Après les sources, après la séquence à suivre, voici le 3ème et dernier volet de cette série d’articles consacrés aux contrôles comptables. Forme de synthèse des 2 premiers volets, et produit de l’expérience de la mise en œuvre en entreprise, les 10 points qu’il convient de ne pas perdre de vue lorsqu’on se lance…
10 point certainement subjectifs, mais peut être utiles !
Premier point, d’importance, lorsque l’on parle de « contrôles comptables » au sens de la loi, garder à l’esprit que ce sont des contrôles que l’on doit identifier, et qu’ils ne seront pas nécessairement « comptables ».
1. Contrôles, parce que c’est bien ce qui est attendu, et non procédure tournant « un peu » autour du sujet, ou activité d’information ou de formation. Ainsi nombre de contrôles recensés par les entreprises consistent en la diffusion d’une note, ou l’affichage d’une charte. Pour nobles qu’elles soient, ces activités ne relèvent pas de celles de contrôle, et ne limiteront pas les effets du risque, s’il survenait.
2. Pas nécessairement comptables, il en a été fait état ci-avant, parce que quoi qu’ait écrit le législateur, le contrôle dit « comptable » est souvent une activité de contrôle pouvant ne pas avoir de lien direct et immédiat avec la comptabilité.
- Il en est ainsi par exemple de l’exigence d’un Kbis, ou équivalent, lorsqu’un fournisseur est enregistré dans une base éponyme,
- ou encore de la vérification de l’inscription des bénéficiaires d’une invitation sur une note de frais.
2ème point, les contrôles comptables ne sont pas l’apanage des seules directions financières, comptables, des directions du contrôle ou de l’audit interne, ni d’ailleurs celui de la seule fonction conformité : c’est la responsabilité de l’ensemble de ces directions, sous la gouverne d’un pilote unique, d’où qu’il fusse, et de tous ceux qui contribuent, d’une manière ou d’une autre, au contrôle des risques dans l’entreprise : directions commerciale, achats, trésorerie, notamment, ne sauraient être exclues de l’exercice.
Pour autant, certaines entreprises décident de ne confier le sujet qu’à une direction comptable, parce que la loi les qualifie ainsi, et ce raisonnement n’est, a priori, pas le plus adapté à la situation.
3ème point et conviction acquise par la lecture des rapports de l’AFA, à la lumière du bon sens, se dire qu’il faudrait se doter de n contrôles et de n seulement, où « n » est déterminé soit arbitrairement, soit à l’aune de la charge de travail que l’entreprise souhaite déployer, n’est pas nécessairement une bonne idée, surtout si ces « n » contrôles ne couvrent pas l’ensemble des risques identifiés. L’exercice attendu par la loi et l’Agence vise à faire en sorte que tous les risques qui peuvent être limités par des activités de contrôle le soient, pas de cocher une case qui consisterait à dire que le travail est fait parce que l’on est capable de démontrer l’existence de n contrôles, et de n seulement.
4ème point, et particulièrement pour les groupes présents en 1 000 endroits du globe – clause de style -, et encore plus pour ceux qui bénéficient d’une sédimentation de multiples systèmes de gestion, le recours à un moyen de diffusion des objectifs de contrôle, et à la collecte de l’information relative à l’adaptation de ces derniers par les équipes locales est absolument nécessaire. Il n’est pas nécessaire d’acquérir d’applications d’une complexité et d’un coût exorbitant, mais le seul tableur standard ne saurait suffire. Il existe quelques solutions de marché qui permettent de diffuser ce que souhaitent les fonctions centrales en termes d’objectifs de contrôle, et de suivre ce que les équipes locales ont mis en place pour répondre à ces objectifs. Pas beaucoup plus, mais surtout pas moins, et ces solutions sont moins coûteuses qu’un risque de non-conformité. Le siège doit être capable de voir, et de valider ce que ses entités opèrent pour chaque contrôle pertinent pour la prévention de la corruption.
5ème point, corollaire du précédent, si le « corporate » doit connaître ce que font en matière de contrôle, les équipes locales, l’autoévaluation des contrôles effectués par les équipes locales n’est pas une valeur refuge. Bien au contraire, et ce pour 2 raisons : la première est que là où il y a autoévaluation, il y a nécessairement interprétation de la règle à appliquer, et instinct de survie qui font que l’on se sous évalue rarement, la seconde, plus convaincante encore, est que l’AFA dans ses rapports considère que l’autoévaluation sied mal aux contrôles comptables, et plus généralement à la prévention de la corruption.
6ème point, chaque époque a son point de focalisation, l’heure actuelle est à l’intelligence artificielle, qui serait l’Alpha et surtout l’Omega de demain. Sans doute. Certains sont convaincus que la question des contrôles comptables anticorruption pourra être réglée par des moyens techniques, sans trop d’effort. La magie des outils. Cette idée sera peut-être vraie demain, mais, modestement, il conviendrait, dans un premier temps d’envisager une mise en conformité méthodique, pas nécessairement high tech, qui visera dans un premier temps à recenser l’ensemble des contrôles existant pour chacun des risques de corruption identifiés, et éventuellement à compléter le dispositif pour les besoins de la prévention de cette dernière, avant de diffuser « aux bornes du Groupe », les objectifs de contrôle, et d’en récupérer les adaptations locales. L’automatisation des contrôles, et l’injection d’IA viendront potentiellement ensuite, seulement.
7ème point, la question que se posent souvent les directions chargées de déployer et de suivre le dispositif de contrôles comptables, et qui ont compris à la fois l’idée de verticalité de ce dernier, et la fonction de contrôle qui leur est dévolue, est la suivante : pour un meilleur contrôle, doit-on, au niveau central, être destinataire de tous les résultats des contrôles effectués à travers le Groupe ? La réponse semble évidente, et pour les avocats, à qui la question a pu être juridiquement posée, et à l’aune du seul, mais souvent salvateur, bon sens : elle est négative. Pour 2 raisons principales. Imaginons en effet un Groupe composé de 100 filiales, doté d’une cartographie des risques de corruption de 20 risques, affublés chacun en moyenne de 4 contrôles, niveaux 1 et 2 confondus. Il en résulte un volume de contrôles à effectuer de 100 x 20 x 4, soient 8 000 contrôles à effectuer, que l’on minorera arbitrairement de 20% pour tenir compte de particularités techniques, soient in fine 6 400 contrôles à réaliser par an, sans tenir compte dans cet exemple de la notion de fréquence des contrôles. Imaginons à ce titre, qu’en moyenne, ceux-ci soient réalisés 3 fois dans l’année : l’on arrive à 19 200 contrôles par an, en étant vraiment très prudent sur le quantum retenu.
Une fois cela établi peut-on raisonnablement penser qu’une personne, ou quelques personnes vont s’assurer de la bonne exécution de cette masse de contrôles, sachant que cela qu’elles ne connaîtront aucune des particularités locales de chacune des entités ?
Fort de cette information, considérons qu’une personne, ou un service, soit destinataire de ces 19 200 éléments de contrôle, ne prenne connaissance que de la moitié de cette masse soit 8 600 éléments dont il faudrait prendre connaissance.
Et que par ailleurs dans la moitié non scrutée – 8600 éléments également, se logent des informations ou documents à même de compromettre la sérénité, pour ne pas dire la sécurité du Groupe.
- Par exemple une simple note de frais couvrant des dépenses justifiées comptablement, mais inacceptables d’un point de vue légal, éthique, ou procédural. Comme des objets de luxe, des retraits d’espèces, ou des frais de réfection de piscine ?
En ne prenant que cet exemple caricatural, mais tout à fait vraisemblable, le récipiendaire des justificatifs de ces entorses aux règles de conformité, fournis pour un contrôle donné, pourrait ainsi se voir reprocher d’avoir en sa possession, ou à sa disposition, des informations constitutives d’une infraction grave ou moins grave, sans même en avoir conscience, et donc sans réagir d’aucune manière.
C’est la raison pour laquelle, il convient de laisser les résultats des contrôles à leurs auteurs, localement. Ce qui ne signifie en revanche pas qu’il faille les laisser sans surveillance.
Il s’agira donc de demander aux auteurs des contrôles s’ils effectuent ces derniers. Et de leur demander de l’affirmer formellement, avant d’aller, au titre des contrôles périodiques ou de 3ème niveau, s’assurer que ceux-ci sont conformes à ceux qui sont attendus.
Et bien évidemment, comme cela est précisé plus haut, de ne jamais envisager que les contrôles en question relèvent de l’autoévaluation, ou du self-assessment.
8ème point, probablement le plus négligé de la mise en œuvre des contrôles Sapin 2, le traitement des exceptions, rappelé dans l’épisode 1, au sujet des points 311 à 314 des recommandations de l’AFA, ou au point 3.5 page 40 du guide pratique. Il s’agit en synthèse de la situation où un contrôle [comptable] s’avère défaillant. Que faire ? Constater qu’il est défaillant et s’arrêter là ? Bien sûr que non. A l’entreprise de déterminer, dans la conception de ses contrôles, quelle est la voie à suivre dans ce cas de figure. Et le fait est que la chose est simple à énoncer, plus délicate à réaliser.
- À titre d’illustration, imaginons un rapprochement bancaire avec des écritures « en rapprochement » depuis plusieurs mois. A l’échelle du Groupe, ces écritures ne sont certes pas significatives. Disons 20 K€, payés non rapprochés. En termes de prévention de la corruption, signal plutôt inquiétant. « Red flag ». En termes d’audit, non significatif. Pour autant et dans le cadre de la prévention de la corruption, il faudra en prendre acte bien évidemment, mais également indiquer quoi faire : comprendre ce qui se passe. En faire un rapport à la trésorerie, à la compliance ?
Le champ des possibles est immense parce qu’il n’est pas possible d’envisager à l’avance l’ensemble des cas de figure pouvant survenir en matière de défaillance d’un contrôle donné.
Il faudra donc pour chaque contrôle de 1er ou 2ème niveau, envisager une modalité, ou une règle en cas d’échec du contrôle. Ce qui ne simplifie évidemment pas la tâche des concepteurs des contrôles, ne serait-ce que parce que le contrôle interne lui-même ne prévoit pas systématiquement, les voies de traitement d’un contrôle défaillant.
9ème point, les contrôles comptables anticorruption sont des contrôles comptables anticorruption. Derrière cette (subtile) tautologie, se dissimule une idée qui pourrait, ou a pu, tenter nombre d’entreprises assujetties au dispositif Sapin 2, et qui consiste en l’idée de recycler des contrôles imposés par d’autres réglementations pour en faire une solution aux 5° du II de l’art.17.
Il en est ainsi souvent des dispositifs, de façon assez classique, Sarbanes-Oxley, Lab-FT ou AML, de dispositifs antifraude, ou de façon plus inattendue de le pharmacopée que certains utilisent non pas en s’abritant derrière la conformité anticorruption, mais derrière la seule notion de « conformité », et de leur capacité à la respecter, sans autre forme de précision.
Dans différents cas de figure, et avant de rejeter tout autre dispositif que celui anticorruption, il n’existe qu’un seul juge de paix : le contrôle que l’on applique est-il lié, ou non, à un risque de corruption. Si oui, alors le contrôle en question peut être considéré comme un contrôle anticorruption.
10ème point, faut-il envisager une approche contrôles comptables anticorruption comme celle d’une démarche classique d’audit et ne traiter que les sujets de risques de corruption, au-delà de certains seuils financiers, et jamais en deçà ?
En effet, en matière d’audit financier, si une erreur ou une inexactitude dans les états financiers est inférieure à un seuil de significativité défini, elle peut être jugée comme non significative, et peut ne pas nécessiter de correction ou d’ajustement dans les comptes. Et d’une certaine manière, être omise par l’entreprise.
Or, en matière de prévention de la corruption, peut-on se prévaloir de ce seuil pour les besoins de la mise en œuvre des contrôles comptables anticorruption ?
Rien n’est moins sûr, et ce point est toujours difficile à faire accepter à un chef d’entreprise, à sa direction financière, à sa direction du contrôle ou de l’audit interne, ainsi parfois qu’à sa direction commerciale.
La raison de cette position n’est ni dogmatique, ni idéologique. Elle est très simple à comprendre : imaginons qu’un Groupe prospère connaisse des seuils de significativité, pour ses missions d’audit au-delà de 50 000 Euros, ce qui est assez bas dans nombre d’entreprises soumises au dispositif Sapin 2.
Serait-il alors acceptable que l’on fasse fi d’une dépense par exemple de 30 K€ parce qu’elle est sous les seuls de significativité, alors même qu’avec une telle somme, un corrupteur parviendrait à corrompre bien des âmes.
La question est bien là, le phénomène de corruption peut surgir très rapidement, parfois 1 000 Euros suffisent, parfois moins. Des montants de ce niveau peuvent amener, en France ou ailleurs, le juge à condamner pénalement, personnes morales ou physiques. Voilà donc la principale raison de la non applicabilité des seuils de significativité à la question de la prévention de la corruption.