Ce qui se conçoit facilement s’énonce clairement et les mots pour le dire viennent aisément. A l’inverse, les confusions linguistiques entraînent des difficultés de gestion. C’est bien là un des principaux obstacles du contrôle interne.
Sur le plan sémantique, nous utilisons en effet le terme « contrôle » pour désigner trois types d’activité totalement différents, à savoir:
- L’inspection (le « contrôle » ou « les contrôles internes » comme parfois nommé) par un vérificateur de la conformité d’une action ou d’une activité;
- La maîtrise d’une activité ou d’un processus par le management: on dira d’un processus maitrisé qu’il est « sous contrôle »;
- L’évaluation par un auditeur du niveau de maîtrise assuré par le management.
Ces trois activités nommées « contrôle » sont bien connues dans la plupart des entreprises, mais c’est la deuxième, celle de la « maîtrise » des activités qui représente à la fois le plus grand défi et la plus grande source de plus-value. C’est aussi celle qui est promue par ICIB, l’association du contrôle interne, et qui est visée par la plupart des référentiels de gouvernance d’entreprise.
Meilleure qualité
La confusion linguistique entraine dans la pratique trois dérives majeures. La première consiste à confondre « contrôle interne » et « inspection ». Le référentiel COSO (référentiel international du contrôle interne et de la gestion des risques d’entreprise) définit l’objectif du contrôle interne comme « Fournir une assurance raisonnable quant à la réalisation des objectifs de l’entreprise ». Cette définition découle du besoin des entreprises de travailler leur « capital confiance » auprès de leurs parties prenantes (clients, actionnaires, personnel,…). Ceci suppose bien plus qu’une action « d’inspection ».
En amont de l’inspection il est nécessaire que chaque collaborateur dans l’entreprise maîtrise les risques liés à ses activités et que le management mette en œuvre toutes les conditions pour disposer d’un environnement approprié et porteur et d’un processus coordonné de communication, d’évaluation et d’amélioration constante de la maîtrise. Correctement appliquée, la pratique du contrôle interne devrait davantage contribuer à une meilleure qualité, voire à l’élimination des procédures et inspections devenues trop couteuses ou obsolètes. On remarquera qu’il est habituellement plus facile d’ajouter des nouvelles actions de maîtrise que de prendre la responsabilité d’en supprimer, cette dernière action nécessitant une analyse plus approfondie des risques encourus.
L’arrêté royal du 17/08/2007 relatif au système de contrôle interne dans certains services du pouvoir exécutif fédéral, précise également que « le mot ‘contrôle’ ayant, en français comme en néerlandais, deux acceptions possibles,… il y a lieu de le comprendre dans son sens de maîtrise… » et qu’il ne s’agit donc certainement pas d’une couche de procédures et d’actions « d’inspection » supplémentaire et potentiellement contre-productive. Ainsi définie, le contrôle interne se rapproche bien mieux de son origine sémantique anglophone « to control » qui signifie en effet davantage « maîtriser » que « contrôler ». On peut regretter à ce niveau que nous n’ayons pas (encore) adopté dans la langue française la terminologie plus appropriée de « maîtrise d’activités » et que, de ce fait, le « contrôle interne » soit quelque fois perçu comme le « vilain petit canard » des pratiques managériales…
Dispositif structuré
La deuxième dérive est liée à la confusion entre le contrôle interne et l’audit. La maîtrise des activités constitue une responsabilité majeure du management et de l’ensemble du personnel. L’auditeur effectuera une évaluation indépendante de la qualité du contrôle interne mis en place par le management et contribuera ainsi à l’assurance fournie aux parties prenantes. A défaut de disposer d’un processus de contrôle interne à évaluer, l’auditeur devra se limiter à l’inspection de l’application des procédures en place ou de devoir lui-même développer les initiatives de maîtrise des risques, ce qui entamera bien évidemment l’indépendance propre à la fonction d’auditeur. En effet, si le contrôle interne est un processus, l’audit interne est une fonction. On constate cependant que dans bon nombre d’entreprises le recrutement d’un auditeur interne précède la mise en place d’un dispositif structuré de la gestion des risques et du contrôle interne. Bien que contraire à la bonne pratique, cette démarche intermédiaire permettra au moins de stimuler le démarrage d’un projet de mise en œuvre du contrôle interne.
« Chacun dans l’organisation est supposé être le contrôleur interne de son propre processus. »
Une troisième confusion, liée à la première, se situe au niveau des objectifs poursuivis par le contrôle interne. Poussé par certaines lois (telle que la loi Sarbanes Oxley) et exigences des actionnaires, certaines sociétés limitent l’étendue du contrôle interne à l’inspection des seules processus financiers de l’établissement des rapports annuels. Une assurance raisonnable doit cependant être fournie par rapport à l’ensemble des objectifs, qu’ils soient de nature stratégique, opérationnel, de conformité ou de reporting. Une société peut en effet parfaitement maîtriser son processus de l’établissement des rapports annuels, mais courir droit à la faillite ou rester en infraction par rapport aux lois fiscales, sociales ou autre, ou encore de ne pas avoir un regard critique sur les moyens et méthode mis en œuvre pour atteindre les objectifs opérationnels. Aussi , il a été démontré que, afin d’obtenir un degré de maîtrise suffisant du processus de reporting, une société devra nécessairement maîtriser ses processus en amont du reporting. Comment peut-on en effet garantir l’exactitude du chiffre d’affaires publié sans maitriser l’ensemble du processus de ventes et de la réception des offres?
Sécurité active
La mise en œuvre d’un dispositif de maîtrise interne ne doit pas être livrée à l’improvisation. Si chacun dans l’organisation est supposé être le contrôleur interne de son propre processus, il importe qu’un (ou plusieurs) coordinateur(s) du contrôle interne soit désigné et que cette personne bénéficie des formations et de l’accompagnement professionnel nécessaire. Il existe actuellement de nombreux programmes de formation dans ces matières et l’association du contrôle interne ICIB offre depuis peu la possibilité d’obtenir une certification professionnelle et internationalement reconnue (CICS, Certified Internal Control Specialist, et CICP, Certified Internal Control Professional).
Si la maîtrise est essentielle au succès voire à la survie de l’entreprise, il n’est pas étonnant de constater que les parties prenantes de l’entreprise s’y intéressent. Les assureurs s’intéressent depuis toujours à la qualité de certains processus de maîtrise des risques majeurs tels que la destruction d’une usine par l’incendie. Poussé par une modélisation accrue de la gestion des crédits, Il est probable que les banquiers s’intéresseront à l’avenir davantage à la qualité de la gestion des risques par l’entreprise cliente. Les modèles internes des banques intègrent actuellement essentiellement des éléments financiers de l’entreprise et des données économiques et sectorielles. Les éléments plus subjectifs relatifs à la qualité de la maîtrise des opérations y sont quelque fois négligés.
On pourrait faire une comparaison avec les éléments de la sécurité routière: il ne suffit pas de connaître la sécurité passive du véhicule (la carrosserie, les fonds propres, le cash-flow généré) et le chemin à parcourir (la route sinueuse et les embuches, le marché et la position concurrentielle de l’entreprise), aussi faut-il tenir compte de la sécurité active du véhicule (freins, ABS, le conducteur, la maîtrise des opérations). Cette dimension de sécurité active devrait être prédominante dans l’analyse de crédit. Ne dit-on pas qu’il vaut mieux investir dans une bonne société active dans un mauvais secteur que dans une mauvaise société dans un bon secteur? Les partenaires financiers pourront s’appuyer sur une évaluation du dispositif de contrôle interne pour peaufiner leur jugement.
Contrôle Interne, évitons les confusions!