Le contrôle interne est un élément crucial du risk management. La plupart du temps il est déjà mis en œuvre dans les entreprises, quelle que soit leur taille ou leur secteur. Mais pas toujours de manière formalisée. Il arrive souvent que le contrôle interne naisse a posteriori d’un problème rencontré. Il s’est répandu suite à des affaires de fraudes observées lors des dernières décennies, qui auraient pu être décelées, voire évitées grâce à celui-ci. Comment passer du mode défensif au mode anticipatif ? Il faut pour cela l’intégrer au processus global du risk management et établir quelques règles fondamentales.
Qu’est-ce que le contrôle interne ?
En synthèse, le contrôle interne est un dispositif qui vise à assurer :
- La conformité aux lois et règlements en vigueur ;
- L’application des instructions et des orientations fixées par la direction générale ;
- Le bon fonctionnement des processus internes de la Société, notamment ceux qui participent à la sauvegarde de ses actifs ;
- La fiabilité des informations financières et comptables.
De façon générale, pour une organisation, le contrôle interne contribue à la maîtrise de ses activités, à l’efficacité de ses opérations et à l’utilisation efficiente de ses ressources.
Les référentiels de contrôle interne encadrant les programmes de contrôle sont multiples :
- Normes ISO impliquant un contrôle annuel de l’application des procédures par un expert indépendant ;
- Normes financières et comptables nationales/internationales (tels que IFRS/US GAAP) ;
- Règles générales internes à l’entreprise, notamment pour les groupes ayant plusieurs filiales.
Longtemps réduit à son aspect financier, le contrôle interne doit être mis en œuvre dans un processus global de revue et de maîtrise des risques.
Comment déployer le contrôle interne ?
La première étape de recensement permet d’identifier et d’évaluer tous les risques pouvant avoir un effet défavorable significatif sur l’activité, la situation financière, les résultats ou la capacité à réaliser les objectifs. Elle peut se formaliser au moyen d’une cartographie des risques, axée notamment sur :
- Les risques opérationnels et stratégiques, comme la poursuite des opérations en cas de crise ;
- L’environnement économique, avec une veille sur les changements d’attitude de tiers ;
- Les fonctions supports telles que les systèmes d’information ;
- Les enjeux sociaux, sociétaux et environnementaux. Ces derniers sont par ailleurs repris dans la Déclaration de Performance Extra-Financière (DPEF), obligatoire depuis l’exercice comptable 2018. Elle s’inscrit dans le cadre de la transposition en droit français de l’ordonnance européenne n° 2017-1180 et complète la loi Sapin II visant à lutter contre la corruption.
Une fois les risques identifiés, classés, et priorisés, il conviendra de mettre en place des politiques et plans d’action pour y répondre. Ceux-ci feront l’objet :
- De contrôles de leur bonne application ;
- D’une évaluation au moyen d’indicateurs de performance cohérents et mesurables.
Dans le cas où ces indicateurs ne seraient pas jugés satisfaisants, ils devront faire l’objet d’actions correctives afin d’y parvenir, et donc, de couvrir le risque résiduel.
Du contrôle interne au risk management
Le contrôle interne est généralement mis en place par l’audit interne, mais n’est pas restreint à une équipe de spécialistes. Il est l’affaire de tous, des organes de direction et de contrôle à l’ensemble des collaborateurs. Il est d’ailleurs à l’origine de la récente apparition (ou plutôt professionnalisation) d’une nouvelle fonction appelée gestionnaire de risque ou risk manager.
Pour les grands groupes, ces fonctions deviennent de plus en plus essentielles dans un contexte de multiplication, de diversification et de complexification des risques. La preuve : la plupart sont aujourd’hui directement rattachés à la direction et disposent d’outils spécifiques. De leur côté, même si elles n’ont pas attendu le référencement de cette fonction pour s’y intéresser (en s’appuyant sur la gestion prudente en « bons pères de famille »), les petites et moyennes structures sont plus en retard sur ces problématiques. Elles peuvent toutefois faire appel à des consultants afin d’obtenir des solutions simples de pilotage et de reporting de risques, n’ayant souvent que peu de ressources internes à consacrer.
En contribuant à prévenir et maîtriser les risques qui pourraient empêcher une entreprise d’atteindre les objectifs qu’elle s’est fixés, le dispositif de contrôle interne joue un rôle clé dans la conduite et le pilotage de ses différentes activités. Pour être efficace, il doit être articulé au cœur d’un système global de gestion des risques et être adopté à l’ensemble des collaborateurs. Les entreprises doivent faire face de nos jours à des dangers variés et grandissants ; il en devient donc essentiel de diffuser une culture du risque au sein de l’entreprise.
