L'environnement de contrôle est un système de contrôle interne interconnecté, une fonction d'audit interne, une gouvernance des risques, une fonction de conformité, une gestion des risques E&S, une gouvernance des filiales et des éléments connexes des contrôles d'audit externe impliquant le conseil d'administration, la direction et d'autres membres du personnel d'une entreprise. Il fournit une assurance raisonnable quant à la réalisation des objectifs liés aux opérations, au reporting et à la conformité, et couvre l'entreprise et ses filiales.
Les rapports doivent respecter les normes de divulgation acceptées au niveau mondial (telles que les futures normes internationales d'information financière [IFRS] Sustainability Disclosure Standards de l'International Sustainability Standards Board, les normes européennes d'information sur le développement durable et la Global Reporting Initiative) et démontrer la solidité des informations fournies par l'entreprise sur le contrôle interne, la gouvernance et la gestion des risques, l'audit interne et la conformité en matière de développement durable. La matrice de gouvernance d'entreprise de la SFI contient également des éléments pertinents pour l'établissement de rapports sur l'environnement de contrôle.
Système de contrôle interne
Le Committee of Sponsoring Organizations of the Treadway Commission (COSO) définit le contrôle interne comme un processus mis en œuvre par le conseil d'administration, la direction et d'autres membres du personnel d'une entité, conçu pour fournir une assurance raisonnable quant à la réalisation des objectifs dans les catégories suivantes :
- Efficacité et efficience des opérations
- Fiabilité de l'information financière
- Conformité aux lois et réglementations en vigueur
Les systèmes de contrôle interne sont les moyens par lesquels :
- Les opérations sont menées conformément aux politiques et procédures prescrites.
- L'entreprise respecte les lois et réglementations en vigueur.
- Les actifs et les informations de l'entreprise sont protégés contre toute utilisation abusive.
Fonction d'audit interne
L'audit interne est une fonction mise en place pour fournir au conseil d'administration et à la direction une assurance raisonnable, indépendante et objective, que des contrôles internes adéquats ont été mis en place. Dans les meilleures pratiques, la fonction d'audit interne a sa propre charte et rend compte directement au comité d'audit du conseil d'administration. Un audit externe fournit l'assurance raisonnable que les états financiers sont préparés conformément aux principes comptables généralement acceptés et qu'ils donnent une image fidèle de la situation financière et des résultats de l'entreprise. En outre, l'audit externe doit comprendre une lettre de recommandation qui met en évidence les lacunes du système de contrôle interne constatées au cours de l'audit.
Gouvernance des risques
La gouvernance des risques est le système et la structure mis en place à l'échelle de l'entreprise pour identifier et gérer les risques actuels et émergents, y compris le rôle du conseil d'administration dans la supervision de l'établissement de l'appétit pour le risque de l'entreprise et dans la supervision du cadre et de la fonction de gestion des risques. Récemment, la gouvernance des risques s'est étendue à la surveillance et au suivi des risques liés au développement durable.
Conformité
La conformité est une fonction qui établit un cadre de conformité, dans lequel les entreprises démontrent qu'elles se sont conformées aux exigences spécifiques des lois, règlements, contrats, stratégies et politiques et procédures internes.
Gouvernance des filiales
La gouvernance des filiales est essentielle car les filiales peuvent présenter des risques financiers, opérationnels et de réputation pour la société mère et les autres sociétés d'un groupe. Plusieurs scandales d'entreprise très médiatisés ont eu pour origine des filiales. La bonne gouvernance des filiales devient particulièrement importante lorsque certaines filiales du groupe ont des investisseurs minoritaires.
Une information adéquate sur la gouvernance des filiales porterait sur les points suivants :
- La capacité de la société mère à identifier et à contrôler toutes ses filiales
- Les politiques et procédures établies pour contrôler la création et la dissolution des filiales
- Une fonction centralisée de gouvernance des filiales et une catégorisation des filiales en fonction de leur complexité, ainsi qu'un cadre de gouvernance approprié appliqué à chaque catégorie
- Le conseil d'administration de la société mère exerce un contrôle sur la structure organisationnelle et les activités de ses filiales, tout en assurant un équilibre et en respectant les rôles de la filiale et de ses administrateurs
-
Bonnes pratiques internationales
Le cadre intégré de contrôle interne du Committee of Sponsoring Organizations of the Treadway Commission (COSO) de 2013 aide les entreprises à concevoir et à mettre en œuvre des contrôles internes qui s'adaptent à l'évolution des activités et des environnements opérationnels, réduisent les risques à des niveaux acceptables et soutiennent une prise de décision et une gouvernance saines.
Source: Cadre intégré de contrôle interne : An Implementation Guide for the Healthcare Provider Industry, page 5 Chacune des cinq composantes contient trois à cinq principes, soit un total de 17 principes. Ceux-ci constituent le cœur du cadre et décrivent comment mettre en œuvre des contrôles internes efficaces. Une entreprise dispose d'un système de contrôle interne efficace lorsque tous les principes sont présents et fonctionnent. Comme le montre la figure suivante, chaque principe est subdivisé en points d'attention qui expliquent comment le principe fonctionne dans la pratique.
Source: Protiviti Global Business Consulting. -
Contrôle interne des rapports sur le développement durable
Le COSO a publié une étude novatrice en mars 2023 avec des conseils supplémentaires pour les entreprises afin de parvenir à un contrôle interne efficace sur les rapports de développement durable, en utilisant le cadre intégré de contrôle interne du COSO reconnu dans le monde entier. Le COSO estime que son utilisation renforcera la confiance dans les rapports sur la gouvernance environnementale et sociale (ESG) et le développement durable, dans les informations communiquées au public et dans les décisions prises par les entreprises.
S'appuyant sur les connaissances significatives acquises dans l'application du cadre intégré de contrôle interne du COSO à l'information financière au cours des deux dernières décennies, Achieving Effective Internal Control over Sustainability Reporting (ICSR) : Building Trust and Confidence through the COSO Internal Control-Integrated Framework introduit le terme "internal control over sustainability reporting" (contrôle interne sur l'information relative au développement durable) dans le lexique du contrôle interne.
Leconsultant Douglas Hileman résume trois attributs des rapports ESG qui diffèrent des rapports financiers : le contrôle par rapport à l'influence, le quantitatif par rapport au qualitatif, et l'historique par rapport au prospectif. Lire l'article complet ici
Systèmes de contrôle interne
Décrire les rôles du conseil d'administration, du comité d'audit et de la direction générale dans les systèmes de contrôle interne de l'entreprise, y compris les éléments suivants :
- Contrôles de la comptabilité et de l'information financière ;
- Contrôles non financiers de la comptabilité et de l'information, y compris les contrôles des données relatives aux activités de développement durable ;
- Contrôles opérationnels, y compris les risques liés au développement durable et aux parties prenantes ;
- Contrôles de conformité, y compris l'éthique et la conformité : code d'éthique, systèmes de dénonciation, mesures anticorruption.
Fonction d'audit interne
Décrire comment le conseil d'administration s'acquitte de sa responsabilité de garantir l'intégrité financière de l'entreprise et l'intégrité de ses opérations, y compris :
- Rapport de l'auditeur interne au comité d'audit et relations avec la direction ;
- Principales activités, défis et conclusions de l'audit interne ;
- La manière dont la fonction d'audit interne est exercée, y compris, le cas échéant, par un prestataire tiers ;
- Évaluation des politiques et pratiques en matière de développement durable et des systèmes de technologie de l'information et de sécurité.
- Comment le conseil d'administration veille à ce que des mesures correctives soient prises pour remédier aux lacunes en matière de contrôle, y compris celles mises en évidence dans la lettre de l'auditeur externe.
Bonnes pratiques internationales
La fonction d'audit interne doit
- Être indépendante, objective, basée sur les risques et dotée d'un champ d'activités illimité et d'un personnel compétent ;
- Faire l'objet d'une évaluation périodique de la qualité par un tiers ;
- Rendre compte directement au comité d'audit et administrativement à la direction.
Le comité d'audit doit approuver le plan d'audit interne annuel.
Le comité d'audit
Décrivez le rôle et les délibérations du comité d'audit, y compris la surveillance des éléments suivants :
- L'exactitude des états financiers ;
- Les fonctions d'audit interne et externe
- Les transactions avec les parties liées ;
- Qualité des informations sur le développement durable ;
- Surveillance et gestion des risques (s'il n'y a pas de comité des risques).
Publication
La directive de la Commission européenne relative aux rapports sur le développement durable des entreprises attribue aux comités d'audit une série de tâches relatives aux rapports sur le développement durable des entreprises et à l'assurance.
Le document ESG Governance : Recommendations for Audit Committees (Recommandations pour les comités d' audit) d'Accountancy Europe fournit une vue d'ensemble du rôle et des responsabilités attendus des comités d'audit en tenant compte de la législation européenne pertinente et des demandes des parties prenantes. Il comprend des recommandations pour les comités d'audit concernant leurs responsabilités ESG, en mettant l'accent sur les compétences et la composition des comités d'audit, ainsi que sur les responsabilités en matière de rapports et d'assurance ESG.
En savoir plus : Gouvernance ESG d'Accountancy Europe : Recommandations pour les comités d'audit, 2022 ; Fédération internationale des comptables (IFAC) : Key Questions for Audit Committees Overseeing Sustainability-Related Disclosure (Questions clés pour les comités d'audit chargés de superviser les informations relatives au développement durable), 2023.
Auditeur externe
Décrivez les éléments suivants concernant l'auditeur externe :
- Durée du mandat, qualifications et indépendance, ainsi que l'effet d'une longue association sur l'indépendance ;
- Le travail de l'auditeur externe en dehors de l'audit et son impact, le cas échéant, sur l'indépendance de l'audit, ainsi qu'une ventilation des honoraires d'audit et des honoraires en dehors de l'audit ;
- L'évaluation périodique de la qualité de l'audit externe ;
- Les mesures correctives prises sur les questions soulevées dans la lettre de gestion de l'auditeur externe ;
- Tout indicateur de qualité de l'audit utilisé pour contrôler l'efficacité de l'auditeur externe ;
- Le rôle du comité d'audit dans la supervision de l'auditeur externe et l'examen de son indépendance.
Appétit pour le risque
L'appétit pour le risque est le niveau global et le type de risque que l'entreprise est prête à accepter dans le cadre de sa stratégie. Votre rapport doit aborder les points suivants
- L'appétence globale pour le risque, la capacité de risque et le profil de risque de l'entreprise ;
- Comment l'appétit pour le risque est déterminé ;
- Les mesures quantitatives et qualitatives utilisées ;
- La tolérance maximale au risque pour chaque risque important ;
- Si le conseil d'administration de l'organisation a approuvé l'appétit pour le risque de l'entreprise.
Bonnes pratiques internationales
Inclure des informations qualitatives et quantitatives. L'appétit pour le risque doit se répercuter sur les activités de l'entreprise.
Intégrer les risques liés au développement durable, y compris les risques liés au climat, dans la gestion des risques et les rapports sur les risques.
Les futures normes internationales d'information financière (IFRS) relatives à la divulgation des informations sur le développement durable comportent un pilier distinct sur la gestion des risques. "L'objectif des informations financières sur la gestion des risques liés au développement durable est de permettre aux utilisateurs des rapports financiers à usage général de comprendre le ou les processus par lesquels les risques et les opportunités liés au développement durable sont identifiés, évalués et gérés. Ces informations doivent permettre aux utilisateurs d'évaluer si ces processus sont intégrés dans les processus globaux de gestion des risques de l'entité et d'évaluer le profil de risque global de l'entité et ses processus de gestion des risques" ([Projet] IFRS S1 General Requirements for Disclosure of Sustainability-Related Financial Information, page 28, paragraphe 25).
Le projet de normes européennes de reporting sur le développement durable ESRS 2 : General Disclosures à partir de novembre 2022 nomme ce pilier Impact, Risk, and Opportunity Management (gestion des impacts, des risques et des opportunités) parce que les normes européennes de divulgation se concentrent sur la double matérialité, y compris la matérialité financière et la matérialité d'impact. Ce pilier couvre la divulgation du processus d'évaluation de la matérialité, le reporting sur les opportunités et le contenu de la divulgation sur les politiques et les actions visant à gérer les questions matérielles de développement durable.
Évaluation et gestion des risques
Décrire la méthode d'identification, de suivi et de contrôle des risques, y compris la détermination de la réponse aux événements à risque. Indiquer comment l'entreprise évalue l'efficacité de ses contrôles des risques afin de déterminer si le niveau de risque est conforme à l'appétence de l'entreprise pour le risque.
Intégration du développement durable
Indiquer comment les risques liés au développement durable ont été intégrés dans le cadre de gestion des risques, et notamment comment les risques liés au climat sont pris en compte à tous les niveaux de l'entreprise.
Surveillance des risques
Décrire la responsabilité du conseil d'administration en matière de surveillance et de contrôle de la gestion des risques, soit par l'intermédiaire d'un comité formel de gestion des risques, soit par l'intermédiaire du comité d'audit.
Le modèle des trois lignes de l'Institut des auditeurs internes est une norme internationale de gouvernance des risques, qui met l'accent sur les relations entre les personnes impliquées dans la gestion des risques afin de garantir l'efficacité de la gestion des risques et du système de contrôle, ainsi que la responsabilité de la surveillance de ces derniers.
Décrire le rôle de la conformité dans la gestion des risques et des opportunités liés au développement durable et au climat de la manière suivante :
- En énonçant les lois et réglementations environnementales et sociales, ainsi que les politiques et engagements de l'industrie ou de l'entreprise auxquels elle doit se conformer ;
- En indiquant comment elle assure le respect de ces lois, réglementations, politiques et engagements ;
- Respecter les codes de conduite ou d'éthique internes, y compris dans la chaîne d'approvisionnement ;
- Respecter les règles et réglementations associées aux questions environnementales et sociales, y compris la pollution, la corruption et les pots-de-vin, ainsi que le traitement des travailleurs ;
- Programme de conformité de la chaîne d'approvisionnement qui permet un meilleur contrôle et une meilleure visibilité de la chaîne d'approvisionnement et qui est essentiel pour la divulgation des émissions du champ d'application 3.
Fournir les organigrammes de l'entreprise, y compris ses filiales et le degré de contrôle, ainsi que des informations sur la juridiction, le secteur d'activité, les actifs et le chiffre d'affaires des filiales.
Inclure une description du cadre de gouvernance des filiales dans le cadre de l'environnement de contrôle, couvrant les points suivants :
- La création et la dissolution des entités juridiques
- La structure et la composition des conseils d'administration des filiales
- Catégorisation des filiales en fonction de leur importance stratégique et de leur complexité ;
- Supervision des filiales au niveau du conseil d'administration ;
- Application des processus d'audit et de contrôle interne de la société mère à la filiale ;
- Procédures d'escalade pour les transactions nécessitant l'approbation de la société mère.
Bonnes pratiques internationales
Une société mère doit utiliser sa fonction d'audit interne pour évaluer la solidité et la conformité des pratiques de gouvernance de ses filiales.
Le conseil d'administration doit veiller à ce que les informations financières et non financières de l'entreprise représentent de manière pertinente, fidèle et opportune les événements importants pour les actionnaires et les autres parties prenantes. La divulgation et la transparence intégrées, y compris les informations ESG, sont essentielles pour la gestion interne et la gouvernance de l'entreprise. Les parties prenantes, les investisseurs et les régulateurs exigent de plus en plus cette divulgation et cette transparence.
Divulgation des dividendes
Les pratiques de leadership suggèrent que les entreprises publient leur politique de dividende dans le cadre du rapport annuel. Cette politique fixe généralement le pourcentage des bénéfices qui sera distribué aux actionnaires, proportionnellement à leur participation. Les entreprises en phase de croissance choisissent souvent de ne pas distribuer de dividendes, tandis que les entreprises plus stables et établies utilisent les dividendes pour attirer les investisseurs axés sur les revenus.
Divulgation d'informations fiscales
Les pratiques de leadership suggèrent que les entreprises publient des déclarations de transparence fiscale, qui contiennent généralement une description de la stratégie et de la politique de l'entreprise en matière d'impôt sur les sociétés, ainsi que le montant réel de l'impôt payé dans les différentes juridictions et les différents segments où elle opère.
La cohérence entre les activités de lobbying d'une entreprise et son objectif et sa stratégie publiquement déclarés est un élément essentiel de l'alignement sur les objectifs à long terme, ce qui est essentiel pour la création de valeur à long terme. Le contrôle de cette cohérence est essentiel pour la transparence globale et la poursuite des objectifs de l'entreprise.
La Global Reporting Initiative et les normes européennes de reporting en matière de développement durable disposent de paramètres pour le lobbying et les contributions politiques financières et en nature.