Le contrôle interne – outil de survie des organisations

Histoire du contrôle interne

Cette démarche est apparue aux Etats-Unis suite à la crise de 29. Le développement du contrôle de gestion et du contrôle légal des comptes (l’audit comptable), auquel de nombreuses entreprises sont assujetties, ont répandu un embryon de démarche de contrôle interne limité à une approche financière. Elle s’est ensuite plus largement répandue durant les années 2000 notamment suite au scandale ENRON.

En 2002 aux Etats-Unis, la Loi Sarbanes-Oxley a formalisé le contrôle interne au niveau financier.

En France, en 2006, l’AMF (Autorité des Marchés Financiers) a publié un document de référence formalisant le contrôle interne des entreprises.

Mais toutes ces démarches officielles sont avant tout destinées à protéger financièrement l’Etat, les actionnaires et les créanciers des grandes entreprises cotées en bourse.

Aujourd’hui, l’instabilité générale de la géopolitique et de l’économie mondiale rend le contrôle interne dans ses dimensions opérationnelle et stratégique plus que jamais indispensable, notamment pour les chefs d’entreprises plus petites mais autant exposées aux risques majeurs que les blue-chips.

Principes du contrôle interne

Le principe de base est très simple. Il s’agit de recenser tous les risques significatifs, endogènes ou exogènes, auxquels l’entreprise est exposée. Ensuite la probabilité et la gravité de ces risques sont évaluées. Enfin ils sont hiérarchisés sur une matrice en fonction du produit de leur gravité par leur probabilité.

Graphique d’exemple de matrice des risques d’une entreprise connaissant des déficiences dans sa gestion de production

Face aux risques recensés et à leur hiérarchisation, des activités de contrôle, au sens procédures de détection, de suivi et de maitrise de ces risques, sont définies et mises en oeuvre dans le but d’éviter toute perte de contrôle. Ces actions doivent permettre de sensiblement diminuer le risque global et si possible d’améliorer la rentabilité.

Mais comme personne n’agit en fonction de la seule réalité mais plutôt de la connaissance qu’il en a, il faut définir un système d’information ou passer par le système de reporting existant pour s’assurer de la bonne circulation des informations pertinentes aux bons niveaux hiérarchiques. La quasi totalité des informations de l’entreprise sont concernées depuis les attentes clients jusqu’à la connaissance de la stratégie et des objectifs par les opérationnels et bien entendu de tous les écarts entre le souhaitable et le réel.

La hiérarchisation des risques

Les risques doivent être hiérarchisés selon deux axes : leur gravité bien sûr mais aussi leur probabilité.

Les risques les plus graves et les plus probables doivent logiquement être éliminés ou traités en priorité et en totalité, peu importe le coût (par exemple le risque d’accident en avion).

D’autres risques sont moyennement probables mais ont potentiellement des conséquences désastreuses comme les risques incendie. Ces risques doivent à la fois faire l’objet d’une prévention destinée à réduire leur probabilité et leurs conséquences en cas de survenance mais aussi d’une assurance pour couvrir les conséquences d’un sinistre total malgré la prévention.

De même, les risques de mise en cause juridiques, les risques d’attaque informatique et de fraude sont relativement fréquents mais leur gravité maximale demeure inférieure à celle d’un incendie majeur ou d’un crash aérien. On peut se contenter d’une bonne prévention. De simples mesures permettent d’en diviser par 100 voir 100 000 la probabilité. La prévention est d’autant plus intéressante que l’assurance de ces risques serait économiquement trop pénalisante.

Certains risques de conception ou de fabrication sont peu probables mais difficiles à éviter en totalité à un coût économique raisonnable et peuvent avoir des conséquences très variables. Il peut s’agir d’une simple mise en oeuvre de la garantie, d’une campagne de rappel déjà plus couteuse, voire d’une mise en cause civile causant des dommages financiers et de réputation difficilement supportables.

De nombreuses entreprises ont disparu, perdu leur indépendance ou ont été durablement affaiblies à cause d’erreurs de conception ou de fabrication. Difficile de ne pas penser aux déboires d’entreprises aussi sérieuses que Cessna, Mc Donnel Douglas et Boeing dans l’aviation , de Toyota avec la crise des blocages mortels d’accélérateur par un tapis de sol, etc. Si ces risques sont difficilement assurables pour les grands groupes, ils le sont plus pour les ETI et PME.

Parmi les risques les plus fréquents, sans pour autant être très graves pour l’entreprise, figurent les risques d’accident du travail. La prévention obligatoire de ces risques, tant moralement que légalement, fait qu’ils sont déjà largement traités par un grand nombre d’entreprises. Selon leur niveau de maitrise, ils gagneront à être intégrés dans la démarche de contrôle interne. A l’inverse si la prévention des accidents du travail est déjà très bien maitrisée, elle pourra servir de point de départ à la mise en place du contrôle interne.

Et ainsi de suite jusqu’aux risques les moins probables et les moins graves qui peuvent être ignorés ou laissés sans mesure de prévention tant qu’ils restent bénins et peu fréquents (par exemple : le renversement des tasses de café dans les bureaux !).

Les moyens de contrôle

En fonction de la typologie des risques, on pourra avoir recours à différents moyens de contrôle :

• Des contrôles aléatoires ou par échantillonnage pour les risques fréquents mais à faible gravité. Le but est de limiter le coût des actions de contrôle et de simplement diminuer la fréquence d’occurrence du risque pour en limiter aussi le coût. Peu importe si quelques occurrences demeurent. C’est typiquement le cas des non conformités à retoucher, des rebuts, des pertes d’heures de production, du coulage, des accidents du travail peu graves, etc.
• Des contrôles systématiques, plus onéreux, voire un recours à l’assurance si possible pour les risque graves. L’enjeu est de limiter drastiquement leur fréquence d’occurrence comme leur coût d’occurrence. Dans le cas contraire, l’entreprise serait rapidement ruinée. C’est typiquement le cas des pannes de machines de production, des défauts de conception, des accidents du travail graves, des fraudes, etc.
• Enfin des contrôle drastiques et redondant avec solutions de backup doivent être mis en place quand l’occurence de risques létaux, même à très faible probabilité, ne peut pas être admise. Et si on ne peut pas assurer le zéro risque ou très proche, alors l’abandon de l’activité doit être sérieusement envisagé.

Mise en oeuvre concrète du contrôle interne

Si le principe est simple, la mise en oeuvre concrète est, comme pour les démarches de qualité, particulièrement délicate ou piégeuse :

• Surévaluer les risques amène invariablement à se noyer, à démotiver les opérationnels, et entraine une bureaucratie et une augmentation des coûts exorbitante. On estime que dans l’aviation, la recherche du risque proche de zéro, avec la certification et traçabilité de l’ensemble des processus de fabrication et des pièces constitutives de tout aéronef certifié, entraine une multiplication par quatre au minimum du prix de revient. Si l’on en juge par le prix au kilo d’un avion de ligne versus celui d’un ULM ou d’un véhicule automobile, le facteur serait même plutôt de dix.
• Il est donc indispensable de quantifier soigneusement la probabilité et la gravité des risques pour définir le coût acceptable de leur prévention ou assurance, voire pour décider de les externaliser ou d’abandonner l’activité. Cette évaluation probabilité / gravité est souvent très loin d’être aisée, faute de données réelles ou statistiques suffisantes. Mais quand les données sont disponibles ou que leur évaluation est sans ambiguïté, il vaut mieux se poser la question et décider avant qu’il ne soit trop tard.
  Par exemple un groupe automobile a décidé de céder sa production de véhicules militaires en raison du risque d’image – l’activité militaire représentait 1% de son CA consolidé mais un risque de 10% sur le 99% restant, son CA automobile – en cas d’utilisation de ces véhicules blindés pour commettre des crimes de guerre …
  De même, l’ampleur des écarts d’inventaires sur stocks, phénomène quasi systématique, donne une bonne indication « budgétaire » de ce que l’on peut et devrait consacrer à l’amélioration du suivi des achats et des stocks pour lutter contre toute forme de coulage, évaporation ou sublimation.
• Oublier des risques peu graves mais tellement fréquents qu’ils obèrent gravement la rentabilité de l’entreprise (le coulage par exemple) et la prédestinent à être la première victime du secteur en cas de baisse de marché ou autre aléa externe. Ou bien sous-estimer des risques peu connus mais dévastateurs. Par exemple le manque de contrôle et entretien des installations électriques : les connexions desserrées sont source de départs d’incendies et les incendies sont une cause fréquente de défaillances voire de disparitions d’entreprises …

Se faire accompagner pour économiser et gagner en efficacité

Le recours à un spécialiste vous permet de profiter de décennies d’expérience dans le domaine, de faire face à la charge de travail ponctuelle que la mise en place de ce contrôle interne implique, et ceci avec des coûts limités. En effet, une fois le système de contrôle interne et sa culture bien implémentés, dans tous les processus et flux de l’entreprise, son maintien en conditions opérationnelles ne pose pas de problème majeur et ne nécessite pas d’accompagnement externe. Il fait naturellement partie de la mission de chaque responsable opérationnel.

Pour toute question sur cet article ou pour envisager une intervention dans votre entreprise sur ce sujet n’hésitez pas à nous contacter.