Mars 2007 Batrice Bon-Michel

LE CONTROLE INTERNE : DU CONCEPT A LA METHODE

Dun point de vue conceptuel, la notion de contrle interne est relativement ancienne ; Avant 1949, la direction tait responsable de la mise en place et du suivi des systmes et processus, planification et des procdures qui existaient lpoque : dun point de vue purement technique, les diffrents lments composant le contrle interne existaient. On peut affirmer plus gnralement que lacte de contrler existe depuis des sicles. Ce nest cependant pas avant 1949 quune dfinition est apparue par lInstitute Internal Audit (IIA) o il est fait rfrence au contrle interne qui comprend le plan de lorganisation et toutes les mthodes et mesures qui permettent dassurer la sauvegarde des actifs de lentreprise. Cest plutt la perception que lon a du contrle interne qui a volu (S.J. Roots, 1998). Nous sommes rsolument passs du contrle dit rpressif avec une vision ex post un contrle pro actif, cherchant avant tout se positionner ex ante. Le contrleur perd progressivement son rle de gendarme pour acqurir une fonction daccompagnateur de lentreprise, en support de la stratgie et des objectifs de lentreprise. Dans le domaine du contrle interne, le cadre fournit par le COSO 1 vise rduire la confusion sur la notion de contrle interne. Il a t un des premiers rfrentiels de contrle mettre explicitement en exergue le lien entre contrle interne et objectif. De plus il a accord une place prpondrante lenvironnement de lentreprise pour apprhender la qualit dun dispositif de contrle interne. En dehors des USA, dautres organisations ont dfini le contrle interne : au Canada, le Criteria of Control Committee (CoCo) du Canadian Institute of Chartered Accountants (CICA) a publi un guide sur le Contrle et la gouvernance. En France, lIFACI 2 et lordre des experts comptables ont galement apport leur contribution. Plus rcemment, la Loi de Scurit Financire daot 2003 a prcis certains lments dans le domaine du contrle interne. Enfin lAMF 3 a dfini un certain nombre de critres dfinissant le dispositif de contrle qui se dclinent en un guide mthodologique (janvier 2007). Lobjectif de cet article est dune part de positionner la notion de contrle interne dans une perspective historique et dautre part dapporter les grandes lignes dune mthode dvaluation du dispositif de contrle interne en se basant sur les rfrentiels qui se sont dvelopps depuis la mise en place du Coso. La mthode dvaluation dcoule de la dcomposition des lments constitutifs dun bon dispositif de contrle interne, ces lments tant dcomposs selon un ordre logique et dynamique (de lenvironnement vers le pilotage). Le contrle interne dans une perspective historique.
1

Pour rappel : COSO (Committee of Sponsoring Organization of the treadway Commission) : groupe de travail n des suites de la Commission Treadway en 1992 ; Ce groupe a donn son nom au rfrentiel de contrle. 2 Institut Franais de lAudit et du Contrle Interne (IFACI) 3 Autorit des Marchs Financiers (AMF)

La libralisation accrue du systme conomique qui confre au march financier un rle central dans le financement des entreprises, remet en question les quilibres entre les diffrents acteurs conomiques. Au XIXme sicle, cest un contrle simple qui prvaut, avec de petites entreprises diriges par un employeur qui supervise directement les conditions de la production (Edwards, 1986). Les banques taient les principales pourvoyeuses de fonds aux entreprises. Il devenait alors ncessaire dexercer un minimum de contrle sur les bilans des entreprises : des firmes comptables ont commenc apparatre dont le rle tait danalyser ces bilans et de fournir une opinion. Progressivement il est devenu irraliste de chercher analyser tous les comptes et toutes les transactions : il semblait donc logique de sassurer que le processus lui-mme qui a contribu la ralisation de ces tats tait fiable. La notion de contrle interne a ainsi t associe ces processus. Au dbut du XXme sicle, les termes de contrle interne oprationnel et de contrle interne administratif apparaissent. En 1892, la Grande-Bretagne a publi un livre sur lAuditing qui a t repris en 1909 par un amricain, R. Montgomery, livre publi avec pour titre Auditing : Theory and Practice. Ces ouvrages ont fait rfrence de nombreuses annes en matire de mthodologie daudit. Aprs le krach de 1929, il est apparu ncessaire de rguler le dveloppement des marchs financiers. En 1934, les Etats-Unis ont cr la SEC et mis en place un certain nombre de lois afin de favoriser la transparence des tats financiers des socits cotes. La SEC contribuera galement lvolution de la perception du contrle interne par les recommandations quelle fera en terme de contenu des tats financiers. Elle largira le champ des responsabilits non pas exclusivement aux seules professions comptables mais galement lensemble des intervenants dans les chanes de transaction. Ce nest cependant pas avant 1949 quune dfinition est apparue par lInstitute Internal Audit (IIA) o il est fait rfrence au contrle interne, contrle qui comprend le plan de lorganisation et toutes les mthodes et mesures qui permettent dassurer la sauvegarde des actifs de lentreprise. Cette dfinition largissait considrablement la notion de contrle interne, au-del des fonctions comptables et financires. En 1958, le Committee on Auditing Procedure (CAP) a mis la SAP N29 4 qui distingue : . Le contrle comptable qui vise sassurer de la prservation des actifs et la fiabilit des tats financiers, . Le contrle administratif qui vise sassurer de la pertinence des processus oprationnels. Des prcisions complmentaires ont t apportes avec la SAP N33 : lauditeur externe est concern principalement par les contrles comptables. Il peut ventuellement effectuer par sondage des contrles administratifs si cela peut lui apporter des lments quant la fiabilit des tats financiers. En 1973, la SAS N1 (remplaant la nomenclature SAP) propose des dfinitions du contrle administratif et du contrle comptable. Lvolution apporte par le SAS N1 est le lien qui est fait entre contrle comptable et contrle administratif en expliquant
les SAP constituent un ensemble de normes en matire de procdures daudit. Elles seront remplaces par les Statements on Auditing Standards (SAS), normes dfinies par lAICPA aux Etats-Unis. En matire daudit, lIAASB a galement dfini des normes ISA (International Standard on Auditing) au nombre de 40.
4

comment certaines procdures et processus ddis aux contrles comptables pouvaient servir les objectifs de la direction et donc tre rattachs aux contrles administratifs. Les changements dans lenvironnement amricain lis aux affaires du Watergate ont rendu le public sceptique sur les organisations et leur transparence (Heier J.R. and Sayers D.L., 2003). Cest pourquoi la SEC ragit en 1977 avec le Foreign Corrupt Practices Act (FCPA) : cette loi rend illgal le fait de ne pas avoir de dispositif de contrle interne adquat, cest dire la relative assurance que les transactions sont ralises en accord avec le management. La question est alors de savoir ce quest un systme de contrle efficace. Le FCPA ntait pas eu un rle proactif mais a t une raction aux vnements du march. LAmerican Institute of Certified Public Accountants (1978) donne la dfinition suivante : le contrle interne est form de plans dorganisation et de toutes les mthodes et procdures adoptes lintrieur dune entreprise pour protger ses actifs, contrler lexactitude des informations fournies par la comptabilit, accrotre le rendement et assurer lapplication des instructions de la Direction. En France, lOrdre des experts comptables (1977) dfinit le contrle interne comme lensemble des scurits contribuant la matrise de lentreprise. En 1979, la SEC propose que les entreprises cotes incluent dans leur rapport une opinion sur leur dispositif de contrle interne et sur sa concordance avec les rgles dictes par le FCPA. Lobjectif tait de fournir linformation ncessaire aux investisseurs pour valuer les performances de la direction et la fiabilit des tats financiers. Il apparat alors de plus en plus clairement que la distinction entre contrle administratif et contrle comptable devient difficile tenir. Dans les annes 80, de nombreuses entreprises ont commenc se doter de comptences daudit interne afin de rpondre ces obligations. Nanmoins, cette priode, les diffrentes dbcles financires aux USA (qui ont cot plus de 150 Mrds de USD aux contribuables amricains) dont les causes sont diverses (forte volatilit des taux dintrt, spculation ) ont fait ressortir un certain nombre de fraude aux tats financiers. Cest pourquoi, en 1985, a t cre la Treadway Commission ; cette commission devait identifier les facteurs qui conduisaient des tats financiers frauduleux et faire des recommandations qui rduiraient ces fraudes. La commission a remis son rapport en 1987 : une des conclusions du rapport tait davancer que 50% des fraudes dcouvertes dans les tats financiers taient dues des dispositifs de contrle interne dficients. De mme il constate la forte diversit des dispositifs de contrle et de la dfinition qui en est donne, provoquant confusion entre auditeurs internes, auditeurs externes et direction gnrale : on ne parle plus de contrle administratif ou de contrle comptable : on parle de contrle interne. Le rapport Treadway contient 50 recommandations pour rduire le risque de fraude dans les tats financiers. Il apporte une prcision importante : le contrle interne est destin fournir une assurance raisonnable quant la ralisation des objectifs suivants : la ralisation et loptimisation des oprations, la fiabilit des informations financires, la conformit aux lois et rglements en vigueur . Cette dfinition nuance le rle du contrle interne en prcisant quil napporte pas une garantie totale mais une couverture raisonnable des risques. La commission met en avant notamment lenvironnement de contrle et les codes de conduite.

En 1988, lAICPAs Auditing Standards Board (ASB) amricain continue dans ce sens en publiant 8 nouveaux rglements, afin notamment de rpondre aux critiques qui avaient t faites vis vis de la profession des auditeurs pour ne pas avoir prvenu sur les dfaillances institutionnelles : ces normes mettent laccent sur la responsabilit de lauditeur, sur la ncessit de communication avec le Comit daudit. En avril 1988, la norme SAS N55 ne parle plus de contrle administratif et contrle comptable. Elle parle denvironnement de contrle, de systme comptable et de procdures de contrle. Cette norme raffirme le rle de la Direction dans le dispositif de contrle. Aprs la publication du rapport Treadway, COSO a t mis en place pour dvelopper le suivi de ces recommandations. Ce comit tait prsid par un reprsentant de lAICPA, marquant ainsi linfluence de la profession daudit dans ce Comit. Paralllement au dveloppement de ces dispositifs aux USA, dautres pays ont promu le contrle interne : le Canada, le Royaume-Uni et lAustralie. Jusque dans les annes 70-80, le contrle interne tait une proccupation principalement des professions lies laudit et au systme dinformation. Les auditeurs voulaient bnficier de lapproche la plus pertinente en matire de contrle interne pour valuer les tats financiers. En France, lOrdre des experts comptables (1977) dfinit le contrle interne comme lensemble des scurits contribuant la matrise de lentreprise. En 1992, le COSO publie Internal Control-Integrated Framework (ce quon appelle galement Coso Report) : ce document dfinit les trois objectifs majeurs du contrle interne : . Efficacit et performance des oprations . Fiabilit des tats financiers . Conformit vis vis des lois et rglements. En juillet 2002, suite diffrents scandales qui ont nouveau mise en dfaut la fiabilit des tats financiers (ENRON notamment) et la problmatique des conflits dintrt, le congrs amricain a vot une nouvelle loi, le Sarbannes Oxley Act : le congrs amricain a souhait renforcer la rglementation et encadrer la fonction dauditeurs. La responsabilit de la Direction est raffirme en ce qui concerne la mise en place, lvaluation et le pilotage du dispositif de contrle interne. La loi vise rduire lcart entre les contrles mens par les oprationnels et la direction qui prend les dcisions stratgiques de gouvernance. Le rgulateur a souhait entre autre rglementer le contrle des comptes pour les socits cotes : cette loi demande la direction de sassurer que leur dispositif de contrle interne permet de produire des tats financiers fiables. Il sagit de fournir une valuation sur les contrles et les procdures et le dispositif de contrle interne des tats financiers 5 . Dans le mme esprit, la France a adopt la loi N 2003-706 en aot 2003 dite de Scurit Financire (LSF) qui assujettie toutes les socits anonymes faisant appel public lpargne de nouvelles mesures dinformation. Elle sinspire en partie du dispositif anglo-saxon et vise adapter la lgislation franaise un environnement conomique et financier en constante volution.

Certaines sections, telles les 301, 302, 404 et 406 traitent plus spcifiquement de laudit interne.

Certaines mesures ont trait au processus de dcision des organes dirigeants. Le prsident du conseil dadministration, comme celui du conseil de surveillance, doivent dsormais rendre compte dans leur rapport lassemble gnrale, des mthodes dorganisation des travaux du conseil et des procdures de contrle interne mises en place par la socit. La loi cependant ne prcise pas le contenu ni la nature des informations apporter. Lapproche du contrle interne dans sa dimension historique amne aux conclusions suivantes : lacte de contrler est ancien. Cependant cest au fur et mesure des diffrents scandales financiers que le concept de contrle interne a vritablement pris forme. Il y a tout dabord eu une volution de la perception du contrle avec la prise de conscience quil ne sagissait pas uniquement de contrles des tats financiers ou des procdures. De plus la prise de conscience a port sur les consquences que des failles dans les contrles pouvaient amener. Il a fallu alors dfinir ce quil fallait entendre et attendre du ou des contrles. Fort des diffrentes dfinitions fournies par les divers organismes nationaux et internationaux, les entreprises ont eu alors besoin quun guide leur soit fourni pour mettre en place ces principes (ce fut le rle du Coso et dernirement de lAMF avec son guide mthodologique).

Vers la mise en place dune mthodologie Une des volutions majeures dans la perception du contrle interne est lie la notion de dispositif. Il est dailleurs imparfait de parler du contrle interne de lentreprise : il sagit du dispositif de contrle interne de lentreprise. Cet abus de langage amne un certain nombre de collaborateurs de lentreprise ne pas se sentir concern par le contrle interne : ils ne se sentent pas inclus par le dispositif global de contrle. Or nous savons que le contrle interne nest pas lapanage des seuls auditeurs ou contrleurs internes. Le COSO (1992) a fourni une dfinition du contrle interne comme tant un processus mis en place par la Direction et le personnel afin de fournir une assurance raisonnable 6 quant la ralisation des objectifs pour les trois catgories dobjectifs suivants : des objectifs oprationnels (ralit et rentabilit des oprations), des objectifs en terme de reporting financiers (fiabilit des tats financiers) et des objectifs de conformit (conformit aux lois et rglements). Cette dfinition, qui a t depuis reprise un grand nombre de fois sous des formes et formats varis, renferme les critres dapprciation de la pertinence dun dispositif de contrle : . Le lien entre contrle et objectif, . La notion de processus, . Limplication de lensemble du personnel, . La typologie des principaux objectifs du contrle. Objectif et contrle Il y a une relation insparable entre le fait de contrler et lobjectif du contrle : mettre sous contrle, tre matre de. Toutes les dfinitions sur le contrle interne le dfinissent en terme de ralisations dobjectifs. Plus lorganisation est importante, plus les objectifs sont nombreux et varis. Il est parfois surprenant de constater
6

internal control is a process, effected by an entity (...) to provide reasonable assurance regarding the achievement of objectives

pourtant comme cette notion dobjectifs nest pas toujours considre comme prioritaire : le collaborateur qui ne connat pas prcisment ses objectifs a du mal saisir ce qui peut alors perturber la ralisation de ces mmes objectifs. Lauditeur interne qui ne commence pas par cerner les objectifs du secteur auditer ne peut pas alors apprhender correctement les risques il en est ainsi de tout acte qui ne peut se concevoir sans comprhension des objectifs. En matire de contrle, il ny a pas de contrles corrects sans objectifs prcis et clairs. La notion de processus Le contrle interne est un processus. Cest donc un moyen pour arriver une fin et non une fin en soi. Le contrle interne reprsente une succession dactions qui permet lentreprise de raliser son activit. Le contrle interne est intgr dans la planification des activits. Ce dispositif nest pas un ajout impos par le rgulateur mais intrinsquement li au bon droulement de la transaction. Le contrle interne : une gestion par lensemble des collaborateurs de lentreprise Le contrle interne ne se rsume pas un manuel de procdures formelles mais il est la rsultante de laction de chacun tous les niveaux. Il est dfinit par la direction (qui en assume la responsabilit) et la hirarchie mais paralllement, il affecte laction de tout collaborateur (dfinition des responsabilits, gestion des limites ). Le contrle interne : une assurance raisonnable Il ne constitue pas une garantie totale pour la direction. Toute dfinition du contrle interne trouve en elle-mme ses limites : le contrle prvient les risques, il ne les supprime pas tous : la nature humaine est faillible, lenvironnement volue et les situations ne sont pas toujours celles qui taient prvues : le cas de la Barings o un seul homme a russi, par le jeu des options, mettre un tablissement en faillite en est une illustration. Eliminer tous les incidents serait donc utopiques et coteux et tous les jours, lentreprise peut tre confronte des incidents qui ne la perturbent pas de manire irrmdiable. La typologie des objectifs du dispositif de contrle Le dispositif de contrle interne doit permettre dassurer 7 : . La rentabilit et lefficacit des activits : il sagit l dobjectifs de performance dans lutilisation des actifs et autres ressources ainsi que dans la protection de ltablissement vis--vis des pertes. Le processus de contrle cherche sassurer que lensemble du personnel uvre avec efficience et intgrit la ralisation des objectifs, sans occasionner des cots imprvus ou excessifs ni privilgier dautres intrts que ceux de la banque. . La fiabilit, lexhaustivit et lactualit des donnes financires et des informations destines la direction : lobjectif dinformation porte sur la prparation de rapports pertinents, fiables indispensables la prise de dcision. Ils recouvrent la ncessit dtablir des comptes annuels, des tats financiers qui soient fiables pour les actionnaires, les autorits de contrle et autres parties extrieures. . La conformit aux lois et rglementations applicables : lobjectif de conformit est fondamental pour viter dune part le risque dimage et le cot financier des ventuelles sanctions.

Repris en partie dans les recommandations du comit de Ble de 1988

Le cadre du dispositif de contrle interne tant ainsi pos, il reste la problmatique de lapplication concrte de ce dispositif. Le Coso a ainsi dfini 5 (puis 8 avec le Coso II 8 ) lments dun dispositif de contrle efficace : . Lenvironnement du contrle (intgrit, valeurs thiques, comptences et environnement), . Lvaluation des risques (mise en place de cartographie des risques, valuation et suivi) . Le contrle oprationnel (autorisations, justifications comptables, sparation des fonctions) : dans le contrle oprationnel, le Coso distingue le hard control, c'est-dire le contrle formel, tangible et facile valuer et mesurer, du soft control, contrle informel, li notamment la culture de lentreprise, aux comportements des individus. . Linformation et la communication : cela permet lentreprise de grer, de suivre et de contrler les oprations. . Le pilotage : le processus de contrle doit tre pilot afin de faire lobjet de rajustements ventuels et de lui permettre dtre ractif et dynamique.

Le Coso (et lAMF dernirement) dtaille prcisment le contenu de chacun de ces lments fournissant ainsi un guide pour la mise en place et lapprciation du dispositif de contrle interne. Ainsi llment Environnement est-il le premier de la liste et cet aspect, mme sil est parfois nglig dans la ralit quotidienne de lentreprise, est fondamental et constitue ce titre le fondement de tout le dispositif : la dfinition des objectifs de lentreprise, la rpartition des responsabilits, la gestion des comptences, lorganisation de plus haut au plus bas de la hirarchie La gestion des risques est ensuite au cur du dispositif : seule une valuation correcte de ses risques permet lentreprise dadopter une stratgie pertinente. Les contrles oprationnels qui sont ceux qui viennent spontanment lesprit lorsque le terme de contrle est utilis (avec notamment les fameuses procdures, bte noire des chefs de service) sont des lments essentiels parmi dautres. Linformation et la communication ont suffisamment fait lobjet dintrt quil ne sagit plus de produire de linformation mais daccrotre sa qualit (dans le fond et la forme). Enfin seul un pilotage efficace permet au dispositif de contrle de sinscrire dans une perspective dynamique et de suivre lvolution de lentreprise afin de coller au plus prs la ralit de cette dernire.

Les grandes volutions dans la perception du contrle qui ont abouti la rdaction de mthodologies constituent une avance significative pour la mise en place dun dispositif de contrle et permettent de disposer doutils dapprciation de la pertinence de ces dispositifs. La perception du contrle interne a notamment volu vers la prise en compte des objectifs de lentreprise. Il ny a pas de contrle sans objectif et nous pourrions effectuer un rapide raccourci en prcisant quil y a difficilement dobjectifs ralisables sans la composante contrle interne. Chaque
8

Le Coso II en 2002 est venu complt le Coso I en positionnant clairement la gestion des risques comme un lment essentiel du dispositif de contrle. Le Coso II introduit la notion de Enterprise Risk Management Framework (ERM) repris ensuite dans un grand nombre de dmarche risque. Les 3 lments supplmentaires sont rattacher la gestion des risques : identification des risques, gestion des risques et pilotage des risques. Le Coso II

tape est essentielle pour apprcier un dispositif : les tapes seront plus ou moins dtailles selon la taille du secteur ou de lentreprise mais il est ncessaire de ne pas saffranchir dun lment. Lordre des tapes est galement important : de la dfinition des objectifs au pilotage du dispositif en passant par les contrles au quotidien et la supervision. Tout en laissant une grande libert, les cls de comprhension et de mise en place dun dispositif de contrle sont clairement dfinies dans ces rfrentiels. Elles reposent sur des principes de saines logiques qui positionnent le dispositif de contrle comme lossature ncessaire la ralisation des objectifs de lentreprise, ossature qui ncessite des articulations flexibles pour suivre les mouvements de lentreprise.