Accueil
Envoyer
Imprimer
Partager
Rémy Mahoudeaux
Un petit rappel
Le COSO définit le contrôle interne comme un processus mis en œuvre par le conseil d'administration, les dirigeants et le personnel d'une organisation destiné à fournir une assurance raisonnable quant à la réalisation de ses objectifs. Il a en outre défini les objectifs du contrôle interne comme suit :
• efficacité et efficience (effectiveness & efficiency) des opérations ;
• fiabilité du reporting financier ;
• respect des lois et des règlements.
Chacun de ces objectifs me pose un ou des problèmes majeurs.
1) Respect des lois et des règlements
Mon premier problème est un problème de logique. La loi ou le règlement sont des contraintes externes, et le COSO nous parle de contrôle interne. Il se peut que les contraintes que l'entreprise ou plus génériquement l'organisation érige en interne soient plus contraignantes que ces lois ou règlements. Dans ce cas, un contrôle interne qui se bornerait à une simple conformité légale ou règlementaire ne satisferait pas aux objectifs de l'organisation, il serait insuffisant. Un exemple : tous ceux qui ont approché de près un groupe américain bien organisé avec des filiales à l'étranger ont pu conclure que la délégation d'autorité attribuée aux mandataires sociaux est dans bien des cas sinon dans tous inférieure aux dispositions légales ou statutaires, même si la SAS a pu gommer quelques distorsions. Il serait beaucoup plus pertinent de dire qu'il existe des référentiels auxquels l'organisation doit se soumettre. Certains sont légaux, d'autres règlementaires, d'autres enfin sont internes. Rien n'interdit à une entreprise d'être plus stricte que la loi. Mais curieusement, dans ce cas précis, la conformité serait exclue du contrôle interne.
Est-ce que les organisations du type mafia, camorra, 'ndrangheta et autres yakusa ont un contrôle interne ? Je ne suis pas un spécialiste de ces questions, mais en tant qu'organisations très structurées, hiérarchisées et profitables, c'est très vraisemblable. Pourtant, modulo l'argent blanchit malgré les efforts persistants dans ce domaine, la conformité légale ou règlementaire n'est pas le premier soucis de ces organisations qui prospèrent et résistent depuis longtemps à toute ingérence des lois. Il existe sans doute localement des règles qui régissent la vie à l'intérieur de chaque groupe autonome, ainsi que les relations entres ces groupes autonomes, mais ce « code » n'est pas publié chez Dalloz, Lamy, Francis Lefevre ou leurs homologues. Le référentiel de contrôle interne peut donc être déconnecté de la loi.
Les entreprises opèrent sur des marchés globalisés et revêtent des formes complexes dans le cas de multinationales. Il arrive à ces entreprises de faire du « law shopping », du « subsidy shopping » ou du « tax shopping » en décidant de s'implanter totalement ou partiellement à tel endroit plutôt qu'un autre. Les Bermudes, par exemple, capturent une part très significative du marché de la réassurance (17% source wikipedia), part de marché sans doute disproportionnée par rapport à la taille réelle de cet état souverain. Des fonds d'investissements spéculatifs s'installent dans des juridictions où les régulations sont « clémentes » dans le sens où elles ne protègent pas autant l'investisseur qu'ailleurs et limitent les contraintes sur les processus d'investissements. Ceci démontre que les entreprises qui sont confrontées à des contraintes légales ou règlementaires tentent « d'optimiser » (dans une version politiquement correcte) cette conformité en choisissant la moins « coûteuse ». N'est-ce pas un exemple de conformité « à la carte » qui peut parfois être factice ? S'agit-il d'un symptôme du très à la mode mais déplorable respect de la forme et pas de la substance ?
2) fiabilité du reporting financier
La première critique qui me vient à l'esprit : pourquoi fiabiliser le reporting spécifiquement financier et pas les autres ? L'évolution d'une part de marché, le positionnement des prix par rapport à la concurrence, l'avancement ou les succès et revers des programmes de R&D, d'une campagne de publicité ou de promotion, ou des litiges portés à l'arbitrage des tribunaux, le tableau de bord des effectifs, le déroulement d'un plan social … Toutes ces données qui ne sont pas spécifiquement financières, seraient alors exclues de la sphère du contrôle interne ? Ce n'est pas normal ! Elles sont indispensables à la bonne prise de décisions par des mandants habilités avec des processus normés.
Allons plus loin. Un officier revenant du combat reporte à ses supérieurs quels sont les « coûts » (nombre de munitions, nombre de tués, nombre de blessés et gravité, quels dégâts matériels subis, quels dégâts collatéraux subis) et quels sont les produits (objectifs atteints, totalement ou partiellement, objectifs incidents atteints, prisonniers et prises de matériels, renseignements, dégâts collatéraux infligés). Certaines de ces données sont quantifiables avec des valeurs monétaires. Pour d'autres, ce n'est pas le cas. Pourtant, le supérieur doit s'assurer que cette reddition de compte est aussi fiable que possible, et cette fiabilisation /optimisation relève, à mon humble avis, du contrôle interne d'une organisation. Qu'il s'agisse d'une unité militaire et non une organisation « à prééminence économique » comme une entreprise ne change rien : les décideurs doivent être alimentés en données – économiques ou non - aussi fiables que possibles pour prendre les meilleures décisions possibles. Le contrôle interne ne doit pas se borner à la seule entreprise capitalistique.
Une question incidente, peut-être même insidieuse : produire un reporting relève-t-il du contrôle interne ? Ma réponse est non. Produire un reporting est une simple étape de documentation dans un ensemble de processus opérationnels. Par contre, s'assurer que les méthodes de reporting lui confèrent pertinence, exhaustivité et exactitude pour un coût raisonnable, puis corriger ces méthodes afin d'optimiser le « produit reporting » est clairement une des tâches du contrôle interne. Nonobstant notre snobisme penchant naturel à préférer afficher des missions « nobles » de contrôle interne plutôt que des production de rapports, nous ne passons pas toute notre journée à faire du contrôle interne.
3) efficacité et efficience des opérations
Au risque de peiner les vénérables membres de la commission Treadway, lire « l'efficacité et l'efficience des opérations » me laisse pantois. Une organisation de quelque nature que ce soit doit remplir sa mission : produire et vendre pour une entreprise commerciale ; détruire le potentiel de l'ennemi pour une armée en campagne ; chercher, trouver et publier pour un laboratoire de recherche ; enseigner pour une école … et la liste n'est pas close ! En résumé, une simple litote : il faut que l'organisation atteigne ses objectifs, c'est son efficacité. De plus, elle doit atteindre ses objectifs sans recourir à une débauche inconsidérée de moyens, y compris le facteur temps. (c'est l'efficience). Chacune de ces organisations se doit donc – sauf à être décadente – de tenter de faire plus et/ou mieux avec relativement moins. C'est une démarche purement opérationnelle. Il est bien légitime de penser, d'affirmer, de clamer, de militer pour que toutes les organisations atteignent leurs objectifs sans gâcher plus de ressources que nécessaire. Mais qu'a-t-elle à voir avec le contrôle interne, cette litote, cette évidence, cette axiomatique trivialité ? C'est tout simplement enfoncer une porte ouverte ...
Ma conclusion toute personnelle est que le premier référentiel COSO a été bâtit par de gentils comptables bisounours dans une optique consensuelle où chacun apporte son pique-nique pour être sûr d'y trouver le sandwich et le paquet de gâteaux qu'il aime. Et tant pis si une fois tout étalé sur la nappe de pique-nique, cela ne ressemble à rien. C'est bien dommage, une démarche spécifiante aurait pu et dû précéder tout ce travail, afin d'éviter que le contrôle interne, à l'instar de la « direction », de la « gestion », du « management » et des « affaires », ne devienne un mot vide de sens. Avons nous besoin d'un contrôle interne qui serait un « buzzword » (2) digne de postuler pour intégrer le « bullshit bingo » (3) ?
(1) disponible sur www.lulu.com
(2) buzzword : mot-clef aussi branché que son locuteur
(3) bullshit bingo – jeux qui consiste, lors d'une conférence ou d'une réunion, à identifier les mots ronflants de la novlangue des affaires dont l'abusive utilisation pourrait être symptomatique de cuistrerie – voir pour une version anglaise bullshitbingo.net/cards/bullshit/
Rémy Mahoudeaux
Managing Director, RemSyx
boss@remsyx.com
www.remsyx.com
Le COSO définit le contrôle interne comme un processus mis en œuvre par le conseil d'administration, les dirigeants et le personnel d'une organisation destiné à fournir une assurance raisonnable quant à la réalisation de ses objectifs. Il a en outre défini les objectifs du contrôle interne comme suit :
• efficacité et efficience (effectiveness & efficiency) des opérations ;
• fiabilité du reporting financier ;
• respect des lois et des règlements.
Chacun de ces objectifs me pose un ou des problèmes majeurs.
1) Respect des lois et des règlements
Mon premier problème est un problème de logique. La loi ou le règlement sont des contraintes externes, et le COSO nous parle de contrôle interne. Il se peut que les contraintes que l'entreprise ou plus génériquement l'organisation érige en interne soient plus contraignantes que ces lois ou règlements. Dans ce cas, un contrôle interne qui se bornerait à une simple conformité légale ou règlementaire ne satisferait pas aux objectifs de l'organisation, il serait insuffisant. Un exemple : tous ceux qui ont approché de près un groupe américain bien organisé avec des filiales à l'étranger ont pu conclure que la délégation d'autorité attribuée aux mandataires sociaux est dans bien des cas sinon dans tous inférieure aux dispositions légales ou statutaires, même si la SAS a pu gommer quelques distorsions. Il serait beaucoup plus pertinent de dire qu'il existe des référentiels auxquels l'organisation doit se soumettre. Certains sont légaux, d'autres règlementaires, d'autres enfin sont internes. Rien n'interdit à une entreprise d'être plus stricte que la loi. Mais curieusement, dans ce cas précis, la conformité serait exclue du contrôle interne.
Est-ce que les organisations du type mafia, camorra, 'ndrangheta et autres yakusa ont un contrôle interne ? Je ne suis pas un spécialiste de ces questions, mais en tant qu'organisations très structurées, hiérarchisées et profitables, c'est très vraisemblable. Pourtant, modulo l'argent blanchit malgré les efforts persistants dans ce domaine, la conformité légale ou règlementaire n'est pas le premier soucis de ces organisations qui prospèrent et résistent depuis longtemps à toute ingérence des lois. Il existe sans doute localement des règles qui régissent la vie à l'intérieur de chaque groupe autonome, ainsi que les relations entres ces groupes autonomes, mais ce « code » n'est pas publié chez Dalloz, Lamy, Francis Lefevre ou leurs homologues. Le référentiel de contrôle interne peut donc être déconnecté de la loi.
Les entreprises opèrent sur des marchés globalisés et revêtent des formes complexes dans le cas de multinationales. Il arrive à ces entreprises de faire du « law shopping », du « subsidy shopping » ou du « tax shopping » en décidant de s'implanter totalement ou partiellement à tel endroit plutôt qu'un autre. Les Bermudes, par exemple, capturent une part très significative du marché de la réassurance (17% source wikipedia), part de marché sans doute disproportionnée par rapport à la taille réelle de cet état souverain. Des fonds d'investissements spéculatifs s'installent dans des juridictions où les régulations sont « clémentes » dans le sens où elles ne protègent pas autant l'investisseur qu'ailleurs et limitent les contraintes sur les processus d'investissements. Ceci démontre que les entreprises qui sont confrontées à des contraintes légales ou règlementaires tentent « d'optimiser » (dans une version politiquement correcte) cette conformité en choisissant la moins « coûteuse ». N'est-ce pas un exemple de conformité « à la carte » qui peut parfois être factice ? S'agit-il d'un symptôme du très à la mode mais déplorable respect de la forme et pas de la substance ?
2) fiabilité du reporting financier
La première critique qui me vient à l'esprit : pourquoi fiabiliser le reporting spécifiquement financier et pas les autres ? L'évolution d'une part de marché, le positionnement des prix par rapport à la concurrence, l'avancement ou les succès et revers des programmes de R&D, d'une campagne de publicité ou de promotion, ou des litiges portés à l'arbitrage des tribunaux, le tableau de bord des effectifs, le déroulement d'un plan social … Toutes ces données qui ne sont pas spécifiquement financières, seraient alors exclues de la sphère du contrôle interne ? Ce n'est pas normal ! Elles sont indispensables à la bonne prise de décisions par des mandants habilités avec des processus normés.
Allons plus loin. Un officier revenant du combat reporte à ses supérieurs quels sont les « coûts » (nombre de munitions, nombre de tués, nombre de blessés et gravité, quels dégâts matériels subis, quels dégâts collatéraux subis) et quels sont les produits (objectifs atteints, totalement ou partiellement, objectifs incidents atteints, prisonniers et prises de matériels, renseignements, dégâts collatéraux infligés). Certaines de ces données sont quantifiables avec des valeurs monétaires. Pour d'autres, ce n'est pas le cas. Pourtant, le supérieur doit s'assurer que cette reddition de compte est aussi fiable que possible, et cette fiabilisation /optimisation relève, à mon humble avis, du contrôle interne d'une organisation. Qu'il s'agisse d'une unité militaire et non une organisation « à prééminence économique » comme une entreprise ne change rien : les décideurs doivent être alimentés en données – économiques ou non - aussi fiables que possibles pour prendre les meilleures décisions possibles. Le contrôle interne ne doit pas se borner à la seule entreprise capitalistique.
Une question incidente, peut-être même insidieuse : produire un reporting relève-t-il du contrôle interne ? Ma réponse est non. Produire un reporting est une simple étape de documentation dans un ensemble de processus opérationnels. Par contre, s'assurer que les méthodes de reporting lui confèrent pertinence, exhaustivité et exactitude pour un coût raisonnable, puis corriger ces méthodes afin d'optimiser le « produit reporting » est clairement une des tâches du contrôle interne. Nonobstant notre snobisme penchant naturel à préférer afficher des missions « nobles » de contrôle interne plutôt que des production de rapports, nous ne passons pas toute notre journée à faire du contrôle interne.
3) efficacité et efficience des opérations
Au risque de peiner les vénérables membres de la commission Treadway, lire « l'efficacité et l'efficience des opérations » me laisse pantois. Une organisation de quelque nature que ce soit doit remplir sa mission : produire et vendre pour une entreprise commerciale ; détruire le potentiel de l'ennemi pour une armée en campagne ; chercher, trouver et publier pour un laboratoire de recherche ; enseigner pour une école … et la liste n'est pas close ! En résumé, une simple litote : il faut que l'organisation atteigne ses objectifs, c'est son efficacité. De plus, elle doit atteindre ses objectifs sans recourir à une débauche inconsidérée de moyens, y compris le facteur temps. (c'est l'efficience). Chacune de ces organisations se doit donc – sauf à être décadente – de tenter de faire plus et/ou mieux avec relativement moins. C'est une démarche purement opérationnelle. Il est bien légitime de penser, d'affirmer, de clamer, de militer pour que toutes les organisations atteignent leurs objectifs sans gâcher plus de ressources que nécessaire. Mais qu'a-t-elle à voir avec le contrôle interne, cette litote, cette évidence, cette axiomatique trivialité ? C'est tout simplement enfoncer une porte ouverte ...
Ma conclusion toute personnelle est que le premier référentiel COSO a été bâtit par de gentils comptables bisounours dans une optique consensuelle où chacun apporte son pique-nique pour être sûr d'y trouver le sandwich et le paquet de gâteaux qu'il aime. Et tant pis si une fois tout étalé sur la nappe de pique-nique, cela ne ressemble à rien. C'est bien dommage, une démarche spécifiante aurait pu et dû précéder tout ce travail, afin d'éviter que le contrôle interne, à l'instar de la « direction », de la « gestion », du « management » et des « affaires », ne devienne un mot vide de sens. Avons nous besoin d'un contrôle interne qui serait un « buzzword » (2) digne de postuler pour intégrer le « bullshit bingo » (3) ?
(1) disponible sur www.lulu.com
(2) buzzword : mot-clef aussi branché que son locuteur
(3) bullshit bingo – jeux qui consiste, lors d'une conférence ou d'une réunion, à identifier les mots ronflants de la novlangue des affaires dont l'abusive utilisation pourrait être symptomatique de cuistrerie – voir pour une version anglaise bullshitbingo.net/cards/bullshit/
Rémy Mahoudeaux
Managing Director, RemSyx
boss@remsyx.com
www.remsyx.com
