Introduction
Le scandale financier d'Enron, annoncée en 2001, et
celui de nombreuses autres sociétés américaines
(exemple : WorldCom) ou européennes (tel Parmalat ou Vivendi), ont
conduit à l'exigence d'une plus grande transparence, vis-à-vis
des tiers, sur l'information financière des entreprises.
Après les Etats Unis et le désormais
célèbre "Sarbanes Oxley Act" du 30 juillet 2002, le
contrôle interne revient aussi en France sur le devant de la scène
par la loi le 1er août 2003 avec la loi de
Sécurité Financière.
Ainsi, la loi Sarbanes-Oxley (SOX) traite du contrôle
interne destiné à encadrer la publication des comptes annuels et
de l'engagement du Directeur Général à établir une
structure de contrôle interne appropriée. Cette loi impose
notamment, à toutes les sociétés cotées à la
Bourse de New-York, l'application de la section 302, relative à la
certification personnelle des comptes par les dirigeants, et également
la section 404, qui introduit un concept fort et novateur : celui de
l'évaluation annuelle par le management de l'efficacité du
dispositif de contrôle interne.
En France, la loi de sécurité financière
(LSF) n°2003-706 du 1 août 2003 va entraîner la
nécessité pour les dirigeants d'entreprise d'avoir un regard
nouveau sur le contrôle interne. Le président de toute
société anonyme (à conseil d'administration ou à
conseil de surveillance), cotée ou non cotée, doit, en effet,
dès les exercices ouverts à compter du 1er janvier
2003, présenter un rapport joint au rapport de gestion sur les
conditions de préparation et d'organisation des travaux du conseil ainsi
que des procédures de contrôle interne mises en place par la
société.
Deux grands objectifs communs caractérisent ces
textes :
Détecter plus tôt les risques encourus par les
actionnaires,
Et prévenir les comportements frauduleux des
dirigeants, par des obligations de communication plus explicites et des peines
encourues nouvelles et aggravées.
Ainsi, le contrôle interne est devenu aujourd'hui pour
les entreprises un investissement en rationalisation et en renforcement de
l'efficacité qui permettra à l'entreprise à terme de
devenir de plus en plus rentable. L'objectif étant de mesurer et
d'optimiser des performances dans un environnement sécurisé et en
conformité avec les lois et règlements. Et de veiller
à s'assurer que les dispositifs mis en place répondent à
la stratégie menée par l'entreprise.
Cependant, l'affaire Kerviel et le détournement de
somme pharaonique de la Société Générale
début 2008, ont déferlé la chronique du monde entier, et
surpris l'ensemble de la classe dirigeante, politique et sociale. En effet,
tous se posait la même question, comment un seul homme a-t-il pu perdre
la somme de 5 milliards d'euros, soit la plus grande perte jamais
constaté dans l'histoire bancaire, et mettant l'une des plus grandes
banques françaises au bord de l'abîme, et ce malgré les
contrôles intenses de l'entreprise.
1. Rappel sur LSF
La loi de sécurité financière (LSF),
aussi appelée Loi Mer du nom du Ministre des Finances en poste Francis
Mer, a été adoptée par le Parlement français le 17
juillet 2003 afin de renforcer les dispositions légales en
matière de gouvernance d'entreprise. La LSF est parue au JO n° 177
du 2 août 2003 (n° 2003-706 du 1er août 2003).
Cette nouvelle loi a pour objectif d'améliorer la
protection des épargnants et investisseurs. Elle crée de
nouvelles obligations d'information pour les entreprises en
matière de gouvernement d'entreprise et de contrôle interne. Le
président de toute société anonyme doit, chaque
année, rendre compte aux actionnaires, dans un rapport, des conditions
de préparation et d'organisation des travaux du conseil ainsi que des
procédures de contrôle interne mises en place par la
société.
Ces dispositions sont applicables :
Pour tous les exercices ouverts à compter du
1er janvier 2003
Pour toutes les SA et toutes les sociétés
faisant APE (Appel Public à l'Epargne), tant au niveau individuel qu'au
niveau consolidé (incluant les filiales consolidées,
françaises ou étrangères, quelque soit leur forme
juridique)
Comme la loi américaine Sarbane-Oxley, la loi de
sécurité financière repose principalement sur :
Une responsabilité accrue des dirigeants
Un renforcement du contrôle interne
Une réduction des sources de conflits
d'intérêt
Le texte de loi ne précise pas le contenu du rapport du
Président ou des informations à publier. Les articles 117, 120
& 122 impliquent que le Président du Conseil devra s'appuyer sur une
évaluation formelle du dispositif de contrôle interne en place
pour émettre son rapport.
L'évaluation formelle du dispositif mit en place dans
l'entreprise doit être effectuée afin de confirmer :
· l'exhaustivité de la couverture des risques
· l'adéquation du dispositif de contrôle au
regard des risques
· la qualité du fonctionnement de ce dispositif
Après ce bref récapitulatif concernant le cadre
général du contrôle interne en France avec la loi LSF, nous
avons pu constater que par un souci de transparence et de fiabilité des
informations, la loi de sécurité financière
créé de nouvelles formalités et alourdit le fonctionnement
des sociétés anonymes.
Dans son rapport 2004 sur la gouvernement d'entreprise et le
contrôle interne, l'Autorité des Marchés Financiers (AMF)
note « qu'à la différence de la gouvernance
d'entreprise, qui bénéficie désormais standards de place
auxquels les émetteurs peuvent se comparer, l'absence d'un
référentiel unanimement admis sur le contrôle interne en
rend la description plus difficile et peut constituer un frein si l'on souhaite
parvenir à terme à une évaluation de l'adéquation
et de l'efficacité des systèmes ».
Et c'est sur cette absence de référentiel
constaté également au sein de nombreuses entreprises et notamment
au sein de la DTIN, que nous allons tenter d'expliquer les principes, la
procédure et l'enjeu de la mise en place du contrôle interne.
Nous allons donc à travers cette deuxième
partie, tenter d'expliquer les différents principes qui régissent
le contrôle interne que doivent établir aujourd'hui les
sociétés.
2. Définition et objectifs du contrôle
interne
Définition : le
contrôle interne désigne le système global de
contrôles qui s'exercent au sein de l'établissement, visant
à assurer une bonne application de la réglementation et des
procédures comptables et financières.
Le contrôle interne est un dispositif permanent, mis en
oeuvre par les responsables d'une organisation, pour s'assurer que ses
activités sont convenablement maîtrisées à tous les
niveaux, en vue de lui permettre d'atteindre ses objectifs.
Le contrôle interne permet ainsi de s'assurer que les
décisions sont prises sur une base d'informations
contrôlées, pertinentes et communiquées dans les meilleurs
délais.
La mise en oeuvre du contrôle interne doit être
assurée par l'ensemble du personnel de l'entreprise, et exercée
à tous les niveaux de décisions en s'adaptant à la nature
des responsables : cadre, maîtrise, exécution.
Objectifs : Le contrôle
interne est un acte inhérent à tout acte de management, et
constitue un préalable indispensable à la maîtrise et au
développement d'une action ou d'un projet.
De ce fait, il doit permettre de garantir que :
-Les opérations sont réalisées et
sécurisées,
-Les procédures - facilitent l'atteinte des
objectifs,
- assurent la protection du patrimoine,
- assurent l'optimisation des performances et de la
rentabilité.
-En matière comptable, les principaux objectifs du
contrôle interne sont de s'assurer de :
- l'exhaustivité : toutes les
opérations sont enregistrées ;
- la réalité : chaque opération
enregistrée est réelle (correspond à un
événement) ;
- l'exactitude : toutes les factures sont conformes aux
commandes, contrats... ;
- l'évaluation : toutes les provisions, les
charges à payer et les produits à recevoir sont correctement
évalués ;
- la comptabilisation : toutes les opérations
sont correctement enregistrées en comptabilité (bons comptes) et
sur la bonne période (principe du cut off);
- la séparation des fonctions :
séparation des tâches en identifiant les personnes qui effectuent
des fonctions de traitement, de contrôle, d'autorisation de sauvegarde ;
- la protection des actifs : tous les actifs sont en
sécurité (sauvegarde du patrimoine) ;
- la maîtrise des coûts : tous les
coûts sont correctement maîtrisés.
Les conséquences d'une insuffisance de contrôle
interne peuvent s'avérer préjudiciables au bon fonctionnement
d'une activité.
Le contrôle interne regroupe les dispositions prises en
matière d'organisation, de règles de comportement et de
fonctionnement, de procédures, de reporting et de modalités de
pilotage et de contrôle de chacune des activités de
l'entreprise.
Chaque entité est responsable de la définition
et de la mise en oeuvre des dispositifs du contrôle interne
adaptés à la nature de ses activités et à la
réalisation de ses objectifs.
3. Les risques liés au contrôle interne
Toutes les entreprises sont confrontées à des
risques inhérents aux affaires. Il convient :
- de déterminer le niveau de risque acceptable,
applicable dans le cadre d'une gestion prudente et s'obliger à le
maintenir
- d'évaluer les risques, c'est-à-dire
d'identifier et d'analyser les facteurs susceptibles d'affecter la
réalisation des objectifs.
La non atteinte des objectifs peut induire la nature des
risques suivants:
- Des risques exogènes :
liés à l'environnement externe et qui modifient le contexte de
l'entreprise.
- Des risques endogènes :
liés à l'environnement interne et qui affecte la santé de
l'entreprise.
- Des risques stratégiques :
investir dans un projet, dans une filiale, sur un marché qui n'apportent
pas les bénéfices escomptés.
- Des risques opérationnels : ne
pas maîtriser les techniques industrielles d'une Activité, ne pas
maîtriser la sécurité.
- Des risques patrimoniaux : ne pas
préserver le patrimoine humain et physique de l'entreprise et ne pas
assurer son renouvellement.
- Des risques liés à la fiabilité
de l'information opérationnelle, économique et
financière : élaborer des états financiers
erronés, s'appuyer sur des bases non fiables pour décider.
- Des risques juridiques
4. Les principes du contrôle interne
Le contrôle interne repose essentiellement sur la
prévention.
C'est l'affaire de tous, tous les jours.
Les principes d'un contrôle interne performant sont :
Premier principe : l'existence de procédures
formalisées
L'application de ce principe suppose:
Des fiches de poste
Un référentiel de procédures
Deuxième principe : la séparation des
fonctions
Certaines fonctions ne peuvent pas être tenues par une
seule et même personne. Les fonctions incompatibles entre elles sont:
L'ordonnancement
La détention de biens et de valeurs
L'accès à l'enregistrement comptable
Le contrôle
L'accès à la programmation informatique
Troisième principe : les recoupements
d'information
Un bon contrôle interne doit permettre la comparaison
d'informations émanant de sources différentes. Ce principe
s'affirme pleinement au sein d'une structure transverse.
Quatrième principe : des contrôles
matérialisés
Une information fiable doit être vérifiable et
opposable; il s'avère donc indispensable de matérialiser le
contrôle effectué pour en garantir la valeur probante.
Cinquième principe : des procédures
efficientes
Elles doivent être adaptées au risque encouru si
elles n'étaient pas appliquées.
Sixième principe : l'efficacité du
contrôle interne
Cette efficacité repose avant tout sur la
compétence et l'intégrité du personnel.
Septième principe : les niveaux de
contrôle
A cet égard, on retrouve ici un maillon du cercle
vertueux bien connu dans le management de la sécurité.
Contrôle de niveau 2 :
Le contrôle de niveau 1 a-t-il bien été
effectué ? (Réalité et pertinence)
Contrôle de niveau 1 :
Contrôle de l'application des procédures
(détection d'anomalies)
Auto-contrôle :
Contrôle effectué par
l'opérateur
Ø
Auto-contrôle :
Chaque agent est responsable des opérations, des
tâches décrites sur sa fiche de poste, des missions qui lui sont
confiées et les procédures prévues doivent être
respectées.
C'est pourquoi, au cours de son travail quotidien, il doit
effectuer des actions d'autocontrôle pour son propre compte.
Il porte notamment sur :
-La validité des informations
-La présence des pièces justificatives
-La cohérence des informations
-La saisie
-L'analyse et le traitement des anomalies
détectées par le système informatique
-La conformité avec la réglementation
Ø
Contrôle de niveau 1 :
L'organisation du contrôle interne doit être
vérifiée périodiquement. Mis en place et effectué
par le supérieur hiérarchique N+1. Il permet de maîtriser,
en permanence, la qualité des diverses opérations passées
et de s'assurer du respect des procédures et de la
réglementation.
Ces mesures doivent :
- permettre d'obtenir un contrôle des
processus ;
- assurer la traçabilité des opérations
effectuées.
En cas de détection d'anomalies dans l'application de
la réglementation, un courrier sera adressé par la voie
hiérarchique au Responsable de l'Agent.
En bas de ce document, figurent deux informations de
traçabilité, à savoir :
- l'information : date
- l'information : nom de la personne ayant
réalisé le contrôle
Ces fiches de contrôles seront classées par
année. Elles seront archivées pour une durée de 5 ans, et
tenues à disposition de l'autorité habilitée, à
savoir :
- le directeur d'établissement (ou le responsable RH
par délégation)
- les auditeurs régionaux et nationaux dans le cadre
des audits.
Ø
Contrôle de niveau 2 :
Mis en place et effectué par le hiérarchique
N+2, le contrôle de niveau 2 est exercé ponctuellement avec pour
objectifs de :
- s'assurer que les dispositifs du contrôle de niveau
N+1 sont efficaces ;
- mettre en oeuvre rapidement des actions correctives en cas
de détection de dysfonctionnement ;
- permettre un ajustement des niveaux de
responsabilités dès que les besoins
Les contrôles de niveau 1 et 2 doivent faire l'objet
d'une procédure écrite qui détaille leurs
différents dispositifs.
Huitième principe : des procédures
pérennes
Des procédures pérennes permettent d'assurer le
principe comptable de permanence des méthodes, ce qui ne doit pas
exclure une mise à jour permanente des procédures.
Neuvième principe : l'application des
procédures
Les procédures de contrôle interne n'ont
d'intérêt que si elles sont réellement appliquées,
d'où la nécessité de réaliser des audits et
d'assurer un suivi des actions menées.
