Académique Documents
Professionnel Documents
Culture Documents
2
33
52
d’entreprise où la succession des dirigeants est préparée et où ces der-
93
50
niers ont assumé des responsabilités variées au sein de l’entreprise avant
7:1
.21
d’être promus), d’autres entreprises recourent plus volontiers à des recru-
.16
.99
tements externes, parfois surprenants au regard des critères de formation
05
2:1
et d’expérience professionnelles. C’est souvent le cas dans les entreprises
78
38
semi-publiques (EDF par exemple) ou dans les entreprises où l’État détient
88
0:8
un fort moyen de pression (le groupe Caisse d’épargne – Banque popu-
33
laire). Cela ne signifie pas nécessairement que les dirigeants ainsi nommés 96
44
:84
n’apporteront pas une vision plus neuve et parfois revigorante pour ces
ue
nq
entre les principes affichés et les politiques de gestion des employés réel-
co
:E
om
177
Audit et contrôle interne – 4e édition
2
33
52
men des activités antérieures qui pourraient s’avérer inacceptables pour
93
50
l’entité. Il peut s’agir de personnes ayant eu dans le passé des comporte-
7:1
.21
ments contraires à l’éthique. C’est ainsi que les fonctions de commissaire
.16
.99
aux comptes ou d’expert-comptable sont interdites aux personnes ayant
05
2:1
une inscription à leur casier judiciaire.
78
38
88
Mais cette incompatibilité peut également être liée aux fonctions occu-
0:8
33
pées précédemment. Dans le domaine bancaire, s’il est souhaitable que
96
44
les employés assurant le contrôle et l’enregistrement des opérations de
:84
ue
ils sont soumis. Ainsi, dans l’affaire Kerviel, le trader a pu réaliser des opé-
om
x.c
sance des mécanismes de contrôle (il avait exercé les activités de contrôle
ho
.sc
1.1.5. La responsabilisation
Il existe une interaction complexe entre la personnalité des dirigeants,
l’histoire de l’entreprise, la culture d’entreprise qui s’est formée petit à pe-
178
La normalisation du contrôle interne
2
33
52
93
La répartition des responsabilités, et les délégations de pouvoir qui les
50
7:1
accompagnent doivent être cohérentes avec les objectifs de l’entreprise,
.21
.16
les fonctions opérationnelles et les exigences de régulation. Ceci signifie
.99
que l’organisation hiérarchique de l’entreprise doit correspondre à une réa-
05
2:1
lité opérationnelle. Dans son étude des manufactures des tabacs, Crozier5
78
38
88
a montré que la réalité des pouvoirs informels d’autorité pouvait différer de
0:8
33
la structure hiérarchique formelle, quand des acteurs détiennent un pou-
96
44
voir spécifique dû à leurs compétences ou à une position stratégique au
:84
ue
179
Audit et contrôle interne – 4e édition
2
33
affaires intervenues dans d’autres banques (par exemple, la faillite de la
52
93
banque Barings il y a une vingtaine d’années), le dépassement des engage-
50
7:1
ments autorisés par un courtier a été rendu possible par une déficience de
.21
.16
la chaîne hiérarchique de contrôle, qui s’est limitée à des contrôles formels
.99
05
et à des réponses formelles aux anomalies relevées, sans jamais aller au-
2:1
78
delà du simple contrôle des apparences.
38
88
0:8
Une façon de réduire ces risques consiste à formaliser la description du
33
contenu des postes et des tâches à effectuer pour chaque poste de travail. 96
44
:84
Il est alors plus aisé de s’assurer qu’un employé n’excède pas ses préroga-
ue
nq
Ba
180
La normalisation du contrôle interne
2
33
52
stratégiques auxquels les employés sont censés adhérer.
93
50
7:1
Mais les objectifs de l’entreprise peuvent aussi être très informels et
.21
.16
porter sur la pérennité de l’entreprise, sa capacité à s’adapter à un envi-
.99
05
ronnement changeant, à une conjoncture difficile. Très souvent, les PME
2:1
78
maintiennent un certain flou autour des objectifs que les dirigeants sou-
38
88
haitent atteindre. Dans une conjoncture très fluctuante, il peut aussi s’agir
0:8
33
96
d’un principe de prudence visant à éviter de s’engager sur des objectifs :84
44
projet de l’organisation. Dans tous les cas, il existe une articulation entre
le
co
:E
activité ou service.
vo
lar
ho
centre d’activité exige non seulement que ces derniers soient en phase
avec les premiers, mais aussi (ce qui est nettement plus complexe) qu’ils
soient cohérents avec les objectifs des autres centres d’activité. En effet,
il est fréquent que des objectifs soient assignés à un centre d’activité sans
tenir compte des répercussions de ces objectifs sur les autres centres.
Par exemple, si une entreprise est confrontée à la nécessité de réduire
ses coûts de fonctionnement pour s’adapter à une chute de ses revenus,
l’objectif assigné à un service d’entretien peut être la minimisation de ses
coûts de fonctionnement. Comme un service d’entretien ne supporte pas
la conséquence de la réduction de ses activités, ce sont les centres opéra-
tionnels (qui dépendent de ses interventions) qui en subissent les consé-
quences, puisque la fréquence des pannes ou des dysfonctionnements est
susceptible de s’accroître. De même, un service commercial peut chercher
à maximiser le carnet de commandes de l’entreprise sans se soucier de
la difficulté pour les services de production à répondre à des commandes
parfois complexes ou peu rémunératrices.
181
Audit et contrôle interne – 4e édition
2
33
sont matérialisés, de nombreux établissements financiers se sont trouvés
52
93
démunis face à une crise inédite (qui ne trouve un parallèle que dans la
50
7:1
crise de 1929).
.21
.16
.99
Pour évaluer ces risques potentiels, toutes les interactions significatives
05
2:1
doivent être considérées, qu’elles portent sur des biens, des services ou
78
38
88
des flux d’information. Le chantage exercé par la Russie sur l’Ukraine sur les
0:8
33
livraisons de gaz entre 2006 et 2009 a eu non seulement des conséquences
96
44
pour les populations des États riverains, mais il a également pu contraindre
:84
ue
il doit être intégré au processus de planification. Il doit porter tant sur les
:E
om
x.c
activité.
ho
.sc
w
ww
182
La normalisation du contrôle interne
2
liser cet objectif dans un principe particulier. Mais, d’une certaine manière,
33
52
ce risque de fraude se trouve alors ravalé au rang des autres risques que
93
50
7:1
sont les risques climatiques, terroristes, sociaux, etc.
.21
.16
Ce point est symptomatique de l’évolution normative. Parce que la
.99
05
pression sur l‘innovation et la recherche du profit conduisent sans arrêt
2:1
78
à chercher de nouvelles formes d’optimisation qui se trouvent parfois à la
38
88
0:8
frontière du droit, du légal et de l’interdit, la norme cherche sans cesse à
33
96
devenir plus précise, à mieux faire apparaître la frontière entre ce qui est :84
44
permis et ce qui est défendu, à faire disparaître les zones d’ombre. Mais,
ue
nq
du même coup, cette vision technicienne des normes entraîne une vision
Ba
de
cier, que les banques communiquent sur leur attention à leurs clients, sur
.sc
w
183
Audit et contrôle interne – 4e édition
2
33
à jour, la rapidité de la croissance, l’arrivée de nouvelles technologies, le
52
93
lancement de nouvelles lignes de produits ou d’activités, la mise en œuvre
50
7:1
de restructurations (fermeture d’établissements, d’usines, de boutiques), le
.21
.16
développement à l’étranger.
.99
05
2:1
78
1.3. Les activités de contrôle
38
88
0:8
33
Les activités de contrôle correspondent à trois principes : la sélection et 96
44
:84
184
La normalisation du contrôle interne
2
de réduction des risques (quand cela permet le développement de
33
52
93
mécanismes de contrôle simultanés) ou d’accroissement des risques
50
7:1
(quand l’entreprise devient plus dépendante du bon fonctionnement
.21
.16
d’une machine ou d’une application informatique).
.99
05
2:1
78
1.3.2. Les contrôles sur la technologie informatique
38
88
0:8
Les contrôles des systèmes d’information peuvent être généraux ou
33
spécifiques à une application informatique. La cohérence entre les diffé- 96
44
:84
tement concerné. Les contrôles portent sur la définition des fonctions, sur
vo
lar
ho
185
Audit et contrôle interne – 4e édition
2
33
et d’une facturation. Il faut donc définir des procédures de contrôles alter-
52
93
natives aux seuls contrôles comptables.
50
7:1
.21
Le troisième domaine porte sur la sécurité des accès. Il est nécessaire
.16
.99
de permettre un accès des employés aux applications dont ils ont besoin
05
2:1
pour remplir efficacement leurs fonctions et de limiter ces accès pour éviter
78
38
des mises à jour inopportunes et éviter que des informations confidentielles
88
0:8
ne soient diffusées sans autorisation hiérarchique. Les pratiques permet-
33
tant d’accorder ou de limiter les accès sont très diverses. Il peut s’agir de 96
44
:84
ue
186
La normalisation du contrôle interne
2
33
ractions doit vérifier qu’il n’y a pas de déperdition entre les différentes ap-
52
93
plications. Ce contrôle apparemment évident ne l‘est que pour les transac-
50
7:1
tions récurrentes et habituelles. En général, quand des fuites se produisent
.21
.16
et que des transactions initialement entrées dans le système d’information
.99
05
ne sont plus traitées par la suite, ou font l’objet d’un double traitement,
2:1
78
c’est que ces transactions présentaient une caractéristique spécifique mal
38
88
appréhendée par l’application informatique concernée. Sont particulière-
0:8
33
ment visés par ce type d’anomalie : les retours de marchandises, les pro-
96
44
duits livrés selon des procédures inhabituelles, les conditions spécifiques
:84
ue
chement des entrées et des sorties visant à identifier toutes les sources
rie
pé
187
Audit et contrôle interne – 4e édition
2
33
ou le changement régulier de sa combinaison constituent des méca-
52
93
nismes de contrôle interne préventifs ;
50
7:1
.21
• les contrôles de détection interviennent postérieurement à la réalisa-
.16
tion du risque. Ils évitent la dissémination du risque ou de ses effets.
.99
05
Ainsi, le contrôle des transactions supérieures à x euros n’a pas pour
2:1
78
objet premier de limiter les erreurs de saisie (bien que l’existence
38
88
0:8
d’un contrôle a posteriori soit un facteur de réduction de ce type d’er-
33
96
reurs), mais plutôt de limiter les conséquences dommageables d’une :84
44
erreur (ou d’une malversation) quand celle-ci porte sur des montants
ue
nq
significatifs ;
Ba
de
188
La normalisation du contrôle interne
2
33
ayant changé d’affectation, ou de continuer à diffuser des informations
52
93
devenues inutiles en raison des évolutions technologiques ou des change-
50
7:1
ments de métiers ou de produits.
.21
.16
.99
Les systèmes d’information ne peuvent donc pas être conçus comme
05
2:1
des systèmes statiques et figés dans le temps. Bien au contraire, les pro-
78
38
cédures de contrôle interne doivent prévoir des plans stratégiques de mise
88
0:8
à jour, de maintenance ou de remplacement des différents éléments du
33
96
système d’information, en lien avec la stratégie globale de l’entreprise. Le :84
44
tégré offre ainsi l’avantage d’une meilleure interconnexion entre les diffé-
Su
du nombre des entrées, puisqu’une information, une fois saisie, n’a pas à
om
x.c
être saisie une seconde fois, mais doit simplement faire l’objet des vali-
vo
lar
pour être pertinent, le choix d’un progiciel intégré doit intégrer l’ensemble
w
ww
189
Audit et contrôle interne – 4e édition
2
33
de fraude pénale ou de sanction interne pour les cas mineurs). L’affaire
52
93
Enron a servi de laboratoire pour examiner les conséquences d’une com-
50
7:1
munication incomplète en présence de malversations. Lorsque le président
.21
.16
du conseil d’administration fut informé des manquements aux procédures
.99
relevés par l’un de ses cadres dirigeants contre le directeur financier, sa
05
2:1
réaction fut d’étouffer l’affaire et de muter le cadre dirigeant afin d’empê-
78
38
88
cher toute communication autour des malversations relevées.
0:8
33
1.4.3. La communication externe 96
44
:84
ue
nq
décisions prises ou des actions mises en œuvre. Mais un compte rendu est
de
ure
sabilité, dans la mesure où celle-ci devient collective dès que les décisions
Su
le
co
ou les actions sont avalisées par les délégataires. Dans une entreprise,
:E
om
190
La normalisation du contrôle interne
1.5. Le pilotage
Le pilotage (précédemment dénommé supervision) vise à s’assurer de
l’efficacité (la capacité à réduire et maîtriser les risques) et de l’efficience
(la maîtrise des risques en minimisant les ressources consommées et en
évitant les restrictions à l’innovation) des systèmes de contrôle interne.
Par conséquent, non seulement le pilotage doit s’assurer que des zones
de risques n’ont pas été oubliées, mais aussi que les mécanismes de
contrôle interne ne sont pas redondants. Il est possible que certains prin-
cipes de contrôle interne soient imparfaits sans que l’ensemble du système
de contrôle interne soit remis en cause. Le rôle de la supervision est de
s’assurer de la complémentarité et de la non-redondance des mécanismes
2
33
52
de contrôle interne en place. Comme la nature et l’ampleur des risques
93
50
évoluent dans le temps, les dirigeants doivent assurer ce pilotage dans la
7:1
.21
durée.
.16
.99
05
2:1
1.5.1. Le contrôle permanent et périodique
78
38
88
Le pilotage permet d’évaluer les contrôles critiques sur les risques signi-
0:8
33
ficatifs. Le processus de supervision est ordonné autour de quatre étapes :84
96
44
(graphique 5.2) :
ue
nq
multinationale ;
x.c
vo
lar
191
Audit et contrôle interne – 4e édition
GRAPHIQUE 5.2
Le processus de supervision selon le COSO
2
33
52
93
50
7:1
.21
.16
.99
05
2:1
78
38
88
0:8
33
96
Schéma adapté de : Coso (2008, Guidance on Monitoring, Monitoring Design & :84
44
Implementation Progression.
ue
nq
Ba
Pour établir que le système de contrôle interne est bien conçu et qu’il
de
ure
tion qui soit suffisante, pertinente, fiable et actuelle. L’information doit être
Su
le
192
La normalisation du contrôle interne
2
33
buant à la prise de décision sont la probabilité qu’une déficience entraîne
52
93
50
une erreur, l’efficacité d’autres contrôles compensatoires, l’effet potentiel
7:1
.21
d’une déficience sur les objectifs de l’entreprise ou sur tout autre objec-
.16
tif, l’effet cumulé des déficiences relevées. Le mode de communication du
.99
05
2:1
processus de supervision dépend des parties prenantes auxquelles il est
78
38
transmis.
88
0:8
33
Normalement, le processus de supervision fait l’objet d‘un reporting in-
96
44
terne auprès de la direction générale de l’entreprise et auprès de son comi-
:84
ue
rale (par exemple, parce que les implications ne sont pas significatives au
co
:E
193
Audit et contrôle interne – 4e édition
2
33
dardisés, mais, en apparence, le produit est adapté à l’entreprise qui sou-
52
93
50
haite le mettre en œuvre. La question est de savoir si la standardisation du
7:1
.21
contrôle interne n’est pas, d’une certaine manière, la négation du proces-
.16
.99
sus de contrôle interne.
05
2:1
78
38
2.1. Les trois enjeux de la normalisation du contrôle interne
88
0:8
33
96
44
Nous avons défini le contrôle interne comme l’ensemble des systèmes
:84
ue
tion ?
x.c
vo
194
La normalisation du contrôle interne
2
33
dences ou à des conseils de bon sens qui finissent toujours par se résumer
52
93
dans les grands principes de contrôle interne (compétence des acteurs,
50
7:1
séparation des tâches, délégation et contrôle des responsabilités).
.21
.16
.99
À titre d’exemple, la société XX (un des leaders mondiaux dans la pro-
05
2:1
duction de ciment et de béton) au Vietnam a mis en œuvre en 2012-2015 un
78
38
programme ambitieux de maîtrise des taux de charge des camions trans-
88
0:8
portant les produits de l’entreprise (que ce soit en entrée pour l’acquisi-
33
tion des matières premières ou en sortie pour la livraison des clients)7. Un 96
44
:84
une réponse (si possible immédiate). Les normes de contrôle interne ont
pé
Su
ver des solutions qui répondent aux exigences de sécurité imposées par
:E
om
x.c
C’est le bon sens et la concertation qui, in fine, ont permis de trouver les
ho
.sc
solutions adaptées qui, ensuite, sont transcrites dans les normes, les pro-
w
ww
6. C
f. notamment l’ouvrage de l’auteur : Pigé B. (2011), Reporting et contrôle budgétaire
– De la délégation à la responsabilité, EMS.
7. Viet Ha T. V, Cam T. D. et Pigé B. (2015), « La représentation de la performance comme
possibilité de modification des règles du jeu, le cas de l’overloading au Vietnam »,
Prospective et Stratégie, 6, p. 137-148.
195
Audit et contrôle interne – 4e édition
2
treprise pour faire face aux risques auxquels elle est confrontée compte
33
52
93
tenu de son secteur d’activité, de sa situation géographique, de sa culture
50
7:1
organisationnelle, des institutions locales, etc.
.21
.16
.99
En prétendant fournir le cadre général d’analyse d’un bon système de
05
2:1
contrôle interne, le COSO exerce une forme de privatisation du bon sens.
78
38
Ce qui est de l’ordre de l’évidence devient subitement le fruit d’une analyse
88
0:8
d’experts8.
33
96
44
Dans le cas de l’intégrité des actifs, la démarche proposée par le COSO
:84
ue
nérale. Mais, le risque local, celui que les actifs ne fassent pas l’objet d’une
x.c
vo
8. L’ouvrage rédigé par Pwc (un des quatre principaux réseaux d’audit), traduit par l’IFA-
CI (Institut Français des Auditeurs et Contrôleurs Internes) est vendu en France 80 €
pour un total de 264 pages. Ce prix correspond aux ouvrages professionnels spécia-
lisés du type Memento.
196
La normalisation du contrôle interne
2
33
des procédures qui réduisent drastiquement le risque de diffusion de pro-
52
93
duits impliquant un droit d’auteur (ouvrages, brevets, etc.). Il suffit d’élever
50
7:1
suffisamment le niveau de sanction et de déployer des ressources pour
.21
.16
identifier les cas de détournement. Par contre, ce que la normalisation ne
.99
05
met pas en évidence, c’est la pertinence des procédures de non-détourne-
2:1
78
ment d’un point de vue éthique. En effet, dans de nombreuses situations,
38
88
0:8
les procédures mises en œuvre ne font que défendre le fort au détriment
33
96
du faible. Seul le fort a la capacité de faire appliquer exactement les procé- :84
44
dures qu’il a conçues. Le faible, quant à lui, se limite à observer les procé-
ue
nq
197
Audit et contrôle interne – 4e édition
2
33
52
93
La notion même d’éthique couvre une infinité d’interprétations. Il est
50
7:1
rare qu’un individu s’affranchisse totalement de l‘éthique. Par contre, il est
.21
.16
fréquent que chaque individu tende à se construire une vision de l’éthique
.99
05
qui puisse recouvrir la défense de ses intérêts particuliers9. La mise en
2:1
78
place d’un code éthique n’est donc en aucune façon la garantie de l’absence
38
88
0:8
de fraudes ou d’un comportement vertueux (Enron avait un code éthique
33
très développé). 96
44
:84
ue
son paroxysme
ho
.sc
w
ww
9. À
propos de l’honneur, Alexis de Tocqueville suggère que les codes d’honneur (les
ancêtres de nos codes éthiques) ne sont qu’une construction qui répond aux inté-
rêts de la classe sociale qui les applique : Tocqueville A. (1840), De la démocratie en
Amérique – II, Gallimard folio, 2014.
198
La normalisation du contrôle interne
2
33
52
définir le standard. Bien plus, l’amélioration marginale peut être considérée
93
50
comme un défaut, dans la mesure où le produit s’éloigne du standard qui
7:1
.21
va servir à l’évaluer. Ce ne sera que lors d’un changement de normes que
.16
.99
l’amélioration pourra être évaluée positivement.
05
2:1
78
Le but d’un système normé n’est pas de s’améliorer, il est de reproduire
38
88
à l’identique. Au lieu de considérer le temps comme un continu, une durée10,
0:8
33
la norme fige le temps. Elle fait en sorte que le présent demeure (éventuel-
96
44
lement sur plusieurs mois dans le cas d’une production en série de longue
:84
ue
durée). Durant ce temps, tout est fait pour que le processus reste immobile,
nq
Ba
offrent des variations parfois très fortes de leurs composants au gré des
le
co
:E
saisons, des terroirs, voire même des modes et des heures de collecte.
om
x.c
10. Bergson H. (1889), Essai sur les données immédiates de la conscience, PUF, 1959.
11. Thibierge C. et alii (2014), La densification normative, découverte d’un processus,
Mare & Martin.
12. Qu’il s’agisse de l’analyse chimique d’une substance, ou de l’analyse d’un processus
de production industrielle comme en témoignent les procédés de taylorisation et de
travail à la chaîne.
199
Audit et contrôle interne – 4e édition
2
33
52
le temps, elle n’y arrive pas. Elle ne peut que tenter d’en ralentir les effets,
93
50
se donner l’apparence d’une suspension du temps. Par conséquent, il existe
7:1
.21
nécessairement des écarts entre la réalité du produit et le standard qui lui
.16
.99
sert de référence. Ces écarts peuvent être d’origine mécanique (les dérè-
05
2:1
glements dus à la répétition des frottements occasionnés par la produc-
78
38
tion), chimique (la corrosion, les interactions des diverses substances, etc.)
88
0:8
ou humaine (un moment d’inattention, une faute intentionnelle, etc.).
33
96
44
La norme va donc non seulement définir le standard à atteindre, mais
:84
ue
également les écarts qu’elle tolère. Sur des productions de grande série, la
nq
Ba
ment de mesure pour identifier non seulement les produits non conformes
rie
pé
200
La normalisation du contrôle interne
2
33
52
voudra, ce qui différencie une entreprise respectueuse de la société dans
93
50
laquelle elle opère et une entreprise mafieuse, ce n’est pas le détail des
7:1
.21
opérations effectuées, mais c’est l’esprit dans lequel ces opérations sont
.16
.99
effectuées (l’exigence du vivre-ensemble versus l’appât du gain).
05
2:1
78
Les dérives normatives du contrôle interne sont particulièrement vi-
38
88
sibles dans le domaine financier. Confrontés aux exigences normatives et à
0:8
33
la pression politique, judiciaire et médiatique de conformité, les dirigeants
96
44
des grands établissements bancaires ont formalisé les règles à appliquer.
:84
ue
Mais, dans le même temps, la pression en faveur d’une plus grande profi-
nq
Ba
201
Audit et contrôle interne – 4e édition
2
33
changeable, qu’il est dépourvu de personnalité, d’individuation. La norme
52
93
est possible parce qu’à sa focalisation analytique vient s’ajouter un facteur
50
7:1
capable de synthétiser, de globaliser.
.21
.16
.99
Cette approche est cependant erronée pour deux raisons : elle ignore
05
2:1
l’interaction entre les produits et les personnes, et elle ignore la spécificité
78
38
des environnements institutionnels. C’est ce qui explique que la normali-
88
0:8
sation internationale (représentée par le COSO) tende progressivement à
33
intégrer les humains dans son réseau de procédures. 96
44
:84
ue
nq
Ba
ses actionnaires, Michael Jensen et William Meckling13 ont mis l’accent sur
le
co
fois celui qui bénéficie de la délégation pour gérer les ressources de l’entre-
x.c
vo
prise et celui qui établit les états comptables qui permettront d’évaluer son
lar
ho
13. Jensen M.C. et Meckling W.H. (1976), « Theory of the Firm: Managerial Behavior,
Agency Costs and Ownership Structure », Journal of Financial Economics, 3, p. 305-
360.
14. C
harreaux G. (1987), « La théorie positive de l’agence : une synthèse de la littéra-
ture », in De nouvelles théories pour gérer l’entreprise, Economica.
C
harreaux G. (dir.) (1997), Le Gouvernement des Entreprises, Corporate Governance,
Théories et Faits, Economica.
202
La normalisation du contrôle interne
nismes d’incitations. En alignant l’intérêt des dirigeants sur celui des action-
naires, on favoriserait une meilleure prise en compte des coûts d’agence
par les dirigeants, puisque ceux-ci auraient un intérêt direct (patrimonial)
à l’augmentation de la valeur financière de leur entreprise. De nombreuses
études académiques ont cependant montré les limites de cette approche et
essayé d’introduire des dimensions partenariales plus larges15.
Le second volet a été plus tardivement approfondi avec la remise en
cause de l’audit comme mécanisme parfait de la réduction d’asymétrie
d’information16. Rien ne garantit que l’information diffusée par le dirigeant
et certifiée par les auditeurs permette réellement d’évaluer la performance
du dirigeant et sa bonne gestion des ressources.
2
33
Le postulat essentiel des codes de gouvernance, des manuels de contrôle
52
93
50
interne et des standards d’audit est qu’il existerait une bonne manière de
7:1
.21
faire qui pourrait être déclinée dans tous les secteurs d’activité, tous les
.16
pays et toutes les configurations partenariales en ajustant simplement les
.99
05
paramètres globaux du modèle aux spécificités locales. Dans cette logique,
2:1
78
le dirigeant peut être évalué par les informations qu’il fournit parce que le
38
88
0:8
processus de reddition des comptes est strictement normalisé.
33
96
44
Si la norme est nécessaire, parce qu’elle permet de réguler les rap-
:84
ue
de ces dernières décennies ont quasiment tous reposé sur une croyance ab-
ure
rie
Qu’il existe des principes, des guides d’aide à la mise en place d’un
:E
om
contrôle interne ou d’un processus d’audit, cela est une nécessité, non pour
x.c
vo
203
Audit et contrôle interne – 4e édition
2
33
52
93
2.3.2. Les territoires, lieux d’application de la norme
50
7:1
.21
La direction des organisations ne se réalise pas dans un milieu expéri-
.16
.99
mental clos. Elle n’est pas reproductible à l’identique, elle n’est pas parfaite-
05
2:1
ment modélisable ni prévisible. L’organisation est le lieu où non seulement
78
38
des personnes humaines interagissent, mais aussi où elles se confrontent
88
0:8
à la matière, à l’objet. L’organisation est symptomatique de notre monde
33
moderne, car elle est le lieu où se matérialise cette rencontre de l’humain 96
44
:84
17. L
atour B. (1991), Nous n’avons jamais été modernes – Essai d’anthropologie symé-
trique, La Découverte, 1997.
18. Pigé B. (2015), « Fondements théoriques de la représentation comptable de la per-
formance dans une approche territoriale et parties prenantes », Prospective et
Stratégie, 6, p.15-30.
204
La normalisation du contrôle interne
2
un territoire, mais, plus globalement, d’une espèce humaine disséminée à
33
52
93
travers le monde.
50
7:1
.21
.16
.99
05
2:1
78
38
88
0:8
33
96
44
:84
ue
nq
Ba
de
ure
rie
pé
Su
le
co
:E
om
x.c
vo
lar
ho
.sc
w
ww
205
Conclusion
2
33
52
93
50
Conclusion
7:1
.21
.16
.99
05
2:1
78
38
88
0:8
33
96
44
:84
bon contrôle interne ou un bon audit seraient des processus qui suivraient
ure
rie
pé
aux normes. Telle n’est pas notre conclusion et nous développerons trois
x.c
vo
normes).
2
33
entreprises managériales japonaises, ou même les ONG (Organisations non
52
93
gouvernementales) françaises, peut-on réellement considérer que le mo-
50
7:1
dèle du COSO est le plus pertinent pour concevoir et appliquer un système
.21
.16
de contrôle interne à des organisations qui exercent dans des territoires
.99
05
parfois fort distincts de ceux des marchés régulés nord-américains ou euro-
2:1
78
péens ?
38
88
0:8
Prenons deux exemples : le rôle de la gouvernance dans le système de
33
96
44
contrôle interne et l’approche par les risques dans l’audit.
:84
ue
nq
l’organisation ?
x.c
vo
lar
207
Conclusion
2
33
52
En matière environnementale, ce sont les cas de la plate-forme pétro-
93
50
7:1
lière Deepwater Horizon de BP dans le golfe du Mexique en 2010 et de la
.21
centrale nucléaire de Fukushima en 2011 ; dans les deux cas, les risques
.16
.99
n’avaient pas été appréhendés ou, du moins, ils avaient été considérés
05
2:1
comme étant parfaitement contrôlés. Au regard des conséquences de ces
78
38
88
deux événements, force est de constater que le contrôle portait peut-être
0:8
33
sur les éléments accessoires, mais non sur le risque majeur lui-même. Le
96
44
risque auquel ces deux entreprises ont été confrontées résultait d’un en-
:84
ue
d’appréhender.
de
ure
rie
agissait en connaissance de cause et pourtant le lien n’a pas été établi avec
la notion de risque. Durant toute cette période, les comptes de la BNP ont
été certifiés sans réserve2.
En matière économique, la faillite de Lehman Brothers en septembre
2008 est intervenue neuf mois après l’arrêté de ses comptes 2007 (au
30 novembre) qui faisaient apparaître un bénéfice de 4,2 milliards de dol-
lars (pour un total de revenus de 19,3 milliards de dollars). Tout comme
dans le cas d’Enron, la lecture détaillée des états financiers peut, a poste-
riori, permettre d’identifier les risques sous-jacents, mais les chiffres clés
annoncés en décembre 2007 ne donnaient aucunement une mesure du
risque encouru non seulement par les actionnaires, mais également par
2. P
our mémoire, l’affaire Kerviel, qui a coûté 5 milliards d’euros à la Société Générale, a
fait couler beaucoup plus d’encre ; et la faillite d’Enron, qui a entraîné la disparition du
réseau Arthur Andersen, a résulté de l’annonce d’une perte de seulement un milliard
de dollars.
208
Conclusion
les clients ou les fournisseurs et, de façon plus générale, par les acteurs
économiques à travers le monde.
Dans ces différents exemples, ce qui apparaît, c’est que les procédures
d’audit ont pratiquement toujours été respectées, mais que les auditeurs
ont été incapables de discerner les risques majeurs qui dérivaient de l’acti-
vité de ces entreprises. En effet, une partie de ces risques est en dehors
du champ traditionnel d’une lecture du risque par la théorie de l’agence. Si
l’on prend le cas de la catastrophe Deepwater Horizons, BP a estimé le coût
total à environ 40 milliards de dollars en raison des dépenses faites pour
réhabiliter les sites pollués et des indemnités versées. Mais la question des
risques supportés est également à mettre en relation avec la répartition du
2
33
coût de ces risques sur les diverses parties prenantes. Dans le cas de BP, la
52
93
capitalisation boursière de l’entreprise, le lieu de la catastrophe, la nationa-
50
7:1
lité de l’entreprise ont contribué à une indemnisation des diverses parties
.21
.16
prenantes. Dans le cas des forages pétroliers au large des côtes africaines,
.99
05
il est vraisemblable que de nombreuses parties prenantes supportent des
2:1
78
dommages collatéraux sans avoir droit pour autant aux indemnités com-
38
88
pensatrices.
0:8
33
96
44
:84
se laisser guider par ses instincts ou ses désirs, mais de mener sa vie de
co
:E
om
ture. Mais l’analogie semble s’arrêter là. Si tout individu doit apprendre à se
lar
ho
personnalité de chacun.
Dans le domaine organisationnel, la dimension technique et techno-
logique semble justifier l’objectif d’une maîtrise parfaite de l’entreprise.
Celle-ci est perçue comme une machine complexe qu’il convient en per-
manence d’optimiser pour lui permettre de rendre ce qu’elle a de meilleur.
En d’autres termes, la recherche de la maîtrise de l’organisation ne serait
autre que la recherche de l’efficience : maximiser la valeur créée, la diffé-
rence entre la valeur produite et les ressources consommées.
Tout comme Frederick Taylor avait justifié la normalisation du travail de
production pour aboutir à l’optimisation du geste humain ; de même, les
processus organisationnels semblent devoir être sans cesse optimisés pour
minimiser la consommation de ressources en vue d’un résultat donné. La
croyance en un « one best way », une meilleure manière de faire, conduit à
supposer que cet optimum, cette efficience atteinte en un instant donné et
un lieu donné, peut être disséquée, analysée et standardisée (ou normali-
209
Conclusion
2
33
52
organisation s’accompagne également de la croyance en une forme de pé-
93
50
rennité de ces normes qui transcenderait le temps et l’espace. Certes, ces
7:1
.21
normes sont régulièrement révisées, améliorées, enrichies, mais toujours
.16
.99
avec le souci d’aboutir à un système plus parfait, à une normalisation qui
05
2:1
préviendrait davantage les erreurs, qui serait capable d’appréhender plus
78
38
complètement la diversité des cas particuliers.
88
0:8
33
Les récits mythiques que constituent désormais les affaires Enron et
96
44
Lehman Brothers n’entament pas la croyance en l’efficacité des normes.
:84
ue
Au contraire, ces récits semblent démontrer que les normes n’ont pas été
nq
Ba
assez précises, qu’elles doivent encore être améliorées pour pouvoir ré-
de
ure
court terme, la machine est toujours plus puissante, toujours plus rapide,
x.c
210
Conclusion
Le paradoxe est que la norme fige, mais qu’en figeant elle révèle ou
elle suscite de nouvelles anomalies, de nouveaux dysfonctionnements, de
nouvelles exceptions. Pour répondre aux pratiques émergentes, le norma-
lisateur se sent alors contraint3 de produire de nouvelles normes ou de
reprendre les anciennes pour les adapter au goût du jour.
2
révèlent quelque chose de nos sociétés civiles. Regardons-les comme les
33
52
93
symboles d’une fuite en avant dans la croyance en la normalisation toute
50
7:1
puissante. Enron, symbole de la bonne gouvernance, application raison-
.21
.16
née de la théorie de l’agence où toutes les incitations sont concentrées
.99
05
2:1
pour obtenir le meilleur des dirigeants et des employés. Enron qui explose
78
38
parce que cette incitation à la performance conduit les dirigeants dans une
88
0:8
situation où ils ne peuvent plus qu’alimenter la fuite en avant sous peine
33
96
44
de s’effondrer sous le poids des attentes qu’ils ont générées. Et Lehman
:84
ue
3. La tétranormalisation
Mais la conformité se heurte aussi à d’autres limites. Non seulement elle
ne garantit pas la réelle maîtrise des risques, mais elle se trouve confron-
tée à son impossibilité. La conformité parfaite est impossible parce que les
entreprises sont confrontées à une multitude de normes qui ne sont pas né-
cessairement convergentes et qui imposent aux décideurs des arbitrages
entre les normes à respecter et celles à ignorer ou à enfreindre.
3. L
es mécanismes incitatifs qui sont liés à la fonction de normalisation (les rémuné-
rations, le prestige lié à la participation à des organes de normalisation) constituent
également de puissants facteurs conduisant à une prolifération normative toujours
plus rapide.
211
Conclusion
2
33
52
contradictoires avec les exigences internationales ou avec les exigences de
93
50
leur territoire d’origine.
7:1
.21
.16
La tétranormalisation est la prise en compte de ces conflits de normes
.99
et la recherche d’une solution pour dénouer des conflits apparemment inso-
05
2:1
lubles. Le contrôle interne et l’audit, en croyant imposer un système uni-
78
38
88
versel qui permettrait d’appréhender le risque et de le contrôler, créent
0:8
33
de nouveaux conflits normatifs. Cela est particulièrement visible dans cer-
96
44
tains domaines d’activités tels le secteur financier où, d’une part les éta-
:84
ue
212
Conclusion
2
activités de l’entreprise. L’objectif de l’audit n’est pas la conformité, mais
33
52
93
l’image fidèle, ce que les normes IAS avaient mis en évidence en acceptant
50
7:1
qu’une entreprise puisse s’éloigner d’une norme comptable quand cela per-
.21
.16
mettait d’obtenir une meilleure représentation de la réalité des opérations.
.99
Il est regrettable que l’évolution des IFRS vers toujours plus de technicité
05
2:1
ait conduit à privilégier la conformité sur l’image fidèle et la focalisation sur
78
38
88
l’exigence de comparabilité internationale au détriment de la pertinence de
0:8
33
l’information pour les parties prenantes locales et territorialisées.
96
44
:84
des parties prenantes dans des territoires ayant des histoires, des cultures
ure
et des coutumes parfois fort distinctes. Cela exige donc d’accepter que les
rie
pé
Su
213
Index
2
33
52
93
50
Index des auteurs, des cas d’entreprises, ou
7:1
.21
.16
.99
des personnes, cités
05
2:1
78
38
88
0:8
33
96
44
:84
ue
A D
nq
Ba
de
ure
Aoki 26
Su
Axelrod 23
:E
Demsetz 20
om
Azoulay-Bismuth 178
x.c
vo
lar
ho
E
.sc
B
w
ww
H
C
Heidegger 21
Cappelletti, Pigé et Zardet 215
Charreaux 205, 206
Coase 20, 40
J
Crozier et Friedberg 29, 182 Jensen et Meckling 106, 205
2
33
Madoff 149
52
Tocqueville 201
93
Mauss 23
50
7:1
.21
Miledi et Pigé 75
V
.16
.99
05
2:1
P Viet Ha, Cam et Pigé 198
78
38
88
Parmalat 149
0:8
W
33
96
Pigé 54, 75, 111, 149, 166, 177, 179, :84
44
198, 207 Williamson 41
ue
nq
215
ww
w.sc
ho
216
lar
vo
x.c
om
:E
co
le
Su
pé
rie
ure
de
Ba
nq
ue
:84
44
96
33
0:8
88
38
78
2:1
05
.99
.16
.21
7:1
50
93
52
33
2
Index...