Étude des conséquences organisationnelles et

ÉTUDE DES CONSEQUENCES ORGANISATIONNELLES ET MANAGERIALES DE LA NORMALISATION IAS-IFRS
Étude des conséquences organisationnelles et
managériales de la normalisation IAS-IFRS
Laurent Cappelletti
Maître de Conférences, HDR
ISEOR – IAE de LYON – Université Jean Moulin Lyon 3
[email protected]
Les IAS-IFRS qui normalisent l’information comptable et financière s’accompagnent d’une
normalisation du contrôle interne et de la gouvernance des entreprises au travers des lois
Sarbanes-Oxley (SOX) et de Sécurité Financière. Cette évolution est visible dans les documents de
référence des sociétés cotées qui prennent désormais une forme « qualimétrique » alternant
informations qualitatives, quantitatives et financières. En s’appuyant sur quatre études de cas,
l’article montre en quoi la normalisation IAS-IFRS est non seulement une normalisation
informationnelle mais annonce également une normalisation managériale et organisationnelle du
contrôle interne. L’organisation est ainsi mise au centre des préoccupations du financier.
By now companies have to cope with a standardization of both financial information, through the
IAS-IFRS, and their internal control systems and corporate governance practices, through the
Sarbane-Oxley Act (SOX) or Law of Financial Security in France. This is why financial reportings
are becoming “qualimetrics” using qualitative, quantitative and financial informations. Based on
the result of four case studies, the article shows that IAS-IFRS lead to a standardization of
financial information and also to a standardization of the internal control monitoring and
management. Thus organizational matters become a central field of survey for finance.
Introduction
L’application des normes IAS-IFRS pour les comptes consolidés dans les sociétés cotées
françaises depuis le 1er janvier 2005 se déroule dans un contexte de normalisation du contrôle
interne avec les lois Sarbanes-Oxley (SOX) de 2002 et de Sécurité Financière de 2003. C’est
pourquoi, le reporting financier des sociétés cotées présenté sous la forme du document de
référence devient « qualimétrique », alternant informations qualitatives sur la gouvernance et le
contrôle interne, quantitatives sur des données sectorielles en application d’IAS 14, et financières
(Berthoud & Merle, 2005 ; Tort, 2006). Ils semblent ainsi que l’application des IAS-IFRS qui
relève à l’origine d’une normalisation informationnelle s’accompagne d’une normalisation
organisationnelle du contrôle interne et de la gouvernance des sociétés cotées.
Le propos de cet article est de montrer que ce double mouvement de normalisation
informationnelle et organisationnelle qui relie la finance et l’organisation n’est pas contingent. En
39
LA REVUE DU FINANCIER
effet, l’objectif des IAS-IFRS est de représenter conceptuellement l’activité de l’entreprise à « sa
juste valeur », traduction imparfaite du principe anglo-saxon de fair value (Colasse, 2007). En
particulier, le cadre conceptuel des IAS-IFRS précise que l’information comptable et financière
doit être intelligible, pertinente, fiable et comparable pour satisfaire les besoins d’informations de
toutes les parties prenantes en particulier les investisseurs (Touron & Tondeur, 2004). Pour
atteindre ces objectifs conceptuels du cadre IAS-IFRS, il est donc nécessaire que l’entreprise
mette en place un système de contrôle interne pour assurer la fiabilité et la qualité des informations
financières produites (Hamzaoui, 2005). Bien qu’il n’existe pas dans les lois SOX et de Sécurité
Financière de normes explicites d’organisation du contrôle interne, l’IFACI a proposé en France
en 2006 un cadre de référence pour le contrôle interne. Aux États-Unis, la commission chargée
d’élaborer des guides de contrôle interne, le COSO (Committee of Sponsoring Organization), est
allée plus loin en proposant en septembre 2007 un guide de pilotage du contrôle interne (Guidance
on Monitoring Internal Control Systems) avec des préconisations managériales et
organisationnelles. Dans ce contexte, la problématique étudiée dans l’article abordera les questions
suivantes : est-ce que la normalisation IAS-IFRS n’annonce pas une normalisation du contrôle
interne et de son organisation ? Quels seraient les enjeux organisationnels et managériaux de cette
normalisation ?
Dans un premier paragraphe, l’article revient sur les lois SOX et de Sécurité Financière pour
montrer que leur application n’entraîne pas mécaniquement la production d’une information
comptable et financière fiable et transparente : pour atteindre cet objectif et contribuer
effectivement au cadre conceptuel IAS-IFRS, ces lois doivent se traduire dans les entreprises par
une organisation efficace et efficiente du contrôle interne. Dans un deuxième paragraphe, à partir
de recherches-interventions réalisées entre 2003 et 2005 dans quatre entreprises qui ont appliqué
les lois SOX ou de Sécurité Financière, l’article confirme qu’un contrôle interne de qualité
demande des dispositifs organisationnels et managériaux adaptés. Un modèle d’organisation et de
management du contrôle interne est également proposé sous la forme d’une fonction contrôle
interne. Ce modèle est positionné par rapport à celui du COSO de septembre 2007.
I - Le cadre conceptuel des lois SOX et de Sécurité
Financière
En France, la Loi de Sécurité Financière du 1er août 2003 s’applique pour les exercices ouverts à
compter du 1er janvier 2003 et concerne les sociétés anonymes faisant appel public à l’épargne,
suite à la loi pour la modernisation de l’économie de juillet 2005. Elle vise à rétablir la confiance
des investisseurs dans la transparence de l’information financière. Cette loi, dans la continuité de
la loi américaine SOX du 30 juillet 2002, introduit des obligations d’information des actionnaires
et du marché sur les procédures de contrôle interne mises en place dans les sociétés anonymes
(Colatrella, 2003 ; Tort, 2006).
1 - Convergences et spécificités des lois SOX et de Sécurité
Financière
La loi SOX a pour principal objectif de pallier les défaillances apparues dans les affaires Enron ou
Worldcom concernant les dirigeants, les auditeurs externes, les cabinets d’avocats et les analystes
financiers (Moeller, 2004 ; Abbot & al., 2007). Dans le même esprit la loi de Sécurité Financière
souhaite répondre à la crise de confiance née Outre-Atlantique et relayée en France par des
affaires comme Vivendi. Les deux lois se rejoignent sur la nécessité d’amélioration de la
40
ÉTUDE DES CONSEQUENCES ORGANISATIONNELLES ET MANAGERIALES DE LA NORMALISATION IAS-IFRS
transparence de l’information financière. La volonté des deux législateurs est double : une
information plus complète à destination des investisseurs et une plus grande appropriation du
processus d’arrêté des comptes par les dirigeants. A cet effet, SOX prévoit une évaluation du
contrôle interne signée par le président et le directeur financier (CEO et CFO) jointe au rapport
annuel de toute société cotée sur un marché financier américain. Ce rapport sur le contrôle interne
est accompagné d’une opinion de l’auditeur externe. Ces rapports sont déposés sous serment
auprès de la SEC. Des dispositions très proches se retrouvent dans la loi de Sécurité Financière. Le
président doit, dans un rapport joint au rapport de gestion sur les comptes sociaux et les comptes
consolidés, rendre compte des procédures de contrôle interne mises en place dans la société. Les
commissaires aux comptes doivent, dans un rapport joint à leur rapport général, présenter leurs
observations sur les procédures de contrôle interne décrites par le président, pour celles relatives à
l’élaboration et au traitement de l’information comptable et financière (Jacquemard, 2007).
L’évaluation du contrôle interne requise par la loi de Sécurité Financière est différente de celle
requise dans le cas d’une certification des comptes par des auditeurs externes. Cette différence
provient essentiellement d’une différence d’objectif. Pour l’auditeur externe, l’analyse du contrôle
interne n’est qu’une procédure d’audit parmi d’autres, qui se fait sur les contrôles clés. Dans
l’esprit de la loi de Sécurité Financière, la revue du contrôle interne a pour but d’exprimer une
opinion sur l’efficacité du contrôle interne sur le reporting financier mis en œuvre au cours de la
période considérée. Son champ d’application est donc plus vaste, puisque toutes les transactions
routinières, non routinières, et estimations financières, sont concernées. Toutes les procédures de
contrôle interne, significatives ou non, peuvent entrer ainsi dans son champ d’application,
puisqu’elle précise que « le président rend compte des procédures de contrôle interne mises en
place par la société » (Colatrella, 2003 ; Tort, 2006).
2 - La normalisation du contrôle interne
Savall & Zardet (2005) et Wirtz (2005) montrent que les règles imposées par les lois SOX et de
Sécurité Financière témoignent d’un phénomène international de normalisation, dans lequel les
entreprises sont soumises à des pressions diverses cherchant à obtenir leur mise en conformité
avec les « meilleures pratiques » de gouvernance. Un des domaines où cette pression se fait très
concrètement est celui de la comptabilité, car les scandales financiers tels qu’Enron étaient en
même temps des scandales comptables. En termes de normalisation et d’information, la loi de
Sécurité Financière n’impose pas de modèle du contrôle interne mais les travaux sur le contrôle
interne montrent que des référentiels existent et sont fortement recommandés. Par exemple, le
législateur américain fait souvent référence à la définition du contrôle interne donnée par le COSO
en 1994 (Cappelletti, 2006). A partir des bonnes pratiques identifiées sur le sujet, le COSO décrit
de façon théorique les composantes essentielles à retrouver dans un dispositif de contrôle interne.
Le contrôle interne est ainsi modélisé à travers cinq éléments : l’environnement de contrôle,
l’évaluation des risques, les activités de contrôle, l’information et la communication et le pilotage
du système de contrôle interne. Le modèle COSO donne une description du contrôle interne qui
constitue un référentiel auquel les entités peuvent se référer pour évaluer les contrôles qu’elles ont
mis en place (Hamzaoui, 2005). La loi de Sécurité Financière ne précise également ni la forme ni
le contenu des rapports à faire par les dirigeants. Ces nouveaux rapports s’adressent aux
investisseurs qui n’ont pas la possibilité d’apprécier l’efficacité du contrôle interne. Il est donc
primordial que ces dispositifs ne soient pas uniquement descriptifs, mais qu’ils attestent la bonne
application et l’efficacité des procédures décrites.
41
LA REVUE DU FINANCIER
La normalisation du rapport de contrôle interne pourrait ainsi se faire rapidement (Colatrella,
2003 ; Tort, 2006). En effet, la loi de Sécurité Financière a désigné l’Autorité des Marchés
Financiers (AMF) comme seule responsable pour fixer le contenu des rapports. Un groupe de
travail appelé « le Groupe de Place », incluant l’AMF, le MEDEF et l’IFACI a été constitué pour
définir les modalités d’application de la loi de Sécurité Financière dans les sociétés cotées. Les
conclusions de ce groupe de travail publiées en mai 2006 proposent un cadre de référence fondé
sur des principes généraux et non sur des règles contraignantes. Cependant ce cadre s’inspire des
cinq éléments du modèle COSO déjà largement diffusé. On peut donc penser que ce cadre sera
utilisé peu à peu par les sociétés faisant appel public à l’épargne pour superviser ou développer
leur dispositif de contrôle interne, même s’il ne constitue pas formellement une directive sur la
façon de concevoir leur organisation : « Chaque société est responsable de son organisation propre
et donc de son contrôle interne, lequel devrait s’inscrire dans le cadre d’une bonne gouvernance,
telle que développée dans les rapports Viénot et Bouton » (IFACI, 2006).
3 - Les enjeux organisationnels et managériaux des lois SOX et de
Sécurité Financière
Ce mouvement de normalisation du contrôle interne qui accompagne l’application des IAS-IFRS,
pose moins une problématique informationnelle, puisque les modèles de contrôle interne existent
et sont disponibles, que managériale et organisationnelle. En effet, la comptabilité reste une
pratique sociale et le contrôle interne est un système à organiser. La comptabilité est influencée
par une politique et une stratégie comptable, et elle résulte d’un jeu social (Colasse, 2007). Aussi,
le lien entre le contrôle interne et l’information comptable n’est pas régi par un phénomène
automatique et passif de régulation, mais par un phénomène actif d’équilibration, dans le sens de
Piaget (1975). Cela signifie que le contrôle interne offre une sécurité concernant la qualité du
reporting financier à condition qu’il soit organisé et managé avec efficacité et efficience. Sa
description dans les rapports d’activité ne peut suffire à attester de sa qualité et valider sa
contribution à la transparence de l’information financière préconisée par le cadre conceptuel IASIFRS. Les parties prenantes et les investisseurs ont pu le constater dans l’affaire EADS, dont le
document de référence 2005 attestait de la qualité du contrôle interne alors qu’il était sujet à de
graves défaillances qui sont apparues au grand jour en 2006 (Cappelletti, 2007).
Dans son acception générale, le contrôle interne d’une entreprise est un système de contrôle établi
par les dirigeants pour conduire l’activité de l’entreprise d’une manière ordonnée, pour assurer le
maintien de l’activité et l’intégrité des actifs, et fiabiliser les flux d’information. Le contrôle
interne est à la fois un état et un processus qui inclut les matières financières et comptables, mais
également les contrôles destinés à améliorer l’efficience opérationnelle et à renforcer l’adhésion à
la politique stratégique de l’entreprise. Le contrôle interne est avant tout un système
d’organisation, qui concerne les managers dans son application (Pigé, 2001 ; 2007 ; COSO, 2007).
La dimension organisationnelle du contrôle interne apparaît nettement au travers des définitions
du contrôle interne données par la profession comptable. En 1977, l’ouvrage de l’Ordre des
experts-comptables et des comptables agréés intitulé “ Le contrôle interne ” indique que le
contrôle interne est l’ensemble des sécurités contribuant à la maîtrise de l’entreprise. Il a pour but
d’un côté d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information, de
l’autre, l’application des instructions de la direction et de favoriser l’amélioration des
performances. Il se manifeste par l’organisation des méthodes et procédures de chacune des
activités de l’entreprise pour maintenir la pérennité de celle-ci. En 1978, l’Institute of Internal
Auditors (IIA) définissait quatre objectifs permanents du contrôle interne, très proches de la
42
ÉTUDE DES CONSEQUENCES ORGANISATIONNELLES ET MANAGERIALES DE LA NORMALISATION IAS-IFRS
définition de l’Ordre des Experts-Comptables : la sécurité des actifs, la qualité des informations, le
respect des directives, l’optimisation des ressources. L’IIA précisera en 1989 que c’est l’audit
interne qui dans l’entreprise a en charge l’évaluation du contrôle interne. L’audit interne s’assure
que les produits engendrés dans l’entreprise sont conformes aux objectifs, que le contrôle interne
est défini, pratiqué et efficient.
4 - La question de l’organisation et du management du contrôle
interne
Pourtant, même si la dimension organisationnelle du contrôle interne est soulignée par la
littérature comptable et financière, l’organisation et le management d’un système de contrôle
interne reste encore peu étudiée dans cette littérature. Les travaux de Ebondo & Pigé (2002)
abordent cette question en montrant bien que l’activité de contrôle interne est constitutive de
l’organisation dans sa différence par rapport au marché. Selon eux si la structure organisationnelle
évolue, il devient indispensable de faire évoluer en parallèle le système de contrôle interne, ou
système de contrôle organisationnel interne, qui en assure la cohérence. Ebondo & Pigé attribuent
trois objectifs au contrôle interne : s’assurer que les décisions prises sont correctement appliquées,
garantir un niveau minimum de qualité aux prestations effectuées ou aux produits fabriqués,
déceler les anomalies de fonctionnements. Ils montrent en particulier que les objectifs du contrôle
interne sont liés à des coûts de transaction et entraînent la mise en place et l’application de
procédures de contrôle interne visant à minimiser les coûts de transaction. Pour Pigé (2007), le
contrôle interne d’une entreprise dépasse donc le strict cadre comptable pour s’inscrire dans un
cadre plus large organisationnel et managérial. C’est pourquoi des chercheurs comme Wilkins &
Gupta (2007) recommandent une approche management de projet (project management approach)
pour construire et piloter le contrôle interne.
L’application des lois SOX et de Sécurité Financière qui accompagne la mise en œuvre des IASIFRS invite donc à approfondir les analyses organisationnelles. Comme ce paragraphe vient de
l’exposer, la normalisation IAS-IFRS impose implicitement aux entreprises d’organiser et de
manager leur contrôle interne avec efficacité et efficience pour lui donner une permanence de
fonctionnement. Mais les lois ou les normes laissent encore le choix aux entreprises d’organiser
comme elles l’entendent leur contrôle interne. La question est de savoir si la pression des parties
prenantes ne va pas s’exercer à l’avenir pour normaliser également l’organisation du contrôle
interne, avoir ainsi une garantie plus forte quant à son efficacité et la permanence de son
fonctionnement, et obtenir de la sorte un niveau d’assurance plus élevé sur la fiabilité des
informations comptables et financières produites ? Quels pourraient être alors les dispositifs
organisationnels et managériaux à mettre en œuvre dans les organisations, dont l’existence serait
validée par les auditeurs externes et dont la description dans les rapports d’activité donnerait une
assurance suffisante aux parties prenantes et aux investisseurs quant à la qualité du contrôle
interne ?
II - Quel modèle d’organisation du contrôle interne ?
Afin d’apporter des éléments de réponse à la problématique de l’organisation du contrôle interne,
l’article exploite les résultats de recherches-interventions réalisées entre 2003 et 2005 dans quatre
entreprises devant appliquer les lois SOX ou de Sécurité Financière. Il s’agit d’une entreprise
française de sécurité (A1) de 800 salariés, d’une entreprise française de pâtisserie (A2) de 3000
salariés, de la filiale française (A3) de 2500 salariés d’un groupe international d’agroalimentaire,
43
LA REVUE DU FINANCIER
et d’une entreprise industrielle américaine (A4) du secteur automobile de 200 salariés (Buono &
Savall, 2007 pp. 45-71-229-279). La méthodologie de recherche utilisée et les résultats observés
ont été similaires dans les quatre entreprises. Pour plus de clarté dans les explications, le cas A1
fera l’objet d’une présentation détaillée dans ce paragraphe.
1 - Méthodologie de la recherche
L’entreprise A1 est contrôlée par un groupe international. Elle publie ses comptes en normes
françaises et en normes IAS-IFRS et applique les lois SOX et de Sécurité Financière. La
recherche-intervention menée dans cette entreprise a permis d’observer l’organisation du contrôle
interne avant la mise en œuvre des lois SOX et de Sécurité Financière (1er semestre 2003), puis
après la mise en œuvre des lois (2ème semestre 2003 puis année 2004 et 2005). La recherche a
permis de faire des observations sur l’organisation et le management du contrôle interne dans un
environnement de mise en œuvre des IAS-IFRS et des lois SOX et de sécurité financière.
L’entreprise A1 vend, installe et maintient des systèmes de surveillance et de sécurité auprès
d’entreprises françaises. Elle compte, sur 800 personnes, une centaine de managers qui encadrent
des équipes de 5 à 15 personnes selon les cas. Le cœur de métier de l’entreprise est de vendre du
matériel de surveillance à des entreprises sous la forme de contrats d’abonnement d’une durée de
quatre ans à paiements mensuels. La vente de matériel à des nouveaux clients se fait selon une
technique dite de « one shoot », consistant à signer le contrat en un seul rendez-vous. Une fois le
contrat signé, l’entreprise cliente fait partie du « parc client » et bénéficie des conseils et de la
maintenance des techniciens. Au bout des quatre années de contrat, les entreprises clientes sont
démarchées pour renouveler leur contrat. Le taux de résiliation, c’est-à-dire les contrats dénoncés
avant leur terme, et le taux d’érosion, c’est-à-dire les clients perdus lors du renouvellement du
contrat, sont des indicateurs très significatifs de la qualité du service rendu par ce type
d’entreprise.
La méthodologie de recherche choisie pour étudier cette entreprise est celle de la rechercheintervention qui est apparue comme une méthode bien adaptée aux objectifs de la recherche, à
savoir observer et décrire un système de contrôle interne avant la mise en œuvre des lois SOX et
de Sécurité Financière, puis les actions entreprises pour mettre en œuvre cette loi et améliorer la
qualité du contrôle interne. La recherche-intervention est une technologie de la recherche
d’exploration et de confirmation qui consiste à pénétrer concrètement l’entreprise, non comme un
simple observateur mais comme un acteur du jeu d’entreprise en charge de conduire un processus
(Savall, 1974 ; 1975 ; Savall & Zardet, 2004 ; Buono & Savall, 2007).
2 - Protocole de la recherche
Le protocole de recherche suivi dans l’entreprise A1 a été le même que dans les entreprises A2,
A3 et A4. Il a permis de confirmer la dimension organisationnelle et managériale du contrôle
interne, de décrire celui-ci avant la mise en œuvre des lois SOX et de Sécurité Financière et de
poser des hypothèses quand à l’organisation et au management du contrôle interne. Le mode
opératoire de la recherche s’est déroulé selon les étapes suivantes :
−
44
Au premier semestre 2003, les dysfonctionnements perturbant l’atteinte des objectifs et le
déroulement des activités, ont été identifiés lors d’entretiens individuels avec la direction et
l’encadrement de l’entreprise. Ce diagnostic a permis de décrire le contrôle interne et
d’identifier ses failles.
ÉTUDE DES CONSEQUENCES ORGANISATIONNELLES ET MANAGERIALES DE LA NORMALISATION IAS-IFRS
−
−
−
−
Puis des entretiens individuels ont été menés auprès de la direction et de l’encadrement pour
évaluer qualitativement (quelles régulations ?), quantitativement (quelle fréquence
d’occurrence sur un an ?) et économiquement (quelle perte de valeur ajoutée sur un an ?)
l’impact des dysfonctionnements et des failles de contrôle interne.
Les régulations ont été regroupées selon deux types d’activité : les activités humaines et les
consommations de biens ou services. Les quantités de consommations de biens ou services
sont évaluées à partir des coûts effectivement supportés par l’entreprise. Les temps humains
sont valorisés à la contribution horaire à la marge sur coût variable (CHMCV) qui est égale
au rapport de la marge sur coûts variables sur le nombre d’heures de travail attendue, la
marge sur coût variable étant égale à la différence entre le chiffre d’affaires réalisé et les
charges variables avec le niveau d’activité (Savall & Zardet, 2004).
Au deuxième semestre 2003, à la suite de ce diagnostic des dysfonctionnements, des groupes
de projet ont été constitués dans les quatre départements principaux de l’entreprise pour
proposer des solutions de réduction des dysfonctionnements et d’amélioration du contrôle
interne. Les solutions retenues ont alimenté les Plans d’Actions Prioritaires (PAP) du premier
semestre 2004 des quatre départements de l’entreprise.
Au cours du deuxième semestre 2004, une action d’évaluation de la mise en œuvre des PAP
a été réalisée dans les quatre départements concernés. A travers des entretiens avec la
direction et l’encadrement des départements, le degré de réalisation des plans d’actions
prioritaires a été évalué et l’impact des actions mises en œuvre en termes de réduction des
dysfonctionnements et d’amélioration du contrôle interne a été mesuré qualitativement et
économiquement, par la réduction des coûts des dysfonctionnements. Cette évaluation a
permis plus particulièrement d’observer et de décrire l’organisation et le management du
contrôle interne et de proposer un modèle d’organisation.
III - Résultats de la recherche
L’étude de cas confirme et illustre l’ampleur des actions organisationnelles et managériales à
mettre en œuvre pour améliorer la qualité du contrôle interne lorsque celui-ci n’est pas organisé
avec efficacité et efficience. Les résultats sont présentés pour chaque élément du contrôle interne
selon le modèle COSO (Hamzaoui, 2005 ; COSO, 2007).
1 - L’environnement de contrôle
Les observations réalisées indiquent que l’environnement de contrôle est un élément qui
s’apparente à la culture d’une entreprise et détermine le niveau de sensibilisation du personnel au
besoin de contrôle. L’étude souligne que l’intégrité, l’éthique et la compétence du personnel, la
philosophie des dirigeants et le style de management, la politique de délégation des
responsabilités, d’organisation et de formation, sont des facteurs importants de l’environnement de
contrôle. Le diagnostic des dysfonctionnements a révélé en premier lieu que l’environnement de
contrôle de l’entreprise A1 souffrait d’un manque de rigueur et de professionnalisme de la
direction et de l’encadrement sans doute lié à la culture du secteur de la sécurité et de la
surveillance : culture de l’oralité, donc peu ou pas d’écrits, culture de l’informel donc peu ou pas
de réunions formalisées, culture de la rapidité, donc des prises de décisions peu réfléchies et
concertées. En second lieu, l’intégrité et l’éthique sont apparues comme des notions peu prises en
compte par le management. Par exemple, dans le département commercial, certaines pratiques de
vente se sont révélées trop agressives conduisant à des malentendus avec les clients sur le prix de
45
LA REVUE DU FINANCIER
l’abonnement, la qualité des matériels… D’où un taux d’insatisfaction des clients importants et en
conséquence des taux de résiliation et d’érosion importants.
Pour améliorer son environnement de contrôle, la direction de l’entreprise A1 a mis en œuvre un
ensemble d’actions touchant tous les managers de l’entreprise, et à travers eux, tout le personnel
de l’entreprise. En premier lieu des actions de formation-concertation ont été organisées pour
améliorer la rigueur dans la gestion et doter tous les managers d’outils de gestion des
compétences, de gestion du temps et des délégations, de pilotage et d’évaluation des personnes.
En second lieu, la direction a défini précisément les règles éthiques de l’entreprise, en termes de
management des personnes et des clients. Ces règles ont été formalisées par écrit, puis elles ont été
présentées à tous les managers lors d’un séminaire, enfin les managers ont présenté ces règles à
leur équipe. Le respect de ces règles éthiques, pour sécuriser leur application, est également
devenu un objectif des plans d’actions des managers, décliné dans les contrats individuels
d’objectifs des personnels de l’entreprise.
2 - L’évaluation des risques
Le diagnostic a montré que l’entreprise A1 était confrontée à un ensemble de risques externes et
internes, comme les risques de recouvrement des créances clients ou de rupture de livraison d’un
fournisseur essentiel à l’activité. En particulier, le diagnostic a révélé que sur le « parc client » de
50 000 entreprises, environ 10% des clients ne réglaient plus, ou réglaient irrégulièrement leurs
mensualités d’abonnement. Afin de structurer son système d’évaluation des risques, l’entreprise a
mis en œuvre un ensemble d’actions organisationnelles et managériales. En premier lieu,
l’entreprise a recruté un risk manager, rattaché à la direction, en charge de gérer plus
particulièrement les risques financiers et juridiques, très sensibles dans le secteur de la
surveillance. En second lieu, la direction de l’entreprise a décidé de doter l’ensemble des
managers de l’entreprise d’un outil de mise en œuvre stratégique semestriel appelé Plan d’Actions
Prioritaires (PAP). Chaque début de semestre, la direction de l’entreprise présente le PAP
« Direction », qui formalise les objectifs de l’entreprise sur le semestre, les actions à mettre en
œuvre pour les atteindre, et les managers concernés par les actions. Chaque manager décline le
PAP « Direction » à son niveau et formalise le PAP de son domaine, service ou équipe. A la fin du
semestre, chaque manager évalue la réalisation de son PAP, identifie les écarts et les explique. Par
consolidation remontante, la direction de l’entreprise est capable d’évaluer le PAP « Direction »
du semestre et de mesurer le degré de réalisation des objectifs fixés.
3 - Les activités de contrôle
A travers ce système descendant et remontant, de déclinaison des objectifs de l’entreprise et des
actions à mettre en œuvre, puis de consolidation des résultats, l’entreprise a mis en œuvre un
système décentralisé, synchronisé et documenté d’évaluation des risques et d’activités de contrôle.
Durant le semestre, chaque manager surveille en permanence la bonne réalisation de son PAP et
traite les écarts repérés. En cas d’impossibilité d’atteindre un objectif prévu, par exemple pour des
raisons budgétaires ou humaines, la direction de l’entreprise est saisie pour faire un arbitrage : soit
l’objectif est neutralisé temporairement, soit des moyens supplémentaires sont alloués pour
atteindre l’objectif malgré les contraintes. Les normes et les procédures de contrôle sont ainsi
élaborées dans l’entreprise, pour s’assurer que les mesures identifiées par le management comme
nécessaires à la réalisation des objectifs et à la réduction des risques, sont correctement réalisées.
L’étude du cas A1 montre que les activités de contrôle sont menées à tous les niveaux
hiérarchiques et fonctionnels d’une unité, complétées par des vérifications de l’audit interne sur
46
ÉTUDE DES CONSEQUENCES ORGANISATIONNELLES ET MANAGERIALES DE LA NORMALISATION IAS-IFRS
demande de la direction générale. Par exemple un cadre du département comptable a pour objectif
de repérer mensuellement les abonnements non payés et d’alerter les commerciaux en charge des
clients concernés, pour enquêter sur les raisons de ces impayés. Le problème se règle soit par la
négociation, soit par contentieux, mais aucun client qui n’honore pas ses règlements ne reste
plusieurs mois sans être relancé, et ce malgré le volume de clients abonnés.
4 - Les systèmes d’information et de pilotage
L’étude de cas montre que les systèmes d’information et de communication sont des éléments
fondamentaux du contrôle interne. L’objectif d’un système d’information et de communication
efficace est de permettre au personnel de recueillir et d’échanger les informations nécessaires à la
conduite, la gestion et le contrôle des opérations. En outre, l’information pertinente doit être
identifiée, recueillie et diffusée sous une forme et dans des délais qui permettent à chacun
d’assumer ses responsabilités. Les systèmes d’information produisent des données opérationnelles,
financières, ou encore liées au respect des obligations légales et réglementaires, qui permettent de
gérer et contrôler l’activité. En outre, ces systèmes traitent non seulement des données produites
par l’entreprise mais également celles qui, liées à l’environnement externe, sont nécessaires à la
prise de décisions pertinentes comme au reporting externe. L’étude du cas A1, comme celle des
cas A2, A3 et A4, montre que l’ensemble du processus de contrôle interne, pour devenir un
phénomène actif, doit également faire l’objet de contrôles périodiques pour en mesurer la
performance, c’est le rôle de l’audit interne, et d’un pilotage permanent pour l’animer, sous peine
de se désagréger. En effet, à l’origine chez A1, il est apparu que le contrôle interne ne faisait pas
l’objet de pilotage, mais s’apparentait à un système passif et dilué. Le pilotage du contrôle interne
s’est véritablement organisé en 2004 de façon décentralisée, vers les managers, et synchronisée,
par la direction de l’entreprise, en utilisant l’outil PAP et son évaluation régulière. Les
observations montrent que l’entreprise est parvenue à un niveau satisfaisant de pilotage de son
contrôle interne au bout de trois semestres (2ème semestre 2003, 1er et 2ème semestre 2004), ce qui
illustre la profondeur des changements managériaux et organisationnels entrepris.
IV - L’animation de la fonction contrôle interne
En synthèse, l’évaluation réalisée au deuxième semestre 2004 dans l’entreprise A1 a montré que le
contrôle interne, pour être effectivement piloté, devenir efficace et efficient et répondre aux
objectifs des lois SOX et de Sécurité Financière, a été organisé comme une fonction. Ce résultat
rejoint les observations réalisées sur les trois autres entreprises de l’étude A2, A3 et A4. Dans une
entreprise, une fonction peut se définir comme une catégorie institutionnalisée d’activités
organisationnelles, l’institutionnalisation étant un processus par lequel des processus sociaux
prennent un statut de règle dans la pensée et l’action des acteurs (Selznick, 1969 ; DiMaggio &
Powell, 1991). On parlera ainsi par exemple de fonction Recherche Développement ou de fonction
Qualité. Dans le cas de l’entreprise A1, l’évaluation a permis également de mesurer la réduction
des coûts des dysfonctionnements et des pertes de valeur ajoutée, qui sont passés de 30 000 € par
personne et par an en 2003 à 15 000 € par personne et par an en 2004. Cette réduction des coûts
des dysfonctionnements, qui a été évaluée dans des proportions similaires dans les trois autres
entreprises A2, A3 et A4 de l’étude, indique une amélioration de la qualité du contrôle interne si
l’on se réfère aux travaux de Ebondo et Pigé exposés dans le premier paragraphe de l’article.
Les résultats de l’étude réalisée sur les quatre entreprises avant la mise en œuvre des lois SOX et
de Sécurité Financière rejoignent ceux de Pigé (2001 ; 2007) et Renard (2002). Ils indiquent que
47
LA REVUE DU FINANCIER
traditionnellement, le contrôle interne dépend des outils, des dispositifs et des méthodes des
fonctions contrôle de gestion et audit interne ainsi que des systèmes qualité et managériaux. Le
contrôle interne subit en quelque sorte la qualité de l’animation de ces fonctions et de ces
systèmes, mais n’est pas lui-même animé comme une fonction. Il n’est pas, en permanence, piloté
par la direction et porté par les managers, au travers de dispositifs, d’outils et de méthodes qui lui
seraient propres de synchronisation, d’information et de toilettage. Il est au mieux évalué
épisodiquement par l’audit interne.
Les observations réalisées dans l’entreprise A1 comme dans les trois autres entreprises de l’étude
A2, A3 et A4 montrent que la qualité du contrôle interne s’accroît s’il est organisé comme une
fonction institutionnalisée (voir schéma 1).
Schéma 1 : Modèle d’animation de la fonction contrôle interne (Cappelletti, 2006)
Fonction audit interne
Synchronisation
Système
management
de
Toilettage
Pilotage
Contrôle interne
Système qualité
Système d’information
Fonction contrôle de gestion
Être organisé en fonction signifie que le contrôle interne dispose de dispositifs et d’outils qui lui
sont propres de synchronisation, de pilotage, de toilettage, et d’information. Ce faisant, le contrôle
interne peut s’appuyer sur les fonctions et les systèmes qui lui sont proches : audit interne, qualité,
management et contrôle de gestion. Ce résultat rejoint les travaux de Savall & Zardet (2004 ;
2005) qui ont montré que les causes racines de la qualité d’une fonction sont liées à la qualité de
synchronisation, de toilettage, et de pilotage de la fonction, et à la qualité du système
d’information qui lui est dédié. Animé sous forme de fonction, le contrôle interne peut évoluer de
son état traditionnel, ponctuel et subi, vers un état plus permanent et actif.
Pour illustrer ce modèle d’animation de la fonction contrôle interne présenté dans le schéma 1,
voici sa concrétisation dans le cas de l’entreprise A1. Le pilotage de la fonction contrôle interne a
été attribué au Responsable Organisation qui est membre du comité de direction. Le rôle du pilote
de la fonction contrôle interne est de se synchroniser tous les mois avec les responsables du
contrôle de gestion, de la qualité et de l’audit interne pour identifier lors d’une réunion les points
négatifs et positifs repérés concernant le contrôle interne. Les points négatifs font l’objet d’une
définition d’actions correctrices qui sont validées par le pilote auprès du comité de direction et qui
alimentent les PAP des managers. L’évaluation semestrielle des PAP réalisée par chaque manager
est remontée, via le système d’information, vers le pilote de la fonction contrôle interne qui par
capitalisation et consolidation des PAP vérifie le degré d’atteinte des objectifs de l’entreprise. Le
48
ÉTUDE DES CONSEQUENCES ORGANISATIONNELLES ET MANAGERIALES DE LA NORMALISATION IAS-IFRS
pilote mesure également la réduction des coûts des dysfonctionnements et des pertes de valeur
ajoutée engendrée par l’atteinte des objectifs. Lors d’un comité de direction semestriel, le pilote du
contrôle interne présente les résultats qualitatifs et financiers des PAP ce qui permet d’évaluer la
qualité globale du contrôle interne. Puis les PAP sont toilettés et déclinés à nouveau vers les
managers pour le semestre suivant.
En résumé, les résultats de l’étude réalisée sur les entreprises A1, A2, A3 et A4 montrent que
l’animation de la fonction contrôle interne repose sur cinq principes génériques qui seraient en
quelque sorte des preuves de son institutionnalisation dans l’entreprise (Cappelletti, 2006) : la
décentralisation synchronisée (la fonction est pilotée par une personne mais tous les managers
opérationnels et fonctionnels y contribuent) ; l’évaluation de son efficience (par la mesure de sa
contribution à la réduction des coûts des dysfonctionnements) ; l’appui de la direction générale (le
pilote de la fonction fait partie du comité de direction) ; des outils et des dispositifs dédiés au
contrôle interne (outils et dispositifs de synchronisation, de pilotage, de toilettage et
d’informations) ; l’articulation transversalité et verticalité (l’évaluation et le toilettage des PAP se
fait en utilisant les lignes hiérarchiques verticales et une instance transversale composée du pilote
de la fonction et de responsables fonctionnels : contrôleur de gestion, responsable qualité,
responsable de l’audit).
Le point intéressant est que ces cinq principes génériques sont également repris dans le modèle
d’organisation du contrôle interne proposé en 2007 par le COSO. De façon très explicite pour les
principes d’évaluation de l’efficience du contrôle interne, d’appui de la direction générale, et
d’outils et de dispositifs dédiés au contrôle interne. De façon plus implicite, sous forme de
schémas organisationnels, pour les principes de décentralisation synchronisée et d’articulation
verticalité-transversalité. En particulier, le modèle COSO souligne que la mesure de l’efficience
du contrôle interne, calculée par la différence entre ses coûts de fonctionnement et les gains qu’il
engendre (réduction des coûts des dysfonctionnements et des pertes de valeur ajoutée) est un
élément clé de sa pérennité notamment dans les petites entreprises (COSO, 2006).
Conclusion
L’hypothèse développée dans l’article soutient que l’application des IAS-IFRS demande une
normalisation informationnelle du contrôle interne et annonce sa normalisation organisationnelle
et managériale. En effet, il apparaît que la concomitance des normalisations IAS-IFRS et SOX (loi
de sécurité financière en France) n’est pas contingente. Le respect du cadre conceptuel IAS-IFRS,
en particulier le principe de fiabilité des informations financières, demande en effet la mise en
œuvre dans les organisations d’un contrôle interne lui-même de qualité. Or, la simple description
du contrôle interne dans les reportings financiers, attestée par les auditeurs externes et les
dirigeants, comme l’obligent a minima les lois SOX et de Sécurité Financière, n’est pas suffisante
pour garantir un contrôle interne de qualité. Le cas EADS évoqué dans l’article illustre bien cette
hypothèse (Cappelletti, 2007). C’est pourquoi les parties prenantes et les investisseurs exercent, ou
devraient exercer à l’avenir, une pression plus forte pour normaliser l’organisation du contrôle
interne, et augmenter ainsi leur niveau d’assurance sur la qualité du contrôle interne et des
informations financières produites. Cette pression se matérialise par exemple dans les modèles
d’organisation et de pilotage du contrôle interne préconisés par le COSO (2006, 2007). Dans ce
contexte d’application des IAS-IFRS, les questions organisationnelles et managériales sont donc
de première importance.
Pour apporter des éléments de réponse à ces questions, les résultats de recherches-interventions
menées sur quatre entreprises entre 2003 et 2005 ont permis de proposer un modèle d’organisation
du contrôle interne, sous la forme de l’animation d’une fonction. Ce modèle repose sur cinq
49
LA REVUE DU FINANCIER
principes génériques repris également, plus ou moins explicitement, dans les modèles COSO : la
décentralisation synchronisée, la mesure de l’efficience du contrôle interne, l’appui de la direction
générale, l’utilisation d’outils et de méthodes dédiés au contrôle interne, l’articulation verticalité et
transversalité.
Si cette hypothèse de normalisation de l’organisation du contrôle interne exposée dans l’article
était confirmée, les enjeux et les perspectives de recherche seraient multiples. D’une part, le travail
des auditeurs internes et externes évoluerait puisqu’il consisterait à repérer des traces et des
documents probants attestant de l’existence d’une fonction contrôle interne efficace et efficiente.
D’autre part, au sein des organisations la mise en œuvre d’une fonction contrôle interne
permettrait de reconnecter la finance à l’organisation et au management. Enfin, les descriptions de
contrôle interne dans les documents de référence perdraient leur caractère un peu convenu et
vague pour décrire des principes et des dispositifs attendus. Il y a là d’ailleurs matière à de
nombreux débats portant sur le niveau de transparence que les parties prenantes et les investisseurs
sont en droit d’attendre d’une organisation sur son contrôle interne.
Bibliographie
ABBOT J., PARKER S., PETERS G. & RAMA D. (2007), « Corporate Governance, Audit Quality, and the
Sarbanes-Oxley Act: Evidence from Internal Audit Outsourcing », The Accounting Review, Vol 82, N° 4,
July, pp. 803-836.
BUONO A. & SAVALL H. (2007), Socio-economic intervention in organizations. The intervener-researcher and
the “seam” approach to organizational analysis, Charlotte: IAP-Information Age Publishing.
BURLAUD A. & SIMON C. (1997), Le contrôle de gestion, La Découverte.
BERTHOUD A. & MERLE B. (2005), « Le reporting comme contrôle interne sur l’organisation, les
impacts du SOX et de la LSF », Echanges, dossier spécial reporting, n°220, avril, pp. 41-43.
CAPPELLETTI L. (2006), « Vers une institutionnalisation de la fonction contrôle interne ? »,
Comptabilité-Contrôle-Audit, Tome 12, Volume 1, mai, pp. 27-43.
CAPPELLETTI L. (2007), « L’audit et le contrôle, au centre de l’éthique d’entreprise », Economie et
Management, n°123, avril, pp. 5-11.
COLASSE B. (2007), Les fondements de la comptabilité, La Découverte.
COLATRELLA T. (2003), « Loi de Sécurité Financière : les enjeux de l’évaluation du contrôle interne »,
Lettre d’information technique KPMG, n°3, pp.6-9.
COOPERS & LYBRAND (1994), La nouvelle pratique du contrôle interne, en collaboration avec l’IFACI,
Les Editions d’organisation.
COSO - Committe Of Sponsoring Organizations of the Treadway Commission (2006), Contrôle interne sur
l’information financière – lignes directrices à l’attention des petites sociétés ouvertes, Volume 1, Résumé,
Juin, //www.coso.org.
COSO - Committe Of Sponsoring Organizations of the Treadway Commission (2007), Internal Control –
Integrated Framework. Guidance on Monitoring Internal Control Systems, Septembre, //www.coso.org.
EBONDO E. & PIGE B. (2002), « L’arbitrage entreprise/marché : le rôle du contrôle interne, outil de
réduction des coûts de transaction », Comptabilité-Contrôle-Audit, Tome 8, volume 2, pp. 51-67.
HAMZAOUI M. (2005), Audit. Gestion des risques d’entreprise et contrôle interne, avec la participation de
Pigé B., Village Mondial.
IFACI (2006), Le dispositif de contrôle interne : Cadre de référence, Présentation des travaux du Groupe de
Place, 9 mai 2006.
JACQUEMARD R. (2007), « L’évolution de l’audit financier au cours des dernières années : de l’auditeur
soliste à l’auditeur chef d’orchestre », Economie et Management, n°123, avril, pp. 28-32.
MOELLER RR. (2004), Sarbanes-Oxley and the new internal auditing rules, IAA Editions.
PIAGET J. (1975), L’équilibration des structures cognitives, problème central du développement, Presses
Universitaires de France.
PIGE B. (2001), Audit et Contrôle interne, Editions Management et Société, 2ème édition.
50
ÉTUDE DES CONSEQUENCES ORGANISATIONNELLES ET MANAGERIALES DE LA NORMALISATION IAS-IFRS
PIGE B. (2007), « Contrôle interne et PME », table ronde du 1er Congrès transatlantique de comptabilité,
contrôle, audit et gestion des coûts de l’IIC en partenariat avec l’AAA, Lyon, IAE-ISEOR.
POWELL W. & DIMAGGIO P.J. (1991), The new institutionalism in organizational analysis, Chicago, the
University of Chicago Press.
RENARD J. (2002), Théorie et pratique de l’audit interne, Préface de Gallois L., Les Editions
d’organisation, 4ème édition.
SAVALL H. (1975), Enrichir le travail humain, l’évaluation économique, thèse Université Paris IX
Dauphine, 1974, publiée avec préfaces de Delors J. et Bienaymé A., Dunod, 1ère édition 1975, 2ème
édition 1979, 3ème édition, Economica, 1989.
SAVALL H. & ZARDET V. (2004), Recherche en Sciences de Gestion : Approche Qualimétrique.
Observer l’objet complexe, préface du Pr David Boje (Etats-Unis), Economica.
SAVALL H. & ZARDET V. (2005), Tétranormalisation, défis et dynamique, Economica.
SELZNICK P. (1969), Law, Society and Industrial Justice, New Brunswick, Transaction Book.
TORT E. (2006), Le reporting financier. Aspect comptables, fiscaux et de gestion, Dunod.
TOURON P. & TONDEUR H. (2004), Comptabilité en IFRS, Editions d’Organisation,
THE INSTITUTE OF INTERNAL AUDITORS (1989), Codifications of standards for the professional
practice of internal Auditing, Altamonte Springs, FL, IIA.
THE INSTITUTE OF INTERNAL AUDITORS (1991), Systems Auditability and Control (SAC Report),
Altamonte Springs, FL, IIA Research Foundation.
WILKINS S. & GUPTA P. (2007), « Sustaining SOX 404: A project management approach », Management
Accounting Quaterly, Winter, 8(2).
WIRTZ P. (2005), « Meilleures pratiques de gouvernance et création de valeur : une appréciation critique
des codes de bonnes conduites », Comptabilité-Contrôle-Audit, Tome 11, volume 1, pp. 141-160.
51