Le dispositif de contrôle interne mis en place par la Société vise à garantir : 

• la conformité aux lois et réglementations ;
• l’application des instructions et orientations fixées par la Direction Générale ;
• le bon fonctionnement des processus internes de la Société, notamment ceux concourant à la sauvegarde de ses actifs ;
• la fiabilité des informations financières.

L’un des objectifs des procédures de contrôle interne est de prévenir et de contrôler les risques d’erreur et de fraude, en particulier dans les domaines comptables et financiers. Comme tout système de contrôle interne, ce dispositif ne peut fournir qu’une assurance raisonnable et en aucun cas une garantie absolue contre ces risques.

Organisation/ Environnement de contrôle
L’organisation, les compétences, les systèmes et les normes (méthodes, procédures et pratiques) représentent le socle du dispositif de contrôle interne et les fondamentaux du Groupe en la matière.

Organisation matricielle: La Société repose sur une organisation matricielle qui combine les directions opérationnelles (pays) et fonctionnelles (lignes de services, ventes et marchés, fonctions support). Cela constitue une source de contrôle avec une double vision sur toutes les opérations.

Responsabilités et autorisations : une attention particulière a été portée pour s’assurer que les responsabilités et autorisations sont accordées aux bonnes personnes, plus spécifiquement via les initiatives suivantes :

• Délégation de pouvoirs: Une procédure formelle définit les habilitations des dirigeants des filiales à engager juridiquement le Groupe envers ses clients, ses fournisseurs et autres tiers. Ces règles visent à garantir un contrôle efficace et efficient depuis le management des pays jusqu’à la direction générale. La politique de délégation de pouvoirs a été mise en œuvre sous la supervision de la Direction Juridique du Groupe.
• Séparation des tâches: Des règles actualisées de séparation des tâches ont été mises en œuvre dans l’organisation. Un programme de suivi de l’amélioration de la séparation des tâches a été élaboré, comprenant la revue fonctionnelle de la séparation des tâches et des procédures d’attribution des profils. Un outil spécifique a été utilisé pour évaluer automatiquement ces règles dans les systèmes.

Normes et procédures: Le Groupe a défini et mis en œuvre différentes normes et procédures au cours des dernières années, afin d’établir des pratiques standardisées et des méthodes communes. Ces normes et procédures sont révisées lorsque nécessaire afin de rester en adéquation avec les objectifs du Groupe.

Gestion des Ressources Humaines : Une politique de gestion des Ressources Humaines du Groupe a été conçue par le biais du Global Capability Model (GCM, modèle de capacités globales), qui sert de norme de référence pour classifier les emplois du Groupe selon des critères d’expérience et d’expertise. Cette politique a permis aux employés de connaître précisément leurs responsabilités, qui sont détaillées sur les descriptifs de postes, a aidé les directeurs dans les processus de recrutement et de gratification et contribué à la gestion des ressources opérationnelles. Une politique globale en matière de primes a complété cette organisation en définissant les avantages additionnels susceptibles d’être consentis.

Systèmes d’information : Un département processus métier et informatique interne est en place au niveau du Groupe pour gérer les applications et infrastructures informatiques internes communes à l’ensemble du personnel d’Atos dans le monde. Il supporte notamment les fonctions financières (applications de comptabilité et reporting), les ressources humaines (outil de gestion des ressources, annuaire général), la communication (sites web du Groupe et intranet) ou les responsables de projets (gestion des ressources et des projets).
La sécurité et l’accès à ces infrastructures et applications, ainsi que leur fiabilité et performance, sont gérés par ce département et bénéficient de l’expertise et des ressources internes du Groupe.

Communication d’informations fiables et pertinentes
Plusieurs processus sont en place pour s’assurer que des informations fiables et pertinentes sont communiquées dans le temps aux acteurs appropriés au sein du Groupe.

Un ERP (progiciel de gestion intégré) commun est déployé et utilisé dans les principaux pays du Groupe, facilitant l’échange d’informations opérationnelles. Il permet de générer des rapports et analyses transfrontalières (projets transfrontaliers, profitabilité client…) ainsi que des analyses selon différents axes analytiques : lignes de service, zones géographiques, marchés.

Des lignes de communication d’informations formelles ont été définies, qui suivent les structures opérationnelles et fonctionnelles. Ce reporting formel, basé sur des formats standards, concerne aussi bien les informations financières que non financières. La communication d’informations pertinentes est également assurée dans le Groupe via des processus de remontée spécifiques. Ces processus définissent des critères pour remonter les informations au niveau approprié de management, et ce jusqu’à la Direction Générale pour les plus importantes. Ceci concerne divers sujets, comme les risques opérationnels (via le Comité de gestion des risques), la trésorerie (via le Comité de sécurisation des moyens de paiement et de la trésorerie), ou les restructurations financières (Comité de restructuration financière).

Cette remontée d’informations s’accompagne d’instructions « descendantes », émises régulièrement, et plus particulièrement pour les sessions de budget et de reporting financier.

Un site Intranet dédié est accessible à l’ensemble des employés afin de faciliter le partage des connaissances et les échanges sur les questions soulevées par les différentes communautés au sein du Groupe. Ce système global de gestion des connaissances favorise les échanges et permet un transfert efficace et efficient des informations.

Système de Gestion des Risques
La gestion des risques se rapporte aux mesures mises en œuvre dans le Groupe pour recenser et analyser les risques. Bien que les risques soient gérés au quotidien par les managers, certaines initiatives spécifiques ont été menées relatives à la gestion des risques, telles que:

La cartographie des risques, qui a été mise à jour en 2010, a permis d’identifier et évaluer les risques qui pourraient impacter les objectifs du Groupe. La méthodologie retenue comprenait des interviews et des questionnaires adressés aux 400 premiers managers du Groupe, afin de recenser leur vision des principaux risques qui pourraient impacter les objectifs d’Atos, leurs impacts potentiels et leur probabilité d’occurrence.

Cette évaluation a couvert les risques potentiels liés à l’environnement de l’entreprise (parties tierces, catastrophes naturelles), à la transformation et au développement du Groupe (évolution, culture, positionnement marché), aux opérations (clients, collaborateurs, informatique, processus) et à l’information utilisée pour les prises de décision (financière et opérationnelle).

Les résultats ont été partagés avec la Direction Générale du Groupe, pour s’assurer de la mise en œuvre de mesures appropriées pour gérer les risques, et présentés au Comité des Comptes.

L’analyse des risques présente la vision du Groupe sur ses principales zones de risques ainsi que la manière dont ces risques sont gérés. Ceci comprend la souscription à plusieurs polices d’assurance pour couvrir les risques assurables, notamment la protection des actifs du Groupe (sites de production et centres de données) et des personnes. Les risques opérationnels sur les projets ont été gérés par la fonction Gestion des Risques avec un Comité de Gestion des Risques qui se réunissait régulièrement pour revoir les contrats les plus significatifs ou sensibles. Les risques relatifs à la sécurité logique et physique sont quant à eux suivis par une Organisation Sécurité coordonnée au niveau Groupe. Des activités de contrôle ont par ailleurs été mises en place (via le Manuel de Contrôle Interne), sur la base des principaux risques identifiés, comme décrit ci-après dans la section « Activités de Contrôle ».

Activités de Contrôle
Les principales activités de contrôle sont reprises dans le Manuel de Contrôle Interne. Ce manuel, diffusé à l’ensemble des entités complète les différentes procédures en présentant les principaux objectifs de contrôle requis pour atteindre un niveau de contrôle satisfaisant pour chaque processus.

Pour chaque objectif de contrôle, une ou plusieurs activités de contrôle (comprenant la description des activités de contrôle, des preuves du contrôle, des responsables et une périodicité) ont été identifiées pour formaliser les attentes du Groupe en termes de contrôle. Le Manuel de Contrôle Interne ne couvre pas seulement les processus financiers, mais également les processus opérationnels (comme la gestion des contrats), les processus support (comme le juridique, les achats, les ressources humaines ou l’informatique) et les processus de gouvernance (comme les fusions et les acquisitions).

Une nouvelle version du Manuel de Contrôle Interne a été diffusée au sein du Groupe en août 2009 afin de prendre en compte des améliorations de contenu et de forme. Ce document continuera à évoluer en fonction de l’évolution des processus et des risques émergents.

Une action spécifique a également été menée pour satisfaire au besoin de l’établissement de rapports « SAS70 » .

Un référentiel de contrôle a été défini, précisant les activités de contrôles relatives au service délivré au client. Ce référentiel a été bâti sur la base modèle ITGI (Institut de Gouvernance des Technologies de l’Information - IT Governance Institute’s publication titled IT Control Objectives for Sarbanes-Oxley, 2nd Edition).

Surveillance
La surveillance du dispositif de contrôle interne inclut l’analyse du résultat des contrôles effectués (identification et traitement des incidents) et l’évaluation des contrôles pour s’assurer de leur pertinence et de leur adéquation avec les objectifs du Groupe. La surveillance était sous la responsabilité des différents niveaux de management, et s’est appuyée également sur les missions d’Audit Interne.

L’Audit Interne avait pour responsabilité d’évaluer le fonctionnement du dispositif de contrôle interne. L’Audit Interne s’est assuré, par ses revues, que les procédures de contrôle interne ont été dûment appliquées et a contribué au suivi des procédures de contrôle interne. L’audit interne a également défini en partenariat avec la Direction du Groupe et les Directions locales, des plans d’action pour garantir l’amélioration permanente des processus de contrôle interne.

En 2010, l’Audit Interne a mené 87 missions d’audit pour évaluer le fonctionnement du dispositif de contrôle interne : 53 dans le domaine des processus fonctionnels (Finance, Ressources Humaines, Achats et Informatique Interne) et 34 relatives aux processus opérationnels (principalement les activités Worldline). Toutes les missions ont donné lieu à l’émission d’un rapport d’audit spécifiant les plans d’action à mettre en œuvre par la direction du pays concerné.

L’audit interne a également activement accompagné les opérations afin d’atteindre les exigences de conformité et obtenir le statut « d’institution de paiement » pour Worldline Belgique.

Dispositif de contrôle interne relatif à l’information comptable et financière

Les processus qui contribuent à l’information comptable et financière, dénommés « processus financiers » ci-dessous, s’inscrivent dans le dispositif de contrôle interne de la Société, et sont l’objet d’une attention particulière du fait de leur sensibilité.

Organisation financière locale et globale
Les processus financiers sont mis en œuvre par des équipes financières dans chaque pays. Les directeurs financiers des pays avaient jusqu’en février 2009 un double rattachement à la direction du pays et à la Direction Financière du Groupe. Depuis cette date, les directeurs financiers des pays sont rattachés exclusivement au Directeur Financier du Groupe.

Le rattachement à la fonction centrale du Groupe, comme pour les autres fonctions support, renforce l’intégration de la fonction financière en favorisant une harmonisation totale des processus clés de fonctionnement et en apportant ainsi un soutien approprié aux entités opérationnelles du Groupe.

Le pilotage a été assuré par le Comité de Direction Financière du Groupe, constitué des directeurs financiers des principaux pays et du Directeur Financier Groupe. Ce Comité se réunit régulièrement afin de superviser le processus de préparation de l’information financière, de revoir les options comptables les plus significatives ainsi que d’analyser les faiblesses potentielles de contrôle interne, et décider des actions correctrices à mettre en œuvre.

La Direction Financière du Groupe a supervisé les processus financiers, plus particulièrement au travers de la consolidation financière, de la veille réglementaire, de l’apport d’expertise aux différentes entités et du contrôle de l’information financière produite.

En 2010, l’alignement des systèmes financiers s’est poursuivi pour renforcer l’homogénéité entre les pays en termes d’indicateurs et de processus, et rationaliser les outils informatiques et le reporting.

Normes et procédures financières du Groupe
La Direction Financière du Groupe a rédigé plusieurs normes et procédures pour accompagner les filiales et contrôler le traitement de l’information financière. Ces normes et procédures ont été examinées et discutées avec les commissaires aux comptes avant leur diffusion et comprenaient les principaux éléments suivants :

Les normes comptables et financières sont documentées dans un manuel des principes comptables et de reporting du Groupe qui sert de référentiel pour l’information financière du Groupe. Ce manuel définit les normes communes de préparation, de présentation et d’évaluation de l’information financière, ainsi que les principes comptables à appliquer par les entités pour préparer leurs budgets, budgets révisés et arrêtés comptables dans le cadre de la consolidation du Groupe. Les normes de reporting du Groupe et les directives internes relatives à l’application des normes IFRS et, en particulier, les règles comptables adaptées aux métiers du Groupe, ont été régulièrement revues. Un centre de compétence et d’expertise sur les normes IFRS existe au sein du Groupe afin d’aider et de soutenir les opérations locales.

Des sessions de formation et d’information sont régulièrement organisées afin de diffuser ces normes et procédures à travers le Groupe. Un site intranet dédié était accessible à l’ensemble du personnel comptable, favorisant le partage de connaissances et les échanges sur les questions soulevées par la communauté financière d’Atos.

Instructions et calendriers : La remontée des budgets des filiales, des budgets révisés et de l’information financière périodique et annuelle est réalisée sous un format standard et dans les délais fixés par des instructions et procédures spécifiques. La Direction Financière du Groupe a coordonné en liaison avec les commissaires aux comptes les processus de clôture annuelle et semestrielle.

Systèmes d’information
Les systèmes d’information ont joué un rôle clé dans le dispositif de contrôle interne relatif à l’information comptable et financière, fournissant à la fois des contrôles préventifs automatisés, mais aussi des capacités de surveillance et d’analyse.

La production d’informations comptables et financières se fait à l'aide d'un progiciel de gestion intégré partagé par les principaux pays.

Un système de reporting et de consolidation unifié est utilisé depuis début 2007 pour l’information financière (reporting opérationnel et comptes statutaires). Chacune des filiales remonte des états financiers individuels, lesquels sont consolidés au niveau du Groupe, sans palier de consolidation. Toutes les écritures comptables de consolidation sont directement contrôlées par la Direction Financière du Groupe. Les engagements hors bilan sont communiqués avec les autres informations financières et revus par la Direction Financière du Groupe.

Surveillance et Contrôle
Au delà des processus financiers mis en œuvre, les processus de surveillance et de contrôle visaient à s’assurer que l’information comptable et financière était conforme aux normes et instructions définies.

Le dossier de clôture (inclus dans le manuel de contrôle interne) a été déployé au niveau local en 2008. Chaque filiale doit renseigner trimestriellement un dossier de clôture standardisé, formalisant les contrôles importants réalisés sur le cycle financier, et justifiant les positions comptables.

Les revues fonctionnelles ont été menées par les fonctions financières support du Groupe sur les sujets principaux liés au reporting financier, comme les impôts, les engagements de retraites, les litiges, les éléments hors-bilan ou la performance opérationnelle.

Suivi opérationnel et financier : le contrôle de gestion du Groupe a assisté les Opérations et la Direction Générale dans leur processus décisionnel et a travaillé de façon rapprochée avec la Direction des pays dans les domaines suivants: analyse opérationnelle et suivi financier, amélioration du contrôle et de la prévisibilité des résultats, de la qualité et de la fiabilité de l’information communiquée au Groupe.

Lettres d’affirmation : lors de l’établissement des comptes annuels et semestriels, les Présidents et directeurs financiers de chacune des filiales doivent principalement confirmer par écrit:

• qu’ils ont respecté les principes comptables du Groupe ;
• qu’ils n’ont pas connaissance de cas de fraude potentielle ou avérée pouvant avoir un impact sur les états financiers ;
• que les montants estimés résultant des hypothèses prises par le management permettent à la Société d’exécuter les actions correspondantes et
• qu’ils attestent qu’à leur connaissance, il n’y a aucune déficience majeure dans les systèmes de contrôle mis en place dans leurs filiales respectives.

Le département d’audit interne : la revue des procédures de contrôle interne liées au traitement de l’information financière a constitué une des composantes des travaux de l’Audit Interne du Groupe. Celui-ci a collaboré avec la Direction Financière du Groupe pour identifier les risques les plus significatifs, et adapter en conséquence son plan d’audit le plus efficacement possible.

Les acteurs du contrôle interne

Les principaux acteurs d’Atos impliqués dans la mise en œuvre du système de contrôle interne sont les suivants :

• Le Conseil d’Administration assisté du Comité des Comptes
• La Direction Générale et le Comité Exécutif
• Le Comité des risques
• Le Contrôle interne 
• L’Audit Interne

Perspectives et procédures nouvelles à mettre en œuvre
En 2011, le Programme TOP, tel que largement explicité, poursuivra ses effets pour améliorer et rationaliser les processus, avec des conséquences bénéfiques pour le système de contrôle interne.

Les initiatives identifiées par la cartographie des risques seront contrôlées et suivies afin de s’assurer qu’une attention adéquate est donnée à ces sujets.

Le Service de l’Audit Interne du Groupe poursuivra son programme de revue interne entamé en 2010. En cohérence avec les orientations générales de contrôle interne du Groupe, l’Audit Interne projette de suivre avec attention le déploiement du Manuel de Contrôle Interne et le Programme TOP. De même, tout en continuant de piloter le processus d’auto-évaluation du contrôle des processus financiers, l’Audit Interne va poursuivre le renforcement du contrôle et la vérification de l’information financière.