2. Une application hétérogène
L'enquête précitée du cabinet Deloitte s'est voulue plutôt optimiste, mentionnant que les sociétés ont en général réalisé des travaux plus importants que ce que la lecture des rapports pouvait faire apparaître, dans l'optique d'un contenu plus conséquent dans les prochaines années, ce qui constitue un investissement pour l'avenir.
Cette enquête a néanmoins mis en évidence des pratiques très hétérogènes.
Rapport sur le contrôle interne :
les
enquêtes des cabinets Mazars & Guérard et Deloitte
1- Le cabinet Mazars a publié en février 2004 les résultats d'une étude réalisée en 2003, intitulée « Contrôle interne : concept et réalités, résultats de l'enquête 2003 sur la sensibilisation et la préparation des entreprises aux dispositions de la loi de sécurité financière ». Cette étude repose sur un sondage réalisé auprès des sociétés anonymes françaises les plus importantes en terme de chiffre d'affaires - cotées en France (60 %) et non cotées (40 %), intervenant dans les services et dans l'industrie.
L'enquête suggère une certaine impréparation à l'application des dispositions de la loi de sécurité financière :
- Seulement 38 % des entreprises considèrent que les nouvelles dispositions permettront d'améliorer l'information des investisseurs et de réduire les risques de manipulation.
- 66 % des entreprises déclarent être moyennement sensibles aux questions de contrôle interne. La fonction de « contrôle interne » n'existe que dans 15 % des cas, et peu d'entreprises envisagent sa création. Une entreprise sur deux déclare posséder de réels manuels de procédures. Néanmoins, 77 % des entreprises voient dans les exigences de la LSF des moyens d'améliorer leur relation avec leurs actionnaires, mais surtout de progresser dans leur propre organisation en passant notamment du concept de contrôle interne à la pratique de la maîtrise des risques.
- Seules 22 % des entreprises s'estiment prêtes, pour l'essentiel, à recenser et à auto-évaluer leur système de contrôle interne. 83 % n'ont pas de projet formalisé tendant à la mise en conformité à la LSF. 62 % ne s'estiment pas en mesure d'assurer, seules, ce projet. Le cabinet M azars en conclut que seule une minorité d'entreprises pourra appuyer le rapport du Président sur des travaux structurés impliquant les différents échelons de l'entreprise. La majorité se limitera à une synthèse des conclusions de missions d'audit récentes et à une première approche de la cartographie des risques. 90 % des entreprises se déclarent, par ailleurs, favorables à des mesures transitoires permettant de disposer d'un délai d'un à deux ans pour parvenir aux exigences de la loi.
- Au total, l'exercice de communication sur le contrôle interne reste perçu comme une difficulté par 54 % des entreprises consultées.
Le cabinet Deloitte a publié, plus récemment, un bilan de la première année d'application de la LSF, au vu des rapports sur le contrôle interne effectivement parus pour l'année 2003 (« Rapport sur le contrôle interne, le premier bilan », 25 mai 2004). Cette étude est établie sur la base d'un échantillon de 56 rapports de groupes industriels et commerciaux cotés membres du SBF 120. Elle porte sur huit thèmes couvrant la forme et le fond du rapport.
- Le nombre moyen de pages du rapport sur le contrôle interne est de 5,5 pages.
- 64 % des rapports ne contiennent aucun détail concernant les risques encourus par la société. 16 % font référence à la partie du rapport annuel qui traite des risques et seules 20 % des sociétés mentionnent des risques spécifiques dans le rapport du président.
- 71 % des rapports contiennent un paragraphe spécifique consacré aux informations sur les procédures de contrôle interne relatives à l'élaboration et au traitement de l'information comptable et financière.
- 55 % des entreprises définissent le contrôle interne en référence au COSO.
- Seules 36 % des entreprises indiquent comment les risques sont gérés (direction des risques, comité...).
- 7 % des rapports présentent une évaluation du contrôle interne, c'est-à-dire quatre sociétés dont trois sont cotées aux Etats-Unis et une mentionne avoir procédé à l'évaluation sans en révéler le résultat. Néanmoins, 52 % des rapports mentionnent un plan de progrès.
- 54 % des entreprises précisent les diligences qui ont sous-tendu l'analyse du président et 29 % mentionnent l'utilisation d'un questionnaire d'auto-évaluation.
Sources : Cabinets Mazars & Guérard et Deloitte
En définitive, le minimum exigé par le rapport sur le contrôle interne consiste en une description détaillée des risques et de leur gestion. Il n'est pas acceptable, à cet égard, que près des deux tiers des rapports examinés par le cabinet Deloitte ne contiennent aucun détail concernant les risques encourus par la société. Il est également inquiétant que seulement un peu plus d'un tiers des entreprises étudiées indiquent comment les risques sont gérés d'un point de vue organisationnel. On voit ici que le débat entre description et évaluation tend à masquer une autre question, plus fondamentale, liée au degré de détail exigé dans la description. Or ce degré de détail doit être élevé pour que le rapport ne constitue pas une formalité inutile.
Quant à l'évaluation, elle est sans doute insuffisamment présente au stade actuel d'application de la LSF. Il faut se garder toutefois d'encourager certaines formulations superflues , telles que celle consistant à indiquer que les « procédures sont adéquates pour fournir des informations comptables et financières fiables », ainsi que l'a fait une grande entreprise, qui a pourtant procédé à une description exemplaire de ses risques et procédures. Une telle description du « risk management », détaillée et inscrite dans une démarche de progrès, doit apporter suffisamment d'informations à l'actionnaire ou à l'investisseur pour qu'il puisse procéder lui-même à une évaluation de la politique de l'entreprise en matière de contrôle interne. L'exigence d'une analyse suffisamment fine et d'une perspective dynamique devrait permettre de dépasser le débat stérile entre description et évaluation.