1

L’économie américaine, portée par la nouvelle économie, la globalisation et les nouveaux instruments financiers, et alimentée gistré tout au long des années 1990 sa croissance la par des marchés boursiers en pleine euphorie, a enre plus longue de l’après-guerre (Rioux, 2003). Cette évolution s’est appuyée sur quelques schémas simples : forte exigence de la part des investisseurs en termes de rentabilité, augmentation dans des proportions très fortes de la valeur boursière de certaines valeurs dites « technologiques », plus-values colossales réalisées en bourse, stratégies de croissance externe démesurées…

2

Cependant, pour pouvoir satisfaire les nombreuses exigences de leurs différentes « parties prenantes » (stakeholders), certains dirigeants n’ont pas hésité à user (voire abuser) de pratiques comptables dites « créatives »1 ou « agressives »2 allant, dans plusieurs cas, jusqu’à des comportements totalement frauduleux.

3

Le retournement de la conjoncture boursière, initié en 2000, s’est traduit, en mars 2001, par l’« éclatement de la bulle spéculative » et de nombreuses pratiques évoquées ci-dessus ont été découvertes, notamment parce qu’elles n’étaient plus « tenables » pour les entreprises dont le cours de bourse constituait le « soubassement » de leurs turpitudes3.

4

Les nombreux scandales qui ont alors frappé les États-Unis en 2001 et au début de l’année 2002 (avec Enron, en tête, mais aussi Adelphia, Xerox, et surtout WorldCom) ont entraîné, comme le rappelle Descheemaeker (2003), une réaction brutale du législateur américain et l’adoption de la loi dite « Sarbanes-Oxley »4, votée par le Congrès des États-Unis et ratifiée par le président Bush le 30 juillet 20025.

5

Cette loi Sarbanes-Oxley constitue la plus importante réforme aux États-Unis depuis la crise des années 1930 et le Securities Act de 1934 qui régit encore largement le monde de la finance aux États-Unis. Elle est guidée par trois grands principes : l’exactitude et l’accessibilité de l’information, la responsabilité des gestionnaires et l’indépendance des organes vérificateurs. La loi a pour objectif d’augmenter la responsabilité de la société et de mieux protéger les investisseurs, ainsi que redonner confiance aux investisseurs et aux petits épargnants (Rioux, 2003). Cette loi comporte un volet qui nous préoccupe directement dans cet article : l’obligation pour les dirigeants des sociétés américaines d’évaluer l’efficacité et la qualité de leur système de contrôle interne. Ainsi, après avoir présenté brièvement les principaux éléments de cette loi, nous développerons les dispositions portant sur le contrôle interne. Mais il convient de ne pas négliger les conséquences de cette loi américaine, tant en termes d’organisation des entreprises qu’au plan mondial. La loi sur la sécurité financière fournit un excellent aperçu des possibles conséquences en France.

I. – LE CONTENU DE LA LOI SARBANES-OXLEY

6

La loi contient six axes principaux (Rioux, 2003 ; Descheemaeker, 2003).

1. Certification des comptes

7

Le directeur général (Chief Executive Officer, CEO) et le Directeur Financier (Chief Financial Officer, CFO) sont obligés de certifier les états financiers publiés, au moyen d’une déclaration signée (loi Sarbanes-Oxley, article 302).

2. Contenu des rapports

8

Les entreprises doivent fournir à la Securities and Exchange Commission (SEC) des informations supplémentaires afin d’améliorer l’accès à l’information et la fiabilité de cette information. Les entreprises doivent rendre publics les ajustements comptables identifiés par les auditeurs, les engagements hors bilan, ainsi que les changements dans la propriété des actifs détenus par les dirigeants. En outre, les dirigeants doivent rédiger un rapport sur les procédures du contrôle interne (voir ciaprès) et préciser si un code d’éthique a été adopté.

3. Contrôle de la SEC

9

La SEC devra procéder à un contrôle régulier des sociétés cotées, ce contrôle devant intervenir au moins une fois tous les trois ans.

4. Comités d’audit et règles d’audit

10

Les entreprises doivent mettre en place un comité d’audit indépendant pour superviser le processus de vérification. Ce comité est responsable du choix, de la désignation, de la rémunération et la supervision des auditeurs. Il doit également mettre en place des procédures pour recevoir et traiter les réclamations mettant en cause la comptabilité, les contrôles internes comptables et l’audit, et pour garantir le traitement confidentiel des observations émanant du personnel de la société concernant des problèmes comptables ou d’audit (loi Sarbanes-Oxley, article 301).

11

En outre, la loi prévoit la rotation des auditeurs externes (article 203). Par ailleurs, dans le souci de réduire les conflits d’intérêts, les auditeurs externes ne peuvent offrir à l’entreprise dont ils vérifient les comptes, des services autres que ceux qui sont directement reliés à cette activité (notamment des services liés à la mise en place de systèmes d’information) (loi Sarbanes-Oxley, article 201).

5. Création du Public Company Accounting Oversight Board

12

Dans le cadre de la loi (articles 101-109), un nouvel organisme de réglementation et de surveillance est créé, le Public Company Accounting Oversight Board (PCAOB). Cet organisme doit superviser les cabinets d’audit, établir des normes, mener des enquêtes et sanctionner les personnes physiques ou morales qui ne respectent pas les règles. Dépendant de la SEC, ce nouvel organisme de contrôle comprend cinq membres nommés par celle-ci, et dispose de pouvoirs d’enquête et de sanction.

6. Sanctions

13

Des sanctions pénales sont créées et d’autres considérablement renforcées. Nous retiendrons, à titre d’exemple, que la certification d’états financiers non conformes à la réglementation est passible d’une amende d’un million de dollars ou d’un emprisonnement de 10 ans au plus. En outre, la commission intentionnelle de la même infraction fait passer l’amende à 5 millions de dollars et l’emprisonnement à 20 ans (article 906 de la loi Sarbanes-Oxley).

14

La falsification de documents dans le but de faire obstacle à une enquête fait l’objet d’une amende à laquelle peuvent venir s’ajouter des peines de prison pouvant atteindre 20 ans (article 802)6.

II. – LE CONTRÔLE INTERNE DANS LA LOI SARBANES-OXLEY

15

Dans le cadre de l’amélioration du contenu des rapports évoquée ci-dessus, la loi SarbanesOxley contient divers articles concernant les nouvelles responsabilités des dirigeants d’entreprise en matière de contrôle interne. Il s’agit notamment des articles 302 et 404. Il paraît cependant utile de fournir brièvement une définition de la notion de contrôle interne et de s’interroger sur l’éventuel diagnostic sur les insuffisances du contrôle interne sous-jacent à la loi Sarbanes-Oxley.

1. Définition du contrôle interne

16

L’Ordre des experts comptables français fournit une définition qui nous paraît claire et d’application universelle (OECCA,1977) : le contrôle interne est « l’ensemble des sécurités contribuant à la maîtrise de l’entreprise. Il a pour but, d’un côté, d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information, de l’autre, d’assurer l’application des instructions de la direction et de favoriser l’amélioration des performances. Il se manifeste par l’organisation, les méthodes et procédures de chacune des activitiés de l’entreprise pour maintenir la pérennité de celle-ci ».

2. Insuffisances du contrôle interne

17

Alors que la loi Sarbanes-Oxley contient des dispositions très importantes en matière de contrôle interne (voir ci-dessous), nous ne trouvons pas trace d’un éventuel diagnostic sur les insuffisances de ce contrôle. Par exemple, dans le rapport du Sénat américain (2002) publié à la suite de l’affaire Enron, plusieurs causes de la débâcle sont avancées : non-respect des obligations fiduciaires (manque de contrôle du conseil d’administration), comptabilité à haut risque, conflits d’intérêts indésirables, importance du « hors bilan », rémunérations excessives et manque d’indépendance (du conseil d’administration et des auditeurs). Le contrôle interne n’est aucunement mentionné comme ayant été un « problème » dans le cadre de l’affaire Enron. Aussi, les dispositions de la loi Sarbanes-Oxley sur le contrôle interne sont souvent présentées sans motivation spécifique mais comme contribuant à l’amélioration de l’information financière (voir Rioux, 2003 ; Descheemaeker, 2003).

3. Article 302. Certification des états financiers7

18

Avant d’aborder le contrôle interne proprement dit, il convient de mentionner le fait que, aux termes de l’article 302 de la loi8, le directeur général (CEO) et le directeur financier (CFO) de l’entreprise doivent préparer une déclaration, accompagnant le rapport des auditeurs, qui certifie la validité des états financiers et des indications hors bilan contenues dans le rapport annuel (ou les rapports périodiques). Cette déclaration doit aussi signaler que les états financiers présentent de manière sincère, dans tous leurs aspects significatifs, la situation financière et les résultats de l’activité de l’entreprise.

19

Cet article qui impose une « certification des états financiers » par les dirigeants a également des conséquences en matière de contrôle interne puisque les dirigeants attestent qu’ils :sont responsables de la mise en place et du maintien du contrôle interne9;ont conçu ce contrôle de telle sorte que toute information significative concernant l’entreprise et les sociétés consolidées est connue par les dirigeants, notamment pendant la période de préparation des rapports périodiques ;ont évalué l’efficacité du contrôle interne de l’entreprise à moins de 90 jours de la publication des rapports ;ont présenté dans leur rapport leurs conclusions concernant l’efficacité du contrôle interne fondées sur leur évaluation.

20

En outre, les dirigeants doivent signaler aux auditeurs et au comité d’audit les déficiences dans le contrôle interne et les fraudes liées au contrôle interne. Enfin, les dirigeants doivent mentionner dans leur rapport s’il y a eu des changements significatifs dans le contrôle interne après la date d’évaluation.

4. Article 404. Évaluation du contrôle

21

interne10 La loi11 exige que chaque rapport annuel contienne un rapport sur le contrôle interne qui :confirme que la direction est responsable de la mise en place et de la gestion d’une structure de contrôle interne adéquate et de procédures pour la communication financière,contienne une évaluation de l’efficacité de la structure de contrôle interne et des procédures de communication financière, à la date de clôture des comptes.

22

Quant aux auditeurs, ils doivent faire une attestation, dans leur rapport, sur l’évaluation du contrôle interne réalisée par la direction de l’entreprise.

5. Commentaires

23

Depuis longtemps, la SEC avait essayé de faire adopter des propositions sur le reporting du contrôle interne, mais toute tentative avait échoué jusqu’en 2002, quand la mise en place de la loi Sarbanes-Oxley fournit l’occasion, notamment, pour définir les obligations des sociétés au sujet du contrôle interne (Barlas, 2003).

24

La réaction des groupes cotés n’a pas été enthousiaste : les réticences qui avaient joué contre les anciennes propositions étant toujours présentes, mais le pouvoir de négociation des sociétés s’est trouvé affaibli suite à la série de scandales des années 2001-2002.

25

Les objections à l’encontre des dispositions de la loi sur le contrôle interne sont notamment les suivantes (Barlas, 2003) :le coût des procédures d’attestation et du rapport fourni par des auditeurs indépendants pourrait être trop élevé et finalement dépasser la valeur de l’information apportée aux investisseurs ;les normes qui doivent être élaborées par le PCAOB (organisme évoqué précédemment) concernant l’émission des rapports sur le contrôle interne ne sont pas encore publiées. Or une telle publication sur le contrôle interne va inévitablement soulever une problématique coûts/bénéfices. Quelle information publier ? Cette information est-elle utile ? Cette information n’est-elle pas trop coûteuse ? Dans ce contexte, les sociétés américaines souhaitaient voir reportée l’application des normes sur le contrôle interne. Elles ont de ce point de vue été entendues puisque la SEC a décidé en mai 2003 de leur donner une année supplémentaire pour appliquer les dispositions de l’article 404, en publiant le rapport sur le contrôle interne dans le cadre des exercices comptables se clôturant à partir du 15 juin 2004.

III. – CONSÉQUENCES DE LA LOI SARBANES-OXLEY SUR L’ORGANISATION DE L’ENTREPRISE

26

La loi Sarbanes-Oxley, et notamment ses composantes traitant du contrôle interne, va tout d’abord avoir des conséquences sur les entreprises elles-mêmes.

27

L’objectif de la SEC avec la loi Sarbanes-Oxley est, rappelons-le, de s’assurer qu’une société met bien en place les procédures nécessaires à la collecte, l’analyse et la diffusion de toute information qui doit être incluse dans les rapports financiers. En conséquence, en raison de l’obligation de certifier les états financiers par la direction de l’entreprise (article 302 de la loi), les sociétés doivent considérer le fait d’adopter des procédures internes particulières pour délivrer ces certifications.

28

Dans ce contexte, le directeur général et le directeur financier doivent discuter avec le comité d’audit, le conseil d’administration et les auditeurs externes, toute déclaration concernant les états financiers de l’entreprise mentionnée dans les rapports périodiques.

29

Si l’on en vient au contrôle interne, la loi oblige les entreprises à évaluer, sous la responsabilité de la direction, l’efficacité de la conception et la mise en place des procédures de contrôle. Cette évaluation a pour objectif d’identifier les points faibles de chaque procédure ainsi que toute faiblesse qui puisse mettre en cause la capacité de l’entreprise à collecter, analyser et révéler l’information exigée dans un délai de temps défini. Tout changement dans les procédures de contrôle, y compris les actions correctives qui ont été prises suite à l’identification de faiblesses ou déficiences, doit également être évalué. Avant la publication du rapport annuel, les résultats de cette évaluation doivent être communiqués et réexaminés par la direction et par le conseil d’administration de l’entreprise (Sullivan, 2002).

30

La SEC ne propose pas de procédures spécifiques pour diriger cette évaluation. Chaque entreprise doit plutôt développer les procédures qui s’adaptent le mieux à sa gestion et au déroulement de ses activités. Néanmoins, la SEC propose la création d’un comité dépendant de la direction qui serait responsable de l’évaluation du caractère significatif des informations obtenues (materiality of information) et de la détermination de l’opportunité de leur publication (determining disclosure obligations on a timely basis).

31

Selon la SEC, ce comité peut être formé par les membres suivants (Sullivan, 2002) :le chef comptable (principal accounting officer) ;le responsable juridique ou membre du management qui rend compte au responsable juridique (the general counsel or other senior legal official with responsibility for disclosure matters who reports to the general counsel) ;le responsable de la gestion des risquesprincipal risk management officer) ;le responsable des relations avec les actionnaires (chief investor relations officer);les autres membres du management ou employés, y compris des personnes qui participent aux différentes activités, si la société le juge nécessaire.

32

Enfin, les exigences de la loi Sarbanes-Oxley sur la validation du contrôle interne augmenteront sensiblement le coût de l’audit pour les groupes cotés aux États-Unis (Accounting Office Management & Administration Report, 2002) : les auditeurs voudront avoir la certitude que le processus de contrôle choisi par le management est rigoureux, ce qui comportera un renforcement des vérifications. Les contrôles financiers devront être dûment documentés et communiqués à toutes les personnes concernées, et leur efficacité testée. Inévitablement, ces lourdes procédures risquent de focaliser l’attention du management sur la forme des contrôles, et de faire passer au deuxième plan le contenu.

IV. – LES CONSÉQUENCES DE LA LOI SARBANES-OXLEY À L’ÉTRANGER

1. Généralités

33

Dans certains pays, les lois nationales prévoient des déclarations semblables à celles demandées par la SEC : c’est le cas du Royaume Uni, où le conseil d’administration (Board of Directors) doit expliquer comment les procédures de contrôle interne ont été vérifiées (Hughes, 2003). Dans la pratique les deux législations ont le même but, mais la mise en œuvre est différente : aux États-Unis, il faut expliquer si le contrôle interne a détecté des problèmes ou pas. Il faut publier cette information et surtout il faut la faire valider par un auditeur externe, ce qui engendre trois différences essentielles avec les normes britanniques.

2. Le contexte français : la loi sur la sécurité financière

34

Dans le contexte de l’adoption de la loi Sarbanes-Oxley aux États-Unis, un projet de loi sur la sécurité financière a été diffusé en France et déposé au Sénat le 5 février 2003. Il a été adopté sous la forme de la loi n° 2003-706 du 1^er août 2003 de sécurité financière (JO du 2 août 2003)12. Le texte a pour ambition de ramener la confiance sur les marchés financiers, ébranlés par la crise ouverte née des scandales financiers aux États-Unis. Les différentes dispositions s’articulent autour de trois axes :la modernisation des autorités de contrôle avec la création de l’Autorité des marchés financiers,le renforcement de la sécurité des épargnants et,l’amélioration du contrôle des comptes des entreprises.

35

Dans le présent article, nous nous intéresserons plus particulièrement au troisième aspect du projet. Dans le titre III « Modernisation du contrôle légal des comptes et transparence », Chapitre II « De la transparence dans les entreprises », l’article 117 prévoit deux dispositions qui concernent le contrôle interne :« L’article L. 225-37 est complété par un alinéa ainsi rédigé : “Le président du conseil d’administration rend compte, dans un rapport joint au rapport mentionné aux articles L. 225-100, L. 225-102, L. 225-102-1 et L. 233-26 des conditions de préparation et d’organisation des travaux du conseil ainsi que des procédures de contrôle interne mises en place par la société. […]”».« L’article L. 225-68 est complété par un alinéa ainsi rédigé : “Le président du conseil de surveillance rend compte, dans un rapport joint au rapport mentionné à l’alinéa précédent et à l’article L. 233-26, des conditions de préparation et d’organisation des travaux du conseil ainsi que des procédures de contrôle interne mises en place par la société” ».

36

Précisons que l’article L. 225-37 concerne les SA classiques tandis que l’article L. 225-68 vise les SA à directoire. En outre, ces dispositions entrent en vigueur pour les exercices comptables ouverts à partir du 1^er janvier 2003. Le rapport sera donc présenté en 2004, lors de l’assemblée générale des actionnaires statuant sur les comptes 2003.

37

Concrètement, le rapport sur le contrôle interne devra être joint au rapport de gestion. Cette formule offre l’avantage de rendre public le rapport joint, puisqu’il sera déposé au greffe comme le rapport de gestion13.

38

Par ailleurs, l’article 120 de la loi prévoit que « L’article L. 225-235 du code de commerce est ainsi modifié : […] 3° Il est complété par un alinéa ainsi rédigé : “Les commissaires aux comptes présentent, dans un rapport joint au rapport mentionné au deuxième alinéa de l’article L. 225-100, leurs observations sur le rapport mentionné, selon le cas, à l’article L. 225-37 ou à l’article L. 225-68, pour celles des procédures de contrôle interne qui sont relatives à l’élaboration et au traitement de l’information comptable et financière” ».

39

Ce texte prévoit que le rapport consignant les observations du commissaire aux comptes sur les procédures de contrôle interne de la société sera joint au rapport du commissaire aux comptes sur la certification des comptes14. Notons que la mission du commissaire aux comptes est étendue et va au-delà de la certification « traditionnelle » de la régularité, de la sincérité et de l’image fidèle des comptes. Cependant, la loi restreint l’intervention des commissaires aux comptes aux procédures de contrôle interne qui sont liées à l’information comptable et financière.

CONCLUSION

40

L’attention autour de la loi Sarbanes-Oxley a porté surtout sur les aspects les plus frappants introduits dans la législation américaine, comme par exemple les lourdes conséquences pénales pour les dirigeants fautifs (Rosen et Kramer, 2003 ; Martin et Robinson, 2002). En revanche, les pratiques quotidiennes à mettre en place pour être en conformité avec la loi en matière de contrôle interne (Scanlon et Wakefield,2002), ont été négligées, alors que la date limite pour la mise en place des procédures est proche, même si elle a été récemment reportée.

41

De nombreux points restent donc encore en suspens :Comment les entreprises américaines vont-elles concrètement organiser la « certification du contrôle interne » ?La loi sur la sécurité financière ayant confirmé les intentions du projet en matière de contrôle interne en France, comment les entreprises françaises mettront-elles enuvre, à leur tour, une telle obligation ?

42

L’avenir proche sera encore plein d’intérêt et le contrôle interne a de beaux jours devant lui.

Hervé Stolowy

Eduard Pujol

Mauro Molinari*

Notes

[ *] Nous remercions les évaluateurs anonymes pour leurs remarques qui ont permis d’améliorer l’article.

[ 1] La comptabilité créative peut être définie comme « un ensemble de procédés visant à modifier le niveau de résultat, dans un souci d’optimisation ou de minimisation, ou la présentation des états financiers, sans que ces objectifs s’excluent mutuellement ». Les procédés mis en œuvre s’appuient sur les choix offerts par la réglementation comptable ainsi que sur les possibilités ouvertes par les faiblesses et les carences des textes comptables ou bien encore sur les divergences entre les règles françaises et les règles internationales, mais aussi sur des montages pour lesquels la comptabilité peut intervenir selon deux schémas opposés :la détermination de la traduction comptable d’une opération juridico-financière ou l’élaboration d’un montage juridico-financier dans un objectif de modification du résultat ou des états financiers (Stolowy, 2000).

[ 2] Le terme d’agressive accounting a été très en vogue aux États-Unis pendant toute la période d’euphorie boursière des années 1990. Sans faire l’objet d’une définition unanimement reconnue, il correspond, selon nous, à l’utilisation, dans des conditions extrêmes, des options laissées par les règles comptables.

[ 3] Il a été notamment prouvé qu’Enron a utilisé ses propres titres comme garantie dans de nombreux montages et que la chute des cours de bourse a fait s’effondrer les montages comme un château de cartes.

[ 4] Le texte précise que la loi peut être citée en tant que Sarbanes-Oxley Act of 2002. Elle tient son nom des deux membres du congrès qui en ont été les rédacteurs : le sénateur démocrate Paul Sarbanes, président de la Commission des affaires bancaires, et le représentant républicain Michael Oxley, président de la Commission des services financiers.

[ 5] Le texte intégral de la loi peut être facilement trouvé sur internet, notamment à l’adresse suivante : http ://news.findlaw.com/hdocs/docs/gwbush/sarbanesoxley072302.pdf

[ 6] Cette nouvelle sanction semble être l’une des conséquences de la destruction des documents de la société Enron par le bureau du Cabinet Andersen à Houston.

[ 7] Section 302 : Corporate Responsibility For Financial Reports.

[ 8] Eu égard à l’importance de l’article 302 de la loi, nous en reproduisons une partie du texte en encadré.

[ 9] La loi Sarbanes-Oxley utilise souvent le pluriel : internal controls (contrôles internes). Par habitude par rapport à la pratique française, nous préférons utiliser le singulier pour désigner l’ensemble des systèmes et procédures de contrôle interne.

[ 10] Section 404 : Management Assessment of Internal Controls.

[ 11] Eu égard à l’importance de l’article 404 de la loi, nous en reproduisons le texte intégral en encadré.

[ 12] Le texte intégral de la loi, du projet de loi, des amendements, des comptes rendus de débats ainsi que des rapports parlementaires concernant cette réforme est disponible sur les sites internet du Sénat ((www. senat. fr)et de l’Assemblée nationale (www. assemblee-nationale. fr)

[ 13] Intervention de Hyest, débats Sénat, séance du 20 mars 2003.

[ 14] Amendement du Sénat, intervention de Hyest, débats Sénat, séance du 20 mars 2003.