C’est bien connu, l’erreur est humaine. Seulement voilà, en entreprise, certaines maladresses peuvent coûter cher. Ce récit relate une journée atypique au sein d’une PME comme les autres et au cours de laquelle une série d’évènements apparemment anodins remet en cause l’avenir de l’entreprise. Cet engrenage aurait-il pu être évité ? La réponse tient en deux mots qui n’ont pas toujours une image à la hauteur de leur utilité réelle : contrôle interne.
Journée noire pour COSMETICS SA
08h30 : les 35 employés de COSMETICS SA, leader suisse de la vente de cosmétiques en ligne, pénètrent souriants dans les locaux de l’entreprise pour un vendredi qui s’annonce serein à l’aube d’un week-end bien mérité. Chacun gagne sa place au sein de l’open space lumineux réparti en cinq divisions : comptabilité, vente, marketing, informatique et ressources humaines. Le tout chapeauté par une direction de deux personnes logées dans un bureau vitré à l’extrémité de la pièce.
Suspicion de fraude
09h15 : Giselle, la comptable, sursaute lorsqu’elle constate qu’un remboursement à hauteur de plusieurs milliers de francs a été effectué la veille. Elle s’adresse à Marcelo, responsable des ventes et des rares cas de remboursement, qui dit ne pas savoir de quoi elle parle. D’ailleurs, il avait déjà quitté le travail lorsque ce versement suspect a eu lieu hier. Le libellé du virement fait état d’un remboursement à une cliente suite au renvoi de plusieurs produits. Mais le montant est sans commune mesure avec le prix des articles rendus.
A part Marcelo, la seule autre personne habilitée à passer de tels ordres est Steven, engagé dans l’urgence il y a deux mois, suite à un départ inattendu. L’unique véritable atout de Steven pour l’obtention de ce poste avait été une vague relation familiale avec la compagne de Monsieur André, l’un des directeurs.
Giselle et Marcelo se tournent vers Bernard, chef des ressources humaines, qui leur indique d’un regard irrité que Steven est à nouveau absent. Giselle se dirige alors vers le bureau de Monsieur André pour lui faire part de ce mystérieux concours de circonstances quand elle l’aperçoit à travers la vitre, pendu au téléphone et l’air dépité.
Il raccroche et sort du bureau sans prêter attention à Giselle qui s’inquiète de savoir si les vérifications usuelles concernant d’éventuels antécédents de Steven ont été effectuées.
Petite erreur, grave conséquence
Mais Monsieur André est déjà absorbé par un problème plus important : le journaliste auquel il vient de raccrocher au nez détient une clé USB appartenant à l’entreprise et comportant des informations déterminantes sur son rachat par le groupe international OLEVERA prévu quelques mois plus tard.
Alexandre, responsable de la sécurité informatique, se défend comme il peut face aux questions de Monsieur André lorsque Magalie, fidèle employée de la première heure, réalise qu’elle a égaré une clé USB quelques jours plus tôt dans un restaurant. Si les employés sont priés de ne pas sortir de données confidentielles de leur lieu de travail, rien ne les empêche cependant de le faire. Magalie avait d’ailleurs pris l’habitude de ramener certains dossiers chez elle pour s’occuper lors de ses déplacements.
14h00 : Monsieur Gilbert, co-directeur, convoque une réunion de crise avec les responsables de départements. Le PDG de OLEVERA, furieux, vient d’appeler après avoir découvert un article sur le site internet de Fusion Magazine annonçant le rachat imminent de COSMETICS SA par sa société. Non seulement cette fuite viole l’accord de confidentialité fixé entre les deux entreprises en phase de négociation, mais le prix d’achat avancé par le journal ne correspond en rien au bilan reçu par OLEVERA la semaine précédente.
Monsieur Gilbert demande donc à Giselle de lui imprimer le bilan en question et manque de s’étrangler lorsqu’il s’aperçoit que la valorisation de COSMETICS SA est largement inférieure à ce que de précédentes analyses avaient annoncé. Il faudra deux bonnes heures à Giselle pour s’apercevoir qu’une simple erreur dans un tableau Excel a biaisé tous les résultats et que personne n’a pris le temps de vérifier la fiabilité du document avant qu’il ne soit transmis à l’acheteur potentiel.
Monsieur André pâlit lorsque Monsieur Gilbert annonce la décision de OLEVERA de suspendre les discussions jusqu’à nouvel ordre. Si le rachat n’a pas lieu, l’avenir de COSMETICS SA pourrait être sérieusement compromis.
Le contrôle interne comme protection contre les risques inhérents à toute entreprise
L’enchaînement d’évènements subi par COSMETICS SA peut paraître singulier mais il reflète les conséquences auxquelles s’exposent les entreprises qui ne se prémunissent pas suffisamment contre les risques qu’elles courent. Personne n’est à l’abri d’une fraude d’un collaborateur dont le processus de recrutement a été laissé au hasard, de la perte de données sensibles ou d’une erreur de saisie. Pour ces risques et tous les autres auxquels sont confrontées les entreprises, il convient de prévoir un certain nombre de mesures de manière à limiter aussi bien leur probabilité d’apparition que leur impact.
C’est là le rôle du contrôle interne. Il a pour but de maîtriser les risques liés à la réalisation des objectifs de l’entreprise ‒ objectifs financiers, opérationnels, stratégiques et de conformité ‒ par la mise en œuvre de contrôles. Sans pour autant construire une usine à gaz, lourde et non opérationnelle, la mise en place d’un contrôle interne pertinent et adapté à l’entreprise permettra de se prémunir contre les risques inhérents à son activité.
Dans notre exemple, plusieurs mesures simples et adaptées auraient permis à COSMETICS SA de prévenir ces événements. Par exemple une procédure de recrutement clairement formalisée incluant un second avis permanent sur les candidatures, le cryptage de toutes les données confidentielles ou susceptibles de sortir de l’entreprise, la vérification et la validation de l’ensemble des transactions financières ainsi que des rapports comptables.
Si la plupart des entreprises sont légalement soumises à la mise en place et à la vérification périodique d’un dispositif de contrôle interne, la loi n’émet en revanche aucune directive sur la forme et l’étendue de celui-ci. Les entreprises évoluant dans des environnements bien spécifiques avec des conditions et des objectifs qui leur sont propres, les exigences en matière de contrôle interne varient sensiblement d’une entreprise à l’autre. Il appartient ainsi à chacune d’entre elles de déterminer la méthode de contrôle interne et le degré de développement souhaité. Toutes ont cependant intérêt à ne pas négliger cette démarche sachant qu’elle peut se révéler primordiale pour leur bon fonctionnement.
5 bonnes pratiques à retenir pour un contrôle interne utile et efficace
- 80% des contrôles existent déjà, il suffit de les formaliser.
- Garder le « bon sens paysan » et identifier les menaces les plus évidentes sans se laisser envahir par les chiffres ou les analyses.
- Ne pas surcontrôler. En multipliant les contrôles, ceux réellement utiles sont occultés.
- Intégrer le contrôle interne à la documentation interne existante (organisation interne, système qualité sécurité environnement, sécurité de l’information, communication interne, intranet, etc.).
- Maintenir à jour la documentation du contrôle interne, si celle-ci ne reflète pas parfaitement la réalité, elle ne sera pas consultée par les collaborateurs.