Résilience du Controle Interne

~ « Venir ensemble est un commencement; rester ensemble est un progrès; travailler ensemble est un succès. (Henry Ford) »

Résilience du Controle Interne

Archives de Tag: Sarbanes-Oxley

En passant

Board Oversight of Long-Term Value Creation and Preservation

02 samedi Sep 2017

Posted by Belin Olivier Consultant (B.O.C.) in Audit Interne, Audit Interne, Contrôle Interne, Gestion des risques, Points de vue et Perspectives, R&D, R&D, Repère

≈ 2 Commentaires

Étiquettes

AML, auditor, board, Dodd-Frank, ERM, Foreign Corrupt Practices, information, internal audit, internal control, investor, laws, management, method, objective, practices, Public, public company, régulation, regulators, risk, risk-management, risk-manager, Sarbanes-Oxley, SOX, stakeholder

 

conference-2110769_1280

Les termes mis en caractères gras sont de mon fait.

Stakeholders increasingly expect boards of directors to do more to oversee the organizations they direct. Some of these expectations are spelled out in laws and regulations—the Sarbanes-Oxley, Dodd Frank, Foreign Corrupt Practices, Anti-money Laundering acts—and stock exchange listing standards, to name just a few. Regulatory-driven board risk oversight expectations, by design, have focused on protecting the public and entity value preservation. The newest board risk oversight expectations, perhaps the most important to date, are being elevated by institutional investors representing billions of current and future pensioners and controlling trillions of dollars of investments. These highly influential investors are calling on CEOs and boards to spend more time and effort directing and overseeing long term value creation. Boards, in turn, are asking CEOs to provide long­ term value creation strategies, together with their assessment of risks to those objectives. The next logical step is for boards to ask for assurances from internal audit departments and enterprise risk management (ERM) specialists that the risk information they get from management linked to top value creation and value preservation objectives is reliable.

This post analyzes these developments and proposes “objective centric ERM and internal audit” as the best­ way forward for public companies and their boards. It is based on a paper published in the Spring 2017 Edition of Ethical Boardroom titled Focusing ERMand InternalAudit on What Really Matters: Long-Term Value Creation and Preservation.

Highlights:Institutional investors who control trillions of dollars of investor funds are calling on CEOs to focus on long-term value creation and strategy and boards of directors to oversee that process.

This post focuses on an important question linked to these developments: Are boards receiving reliable information they need to meet investor expectations on their company’s long-term value creation and preservation objectives and, perhaps more importantly, risks that threaten their achievement?

The author believes that current risk management and internal audit methods and processes are ill-equipped to meet these new expectations.

He proposes a new approach—objective centric ERM and internal audit—as the way forward.

Lire la suite →

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

En passant

Le dispositif d’alerte : montée en puissance de l’alerte éthique et professionnelle

07 mercredi Juin 2017

Posted by Belin Olivier Consultant (B.O.C.) in Actualités, Conformité, Contrôle Interne, Ethique, Gestion des risques, Public, R&D, R&D, Secteur public

≈ 4 Commentaires

Étiquettes

alerte, alerte éthique, banque, contrôle, contrôle interne, délictueux, disfontionnement, dispositif, entreprise, faits, fonction publique, fonctionnaires, lanceur d'alerte, loi, loi Sapin2, procédures, protection, Public, Sapin, Sarbanes-Oxley, sécurité

warning-2157500_1280

Les articles 6 à 16 de la loi Sapin 2 consacrent un nouveau dispositif dit « d’alerte ». L’existence de lanceurs d’alertes n’est pas nouvelle, mais le droit français avait révélé plusieurs lacunes en la matière. Que prévoit exactement ce dispositif ?

Loi 2016-1691 du 9 décembre 2016 (« Sapin 2 ») / Décret n°2017-564 du 19 avril 2017

Il s’agit d’un dispositif qui existe depuis déjà longtemps dans la Fonction publique et permet aux fonctionnaires de signaler des faits délictueux.

Au sein des établissements bancaires depuis la loi Sarbanes-Oxley de 2002, l’ensemble du personnel peut faire part « d’interrogations » sur « d’éventuels dysfonctionnement relatifs au mécanisme du contrôle interne ». Mais la loi Sapin 2 va plus loin :

  • elle consacre un régime général de « l’alerte » notamment dans le domaine bancaire ;
  • elle prévoit un dispositif de protection du lanceur d’alerte ;
  • elle détermine une procédure précise de signalement générale.

Par Alexandre Peron – Village de la Justice – http://www.village-justice.com/articles/dispositif-alerte-montee-puissance-alerte-ethique-professionnelle,25129.htmlvia News Suite bit.ly/newssuiteapp

A consulter également :
Pour les entreprises aussi, une loi anticorruption, et qui tourne au casse-tête !
Loi Sapin 2 – Cartographie des risques et dispositif anticorruption : parallèle avec le dispositif applicable aux banques
Le statut des lanceurs d’alertes dans la Loi Sapin II
Lanceurs d’alerte : des conséquences floues pour les DSI
Le lanceur d’alerte publie son manifeste : « La révolution sera numérique »Le lanceur d’alerte publie son manifeste : « La révolution sera numérique »

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

Of COSO, Internal Control and Compliance Careers

01 lundi Fév 2016

Posted by Belin Olivier Consultant (B.O.C.) in Actualités, Conformité, Contrôle Interne

≈ Poster un commentaire

Étiquettes

Committee of Sponsoring Organization, compliance, conformité, conformité réglementaire, contrôle, contrôle interne, contrôleur conformité, corruption, COSO, COSO II, COSO III, cybersécurité, Dodd-Frank, finance, gestion du changement, gouvernance, information financière, infraction, Sarbanes-Oxley, SEC

Plan de carrière

Carrière – Evolution – Contrôleur interne – Contrôleur Conformité – Recrutement

Je vous propose, pour illustrer mon propos, la traduction d’un billet lu sur le site « Compliancex.com », intitulé « Of COSO, Internal Control, and Compliance Careers », rédigé par Matt Kelly en date du 22 janvier 2016 (confère le lien « source » à la fin de ce billet).

Le fond de son sujet se rapporte à l’évolution du métier de contrôleur de la conformité au sein de sociétés en liens professionnels avec Wall Street (sociétés de gestion d’actifs…) et, en particulier, des nouvelles compétences requises et de la difficulté de déceler les « perles rares » lors des processus de recrutement.

A mon sens, le contenu de son billet peut s’adapter, c’est-à-dire concerner, à d’autres entités que la gestion d’actifs, que ce soit aux Etats-Unis ou en Europe.

« Plusieurs fois, ces temps derniers, j’ai écrit sur le succès de nos jours de la conformité professionnelle. Les personnes qui seront « courtisées » par les employeurs, et pour des postes de haut niveau, doivent en savoir autant sur le leadership et la gestion du changement comme ils le font sur les détails des règles de conformité de Wall Street.

Aujourd’hui, je veux explorer un ensemble spécifique des connaissances que ces candidats doivent détenir. Ils ont besoin de connaître les modalités et la technicité des contrôles internes.

Les contrôles internes ont commencé comme quelque chose d’important à votre département corporate finance et en cabinet d’audit externe. Ils sont, littéralement, les contrôles qu’une société a mis en place pour s’assurer que les employés ne font pas quelque chose contre les règles. Que la politique de votre entreprise instaure que vous ne pouvez pas dépenser plus de 500 $ par nuit pour divertir un client ? Voilà un contrôle interne. Le processus consistant à soumettre un rapport de dépenses avec des reçus, et puis qu’une personne dans la finance rapproche les reçus de vos dépenses indiquées sur le formulaire déclaratif, puis que votre superviseur autorise le remboursement des frais engagés, puis qu’une autre personne, dans la finance, vous établi un chèque, ce sont tous des contrôles internes.

Pendant de nombreuses années les agents de conformité ne se préoccupent pas trop de contrôle interne, car le contrôle interne est principalement appliquée à l’information financière pour les investisseurs. Les responsables de la conformité, quant à eux, avaient la responsabilité de surveiller la manière dont les employés de la firme exécutent les transactions, appliquent la pratique de l’éthique de leur métier à propos de la détention d’informations privilégiées sur des entreprises, avant la réception de ces informations par leur clientèle. Cela a été un problème de mauvais comportement, pas de mauvaise tenue de la comptabilité. Donc, sur une longue période, les agents de la conformité se souciaient davantage des règles de conformité de Wall Street que de contrôle interne à l’égard de l’information financière.

Qu’est-ce qui a changé ? Surtout depuis la loi Dodd-Frank, les régulateurs examinent aussi les entreprises financières sur la bonne gouvernance, c’est-à-dire l’application « pure » de la conformité réglementaire. Donc, les deux mondes de la conformité réglementaire, et du contrôle interne à propos du reporting financier, se chevauchent de plus en plus dans un plus grand impératif de bonne exécution de l’ensemble des opérations de la firme.

Prenons l’exemple de la politique anti-corruption. Non seulement la corruption d’un agent d’un gouvernement étranger est une infraction pénale que le respect ou le service juridique n’a à se soucier; il est une infraction civile imposée par la SEC, qui « punit » la société parce que votre service comptable n’a pas remarqué le détournement de l’argent pour financer ces pots de vin illégaux. Un cabinet, un astucieux qui veut rester en adéquation avec les régulateurs, aura une approche unifiée de la lutte contre la corruption, avec des contrôles internes rigoureux pour identifier toutes les parties qui pourraient payer des pots de vin pour le compte de la société, et des contrôles pour déceler les paiements suspects qui pourraient être assimilés à des pots de vin.

Les professionnels de la conformité qui ont exercés une grande partie de leur temps sur la conformité réglementaire, ou travaillant dans le département juridique, pourraient ne pas avoir beaucoup d’expérience en termes de contrôles internes. Il existe, cependant, toute une littérature et des discussions à propos du contrôle interne que les professionnels de la conformité financière ont généré depuis la loi Sarbanes-Oxley de 2002. Le point de départ est le Committee of Sponsoring Organizations (COSO), qui a développé le cadre référentiel de contrôle interne que les sociétés cotées en bourse utilisent aujourd’hui le plus souvent pour leur reporting financier.

COSO a tenu compte de beaucoup d’expériences vécues dans ce cadre. Sa première utilisation est pour le reporting financier, mais des éléments de base de ce cadre («composants» en langage COSO) peuvent être utilisés pour toutes sortes de questions : la cybersécurité, la lutte contre la corruption, la conformité réglementaire, et plus encore.

Donc, comprendre comment vous pouvez greffer le cadre du COSO sur la conformité est le défi auquel votre entreprise a à répondre, ainsi que vous, en tant qu’agent de la conformité. Un recruteur que je connais (information : pas quelqu’un de Compliance Search Group) m’a dit qu’il était à la recherche d’un candidat qui a la connaissance de la conformité pour la gestion d’actifs « et tout ça du contrôle interne ». « Je ne suis pas encore sûr que je sais ce qu’est un tel candidat, sans parler de la façon dont un candidat sait « .

Dans l’avenir, ces conversations se produiront encore plus souvent. Compliance officers qui savent comment faire et qui le feront bien« .

Le contrôle interne des sociétés US cotées à Wall Street a pour base la réglementation extraterritoriale Sabarnes-Oxley et, plus précisément, son article 404 énonçant les obligations en matière de contrôle interne. Celles-ci se rapportent aux processus comptables et financiers.

En France nous disposons de la fonction de Responsable Conformité et Contrôle Interne (RCCI) au sein des sociétés de gestion de portefeuille ou de patrimoine.

Pour mémoire, c’est l’arrêté du 9 mars 2006 qui a introduit un nouveau dispositif en matière de contrôle interne de la Société de Gestion de Patrimoine (SGP). Ce nouveau dispositif supprime la distinction entre le contrôleur interne et le déontologue pour les fusionner au sein de la fonction de Responsable de la Conformité et du Contrôle Interne (RCCI).

Le RCCI est obligé de disposer d’une carte professionnelle délivrée par l’Autorité des Marchés Financiers (AMF). La carte professionnelle n’est pas matérialisée par un support papier, mais fait l’objet d’une inscription dans un registre informatisé tenu par l’AMF. Elle ne donne à son détenteur le droit d’exercer sa fonction de responsable du contrôle que pour le prestataire de services d’investissement qui a présenté sa candidature pour l’obtention de cette carte.

Cette délivrance s’effectue à la suite de la réussite d’un examen professionnel.

L’examen consiste en un entretien avec le candidat au cours duquel le jury doit s’assurer :

  • de l’honorabilité du candidat, de sa connaissance des obligations professionnelles et de son aptitude à exercer les fonctions de responsable de la conformité,
  • que la fonction de conformité dispose des moyens suffisants pour s’acquitter de ses missions de manière appropriée et indépendante conformément à l’article 313-3 du règlement général de l’AMF.

Les grandes lignes du contenu de cet examen sont :

A – Environnement réglementaire et déontologique :

  • cadre institutionnel et réglementaire français, européen et international
  • déontologie, conformité et organisation déontologique des établissements
  • réglementation pour la lutte contre le blanchiment et le financement du terrorisme
  • réglementation “abus de marché “
  • démarchage bancaire et financier, vente à distance et conseil du client
  • relation avec les clients et l’information des clients.

B – Connaissances techniques :

  • instruments financiers et les risques
  • gestion collective / gestion pour compte de tiers
  • fonctionnement et organisation des marchés, post-marché, back-office
  • émissions et opérations sur titres
  • bases comptables et financières.

Le RCCI s’assure du respect des procédures mises en place par un contrôle permanent (pris en charge par des collaborateurs opérationnels au 1er niveau et par le RCCI au 2ème niveau) et un contrôle périodique (s’exerce sous forme d’audits ou d’inspections).

Nous constatons que ce contrôle interne n’a apparemment pas de lien direct avec l’ensemble des processus énoncés par le COSO. Même si cette définition parle de « contrôle permanent », nous sommes plus proches de SOX que du COSO 2 ou 3. 

Les questions soulevées par Matt Kelly sont d’actualité pour toutes les entités européennes. Ceci, d’autant plus, qu’il est envisagé d’instaurer en France des processus de prévention et de contrôle de la conformité au sein des entreprises (loi sur la transparence de la vie économique –confère: https://resilienceducontroleinterne.wordpress.com/2015/12/30/les-societes-francaises-prochainement-sous-surveillance%e2%80%89/).

J’en profite pour attirer de nouveau votre attention sur l’intérêt de la précision du langage (https://resilienceducontroleinterne.wordpress.com/2016/01/08/humain-trop-humain/). Nous sommes habitués entre professionnels à parler en langage technique et, par aisance ou besoin de rapidité, par sigle. Ce qui peut provoquer certaines confusions chez des interlocuteurs non-avertis. Dans le cas présent, l’utilisation du sigle RCCI peut avoir au moins deux significations : celle exprimée dans ce billet, mais aussi celle de RCCI Bâtiment (Recherche des Causes & Circonstances d’Incendie : les techniciens/ingénieurs en investigation RCCI des entreprises et collectivités sont des experts en recherche des causes et des circonstances d’incendie des bâtiments).

Contrôle interne et Conformité sont « intimement » liés au travers de la gestion des risques. Ce lien prend un nouvel essor, par exemples, par l’apparition des Big data (exploitation des données numériques), par la mobilité des collaborateurs et la disponibilité des informations professionnelles. En entreprise, cette responsabilité doit-elle être détenue par une seule personne ou par deux personnes distinctes. La gouvernance ne peut plus se contenter de son Directeur juridique. Mais, l’attribution de la responsabilité de la Conformité est-elle obligatoirement dépendante d’un cursus juridique ?

Par ailleurs, comme j’ai pu le constater aux cours de divers entretiens professionnels, en dehors des grandes entreprises, le contrôle interne n’est pas un concept clair et précis en termes de connaissance et, encore moins, en termes de mise en place et, surtout, d’actualisation continue.

Source (EN) : Of COSO, Internal Control, and Compliance Careers

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

Souscrire

  • Articles (RSS)
  • Commentaires (RSS)

Archives

  • août 2019
  • juillet 2019
  • juin 2019
  • mai 2019
  • avril 2019
  • mars 2019
  • février 2019
  • janvier 2019
  • décembre 2018
  • novembre 2018
  • octobre 2018
  • septembre 2018
  • août 2018
  • juillet 2018
  • juin 2018
  • avril 2018
  • mars 2018
  • février 2018
  • janvier 2018
  • décembre 2017
  • octobre 2017
  • septembre 2017
  • août 2017
  • juillet 2017
  • juin 2017
  • mai 2017
  • avril 2017
  • mars 2017
  • janvier 2017
  • décembre 2016
  • novembre 2016
  • octobre 2016
  • septembre 2016
  • août 2016
  • juillet 2016
  • juin 2016
  • mai 2016
  • avril 2016
  • mars 2016
  • février 2016
  • janvier 2016
  • décembre 2015
  • novembre 2015
  • octobre 2015

Catégories

  • A propos
  • Audit Interne
    • Actualités
    • Ethique
    • Référentiels de risques
    • Repère
    • Secteur Public
  • Confidentiel…qui ne l'est plus
  • Conformité
    • Actualités
    • Ethique
      • Best Practices
    • Fraude
    • Lutte contre le blanchiment des capitaux et le financement du terrorisme
    • Plan de Continuité de l'Activité (PCA)
    • Protection des données
    • R&D
  • Contrôle Interne
    • Actualités
    • R&D
    • Secteur public
  • Formation (KM)
    • Actualités
    • Conférences intéressantes
    • Contrôle Interne
    • Gestion des risques
    • Protection données
    • R&D
    • Sécurité
    • Terminologie
  • Gestion des risques
    • Actualités
    • Continuité de l'activité (PCA)
    • Cyberactivité
    • Public
    • R&D
    • Risques Opérationnels
  • Intelligence artificielle
  • Les référentiels
    • Audit Interne
    • Conformité
    • Contrôle Interne
    • ISO
    • Réglementations
    • Risques
  • Mes communications
  • Mes curations
    • Mes magazines professionnels personnels
  • Non classé
  • Points de vue et Perspectives

Méta

  • Inscription
  • Connexion

L’auteur

Belin Olivier Consultant (B.O.C.)

Belin Olivier Consultant (B.O.C.)

COSO, COSO II et COSO III, Contrôle Interne, AMF 2007-2008, Fraude, PCA, Conformité, AFCDP, Intelligence Economique, KM, Ingénierie de formation, Web2.0 http://www.belin-olivier.branded.me http://fr.linkedin.com/in/olivierbelin Paris Vous souhaitez échanger sur des sujets de ce blog, ou me rencontrer, n’hésitez pas à me contacter.

Liens Personnels

  • Mon Portfolio professionnel

Services Vérifiés

Afficher le Profil Complet →

Entrez votre adresse mail pour suivre ce blog et être notifié(e) par email des nouvelles publications.

Rejoignez 2 023 autres abonnés

Mots-clés

analyse ANSSI assurance attaque audit audit interne banque banques blanchiment de capitaux CIL CNIL compliance conformité conformité réglementaire contrôle contrôle interne contrôle permanent corruption cyber-attaque cyberattaque cybersécurité Data dispositif données données personnelles DPO DSI entreprise entreprises Ethique ETI Europe finance formation France fraude gestion Gestion des risques gouvernance hacker information informations informatique Internet juridique loi management normes numérique organisation outils PME processus procédures protection protection des données protection des informations prévention Public ransomware RGPD risk-management risque Risques règlementation règles sensibilisation stratégie système système d'information sécurité sécurité informatique technologie technology transparence
Follow Résilience du Controle Interne on WordPress.com

Créez un site Web ou un blog gratuitement sur WordPress.com.

Annuler
loading Annuler
L'article n'a pas été envoyé - Vérifiez vos adresses email !
La vérification e-mail a échoué, veuillez réessayer
Impossible de partager les articles de votre blog par email.
Confidentialité & Cookies : Ce site utilise des cookies. En continuant à utiliser ce site, vous acceptez leur utilisation.
Pour en savoir davantage, y compris comment contrôler les cookies, voir : Politique relative aux cookies
%d blogueurs aiment cette page :