Contrôle interne : a-t-on appris des erreurs passées ?
Il y a cinq ans, la banque HSBC annonçait qu’elle comptabilisait d’importantes provisions au titre de ses créances titrisées, la crise des subprimes devenait ainsi publique. D’une crise spéculative portant sur des titres complexes, on est rapidement passé à une crise de liquidités interbancaires, puis à la fin de l’été 2008, suite à la faillite retentissante de la banque d’affaires américaine Lehman Brothers, à un véritable krach boursier. Depuis, les usages, les lacunes ou les failles du contrôle interne n’ont cessé d’être dénoncés et font la une de nombreux journaux. L’industrie bancaire la plus en pointe historiquement et réglementairement sur le sujet du contrôle interne est, paradoxalement, celle qui a le plus souffert de ces défaillances. Et symptomatiquement, dans l’affaire Lehman Brothers, un rapport de la justice américaine publié en 2010, a démontré que depuis 2007, la banque masquait son endettement et a accusé les anciens dirigeants de ne pas avoir respecté les réglementations bancaires et comptables américaines, mais également d’avoir sciemment organisé la faiblesse du contrôle interne de la banque.
En quatre ans, la notion de contrôle interne s’est substantiellement modifiée. Dans l’industrie bancaire, un consensus s’est créé pour constater que de sérieuses erreurs avaient été commises dans l’approche et la mise en place du contrôle interne. En réponse, les banques et autres institutions financières ont renforcé leurs départements de contrôle interne et créé de nouveaux organismes de gouvernance, afin d’en renforcer l’indépendance et l’autorité. Ce renouveau de la fonction n’est pas spécifique au monde bancaire et les défaillances d’autres entreprises ont démontré aux instances de management, qu’un contrôle interne faible peut être extrêmement coûteux, non seulement pour l’entreprise, mais aussi pour la carrière du manager lui-même. En conséquence, dans tous les pans de l’économie, les conseils d’administration et les comités d’audit ont ajouté les risques et le contrôle interne à leur agenda. Bien que le contrôle interne connaisse aujourd’hui un fort regain d’attention et jouisse d’une bonne visibilité, cela reste une fonction en transition. Et l’on constate qu’il reste du chemin à parcourir en ce sens.
Un contrôle interne en construction
Le contrôle interne reste une activité immature. Si les dirigeants d’entreprises sont d’accord pour constater que le contrôle interne est un des meilleurs moyens de gérer le risque, ils sont aussi bien conscients que, si les structures actuelles en place dans leurs entités assurent un respect des procédures existantes, leurs organisations rencontrent quelques difficultés quand il s’agit de mettre en place un contrôle interne à même d’identifier les risques à venir ou les risques émergents. Ce constat s’explique en partie par les inerties inhérentes à toute activité encore jeune (en comparaison avec d’autres services d’une entreprise), toujours appréhendée par les opérationnels comme une fonction support, dont s’occupent des t e chni c i ens . L e contrôle interne souffre d’un déficit d’image, il apparaît encore trop souvent comme la réponse mise en place a posteriori par une entreprise, afin que les risques déjà encourus ou identifiés ne surviennent ou ne se reproduisent à nouveau ou encore comme un système organisé autour de la prévention des fraudes. Au mieux, il est souvent perçu comme un outil destiné au top management, lui permettant de s’assurer que ses directives sont effectivement appliquées…
Force est donc de constater que le contrôle interne n’a pas encore gagné la sphère stratégique de l’entreprise. De nos jours, encore bien peu d’entités intègrent dans leur réflexion stratégique des personnalités ayant une culture du contrôle interne. Il apparaît que l’entreprise ne ressent pas le besoin d’enrichir sa réflexion stratégique d’une contribution privilégiant l’adéquation entre risques induits par le développement et vulnérabilité éventuelle des processus et contrôles existants. Selon une étude déjà un peu ancienne1, plus d’une entreprise sur deux avoue que l’implication du contrôle interne dans la réflexion stratégique est à tout le moins formelle… En outre, les contrôleurs internes ont tendance à se concentrer sur leur terrain d’expertise et, selon cette même étude, ils voient leur fonction comme ayant pour principale source de valeur ajoutée la conformité aux procédures ou réglementations (internes ou externes).
De la prévention à l’accompagnement du business. La vision négative du contrôle interne tient à la perception, dans le monde des affaires, selon laquelle imposer des contrôles et déterminer des limites consiste, au mieux à se borner, au pire à se brimer. Passer de la prévention à l’accompagnement implique un changement d’image du contrôle interne, une capacité à communiquer avec les autres services de l’entreprise, en particulier avec les opérationnels et les commerciaux, afin de comprendre leurs objectifs, leurs métiers et leurs contraintes concurrentielles. Il faut que ces services acceptent le contrôle interne, non seulement comme un élément qui les sécurise dans leur gestion des risques, mais aussi comme une fonction qui appréhende les risques, les maîtrise et soutient les objectifs de développement de l’entreprise. Un facteur clé de cette démarche doit être de s’assurer, d’une part que les services de contrôle interne ne s’enferment pas dans un jargon technique spécifique, et d’autre part, que cette communication soit claire et permanente. Par ailleurs, il est essentiel que le contrôle interne maintienne un équilibre entre une approche transverse des risques, la centralisation des procédures et l’adaptabilité nécessaire pour répondre de manière flexible, rapide et efficace aux circonstances particulières qu’impose un environnement concurrentiel caractérisé par la libre circulation des biens et services.
… pour une entreprise plus efficace
Un bon contrôle interne se doit d’être ancré dans l’activité. On pourrait avoir tendance à croire que l’environnement économique a été très favorable au renforcement des fonctions de contrôle interne, au recrutement de spécialistes ou à l’investissement dans ces fonctions. Ce mouvement paraît intuitif, mais peu d’entreprises ont renforcé ces services au cours des deux dernières années. La perception commune que le contrôle interne est un service de back office n’a pas facilité ces mouvements et peut même avoir poussé certaines d’entre elles à externaliser cette activité.
L’efficacité d’un service de contrôle interne tient cependant à sa capacité à coller à l’activité et aux opérationnels de l’entreprise. Cette situation ne peut être obtenue que grâce à une communication interne dynamique et permanente, mais aussi par un effort de formation de l’ensemble des dirigeants et managers de l’entreprise. Ancrer le contrôle interne dans l’entreprise passe par l’appropriation par chaque manager de la gestion des risques des outils de contrôle interne, mis à leur disposition comme un outil quotidien.
Communication et formation sont des préalables indispensables, mais sans responsabilisation, le contrôle interne n’arrivera pas à s’imposer dans l’entreprise comme une valeur ajoutée. Il est donc indispensable, pour qu’un contrôle interne soit efficace, qu’il soit parfaitement intégré par tous les managers de l’entreprise et que ceux-ci intègrent que son non-respect entraînera pour eux des conséquences négatives quant à leur carrière personnelle.
D’un mal sort toujours un bien. Dans le passé, les procédures de contrôle interne avaient trop souvent pour objet de permettre à l’entreprise de prouver sa conformité avec son environnement légal ou réglementaire et servaient de justification a posteriori, au cas où il faudrait fournir des éléments probants dans une négociation ou une procédure, amiable ou non, avec un tiers.
De nos jours, l’environnement économique oblige les entreprises à adopter une approche différente. De plus, il paraît évident que l’efficacité d’un contrôle interne dépend de sa capacité à répondre aux problèmes ou risques existants, mais surtout à anticiper ceux à venir dans un monde en constante évolution. Il faut désormais scénariser un certain nombre d’hypothèses, afin d’imaginer des solutions procédurales répondant aux contraintes stratégiques de l’entreprise, en lui permettant de détecter et sécuriser les éléments sous-jacents de cette stratégie. Le but est connu et la tendance irréversible. Cependant, le défi qui se pose à chaque entreprise est celui de la vitesse avec laquelle elle parviendra à atteindre ce but et comment elle réussira à amener le contrôle interne au niveau opérationnel de l’entreprise.
1.Economist Intelligence Unit, juillet 2010. – plus de références
Cet article est une reproduction d’une contribution originale pour la revue échanges.