La durabilité des systèmes de contrôle internes dans les entreprises suisses est insuffisante

Depuis 2008, l'organe de révision d'une entreprise est tenu, dans le cadre du contrôle ordinaire des comptes annuels, de vérifier le système de contrôle interne (SCI) du rapport financier et d'en confirmer l'existence, indique lundi KPMG Suisse. D’après la société d’audit, la plupart des entreprises satisfont les exigences de la législation suisse et les attentes des instances de contrôle (chambre fiduciaire, organe de révision). Cependant, l'incertitude règne souvent en ce qui concerne la durabilité et l'utilité concrète du SCI pour l'entreprise, explique KPMG dans une étude intitulée «Durabilité des contrôles internes». De cette dernière, il en ressort cinq points principaux:

1) L'application du SCI des entreprises se concentre généralement sur le respect des exigences de la législation et l’intégration du système dans l'exploitation fait souvent défaut. Si les sociétés consacrent d'importants efforts à la documentation initiale du SCI, elles ont toutefois trop peu réfléchi aux moyens de le surveiller et de le maintenir à long terme.

2) De nombreuses entreprises ont dressé une liste SCI très complète. Mais il est rare qu'elles aient pris en compte les fonctions des applications informatiques, par exemple pour réduire le nombre des contrôles manuels et effectués a posteriori. Il en résulte d'énormes efforts consacrés au maintien, à l'exécution et au test des contrôles qui dépendent du système.

3) Souvent, la documentation initiale du SCI n'est pas adaptée lorsque les processus et les contrôles correspondants sont modifiés. Une mise à jour n'intervient la plupart du temps que pendant la phase de contrôle annuel par l'organe de révision.

4) Les attentes des directions d'entreprise en matière d'utilisation efficace du SCI ne sont souvent que partiellement remplies par la mise en œuvre effective du système. La création d'un poste de coordinateur SCI permet de mieux communiquer les préoccupations liées au système et d'améliorer leur acceptation au sein de la ligne hiérarchique.

5) Les entreprises n'ont généralement aucun programme clair visant à assurer la pérennité à long terme du SCI. La gestion de ce dernier comprend le plus souvent l'administration de documents isolés et insuffisamment liés entre eux (par exemple matrice de contrôle des risques, descriptifs des contrôles et des processus).

«Les principaux potentiels d'amélioration du SCI résident dans la concentration sur des risques et des contrôles clés, l'automatisation des contrôles et l'utilisation d'outils de gestion de la relation client permettant une gouvernance et une supervision efficaces», a précisé Ulrich Amberg, Partner IT Advisory chez KPMG Suisse.