La loi de sécurité financière : un an après

III. FIABILISER LA CHAÎNE DE VALEUR DE L'INFORMATION FINANCIÈRE

A. LE RENFORCEMENT DES OBLIGATIONS EN MATIÈRE D'INFORMATION SUR LE CONTRÔLE INTERNE ET SUR L'ORGANISATION DES TRAVAUX DU CONSEIL

L'article 117 de la loi de sécurité financière (articles L. 225-37 et L. 225-68 du code de commerce) crée l'obligation pour le président du conseil d'administration ou du conseil de surveillance de rendre compte, dans un rapport joint au rapport annuel, des conditions de préparation et d'organisation des travaux du conseil ainsi que des procédures de contrôle interne mises en place par la société. Quelques difficultés d'application et d'interprétation sont apparues, s'agissant notamment du volet relatif au contrôle interne. Les rapports publiés en application de l'article 117 pour l'année 2003 se sont révélés hétérogènes et, parfois, décevants. Toutefois, à l'avenir, ces difficultés devraient pouvoir être dépassées dans le cadre d'une démarche pragmatique constructive.

Rapport sur le contrôle interne
Comparaison des législations française et américaine

1. Des difficultés d'application et d'interprétation

a) Les sociétés concernées

L'article 117 de la loi de sécurité financière concerne l'ensemble des sociétés anonymes .

Il faut rappeler que, lors de la discussion du projet en première lecture à l'Assemblée nationale, notre ancien collègue député François Goulard, rapporteur, avait présenté, au nom de la commission des finances, un amendement tendant à limiter l'application de ces dispositions aux sociétés dont les titres sont admis aux négociations sur un marché réglementé. Le gouvernement avait émis un avis très défavorable au sujet de cet amendement. M. Dominique Perben, garde des sceaux, s'était exprimé dans les termes suivants :

« Je crois très sincèrement que c'est une erreur sur le fond. Il n'est pas inutile, c'est le moins qu'on puisse dire, d'instaurer de la transparence dans des sociétés comme Gem plus, Metaleurop ou Air Lib. On s'est aperçu, avec ces trois exemples, (...) qui sont effectivement choisis à dessein, qu'il y avait tout de même une sérieuse nécessité d'instaurer plus de transparence, et pas uniquement dans les sociétés cotées ».

Cette position avait conduit au retrait de l'amendement, le rapporteur ayant indiqué :

« Je connais (...) la position traditionnelle de la chancellerie, qui cherche à unifier le droit applicable aux sociétés anonymes en limitant les régimes particuliers réservés à tel ou tel type de sociétés. Avec cet amendement, je pensais surtout à la grande masse des petites et moyennes entreprises, pour lesquelles les dispositions du texte constituent une formalité de plus. Mais je dois à la vérité de dire que ce n'est pas une formalité considérable. »

Le gouvernement s'était également montré défavorable, pour des raisons similaires, à un amendement présenté à l'Assemblée nationale - puis retiré - tendant à réserver l'obligation instituée à l'article 117 aux sociétés établissant des comptes consolidés.

Il est certain, qu'en pratique, les « petites » entreprises ne publieront pas des rapports de même type que les « grandes » entreprises car leur contrôle interne est nécessairement simplifié ou allégé. De même, les sociétés et les groupes auront des approches différentes, le rapport d'une filiale pouvant, au demeurant, renvoyer à celui de la société mère, si ce renvoi est pertinent. Mais il n'était pas souhaitable que le législateur intervienne pour restreindre le champ de l'obligation. En effet, il n'est pas certain que la distinction, par exemple, entre sociétés cotées et non cotées aurait été pertinente au regard de la nature de l'obligation. Du reste, dans les sociétés fermées, le rapport est principalement destiné aux actionnaires, qu'il s'agit d'informer. A cet égard, le choix de la forme de la société anonyme (au demeurant peu répandue chez les petites et moyennes entreprises) emporte nécessairement un certain nombre d'obligations.

En définitive, la loi doit avoir un caractère pédagogique, en contribuant à ce que les entreprises - petites ou grandes - se dotent progressivement des moyens d'établir une typologie de leurs risques . Elle doit les encourager à se doter progressivement des moyens de porter une appréciation sur la pertinence de leurs contrôles internes.

b) La responsabilité du rapport

La loi Sarbanes-Oxley a institué un rapport sur les procédures de contrôle interne en matière comptable et financière, dont la responsabilité est confiée au management opérationnel de l'entreprise (directeur général et directeur financier). La loi de sécurité financière a adopté une autre approche, en désignant comme auteur du rapport le président du conseil d'administration ou du conseil de surveillance. Cette solution a été critiquée , au motif que c'est le directeur général, ou, dans les sociétés duales, le président du directoire, qui est responsable de l'établissement et de la mise en oeuvre des procédures de contrôle interne.

Précisons, à ce sujet, qu'il est peu probable que la responsabilité du président du conseil d'administration ou de surveillance puisse être engagée sur le fondement d'un manquement supposé du rapport sur le contrôle interne et le gouvernement d'entreprise . En effet, ce rapport constitue avant tout un outil méthodologique. Seul le risque lui-même est susceptible d'engager la responsabilité d'un dirigeant, sur le fondement de la faute de gestion. Le rapport ne pourrait mettre en jeu la responsabilité de son auteur que s'il dissimulait volontairement des informations. La loi n'impose en aucun cas l'obligation de prémunir les actionnaires contre tout risque et chacun reconnaît que le contrôle interne ne consiste pas à garantir le « risque-zéro », mais à fournir des assurances raisonnables.

Enfin, confier la responsabilité du rapport sur le gouvernement d'entreprise et le contrôle interne au président du conseil d'administration ou du conseil de surveillance est cohérent avec la notion , introduite lors de la discussion du projet de loi de sécurité financière en première lecture au Sénat, de rapport « joint » au rapport annuel. Il s'agit de compléter l'information délivrée par le conseil à l'assemblée générale. Du reste, la responsabilité de la partie relative aux conditions de préparation et d'organisation des travaux du conseil ne peut incomber qu'au président de celui-ci.

c) La notion de contrôle interne

La rédaction du rapport mis en place par l'article 117 implique de définir le champ de la notion de « contrôle interne ». La loi de sécurité financière n'a pas limité cette notion à son volet financier, au contraire de l'approche retenue dans la section 404 de la loi Sarbanes-Oxley. La LSF se place dans une perspective plus exhaustive, impliquant une analyse de la gestion des risques à tous les niveaux dans l'entreprise . L'absence de définition législative du contrôle interne a pu être critiquée, mais la loi n'a pas vocation à définir concrètement le champ potentiellement vaste de ces contrôles .

Or il n'existe pas de référentiel français en matière de contrôle interne, c'est-à-dire pas d'équivalent du COSO américain ^{89 ( * )} , dont les prescriptions en matière de contrôle interne sont reconnues par la SEC pour l'application des dispositions de la section 404 de la loi Sarbanes-Oxley.

Le référentiel établi par le COSO en matière de contrôle interne

Le COSO réalise des travaux tendant à l'amélioration de la qualité de l'information financière. Cet organisme définit le contrôle interne comme un ensemble de procédures tendant à procurer des garanties « raisonnables » quant à la réalisation de trois objectifs :

- l'efficacité et l'efficience des opérations ;

- la fiabilité de l'information financière ;

- la conformité aux lois et règlements en vigueur.

Le contrôle interne, tel que défini par le COSO, comporte cinq composantes :

- l'environnement de contrôle, qui correspond, pour l'essentiel, aux valeurs diffusées dans l'entreprise ;

- l'évaluation des risques ;

- les activités de contrôle, définies comme les règles et procédures mises en oeuvre pour traiter les risques ;

- l'information et la communication, qu'il s'agit d'optimiser ;

- la supervision, c'est-à-dire le « contrôle du contrôle » interne.

Le cabinet Deloitte a procédé à une analyse des rapports sur le contrôle interne publiés au titre de l'année 2003 par les plus grandes entreprises françaises ^{90 ( * )} . Il en ressort que 55 % de ces entreprises se sont référées à cette définition du COSO pour rendre compte de leurs procédures de contrôle interne. Cette préférence manifeste pour la définition du COSO témoigne sans doute du haut degré d'internationalisation de ces entreprises, fortement tournées vers le marché américain.

19 % seulement des entreprises préféraient faire référence à l'approche de l'AFEP et du MEDEF dans leur recommandation conjointe relative à l'application de la loi de sécurité financière. ^{91 ( * )} Cette recommandation donne pour objet aux procédures de contrôle interne :

« - d'une part, de veiller à ce que les actes de gestion ou de réalisation des opérations ainsi que les comportements des personnels s'inscrivent dans le cadre défini par les orientations données aux activités de l'entreprise par les organes sociaux, par les lois et règlements applicables, et par les valeurs, normes et règles internes à l'entreprise ;

« - d'autre part, de vérifier que les informations comptables, financières et de gestion communiquées aux organes sociaux de la société reflètent avec sincérité l'activité et la situation de la société. »

A cette fin, l'AFEP et le MEDEF préconisent une description synthétique des structures et des procédures instituées, se focalisant sur les éléments significatifs susceptibles d'avoir un impact sur le patrimoine ou les résultats de la société. Cette définition est sans doute moins exhaustive que celle du COSO .

Comme on peut le voir, les instruments de référence existent et la définition du contrôle interne ne pose pas réellement de problème , dès lors que l'entreprise met déjà en oeuvre une politique de gestion des risques. D'ailleurs, cette notion est généralement assez bien identifiée dans l'esprit des dirigeants et l'organisation des sociétés. L'obligation instituée par la LSF, loin d'être purement formelle, devrait inciter toutes les entreprises concernées à définir, à leur échelle, mais de façon rationalisée, leurs priorités et leurs méthodes en la matière. Une telle approche relativise la portée du débat entre description et évaluation qui a divisé la doctrine et les praticiens au cours des derniers mois.

d) Description ou évaluation : un faux débat

Dans sa recommandation sur le gouvernement d'entreprise et le contrôle interne, publiée le 27 janvier 2004, l'Autorité des marchés financiers a recommandé l'utilisation des lignes directrices que constituent les recommandations conjointes précitées de l'AFEP et du MEDEF ainsi qu'une note du comité juridique de l'ANSA ^{92 ( * )} pour guider les présidents de sociétés anonymes (cotées ou non) dans la rédaction du rapport prévu par l'article 117 de la loi de sécurité financière. L'AMF propose, par ailleurs, à l'attention des émetteurs, les orientations complémentaires suivantes :

- l'émetteur doit préciser quelles diligences ont permis l'élaboration du rapport (entretiens et réunions avec direction générale, conseil d'administration, CAC ou comité d'audit) ;

- lorsque le commissaire aux comptes informe le président d'une déficience majeure dans le contrôle interne, ce dernier doit le mentionner dans son rapport ;

- l'AMF rappelle que la réglementation de la COB impose aux émetteurs de porter immédiatement à la connaissance du public toute information dont la révélation aurait une incidence significative sur leur cours de bourse , ou tout changement significatif d'une information déjà communiquée. Ce serait notamment le cas, d'après l'AMF, d'une défaillance ou insuffisance grave du contrôle interne identifiée à l'occasion du processus d'évaluation ou des diligences qui ont entouré l'élaboration du rapport.

L'AMF précise, par ailleurs, que les émetteurs « doivent entamer une démarche progressive d'évaluation leur permettant d'aboutir à une appréciation sur l'adéquation et l'efficacité de leurs procédures de contrôle interne », mais que, « du fait de la lourdeur d'un tel processus et à l'instar des systèmes étrangers, une certaine souplesse leur est laissée sur les modalités et les délais de mise en oeuvre de cette démarche ».

Or les organisations représentatives des entreprises (AFEP, MEDEF, ANSA, CGPME) considèrent que la loi n'impose pas d'autre obligation que celle de décrire les procédures. Il est vrai que, sur ce point, la LSF est moins explicite que la loi Sarbanes-Oxley, puisqu'elle dispose que le président « rend compte », ce qui n'implique pas de façon évidente une démarche d'évaluation. Sur ce point, dans sa réponse à une question écrite ^{93 ( * )} de notre collègue député Jacques Pélissard, M. le garde des sceaux, ministre de la justice, contredit l'interprétation de l'AMF en indiquant :

« Ce rapport vise à rendre compte à l'assemblée générale des procédures de contrôle interne mises en place dans la société. Le président du conseil d'administration ou du conseil de surveillance doit en conséquence relater ces procédures sans être tenu de les évaluer ou d'apprécier leur adéquation ou leur efficacité. En outre, le législateur a tenu compte de certaines spécificités de la société pour la publicité faite à ce rapport. Ainsi, cette publicité est réservée aux sociétés faisant appel public à l'épargne en application de l'article L. 621-18-3 du code monétaire et financier. Par conséquent, pour les sociétés anonymes ne remplissant pas cette condition, le rapport sera à destination unique des actionnaires et ne pourra pas être utilisé par les établissements de crédit. La distinction faite entre les sociétés faisant ou non appel public à l'épargne, pour la seule publicité du rapport et non son élaboration, permet d'assurer un équilibre entre la nécessaire transparence vis-à-vis de tous les actionnaires, et la pertinence de la diffusion de cette information hors de la société afin de protéger le public ».

Cette interprétation est contestable . S'agissant de la publicité du rapport, il faut rappeler, qu'aux termes des articles L. 225-37 et L. 225-68 du code de commerce, il doit être joint au rapport de gestion et doit par conséquent suivre le même régime de publicité que celui-ci, ce qui implique un dépôt au greffe du tribunal de commerce dans le mois qui suit l'assemblée ordinaire annuelle (article L. 232-23 du code de commerce).

Sans doute faut-il relativiser le débat entre description et évaluation qui est souvent présenté de manière trop caricaturale. Il ne s'agit naturellement pas de demander à l'entreprise de procéder à une auto-critique qui pourrait avoir des effets destructeurs. Il s'agit d'encourager l'adoption d'une perspective dynamique orientée vers le progrès, plutôt que figée sur l'existant. Le consensus en faveur d'une démarche descriptive ne doit pas constituer un prétexte à l'adoption d'une démarche superficielle qui constituerait alors une formalité supplémentaire à la charge des entreprises, sans véritablement induire en contrepartie de conséquences sur leurs comportements et leurs méthodes.

* ⁸⁹ « Committee of sponsoring organizations of the Treadway Commission », organisme privé indépendant créé en 1985 auprès d'une commission nationale de l'information financière, elle-même issue du secteur privé et présidée par M. James Treadway.

* ⁹⁰ Rapport sur le contrôle interne, le premier bilan (25 mai 2004).

* ⁹¹ Recommandation conjointe AFEP (association française des entreprises privées) - MEDEF (Mouvement des entreprises de France) sur l'application des dispositions de la loi de sécurité financière concernant le rapport du Président sur les procédures de contrôle interne mises en place par la société (décembre 2003)

* ⁹² Association nationale des sociétés par actions.

* ⁹³ Assemblée nationale, JO du 15 juin 2004, p. 4516.