Imprimer cette page

Récemment, les affaires Kerviel en France et Madoff aux États-Unis ont poussé le monde financier à s’interroger de nouveau sur les moyens à mettre en œuvre afin d’éviter de telles dérives.

La mise en place des normes (Sarbanes-Oxley, BALE II, SOLVENCY II, IFRS, etc.) donnait une solution de contrôle des fraudes. On peut voir que, dans ces affaires, les deux hommes ont réussi à contourner tous les indicateurs de contrôle mis en place. Il est donc permis de se demander comment améliorer les contrôles afin d’éviter que cela se reproduise.

La crise que l'on connait est avant tout financière, avec la crise des " hedges funds " et la défiance envers les banques et les créanciers des banques. Des solutions financières sont à inventer pour minimiser les risques.

Quelle méthodologie de contrôle interne est aujourd'hui pertinente? Quels facteurs doit-on prendre en compte en complément et comment ?
Les normes Sarbanes-Oxley, Bâle II et Solvency II sont toutes pertinentes pour couvrir les risques associés à leur secteur.
Cependant, la crise que nous connaissons étant avant tout bancaire, il semble logique que la réponse la plus adaptée soit une meilleure gestion des risques bancaires avec Bâle II. Même si les normes Sarbanes-Oxley et Solvency II permettent à leur niveau de consolider les marchés financiers dans leurs secteurs, la crise doit se résoudre avant tout dans les établissements financiers.
Mieux encadrer les risques paraît constituer l’enjeu le plus pertinent. Il est alors important de prendre en compte tous les risques bancaires: les risques opérationnels (fraude et pannes de système), les risques de marché et le risque de crédit ou de contrepartie, risques couverts par Bâle II.

Même si Bâle II permet de calculer le risque de crédit (en fonction de la solvabilité de l'emprunteur et de sa notation), il n'est pas un simple ratio réglementaire (pilier 1), mais dépasse le ratio Cooke en imposant un suivi exhaustif (pilier 2), une communication et une information financière (pilier 3). La Commission Bancaire peut, en fonction de ces résultats, imposer la nécessité de fonds propres supplémentaires. Donc, l'application de Bâle II est une puissante machine qui " formate " les données de gestion d'une banque.

Les nouvelles lois, recommandations et procédures imposées (ou fortement conseillées) par les autorités de tutelle permettront-elle de protéger sur le long terme les marchés financiers et plus globalement l'économie mondiale des conséquences induites d'une nouvelle crise ?  
L'efficacité de ces normes dans une société mondialisée et interconnectée surtout au niveau financiers est conditionnée par l'adoption et la mise en œuvre rapide par tous les pays de règles identiques et notamment celles de Bâle II (surtout aux États-Unis où ces normes ne sont pas massivement suivies). Les différences de normes comptables entre l'Europe et les États-Unis augmentent la complexité de leur mise en oeuvre.
La recherche de solutions pour la gouvernance d'entreprise constitue la vocation même du contrôle interne.
Les normes (Sarbanes-Oxley, Bâle II et Solvency II) donnent toutes les trois des réponses et des solutions pour gérer les risques qui entrainent les fraudes ou les crises financières, chacune dans un secteur différent (entreprise, banque et assurance). Une fois mise en place et adapté à une entreprise, on pourrait s'attendre à ce que tous les risques significatifs soient couverts. Pourtant, malgré la mise en place des normes de contrôle et de gestion des risques, les entreprises et les banques ont subi des dysfonctionnements graves dans les deux domaines indiquant par là même une faille dans la surveillance et l’organisation des services dédiés à cette activité.

Pourquoi ces normes ne sont-elles pas davantage mises en place par les entreprises, banques et assurances ?  
La mise en place d'une méthodologie efficace de contrôle interne et de mise en conformité à des normes financières (que ce soit Sarbanes-Oxley, Bâle II ou Solvency II) est souvent très lourde en termes de coûts et de temps. Les opérationnels se voient attribuer des tâches supplémentaires de contrôle souvent chronophages. Malgré la lourdeur des méthodologies de contrôle et de gestion des risques mises en place par le contrôle interne, les scandales appellent à la plus grande vigilance et permettent de créer de la confiance durable entre tous les interlocuteurs d'une entreprise.

Toutefois, le véritable risque ne réside-t-il pas dans la partie "humaine" du contrôle des risques ?
Le contrôle interne est en effet réalisé "pour" et "par" les Hommes.Pour les Hommes car il facilite l’amélioration de la méthodologie grâce à un partage des bonnes pratiques, à une répartition des rôles et des responsabilités, à une délégation des tâches et à la traçabilité des actions des différents acteurs de l'entreprise via les pistes d'audit. Cette amélioration de la visibilité et de la confiance due à la méthodologie mise en place à tous les niveaux doit permettre, à moyen ou à long terme, une baisse de la pression subie par les dirigeants et les employés.

Par les hommes car il est effectué à tous les niveaux (ie : par les opérationnels qui effectuent leurs tâches quotidiennes ou par les contrôleurs internes ou externes qui constituent les acteurs principaux du contrôle interne). Souvent, les opérations effectuées étant récurrentes, les interlocuteurs agisant sur ses opérations ne changent pas et interviennent sur des périodes plus ou moins longues. Il est possible que la vigilance décroisse avec la multiplication et la répétition des tâches. Cette fragilité du niveau de vigilance des interlocuteurs du contrôle interne peut expliquer presque à elle seule la possibilité la faille identifiée des indicateurs de contrôle. La méthodologie ne garantit donc pas l'absence de fraude, c’est la vigilance permanente qui en est le garde-fou.

Une solution est à envisager : l'automatisation des contrôles qui permettrait de limiter, voire d'effacer, les risques d'erreurs humaines.
Les contrôles automatiques existent déjà et se développent, soient à travers certains outils de gestion des risques, soit par des contrôles simples automatisés. Les outils développés qui permettent une aide à la gestion des risques d'une entreprise ou d'un établissement financier sont souvent basés sur des axes d'analyses (essentiellement, les axes du COSO, COBIT, etc...), des questionnaires et des formats de fichiers de reporting.

Cependant, la plupart des contrôles avec ou sans ces outils sont toujours au final réalisés ou supervisés par des humains, incluant également le contrôle des risques propres aux systèmes d'information.

Le facteur humain reste donc central et indispensable dans une méthodologie de gestion des risques et de contrôle interne et ne peut pas être éliminé. " La confiance n'empêche pas le contrôle " doit devenir un leitmotiv et toujours resté ancré au centre des réflexions internes sur la gestion des risques.

Dans une société où tout va toujours plus vite et où les délais sont toujours plus courts, la pression augmente à mesure que les délais diminuent. La confiance en ses interlocuteurs est devenue primordiale mais parfois trop longue ou trop fastidieuse à développer.

La mise en place d'une bonne méthodologie de contrôle interne permet de donner confiance durablement aux dirigeants, aux employés et aux actionnaires. C'est tout simplement privilégier une confiance durable à une séduction immédiate.

Par Frédéric Doche, Président et Eric Cogoluenhes Consultant
Décision Performance Conseil
www.conseil-dpc.com

Lu 195347 fois