Étude des conséquences organisationnelles et
ÉTUDE DES CONSEQUENCES ORGANISATIONNELLES ET MANAGERIALES DE LA NORMALISATION IAS-IFRS
39
Étude des conséquences organisationnelles et
managériales de la normalisation IAS-IFRS
Laurent Cappelletti
Maître de Conférences, HDR
ISEOR – IAE de LYON – Université Jean Moulin Lyon 3
Les IAS-IFRS qui normalisent l’information comptable et financière s’accompagnent d’une
normalisation du contrôle interne et de la gouvernance des entreprises au travers des lois
Sarbanes-Oxley (SOX) et de Sécurité Financière. Cette évolution est visible dans les documents de
référence des sociétés cotées qui prennent désormais une forme « qualimétrique » alternant
informations qualitatives, quantitatives et financières. En s’appuyant sur quatre études de cas,
l’article montre en quoi la normalisation IAS-IFRS est non seulement une normalisation
informationnelle mais annonce également une normalisation managériale et organisationnelle du
contrôle interne. L’organisation est ainsi mise au centre des préoccupations du financier.
By now companies have to cope with a standardization of both financial information, through the
IAS-IFRS, and their internal control systems and corporate governance practices, through the
Sarbane-Oxley Act (SOX) or Law of Financial Security in France. This is why financial reportings
are becoming “qualimetrics” using qualitative, quantitative and financial informations. Based on
the result of four case studies, the article shows that IAS-IFRS lead to a standardization of
financial information and also to a standardization of the internal control monitoring and
management. Thus organizational matters become a central field of survey for finance.
Introduction
L’application des normes IAS-IFRS pour les comptes consolidés dans les sociétés cotées
françaises depuis le 1er janvier 2005 se déroule dans un contexte de normalisation du contrôle
interne avec les lois Sarbanes-Oxley (SOX) de 2002 et de Sécurité Financière de 2003. C’est
pourquoi, le reporting financier des sociétés cotées présenté sous la forme du document de
référence devient « qualimétrique », alternant informations qualitatives sur la gouvernance et le
contrôle interne, quantitatives sur des données sectorielles en application d’IAS 14, et financières
(Berthoud & Merle, 2005 ; Tort, 2006). Ils semblent ainsi que l’application des IAS-IFRS qui
relève à l’origine d’une normalisation informationnelle s’accompagne d’une normalisation
organisationnelle du contrôle interne et de la gouvernance des sociétés cotées.
Le propos de cet article est de montrer que ce double mouvement de normalisation
informationnelle et organisationnelle qui relie la finance et l’organisation n’est pas contingent. En
LA REVUE DU FINANCIER
40
effet, l’objectif des IAS-IFRS est de représenter conceptuellement l’activité de l’entreprise à « sa
juste valeur », traduction imparfaite du principe anglo-saxon de fair value (Colasse, 2007). En
particulier, le cadre conceptuel des IAS-IFRS précise que l’information comptable et financière
doit être intelligible, pertinente, fiable et comparable pour satisfaire les besoins d’informations de
toutes les parties prenantes en particulier les investisseurs (Touron & Tondeur, 2004). Pour
atteindre ces objectifs conceptuels du cadre IAS-IFRS, il est donc nécessaire que l’entreprise
mette en place un système de contrôle interne pour assurer la fiabilité et la qualité des informations
financières produites (Hamzaoui, 2005). Bien qu’il n’existe pas dans les lois SOX et de Sécurité
Financière de normes explicites d’organisation du contrôle interne, l’IFACI a proposé en France
en 2006 un cadre de référence pour le contrôle interne. Aux États-Unis, la commission chargée
d’élaborer des guides de contrôle interne, le COSO (Committee of Sponsoring Organization), est
allée plus loin en proposant en septembre 2007 un guide de pilotage du contrôle interne (Guidance
on Monitoring Internal Control Systems) avec des préconisations managériales et
organisationnelles. Dans ce contexte, la problématique étudiée dans l’article abordera les questions
suivantes : est-ce que la normalisation IAS-IFRS n’annonce pas une normalisation du contrôle
interne et de son organisation ? Quels seraient les enjeux organisationnels et managériaux de cette
normalisation ?
Dans un premier paragraphe, l’article revient sur les lois SOX et de Sécurité Financière pour
montrer que leur application n’entraîne pas mécaniquement la production d’une information
comptable et financière fiable et transparente : pour atteindre cet objectif et contribuer
effectivement au cadre conceptuel IAS-IFRS, ces lois doivent se traduire dans les entreprises par
une organisation efficace et efficiente du contrôle interne. Dans un deuxième paragraphe, à partir
de recherches-interventions réalisées entre 2003 et 2005 dans quatre entreprises qui ont appliqué
les lois SOX ou de Sécurité Financière, l’article confirme qu’un contrôle interne de qualité
demande des dispositifs organisationnels et managériaux adaptés. Un modèle d’organisation et de
management du contrôle interne est également proposé sous la forme d’une fonction contrôle
interne. Ce modèle est positionné par rapport à celui du COSO de septembre 2007.
I - Le cadre conceptuel des lois SOX et de Sécurité
Financière
En France, la Loi de Sécurité Financière du 1er août 2003 s’applique pour les exercices ouverts à
compter du 1er janvier 2003 et concerne les sociétés anonymes faisant appel public à l’épargne,
suite à la loi pour la modernisation de l’économie de juillet 2005. Elle vise à rétablir la confiance
des investisseurs dans la transparence de l’information financière. Cette loi, dans la continuité de
la loi américaine SOX du 30 juillet 2002, introduit des obligations d’information des actionnaires
et du marché sur les procédures de contrôle interne mises en place dans les sociétés anonymes
(Colatrella, 2003 ; Tort, 2006).
1 - Convergences et spécificités des lois SOX et de Sécurité
Financière
La loi SOX a pour principal objectif de pallier les défaillances apparues dans les affaires Enron ou
Worldcom concernant les dirigeants, les auditeurs externes, les cabinets d’avocats et les analystes
financiers (Moeller, 2004 ; Abbot & al., 2007). Dans le même esprit la loi de Sécurité Financière
souhaite répondre à la crise de confiance née Outre-Atlantique et relayée en France par des
affaires comme Vivendi. Les deux lois se rejoignent sur la nécessité d’amélioration de la
ÉTUDE DES CONSEQUENCES ORGANISATIONNELLES ET MANAGERIALES DE LA NORMALISATION IAS-IFRS
41
transparence de l’information financière. La volonté des deux législateurs est double : une
information plus complète à destination des investisseurs et une plus grande appropriation du
processus d’arrêté des comptes par les dirigeants. A cet effet, SOX prévoit une évaluation du
contrôle interne signée par le président et le directeur financier (CEO et CFO) jointe au rapport
annuel de toute société cotée sur un marché financier américain. Ce rapport sur le contrôle interne
est accompagné d’une opinion de l’auditeur externe. Ces rapports sont déposés sous serment
auprès de la SEC. Des dispositions très proches se retrouvent dans la loi de Sécurité Financière. Le
président doit, dans un rapport joint au rapport de gestion sur les comptes sociaux et les comptes
consolidés, rendre compte des procédures de contrôle interne mises en place dans la société. Les
commissaires aux comptes doivent, dans un rapport joint à leur rapport général, présenter leurs
observations sur les procédures de contrôle interne décrites par le président, pour celles relatives à
l’élaboration et au traitement de l’information comptable et financière (Jacquemard, 2007).
L’évaluation du contrôle interne requise par la loi de Sécurité Financière est différente de celle
requise dans le cas d’une certification des comptes par des auditeurs externes. Cette différence
provient essentiellement d’une différence d’objectif. Pour l’auditeur externe, l’analyse du contrôle
interne n’est qu’une procédure d’audit parmi d’autres, qui se fait sur les contrôles clés. Dans
l’esprit de la loi de Sécurité Financière, la revue du contrôle interne a pour but d’exprimer une
opinion sur l’efficacité du contrôle interne sur le reporting financier mis en œuvre au cours de la
période considérée. Son champ d’application est donc plus vaste, puisque toutes les transactions
routinières, non routinières, et estimations financières, sont concernées. Toutes les procédures de
contrôle interne, significatives ou non, peuvent entrer ainsi dans son champ d’application,
puisqu’elle précise que « le président rend compte des procédures de contrôle interne mises en
place par la société » (Colatrella, 2003 ; Tort, 2006).
2 - La normalisation du contrôle interne
Savall & Zardet (2005) et Wirtz (2005) montrent que les règles imposées par les lois SOX et de
Sécurité Financière témoignent d’un phénomène international de normalisation, dans lequel les
entreprises sont soumises à des pressions diverses cherchant à obtenir leur mise en conformité
avec les « meilleures pratiques » de gouvernance. Un des domaines où cette pression se fait très
concrètement est celui de la comptabilité, car les scandales financiers tels qu’Enron étaient en
même temps des scandales comptables. En termes de normalisation et d’information, la loi de
Sécurité Financière n’impose pas de modèle du contrôle interne mais les travaux sur le contrôle
interne montrent que des référentiels existent et sont fortement recommandés. Par exemple, le
législateur américain fait souvent référence à la définition du contrôle interne donnée par le COSO
en 1994 (Cappelletti, 2006). A partir des bonnes pratiques identifiées sur le sujet, le COSO décrit
de façon théorique les composantes essentielles à retrouver dans un dispositif de contrôle interne.
Le contrôle interne est ainsi modélisé à travers cinq éléments : l’environnement de contrôle,
l’évaluation des risques, les activités de contrôle, l’information et la communication et le pilotage
du système de contrôle interne. Le modèle COSO donne une description du contrôle interne qui
constitue un référentiel auquel les entités peuvent se référer pour évaluer les contrôles qu’elles ont
mis en place (Hamzaoui, 2005). La loi de Sécurité Financière ne précise également ni la forme ni
le contenu des rapports à faire par les dirigeants. Ces nouveaux rapports s’adressent aux
investisseurs qui n’ont pas la possibilité d’apprécier l’efficacité du contrôle interne. Il est donc
primordial que ces dispositifs ne soient pas uniquement descriptifs, mais qu’ils attestent la bonne
application et l’efficacité des procédures décrites.
LA REVUE DU FINANCIER
42
La normalisation du rapport de contrôle interne pourrait ainsi se faire rapidement (Colatrella,
2003 ; Tort, 2006). En effet, la loi de Sécurité Financière a désigné l’Autorité des Marchés
Financiers (AMF) comme seule responsable pour fixer le contenu des rapports. Un groupe de
travail appelé « le Groupe de Place », incluant l’AMF, le MEDEF et l’IFACI a été constitué pour
définir les modalités d’application de la loi de Sécurité Financière dans les sociétés cotées. Les
conclusions de ce groupe de travail publiées en mai 2006 proposent un cadre de référence fondé
sur des principes généraux et non sur des règles contraignantes. Cependant ce cadre s’inspire des
cinq éléments du modèle COSO déjà largement diffusé. On peut donc penser que ce cadre sera
utilisé peu à peu par les sociétés faisant appel public à l’épargne pour superviser ou développer
leur dispositif de contrôle interne, même s’il ne constitue pas formellement une directive sur la
façon de concevoir leur organisation : « Chaque société est responsable de son organisation propre
et donc de son contrôle interne, lequel devrait s’inscrire dans le cadre d’une bonne gouvernance,
telle que développée dans les rapports Viénot et Bouton » (IFACI, 2006).
3 - Les enjeux organisationnels et managériaux des lois SOX et de
Sécurité Financière
Ce mouvement de normalisation du contrôle interne qui accompagne l’application des IAS-IFRS,
pose moins une problématique informationnelle, puisque les modèles de contrôle interne existent
et sont disponibles, que managériale et organisationnelle. En effet, la comptabilité reste une
pratique sociale et le contrôle interne est un système à organiser. La comptabilité est influencée
par une politique et une stratégie comptable, et elle résulte d’un jeu social (Colasse, 2007). Aussi,
le lien entre le contrôle interne et l’information comptable n’est pas régi par un phénomène
automatique et passif de régulation, mais par un phénomène actif d’équilibration, dans le sens de
Piaget (1975). Cela signifie que le contrôle interne offre une sécurité concernant la qualité du
reporting financier à condition qu’il soit organisé et managé avec efficacité et efficience. Sa
description dans les rapports d’activité ne peut suffire à attester de sa qualité et valider sa
contribution à la transparence de l’information financière préconisée par le cadre conceptuel IAS-
IFRS. Les parties prenantes et les investisseurs ont pu le constater dans l’affaire EADS, dont le
document de référence 2005 attestait de la qualité du contrôle interne alors qu’il était sujet à de
graves défaillances qui sont apparues au grand jour en 2006 (Cappelletti, 2007).
Dans son acception générale, le contrôle interne d’une entreprise est un système de contrôle établi
par les dirigeants pour conduire l’activité de l’entreprise d’une manière ordonnée, pour assurer le
maintien de l’activité et l’intégrité des actifs, et fiabiliser les flux d’information. Le contrôle
interne est à la fois un état et un processus qui inclut les matières financières et comptables, mais
également les contrôles destinés à améliorer l’efficience opérationnelle et à renforcer l’adhésion à
la politique stratégique de l’entreprise. Le contrôle interne est avant tout un système
d’organisation, qui concerne les managers dans son application (Pigé, 2001 ; 2007 ; COSO, 2007).
La dimension organisationnelle du contrôle interne apparaît nettement au travers des définitions
du contrôle interne données par la profession comptable. En 1977, l’ouvrage de l’Ordre des
experts-comptables et des comptables agréés intitulé “ Le contrôle interne ” indique que le
contrôle interne est l’ensemble des sécurités contribuant à la maîtrise de l’entreprise. Il a pour but
d’un côté d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information, de
l’autre, l’application des instructions de la direction et de favoriser l’amélioration des
performances. Il se manifeste par l’organisation des méthodes et procédures de chacune des
activités de l’entreprise pour maintenir la pérennité de celle-ci. En 1978, l’Institute of Internal
Auditors (IIA) définissait quatre objectifs permanents du contrôle interne, très proches de la
ÉTUDE DES CONSEQUENCES ORGANISATIONNELLES ET MANAGERIALES DE LA NORMALISATION IAS-IFRS
43
définition de l’Ordre des Experts-Comptables : la sécurité des actifs, la qualité des informations, le
respect des directives, l’optimisation des ressources. L’IIA précisera en 1989 que c’est l’audit
interne qui dans l’entreprise a en charge l’évaluation du contrôle interne. L’audit interne s’assure
que les produits engendrés dans l’entreprise sont conformes aux objectifs, que le contrôle interne
est défini, pratiqué et efficient.
4 - La question de l’organisation et du management du contrôle
interne
Pourtant, même si la dimension organisationnelle du contrôle interne est soulignée par la
littérature comptable et financière, l’organisation et le management d’un système de contrôle
interne reste encore peu étudiée dans cette littérature. Les travaux de Ebondo & Pigé (2002)
abordent cette question en montrant bien que l’activité de contrôle interne est constitutive de
l’organisation dans sa différence par rapport au marché. Selon eux si la structure organisationnelle
évolue, il devient indispensable de faire évoluer en parallèle le système de contrôle interne, ou
système de contrôle organisationnel interne, qui en assure la cohérence. Ebondo & Pigé attribuent
trois objectifs au contrôle interne : s’assurer que les décisions prises sont correctement appliquées,
garantir un niveau minimum de qualité aux prestations effectuées ou aux produits fabriqués,
déceler les anomalies de fonctionnements. Ils montrent en particulier que les objectifs du contrôle
interne sont liés à des coûts de transaction et entraînent la mise en place et l’application de
procédures de contrôle interne visant à minimiser les coûts de transaction. Pour Pigé (2007), le
contrôle interne d’une entreprise dépasse donc le strict cadre comptable pour s’inscrire dans un
cadre plus large organisationnel et managérial. C’est pourquoi des chercheurs comme Wilkins &
Gupta (2007) recommandent une approche management de projet (project management approach)
pour construire et piloter le contrôle interne.
L’application des lois SOX et de Sécurité Financière qui accompagne la mise en œuvre des IAS-
IFRS invite donc à approfondir les analyses organisationnelles. Comme ce paragraphe vient de
l’exposer, la normalisation IAS-IFRS impose implicitement aux entreprises d’organiser et de
manager leur contrôle interne avec efficacité et efficience pour lui donner une permanence de
fonctionnement. Mais les lois ou les normes laissent encore le choix aux entreprises d’organiser
comme elles l’entendent leur contrôle interne. La question est de savoir si la pression des parties
prenantes ne va pas s’exercer à l’avenir pour normaliser également l’organisation du contrôle
interne, avoir ainsi une garantie plus forte quant à son efficacité et la permanence de son
fonctionnement, et obtenir de la sorte un niveau d’assurance plus élevé sur la fiabilité des
informations comptables et financières produites ? Quels pourraient être alors les dispositifs
organisationnels et managériaux à mettre en œuvre dans les organisations, dont l’existence serait
validée par les auditeurs externes et dont la description dans les rapports d’activité donnerait une
assurance suffisante aux parties prenantes et aux investisseurs quant à la qualité du contrôle
interne ?
II - Quel modèle d’organisation du contrôle interne ?
Afin d’apporter des éléments de réponse à la problématique de l’organisation du contrôle interne,
l’article exploite les résultats de recherches-interventions réalisées entre 2003 et 2005 dans quatre
entreprises devant appliquer les lois SOX ou de Sécurité Financière. Il s’agit d’une entreprise
française de sécurité (A1) de 800 salariés, d’une entreprise française de pâtisserie (A2) de 3000
salariés, de la filiale française (A3) de 2500 salariés d’un groupe international d’agroalimentaire,
6
7
8
9
10
11
12
13
1
/
13
100%
