Négliger le contrôle interne s’avère très préjudiciable. Instaurer des lois en ce sens revêt divers avantages. Il restaure la confiance des investisseurs en offrant un nouveau cadre réglementaire durcissant les règles auxquelles les opérateurs sont soumis. Cela suppose un changement dans la manière dont les entreprises gèrent leurs risques et communiquent avec leurs actionnaires. Aujourd’hui, il apparaît évident que le DAF est le responsable de la production financière. Il sécurise la transparence du reporting par des audits extensifs et il communique les risques majeurs de l’entreprise. Cette représentation du DAF est en danger.

Dans une approche anglo-saxonne, le risque, au centre du contrôle interne, est l’affaire de tous les collaborateurs. Le contrôle interne s’apparente à un ensemble de dispositifs rationnels qui recherchent une assurance raisonnable quant à l’atteinte de quatre grands objectifs : l’amélioration des performances, la sauvegarde des actifs de l’entreprise, la fiabilité des comptes annuels et la conformité aux lois. On associe souvent le contrôle interne à l’idée d’une charge réglementaire imposée qui grève le compte de résultat. Il est vrai que diverses études montrent les effets pervers des lois sur le contrôle interne : coûts excessifs de la démarche, baisse des introductions en Bourse et des dépenses de recherche et développement, destruction de l’esprit entrepreneurial, etc. Peu d’expériences démontrent l’effet positif de la transparence accrue de la communication financière, d’une meilleure prise de décision managériale et d’une meilleure gestion des risques. Pourtant, des opérations et processus transverses mieux maîtrisés améliorent l’appréciation des risques, la productivité et la performance à long terme. Ces lois proposent un compromis entre coûts de conformité élevés et fraudes, estimées à 9 000 milliards de dollars par an, ou faillites. D’autres études révèlent que les investisseurs privilégient les entreprises dont le contrôle interne est efficace. Ainsi, la capitalisation des sociétés ayant un contrôle interne fiable a augmenté de 26 à 28 % entre 2004 et 2006. Un contrôle interne efficient valorise la capitalisation boursière de l’entreprise et le retour sur investissement (ROI) de l’actionnaire. Pendant une phase de due diligence, une revue du contrôle interne de la cible permet de connaître très précisément les risques de l’entreprise et le plan d’action à mettre en place. La question est de savoir si le contrôle interne est perçu comme un vecteur d’efficacité dans l’organisation.

 

Un caractère stratégique

Traditionnellement dirigé par la finance, le contrôle interne est aujourd’hui piloté par la direction générale (DG), preuve de son caractère stratégique. Le directeur général dispose d’un gain substantiel en appréhendant le contrôle interne comme un facteur clé de sa stratégie. Les gains de productivité nécessaires et les exigences accrues en matière d’efficacité font des contrôleurs des conseillers privilégiés auprès de la DG ; celle-ci peut fournir à l’actionnaire une assurance raisonnable sur sa capacité à gérer les risques. Aujourd’hui, les entreprises font face à une occurrence de risques plus fréquente. La multiplication des opérations de fusions-acquisitions, d’alliances, d’externalisation et des innovations technologiques complexifient leurs structures. Celles qui démontrent de manière systématique une gestion rigoureuse du risque s’assurent d’une meilleure performance, induisant une augmentation de la valeur de l’entreprise et un avantage concurrentiel à long terme. Les plus grandes entreprises du monde investissent massivement dans leurs structures fondamentales de contrôle (audit interne et risk management). Le contrôle interne participe à la conduite du changement, harmonise les procédures lors de fusions, renforce la surveillance des risques et la maîtrise des processus. De nouveaux outils de pilotage améliorent le dispositif d’évaluation des risques et sont une aide à la prise de décision autour des éléments suivants : la gestion du risque dans l’entreprise ; la sécurisation du modèle ; la maîtrise des processus opérationnels, administratifs, financiers.

 

Trois risques à saisir comme une opportunité d’évolution

L’audit interne et le risk management sont donc les clés du succès du contrôle interne. Il appartient à la direction générale de faire fonctionner ces structures ensemble pour en faire un outil d’amélioration opérationnelle. Le contrôle interne peut apporter un bénéfice supérieur au coût de sa mise en place et de sa maintenance. Trois grands risques mettent en péril l’organisation, mais peuvent être une opportunité de création de valeur.

La réglementation complexifie la situation des sociétés. Réglementations et jurisprudences, tant françaises qu’internationales, sont en perpétuelle évolution à un rythme croissant. Pourtant, le risque de conformité et le changement de législation ne constituent pas un problème majeur aux yeux des sociétés s’ils sont bien anticipés et gérés de manière permanente. Cette mise en conformité développe l’agilité et la réactivité des entreprises ; les directions générales y voient là un outil potentiel de compétitivité et de différenciation stratégique.

Le risque informatique est mal contrôlé par l’entreprise. Les actionnaires savent que les systèmes d’information (SI) représentent un danger majeur dans la continuité de l’exploitation. Il existe une réelle sensibilité aux risques relatifs aux SI, mais aussi un manque saillant de moyens pour assurer la maîtrise de ce risque. Les entreprises, conscientes du caractère stratégique de l’audit informatique, y attachent donc une importance grandissante, malgré de nombreuses imperfections. Bien souvent, le plan d’audit ne couvre pas tous les risques informatiques, le contrôle des systèmes s’avère défaillant, l’architecture des SI est sous-optimale et l’audit est piloté par les techniciens des systèmes, plutôt que par les auditeurs formés aux SI. La chaîne de valeur des SI présente donc le plus fort potentiel de rationalisation et de création de valeur.

Le risque de détournement d’actifs devient central. La prévention, la dissuasion et la détection sont les clés d’un système réussi. Le détournement d’actifs (détournement de fonds, manipulation comptable, délit d’initié, vols de brevets) implique des conséquences importantes en termes financiers et de réputation. Les lois sur le contrôle interne font baisser la criminalité en col blanc, mais elles ne changent pas la moralité des managers, à l’origine de 55 % des fraudes. Des applications informatiques efficaces, des tests manuels et automatiques, un management qui donne l’exemple et une prévention en amont par un programme de sensibilisation du personnel, permettent d’assurer une protection efficiente contre la fraude.

 

L’opérationnel, grand gagnant des processus mis en œuvre

Le contrôle interne produit une valeur opérationnelle pour l’entreprise. Pourtant il est encore trop souvent perçu comme un facteur de coûts et non comme un moyen d’améliorer les performances. L’opérationnel s’avère être le grand gagnant des processus mis en œuvre. Le contrôle interne, s’il est régulier et correctement exécuté, permet de mieux assurer la capacité d’exécution de l’entreprise. Cela passe par une meilleure connaissance opérationnelle, une homogénéisation continue des processus transverses, une grande sensibilité aux risques, une redéfinition des activités, des intégrations post-acquisition réussies et un personnel mobilisé autour du contrôle interne (cf. « Trois exemples de mise en application du contrôle interne »). Les lois sur le contrôle interne – très critiquées – offrent une opportunité de revoir en profondeur le fonctionnement des activités. Il appartient alors à la direction générale d’intensifier ses investissements dans ce dispositif, de lancer des programmes de productivité et de transformation de son entreprise.

 

Trois exemples de mise en application du contrôle interne

Un spécialiste informatique, coté à la Bourse de Paris et en forte croissance, s’est développé plus rapidement en passant d’une culture start-up à une culture groupe et d’une tradition orale à des opérations écrites. Il a utilisé la documentation des processus pour mieux connaître ses activités opérationnelles et a développé une campagne de communication interne insistant sur ses métiers et ses procédures.

Un géant de l’agroalimentaire, en réorganisant ses processus stratégiques autour de meilleures pratiques, a renforcé l’agilité de l’organisation et augmenté sa productivité. Alors en forte croissance externe, il a restructuré son informatique, s’alourdissant à chaque intégration, développé les interactions entre les fonctions et standardisé les méthodes de facturation. Cela l’a rendu beaucoup plus réactif.

Un grand acteur de l’assurance a généré des gains de productivité en convergeant le pôle des normes Sarbanes-Oxley et celui des normes Iso en une seule équipe responsable de dessiner, de certifier et d’implémenter de nouveaux processus communs. En forte croissance interne, cet assureur a accéléré la rationalisation de ses activités financières, en réduisant le nombre de procédures ad hoc de 100 à seulement 3 pour le groupe entier.

 

Ce post est une reproduction (partielle) d’un article publié dans la revue échanges datée de juin 2009.

Cet article a été publié sur Vox-Fi le 6 décembre 2011.