Td corrigé le contrôle interne - HAL-SHS pdf

le contrôle interne - HAL-SHS

SCM (supply chain management), gestion de la chaîne logistique. ...... Intervention ponctuelle d'un cabinet d'audit, d'une association spécialisée, d'une .... en place (voir à ce sujet l'importance de la facilité d'utilisation d'une application, ...... Trois organismes sont accrédités pour fournir, après examen, les certifications ITIL.




part of the document



Le contrôle interne au travers des représentations que s’en font les dirigeants de groupes du CAC 40 : une étude exploratoire


Bernard Gumb Christine Noël
Grenoble école de management Grenoble école de management
Professeur associé Professeur associé
12 rue Pierre Sémard 12 rue Pierre Sémard
38000 Grenoble 38000 Grenoble
 HYPERLINK "mailto:bernard.gumb@grenoble-em.com" bernard.gumb@grenoble-em.com  HYPERLINK "mailto:christine.noel@grenoble-em.com" christine.noel@grenoble-em.com

Résumé :
Cet article explore la notion de contrôle interne au travers d’une analyse lexicale des rapports rédigés par les présidents des groupes cotés du CAC 40. Le législateur français, au contraire de la loi américaine, n’ayant pas recommandé de trame conductrice, la liberté du rédacteur et la diversité de contenu qui en découle sont en elles-mêmes des gages de richesse pour l’analyse. Celle-ci confirme certes des tendances déjà pointées par la littérature (prépondérance de la notion de risque et orientation financière notamment), mais elle met aussi en évidence des liaisons parfois difficiles à interpréter (rôle significatif des thèmes déontologie et éthique, pratique de l’autoévaluation…). Cette analyse basée sur les rapports parus en 2005 est à la fois un prolongement des études antérieures et un point de départ pour des recherches ultérieures.

Mots clefs :
Contrôle interne, loi, risques, analyse lexicale, rapport.


Internal control through CEOs representations : an exploratory approach
Summary:
This article is about internal control as perceived by CEOs from French firms listed in CAC 40. While the American regulator recommends COSO, the French law prescribes no peculiar framework for the required report. Thus, the writers enjoy more freedom, which should lead to more diversity of the content, and therefore more richness for lexical analysis. The latter certainly confirms some trends pointed by previous works (importance of the risk topic and financial dimension), but it also shows some significant dependencies which are not easy to interpret (the role of ethics and deontology, self evaluation practices…). Such a work, based on disclosures published in 2005, should extend former surveys and prefigure further researches.

Key words:
Internal Control, law, risks, lexical analysis, report.




N.B. : le lecteur trouvera un récapitulatif des abréviations utilisées en fin de document (annexe 3)



Le contrôle interne : ce que nous apprend l’analyse lexicale du rapport des dirigeants

Introduction
Les nouvelles obligations légales posées par la loi SOX (Sarbanes Oxley) ou la LSF (Loi de sécurité financière) induiraient-elles une modification de la définition et de la place organisationnelle du contrôle interne (Cappelletti, 2004) ? Le contrôle interne s’est d’abord constitué comme un dispositif destiné à prévenir les erreurs et les fraudes dans le domaine comptable. Cet aspect est prépondérant jusqu’aux années soixante-dix (Bénédict & Kéravel, 1990). À partir de cette date, le contrôle interne revêt des ambitions plus globales puisque l’Ordre des experts-comptables français le définit en 1977 comme l’ensemble des sécurités contribuant à une meilleure maîtrise de l’entreprise. L’analyse lexicale des rapports des dirigeants sur le contrôle interne, institués par la LSF, devrait permettre d’apporter des éléments de réponse en précisant la définition et la place assignée au concept de contrôle interne dans les entreprises françaises. Ce travail de recherche a ainsi une finalité exploratoire. Son objectif est d’analyser les enjeux et les modalités opératoires d’une nouvelle pratique, imposée par le législateur : l’obligation pour le dirigeant de rédiger un rapport sur le contrôle interne. Cet impératif légal permet d’expliciter le concept de contrôle interne, jusqu’ici polysémique et aux contours flous. Il fournit des indications utiles à répondre aux questions suivantes : comment les dirigeants définissent-ils le contrôle interne ? Quels contours lui confèrent-ils ? Plus précisément, notre recherche devrait notamment permettre de faire surgir les liens qui sont établis par les dirigeants, entre d’une part la comptabilité et le contrôle interne, et d’autre part, la démarche de maîtrise des risques et le contrôle interne.
Dans un premier temps, nous reviendrons sur la brève histoire de cette pratique, en examinant à la fois ses fondements juridiques et les quelques travaux déjà publiés sur la question. Dans un deuxième temps, nous nous pencherons sur les principales conceptions du contrôle interne telles qu’elles émergent de la littérature académique et professionnelle. Ce sera là l’occasion de démontrer la pertinence de notre projet, et de poser les questions de recherche susceptibles de conduire notre exploration. Celle-ci sera l’objet d’une troisième partie, au cours de laquelle nous détaillerons nos choix de méthodologie et les problèmes rencontrés avant de dépouiller le contenu lexical des rapports. Il sera alors temps de conclure en montrant de quelle manière les discours des dirigeants sur le contrôle interne permettent d’éclairer celui-ci sous un angle nouveau. Ces conclusions sont nécessairement provisoires, d’autant plus que la nature émergente de ce champ devrait induire d’autres travaux. Nous éviterons de prendre position dans les échanges parfois polémiques entre les émetteurs et les instances de régulation. Cette posture épistémologique ne prive cependant pas notre analyse de sa pertinence. L’objectif est de contribuer à une meilleure connaissance des pratiques en la matière.
On aura donc compris que cet article n’a pas de vocation normative. Il ne préconise en aucun cas ce que devraient contenir les rapports, et ne jugera jamais de la cohérence ou de la pertinence des propos qui y sont tenus. Notre ambition est, en revanche, de fournir une vision plus complète quant à ce que représente le contrôle interne pour les dirigeants d’entreprises, en nous centrant sur le marché français.





Partie I : de l’obligation d’expliciter le contrôle interne 
Plutôt que de compiler diverses définitions théoriques du contrôle interne, nous préférons illustrer la complexité de ce concept en pointant les décalages entre les législations américaines et françaises. Nous commencerons par présenter d’une manière synthétique la conception américaine du contrôle interne portée par la loi Sarbanes-Oxley (dorénavant SOX). Puis nous détaillerons l’article 117 de la Loi de Sécurité Financière (dorénavant LSF), qui est central pour notre propos dans la mesure où notre analyse concerne les entreprises cotées sur le marché français. Enfin nous dresserons une rapide revue de la littérature.

Sarbanes-Oxley (2002)
Soucieux de favoriser la fiabilité de l’information financière dans un contexte généralisé de suspicion, le législateur américain a décidé de renforcer les exigences imposées aux entreprises en matière de contrôle interne. La loi SOX a ainsi imposé aux entreprises cotées sur le marché américain de publier un rapport sur les procédures de contrôle interne en matière comptable et financière (article 404). La charge de la rédaction de ce rapport incombe au management opérationnel, en l’espèce à la direction générale et à la direction financière. Les dirigeants des sociétés cotées aux états-Unis doivent désormais s’engager sur la qualité du contrôle interne et s’assurer de l’accessibilité des informations opportunes diffusées aux marchés par l’intermédiaire d’un rapport. La loi SOX va au-delà de la Foreign Corrupt Practices Act de 1977 qui imposait déjà aux entreprises cotées de mettre en place un système de contrôle interne adéquat. Mais celle-ci ne précisait ni ses modalités de mise en œuvre, ni les conditions opérationnelles d’un contrôle efficace. La loi SOX constitue une loi de rupture par rapport à la tradition américaine basée sur l’autorégulation des marchés et des professionnels (Conac, 2003). Le contrôle interne a pour finalité de fournir une assurance raisonnable quant à l’exécution correcte des décisions managériales et à la conformité des états financiers aux principes comptables en vigueur. Tirant les leçons des affaires Enron ou Worldcom, le législateur américain entend favoriser la fiabilité de l’information financière en renforçant la responsabilité des dirigeants. C’est pourquoi la loi SOX se révèle pointilleuse en imposant aux sociétés cotées aux états-Unis non seulement une description mais également une évaluation de leurs procédures de contrôle interne concernant les informations comptables et financières. Dans leur démarche, les entreprises doivent en outre se fonder sur un référentiel reconnu. Le COSO (Committee Of Sponsoring Organizations) est mentionné par l’autorité des marchés américains, la SEC, comme le modèle à privilégier. Nous aurons l’occasion de revenir plus en détails sur ce référentiel dans la seconde partie de cet article.

La LSF (2003)
Le législateur français a suivi l’exemple du législateur américain en mettant à la charge du président du conseil d’administration (ou du président du conseil de surveillance) l’obligation de rédiger un rapport sur le contrôle interne. Ce rapport devra être lui-même être l’objet d’un autre rapport rédigé par le commissaire aux comptes. L’article 117 de la LSF prévoit ainsi : « Le Président du conseil d’administration rend compte dans un rapport joint au rapport mentionné aux articles L. 225-100, L. 225-102, L. 225-102-1 et L. 233-26 des conditions de préparation et d’organisation des travaux du conseil ainsi que des procédures de contrôle interne mises en place par la société. » Si l’objectif global de la LSF est assez proche de la loi SOX, sa philosophie se révèle spécifique. L’ambition du législateur français est plutôt d’inciter les entreprises françaises à s’engager dans une démarche dynamique d’amélioration du contrôle interne et de leur gestion des risques. Les manipulations comptables détectées dans certaines entreprises françaises à l’instar de Vivendi ou de Marionnaud semblent en effet sans aucune commune mesure avec les scandales financiers qui se sont produits aux états-Unis. C’est pourquoi le rapport d’information du Sénat rédigé par Philippe Marini présente le rapport sur le contrôle interne comme un « outil méthodologique » (p. 125). Au contraire le législateur américain a fait le choix d’une « régulation par la peur » en imposant des règles plus strictes et fortement sanctionnées en cas de manquement (Conac, 2003). Ainsi l’approche de la LSF est à la fois plus globale et plus floue. Elle est plus globale dans la mesure où le rapport doit rendre compte des procédures de contrôle interne dans son ensemble sans se limiter aux seules procédures de fiabilisation des informations financières. Et elle est également plus floue car elle ne définit ni le référentiel utilisable ni la démarche concrète de mise en œuvre de ce rapport. Le silence du législateur français en ce qui concerne les sanctions éventuelles s’appliquant aux entreprises qui s’abstiendraient de produire un tel rapport a en outre alimenté un débat relatif à l’effectivité de cette disposition.
Le tableau 1 résume les principales différences de la loi SOX et de la LSF.


Tableau 1- LSF et SOX : une comparaison
LSFSOXChamp d’applicationDans un premier temps toutes les SA mais depuis la loi du 26/7/2005, l’obligation ne concerne que les sociétés cotées. Les sociétés cotées aux Etats-Unis.Définition et périmètre du contrôle interneNon défini explicitement.Défini et limité au contrôle interne relatif à l’information financière et aux procédures de communication des informations aux marchés.Référentiel de contrôle internePas d’utilisation obligatoire d’un référentiel reconnu.Utilisation obligatoire d’un référentiel reconnu.
COSO cité comme exemple par la SEC.Obligation de documentation et de tests de contrôleNon expliciteExpliciteEmetteur du rapportPrésident du Conseil d’administration ou du Conseil de SurveillanceChief Executive Officer et Chief Financial OfficerSanction de tout manquementImprécisSanctions pénales très Lourdes

Une synthèse des analyses juridiques et des discussions critiques qui ont suivi l’adoption de la LSF, permet de mieux cerner la fonction assignée au rapport sur le contrôle interne et son contenu prévisionnel. Selon l’opinion de Gérard Rameix, Secrétaire Général de l’AMF, il semblerait que l’extrême hétérogénéité des premiers rapports présentés par les entreprises ne permette pas de porter un jugement comparatif en terme de taille ou de secteur d’activité. Cette hétérogénéité est également soulignée dans le rapport d’information sur l’application de la LSF présenté par Philippe Marini au Sénat et par les premières études académiques (Le Maux, Alloul, 2005) ou professionnelles (Deloitte, 2005) consacrées à la question. Cette diversité rend délicat tout jugement global mais elle semble logique dans la mesure où le contrôle interne est dépendant de la nature de l’activité de l’entreprise. Un rapport sur le contrôle interne devrait donc être spécifique à l’entreprise concernée.

Mais au-delà de cet élément de diversité, l’enjeu même du rapport semble sujet à questionnement. En effet, face à certaines obscurités du texte législatif, les entreprises ont pu, dans leurs efforts pour produire et diffuser leur premier rapport sur le contrôle interne, s’interroger sur son contenu concret. S’agit-il d’un contenu purement descriptif ou au contraire doit-il également comporter un registre évaluatif ? Le texte de la LSF ne permet pas de trancher. En outre, il ne contient pas de définition explicite du contrôle interne. Cette lacune a été l’objet de vives critiques… d’autant plus que la conception du contrôle interne portée par la LSF est bien plus large que celle qui est présente dans la loi SOX. Le législateur français s’est refusé à limiter le contrôle interne à la revue des seules procédures relatives à l’information comptable et financière. Le contrôle interne auquel la LSF fait référence, renvoie à une perspective globale d’analyse des risques dans l’entreprise. En cela le législateur français s’est inspiré de l’approche présente dans le rapport Winter et reprise par la commission européenne, qui ne retiennent pas la notion clé de contrôle interne mais évoquent plus largement la notion de risk management. La LSF laisse donc aux entreprises françaises une grande liberté dans l’appréciation du contenu du rapport. Cette liberté a été confirmée par le comité juridique de l’ANSA (Association Nationale des Sociétés par Actions). Si l’objet de l’obligation légale est précis, le contenu du rapport dépendra de la méthodologie mise en œuvre par l’entreprise. En l’absence de recommandation légale, les entreprises doivent donc choisir un référentiel susceptible de guider leur analyse. En l’absence de référentiel français ou européen faisant l’unanimité, elles auraient pu majoritairement adopter l’angle d’analyse du COSO. Cela ne semble pas être le cas . Au contraire, elles ont largement adopté l’angle d’analyse du MEDEF et de l’AFEP (Deloitte, 2005).

Dans le cadre de notre démarche, cette marge de manœuvre laissée aux dirigeants est précieuse : le contenu du contrôle interne n’étant pas bridé par la loi, on devrait retrouver dans le rapport la conception du contrôle interne propre au dirigeant. Dès lors, les spécificités sectorielles (liées aux métiers de la firme) devraient ressortir, constituant pour nous un indice de « concrétion ». En quelque sorte, s’il n’y avait pas de spécificités lexicales contingentes à la nature de l’activité des sociétés concernées, on pourrait craindre que le dirigeant se soit contenté de reprendre une conception juridico-comptable du contrôle interne, au détriment des mesures opérationnelles qui resteraient cachées.


Revue de littérature sur les premiers rapports publiés en 2004
Quelques rares études commencent à s’intéresser aux rapports sur le contrôle interne publiés par les entreprises cotées françaises (Le Maux, Alloul, 2005, Deloitte, 2005). Ces études soulignent d’une manière convergente l’extrême hétérogénéité des rapports diffusés. Elles révèlent également que de nombreux rapports ne comprendraient pas de signature des dirigeants, ce qui pourrait suggérer de leur part un refus d’engager leur responsabilité face au contenu de ces rapports qui seraient quasi-exclusivement descriptifs et se centreraient sur la notion de risque. Il est envisageable que les sociétés cotées ne souhaitent pas se prononcer et communiquer sur l’état de leur contrôle interne dans la mesure où elles redoutent une réaction négative du marché.

L’étude de Deloitte fait cependant état d’une amélioration de la qualité des rapports entre 2003 et 2004. Tandis que les rapports 2003 étaient purement descriptifs, les rapports 2004 seraient caractérisés par une évolution vers une démarche plus évaluative. Sans préciser concrètement la méthode d’analyse retenue, le cabinet Deloitte constate que l’épaisseur des rapports aurait augmenté entre 2003 et 2004, passant de 5,5 à 6,8 pages en moyenne pour les sociétés du SBF 120. En dehors de ces études à caractère plutôt normatif, il n’y a pas à notre connaissance de travail d’analyse systématique du contenu des rapports. Le présent travail pourrait ainsi préfigurer une recherche longitudinale d’analyse de contenu.


PARTIE II – Le contrôle interne : un champ multidimensionnel
Si le législateur a pris la précaution de ne pas s’engager dans une définition par trop précise de la notion de contrôle interne, la littérature académique et professionnelle contient de multiples définitions. L’une de ces conceptions mérite une attention particulière, de par le succès qu’elle rencontre : le COSO. Ce groupe de réflexion a été constitué aux états-Unis en 1985. Il a développé un référentiel méthodologique d’analyse du contrôle interne, édité en France en 1992, sous le titre « La pratique du contrôle interne ». Le COSO définit le contrôle interne, décrit ses composantes et fournit des critères par lesquels les systèmes de contrôle peuvent être évalués. Le contrôle interne y est défini comme un processus mis en œuvre par le conseil d’administration, les dirigeants et les salariés afin de fournir une assurance raisonnable quant à la réalisation et l’optimisation des opérations, la fiabilité des opérations financières et la conformité aux lois et règlements. Selon ce référentiel (voir figure 2), le contrôle interne peut être représenté comme une mise en synergie de cinq dimensions : l’environnement, l’évaluation des risques, les activités de contrôle, l’information et la communication et le pilotage. Chacune de ces dimensions se déclinant sur chaque activité et fonction de l’entreprise. Le référentiel du COSO coexiste avec d’autres conceptions concurrentes telles que le COBIT (Control Objectives for Information and related Technology) ou le SAC (System of Auditability and Control).
Figure 1. Les 5 piliers du contrôle interne selon le COSO

 SHAPE \* MERGEFORMAT 



à ce jour, il n’existe pas de modèle du contrôle interne d’inspiration française. Cependant, des groupes de travail sont à l’œuvre au sein d’organismes tels que l’Académie des sciences comptables, l’AMF, la CNCC ou l’IFACI. D’autre part, de nombreux auteurs se sont intéressés à la question. Certains (Pigé 1997) insistent sur le caractère délégataire du contrôle interne qui consiste à s’assurer de la bonne application des décisions prises en amont : « le contrôle interne permet de s’assurer que les salariés qui représentent l’entreprise vis-à-vis de l’extérieur agissent dans l’intérêt de l’entreprise. Il permet de vérifier que la coordination hiérarchique, formelle et informelle fonctionne correctement et assure une coordination efficace entre les individus. Il garantit que les décisions prises par les dirigeants sont mises en œuvre par l’ensemble des salariés de l’entreprise » (pp. 5-6). Une telle conception est évidemment très large, et l’on remarquera au passage qu’elle n’accorde pas d’emblée un rôle spécifique à la dimension financière ou comptable. On trouve une autre conception étendue chez Bouquin (1998), qui reprend le triptyque cher à Anthony : le contrôle stratégique, le contrôle de gestion, le contrôle opérationnel (ou d’exécution). Le contrôle interne serait la somme de ces trois segments, ce qui renvoie également à une conceptualisation hiérarchique et délégataire du système de contrôle. À l’instar d’Ouchi (1979), Bouquin parle également de « contrôle organisationnel » qui « peut être renforcé par des mécanismes informels comme la culture d’entreprise » (Bouquin 1998, p. 37). En ce sens, on peut s’interroger sur les limites du contrôle interne. Ces définitions sont tellement larges qu’il est possible de se demander qu’est-ce qui ne serait pas du contrôle interne. Ebondo & Pigé tranchent d’une manière originale : «  l’activité de contrôle interne apparaît comme constitutive de l’organisation dans sa différence par rapport au marché » (Ebondo 2002, p. 52). Le contrôle est un outil de réduction des coûts de transaction, outil qui tendrait à se renforcer naturellement dans une entreprise très intégrée, mais dont les limites deviendraient floues dès lors que les opérations d’externalisation conduisent à des business models interorganisationnels.

On ne s’étonnera pas enfin de trouver auprès de la CNCC (norme 2102 et commentaires) une conception qui, tout en présentant des similarités avec les approches mentionnées ci-dessus, met en avant d’une manière explicite la problématique comptable (régularité, sincérité, image fidèle). Étant donné le rôle actif des cabinets d’audit dans la mise en œuvre de la loi LSF, cette conception pourrait exercer une certaine influence auprès des entreprises.

Cette confrontation de définitions nous permet de penser qu’une lecture attentive des rapports rédigés par les dirigeants, risque de révéler des diversités d’approches liées à cette co-existence de cadres conceptuels. Rappelons que notre but n’est en rien de recommander telle ou telle approche, mais bien d’analyser finement la manière dont les dirigeants se positionnent dans cette diversité potentielle.









PARTIE III – Choix méthodologiques et dépouillement
Nos choix méthodologiques s’inscrivent dans le droit fil de notre démarche exploratoire : ils sont à la fois humbles et ambitieux. Humbles en ce sens qu’ils se veulent avant tout descriptifs, en aucun cas prescriptifs. Ambitieux de par leur vocation à fournir une lecture significative et systématique de la conception du contrôle interne par les dirigeants des principales firmes françaises. Il n’y a donc aucune prétention à la représentativité, ce qui est d’autant plus intéressant que la récente loi Breton a sérieusement limité le champ d’application de l’obligation. Le contexte français a été naturellement privilégié, ne serait ce qu’en raison des problématiques de traduction que ne manquerait pas de poser la prise en compte de rapports en anglais par exemple.
Notre choix s’est porté sur les entreprises du CAC 40, dont il nous semblait facile d’obtenir les rapports de façon exhaustive. Une première analyse « par sondage » nous a révélé, en effet, que ces rapports étaient en général d’une taille suffisante pour que leur contenu aille au-delà de l’énoncé de quelques règles de bon sens. La consultation de quelques documents de référence de sociétés cotées au SRD mais non membres du CAC 40 nous a d’ailleurs confirmé une plus grande hétérogénéité des rapports, parfois même absents. Dans notre cas cependant, un rapport s’est révélé absent : même si le contrôle interne est évoqué dans le document de référence 2004 de LVMH, il n’y a pas de rapport du président de ce groupe. Parfois aussi, la récupération des textes n’a pas été facile, exigeant notamment des retraitements pour leur rendre leur lisibilité par Sphinx.
La collecte des rapports sur le contrôle interne a été effectuée en octobre 2005, à partir des sites Internet des sociétés. Les documents de référence (généralement en format pdf) correspondants au dernier exercice clôturé ont été téléchargés. Nous en avons extrait la partie réservée au rapport sur le contrôle interne, par « copier / coller », avant de verser le contenu pour traitement dans Sphinx Lexica, un logiciel d’analyse textuelle. Dans deux cas sur trois, cette opération a pu être menée sans problème, et donc assez rapidement. Les autres cas étaient plus délicats (le rapport est mal délimité, les mots en fin de ligne sont coupés…), voire même franchement difficiles (fichiers protégés contre la copie, rapport absent…). Dans deux cas, nous avons été contraints de raccourcir le texte pour le rendre compatible en termes de taille avec les capacités du logiciel (32 000 signes par observation). Cette réduction a été opérée par élimination de mots-outils. Dans plusieurs autres cas enfin, les rapports étant nettement trop longs, nous les avons scindés en deux observations distinctes.
À la sortie de cette phase de collecte, nous disposions donc de 47 observations, que nous avons considérées comme des réponses à la question fictive « Quelles sont les procédures de contrôle interne pratiquées par votre société ? ». à cette variable lexicale nous avons associé une variable « nom de l’entreprise » et une variable « secteur d’activité ». Nous avons décidé de ne pas introduire de variable « taille », d’une part en raison de l’homogénéité de l’échantillon en la matière, d’autre part en raison de la difficulté de trouver un indicateur indiscutable significatif de cette taille. Notre première phase d’analyse consista donc à observer les résultats de manière informelle.

Premier dépouillement :
Le comptage des occurrences a donné des résultats intéressants, repris en annexe 1. Les items précédés du signe # sont des groupes lexicaux constitués sur les 6 premiers caractères d’un mot. Ces regroupements permettent par exemple de considérer les mots « finance, finances, financier, financiers, financières, financement, financements » comme une seule et même occurrence. Certains groupes abusivement constitués ont été défaits : le terme « assurance », par exemple, a donné lieu à une segmentation selon le contexte de son émergence (s’agissait-il du métier d’assureur dans lequel plusieurs sociétés du CAC 40 sont directement engagées, ou de la fonction générique d’assurance impliquant toute entreprise ?). D’autres groupes ont été « retravaillés » pour éviter de confondre des notions tout à fait différentes comme « direct, directive, direction »… Les mots de moins de trois lettres, ainsi que les « mots-outils » (afin, ainsi, car, ceci, certes…) ont été éliminés du dictionnaire. Si l’on élimine les trois termes les plus cités, induits par le contexte (#groupe, #contrôle, #interne), l’occurrence la plus fréquente est #finance, ce qui témoigne du poids de la préoccupation financière dans les conceptions que se font le dirigeants du contrôle interne. Cet item s’avère proche (en termes de « lexique relatif ») de fonctions comme l’information ou la communication (… financière) tout comme de postes de responsabilités (direction, directeur…) ou encore de pratiques précises (reporting, contrôle, états…). Le terme #risque est également très cité, n’étant absent que d’une seule observation (ST Microelectronics) par ailleurs brève. Cela conforte les conclusions d’auteurs (Le Maux & al. 2005, Gatinois 2005) qui pointent l’importance de cette thématique, d’autant plus que plusieurs rapports assimilent explicitement le contrôle interne à des problématiques de gestion des risques (ou risk management). L’évocation de risque(s) est le plus souvent liée à une velléité de « gestion, maîtrise, contrôle », items les plus souvent cités en pivots -2 ou -1. Le comité des risques est évidemment souvent cité en tant qu’acteur du contrôle interne. Au-delà des concepts génériques d’identification ou d’évaluation (… des risques), il est intéressant de noter aussi que neuf observations font état de la notion de « cartographie des risques ». Toutefois, même lorsque cet outil est abondamment évoqué (comme chez Arcelor), il demeure peu détaillé dans la description de ses modalités, et renvoie, à l’instar des termes cités plus hauts, à une traduction conceptuelle de l’approche par les risques dont les auditeurs externes sont coutumiers.
Le simple comptage des occurrences nous a révélé par ailleurs des pistes intéressantes. En premier lieu, on s’aperçoit que le vocabulaire juridique et financier tend à dominer dans le corpus. On retrouve ainsi en bonne place les références aux comptes (avec il est vrai le « compte de résultat »), à la comptabilité, à la consolidation, ainsi que les notions de groupe et de filiale. Si ces nombreuses références ne surprennent guère, on peut s’étonner en revanche que des termes comme #client ou #fournisseur soient bien plus rares : le premier n’est cité que dans 26 rapports, le second dans 17 rapports. Si l’on inverse la proposition, on peut donc dire que 21 rapports ne parlent pas de clients, et que 30 rapports ne parlent pas des fournisseurs. Plus généralement, les références au #marketing sont rares et peu étayées (8 rapports), et une démarche comme le benchmarking n’est jamais évoquée (une seule référence à des « benchmarks »). Lorsqu’elle est utilisée, la notion de #partenaire (21 occurrences dans 14 rapports) n’implique pas une approche de type stakeholder de la firme, sauf peut-être chez Carrefour, qui « a élaboré un code éthique qui rappelle les obligations envers les clients, les fournisseurs, les partenaires et les actionnaires ». Il est à noter toutefois que cinq rapports citent la notion de « partie(s) prenante(s) » qui renvoie plus précisément à une telle approche. À deux reprises seulement elle est effectivement dans ce registre, chez Carrefour et surtout chez Schneider Electric, où « "Les Principes de Responsabilité" donnent à chacun des collaborateurs un guide pour ses décisions et ses actions à l'égard de toutes les parties prenantes de l'entreprise : les salariés, les clients, les fournisseurs, les actionnaires, la société civile et l'environnement ». Cela est cependant peu de choses, si l’on considère par exemple que le mot #actionnaire est à lui seul cité dans 24 rapports. On peut donc en conclure que la perspective du shareholder est plutôt privilégiée dans les rapports.
Ce premier constat est corroboré par une autre observation : le secteur d’activité « sociétés financières » (7 entreprises) est de loin celui qui présente le « poids des mots exclusifs »le plus important » (8,3%). Ceci peut conduire à une piste de recherche intéressante : si les secteurs d’activité financiers présentent des indices de spécificités plus élevés alors même qu’ils sont au cœur de la problématique de contrôle interne dominée par la préoccupation financière, cela peut impliquer une faible diversité des autres secteurs, ce que nous testerons plus loin.
Il était intéressant aussi, dans une première lecture, de rechercher des traces de révélation des failles du contrôle interne. Le dépouillement lexical permettait ainsi de tester un dictionnaire spécifique à ce domaine, contenant les termes de faille, dysfonctionnement (ou disfonctionnement), fraude, non-conformité, accident, incident, condamnation, sanction, blâme, blanchiment… En premier lieu, on constate qu’aucun de ces termes n’apparaît parmi les mots les plus cités. Le groupe lexical #fraude est le plus représenté parmi ces termes, étant cité à 35 reprises dans 24 rapports. Pour l’essentiel, l’évocation de ce terme est associée aux notions de prévention, de risque, de maîtrise… La fraude en reste au niveau du potentiel, de la tentative, et le dirigeant ne l’évoque que pour faire état de ses efforts pour la détecter et la prévenir. Il en est de même de la notion d’#erreur (23 occurrences dans 19 rapports) souvent utilisée à titre positif et dont on n’a pas d’exemple concret, même si parfois l’aveu est implicite, comme chez Dexia : « L’objectif général du contrôle interne est de prévenir et maîtriser les risques majeurs d’erreur et de fraude. Comme tout système de contrôle, il est conçu pour réduire ce type de risque à un niveau compatible avec les exigences de l’entreprise mais ne peut garantir leur totale absence». Le dirigeant du groupe PPR fait presque figure d’exception lorsqu’il révèle : « Il est important de noter que, quels que soient sa qualité et son degré d’application, le contrôle interne ne peut fournir qu’une assurance raisonnable quant à la réalisation des objectifs ci-dessus. En effet, la probabilité de les atteindre est soumise aux limites inhérentes à tout système de contrôle interne, et notamment :
• aux erreurs humaines commises ou aux dysfonctionnements survenus lors de la prise de décisions ou dans l’application de celles-ci,
• aux cas de collusion délibérée entre plusieurs personnes qui permettent d’éluder le dispositif de contrôle en place,
• ou au cas où la mise en place, voire le maintien d’un contrôle, ne soit plus onéreuse que le risque qu’il est censé pallier.
Par ailleurs, il va de soi que, dans la poursuite des objectifs précités, l’entreprise est confrontée à des événements et aléas qui sont indépendants de sa volonté (évolution imprévue des marchés et de la concurrence, évolution imprévue de la situation géopolitique, erreur de prévision ou d’estimation des effets de ces évolutions sur l’organisation, etc.) ». à part une évocation guère plus précise chez AGF, à propos de « la limitation des erreurs occasionnées par des dysfonctionnements d’exploitation » (concernant la sécurité du Système d’Information), il n’y a pas de référence à un cas concret, ni de fraude, ni d’erreur.
Il n’en est pas tout à fait de même du groupe lexical #dysfonctionnement (16 occurrences dans 10 rapports), qui donne lieu à un constat de nature auto-critique chez Cap Gemini : « Et pourtant l’exercice 2004 a fait apparaître (principalement aux états-Unis) quelques dysfonctionnements aux conséquences heureusement mineures, mais qui illustrent bien la difficulté qu’il peut y avoir parfois – dans une Société de services dont les 60 000 collaborateurs sont répartis sur 5 continents et où l’on parle au moins 25 langues différentes – à faire appliquer partout et tous les jours des règles complexes relevant de principes de bonne gouvernance pas encore universellement répandus et dont il arrive que l’importance soit mal comprise, sinon mal acceptée ». Chez Alcatel, on reconnaît également que « La lutte contre la fraude interne a fait l’objet en 2004 d’un renforcement des règles en vigueur sous l’impulsion du comité exécutif suite à la révélation de dysfonctionnements au Costa Rica ». Cette thématique du renforcement et de l’amélioration des procédures de contrôle est d’ailleurs omniprésente, notamment en fin de rapport. Elle reste cependant peu détaillée, et nous n’avons par exemple repéré que trois rapports (France Télécom, Thomson et Alcatel) faisant état d’une procédure d’alerte de type « whistleblowing ».
Le rapport de l’AMF mentionne qu’ « aucune défaillance ou faiblesse majeure de contrôle interne n’a été mentionnée dans les rapports examinés » (AMF 2004). Comme cette analyse portait sur un échantillon de rapports différent du nôtre, dans l’espace comme dans le temps, il était tentant de vérifier plus précisément cette affirmation dans notre panel du CAC 40. La quasi-absence de certains mots (lacune, escroquerie, défaillance, soupçon, problème,…) ou l’absence complète d’autres mots (faille, manipulation, vol…) tendent à confirmer ce constat. Le mot #délit figure certes à six reprises, mais il est toujours associé à la notion de « délit d’initié », et systématiquement dans un contexte de prévention. Il en de même de la notion de #conflit, évoquée onze fois dans le cadre de l’arbitrage ou de la prévention des « conflits d’intérêt(s) », et une seule fois dans une acception opérationnelle, chez Carrefour : « La Direction des Hypermarchés en France a mis en place un module de formation du personnel sur la gestion des situations difficiles, ou conflictuelles, entre la clientèle et le personnel, notamment aux caisses. Il permet d'envisager les situations les plus graves qui peuvent arriver dans un magasin et les conduites à tenir face à ces situations. » Il y a ici une reconnaissance implicite de l’existence de conflits internes, qui en reste cependant au stade du travail de terrain quotidien. On trouve des évocations similaires en matière de #litiges, notamment chez Axa et Sanofi-Aventis. Toutefois, même lorsqu’il est fait référence à des #accidents (dans sept rapports seulement), il n’y a pas de compte-rendu d’un événement ou d’un exemple précis. Sans surprise, on peut faire un constat du même ordre en matière de blanchiment, ce terme étant cité par cinq sociétés financières, de manière systématique en association avec la lutte contre le blanchiment de fonds et les obligations légales y afférant.
Notre premier niveau de lecture tend ainsi à confirmer, en la nuançant, l’observation de l’AMF. On peut dire ainsi que les dirigeants empruntent la conception du MEDEF et de l’AFEP (MEDEF/ADEP 2003) qui recommande une lecture a minima de l’obligation légale de « rendre compte » : « Les articles L.225-37 et L.225-68 disposent que le président « rend compte » des procédures de contrôle mises en place par la société, ce qui signifie qu’il les relate, qu’il les explique. Il n’est pas tenu de les évaluer ni de porter un jugement sur elles » (p. 3).
Ce dernier point nous envoie précisément sur une autre piste de cette première lecture : l’évaluation. Pour n’être pas obligatoire, elle n’en demeure pas moins possible. Comme le groupe lexical #évaluation est à la fois polysémique et fréquent (194 occurrences dans 41 rapports), il nous a fallu élaguer par le biais des lexiques relatifs, ne serait ce que pour ne pas confondre l’évaluation des risques contenue dans le référentiel COSO avec l’évaluation du contrôle interne. Il appert clairement que plusieurs présidents font état de procédures d’évaluation, qui consistent souvent (dans 19 rapports) à conduire des autoévaluations (ou auto-évaluations, voire auto-diagnostics). Parfois, comme chez Vinci, on évoque un outil précis : « Des questionnaires d’auto-évaluation de l’environnement du contrôle interne, validés par le comité exécutif, ont été adressés fin 2003 aux responsables d’un échantillon de 23 entités, sélectionnées parmi les plus importantes et les plus représentatives. Les réponses à ces questionnaires ont été analysées, puis un recensement des principales procédures existantes a été effectué ». Le « processus d’auto-évaluation du contrôle interne » est souvent attribué à la fonction d’audit interne, sans qu’il n’y ait de communication quant aux résultats des évaluations menées. Une autre dimension nous a alors paru intéressante : l’éthique. Citée 69 fois dans 24 rapports, son positionnement est associé, en amont, aux termes de code, comité, règles et charte, et en aval, à la notion de déontologie. La variable éthique à deux modalités sera croisée à d’autres variables fermées, afin de repérer des dépendances significatives. Le terme de #déontologie, obtenant des scores similaires, a également été sélectionné à fins de test.
Nous avons constaté également que les métiers et les acteurs cités sont le plus souvent liés à des fonctions comptables, juridiques et/ou financières. L’audit interne est évidemment omniprésent, mais on retrouve également, dans plus de la moitié des rapports, un rôle important des directions financières et/ou juridiques. Il serait vain toutefois de cartographier précisément les rôles, tant il vrai que les appellations ne sont pas homogènes, et que nombre de rapports font état de comités ou de commissions aux appellations « maison ». Il est intéressant en revanche de remarquer les nombreuses références au #contrôle de gestion, évoqué dans 32 rapports, et dont le rôle est parfois détaillé, mais qui parfois aussi est ignoré. Dans quelle mesure le contrôle de gestion fait-il partie du contrôle interne dans l’esprit des présidents de groupes ?... Voilà une autre question qui pourrait trouver ici un embryon de réponse. Nous introduirons donc le contrôle de gestion (CDG) en tant que variable, ainsi que l’un des outils classiques qui lui semble associé : le #budget (144 occurrences dans 33 rapports).
Enfin, ce premier niveau de lecture fut aussi l’occasion de tester la nature du référentiel. Nous avons créé une variable « COSO » après avoir remarqué qu’un nombre significatif de groupes faisait état de la trame américaine. Nous avons recensé 17 groupes faisant explicitement référence à la trame recommandée par la SEC. Cette segmentation permettra un niveau d’analyse supplémentaire, et pourra être comparée à la liste des groupes français cotés aux États-Unis, telle que fournie par le NYSE.


Deuxième dépouillement :
La première lecture ayant consisté à repérer des tendances dans le corpus, il s’agissait ensuite de conduire des croisements systématiques, en utilisant les variables existantes tout en s’autorisant d’en créer de nouvelles. Ce travail exploratoire nous a conduits à tester seize variables, à les combiner entre elles afin de détecter des dépendances significatives. Le tableau 2 récapitule et explicite ces variables.






Tableau 2 – le détail des variables
Intitulé Nature DétailNom Texte Nom du groupe Contrôle interneTexteContenu du rapport sur le contrôle interne Secteur d’activitéFermée (une seule rép.)Nomenclature Les échos CDG Fermée (une seule rép.)Mentionne ou non le contrôle de gestionCOSOFermée (une seule rép.)Se réfère ou non au COSO Stake Fermée (une seule rép.)Se réfère, ou non, soit aux « parties prenantes », soit au « développement durable »ShareFermée (une seule rép.)Se réfère, ou non, aux « actionnaires »Valeurs Fermée (une seule rép.)Se réfère, ou non, à des « valeurs » (au sens moral du terme)Déontologie Fermée (une seule rép.)Évoque la notion de « déontologie »Test Fermée (une seule rép.)Affirme, ou non, pratiquer des « tests »Budget Fermée (une seule rép.)Évoque, ou non, la pratique budgétaireÉthique Fermée (une seule rép.)Évoque, ou non, la notion d’ « éthique » Autoéval Fermée (une seule rép.)Affirme, ou non, pratiquer l’ « autoévaluation »Coté USFermée (une seule rép.)Groupe coté, ou non, aux états-unisTaille du rapportÉchelle 4 segments, selon la taille du rapport

Ces variables ont été croisées deux à deux. Certaines liaisons qui nous semblaient relever du bon sens ne se sont pas vérifiées. Ainsi, il y a certes une dépendance entre les variables COSO et Autoéval, mais elle est peu significative (Chi 2 = 2,77, ddl = 1, 1-p = 90,41%). Il n’y a pas de liaison du tout entre COSO et Test. Preuve n’est donc pas faite que les groupes ayant fait le choix du référentiel COSO soient davantage portés sur les pratiques d’évaluation du contrôle interne. Les rapports siglés COSO ne sont pas plus longs que les autres. La variable Taille est surtout liée au secteur, les groupes financiers étant généralement les plus prolixes. Les seules variables qui s’avèrent être en relation très significative avec COSO sont Coté US et éthique, comme le montrent les tableaux 3 et 4. Il n’y a pas, en revanche, de lien entre éthique et Coté US. Il y a donc des groupes cotés aux états-Unis qui préfèrent ne pas retenir la trame COSO pour leur rapport en France… et inversement. Les groupes qui ont fait le choix de ce référentiel américain parlent davantage d’éthique.








Tableau 3 – Croisement des variables COSO et Coté US

La dépendance est très significative. chi2 = 9,91, ddl = 1, 1-p = 99,84%.
Les cases encadrées en bleu (rose) sont celles pour lesquelles l'effectif réel est nettement supérieur (inférieur) à l'effectif théorique.

Tableau 4 – Croisement des variables COSO et éthique

La dépendance est très significative. chi2 = 7,82, ddl = 1, 1-p = 99,48%.
Les cases encadrées en bleu (rose) sont celles pour lesquelles l'effectif réel est nettement supérieur (inférieur) à l'effectif théorique.

En dehors de l’outil Budget, la variable CDG n’est pas fortement associée à une autre (voir tableau 5). Cela ne fait que confirmer le poids du processus budgétaire dans le rôle du contrôle de gestion.

Tableau 5 – Croisement des variables CDG et Budget

La dépendance est significative. chi2 = 5,42, ddl = 1, 1-p = 98,01%.
Les cases encadrées en bleu (rose) sont celles pour lesquelles l'effectif réel est nettement supérieur (inférieur) à l'effectif théorique.


En revanche, les tableaux 6 et 7 révèlent des liaisons significatives entre les concepts de Déontologie et d’éthique d’une part, et la variable Stake2 d’autre part. à noter aussi qu’il y a une forte spécificité sectorielle relative à la Déontologie, toutes les entreprises financières ayant évoqué la notion.









Tableau 6 – Croisement des variables Déontologie et Stakeholder

 SHAPE \* MERGEFORMAT 
La dépendance est significative. chi2 = 5,40, ddl = 1, 1-p = 97,99%.
Les cases encadrées en bleu (rose) sont celles pour lesquelles l'effectif réel est nettement supérieur (inférieur) à l'effectif théorique.
Attention, 1 case a un effectif théorique inférieur à 5, les règles du chi2 ne sont pas réellement applicables.


Tableau 7 – Croisement des variables éthique et Stakeholder


La dépendance est significative. chi2 = 4,91, ddl = 1, 1-p = 97,32%.
Les cases encadrées en bleu (rose) sont celles pour lesquelles l'effectif réel est nettement supérieur (inférieur) à l'effectif théorique.
Attention, 1 case a un effectif théorique inférieur à 5, les règles du chi2 ne sont pas réellement applicables.


Si l’on ajoute à cela le tableau 8, on obtient un triptyque éthique / valeurs / déontologie que l’on devrait trouver proches l’une de l’autre sur un graphique d’analyse factorielle (bien qu’il n’y ait pas de dépendance significative entre Valeurs et Déontologie). À noter aussi une dépendance positive et significative, plus délicate à interpréter, entre le Budget et l’éthique.


Tableau 8 – Croisement des variables éthique et Valeurs

La dépendance est significative. chi2 = 6,18, ddl = 1, 1-p = 98,71%.
Les cases encadrées en bleu (rose) sont celles pour lesquelles l'effectif réel est nettement supérieur (inférieur) à l'effectif théorique.

L’analyse des spécificités lexicales (Moscarola & al. 2002) a été menée, mais n’a pas apporté d’éclairage intéressant. Il est vrai que la taille des corpus et les nombreuses références spécifiques (noms propres, sigles, jargons maison…) ne facilitent pas une telle analyse. En revanche, nous avons résumé l’ensemble du champ des variables dans une analyse factorielle des correspondances (Benzécri 1973) présentée en figure 2. Si une telle carte permet bien de repérer des associations ou des oppositions vues plus haut (éthique / budget / valeurs, COSO / US, Finances / déontologie…), il est en revanche difficile de caractériser les deux axes.


Figure 2 – Analyse factorielle de correspondances (ensemble des variables)






Conclusion
Notre lecture approfondie des rapports a, dans un premier temps, confirmé pour l’essentiel les observations menées par ailleurs, à savoir :
Une orientation du contenu des rapports autour de la notion de risque. On parle de gestion des risques, mais aussi de maîtrise, de management, de prévention, de contrôle etc. Parfois même cette notion remonte à l’intitulé des rapports, lorsque le président assimile le contrôle interne à la gestion des risques.
Une domination des vocabulaires juridiques, comptables et financiers par rapport à des corpus plus opérationnels comme le marketing, la production ou la logistique. Bien que la LSF n’ait pas précisé ce qu’il faut entendre par « contrôle interne », la conception financière du concept domine largement.
Au-delà des deux tendances sus citées, le contenu des rapports est fort diversifié. Les uns parlent du contrôle de gestion, d’autres pas du tout ; d’autres encore évoquent des « externalités » en termes de parties prenantes ou de développement durable, alors que beaucoup en restent à un contrôle « interne » stricto sensu.


Nous sommes davantage circonspects quant à d’autres points révélés par l’analyse lexicale.
D’une part, les problématiques d’évaluation sont très souvent évoquées, et parfois même détaillées, au travers notamment d’outils comme « les questionnaires d’évaluation ». Un grand nombre de rapports conclut en promettant pour les exercices à venir de nouveaux efforts en ce sens. Le président d’EADS est explicite à se sujet, en écrivant dans les dernières lignes du rapport : « s'appuyant sur les résultats du processus complet d'examen et d'évaluation du contrôle interne et de la gestion des risques amorcé en 2004, eads évaluera de manière critique la mise en œuvre du cadre du contrôle interne et du système de gestion des risques dans le courant de l'année 2005 ». Dès lors, le débat – stérile selon Marini – entre le descriptif et l’évaluatif, est plus avancé qu’il n’y paraissait jusqu’ici, les dirigeants reconnaissant généralement (et pas seulement dans le cadre du COSO) la nécessité d’évaluer les procédures de contrôle interne. Cependant, à part quelques rares et brèves exceptions, il n’y a pas d’aveu quant à des problèmes concrets rencontrés, qui pourraient remettre en cause, de façon critique, la fiabilité de la communication financière de la firme.
D’autre part, le discours développé par les dirigeants est pour l’essentiel orienté vers les actionnaires et le souci de garantir la fiabilité de l’information financière qui leur est communiquée. Les parties prenantes semblent relativement en retrait, et notamment les clients et les fournisseurs. Cette tendance est confirmée par la déconnexion du contrôle interne avec des thématiques pourtant en vogue telles que la responsabilité sociale de l’entreprise et le développement durable. Cette tendance n’est cependant pas homogène. Deux groupes émergent ainsi dans l’ensemble des rapports produits par les entreprises du CAC 40 : les entreprises cotées sur le marché américain qui ont majoritairement adopté le référentiel COSO et présentent une conception élargie en associant par exemple au contrôle interne une dimension éthique, et les autres qui en général n’ont pas choisi d’adopter le référentiel du COSO et sont tendanciellement caractérisées par une absence de la dimension éthique. L’explication de cette différenciation est sujette à questionnement. Ainsi la dimension éthique présente dans certains rapports est-elle liée à la présence d’une entreprise sur le marché américain ou découle-t-elle d’autres facteurs ?
Notons enfin que les entreprises ayant une activité financière semblent une fois encore manifester des particularités. La dimension déontologique est ainsi intégrée comme un élément contribuant à l’efficacité du contrôle interne. Il est vrai que les métiers financiers sont en général dotés de règles déontologiques formalisées et susceptibles d’être sanctionnées par les autorités de contrôle. Ces règles permettent de contribuer au respect des procédures internes.
Bien entendu, une telle analyse de contenu, limitée dans le temps et l’espace, ne permet pas de dresser des conclusions définitives. Elle apporte des éléments utiles au débat, qui prend parfois une tournure polémique (Gatinois 2005), quant à l’évolution souhaitable du contenu des rapports. Elle peut servir aussi d’appui à des recherches ultérieures, qu’elles soient de nature longitudinale (analyse de l’évolution du contrôle interne au travers de l’analyse de l’évolution du corpus lexical des rapports), ou en profondeur (traitement de thèmes précis comme les acteurs du contrôle interne, la dimension juridique, le contrôle de gestion…). Un tel travail en profondeur pourrait se prolonger dans une approche interprétative quant aux conséquences organisationnelles de la normalisation du contrôle interne, à la manière d’un Cappelletti (2004). Ce prolongement pourrait même emprunter une perspective critique, en montrant par exemple comment la rhétorique mise en œuvre dans les rapports, loin de montrer davantage quant aux enjeux essentiels, risque de masquer ces derniers derrière des questions liées à la division du travail de contrôle et aux délégations qu’il implique. On pourrait montrer ainsi que la profusion de commissions, de comités et autres instances ou organes est une thématique significative dans les rapports, à même traduire une dialectique entre le montré et le caché (Gumb 2005). Si ces questions n’avaient pas vocation à être traitées dans cette étude exploratoire, elles n’en demeurent pas moins liées aux enjeux actuels de l’information financière, tant du point de vue professionnel que du point de vue académique.



Références

AMF (2004), Rapport AMF sur le gouvernement d’entreprise et le contrôle interne (H. Reynier, M.J. Vanel, P. Danjou).

ANSA (2004), Rapport joint du président rendant compte des conditions de préparation et d’organisation des travaux du conseil.

Anthony R.N. – The Management Control Function; HBS Press, Boston 1988 (trad. Française : la fonction contrôle de gestion, Publi-Union, Paris 1993).

Bénédict G. & R. Kéravel (1990), évaluation du contrôle interne dans la mission d’audit, Editions Comptables Malherbes.

Benzécri J.P. & al. – L'analyse des données (Tome 1 "La taxinomie" ; Tome 2 "l'analyse des correspondances") ; Dunod, Paris 1973.

Bouquin H. (1998), Le contrôle de gestion, 4ème édition, PUF Gestion.

Cappelletti L. (2004), « La normalisation du contrôle interne : esquisse des conséquences organisationnelles », Actes du congrès de l’AFC, Orléans.

Conac P-H. (2003), « L’influence de la loi Sarbanes-Oxley en France », Revue des sociétés, 10/12, pp. 835-858.

Deloitte (2005), Communiqué de presse du 19 mai.

Ebondo E. & Pigé B. (2002), « L’arbitrage entreprise / marché : le rôle du contrôle interne, outil de réduction des coûts de transaction », Comptabilité-Contrôle-Audit, volume 2, tome 8, novembre, pp. 51-67.

Gatinois C. (2005), « Les émetteurs veulent un rapport du contrôle interne descriptif », Les échos du 16-17 décembre, p. 26.

Gumb B. (2005) « The spectacle as a dialectic between the shown and the hidden : the communication gap », paper presented at the 3rd Conference on Performance Measurement and Management Control, Nice, France, September 22-23.


Laroche Cl. (1985), « Le contrôle interne », Gestion – Revue internationale de gestion, volume 10, numéro 2, avril.

Le Maux J., Alloul A. (2005), « L’obligation de communication sur le contrôle interne. Etude du cas français. », Gestion – Revue internationale de gestion, volume 30, numéro 3, pp. 74-79.

Le Maux J., Melyon G., Alloul A. (2005), « La communication des sociétés cotées sur le contrôle interne », Revue Française de Comptabilité, 374, pp. 29-30.

MEDEF-AFEP (2003), « L’application des dispositions de la loi de sécurité financière concernant le rapport du président sur les procédures de contrôle interne mises en place par la société », recommandation du 17/12/2003.

Moscarola J., Papatsiba & Baulac Y. "Exploration sans a priori ou recherche orientée par un modèle : contributions et limites de l'analyse lexicale pour l'étude de corpus documentaires"; communication aux 6èmes journées internationales d'analyse statistique de données lexicales, JADT 2002.

Ouchi W. (1979), « A Conceptual Framework for the Design of Organizational Control », Administrative Science Quarterly, vol. 24, September.

Pigé B., « Audit et contrôle interne », Litec, Paris 1997.

Urbain-Parléani I. (2004), « Les nouvelles obligations d’information envers les actionnaires », Revues des sociétés, 3.


























Annexe 1 – Index des principales occurrences
Mots ou groupes lexicaux (#)
#Groupe
#contrôle
#interne
# directeur
# finance
#risque
#audit
#information
#Comité
#opération
#procédures
#comptes
#comptabilité
#général
#gestion
#principal
#fonction
#responsables
#processus
#système
#consolidation
#activité
#organigramme
place
#assuré
#filiale
#niveau
#définition
#disposer
#mission
#société
#ensemble
#entité
#commun
mise
#permet
#objectif
#oeuvre
cadre
#rapport
#réaliser
#Conseil
normes
suivi
#applicable
règles
#administrateur Nombre d’occurrences
2035
1721
1455
1339
1113
946
920
778
752
744
715
683
641
617
600
553
535
495
431
418
417
409
391
373
366
365
334
329
327
327
327
326
323
316
316
267
267
265
261
260
256
252
248
239
235
234
232Nombre d’observations
47
46
46
46
47
46
46
46
46
47
47
47
26
45
46
46
45
46
45
46
44
46
44
45
43
43
45
44
43
46
43
45
41
42
45
44
41
44
45
45
45
45
41
43
45
40
41
Annexe 2
Principaux quasi-segments répétés (les noms d’entreprises ont été éliminés)
contrôle interne 785
audit interne 287
direction générale 189
procédures contrôle 154
comité audit 152
conseil administration 148
mise place 121
procédures contrôle interne 120
information financière 112
commissaires comptes 106
contrôle gestion 100
mis place 99
comptes consolidés 88
comité exécutif 84
sein groupe 84
directeur général 82
système contrôle 81
interne groupe 80
direction financière 79
gestion risques 76
unités opérationnelles 75
mise oeuvre 74
dispositif contrôle 66
maîtrise risques 66
entités groupe 64
générale groupe 62
niveau groupe 61
mise œuvre 60
fait objet 59
ressources humaines 58
normes ifrs 57
direction audit 55
font objet 55
informations financières 54
dispositif contrôle interne 53
président directeur 53
systèmes information 53
ensemble groupe 50
comité comptes 49
mises place 49
financière groupe 48
système contrôle interne 48
france telecom 47
directeur financier 46
financière comptable 46
contrôle interne groupe 44
président directeur général 42
conseil surveillance 41
environnement contrôle 40
comité direction 39
crédit local 39
sarbanes oxley 39
entités opérationnelles 36
missions audit 36
société mère 35
direction générale groupe 33
comptable financière 32
consolidés groupe 32
direction contrôle 32
états financiers 32
exercice 2004 32
risques groupe 32
sociétés groupe 32
activités contrôle 31
information comptable 31
mettre place 31
contrôle risques 30
document référence 30
réalisation objectifs 30
communication financière 29
engagements bilan 29
évaluation risques 29
information financière comptable 29
lois règlements 29
matière contrôle 29
normes comptables 29
plan audit 29
plans action 29
principes comptables 29
rapport annuel 29
risques majeurs 29
auto évaluation 28
direction centrale 28
fiabilité informations 28
inspection générale 28
loi sarbanes 28
traitement information 28
audit groupe 27
direction juridique 27
général groupe 27
plans actions 27
comité risques 26
exécutif groupe 26
loi sarbanes oxley 26
comité 26
principaux risques 26
bonnes pratiques 25
directeurs généraux 25
états unis 25
matière contrôle interne 25
différentes entités 24
direction audit interne 24
maîtriser risques 24
plan action 24
processus contrôle 24
reporting financier 24
sécurité financière 24
audit interne groupe 23
audit risques 23
cas échéant 23
charte audit 23
conformité lois 23
établissement comptes 23
gestion groupe 23
groupe matière 23
place procédures 23
risk management 23
comptes consolidés groupe 22
évaluation contrôle 22
identification risques 22
long terme 22
marchés financiers 22
opérationnelles fonctionnelles 22
système information 22
vis vis 22
assurance raisonnable 21
audit conseil 21
comptes sociaux 21
directions fonctionnelles 21
directions opérationnelles 21
élaboration traitement 21
filiales groupe 21
informations comptables 21
membres comité 21
mis œuvre 21
mise jour 21
peuvent être 21
règles procédures 21









Annexe 3

Glossaire des abréviations

AFEP - Association Française des Entreprises Privées
AMF - Autorité des Marchés Financiers
CNCC - Compagnie Nationale des Commissaires aux Comptes
COBIT - Control Objectives for Information and related Technology
COSO - Committee Of Sponsoring Organizations
IFACI - Institut de l’Audit Interne
LSF - Loi de Sécurité Financière
MEDEF - Mouvement des Entreprises de France
NYSE - New-York Stock Exchange
SAC - System of Auditability and Control
SEC - Securities and Exchange Commission
SOX - Sarbanes Oxley
 En conséquence, nous n’analyserons pas ici le « rapport sur le rapport », à savoir les observations exigées au commissaire aux comptes quant au rapport sur le contrôle interne rédigé par le dirigeant.
 Nous parlons ici de dirigeant pour faire simple. Il s’agit officiellement, comme il est dit plus haut, du président du conseil d’administration ou du président du conseil de surveillance. À vrai dire, on s’aperçoit, à l’examen des documents de référence, que le rapport en question n’est pas toujours signé.
 Le terme de concrétion provient du champ de la chimie organique. Il désigne un effet par lequel des parties se rassemblent formant un tout solide. Il a été utilisé dans le domaine de la théorie juridique par Friedrich Müller pour qualifier le travail par lequel le juriste extrait des textes juridiques et des faits les éléments nécessaires à la production de la norme juridique. Son travail est comparé à l’activité du mineur de fond.
 R.N. Anthony, harvardien considéré comme un père fondateur du contrôle de gestion, ne parlait pas du contrôle interne stricto sensu, mais de « systèmes de planification et de contrôle » (Planning and Control Systems). Voir notamment la mise à jour de son cadre conceptuel (Anthony, 1988).
 Le document de référence 2004 de LVMH ne contenait pas de rapport spécifique au contrôle interne, même si le thème est évoqué par le compte-rendu de l’assemblée générale. Nous disposons donc de 39 rapports, dont 8 ont été dédoublés, soit 47 observations. Les comptages qui suivent intègrent ce biais.
 Cela signifie que ces termes sont ceux que l’on retrouve le plus fréquemment un ou deux mots avant le mot #risque.
 On peut noter aussi à ce sujet qu’un thème pourtant populaire comme le « développement durable » n’est cité que dans 5 rapports, et généralement de façon anecdotique. De même, il y a une seule référence à une notion comme la « citoyenneté » (Sanofi-Aventis), de même qu’à la notion de « responsabilité sociale » (Carrefour).
 D’autres rapports évoquent cependant les procédures d’alerte lorsqu’il est question des auditeurs externes ou du comité d’audit. Quant à la pratique du whistleblowing, elle devrait progresser dans les prochaines années sous l’impulsion des décisions récentes de la CNIL qui après avoir sanctionné deux systèmes de procédure d’alerte en octobre 2005 a émis courant novembre 2005 des recommandations à l’intention des entreprises qui souhaiteraient mettre en place de telles procédures.

 Le #reporting est cependant plus cité encore, présent dans 41 rapports. La notion de #coût ressort également de 14 rapports, plusieurs fois associée à la qualité et aux délais. Il n’y a pas trace, en revanche, de ces méthodes emblématiques du contrôle de gestion que sont ABC, ABM, le balanced scorecard etc (10 rapports font malgré tout état de #tableaux de bord).
 Tous les rapports qui citent le COSO affirment l’utiliser en tant que référentiel. Le cas de Sanofi-Aventis est particulier, le mot COSO n’y étant pas cité, alors que le contenu du rapport reprend à l’évidence la typologie en cinq axes décrite en figure 1. Nous avons donc imputé le rapport de ce groupe au COSO.
 Selon la liste du NYSE à fin décembre 2005.
 En moyenne, un rapport sur le contrôle interne est composé de 19 565 caractères, espaces non compris (mesurée par Word), avec un écart-type de 11 552 caractères. Si l’on considère qu’une page standard comprend 1500 caractères, on aurait donc une confirmation du rallongement des rapports. Le plus court (ST Microelectronics) faisant 3 006 caractères, et le plus long (AGF) 54 719, nous avons constitué trois groupes de 10 000 et un quatrième groupe (Taille 4) « plus de 30 000 caractères ».









PAGE 


PAGE 1



CONTRÔLE INTERNE

Évaluation des risques

Activités de contrôle
=
Règles et procédures

Information
et communication

Pilotage du contrôle

Environnement de contrôle
=
Valeurs de l’entreprise

déonto

stake2

Stake

Non Stake

TOTAL

Déon

Non Déon

TOTAL

7

3

10

11

26

37

18

29

47