Le contrôle interne, synonyme de maîtrise des activités, est une pratique ancienne. Il s’est toutefois vu renforcé ces dernières années dans son aspect formel sous l’impulsion des législations successives faisant suite à des scandales financiers. Et si les sociétés cotées et les secteurs tels que la banque sont aujourd’hui soumis à de fortes obligations en la matière, le contrôle interne garde sa pertinence dans toute entreprise, quelle que soit sa taille ou son activité. Sa qualité passe par l’efficacité, aux antipodes d’une bureaucratie lourde.
Le contrôle interne “vient de loin du fond de notre histoire… le premier homme préhistorique qui allumait un feu à l’entrée de sa caverne agissait pour se prémunir contre un risque : celui de l’attaque des bêtes sauvages. Et ce faisant, il mettait en place un dispositif de contrôle interne. Mais c’était alors bien évidemment un contrôle interne instinctif, intuitif, sans rationalité ni organisation. Ainsi donc, de tout temps, on a fait du contrôle interne sans le savoir comme Monsieur Jourdain faisait de la prose”, écrivait Jacques Renard, auteur de plusieurs ouvrages de référence dans le domaine de l’audit interne, dans un article publié en février dernier par l’Institut français de l’audit et du contrôle internes (Ifaci).
Si la découverte du contrôle interne ne date pas d’hier, ces dernières années ont vu un important mouvement législatif et réglementaire en la matière. A commencer, en 2002, par les lois Sarbanes-Oxley (SOX) aux Etats-Unis, en réponse au scandale Enron. En France, elles n’allaient pas tarder à être déclinées dans la loi de sécurité financière. Sans oublier des directives européennes, des régulations sectorielles, des législations anti-corruption toujours plus contraignantes…
“Il est certain qu’il y a un renforcement formel, avec des couches de législation et de divulgation de contrôle interne supplémentaires. Une plus grande formalisation s’est mise en place au fur et à mesure”, explique Stéphanie Thiéry-Dubuisson, professeur associé à ICN Business School, spécialisée dans le contrôle interne et l’audit et auteur de L’Audit aux collections Repères.
Obligatoire parfois, nécessaire partout
Le premier référentiel en la matière, le Coso (Committee of Sponsoring Organizations of the Treadway Commission), est né aux Etats-Unis en 1992. Il définit le contrôle interne comme un processus mis en œuvre par le conseil d’administration, les dirigeants et le personnel d’une entreprise, destiné à fournir une assurance raisonnable quant à la réalisation des objectifs suivants : réalisation et optimisation des opérations, fiabilité des informations financières et conformité aux lois et aux règlements en vigueur. Plus récemment, en France, l’Autorité des marchés financiers (AMF) a également publié un cadre de référence définissant la notion. En clair, le contrôle interne sert d’outil à l’entreprise pour maîtriser son organisation. Il représente un ensemble de dispositifs, de règles, de procédures… que tout manager doit mettre en place pour faire fonctionner son activité.
“A la base, c’est le manager qui réalise le contrôle interne et qui définit les contrôles qui lui permettent de maîtriser l’atteinte de ses objectifs. Donc, le contrôle interne existe partout”, note Philippe Mocquard, délégué général de l’Ifaci. Et de souligner : “Il faut bien comprendre le contrôle interne au sens de maîtrise des activités”. Quelques illustrations du contrôle interne : dans la grande distribution, en matière de procédures de caisse, “s’assurer que la personne qui établit le contrôle au niveau du coffre n’est pas la même personne qui enregistre dans la comptabilité et s’assure des remises de chèques et d’espèces en banque, pour éviter les risques qui pourraient en découler”, décrit Sylvia Pelé, expert-comptable au sein du cabinet Strego.
Ou encore, la signature des feuilles de présence par des salariés, afin de valider les horaires sur le bulletin de salaire. Autre exemple, chez le fabricant de solutions de manutention Manitou, l’élaboration d’un manuel de délégation définissant les autorisations de chaque salarié, notamment au niveau des dépenses, comme l’explique Thibaut de La Bigne, responsable audit et contrôle interne du Groupe.
Concrètement, quelles sont aujourd’hui les obligations en la matière ? “Il existe, pour les sociétés cotées, des obligations de divulgation d’un rapport du président de la société sur le contrôle interne dans son entreprise”, indique Stéphanie Thiéry-Dubuisson. Tout comme l’obligation d’un deuxième rapport, celui du commissaire aux comptes, sur le rapport du président de la société, qui porte sur la partie du contrôle interne relative à l’élaboration de l’information financière.
Le secteur bancaire et les établissements financiers sont, eux, concernés par des exigences liées à l’AMF, comme celle d’avoir un responsable de la conformité ainsi que des niveaux très spécifiques de contrôle interne. A noter aussi des règles prudentielles ou encore les systèmes contre le blanchiment d’argent. Dans l’assurance, le contrôle interne se voit impacté par les accords Solvency.
Si les établissements cotés et des secteurs financiers, fortement réglementés en la matière, ont un contrôle interne très structuré, celui-ci trouve sa pertinence dans tout type de société, quelle que soit sa taille ou son activité. “Quand vous êtes une entreprise cotée, vous avez même des obligations de communication de contrôle interne. Mais il y a pour toute entreprise un double enjeu de performance et de sécurisation des processus, parce qu’aucune n’est à l’abri d’une erreur, d’une fraude, d’être abusée par des tiers, des risques internes et externes. Tout l’enjeu est de trouver la juste mesure, en fonction de la taille, de la culture et surtout des risques de l’entreprise”, note Olivier Lenel, associé gouvernance et maîtrise des risques de Mazars.
Contre les risques, pour la performance
Dans les grands groupes, les services du contrôle et de l’audit interne, voire de la gestion des risques et des assurances, sont soit regroupés au sein de la même direction, soit séparés. Parmi ces différents acteurs qui œuvrent à la maîtrise interne, figurent entre autres les risk managers. Pour Gérard Lancner, délégué général de l’Association pour le management des risques et des assurances de l’entreprise (Amrae) et directeur des départements risk management, assurances, audit interne et affaires internes du groupe Yves Rocher, “le gestionnaire des risques est le premier à intervenir, car il a pour mission d’identifier les risques qui peuvent empêcher l’entreprise d’atteindre ses objectifs”.
Pour ce faire, il élabore notamment des cartographies des risques en fonction de leur impact et de leur occurrence. Le contrôle interne contribue ensuite à y apporter les réponses, sous forme de procédures et de bonnes pratiques, tandis que l’audit interne analyse l’efficacité du contrôle interne, résume Gérard Lancner. “Beaucoup de fonctions participent à la maîtrise des risques au sens large aujourd’hui, et il y a un enjeu important pour les grands groupes de mettre en cohérence toutes les fonctions impliquées, en se donnant aussi les moyens de mesurer leur performance : ERM [Enterprise Risk Management, ndlr], contrôle interne, assurances, audit interne, qualité, RSE, hygiène, environnement, sécurité…”, estime de son côté Olivier Lenel.
Après une première étape “où il fallait être conforme, puis un deuxième temps d’élargissement du contrôle interne à autre chose que la matière comptable et financière, il y a aujourd’hui un enjeu fort de rationalisation, de mise en cohérence et donc de performance”.
Dans des établissements de taille plus modeste, la donne n’est pas la même. On n’y trouve pas forcément de structures sous la bannière de contrôle ou d’audit interne. Une situation qui varie selon que l’entité soit cotée ou non, et selon qu’elle appartienne à un secteur réglementé, auquel cas elle devra se doter de structures prescrites par la réglementation. “Dans les secteurs non réglementés, comme l’industrie, le commerce ou les services, le fait de formaliser, d’avoir identifié les fonctions contrôle interne, audit interne, ou une cartographie de risques, est constaté à partir de mille ou deux mille salariés”, explique Philippe Mocquard.
Mais on peut croiser des structures de contrôle dans des cliniques ou des universités. Ou encore dans l’immobilier locatif social : c’est le cas d’Astria, organisme collecteur du 1 % logement, une structure de quelque 350 collaborateurs, dotée d’un département d’audit interne ainsi que d’un comité d’audit. Quant aux PME industrielles, souvent elles “s’appuient sur le contrôle de gestion et la qualité pour mettre en place, formaliser et améliorer leur contrôle interne”, précise le délégué général de l’Ifaci.
Plus généralement, “dans les PME, le besoin n’est pas d’avoir un service de contrôle interne. Celui-ci est une notion d’organisation, ce sont les principes et un processus d’analyse des risques”, estime Jacky Lintignat, directeur général de KPMG. “On définit dans l’entreprise une organisation et des procédures pour limiter les risques et respecter les principes de contrôle interne. Ceci étant fait, il n’y a pas besoin d’un service pour le faire vivre. En revanche, il faut une volonté de la direction générale.” Elément important, il convient de vérifier que les principes et l’organisation mis en œuvre soient bien respectés et efficaces. Un rôle qui revient à l’audit interne ou externe.
Les PME comptant rarement dans leurs rangs des auditeurs internes, le commissaire aux comptes qui, dans le cadre de sa mission, apprécie le contrôle interne, est souvent le seul feed-back. Il peut également arriver que des PME fassent appel à un cabinet pour une analyse contractuelle de certains aspects de leur contrôle interne afin de l’améliorer. En fin de compte, entre le contrôle interne d’un grand groupe et d’une PME, ce n’est qu’une “différence de degré. Les principes de base sont les mêmes”. D’ailleurs, “il n’y a pas une entreprise, quelle que soit sa taille, qui pourrait dire ne pas avoir besoin du contrôle interne”, considère Jacky Lintignat.
“Tout le monde a intérêt à bien appréhender le contrôle interne car c’est un élément essentiel de la performance”, juge Philippe Mocquard. Autre aspect positif, plus surprenant peut-être, le contrôle interne peut être vu comme une motivation pour les salariés. “Le salarié se sent, par la tâche qu’on lui a confiée dans le contrôle interne, un acteur dans l’entreprise”, affirme Sylvia Pelé de Strego.
Excès de forme sur le fond
A l’inverse, le contrôle interne peut-il comporter des aspects contre-productifs ou tomber dans les excès ? “Des excès, il y en a eu beaucoup lorsque la forme a pris le dessus sur le fond, et il y en a toujours un peu”, admet Olivier Lenel de Mazars. Plusieurs formes d’excès peuvent exister, “par exemple lorsque l’on n’est plus capable de faire évoluer les systèmes de procédures en place”.
Avoir des “procédures trop lourdes, inefficaces, qui rassurent en façade mais pas sur le fond, est sur le plan de la qualité du travail catastrophique”, signale Jacky Lintignat de KPMG. Exemple : le fait de ne pas intégrer le contrôle par des solutions de dématérialisation, et de produire ainsi plusieurs papiers et des coups de tampons dans plusieurs services.
“Une procédure trop bureaucratique, trop manuelle, est paradoxalement plus contournable qu’une procédure automatisée et dématérialisée.” Disposer d’un contrôle interne efficace ne consiste pas nécessairement à s’encombrer d’une bureaucratie lourde et coûteuse. “Plus les procédures sont simples, connues et acceptées, plus le contrôle interne est efficace”¸ résume-t-il. Empiler les couches de contrôle ou avoir des procédures lourdes est en soi antinomique avec l’objectif du contrôle interne, qui est du ressort de l’efficacité et de la performance, insiste de son côté Philippe Mocquard.
Certains spécialistes estiment que les excès sont, aujourd’hui, devenus plutôt rares. “La recherche d’une plus grande maîtrise des coûts du fonctionnement de l’entreprise a fait que les pratiques qui pouvaient être acceptées il y a quelques années, comme des doubles contrôles ou des pointages intempestifs, ont été progressivement arrêtées ou allégées”, confie Sylvia Pelé de Strego. Attention cependant à ne pas supprimer des contrôles qui pourraient être importants : “Il faut rester vigilant à ce qu’ils restent néanmoins suffisants”.
Pour Stéphanie Thiéry Dubuisson, les excès de contrôle n’existent pas forcément partout. Si l’entreprise n’a pas de culture de contrôle, le risque est que les procédures ne soient pas suivies et qu’elles soient perçues comme bureaucratiques. Vouloir atteindre des idéaux de contrôle ou créer des couches “cosmétiques” représente également un danger. “Cela ne va pas forcément empêcher les fraudes et cela rendra les gens plus aigris.”
La recette, selon elle, réside dans le bon dosage. Mais qui n’est pas toujours facile à atteindre. “Trouver un bon équilibre n’est pas quelque chose de simple”, estime également Henri Bouquin, professeur en sciences de gestion à Paris-Dauphine et co-titulaire de la chaire “Ethique et gouvernement des entreprises”. Il relève un autre aspect négatif : le conformisme et le politiquement correct en matière de bonnes pratiques.
“C’est de faire croire qu’il existe de bonnes pratiques partout. Mais c’est loin d’être démontré.” Par ailleurs, “des obligations en matière de contrôle interne visent la sincérité de l’image de la performance plus que celle-ci. La loi d’ailleurs ne prétend pas rendre les entreprises plus efficaces, elle vise à agir sur la qualité de l’information financière. Cela dit, il faut mettre à part le cas des banques”.
L’aspect formel, dans tous les cas, ne suffit pas. Et Stéphanie Thiéry-Dubuisson de rappeler que malgré toutes les législations, réglementations et couches formelles de contrôle, les fraudes sont loin d’avoir disparu. Sans l’aspect informel – valeur du management, éthique, le “tone at the top” –, le contrôle interne ne peut pas fonctionner tout à fait correctement. En revanche, si les deux volets fonctionnent ensemble, cela peut être “un vrai rempart contre la fraude”.
Audit externe
Un facteur de progrès parfois anxiogène
A la différence de l’audit interne, qui est réalisé par les salariés de l’entreprise, l’audit externe est effectué par des experts extérieurs à la société. Une distinction qui se croise avec celle entre l’audit financier et l’audit opérationnel, ce dernier pouvant porter sur tout domaine opérationnel : marketing, informatique… “L’audit externe était historiquement largement consacré à l’audit financier, c’est-à-dire au commissariat aux comptes. L’audit interne, lui, concerne plutôt l’audit opérationnel”, explique Henri Bouquin, professeur en sciences de gestion à Paris-Dauphine. “Cela dit, c’est un peu plus compliqué depuis quelques années, puisque les grands cabinets d’audit externe ont développé des branches en dehors de l’audit financier et comptable.” Et si le commissariat aux comptes ou l’audit légal est obligatoire pour certaines sociétés, comme les sociétés anonymes, afin de certifier la régularité des comptes, aucune obligation n’existe en matière d’audit opérationnel. “L’audit opérationnel peut intervenir à tout moment. Même s’il existe des moments privilégiés qui sont les fusions acquisitions”, indique le professeur. “Il peut y avoir des raisons variables pour le faire. L’éthique des affaires en est une”, poursuit-il.
L’audit externe est-il anxiogène ? Pour Henri Bouquin, l’audit financier peut l’être car “il s’agit de procédures assez carrées”. Concernant les autres types d’audits, cela dépend, par exemple “de la façon dont la direction présente les choses. Ce n’est pas automatiquement anxiogène, mais si l’on fait un audit, c’est qu’il y a une décision en préparation. On rejoint ici la conception qu’a la direction de l’éthique du management. Si l’audit est craint, c’est parce que trop souvent on le suspecte d’être instrumenté pour légitimer les choix difficiles. La crainte de l’audit est un révélateur du climat éthique”. Peut-il être salvateur ? Selon le professeur, le mot est fort. Il doit plutôt être vu comme un facteur de progrès. “Il donne une vue critique, il ne juge pas et il condamne encore moins. Dans ce sens, il participe à un sain équilibre dans l’entreprise.” Plus particulièrement, dans les domaines tels que le social, les ressources humaines et la responsabilité sociétale, les audits externes se développent très fortement, d’après Jean-Marie Peretti, président de l’Institut international de l’audit social (IAS) et professeur à l’Essec Business School. “Les missions se multiplient dans des domaines sensibles où la pression de la réglementation s’ajoute à la prise de conscience des risques et des enjeux.” Ainsi, les audits sur l’égalité professionnelle, les risques psychosociaux, la pénibilité… pour n’en citer que quelques-uns. Leur objectif : “non pas de sanctionner mais de progresser dans des domaines souvent nouveaux”. Ils sont souvent salvateurs du fait d’un “excellent ‘retour sur investissement’. Les économies et les gains réalisés sont souvent deux à dix fois supérieurs au coût de l’auditeur externe”.
Un facteur de progrès parfois anxiogène
A la différence de l’audit interne, qui est réalisé par les salariés de l’entreprise, l’audit externe est effectué par des experts extérieurs à la société. Une distinction qui se croise avec celle entre l’audit financier et l’audit opérationnel, ce dernier pouvant porter sur tout domaine opérationnel : marketing, informatique… “L’audit externe était historiquement largement consacré à l’audit financier, c’est-à-dire au commissariat aux comptes. L’audit interne, lui, concerne plutôt l’audit opérationnel”, explique Henri Bouquin, professeur en sciences de gestion à Paris-Dauphine. “Cela dit, c’est un peu plus compliqué depuis quelques années, puisque les grands cabinets d’audit externe ont développé des branches en dehors de l’audit financier et comptable.” Et si le commissariat aux comptes ou l’audit légal est obligatoire pour certaines sociétés, comme les sociétés anonymes, afin de certifier la régularité des comptes, aucune obligation n’existe en matière d’audit opérationnel. “L’audit opérationnel peut intervenir à tout moment. Même s’il existe des moments privilégiés qui sont les fusions acquisitions”, indique le professeur. “Il peut y avoir des raisons variables pour le faire. L’éthique des affaires en est une”, poursuit-il.
L’audit externe est-il anxiogène ? Pour Henri Bouquin, l’audit financier peut l’être car “il s’agit de procédures assez carrées”. Concernant les autres types d’audits, cela dépend, par exemple “de la façon dont la direction présente les choses. Ce n’est pas automatiquement anxiogène, mais si l’on fait un audit, c’est qu’il y a une décision en préparation. On rejoint ici la conception qu’a la direction de l’éthique du management. Si l’audit est craint, c’est parce que trop souvent on le suspecte d’être instrumenté pour légitimer les choix difficiles. La crainte de l’audit est un révélateur du climat éthique”. Peut-il être salvateur ? Selon le professeur, le mot est fort. Il doit plutôt être vu comme un facteur de progrès. “Il donne une vue critique, il ne juge pas et il condamne encore moins. Dans ce sens, il participe à un sain équilibre dans l’entreprise.” Plus particulièrement, dans les domaines tels que le social, les ressources humaines et la responsabilité sociétale, les audits externes se développent très fortement, d’après Jean-Marie Peretti, président de l’Institut international de l’audit social (IAS) et professeur à l’Essec Business School. “Les missions se multiplient dans des domaines sensibles où la pression de la réglementation s’ajoute à la prise de conscience des risques et des enjeux.” Ainsi, les audits sur l’égalité professionnelle, les risques psychosociaux, la pénibilité… pour n’en citer que quelques-uns. Leur objectif : “non pas de sanctionner mais de progresser dans des domaines souvent nouveaux”. Ils sont souvent salvateurs du fait d’un “excellent ‘retour sur investissement’. Les économies et les gains réalisés sont souvent deux à dix fois supérieurs au coût de l’auditeur externe”.
Par Natasa Laporte
Source : http://www.lenouveleconomiste.fr/
Article publié le 19/01/2012
Url : http://www.lenouveleconomiste.fr/lesdossiers/gestion-le-controle-interne-13409/
