Secteur assez vaste, l’audit peut se diviser en trois grands volets: les auditeurs internes, les réviseurs d’entreprises et les comités d’audit. Intégrer leurs différentes approches doperait l’efficacité et la réactivité du secteur dans son ensemble. Chacun bénéficierait ainsi des analyses des autres. « Chaque profession a tout à gagner en resserrant la collaboration avec les autres. Il y a de nombreuses synergies à créer dans l’idée d’amener davantage de transparence », explique Jean-Michel Cassiers, Président de IIA Belgique. « C’est d’autant plus important dans le secteur public et le non marchand, appuie Daniel Kroes, Président de l’IBR. La Belgique a pris quelques mesures pour renforcer la surveillance des différents niveaux de pouvoir, mais elles restent, pour la plupart, internes. S’il y a une seule leçon à tirer de la crise, c’est bien l’importance cruciale de l’amélioration continue pour les acteurs du public. Il faut faire plus avec moins et donc travailler mieux ».
Pour Patricia Leleu, Membre du conseil de l’IRE et co-présidente de la journée d’étude, instaurer des audits de performance, jusqu’à présent peu répandus dans le public, dans toutes les entités est plus que jamais d’actualité. « Il faut rappeler que le degré de risque 0 n’existe pas, mais les professionnels de l’audit sont là pour fortifier les digues, partage-t-elle. La complexité de l’environnement auquel la plupart des organisations sont confrontées ne peut être prise à la légère. Le contrôle des activités doit aussi passer par une analyse de la performance ».

Panorama légal

Si les missions et les responsabilités des acteurs de l’audit s’ancrent dans des cadres légaux différents, ils ont tout intérêt à ne pas s’arrêter aux frontières strictes de leur profession pour mettre en place une approche intégrée du contrôle et adopter un regard transdisciplinaire.
Dans le secteur privé, le recours aux différentes formes d’audit est déjà depuis longtemps entré dans les mœurs. La loi du 17 décembre 2008 a imposé la constitution d’un comité d’audit dans les sociétés cotées, ainsi que dans certaines institutions financières, définissant de facto des relations avec l’audit interne et externe. Le Code belge de gouvernance d’entreprise (2009) fournit des directives concernant les tâches du comité d’audit, tandis que le Code Buysse II constitue le cadre de référence pour les sociétés non cotées.
Du côté du secteur public, la maturité varie selon les niveaux de pouvoir. Il n’y a pas encore de communauté de pratiques en tant que telle, ni de vision globale. « C’est un processus évolutif, soutient Daniel Kroes. La surveillance de la Cour des comptes ne suffit plus. Ce qui est important à souligner, c’est la logique de progrès qui se met en place en ce moment, même s’il reste beaucoup de chemin à parcourir. Améliorer le contrôle des entités publiques, c’est aussi améliorer la démocratie ».
La région flamande se veut pionnière en la matière. Son « décret des comptes » datant du 08 juillet 2011a fait collaborer l’administration régionale, la Cour des comptes, l’audit interne, l’inspection des finances et l’IRE suivant une approche intégrée. Le 5 juillet dernier, le Gouvernement flamand a également ratifié le « décret d’audit » pour les pouvoirs locaux.
Et Jean-Michel Cassiers d’ajouter :« C’est une pratique que l’on retrouve également à d’autres niveaux de pouvoir comme à la Fédération Wallonie-Bruxelles où une collaboration s’est instaurée entre l’audit interne et la Cour des comptes et où le partage d’informations est prévu via le comité d’audit auquel la Cour assiste à titre d’observateur ». A l’échelle fédérale, c’est le Comité d’audit de l’administration fédérale qui encadre les systèmes de contrôle internes.
« La transposition de la directive européenne du 8 novembre 2011 sur les exigences applicables aux cadres budgétaires des Etats membres (2011/85/UE), fixée au 31 décembre 2013, renforcera assurément le rôle des acteurs de l’audit et offrira une plus grande transparence financière dans le secteur public, dès 2014, prévoit Daniel Kroes. La crise de 2008 constitue un échec politique, elle a révélé un manque de contrôle et des failles dans l’analyse des finances de l’Etat. Les pouvoirs publics sont en train de tirer des leçons du passé ».

Sur le plan sémantique, nous utilisons en effet le terme « contrôle » pour désigner trois types d’activité totalement différents, à savoir:
• L’inspection (le « contrôle » ou « les contrôles internes » comme parfois nommé) par un vérificateur de la conformité d’une action ou d’une activité;
• La maîtrise d’une activité ou d’un processus par le management: on dira d’un processus maitrisé qu’il est « sous contrôle »;
• L’évaluation par un auditeur du niveau de maîtrise assuré par le management.
Ces trois activités nommées « contrôle » sont bien connues dans la plupart des entreprises, mais c’est la deuxième, celle de la « maîtrise » des activités qui représente à la fois le plus grand défi et la plus grande source de plus-value. C’est aussi celle qui est promue par ICIB, l’association du contrôle interne, et qui est visée par la plupart des référentiels de gouvernance d’entreprise.

Meilleure qualité

La confusion linguistique entraine dans la pratique trois dérives majeures. La première consiste à confondre « contrôle interne » et « inspection ». Le référentiel COSO (référentiel international du contrôle interne et de la gestion des risques d’entreprise) définit l’objectif du contrôle interne comme « Fournir une assurance raisonnable quant à la réalisation des objectifs de l’entreprise ». Cette définition découle du besoin des entreprises de travailler leur « capital confiance » auprès de leurs parties prenantes (clients, actionnaires, personnel,…). Ceci suppose bien plus qu’une action « d’inspection ».
En amont de l’inspection il est nécessaire que chaque collaborateur dans l’entreprise maîtrise les risques liés à ses activités et que le management mette en œuvre toutes les conditions pour disposer d’un environnement approprié et porteur et d’un processus coordonné de communication, d’évaluation et d’amélioration constante de la maîtrise. Correctement appliquée, la pratique du contrôle interne devrait davantage contribuer à une meilleure qualité, voire à l’élimination des procédures et inspections devenues trop couteuses ou obsolètes. On remarquera qu’il est habituellement plus facile d’ajouter des nouvelles actions de maîtrise que de prendre la responsabilité d’en supprimer, cette dernière action nécessitant une analyse plus approfondie des risques encourus.
L’arrêté royal du 17/08/2007 relatif au système de contrôle interne dans certains services du pouvoir exécutif fédéral, précise également que « le mot ‘contrôle’ ayant, en français comme en néerlandais, deux acceptions possibles,… il y a lieu de le comprendre dans son sens de maîtrise… » et qu’il ne s’agit donc certainement pas d’une couche de procédures et d’actions « d’inspection » supplémentaire et potentiellement contre-productive. Ainsi définie, le contrôle interne se rapproche bien mieux de son origine sémantique anglophone « to control » qui signifie en effet davantage « maîtriser » que « contrôler ». On peut regretter à ce niveau que nous n’ayons pas (encore) adopté dans la langue française la terminologie plus appropriée de « maîtrise d’activités » et que, de ce fait, le « contrôle interne » soit quelque fois perçu comme le « vilain petit canard » des pratiques managériales…

Dispositif structuré

La deuxième dérive est liée à la confusion entre le contrôle interne et l’audit. La maîtrise des activités constitue une responsabilité majeure du management et de l’ensemble du personnel. L’auditeur effectuera une évaluation indépendante de la qualité du contrôle interne mis en place par le management et contribuera ainsi à l’assurance fournie aux parties prenantes. A défaut de disposer d’un processus de contrôle interne à évaluer, l’auditeur devra se limiter à l’inspection de l’application des procédures en place ou de devoir lui-même développer les initiatives de maîtrise des risques, ce qui entamera bien évidemment l’indépendance propre à la fonction d’auditeur. En effet, si le contrôle interne est un processus, l’audit interne est une fonction. On constate cependant que dans bon nombre d’entreprises le recrutement d’un auditeur interne précède la mise en place d’un dispositif structuré de la gestion des risques et du contrôle interne. Bien que contraire à la bonne pratique, cette démarche intermédiaire permettra au moins de stimuler le démarrage d’un projet de mise en œuvre du contrôle interne.

« Chacun dans l’organisation est supposé être le contrôleur interne de son propre processus. »

Une troisième confusion, liée à la première, se situe au niveau des objectifs poursuivis par le contrôle interne. Poussé par certaines lois (telle que la loi Sarbanes Oxley) et exigences des actionnaires, certaines sociétés limitent l’étendue du contrôle interne à l’inspection des seules processus financiers de l’établissement des rapports annuels. Une assurance raisonnable doit cependant être fournie par rapport à l’ensemble des objectifs, qu’ils soient de nature stratégique, opérationnel, de conformité ou de reporting. Une société peut en effet parfaitement maîtriser son processus de l’établissement des rapports annuels, mais courir droit à la faillite ou rester en infraction par rapport aux lois fiscales, sociales ou autre, ou encore de ne pas avoir un regard critique sur les moyens et méthode mis en œuvre pour atteindre les objectifs opérationnels. Aussi , il a été démontré que, afin d’obtenir un degré de maîtrise suffisant du processus de reporting, une société devra nécessairement maîtriser ses processus en amont du reporting. Comment peut-on en effet garantir l’exactitude du chiffre d’affaires publié sans maitriser l’ensemble du processus de ventes et de la réception des offres?

Sécurité active

La mise en œuvre d’un dispositif de maîtrise interne ne doit pas être livrée à l’improvisation. Si chacun dans l’organisation est supposé être le contrôleur interne de son propre processus, il importe qu’un (ou plusieurs) coordinateur(s) du contrôle interne soit désigné et que cette personne bénéficie des formations et de l’accompagnement professionnel nécessaire. Il existe actuellement de nombreux programmes de formation dans ces matières et l’association du contrôle interne ICIB offre depuis peu la possibilité d’obtenir une certification professionnelle et internationalement reconnue (CICS, Certified Internal Control Specialist, et CICP, Certified Internal Control Professional).

Si la maîtrise est essentielle au succès voire à la survie de l’entreprise, il n’est pas étonnant de constater que les parties prenantes de l’entreprise s’y intéressent. Les assureurs s’intéressent depuis toujours à la qualité de certains processus de maîtrise des risques majeurs tels que la destruction d’une usine par l’incendie. Poussé par une modélisation accrue de la gestion des crédits, Il est probable que les banquiers s’intéresseront à l’avenir davantage à la qualité de la gestion des risques par l’entreprise cliente. Les modèles internes des banques intègrent actuellement essentiellement des éléments financiers de l’entreprise et des données économiques et sectorielles. Les éléments plus subjectifs relatifs à la qualité de la maîtrise des opérations y sont quelque fois négligés.

On pourrait faire une comparaison avec les éléments de la sécurité routière: il ne suffit pas de connaître la sécurité passive du véhicule (la carrosserie, les fonds propres, le cash-flow généré) et le chemin à parcourir (la route sinueuse et les embuches, le marché et la position concurrentielle de l’entreprise), aussi faut-il tenir compte de la sécurité active du véhicule (freins, ABS, le conducteur, la maîtrise des opérations). Cette dimension de sécurité active devrait être prédominante dans l’analyse de crédit. Ne dit-on pas qu’il vaut mieux investir dans une bonne société active dans un mauvais secteur que dans une mauvaise société dans un bon secteur? Les partenaires financiers pourront s’appuyer sur une évaluation du dispositif de contrôle interne pour peaufiner leur jugement.

Texte: Yves Dupont
Président de l’ICIB, l’association pour le contrôle interne, et directeur scientifique des programmes de formation en gestion des risques et en contrôle interne à ICHEC-Entreprises.

Plus d’infos: www.ichec-entreprises.be.