ÉTUDE DES CONSEQUENCES ORGANISATIONNELLES ET MANAGERIALES DE LA NORMALISATION IAS-IFRS Étude des conséquences organisationnelles et managériales de la normalisation IAS-IFRS Laurent Cappelletti Maître de Conférences, HDR ISEOR – IAE de LYON – Université Jean Moulin Lyon 3 [email protected] Les IAS-IFRS qui normalisent l’information comptable et financière s’accompagnent d’une normalisation du contrôle interne et de la gouvernance des entreprises au travers des lois Sarbanes-Oxley (SOX) et de Sécurité Financière. Cette évolution est visible dans les documents de référence des sociétés cotées qui prennent désormais une forme « qualimétrique » alternant informations qualitatives, quantitatives et financières. En s’appuyant sur quatre études de cas, l’article montre en quoi la normalisation IAS-IFRS est non seulement une normalisation informationnelle mais annonce également une normalisation managériale et organisationnelle du contrôle interne. L’organisation est ainsi mise au centre des préoccupations du financier. By now companies have to cope with a standardization of both financial information, through the IAS-IFRS, and their internal control systems and corporate governance practices, through the Sarbane-Oxley Act (SOX) or Law of Financial Security in France. This is why financial reportings are becoming “qualimetrics” using qualitative, quantitative and financial informations. Based on the result of four case studies, the article shows that IAS-IFRS lead to a standardization of financial information and also to a standardization of the internal control monitoring and management. Thus organizational matters become a central field of survey for finance. Introduction L’application des normes IAS-IFRS pour les comptes consolidés dans les sociétés cotées françaises depuis le 1er janvier 2005 se déroule dans un contexte de normalisation du contrôle interne avec les lois Sarbanes-Oxley (SOX) de 2002 et de Sécurité Financière de 2003. C’est pourquoi, le reporting financier des sociétés cotées présenté sous la forme du document de référence devient « qualimétrique », alternant informations qualitatives sur la gouvernance et le contrôle interne, quantitatives sur des données sectorielles en application d’IAS 14, et financières (Berthoud & Merle, 2005 ; Tort, 2006). Ils semblent ainsi que l’application des IAS-IFRS qui relève à l’origine d’une normalisation informationnelle s’accompagne d’une normalisation organisationnelle du contrôle interne et de la gouvernance des sociétés cotées. Le propos de cet article est de montrer que ce double mouvement de normalisation informationnelle et organisationnelle qui relie la finance et l’organisation n’est pas contingent. En 39 LA REVUE DU FINANCIER effet, l’objectif des IAS-IFRS est de représenter conceptuellement l’activité de l’entreprise à « sa juste valeur », traduction imparfaite du principe anglo-saxon de fair value (Colasse, 2007). En particulier, le cadre conceptuel des IAS-IFRS précise que l’information comptable et financière doit être intelligible, pertinente, fiable et comparable pour satisfaire les besoins d’informations de toutes les parties prenantes en particulier les investisseurs (Touron & Tondeur, 2004). Pour atteindre ces objectifs conceptuels du cadre IAS-IFRS, il est donc nécessaire que l’entreprise mette en place un système de contrôle interne pour assurer la fiabilité et la qualité des informations financières produites (Hamzaoui, 2005). Bien qu’il n’existe pas dans les lois SOX et de Sécurité Financière de normes explicites d’organisation du contrôle interne, l’IFACI a proposé en France en 2006 un cadre de référence pour le contrôle interne. Aux États-Unis, la commission chargée d’élaborer des guides de contrôle interne, le COSO (Committee of Sponsoring Organization), est allée plus loin en proposant en septembre 2007 un guide de pilotage du contrôle interne (Guidance on Monitoring Internal Control Systems) avec des préconisations managériales et organisationnelles. Dans ce contexte, la problématique étudiée dans l’article abordera les questions suivantes : est-ce que la normalisation IAS-IFRS n’annonce pas une normalisation du contrôle interne et de son organisation ? Quels seraient les enjeux organisationnels et managériaux de cette normalisation ? Dans un premier paragraphe, l’article revient sur les lois SOX et de Sécurité Financière pour montrer que leur application n’entraîne pas mécaniquement la production d’une information comptable et financière fiable et transparente : pour atteindre cet objectif et contribuer effectivement au cadre conceptuel IAS-IFRS, ces lois doivent se traduire dans les entreprises par une organisation efficace et efficiente du contrôle interne. Dans un deuxième paragraphe, à partir de recherches-interventions réalisées entre 2003 et 2005 dans quatre entreprises qui ont appliqué les lois SOX ou de Sécurité Financière, l’article confirme qu’un contrôle interne de qualité demande des dispositifs organisationnels et managériaux adaptés. Un modèle d’organisation et de management du contrôle interne est également proposé sous la forme d’une fonction contrôle interne. Ce modèle est positionné par rapport à celui du COSO de septembre 2007. I - Le cadre conceptuel des lois SOX et de Sécurité Financière En France, la Loi de Sécurité Financière du 1er août 2003 s’applique pour les exercices ouverts à compter du 1er janvier 2003 et concerne les sociétés anonymes faisant appel public à l’épargne, suite à la loi pour la modernisation de l’économie de juillet 2005. Elle vise à rétablir la confiance des investisseurs dans la transparence de l’information financière. Cette loi, dans la continuité de la loi américaine SOX du 30 juillet 2002, introduit des obligations d’information des actionnaires et du marché sur les procédures de contrôle interne mises en place dans les sociétés anonymes (Colatrella, 2003 ; Tort, 2006). 1 - Convergences et spécificités des lois SOX et de Sécurité Financière La loi SOX a pour principal objectif de pallier les défaillances apparues dans les affaires Enron ou Worldcom concernant les dirigeants, les auditeurs externes, les cabinets d’avocats et les analystes financiers (Moeller, 2004 ; Abbot & al., 2007). Dans le même esprit la loi de Sécurité Financière souhaite répondre à la crise de confiance née Outre-Atlantique et relayée en France par des affaires comme Vivendi. Les deux lois se rejoignent sur la nécessité d’amélioration de la 40 ÉTUDE DES CONSEQUENCES ORGANISATIONNELLES ET MANAGERIALES DE LA NORMALISATION IAS-IFRS transparence de l’information financière. La volonté des deux législateurs est double : une information plus complète à destination des investisseurs et une plus grande appropriation du processus d’arrêté des comptes par les dirigeants. A cet effet, SOX prévoit une évaluation du contrôle interne signée par le président et le directeur financier (CEO et CFO) jointe au rapport annuel de toute société cotée sur un marché financier américain. Ce rapport sur le contrôle interne est accompagné d’une opinion de l’auditeur externe. Ces rapports sont déposés sous serment auprès de la SEC. Des dispositions très proches se retrouvent dans la loi de Sécurité Financière. Le président doit, dans un rapport joint au rapport de gestion sur les comptes sociaux et les comptes consolidés, rendre compte des procédures de contrôle interne mises en place dans la société. Les commissaires aux comptes doivent, dans un rapport joint à leur rapport général, présenter leurs observations sur les procédures de contrôle interne décrites par le président, pour celles relatives à l’élaboration et au traitement de l’information comptable et financière (Jacquemard, 2007). L’évaluation du contrôle interne requise par la loi de Sécurité Financière est différente de celle requise dans le cas d’une certification des comptes par des auditeurs externes. Cette différence provient essentiellement d’une différence d’objectif. Pour l’auditeur externe, l’analyse du contrôle interne n’est qu’une procédure d’audit parmi d’autres, qui se fait sur les contrôles clés. Dans l’esprit de la loi de Sécurité Financière, la revue du contrôle interne a pour but d’exprimer une opinion sur l’efficacité du contrôle interne sur le reporting financier mis en œuvre au cours de la période considérée. Son champ d’application est donc plus vaste, puisque toutes les transactions routinières, non routinières, et estimations financières, sont concernées. Toutes les procédures de contrôle interne, significatives ou non, peuvent entrer ainsi dans son champ d’application, puisqu’elle précise que « le président rend compte des procédures de contrôle interne mises en place par la société » (Colatrella, 2003 ; Tort, 2006). 2 - La normalisation du contrôle interne Savall & Zardet (2005) et Wirtz (2005) montrent que les règles imposées par les lois SOX et de Sécurité Financière témoignent d’un phénomène international de normalisation, dans lequel les entreprises sont soumises à des pressions diverses cherchant à obtenir leur mise en conformité avec les « meilleures pratiques » de gouvernance. Un des domaines où cette pression se fait très concrètement est celui de la comptabilité, car les scandales financiers tels qu’Enron étaient en même temps des scandales comptables. En termes de normalisation et d’information, la loi de Sécurité Financière n’impose pas de modèle du contrôle interne mais les travaux sur le contrôle interne montrent que des référentiels existent et sont fortement recommandés. Par exemple, le législateur américain fait souvent référence à la définition du contrôle interne donnée par le COSO en 1994 (Cappelletti, 2006). A partir des bonnes pratiques identifiées sur le sujet, le COSO décrit de façon théorique les composantes essentielles à retrouver dans un dispositif de contrôle interne. Le contrôle interne est ainsi modélisé à travers cinq éléments : l’environnement de contrôle, l’évaluation des risques, les activités de contrôle, l’information et la communication et le pilotage du système de contrôle interne. Le modèle COSO donne une description du contrôle interne qui constitue un référentiel auquel les entités peuvent se référer pour évaluer les contrôles qu’elles ont mis en place (Hamzaoui, 2005). La loi de Sécurité Financière ne précise également ni la forme ni le contenu des rapports à faire par les dirigeants. Ces nouveaux rapports s’adressent aux investisseurs qui n’ont pas la possibilité d’apprécier l’efficacité du contrôle interne. Il est donc primordial que ces dispositifs ne soient pas uniquement descriptifs, mais qu’ils attestent la bonne application et l’efficacité des procédures décrites. 41 LA REVUE DU FINANCIER La normalisation du rapport de contrôle interne pourrait ainsi se faire rapidement (Colatrella, 2003 ; Tort, 2006). En effet, la loi de Sécurité Financière a désigné l’Autorité des Marchés Financiers (AMF) comme seule responsable pour fixer le contenu des rapports. Un groupe de travail appelé « le Groupe de Place », incluant l’AMF, le MEDEF et l’IFACI a été constitué pour définir les modalités d’application de la loi de Sécurité Financière dans les sociétés cotées. Les conclusions de ce groupe de travail publiées en mai 2006 proposent un cadre de référence fondé sur des principes généraux et non sur des règles contraignantes. Cependant ce cadre s’inspire des cinq éléments du modèle COSO déjà largement diffusé. On peut donc penser que ce cadre sera utilisé peu à peu par les sociétés faisant appel public à l’épargne pour superviser ou développer leur dispositif de contrôle interne, même s’il ne constitue pas formellement une directive sur la façon de concevoir leur organisation : « Chaque société est responsable de son organisation propre et donc de son contrôle interne, lequel devrait s’inscrire dans le cadre d’une bonne gouvernance, telle que développée dans les rapports Viénot et Bouton » (IFACI, 2006). 3 - Les enjeux organisationnels et managériaux des lois SOX et de Sécurité Financière Ce mouvement de normalisation du contrôle interne qui accompagne l’application des IAS-IFRS, pose moins une problématique informationnelle, puisque les modèles de contrôle interne existent et sont disponibles, que managériale et organisationnelle. En effet, la comptabilité reste une pratique sociale et le contrôle interne est un système à organiser. La comptabilité est influencée par une politique et une stratégie comptable, et elle résulte d’un jeu social (Colasse, 2007). Aussi, le lien entre le contrôle interne et l’information comptable n’est pas régi par un phénomène automatique et passif de régulation, mais par un phénomène actif d’équilibration, dans le sens de Piaget (1975). Cela signifie que le contrôle interne offre une sécurité concernant la qualité du reporting financier à condition qu’il soit organisé et managé avec efficacité et efficience. Sa description dans les rapports d’activité ne peut suffire à attester de sa qualité et valider sa contribution à la transparence de l’information financière préconisée par le cadre conceptuel IASIFRS. Les parties prenantes et les investisseurs ont pu le constater dans l’affaire EADS, dont le document de référence 2005 attestait de la qualité du contrôle interne alors qu’il était sujet à de graves défaillances qui sont apparues au grand jour en 2006 (Cappelletti, 2007). Dans son acception générale, le contrôle interne d’une entreprise est un système de contrôle établi par les dirigeants pour conduire l’activité de l’entreprise d’une manière ordonnée, pour assurer le maintien de l’activité et l’intégrité des actifs, et fiabiliser les flux d’information. Le contrôle interne est à la fois un état et un processus qui inclut les matières financières et comptables, mais également les contrôles destinés à améliorer l’efficience opérationnelle et à renforcer l’adhésion à la politique stratégique de l’entreprise. Le contrôle interne est avant tout un système d’organisation, qui concerne les managers dans son application (Pigé, 2001 ; 2007 ; COSO, 2007). La dimension organisationnelle du contrôle interne apparaît nettement au travers des définitions du contrôle interne données par la profession comptable. En 1977, l’ouvrage de l’Ordre des experts-comptables et des comptables agréés intitulé “ Le contrôle interne ” indique que le contrôle interne est l’ensemble des sécurités contribuant à la maîtrise de l’entreprise. Il a pour but d’un côté d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information, de l’autre, l’application des instructions de la direction et de favoriser l’amélioration des performances. Il se manifeste par l’organisation des méthodes et procédures de chacune des activités de l’entreprise pour maintenir la pérennité de celle-ci. En 1978, l’Institute of Internal Auditors (IIA) définissait quatre objectifs permanents du contrôle interne, très proches de la 42 ÉTUDE DES CONSEQUENCES ORGANISATIONNELLES ET MANAGERIALES DE LA NORMALISATION IAS-IFRS définition de l’Ordre des Experts-Comptables : la sécurité des actifs, la qualité des informations, le respect des directives, l’optimisation des ressources. L’IIA précisera en 1989 que c’est l’audit interne qui dans l’entreprise a en charge l’évaluation du contrôle interne. L’audit interne s’assure que les produits engendrés dans l’entreprise sont conformes aux objectifs, que le contrôle interne est défini, pratiqué et efficient. 4 - La question de l’organisation et du management du contrôle interne Pourtant, même si la dimension organisationnelle du contrôle interne est soulignée par la littérature comptable et financière, l’organisation et le management d’un système de contrôle interne reste encore peu étudiée dans cette littérature. Les travaux de Ebondo & Pigé (2002) abordent cette question en montrant bien que l’activité de contrôle interne est constitutive de l’organisation dans sa différence par rapport au marché. Selon eux si la structure organisationnelle évolue, il devient indispensable de faire évoluer en parallèle le système de contrôle interne, ou système de contrôle organisationnel interne, qui en assure la cohérence. Ebondo & Pigé attribuent trois objectifs au contrôle interne : s’assurer que les décisions prises sont correctement appliquées, garantir un niveau minimum de qualité aux prestations effectuées ou aux produits fabriqués, déceler les anomalies de fonctionnements. Ils montrent en particulier que les objectifs du contrôle interne sont liés à des coûts de transaction et entraînent la mise en place et l’application de procédures de contrôle interne visant à minimiser les coûts de transaction. Pour Pigé (2007), le contrôle interne d’une entreprise dépasse donc le strict cadre comptable pour s’inscrire dans un cadre plus large organisationnel et managérial. C’est pourquoi des chercheurs comme Wilkins & Gupta (2007) recommandent une approche management de projet (project management approach) pour construire et piloter le contrôle interne. L’application des lois SOX et de Sécurité Financière qui accompagne la mise en œuvre des IASIFRS invite donc à approfondir les analyses organisationnelles. Comme ce paragraphe vient de l’exposer, la normalisation IAS-IFRS impose implicitement aux entreprises d’organiser et de manager leur contrôle interne avec efficacité et efficience pour lui donner une permanence de fonctionnement. Mais les lois ou les normes laissent encore le choix aux entreprises d’organiser comme elles l’entendent leur contrôle interne. La question est de savoir si la pression des parties prenantes ne va pas s’exercer à l’avenir pour normaliser également l’organisation du contrôle interne, avoir ainsi une garantie plus forte quant à son efficacité et la permanence de son fonctionnement, et obtenir de la sorte un niveau d’assurance plus élevé sur la fiabilité des informations comptables et financières produites ? Quels pourraient être alors les dispositifs organisationnels et managériaux à mettre en œuvre dans les organisations, dont l’existence serait validée par les auditeurs externes et dont la description dans les rapports d’activité donnerait une assurance suffisante aux parties prenantes et aux investisseurs quant à la qualité du contrôle interne ? II - Quel modèle d’organisation du contrôle interne ? Afin d’apporter des éléments de réponse à la problématique de l’organisation du contrôle interne, l’article exploite les résultats de recherches-interventions réalisées entre 2003 et 2005 dans quatre entreprises devant appliquer les lois SOX ou de Sécurité Financière. Il s’agit d’une entreprise française de sécurité (A1) de 800 salariés, d’une entreprise française de pâtisserie (A2) de 3000 salariés, de la filiale française (A3) de 2500 salariés d’un groupe international d’agroalimentaire, 43 LA REVUE DU FINANCIER et d’une entreprise industrielle américaine (A4) du secteur automobile de 200 salariés (Buono & Savall, 2007 pp. 45-71-229-279). La méthodologie de recherche utilisée et les résultats observés ont été similaires dans les quatre entreprises. Pour plus de clarté dans les explications, le cas A1 fera l’objet d’une présentation détaillée dans ce paragraphe. 1 - Méthodologie de la recherche L’entreprise A1 est contrôlée par un groupe international. Elle publie ses comptes en normes françaises et en normes IAS-IFRS et applique les lois SOX et de Sécurité Financière. La recherche-intervention menée dans cette entreprise a permis d’observer l’organisation du contrôle interne avant la mise en œuvre des lois SOX et de Sécurité Financière (1er semestre 2003), puis après la mise en œuvre des lois (2ème semestre 2003 puis année 2004 et 2005). La recherche a permis de faire des observations sur l’organisation et le management du contrôle interne dans un environnement de mise en œuvre des IAS-IFRS et des lois SOX et de sécurité financière. L’entreprise A1 vend, installe et maintient des systèmes de surveillance et de sécurité auprès d’entreprises françaises. Elle compte, sur 800 personnes, une centaine de managers qui encadrent des équipes de 5 à 15 personnes selon les cas. Le cœur de métier de l’entreprise est de vendre du matériel de surveillance à des entreprises sous la forme de contrats d’abonnement d’une durée de quatre ans à paiements mensuels. La vente de matériel à des nouveaux clients se fait selon une technique dite de « one shoot », consistant à signer le contrat en un seul rendez-vous. Une fois le contrat signé, l’entreprise cliente fait partie du « parc client » et bénéficie des conseils et de la maintenance des techniciens. Au bout des quatre années de contrat, les entreprises clientes sont démarchées pour renouveler leur contrat. Le taux de résiliation, c’est-à-dire les contrats dénoncés avant leur terme, et le taux d’érosion, c’est-à-dire les clients perdus lors du renouvellement du contrat, sont des indicateurs très significatifs de la qualité du service rendu par ce type d’entreprise. La méthodologie de recherche choisie pour étudier cette entreprise est celle de la rechercheintervention qui est apparue comme une méthode bien adaptée aux objectifs de la recherche, à savoir observer et décrire un système de contrôle interne avant la mise en œuvre des lois SOX et de Sécurité Financière, puis les actions entreprises pour mettre en œuvre cette loi et améliorer la qualité du contrôle interne. La recherche-intervention est une technologie de la recherche d’exploration et de confirmation qui consiste à pénétrer concrètement l’entreprise, non comme un simple observateur mais comme un acteur du jeu d’entreprise en charge de conduire un processus (Savall, 1974 ; 1975 ; Savall & Zardet, 2004 ; Buono & Savall, 2007). 2 - Protocole de la recherche Le protocole de recherche suivi dans l’entreprise A1 a été le même que dans les entreprises A2, A3 et A4. Il a permis de confirmer la dimension organisationnelle et managériale du contrôle interne, de décrire celui-ci avant la mise en œuvre des lois SOX et de Sécurité Financière et de poser des hypothèses quand à l’organisation et au management du contrôle interne. Le mode opératoire de la recherche s’est déroulé selon les étapes suivantes : − 44 Au premier semestre 2003, les dysfonctionnements perturbant l’atteinte des objectifs et le déroulement des activités, ont été identifiés lors d’entretiens individuels avec la direction et l’encadrement de l’entreprise. Ce diagnostic a permis de décrire le contrôle interne et d’identifier ses failles. ÉTUDE DES CONSEQUENCES ORGANISATIONNELLES ET MANAGERIALES DE LA NORMALISATION IAS-IFRS − − − − Puis des entretiens individuels ont été menés auprès de la direction et de l’encadrement pour évaluer qualitativement (quelles régulations ?), quantitativement (quelle fréquence d’occurrence sur un an ?) et économiquement (quelle perte de valeur ajoutée sur un an ?) l’impact des dysfonctionnements et des failles de contrôle interne. Les régulations ont été regroupées selon deux types d’activité : les activités humaines et les consommations de biens ou services. Les quantités de consommations de biens ou services sont évaluées à partir des coûts effectivement supportés par l’entreprise. Les temps humains sont valorisés à la contribution horaire à la marge sur coût variable (CHMCV) qui est égale au rapport de la marge sur coûts variables sur le nombre d’heures de travail attendue, la marge sur coût variable étant égale à la différence entre le chiffre d’affaires réalisé et les charges variables avec le niveau d’activité (Savall & Zardet, 2004). Au deuxième semestre 2003, à la suite de ce diagnostic des dysfonctionnements, des groupes de projet ont été constitués dans les quatre départements principaux de l’entreprise pour proposer des solutions de réduction des dysfonctionnements et d’amélioration du contrôle interne. Les solutions retenues ont alimenté les Plans d’Actions Prioritaires (PAP) du premier semestre 2004 des quatre départements de l’entreprise. Au cours du deuxième semestre 2004, une action d’évaluation de la mise en œuvre des PAP a été réalisée dans les quatre départements concernés. A travers des entretiens avec la direction et l’encadrement des départements, le degré de réalisation des plans d’actions prioritaires a été évalué et l’impact des actions mises en œuvre en termes de réduction des dysfonctionnements et d’amélioration du contrôle interne a été mesuré qualitativement et économiquement, par la réduction des coûts des dysfonctionnements. Cette évaluation a permis plus particulièrement d’observer et de décrire l’organisation et le management du contrôle interne et de proposer un modèle d’organisation. III - Résultats de la recherche L’étude de cas confirme et illustre l’ampleur des actions organisationnelles et managériales à mettre en œuvre pour améliorer la qualité du contrôle interne lorsque celui-ci n’est pas organisé avec efficacité et efficience. Les résultats sont présentés pour chaque élément du contrôle interne selon le modèle COSO (Hamzaoui, 2005 ; COSO, 2007). 1 - L’environnement de contrôle Les observations réalisées indiquent que l’environnement de contrôle est un élément qui s’apparente à la culture d’une entreprise et détermine le niveau de sensibilisation du personnel au besoin de contrôle. L’étude souligne que l’intégrité, l’éthique et la compétence du personnel, la philosophie des dirigeants et le style de management, la politique de délégation des responsabilités, d’organisation et de formation, sont des facteurs importants de l’environnement de contrôle. Le diagnostic des dysfonctionnements a révélé en premier lieu que l’environnement de contrôle de l’entreprise A1 souffrait d’un manque de rigueur et de professionnalisme de la direction et de l’encadrement sans doute lié à la culture du secteur de la sécurité et de la surveillance : culture de l’oralité, donc peu ou pas d’écrits, culture de l’informel donc peu ou pas de réunions formalisées, culture de la rapidité, donc des prises de décisions peu réfléchies et concertées. En second lieu, l’intégrité et l’éthique sont apparues comme des notions peu prises en compte par le management. Par exemple, dans le département commercial, certaines pratiques de vente se sont révélées trop agressives conduisant à des malentendus avec les clients sur le prix de 45 LA REVUE DU FINANCIER l’abonnement, la qualité des matériels… D’où un taux d’insatisfaction des clients importants et en conséquence des taux de résiliation et d’érosion importants. Pour améliorer son environnement de contrôle, la direction de l’entreprise A1 a mis en œuvre un ensemble d’actions touchant tous les managers de l’entreprise, et à travers eux, tout le personnel de l’entreprise. En premier lieu des actions de formation-concertation ont été organisées pour améliorer la rigueur dans la gestion et doter tous les managers d’outils de gestion des compétences, de gestion du temps et des délégations, de pilotage et d’évaluation des personnes. En second lieu, la direction a défini précisément les règles éthiques de l’entreprise, en termes de management des personnes et des clients. Ces règles ont été formalisées par écrit, puis elles ont été présentées à tous les managers lors d’un séminaire, enfin les managers ont présenté ces règles à leur équipe. Le respect de ces règles éthiques, pour sécuriser leur application, est également devenu un objectif des plans d’actions des managers, décliné dans les contrats individuels d’objectifs des personnels de l’entreprise. 2 - L’évaluation des risques Le diagnostic a montré que l’entreprise A1 était confrontée à un ensemble de risques externes et internes, comme les risques de recouvrement des créances clients ou de rupture de livraison d’un fournisseur essentiel à l’activité. En particulier, le diagnostic a révélé que sur le « parc client » de 50 000 entreprises, environ 10% des clients ne réglaient plus, ou réglaient irrégulièrement leurs mensualités d’abonnement. Afin de structurer son système d’évaluation des risques, l’entreprise a mis en œuvre un ensemble d’actions organisationnelles et managériales. En premier lieu, l’entreprise a recruté un risk manager, rattaché à la direction, en charge de gérer plus particulièrement les risques financiers et juridiques, très sensibles dans le secteur de la surveillance. En second lieu, la direction de l’entreprise a décidé de doter l’ensemble des managers de l’entreprise d’un outil de mise en œuvre stratégique semestriel appelé Plan d’Actions Prioritaires (PAP). Chaque début de semestre, la direction de l’entreprise présente le PAP « Direction », qui formalise les objectifs de l’entreprise sur le semestre, les actions à mettre en œuvre pour les atteindre, et les managers concernés par les actions. Chaque manager décline le PAP « Direction » à son niveau et formalise le PAP de son domaine, service ou équipe. A la fin du semestre, chaque manager évalue la réalisation de son PAP, identifie les écarts et les explique. Par consolidation remontante, la direction de l’entreprise est capable d’évaluer le PAP « Direction » du semestre et de mesurer le degré de réalisation des objectifs fixés. 3 - Les activités de contrôle A travers ce système descendant et remontant, de déclinaison des objectifs de l’entreprise et des actions à mettre en œuvre, puis de consolidation des résultats, l’entreprise a mis en œuvre un système décentralisé, synchronisé et documenté d’évaluation des risques et d’activités de contrôle. Durant le semestre, chaque manager surveille en permanence la bonne réalisation de son PAP et traite les écarts repérés. En cas d’impossibilité d’atteindre un objectif prévu, par exemple pour des raisons budgétaires ou humaines, la direction de l’entreprise est saisie pour faire un arbitrage : soit l’objectif est neutralisé temporairement, soit des moyens supplémentaires sont alloués pour atteindre l’objectif malgré les contraintes. Les normes et les procédures de contrôle sont ainsi élaborées dans l’entreprise, pour s’assurer que les mesures identifiées par le management comme nécessaires à la réalisation des objectifs et à la réduction des risques, sont correctement réalisées. L’étude du cas A1 montre que les activités de contrôle sont menées à tous les niveaux hiérarchiques et fonctionnels d’une unité, complétées par des vérifications de l’audit interne sur 46 ÉTUDE DES CONSEQUENCES ORGANISATIONNELLES ET MANAGERIALES DE LA NORMALISATION IAS-IFRS demande de la direction générale. Par exemple un cadre du département comptable a pour objectif de repérer mensuellement les abonnements non payés et d’alerter les commerciaux en charge des clients concernés, pour enquêter sur les raisons de ces impayés. Le problème se règle soit par la négociation, soit par contentieux, mais aucun client qui n’honore pas ses règlements ne reste plusieurs mois sans être relancé, et ce malgré le volume de clients abonnés. 4 - Les systèmes d’information et de pilotage L’étude de cas montre que les systèmes d’information et de communication sont des éléments fondamentaux du contrôle interne. L’objectif d’un système d’information et de communication efficace est de permettre au personnel de recueillir et d’échanger les informations nécessaires à la conduite, la gestion et le contrôle des opérations. En outre, l’information pertinente doit être identifiée, recueillie et diffusée sous une forme et dans des délais qui permettent à chacun d’assumer ses responsabilités. Les systèmes d’information produisent des données opérationnelles, financières, ou encore liées au respect des obligations légales et réglementaires, qui permettent de gérer et contrôler l’activité. En outre, ces systèmes traitent non seulement des données produites par l’entreprise mais également celles qui, liées à l’environnement externe, sont nécessaires à la prise de décisions pertinentes comme au reporting externe. L’étude du cas A1, comme celle des cas A2, A3 et A4, montre que l’ensemble du processus de contrôle interne, pour devenir un phénomène actif, doit également faire l’objet de contrôles périodiques pour en mesurer la performance, c’est le rôle de l’audit interne, et d’un pilotage permanent pour l’animer, sous peine de se désagréger. En effet, à l’origine chez A1, il est apparu que le contrôle interne ne faisait pas l’objet de pilotage, mais s’apparentait à un système passif et dilué. Le pilotage du contrôle interne s’est véritablement organisé en 2004 de façon décentralisée, vers les managers, et synchronisée, par la direction de l’entreprise, en utilisant l’outil PAP et son évaluation régulière. Les observations montrent que l’entreprise est parvenue à un niveau satisfaisant de pilotage de son contrôle interne au bout de trois semestres (2ème semestre 2003, 1er et 2ème semestre 2004), ce qui illustre la profondeur des changements managériaux et organisationnels entrepris. IV - L’animation de la fonction contrôle interne En synthèse, l’évaluation réalisée au deuxième semestre 2004 dans l’entreprise A1 a montré que le contrôle interne, pour être effectivement piloté, devenir efficace et efficient et répondre aux objectifs des lois SOX et de Sécurité Financière, a été organisé comme une fonction. Ce résultat rejoint les observations réalisées sur les trois autres entreprises de l’étude A2, A3 et A4. Dans une entreprise, une fonction peut se définir comme une catégorie institutionnalisée d’activités organisationnelles, l’institutionnalisation étant un processus par lequel des processus sociaux prennent un statut de règle dans la pensée et l’action des acteurs (Selznick, 1969 ; DiMaggio & Powell, 1991). On parlera ainsi par exemple de fonction Recherche Développement ou de fonction Qualité. Dans le cas de l’entreprise A1, l’évaluation a permis également de mesurer la réduction des coûts des dysfonctionnements et des pertes de valeur ajoutée, qui sont passés de 30 000 € par personne et par an en 2003 à 15 000 € par personne et par an en 2004. Cette réduction des coûts des dysfonctionnements, qui a été évaluée dans des proportions similaires dans les trois autres entreprises A2, A3 et A4 de l’étude, indique une amélioration de la qualité du contrôle interne si l’on se réfère aux travaux de Ebondo et Pigé exposés dans le premier paragraphe de l’article. Les résultats de l’étude réalisée sur les quatre entreprises avant la mise en œuvre des lois SOX et de Sécurité Financière rejoignent ceux de Pigé (2001 ; 2007) et Renard (2002). Ils indiquent que 47 LA REVUE DU FINANCIER traditionnellement, le contrôle interne dépend des outils, des dispositifs et des méthodes des fonctions contrôle de gestion et audit interne ainsi que des systèmes qualité et managériaux. Le contrôle interne subit en quelque sorte la qualité de l’animation de ces fonctions et de ces systèmes, mais n’est pas lui-même animé comme une fonction. Il n’est pas, en permanence, piloté par la direction et porté par les managers, au travers de dispositifs, d’outils et de méthodes qui lui seraient propres de synchronisation, d’information et de toilettage. Il est au mieux évalué épisodiquement par l’audit interne. Les observations réalisées dans l’entreprise A1 comme dans les trois autres entreprises de l’étude A2, A3 et A4 montrent que la qualité du contrôle interne s’accroît s’il est organisé comme une fonction institutionnalisée (voir schéma 1). Schéma 1 : Modèle d’animation de la fonction contrôle interne (Cappelletti, 2006) Fonction audit interne Synchronisation Système management de Toilettage Pilotage Contrôle interne Système qualité Système d’information Fonction contrôle de gestion Être organisé en fonction signifie que le contrôle interne dispose de dispositifs et d’outils qui lui sont propres de synchronisation, de pilotage, de toilettage, et d’information. Ce faisant, le contrôle interne peut s’appuyer sur les fonctions et les systèmes qui lui sont proches : audit interne, qualité, management et contrôle de gestion. Ce résultat rejoint les travaux de Savall & Zardet (2004 ; 2005) qui ont montré que les causes racines de la qualité d’une fonction sont liées à la qualité de synchronisation, de toilettage, et de pilotage de la fonction, et à la qualité du système d’information qui lui est dédié. Animé sous forme de fonction, le contrôle interne peut évoluer de son état traditionnel, ponctuel et subi, vers un état plus permanent et actif. Pour illustrer ce modèle d’animation de la fonction contrôle interne présenté dans le schéma 1, voici sa concrétisation dans le cas de l’entreprise A1. Le pilotage de la fonction contrôle interne a été attribué au Responsable Organisation qui est membre du comité de direction. Le rôle du pilote de la fonction contrôle interne est de se synchroniser tous les mois avec les responsables du contrôle de gestion, de la qualité et de l’audit interne pour identifier lors d’une réunion les points négatifs et positifs repérés concernant le contrôle interne. Les points négatifs font l’objet d’une définition d’actions correctrices qui sont validées par le pilote auprès du comité de direction et qui alimentent les PAP des managers. L’évaluation semestrielle des PAP réalisée par chaque manager est remontée, via le système d’information, vers le pilote de la fonction contrôle interne qui par capitalisation et consolidation des PAP vérifie le degré d’atteinte des objectifs de l’entreprise. Le 48 ÉTUDE DES CONSEQUENCES ORGANISATIONNELLES ET MANAGERIALES DE LA NORMALISATION IAS-IFRS pilote mesure également la réduction des coûts des dysfonctionnements et des pertes de valeur ajoutée engendrée par l’atteinte des objectifs. Lors d’un comité de direction semestriel, le pilote du contrôle interne présente les résultats qualitatifs et financiers des PAP ce qui permet d’évaluer la qualité globale du contrôle interne. Puis les PAP sont toilettés et déclinés à nouveau vers les managers pour le semestre suivant. En résumé, les résultats de l’étude réalisée sur les entreprises A1, A2, A3 et A4 montrent que l’animation de la fonction contrôle interne repose sur cinq principes génériques qui seraient en quelque sorte des preuves de son institutionnalisation dans l’entreprise (Cappelletti, 2006) : la décentralisation synchronisée (la fonction est pilotée par une personne mais tous les managers opérationnels et fonctionnels y contribuent) ; l’évaluation de son efficience (par la mesure de sa contribution à la réduction des coûts des dysfonctionnements) ; l’appui de la direction générale (le pilote de la fonction fait partie du comité de direction) ; des outils et des dispositifs dédiés au contrôle interne (outils et dispositifs de synchronisation, de pilotage, de toilettage et d’informations) ; l’articulation transversalité et verticalité (l’évaluation et le toilettage des PAP se fait en utilisant les lignes hiérarchiques verticales et une instance transversale composée du pilote de la fonction et de responsables fonctionnels : contrôleur de gestion, responsable qualité, responsable de l’audit). Le point intéressant est que ces cinq principes génériques sont également repris dans le modèle d’organisation du contrôle interne proposé en 2007 par le COSO. De façon très explicite pour les principes d’évaluation de l’efficience du contrôle interne, d’appui de la direction générale, et d’outils et de dispositifs dédiés au contrôle interne. De façon plus implicite, sous forme de schémas organisationnels, pour les principes de décentralisation synchronisée et d’articulation verticalité-transversalité. En particulier, le modèle COSO souligne que la mesure de l’efficience du contrôle interne, calculée par la différence entre ses coûts de fonctionnement et les gains qu’il engendre (réduction des coûts des dysfonctionnements et des pertes de valeur ajoutée) est un élément clé de sa pérennité notamment dans les petites entreprises (COSO, 2006). Conclusion L’hypothèse développée dans l’article soutient que l’application des IAS-IFRS demande une normalisation informationnelle du contrôle interne et annonce sa normalisation organisationnelle et managériale. En effet, il apparaît que la concomitance des normalisations IAS-IFRS et SOX (loi de sécurité financière en France) n’est pas contingente. Le respect du cadre conceptuel IAS-IFRS, en particulier le principe de fiabilité des informations financières, demande en effet la mise en œuvre dans les organisations d’un contrôle interne lui-même de qualité. Or, la simple description du contrôle interne dans les reportings financiers, attestée par les auditeurs externes et les dirigeants, comme l’obligent a minima les lois SOX et de Sécurité Financière, n’est pas suffisante pour garantir un contrôle interne de qualité. Le cas EADS évoqué dans l’article illustre bien cette hypothèse (Cappelletti, 2007). C’est pourquoi les parties prenantes et les investisseurs exercent, ou devraient exercer à l’avenir, une pression plus forte pour normaliser l’organisation du contrôle interne, et augmenter ainsi leur niveau d’assurance sur la qualité du contrôle interne et des informations financières produites. Cette pression se matérialise par exemple dans les modèles d’organisation et de pilotage du contrôle interne préconisés par le COSO (2006, 2007). Dans ce contexte d’application des IAS-IFRS, les questions organisationnelles et managériales sont donc de première importance. Pour apporter des éléments de réponse à ces questions, les résultats de recherches-interventions menées sur quatre entreprises entre 2003 et 2005 ont permis de proposer un modèle d’organisation du contrôle interne, sous la forme de l’animation d’une fonction. Ce modèle repose sur cinq 49 LA REVUE DU FINANCIER principes génériques repris également, plus ou moins explicitement, dans les modèles COSO : la décentralisation synchronisée, la mesure de l’efficience du contrôle interne, l’appui de la direction générale, l’utilisation d’outils et de méthodes dédiés au contrôle interne, l’articulation verticalité et transversalité. Si cette hypothèse de normalisation de l’organisation du contrôle interne exposée dans l’article était confirmée, les enjeux et les perspectives de recherche seraient multiples. D’une part, le travail des auditeurs internes et externes évoluerait puisqu’il consisterait à repérer des traces et des documents probants attestant de l’existence d’une fonction contrôle interne efficace et efficiente. D’autre part, au sein des organisations la mise en œuvre d’une fonction contrôle interne permettrait de reconnecter la finance à l’organisation et au management. Enfin, les descriptions de contrôle interne dans les documents de référence perdraient leur caractère un peu convenu et vague pour décrire des principes et des dispositifs attendus. Il y a là d’ailleurs matière à de nombreux débats portant sur le niveau de transparence que les parties prenantes et les investisseurs sont en droit d’attendre d’une organisation sur son contrôle interne. Bibliographie ABBOT J., PARKER S., PETERS G. & RAMA D. (2007), « Corporate Governance, Audit Quality, and the Sarbanes-Oxley Act: Evidence from Internal Audit Outsourcing », The Accounting Review, Vol 82, N° 4, July, pp. 803-836. BUONO A. & SAVALL H. (2007), Socio-economic intervention in organizations. The intervener-researcher and the “seam” approach to organizational analysis, Charlotte: IAP-Information Age Publishing. BURLAUD A. & SIMON C. (1997), Le contrôle de gestion, La Découverte. BERTHOUD A. & MERLE B. (2005), « Le reporting comme contrôle interne sur l’organisation, les impacts du SOX et de la LSF », Echanges, dossier spécial reporting, n°220, avril, pp. 41-43. CAPPELLETTI L. (2006), « Vers une institutionnalisation de la fonction contrôle interne ? », Comptabilité-Contrôle-Audit, Tome 12, Volume 1, mai, pp. 27-43. CAPPELLETTI L. (2007), « L’audit et le contrôle, au centre de l’éthique d’entreprise », Economie et Management, n°123, avril, pp. 5-11. COLASSE B. (2007), Les fondements de la comptabilité, La Découverte. COLATRELLA T. (2003), « Loi de Sécurité Financière : les enjeux de l’évaluation du contrôle interne », Lettre d’information technique KPMG, n°3, pp.6-9. COOPERS & LYBRAND (1994), La nouvelle pratique du contrôle interne, en collaboration avec l’IFACI, Les Editions d’organisation. COSO - Committe Of Sponsoring Organizations of the Treadway Commission (2006), Contrôle interne sur l’information financière – lignes directrices à l’attention des petites sociétés ouvertes, Volume 1, Résumé, Juin, //www.coso.org. COSO - Committe Of Sponsoring Organizations of the Treadway Commission (2007), Internal Control – Integrated Framework. Guidance on Monitoring Internal Control Systems, Septembre, //www.coso.org. EBONDO E. & PIGE B. (2002), « L’arbitrage entreprise/marché : le rôle du contrôle interne, outil de réduction des coûts de transaction », Comptabilité-Contrôle-Audit, Tome 8, volume 2, pp. 51-67. HAMZAOUI M. (2005), Audit. Gestion des risques d’entreprise et contrôle interne, avec la participation de Pigé B., Village Mondial. IFACI (2006), Le dispositif de contrôle interne : Cadre de référence, Présentation des travaux du Groupe de Place, 9 mai 2006. JACQUEMARD R. (2007), « L’évolution de l’audit financier au cours des dernières années : de l’auditeur soliste à l’auditeur chef d’orchestre », Economie et Management, n°123, avril, pp. 28-32. MOELLER RR. (2004), Sarbanes-Oxley and the new internal auditing rules, IAA Editions. PIAGET J. (1975), L’équilibration des structures cognitives, problème central du développement, Presses Universitaires de France. PIGE B. (2001), Audit et Contrôle interne, Editions Management et Société, 2ème édition. 50 ÉTUDE DES CONSEQUENCES ORGANISATIONNELLES ET MANAGERIALES DE LA NORMALISATION IAS-IFRS PIGE B. (2007), « Contrôle interne et PME », table ronde du 1er Congrès transatlantique de comptabilité, contrôle, audit et gestion des coûts de l’IIC en partenariat avec l’AAA, Lyon, IAE-ISEOR. POWELL W. & DIMAGGIO P.J. (1991), The new institutionalism in organizational analysis, Chicago, the University of Chicago Press. RENARD J. (2002), Théorie et pratique de l’audit interne, Préface de Gallois L., Les Editions d’organisation, 4ème édition. SAVALL H. (1975), Enrichir le travail humain, l’évaluation économique, thèse Université Paris IX Dauphine, 1974, publiée avec préfaces de Delors J. et Bienaymé A., Dunod, 1ère édition 1975, 2ème édition 1979, 3ème édition, Economica, 1989. SAVALL H. & ZARDET V. (2004), Recherche en Sciences de Gestion : Approche Qualimétrique. Observer l’objet complexe, préface du Pr David Boje (Etats-Unis), Economica. SAVALL H. & ZARDET V. (2005), Tétranormalisation, défis et dynamique, Economica. SELZNICK P. (1969), Law, Society and Industrial Justice, New Brunswick, Transaction Book. TORT E. (2006), Le reporting financier. Aspect comptables, fiscaux et de gestion, Dunod. TOURON P. & TONDEUR H. (2004), Comptabilité en IFRS, Editions d’Organisation, THE INSTITUTE OF INTERNAL AUDITORS (1989), Codifications of standards for the professional practice of internal Auditing, Altamonte Springs, FL, IIA. THE INSTITUTE OF INTERNAL AUDITORS (1991), Systems Auditability and Control (SAC Report), Altamonte Springs, FL, IIA Research Foundation. WILKINS S. & GUPTA P. (2007), « Sustaining SOX 404: A project management approach », Management Accounting Quaterly, Winter, 8(2). WIRTZ P. (2005), « Meilleures pratiques de gouvernance et création de valeur : une appréciation critique des codes de bonnes conduites », Comptabilité-Contrôle-Audit, Tome 11, volume 1, pp. 141-160. 51