Publié par : Marie | 25 novembre 2012

Le contrôle interne, ce qu’il est, ce qu’il n’est pas

Après un long silence, lié essentiellement à des journées de travail-bébé-métro etc. qui s’obstinent à ne durer que 24h, me revoici pour, j’espère, plus qu’une apparition.

Ceci n’est pas réellement un blog « boulot », cependant un boulot j’en ai un, de l’espèce prenant et intéressant. Et méconnu, enfin je crois. Donc j’avais envie d’en parler. Si j’en ai le temps et la motivation, ça donnera une petite série de billets…

Dans un billet qui commence à dater un peu, Doudette s’interrogeait sur l’affaire Kerviel, ce qu’elle révèle de la morale au travail, de l'(in)efficacité des systèmes de contrôle interne.

Il se trouve que je suis consultante en gestion des risques. Mes clients sont tous des entreprises du secteur financier au sens large (banques, compagnies d’assurance, gestionnaires d’actifs). Je tiens également à préciser que la Société Générale n’est pas un de mes clients et ne l’a jamais été. Je n’ai donc aucune connaissance des dysfonctionnements spécifiques de cette banque.

« La question de la confiance au travail » se pose, dit Doudette. Dans mon métier une phrase très courante est « la confiance n’exclut pas le contrôle ». Le contrôle interne, en l’occurrence.

Le contrôle interne est une notion très précise dans les entreprises. Il dispose d’un cadre de référence, le COSO (je vous invite à consulter l’article de Wikipédia sur le sujet, succinct mais correct). Le COSO définit le contrôle interne comme « un processus mis en œuvre par les dirigeants à tous les niveaux de l’entreprise et destiné à fournir une assurance raisonnable quant à la réalisation des trois objectifs suivants :

– l’efficacité et l’efficience des opérations,

– la fiabilité des informations financières,

– la conformité aux lois et règlements. »

Mais encore ?

On remarquera que la lutte contre la fraude fait bien partie des objectifs du contrôle interne (dans ses composantes « information fiable » et « conformité aux lois »), mais n’en est pas l’objectif premier. « Il ne faut pas expliquer par la malveillance ce qu’on peut expliquer dans l’incompétence » : la simple erreur, commise de bonne foi, est beaucoup plus fréquente que la fraude dans les entreprises… C’est avant tout elle que le contrôle interne vise à prévenir et/ou détecter et corriger.

« Ce que dit l’arrêt sans le dire, c’est que la banque aurait du voir… mais qu’elle n’a pas vu et n’est donc pas responsable. Ce que je me demande, moi, très cyniquement, avec ma psychologie à deux balles, c’est ok, mais c’est qui, la banque, celle qui aurait du voir ? Où sont les yeux de la personne morale ? Où est son âme ? Sa conscience ? » (Doudette)

Le COSO a une réponse à ça : le contrôle interne n’est, fondamentalement, pas une fonction de l’entreprise (comme le serait une fonction comptable, une fonction achats, etc.) mais un processus ; il y a très souvent des services de contrôle interne dans les entreprises, mais le contrôle interne n’appartient pas qu’à ces services, de la même manière que beaucoup d’entreprises ont un service de gestion de projets mais mènent quand même des projets dont les services « métiers » sont responsables, le service de gestion de projets apportant son appui et sa compétence spécifique sans se substituer aux métiers.

Le service de contrôle interne a généralement pour missions : de mettre en place le contrôle interne (par exemple en créant des référentiels de risques et de contrôles partagés au sein de l’entreprise, et en allant les « vendre » aux opérationnels), de l’évaluer régulièrement (plusieurs moyens sont à sa disposition, ce sera l’objet d’un autre billet), de mettre à jour régulièrement ce système de contrôle, compte tenu par exemple de nouvelles lois, ou d’incidents qui ont pu se produire et qui font penser que le système actuel n’est pas pertinent.

Les contrôles eux-mêmes sont, dans un système bien conçu, décentralisés au niveau le plus pertinent et intégrés dans le travail quotidien des opérationnels. Par exemple, un contrôle très classique qui vise à s’assurer que l’entreprise a été livrée de ses achats avant de mettre en paiement la facture correspondante sera attribué au responsable de l’entrepôt : c’est lui qui reçoit les livraisons, il est le mieux placé pour faire ce contrôle. (dans un prochain billet également, comment s’assurer que ce responsable d’entrepôt ne fait pas régler par l’entreprise des factures fictives de faux fournisseurs pour se constituer un 13e mois…).

Donc, chère Doudette, l’entreprise qui aurait dû savoir, elle n’est pas du tout sans visage : ce sont les responsables directs du fraudeur qui, dans le cours de leur activité quotidienne, auraient dû prévenir ou détecter la fraude. Les contrôles qu’ils réalisent seraient ressortis en « défaillant » (rouge), l’information serait remontée au service de contrôle interne, qui aurait pu analyser la situation et décider d’y aller voir de plus près et/ou de lancer des actions correctives.

Quant à la question de pourquoi le système n’a pas fonctionné… Encore une fois, je ne connais pas le contexte de la SG. Mais ce qui me frappe dans la fraude de Kerviel, c’est son incongruité. Un salarié qui fraude, à une si grande échelle, même pas pour enrichissement personnel…

Les contrôles qui existent dans les entreprises existent pour se couvrir contre des risques qui ont été identifiés, répertoriés, quantifiés. Le contrôle n’est jamais conçu comme une fin en soi ; il permet d’atténuer un risque. Je pense qu’un fraudeur du type « Kerviel » a un comportement trop irrationnel pour avoir été prévu en amont. Les risques de fraude que les entreprises identifient et cherchent à couvrir sont souvent beaucoup plus simple : les salariés qui changent des RIB de fournisseurs pour mettre le leur à la place, ou qui volent des marchandises… Donc fatalement, les contrôles visent ce type de risques, qui sont les plus fréquents / probables. Puisque, évidemment, les entreprises ont des ressources limitées, pour les contrôles comme pour le reste, et qu’elles cherchent donc à les utiliser pour couvrir les risques majeurs en priorité.

Dans un prochain billet également, comment identifier les risques majeurs 🙂 (là j’ai un bébé qui se réveille et veut des câlins…)

Publicités

Responses

  1. Bonjour,

    Ravie de vous relire.
    Problème : maintenant que vous nous avez alléchés par votre série, va falloir suivre 😉
    D’autant que le sujet est intéressant ….


Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

Catégories

%d blogueurs aiment cette page :