La loi de sécurité financière et le contrôle des systemes d’information

Publié le 01/03/2004 -

La loi de sécurité financière n° 2003-706 du 1er août 2003 a modifié le Code de commerce dans le sens d’une plus grande transparence des sociétés anonymes. Applicable immédiatement pour les exercices comptables ouverts au 1er janvier 2003, ces nouvelles dispositions imposent au président du conseil d’administration ou au président du conseil de surveillance de rendre compte des procédures de contrôle interne mises en place dans l’entreprise. Les commissaires aux comptes sont désormais tenus de formuler leurs observations sur les procédures de contrôle interne relatives à l’élaboration et au traitement de l’information comptable et financière. Cette nouvelle législation a un impact sur l’audit du système d’information en raison de la place qu’occupent aujourd’hui les technologies dans les dispositifs de contrôle interne. Il en découle ainsi une globalisation de l’audit dans l’entreprise.

1. POUVEZ-VOUS, EN QUELQUES MOTS, PRECISER QUEL EST LE CONTENU DE LA LOI DE SECURITE FINANCIERE ?

La loi de sécurité financière a été publiée au Journal Officiel de la République Française le 2 août 2003. L’articulation du texte est révélatrice des domaines d’inquiétude du législateur : le titre 1 porte sur la modernisation des autorités de contrôle,  le titre 2 concerne la sécurité des épargnants et des assurés, le titre 3 traite de la modernisation du contrôle légal des comptes et de la transparence, et enfin le titre 4  énonce les dispositions relatives à l’Outre-mer. Nous assistons à une réforme en profondeur, à la fois institutionnelle, procédurale et méthodologique. Elle concerne notamment la modernisation du contrôle légal des comptes. A  cet  égard,   la loi prévoit un renforcement du formalisme de l’évaluation du contrôle interne. Le législateur a voulu que la loi soit d’application immédiate, elle s’applique aux exercices ouverts à compter du 1er janvier 2003 à l’ensemble des sociétés anonymes.

Dans son rapport, le président du conseil d’administration ou du conseil de surveillance  rend  notamment  compte :
– des conditions de préparation et d’organisation des travaux du conseil ;
– des procédures de contrôle interne mises en place par la société ;
– des  éventuelles  limitations que le conseil  d’administration apporte aux pouvoirs du directeur général (en cas de dissociation des fonctions de président du conseil d’administration et de directeur général). Aucune précision  n’a  été  donnée  par  le  législateur  quant au  contenu  et  à  la  structure  du rapport.

2. QUI, DANS L’ENTREPRISE, EST CONCERNE PAR CETTE LOI ?

La publication du rapport est placée sous la responsabilité du président du conseil ou du directoire, mais dans la pratique, ce sont les services d’audit, lorsqu’ils existeront, qui auront en charge la description des procédures de contrôle interne. Subsidiairement, lorsque l’entreprise ne sera pas dotée d’un tel service, ce sera la direction financière qui supportera cette charge. Il est plus sain que le service d’audit soit rattaché à la direction générale de la société. Le commissaire aux comptes intervient dans un deuxième temps pour formuler ses observations sur celles des procédures qui concourent à l’élaboration des états financiers.

3. COMMENT LES CHOSES SE PASSAIENT-ELLES AUPARAVANT EN MATIERE DE CONTROLE INTERNE ?

Article L. 225-37 alinéa 6 modifié du Code de commerce : « le président du conseil d’administration rend compte, dans un rapport (…), des conditions de préparation et d’organisation des travaux du conseil ainsi que des procédures de contrôle interne mises en place par la  société. (…) »

Article L. 225-68 alinéa 7 modifié du Code de commerce : « le président du conseil de surveillance rend compte, dans un rapport (…), des conditions de préparation et d’organisation des travaux du conseil ainsi que des procédures de contrôle interne mises en place par la  société. (…) ».

L’évaluation du contrôle interne incombait au commissaire aux comptes. Dès la première année de son mandat, celui-ci devait mener certaines diligences en vue de l’évaluation du contrôle interne. Le contrôle interne était défini comme l’ensemble des mesures visant à assurer la protection des actifs, le respect des directives et la qualité des états financiers. C’est notamment en fonction du résultat de ces premières diligences que le commissaire aux comptes établissait son programme de travail en vue de la certification des comptes.

Si des faiblesses de contrôle interne étaient observées, alors des sondages étaient opérés pour mesurer les conséquences comptables de ces faiblesses.

Et si ces faiblesses étaient susceptibles de déboucher sur des fraudes,  le commissaire aux comptes, dans un rapport destiné au conseil, les dénonçait et sollicitait des mesures correctives. Dans cet exercice, le commissaire aux comptes avait le droit – qu’il conserve toujours – de s’appuyer sur les travaux menés par les salariés de l’entreprise constitués en équipe d’audit. Il s’agissait donc déjà – dans un tel cas – d’un « méta contrôle ».

La loi de sécurité financière impose maintenant aux organes de gestion des sociétés anonymes l’établissement d’un rapport sur les conditions de préparation et d’organisation des travaux du conseil d’administration ou de surveillance, ainsi que des procédures de contrôle interne mises en place par la société. Le commissaire aux comptes devra, dans un nouveau rapport annexé au rapport général, présenter ses observations sur ce rapport, pour celles des procédures de contrôle interne qui sont relatives à l’élaboration et au traitement de l’information comptable et financière. Dans la majorité des cas, ces documents devront donc être établis pour la prochaine campagne d’assemblée, au cours du premier semestre 2004, c’est dire que nous sommes d’ores et déjà au milieu du gué. L’innovation réside donc dans le renforcement du formalisme, à deux niveaux, celui du conseil d’administration ou de surveillance et celui du commissaire aux comptes. Chacune de ces entités devra prendre ses responsabilités.

4. COMMENT CE NOUVEL AUDIT VA-T-IL S’ARTICULER AVEC LES AUDITS SPECIALISES TELS QUE L’AUDIT DE SYSTEME D’INFORMATION ?

Dans les systèmes d’information modernes, les traitements comptables sont le plus souvent tributaires des autres domaines du système d’information de l’entreprise. Par exemple, les factures de vente sont intégrées directement dans la comptabilité sans reprise manuelle d’écritures, la paye est « basculée » dans la comptabilité, les flux bancaires sont intégrés souvent par télétransmission etc. Il sera donc difficile d’isoler les procédures relatives à l’élaboration et au traitement de l’information comptable et financière.

Dans ces conditions, c’est une véritable description critique du système d’information dans son ensemble que ces organes d’administration devront établir : l’approche sera nécessairement transversale. Nous allons donc vers une globalisation de l’audit, c’est-à-dire une seule démarche et de nombreuses compétences. Ce qui apparaîtra pour beaucoup d’entreprises comme une tracasserie supplémentaire peut représenter en réalité une opportunité sans précédent dans la mesure où cet audit permettra en une démarche unique de formuler une opinion motivée sur la qualité du système de gestion pris dans son ensemble.

Article L. 225-235 alinéa 5 modifié du Code de commerce : « les commissaires aux comptes présentent, dans un rapport (…), leurs observations (…) pour celles des procédures de contrôle interne qui sont relatives à l’élaboration et au traitement de l’information comptable et financière. »

5. POUVEZ-VOUS PRECISER CE QU’IMPLIQUE CONCRETEMENT L’AUDIT DU SYSTEME D’INFORMATION ?

Dans cette démarche globale, l’audit du système d’information qui vise à formuler une opinion sur la qualité du système d’information prendra sa vraie place. La qualité d’un système d’information se définit selon quatre critères :
– cohérence avec le système de gestion : les traitements automatisés de données produisent à temps les informations directement exploitable en l’état ;
– sécurité : le système d’information doit garantir un bon niveau de service ;
– adaptabilité : le système d’information doit présenter de bonnes facultés d’adaptation ;
– économie : le système d’information ne doit pas occasionner des charges exorbitantes.

Dans cette démarche globale, les spécificités du système d’information seront pleinement prises en compte.

6. QUELLES SANCTIONS ENCOURENT LES ENTREPRISES QUI NE METTRAIENT PAS EN PLACE UN TEL AUDIT ?

La question des sanctions n’est pas encore tranchée. Mais on peut supposer qu’en cas de difficulté ultérieure, le Président qui n’aura pas respecté ces règles verra sa responsabilité aggravée.

7. QUELLES DEMARCHES LES ENTREPRISES DOIVENT-ELLES ACCOMPLIR POUR ACTIVER CETTE NOUVELLE PROCEDURE D’AUDIT ?

Le Président devra établir un rapport sur les procédures de contrôle interne et les méthodes de conduite des travaux du conseil. Pour de  nombreuses entreprises, cette démarche sera entièrement nouvelle. Il va falloir former des équipes ou faire appel à des experts pour mener à bien la conduite des travaux.

8. EN QUOI LA DEMARCHE GLOBALE QUE VOUS PROPOSEZ EST-ELLE ORIGINALE ?

Selon M. Chernet « le contrôle interne est représenté  par  l’ensemble  des  mesures visant à assurer la protection des actifs,  la  prévention  des fraudes  et le respect  des  directives  données  par la direction. Dans les économies modernes, on ne peut dissocier l’audit des procédures de l’audit du système d’information »
Elle se distingue des autres démarches sur plusieurs points essentiels :
– elle fédère des démarches auparavant multiples, rendant l’audit plus économique,
– elle repose sur des concepts systémiques,
– elle repose sur une terminologie nouvelle,
– elle met en œuvre une méthodologie et des outils nouveaux.

L’objectif est, dans ce domaine vital, d’améliorer le rapport performance/prix et de fédérer des démarches multiples. Actuellement, les équipes d’audit sont souvent, et à mon sens à tort, spécialisées. Cela provient de l’absence de conceptualisation et de globalisation. En fait, il n’existe souvent pas de plan d’audit. Un responsable s’étonne de l’importance de telle catégorie de frais et lance un audit sur ce point. Certains audits sont plus systématisés, c’est le cas de l’audit comptable. La conceptualisation permet la globalisation et l’engagement de démarches d’audit transversales. Les méthodes et les outils mis en œuvre sont cohérents avec cette approche.

Des concepts systémiques. Il est remarquable que le concept d’entreprise ne soit pas défini dans les référentiels professionnels. La méthode que je propose repose sur une approche systémique de l’entreprise. Cela permet de mieux identifier les relations entre le système de gestion et l’environnement et entre le système de gestion et le système d’information. Dès lors la planification des interventions devient aisée.

Une terminologie nouvelle. Une entreprise poursuit une finalité qui se décompose entre exister et produire. Sans tomber dans le débat philosophique qui consiste à tenter de savoir si l’existence précède l’essence, il demeure essentiel d’avoir sans cesse présent à l’esprit que rien n’est immortel et que tout dans les systèmes pousse au désordre, c’est-à-dire à la mort. Ce constat un peu désagréable est aussi vrai pour les entreprises. Exister est donc la première finalité. Cette finalité existentielle induit des normes de fonctionnement, concept nouveau que nous introduisons. Par exemple, si les plans de la direction financière prévoient un règlement des clients à 60 jours, il devient vital de surveiller que ce délai est respecté, encore faut-il que le système d’information de l’entreprise en fournisse les moyens. Produire induit également de nombreuses normes de fonctionnement.

Une méthodologie et des outils nouveaux. Fort de ces prémisses, le déroulement méthodologique devient logique :
– prise de connaissance de l’entité auditée ;
– identification     des     normes     de fonctionnement ;
– découpage technique de l’intervention : définition des domaines et procédures ;
– description critique des procédures au regard des normes de fonctionnement ;
– rédaction du rapport du conseil ;
– synthèse des mesures correctives.

9. VOUS INTRODUISEZ LE CONCEPT DE « NORMES DE FONCTIONNEMENT », POUVEZ-VOUS EN DIRE PLUS ?

Il existe plusieurs catégories de normes de fonctionnement. Les normes de fonctionnement constituent le droit de l’entreprise au sens le plus large. Elles se répartissent en 3 catégories, les normes de droit, les normes de comportement et les normes spécifiques. Les normes de fonctionnement, dont le respect sous l’angle systémique conditionne l’atteinte des finalités de l’organisation et parfois sa vie même, doivent, dans toute la mesure du possible, être écrites. Dans la plupart des organisations, les normes ne sont pas écrites ou seules certaines d’entre elles le sont. Cela tient à la personnalité des cadres et au fait que certains ont tendance à écrire les directives édictant des normes de fonctionnement alors que d’autres se contentent d’instructions orales. On se réfère souvent à des usages. De ce fait, il n’est pas rare que plusieurs employés aient une vision différente de la norme. Il faudra distinguer l’absence de la méconnaissance des normes, bien que le résultat de ces deux phénomènes soit de générer du désordre et du danger. La catégorie des normes de droit ne sera pas décrite : nul n’est censé ignorer la loi. Sur un plan pratique, il serait impossible de vérifier point par point que le droit est appliqué dans toutes ses dispositions. On pourra toutefois, en relation avec les finalités et l’architecture de l’organisation, tenter d’identifier et d’écrire, avec l’aide de juristes, les dispositions du droit général qui trouvent à s’appliquer en particulier et dont l’absence de respect pourrait avoir des conséquences sur la préservation des futurs actifs (amendes, pénalités, dommages-intérêts).

10. VA-T-ON VERS UNE COLLABORATION EXPERT COMPTABLE / AVOCAT DANS LES DEMARCHES D’AUDIT ?

Tout à fait ! L’équipe avocat / expert- comptable trouve ici sa pleine efficacité. Nul n’est censé ignorer la loi ! Or, le droit, aujourd’hui, se caractérise par son abondance. La création des Codes est faite pour nous aider et mettre fin, selon la circulaire du premier ministre, à la « prolifération et l’enchevêtrement de règles qui caractérisent aujourd’hui notre ordre juridique » ! Sans en faire l’histoire, rappelons, qu’ils étaient au nombre de cinq au temps de Napoléon et qu’ils sont maintenant près de soixante : la simplification est manifeste ! Sa complexité, sa spécialisation, sa finesse, son extrême précision, son internationalisation… Même chez les juristes de métier, il existe des spécialités. Il est donc exclu qu’un auditeur destiné à exécuter une démarche globale, transversale, procède au recensement des normes de droit applicable. Hélas, Portalis, Tronchet, Maleville, Bigot de Préameneu, tous rédacteurs du Code Napoléon, s’ils revenaient, n’en croiraient pas leur toque, aujourd’hui nous avons bien en France plus de 60 codes ! La collaboration avec les avocats sera d’autant plus indispensable que dans le nouvel audit, il sera utile de décrire et d’apprécier les modes de décision des conseils. Indirectement cela va porter sur le contrôle du respect de normes de comportement, qu’on appelle parfois règles de gouvernance, normes plus proches de la morale que du droit. Si notre ambition est donc d’écrire ces normes pour en contrôler la mise en œuvre dans l’entreprise, cette collaboration devient indispensable.

Autres publications