La nouvelle loi d'orientation sur la gouvernance

La nouvelle loi d'orientation sur la gouvernance

Celle nouvelle loi adapte, plus de 30 ans après, la loi 90-07 à l’environnement institutionnel marqué par plusieurs mutations. A cet effet, elle renforce de manière significative la gouvernance des établissements et institutions publiques dans plusieurs domaines, notamment: 

  • le rôle et la responsabilité des administrateurs ; 

  • le rôle des instances de délibérations dans l’audit interne, la gestion des risques et le contrôle interne ; 

  • le renforcement des organes de contrôle et le rôle de l’auditeur interne. 

Nous abordons dans cet article les principaux changements et innovations prévues dans cette loi d’orientation et donnerons quelques recommandations pour leur mise en œuvre par le Conseil d’administration dans les entreprises publiques, administrations et autres institutions.  

Le périmètre 

La loi 2022-08 élargit le périmètre d’application par rapport à la loi 90-06.  

SECTEUR PARAPUBLIC 

Organismes publics 

Sociétés publiques 

- Etablissements publics (EPIC, EPA) 

- Agences 

- Autres structures similaires ou assimilées 

- Société nationale (droit privé capital détenu par l’Etat ou personne morale de droit publique) 

- Société à participation publique majoritaire (plusieurs personnes morales de droit public détiennent directement ou indirectement plus de 50% du capital) 

 

Evolution du contrôle interne 

La loi donne ne donne pas une définition du contrôle interne, mais fixe les objectifs en son article comme suit : « l’organe délibérant de chaque entité du secteur parapublic adopte et met en place un dispositif de contrôle interne destiné à fournir une assurance raisonnable quant à la réalisation, entre autres, des objectifs suivants : 

  • la conformité des procédures internes aux lois et règlements en vigueur ; 

  • la réalisation de la réglementation en vigueur ; 

  • l’exécution et l’optimisation des opérations ; 

  • ​la fiabilité des informations financières et comptables ». 

Cette disposition suggère que le contrôle interne est sous la responsabilité de la gouvernance, ce qui pourrait prêter à confusion et limiter les responsabilités en matière de contrôle interne qui est en réalité ‘l’affaire de tous’.  

Le référentiel COSO1 (2013) définit le contrôle interne comme étant « un processus mis en œuvre par le conseil, le management et les collaborateurs d’une entité, destiné à fournir une assurance raisonnable quant à la réalisation d’objectifs liés aux opérations, au reporting et à la conformité ». 

« Cette définition renvoie à certains concepts fondamentaux et met l’accent sur les aspects suivants du contrôle interne :   

  • il est axé sur la réalisation d’objectifs relevant d’une ou plusieurs catégories – objectifs liés aux opérations, au reporting et à la conformité ;   

  • il s’agit d’un processus qui repose sur la mise en œuvre de tâches et d’activités continues. Il constitue un moyen et non une fin en soi ;   

  • il est mis en œuvre par des personnes. Il ne repose pas simplement sur un ensemble de règles et de manuels de procédures, de documents et de systèmes ;  

  • il est assuré par des personnes œuvrant à tous les niveaux de l’organisation ;   

  • il permet à la direction générale et à l’organe délibérant d’obtenir une assurance raisonnable et non une assurance absolue ;    

  • il est adaptable à la structure de toute entité. Il offre une certaine souplesse d’application pour l’ensemble de l’entité ou une filiale, une division, une unité opérationnelle ou un processus métier en particulier ». 

Les ‘lignes’ de défense ? 

La loi prévoit les niveaux de contrôle suivants : 

  • le contrôle par les tutelles technique et financière, le Comité de suivi du secteur parapublic, l’Inspection Générale d’Etat et le Contrôle financier 

  • le contrôle externe : le contrôleur financier et le commissaire aux comptes 

  • le contrôle interne : l’audit interne et le contrôle de gestion 

La loi ne définit pas de relation hiérarchique entre l’audit interne et l’entité. 
 

Modalités de mise en œuvre du contrôle dans les entreprises du secteur parapublic 

Comment mettre en œuvre les dispositions de cette loi d’orientation dans votre entité ? 

A. Pour l’organe délibérant 

  1. Mise en place d’un comité d’audit et de rémunération.  

Le Conseil d’Administration doit mettre en place un comité d’audit et de rémunération. Les prérogatives et la composition du comité d’audit ne sont pas précisées dans la loi. Nous préconisons la mise en place d’un comité au sein du Conseil composé d’un nombre limité de membres (trois ou quatre) et la désignation d’un président du comité ainsi que d’un rapporteur. Le comité se prononce sur la gestion des risques, l’évaluation du dispositif de contrôle interne. Il doit prendre connaissance du plan d’audit. Il recrute et détermine la rémunération de l’auditeur interne et effectue l’évaluation de l’audit interne. Il est en relation avec le (s) commissaire (s) aux comptes et aide le Conseil à arrêter les comptes de l’entité. Il doit disposer d’une charte et se réunir régulièrement (au moins deux fois dans l’année). 

  1. Durée du mandat du CAC conforme aux dispositions de l’OHADA  

Le Conseil doit veiller lors du renouvellement du mandat du commissaire aux comptes de le nommer pour une durée égale à six exercices. Un suppléant doit être également désigné lors de la nomination du commissaire aux comptes. 

  1. Elaboration d’une cartographie des risques 

Il s’agit d’une belle évolution que de ‘légaliser’ la gestion des risques dans les entreprises du secteur parapublic. Certaines entreprises ont déjà commencé la démarche d’une manière volontaire mais la démarche est souvent méconnue de la gouvernance et parfois de l’exécutif. La démarche consistera à identifier, évaluer les risques (suivant une grille objective) et surtout mettre en place un plan de gestion des risques avec les stratégies adéquates (acceptation, évitement, transfert ou traitement). La démarche doit être participative, coordonnée par un responsable de l’entité (l’audit interne par exemple). Elle doit prendre en compte la stratégie de l’entreprise et mise à jour régulièrement (au moins chaque année). 

  1. Mise en place d’un service d’audit interne obligatoire 

La loi supprime le terme ‘contrôleur interne’ contenue dans la loi 90-06 et prévoit la fonction d’auditeur interne. Toutefois, la loi ne précise pas le rattachement pour permettre de garantir l’indépendance nécessaire à cette fonction ; elle ne précise pas non plus les interactions entre l’audit interne et les autres organes de contrôle (contrôle interne, contrôle externe).  

  1. Mise en place d’une politique d’audit interne 

La loi précise que l’entité doit mettre en place une ‘politique d’audit interne’ pour apprécier la bonne maitrise des risques’. Nous pensons que le terme ‘politique d’audit interne’ n’est pas très approprié. Nous proposons plutôt une ‘politique de gestion des risques et de contrôle interne’. L’audit interne étant plutôt une fonction pour lesquelles les rôles et responsabilités sont bien précises dans les normes internationales d’audit édictées par l’IIA.2  

  1. Etablir un rapport annuel du Président et rapport du CAC sur la gouvernance 

Le contenu du rapport du Président n’est pas défini de même que le rapport du Commissaire aux comptes sur la gouvernance. Nous pensons qu’il s’agit du rapport sur le contrôle interne et la gestion des risques, tel qu’élaboré dans les sociétés cotées et pour lequel le commissaire aux comptes doit donner une opinion. 

  1. Le Conseil doit adopter un référentiel de contrôle interne en vue du management des risques identifiés 

Le référentiel de contrôle interne est un outil puissant de pilotage et de contrôle interne permettant de s’assurer que les risques sont sous contrôle. Il découle de l’analyse des risques (pas de contrôle en l’absence de risques). Il est élaboré par les opérationnels lors de l’identification des risques. Il fait l’objet d’un suivi par les responsables opérationnels, l’auditeur interne, les auditeurs externes… Il doit être mis à jour régulièrement en fonction des risques et des incidents survenus. Le RCI définit pour chaque contrôle identifié, les modalités de réalisation, la fréquence, la formalisation… Les contrôles identifiés peuvent être intégrés dans le manuel des procédures (contrôle de niveau 1). 

  1. Evaluation du manuel des procédures 

Le Conseil doit approuver le manuel des procédures de l’entité. Le manuel fait l’objet d’une évaluation par l’entité et notamment l’auditeur interne (qui ne doit pas les élaborer). Les modalités de cette évaluation permanente ne sont pas définies mais il parait évident qu’il s’agit de la réalisation de mission d’audit interne (dont les modalités pratiques sont prévues dans les normes internationales d’audit). L’organe délibérant doit effectuer l’évaluation permanente de l’application des procédures. Les modalités de ce suivi ne sont pas définies dans la loi. L’organe délibérant peut confier cette évaluation à l’exécutif qui peut rendre compte à travers son rapport annuel en prévoyant un chapitre sur le contrôle interne et la gestion des risques ou dans le rapport sur les directives. 

B. Pour l’exécutif  

La loi prévoit un rapport du directeur de l’exécutif sur les directives (suivi des recommandations) des contrôles de la tutelle. Le rapport peut contenir l’état de mise en œuvre des recommandations issues de chaque organe de contrôle et faire état de l’avancement pour chaque domaine d’activité (trois niveaux d’avancement peuvent être définis : en cours, terminés, non démarrés. Les recommandations importantes qui peuvent constituer une menace pour l’entreprise doivent être traitées en priorité. 

Le suivi des recommandations (directives) constitue une activité clé dans le dispositif de contrôle interne et de gestion des risques et sa correcte prise en charge constitue un élément d’appréciation de l’importance accordée au contrôle par la gouvernance et l’exécutif de l’entité. 

C. Pour l’audit interne 

La loi ne prévoit pas de définition de l’audit interne ;  

  1. Conception et mise en œuvre d’une politique d’audit interne 

  1. Evaluation du manuel des procédures 

  1. Evaluation du référentiel de contrôle interne (qui doit le préparer ?) 

De même, elle ne fait pas référence à son rôle dans la gestion des risques ; les relations avec le comité d’audit ne sont pas évoquées. Comme rappelé plus haut, la notion de ‘politique d’audit interne’ n’est pas clairement définie et peut prêter à confusion. 

Nous avons compris également que le rôle dans l’évaluation du manuel des procédures va consister en la réalisation de missions d’audit interne.  

L’auditeur interne évalue le référentiel de contrôle interne à travers des missions spécifiques liées à cette activité. Cette activité peut rentrer dans le cadre de l’évaluation de la gestion des risques de l’entité. 

D. Pour le Commissaire aux comptes 

La loi prévoit que le commissaire aux comptes établisse un rapport sur la gouvernance. Toutefois le contenu et la forme de ce rapport n’est ne sont pas précisés. 
 

Conclusion 

La loi d’orientation sur le secteur parapublic sur le contrôle des personnes morales bénéficiant du concours de l’Etat constitue une avancée significative en termes de gouvernance, de gestion des risques et de contrôle interne des entreprises du secteur parapublic. La gouvernance et la gestion des risques sont renforcés et le rôle de l’auditeur interne devrait être renforcé. Toutefois, ces dispositions nécessiteront une mise à niveau des organes de gouvernance et de contrôle, notamment le comité d’audit. 

A propos de Moore Sénégal 

Nous accompagnons les entités du secteur privé et public dans la mise en œuvre de la gouvernance, risques et conformité à travers la formation des organes, la mise à disposition d’outils de gestion et l’accompagnement dans la performance.