La loi 2016-1691 du 9 décembre 2016 dite « loi Sapin II » introduit pour les sociétés qui réalisent un chiffre d’affaires consolidé de plus de 100 millions d’euros et ont plus de 500 salariés l’obligation de mettre en œuvre un dispositif articulé de prévention et de détection des faits de corruption.
Il s’agit ici, parmi les 8 mesures prévues par le texte, de s’arrêter plus en détail sur les contrôles comptables : comment identifier les mesures de contrôle et articuler leurs différents niveaux ?
Une structure de contrôle en 3 niveaux
L’article 17-II-5° est laconique : les sociétés soumises au texte doivent mettre en place « des procédures de contrôles comptables, internes ou externes, destinées à s’assurer que les livres, registres et comptes ne sont pas utilisés pour masquer des faits de corruption ou de trafic d’influence ».
L’Agence française anticorruption (AFA) va plus loin dans ses recommandations en détaillant une structure de contrôles en 3 niveaux, inspirée de ce que l’on peut trouver dans le secteur bancaire :
- les contrôles de premier niveau « sont généralement effectués par les personnes en charge de la saisie et de la validation des écritures comptables » ;
- les contrôles de deuxième niveau sont réalisés par des personnes « indépendantes de celles ayant réalisé les contrôles de premier niveau ». Ils permettent de s’assurer « de la qualité du système comptable et ainsi alimenter la cartographie des risques sur ce point » ;
- enfin, les contrôles de troisième niveau, aussi appelés travaux d’audit interne par l’AFA visent plus spécifiquement à évaluer « la pertinence de la gouvernance et des ressources allouées aux procédures de contrôles comptables ; [la pertinence] de la méthode d’élaboration et de l’application des contrôles de premier et de deuxième niveau ; [la pertinence] de la prise en compte, dans les contrôles comptables, du risque de corruption. ».
Tout cela revient-il à dire que les contrôles comptables doivent être réalisés par les collaborateurs des services comptables et être soumis à une revue périodique de l’audit interne ou externe ? Comment distinguer les niveaux de contrôle et les articuler ; est-ce un plan d’audit particulier ?
Identifier les mesures de contrôle déjà existantes et formalisées
Pour répondre à la première question, il semble opportun, pour bien positionner ces contrôles comptables, de les replacer dans le dispositif global voulu par le législateur et qui découle de la cartographie des risques de corruption. L’AFA est claire sur ce point. Concrètement, cela signifie que pour chaque risque de sa cartographie, la société doit commencer par identifier les mesures de contrôle déjà existantes et formalisées. Ce recensement, qui peut déjà en lui-même être laborieux, doit permettre de dresser un premier panorama des mesures qui encadrent les risques à la fois en comptabilité mais aussi en amont de la chaîne d’enregistrement de la dépense, par exemple au niveau des vérification des engagements, des réceptions ou de la sélection des tiers. Sans ce premier travail, la société prend le risque d’empiler des contrôles sans but dans son service comptable. Les contrôles identifiés, qu’ils soient positionnés en comptabilité ou plus en amont, participent évidemment de la maîtrise du risque correspondant et méritent alors d’être intégrés au dispositif de contrôle. Cet état des lieux doit permettre de compléter utilement le cas échéant le dispositif de maîtrise existant par de nouveaux contrôles spécifiquement destinés à encadrer les risques de la cartographie.
Les contrôles « comptables » tirent leur nom de la logique d’évaluation du dispositif : à partir d’une écriture du grand livre liée à un risque de la cartographie, l’on doit être en mesure de s’assurer que celle-ci a bien été soumise à l’ensemble des contrôles prévus tout au long de la chaîne de traitement, de l’origine du besoin à la comptabilisation et au paiement. Les contrôles comptables dépassent donc les seules vérifications réalisées par la comptabilité et intéressent également d’autres services de l’organisation.
Articuler les 3 niveaux de contrôle
Cela posé, penchons-nous maintenant sur l’articulation des 3 niveaux de contrôle, qui, si elle est recommandée par l’AFA, n’est pas présente dans le texte. La réponse à la première question donne une partie de la réponse : si les contrôles sont positionnés également hors du service comptable, les niveaux de contrôle doivent être eux-aussi positionnés pour partie hors du service comptable. L’erreur consisterait ici à confondre plan de contrôle et plan d’audit. En effet, les deux exercices procèdent de deux logiques différentes : là où l’audit procède par sondage et par seuil de significativité, le contrôle se veut systématique et permanent, même s’il n’est pas exhaustif. Cela signifie que les contrôles « comptables » s’appliquent toujours à l’ensemble des écritures et transactions rattachées aux risques de la cartographie.
Premier et deuxième niveaux
Dès lors, le contrôle de premier niveau est réalisé systématiquement sur chaque opération à risque identifiée dans la cartographie par le collaborateur en charge. Si nous reprenons l’exemple du contrôle des notes de frais, les justificatifs de toutes les notes de frais doivent être vérifiés. Le deuxième niveau lui aussi est systématique et permanent : le supérieur hiérarchique vérifie systématiquement la réalisation des contrôles de premier niveau sur le fondement des rapports qui lui sont remis. Il ne s’agit pas de refaire les contrôles mais de s’assurer de leur réalisation et de prendre de la hauteur par rapport à certaines transactions pour prolonger l’analyse et évaluer l’environnement, là où le contrôle de premier niveau reste contraint par le temps quotidien. L’on pourrait également imaginer que dans le cadre de contrôles de deuxième niveau, le supérieur hiérarchique contrôle 10 notes de frais exhaustivement, chaque mois : la permanence et le caractère systématiques du contrôle seraient respectés, sans pour autant réeffectuer la vérification de la totalité des notes de frais, et sans pour autant qu’il s’agisse d’audit.
Troisième niveau
Enfin, les contrôles de troisième niveau, périodiques, viennent auditer les deux niveaux inférieurs ou précédents. Prenons l’image d’une chaine de production de bouteilles de limonade : à chaque étape de la production des contrôles seront appliqués à la qualité et à la quantité d’eau, de sucre et de gaz, ainsi qu’à la qualité et à la propreté des contenants en verre. Il s’agira de contrôles de premier niveau. Puis, en bout de chaîne, une bouteille est extraite systématiquement toutes les 1000 afin de vérifier que le contenu de la bouteille ainsi que ses qualités mécaniques et sanitaires sont conformes : il s’agit d’un contrôle systématique de deuxième niveau, sans être exhaustif. Enfin en guise de contrôle de troisième niveau, on pourrait imaginer une vérification du fonctionnement des machines d’un point de vue sanitaire, et pourquoi pas de tester la composition en une journée de 15 bouteilles prises au hasard. Il s’agira donc d’un test ponctuel, effectué à un moment donné, et permettant de s’assurer par sondage que tout est conforme.
En conclusion, le dispositif de contrôles comptables nécessite donc une réflexion poussée entre différents services de la société, bien au-delà de la comptabilité. Il suppose aussi une connaissance fine des processus pour pouvoir positionner chaque contrôle au bon niveau, et la compréhension de leur esprit et de leur caractère systématique pour pouvoir rédiger des procédures de contrôle à la fois exigeantes, pertinentes et réalisables à tous les niveaux.
Les contrôles comptables doivent être replacés à leur juste place dans le dispositif de prévention et de détection de la corruption, c’est-à-dire en face de chaque risque de la cartographie et au bon niveau de la chaîne de traitement de la transaction, à la fois avant, pendant et après la comptabilisation. Ils impliquent une mobilisation permanente, systématique et complémentaire de plusieurs services en amont de la comptabilité et ne sauraient être réduits à un plan d’audit comptable classique, au risque de perdre leur intérêt et de ne plus répondre à leur vocation.
François Nogaret, Associé en charge de l’offre Compliance et anti-corruption, Mazars