Le controle interne
Après avoir défini le contrôle de gestion en guise d'introduction, s'être arrêté sur le système d'information comme base de travail du contrôleur de gestion, continuons avec le contrôle interne. Après cela, la première partie constituant les fondations du contrôle de gestion sera terminée. Nous pourront alors nous ateler à la 2ème partie du contrôle de gestion en se recentrant sur les sources, en particulier la comptabilité et la cible numéro un représentée par le reporting.
Le contrôle interne est un concept un peu savant, un peu trop sérieux et surtout beaucoup trop mystifié. En effet sa seule évocation fait penser à une implication de la Direction et des comptes à rendre à rendre aux sacro-saints et respectés auditeurs. Bref, une atmosphère de crainte et de pression. Pas très positif et encourageant tout ça.
Le contrôle interne est un dispositif mis en œuvre par la direction d'une entreprise pour lui permettre de maîtriser les opérations à risques (c’est-à-dire toutes les opérations, car toutes, par définition, comportent des risques – à plus ou moins grande échelle). Cette première définition prouve, comme le dirait Monsieur Jourdain, que le contrôle interne est partout sans que l’on prenne la peine d’y opposer un quelconque label.
Mais les sociétés n’ont pas attendu la succession de règlements français, européens et internationaux, renforcés par les scandales made in USA des années 90, pour le pratiquer. Sans aller jusqu’aux effets massifs des affaires Enron et autre crises des « sub primes », dont l’origine était encore une fois outre-Atlantique mais largement pratiqué dans des localisations plus familières (l’argent n’ayant ni frontière ni odeur), qui n’a pas entendu parler du jardinier qui passait par la cas(t)e-départ du patron ou des notes de frais colossales sans aucun objet avec l’activité de l’entreprise ?
Autre temps, autre mœurs, désormais on surveille, on communique, on est transparent sous l’égide du contrôle interne et des règles de « Compliance ».
Le contrôle interne effectivement est pratiqué dans les entreprises qui ont une gestion saine, et qui se traduit sous un angle plus générique par le devoir de loyauté du dirigeant. Il était également érigé, fut un temps pas si lointain, que le chef d’entreprise devait gérer ses activités en « bon père de famille », autrement dit avec une prise de risque limitée, mais également en anticipant sur le déclin possible de ses marges ou de son marché, bref en se développant. Ainsi, les quelques exemples qui suivent sont plus issus des devoirs pour ne pas dire des obligations d’un dirigeant, ayant un sens de la gestion éclairé, que d’actions résultant de la mise en place de contrôle interne :
- Faire un budget et mener des actions correctives en cas d’écart ;
- Demander 2 à 3 devis pour des montants significatifs avant d’engager les dépenses
- Respecter le droit social avec ses salariés
- Déposer les comptes selon les règles comptables et fiscales
- Avoir une police d’assurance protégeant les tiers avec lesquels il travaille
- …..
Donc, oui, tout dirigeant a une pratique de contrôle interne sans s’en rendre compte. Alors pourquoi mettre en place le contrôle interne ?
- Quand c’est obligatoire :
Il est demandé au président d’une société cotée d’établir un rapport sur les procédures de contrôle concernant l’élaboration et le traitement des données comptables et financières, lui-même visé par le commissaire aux comptes ;
Pour toute filiale de groupe US, la formalisation de ce rapport est très complète (donc très lourde), selon la loi 404 dite Sarban Oxley (« SOX »), et exige en parallèle un suivi quotidien par un département « Audit Interne », qui coiffe toutes les fonctions opérationnelles (à part la R&D). Comme nous le verrons en « I _ Les dates clés de la constitution du contrôle interne », les terminologies et leur domaine de fonctionnalités ont évolué, mais l’esprit et les principes restent inchangés.
- Quand c’est nécessaire :
Dans quels cas préconiser la mise en place d’un contrôle interne ?
- Toutes les entités
J’ai eu l’expérience d’une personne qui est venu prendre un sandwich à une boulangerie pour laquelle l’entreprise avait un compte, en demandant de le mettre sur le compte de l’entreprise. Ce sandwich était en fait consommé à titre personnel. L’entreprise aurait pu déduire du montant de la facture mensuelle le sandwich en question car il n’y pas eu de demande écrite de sa part. Exemple un peu extrême, mais il a fallu, même pour un sandwich, mettre en place en un contrôle de factures plus rigoureux et l’entreprise a communiqué à la boulangerie la liste des personnes habilités à commander. On voit bien ici que même la boulangerie, à son niveau, a besoin de procédures écrites (la liste des noms des « acheteurs »), représentant les rouages du contrôle interne.
- Les TPE
Dès qu’il y a plus d’un salarié, il faut du contrôle interne. Un gérant peut donner un pouvoir de règlement à un comptable par exemple, mais il (le comptable) ne doit pas être seul à signer, et si lui mêmes (le gérant) les signe, ce qui est probable, il doit exiger les justificatifs en pièce jointe.
- Les entités moyennes et grandes
A partir d’une certaine taille du fait de la compréhensible forme de déshumanisation combinée à la forte spécialisation des différents secteurs et métiers de l’entreprise, le fonctionnement des services ne peut supporter d’être perturbé par le départ d’un employé qui aurait toute « la connaissance ». De même, l’absence de contrôles est d’autant plus préjudiciable dans les grandes structures que, un, les enjeux et objectifs financiers sont prépondérants, deux, du fait du volume de chiffre d’affaires, l’erreur ou omission peut tout de suite avoir un très fort impacte en monnaie sonnante et trébuchante.
- Encore plus aujourd’hui qu’hier :
L’actualité politique va dans ce sens au travers de la loi travail, l’employeur ou les actionnaires cherchent à limiter les risques qu’ils côtoient évidemment tous les jours au travers des activités de l’organisation mais qui ont monté d’un cran du fait de facteurs exogènes, dont nous citerons les trois principaux, d’ailleurs liés entre eux :
Risques les plus importants pour les entreprises
Dans ce contexte loin d’être trop catastrophiste, il est primordial de limiter les risques pour lesquels l’entreprise n’est pas confronté tous les jours certes, mais aux effets dévastateurs voire fatals.
Dans ce contexte loin d’être trop catastrophiste, il est primordial de limiter les risques pour lesquels l’entreprise n’est pas confronté tous les jours certes, mais aux effets dévastateurs voire fatals.
Convaincu de la nécessité d’aborder ce sujet d’une manière pragmatique, nous allons donc nous arrêter, après cette longue mais nécessaire introduction, sur :
- Dates clé de la constitution du contrôle interne
- Définition et schématisation du contrôle interne
- Mise en place du contrôle interne
-
Les dates clé de la constitution du contrôle interne
1-a) De la France aux Etats unis en passant par l’Europe
Depuis 1990, différents noms et modèles de contrôles internes ont été mis à jour, mais le socle reposant sur le contrôle et la maîtrise des risques est finalement inchangé. Si on utlise la terminologie « contrôle interne » en France et norme « SOX » aux US, le terme générique le plus utilisé dans le monde de l’audit est COSO tiré de « Committee of Sponsoring Organizations of the Treadway Commission », qui a élaboré ce référentiel. A noter que le caractère obligatoire de mise en place du contrôle interne est relativement récent (2003) puisque jusqu’à cette date, seuls les établissements de crédit étaient soumis à une législation en matière de contrôle interne. En effet la société toute entière n’était plus disposée à accepter l’opacité qui caractérisait les banques, en particulier en Suisse, depuis tous temps.
1-b) Dates marquantes du contrôle interne dans le monde
On peut voir dans les recommandations précédentes que le contrôle interne est basé sur des consignes qualitatives. Et c’est dans cet esprit qu’il faut l’aborder, même s’il faut avoir conscience que son application stricto sensu, selon le modèle « SOX » en particulier, est particulièrement contraignante et coûteuse de part les personnes qu’il mobilise.
2. Définition et schématisation du contrôle interne
2-a) Quelques définitions
Le contrôle interne permet de valider et de fiabiliser des procédures dans le but d’éviter tout risque de fraude et de s’assurer que les états financiers reflètent la situation économique de la société de manière fidèle
Le contrôle interne st un dispositif contre les risques de toute nature qui pèsent sur une activité : mauvaise exploitation des ressources, investissements injustifiés, manque de protection contre les « accidents de la vie » (d’une entreprise)…
Le contrôle interne est un ensemble de dispositifs mis en œuvre par l'ensemble de l’effectif de tous niveaux pour maîtriser le fonctionnement de leurs activités
Et pourquoi « interne » ?...
Parce que l’organisation est supposée gérer elle-même ce processus, tant dans la mise en place des contrôles permanents que pour la vérification de ces derniers. On « oppose » cette notion à l’audit des comptes opéré par le commissaire aux comptes qui lui est bien externe, exclusivement.
2-b) Schéma
La mise en place du contrôle interne répond à des processus que l’on range dans trois catégories :
- Les opérations
- L’information financière
- La conformité
Tableau schématique présenté par Deloitte
2-c) Le cube
Le COSO représente le contrôle interne sous forme cubique pour montrer l’ensemble des interactions entre processus, responsabilités et organisations :
Version anglo-saxonne
le cube COSO, langue anglaise
Version française
le cube COSO, langue française
Ce schéma, bien que ce soit « un classique », manque de clarté, à première vue et, de surcroît, pour les personnes qui découvrent cette matière. Il est difficile, en effet, de se représenter sur le terrain, le contrôle interne au vu de ce cube.
Néanmoins, on comprend bien que le contrôle interne est sur mesure et dépend de l’entité pour laquelle on travaille, elle-même en relation avec la catégorie de risques propres à chaque fonction
2-d) Avec et sans le contrôle interne
Pour finir la partie définition, un des moyens de se représenter le contrôle interne, est de répondre à la question : quels sont les risques d’une organisation qui ne mettrait pas en place le contrôle interne ?
- Les atouts d'un contrôle interne fort :
– Risques identifiés et maîtrisés ;
– Confiance accrue des investisseurs ;
– Conformité avec la loi et les réglementations ;
– Réduction du risque de perte ;
– Harmonisation / homogénéisation des procédures ;
– Décisions managériales optimisées, prises sur la base d'une information de qualité et mise à jour ;
– Visibilité accrue sur les zones d'inefficacité opérationnelle ;
– Minimisation des décisions dans l’urgence
- Les risques d'un contrôle interne absent ou défaillant :
– Risque de fraude accru ;
– États financiers faux ;
– Impact négatif sur l’image de l’entreprise ;
– Impact négatif sur la valeur actionnariale ;
– Sanctions des régulateurs ;
– Pertes d'actifs ;
– Décisions managériales hasardeuses
3. Mise en place du contrôle interne
3-a) Approche sans audit interne
Deux façons d’envisager la mise en place d’un contrôle interne :
- caractère légal (ou obligatoire) dont sont soumis les sociétés cotées
- caractère facultatif dont toute organisation « doit » s’inspirer.
Les effets sur la mise en place et la façon de faire vivre de contrôle interne sont tout à fait différents.
- Mise en place d’un contrôle interne obligatoire
Il faut bien rappeler que le rapport annuel qui présente le résultat de l’audit du contrôle interne est :
- Emis par le président
- Certifié par les commissaires aux comptes
On comprend donc qu’un audit doit avoir pour comme effet de vérifier que le contrôle interne est efficient soit, mais il est important prendre conscience, comme déjà évoqué, qu’en parallèle un département audit interne doit être mise en place (organisation obligatoire pour les entreprises qui appliquent stricto sensu la méthodologie SOX et COSO).
Ceci sous-entend que ce département a pour seul objectif de faire passer des audits « blanc » aux entités pour les former, mesurer leurs performances et sanctionner (terme non galvodé) avant la validation officielle par les commissaires aux compte ou auditeur externes
En effet, l’auditeur interne sanctionnera les filiales dont les résultats de l’audit montrerait que les procédures et contrôles ne sont pas respectés (même si la défaillance de contrôle n’a eu aucun effet (financier ou non financier) sur l’entreprise ou le département concerné)). Insistons sur le terme sanction dont la portée n’est pas directement légale. Néanmoins l’image interne de la filiale sera tout à fait déteriorée aux yeux du groupe au même titre que si celle-ci n’était pas rentable ou qu’elle avait généré une réclamation préjuciable. La pression sur les filiales est telle qu’il y a un risque que ces dernières ne soient pas transparentes lors des audits, ce qui finalement donnerait un effet inverse aux objectifs recherchés.
- Mise enplace d’un audit interne facultatif
Nous aurons bien compris que l’audit interne tel que défini dans les processus « SOX » ou COSO à des conséquences inverses aux objectifs fixés. L’audit interne est par ailleurs très coûteux car il dédie une ou plusieurs personnes à faire des audits. Néanmoins si l’entreprise a les moyens de cinfier à un département la charge de l’audit interne ou si elle souhaite missionner des ressources pour conduire à la mise en place du contrôle interne et à son accompagnement le temps de sa maturité, pourquoi pas ?
Mais, nous préconiserons pour des raisons de coûts et de d'image (cf. partie précédente), soit aucun audit interne, soit des audits tournants effectués par les personnes du services financier.
Nous n’aborderons pas ici les techniques d’audit interne, destinées à noter la qualité du contrôle interne.
3-b) Les étapes de la mise en place du contrôle interne
La définition du contrôle interne vu plus haut met en avant trois catégories de risques : opérationnel, information financière, réglementaires.
Nous distingerons les catégories suivantes afin qu'elles soient plus en en rapport avec les problématiques de l'entreprise:
| Amélioration/Diminution du Résultat | Responsabilisation des décideurs | Fraude | Fiabilité des données financières | Loi et règlements | Respect de la Politique du Groupe |
- Ces domaines impliquent l’existence de prérequis, cf. 3-c-A) : rôles des personnes définies, système d’information performant, procédures de travail rédigées…. Sans cela les composants qui constituent le contrôle interne ne pourront être mise en place ;
- Une fois que les prérequis et procédures sont en place, on vérifie que l’ensemble des cycles couverts par le contrôle interne y est bien associé (ventes, achats, stock…), cf. III.2.B) Descriptif des processus
- A partir de la cartographie des risques, du type de risque auquel l’entreprise est exposé et des contrôles préconisés à mettre en place (cf. tableaux suivants remplis sur un modèle d’entreprise industrielle classique), l’origanisation devra :
- Ajouter ou modifier les procédures de travail existantes en ajoutant les niveaux de contrôles et d’approbation
- Rédiger et mettre à jour un document de synthèse appeler « matrice des signatures » regroupant la chaîne d’autorisation par sujet et montant
- Décider de la mise en place (ou non) d’un audit interne pour vérifier l’application du contrôle interne.
3-c-A) Prérequis :
A1.Organisation
- Rôle et responsabilités bien définis
- Délégations de pouvoirs clairement définies (sous forme d’un document signé
- Procédures rédigées, archivées et mise à jour
- Séparation des droits (« segregation of duties »)
L’objectif est d’éviter de confier à une même personnes des tâches pour lesquelles elle serait à la fois juge et partie. L’objectif est double :
=> Eviter la fraude
Exemple : une personne créé un compte fournisseur, enregistre elle-même la commande et la facture. On comprend bien qu’il sera aisé pour cette personne de passer par un fournisseur qui ne respecte pas forcément une logique économique. Certes, on pourra s’interroger sur le bienfondé du fournisseur au moment du règlement, mais si le signataire doit régler un virement de 200 fournisseurs, celui-ci pourra sans problème « passer à la trape ». Cela sous-entend que la comptable ne pourra créer le fournisseur (en tout cas seul), ni passer la commande.
Ce principe est loin d’être neutre au niveau de l’articulation des tâches administratives :
- Paramétrage des droits informatique dans le système d’information « ERP », en conséquence
- Augmentation des ressources et montée en compétence (polyvalence);
- Attribution de droits à des personnes qui n’ont pas la compétence car souvent la personne compétente est en « conflit d’intérêt
- Préparation d’un plan d’actions (« mitigated plan ») en cas d’absence des personnes
=> Responsabiliser les personnes
Pour reprendre l’exemple achats, imaginons que le contrôle interne soit absent et que la comptable ait saisi une facture dont le prix est différent de la commande, sans accord au préalable, dans ce cas, il y a perte d’exploitation alors que si l’acheteur doit systématiquement donner son aval en cas d’écart (ce qui doit être la règle), la perte pourrait être évitée.
A.2. Système d’information :
- Explorateur de fichiers (répertoire/sous-répertoire) :
- Harmonisation par département
- Règles de gestion
- Quelles données sont partagées et entre qui ?
- Quels sont les droits de lecture, de modification ?
- Sauvegarde et protection des données
- Procédures
- Données
- Restauration des fichiers
- PCA/PRA (Plan de poursuite ou de reprise d’activité en cas de panne informatique
3-c-B) Déscriptif des processus :
« Walkthrough » en anglais.
B.1.Cycles de processus :
L’ensemble des flux comptables doivent être identifiés. Ils peuvent déclinés en cycles :
- Cycle de ventes
- Cycle d’achats
- Cycle stock
- Cycle comptabilité générale
- Cycle investissements
- Cycle contrôle de gestion
- Cycle cash
- Cycle RH
- Cycle assurance
- Cycle système d’informations
B.2. Cartographie des risques par cycle et catégorie
B.3. Type de risques auquel l’entreprise est confronté par nature de risques et par cycle
Tableau1
Tableau 2
Tableau3
Tableau 4
B.4 Contrôle et validations à mettre en place par nature de risque et par cycle
Tableau 1
Tableau 2
Tableau 3
Tableau 4
B.5. Matrice des autorisations
Exemple1 : un contrat client doit être signé par le DAF, plus le directeur commercial, muni d’un descriptif de marge (« template ») élaboré par le contrôleur de gestion
Exemple2 : un contrat client > 100 K€ doit être signé par le DAF, plus le directeur commercial, plus le DG, muni d’un descriptif de marge (« template ») élaboré par le contrôleur de gestion
Exemple de matrice:
En conclusion, nous retenons:
- qu'il y a plusieurs façons d'aborder le contrôle interne, mais qu'un bonne "gouvernance" est seulement possible quand les risques sont maîtrisés. Les fondamentaux du contrôle interne permettent de limiter les risques ou ses conséquences;
- que le contrôle interne sert en particulier à éviter les fraudes et il ne faut pas oublier que les menaces sont internes, mais surtout externes aux entreprises (Internet...)
- que l'audit interne est indispensable pour les entreprises qui ont obligation de mettre en place le contrôle interne (sociétés cotées)
Lien vers l'intégralité du fichier en pdf, à utilisation personnelle exclusivement.
Toute utilisation à usage collectif doit faire l'objet d'un règlement
Toute utilisation à usage commercial est interdit.
