Les contrôles internes ou la valeur d’une approche plus vaste axée sur l’entreprise

Les scandales qui ont secoué les grandes entreprises ces dernières années ont entraîné l’adoption d’une foule de lois, de règlements et de normes concernant l’introduction en Bourse. Même si ces nouvelles règles sont venues renforcer des contrôles qui existaient déjà, elles ont relégué au deuxième plan des cadres de contrôle interne fort utiles et d’une plus grande efficacité, tels le COSO, le rapport Turnbull et les critères de contrôle de l’ICCA. Une nouvelle publication de l’IFAC, résumée ci-dessous, remet les pendules à l’heure.

Dans la foulée de plusieurs scandales et faillites de grandes entreprises, la gouvernance d’entreprise et le contrôle interne sont devenus des sujets très pertinents au début du XXIe siècle.

Ces faillites ont mis au jour la nécessité d’accroître la gouvernance d’entreprise, la gestion des risques et le contrôle interne. Les gouvernements et les législateurs, les organismes de réglementation et les normalisateurs ont subi des pressions croissantes pour prendre des mesures visant à éviter que des actionnaires essuient ce genre de pertes dans l’avenir.

Plusieurs lois, règlements et normes concernant l’admission à la cote ont donc été publiés à cet effet, notamment la loi Sarbanes-Oxley de 2002, aux États-Unis, couramment appelée la loi SOX. Plus précisément, l’article 404 exige que les sociétés inscrites auprès de la SEC produisent un rapport sur leurs contrôles internes à l’égard de l’information financière. Les exigences sont de nature normative et portent sur la conformité et la reddition de comptes. On a craint à l’époque que cette loi ne devienne la « norme » internationale sur le contrôle interne, d’autant plus que toutes les entreprises américaines ou étrangères qui étaient inscrites auprès de la SEC étaient tenues d’observer l’article 404, même si les calendriers de mise en œuvre pouvaient être diffé-rents. La grande importance accordée à la loi SOX, et surtout à la nécessité de se conformer à ses obligations en matière d’information, a eu pour effet que le débat sur le contrôle interne s’attarde principalement aux aspects de la conformité.

Une nouvelle publication, Internal Controls — A Review of Current Developments, qu’a récemment fait paraître le Professional Accountants in Business (PAIB) Committee de l’International Federation of Accountants (IFAC), résume les principaux cadres de contrôle interne, décrit les mesures récentes, législatives et autres, et analyse le rôle du contrôle interne pour le renforcement de la gouvernance d’entreprise. Le texte qui suit est extrait de cet ouvrage.

Gérer et contrôler le risque

Les actionnaires s’attendent à ce que les responsables de la gouvernance de l’entreprise gèrent les risques importants auxquels cette entreprise est exposée et qu’ils mettent en place des contrôles appropriés. Il s’agit ici des risques liés à l’exploitation de l’entreprise, à la non-conformité aux lois et aux règlements, ainsi qu’à l’information financière.

Le système de contrôle interne joue par conséquent un rôle clé dans la gestion des risques qui ont une incidence marquée sur la réalisation des objectifs de l’entreprise. Un bon système de contrôle interne contribue à protéger l’investissement des actionnaires et les actifs de l’entreprise.

Les objectifs de l’entreprise, son organisation interne et l’environnement dans lequel elle exerce ses activités évoluent conti-nuellement, de sorte que les risques courus changent tout le temps. Un bon système de contrôle interne repose donc sur une évaluation minutieuse et périodique de la nature et de l’étendue des risques auxquels l’entreprise est exposée. Comme les profits sont, en partie, le fruit des risques pris par l’entreprise, le contrôle interne a pour but d’aider à gérer et à contrôler les risques de façon appropriée plutôt que de les éliminer.

Le contrôle interne avant 2002

Divers cadres de contrôle interne clés, comme le COSO aux États-Unis, le rapport Turnbull au Royaume-Uni et les critères de contrôle au Canada, ont été élaborés avant que n’éclatent les grands scandales comptables au début du siècle. Ces cadres décrivent le contrôle interne comme un « processus » établi, exploité et surveillé par les responsables de la gouvernance et de la direction de l’entreprise afin de fournir une assurance raisonnable quant à la réalisation des objectifs de l’entreprise. Le terme « processus » est utilisé dans un sens large; non limité aux procédés, il englobe des éléments comme la culture et les politiques de l’entreprise, ainsi que les systèmes et les tâches.

Le cadre intégré de contrôle interne du COSO (1992) et le rapport sur le contrôle interne de Turnbull (1999) préconisent une approche du contrôle interne beaucoup plus générale que la loi Sarbanes-Oxley, en ce qui a trait au champ d’application, aux objectifs et à l’approche. Ils portent notamment sur tous les contrôles qui couvrent l’ensemble de la gamme d’activités de l’entreprise et pas uniquement ceux qui sont liés directement à l’information financière; de plus, ils reposent sur une approche du contrôle interne fondée sur les risques.

Committee of Sponsoring Organizations de la Commission Treadway (COSO)

En 1992, le COSO définit le contrôle interne comme un processus mis en œuvre par le conseil d’administration, la direction et d’autres membres du personnel d’une entité qui vise à procurer une assurance raisonnable concernant la réalisation des objectifs regroupés dans les catégories suivantes :

• efficacité et efficience du fonctionnement;
• fiabilité de l’information financière;
• conformité aux lois et aux règlements.

Cette définition est très semblable à celle donnée dans les deux autres grands cadres élaborés dans les années 1990.

Le COSO indique que le contrôle interne est constitué de cinq composantes interreliées, qui découlent de la façon dont la direction exploite son entreprise et qui sont intégrées au processus de gestion.

Les entités de toutes tailles sont visées, mais les petites organisations sont susceptibles de mettre en œuvre les composantes de façon moins systématique. Voici ces composantes :

Environnement de contrôle — Il détermine le ton donné à l’organisation et il est à la base de toutes les autres composantes du contrôle interne. Il englobe l’intégrité, les valeurs éthiques et la compétence des membres de l’organisation.

Appréciation du risque — Elle consiste à définir et à analyser les risques (internes et externes) susceptibles de représenter une menace pour la réalisation des objectifs, et forme une base servant à déterminer la manière de gérer ces risques.

Activités de contrôle — Elles aident à s’assurer que des mesures nécessaires sont prises pour gérer les risques liés à la non-réalisation des objectifs de l’entité. Les activités de contrôle interviennent dans l’ensemble de l’organisation, à tous les niveaux et dans toutes les fonctions.

Information et communications — L’information interne et externe est établie, saisie et communiquée sous une forme et dans un laps de temps qui permettent aux personnes concernées de s’acquitter de leurs responsabilités. L’efficacité des communications au sens plus large se manifeste également par la circulation de l’information dans tous les sens au sein de l’organisation.

Surveillance — Une surveillance doit être exercée sur les systèmes de contrôle interne afin d’évaluer la qualité du fonctionnement du système au fil du temps. La surveillance s’effectue dans le cadre des activités de gestion continues, d’évaluations distinctes, ou les deux.

Comme il est mentionné dans le COSO :

« Il y a des synergies et des liens entre ces composantes, lesquelles forment un système intégré réagissant de façon dynamique à l’évolution de la situation. Le système de contrôle interne est intimement lié aux activités d’exploitation de l’entité et répond à des impératifs d’affaires fondamentaux. Le contrôle interne est plus efficace lorsque les contrôles sont enchâssés dans l’infrastructure de l’entité et qu’ils font partie de l’essence même de l’entreprise. Des contrôles intégrés viennent soutenir les mesures portant sur la qualité et sur l’habilitation du personnel, évitent les coûts inutiles et permettent de réagir rapidement à l’évolution de la situation. »[Traduction]

Internal Control: Guidance for Directors on the Combined Code (1999)

Ce document, communément appelé le rapport Turnbull, a été publié par l’ICAEW à la demande de la Bourse de Londres pour aider les membres du conseil d’administration des sociétés cotées à mettre en œuvre les exigences en matière de contrôle interne du Combined Code on Corporate Governance.

Le rapport Turnbull considère le contrôle interne comme un système englobant les politiques, les processus, les tâches, les comportements et les autres aspects d’une entreprise qui, ensemble :

• facilitent son exploitation efficace et efficiente en lui permettant de réagir adéquatement aux risques significatifs liés à l’entreprise, à l’exploitation, aux finances, à la non-conformité et autres afin d’atteindre les objectifs de l’entreprise;
• aident à assurer la qualité de l’information interne et externe;
• aident à garantir la conformité aux lois et aux règlements en vigueur, ainsi qu’aux politiques internes en ce qui à trait à la conduite des affaires.

Le rapport Turnbull préconise une approche basée sur les principes, dans laquelle, selon de saines pratiques commerciales, le contrôle interne est intégré aux processus d’affaires de l’organisation, tout en demeurant pertinent au fil du temps et au gré de l’évolution de l’organisation. Le contrôle interne doit être intégré aux processus normaux de gestion et de gouvernance d’une organisation plutôt que d’être exercé à part dans le seul but de respecter la réglementation.

Le rapport Turnbull insiste sur le fait que les recommandations énoncées visent à permettre à chaque entreprise de les appliquer en tenant compte des circonstances qui lui sont propres, et sur le fait que les contrôles internes étudiés par le conseil d’administration doivent comprendre tous les types de contrôle, y compris ceux qui touchent les activités et la conformité, ainsi que les contrôles financiers internes.

Dans le rapport Turnbull, la responsabilité de la gestion des risques incombe impérativement au conseil d’administration, qui est tenu d’adopter une approche fondée sur les risques pour mettre en place un système de contrôle interne. Le rôle de la direction est de mettre en œuvre des politiques du conseil sur le contrôle interne et tous les employés ont une responsabilité à l’égard du contrôle interne en relation avec l’obligation de rendre compte de l’atteinte des objectifs.

Recommandations sur les critères de contrôle (CC) du Conseil sur les critères de contrôle de l’ICCA

Les recommandations sur les critères de contrôle précisent que le contrôle est constitué des éléments d’une organisation (y compris les ressources, les systèmes, les processus, la culture, la structure et les tâches) qui, collectivement, aident les gens à réaliser les objectifs de l’organisation. Ces recommandations définissent le contrôle et établissent les critères qui peuvent servir à évaluer son efficacité. Le contrôle est vu comme englobant l’ensemble de l’organisation, à commencer par sa plus petite unité, la personne. Le cadre compte 20 critères de contrôle regroupés dans quatre grandes catégories.

Les critères relatifs au but déterminent l’orientation de l’orga-nisation. Ils visent les objectifs, les risques et les opportunités, les politiques, la planification et les cibles et indicateurs de perfor-mance.

Les critères relatifs à l’engagement déterminent l’identité et les valeurs de l’organisation; ces critères visent les valeurs éthiques, les politiques en matière de ressources humaines, les pouvoirs, les responsabilités et l’obligation de rendre compte ainsi que la confiance mutuelle.

Les critères relatifs à la capacité déterminent la compétence de l’organisation; ces critères visent les connaissances, les compétences et les outils, les processus de communication, l’information, la coordination et les activités de contrôle.

Les critères relatifs au suivi et à l’apprentissage déterminent l’évolution de l’organisation; ces critères visent la surveillance des environnements externe et interne, le suivi de la performance par rapport aux cibles établies, la remise en cause des hypothèses, la réévaluation des besoins d’information et des systèmes connexes, les procédures de suivi et l’évaluation de l’efficacité du contrôle.

Les critères sont liés entre eux et ensemble, ils constituent un cadre qui donne une vue globale de l’entreprise sur le plan du contrôle. Les recommandations permettent de porter un jugement sur la conception ainsi que sur l’évaluation du contrôle et sur la communication d’informations à son sujet. Elles ne doivent pas être interprétées comme des règles minimales d’application obligatoire.

Comparaison du COSO, des critères de contrôle et du rapport Turnbull

Ces cadres de contrôle interne que sont le COSO, le rapport Turnbull et les critères de contrôle de l’ICCA se complètent. Ils considèrent tous que le contrôle interne est un processus ou un ensemble de processus visant à aider l’entreprise à atteindre ses objectifs. Chacun des cadres adopte une approche plus globale à l’égard du contrôle interne, qui tient compte des risques importants que comportent l’exploitation, la non-conformité et l’information financière. Selon cette approche, des objectifs comme l’accroissement de l’efficacité dans l’entreprise s’ajoutent aux objectifs en matière de conformité et d’information. Une approche plus restreinte se limite habituellement au contrôle interne sur l’information financière.

Les trois cadres reposent sur un principe fondamental : un contrôle interne efficace est un processus suivi par des gens qui soutient l’organisation de diverses façons afin de fournir une assurance raisonnable à l’endroit des risques et d’atteindre les objectifs.

Il est également essentiel que le contrôle interne fasse partie intégrante des activités de l’entreprise et ne soit pas une pratique isolée.

Control Objectives for Information and Related Technology (COBIT)

Les technologies de l’information (TI) sont devenues l’un des pivots de la stratégie et des processus d’affaires d’un grand nombre d’entités. C’est pourquoi, au même titre que les TI font partie intégrante de l’entreprise, on considère maintenant que la gouvernance des TI fait partie intégrante de la gouvernance d’entreprise.

Devant l’importance de la gouvernance des TI, un cadre de gouvernance des TI intitulé Control Objectives for Information and related Technology a été établi en 1996 à titre de cadre de référence pour l’élaboration et la gestion de contrôles internes et de niveaux appropriés de sécurité dans les TI. Le COBIT fournit un ensemble d’objectifs de contrôle des TI généralement reconnus afin d’aider les entités à tirer le plus de profit de l’utilisation des TI et à mettre en œuvre la gouvernance et les contrôles TI qui s’imposent. Le COBIT facilite la gouvernance des TI en fournissant un cadre visant à s’assurer que :

• les TI sont en phase avec l’entreprise;
• les TI sont utiles à l’entreprise et optimisent les avantages;
• les ressources en TI sont utilisées de façon responsable;
• les risques liés aux TI sont gérés correctement.

La définition du COBIT qui suit est adaptée de la définition du contrôle interne du COSO : « Ensemble de politiques, de procédures, de pratiques et de structures organisationnelles visant à fournir l’assurance raisonnable que les objectifs de l’entreprise sont atteints et qu’on a empêché, repéré et corrigé les situations indésirables.» (Traduction)

Le cadre COSO et le rapport Turnbull portent principalement sur la réalisation des objectifs d’affaires à l’échelle de l’entité, tandis que le cadre COBIT est axé sur les technologies de l’information. Par conséquent, bien que le concept de contrôle interne présenté dans le cadre COBIT complète les deux autres cadres, ce concept est appliqué aux contrôles sur les technologies de l’information et non à l’entreprise dans son ensemble.

2002 — la loi Sarbanes-Oxley

Au début des années 2000, des investisseurs, des employés et d’autres parties prenantes ont subi de lourdes pertes à la suite de plusieurs scandales comptables très médiatisés. Dans la foulée de ces scandales, la gouvernance d’entreprise est devenue un enjeu d’une importance accrue. Aux États-Unis, on a adopté de nouvelles lois, jugées par de nombreux observateurs comme étant bâclées, extrémistes et parfois contestables, qui ont une incidence considérable sur la gouvernance d’entreprise, sur certains aspects de l’information financière et sur l’exercice de l’expertise comptable aux États-Unis. Ces nouvelles lois ont même eu des retombées hors des États-Unis.

En juillet 2002, le Congrès a promulgué la loi Sarbanes-Oxley (SOX) dans le but d’atténuer les craintes du public par suite des faillites retentissantes d’entreprises. Cette loi devait rassurer les investisseurs et rétablir la confiance dans l’information financière.

Le titre officiel de la loi SOX est en soi informatif : Loi visant à protéger les investisseurs en améliorant l’exactitude et la fiabilité des informations publiées par les entreprises conformément à la législation sur les valeurs mobilières et à d’autres fins.

Outre les règles portant sur le contrôle interne, la loi renferme des dispositions touchant les points suivants :

• les comités de vérification indépendants;
• les attestations de « signataires autorisés » dans les rapports financiers périodiques (article 302);
• les codes d’éthique et les mécanismes de dénonciation;
• la participation accrue des conseils d’administration et des comités de vérification aux activités liées au contrôle.

La loi SOX a une grande portée et contient nombre de nouveaux règlements. Les nouvelles règles concernant les rapports sur les évaluations du contrôle interne à l’égard de l’information financière sont ici d’un intérêt particulier. Plus précisément, l’a-linéa 404 a) qui porte sur l’évaluation des contrôles internes par la direction oblige les entreprises à fournir dans le cadre de leur rapport annuel un rapport sur le contrôle interne qui doit :

• déclarer que la direction a la responsabilité d’établir et de maintenir une structure et des procédures adéquates de contrôle interne à l’égard de l’information financière;
• contenir une évaluation, établie à la fin de l’exercice de l’entreprise, de l’efficacité de la structure et des procédures de contrôle interne à l’égard de l’information financière.

De plus, l’alinéa 404 b), qui couvre l’évaluation du contrôle interne et l’information sur le contrôle interne, exige que le vérificateur de l’entreprise fasse rapport sur l’évaluation du contrôle interne effectuée par la direction. L’attestation du vérificateur doit être faite selon les normes sur les missions d’attestation publiées par le Public Company Accounting Oversight Board (PCAOB) dans le cadre de la même mission. En juin 2004, cet organisme a publié la norme de vérification no 2 intitulée An Audit of Internal Control Over Financial Reporting Performed in Conjunction With an Audit of Financial Statements.

La loi SOX s’applique aux entreprises de partout dans le monde qui sont inscrites auprès de la Securities and Exchange Commission (SEC). Son application peut nécessiter beaucoup de temps et entraîner des coûts élevés. Les nouvelles règles de la SEC, qui découlent de la loi SOX, se sont concentrées sur le contrôle interne à l’égard de l’information financière ainsi que sur les contrôles à l’égard de l’information déposée auprès de la SEC.

La loi SOX met l’accent sur un aspect précis du contrôle interne, à savoir le contrôle interne à l’égard de l’information financière, tandis que, comme nous le mentionnions plus haut, les principaux cadres de contrôle interne comme le cadre COSO, le rapport Turnbull et les critères de contrôle de l’ICCA préconisent une approche plus globale et couvrent tous les contrôles.

Les évaluations du contrôle interne au sens de la loi SOX s’intéresseront peu aux avantages que peut tirer une entreprise d’un examen plus vaste du contrôle interne et des processus connexes de gestion des risques.

Comme l’indique le rapport de l’IFAC intitulé Internal Controls - A Review of Current Developments, l’importance donnée par la loi SOX aux aspects du contrôle interne liés à la conformité et à la communication de l’information a suscité la crainte qu’on néglige l’utilité du contrôle interne pour la performance de l’entreprise.

La SEC a publié un document de consultation en vue d’une norme sur l’évaluation des contrôles internes de l’entreprise à l’égard de l’information financière (http://www.sec.gov/news/press/2006/2006-112.htm).

Le rapport Internal Controls — A Review of Current Developments fait aussi ressortir les plus récents développements touchant les cadres décrits ci-dessus, ainsi que les changements effectués dans d’autres pays. On peut télécharger un exemplaire gratuit du rapport complet à l’adresse www.ifac.org/store.

Extrait de Internal Controls — A Review of Current Development copyright © août 2006 par l’International Federation of Accountants. Tous droits réservés. Publié avec l’autorisation de l’IFAC.

Haut