 portant sur les procédures de contrôle interne relatives à l‟élaboration et au traitement de l‟information comptable et financière. Concrètement, le fait de joindre le rapport sur le contrôle interne au rapport de gestion, offre l‟avantage de rendre public le rapport joint, puisqu‟il sera déposé au greffe comme le rapport de gestion. Notons enfin qu‟une distinction est à opérer entre le contrôle interne d‟une société en général et le contrôle interne relatif à l‟élaboration et au traitement de l‟information comptable et financière. La LSF se distingue dès lors de la loi SOX qui s‟intéresse au seul volet comptable et financier du contrôle interne. L‟étendue et la portée de la notion du contrôle interne en France, n‟a pas été clairement circonscrite par la LSF. A ce même titre aucun cadre de référence n‟a été édictée par la loi 37 L‟autorité des marchés financiers et la commission de contrôle des assurances, des mutuelles et des institutions de prévoyance ont vu le jour en lieu et place des organes de contrôles existants auparavant 38 Titre II de la loi de sécurités financières Francise 39 Titre III « Modernisation du contrôle légal des comptes et transparence », chapitre II « De la transparence dans les entreprises », l‟article 117 40 Ce rapport, ainsi que son contenu sera présenté au niveau de la sous section 2. Les obligations à la charge des auditeurs et l‟élargissement de leurs missions. 30 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 30 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB pour faire face à ces nouvelles obligations. Dés lors, l‟AMF, l‟autorité des marchés financiers, telle que redéfinie par la loi de sécurités financières Française, a alors demandé à un Groupe de travail nommé Groupe de la Place, d'élaborer un cadre de référence pour le contrôle interne. Ce groupe de travail, a publié en mai 2006 un cadre de référence, dont l‟utilisation a été recommandée à l‟ensemble des sociétés faisant appel public à l‟épargne en France. Ce cadre comprend les principes généraux portant sur l‟ensemble des processus de contrôle interne de la société. Il a été complété en décembre 2006 par un guide d‟application pour les procédures de contrôle interne relatives à l‟élaboration et au traitement de l‟information financière et comptable publiée41. Paragraphe 2 : Les obligations en Tunisie En Tunisie, la loi 2005-96 du 18 Octobre 2005, relative au renforcement de la sécurité des relations financières, a mis en place à la charge des organes de direction42 les obligations suivantes : - Mise en place et renforcement de l‟indépendance des organes de contrôle au sein des entreprises (Comités d‟audit). La loi oblige, désormais, les sociétés faisant appel public à l‟épargne, les sociétés mères des groupes Tunisiens dont le total bilan dépasse les cinquante Millions de Dinars43, et les sociétés qui remplissent les limites chiffrées fixées par décret relatives au total du bilan44 et au total de leurs engagements auprès des établissements de crédit et de l'en-cours de leurs émissions obligataires45, de nommer un comité d‟audit. Ledit comité, aura, principalement, à sa charge de veiller « au respect par la société de la mise en place de système de contrôle interne performant… » 41 Le cadre de référence de l4AMF est consultable sur le site de l‟AMF www.amf-france.org/documents/general/7602_1.pdf) 42 Ces obligations ont été prévues au niveau du Titre 2 : Renforcement de la politique de divulgation financière des sociétés et de leur bonne gouvernance 43 Décret n° 2006-1546 du 6 juin 2006 44 Le décret n° 2006-1546 du 6 juin 2006 a fixé cette limite à cinquante millions de dinars (50 MDT) 45 Le décret n° 2006-1546 du 6 juin 2006 a fixé cette limite à vingt cinq millions de dinars (25 MDT) 31 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 31 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Le comité d‟audit est composé de 3 membres au moins désignés par le conseil d‟administration, ou le conseil de surveillance, parmi leurs membres. Ne peut être membre du comité permanent d'audit, le président-directeur général ou le directeur général ou le directeur général adjoint, afin de garantir l‟indépendance de ce corps, Le législateur a mis l‟accent sur le maintien d‟un bon système de contrôle interne au sein des entreprises, et a consacré le rôle central du comité d‟audit dans cette tache. - Renforcement de l‟obligation de dépôt, de communication, de divulgation et de publication des informations financières : Toute personne morale, ainsi que toute société mère46, est tenue de déposer ses états financiers approuvés ainsi que la liste de son actionnariat au registre de commerce et ce au plus tard dans sept mois de la date de clôture47. Bien que cette mesure, soit de nature à améliorer la qualité de l‟information financière et sa disponibilité, il nous parait opportun, à l‟instar des législations Américaine et française, d‟exiger le dépôt d‟autres documents qui amélioreraient la lecture des états financiers et qui donneraient une information efficiente à ses lecteurs, à savoir le rapport de gestion et le rapport sur le contrôle interne. Ces mêmes sociétés sont obligées, au même titre, d‟adresser leurs états financiers, leurs rapport sur la gestion de l‟exercice ainsi que les rapports de leurs commissaires aux comptes au Conseil du Marché Financier ainsi qu‟à la Bourse des Valeurs Mobilières de Tunisie, au stade de projet et après leurs approbation par l‟AGO de leurs actionnariats. Notons à ce niveau, que le rapport de gestion se doit d‟inclure «des éléments sur le contrôle interne ». 46 L‟obligation en question s‟applique aux sociétés mères tel que définies à l‟article 461 du code des sociétés commerciales 47 Le dépôt devrait être effectué dans un mois de l‟approbation des états financiers par l‟assemblée générale des actionnaires réunis de façon ordinaire et dans tous les cas au plus tard dans sept mois de la date de clôture. Il est à noter aussi que la loi a prévu que d‟autres documents peuvent être ajoutés sur décision du ministère de la justice. A ce jour aucun arrêté n‟a prévu d‟autres documents à annexer aux états financiers et qui devraient par suite être déposés au registre de commerce 32 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 32 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB - Aussi, la consécration du rôle important du contrôle interne dans une optique de bonne gouvernance, a poussé le législateur à accroitre l‟importance du rôle donné au système de contrôle interne. C‟est ainsi que les termes de la loi renforçant les sécurités financières combinée avec les lois 94-117 du 14 novembre 1994 et la loi 2005-65 du 27 juillet 2005 ayant modifié et complété le code des sociétés commerciales, ont mis à la charge des organes de direction l‟obligation d‟insérer « des éléments sur le contrôle interne » au niveau du rapport de gestion48, et de communiquer aux commissaires aux comptes « une déclaration annuelle…pour attester qu‟ils ont fourni les diligences nécessaires pour garantir l‟exhaustivité et la conformité des états financiers à la législation comptable…» ; Le texte de cette déclaration, paru par arrête du ministre des finances en date du 17 Juin 2006, inclut une attestation, similaire à celle prévue par le Sarbanes-oxley act, sur le bon fonctionnement du système de contrôle interne de l‟entreprise. 49 La déclaration précitée, est signée par les organes de direction et par les chargés des affaires financières et comptables. Bien que la loi ait voulu consacrer le contrôle interne, en tant que garant d‟une gouvernance seine, la loi est restée assez vague sur la divulgation nécessaire sur le contrôle interne, parlant d‟éléments à insérer au niveau du rapport de gestion ou à annexer à ce rapport. On se pose alors la question de savoir s‟il s‟agit d‟insérer une description sommaire, ou détaillée du contrôle interne de la société ? Ou de présenter une évaluation proprement dite de ce dernier ? Le texte présente à notre avis, une ambiguïté à ce niveau et aurait dû être plus explicite. Certes l‟évaluation proprement dite, est un exercice complexe, qui doit être effectué selon une démarche bien structurée, et nécessite, des préalables à mettre en 48 Article 3 nouveau de la loi n 94-117 du 14 Novembre 1994 49 Le paragraphe 2 de la lettre d‟affirmation annexe a l‟arrêté stipule « Nous n‟avons connaissance d‟aucune irrégularités concernant…la définition et le bon fonctionnement des systèmes comptables et de contrôle interne… » 33 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 33 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB œuvre, tel la définition d‟un cadre de référence permettant à la direction de formuler une telle évaluation. Toutefois, et hormis le secteur financier qui a défini un cadre sommaire pour les institutions financières en Tunisie50, aucun cadre n‟a été reconnu, come étant le cadre de référence permettant la bonne mise en place et l‟évaluation du contrôle interne d‟une entreprise. Ceci étant, l‟arrêté ayant exigé l‟engagement de la direction sur la mise en place d‟un bon système de contrôle interne, conforte l‟idée de l‟évaluation de ce dernier ; La question qui se pose alors, serait de savoir comment une direction peut-elle prouver qu‟elle a mis en place un bon système de contrôle interne si elle n‟arrive pas à démontrer les travaux qu‟elle a demandé, effectué et documenté en la matière ? Les obligations introduites par le législateur tunisien sont restées vagues et peu précises, en matière de divulgation sur le contrôle interne par les directions. En effet, ces obligations nécessitent des préalables à mettre en œuvre avant d‟exiger clairement une évaluation proprement dite de ce dernier. Une démarche s‟inscrivant dans une perspective dynamique pourrait être suivie et aboutirait à terme à une évaluation du contrôle interne. 50 Circulaire 2006-19 de la Banque Central Tunisienne ayant pour objet la mise en place par les établissements de crédit et les banques non résidentes d‟un système de contrôle interne et l‟institution d‟un comité permanent d‟audit interne 34 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 34 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Sous section 2 : Les obligations à la charge des auditeurs et l’élargissement de leurs missions A l‟instar des nouvelles obligations insérées par les lois de sécurités financières, et mises à la charge des organes de direction, de nouvelles mesures à la charge des auditeurs ont été prévus. A présent nous allons étudier la teneur de ces obligations. Paragraphe 1 : Les obligations à l’échelle internationale A. Aux USA A l‟instar des obligations apportées par SOX concernant les directions, la loi Américaine a apporté des nouveautés pour la profession de l‟audit aux USA. La loi Américaine a instauré les obligations suivantes : - Création d‟un organisme de surveillance de la profession des auditeurs et de l‟exercice de leur profession, à savoir le Public Company Accounting Oversight Board (PCAOB). Le PCAOB est un organisme, autonome51, à but non lucratif qui a pour objectif de contrôler les travaux effectués par les cabinets d‟audit en effectuant les contrôles qualité nécessaires et en réprimant, le cas échéant par la mise en place de sanctions disciplinaires, à l‟encontre de cabinets ne répondant pas aux obligations édictées par la profession d‟audit ainsi que les obligations insérées par SOX. En outre le PCAOB a été accrédité de légiférer pour améliorer la qualité de la profession d‟audit en mettant en place des normes relatives aux travaux d‟audit et aux contrôles qualité, et s‟assurer de l‟application de ces normes. Le PCAOB s‟est vu donc, attribuer un rôle allant à l‟encontre de l‟autorégulation caractérisant le système Américain. 51 Le PCAOB établit son propre budget de fonctionnement. Les cabinets d‟audit s‟enregistrent auprès du PCAOB et payent des redevances qui constituent les ressources financières de cet organisme 35 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 35 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB - Renforcement de l‟indépendance des auditeurs en délimitant les missions qu‟ils peuvent offrir et en rendant obligatoire leur rotation. Il s‟en est suivi que la superposition des missions d‟audit et des missions de conseil a été interdite52, et que l‟obtention de certaines missions est devenue tributaire de l‟approbation préalable du comité d‟audit. - Accroissement de la teneur des sanctions à l‟égard des auditeurs. A l‟instar de ce qui a été prévu pour les organes de directions, la loi a instauré ainsi, un cadre légal plus contraignant en levant la teneur des sanctions encourues par les auditeurs contrevenants. - Les auditeurs. Sont tenus, en outre, d‟émettre un rapport sur l‟évaluation du contrôle interne effectuée par les organes de direction53 et d‟insérer un paragraphe au niveau de leur rapport d‟audit sur le bon fonctionnement de ce dernier54. Cette obligation, est venue consacrer l‟importance du contrôle interne dans le maintien d‟une bonne gouvernance au sein de l‟entreprise et le rôle central conféré à l‟auditeur en tant que meilleur garant de celle ci. Bien que l‟évaluation du contrôle interne ne constitue pas une nouveauté en soi pour les auditeurs, de part leur mission d‟audit et la concomitance de l‟évaluation du contrôle interne dans celle ci, cette mesure constitue à notre sens un élargissement du champ d‟application de la mission de l‟auditeur. Désormais l‟auditeur n‟évalue plus le contrôle interne dans le cadre de son évaluation du risque d‟audit, mais évalue le contrôle interne proprement dit, ainsi que les états financiers qu‟il est appelé à certifier. Cette norme est venue encadrer le travail d'attestation des vérificateurs externes pour SOX-404 : Elle permet de délivrer une opinion quant à la question de savoir si l‟évaluation de la direction au sujet du contrôle interne donne une image fidèle et si la société a maintenu un contrôle interne efficace. 52 La section 201 de SOX définit les prestations prohibées pour un client audit 53 SOX Act / Section 404 54 Obligation insérée par l‟audit standard # 5 du PCAOB 36 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 36 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB La loi Américaine renforçant les sécurités financières, a certes délimité les missions qui peuvent être offerts par un auditeur, mais a accru les diligences à prévoir au cours d‟une mission d‟audit, engendrant l‟accroissement du volume horaire alloué aux missions d‟audit et par suite les honoraires des auditeurs aux USA. L‟attestation du contrôle interne, insérée par l‟article 404 de SOX, est un exercice complexe, nécessitant la mise en place de travaux étendus et structurés, et a nécessité la mise en place d‟une nouvelle norme d‟audit visant l‟atteinte du double objectif visé par la certification, à savoir l‟évaluation du contrôle interne, d‟une part, et l‟expression d‟une opinion d‟audit, d‟autre part. Cette norme a été élaborée par le PCAOB et s‟intitule : « Audit du contrôle interne à l‟égard de l‟information financière effectué conjointement avec un audit d‟états financiers55 ». Cette norme publiée56, modifiée par suite et puis abrogée57 et remplacée par la norme 5 s‟intitulant : « Audit du contrôle interne à l‟égard de l‟information financière intégré à un audit d‟états financiers » pour tenir compte, de la lourdeur de mise en place, de point de vue du volume horaire et des coûts qu‟elle a engendré, et respecter ainsi le rapport avantages/ coûts en découlant. Le contenu de cette norme sera développé au niveau du 2.3.2.2 Les normes d’audit du PCAOB B. En France A l‟instar de la loi Américaine, la loi Française a mis en place plusieurs obligations à la charge des auditeurs, qui ont pour finalité d‟accroitre la transparence de l‟information financière et d‟en améliorer la qualité. 55 An audit of internal control over financial reporting performed in conjunction with an audit of financial statements 56 Le standard # 2 a été publié le 9/3/2004 et approuvé par la SEC en date du 17/06/2004 pour devenir applicable à partir des arrêtés postérieurs à la date du 15/07/2005. 57 Le standard 2 a été abrogé et remplacé par le standard d‟audit # 5 en date du 25/07/2007, après approbation de la SEC et est rentré en vigueur pour les arrêtés postérieurs à la date du 15/11/2007. 37 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 37 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Les dispositions, ayant impacté les travaux des auditeurs ont été prévues au niveau du Titre 3 intitulé « Modernisation du contrôle légal des comptes et transparence » et touchent, principalement, les axes suivants : - Création du Haut Conseil du Commissariat aux Comptes (H3C)58, comme autorité habilitée à contrôler la profession et les professionnels, à garantir l‟indépendance et la discipline des auditeurs, ainsi que l‟autorité des commissaires aux comptes Français. La loi a, en outre, a octroyé une consécration législative pour la Compagnie Nationale des Commissaires aux Comptes, qui s‟est vu chargée, au même titre que le Haut Conseil du Commissariat aux Comptes, d‟assurer la surveillance de la profession et le respect de la déontologie et de l‟indépendance des commissaires aux comptes. - Séparation des missions d‟audit et de conseil par la délimitation des services à offrir aux clients audit et l‟interdiction d‟exercer des missions de conseil et des missions d‟audit pour un même client. Il s‟agit d‟une disposition garante de l‟indépendance des commissaires aux comptes. Elle prévient les conflits d‟intérêts pouvant provenir du cumul de ces deux types de services. Notons enfin, que le H3C a été appelé à mettre en place une norme périmètre qui délimitera la typologie des missions qu‟un commissaire aux compte pourrait cumuler avec sa mission de commissariat aux comptes. - La mise en place d‟un système de rotation obligatoire obligeant le remplacement obligatoire des commissaires aux comptes personnes physiques au-delà de 6 ans. - Accroissement de l‟importance donnée au rôle du commissaire aux comptes, sa crédibilité et par suite sa responsabilité. Désormais, le commissaire aux comptes assiste à toutes les réunions du conseil d‟administration ou du directoire et du conseil de surveillance, ainsi qu‟à toutes les assemblées générales des actionnaires. En contre partie, la loi a accru aussi, les sanctions qui peuvent être infligées à un commissaire aux comptes. 58 Article 100 de la loi de sécurités financières Française ; Le H3C a été mis en place par le décret 2003-1121 en date du 25/11/2003. Ses premiers membres ont été nommés par le même décret pour une période de 6 ans. 38 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 38 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB - Et surtout, la mise à la charge des commissaires aux comptes, de la totalité des sociétés anonymes Françaises, l‟obligation de présenter leurs observations sur le rapport du président59 au niveau d‟un rapport sur les procédures de contrôle interne et qui ont trait à l‟élaboration et au traitement de l‟information comptable et financière. Ledit rapport est annexé à leur rapport sur les comptes. La loi Française, a consacré, donc, le rôle central du contrôle interne dans la mise en place et le maintien d‟une bonne gouvernance au sein de l‟entreprise et couronner, aussi, le rôle conféré à l‟auditeur dans le maintien de celui-ci. Toutefois, il convient de relever à ce niveau, que la loi Française a été plus clémente que la loi Américaine ; En effet, alors que la loi Américaine exige une évaluation proprement dite du contrôle interne, la loi Française, s‟insère dans une optique de confirmation de la sincérité de l‟évaluation faite par le président et la concordance de son rapport avec la réalité de l‟entreprise. La CNCC, dans son avis technique, du 23 Mars 2004 au titre des bonnes pratiques professionnelles sur le 1er exercice d‟application des dispositions de l‟article 225-235 du code de commerce, a stipulé que « les observations formulées par le commissaire aux comptes dans son rapport, portent sur les informations et, le cas échéant, les déclarations, contenues dans le rapport du président, portant sur les procédures, de contrôle interne relatives à l‟élaboration et au traitement de l‟information comptable et financière, et concernent la sincérité des informations et déclarations. Les observations du commissaire aux comptes ne portent donc pas sur les procédures de contrôle interne en tant que telles ». Le commissaire aux comptes examine alors « la pertinence du processus d‟évaluation mis en place et des tests réalisés ». Bien que sur le fond les deux lois ont visé les mêmes résultats, il semblerait que les prises de positon du H3C et du CNCC aient favorisé un contrôle purement formel, relativisant la portée de cette loi. 59 Il s‟agit du président du conseil d‟administration ou du président du conseil de surveillance si la société opte pour une gestion à directoire et conseil de surveillance (Article 120 de la LSF Française) 39 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 39 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Notons enfin, que la loi Française, et au niveau du même article 120, a mis à la charge des commissaires aux comptes, l‟obligation de justification de leurs appréciations en insérant un paragraphe au niveau de leurs rapports d‟audit se rapportant aux appréciations prises, et concernant les éléments significatifs. Ce paragraphe est distinct de l‟opinion d‟audit, et le cas échéant, de la formulation d‟une réserve, et est présenté en post-opinion. Paragraphe 2: Les obligations en Tunisie En Tunisie, la loi 2005-96, relative au renforcement de la sécurité des relations financières, a inclus plusieurs dispositions ayant impacté l‟exercice de l‟audit légal. Ces dispositions se présentent comme suit : L‟instauration de la rotation des commissaires aux comptes - A partir du premier Janvier 2009, les mandats de commissariat aux comptes seront limités dans le temps. Désormais toute société soumise à l'obligation de désigner un commissaire aux comptes membre de l'OECT devra assurer la rotation de ses auditeurs. Cette mesure promulguée par l‟article 3 ayant modifié l‟article 13 bis du code des sociétés commerciales. Le nouvel article stipule que le nombre de mandats ne peut excéder les trois mandats, pour les commissaires aux comptes personnes physiques, et les cinq pour les sociétés ayant trois membres de l'OECT au moins comme associés, sous condition, de changer l‟équipe chargée du dossier une fois les 3 mandats passés (l'associé signataire et les collaborateurs chargés du dossier) - L‟instauration du Co-Commissariat aux comptes Le chapitre trois de la loi, intitulé « Renforcement du contrôle des comptes des sociétés » a prévu des mesures prévoyant l‟obligation de nommer deux commissaires aux comptes membres de l‟OECT pour les sociétés suivantes : Les institutions financières faisant appel public à l‟épargne, les sociétés d‟assurance multi branches, les sociétés tenues d'établir des états financiers consolidés60 ainsi que les sociétés dont le total des engagements auprès des 60 Le décret 2006-1546 du 06/06/2006 a prévu un total bilan au titre des comptes consolidés de plus que 100 Millions de Dinars 40 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 40 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB établissements de crédit et de l'encours d'emprunt obligataire dépasse un montant fixé par décret61, « Tel que rédigé, le texte laisse entendre un double commissariat, dans la mesure où l'examen contradictoire suppose que le même élément ait fait l'objet d'un double contrôle. Chacun des commissaires procède aux contrôles qu'il juge nécessaires pour asseoir son opinion, pour confronter ensuite leurs constatations et conclusions selon la procédure de l'examen contradictoire 62». Notons enfin, que la restriction de cette obligation n‟est d‟application qu‟aux seuls commissaires aux comptes Experts Comptables. Le renouvellement illimité des mandants pour les techniciens de la comptabilité est autorisé. - Communication avec les autorités de tutelle et de contrôle A l‟instar des institutions financières et des sociétés cotées, les commissaires aux comptes, doivent transmettre, à la Banque Centrale de Tunisie et au CMF, pour les sociétés qui font appel public à l'épargne, et à la Banque Centrale de Tunisie, pour les sociétés tenues d'établir des états financiers consolidés si le total du bilan consolidé dépasse un montant fixé par décret ; ou, dont le total des engagements auprès des établissements de crédit et de l'encours d'emprunts obligataires dépasse un montant fixé par décret, une copie de chaque rapport qu‟ils émettent à l‟attention de l‟actionnariat, qu‟ils soient réunis ordinairement ou extraordinairement Aussi les commissaires aux comptes des sociétés faisant appel public à l‟épargne, doivent notifier au conseil du marché financier (CMF) tout fait de nature à mettre en péril les intérêts de la société ou les porteurs de ses titres. 61 Le décret 2006-1546 du 06/06/2006 a prévu un engagement dépssant les 25 Millions de Dinars 62 Faycal DERBEL : Le C.A.C est le maillon essentiel du processus de transparence paru sur Audinet Tunisie 41 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 41 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB - Communication sur le contrôle interne La loi de sécurité financière Tunisienne a accentué le rôle conféré au contrôle interne. Désormais les commissaires aux comptes ont pour obligation de revoir, et de façon périodique, les systèmes de contrôle interne63 des sociétés auditées64. Cette revue devrait être couronnée par l‟insertion d‟un paragraphe au niveau du rapport général du commissaire aux comptes, portant une évaluation du contrôle interne, pour ce qui est des sociétés faisant appel public à l‟épargne65. Cette mesure, et bien qu‟elle soit primordiale dans le maintien d‟une bonne gouvernance, est restée sans suite pour les sociétés autres que les établissements financiers66, les assurances67, les OPCVM68 ainsi que les associations autorisées à accorder des microcrédits69. En effet, aucun cadre de référence, guide opératoire, ou norme professionnelle régissant les diligences des auditeurs en la matière, à l‟instar de ce qui a été le cas à l‟échelle internationale, n‟ont vu le jour, rendant la nature et l‟étendue des travaux, d‟une part, et les communications sur le contrôle interne, d‟autre part, superflues. La loi tunisienne, a certes, mis en place de nouvelles dispositions législatives en matière de contrôle interne, mais elle ne l‟est a pas suffisamment étayées, ce qui pose, à notre sens, un problème de mise en place et d‟application. 63 L‟article 266 au niveau de son alinéa 2 (nouveau) stipule que : « Le commissaire aux comptes certifie la sincérité et la régularité des comptes annuels de la société…Il vérifie périodiquement l‟efficacité du système de contrôle interne » 64 Les termes de la loi renforçant les sécurités financières et la loi 2005-65 du 27 Juillet 2005Article 266 alinéa 2 nouveau de la loi 2005-65 loi modifiant et complétant le code des sociétés commerciales 65 Article 3 nouveau de la loi 2005-96 ayant modifie l‟article 14 de la loi 94-117 du 14 novembre 1994 portant réorganisation du marche financier. 66 Circulaire 2006-19 de la Banque Central Tunisienne ayant pour objet la mise en place par les établissements de crédit et les banques non résidentes d‟un système de contrôle interne et l‟institution d‟un comité permanent d‟audit interne et la norme comptable 22 intitulée Le contrôle interne et l‟organisation comptable dans les établissements bancaires 67 Norme comptable 27 : Le contrôle interne et l‟organisation comptable dans les entreprises d‟assurance et / ou de réassurance 68 69 Norme comptable 18 : Contrôle interne et organisation comptable dans les OPCVM Norme comptable 33 : Le contrôle interne et l'organisation comptable dans les associations autorisées a accorder des micro-crédits 42 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 42 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB C‟est ainsi qu‟aucun référentiel permettant d‟attester les systèmes de contrôle interne n‟a été prévu par cette loi et qu‟aucune norme professionnelle n‟a été mise en place pour faire face à cette obligation. A ce jour, et bien qu‟on ait adopté les normes de l‟IFAC, les dites normes n‟ont pas prévu de référentiel permettant l‟évaluation du contrôle interne70. C‟est à ce titre, qu‟il nous parait opportun, d‟analyser les référentiels utilisés à l‟échelle internationale afin de s‟en inspirer. A présent, nous passerons en revue les évolutions qui ont eu lieu sur la normalisation en matière de contrôle interne à l‟échelle internationale. Section 2 : L’évolution de la normalisation en matière de contrôle interne Les risques économiques accrus, d‟une part, et les défaillances des entreprises, d‟autre part, ont fait ressurgir, à l‟ordre du jour, la nécessité de renforcer les systèmes de pilotage et de contrôle. Cette nécessité à amener, les diverses organismes professionnels compétents en la matière, dans divers pays, à mettre en place des préalables requis afin d‟atteindre ces objectifs. C‟est ainsi que des études ont été menées et que des cadres de références et des normes d‟audit ont été adoptés. Dans ce qui suit, nous allons présenter les cadres de références COSO, en une première étape, avant de nous intéresser à l‟évolution enregistrée au niveau des normes d‟audit et la promulgation des normes d‟audit du PCAOB, dans une seconde étape. Sous section 1 : Cadre de références pour le contrôle interne COSO, acronyme abrégé de Committee Of Sponsoring Organizations of the Treadway Commission, est une commission à but non lucratif qui a établi en 1992 une définition 70 Pour les établissements financiers, la BCT dans sa circulaire 2006-19 a défini un cadre permettant la mise en place d‟un bon système de contrôle interne pour les établissements de crédits 43 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 43 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB standard du contrôle interne et créé un cadre pour évaluer son efficacité. Par extension ce standard a été appelé aussi COSO. En 2002, le Congrès américain, en réponse aux scandales financiers et comptables (Enron, Worldcom, ...), promulgue la loi Sarbanes–Oxley (the Sarbanes-Oxley Act ou SOX act). Cette loi oblige les sociétés faisant appel à l‟épargne publique à évaluer leur contrôle interne et à en publier leurs conclusions dans les états demandés par la SEC. imposant en outre, l'utilisation d'un cadre conceptuel : Le SOX act a favorisé l'adoption du COSO comme référentiel. En France, la loi LSF (Loi de Sécurité Financière) promulguée peu après en 2003, a également contribué à la diffusion de ce référentiel. Paragraphe 1: Le COSO 1: Internal control – Integrated framework A. Historique Les pratiques frauduleuses des entreprises Américaine durant les années 70, ont amené le congress Américain et la SEC à mettre en place une loi anti-corruption71 (FCPA) Cette loi a institué la responsabilité pénale des auteurs de ces manœuvres d‟une part, et l‟obligation pour les entreprises américaines de se munir d‟un bon système de contrôle interne, d‟autre part. Faisant suite à ces nouvelles obligations, et à l‟initiative, des principaux organismes professionnels privés72 compétents en la matière, une commission nationale73 a été formée en 1985, dont l‟objectif était de cerner les causes des manœuvres frauduleuses entachant les reportings financiers ; Cette commission était plus connue sous le nom de son premier président, le sénateur Treadway. Le premier rapport émis en 1987 a recommandé, le développement d‟un cadre de référence pour le contrôle interne et c‟est ainsi que le Committee of Sponsoring Organizations (COSO) 71 Foreign Corrupt Practices Act (FCPA) of 1977 72 Il s‟agit des différentes corporations en matière comptable et principalement American Institute of Certified Public Accountants (AICPA), American International (FEI), The Institute of Accounting Internal Association (AAA), Financial Auditors (IIA) and The Institute of Executives Management Accountants (IMA). 73 National Commission on Fraudulent Financial Reporting 44 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 44 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB ait été formé. L‟organisme privé ainsi institué, a confié au cabinet Coopers & Lybrand de préparer un cadre de référence pour le contrôle interne. Les travaux de ce cabinet ont été couronnés par l‟émission d‟un rapport en 1992 et connu sous le nom du COSO1. Ce cadre constitue le cadre le plus important et le plus utilisé en matière de contrôle interne et a été depuis développé pour tenir compte des recommandations qu‟on lui adressé pour donner lieu en 2002 au COSO 2 Enterprise Risk Management Framework (COSO ERM). Dans ce qui suit nous allons présenter les 2 référentiels COSO 1 et COSO 2 et le positionnement du premier par rapport au second. B. Les principes Le COSO se base sur les principes suivants : - Le contrôle interne est un processus. - Le contrôle interne est l‟affaire de tous, car il est mis en place par le personnel de l‟entreprise à divers échelons. - Le contrôle interne ne donne qu‟une assurance raisonnable quant à l‟atteinte des objectifs de fiabilité des processus. Ainsi il ressort des ces principes que le contrôle interne selon COSO est un processus, un moyen, pas une fin, qui ne se cantonne pas à un recueil de procédures mais qui nécessite l‟implication de tous, et à chaque niveau de l‟organisation, et qui en tous états de causes ne donne qu‟une assurance raisonnable quant à l‟atteinte des objectifs de fiabilité, vu les limitations inhérentes à sa mise en place. Ces limitations découleraient de la part importante du jugement humain dans la mise en place d‟un tel système. C. Le cadre cubique du COSO Dans ce qui suit nous allons présenter les objectifs et les composantes du contrôle interne selon le cadre cubique du COSO. 45 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 45 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB i. Les 3 objectifs du contrôle interne selon COSO COSO a classé les objectifs suivis par le contrôle interne en trois catégories: Objectifs opérationnels : Ces objectifs ont trait à l‟optimisation des ressources et à l‟utilisation efficace et efficiente de ces dernières. Ce premier objectif, renvoi à la réalisation optimale, efficace et efficiente, de l‟objet social de l‟entreprise Objectifs d‟information : Il s‟agit des objectifs de fiabilité des communications financières en interne et celles destinées au public, ainsi que la détection des erreurs qui peuvent s‟y insérer. Une information financière fiable, est une information régulière, sincère et conforme à des principes et règles comptables connus et reconnus et qui vérifient les caractéristiques qualitatives requises de l‟information financière, à savoir, l'intelligibilité, la pertinence, la fiabilité et la comparabilité, d‟une part, et s‟appuyant sur un ensemble de principes sous-tendant la production de l‟information financière, à savoir, l‟existence, l‟exhaustivité, les droits et obligations, l‟évaluation et le rattachement ainsi que la présentation. Objectifs de conformité : Il s‟agit de la conformité aux lois et réglementations applicables et par suite à la prévention et détection des fraudes éventuelles. L‟entreprise doit disposer d‟une organisation lui permettant de connaitre les diverses lois qui lui sont applicables, d‟avoir une veille juridique lui permettant d‟être informé à temps des divers changements qui y interviennent, de transcrire ces règles dans ses procédures internes et d‟en tenir informé et former ses différents collaborateurs de ces lois et règlements ainsi que de leur portées et étendues. ii. Les 5 composantes du contrôle interne selon COSO COSO répartit le contrôle interne en cinq composantes, existantes au sein de toutes les entreprises, inter reliées, s‟insérant dans le cadre de la réalisation de ses affaires et qui dépendent principalement du style de gestion et de la taille de celles-ci. 46 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 46 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Ces cinq composantes se détaillent comme suit : 1. L‟environnement de contrôle : Il s‟agit du principal pilier des autres composantes. Il s‟agit du « terrain » où les différents intervenants, réalisent leurs taches et exercent leurs responsabilités en matière de contrôle. 2. L‟évaluation du risque : C‟est au niveau de l‟environnement de contrôle que le management évalue les risques susceptibles d‟entacher la réalisation des objectifs visés par l‟entreprise. 3. Les activités de contrôle : Il s‟agit de toutes les procédures et règles de contrôle qui sont mises en place par le management, et contrôlées par celui-ci, en vue de contrecarrer les risques identifiés au sein de l‟environnement de contrôle. Ces opérations permettent de s'assurer que les mesures nécessaires sont prises en vue de maîtriser les risques susceptibles d'affecter la réalisation des objectifs de l'entreprise. Les activités de contrôle, sont menées à tous les niveaux hiérarchiques et fonctionnels de la structure. 4. Information et communication : Les informations pertinentes, efficaces, efficientes et claires, notamment celles d‟origine financières, sont recueillies et diffusées au sein de l‟environnement de contrôle, pour permettre la bonne conduite et l‟atteinte des objectifs de l‟entreprise. 5. Le pilotage : Il s‟agit de toutes les actions et mécanismes mis en place, qui permettent d‟assurer un suivi du système et qui peuvent donner lieu à des ajustements ou encore des actions correctives. Ces actions sont apportées au système, en vue de lui permettre de fonctionner convenablement. Ces cinq composantes seront développées plus en détail, au niveau de la Deuxième partie : Démarche d‟évaluation du système de contrôle interne : Le COSO et l‟AS 5 / Chapitre 1 : Référentiels et composantes / 1.1.1.1 Environnement de contrôle 47 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 47 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Paragraphe 2: Le COSO 2: Entreprise Risk management framework A. Positionnement du COSO 2 par rapport au COSO1 Bien que COSO 1 constitue le cadre de référence en matière de contrôle interne, des critiques lui ont été adressées. Ces critiques, se fondaient sur le fait que COSO 1 se basait sur une approche d‟ordre procédurale, se focalisant sur les contrôles existants au sein de l‟entreprise, leur description et évaluation. COSO 1 vise à mettre en place un bon système de contrôle interne, qui a pour finalité de maitriser les risques faisant face à l‟entreprise : COSO 1 a été jugé, par suite, comme statique se focalisant sur une orientation fonctionnelle. COSO 2 est venu palier à ces insuffisances, et compléter le premier cadre, en mettant en place un cadre réactif, un cadre de gestion de risque, proprement dit. COSO 2 est donc un cadre de référence de gestion du risque. Un cadre bâti sur la base des principes de COSO 1 et donc un cadre à forte connexité avec le cadre de référence de contrôle interne. En effet, COSO 2 englobe COSO 1 étant donné qu‟il considère le contrôle interne comme étant une composante importante et primordiale dans la gestion du risque. B. Les nouvelles notions introduites par COSO 2 COSO 2 a défini le management des risques come étant : « …un processus mis en œuvre par le conseil d‟administration, la direction générale, le management et l'ensemble des collaborateurs de l‟organisation. Il est pris en compte dans l’élaboration de la stratégie ainsi que dans toutes les activités de l'organisation. Il est conçu pour identifier les événements potentiels susceptibles d’affecter l’organisation et pour gérer les risques dans les limites de son appétence pour le risque. Il vise à fournir une assurance raisonnable quant à l'atteinte des objectifs de l'organisation ». COSO 2 repose, donc, sur les incertitudes auxquelles l‟entreprise est confrontée dans le cours de réalisation de ses objectifs. Les incertitudes ont trait, aux événements futurs, qui peuvent 48 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 48 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB englober les événements favorables, il s‟agit alors des opportunités, et ceux qui sont défavorables, et qui sont les risques rencontrées dans le cours de réalisation des objectifs de l‟entreprise. Le référentiel de management du risque a donc pour finalité, d‟octroyer une assurance raisonnable quant à la gestion du risque, déterminant par suite, un degré d‟incertitude et de prise de risque acceptable qui permettrait à l‟entreprise, de réaliser ses objectifs et d‟accroitre sa valeur : Il s‟agit donc là, de la totalité des objectifs poursuivis par l‟entreprise, dont notamment les objectifs stratégiques et opérationnels, qui comportent une part de risque importante, étant donné qu‟ils dépendent d‟éléments externes à l‟entreprise. En outre, COSO 2, se propose de développer les modalités de traitement de ce risque, de l‟identifier et de le gérer, afin de délimiter les pertes opérationnelles dues aux incertitudes rencontrées, et de saisir les opportunités, si de telles opportunités se présentent à elle : « Le management des risques offre la possibilité d‟apporter une réponse efficace aux risques et aux opportunités qui sont associés aux incertitudes auxquelles l‟organisation fait face, renforçant ainsi sa capacité de création de valeur de l‟organisation74 ». C. Le cadre cubique du COSO 2 Le cadre cubique COSO 2 présente une subdivision en 8 composantes du risque, 4 types d‟objectifs, qui sont appliqués aux 4 niveaux de l‟organisation. i. Niveaux de l’organisation COSO 2, présente un découpage détaillé de la totalité de l‟entreprise. Afin de garantir son efficacité, COSO 2 doit être appliqué à l‟entreprise en sa totalité et à l‟ensemble de ses activités. Ces activités sont considérées en fonction de leur positionnement au sein de l‟organisation. 74 COSO : Le management des risques de l entreprise Cadre de Référence-Synthèse 49 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 49 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB COSO 2 a adapté son découpage de l‟entreprise en 4 niveaux : l‟organisation, les unités de métier, les processus métier et enfin les projets qui ne sont pas encore rattachés à l‟une de ses catégories. L‟organisation a trait aux activités de planification stratégiques et d‟allocation des ressources, les business units, ainsi que les processus métiers ont quant à eux trait aux activités opérationnelles de l‟entreprise. L‟efficacité du cadre de référence de la gestion de risque, repose sur l‟application de ces derniers à tous les niveaux de l‟entreprise et l‟adhésion de la totalité du personnel de celle-ci à la notion de gestion de risque et son importance dans la réalisation des objectifs de l‟entreprise et l‟accroissement de sa valeur. ii. Gestion des risques : Les 8 composantes Le dispositif de management du risque, se décompose en huit éléments, soit trois de plus par rapport au cadre de référence du contrôle interne, le COSO 1. Ces trois nouveaux éléments, constituent les nouveautés qui ont été introduites par COSO 2, à savoir la notion des objectifs stratégiques, de l‟identification des événements et de la gestion du risque proprement dit. Les éléments de management du risque résultent de la façon dont l‟organisation est gérée, et sont intégrés au processus de management. Ces éléments sont les suivants : L‟environnement de contrôle : Comme c‟est le cas pour COSO1, il s‟agit du principal pilier des autres composantes étant donné qu‟il s‟agit du « terrain » où les différents intervenants réalisent leurs taches et exercent leurs responsabilités. Il s‟agit de la culture et l‟esprit de l‟organisation. Il structure la façon dont les risques sont appréhendées et pris en compte par l‟ensemble des collaborateurs de l‟entité, et plus particulièrement la conception du management et son appétence pour le risque, l‟intégrité et les valeurs éthiques, et l‟environnement dans lequel l‟organisation opère. Fixation des objectifs : Les objectifs doivent avoir été préalablement définis, pour que le management puisse identifier les événements potentiels et susceptibles d‟en affecter 50 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 50 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB la réalisation. Le management des risques permet de s‟assurer que la direction a mis en place, un processus de fixation des objectifs et que ces objectifs sont en ligne avec la mission de l‟entité ainsi qu‟avec son appétence pour le risque. Identification des événements Les événements internes et externes, susceptibles d‟affecter l‟atteinte des objectifs d‟une organisation, doivent être identifiés, en faisant la distinction entre risques et opportunités. Les opportunités sont prises en compte lors de l‟élaboration de la stratégie ou au cours du processus de fixation des objectifs. L‟évaluation du risque : Le risque est appréhendé selon la possibilité de sa survenance, et l‟impact qu‟il pourrait avoir. Traitement du risque : Il s‟agit de la panoplie de solutions permettant de faire face aux risques : Evitement, acceptation, réduction ou partage. Pour ce faire, le management élabore un ensemble de mesures, permettant de mettre en adéquation le niveau des risques avec le seuil de tolérance et l‟appétence pour le risque de l‟organisation. Activités de contrôle : C‟est l‟ensemble des politiques et procédures qui sont définies et déployées, afin de veiller à la mise en place et l‟application effective des mesures de traitement des risques. Information et communication : Afin de se faire, les informations pertinentes, efficaces, efficientes et claires, sont recueillies et diffusées pour permettre la bonne conduite et l‟atteinte des objectifs de l‟entreprise. La communication doit circuler verticalement et transversalement au sein de l‟organisation de façon efficace. Le pilotage : Il s‟agit de toutes les actions et mécanismes, mis en place, qui permettent d‟assurer un suivi du système et qui peuvent donner lieu à des ajustements, ou encore à des actions correctives, qui sont apportées au système de management du risque, en vu de lui permettre de fonctionner convenablement. L‟efficacité du dispositif, est appréciée si les huit éléments le constituant, sont mis en place et fonctionnent efficacement. Le fonctionnement efficace, signifie l‟absence de défaillances significatives dans l‟une de ces composantes qui permettent de générer un niveau de risque qui s‟insère dans le niveau admis par l‟entreprise. 51 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 51 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB iii. Objectifs L es objectifs visés par COSO 2 sont répartis en quatre types : Les objectifs stratégiques, opérationnels, de conformité et de reporting. On notera à ce niveau que les trois derniers types d‟objectifs sont identiques aux objectifs poursuivis par COSO 1, seul l‟objectif stratégique, objectif servant la réalisation proprement dite de la mission de l‟entreprise, constitue donc, une nouveauté apportée par COSO 2. Aussi, le dernier objectif est-il élargi pour tenir compte, outre des informations financières, des informations qualitatives d‟ordre non financier. L‟organisation, et de part le fait qu‟elle a le contrôle sur les objectifs relatifs à la fiabilité du reporting et à la conformité aux lois et aux règlements, il lui est légitime d‟attendre du processus de management des risques, une assurance raisonnable, quant à l‟atteinte de ces objectifs. En revanche, l‟atteinte des objectifs stratégiques et opérationnels, dépend parfois d‟événements extérieurs qui peuvent échapper au contrôle de l‟entreprise. Par conséquent, le management des risques, ne peut donner qu‟une assurance raisonnable, que la direction et le conseil d‟administration, dans son rôle de supervision, sont informés en temps utile de l‟état de progression de l‟organisation vers l‟atteinte de ses objectifs. Notons enfin, que les éléments du dispositif de management du risque, tel que défini par COSO 2, constituent les outils nécessaires permettant à une entreprise d‟atteindre ses objectifs. Le management du risque peut donc être traité dans sa globalité ou bien par catégories d‟objectifs, par élément, par unité ou en les combinant, à condition de fonctionner efficacement et de fournir l‟assurance raisonnable quant à la maitrise des risques et sa délimitation par le niveau de l‟appétence du risque de l‟entreprise. Le COSO 2 peut être synthétisé par suite comme suit75 : 75 Entreprise Risk Management – Integrated framework : Executive Summary – September 2004 52 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 52 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Sous section 2 : Normes d’audit et l’apparition du standard d’audit 5 du PCAOB A l‟instar de l‟évolution enregistrée au niveau de la normalisation en matière de contrôle interne, et l‟insertion de nouvelles obligations en la matière, tel que traité précédemment, des évolutions ont suivi en matière de la normalisation d‟audit. Dans ce qui suit, nous allons retracer l‟évolution enregistrée au niveau de cette normalisation. Paragraphe 1: Les normes de l’IFAC A. Le contrôle interne et la définition de la méthodologie d’audit Le contrôle interne prend une place centrale au niveau de la méthodologie d‟audit ; En effet, la méthodologie d‟audit, se basant sur les risques encourus par l‟entreprise, nécessite l‟évaluation proprement dite, et préalable, du contrôle interne. C‟est au niveau de la norme internationale d‟audit 315 « Connaissances de l‟entité et de son environnement et évaluation du risque d‟anomalies significatives » que cette obligation ait été insérée au niveau de la méthodologie d‟audit. Cette norme requiert une compréhension approfondie de l'entreprise, de son environnement et de son contrôle interne, pour pouvoir exécuter la mission d‟audit et formuler une opinion d‟audit. 53 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 53 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB L'auditeur prend connaissance du contrôle interne, pour identifier les types d‟anomalies potentielles, pour évaluer les facteurs pouvant engendrer des risques d‟anomalies significatives et pour définir la nature, le calendrier et l‟étendue des procédures d'audit nécessaires à mettre en œuvre, pour la formulation de son opinion d‟audit. ISA 315 exige d‟identifier, évaluer et donner la priorité aux risques d'anomalies significatives dans les états financiers, afin que l'effort le plus important soit axé en priorité sur les secteurs à risques les plus significatifs. Pour se faire, il est donc impératif de comprendre le fonctionnement de l‟entreprise, de cerner les spécificités de son environnement et d‟évaluer les contrôles internes qui sont mis en place. ISA 315 interdit donc, à l‟auditeur de se baser sur une stratégie où les risques sont considérés à un niveau maximal, niveau où la direction ne met pas en place de contrôles satisfaisants, pour s'affranchir de l'analyse des risques et planifier directement les procédures de vérifications des comptes, et ce, quelle que soit l'activité et l'importance de l'entité contrôlée. L'auditeur doit inéluctablement comprendre l‟entité, son fonctionnement et évaluer son système de contrôle interne. Les étapes suivantes sont alors recommandées par ISA 315 pour évaluer les risques d‟anomalies significatives sur les états financiers : Compréhension de l'entreprise, de son environnement et de son contrôle interne. Prise en considération du risque de fraude. Liens entre les objectifs de l'entreprise, les risques s'y rapportant et les contrôles mis en place. Identification des risques pertinents pour l'audit. On notera, à ce niveau, que ces obligations ont été insérées au niveau de la nouvelle version de la norme76, donnant lieu ainsi, à une évolution considérable de la perception que les normes internationales d‟audit, ont de l‟importance du contrôle interne. En effet, il n‟est plus permis de passer directement aux contrôles substantifs et ignorer les systèmes de contrôle interne existants. 76 La dernière version de la norme ISA 315 a vu le jour le 29 Juin 2006. 54 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 54 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Bien que l‟objectif de la méthodologie d‟audit par les risques ne change pas, il s‟agit d‟une approche nouvelle, voulue par les ISA. Cette nouvelle perception, et les étapes préconisées pour se faire, sont à notre sens, à forte corrélation avec les dispositions du cadre de référence COSO et proviennent des obligations qui ont été insérées par la loi de sécurité financière Américaine. Il s‟agit, à notre sens, d‟un rapprochement voulu entre les normes internationales d‟audit et les normes d‟audit émises par le Public Company Accounting Oversight Board (PCAOB). B. Le risque de contrôle et son impact sur la mission d’audit L‟auditeur est donc appelé de part la norme ISA 315, à évaluer le système de contrôle interne. Il doit planifier et effectuer son audit, dans l‟objectif de réduire le risque d‟audit à un niveau faible et acceptable. Le risque d‟audit est scindé en trois catégories : Le risque inhérent : Il s‟agit du risque lié à la nature de l‟activité de l‟entreprise, à son environnement et son organisation. Le risque de contrôle : Il s‟agit du risque que des anomalies significatives puissent survenir au niveau des contrôles mis en place par l‟entreprise, pour faire face aux risques encourus, sans être prévenues ou détectées à temps. Ce risque dépend de la conception et de l‟efficacité de fonctionnement des contrôles mis en place, qui permettent à l‟entreprise, d‟établir et de présenter des états financiers fiables, reflétant la réalité économique de l‟entreprise. Le risque de non détection : C‟est le risque lié à l‟audit lui-même ; L‟auditeur doit limiter l‟étendu de ce risque. L‟auditeur doit limiter le risque que les états financiers de l‟entreprise ne comportent pas d‟anomalies significatives, et évaluer ainsi les trois catégories de risque qui viennent d‟être citées. Le troisième risque devrait être toujours tiré à son niveau le plus bas, et ce par le biais d‟une bonne planification et exécution de la mission d‟audit. Les deux premiers risques, quant à eux, sont des risques liés à l‟entreprise. 55 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 55 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB La méthodologie d‟audit et l‟étendue des travaux de l‟auditeur dépendent, donc, largement du risque lié au contrôle : En effet, un risque de contrôle faible, signifie l‟existence d‟un bon système de contrôle interne fonctionnant convenablement : L‟auditeur, par suite, pourrait se baser sur ce système de contrôle interne, et ses tests substantifs seront limités. Un risque lié au contrôle élevé, donnerait lieu à des tests substantifs étendus permettant d‟affirmer, raisonnablement, que les états financiers ne comportent pas d‟anomalies significatives. L‟évaluation du contrôle interne, donc, est primordiale dans une mission d‟audit, selon les normes de l‟IFAC. Cette évaluation, permet de mettre en place, une méthodologie d‟audit appropriée, qui permet de cerner et diminuer les risques liés au contrôle, et d‟exprimer une opinion d‟audit adéquate. L‟évaluation du contrôle interne, s‟insère, donc, dans un objectif méthodologique permettant d‟aboutir à l‟expression d‟une opinion sur les états financiers. Cette évaluation, n‟étant pas une fin en soi, mais une composante principale dans la méthodologie d‟audit, permettant de délimiter le champ des travaux à effectuer et de mettre en place une stratégie structurée, permettant à l‟auditeur de certifier et de formuler, de façon claire, son opinion d‟audit. Ceci ne répond plus aux obligations d‟évaluation du contrôle interne tel qu‟il a été exigé de le faire par les lois de sécurités financières, le cas échéant la loi de sécurité financière tunisienne, qui a rendu obligatoire l‟évaluation périodique, du contrôle interne77 des sociétés auditées78, et la formulation d‟une opinion à insérer au niveau du rapport général du commissaire aux comptes, pour ce qui est des sociétés faisant appel public à l‟épargne79. A l‟échelle internationale, notamment aux USA, le PCAOB a été appelé à légiférer en la matière, et a émis une norme répondant aux besoins nouveaux requis par la loi de sécurités 77 L‟article 266 au niveau de son alinéa 2 (nouveau) stipule que : « Le commissaire aux comptes certifie la sincérité et la régularité des comptes annuels de la société…Il vérifie périodiquement l‟efficacité du système de contrôle interne » 78 Les termes de la loi renforçant les sécurités financières et la loi 2005-65 du 27 Juillet 2005Article 266 alinéa 2 nouveau de la loi 2005-65 loi modifiant et complétant le code des sociétés commerciales 79 Article 3 nouveau de la loi 2005-96 ayant modifie l‟article 14 de la loi 94-117 du 14 novembre 1994 portant réorganisation du marche financier. 56 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 56 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB financières Américaine : A savoir une norme qui répond au double objectif de la certification du contrôle interne et de la certification des états financiers. Paragraphe 2: Les normes d’audit du PCAOB A. Présentation Le PCAOB, dans la loi organique l‟ayant crée, a été accrédité de la possibilité de légiférer dans le cadre des attributions qui lui ont été conférées. C‟est dans ce cadre, que le PCAOB a émis un ensemble de normes portant sur la mise en place des obligations insérées par la loi de sécurités financières Américaine, et notamment sur la mise en application de la norme permettant l‟auto-évaluation du contrôle interne par la direction et l‟expression d‟une opinion par les auditeurs sur cette même évaluation. C‟est ainsi que la norme d‟audit No. 2 “An Audit of Internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements80” a vu le jour le 09/03/2004. Cette norme, a été depuis, abrogée et remplacée en date du 12/07/2007 par la norme d‟audit No. 5 “An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements”. B. Nouveautés de l’approche d’audit i. Un double objectif La loi de sécurité financière, prévoit que la mission visant la publication d'un rapport sur le contrôle interne et la mission de vérification des états financiers, sont effectuées par le même auditeur, que les deux missions sont concomitantes; et que la direction a l'obligation légale de fournir une appréciation de l'efficacité du contrôle interne exercé sur l'information financière, sur laquelle le vérificateur se prononce. 80 Le PCAOB a publié en date du 16 Mai 2005, un texte d‟application a portée pratique intitulé : « Policy statement regarding implementation of Auditing standard No. 2 », et qui a eu pour objectif de détailler l‟approche à mettre en œuvre par les auditeurs pour atteindre une application efficace et efficiente de la norme d‟audit. 57 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 57 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Il s‟agit donc, pour l‟auditeur, de donner son avis sur l‟évaluation du contrôle interne, par la direction d‟une part, d‟évaluer le contrôle interne par ses propres moyens, d‟autre part, et d‟exprimer une opinion d‟audit sur les états financiers in-fine. L‟auditeur doit donc, se prononcer sur le contrôle interne, et ce de façon indépendante de sa mission d‟audit et la stratégie qu‟il a mis en œuvre pour certifier les états financiers. L‟auditeur poursuit donc, deux objectifs différents, mais se doit de planifier et exécuter ses travaux pour atteindre ses objectifs dans une seule mission, une mission d‟audit intégrée : Ces deux objectifs sont : Evaluer le système de contrôle interne relatif à la préparation du reporting financier et exprimer une opinion sur ce système, à la date de clôture, et sur l‟évaluation qui en est faite par la direction. Exprimer une opinion sur les états financiers. La norme d‟audit du PCAOB est venue donc, répondre aux obligations mises en place par la loi de sécurité financière, et pallier à la situation de vide qui a découlé de ces obligations, vu que les normes déjà existantes, notamment celles de l‟IFAC, ne permettaient pas de répondre aux obligations mises en place par la loi de sécurités financières Américaine. En Tunisie, et bien que des obligations similaires avaient été mises en place par la loi renforçant les sécurités financières, aucune norme permettant d‟atteindre ce double objectif d‟évaluation du contrôle interne et de certification des états financiers, n‟a été adoptée. ii. Concept du contrôle interne relatif à la publication des états financiers Pour rappel, le système de contrôle interne à l‟égard de l‟information financière, est défini comme étant un processus, conçu par le chef de la direction et le chef des finances, ou par des personnes exerçant des fonctions analogues, ou sous leur supervision, et mis en œuvre par le conseil d'administration, la direction ou d'autres employés, pour fournir une assurance raisonnable que l'information financière est fiable et que les états financiers ont été établis, 58 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 58 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB aux fins de sa publication, conformément aux principes et normes comptables, y compris les politiques et procédures qui : a) concernent la tenue de dossiers suffisamment détaillés, qui donnent une image fidèle et qui reflètent la réalité des opérations et des cessions d'actifs de l'entreprise; b) fournissent une assurance raisonnable, que les opérations sont enregistrées comme il se doit, pour établir les états financiers conformément aux normes et principes comptables admis, et que les encaissements et décaissements de l‟entreprise ne sont faits qu'avec l'autorisation de la direction et du conseil d'administration; c) fournissent une assurance raisonnable, que toute acquisition, utilisation ou cession, non autorisée, des actifs de l'émetteur, qui pourrait avoir une incidence importante sur les états financiers est soit interdite, soit détectée à temps;81 Le contrôle interne à l‟égard de l‟information financière, est donc le processus de contrôle interne, mis en place pour assurer le bon fonctionnement de la fonction financière et comptable au sein de l‟entreprise. Ce système a pour finalité, d‟assurer, raisonnablement, la fiabilité de l‟information financière publiée et sa conformité à la réalité économique, c'est-àdire la traduction fidèle de la totalité des transactions ayant eu lieu au niveau du reporting financier. iii. Limites inhérentes au contrôle interne, assurance raisonnable et matérialité Le dispositif de contrôle interne, aussi bien conçu et aussi bien appliqué soit-il, ne peut, en aucun cas, fournir une garantie absolue quant à la réalisation des objectifs d‟une organisation. Il existe en effet, des limites inhérentes à tout contrôle interne. Ces limites résultent de nombreux facteurs, notamment des incertitudes du monde extérieur, de l‟exercice de la faculté de jugement ou des dysfonctionnements pouvant survenir en raison d‟une défaillance humaine, d‟une simple erreur ou d‟une fraude. 81 PCAOB Audit standard # 5 / Appendix A : Definition 59 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 59 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Ces limites inhérentes au contrôle interne, le cas échéant celui relatif à l‟information financière, rendent possible, le risque de survenance de défaillances significatives, qui seraient, ni prévenues, ni détectées à temps, au niveau du contrôle interne relatif à la publication du reporting financier. Par suite, le contrôle interne relatif à l‟information financière ne peut, en aucun cas, délivrer une assurance absolue, mais ne peut délivrer qu‟une assurance raisonnable que les objectifs suivis par ce dernier soient atteints. L‟assurance raisonnable, a trait donc, au fait d‟amener le risque de non prévention et de non détection d‟anomalies significatives au niveau du contrôle interne relatif à la préparation du reporting financier, à son niveau le plus bas. Il s‟agit donc, d‟apprécier le risque de survenance d‟anomalies significatives, qui ne seraient, ni prévenues, ni détectées, à temps. La notion de significativité, tient au fait qu‟une décision économique puisse être modifiée suite à sa survenance. Ceci nous amène à traiter la notion de matérialité : A ce niveau, les principes qui ont été reconduits par AS 5, sont identiques, à ceux prévus pour la conduite d‟une mission d‟audit d‟états financiers. En effet, la norme d‟audit PCAOB 5, renvoie à la norme d‟audit Américaine AU sec 31282, Les dispositions de cette norme sont, à leur tour, conformes aux principes retenus par les normes internationales d‟audit83 (ISA), ainsi qu‟aux normes d‟audit de la CNCC84 (Française). 82 Norme Américaine d‟audit intitulée: Audit risk and materiality in concluding an audit (Source SAS 47, SAS 82, SAS 96, SAS 98 83 La notion de matérialité a été traitée par la norme internationale d‟audit 320 : « Caractère significatif en matière d‟audit » 84 Les Normes d‟Exercice Professionnel (NEP) de la Compagnie Nationale de Commissariat aux Comptes(CNCC) ont reconduit les mêmes obligations que ceux édictés par les normes internationales d‟audit (ISA) ; La notion de matérialité a été reconduite par la NEP 320 : « Anomalies significatives et seuil de signification ». Cette norme d'exercice professionnel, correspond à l'adaptation de la norme ISA 320 a été homologuée par arrêté du 6 octobre 2006 publié au J.O. n° 239 du 14 octobre 2006. 60 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 60 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Selon ces normes, la notion de matérialité tient au fait qu‟une information comptable ou financière inexacte, insuffisante ou omise, en raison d'erreurs ou de fraude, d'une importance telle que, seule ou cumulée avec d'autres, elle peut influencer le jugement de l'utilisateur de cette information. Au niveau de la mission d‟audit, l‟auditeur fixe un seuil de signification correspondant au seuil au-delà duquel les décisions économiques ou le jugement fondé sur les comptes sont susceptibles d'être influencés ; ce seuil correspond au seuil au-delà duquel une erreur ou omission est considérée, par suite, comme étant significative. L‟utilisation de ces mêmes critères de matérialité permet à l‟auditeur d‟effectuer ces travaux, de sorte à couvrir la totalité des risques, et de concentrer ces travaux au niveau des risques, de défaillances significatives85 qui pourraient survenir au niveau du contrôle interne pour la préparation du reporting financier. iv. Approche d’audit La norme d‟audit 5 du PCAOB préconise l‟utilisation d‟une approche d‟audit basée sur les risques : Une approche dite top-down. Cette approche se base sur la connaissance de l‟auditeur des risques de contrôle interne sous tendant la préparation et la communication des états financiers. Il s‟agit d‟une approche qui se base sur les principes utilisés pour les besoins de l‟audit d‟états financiers proprement dit. L‟auditeur et grâce à sa maitrise des zones de risque sous tendant la préparation et la publication d‟états financiers, focalise ses travaux sur les contrôles mis en place et effectués par l‟entreprise, et exerce son jugement professionnel pour se concentrer sur ces zones. Une fois les contrôles délimités, l‟auditeur détermine les comptes et le groupe de transactions significatifs et concentre ses travaux d‟évaluation sur les contrôles au niveau de toutes les assertions relevant de ces comptes et transactions significatifs, notamment ceux qui pourraient 85 Il convient de noter à ce niveau que dans une mission d‟audit intégré d‟états financiers et de contrôle interne du reporting financier n‟ont pour finalité que de détecter les défaillances, qui prises de façon individuelle ou de façon cumulée sont considérées comme significatives : AU sec 312 Note du paragraphe 5 61 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 61 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB comporter des erreurs significatives au niveau du reporting et autres communications financières. Section 3 : Analyse des pratiques du contrôle interne en Tunisie A présent, nous allons nous intéresser aux pratiques du contrôle interne en Tunisie. Nous allons analyser les pratiques des différents intervenants en la matière, à savoir les directions, d‟une part, et les auditeurs d‟autre part. La présente section, retracera l‟évolution des pratiques de contrôle interne, suite à l‟émission des obligations ayant été introduites par la loi ayant renforcé les sécurités financières. La présente analyse, a porté sur la totalité des entreprises, autres que les sociétés financières, admises à la cote de la bourse de Tunis, et pour qui les obligations introduites par la loi renforçant les sécurités financières s‟appliquent. L‟échantillon observé a couvert les 29 sociétés admises à la cote de la bourse de Tunis à la date du 31/12/2009, et s‟est détaillé come suit : Sociétés admises à la cote de la bourse autres que financières (à la date du 31/12/2009) 30 20 Sociétés admises à la cote de la bourse autres que financières 10 0 Etats financiers disponibles Etats financiers non disponibles Notre travail, s‟est focalisé sur les informations publiées et celles qui ont été rendues disponibles, des sociétés faisant appel public à l‟épargne en Tunisie. Ce travail a porté par suite sur l‟analyse des rapports des commissaires aux comptes des sociétés cotés, et sur les rapports de gestion des dites sociétés86. 86 Notre travail a été fait sur les rapports de gestion et les rapports des commissaires aux comptes de l‟exercice clos le 31/12/2009 62 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 62 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Notre travail, s‟est focalisé sur l‟analyse des pratiques des organes de direction, d‟une part, et sur les pratiques des commissaires aux comptes des dites sociétés en matière de contrôle interne, d‟autre part. 1. Pratiques des directions en matière du contrôle interne en Tunisie Notre étude a porté sur l‟analyse du contenu des rapports de gestion en matière de contrôle interne : Nous avons étudié à ce niveau, la conformité des rapports de gestion avec les obligations ayant été insérées et mises à la charge des organes de direction en matière d‟information sur le contrôle interne, et tel qu‟il a été stipulé par les dispositions de la loi renforçant les sécurités financières combinées avec les termes des lois 94-117 du 14 novembre 1994 et 2005-65 du 27 juillet 2005 ayant modifié et complété le code des sociétés commerciales, et qui ont mis à la charge de ces organes, l‟obligation d‟insérer au niveau de leurs rapports de gestion, des éléments sur le contrôle interne. A ce niveau on note, que les sociétés cotées Tunisiennes ne sont obligées, que de publier leurs états financiers, et que par suite les rapports de gestion restent dans la majorité des cas non disponibles, alors qu‟ils devraient être communiqués au public. Seules quelques entreprises procèdent à la publication de leurs rapports de gestion (rapports publiés au niveau des sites web pour certaines entreprises qui en possèdent). Les termes de la loi, restés vagues, et n‟ayant pas spécifié le contenu que devrait revêtir un rapport de gestion, font de ce dernier, un rapport descriptif, comportant, principalement, une compilation des données financières contenues au niveau des états financiers de l‟entreprise, alors que ces états financiers et le rapport du commissaire aux comptes sur ces derniers, font partie intégrante de ce rapport. Les entreprises cotées tunisiennes, semblent reconduire donc les mêmes informations requises par le CMF concernant les rapports d‟activités publiées trimestriellement. Au niveau du contrôle interne, et bien que la loi ait obligé les sociétés cotées à insérer des éléments sur ce dernier au niveau de leurs rapports de gestion, aucune de ces sociétés ne semble se conformer à ces obligations. En effet, aucun des rapports de gestion, des trois 63 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 63 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB derniers exercices, des sociétés autres que financières, admises à la cote de bourse des valeurs mobilières de Tunis, ne comporte d‟éléments sur le contrôle interne. Les termes de la loi, restés très vagues et non sanctionnés, expliquent, à notre sens, le non respect de ces obligations. Ces termes gagneraient, par suite, à être plus explicites et plus clairs. A notre avis, le contenu du rapport de gestion gagnerait à être plus détaillé et même standardisé, à l‟instar de ce qui est fait à l‟échelle internationale et notamment aux Etas Unis. En effet, le contenu du rapport de gestion émis par les sociétés cotées aux USA, se doit de se conformer aux détails insérés par la norme 20-F87. Cette norme a présenté, et de façon détaillée, le contenu que devrait revêtir un rapport de gestion. La norme de la SEC a inclus un ensemble d‟instructions à respecter par les sociétés cotées pour l‟établissement de leurs rapports de gestion. Ces instructions ont été déclinées en 19 chapitres88 . C‟est au niveau du chapitre 1589 intitulé Procédures et contrôles, qu‟ont été présentées, les informations à publier concernant le contrôle interne. 87 88 http://www.sec.gov/about/forms/form20-f.pdf La norme F20 a décliné les informations à présenter au niveau du rapport de gestion en 19 chapitres se détaillant comme suit : Item 1. Identity of Directors, Senior Management and Advisers Item 2. Offer Statistics and Expected Timetable Item 3. Key Information Item 4. Information on the Company Item 5. Operating and Financial Review and Prospects Item 6. Directors, Senior Management and Employees Item 7. Major Shareholders and Related Party Transactions Item 8. Financial Information Item 9. The Offer and Listing. Item 10. Additional Information. Item 11. Quantitative and Qualitative Disclosures About Market Risk. Item 12. Description of Securities Other than Equity Securities. Item 13. Defaults, Dividend Arrearages and Delinquencies. Item 14. Material Modifications to the Rights of Security Holders and Use of Proceeds. Item 15. Controls and Procedures. Item 16.[Reserved] Item 17. Financial Statements. Item 18. Financial Statements. Item 19. Exhibits. 64 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 64 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Le chapitre 15, oblige les sociétés cotées aux USA d‟insérer les éléments suivants au niveau de leurs rapports de gestion : Divulguer les conclusions sur l‟efficacité du contrôle interne : Les responsables des fonctions comptables et financières présentent à ce niveau leurs conclusions et informations sur le contrôle interne. Le rapport annuel de la direction sur le contrôle interne relatif à l‟information financière : Le rapport contient une évaluation proprement dite du contrôle interne à l‟information financière. Le rapport se doit d‟inclure la déclaration de la direction quant à sa responsabilité pour la mise en place et le maintien d‟un tel contrôle interne, le cadre de référence utilisé par la direction pour l‟atteinte de cet objectif, ainsi que l‟auditeur ayant procédé à l‟évaluation de ce rapport. Le rapport de l‟auditeur sur l‟évaluation de la direction de son contrôle interne relatif à l‟information financière. Les changements ayant intervenus sur le contrôle interne relatif à l‟information financière depuis la date de la dernière clôture. De plus, ces sociétés sont tenues, obligatoirement, par la publication de leurs rapports au niveau de leurs sites web. La norme américaine, a bien détaillé le contenu du rapport de gestion à émettre par toute société admise à la cote de la bourse Américaine. Ceci est de nature à enlever toute ambigüité concernant les informations que devrait communiquer les directions de ces entreprises. La loi tunisienne, en absence de standardisation et de définition claire du contenu des rapports de gestion, gagnerait à devenir plus explicite à ce niveau et par suite sur le contenu des éléments sur le contrôle interne que doit inclure ce rapport. 88 Item 15. Controls and Procedures 65 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 65 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB 2. Pratiques des auditeurs en matière du contrôle interne en Tunisie A ce niveau nous allons procéder à l‟analyse des rapports des commissaires aux comptes des sociétés pour lesquelles on a procédé à l‟analyse des pratiques des directions en matière de contrôle interne. L‟analyse a porté sur l‟étude de conformité desdits rapports aux dispositions de l‟article 3 nouveau de la loi 2005-96, loi pour le renforcement des sécurités financières90. L‟article précité a mis à la charge des commissaires aux comptes des sociétés faisant appel public à l‟épargne, l‟obligation de revue périodique des systèmes de contrôle interne, et la matérialisation de cette revue par l‟insertion d‟un paragraphe au niveau de leur rapport général de commissariat aux comptes, L‟observation de ces rapports nous a permis de relever les points suivants : Certains rapports des commissaires aux comptes des sociétés cotées à la bourse des valeurs mobilières de Tunis, et bien qu‟ils devraient être publiées dans un délai de quatre mois, au plus tard, de la clôture de l‟exercice comptable 91 ne sont pas en conformité avec ces délais. Globalement, les rapports des commissaires aux comptes ont été en conformité, aux normes d‟audit adoptés en Tunisie92, et ont inclus un paragraphe comportant la responsabilité de la direction dans la préparation, l‟établissement et la présentation des états financiers93. Les rapports déclarent la responsabilité totale et complète dans la mise en place d‟un bon système de contrôle interne de celle ci. Cette responsabilité « inclut la définition, la mise en place et le suivi d'un contrôle interne sur 90 L‟article 3 a modifie l‟article 14 de la loi 94-117 du 14 novembre 1994 portant réorganisation du marche financier des sociétés faisant appel public à l‟épargne 91 Article 15 de la loi 2005-96 du 18 Octobre 2005, relative au renforcement de la sécurité des relations financières, ayant modifié les dispositions de l‟article 3 de la loi 94-117 du 14 Novembre 1994 92 Les normes internationales d‟audit ont été adoptées, en 1999, par l‟Ordre des Experts Comptables de Tunisie en tant que normes d‟exercice professionnel en Tunisie 93 Seuls 3 rapports n‟ont pas inclus de paragraphe mentionnant la responsabilité de la direction 66 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 66 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB l'établissement et la présentation sincère d'états financiers ne comportant pas d'anomalies significatives, qu'elles résultent de fraudes ou d'erreurs94». 21 6 Obligation non respectée Obligation respectée Responsabilité de la direction en matière de contrôle interne Les commissaires aux comptes semblent se conformer à l‟obligation de matérialisation de leurs revues périodiques du contrôle interne, tel qu‟édicté par les termes de l‟article 3 nouveau de la loi 2005-96. Cette matérialisation s‟est traduite par l‟insertion d‟un paragraphe au niveau de leurs rapports. En effet, uniquement 3 rapports des commissaires aux comptes des sociétés, non financières cotées à la bourse des valeurs mobilières de Tunis sur les 27 exploités, n‟ont pas insérés de paragraphe sur le contrôle interne au niveau de leurs rapports relatifs à l‟exercice 2009. Insertion d'un paragraphe d'évaluation sur le contrôle interne Existence de paragraphe d'évaluation 24 Absence de paragraphe d'évaluation 3 Absence de paragraphe d'évaluation 94 Existence de paragraphe d'évaluation ISA 700 « Rapport de l‟auditeur (indépendant) sur un jeu complet d‟états financiers à caractère général » a présenté le contenu du rapport d‟audit / Paragraphe 28 67 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 67 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Le paragraphe d‟évaluation du contrôle interne a été majoritairement (21 sur un total de 24) inséré après l‟opinion d‟audit95, principalement au niveau des vérifications spécifique (21 rapports). Uniquement trois commissaires aux comptes ont inséré le paragraphe en question au niveau d‟un paragraphe précédant leurs opinions d‟audit pour les états financiers de 2009. Paragraphe d'évaluation du contrôle interne Paragraphe d'évaluation du contrôle interne Rapport général - Avant opinion Rapport général - Post Opinion Rapport général - Vérifications spécifiques Rapport spécial 3 2 18 1 La formulation utilisée fait ressortir que l‟évaluation du contrôle interne est effectuée pour les besoins de la fixation de la stratégie d‟audit et non en tant qu‟évaluation proprement dite de ce dispositif (18 rapports sur un total de 27). 5 rapports font mention d‟une mission d‟évaluation proprement dite sans pour autant préciser le cadre de référence, alors que les 4 cas restants ne mentionnent rien. 5 des rapports des commissaires aux comptes, des sociétés autres que financières admises à la cote de la bourse des valeurs mobilières de Tunis, relatifs à l‟exercice 2009, renvoient à un rapport sur le contrôle interne qui aurait été émis à l‟attention de la direction générale. 95 Le positionnement d‟un tel paragraphe a été prévu par le paragraphe 28 de l‟ISA 700 : « Lorsque l'auditeur traite de ces autres obligations dans le rapport d'audit sur les états financiers, celles-ci doivent faire l'objet d'une partie distincte du rapport, après l'opinion exprimée » 68 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 68 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Formulation d'une opinion sur l'évaluation du contrôle interne 19 5 3 Référence à un rapport adressé à la DG Pas de paragraphe d'évaluation Formulation négative de l'opinion sans renvoi àaucu autre rapport A notre sens un tel renvoi (à la lettre de contrôle interne), nous semble inapproprié du fait que l‟accès à cette lettre n‟est pas du ressort public, et qu‟elle n‟est destinée qu‟à l‟attention de la seule direction. 11% des rapports ne font mention d‟aucun paragraphe d‟évaluation du contrôle interne, et ne respectent pas par suite les obligations de la loi de renforcement des sécurités des relations financières. Sur la population ayant inclus un paragraphe d‟évaluation du contrôle interne, 79%96 des rapports des commissaires aux comptes, sur les états financiers des sociétés autres que financières de l‟exercice 2009, comportent une affirmation négative. Le reliquat de la population, soit 21%97 ne contiennent aucune affirmation et font un simple renvoi à la lettre de contrôle interne. Notons à ce niveau, que l‟expression d‟une assurance négative en matière d‟audit, a été prévu pour fournir un niveau d'assurance modéré que les informations examinées ne comportent pas d'anomalies significatives. Les commissaires aux comptes ne produisent donc, qu‟un niveau d‟assurance modéré sur le contrôle interne relatif à la présentation et la préparation des états financiers. L‟assurance modérée provient du fait que les diligences ayant eu lieu sur ce dernier, sont limitées et ne permettent en aucun cas la formulation d‟un avis revêtant les caractéristiques d‟assurance délivrée par une opinion d‟audit. 96 19 sociétés sur une population totale de 24 sociétés 97 5 sociétés sur une population totale de 24 sociétés 69 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 69 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB L‟assurance positive quant à elle, nous parait fortuite, du fait de l‟absence d‟un cadre de référence qui permet la délivrance d‟un tel niveau d‟assurance. Le renvoi à la lettre de contrôle interne est inapproprié du fait que l‟accès à cette lettre n‟est pas du ressort public, et qu‟elle n‟est destinée qu‟à l‟attention de la seule direction. Notons enfin, que les auditeurs américains ne sont pas autorisés à délivrer une affirmation négative sur l‟évaluation faite du contrôle interne : En effet la volonté du législateur Américain, était d‟assurer la mise en place des meilleures règles possibles en matière de gouvernance, et de garantir l‟évaluation du système de contrôle interne mis en place pour atteindre cet objectif. Le législateur américain requiert, donc, la délivrance d‟un niveau d‟assurance élevé de la part des auditeurs Américains en ce qui concerne le contrôle interne, à l‟instar de ce qui est requis pour l‟opinion sur les états financiers publiés. L‟absence d‟un cadre légal clair, rend la tâche des commissaires aux comptes tunisiens délicate pour pouvoir délivrer une opinion avec un niveau d‟assurance raisonnable que le contrôle interne ne comporte pas d‟anomalies significatives et fonctionne convenablement. Les termes de la loi de renforcement des sécurités financières, et bien qu‟ils ne soient pas très clairs, viseraient à aboutir à une certification du contrôle interne par les commissaires aux comptes. L‟état des lieux actuel, en ce qui concerne la normalisation de la profession d‟audit légal en Tunisie, ne permet en aucun cas, l‟atteinte d‟un tel objectif. En effet, la normalisation tunisienne actuelle se caractérise par l‟absence d‟une norme d‟audit permettant l‟atteinte de cet objectif ou de norme professionnelle prévoyant les diligences à mettre en œuvre par les auditeurs pour exprimer une certification conjointe des états financiers et du contrôle interne, à l‟instar de la norme d‟audit du PCAOB. 70 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 70 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Conclusion de la première partie Les lois de sécurités financières publiées un peu partout dans le monde, ont consacré les règles et principes de bonne et saine gouvernance, mettant en place centrale, pour l‟atteinte de celle-ci, le contrôle interne. Les législateurs ont pris conscience de l‟importance conférée au contrôle interne en tant que garant de la pérennité des entreprises et des sécurités des transactions financières de celles ci. Les nouvelles obligations apportées par les lois de sécurités financières ont exigé l‟amélioration des communications destinées à l‟actionnariat et aux marchés concernant le contrôle interne. Ces obligations ont été mises à la charge des organes de direction et des auditeurs, et se sont traduites, par la mise en place de modèles évaluatifs dans la plupart des pays et notamment aux USA, où le modèle adopté constitue le modèle le plus utilisé à l‟échelle internationale. En Tunisie, et bien que de meilleures communications sur le contrôle interne aient été mises en place et exigées par la loi de renforcement des sécurités des transactions financières, cellesci ne semblent pas s‟améliorer de façon considérable, pour autant. L‟absence d‟un modèle évaluatif, c'est-à-dire, d‟un cadre de référence permettant l‟amélioration de ces communications concernant le contrôle interne nous semble à l‟origine de celui-ci. Dans la deuxième partie, nous nous proposerons d‟étudier le modèle évaluatif le plus répandu et le plus développé à l‟échelle internationale, à savoir le modèle américain. Cette partie sera consacrée à l‟étude du référentiel COSO et de la norme d‟audit 5 du PCAOB parmi les référentiels les plus utilisés pour la certification du contrôle interne et elle aboutirait à la proposition d‟une démarche combinée pour l‟évaluation du contrôle interne. 71 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 71 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Deuxième partie : Démarche d’évaluation du système de contrôle interne : Le COSO et le standard d’audit 5 du PCAOB 72 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 72 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Chapitre 1 : Référentiels et composantes Section 1 : Présentation Les nouvelles obligations apportées par les lois de sécurités financières ont exigé, l‟amélioration des communications destinées à l‟actionnariat et aux marchés concernant le contrôle interne. Ces obligations ont été mises à la charge des organes de direction et des auditeurs, et se sont traduites, par la mise en place de modèles évaluatifs pour se faire. Aux USA, ces modèles ont été développés sous forme de norme d‟audit, à utiliser pour aboutir à la certification du contrôle interne à l‟égard de l‟information financière et des états financiers et ce de façon concomitante. La norme 5 du PCAOB ainsi que le volume 3 du COSO ayant trait aux petites entreprises (Small business) constituent à notre sens, des références normatives en la matière. En ce qui suit, nous nous proposerons d‟étudier ce modèle évaluatif qui est considéré parmi les référentiels les plus utilisés pour la certification du contrôle interne, en premier lieu, avant de proposer une démarche combinée pour l‟évaluation du contrôle interne en deuxième lieu. Paragraphe 1 : COSO L‟adoption de la loi SOX aux USA, a fait que COSO internal control framework, soit reconnu par la SEC et autres organismes professionnels, comme étant, le cadre conceptuel le plus approprié pour aider les entreprises à évaluer et améliorer leurs systèmes de contrôle interne, et répondre ainsi, aux exigences qu‟il a introduit. Pour rappel, le cadre de référence de contrôle interne du COSO, a été émis en 1992, suite à la mission qui a été confiée à un cabinet d‟audit indépendant en 1987. Les travaux de ce cabinet ont été couronnés par l‟émission d‟un rapport sur le contrôle interne. Ce rapport, et en dépit des années passées, a conservé toute sa pertinence et est considéré, unanimement, à cette date, comme étant, « le » cadre conceptuel pour le contrôle interne, « le » cadre de contrôle interne 73 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 73 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB le plus approprié et le plus adapté et développé et qui est devenu depuis, la référence commune qui imprègne largement toute réflexion sur le contrôle interne. Le cadre de référence du contrôle interne, nommé COSO 1, a défini un ensemble de règles et principes, permettant la mise en place d‟un bon système de contrôle interne, son évaluation ainsi que son amélioration. La cadre de référence du contrôle interne a été depuis sa rédaction, développé pour tenir compte, des difficultés pratiques de son application et la lourdeur de sa mise en place rencontrée, notamment, par les sociétés à tailles réduites. Ces dernières, ont fait face à des couts imprévus pour la mise en place d‟un bon système de contrôle interne en conformité avec les principes du COSO 1. Pour palier à ses difficultés, COSO a émis en 200698, un document en trois volumes, intitulé « Contrôle interne sur l‟information financière : Lignes directrices à l‟intention des petites sociétés ouvertes ». Ce document, a présenté des lignes directrices pour l‟application des dispositions du COSO 1, par les sociétés de moindres tailles, les petites sociétés faisant appel public à l‟épargne. Ces lignes directrices, constituent une aide aux dirigeants, pour établir et maintenir un contrôle interne adéquat à l‟égard de l‟information financière, d‟une part, mais aussi pour leur permettre d‟évaluer le caractère satisfaisant du contrôle interne avec beaucoup plus d‟efficience, d‟autre part. En effet, le document de Juin 2006 a été émis en trois volumes99, dont le troisième a été dédié « aux outils pratiques pour évaluer le contrôle interne100 », sur lesquels, les dirigeants des 98 Le document a été émis en Juin 2006 et s‟intitule COSO internal control framework : Guidance for smaller public companies 99 Le volume 1 contient un Résumé destiné aux conseils d‟administration et aux cadres dirigeants. Le volume 2 offre un aperçu du contrôle sur l‟information financière pour les plus petites entreprises et présente 20 principes fondamentaux ainsi que les approches à adopter par les petites entreprises pour bien appliquer le cadre. Le volume 3contient des outils pratiques pour l‟évaluation du contrôle interne 74 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 74 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB petites sociétés ouvertes américaines, peuvent s‟appuyer et utiliser afin de « déterminer si la société a appliqué les principes efficacement 101» Le document a présenté les caractéristiques des plus petites entreprises 102, mettant l‟accent surtout sur la taille et ce en dépit de la façon dont on l‟évalue à savoir, par les produits, le personnel, les actifs ou d‟autres critères. Le document, a présenté, et à titre indicatif, les caractéristiques suivantes comme indicateurs des plus petites entreprises : « - Un moins grand nombre de branches d’activité et de produits offerts par branche d’activité ; - La concentration des activités de commercialisation, par circuit de distribution ou par secteur géographique ; - Des dirigeants possédant une participation ou des droits de propriété importants ; - Un moins grand nombre de niveaux de direction et des responsabilités plus étendues ; - Des systèmes et protocoles de traitement des opérations moins complexes ; - Un moins grand nombre d’employés ayant des responsabilités plus vastes ; - Une capacité limitée à affecter des ressources aux positions hiérarchiques et fonctionnelles, notamment en ce qui a trait aux affaires juridiques, aux ressources humaines, à la comptabilité et à la vérification interne. » La définition donnée par ces lignes directrices, aux plus petites entreprises, peut, à notre sens, correspondre à toutes les entreprises tunisiennes et non seulement les PME. 100 Contrôle interne sur l‟information financière _ lignes directrices à l‟intention des petites sociétés ouvertes / Volume 1 : Résumé – Juin 2006 101 Contrôle interne sur l‟information financière _ lignes directrices à l‟intention des petites sociétés ouvertes / Volume 1 : Résumé – Juin 2006 102 Les lignes directrices de Juin 2006 ne contiennent pas de définition des petites entreprises : Elles ont parlé « de « plus petites entreprises » pour indiquer qu‟elles visent une grande variété d‟entreprises, notamment celles de plus au moins grandes tailles, mais pour qui ces lignes seraient suffisantes pour se conformer aux dispositions du COSO 1 75 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 75 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Dans ce qui suit, et pour les besoins de mise en place, de la démarche d‟évaluation proposée, nous allons focaliser nos travaux sur les lignes directrices de Juin 2006 et notamment le volume 3 ayant introduits les outils nécessaires pour l‟évaluation du contrôle interne sur l‟information financière. Paragraphe 2 : Standard d’audit n°5 du PCAOB (AS 5) Le PCAOB, organisme soumis à la surveillance de la SEC103, a été accrédité de pouvoir émettre des normes d‟audit qui permettent de répondre aux obligations introduites par la loi SOX. Au début du mois de mars 2004, le PCAOB a approuvé la version définitive d‟une norme d‟audit intitulée « An Audit of Internal Control Over Financial Reporting Performed in Conjunction with an Audit of Financial Statements 104». La norme du PCAOB a défini des exigences, et a énoncé un ensemble de directives en matière d‟évaluation du contrôle interne à l‟égard de l‟information financière. Ces directives, se fondent sur les principes énoncés par le cadre de référence du contrôle interne du COSO. En application de cette norme, les auditeurs sont tenus de délivrer une opinion sur la fiabilité et sincérité de l‟évaluation du contrôle interne qui est effectuée par la direction et sur l‟efficacité du dispositif de contrôle interne mis en place. Cette norme a été depuis abrogée et remplacée par la norme intitulée « An audit of internal control over financial reporting that is integrated with an audit of financial statements105 ». 103 Le PCAOB est composé de cinq membres nommés pour une durée de cinq ans par la SEC (« Securities and Exchange Commission ») et leur mandat est renouvelable une seule fois. Deux personnes au plus parmi les cinq membres peuvent être ou avoir été auditeurs, « certified public accountants ». Si le Président du PCAOB est une de ces personnes, il convient qu‟il n‟ait plus exercé la profession d‟auditeur pendant au moins cinq ans à dater de sa nomination comme Président 104 Norme d‟audit No. 2 du PCAOB 105 Norme d‟audit No. 5 du PCAOB promulguée en date du 12/07/2007 76 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 76 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB En effet, le PCAOB, et à l'issue de deux années de mise en œuvre de la loi SOX, et suite au feedback provenant de l‟expérience accumulée, et les remarques et réserves formulées par les auditeurs et par les entreprises Américaines, s‟est proposé de réviser la norme d'audit No. 2, afin de recentrer l'auditeur sur des problématiques plus importantes et d'aider les auditeurs à auditer de manière plus simple les petites entreprises. La norme d‟audit du PCAOB se fonde sur le principe que l‟intégrité de l‟information financière est la pierre d‟assise des marchés financiers : L‟évaluation du contrôle interne à l‟égard de l‟information financière d‟une société, et les rapports y afférents, peuvent aider la direction à établir un contrôle interne, ou à maintenir et améliorer celui qui existe déjà. Les évaluations peuvent aider à repérer les procédures qui sont inefficaces compte tenu des coûts, à réduire les coûts de traitement des informations comptables, à accroître la productivité de la fonction Finances de la société et à simplifier les systèmes de contrôle financier. Elles peuvent également réduire le nombre de retraitements dont les états financiers font l‟objet, ainsi que le nombre de litiges. Le principal avantage des évaluations, réside toutefois, dans le fait qu‟elles procurent une base raisonnable et fiable en vue de la communication d‟une information financière fiable et intègre. L‟objectif poursuivi par la norme d‟audit du PCAOB, est de permettre de fournir un niveau d'assurance élevé, et d'étayer une opinion sur l'efficacité du contrôle interne à l‟égard de l‟information financière, ainsi qu‟une opinion sur les états financiers. La norme est parue sous une forme générique, c'est-à-dire basée sur un ensemble de principes et directives, en conformité avec les dispositions du cadre COSO, de sorte qu‟elle puisse s‟appliquer à toutes les situations dans lesquelles une entité est tenue ou choisit de faire vérifier l'efficacité de son contrôle interne à l‟égard de l‟information financière. La norme répond aux exigences édictées par la loi SOX et permet à l‟auditeur de satisfaire conjointement ces deux objectifs : 77 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 77 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Appréciation du dispositif de contrôle interne relatif à la préparation du reporting financier et la formulation d‟une opinion sur celui-ci, à la date de clôture, et sur l‟évaluation qui en est faite par la direction. Formulation d‟une opinion d‟audit sur les états financiers. Cette norme constitue à cette date, la principale référence normative en matière d‟une double certification : La certification du contrôle interne et la certification des états financiers. La norme a été depuis enrichie par un guide d‟application pour les plus petites entreprises. La dernière version de ce guide a été émise en date du 23/01/2009. Ce guide d‟application, constitue une traduction pratique pour la mise en application de la norme d‟audit PCAOB 5 dans la double certification du contrôle interne et des états financiers des plus petites entreprises. Pour les besoins de notre travail, nous présenterons une démarche de certification basée sur cette norme et sur les lignes directrices de Juin 2006 du volume 3 du COSO, pour répondre aux obligations introduites par la loi de sécurités financières Tunisienne en matière de certification du contrôle interne. En effet, et bien que les obligations introduites par la loi Tunisienne en matière de certification du contrôle interne, sont assez semblables à celles introduites par la loi Américaine, aucune norme d‟audit permettant l‟atteinte de cet objectif de certification n‟a vu le jour à cette date. Ce vide normatif fait que ces obligations sont respectées de façon rudimentaire, et ne corrobore en aucun cas l‟achèvement de l‟objectif visé par le législateur en matière de contrôle interne, à savoir une évaluation proprement dite et une certification d‟un niveau équivalent à celui exprimé au niveau d‟une opinion d‟audit. Ceci se traduit généralement par l‟expression d‟une formulation négative au niveau de des rapports d‟audit des auditeurs légaux tunisiens. 78 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 78 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Section 2 : Composantes du contrôle interne à l’égard des deux référentiels Dans ce qui suit, nous allons présenter les composantes du contrôle interne des deux référentiels retenus, à savoir le cadre de référence COSO et la norme d‟audit No.5 du PCAOB. Paragraphe 1 : Les cinq composantes COSO COSO définit le contrôle interne comme un processus intégré, qui est l‟affaire de tous au sein de l‟entreprise, visant à donner une assurance raisonnable que l‟information financière est fiable. COSO s‟articule sur cinq composantes, reliées de façon logique, fonctionnant de concert pour permettre l‟atteinte des objectifs de l‟entreprise en matière de fiabilisation de l‟information financière. Le processus de contrôle interne, commence avec la fixation, par la direction, des objectifs en matière d‟information financière et la détermination et l‟évaluation des risques qui leur sont associés, ainsi que la façon avec laquelle ces risques sont gérés et traités, et ce par le biais d‟activités de contrôles claires et pertinentes. Ces informations sont diffusées et communiquées au sein de l‟entreprise, au sein de l‟environnement de contrôle, pour fonctionner convenablement étant donné, que le contrôle interne est l‟affaire de tous. Un suivi est mis en place, finalement, pour s‟assurer que les contrôles continuent à fonctionner de la façon escomptée. Il s‟en suit, que l‟évaluation du contrôle interne, vise à vérifier, que les cinq composantes fonctionnent concrètement, car chaque composante est importante pour l‟atteinte de l‟objectif de communication d‟une information financière fiable. Ces composantes, en fonctionnant de concert, visent à prévenir, détecter et mettre en place des actions correctives, quant à d‟éventuelles inexactitudes significatives qui peuvent être inclues dans les rapports financiers. Ces cinq composantes se détaillent donc comme suit : 79 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 79 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB A. Environnement de contrôle La culture d‟une entreprise, est un élément très important de l‟environnement de contrôle, puisqu‟elle détermine le niveau de sensibilisation du personnel au besoin de contrôles. Elle constitue le fondement de tous les autres éléments du contrôle interne, en imposant discipline et organisation. Le contrôle interne est mis en œuvre par des personnes. Ce n‟est pas simplement un ensemble de manuels, de procédures et de documents. Il est assuré par des personnes, à tous les niveaux de la hiérarchie, qui concourent à la réalisation de cet objectif commun : Le contrôle interne est l‟affaire de la direction, des cadres et des autres membres du personnel : Les individus en fixent les objectifs et le mettent en place Les facteurs ayant un impact sur l‟environnement de contrôle comprennent notamment l‟intégrité, l‟éthique et la compétence du personnel ; la philosophie des dirigeants et le style de management ; et enfin la politique de délégation des responsabilités, d‟organisation et de formation. La mise en place d‟un environnement de contrôle est la première étape de l‟établissement d‟un système de contrôle interne. Il constitue un élément de base, indispensable à la création et au maintien d‟un système de contrôle interne efficace. B. Evaluation du risque Chaque entreprise, et dans le cours de réalisation de ses activités, est confrontée à un ensemble de risques externes et internes qui doivent être évalués. L‟évaluation des risques consiste en l‟identification et l‟analyse des facteurs susceptibles d‟affecter la réalisation des objectifs relatifs à l‟information financière, à savoir la communication d‟une information financière fiable : Il s‟agit d‟un processus qui permet de déterminer comment ces risques doivent-ils être gérés. 80 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 80 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Compte tenu de l‟évolution permanente de l‟environnement économique, du contexte légal et réglementaire ainsi que des conditions de travail, il est nécessaire de disposer de méthodes permettant d‟identifier et de maîtriser les risques auxquels l‟entreprise fait face. Une fois les risques inventoriés, une phase d‟analyse est lancée, afin de déterminer la probabilité de survenance d‟un risque et les impacts qu‟il peut générer sur l‟information financière. Il s‟agit donc, enfin de décider si un risque doit être évité, limité, assuré ou accepté. C. Activités de contrôle Différents risques peuvent entraver l‟atteinte des objectifs d‟une entreprise. Il s‟agit de mettre en place des mesures pour y faire face, ainsi que les contrôles nécessaires afin que ces mesures soient effectives. Les activités de contrôle sont menées à tous les niveaux hiérarchiques et fonctionnels d‟une entreprise et comprennent des actions très variées : Approuver et autoriser, vérifier et rapprocher, apprécier les performances, la sécurité des actifs ou encore la séparation des fonctions. Ces activités sont mises en place en respectant le rapport avantages / couts. D. Information et communication L‟information pertinente doit être identifiée, recueillie et diffusée sous une forme et dans des délais opportuns, qui permettent à chacun d‟assumer ses responsabilités et qui permettent l‟atteinte des objectifs relatifs à l‟information financière. Les systèmes d‟information produisent, entre autres, des données opérationnelles, financières, ou encore liées au respect des obligations légales et réglementaires, qui permettent de gérer et de contrôler l‟activité. Ces systèmes traitent, non seulement les données produites par l‟entreprise, mais également celles qui, liées à son environnement externe, sont nécessaires à la prise de décisions. 81 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 81 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB La direction doit transmettre un message très clair à l‟ensemble du personnel sur les responsabilités de chacun en matière de contrôle. Les employés doivent comprendre le rôle qu‟ils sont appelés à jouer, ainsi que la relation existant entre leurs propres activités et celles des autres membres du personnel. Ils doivent être en mesure de faire remonter les informations importantes : Il s‟agit à ce niveau de la communication interne : Celle-ci est jugée efficace s‟elle est faite de façon multidirectionnelle, c‟est-à-dire ascendante, descendante et transversale. E. Pilotage et suivi Un système de contrôle interne à l‟égard de l‟information financière est un système dynamique où de nombreux changements peuvent survenir et rendre certains de ses aspects inadaptés. C‟est pourquoi ce système doit faire l‟objet de contrôles, permettant d‟en évaluer l‟efficacité continue. Pour cela, il convient de mettre en place un système de pilotage permanent, de procéder à des évaluations périodiques ou encore de combiner les deux méthodes. Le pilotage permanent s‟inscrit dans le cadre des activités courantes et comprend des contrôles réguliers, effectués par la direction et le personnel d‟encadrement ainsi que d‟autres techniques utilisées par le personnel à l‟occasion de ses travaux. L‟étendue et la fréquence des évaluations dépendent essentiellement du niveau de risques et de l‟efficacité du processus permanent de surveillance. Les faiblesses du contrôle interne doivent être portées à l‟attention de la hiérarchie et les lacunes les plus graves doivent être signalées à la direction, et ce dans l‟objectif d‟y apporter des actions correctives permettant au système de contrôle interne à l‟égard de l‟information financière de fonctionner convenablement et efficacement. 82 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 82 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Paragraphe 2 : L’AS 5 : Approche top down ou l’approche par les risques A. Les contrôles au sein de l’entreprise (L’environnement de contrôle) L‟auditeur, et grâce à sa maitrise des zones de risque sous tendant la préparation et la publication d‟états financiers, concentre ses travaux sur les contrôles mis en place et effectués par l‟entreprise, et exerce son jugement professionnel pour se focaliser sur ces zones. Les contrôles au sein de l‟entreprise, sont tous les mécanismes, procédures et autre organisation qui sont mis au sein de l‟entreprise pour détecter et/ou prévenir le risque de survenance d‟erreurs significatives au niveau du reporting financier et atteindre ainsi l‟objectif visé par le contrôle interne à l‟égard de l‟information financière. Ces contrôles, et pour être efficaces, se doivent d‟être appropriés, fonctionner de façon continue et cohérente, être exhaustifs et directement liés aux objectifs suivis et assurer raisonnablement un équilibre entre le cout de leur mise en place et les bénéfices qui en découleraient. Les contrôles au sein de l‟entreprise, doivent être traités selon leur nature et leurs liens avec les composantes du reporting financier : Ils sont par suite, soit directs, soit indirects. Les contrôles indirects sont ceux qui ont trait à l‟environnement de contrôle lui-même. En effet, un bon environnement de contrôle permet, de façon indirecte, de détecter et/ou même prévenir, le risque de survenance d‟erreurs significatives au niveau du reporting financier. Ces contrôles peuvent affecter, la nature, la périodicité et l‟étendue des contrôles à effectuer. Les contrôles indirects, nous renvoient donc, à la première des cinq composantes du COSO, à savoir « L‟environnement de contrôle » et inclut notamment, l‟existence de code de conduite au sein de l‟entreprise l‟intégrité, l‟éthique et la compétence du personnel ; la philosophie des dirigeants, le style de management, la politique de délégation des responsabilités, d‟organisation et de formation... 83 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 83 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Les contrôles directs, sont ceux qui sont mis en place pour permettre de détecter et/ou prévenir le risque de survenance d‟erreurs significatives au niveau des assertions : Ces contrôles peuvent être scindés en contrôles de conformité ou contrôles applicatifs, préventifs et de détection et autres contrôles compensatoires. Ces contrôles ont trait principalement à l‟importance de l‟implication de la direction dans la gestion courante et le risque qu‟elle outre passe les contrôles mis en place, l‟implication du conseil d‟administration et du comité d‟audit dans les règles de gouvernance, l‟existence de processus d‟évaluation des risques ainsi que de mécanismes anti fraudes, le contrôle des opérations, ainsi que le contrôle du processus de clôture des comptes … La compréhension suffisante des contrôles existants au sein de l‟entreprise, offre à l‟auditeur la capacité d‟évaluer les risques significatifs au niveau des comptes, et groupe de comptes significatifs et les assertions qui y sont reliés. B. Les comptes et les assertions Pour délimiter les zones de risques, les comptes significatifs et les assertions qui y sont reliés, sous tendant l‟établissement des états financiers, doivent être déterminés. Les comptes significatifs et les assertions sont déterminés, de façon identique, que pour une mission d‟audit. Il s‟agit des comptes et groupe de comptes, pouvant contenir un risque important de survenance d‟erreurs, pouvant engendrer des erreurs et défaillances significatives au niveau des états financiers, et tel que ces derniers ne reflèteraient plus fidèlement, la réalité économique de l‟entreprise. Ces risques sont évalués, aussi bien, d‟un point de vue quantitatif, que d‟un point qualitatif. Les comptes et assertions significatifs, sont jugés, par rapport, à l‟importance et/ou la complexité des flux et des transactions au sein d‟un compte, la nature de ces transactions, le risque de survenance d‟erreurs et de fraudes au niveau de ces comptes, la complexité des traitements comptables y associés et des obligations de divulgation sur le contenu de certains types de comptes (parties liées…), ou encore ceux contenant un changement significatif ayant intervenu par rapport au dernier arrêté… 84 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 84 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Les assertions, sont celles sous tendant l‟établissement des états financiers et qui peuvent contenir des défaillances majeures qui pourraient engendrer des erreurs significatives au niveau des états financiers. Les erreurs pouvant survenir au niveau d‟un compte sont ceux qui proviennent d‟erreurs au niveau des écritures comptables, d‟écritures comptables manquantes, ou encore d‟erreurs d‟imputations comptables (Un compte est mouvementé alors qu‟un autre compte aurait du l‟être). S‟assurer du solde d‟un compte, requiert donc, que les enregistrements comptables répondent aux assertions sous tendant la préparation des états financiers, à savoir aux assertions qui ont trait aux flux d‟opérations et les événements survenus au cours de la période106, celles concernant les soldes des comptes en fin de période107 ainsi que celles concernant la présentation et les informations fournies dans les états financiers108. Les comptes et les assertions qui y sont reliées doivent être classés selon leur importance relative ; Cette importance, est jugée par rapport au risque de survenance d‟erreurs significatives au niveau des états financiers. C. Les process Les comptes ainsi que les assertions qui y sont rattachées, doivent être ensuite affectés aux divers process majeurs de l‟entreprise Les process significatifs, ou encore majeurs, sont ceux qui englobent les transactions significatives de l‟entreprise, qui impactant à leur tour les comptes significatifs et les assertions y afférentes et sont par suite, ceux qui influent l‟évaluation du contrôle interne à l‟égard de l‟information financière. 106 ISA 500 « Eléments probants » : Survenance, exhaustivité, exactitude, séparation des périodes et imputation comptable 107 ISA 500 « Eléments probants » : Existence, droits et obligations, exhaustivité, valorisation et affectation 108 ISA 500 « Eléments probants »: Survenance, exhaustivité, classification et compréhension, exactitude et valorisation 85 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 85 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Déterminer et documenter les process significatifs, a pour objectif de faciliter la détermination des risques au niveau des états financiers, permettant ainsi, de fournir une base adéquate pour identifier et évaluer les contrôles interne à l‟égard de l‟information financière. Ceci, fournit des éléments probants et suffisants, constituant une base raisonnable pour l‟évaluation du contrôle interne à l‟égard de l‟information financière. Notons enfin, que les transactions d‟une entreprise peuvent être scindées en trois types : Les transactions routinières, non routinières et les estimations comptables. D. Les risques Les risques doivent être déterminés et rattachés à chaque process. Les risques associés à la communication de l‟information financière, une information financière fiable, doivent être identifiés : Ces risques consistent en la possibilité de survenance d‟anomalies significatives, tel que l‟objectif poursuivi par le contrôle interne à l‟égard de l‟information financière, ne soit plus atteint, à savoir la présentation d‟une information financière fiable. Les risques liés à chaque activité ou encore chaque process, en rapport avec l‟information financière, et pour être identifiés et gérés, se doivent d‟être précédés par une définition et une conception claire des objectifs visés par le contrôle interne à l‟égard de l‟information financière. Les assertions significatives ainsi que le risque de survenance d‟inexactitudes dus à des fraudes sont à prendre aussi en considération pour la détermination des risques significatifs. Les risques sont les événements, actions ou encore l‟absence d‟actions, qui peuvent engendrer des erreurs significatives au niveau des comptes significatifs et les assertions qui y sont relatives. E. Les contrôles à tester Les contrôles à tester, sont ceux qui permettent de répondre aux risques d‟erreurs significatives : Il s‟agit de tous les mécanismes, procédures et autre organisation, qui sont mis 86 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 86 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB au sein de l‟entreprise, pour détecter et/ou prévenir le risque de survenance d‟erreurs significatives au niveau du reporting financier. Ces contrôles, et pour être efficaces, se doivent d‟être appropriés, fonctionner de façon continue et cohérente, être exhaustifs et directement liés aux objectifs suivis, et assurer raisonnablement un équilibre entre le cout de leur mise en place et les bénéfices qui en découleraient. Chapitre 2 : Evaluation du contrôle interne : Vers l’utilisation d’une approche combinée Section 1 : L’environnement du contrôle interne L‟évaluation du contrôle interne, suppose tout d‟abord, une bonne compréhension de l‟environnement de contrôle et de son fonctionnement. La mise en place d‟un environnement de contrôle, est la pierre angulaire de l‟édification d‟un système de contrôle interne efficace. Son évaluation, constitue par suite, la première étape pour l‟évaluation du contrôle interne à l‟égard de l‟information financière d‟une entreprise. Le contrôle interne est mis en œuvre par des personnes, et est assuré par des personnes, à tous les niveaux de la hiérarchie, qui concourent à la réalisation de ses objectifs. Pour évaluer l‟environnement de contrôle, les facteurs ayant un impact sur ce dernier doivent être évalués : Il s‟agit donc d‟évaluer l‟intégrité, l‟éthique et la compétence du personnel, la philosophie des dirigeants et le style de management et enfin la politique de délégation des responsabilités, d‟organisation et de formation. Paragraphe 1 : Intégrité et éthique L‟intégrité est définie par Larousse comme étant la : « qualité de quelqu'un, de son comportement, d'une institution qui est intègre, honnête ». 87 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 87 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB L‟éthique, quant à elle, nous revoit à la morale, qui est définie par Larousse comme étant un : « ensemble de règles de conduite, considérées comme bonnes de façon absolue ou découlant d'une certaine conception de la vie ». L‟intégrité et l‟éthique sont donc, des qualités ayant trait à la moralité des dirigeants, leur comportement et leur conception et vision de l‟entreprise et la discipline et autres lignes de conduite au sein de celle-ci. L‟intégrité et l‟éthique constituent donc, les qualités essentielles et primordiales que doit revêtir un environnement de contrôle. Elles sont les principales caractéristiques que devrait contenir l‟environnement de contrôle, car elles sont les garantes de l‟efficacité du fonctionnement de ce dernier. Une parfaite intégrité et de solides valeurs éthiques, bien diffusés et bien comprises, détermine la ligne de conduite à l‟égard de l‟information financière. Selon les normes internationales d‟audit : « L'intégrité et les valeurs éthiques sont les éléments essentiels de l'environnement de contrôle qui influencent l'efficacité de la conception, de la gestion et du suivi des autres composantes du contrôle interne. L'intégrité et le comportement éthique sont le produit des normes d'éthique et de comportement de l’entité, de la manière dont elles sont communiquées et dont elles sont mises en œuvre en pratique. Elles incluent les actions de la direction pour supprimer ou réduire les incitations et les tentations qui pourraient amener le personnel à effectuer des actes malhonnêtes, illégaux ou non éthiques 109». Evaluer ces règles d‟intégrité et d‟éthique revient donc à effectuer les travaux suivants : Evaluer les règles d‟éthique et d‟intégrité, leur définition par le top management, ainsi que leur diffusion au sein de l‟entreprise, et leur compréhension à tous les échelons de celle-ci. 109 ISA 315 « Connaissance de l‟entité et de son environnement et évaluation du risque d‟anomalies significatives» 88 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 88 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Evaluer les mécanismes mis en place pour assurer le pilotage et le suivi de l‟adhésion du personnel à ces règles. Evaluer la réactivité des mécanismes mis en place, pour déceler toutes les déviations, par rapport à ces règles d‟éthique et d‟intégrité. Ces mécanismes, doivent être capables de déceler ces défaillances à temps et engendrer des actions du top management pour lutter contre ces défaillances. Paragraphe 2 : Organisation et style de gouvernance Le niveau d‟organisation et le style de management impactent considérablement l‟efficacité du contrôle interne à l‟égard de l‟information financière. Une organisation est une structure régulée, englobant un système de communication pour faciliter la circulation de l‟information, dans le but de répondre à des besoins et d'atteindre des objectifs déterminés. Un dispositif de contrôle interne efficace, doit prévoir une organisation appropriée, qui fournit le cadre dans lequel les activités nécessaires à la réalisation des objectifs sont planifiées, exécutées, suivies et contrôlées, comportant une définition claire des responsabilités, disposant des ressources et des compétences adéquates et s‟appuyant sur des procédures, des systèmes d‟information, des outils et des pratiques bien définis et bien clairs. Une attention particulière doit être donnée, aux mécanismes mis en place par la direction en matière de maintien d‟une structure organisationnelle, permettant un fonctionnement effectif du système de contrôle interne à l‟égard de l‟information financière. La régulation de l‟organisation, est assurée par la direction et son style de gouvernance. A ce niveau une attention particulière doit être portée au style de management au sein de l‟entreprise, car divers styles existent : 89 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 89 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Le style autoritaire caractérisé par la centralisation de prise de décision au sommet de la hiérarchie et l‟absence de délégation du pouvoir, où le système est rigide et peu impliquant où crainte et sanction sont les mots d‟ordre110. Le style consultatif où le personnel est consulté avant la prise de décision mais sans aller au-delà111. Le style participatif caractérisé par une forte implication de tous les acteurs au sein de l‟entreprise et leur forte coopération. L‟ensemble de la structure organisationnelle est concerné par la prise de décision, qui se fait et s‟exprime là où elle s‟applique, favorisant ainsi l‟autonomie et la participation et ce de façon concomitante112. Le style de management de l‟entreprise doit être analysé avec les autres composantes de l‟environnement de contrôle, dans l‟objectif de déceler l‟impact d‟un tel style sur le contrôle interne à l‟égard de l‟information financière. En effet, un style autoritaire, combiné avec un faible sens d‟intégrité et d‟éthique pourrait renseigner sur des risques importants au niveau du fonctionnement du contrôle interne à l‟égard de l‟information financière et la possibilité d‟existence de défaillances majeures au sein de celui-ci. A contrario, un style participatif combiné avec des valeurs éthiques importantes minimiserait l‟existence d‟un tel risque. Paragraphe 3 : Pouvoirs et responsabilités L‟analyse du style de gouvernance et de l‟organisation au sein de l‟entreprise, doit être suivi par l‟analyse des pouvoirs et des responsabilités. Le pouvoir, est la capacité à influer des résultats en fonction de ses objectifs. Il peut provenir de la fonction hiérarchique, ou encore de la maitrise d‟un savoir faire, d‟une compétence ou encore d‟une information. Généralement ces pouvoirs coïncident. Analyser les pouvoirs au sein de l‟entreprise permet d‟appréhender encore plus l‟organisation, et de cerner encore plus les risques pouvant survenir au niveau du contrôle interne à l‟égard de l‟information financière. 110 G. Lécrivain – Management des organisations et stratégies – Pouvoir et gouvernance dans l‟organisation G. Lécrivain – Management des organisations et stratégies – Pouvoir et gouvernance dans l‟organisation 112 G. Lécrivain – Management des organisations et stratégies – Pouvoir et gouvernance dans l‟organisation 111 90 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 90 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Le pouvoir rime toujours, avec la responsabilité, car on ne peut avoir de pouvoir sans en être responsabilisé. La responsabilité est la capacité, d‟une personne de pouvoir prendre des décisions sans en référer au préalable à une autorité supérieure, de donner les motifs de ces actes, et d‟être jugé sur ces derniers. A ce niveau, les systèmes de délégation des pouvoirs doivent être aussi analysés. Les responsabilités et pouvoirs, doivent être « clairement définis et accordés aux personnes appropriées en fonction des objectifs de la société. Ils peuvent être formalisés et communiqués au moyen de descriptions de tâches ou de fonctions, d’organigrammes hiérarchiques et fonctionnels, de délégations de pouvoirs et devraient respecter le principe de séparation des tâches113 ». Paragraphe 4 : Règles et pratiques Il s‟agit, de l‟ensemble des règles et pratiques, diffusées au sein de l‟entreprise, communément admises au sein de celle ci, et qui en édictent les lignes de conduite. Les règles correspondent à toutes les procédures, qui peuvent être très diverses et plus ou moins explicitées dans des codes ou des recueils (plan comptable) s'imposant à tous les acteurs au sein de l‟entreprise. Elles peuvent concerner tant les modalités de collecte et de diffusion de l'information utile sur le fonctionnement des entités que les voies et moyens pour effectuer des opérations bien définies (par exemple, une fusion avec une autre entreprise). La pratique, est l‟ensemble de « procédures » informelles qui influencent les comportements au sein de l‟entreprise. Les comportements complètent la chaine de valeurs au sein de l‟entreprise, en apportant à l‟ensemble des règles et procédures en place, une dimension fondamentale, sans laquelle elles restent, pour l'essentiel, formelles. Les bonnes pratiques, la déontologie ou, à l'opposé, l‟absence de scrupules et les déviations ont une part majeure dans l‟évaluation de l‟environnement de contrôle, et par suite l'efficacité du système de contrôle interne à l‟égard de l‟information financière, à l'instar de tout système humain 113 Le dispositif du contrôle interne : Cadre de référence Français - Les composantes du contrôle interne 91 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 91 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Paragraphe 5 : Les ressources humaines et la valorisation de la compétence Le contrôle interne à l‟égard de l‟information financière est mis en œuvre, par les ressources humaines de l‟entreprise. Ces dernières constituent, par suite, l‟une des conditions nécessaires pour l‟atteinte de ses objectifs. Les politiques et les pratiques de gestion des ressources humaines mises en œuvre, doivent concourir à la mise en place et l‟efficacité de fonctionnement du système de contrôle interne à l‟égard de l‟information financière. Cet objectif est atteint, notamment, par l‟emploi de personnes compétentes en matière d‟information et communication financières et les activités de contrôle et de surveillance y afférentes. Les procédures de recrutement de l‟entreprise, se doivent donc, d‟être basées sur des principes d‟intégrité, et des procédures permettant de déceler les talents nécessaires pour les principaux postes de contrôle et de surveillance, notamment, au sein du département financier de l‟entreprise. Les ressources humaines se doivent d‟avoir les moyens et l‟accès aux ressources nécessaires pour l‟exercice de leurs fonctions en matière de reporting financier. Elles doivent être suivies, et leurs performances appréciées à leurs justes valeurs par le top management de l‟entreprise. Ces règles sont à tenir en ligne de compte pour l‟évaluation de l‟efficacité de l‟environnement de contrôle et par suite le contrôle interne à l‟égard de l‟information financière. Section 2 : Le contrôle interne à l’égard de l’information financière Paragraphe 1 : Définition des comptes significatifs Les comptes significatifs sont les comptes présentant un risque de survenance d‟erreurs significatives, c'est-à-dire les comptes pouvant contenir des erreurs, et tel que ces dernières pourraient avoir un impact significatif sur les états financiers. Un compte est considéré comme significatif par rapport à des facteurs de risques ou s‟il est défini comme tel par la direction. Les facteurs de risques, doivent être définis par rapport à 92 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 92 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB des facteurs, aussi bien quantitatifs, que qualitatifs. L‟évaluateur devrait par suite focaliser ces travaux sur les comptes aux spécificités suivantes114 : Montant et composition du compte ; Possibilité de survenance de pertes dues à des erreurs ou à des fraudes ; Volume des opérations, complexité et homogénéité des transactions individuelles comptabilisées au niveau de ce compte ; Nature du compte ; Difficultés des traitements comptables appliqués à ce compte ; Les transactions enregistrées au niveau du compte peuvent générer des passifs ; Le compte regroupe les transactions avec les parties liées ; Des changements importants ont eu lieu au niveau du compte, et de ses caractéristiques, depuis la dernière date d‟arrêté comptable. Les comptes significatifs, quand ils sont déterminés, sont regroupés par nature de risques encourus et des contrôles qui sont mis en place pour les contrecarrer, ainsi que par la nature des transactions reflétées au niveau de ces comptes. Evaluer les contrôles sur les transactions alimentant les comptes significatifs, nécessite la prise en considération des assertions comptables sous tendant l‟établissement des états financiers. 114 PCAOB / AS 5 / Identifying significant accounts and disclosures and their relevant assertions / Paragraphe 29 à 33 93 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 93 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Paragraphe 2 : Les assertions Les assertions sous tendant la préparation des états financiers on été traités au niveau du paragraphe 28 de la norme d‟audit 5 du PCAOB. Les assertions significatives, au terme de la norme 5, sont celles sous tendant la préparation des états financiers, pouvant contenir des erreurs, tel que les états financiers ne représenteraient plus fidèlement, la réalité économique de l‟entreprise115. L‟évaluateur, identifie les assertions pour chacun des comptes significatifs déterminés préalablement, pour délimiter, donc, les sources de survenance d‟anomalies significatives, au niveau de ces comptes. La norme ISA 500 « Eléments probants » a défini les assertions suivantes: (a) assertions concernant les flux d’opérations et les événements survenus au cours de la période auditée: (i) survenance – les opérations et les événements qui ont été enregistrés se sont produits et se rapportent à l‟entité ; (ii) exhaustivité – toutes les opérations et tous les événements qui auraient dû être enregistrés, sont comptabilisés ; (iii) exactitude – les montants et autres données relatives aux opérations et événements ont été correctement enregistrés ; (iv) séparation des périodes – les opérations et les événements ont été enregistrés dans la bonne période comptable ; (v) imputation comptable – les opérations et les événements ont été enregistrés dans les comptes appropriés. 115 La définition retenue par la norme 5 est identique donc à celle prévue par les normes de l‟IFAC 94 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 94 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB (b) assertions concernant les soldes des comptes en fin de période: (i) existence – les actifs, les passifs et les fonds propres existent ; (ii) droits et obligations – l‟entité détient ou contrôle les droits sur les actifs, et les dettes correspondent aux obligations de l‟entité ; (iii) exhaustivité – tous les actifs, les passifs et les fonds propres qui auraient dû être enregistrés l'ont bien été ; (iv) valorisation et affectation – les actifs, les passifs et les fonds propres sont portés dans les états financiers pour leur bonne valeur et tous les ajustements résultant de leur valorisation ou de leur affectation sont enregistrés de façon appropriée. (c) assertions concernant la présentation et les informations fournies dans les états financiers: (i) survenance, droits et obligations – les événements, les transactions et les autres informations fournies se sont produits et se rapportent à l‟entité ; (ii) exhaustivité – toutes les informations se rapportant aux états financiers qui doivent être fournies dans ces états l'ont bien été ; (iii) classification et compréhension – l‟information financière est présentée et décrite de manière pertinente, et les informations fournies dans les états financiers sont clairement présentées ; (iv) exactitude et valorisation – les informations financières et les autres informations sont fournies sincèrement et pour des montants corrects. 95 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 95 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Paragraphe 3 : Identification des process et des flux de transactions significatives Un process, ou encore processus, est un ensemble d‟activités corrélées et organisées dans le temps, permettant, et de façon optimale, de coordonner et d‟organiser les activités de travail, ainsi que l‟information et les connaissances, et qui concourent à l‟élaboration, la production, le traitement d‟informations, de produits ou de services. Les comptes significatifs, sont alimentés par un ensemble de transactions, initiées, traitées et contrôlées au niveau des process de l‟entreprise, y compris le process comptable et le process annuel de clôture et d‟établissement des états financiers. L‟évaluateur du contrôle interne à l‟égard de l‟information financière, se doit donc, de déterminer les process importants et les transactions significatives, impactant les comptes significatifs, et par suite les états financiers de l‟entreprise. Il s‟agit donc, et sur la base de la connaissance de l‟entreprise et de son environnement de contrôle, d‟inventorier les divers process de l‟entreprise, et les transactions qui les alimentent, et d‟en délimiter les plus importants, du point de vue de leur impact sur les états financiers. L‟évaluateur devrait comprendre les flux de transactions, pour chaque process majeur, identifier les zones de risques, y compris le risque de fraude, sur la base des assertions sous tendant l‟établissement des états financiers, et identifier les contrôles mis en place pour répondre à ces risques. Evaluer le contrôle interne à l‟égard de l‟information financière, revient à évaluer tous les process, à savoir opérationnels, de supports ou encore et surtout comptable, du fait que le risque d‟erreurs peut provenir de l‟un des process opérationnels ou de supports, alors même que le contrôle interne sur le process comptable et financier est jugé efficace et fonctionnant convenablement. Notons enfin, qu‟au sein d‟un même process, certaines transactions, de part leurs natures, peuvent présenter des risques différents, et doivent par suite être analysées et traitées de façon 96 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 96 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB différenciée. Il convient donc, de traiter les transactions en distinguant les transactions répétitives, non répétitives et celles ayant trait aux estimations. Les processus significatifs, doivent faire l‟objet d‟une documentation satisfaisante et détaillée ; L‟enchainement des taches depuis l‟initialisation du process jusqu‟à son dénouement, ainsi que les différents intervenants, et les procédures de contrôle mises en place devraient être étayées de façon claire et bien documentée. Paragraphe 4 : Cartographie des risques d’erreurs au niveau des états financiers A ce niveau, une cartographie des risques pouvant survenir au niveau de chaque process, doit être dressée. Ces risques, doivent être analysés en fonction de leur impact sur l‟information comptable et financière et en fonction des assertions déterminées auparavant; En effet, toutes les assertions doivent être analysées au niveau de chaque process significatif et par suite au niveau de chaque transaction ou groupe de transactions significatives. Les risques sont analysés en terme d‟événement, action ou encore l‟absence d‟action, pouvant engendrer des erreurs importantes, au niveau des comptes significatifs, et par suite au niveau des états financiers. Les risques importants, sont les risques qui peuvent empêcher l‟atteinte des objectifs affectés à un process, notamment la traduction fidèle de la performance économique et qui peuvent raisonnablement survenir et engendrer des erreurs significatives. Ces risques doivent être classés selon leurs importances et leurs impacts au niveau des process, ainsi que la possibilité de leurs survenances ; L‟évaluation de ces risques impacte donc, la méthodologie de la double certification, à savoir celle du contrôle interne d‟une part, et celle des états financiers, d‟autre part. 97 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 97 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Section 3 : Evaluation des risques : COSO Entreprise Risk Management Paragraphe 1 : Objectifs du reporting financier Le reporting financier a été défini par le cadre conceptuel de la comptabilité financière comme « une représentation financière structurée des événements affectant une entreprise et des transactions réalisées par elle ». L'objectif poursuivi par le reporting financier, est de fournir une information sur la situation financière, la performance et les flux de trésorerie d'une entreprise, information utile à une gamme variée d'utilisateurs pour la prise de décisions économiques. Pour atteindre cet objectif, le reporting financier doit être fiable, et établi conformément à un référentiel bien déterminé, et des normes adéquates et adaptées aux circonstances et utilisées convenablement et de façon permanente, et conformément aux caractéristiques qualitatives requises de l‟information financière. L‟objectif ultime, est donc, de fournir une information financière fiable, reflétant fidèlement la réalité économique de l‟entreprise, permettant une bonne prise de décision. Il en découle que, la direction doit implémenter et entretenir un système de contrôle interne pour la réalisation des objectifs d‟efficacité et d‟efficience, d‟un reporting financier fiable et assurant la conformité aux lois et règlements en vigueur. L‟identification des objectifs doit être effectuée de façon claire et adéquate afin de mettre en place, une stratégie, permettant d‟atteindre ces objectifs, et d‟identifier les risques qui peuvent l‟empêcher d‟atteindre les objectifs de fiabilité du reporting financier. Il appartient, par suite, au management d‟identifier les risques internes et externes susceptibles de compromettre la réalisation des objectifs poursuivis par le reporting financier. 98 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 98 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Paragraphe 2 : Risques au niveau du reporting financier Le contrôle interne à l‟égard de l‟information financière doit fournir une assurance raisonnable, que les risques significatifs au niveau du reporting financier sont contrôlés, et que les contrôles en question fonctionnent efficacement, de sorte à permettre la communication d‟une information financière fiable et fidèle. Les risques au niveau du reporting financier, doivent être identifiés et analysés, afin de permettre de définir une stratégie, permettant de les gérer et de les contrôler, ce qui permettra, in fine, d‟atteindre les objectifs poursuivis par le reporting financier. Les risques au niveau du reporting financier, doivent être intégrés et reliés aux contrôles mis en place. Ces risques se doivent d‟être intégrés dans un processus d‟évaluation, incluant l‟estimation de l‟importance de ces risques, l‟évaluation de la probabilité de leurs survenances et la détermination des actions entreprises pour y faire face. A ce niveau, le processus doit permettre d‟identifier les changements significatifs dans la normalisation comptable, dans le choix des normes comptables adoptées par l‟entreprise, ou encore dans les pratiques opérationnelles ou de supports et qui peuvent affecter les enregistrements comptables des transactions ou les procédures de contrôle interne à l‟égard de l‟information financière, qui sont mis en place. L‟évaluateur du contrôle interne à l‟égard de l‟information financière, doit s‟assurer que: l‟entreprise a inventorié la totalité des process ayant un impact sur le reporting financier ainsi que sur les notes aux états financiers, le process d‟identification des risques au niveau du reporting financier, prend en considération l‟existence de ressources humaines compétentes, intègres et ayant une bonne moralité, 99 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 99 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB le process de détermination des risques au niveau du reporting financier, englobe une évaluation des technologies de l‟information, utilisées pour le traitement et la traduction des transactions au niveau du reporting financier, des mécanismes de détermination et d‟évaluation effectifs des risques, internes et externes, au niveau du reporting financier sont mis en place, les risques identifiés sont traités au niveau d‟un process individualisé, permettant d‟évaluer la probabilité de survenance de ces risques et leurs impacts potentiels, Paragraphe 3 : Risque de fraudes L‟évaluation des risques au niveau du reporting financier, doit inclure et prendre en considération, la vulnérabilité de l‟entreprise face à d‟éventuelles manœuvres frauduleuses, des manœuvres, qui peuvent exister au sein de n‟importe quelle organisation, peu importe sa taille, le volume de ses transactions ou la complexité de son business. La fraude est « un acte intentionnel commis par un ou plusieurs dirigeants, par des personnes constituant le gouvernement d'entreprise, par des employés ou par des tiers, impliquant des manœuvres dolosives dans le but d'obtenir un avantage indu ou illégal…entraînant des anomalies significatives dans les états financiers 116». La fraude est tributaire, donc, de l‟existence d‟un mécanisme triangulaire consistant en : L‟existence de pressions exercées sur le gouvernement d‟entreprise sur la performance économique de l‟entreprise ; L‟existence d‟opportunité, qui correspond à l‟existence d‟un terrain propice pour la réalisation de fraudes qui ne sauraient être détectées ; La légitimité de l‟acte frauduleux, qui passe par l‟existence de moyens de justification de ces manœuvres frauduleuses. 116 Norme internationale d‟audit 240 / La responsabilité de l‟auditeur dans la prise en considération de fraudes dans l‟audit d‟états financiers / Paragraphe 6 100 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 100 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Le risque de fraude, au niveau du reporting financier, est le risque d‟occurrence d‟anomalies intentionnelles liées à la présentation d‟un reporting financier erroné, induisant à une mauvaise prise de décision, ou encore, à des détournements d‟actifs. Le risque de fraude lié à la présentation d‟un reporting financier erroné, est le risque de survenance de manipulations, de falsifications, ou d'altérations de documents comptables, d'une fausse traduction ou présentation de faits dans les états financiers, ou d'une omission intentionnelle de ceux-ci, de transactions ou autres informations importantes, ou encore de l'application volontaire de méthodes comptables incorrectes, ou inappropriées, relatives à l'évaluation de postes, leur classification, leur présentation ou à l' information les concernant fournie au niveau des notes aux états financiers. Un détournement d'actifs implique le vol de biens appartenant à l'entité et est en général commis par les employés pour des montants relativement faibles ou non significatifs. Cependant, il peut également impliquer les dirigeants qui sont généralement plus à même de déguiser ou de dissimuler des détournements de façon plus difficile à détecter. Le détournement d'actifs peut être perpétré de différentes manières (en s'appropriant des recettes, en dérobant des actifs corporels ou en portant atteinte à la propriété intellectuelle, en faisant payer l'entité des biens ou des services qu‟elle n'a pas ou dont elle n‟a pas besoin, en utilisant les actifs de l'entité à des fins personnels. Il s'accompagne le plus souvent d'enregistrements comptables ou de documents falsifiés ou trompeurs, destinés à dissimuler la disparition de certains actifs ou le fait qu'ils ont été donnés en garantie sans autorisation appropriée117. L‟évaluateur du contrôle interne à l‟égard de l‟information financière, et grâce à sa connaissance de l‟environnement de contrôle, doit s‟assurer des mécanismes mis en place permettant d‟identifier et de répondre au risque de fraudes, ainsi que des contrôles construits, pour réduire et maitriser ces risques. L‟évaluateur doit être sensible au processus de communication avec les employés, notamment ceux impliqués directement dans le processus d‟élaboration du reporting financier, sur les 117 Norme internationale d‟audit 240 / La responsabilité de l‟auditeur dans la prise en considération de fraudes dans l‟audit d‟états financiers / Paragraphe 11 101 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 101 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB pratiques opérationnelles et le comportement intègre et éthique au sein de l‟entreprise, ainsi que sur d‟éventuels cas de fraudes, qui ont déjà eu lieu au sein de celle-ci. L‟évaluateur du contrôle interne à l‟égard de l‟information financière, doit identifier et évaluer, donc, les risques d'anomalies significatives provenant de fraudes, et apprécier en conséquence, la conception des contrôles mis en place par l'entité et destinés à les prévenir, y compris les activités de contrôle qui y sont relatives, et déterminer si ces contrôles ont été mis en place, c'est-à-dire la façon avec laquelle ces risques sont gérés. Section 4 : Les contrôles au niveau de l’entreprise Une fois les zones de risque délimitées, les efforts doivent être focalisés sur les contrôles, au sein de l‟entreprise et qui sont mis en place par la direction, pour contrecarrer les risques décelés. Les contrôles au sein de l‟entreprise sont tous les mécanismes, procédures et autre organisation, qui sont mis au sein de l‟entreprise, pour détecter et/ou prévenir le risque de survenance d‟erreurs significatives au niveau du reporting financier. Ces contrôles, et pour être efficaces, se doivent d‟être appropriés, fonctionner de façon continue et cohérente, être exhaustifs et directement liés aux objectifs suivis, et assurer raisonnablement un équilibre entre le cout de leur mise en place et les bénéfices qui en découleraient. Ces contrôles, se focalisent sur plusieurs axes, et peuvent être regroupés comme suit : Les contrôles instaurés par la direction, les mécanismes d‟auto contrôle, les contrôles liés au process de clôture, les contrôles ayant trait aux sécurités comptables et au système d‟information. Paragraphe 1 : Les contrôles instaurés par la direction Pour rappel, les contrôles au sein de l‟entreprise, doivent être traités selon leur nature et leurs liens avec les composantes du reporting financier : Ils sont par suite, soit directs ou indirects. 102 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 102 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Les contrôles indirects sont ceux qui ont trait à l‟environnement de contrôle lui-même. En effet, un bon environnement de contrôle permet, de façon indirecte, de détecter et/ou même prévenir, le risque de survenance d‟erreurs significatives au niveau du reporting financier. Ils incluent, notamment, l‟existence de code de conduite au sein de l‟entreprise l‟intégrité, l‟éthique et la compétence du personnel ; la philosophie des dirigeants, le style de management, la politique de délégation des responsabilités, d‟organisation et de formation... Les contrôles directs, quant à eux, sont ceux qui sont mis en place pour permettre de détecter et/ou prévenir le risque de survenance d‟erreurs significatives ou de fraudes au niveau du reporting financier. Ces contrôles peuvent être scindés en contrôles de conformité ou contrôles applicatifs, préventifs et de détection et autres contrôles compensatoires. Ces contrôles sont effectués, par suite, soit en amont du processus ou des transactions, au sein d‟un processus, ou encore en aval de celui-ci. La direction, en tant que responsable de la mise en place d‟un dispositif de pilotage des risques ayant un impact potentiel sur l‟élaboration de l‟information financière publiée par la société, doit s‟assurer que les normes et procédures diffusées au sein de la société sont en conformité avec les obligations réglementaires et l‟évolution de celles-ci. Elle définit et s‟assure de la mise en place de mécanismes et dispositifs permettant d‟assurer les objectifs de fiabilité de l‟information comptable et financière publiée, et ce par la mise en place d‟un dispositif de contrôle de gestion, d‟un système permettant de valider les systèmes d‟information non comptable utilisé à des fins de pilotage de ces activités et comme outil pour le rapprochement avec le système d‟information comptable, de mécanismes assurant la qualité des communications financières publiées. La direction effectue une revue formalisée des principes comptables retenus qui ont un impact significatif sur la présentation des états financiers. Elle doit mettre en place des mécanismes pour s‟assure que le dispositif de contrôle interne à l‟égard de l‟information financière fait l'objet d'une surveillance et qu‟elle est tenue informée des dysfonctionnements, insuffisances et des difficultés d‟application, et veille à ce que des actions correctives soient mises en œuvre. 103 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 103 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Paragraphe 2 : L’auto contrôle Le contrôles au niveau de l‟entreprise, doivent être intégrés au fonctionnement de celle ci, et sont effectués soit à priori, soit de façon concomitante, soit à posteriori. L‟autocontrôle constitue un contrôle de premier niveau, exercé par un opérationnel sur ses propres opérations, à priori ou de façon concomitante. L‟auto contrôle, doit s‟insérer dans un processus intégré, mis en place au sein de l‟entreprise, pour permettre l‟atteinte des objectifs suivis par le contrôle interne à l‟égard de l‟information financière. L‟auto contrôle est donc, effectué par tous les intervenants au niveau de l‟entreprise et dont les actions ont une incidence sur le reporting financier. La qualité et la valeur de l‟auto contrôle en place est appréciée, par rapport à l‟environnement de contrôle de l‟entreprise : L‟existence de ressources humaines compétentes, intègres et possédant une bonne moralité, combiné à des règles d‟éthique bien diffusées au sein de l‟entreprise par le top management, et une organisation bien claire, et des procédures de travail bien définies, contribueraient à l‟appréciation de la valeur des auto contrôles mis en place. L‟évaluateur du contrôle interne à l‟égard de l‟information financière, doit revoir les mécanismes d‟auto contrôle existant au sein de l‟entreprise, afin d‟en évaluer la fiabilité. Ces contrôles, se doivent d‟être matérialisés, et doivent être appréciés pour savoir s‟ils vont permettre de détecter et/ou prévenir le risque de survenance d‟erreurs significatives au niveau du reporting financier. 104 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 104 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Paragraphe 3 : Le process de clôture Le process de clôture des comptes est un processus, contenant un nombre important de contrôle mis en place au sein de l‟entreprise, du fait de son impact direct sur le reporting financier et notamment le raccourcissement des délais de publication des reportings financiers. Un bon processus de clôture des comptes, est un processus, permettant de fournir une information comptable et financière de qualité, produite dans des délais raisonnables et avec des coûts maîtrisés. Le processus de clôture doit généralement être structuré et organisé, de façon à inclure une définition claire des responsabilités des intervenants, un Workflow et des outils de coordination. Il devrait en outre inclure des mécanismes d‟autocontrôles permettant de détecter, d‟éventuelles défaillances au sein du processus. L‟évaluateur du contrôle interne à l‟égard de l‟information financière, ayant déjà une appréciation bien claire de l'alimentation de la comptabilité par les différents processus opérationnels situés en amont, se doit de : confirmer son évaluation de l‟organisation de la fonction comptable, notamment son processus de clôture des comptes, Passer en revue la définition des responsabilités en matière de comptabilisation d‟approbation et de revue des écritures comptables relatives au processus de clôture, qu‟elles soient routinières ou pas et notamment celles liées aux estimations comptables, Revoir le processus de compilation du reporting financier et sa revue, Revoir les mécanismes de contrôles mis en place, à savoir le non cumul de taches, les réconciliations des comptes… 105 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 105 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Evaluer les technologies de l‟information utilisées et les sécurités qu‟elles contiennent, du fait que ces dernières ne prennent pas seulement en charge le processus de clôture, mais elle en fait partie intégrante. Les sécurités au niveau du système d‟information seront traitées au niveau du paragraphe 5. Les sécurités au niveau du système d‟information de cette section Paragraphe 4 : Les normes et sécurités comptables Un manuel de procédures comptables précisant les concepts et principes comptables utilisés par l‟entreprise et identifiant le traitement des opérations doit exister au sein de l‟entreprise. Ce manuel est mis à jour pour tenir compte des changements intervenus au niveau des procédures de l‟entreprise et des modifications enregistrées au niveau des textes légaux. A ce niveau une veille réglementaire permettant d‟appréhender et d‟anticiper les évolutions de l‟environnement de la société devrait exister pour déceler toutes les nouveautés réglementaires ayant vu le jour et l‟impact qu‟elles pourraient avoir sur l‟entreprisse et l‟information financière qu‟elle publie. Une attention particulière est donnée aussi aux sécurités de l‟organisation comptable mis en place ; Il s‟agit ici, de toutes les sécurités ayant trait à la protection physique des documents, mais surtout à celles ayant trait au système d‟information. Paragraphe 5 : Les sécurités au niveau du système d’information L‟information financière est produite par des systèmes d‟information. Afin d‟atteindre l‟objectif de fiabilité de celle-ci des sécurités doivent être implémentées afin de protéger l‟outil qui produit cette information et en assurer la pérennité. La comptabilité étant généralement tenue au moyen de systèmes informatisés, ces systèmes doivent être développés avec pour objectif de satisfaire les exigences de sécurité, de fiabilité, de disponibilité et de pertinence de l‟information comptable et financière ; Ils doivent être, par suite, sécurisés physiquement et logiquement, et décrits de façon claire et bien formalisée pour permettre l‟atteinte de cet objectif ; Des règles précises en matière d‟accès au système, 106 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 106 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB de validation des traitements et de procédure de clôture, de conservation des données, et de vérifications des enregistrements comptables, du paramétrage du système ainsi que de sa satisfaction des obligations légales et réglementaires auxquelles l‟entreprise est sujette. Le système d‟information relatif à l‟information comptable et financière doit être capable de s‟adapter et pour évoluer avec les besoins de l‟entreprise; Néanmoins les modifications qui en sont apportées devraient être documentées et soumises à des approbations préalables. Paragraphe 6 : Documentation Un système de contrôle interne à l‟égard de l‟information financière est efficace si les contrôles prescrits sont exécutés et surveillés de manière fiable. Une documentation appropriée permet de garantir la traçabilité des contrôles effectués. Un de contrôle interne à l‟égard de l‟information financière est efficient si son élaboration est guidée par des réflexions concrètes en matière de coûts et d‟utilité et s‟il s‟oriente résolument sur la structure des risques inhérents à l‟entreprise. La qualité de chaque contrôle est mesurée selon des critères d‟efficacité, de traçabilité et d‟efficience : La traçabilité peut être vérifiée notamment à partir de la documentation des risques et activités de contrôle et de la représentation du processus. La documentation du contrôle interne peut prendre des formes variées, parmi lesquelles des diagrammes de flux, des manuels relatifs aux politiques et procédures ainsi que des descriptions narratives ou encore des questionnaires. Dans le cadre de l‟évaluation du contrôle interne à l‟égard de l‟information financière, les auditeurs devraient accorder une attention toute particulière au processus de documentation des contrôles, car ils devront s‟appuyer sur ces documents et la fiabilité de la documentation qu‟ils pourraient collecter. 107 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 107 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Section 5 : Tests et évaluation des contrôles : Evaluation des risques A ce stade, l‟auditeur, et après s‟être forgé une bonne connaissance des risques quant à l‟information financière, d‟une part, et recensé les contrôles, mis en place par la direction, pour contrecarrer les risques décelés, d‟autre part, se doit de tester et évaluer tous ces mécanismes, procédures et autre organisation, qui sont mis au sein de l‟entreprise pour s‟assurer de leur bon fonctionnement et de leur fiabilité. Paragraphe 1 : Contrôles à tester Les contrôles à tester, sont ceux qui permettent de répondre à l‟objectif de contrôle, à savoir, détecter et/ou prévenir le risque de survenance d‟erreurs significatives au niveau du reporting financier. Ces contrôles sont considérés, comme étant des contrôles clés, s‟ils répondent de façon singulière à cet objectif. Si tel n‟est pas le cas, d‟autres contrôles devraient lui être joints et ce jusqu‟à ce que le risque soit couvert en totalité. Il en découle, que l‟auditeur se doit de tester et d‟évaluer tous les contrôles mis en place par la direction, dans l‟objectif de détecter ou prévenir le risque de survenance d‟erreurs significatives au niveau du reporting financier. Il s‟en suit, donc, qu‟une couverture efficace, pourrait nécessiter, dans certains cas, la combinaison de contrôles au niveau des processus et de contrôles généraux. A présent, nous allons passer en revue les différents types de tests de contrôles qui peuvent être exercés par l‟auditeur pour s‟assurer de la réalisation de l‟objectif de contrôle. Paragraphe 2 : Tests de cheminement Une fois les contrôles à tester sont délimités, l‟auditeur se doit de confirmer sa compréhension du fonctionnement de ces contrôles. A ce niveau, des tests de cheminement doivent être mis en place. Ces tests permettent d‟étayer la compréhension qu‟a l‟auditeur de ces contrôles qui sont mis en place et de l‟application de ces derniers. 108 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 108 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Les tests de cheminement sont des méthodes qui permettent de reconstituer des opérations du début à la fin, y compris les documents qui les supportent. Ils constituent, donc, des opérations de contrôle efficaces et nécessaires pour démontrer l‟existence d‟un bon système de contrôle interne à l‟égard de l‟information financière, et sont appliqués pour l‟évaluation de la mise en œuvre et du respect de ce dernier. Lors de l‟évaluation de la conception des contrôles, il a été recommandé par la norme Américaine, de procéder à des tests de cheminement. Ces tests fournissent des éléments probants qui permettent : • de confirmer la compréhension du cheminement des opérations liées à un processus; • de confirmer la compréhension du fait que la description des activités est exhaustive, en déterminant si tous les points où des inexactitudes sont susceptibles de se produire ont été identifiés; • d‟évaluer l‟efficacité de la conception des contrôles; • de confirmer si les contrôles ont été mis en œuvre. Les tests de cheminement, permettent donc, d‟évaluer la qualité des éléments probants obtenus, de suivre le cheminement d‟opérations réelles en se servant des mêmes documents et des mêmes technologies de l‟information que ceux qui ont été utilisés à l‟origine et en parlant aux personnes chargées des aspects significatifs des activités ou des contrôles. Dans le cadre de ces tests, des questions de suivi pourraient permettre d‟acquérir des points de vue qui seraient utiles aux fins de l‟évaluation de la conception du contrôle interne à l‟égard de l‟information financière. Les tests de cheminement permettent à l‟auditeur donc, de confirmer sa compréhension des flux et transactions u sein des processus, de confirmer la compréhension de la conception des contrôles identifiés et leur caractère suffisant, et de confirmer enfin, leur mise en place et leur application. 109 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 109 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Paragraphe 3 : Tests d’efficacité de la conception L'évaluation de la conception d‟un contrôle implique de considérer si ce contrôle, seul ou combiné avec d'autres, est capable de prévenir efficacement ou de détecter puis de corriger, des anomalies significatives. L'auditeur examine la conception d‟un contrôle pour déterminer s‟il doit vérifier sa mise en application. Un contrôle conçu de manière inappropriée peut constituer une faiblesse majeure dans le contrôle interne de l'entité. Un contrôle de conception est un contrôle préventif ou de détection c'est-à-dire un contrôle qui est mis en place soit pour agir en amont, en cours ou en aval du processus. Tester l‟efficacité de la conception d‟un contrôle passe par le biais d‟entretiens avec le personnel de l'entité, l‟observation de la mise en œuvre de contrôles spécifiques, l‟inspection de documents et de rapports, ainsi que le suivi des opérations à travers le système d'information relatif à l‟élaboration de l‟information financière. Les entretiens seuls ne sont pas suffisants pour évaluer la conception d‟un contrôle pertinent pour l‟audit ou pour déterminer s‟il est bien mis en application. Tester l‟efficacité de la conception d‟un contrôle, revient donc, à tester toutes les modalités de sa réalisation, qu‟ils soient manuels, automatisés ou encore semi-automatisés. A. Contrôles manuels Les contrôles manuels sont les contrôles matériels, ne se reposant pas sur l‟environnement informatisé d‟une entreprise. Il s‟agit donc, de tous les rapprochements et autres autorisations matérielles qui sont effectués par les différents intervenants en matière de contrôle interne à l‟égard de l‟information financière et ne se basant pas sur le système d‟information. 110 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 110 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB B. Contrôles automatisés (système d’information) Il s‟agit des contrôles informatisés qui sont mis en place au niveau du système d‟information et qui fonctionneraient de façon automatique et sans intervention humaine. Il existe encore un autre type de contrôles, qui se classerait de façon intermédiaire entre ces deux types de contrôles déjà présentées ; Il s‟agit des contrôles semi-informatisés et qui se reposeraient partiellement sur les deux contrôles automatisés et manuels et dont l‟efficacité reposerait sur l‟efficacité de ces deux types de contrôles. Paragraphe 4 : Tests d’évaluation du fonctionnement L'évaluation du fonctionnement d‟un contrôle revient à vérifier que si ce contrôle ait été bien conçu, il est aussi correctement appliqué. Il s‟agit pour l‟auditeur de vérifier la réalité des contrôles et ce par le biais de tests de conformité ; Ces tests permettent de s‟assurer que pour les processus significatifs toutes les étapes du processus et les contrôles qui ont été décrits sont appliqués, par un personnel ayant l‟autorité et la compétence, nécessaires, pour réaliser de façon effective ces contrôles. Ces tests permettent à l‟auditeur du contrôle interne à l‟égard de l‟information financière de vérifier que les contrôles, mis en place, ne peuvent être contournés. L‟auditeur doit par le biais d‟entretiens approfondis du personnel adéquat, d‟inspection physique de la documentation et surtout par le biais de tests de cheminement (re-performance) s‟assurer que ces contrôles fonctionnent convenablement et de façon continue118. 118 Public Company Accounting Oversight Board – Bylaws and Rules – Standards – AS5 – Paragraphe 44 & 45 111 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 111 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Paragraphe 5 : Etendue des tests et jugement professionnel En effectuant ses travaux d‟évaluation de l‟efficacité du contrôle interne à l‟égard de l‟information financière, l‟auditeur doit se faire prévaloir d‟un esprit critique. En effet, et en dépit de sa connaissance de la société, de son environnement de contrôle, l‟auditeur se doit de rester attentif et vigilant aux erreurs matérielles qui pourraient résulter de fraudes. Il doit obtenir des éléments probants solides et ce en dépit de son niveau de confiance (même si son niveau de confiance est bon). L‟auditeur du contrôle interne à l‟égard de l‟information financière doit donc, se baser sur son jugement professionnel et se forger une appréciation détaillée de ce dernier afin de mettre en place une approche d‟évaluation adéquate. L‟étendue des travaux dépend donc, de l‟appréciation que l‟auditeur s‟est forgé des contrôles internes de l‟entreprise, et de son jugement professionnel. Paragraphe 6 : Utilisation de travaux d’autrui L‟auditeur du contrôle interne à l‟égard de l‟information financière doit, certes, réaliser ses propres tests de procédures, afin de disposer d‟éléments probants lui permettant d‟étayer son opinion, il peut, toutefois, utiliser les résultats des tests et travaux réalisés par d‟autres intervenants au niveau du contrôle interne : Il s‟agit, à ce niveau, des travaux réalisés par les auditeurs internes, et toute autres personne, interne ou encore externe, diligentée par le comité d‟audit ou par la direction pour évaluer l‟efficacité du contrôle interne à l‟égard de l‟information financière. Il s‟agit donc, pour l‟auditeur, d‟évaluer la pertinence d‟utilisation des résultats des travaux d‟autrui, afin de déterminer leur degré de fiabilité. L‟auditeur devrait, donc, évaluer la nature et l‟étendue des contrôles réalisés ainsi que l‟objectivité et la compétence de ceux qui les ont réalisés. L‟auditeur doit, cependant, évaluer minutieusement l‟étendue des travaux réalisés par autrui, pour pouvoir les utiliser et ce en fonction de la nature des contrôles : Les travaux effectués par 112 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 112 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB l‟auditeur doit être plus approfondi sur tout contrôle jugé important : Les contrôles au niveau de l‟entité, doivent, cependant, être testés par l‟auditeur lui-même, vu la large couverture de ces derniers. Pratiquement, l‟auditeur doit, d‟une part, effectuer des tests de procédures complets sur les tests qu‟il a sélectionné et réaliser, d‟autre part, des tests partiels sur les autres et ce en s‟appuyant sur les tests réalisés par les autres intervenants. Les premiers tests serviront de base pour l‟évaluation de l‟efficacité du contrôle interne, alors que les seconds permettraient de s‟assurer de la qualité des travaux effectués par la direction et le comité d‟audit sur le contrôle interne à l‟égard de l‟information financière. Paragraphe 7 : Finalisation et documentation La documentation joue un rôle essentiel pour l‟auditeur car elle lui permet de procéder à l'attestation du contrôle interne à l'égard de l'information financière. Elle permet à l‟auditeur de produire son attestation sur la conception du contrôle interne et son efficacité et elle constitue une base pour l'élaboration des tests qui faciliteront l'évaluation de l'efficacité du fonctionnement. Sans une documentation bien étayée, l‟auditeur du contrôle interne à l‟égard de l‟information financière ne peut supporter sa compréhension des activités exercées pour atteindre les objectifs de contrôle et par conséquent, les lacunes existantes dans ces contrôles. La documentation apparait donc, comme l'une des étapes indispensables pour se préparer à l'attestation de la conception et de l'efficacité du fonctionnement du contrôle interne à l'égard de l'information financière. Un processus de documentation efficace s'appuie à la fois sur des entrevues et sur un suivi du cheminement des principales activités de contrôle devant permettre de comprendre et de confirmer la conception des contrôles internes. L‟auditeur peut, en outre, juger quant à l‟opportunité de se baser sur la documentation déjà existante ou non 113 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 113 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Pour ce qui est du format de la documentation, les descriptions narratives119, matrices des contrôles internes120 et organigrammes121 constituent les formats de documentation les plus utilisés. Le processus de documentation constitue pour l‟auditeur du contrôle interne à l‟égard de l‟information financière, la dernière étape dans sa phase de tests d‟évaluation des contrôles. L‟ampleur de la documentation dépend des principaux contrôles plutôt que tous les contrôles sans distinction ; ceci préviendrait l‟auditeur de la constitution d‟une documentation excessive, un exercice à la fois coûteux et inutile. Notons enfin, qu‟une base de documentation solide, facilite la compréhension des contrôles internes instaurés et de leur fonctionnement, ainsi que la réalisation des tests permettant leur évaluation, et qui contribue à l'efficience du processus d'attestation visé par l‟auditeur. 119 Une description narrative donne une vue d'ensemble du processus documenté et doit, entre autres, porter sur les principaux contrôles, indiquer qui est responsable de l'exécution du contrôle et mentionner quels sont les principaux contrôles des applications et du système 120 La matrice des contrôles internes est un tableau qui, une fois rempli, indique les activités de contrôle établies par la société pour atteindre ses objectifs de contrôle et les assertions connexes des états financiers. Elle formule aussi des conclusions au sujet de l'efficacité de la conception et du fonctionnement et présente un programme de tests et les résultats de ces tests 121 Un organigramme est un document qui résume graphiquement la description narrative des processus, y compris les principaux points de contrôle 114 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 114 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Section 6 : Appréciation globale et proposition d’axes d’amélioration : Rapport d’évaluation, pilotage et suivi de la mise en place Une fois les tests effectués et bien documentés, l‟auditeur est amené à exprimer une opinion portant une appréciation globale du contrôle interne à l‟égard de l‟information financière et émettre un rapport pour matérialiser celle-ci. Dans ce qui suit, nous présenterons les préalables à mettre en œuvre par l‟auditeur, afin de lui permettre d‟exprimer une opinion sur le contrôle interne à l‟égard de l‟information financière et de supporter son opinion, d‟une part, la compilation des résultats des travaux effectués sur les tests de contrôles et l‟émission de son rapport d‟évaluation, d‟autre part. Paragraphe 1 : Conditions quant à l’évaluation A. Normes de travail L‟évolution de la réglementation en termes de maitrise des risques et de contrôle interne, ne s‟est pas accompagnée par une évolution des normes régissant la profession de l‟audit en Tunisie, afin de permettre de donner une place plus large au concept général de contrôle interne dans la mission de certification des états financiers, et incluant aussi, une certification, proprement dite, du contrôle interne Bien que l‟ISA 315122, préconise une approche, ne se limitant pas au seul aspect comptable du contrôle interne, mais une approche permettant d‟acquérir une connaissance générale de l‟entité et de son environnement, y compris de son contrôle interne, les normes d‟exercice professionnelles régissant les missions d‟audit d‟états financiers en Tunisie, à savoir les normes internationales d‟audit ISA, ne s‟étaient pas adaptées au nouveau contexte réglementaire, permettant une double certification : La certification des états financiers d‟une part, et la certification du contrôle interne, d‟autre part. 122 Norme de l‟IFAC 315 intitulée Connaissance de l‟entité et de son environnement et évaluation du risque d‟anomalies significatives 115 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 115 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB C‟est ainsi, que la norme internationale d‟audit ISA 700, devrait être adaptée pour tenir compte de ces obligations, au niveau du texte du rapport d‟audit, et modifier le contenu dudit rapport, pour tenir compte des nouvelles dispositions réglementaires en la matière. L‟ordre des experts comptables, doit donc, adapter, revoir ou ré-observer ses normes de travail, pour tenir compte des obligations introduites par les nouvelles dispositions légales en matière de divulgation sur le contrôle interne. Pour se faire le cadre COSO et surtout la norme d‟audit 5 du PCAOB devraient, à notre sens, être utilisées comme cadre de référence, voir même adoptées, pour permettre la mise en place de ces obligations de doble certification, du contrôle interne d‟une part, et des états financiers, d„autre art, et ce de façon conjointe. Ces normes devraient donc, être adoptées par l‟OECT comme les normes régissant l‟exercice de l‟audit légal en Tunisie pour les sociétés faisant appel public à l‟épargne, notamment. B. Formation technique, compétence et Connaissances des éléments à évaluer Les compétences de l'expert-comptable, le premier partenaire conseil de l'entreprise, associées à sa proximité avec les dirigeants, ainsi que la diversité de ses missions et de ses secteurs d'intervention, font de lui l‟acteur principal en matière de certification du contrôle interne à l‟égard de l‟information financière. En effet, le contrôle interne à l‟égard de l‟information financière est un sujet au cœur des préoccupations de l'expert comptable : L'expert comptable dans l'ensemble des missions d'attestation de l'information financière, qu'elle que soit leur nature (audit, examen limité) s'intéresse toujours au contrôle interne. Ses compétences techniques, ses expériences et sa compréhension des processus liés à l'établissement des états financiers, lui permettent, d‟une part, d‟évaluer le contrôle interne à l‟égard de l„information financière pour les besoins de sa mission de certification, et font de lui, par ailleurs, un bon partenaire pour assister une société dans l'identification des risques et des contrôles, la description de ses processus et la mise en couvre de programmes de tests permettant d'évaluer l'efficacité des systèmes de contrôle interne mis en place. 116 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 116 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Notons enfin, que la loi Sarbanes-Oxley de part son extrême exigence a ouvert des champs de missions longues et variées sur les différents aspects du contrôle interne, raison pour laquelle, des cabinets et des professionnels, Américains, spécialisés dans le domaine du contrôle interne et de la gestion du risque, se sont tournés résolument vers une pratique professionnelle de conseil sur les problématiques liées au contrôle interne à l‟égard de l‟information financière et la préparation des états financiers. C. Compétence, objectivité et indépendance Les normes professionnelles recommandent habituellement à l‟auditeur d‟être à la fois compétent et indépendant, c‟est-à-dire que l‟auditeur doit être d‟une part, capable, doté de bonnes connaissances, suffisamment expérimenté pour réaliser de manière satisfaisante l‟ensemble des diligences d‟audit et d‟autre part, être mentalement capable d‟analyser et de rendre compte dans son rapport de façon non biaisée, objective et sans causer de préjudice aux tiers. La compétence constitue donc, le niveau d‟expertise suffisant pour atteindre les objectifs explicites de la mission d‟audit, d‟une part, et de la certification du contrôle interne à l‟égard de l‟information financière, d‟autre part. La compétence et l‟indépendance sont les ingrédients d‟un audit réussi. Ils sont aussi les ingrédients nécessaires, pour la réussite de la certification du contrôle interne à l‟égard de l‟information financière. L‟indépendance quant à elle, définie comme étant le niveau de technicité, de connaissances et d‟expérience de l‟auditeur, peut précéder la compétence. Toutefois, un auditeur peut difficilement être indépendant s‟il n‟est pas compétent. La compétence de l‟auditeur est une condition nécessaire à son indépendance. La décision de l‟auditeur d‟être dépendant ou indépendant, ne peut être prise que si sa compétence lui permet d‟accomplir, de manière totalement satisfaisante, l‟ensemble de ses travaux d‟audit. La maîtrise technique est nécessaire pour pouvoir exprimer un jugement et résister à des pressions non fondées. 117 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 117 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Il s‟agit donc de la sensibilité éthique123 de l‟auditeur, c'est-à-dire sa capacité à interpréter une situation donnée et à se rendre compte qu‟un problème moral existe. L‟auditeur, expert comptable Tunisien, et de part son appartenance à l‟Ordre des Experts Comptables de Tunisie, dont les valeurs sont « Science, Conscience et indépendance », présente les garanties suffisantes pour mener à bon port sa mission de double certification, des états financiers d‟une part, et l‟expression d‟une opinion d‟audit sur ceux-ci, et du contrôle interne à l‟égard de l‟information financière et la certification de celui-ci, d‟autre part. D. Diligences S‟agissant d‟une mission concomitante à sa mission d‟audit, les diligences à respecter par l‟auditeur légal, le commissaire aux comptes expert comptable le cas échéant, sont identiques à celles relatives à sa mission d‟audit, sa mission de certification des états financiers Selon les obligations légales régissant les missions d‟audit en Tunisie, le commissaire aux comptes certifie la sincérité et la régularité des comptes annuels de la société conformément à la loi en vigueur relative au système comptable des entreprises. Il vérifie périodiquement l'efficacité du système de contrôle interne. Le commissaire aux comptes a mandat de vérifier aussi l'exactitude des informations données sur les comptes de la société dans le rapport du conseil d'administration ou du directoire. Il a droit à effectuer toutes les investigations qu‟il juge nécessaire selon son jugement professionnel et qui lui permettent de certifier les états financiers et le contrôle interne, de celle-ci, le cas échéant. 123 La sensibilité éthique est la capacité à interpréter une situation donnée et à se rendre compte qu‟un problème moral existe La sensibilité éthique permet à l‟auditeur de franchir quatre étapes psychologiques, pour se comporter de manière éthique. Tout d‟abord, il doit interpréter une situation donnée comme un problème éthique. Cette étape inclut le fait d‟identifier les options possibles et leurs conséquences. En second, l‟individu doit décider quelle option est correcte du point de vue moral. Ensuite, il doit avoir la volonté de se comporter de manière éthique, même si son propre intérêt lui dicte une attitude contraire. Enfin, l‟individu doit avoir une force de caractère suffisante pour se comporter de manière conforme à son intention éthique. 118 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 118 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Les commissaires aux comptes peuvent également, le cas échéant, par ordonnance du juge compétent, recueillir toutes informations utiles à l'exercice de leurs missions auprès des tiers qui ont conclu des contrats avec la société ou pour son compte. L‟auditeur légal est amené pour se faire, à se doter d‟un esprit critique, lui permettant de déceler les situations pouvant conduire à des anomalies significatives dans le système de contrôle interne mis en place, et par suite au niveau des comptes, tout en respectant les textes régissant sa mission, notamment les dispositions du Code de déontologie de la profession. Il réalise sa mission d'audit des comptes conformément aux textes légaux et aux normes d'exercice professionnel relatives à cette mission. À ce titre, le commissaire aux comptes évalue de façon critique la validité des éléments collectés au cours de ses travaux, et reste attentif aux informations qui contredisent ou remettent en cause la fiabilité des éléments obtenus. Par ailleurs, tout au long de ses travaux, le commissaire aux comptes exerce son jugement professionnel, notamment pour décider de la nature, du calendrier et de l'étendue des procédures d'audit à mettre en œuvre, et pour conclure à partir des éléments collectés. E. Planification et déroulement de la mission La mission conjointe de double certification par le commissaire aux comptes appelé, à certifier les comptes d'une entité et son contrôle interne, se doit de faire l'objet d'une planification. Cette planification est formalisée notamment dans un plan de mission, un programme de travail et une lettre de mission, au même titre que la seule mission classique d‟audit. La norme ISA 300 « Planification d‟une mission d‟audit d‟états financiers », norme ayant défini la démarche que devrait suivre le commissaire aux comptes pour la planification de son audit des comptes et l'élaboration du plan de mission et du programme de travail, pourrait être reconduite pour la planification de cette mission de double certification. 119 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 119 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB L'auditeur, et pour les besoins de sa mission de double certification et d‟audit conjoint, doit planifier sa mission afin que cette dernière soit réalisée de manière efficace. Il doit donc, établir un plan de mission décrivant la stratégie générale adoptée pour sa mission et développer un programme de travail dans le but de réduire le risque d'audit à un niveau faible acceptable Une planification adéquate permet de s'assurer qu'une attention particulière est portée aux aspects essentiels de la mission, que les problèmes potentiels sont identifiés et résolus en temps voulu et que la mission est correctement organisée et administrée afin qu'elle soit menée d'une manière efficace et efficiente. Une planification adéquate permet également l'attribution des travaux aux membres de l'équipe affectée à la mission, facilite la direction et la supervision de ceux-ci ainsi que la revue de leurs travaux et, enfin, facilite, le cas échéant, la coordination des travaux avec d‟autres auditeurs. La nature et l'étendue du processus de planification variera en fonction de la taille et de la complexité de l'entité, de l'expérience passée de l'auditeur dans l'entité, ainsi que des changements de situations qui peuvent intervenir au cours de la mission Le plan de mission, selon ISA 300, « fixe l'étendue, le calendrier et la démarche d’audit, et donne des lignes directrices pour la préparation d'un programme de travail plus détaillé. L'établissement du plan de mission implique: (a) de déterminer les caractéristiques de la mission qui définissent son étendue, telles que: le référentiel comptable suivi, les règles spécifiques de présentation des états financiers requises dans le secteur d'activité concerné et la localisation des composants de l'entité ; (b) de s'assurer des objectifs de la mission en terme de rapport à émettre afin de planifier un calendrier pour effectuer les travaux ainsi que la nature des communications demandées, tels que les dates limites pour signer le rapport intercalaire ou final, et les dates-clés pour les 120 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 120 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB communications prévues à la direction et aux personnes constituant le gouvernement d'entreprise ; (c) de prendre en compte les facteurs importants qui détermineront les aspects qui feront l'objet d'une attention toute particulière de l'équipe affectée à la mission, tels que la fixation de seuils de signification appropriés… » Le plan de mission permet à l‟auditeur de définir les ressources nécessaires pour le bon déroulement et exécution de sa mission, d‟allouer ces dernières pour mener à bien sa double mission de certification et de définir les dates de leur déploiement. Une fois le plan de mission arrêté, l‟auditeur met en place un programme de travail définissant la nature, le calendrier et l'étendue des procédures d'audit à mettre en œuvre par les membres de l'équipe affectée à la mission afin de recueillir des éléments probants suffisants et appropriés pour réduire le risque d'audit à un niveau faible acceptable. La documentation du programme de travail sert également à garder la trace de la planification et de la réalisation des procédures d'audit qui peuvent être revues et approuvées avant la mise en œuvre de procédures d'audit additionnelles et qui permettraient de formuler cette double opinion sur le contrôle interne et sur les états financiers. Pour favoriser le bon déroulement de sa mission visant à exprimer une double opinion sur le contrôle interne et les états financiers, il est nécessaire pour le commissaire aux comptes de définir les termes et conditions de la mission et de les consigner dans une lettre de mission et ce préalablement à la mise en œuvre de travaux de vérification et de contrôle. Le commissaire aux comptes consignera par suite, les éléments suivants au niveau de sa lettre de mission : la nature et l'étendue des interventions qu'il entend mener conformément aux normes d'exercice professionnel ; la façon dont seront portées à la connaissance des organes dirigeants les conclusions issues de ses interventions ; les dispositions relatives aux signataires, aux intervenants et au calendrier ; 121 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 121 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB la nécessité de l'accès sans restriction à tout document comptable, pièce justificative ou autre information demandée dans le cadre de ses interventions ; le rappel des informations et documents que la personne ou l'entité doit lui communiquer ou mettre à sa disposition ; le souhait de recevoir une confirmation écrite des organes dirigeants de la personne ou de l'entité pour ce qui concerne les déclarations faites au commissaire aux comptes en lien avec sa mission ; le budget d'honoraires et les conditions de facturation. F. Responsabilité Pour les besoins de sa mission d‟audit et la formulation de la double certification du contrôle interne et des états financiers, et s‟agissant d‟une mission conjointe à sa mission d‟audit légal, le commissaire aux comptes a, une obligation de moyens et non de résultat c‟est-à-dire qu‟on ne peut pas lui reprocher une faute dès lors qu‟il met en ouvre l‟ensemble des procédures et des règles applicables à sa mission. Toutefois, et pour les besoins de sa mission, le commissaire aux comptes engage, au même titre que sa mission d‟audit légal sa triple responsabilité, à savoir, sa responsabilité civile, pénale et professionnelle. Trois conditions sont nécessaires pour engager la responsabilité civile de l‟auditeur. La première condition est celle de la faute qui résulte d‟un manquement à une obligation de moyens qui pèse sur le commissaire aux comptes. La seconde condition est celle du préjudice subi alors que la troisième condition est l‟existence d‟un lien de cause à effet entre la faute du commissaire et le préjudice allégué. Quelles que soient les insuffisances de contrôle, le commissaire n‟est civilement pas responsable dès lors que le demandeur ne peut justifier que son préjudice est en relation de causalité juridiquement utile. Cependant, si le manquement à l‟obligation professionnelle de comportement normalement diligent est accompagné d‟une expression de contrôle de nature à tromper le demandeur, alors le lien de causalité est établi. La réunion des ces trois conditions est ainsi fondamentale afin d‟engager la responsabilité civile du commissaire aux comptes. 122 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 122 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB La responsabilité pénale est engagée, principalement, dans les cas suivant : L‟exercice illégal de la profession. La confirmation d‟informations mensongères. La non révélation de faits délictueux. La violation du secret professionnel auquel le commissaire aux comptes et ses collaborateurs sont astreints. La responsabilité professionnelle est encourue du fait de l„appartenance à l‟Ordre des Experts Comptables de Tunisie, et pourrait résulter des fautes précitées ou du non respect du code de déontologie et des devoirs professionnels à la charge des commissaires aux comptes experts comptables. Paragraphe 2 : Conclusion des travaux et rapport A. Rapport de la direction Comme il a été mentionné auparavant la loi renforçant les sécurités financières en Tunisie a mis à la charge des organes de direction l‟obligation d‟insérer « des éléments sur le contrôle interne » au niveau du rapport de gestion124, et de communiquer aux commissaires aux comptes « une déclaration annuelle…pour attester qu‟ils ont fourni les diligences nécessaires pour garantir l‟exhaustivité et la conformité des états financiers à la législation comptable…», la présente déclaration sera traitée plus tard au niveau de la lettre d‟affirmation ; Bien que la loi ait voulu consacrer le contrôle interne, en tant que garant d‟une gouvernance seine, la loi est restée assez vague sur les divulgations nécessaires en la matière, parlant d‟éléments à insérer au niveau du rapport de gestion ou à annexer à ce rapport. On se poserait alors la question de savoir s‟il s‟agit d‟insérer une description sommaire, ou détaillée du contrôle interne de la société ? Ou de présenter une évaluation proprement dite de ce dernier ? Le texte présente à notre avis, une ambiguïté à ce niveau, et aurait dû être plus explicite. Certes l‟évaluation proprement dite, est un exercice complexe, qui devrait être effectué selon 124 Article 3 nouveau de la loi n 94-117 du 14 Novembre 1994 123 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 123 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB une démarche bien structurée, et nécessiterait à notre sens, des préalables à mettre en œuvre, tel la définition d‟un cadre de référence qui permettrait à la direction de formuler une telle évaluation. Ceci étant, l‟arrêté ayant exigé l‟engagement de la direction sur la mise en place d‟un bon système de contrôle interne conforterait l‟idée de l‟évaluation de ce dernier ; La question qui se poserait alors, serait de savoir comment une direction pourrait-elle prouver qu‟elle a mis en place un bon système de contrôle interne si elle n‟arrive pas à démontrer les travaux qu‟elle a demandé, effectué et documenté en la matière ? En Farnce, le président de toute société anonyme (à conseil d‟administration ou à conseil de surveillance), cotée ou non cotée, se doit, de présenter un rapport joint au rapport de gestion sur les conditions de préparation et d‟organisation des travaux du conseil, ainsi que sur les procédures de contrôle interne mises en place par la société125. Ce rapport fait en outre, l‟objet d‟un rapport du commissaire aux comptes, joint au rapport général et portant sur les procédures de contrôle interne relatives à l‟élaboration et au traitement de l‟information comptable et financière. Concrètement, le fait de joindre le rapport sur le contrôle interne au rapport de gestion, offre l‟avantage de rendre public le rapport joint, puisqu‟il sera déposé au greffe comme le rapport de gestion. Aux USA, des mesures de certification et d‟attestation personnelle des reportings financiers et des systèmes de contrôle interne ont été mis à la charge des organes de direction. Ces mesures obligent les directions des sociétés cotées américaines, à insérer une description et à auto-évaluer leurs dispositifs de contrôle interne, et leur exige d‟émettre un rapport à ce sujet. Ledit rapport porte, en outre, un engagement, de la part du management, sur la mise en place et la bonne tenue de procédures de contrôle interne adéquates, pour permettre le bon fonctionnement de l‟entreprise (Le management en la personne des directeurs generaux (Chief Executive Officer) et des directeurs financiers (Chief Financcial Officer) sont responsables du 125 Titre III « Modernisation du contrôle légal des comptes et transparence », chapitre II « De la transparence dans les entreprises », l‟article 117 124 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 124 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB contrôle interne au sein de l‟entreprise). En effet, c‟est au niveau de ses sections 302126 et 404127 que SOX a mis l‟accent sur la qualité du contrôle interne au sein de l‟entreprise. L‟article 302128 portant sur la certification des états financiers par les dirigeants129, a obligé ces derniers à attester qu‟ils : Sont responsables de la mise en place et du maintien du dispositif de contrôle interne ; Ont conçu ce dispositif de telle sorte que toute information significative concernant l‟entreprise est connue par eux ; Ont évalué l‟efficacité du contrôle interne à moins de 90 jours de la publication du rapport ; et Ont présenté dans leur rapport leurs conclusions sur le dispositif de contrôle interne suite à son évaluation et notifié les auditeurs et le comité d‟audit des déficiences et fraudes relevées ainsi que les changements qui y étaient intervenues. L‟article 404 quant à lui, traitant « L‟évaluation du contrôle interne », exige que chaque rapport annuel contienne un rapport sur le contrôle interne qui : Confirme que la direction est responsable de la mise en place et de la gestion des procédures et autres structures de contrôle interne pour la communication financière ; Contienne une évaluation de l‟efficacité de ce qui est mis en place à la date de clôture des états financiers130. 126 SOX Act / Title 3 : Corporate responsibility for financial reports 127 SOX Act / Title 4 : Management assesment of internal controls 128 Obligations de l‟article 302 du SOX act et tel que étayées par l‟Item 308(a) de la réglementation S-B et S-K, 17 C.F.R. §§ 228.308(a) and 229.308(a). 129 Le CEO et le CFO doivent préparer une déclaration, accompagnant le rapport des auditeurs, qui certifie la validité des états financiers et des indicateurs présentés en hors bilan contenues dans le rapport annuel. La déclaration doit aussi signaler que les états financiers présentent de manière sincère, dans tous leurs aspects significatifs, la situation financière et les résultats de l‟activité de l‟entreprise. 130 L‟article 404 a prévu également que les auditeurs évaluent, dans leur rapport, l‟évaluation du contrôle interne faite par les dirigeants et insèrent leurs conclusions sur cette dernière au niveau de leur rapport. Cette partie sera développée au niveau de la section 2.2.2 Les obligations à la charge des auditeurs et l‟élargissement de leurs missions 125 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 125 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB La démarche d'évaluation suivie par de nombreuses entreprises soumises aux obligations de la Section 404 du Sarbanes-Oxley Act s'articule comme suit : Définition d'un référentiel reconnu d'évaluation, dans la pratique très souvent celui du COSO Report; Organisation de l'équipe d‟audit et définition des règles de base conditionnant le succès de ce processus (responsabilités, documentation, périmètre, communication...); Evaluation du contrôle interne au niveau de l‟entité à la lumière des 5 composantes du contrôle interne définies par le référentiel COSO; Identification et évaluation du contrôle interne au niveau des processus, transactions et applications; Centralisation et évaluation des exceptions et inefficacités du contrôle interne relevées; Conclusions et conséquences sur l‟évaluation globale de l‟efficacité du contrôle interne de l'entreprise. Ces travaux sont couronnés par l‟émission d‟un rapport portant une évaluation proprement dite du contrôle interne, ainsi que les déficiences majeures et significatives qui auraient été déterminées131. Cette démarche gagnerait, à notre sens, à être poursuivie, par les sociétés Tunisiennes pour aboutir à une évaluation proprement dite du contrôle interne et produire l‟attestation délivrée à l‟auditeur légal. B. Evaluation du rapport de la direction Le commissaire aux comptes veille à ce que les projets d'évaluation du contrôle interne, tels que présentés par la société, soient correctement déployés et que les activités d'évaluation aient été menées jusqu'au bout en appliquant les méthodologies décidées par la société et acceptées par ses soins. C'est notamment en réalisant des procédures comme les tests refaits que le commissaire aux comptes détermine que l'évaluation de la société repose sur des bases solides 131 Norme S-B et S-K de la SEC (item 308) 126 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 126 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB La société doit également avoir mis en couvre un processus d'évaluation des déficiences du contrôle interne. Cet exercice complexe nécessite une bonne compréhension des concepts définis par le standard No.5 du PCAOB et du cadre de référence utilisé, le COSO le cas échéant, et une communication efficace entre les parties prenantes. Les sociétés mettent, en général, en place un comité chargé d‟analyser les déficiences importantes et qui doit permettre que des actions correctrices concrètes prennent place rapidement. Ce type de comité peut prévoir la participation du commissaire aux comptes lors de ses réunions précédant la certification du contrôle interne et dans ce cas, ce dernier est tenu au courant de façon quasiment instantanée des déficiences identifiées, de leur évaluation par la société et des actions mises en couvre si possible afin de remédier aux faiblesses identifiées. L‟auditeur évalue donc, la démarche suivie par l‟entreprise, le volume des ressources allouées au projet d‟évaluation et qui se doivent d‟être compétentes, qualifiées, disponibles et affluentes, l‟étendue et le planning des tests réalisés et l‟adéquation des conclusions formulées avec les déficiences relevées. Il évalue en outre, la qualité de l‟équipe projet ou de comité de pilotage ayant été chargé par les travaux d‟évaluation, de sa planification et supervision à l'exécution des étapes du processus, et la capacité de celui ci à recommander des changements utiles au dispositif de contrôle interne lorsque cela s'avère nécessaire, ainsi que la qualité des travaux de synthèse rapportés à la direction, notamment, la documentation qui leur a été présentée, et qui constitue la base principale pour la formulation par la direction de son rapport sur le contrôle interne Le commissaire aux comptes suit la consolidation des conclusions et des déficiences de contrôle interne identifiées par les entités. II s'assure que l‟ensemble des déficiences identifiées soient revues et appréciées. Il s‟agit à ce niveau d‟un exercice de consolidation de toutes les déficiences et anomalies relevées. 127 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 127 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Il s‟assure enfin, que les déficiences significatives ou majeures ont fait l‟objet d‟une information complète et appropriée au niveau du rapport de la direction132. C. Rapport de l’auditeur A ce niveau, le commissaire aux comptes ayant identifié les déficiences de contrôle interne, doit évaluer le niveau de gravité de ces déficiences. Il doit déterminer si les déficiences identifiées constituent individuellement ou de façon combinée des déficiences significatives ou des faiblesses majeures, et l‟impact que revêtiraient ces dernières sur la formulation et l‟émission de son rapport. Les faiblesses majeures peuvent résulter d‟une déficience ou d‟un ensemble ou combinaison de déficiences, ou même la possibilité de survenance de l‟une de celles-ci, sur les contrôles, préventifs ou de détection soient-ils, et qui peuvent engendrer des erreurs significatives au niveau des états financiers de la société : Ceci nous amène à dire que même si de telles déficiences ne surviendraient pas, elles devraient être individualisées et incluse dans le rapport, lorsque la possibilité de leur survenance est raisonnablement démontrée. Les déficiences significatives résultent d‟une déficience ou d‟un ensemble ou combinaison de déficiences sur les contrôles, qui sont moins importantes et avec des répercussions moins graves que les faiblesses majeures, mais qui restent importantes, à un point tel qu‟elles doivent être reportées et faire l‟objet d‟un suivi de part la direction, mais qui n‟a pas d‟impact sur le rapport du commissaire aux comptes, le cas échéant. Plusieurs indicateurs peuvent renseigner sur la probabilité qu'une anomalie se produise dans les états financiers du fait d'une déficience ou d'un ensemble de déficiences de contrôle interne existant. A titre indicatif, ces indicateurs peuvent être observés selon133 : 132 La SEC et dans sa norme S-B et S6K (Item 308) a prévu que les déficiences significatives du contrôle interne soient clairement divulguées au niveau du rapport de la direction sur le contrôle interne. La CNCC dans son avis technique au titre des bonnes pratiques professionnelles sur 1"exercice d'application des dispositions du dernier alinéa de l‟article L.225-235 du Code de commerce. De même la SEC 133 PCAOB / Bylaws and Rules / Standards / AS5 / Item 65 128 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 128 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB La nature des comptes, des notes et des assertions ; La susceptibilité des comptes au risque de fraude et au risque de pertes ; La subjectivité, la complexité ou l‟importance du jugement dans la détermination du montant impliqué ; La fréquence des exceptions détectées ou connues ; Les interactions du contrôle déficient avec d'autres contrôles ; Les interactions des déficiences ; Les conséquences futures probables de la déficience de contrôle interne. Les faiblesses sont qualifiées de majeures notamment si de tels indicateurs existent134 : L‟identification de fraudes, majeures ou non, de la part du top management de la société, notamment ceux qui s‟engagent sur l‟évaluation effectuée du contrôle interne ; Le retraitement d‟états financiers déjà publiés pour tenir compte d‟erreurs significatives ; La détection d‟erreurs significatives par le commissaire aux comptes et qui n‟ont pas été détectées par la direction ; L‟inefficacité des activités de supervision du comité d‟audit concernant les communications faites sur l‟information financière et l‟environnement de contrôle interne à l‟égard de celle-ci ; Le commissaire aux comptes doit donc prêter une attention particulière à ces déficiences et aux éléments insérées au niveau du rapport de la direction avant de synthétiser ces conclusions et émettre son rapport. i. Formulation du rapport Le rapport du commissaire aux comptes comporte les mentions suivantes : un intitulé : Le rapport de l'auditeur doit comporter un intitulé qui indique clairement qu'il s'agit du rapport d'un auditeur indépendant, 134 PCAOB / Bylaws and Rules / Standards / AS5 / Item 69 129 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 129 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB le destinataire du rapport, un paragraphe introductif comportant une identification de la mission d‟audit, une identification des états financiers objet du rapport en spécifiant notamment la période couverte par ceux-ci, le rappel de sa qualité de commissaire aux comptes, les objectifs de son intervention et les références légales de sa mission, l'identification du rapport du président et l'exercice concerné, les responsabilités respectives, d'une part, de la direction en matière de contrôle interne, d'autre part du président et du commissaire aux comptes dans l'établissement du rapport et dans sa vérification, Il définit aussi le cadre de référence utilisé par la direction pour le maintien et la mise en place du contrôle interne à l‟égard de l‟information financière, le cadre COSO, le cas échéant, Il doit en outre faire référence au rapport d‟auto-évaluation émis par la direction un paragraphe décrivant l‟étendue des diligences effectuées et ce en se référant aux normes d‟exercice professionnelles, à savoir les normes du PCAOB aux USA, ainsi que l‟objectif poursuivi par le commissaire aux comptes dans le cadre de sa mission de double certification ; Ce paragraphe doit mentionner implicitement, l‟objectif poursuivi par sa mission de double certification des états financiers et de l‟environnement de contrôle interne, l‟assurance raisonnable conférée par cette mission, à savoir, que les états financiers ne contiennent pas d‟erreurs significatives et que le contrôle interne à l‟égard de l‟information financière ne contiennent pas de déficiences majeures, un paragraphe définissant le contrôle interne eu égard à l‟information financière comme étant un processus qui a pour finalité de donner une assurance raisonnable quant à la fiabilité du reporting financier et le déroulement des conditions de sa préparation. Il englobe toutes les règles et procédures permettant de : o S‟assurer de l‟exhaustivité des enregistrements comptables et de leur représentation fidèle des transactions et des mouvements ayant eu lieu sur les actifs de l‟entreprise ; o Fournir une assurance raisonnable que la totalité des transactions de l‟entreprise ont été traduites de façon fidèle au niveau des états financiers et que ces mêmes transactions ont été autorisées et approuvées par la direction, et : 130 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 130 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB o Fournir une assurance raisonnable quant à la prévention et la détection en temps opportun des acquisitions, utilisations et cessions non autorisées et qui ont un impact sur les états financiers de l‟entreprise. Un paragraphe indiquant que du fait des limites inhérentes au contrôle interne, certaines erreurs peuvent ne pas être évitées ou détectées et que l‟évaluation de l‟efficacité du contrôle interne dans le futur est soumise aux risques que les contrôles deviennent inadéquats du fait de changements dans l'organisation ou dans son environnement de contrôle, un paragraphe d’opinion, la date du rapport, l'adresse et l'identification du (des) signataire(s) du rapport. L‟opinion est l‟ensemble des conclusions formulées, de façon positive et non négative à l‟instar de ce qui est actuellement fait en Tunisie, sous forme d'observations, ou au contraire d'absence d'observation, a exprimer sur les informations et, le cas échéant, les déclarations contenues dans le rapport de la direction, portant sur les procédures de contrôle interne relatives à l'élaboration et au traitement de l'information comptable et financière et la mention, le cas échéant, du caractère manifestement incohérent de certaines autres informations données dans ce rapport, L‟opinion est exprimée sur l‟image fidèle, et la présentation sincère, dans tous leurs aspects significatifs, des états financiers conformément au référentiel comptable applicable et sur le fait qu‟ils reflètent la situation financière réelle de l‟entreprise d‟une part, et sur le maintien d‟un système de contrôle interne eu égard l‟information financière qui fonctionne pour la période couverte par les états financiers publiés135, d‟autre part. L‟auditeur doit considérer, donc, pour les besoins de la formulation de son opinion, le rapport d‟auto-évaluation émis par la direction et les conclusions de celle-ci. Il doit s‟assurer que la 135 PCAOB / Bylaws and Rules / Standards / AS5 / Item 87 131 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 131 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB direction y a inclus tous les éléments motivant l‟auto évaluation qu‟elle a effectuée, à savoir les obligations introduites par l‟article 302136 de la loi Américaine de sécurités financières. L‟absence de l‟un de ces éléments, ou l‟incohérence de l‟évaluation effectuée par la direction avec celle du commissaire aux comptes, porterait l‟auditeur à revoir et modifier son rapport. ii. Modification du rapport L‟auditeur doit considérer, donc, pour les besoins de la formulation de son opinion, le rapport d‟auto-évaluation émis par la direction et les conclusions de celle-ci. Il doit s‟assurer que la direction y a inclus tous les éléments motivant l‟auto évaluation effectuée, à savoir les obligations introduites par l‟article 302137 de la loi Américaine de sécurités financières, à savoir notamment, que : La direction (CEO et CFO) est responsable de la mise en place et du maintien du contrôle interne ; Elle a défini l‟objectif poursuivi par la mise en place et le maintien du dispositif de contrôle interne à l‟égard de l‟information financière et l‟assurance raisonnable donné par ce dispositif quant à l‟information financière communiquée ; Elle a identifié le cadre auquel elle s‟est référenciée pour la mise en place et le maintien de ce dispositif de contrôle interne à l‟égard de l‟information financière, COSO le cas échéant ; Elle a procédé à l‟évaluation de son efficacité et présenté dans son rapport ses conclusions sur ce dispositif de contrôle interne, et notamment les défaillances majeures qu‟elle a relevé au niveau de ce dispositif ; Elle a identifié et divulgué tous les changements qui ont eu lieu sur ce dispositif ; Le commissaire aux comptes a revu le rapport de la direction et a émis un rapport sur ce dispositif de contrôle interne à l‟égard de l‟information financière. 136 Obligations de l‟article 302 du SOX act et tel que étayées par l‟Item 308(a) de la réglementation S-B et S-K, 17 C.F.R. §§ 228.308(a) and 229.308(a). 137 Obligations de l‟article 302 du SOX act et tel que étayées par l‟Item 308(a) de la réglementation S-B et S-K, 17 C.F.R. §§ 228.308(a) and 229.308(a). 132 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 132 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Le commissaire aux comptes devrait s‟assurer que tous ces éléments ont été inclus au niveau du rapport de la direction. L‟absence de l‟un de ces éléments, ou leur inappropriée présentation devrait être considérée au niveau de la formulation de l‟opinion. Le commissaire aux comptes est tenu par suite, d‟insérer un paragraphe ou il devrait expliquer les faits138. Le commissaire aux comptes doit aussi, porter une attention particulière à l‟évaluation effectuée par la direction et à toute incohérence entre l‟évaluation effectuée par la direction avec la sienne : C‟est le cas notamment: lorsque le commissaire aux comptes conclut sur l‟existence d‟une défaillance majeure au niveau du contrôle interne à l‟égard de l‟information financière, et que l‟entreprise n‟a pas inclus cette défaillance au niveau de son rapport d‟évaluation139 ; ou encore, lorsque le commissaire aux comptes considère qu‟une déficience majeure, et bien qu‟identifiée et divulguée au niveau du rapport de la direction, elle n‟ait pas été présentée sincèrement et dans tous ses aspects significatifs140. Ceci reviendrait à dire, que l‟évaluation de la direction est non fiable et que son rapport est par suite, faussé : Si tel est le cas, le commissaire aux comptes est appelé à modifier son rapport pour y exprimer une réserve et inclure un paragraphe explicatif de la déficience majeure identifiée par ses soins et qui n‟a pas été incluse au niveau du rapport de la direction, ou qui n‟aurait pas été présentée sincèrement au niveau dudit rapport et d‟en expliquer la nature ainsi que les effets et répercussions actuels et futurs qu‟elle pourrait avoir sur les états financiers de l‟entreprise et leur présentation sincère. Notons enfin, que toute limitation au niveau de l‟étendue des travaux devrait être sanctionnée par la modification du rapport : Selon l‟importance de cette limitation, le commissaire aux comptes exprime soit une réserve et inclut un paragraphe explicatif de la déficience majeure identifiée, soit une impossibilité d‟exprimer une opinion, si la limitation est tel qu‟il est dans l‟impossibilité de réaliser ses tests et de constituer une base solide pour l‟expression d‟une opinion. 138 PCAOB / Standard_5 / Appendix_C / C2 139 PCAOB / Bylaws and Rules / Standards / AS5 / Item 91 140 PCAOB / Bylaws and Rules / Standards / AS5 / Item 91 133 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 133 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB iii. Rapport distincts ou combinés L'auditeur peut choisir de délivrer un rapport combiné ou deux rapports distincts sur les états financiers de l'entreprise et sur le contrôle interne à l‟égard de l‟information financière141. Si le commissaire aux comptes choisit d‟émettre deux rapports distincts, il devrait procéder à renvoi croisé des deux rapports, c'est-à-dire que : Au niveau de son rapport d‟audit : Il devrait inclure un paragraphe faisant renvoi à son rapport sur le contrôle interne à l‟égard de l‟information financière, les références réglementaires régissant sa mission de double certification, à savoir les normes du PCAOB, le cadre de référence utilisée et l‟opinion exprimée ainsi que la date du rapport émis142. Au niveau de son rapport sur le contrôle interne à l‟égard de l‟information financière : Il devrait inclure un paragraphe faisant renvoi à son rapport d‟audit, de commissariat aux comptes le cas échéant, les références réglementaires régissant sa mission de double certification, à savoir les normes du PCAOB et l‟opinion exprimée ainsi que la date du rapport émis143. iv. Date d’émission du rapport Le commissaire aux comptes devrait émettre son rapport lorsqu‟il a récolté tous les éléments probants lui permettant de supporter son opinion. Il devrait se faire communiquer au préalable le rapport d‟auto-évaluation du contrôle interne de la direction et sa lettre d‟affirmation. Si l‟auditeur choisit d‟émettre deux rapports distincts les deus rapports devraient portés les mêmes dates144. 141 PCAOB / Bylaws and Rules / Standards / AS5 / Item 86 142 PCAOB / Bylaws and Rules / Standards / AS5 / Item 88 143 PCAOB / Bylaws and Rules / Standards / AS5 / Item 88 144 PCAOB / Bylaws and Rules / Standards / AS5 / Item 89 134 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 134 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB v. Evénements postérieurs à la date de clôture Les événements postérieurs à la date de clôture doivent être traités par le commissaire aux comptes selon que ces derniers étaient intervenus après l‟achèvement des tests et avant la date d‟émission du rapport ou qu‟elles soient intervenues après l‟émission du rapport. L'auditeur doit mettre en œuvre des procédures visant à recueillir des éléments probants suffisants et appropriés justifiant que tous les événements survenus jusqu'à la date de son rapport et qui peuvent avoir un impact sur le contrôle interne à l‟égard de l‟information financière, et par suite sur son rapport, ont été recensés et analysés. Il devrait se faire communiquer un engagement de la part de la direction que tous les changements qui auraient survenus au niveau du dispositif de contrôle interne, s‟ils existaient, lui ont été communiqués145. Afin de s‟assurer qu‟aucun changement n‟est intervenu sur le dispositif de contrôle interne à l‟égard de l‟information financière, le commissaire aux comptes devrait revoir les rapports qui auraient été émis par le département audit interne au cours de la période postérieure à la date de clôture, tous rapports qui pourraient provenir d‟un expert indépendant sur le dispositif de contrôle interne, tous rapports émis par des agences de notation ou toutes autres informations qu‟il pourrait obtenir et qui pourraient avoir concernant ce dispositif146. Si par suite à ces tests, l‟auditeur parvenait à conclure qu‟un changement a impacté le dispositif de contrôle interne à l‟égard de l‟information financière, il devrait modifier son rapport pour tenir compte de cette nouvelle appréciation et modifier par suite son opinion, et ce pour tenir compte des déficiences majeures qu‟il aurait relevé. L‟auditeur pourrait aussi, prendre connaissance de déficiences majeures qui n‟existaient pas à la date de certification et qui n‟auraient eu lieu que postérieurement à celle-ci : Il serait appelé 145 Il s‟agit d‟un paragraphe à insérer au niveau de la lettre d‟affirmation 146 Les tests à prévoir en matière des événements postérieurs à la date de clôture ont été prévus au niveau de AU section 560 135 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 135 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB néanmoins, à inclure un paragraphe explicatif de cet événement et de son impact significatif sur le dispositif de contrôle interne. Si les événements postérieurs à la date de clôture parvenaient à l‟attention de l‟auditeur après l‟émission du rapport, ce dernier est appelé à revoir si de tels événements étaient reliées à des conditions qui auraient existé à la date de clôture. Si tel est le cas, l‟auditeur devrait en aviser l‟entreprise et lui demander d‟informer sur cet événement. Et revoir l‟opportunité d‟émettre un nouveau rapport pour modifier le premier qui aurait été déjà émis. vi. Effets de la formulation d’un avis motivé sur le contrôle interne sur l’attestation des états financiers Par définition, la formulation d‟un avis motivé sur le contrôle interne signifierait la détection d‟une déficience majeure ou d'une insuffisance grave sur ce dispositif. L‟existence d‟une telle déficience, formulée dans le rapport de la direction ou dans celui du commissaire aux comptes, est de nature à remettre en cause la certification des comptes de la société. Néanmoins, le commissaire aux comptes doit analyser la couverture combinée du risque lie au contrôle et du risque de non détection pour déterminer si ses conclusions sont de nature à remettre en cause l‟expression de son opinion sur les états financiers. vii. Lettre d’affirmation Le commissaire aux comtes devrait se faire communiquer obligatoirement une lettre d'affirmation avant l‟émission de son rapport portant sa double certification du contrôle interne à l‟égard de l‟information financière et des états financiers,. Cette lettre est établie par la direction à cheque clôture faisant l'objet de publication147. Elle est signée par le directeur général et par le directeur financier de la société. 147 L'article 302 de la loi Sarbanes-Oxley a rendu obligatoire l'établissement d'une lettre d‟affirmation à chaque date de clôture. Son contenu a été étayé au niveau du standard 5 Item 75 136 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 136 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB La lettre d'affirmation, établie par la direction, comprend obligatoirement les éléments suivants148 : Une déclaration faite par les dirigeants sur leur responsabilité dans l'établissement et le maintien du dispositif de contrôle interne à l‟égard de l‟information financière ; Une déclaration qu‟ils ont procédé à l‟évaluation du dispositif de contrôle interne, et que cette évaluation a été effectuée par leur propres moyens et de façon distincte de celle de l‟auditeur ; Une déclaration des conclusions de la direction concernant le fonctionnement effectif du dispositif de contrôle interne à la date de clôture, et conformément au cadre de référence utilisé, COSO le cas échéant; Une déclaration sur le fait que la direction a informé le commissaire aux comptes de toutes les défaillances significatives ainsi que de toutes les faiblesses majeures qu‟elle a relevé durant sa mission d‟évaluation. Une déclaration de toute fraude qui pourrait impacter significativement les états financiers de l‟entreprise, ainsi que de toute autre fraude qui aurait impliqué les directeurs ou autres personnel qui aurait un rôle clé dans le maintien et le bon fonctionnement du dispositif de contrôle interne à l‟égard de l‟information financière ; Une déclaration que toutes les déficiences relevées lors de la dernière période close, ont été transmises et communiquées au comité d‟audit et le sort que ces dernières ont connues, à savoir qu‟elles aient été résolues ou non ; Une déclaration que tous les changements et autres informations ayant lieu avec le dispositif de contrôle, qui ont eu lieu postérieurement à la date de clôture et qui pourraient avoir un impact significatif sur le fonctionnement de celui-ci, ont été communiqués au commissaire aux comptes, ainsi que toutes les actions que la direction ait prise pour y faire face. 148 PCAOB / Bylaws and Rules / Standards / AS5 / Item 89 137 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 137 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB La non communication de la lettre d‟affirmation, ou encore la communication d‟une lettre d‟affirmation incomplète, constituent une limitation quant à l‟étendue des travaux réalisés. L‟auditeur devrait alors revoir l‟opportunité soit d‟exprimer une réserve, de refuser de certifier, soit même démissionner de sa mission149. Si tel est le cas, l‟auditeur devrait aussi reconsidérer la fiabilité des autres lettres d‟affirmation qu‟il aurait obtenue, notamment celle concernant les états financiers sur lequel il allait exprimer son opinion. viii. Autres communications Lors du déroulement de sa mission de double certification, et notamment en matière de certification du contrôle interne à l‟égard de l‟information financière, l‟auditeur est amené à communiquer notamment, avec la direction, le comité d‟audit et le conseil d‟administration. L‟auditeur doit communiquer par écrit, et antérieurement à la date d‟émission de son rapport sur le contrôle interne à l‟égard de l‟information financière, toutes les faiblesses significatives identifiées lors de son audit, à la direction et au comité d‟audit. Il devrait aussi, communiquer par écrit, les déficiences significatives relevées au comité d‟audit. Les autres déficiences dans le contrôle interne à l‟égard de l‟information financière, qui sont d'une moindre ampleur que les faiblesses majeures, et qui auraient été identifiées au cours de la mission d‟audit, devraient être consignées dans un rapport et communiquées à la direction Si l'auditeur, conclut que les activités de supervision du comité d‟audit sur l‟information financière publiée d‟une part, ou sur le dispositif de contrôle interne à l‟égard de l‟information financière d‟autre part, sont inefficaces, l'auditeur doit communiquer cette conclusion par écrit au conseil d'administration. 149 PCAOB / Bylaws and Rules / Standards / AS5 / Item 76 138 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 138 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB ix. La notion de l’assurance raisonnable Le dispositif de contrôle interne, aussi bien conçu et aussi bien appliqué soit-il, ne peut, en aucun cas, fournir une garantie absolue car il contient des limites inhérentes à sa mise en place et conception. Ces limites inhérentes au contrôle interne, le cas échéant celui relatif à l‟information financière, rendent possible, le risque de survenance de défaillances significatives, qui seraient, ni prévenues, ni détectées à temps, au niveau du contrôle interne relatif à la publication du reporting financier. Par suite, le contrôle interne relatif à l‟information financière ne peut, en aucun cas, délivrer une assurance absolue, mais ne peut délivrer qu‟une assurance raisonnable que les objectifs suivis par ce dernier sont atteints. Section 7 : Le pilotage et le suivi Le pilotage du contrôle interne est une des composantes du contrôle interne qui vise à s‟assurer que celui-ci est efficace et qu‟il prend en compte les évolutions de l‟organisation et de son environnement. Le système de contrôle interne à l‟égard de l‟information financière est un système dynamique où de nombreux changements peuvent survenir et rendre certains de ses aspects inadaptés. C‟est pourquoi ce système doit faire l‟objet de contrôles, permettant d‟en évaluer l‟efficacité continue. Pour cela, il convient de mettre en place un système de pilotage permanent, de procéder à des évaluations périodiques ou encore de combiner les deux méthodes. Le pilotage permanent s‟inscrit dans le cadre des activités courantes et comprend des contrôles réguliers effectués par la direction et le personnel d‟encadrement ainsi que toutes autres techniques utilisées par le personnel à l‟occasion de la réalisation de leurs travaux. L‟étendue et la fréquence des évaluations dépendront essentiellement du niveau de risques et de l‟efficacité du processus de surveillance permanent. Les faiblesses du contrôle interne 139 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 139 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB doivent être portées à l‟attention de la hiérarchie et les lacunes les plus graves devront être signalées à la direction dans l‟objectif d‟y apporter des actions correctives permettant au système de contrôle interne à l‟égard de l‟information financière de fonctionner convenablement et efficacement. Cette surveillance, qui peut utilement s‟appuyer sur la fonction d‟audit interne de la société lorsqu‟elle existe, peut conduire à l‟adaptation du dispositif de contrôle interne. La Direction Générale ou le Directoire apprécient les conditions dans lesquelles ils informent le Conseil des principaux résultats des surveillances et examens ainsi exercés. Mise en œuvre par le management sous le pilotage de la Direction Générale ou du Directoire, cette surveillance prend notamment en compte l‟analyse des principaux incidents constatés, le résultat des contrôles réalisés ainsi que des travaux effectués par l‟audit interne, lorsqu‟il existe. Cette surveillance s‟appuie notamment sur les remarques formulées par les commissaires aux comptes et par les éventuelles instances réglementaires de supervision. La surveillance peut utilement être complétée par une veille active sur les meilleures pratiques en matière de contrôle interne. L‟auditeur est appelé à revoir le pilotage et le suivi mis en place par la direction. Il doit acquérir la connaissance des principaux types et moyens que l'entité utilise pour assurer le suivi du contrôle interne à l‟égard de l‟information financière, ainsi qu‟une compréhension de la manière dont l'entité entreprend des actions correctrices au niveau de ce dispositif. Le suivi des contrôles est un processus destiné à évaluer l'efficacité de la performance du contrôle interne au fil du temps. Il implique d'évaluer en temps voulu la conception et le fonctionnement des contrôles et de prendre les mesures correctrices nécessaires, le cas échéant modifiées pour tenir compte des circonstances. La direction réalise le suivi des contrôles par des activités continues, des évaluations ponctuelles ou une combinaison des deux. Les activités de suivi continues sont souvent intégrées aux activités récurrentes normales d'une entité et comprennent des activités courantes d‟encadrement et de supervision. 140 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 140 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Conclusion de la deuxième partie La certification du contrôle interne à l‟égard de l‟information financière constitue en soi un exercice novateur et ce en dépit du fait qu‟elle repose sur des fondements déjà utilisés par les normes techniques régissant les missions d‟audit en Tunisie, à savoir les normes internationales d‟audit, qui appréhendent les missions d‟audit en se basant sur une approche par les risques, se basant, par suite, sur le dispositif du contrôle interne à l‟égard de l‟information financière.. Cette certification requiert à notre avis, des préalables normatifs qui restent à cette date non satisfaits. En effet, les normes régissant l‟audit en Tunisie, à savoir les normes internationales d‟audit, ne permettent pas de répondre pleinement aux objectifs visés par la loi de renforcement des sécurités financières Tunisienne. L‟absence d‟un cadre normatif pour ces missions d‟évaluation du contrôle interne à l‟égard de l‟information financière constitue un frein quant à l‟objectif de formuler une évaluation de l‟adéquation et de l‟efficacité de ce dispositif, et s‟est matérialisé, notamment, par une très grande disparité au niveau des rapports émis sur le contrôle interne. Se munir d‟un tel cadre normatif permet une plus grande homogénéité des concepts soustendant la rédaction des rapports sur le contrôle interne et pourrait donc en faciliter la lecture pour les investisseurs. La méthodologie proposée s‟est basée sur la normalisation américaine, qui constitue un cadre de référence de premier ordre en la matière à cette date. La méthodologie proposée, a pour objectif d‟aboutir à la formulation d‟une double certification du contrôle interne, d‟une part, et des états financiers, d‟autre part. Elle s‟est basée sur la norme d‟audit 5 du PCAOB et les principes du cadre COSO. Ces références normatives Américaines, font prévaloir une méthodologie scientifique, bien structurée et pragmatique permettant de donner plus de confiance quant à la certification émise. 141 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 141 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Dans ce qui suit nous allons présenter un questionnaire, destiné aux experts comptables Tunisiens, et consacré à recueillir leurs attitudes sur l‟étendue des obligations introduites, par la loi 2005-96 en matière de contrôle interne et l‟opportunité / nécessité de la mise en place d‟un cadre de référence, à savoir le référentiel COSO ainsi que la norme d‟audit 5 du PCAOB le cas échant, et les difficultés pratiques qui pourraient résulter de leur mise en application. 142 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 142 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Troisième partie : Mise en place du référentiel COSO et de la norme d’audit 5 du PCAOB en tant que référentiels de certification du contrôle interne : Etude d’impact et de faisabilité. 143 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 143 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Section 1 : Présentation du questionnaire Dans ce qui suit nous allons présenter un questionnaire, destiné aux experts comptables Tunisiens, et consacré à recueillir leurs attitudes sur l‟étendue des obligations introduites, par la loi 2005-96 en matière de contrôle interne et l‟opportunité / nécessité de la mise en place d‟un cadre de référence, à savoir le référentiel COSO ainsi que la norme d‟audit 5 du PCAOB. Paragraphe 1 : Méthodologie Le questionnaire a été subdivisé en 3 parties, détaillées comme suit : Obligations légales Tunisiennes à la charge des directions : Cette partie vise à recueillir l‟opinion des experts comptables Tunisiens sur le niveau de clarté des obligations insérées par la loi 2005-96 datant du 18 Octobre 2005 ayant instauré le renforcement de la sécurité des relations financières en Tunisie en matière de divulgation, par les directions, sur le contrôle interne au niveau de leur rapport de gestion, le niveau de respect de celles-ci, le cas échéant la nécessité de revoir les textes pour exiger une évaluation proprement dite du contrôle interne, et l‟opportunité de se munir d‟un cadre de référence en la matière. Cette partie vise aussi à recueillir l‟opinion des experts comptable Tunisiens sur le niveau d‟aptitude des entreprises Tunisiennes pour s‟y faire. Obligations légales à la charge des auditeurs tunisiens: Cette partie vise, d‟une part, à recueillir l‟opinion des experts comptables Tunisiens quant aux obligations mises à leur charge par la loi 2005-96, en matière de contrôle interne, et à dresser l‟état des lieux en matière des diligences effectuées pour répondre a ces obligations, ainsi que sur les rapports émis. Pratiques à l'échelle internationale (USA) en matière de contrôle interne Cette troisième partie a été dédiée à recenser le niveau de connaissances en matière du cadre de référence COSO et de la norme d‟audit 5 du PCAOB et l‟opportunité de reconnaitre ces derniers comme référentiels permettant de mieux répondre aux obligations insérées par la loi 144 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 144 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB ayant instauré le renforcement de la sécurité des relations financières en Tunisie, a savoir l‟évaluation et la certification du contrôle interne a l‟égard de l‟information financière. Le questionnaire diffusé a été présenté ainsi : 145 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 145 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Questionnaire établi dans le cadre de la préparation d’un mémoire pour l’obtention du diplôme d’expert comptable intitulé : La certification du contrôle interne: Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Candidat : Directeur de Recherche : Mohamed Nizar TAYECH Mr. Fayçal DERBEL 146 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 146 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Madame, Monsieur, Ce questionnaire s‟inscrit dans le cadre de la préparation d‟un mémoire d‟expertise comptable intitulé : « La certification du contrôle interne : Proposition d‟un référentiel : Vers Une approche combinée COSO et norme d‟audit 5 du PCAOB ». Il traite des obligations, de revue, d‟appréciation et d‟attestation du bon fonctionnement des systèmes de contrôle interne, qui ont été introduites par la loi 2005-96 datant du 18 Octobre 2005 ayant instaurée le renforcement de la sécurité des relations financières en Tunisie, de l‟absence d‟un référentiel permettant d‟atteindre ces objectifs, et de la nécessité de s‟en munir d‟un (COSO et norme d‟audit 5 du PCAOB). Ce questionnaire est consacré à recueillir les attitudes des experts comptables Tunisiens sur l‟étendue des obligations introduites, par la loi 2005-96 en matière de contrôle interne et l‟opportunité / nécessité de la mise en place d‟un cadre de référence, à savoir le référentiel COSO ainsi que la norme d‟audit 5 du PCAOB. Ce questionnaire vous est présenté, afin de pouvoir bénéficier de votre expérience et de vos réflexions en la matière, dans l‟objectif d‟enrichir ce travail de recherche. Vos réponses qui seraient exploitées anonymement, serviront à titre exclusif à ce seul travail de recherche et devraient être envoyées par e-mail sur l‟adresse suivante [email protected] En vous remerciant d‟avance pour votre précieuse collaboration, veuillez agréer Madame, Monsieur l‟expression de mes salutations, les meilleures. Cordialement, Mohamed Nizar TAYECH Mobile : +216 24 57 02 13 E-mail : [email protected] 147 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 147 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Obligations légales Tunisiennes à la charge des directions La LSF a mis à la charge des directions l'obligation d'insérer des éléments sur le contrôle interne au niveau de leur rapport de gestion (loi 2005-96 datant du 18 Octobre 2005 ayant instaurée le renforcement de la sécurité des relations financières en Tunisie) OUI Ces obligations sont elles claires et suffisantes? 1 Commentaires Ces obligations sont elles plutôt respectées? 2 Commentaires Ces obligations doivent elles être revues? 3 Commentaires La loi devrait elle exiger les éléments à décrire? 4 Commentaires La loi devrait elle exiger une évaluation proprement dite du contrôle interne de la direction? 5 Commentaires Evaluer le contrôle interne, nécessiterait-il l'adoption d'un cadre de référence? 6 Commentaires Les lois Tunisiennes ont-elles prévus un tel cadre? 7 Commentaires 148 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech NON 148 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB La LSF a mis à la charge des directions l'obligation d'insérer au niveau de leur lettre d'affirmation leur engagement sur la mise en place et le maintien d'un bon système de contrôle interne (Le texte de cette déclaration a vu le jour par arrête du ministre des finances en date du 17 Juin 2006) OUI Produire un tel engagement nécessiterait-il la mise en place de travaux préalables? 1 Commentaires Si Oui, S'agit-il d'une évaluation du dispositif du contrôle interne? 2 Commentaires Si Non, pensez vous qu'une évaluation du dispositif du contrôle interne gagnerait à être effectuée pour supporter l'engagement donné? 3 Commentaires Les entreprises Tunisiennes sont elles plutôt outillées pour se faire? 4 Commentaires Pensez vous que le cadre légal Tunisien actuel a prévu un cadre de référence ou des normes en la matière? 5 Commentaires Si Non, pensez vous qu'un tel cadre devrait être mis en place? 6 Commentaires 149 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech NON 149 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB L'obligation mis à la charge des organes de direction d’insérer des éléments sur le contrôle interne au niveau du rapport de gestion, d'une part, et de communiquer aux commissaires aux comptes une lettre d'affirmation portant leur engagement sur la mise en place et le maintien d'un bon système de contrôle interne d'autre part: OUI Ont-elles amélioré la place donnée au contrôle interne dans les entreprises Tunisiennes et l'intérêt porté à celui ci? 1 Commentaires Ont-elles amélioré la communication en matière de contrôle interne? 2 Commentaires Si Oui, l'amélioration est elle perceptible et ressentie par les utilisateurs de l'information financière? 3 Commentaires L'exigence d'un rapport d'évaluation du contrôle interne par la direction améliorerait-elle la sensibilisation de celle-ci en la matière? 4 Commentaires Si Oui, la qualité de l'information financière s'en ressentira-t-elle? 5 Commentaires 150 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech NON 150 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Obligations légales à la charge des auditeurs Tunisiens La LSF a mis à la charge des auditeurs (commissaires aux comptes) l'obligation de revue périodique du dispositif du contrôle interne et d'insérer un paragraphe au niveau de leur rapport sur cette évaluation (loi 2005-96 datant du 18 Octobre 2005 ayant instaurée le renforcement de la sécurité des relations financières en Tunisie) OUI Des diligences spécifiques sont elles effectuées sur le contrôle interne en vue de la formulation de l'évaluation effectuée? 1 Commentaires S'agit-il d'une évaluation effectuée dans le cadre de la mission d'audit des états financiers? 2 Commentaires S'agit-il d'une évaluation proprement dite du contrôle interne? 3 Commentaires Les normes internationales d'audit, normes adoptées pat l'OECT pour régir les missions d'audit en Tunisie permettent-elles d'aboutir à cet objectif? 4 Commentaires Les normes doivent elles être adaptées au nouveau contexte légal? 5 Commentaires Si Oui, avez-vous connaissance de l'existence de telles normes à l'échelle internationale? 6 Commentaires L'évaluation effectuée par le commissaire aux comptes ont elle été formulée sous forme d'opinion positive? 7 Si Oui, quel cadre de référence est-il utilisé? 151 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech NON 151 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Si non, pensez-vous que l'absence d'un cadre de référence, norme d'audit en la matière, en est la raison? 8 Commentaires La formulation positive donne-t-elle plus de confort quant à l'opinion donnée sur le contrôle interne? 9 Commentaires La formulation positive nécessiterait-elle plus de travaux à effectuer par les commissaires aux comptes? 10 Commentaires La fiabilité des états financiers serait-elle mieux ressentie si une opinion positive est donnée sur le contrôle interne? 11 Commentaires Effectuer de tels travaux nécessiterait-il une évaluation proprement dite à effectuer par la direction au préalable? 12 Commentaires 152 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 152 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Pratiques à l'échelle internationale (USA) en matière de contrôle interne OUI Avez-vous des connaissances approfondies du cadre de référence du contrôle interne COSO? 1 Commentaires Si Oui, Ce cadre pourrait-il être adopté pour répondre aux obligations mises à la charge des directions en matière de contrôle interne? 2 Commentaires L'adoption du cadre COSO améliorerait-elle la qualité des dispositifs du contrôle interne des entreprises Tunisiennes même à défaut d'exigence d'une évaluation proprement dite de ce dispositif? 3 Commentaires Adopter un cadre de référence améliorerait-il la qualité des communications en la matière? 4 Commentaires La référence au cadre COSO, faciliterait-il les diligences à effectuer par le commissaire aux comptes sur le contrôle interne? 5 Commentaires La référence au cadre COSO, amènerait-il les commissaires aux comptes à formuler des opinions positives sur le contrôle interne? 6 Commentaires Le cadre COSO, est-il utiliser actuellement par des entreprises en Tunisie? 7 Commentaires 153 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech NON 153 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB OUI 1 Avez-vous des connaissances approfondies des normes d'audit du PCAOB notamment la norme 5? Commentaires 2 Si Oui, L'adoption de la norme 5 du PCAOB permet-elle de satisfaire répondre aux obligations mises à la charge des auditeurs en matière de contrôle interne? Commentaires 3 Cette référence normative, permet-elle une meilleure structuration des travaux réalisés en matière de contrôle interne et au niveau de la mission d'audit Commentaires 4 La double certification prévue par la norme 5 du PCAOB serait-elle la meilleure solution pour atteindre les objectifs visés par la LSF? Commentaires 5 La norme 5 du PCAOB serait-elle la meilleure solution pour atteindre les objectifs visés par la LSF Tunisienne? Commentaires 6 La norme 5 du PCAOB conférerait-elle plus de confort aux commissaires aux comptes en matière d'évaluation du contrôle interne? Commentaires 7 Les normes du PCAOB, sont-elles utilisées actuellement par des entreprises en Tunisie? Commentaires 154 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech NON 154 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Paragraphe 2 : Champ d’application et caractéristiques de l’échantillon Le questionnaire a été diffusé exclusivement aux experts comptables tunisiens inscrits au tableau de l‟ordre et aux experts comptables mémorialistes faisant prévaloir une expérience professionnelle minimum de 5 années. La période de cinq années d‟expérience professionnelle constitue à notre sens, une période satisfaisante permettant d‟avoir un regard critique et une bonne visibilité sur les missions d‟audit et les difficultés qui peuvent en résulter notamment, en matière de contrôle interne. Le nombre final des réponses aux questionnaires diffusées s‟est élevé à une trentaine d‟experts comptables. 155 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 155 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Section 2 : Synthèse Paragraphe 1 : Présentation des résultats L‟étude a fait ressortir les résultats suivants : Obligations légales Tunisiennes à la charge des directions : Obligations légales Tunisiennes à la charge des directions en matière de divulgation sur le contrôle interne et les informations produites et insérées au niveau du rapport de gestion : Nous avons présenté en premier lieu, une série de sept affirmations aux experts comptables tunisiens concernant les obligations en matière de divulgation sur le contrôle interne tel qu‟édictées par la loi 2005-96 du 18 Octobre 2005 ayant instauré le renforcement de la sécurité des relations financières en Tunisie. Les réponses se sont détaillées comme suit : Affirmation 1 : Ces obligations sont claires et suffisantes 63% de la population interviewée est affirmative pour dire que ces obligations ne sont pas claires et suffisantes. 30% sont plutôt d‟accord pour dire que ces obligations manquent de clarté et sont insuffisantes. Affirmation 2 : Ces obligations sont plutôt respectées 60% de la population interviewée affirme que ces obligations sont non respectées, 27% considèrent qu‟elles sont très moyennement respectées, alors que seuls 13% estiment qu‟elles sont plutôt respectées. Affirmation 3 : Ces obligations doivent être revues 97%, des experts comptables ayant donné suite à ce questionnaire, sont plutôt pour une refonte des textes et leurs éclaircissements. 80% d‟entre eux en sont affirmatifs Affirmation 4 : La loi devrait exiger les éléments à décrire La population interviewée est unanime sur le fait que la loi devrait exiger les éléments ayant trait au contrôle interne, à insérer au niveau du rapport de gestion tel qu‟il a été requis par la loi 2005-96 datant du 18 Octobre 2005 ayant instauré le renforcement de la sécurité des relations financières en Tunisie 156 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 156 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Affirmation 5 : La loi devrait exiger une évaluation proprement dite du contrôle interne de la direction 80% de la population affirme que la loi doit exiger une évaluation proprement dite du contrôle interne. Affirmation 6 : Evaluer le contrôle interne, nécessiterait l'adoption d'un cadre de référence 90% sont tout à fait d‟accord, alors que 10% sont plutôt d‟accord, pour affirmer que la réglementation Tunisienne doit se munir d‟un cadre de référence pour le contrôle interne. Affirmation 7 : Les lois Tunisiennes ont prévu un tel cadre Plus que les ¾ de la population interviewée estime que la loi Tunisienne ne s‟est pas munie d‟un cadre de référence pour le contrôle interne. La population des Experts comptables Tunisiens ayant donné suite à ce questionnaire, estime que les obligations mises à la charge des directions en matière de contrôle interne sont moyennement respectées. Ceci est du principalement, à un manque de clarté au niveau des textes. Ces derniers devraient être revus afin de devenir plus explicites, et exiger des éléments bien précis à insérer au niveau du rapport de gestion, et requérir une évaluation proprement dite du contrôle interne. Pour se faire un cadre de référence gagnerait à être adopté ou mis en place, à défaut de l‟existence d‟un tel cadre dans la normalisation Tunisienne actuelle. 1 Ces obligations sont claires et suffisantes 2 Ces obligations sont plutot respectées 3 Ces obligations doivent être revues 4 La loi devrait exiger les éléments à décrire 5 La loi devrait exiger une évaluation proprement dite du contrôle interne de la direction 6 Evaluer le contrôle interne, nécessiterait l'adoption d'un cadre de référence 7 Les lois Tunisiennes ont prévus un tel cadre Tout a fait d’accord Plutôt d’accord Plutôt pas d’accord Pas d’accord 157 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 157 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB La lettre d'affirmation et l’engagement de la direction sur la mise en place et le maintien d'un bon système de contrôle interne La LSF a mis à la charge des directions l'obligation d'insérer au niveau de leur lettre d'affirmation leur engagement sur la mise en place et le maintien d'un bon système de contrôle interne. Nous avons présenté au niveau de notre questionnaire et en deuxième lieu, une série de 6 questions pour délimiter l‟étendue des travaux qui devraient être effectuées, par la direction pour émettre cet engagement. Les réponses formulées se sont détaillées comme suit : Question 1 : Produire un tel engagement nécessiterait-il la mise en place de travaux préalables? La totalité de la population, estime que la production par la direction de l‟engagement sur la mise en place et le maintien d'un bon système de contrôle interne au niveau de sa lettre d‟affirmation, nécessite des travaux préalables à mettre en œuvre. Question 2 : Si Oui, S'agit-il d'une évaluation du dispositif du contrôle interne? Question 3 : Si Non, pensez vous qu'une évaluation du dispositif du contrôle interne gagnerait à être effectuée pour supporter l'engagement donné? La totalité de la population, estime que la direction doit évaluer son dispositif de contrôle interne, préalablement à l‟émission de sa lettre d‟affirmation et la production de son engagement sur la mise en place et le maintien d'un bon système de contrôle interne Question 4 : Les entreprises Tunisiennes sont-elles outillées pour se faire ? 97% de l‟échantillon estime que les entreprises Tunisiennes sont peu outillées pour procéder à une évaluation proprement dite de leurs dispositifs de contrôle interne. Question 5 : Pensez vous que le cadre légal Tunisien actuel a prévu un cadre de référence ou des normes en la matière? 97% de la population interviewée estime que la loi Tunisienne ne s‟est pas munie d‟un cadre de référence ou de normes permettant d‟évaluer le contrôle interne. Question 6 : Si Non, pensez vous qu'un tel cadre devrait être mis en place? Ils estiment (97%) cependant, que la normalisation Tunisienne devrait se munir d‟un cadre de référence pour le contrôle interne. 158 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 158 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Lettre d'affirmation: Engagement de la direction sur la mise en place et le maintien d'un bon système de contrôle interne 1 Produire un tel engagement nécessiterait-il la mise en place de travaux préalables? 2 Si Oui, S'agit-il d'une évaluation du dispositif du contrôle interne? 3 Si Non, pensez vous qu'une évaluation du dispositif du contrôle interne gagnerait à être effectuée pour supporter l'engagement donné? 4 Les entreprises Tunisiennes sont outillées pour se faire 5 Pensez vous que le cadre légal Tunisien actuel a prévu un cadre de référence ou des normes en la matière? 6 Si Non, pensez vous qu'un tel cadre devrait être mis en place? OUI NON L‟échantillon choisi, estime que l‟insertion au niveau de la lettre d‟affirmation produite par la direction, d‟un engagement de mise en place et de maintien d'un bon système de contrôle interne, tel que requis par la LSF, nécessite des travaux préalables de revue et d‟évaluation de ce dispositif par la direction. La population interviewée, estime cependant, que les entreprises tunisiennes sont peu outillées pour se faire, et reconfirment qu‟un cadre de référence devrait voir le jour préalablement. 159 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 159 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB L'impact des obligations mises à la charge des directions en matière de contrôle interne, sur l'information financière Notre questionnaire a inclus en troisième lieu, un volet contenant 5 affirmations, dédiées à recenser et évaluer l‟impact sur l‟information financière et sa qualité, des obligations insérées par la LSF et mises à la charge des directions, notamment, l'obligation d‟insérer des éléments sur le contrôle interne au niveau du rapport de gestion, d'une part, et de communiquer aux commissaires aux comptes une lettre d'affirmation portant leurs engagements sur la mise en place et le maintien d'un bon système de contrôle interne d'autre part. Les résultats se détaillent comme suit : Affirmation 1 : Ces obligations ont amélioré la place donnée au contrôle interne dans les entreprises Tunisiennes et l'intérêt porté à celui ci 60% des experts comptables interviewés estiment que les obligations mises à la charge des organes de direction en matière de contrôle interne, n‟ont pas amélioré la place donnée à celui-ci et l‟intérêt qui lui en est porté. Affirmation 2 : Elles ont amélioré la communication en matière de contrôle interne 63% estiment qu‟aucune amélioration n‟a été constatée sur la communication en matière du contrôle interne. Affirmation 3 : L'amélioration a été perceptible et ressentie par les utilisateurs de l'information financière 60% estiment qu‟aucune amélioration n‟a été ressentie par les utilisateurs de l‟information financière. Affirmation 4 : L'exigence d'un rapport d'évaluation du contrôle interne par la direction améliorerait la sensibilisation de celle-ci en la matière 77% de la population interviewée est tout à fait d‟accord pour affirmer que l‟exigence d'un rapport d'évaluation du contrôle interne par la direction est de nature à améliorer la sensibilisation et l‟intérêt qui lui en est porté. Affirmation 5 : Si Oui, la qualité de l'information financière s'en ressentira Exiger un rapport d'évaluation du contrôle interne par la direction permet, selon 80% de la population interviewée, d‟améliorer la qualité de l‟information financière. 160 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 160 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB L'impact des obligations mises a la charge des directions en matiere du controle interne sur l'information financiere 1 Ces obligations ont amélioré la place donnée au contrôle interne dans les entreprises Tunisiennes et l'intérêt porté à celui ci 2 Elles Ont amélioré la communication en matière de contrôle interne 3 Si Oui, l'amélioration a ete perceptible et ressentie par les utilisateurs de l'information financière 4 L'exigence d'un rapport d'évaluation du contrôle interne par la direction améliorerait la sensibilisation de celle-ci en la matière 5 Si Oui, la qualité de l'information financière s'en ressentira Tout a fait d’accord Plutôt d’accord Plutôt pas d’accord Pas d’accord Les Experts comptables Tunisiens interviewés, estiment donc, que l‟insertion des obligations à la charge des directions, en matière de contrôle interne, a moyennement amélioré la place donnée à celui-ci et l‟intérêt qui lui est porté, ainsi que la communication qui en est faite et la perception de celle-ci par les utilisateurs de l‟information financière. Ils estiment cependant, que l‟exigence d‟un rapport d‟évaluation proprement dit est de nature à améliorer, considérablement, la sensibilisation de la direction en la matière et la qualité de l‟information financière produite. 161 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 161 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Obligations légales à la charge des auditeurs Tunisiens: En quatrième lieu, une série de 12 questions a été adressée aux experts comptables tunisiens, visant à recueillir leurs opinions quant aux obligations mises à leurs charges par la loi 200596, en matière de contrôle interne, et à effectuer l‟état des lieux en matière des diligences effectuées pour répondre a ces obligations, ainsi que sur les rapports émis. Question 1 : Des diligences spécifiques sont elles effectuées sur le contrôle interne en vue de la formulation de l'évaluation effectuée? 77% des interviewés répondent par la négative. Ceci revient à dire que les diligences effectuées le sont dans le cours normal des travaux d‟audit. Question 2 : S'agit-il d'une évaluation effectuée dans le cadre de la mission d'audit des états financiers? 93% des interviewés estiment que les travaux d‟évaluation sont effectués dans le cours normal de la mission d‟audit et pour la fixation de la stratégie de celle-ci. Question 3 : S'agit-il d'une évaluation proprement dite du contrôle interne? 80% des interviewés estiment qu‟il ne s‟agit pas d‟une évaluation proprement dire du contrôle interne, vu que l‟évaluation est effectuée pour les besoins de la mise en place de la stratégie d‟audit. Question 4 : Les normes internationales d'audit, normes adoptées pat l'OECT pour régir les missions d'audit en Tunisie permettent-elles d'aboutir à cet objectif? 80% de l‟échantillon estime que les normes internationales d'audit, normes adoptées par l'OECT pour régir les missions d'audit en Tunisie ne permettent pas d'aboutir à une évaluation proprement dite du contrôle interne. Question 5 : Les normes doivent elles être adaptées au nouveau contexte légal? 93% des interviewés estiment que les normes régissant les missions d‟audit en Tunisie doivent être adaptées pour tenir compte de ces obligations d‟évaluation du contrôle interne. Question 6 : Si Oui, avez-vous connaissance de l'existence de telles normes à l'échelle internationale? 89% des experts comptables Tunisiens interviewés affirment connaitre des normes à l‟échelle internationale permettant d‟évaluer le contrôle interne et d‟émettre une opinion dessus. 162 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 162 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Question 7 : L'évaluation effectuée par le commissaire aux comptes ont elle été formulée sous forme d'opinion positive? L‟échantillon affirme unanimement que les opinions émises sur le contrôle interne ont été formulées négativement. Question 8 : Si non, pensez-vous que l'absence d'un cadre de référence, norme d'audit en la matière, en est la raison? 90% des experts comptables Tunisiens interviewés affirment que l‟absence de références normatives en matière de contrôle interne, à savoir un cadre de référence et une norme d'audit, amène les auditeurs a exprimer une opinion positive sur les dispositifs de contrôles internes. Question 9 : La formulation positive donne-t-elle plus de confort quant à l'opinion donnée sur le contrôle interne? 93% de la population interviewée estime que l‟expression d‟une opinion positive sur le contrôle interne, contribue à donner plus de confort quant aux travaux d‟évaluations effectués et l‟opinion exprimée. Question 10 : La formulation positive nécessiterait-elle plus de travaux à effectuer par les commissaires aux comptes? La population interviewée affirme unanimement, que la formulation d‟une opinion positive sur le contrôle interne, nécessite la mise en place de diligences supplémentaires pouvant supporter l‟expression d‟une opinion sur des travaux d‟évaluation proprement dits. Question 11 : La fiabilité des états financiers serait-elle mieux ressentie si une opinion positive est donnée sur le contrôle interne? L‟échantillon interviewé affirme aussi unanimement, que la réalisation de travaux d‟évaluation du système de contrôle interne, et l‟expression d‟une opinion positive au niveau du rapport d‟audit, contribue inéluctablement à l‟amélioration de la fiabilité de l‟information financière publiée. Question 12 : Effectuer de tels travaux nécessiterait-il une évaluation proprement dite à effectuer par la direction au préalable? 93% de la population interviewée estime cependant, que des travaux d‟auto-évaluation du contrôle interne doivent être réalisés par les organes de direction préalablement aux travaux d‟audit et aux diligences à effectuer par les auditeurs, pour certifier le contrôle interne d‟une part et les états financiers, d‟autre part. 163 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 163 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Obligations a la charge des auditeurs Tunisiens 1 Des diligences spécifiques sont elles effectuées sur le contrôle interne en vue de la formulation de l'évaluation effectuée? 2 S'agit-il d'une évaluation effectuée dans le cadre de la mission d'audit des états financiers? 3 S'agit-il d'une évaluation proprement dite du contrôle interne? 4 Les normes internationales d'audit, normes adoptées pat l'OECT pour régir les missions d'audit en Tunisie permettent-elles d'aboutir à cet objectif? 5 Les normes doivent elles être adaptées au nouveau contexte légal? 6 Si Oui, avez-vous connaissance de l'existence de telles normes à l'échelle internationale? 7 L'évaluation effectuée par le commissaire aux comptes ont elle été formulée sous forme d'opinion positive? 8 Si non, pensez-vous que l'absence d'un cadre de référence, norme d'audit en la matière, en est la raison? 9 La formulation positive donne-t-elle plus de confort quant à l'opinion donnée sur le contrôle interne? NON OUI 10 La formulation positive nécessiterait-elle plus de travaux à effectuer par les commissaires aux comptes? 11 La fiabilité des états financiers serait-elle mieux ressentie si une opinion positive est donnée sur le contrôle interne? 12 Effectuer de tels travaux nécessiterait-il une évaluation proprement dite à effectuer par la direction au préalable? Pour ce qui est des obligations mises à la charge des auditeurs, les Experts comptables tunisiens interviewés, estiment que l‟évaluation du contrôle interne, et telle que requise par la LSF, est effectuée actuellement, dans le cours normal de la mission d‟audit et que moyennement des taches spécifiques sont effectuées pour se faire. L‟étude des réponses formulées, fait ressortir que les normes régissant les missions d‟audit actuellement, ne permettent pas d‟atteindre, pleinement, cet objectif. Ces normes, devraient plutôt être revues pour s‟adapter à ce nouveau contexte légal, et répondre pleinement à ces obligations. 164 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 164 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Pour se faire, un cadre de référence doit être adopté / mis en place. En effet, l‟absence d‟un tel cadre, se traduit, au niveau des rapports, par la formulation généralement d‟une opinion négative par l‟auditeur. Cette formulation, et bien qu‟elle donne moins de confort, qu‟une formulation positive est la plus utilisée. La formulation positive nécessite, certes plus de diligences spécifiques à mettre en œuvre, mais permet de donner plus d‟assurance quant à l‟opinion formulée d‟une part, et quant à la qualité de l‟information financière publiée, d‟autre part., et nécessite préalablement une évaluation proprement dite du dispositif du contrôle interne par la direction, Pratiques à l'échelle internationale (USA) en matière de contrôle interne Les résultats de l‟enquête font ressortir que seuls le cinquième de la population interviewée, possède de bonnes connaissances en matière de cadre de référence COSO et en matière de la norme d‟audit 5 du PCAOB. Connaissances en matiere de COSO et du PCAOB 1 Avez-vous des connaissances approfondies du cadre de référence du contrôle interne COSO? 2 Avez-vous des connaissances approfondies des normes d'audit du PCAOB notamment la norme 5? OUI NON La population ayant des connaissances du cadre de référence COSO affirme que l‟adoption d‟un tel cadre pourrait contribuer à l‟amélioration de la qualité des dispositifs de contrôle interne des entreprises tunisiennes et leurs communications en la matière, et les aider a mieux répondre aux obligations mises à leur charge par la LSF. Elle conforterait les Experts comptables tunisiens, notamment ceux à qui la LSF est applicable, dans les diligences à mettre en œuvre pour satisfaire ces obligations et exécuter convenablement leurs travaux d‟évaluation du dispositif de contrôle interne. 165 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 165 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Adoption du COSO en Tunisie et l'amelioration des travaux de certification du controle interne 1 Ce cadre pourrait-il être adopté pour répondre aux obligations mises à la charge des directions en matière de contrôle interne? 2 L'adoption du cadre COSO améliorerait-elle la qualité des dispositifs du contrôle interne des entreprises Tunisiennes même à défaut d'exigence d'une évaluation proprement dite de ce dispositif? 3 Adopter un cadre de référence améliorerait-il la qualité des communications en la matière? 4 La référence au cadre COSO, faciliterait-il les diligences à effectuer par le commissaire aux comptes sur le contrôle interne? OUI NON 5 La référence au cadre COSO, amènerait-il les commissaires aux comptes à formuler des opinions positives sur le contrôle interne? 6 Le cadre COSO, est-il utiliser actuellement par des entreprises en Tunisie? La norme d‟audit 5 du PCAOB, permettrait selon la population interviewée, d‟aboutir à une meilleure structuration des diligences et travaux à effectuer pour évaluer et émettre une opinion, formulée positivement, sur le contrôle interne. Adoption du PCAOB en Tunisie et l'amelioration des travaux de certification du controle interne 1 L'adoption de la norme 5 du PCAOB permet-elle de satisfaire répondre aux obligations mises à la charge des auditeurs en matière de contrôle interne? 2 Cette référence normative, permet-elle une meilleure structuration des travaux réalisés en matière de contrôle interne et au niveau de la mission d'audit 3 La double certification prévue par la norme 5 du PCAOB serait-elle la meilleure solution pour atteindre les objectifs visés par la LSF? 4 La norme 5 du PCAOB serait-elle la meilleure solution pour atteindre les objectifs visés par la LSF Tunisienne? OUI NON 166 5 La norme 5 du PCAOB conférerait-elle plus de confort aux commissaires aux comptes en matière d'évaluation du contrôle interne? 6 Les normes du PCAOB, sont-elles utilisées actuellement par des entreprises en Tunisie? Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 166 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Cette norme permettant une double certification du contrôle interne et des états financiers et de façon conjointe, constitue actuellement, la meilleure référence normative qui permettrait de répondre convenablement aux obligations introduites par la LSF. Paragraphe 2 : Conclusion de l’enquête En conclusion, l‟enquête diffusée aux professionnels Tunisiens de l‟audit, a révélé les enseignements suivants : Les obligations légales introduites par la LSF en matière de contrôle interne, et mises à la charge des directions, restent peu claires et ne répondent pas aux objectifs poursuivis, à savoir la sensibilisation à l‟importance de ce dispositif et la perception qu‟a la direction en la matière. Ces obligations gagneraient à être revues et éclairées pour tendre à une évaluation proprement dite du contrôle interne. La normalisation actuelle n‟ayant pas prévu de cadres de références pour le contrôle interne, devrait s‟en prémunir d‟un. En effet, requérir une évaluation proprement dite du contrôle interne, nécessiterait la mise en place préalable d‟un tel cadre. Les auditeurs tunisiens devraient effectuer une évaluation proprement dite du contrôle interne. Ces travaux d‟évaluation devraient être couronnés par la formulation d‟une opinion positive dans leurs rapports. Ceci demanderait certes plus de diligences à effectuer, et requiert préalablement la mise en place d‟un cadre de référence et l‟adaptation des normes régissant les missions d‟audit en Tunisie pour répondre pleinement et convenablement à ces nouvelles obligations. Le cadre de référence COSO et la norme d‟audit 5 du PCAOB, pourrait être adopté pour répondre à ces obligations, mais requerraient un laps de temps nécessaire pour la formation et la maitrise approfondie de ces outils par les professionnels Experts comptables Tunisiens, pour pouvoir être implantés et fonctionner convenablement. Une implémentation progressive gagnerait à être adoptée, à notre sens. 167 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 167 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB CONCLUSION GENERALE Défini comme étant un processus permettant d‟assurer la fiabilité de l‟information financière, d‟assurer le respect des lois et des règlements applicables et de sauvegarder le patrimoine de l‟entreprise, le contrôle interne a été toujours considéré comme étant le meilleur garant d‟une bonne gouvernance de l‟entreprise. Soucieux de l‟importance que revêt le contrôle interne, vecteur d'amélioration des performances et de la qualité de l‟information financière, dans la sauvegarde et la bonne gouvernance des entreprises, les législateurs ont accès leur intérêt sur son renforcement et sur l‟accroissement de l‟implication, aussi bien des organes de direction que des organes de contrôle, dans la mise en place, le contrôle périodique en vue de l‟amélioration de ces procédures, ainsi que la divulgation des insuffisances relevées. Conscient de cette importance, la législation tunisienne, à l‟instar de celle à l‟échelle internationale, s‟est munie de nouvelles lois permettant de renforcer la sécurité financière, de redonner confiance aux investisseurs et d‟amener les sociétés à une plus grande transparence et fiabilité des informations financières qu‟elles publient. Ces lois, ont recentré l‟intérêt porté au contrôle interne, par la mise en place, d‟obligations d‟information à la charge des organes de direction et d‟évaluation à la charge des auditeurs légaux. Ces obligations ne se sont munies, toutefois, ni de cadre de référence, ni de norme professionnelle, permettant d‟attester les systèmes de contrôle interne, et devrait, à notre sens, être revues et éclairées pour exiger une évaluation proprement dite de ce dernier par les directions. Nous nous sommes intéressés, dans le cadre de ce mémoire à la problématique posée par l‟absence d‟un cadre de référence et de norme d‟audit permettant de répondre aux obligations de revue, d‟appréciation et d‟attestation du bon fonctionnement du système de contrôle interne. 168 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 168 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Ainsi, ce travail a été engagé avec pour objectif de proposer une démarche d‟évaluation, permettant de répondre à ces obligations. Une démarche s‟appuyant sur un cadre de référence adéquat, pertinent, compréhensible, reconnu et accessible permettant d‟évaluer l‟efficacité du contrôle interne. Pour se faire nous avons procédé dans une première partie à parcourir les définitions du contrôle interne, les objectifs visés par sa mise en place, ainsi que les responsabilités incombant aux différents intervenants en la matière, ainsi que l‟évolution du contexte réglementaire y afférent, en Tunisie et à l‟échelle internationale. Cette première partie a fait ressortir que les obligations mises à la charge des organes de direction et des auditeurs, et contrairement à notre contexte réglementaire, ont été suivies, par la mise en place de modèles évaluatifs dans la plupart des pays et notamment aux USA. L‟absence d‟un cadre normatif en Tunisie, constitue un frein quant à l‟objectif de formuler une évaluation sur l‟adéquation et l‟efficacité du contrôle interne. Se munir d‟un tel cadre normatif, permet une plus grande homogénéité des concepts soustendant la rédaction des rapports sur le contrôle interne et peut donc en faciliter la lecture pour les investisseurs. C‟est ainsi que nous nous sommes proposé de présenter une méthodologie d‟évaluation qui s‟est basée sur la normalisation américaine, qui constitue, à cette date, un cadre de référence de premier ordre et le modèle le plus utilisé à l‟échelle internationale en la matière.. La normalisation américaine, s‟étant munie du référentiel COSO et de la norme d‟audit 5 du PCAOB, références normatives faisant prévaloir une méthodologie scientifique, bien structurée et pragmatique permettant de donner plus de confiance quant à l‟évaluation du contrôle interne. La méthodologie proposée, avait pour objectif d‟aboutir à la formulation conjointe d‟une double certification du contrôle interne, d‟une part, et des états financiers, d‟autre part. 169 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 169 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB L‟exploitation du questionnaire diffusé à un échantillon d‟experts comptables Tunisiens a confirmé : D‟une part, la nécessité d‟adapter les textes légaux pour éclaircir les obligations, notamment celles mises à la charge des organes de directions et requérir une autoévaluation du contrôle interne. Ceci nécessiterait préalablement la mise en place d‟un cadre de référence du contrôle interne. Le cadre COSO nous parait, le cas échant, le plus adapté. D‟autre part, la nécessité de se prémunir d‟une norme d‟audit permettant d‟émettre une double certification conjointe du contrôle interne et des états financiers. La norme d‟audit 5 du PCAOB peut répondre pleinement à cet objectif Ainsi à la fin de ce travail, et en dépit d‟un niveau de connaissance modéré, devant être amélioré, le cadre de référence COSO et la norme d‟audit du PCAOB, constituent à notre sens, des sources normatives adéquates et convenables permettant de répondre pleinement aux objectifs poursuivis par le législateur tunisien en matière de contrôle interne, le meilleur garant d‟une bonne gouvernance pour l‟entreprise. Ces références normatives pourraient être adoptées en Tunisie, et implémentés de façon progressive. Le présent travail, n‟ayant pas traité le contrôle interne des établissements financiers au vu des spécificités de ce secteur, pourrait être enrichi, par l‟étude des difficultés pratiques d‟applicabilité qui pourraient découler de l‟implémentation du cadre COSO, en tant que cadre de référence de contrôle interne pour les établissements financiers. 170 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 170 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Bibliographie Ouvrages - Sarbanes-Oxley and the new auditing rules par Robert & Moeller dans les editions Wiley. - Memento Audit commissariat aux comptes 2003 – Editions Francis Lefebvre. - Internal Control Reporting -- Implementing Sarbanes-Oxley Section 404, Revised Edition – AICPA. - Internal Controls: Design and Documentation.- AICPA. Revues et articles - Audit financier et controle interne: L’apport de Sarbanes-Oxley. Herve Stolowy, Edouard Pujol, Mauro Molinari, Groupe HEC. - Rapport AMF 2006 sur le gouvernement d’entreprise et le contrôle interne. - Rapport AMF 2005 sur le gouvernement d’entreprise et le contrôle interne. - Contrôle interne des risques par Henri Pierre Maders et Jean Luc Masselin :. (Edition d’oganisation 2004) Thèses et mémoires - Gestion des risques : Nouveaux enjeux et importance pour les PME : Contributions de l’expert comptable. Par Mariem Marakchi (Juin 2005). - Les diligences du commissaire aux comptes sur le rapport du président sur le contrôle interne : Proposition d’une méthodologie et d’outils pour une mise en application pratique : Interactions avec la mission de certification des comptes : par Gelderich-Cjissa Laurence (Novembre 2005). - L’évolution du gouvernement d’entreprise et du contrôle légal depuis l’affaire Enron : Un thème prioritaire pour les instances réglementaires et professionnelles françaises et internationales : la démarche du commissaire aux comptes dans le cadre de la certification du contrôle interne : Justin Amélie (Mai 2004). - Le rapport de gestion et l’analyse des états financiers : Quelles informations pour les utilisateurs Laurent Hila El Jed (2007). - Pour une meilleure sécurité financière des entreprises : Ouertani Hela(2007). 171 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 171 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB Publications professionnelles - Publication COSO : Internal Control over financial reporting – Guidance for smaller public companies (June 2006). - Publication COSO : Entreprise risk management – Integrated framework. - Publication COSO : Le management des de l’entreprise – Cadre de référence (Synthèse). - Publication KPMG : Sarbanes Oxley section 404 : Management assessment process. - Publication de l’Institute of Internal Auditors : Applying COSO : Entreprise risk management – Integrated framework. - Publication Eenst & Young: COSO: Framework for improving your business. - Publication de l’Institut Canadien des comptables agrées: Le contrôle interne et l’attestation : Recommandations à l’ intention des administrateurs. - Publication KPMG : Attestation des contrôles internes : Association avec le rapport de gestion. - Publication KPMG : Attestation des contrôles internes : Evaluation de la conception. - Publication KPMG : Audit committee Institute : Exemple de guide d’auto-évaluation. - L’Institut de l’Audit Interne : Cadre de référence du contrôle interne : Comment le mettre en œuvre. - L’Autorité du Marche Financier (France) : Le dispositif de contrôle interne : Cadre de référence. - PricewaterhouseCoopers : Contrôle interne : Au delà des concepts, 40 questions aux praticiens (Novembre 2004). - Publication KPMG : SOX 404 : Aperçu des exigences du PCAOB. - Association Française des Auditeurs internes : Contrôle interne et système d’information (Novembre 2003). - Institut des vérificateurs internes (Canada) : Contrôle interne de l’information financière : Exigences, attestation de la direction et certification. Lois, normes et règlements - Loi 2000-93 du 3 Novembre 2000 portant promulgation du code des sociétés commerciales. - Loi n° 2005-65 du 27 juillet 2005, modifiant et complétant le code des sociétés commerciales. 172 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 172 La certification du contrôle interne : Proposition d’un référentiel Vers une approche combinée COSO et la norme d’audit 5 du PCAOB - Loi n°2005-96 du 18 octobre 2005, relative au renforcement de la sécurité des relations financières. - Loi 2003-706 du 1er août 2003 portant loi de sécurité financière française. - Loi du 23 juillet 2002 promulguant la loi américaine de sécurité financière : Le Sarbanes Oxley Act. - Security Exchange Commission : Règlement 33-8238. - Loi 96-112 du 30/12/1996, portant promulgation du système comptable des entreprises Tunisiennes tel que modifié et complété ultérieurement. - Loi 94-117 du 14/11/1994, portant promulgation réorganisation du marché financier tel que modifie par la loi 2005-65. - Circulaire de la BCT 2006-19. ayant pour objet la mise en place par les établissements de crédit et les banques non résidentes d’un système de contrôle interne et l’institution d’un comité permanent d’audit interne. - PCAOB audit standard 2 : An Audit of Internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements. - PCAOB audit standard 5 : An Audit of Internal Control Over Financial Reporting that is integrated with An Audit of Financial Statements and related independence rule and conforming amendments. Sites Web www.pcaobus.org www.coso.org www.oect.org.tn www.ifac.org www.icca.ca www.sec.gov www.cncc.fr www.cmf.org.tn www.aicpa.com 173 Proposition d’un mémoire pour l’obtention du diplôme national d’expert comptable / Mohamed Nizar Tayech 173