Vous êtes sur la page 1sur 8

GESTION DES RISQUES ET CONTRÔLE INTERNE, UNE

RECONNAISSANCE DONNÉE PAR LA LOI SUR LA


SÉCURITÉ FINANCIÈRE

par Thierry Colatrella,


Associé de KPMG – Audit

Je vais tenter de vous résumer le point de vue de l’auditeur en y mettant une pointe d’actualité
puisque j’aimerais vous montrer comment une loi qui n’est encore qu’en projet, la loi sur la
sécurité financière, risque de bouleverser les habitudes en matière de contrôle interne et de
risk-management. Cela me paraît très important lorsque l’on parle de risk-management
puisqu’en France, jusque là, on n’avait pas d’obligation en la matière hormis dans le domaine
bancaire, comme le signalait Jean-François Casta, avec l’application de la 97-02 et les
entreprises ne faisaient pas grand chose. Je parle des entreprises franco-françaises puisque les
filiales de sociétés étrangères étaient conduites à appliquer un certain nombre de dispositions
en matière de gestion des risques, mais il y avait peu de sociétés françaises qui faisaient des
choses et qui les faisaient bien, comme Danone, qui était véritablement un précurseur.
De plus, un point important de ce projet de loi, c’est que le contrôle interne n’était pas
quelque chose d’aussi obligatoire dans les entreprises. Or, du point de vue de l’auditeur, dans
son rôle légal de commissaire aux comptes, il pouvait être amené à certifier les comptes d’une
entreprise sans s’appuyer sur le contrôle interne. S’il avait d’autres moyens d’obtenir des
éléments probants qui lui permettaient de certifier que les comptes étaient réguliers, sincères,
donnaient une image fidèle des opérations, du résultat, etc. il pouvait le faire. Désormais, les
choses sont différentes, le contrôle interne prend une place tout à fait importante dans ce
contexte. Et pour moi, la notion de contrôle interne est intimement liée à la gestion des risques
car, si on met en place un contrôle, c’est qu’il y a des risques, s’il y a des risques et qu’on ne
met pas en place un contrôle, c’est qu’il y a un problème…

Nous allons parcourir les principales dispositions du projet de loi, revenir sur quelques
définitions de contrôle interne. Nous parlerons d’un cadre de contrôle interne : qu’est-ce
qu’un contrôle interne et comment peut-on demander aux entreprises d’avoir un contrôle
interne fort et communiquer sur ce contrôle interne à ses actionnaires et à ses stakeholders. Je
parcourrai une approche pour gérer les risques, moins détaillée que celle de Thierry Van
Santen, mais un peu plus générale. Je proposerai une approche originale pour permettre aux
dirigeants d’avoir une opinion sur la qualité du contrôle interne lorsque l’on se trouve dans
des entreprises, des groupes où il y a plusieurs filiales. Lorsque le président d’une grande
structure doit certifier le contrôle interne d’une de ses filiales multiples qui se trouve à l’autre
bout du monde, il faut tout de même qu’il arrive à avoir une certaine certitude… Comment
arrive-t-il à le faire ? Et, à travers la démarche de l’auto-évaluation du contrôle interne, je
vous présenterai quelques moyens. J’évoquerai aussi la cartographie des risques et, en
l’absence d’Isabelle Brink, je vous parlerai de délégation de pouvoirs.

1. La loi sur la sécurité financière

Commençons par quelques mots sur le projet de loi. Il est intervenu à une période de troubles
financiers. Il fait suite à des faillites retentissantes dont nous avons déjà entendu parler et il
vient faire le contrepoids français à la loi Sarbanes-Oxley qui est applicable aux Etats-Unis
pour les sociétés cotées. Ce projet a déjà été adopté par le Sénat le 20 mars. Il est passé en
première lecture à l’Assemblée Nationale et il devrait être voté de façon définitive avant l’été.
Il est prévu que ce texte soit applicable sans décret, c’est-à-dire, qu’il soit d’application
immédiate. En d’autres termes, pour les entreprises qui vont clôturer leurs comptes en 2003,
les dispositions de ce texte vont être applicables immédiatement. Nous allons en voir les
principales.
Deux articles vont nous intéresser dans ce texte vaste qui couvre de nombreux sujets : ce sont
ceux qui touchent au contrôle interne et au thème d’aujourd’hui, à savoir la gestion des
risques. Le premier article important, l’article 76, prévoit que le président du conseil
d’administration ou du conseil de surveillance rend compte dans un rapport joint au rapport
annuel de trois domaines particuliers. Il doit rendre compte, d’une part, des conditions de
préparation et d’organisation des travaux du conseil. En d’autres termes, que fait le conseil
d’administration pour accomplir sa tâche ? Je vous rappelle à ce sujet que la loi NRE du 15
mai 2001 a reprécisé le rôle du conseil d’administration qui est, d’une part, de fixer la
stratégie de l’entreprise et, d’autre part, d’en assurer le contrôle. Ce n’est pas simplement
l’apanage du président de fixer la stratégie de l’entreprise. Les textes sont clairs en la matière.
Ce qui n’était pas clair, c’est comment cela se faisait. Là, grâce à cette loi, les présidents vont
devoir expliquer et rendre compte de la manière dont ils s’organisent. Un deuxième élément
qui va devoir figurer dans le rapport, ce sont les procédures de contrôle interne qui ont été
mises en place par la société. Il s’agit là d’une appréciation, à l’instar de ce que Sarbanes-
Oxley requiert pour les sociétés enregistrées aux Etats-Unis, et de dire si le contrôle interne
est efficace. On ne parle pas du contrôle interne qui couvre tous les domaines de l’entreprise
mais du contrôle interne financier qui porte seulement sur le reporting financier. Donc, a
priori, seraient exclus des thèmes comme celui de l’environnement. Devraient également
figurer des restrictions apportées, le cas échéant, aux pouvoirs du directeur général.
A ce jour, le projet de loi traite les SA 1 à directoire et à conseil d’administration. La SAS2
n’est pas évoquée, la notion de Groupe non plus. Or, dans les Groupes, on a créé beaucoup de
SAS pour simplifier les choses, c’est dans les Groupes que se posent le plus de problèmes ou,
en tous cas, c’est là qu’il y a l’actionnariat le plus large et c’est donc là qu’il y a des
actionnaires à renseigner. Il semblerait que le problème du Groupe soit aujourd’hui traité. Des
amendements ont aussi été déposés pour savoir s’il s’agissait de l’ensemble des SA ou s’il y
avait des seuils qui devaient être appliqués. Sarbanes-Oxley s’adresse aux sociétés cotées. La
loi sur la sécurité financière s’adresse à l’ensemble des SA. Les amendements sont de deux
ordres : d’une part, limiter l’application du texte aux sociétés cotées et d’autre part, la limiter
aux sociétés qui établissent des comptes consolidés, c’est-à-dire les sociétés qui ont un total
de bilan de plus de 100 millions (FF), un chiffre d’affaires de plus de 100 millions (FF) et
plus de 50 salariés. Voilà sur quoi porterait cet article 76, ce qui apporte quelques
éclaircissements sur les procédures de contrôle interne au sein de l’entreprise.

Il y a un deuxième article intéressant, l’article 78, qui implique le commissaire aux comptes.
Le commissaire aux comptes va devoir lui aussi émettre un rapport sur la qualité du contrôle
interne et notamment sur le rapport que le président de la SA ou du Groupe aura lui-même
émis. Il y a eu des débats pour savoir si le commissaire aux comptes devait faire un rapport
séparé de son rapport général et de son rapport spécial. Aujourd’hui, cela est clair, il s’agira
d’une annexe supplémentaire du rapport général. Ce qui est intéressant, c’est que, comme le
rapport général est déposé au greffe du tribunal de commerce et que les tiers peuvent en avoir
connaissance, les entreprises vont devoir communiquer publiquement sur le contrôle interne.

1 Sociétés Anonymes
2 Société par Actions Simplifiée
2. Le contrôle interne et la gestion des risques

2. 1. La pyramide du COSO

Finalement, qu’entend-on par contrôle interne ? Il y a des définitions diverses et variées. Le


plus simple est de retenir une définition internationale : celle du COSO (Committee Of
Sponsoring Organisation of the tradeway commission), commission créée aux Etats-Unis
dans les années quatre-vingts pour débattre des problèmes liés à la fraude. Il s’est avéré que,
parmi les facteurs susceptibles d’accroître la fraude dans les entreprises, un contrôle interne
déficient était un facteur principal. Un rapport à été publié dans les années quatre-vingt-dix
qui expliquait comment un cadre de contrôle interne fiable pouvait être mis en place.
Le contrôle interne a été défini comme un processus collectif mis en place par la direction et
les salariés de l’entreprise, qui est destiné à fournir une assurance raisonnable quant à la
réalisation des objectifs suivants : la réalisation et l’optimisation des opérations, la fiabilité
des informations financières et la conformité aux lois et règlements. Quand le commissaire
aux comptes certifie les comptes, il certifie la fiabilité et la régularité des comptes, mais cela
était séparé pour les Américains.
Finalement, les principaux problèmes qui peuvent survenir dans les entreprises ne sont pas
forcément dans les opérations routinières. Dans le cas de la chaîne de facturation ou des
ventes, s’il y avait une problème particulier, il serait mis en évidence de façon très rapide, de
par la fréquence des opérations et des montants importants auxquels on arriverait et qui
seraient détectés par le contrôle de gestion ou des indicateurs de performance divers et variés.
Bien souvent, les problèmes sont au niveau des directions générales, au niveau du
gouvernement de l’entreprise, au niveau de l’indépendance et de la compétence des
administrateurs. Je ne suis pas sûr que le projet de loi sur la sécurité financière touche à ce
point là. Son mérite, c’est d’éviter aux personnes les plus nombreuses dans l’entreprise et
peut-être les plus honnêtes, la tentation d’avoir quelques égarements.
Si on parle de contrôle interne, pour pouvoir dire qu’il est bon, il faut pouvoir fixer ce
contrôle par rapport à un cadre. Il existe un cadre reconnu, celui du COSO. Il a été sponsorisé
par l’IIA (Institut International des Auditeurs) et repris en France par l’IFACI. Il est intégré
dans la loi comptable américaine et peut-être bientôt par la loi française. La Compagnie
Nationale des Commissaires aux Comptes travaille aussi pour pouvoir intégrer le COSO ou
sponsoriser le COSO dans ses travaux.
Pour qu’il y ait un bon système de contrôle interne dans l’entreprise, il faut au moins cinq
composantes. Le COSO est représenté sous forme de pyramide. La première composante, la
base, est l’environnement de contrôle. C’est ce qui donne le ton de l’entreprise en matière de
contrôle interne. C’est la sensibilité que peuvent avoir les dirigeants au contrôle interne et la
façon dont ils insufflent cette sensibilité à tous les niveaux de l’entreprise. Si vous avez des
dirigeants qui ne sont pas intéressés par le contrôle interne et ne font rien pour le promouvoir,
vous pouvez avoir les meilleurs systèmes possibles dans l’entreprise : cela ne marchera pas.
Une fois qu’on a un environnement de contrôle favorable, on peut mettre en place la gestion
des risques car on ne peut conduire un business que lorsqu’on a bien sûr un business plan qui
définit des objectifs mais aussi lorsqu’on a évalué les risques qui peuvent atteindre ces
objectifs. Il existe des risques stratégiques, des risques opérationnels : ils doivent être évalués.
Je reviendrai sur la méthodologie que nous appliquons et qui est assez standard pour identifier
et évaluer les risques.
Une fois que les risques ont été évalués, il faut qu’il y ait des contrôles de manière à permettre
de ramener le risque évalué à un niveau acceptable. On parle de risque résiduel. Toute la
question est alors de savoir si on accepte le risque à travers la cartographie.
Les activités de contrôle et de gestion des risques se font à travers des systèmes d’information
et de communication (parallèles à la pyramide). Pour la partie systèmes d’information, il
s’agit de tous les systèmes informatiques de l’entreprise qui vont traiter l’information. Pour
les systèmes de communication, on se pose la question suivante : l’information pertinente va-
t-elle aux personnes qui ont du pouvoir pour gérer les problèmes et les risques ?
La cinquième composante de la pyramide est le monitoring ou pilotage. L’entreprise est-elle
sous contrôle en termes de gestion des risques et de contrôle interne ? A cet effet, nous allons
évoquer l’auto-évaluation du contrôle interne qui est un des outils de pilotage que l’on peut
utiliser. Cet élément de pilotage est fondamental, notamment dans le cas d’entreprises
multisites : pour pouvoir certifier que le contrôle est bon, il faut que l’information parvienne
en temps réel et qu’on ait une évaluation de la qualité du contrôle interne. Le COSO
s’applique à tous les niveaux des secteurs d’activité de l’entreprise, au niveau corporate et on
peut avoir une vison consolidée de la qualité du contrôle interne qui permette de certifier que
le système de contrôle interne est fiable et permet de donner aux actionnaires et aux parties
prenantes toutes les garanties.
2.2. Une approche pour pouvoir gérer les risques

Que faut-il faire pour mettre en place un bon système de risk-management ? Il y a quatre
grandes étapes. La première est l’étape d’identification. Quels sont les risques qui menacent
les opérations ? Pour pouvoir répondre, nous utilisons des modèles par type d’activités,
enrichis sur un plan mondial, qui permettent d’avoir une idée des principaux risques qu’une
activité peut rencontrer. Tout cela est complété par des entretiens avec les personnes clés de
l’entreprise et les responsables des différentes entités. Une fois les risques identifiés et un
univers de risques constitué, il va falloir les évaluer.
Il existe une méthode d’évaluation selon deux critères : d’une part, la probabilité de
survenance et d’autre part, la gravité ou impact financier. Cependant, tous les risques ne se
mesurent pas avec un impact financier comme les risques intangibles pour lesquels il est
extrêmement difficile d’avoir une idée de l’impact financier, mais la démarche permet de
réfléchir sur l’impact que pourrait avoir le risque s’il venait à se réaliser. Généralement, cette
évaluation est faite à deux niveaux : d’abord au niveau du risque brut, indépendamment du
contrôle interne, puis, au regard de la façon dont le contrôle interne va atténuer le risque de
l’entreprise. Cela présuppose que le risque ait déjà été identifié dans l’entreprise et qu’il soit
déjà géré. Parfois, le contrôle interne peut être trop fort par rapport aux enjeux et engage des
ressources pour des contrôles qui ne sont pas nécessaires. L’intérêt de cette démarche est de
reprendre les ressources affectées en sur-contrôle pour pouvoir les attribuer à d’autres risques.
Cela permet aussi, lorsqu’il n’y a pas de contrôle en place, de réfléchir à la manière dont on
va traiter les risques.
La troisième phase est celle des choix stratégiques. Une fois que l’on a cette cartographie, il
faut savoir si on conserve le risque parce que le risque résiduel est acceptable, si on le
transfère en l’assurant ou en externalisant certaines fonctions, si on supprime l’activité
lorsqu’elle est trop risquée. Le choix de l’assurance ne permet pas de se débarrasser de tous
les risques. Les atteintes à l’image ne peuvent pas être couvertes par l’assurance comme dans
le cas du benzène chez Perrier… Une fois la décision prise quant à ce qu’on va faire des
risques, il faut en assurer le reporting et le suivi, en tous cas pour ceux que l’on conserve. Il
faut que les responsables des risques communiquent régulièrement la manière dont les risques
sont suivis afin de s’assurer qu’ils sont sous contrôle. C’est le rôle du comité des risques et du
risk-manager qui aura ensuite à communiquer cette information à sa direction générale ou au
comité d’audit.
2.3. L’auto-évaluation du contrôle interne

Je souhaiterais maintenant vous parler de l’autoévaluation du contrôle interne. Il s’agit d’un


processus qui a environ une dizaine d’années et qui permet au management de confier la
responsabilité du contrôle interne à des opérationnels en leur demandant d’autoévaluer la
qualité des contrôles qui sont en place. L’avantage est que cela évite une fonction d’audit
interne lourde et souvent mal perçue par les opérationnels, ce qui ne favorise pas la notion de
contrôle à l’intérieur de l’entreprise. En revanche, un message intelligent de la direction
générale aux opérationnels affirmant qu’ils sont responsables de leur propre contrôle et qu’ils
vont confirmer, sur une base déclarative, que les principaux contrôles fonctionnent bien, peut
donner de bons résultats. La question reste de savoir si les opérationnels ne vont pas être
tentés de raconter n’importe quoi. En pratique, c’est plus rare que ce que l’on pourrait
imaginer et bien souvent, ce ne sont pas les opérationnels qui court-circuitent le plus le
procédé.

Quels sont les contextes le plus propices à la mise en place d’un contrôle interne ? C’est, déjà,
lorsque l’on souhaite harmoniser les procédures du groupe en cas de croissance externe.
L’auto-évaluation va permettre de voir, pour une entité, comment elle couvre ses principaux
risques. On peut consolider l’ensemble avec une certaine harmonie et sans bouleverser son
fonctionnement. Cela permet d’avoir une vision du contrôle interne du groupe et de tenir
compte des disparités locales. Par exemple, un fabricant de hamburgers m’a demandé
d’intervenir au Maroc en m’envoyant un manuel de procédures très complet et j’ai du
répondre qu’au Maroc, les hamburgers étaient faits mais que les procédures ne
correspondaient pas à ce qui était dans le manuel, ce qui n’était pas forcément mal. L’auto-
évaluation permet d’intégrer cela dès le départ. Cela permet d’identifier les bonnes pratiques
d’évaluation, par exemple lorsque vous apprenez qu’une entité clôture ses comptes en cinq
jours alors que les autres le font en sept ou huit jours.

La valeur ajoutée de l’autoévaluation en terme de contrôle interne est l’appropriation de la


démarche du contrôle interne par les opérationnels : c’est un des points les plus importants
avec la rapidité d’information. Cela permet aussi un meilleurs ciblage des missions d’audit
interne, surtout lorsque vous avez un service d’audit interne limité qui existe en corporate.
L’audit n’interviendra que sur les problèmes à risque, par défaut, plutôt que de faire des audits
rotationnels qui couvriraient l’ensemble.
3. La délégation de pouvoirs

Un point supplémentaire que je souhaiterais évoquer en l’absence d’Isabelle Brink est celui de
la délégation de pouvoirs. La législation française va imposer au directeur financier mais
surtout à son président de s’engager sur la qualité du contrôle interne. Même s’il a des outils
qui lui permettent de faire remonter l’information, il est responsable in fine. Pour pouvoir
limiter sa responsabilité, il est important qu’une véritable délégation de pouvoirs soit mise en
place. Or, souvent, ces délégations de pouvoir sont faites par des avocats, en autarcie, sans
coordination ou sans suffisamment de coordination avec les auditeurs et avec les services
opérationnels de l’entreprise. De notre point de vue, la véritable délégation de pouvoirs
juridique doit être celle qui suit la délégation organisationnelle de l’entreprise. C’est donc
lorsqu’on a procédé, dans un premier temps, à une véritable cartographie des processus de
l’entreprise, de ses métiers, de la manière dont elle fonctionne, que l’on voit qui fait quoi et
que l’on a bien défini les tâches de chacun que l’on peut mettre en place une véritable
délégation de pouvoirs juridique en cascade qui permettra au président et aux directions de
voir leur responsabilité atténuée. Il faut savoir que les juges en tiennent compte. Il y a trois
conditions, sur le plan de la jurisprudence, qui doivent être réunies pour que la délégation soit
reconnue par le juge : il faut que le délégataire ait la compétence, l’autorité et les moyens. Par
exemple, en l’absence de budget suffisant, le juge considérera que la délégation ne peut pas se
faire et que donc, elle est nulle.