Les PME ne disposent que de ressources limitées pour mettre en place et maintenir un système de contrôle interne (SCI). Il est néanmoins possible de créer un SCI efficace et rationnel. Pour ce faire, des solutions pragmatiques et avantageuses se retrouvent au premier plan.
Voici plus de trois ans que les sociétés soumises à la révision ordinaire sont tenues de disposer d’un SCI. Principalement en raison de l’organe de révision interne, les PME ont été obligées d’introduire aussi rapidement que possible un SCI. Souvent, lors de la première mise en œuvre, le souci de respecter l’exigence minimale légale tout en réduisant au minimum les coûts correspondants se situait au premier plan. Cependant, l’objectif central d’assurer un rapport financier fidèle à la vérité limite forcément les processus au domaine financier. Or, des solutions pragmatiques permettraient aux PME d’utiliser leur SCI pour mettre en place un environnement de contrôle adéquat, pour optimiser l’emploi des ressources disponibles et finalement aussi pour favoriser leurs objectifs d’affaires. Tout en tenant compte des spécificités propres aux PME, le présent article présente des éléments de solutions visant à renforcer et à optimiser le SCI.
En relation avec la révision du droit de la société anonyme, de nombreuses PME ont été obligées de prouver la mise en place d’un SCI à partir du 1er janvier 2008. A l’époque, cette nouvelle disposition légale a soulevé la question justifiée de la manière dont les PME et leurs ressources limitées pourraient respecter cette norme légale. Bien entendu, de nombreuses entreprises disposaient déjà de certains éléments partiels relatifs aux instruments de gestion des risques et de contrôle. En règle générale, ces outils n’étaient cependant que rarement employés, n’étaient pas destinés à assurer l’établissement des comptes annuels et n’étaient que difficilement compréhensibles pour des tiers en raison d’un manque de documentation. De nombreuses PME ont en outre été désécurisées par des séminaires ou des séances de formation au sujet du SCI qui présentaient des documentations SCI de grandes entreprises cotées en Bourse.1 On comprend aisément l’inquiétude des PME face aux coûts éventuels de documentation des processus et des contrôles correspondants. Pas étonnant dès lors que de nombreuses PME aient élaboré leur SCI principalement en vue de respecter les dispositions du nouveau droit de la SA entré en vigueur le 1er janvier 2008 et qu’elles n’aient élargi successivement le SCI que plus tard en tant qu’instrument de gestion utile à l’ensemble de l’entreprise.
Pour se représenter les défis liés au SCI, il peut être utile de se rappeler les réalités auxquelles les PME sont tout particulièrement confrontées:
- Hiérarchies souvent très verticales
- Ressources limitées en personnel et en moyens financiers
- Forte influence des propriétaires, contacts souvent très personnels avec les collaborateurs
- Structures d’organisation plutôt informelles
- Aucune séparation des fonctions ou alors seulement de manière insuffisante
- Le plus souvent, absence de révision interne
- Absence de planification d’entreprise ou alors insuffisamment documentée
- Instructions de travail ou documentations de processus inexistantes ou fragmentaires.
Dans les PME, les processus de travail centraux ne sont souvent assumés et contrôlés que par une seule personne, en règle générale par la direction. Souvent, il n’est même pas possible de déléguer les contrôles en raison du manque de personnel. De ce fait, la séparation des fonctions exigée par le SCI en tant qu’élément central n’est souvent pas ou seulement insuffisamment réalisée. Apparaissent ainsi des occasions d’ignorer les contrôles, ce qui représente un risque considérable du point de vue du SCI.
Les instructions de travail et les descriptifs de fonction constituent une base importante pour l’identification des risques et l’application de contrôles adéquats. Si ceux-ci ne sont pas entièrement disponibles pour les processus principaux, cela risque d’influencer de manière négative la qualité du SCI à mettre en place ou du SCI déjà existant, étant donné que des risques déterminants risquent de ne pas être identifiés. En raison de leurs ressources limitées, de nombreuses PME craignaient en outre de ne pas être en mesure de maîtriser les contrôles de processus exigés – tels qu’ils ont été mis en place, en partie de manière excessive, dans les entreprises de plus grande taille.
Pour les entreprises familiales de petite taille et indépendantes, la comptabilité et l’établissement des comptes ne jouent pas un rôle central. Il n’est dès lors pas surprenant que de nombreuses petites entreprises considèrent l’obligation qui leur est faite de mettre en place un SCI en ce qui concerne l’établissement des comptes comme n’ayant que peu de sens et n’offrant aucune utilité. Dans ce cas, le point de vue de l’investisseur, respectivement la représentation externe des comptes annuels conforme à la vérité vers l’extérieur, n’a pas le même poids que dans le cas de grandes entreprises cotées en Bourse. Ces entreprises emploient souvent des systèmes comptables simples, voire basés sur Excel qui sont sujets aux erreurs et aux manipulations. De plus, l’entreprise ne dispose pas des collaborateurs disposant des compétences correspondantes en matière d’établissement des comptes.
En règle générale, les PME ne disposent pas de révision interne qui pourrait surveiller et contrôler régulièrement le SCI. Ainsi, de nombreuses entreprises comptent sur l’organe de révision externe pour jouer ce rôle évaluateur. Cette fonction de surveillance étant sous-traitée, le SCI n’a aucune chance de devenir un instrument de gestion activement et durablement appliqué et surveillé en permanence. En fin de compte, les PME ont considéré le SCI comme un mal nécessaire et très rarement en tant qu’instrument de gestion utile. Au sein de nombreuses PME, cette opinion a contribué à ce que le SCI, après un premier effort de documentation, ne soit que très mal intégré aux processus des entreprises.2
Il résulte des réflexions ci-dessus que le sujet du SCI dans les PME suscite un champ de tensions comportant les deux aspects suivants: il faut d’une part compenser les déficits de PME liés à leur taille par des instruments et des méthodes adéquats et avantageux. D’autre part, le SCI devrait générer une utilité durable en rendant les processus d’entreprise plus sûrs et plus efficace afin de favoriser la réalisation des objectifs d’affaires de l’entreprise. Quelques solutions sont esquissées ci-après indiquant la manière dont les PME peuvent renforcer leur SCI tout en tenant compte de ce champ de tensions.
Tout projet portant sur un SCI est voué à l’échec si le conseil d’administration et la direction ne sont pas convaincus de son utilité. Un projet de SCI devrait être mis en place de manière volontaire et non pas en raison de dispositions légales qui l’exigent. Les PME ne devraient pas se référer à la variante minimale définie par le droit suisse de la révision. L’utilité principale ne devrait pas être le rapport financier mais bien le soutien apporté à la poursuite des objectifs d’affaires. Les recommandations suivantes aux PME y sont liées:
- Le conseil d’administration devrait discuter et adopter un document conceptuel qui définit les objectifs principaux du SCI. Il s’agit principalement d’élaborer une définition claire de la conception du SCI propre à l’entreprise qui puisse être comprise tant par la direction que par les collaborateurs.
- Outre le rapport financier, la protection du patrimoine et la diminution du nombre d’irrégularités se trouvent au centre d’un SCI. Ces objectifs dépassent de loin le minimum prévu par le législateur mais apportent à l’entreprise une valeur ajoutée bien visible.
- Les principaux processus devraient faire l’objet d’une visualisation ou du moins d’une description détaillée. Cela permet d’assurer la transparence nécessaire et d’optimiser les processus tout en facilitant fortement l’identification de risques. La documentation des processus sert également de base à la mise en œuvre des contrôles au bon endroit du processus.
- Pour qu’un SCI puisse réellement favoriser les objectifs d’affaires de l’entreprise, il faut tout d’abord documenter par écrit la planification stratégique et sa mise en œuvre sous forme opérationnelle (diverses dimensions d’objectifs telles que les objectifs financiers, les objectifs de processus, les objectifs relatifs à la clientèle etc.). Etant donné que ce n’est souvent pas le cas au sein des PME, il conviendrait de rattraper ce retard dans le cadre d’un projet de SCI.
- La stratégie, respectivement les objectifs d’entreprise qui y sont liés, devraient servir de base à l’évaluation des risques. Dans le domaine de l’analyse des risques, les PME devraient se concentrer sur les risques importants qui pourraient mettre en danger le potentiel bénéficiaire à long terme. Dans ce contexte, il est sans autre possible de renoncer à des analyses de nature mathématique et statistique. Comme les risques peuvent se modifier et qu’il faut donc adapter les mesures de commande et les contrôles correspondants, il est recommandé d’intégrer explicitement la direction de l’entreprise à la surveillance courante des risques et des contrôles. De facto, cette manière de procéder ressemble au processus classique de gestion des risques. Pour des raisons tenant à la volonté de profiter de synergies, il est judicieux de prendre en compte non seulement les risques de processus qui dominent dans le cadre du SCI mais également d’autres risques qui touchent l’entreprise.
Les recommandations mentionnées dépassent donc de très loin les mesures minimales légales de garantie relatives au rapport financier. Les PME profitent cependant tout particulièrement de l’amélioration de leur gestion stratégique et opérationnelle. Le SCI assure la transparence et oblige la direction à réfléchir de manière structurée à l’efficacité de l’engagement de ses ressources.
Les PME sont obligées de compenser leurs déficits en matière de séparation inexistante des fonctions par le développement et le recours à des contrôles compensatoires. En règle générale, les contrôles compensatoires souffrent du désavantage qu’ils sont de nature détective, c’est-à-dire qu’ils n’exercent leur effet qu’au terme d’une transaction. Si possible, une séparation des fonctions devrait exister au sein d’une PME au moins dans le domaine du trafic des paiements afin d’être en mesure d’agir de manière préventive contre d’éventuelles manipulations. Dans les PME, les contrôles compensatoires suivants peuvent être mis en œuvre:3
- La direction demande un rapport mensuel détaillé de toutes les transactions. Par exemple l’indication, lors d’une vente, de la date de la transaction, des données relatives au client, de la dénomination de l’article et du montant. La direction peut ainsi se rendre compte rapidement si des transactions incorrectes ou sortant de l’ordinaire ont eu lieu.
- La direction réalise régulièrement une comparaison de l’inventaire physique avec les données fournies par la comptabilité. Cela constituera surtout un contrôle très efficace pour les entreprises gérant des stocks importants.
- La direction assume des fonctions de surveillance en participant elle-même aux affaires quotidiennes, en faisant acte de présence et en connaissant bien les processus. Ce faisant, elle fait inconsciemment partie du système de contrôle interne et peut compenser l’absence de séparation des fonctions. Si la direction est consciente de ce fait éminemment important, elle peut concevoir de manière ciblée et active cette fonction de surveillance dans le cadre du SCI.
- La direction compense l’absence de séparation des fonctions en établissant un environnement de contrôle bien marqué4 qui joue le rôle de contrôle indirect et préventif.
Pour les PME, la création d’un environnement de contrôle adéquat est intéressante et mérite des explications approfondies. Le paragraphe suivant présente des solutions concrètes permettant de renforcer ainsi un SCI.
La possibilité de transformer les déficits des PME dus à leur taille en une chance de renforcer efficacement et à peu de frais le SCI réside dans la mise en place d’un environnement de contrôle bien marqué. L’environnement de contrôle, respectivement l’évidence de contrôle constitue la base de tout SCI et dépend fortement de la culture d’entreprise pratiquée. Dans les PME, les collaborateurs interagissent souvent avec la direction et subissent son influence. La direction est donc tenue non seulement de communiquer l’importance d’un comportement intègre et de représentations morales adéquates mais aussi de montrer l’exemple et de signaler aux collaborateurs ses attentes à leur encontre. Cela permet de réaliser le «Tone at the Top» (fonction d’exemple sur la base d’actions et non pas uniquement sur la base de belles paroles) auquel les collaborateurs peuvent et doivent se référer.
L’environnement de contrôle peut par exemple être favorisé par la formulation d’un code de conduite élargi qui prône l’intégrité et définit par écrit les valeurs éthiques et les rapports entre collaborateurs, respectivement les rapports avec les clients et les fournisseurs. De plus, il est possible d’y souligner qu’un comportement malhonnête, voire frauduleux ne sera en aucun cas toléré. Si la direction accepte que les collaborateurs fassent des propositions pour élaborer ou compléter ce code de conduite, l’acceptation de cet instrument – et indirectement du SCI – s’accroîtra de manière significative. Bien entendu, il n’est pas possible de refléter toutes les règles, toutes les directives et toutes les instructions dans le code de conduite. Ce dernier peut cependant se référer aux documents correspondants tels que le règlement d’organisation, les instructions de travail, les lignes directrices, la vision, la mission, la déclaration, etc. L’idéal serait de faire lire le code de conduite à chaque collaborateur avant de le faire signer.
Une information et une communication régulières relatives au développement du SCI et aux innovations le concernant par la direction sensibilise les collaborateurs à l’importance que revêt ce système. La newsletter mensuelle, l’Intranet ou les séances avec les collaborateurs peuvent servir de supports correspondants. Une politique des portes ouvertes et un environnement qui admet les erreurs et les propositions d’amélioration influence positivement la culture d’entreprise et la culture de contrôle.
Un environnement de contrôle bien marqué comprend également l’engagement de la direction en faveur des compétences professionnelles des collaborateurs. Des descriptifs d’emploi actualisés définissent dans ce cas les tâches, les compétences et les responsabilités des collaborateurs. L’organigramme représente les voies de rapport importantes que le collaborateur doit respecter. La possibilité offerte aux collaborateurs de suivre régulièrement des cours de formation continue et le contrôle précis des compétences nécessaires lors de l’engagement de nouveaux collaborateurs en font également partie. Comme les PME ne disposent généralement pas d’un département du personnel, c’est souvent le patron qui se charge de cette fonction. Il joue alors le rôle de l’instance de contrôle suprême. Dans le cadre d’un SCI, les compétences en matière de gestion financière et de rapports financiers jouent un rôle déterminant.
On observe souvent que les conseils d’administration d’entreprises de plus petite taille ne comportent aucun expert en finance. Or cette compétence est justement nécessaire pour évaluer les risques relatifs à l’établissement des comptes. Cela s’explique en particulier par le fait que le conseil d’administration assume la responsabilité suprême du SCI. Il est ainsi judicieux «d’acquérir» les compétences nécessaires dans le secteur des finances en recrutant un membre du CA disposant de ces compétences. Il peut s’agir d’un expert en controlling, d’un CFO d’une autre PME ou d’un collaborateur au bénéfice d’un titre universitaire avec un profil relatif à l’établissement des comptes. Le conseil d’administration devrait en outre mettre régulièrement le sujet du SCI à l’ordre du jour et discuter des principaux risques qu’encourt l’entreprise. Comme le conseil d’administration peut exercer avec profit une surveillance de la direction, ses membres devraient en majorité être indépendants de la direction.
Finalement, un système d’incitations sain et équitable au sein de l’entreprise favorise également un climat de travail favorable au contrôle interne. Si l’on fixe par exemple des objectifs de performance trop ambitieux dans un nouveau secteur d’activités, cela peut déboucher sur un comportement des collaborateurs inadéquat – par exemple la vente à des clients insolvables, ce qui peut se traduire par la suite par des pertes sur créances. De manière idéale, un système d’incitations ne se composera pas uniquement d’objectifs financiers mais tiendra également compte du comportement éthique et de la contribution au contrôle interne de tous les collaborateurs.
Il est possible d’améliorer considérablement la fiabilité de l’établissement des comptes par le recours à des logiciels standard. Souvent, il s’utilise encore des outils comptables simples – également basés sur MS Excel – à l’origine de multiples erreurs et manipulations. C’est ici que se trouve un important effet de levier pour l’amélioration du SCI financier. Des contrôles préventifs intégrés au système permettent d’économiser des coûts qui seraient nécessaires pour la correction d’erreurs déjà commises. Des contrôles d’accès permettent d’octroyer des droits d’accès à des groupes d’utilisateurs spécifiques. Des fonctions de contrôle intégrées définissent qui est autorisé à procéder à des corrections ultérieures dans la comptabilité financière. De plus, des contrôles de visas assurent un surcroît de sécurité dans le processus d’autorisation des paiements. Il vaut ici la peine de soumettre l’ensemble des fournisseurs de logiciels à une évaluation. L’utilité des logiciels standard compensera très rapidement les coûts consentis à leur acquisition.
Un SCI doit être considéré comme un outil de gestion utile qui permet d’atteindre les objectifs de l’entreprise de manière plus sûre et plus efficace. De nombreuses entreprises et parmi elles plus particulièrement les PME ont considéré l’obligation légale qui leur est faite d’adopter un tel SCI comme une coûteuse tracasserie administrative supplémentaire. La mise en place d’un SCI répondant surtout aux exigences de l’organe de révision externe afin d’obtenir de manière très pragmatique une attestation positive est une conséquence de cet état d’esprit. Cette impression est d’ailleurs confirmée par le fait que les PME sont, entre-temps, fort bien documentées mais que leur SCI est encore beaucoup trop fortement orienté au rapport financier. De ce fait, ces mêmes PME ne tirent aucune utilité durable du SCI. Bien que les PME disposent de moyens moins importants, elles peuvent compenser l’absence de séparation fonctionnelle par des contrôles compensatoires, un renforcement de l’environnement de contrôle, l’usage de logiciels standard et la concentration sur quelques contrôles clés isolés.
- Cf. à ce sujet Mattig / Grab (2010), p. 190.
- Cf. également KPMG (2010), p. 3.
- Cf. à sujet COSO (2006), p. 15.
- La notion «d’environnement de contrôle» (en allemand «Kontrollumfeld») est issue de la terminologie COSO. Elle représente le niveau le plus bas du dé COSO bien connu.
- COSO: Guidance for Smaller Public Companies – Reporting on Internal Control over Financial Reporting, Editeur: Committee of Sponsoring Organizations of the Treadway Commission, 2006.
- KPMG: Durabilité des contrôles internes – Sondage KPMG auprès d’entreprises suisses 2010, en ligne.
- Mattig, F. / Grab, H.: «Risikobeurteilung und IKS für KMU: Ein Jahr danach – erste Erfahrungen» dans: L’Expert comptable, no. 4 (2010), p. 190–194.