Contrôle interne

Le dispositif de contrôle interne mis en place par la Société vise à garantir : 

• la conformité aux lois et réglementations ;
• l’application des instructions et orientations fixées par la Direction Générale ;
• le bon fonctionnement des processus internes de la Société, notamment ceux concourant à la sauvegarde de ses actifs ;
• la fiabilité des informations financières.

L’un des objectifs des procédures de contrôle interne est de prévenir et de contrôler les risques d’erreur et de fraude, en particulier dans les domaines comptables et financiers. Comme tout système de contrôle interne, ce dispositif ne peut fournir qu’une assurance raisonnable et non une garantie absolue contre ces risques.

Composantes du dispositif de Contrôle Interne
Le dispositif de contrôle interne au sein d’Atos est une combinaison de composants intimement liés qui sont détaillés ci-après.

A - Organisation / Environnement de contrôle
L’organisation, les compétences, les systèmes et les normes (méthodes, procédures et pratiques) représentent le socle du dispositif de contrôle interne et les fondamentaux du Groupe en la matière. Les principales composantes sont présentées ci-dessous.

Organisation matricielle: La Société repose sur une organisation matricielle qui combine les directions opérationnelles (GBU et SBU, Lignes de Services) et fonctionnelles (ventes et marchés, fonctions support). Cela constitue une source de contrôle avec une double vision sur toutes les opérations.

Les rôles et responsabilités ont été mis à jour en 2011 suite à l’acquisition de Siemens IT Services (SIS) et l’organisation des principales fonctions communiquée à l’ensemble des employés.

Responsabilités et autorisations : une attention particulière a été portée pour s’assurer que les autorisations sont accordées aux bons niveaux de responsabilité, plus spécifiquement via les initiatives suivantes :

• Délégation de pouvoirs: Une procédure formelle définit les habilitations des dirigeants des filiales à engager juridiquement le Groupe envers ses clients, ses fournisseurs et autres tiers. Ces règles visent à garantir un contrôle efficace et efficient depuis le management des pays jusqu’à la direction générale. La politique de délégation de pouvoirs a été mise à jour en juillet 2011, approuvée par le Conseil d’Administration et mise en œuvre sous la supervision de la Direction Juridique du Groupe.
• Séparation des tâches: Des règles actualisées de séparation des tâches ont été mises en œuvre dans l’organisation. Elles sont suivies au travers de la revue fonctionnelle de la séparation des tâches et des procédures d’attribution des profils. Un outil spécifique a été utilisé pour évaluer automatiquement ces règles dans les systèmes.

Normes et procédures: Le Groupe a défini et mis en œuvre différentes normes et procédures au cours des dernières années, afin d’établir des pratiques standardisées et des méthodes communes. Les principales ont été revues ou mises à jour dans le contexte de l’acquisition de SIS, pour s’assurer de leur alignement avec les objectifs de l’organisation.

Gestion des processus: Avec la centralisation des politiques du groupe, Atos a créé en 2011 un département « gestion des processus et organisation » (BPOM) pour la mise en œuvre d’un centre d’excellence des processus (BPCOE) coordonnant les responsables de processus et les représentants des fonctions autour des enjeux de contrôle interne, de qualité ou de sécurité. La communauté BPCOE, supportée par des analystes processus, est en charge de la documentation des processus actuels et cibles, incluant des schémas d’organisation, des indicateurs de performance et des exigences de conformité interne ou externe. 

Gestion des Ressources Humaines: La politique de gestion des Ressources Humaines du Groupe s’appuie sur le Global Capability Model (GCM, modèle de capacités globales), qui sert de norme de référence pour classifier les emplois du Groupe selon des critères d’expérience et d’expertise. Une politique globale en matière de primes a complété ce dispositif en définissant les avantages additionnels susceptibles d’être consentis.

Systèmes d’information: Un département processus métier et informatique interne est en place au niveau du Groupe pour gérer les applications et infrastructures informatiques internes communes à l’ensemble du personnel d’Atos dans le monde. Il supporte notamment les fonctions financières (applications de comptabilité et reporting), les ressources humaines (outil de gestion des ressources, annuaire général), la communication (sites web du Groupe et intranet) ou les responsables de projets (gestion des ressources et des projets).

La sécurité et l’accès à ces infrastructures et applications, ainsi que leur fiabilité et performance, sont gérés par ce département et bénéficient de l’expertise et des ressources internes du Groupe.

B - Communication d’informations fiables et pertinentes 
Plusieurs processus sont en place pour s’assurer que des informations fiables et pertinentes sont communiquées au sein du Groupe.

La tenue systématique de revues mensuelles de la performance opérationnelle par Ligne de Services et par Entité organisées sous la responsabilité du Directeur Financier du Groupe et en présence d’au moins un des deux Directeurs Généraux Adjoints. Ces sessions ont pour objectif la revue des résultats et des prévisions opérationnelles, ainsi que la mise en place et le suivi de plans d’actions.

Un ERP (progiciel de gestion intégré) commun est déployé et utilisé dans les principaux pays du Groupe, facilitant l’échange d’informations opérationnelles. Il permet de générer des rapports et analyses transfrontalières (projets transfrontaliers, profitabilité client…) ainsi que des analyses selon différents axes analytiques : lignes de service, zones géographiques, marchés.

Un programme de déploiement a été initié dès 2011 pour s’assurer d’une migration dans les meilleurs délais des entités SIS récemment acquises vers l’ERP du groupe.

Des lignes de communication d’informations formelles ont été définies, qui suivent les structures opérationnelles et fonctionnelles. Ce reporting formel, basé sur des formats standards, concerne aussi bien les informations financières que non financières. La communication d’informations pertinentes est également assurée dans le Groupe via des processus de remontée spécifiques. Ces processus définissent des critères pour remonter les informations au niveau approprié de management, jusqu’à la Direction Générale. Ceci concerne notamment les risques opérationnels (via le Comité de gestion des risques), la trésorerie (via le Comité de sécurisation des moyens de paiement et de la trésorerie), ou les restructurations financières (Comité de restructuration financière).

Cette remontée d’informations s’accompagne d’instructions « groupe », émises régulièrement, et plus particulièrement pour les sessions de budget et de reporting financier.

Des comités spécialisés ont été formés pour échanger des informations et suivre des sujets transverses spécifiques. Ainsi, des comités relatifs à la Qualité, la Sécurité ou la Conformité ont eu lieu régulièrement avec des représentants de la Direction Générale et des différentes fonctions concernées.

Un site Intranet dédié est accessible à l’ensemble des collaborateurs d’Atos afin de faciliter le partage des connaissances et les échanges sur les questions soulevées par les différentes communautés au sein du Groupe. Ce système global de gestion des connaissances favorise les échanges et permet un transfert efficace et efficient des informations.

C - Système de Gestion des Risques 
La gestion des risques se rapporte aux mesures mises en œuvre dans le Groupe pour recenser et analyser les risques. Bien que les risques soient gérés au quotidien par les managers, certaines initiatives spécifiques ont été menées relatives à la gestion des risques, telles que:

La cartographie des risques, qui a été mise à jour en 2011 (quatre mois après l’acquisition de SIS), a permis d’identifier et évaluer les risques qui pourraient impacter les objectifs du Groupe. La méthodologie retenue comprenait des groupes de travail et des questionnaires adressés aux 200 premiers managers du Groupe, afin de recenser leur vision des principaux risques qui pourraient impacter les objectifs d’Atos, leur importance relative et leur niveau de maîtrise.

Cette évaluation a couvert les risques potentiels liés à l’environnement de l’entreprise (parties tierces, catastrophes naturelles), à la transformation et au développement du Groupe (évolution, culture, positionnement marché), aux opérations (clients, collaborateurs, informatique, processus) et à l’information utilisée pour les prises de décision (financière et opérationnelle).

Les résultats ont été partagés avec la Direction Générale du Groupe, pour s’assurer de la mise en œuvre de mesures appropriées pour gérer les risques, et présentés au Comité des Comptes.

L’analyse des risques (telle que présentée en section « Risques » du Document de Référence 2011) présente la vision du Groupe sur ses principales zones de risques ainsi que la manière dont ces risques sont gérés. Ceci comprend la souscription à plusieurs polices d’assurance pour couvrir les risques assurables, notamment la protection des actifs du Groupe (sites de production et centres de données) et des personnes. Les risques opérationnels sur les projets ont été gérés par la fonction Gestion des Risques avec un Comité de Gestion des Risques qui se réunissait régulièrement pour revoir les contrats les plus significatifs ou sensibles. Les risques relatifs à la sécurité logique et physique sont quant à eux suivis par une Organisation Sécurité coordonnée au niveau Groupe. Des activités de contrôle ont par ailleurs été mises en place (via le Manuel de Contrôle Interne), sur la base des principaux risques identifiés, comme décrit ci-après dans la section "Activités de Contrôle".

D - Activités de Contrôle
Les principales activités de contrôle sont reprises dans le Manuel de Contrôle Interne. Ce manuel, diffusé à l’ensemble des entités complète les différentes procédures en présentant les principaux objectifs de contrôle requis pour atteindre un niveau de contrôle satisfaisant pour chaque processus.

Pour chaque objectif de contrôle, une ou plusieurs activités de contrôle (comprenant la description des activités de contrôle, des preuves du contrôle, des responsables et une périodicité) ont été identifiées pour formaliser les attentes du Groupe en termes de contrôle.

Le Manuel de Contrôle Interne ne couvre pas seulement les processus financiers, mais également les processus opérationnels (comme la gestion des contrats), les processus support (comme le juridique, les achats, les ressources humaines ou l’informatique) et les processus de gouvernance (comme les fusions et les acquisitions).

Une mise à jour du Manuel de Contrôle Interne a été effectuée et diffusée au sein du Groupe en janvier 2012 à la suite du rapprochement avec la division IT Services de Siemens, afin de prendre en compte certains contrôles additionnels et les améliorations de certains processus. Ce document continuera à évoluer en fonction de l’évolution des processus et des risques émergents.

Une action spécifique a également été menée pour satisfaire au besoin de l’établissement de rapports "ISAE3402".

Un référentiel de contrôle a été défini, précisant les activités de contrôles relatives au service délivré au client. Ce référentiel a été bâti sur la base modèle ITGI (Institut de Gouvernance des Technologies de l’Information - IT Governance Institute’s publication titled IT Control Objectives for Sarbanes-Oxley, 2nd Edition).

E - Surveillance
La surveillance du dispositif de contrôle interne inclut l’analyse du résultat des contrôles effectués (identification et traitement des incidents) et l’évaluation des contrôles pour s’assurer de leur pertinence et de leur adéquation avec les objectifs du Groupe. Cette surveillance est placée sous la responsabilité des différents niveaux de management, et s’appuie également sur les missions d’Audit Interne.

L’Audit Interne a pour responsabilité d’évaluer le fonctionnement du dispositif de contrôle interne. Il s’est assuré, par ses revues, que les procédures de contrôle interne ont été dûment appliquées et a contribué au suivi des procédures de contrôle interne. L’audit interne a également défini en partenariat avec la Direction du Groupe et les Directions locales, des plans d’action pour garantir l’amélioration permanente des processus de contrôle interne.

En 2011, l’Audit Interne a mené 69 missions d’audit pour évaluer le fonctionnement du dispositif de contrôle interne : 43 dans le domaine des processus fonctionnels (Finance, Ressources Humaines, Achats) et 26 relatives aux processus opérationnels (principalement les activités Worldline). Toutes les missions ont donné lieu à l’émission d’un rapport d’audit spécifiant les plans d’action à mettre en œuvre par la direction du pays concerné.

L’audit interne a également activement accompagné les opérations afin de maintenir les exigences de conformité qui soutiennent le statut « d’institution de paiement » pour Atos Worldline Belgique. A ce titre, une évaluation annuelle de l’environnement de contrôle de la société est prévue dans le plan d’audit. 

Les acteurs du contrôle interne
Les principaux acteurs d’Atos impliqués dans la mise en œuvre du système de contrôle interne sont les suivants :

• Le Conseil d’Administration assisté du Comité des Comptes 
• La Direction Générale et le Comité Exécutif 
• Le Comité Exécutif est constitué pour piloter la performance opérationnelle du Groupe
• Le Comité des risques 
• Le Contrôle Interne & la Gestion des Risques 
• L’Audit Interne

Perspectives et procédures nouvelles à mettre en œuvre