Quelles sont les limites du contrôle interne à connaître ? Quels sont les enjeux pour les managers de risques et les auditeurs ? Des réponses dans cet article ci-dessous.

Le risque zéro n’existe pas. Au mieux est-il question d’un coût d’opportunité, lorsqu’en ne faisant rien pour ne rien perdre on accepte de ne rien gagner non plus. Le risque pour autant n’est pas une fatalité. Sa maîtrise doit permettre de s’engager dans un futur consubstantiellement incertain tout en cherchant à circonscrire les effets potentiellement négatifs de cette projection. Le management des risques sert à cela, à limiter au maximum les pertes inattendues tout en visant le gain le plus élevé qui soit. Ce n’est pas là une contradiction mais un optimum qui est recherché. Cet objectif peut être atteint grâce au contrôle interne, lequel couramment se définit comme l’ensemble des dispositifs mis en œuvre pour la couverture des risques. Le contrôle interne est donc un moyen, un instrument, et non une fin en soi. L’auditeur interne doit avoir en tête cette articulation entre risque et contrôle pour ajuster au mieux ses recommandations et éviter de tomber dans certains travers visant à réclamer du contrôle pour du contrôle…
Le risque zéro n’existe pas car aucun système de contrôle interne n’est infaillible. En effet, aucun dispositif de maîtrise des risques n’est efficace de façon absolue. Le contrôle interne est exposé à une limite à la fois incontournable et irrémédiable : l’erreur humaine. Le contrôle comme les process sont animés par des hommes. Même si l’automatisation, l’informatisation, la numérisation, ont de plus en mécanisé et systématisé les façons de faire et leur supervision, les paramétrages restent dans des mains humaines. On ne peut pas empêcher l’homme de se tromper, ce qui d’ailleurs n’est pas souhaitable puisque les erreurs sont à l’origine de bien des progrès. En matière de contrôle interne, une anomalie peut être bénéfique lorsqu’elle fait prendre conscience de risques ou d’imperfections jusqu’alors totalement inconnus. L’erreur est ici à la source d’un apport d’expérience. C’est pour cela qu’il est indispensable que l’audit interne examine l’ensemble des incidents opérationnels relevés pour ainsi parfaire sa connaissance des process audités. L’auditeur apprend de ses erreurs mais aussi de celles des autres.
Une autre limite à propos du contrôle interne concerne la fraude. Là-aussi rien ne garantit à une organisation qu’elle puisse être totalement exonérée de toute malversation. La prévention minimise le risque de fraude, elle ne l’élimine pas. Le perfectionnement et la puissance des outils préventifs et détectifs n’empêchent pas les détournements et autres escroqueries. Avec provocation nous pouvons dire que la fraude est une manifestation de la capacité humaine à dominer la machine. La collusion par exemple est un moyen de contourner des verrous automatisés dès lors qu’y participent des personnes clés dans la production et le suivi des opérations informatisées. Mais au-delà des complicités frauduleuses, certaines entités n’ont pas les ressources suffisantes pour séparer les fonctions sensibles. Il n’est pas toujours aisé, parfois même impossible, de mettre en place une organisation cloisonnant les tâches d’engagement, de règlement, de comptabilisation, de suivi des opérations. Les « murailles de Chine » sont coûteuses. Dans le cas présent, le contrôle de 2nd niveau est une alternative pour pallier aux insuffisances organisationnelles du 1er niveau. Mais là-aussi, cette solution n’est pas la panacée contre tout risque de fraude.
Le contrôle interne est nécessaire à la couverture des risques mais n’est jamais suffisant. Faut-il penser qu’un jour il puisse le devenir avec l’intelligence artificielle qui de plus en plus s’installe dans le monde des affaires ? Difficile de répondre à cette question. On sait simplement que tant qu’il y a des hommes, l’erreur est toujours possible, le risque jamais nul, et c’est tant mieux !