C’est mécanique : plus il y a de règlementations – et dans les domaines les plus variés, social, comptable, environnemental, etc –, plus le risque de non conformité augmente. Comme l’explique Jean-Louis Michel, directeur général du spécialiste Infocert, la certification des logiciels financiers aide le DAF à se protéger dans son domaine. Mais le chantier de la « compliance » est bien vaste !
New-CFO : La recherche de la conformité aux règlements et normes – en anglais, « compliance » – préoccupe de plus en plus les dirigeants d’entreprise, et notamment les DAF. Ont-ils raison de s’inquiéter ?
Jean-Louis Michel : Certainement. Il y a toujours eu un corpus de textes ou de codes qui responsabilisaient les dirigeants, qui encourent parfois des poursuites au pénal. Les exigences sont très variées, allant des dimensions sanitaire au respect des marques (risque de contrefaçon), en passant par la communication financière.
Mais désormais s’y ajoutent des problématiques indirectes, par le fait d’outils et de moyens informatiques utilisés par les entreprises qui ne leur permettent pas de répondre aux exigences légales. Et les directions financières se retrouvent en première ligne.
New-CFO : De quelle manière, concrètement ?
Jean-Louis Michel : Il y a deux types de manquements, le conscient et l’inconscient. Le conscient relève de la malversation. Vous avez des logiciels qui intègrent des fonctions cachées instrumentalisant la fraude. Cela existe et dans certains secteurs, de façon importante. Mais tous les DAF ne sont pas concernés, loin de là.
En revanche, quand un logiciel présente des faiblesses par rapport aux exigences légales, tous ses clients sont potentiellement impactés. Vous pouvez avoir des produits qui gèrent mal la numérotation de factures en ne respectant pas leur chronologie. D’autres qui ne fournissent pas les éditions aux standards requis par la comptabilité publique. Il faut savoir qu’un directeur financier peut alors se retrouver mis en cause en tant que personne physique au titre de sa fonction. La jurisprudence refuse désormais qu’il s’abrite derrière son incompétence ou sa non-maîtrise de l’outil.
Mais il y a encore plus subtil et par conséquent, plus dangereux. Quelle Direction Financière sera capable de vérifier que lorsqu’elle saisit une écriture comptable, celle-ci est effectivement stockée, de façon unique, traçable et surtout inaltérable, dans le système d’information ? Quel directeur financier va vérifier que la base de données d’archivage est effectivement distincte de la base de données de production, ce qui est là encore une condition sine qua non de respect des exigences légales en matière de clôture annuelle ?
New-CFO : Y a t-il des solutions pour se prémunir ?
Jean-Louis Michel : Le DAF ne peut pas avoir la maîtrise technique de l’outil censé l’aider à respecter les règlements, et il a déjà fort à faire avec la maîtrise « métier » de ces mêmes règles. C’est en certifiant la conformité des logiciels que l’Afnor – qui valide des référentiels – et une société comme Infocert(*) – qui vérifie le respect des règles par ces logiciels – vont l’aider utilement.
New-CFO : Nous avons surtout évoqué jusqu’ici les risques de non-conformité inclus dans le périmètre de la DAF – en l’occurrence par rapport aux écritures comptables ou la présentation des résultats. Mais la liste des règlements s’allongent dans d’autres domaines – environnement, social, sécurité industrielle, etc. Le DAF est-il également concerné ?
Jean-Louis Michel : Bien sûr. D’abord parce que la fraude volontaire est punissable, encore que les amendes ne soient pas toujours en rapport avec les actes. Ensuite parce que le risque d’image est parfois plus élevé que l’amende elle-même, si le non-respect des règles vient à être médiatisé. Enfin parce que le DAF, depuis le début des années 2000 et notamment l’émergence des normes IAS/IFRS, doit se préoccuper des actifs de l’entreprise, que la révélation d’une non-conformité peut évidemment altérer.
New-CFO : Cela semble une tâche immense, qui relève plutôt des hommes de terrain – directeurs d’usine par exemple – ou du moins, demande leur collaboration. Comment s’organiser ?
Jean-Louis Michel : L’objectif de la DAF devrait être de dresser d’abord une cartographie complète des risques, en s’appuyant par exemple sur les flux de données qui transitent par les systèmes d’information. Il s’agit, derrière les éléments purement financiers qui la regardent immédiatement, d’élargir le questionnement aux autres risques et de se demander où sont les règles, les expertises pour les mettre en place, les ressources pour vérifier leur respect.
Prenons l’exemple d’une entreprise qui vend des produits alimentaires. Le DAF voit peut-être passer depuis des années des factures de fournisseurs de matières premières, des transporteurs, des distributeurs, des sous-traitants… Aujourd’hui, il ne peut plus se contenter de simplement vérifier la bonne tenue des informations comptables et financières. Il doit aussi se demander si les règlements sanitaires sont respectés, si les camions frigorifiques sont contrôlés, si les distributeurs informent bien le consommateur, si la traçabilité est assurée. Bien entendu, ce n’est pas à lui d’effectuer les vérifications. Mais c’est à lui de s’assurer qu’elles existent et de définir des responsabilités.
La tâche est effectivement lourde et demande des expertises multiples. Mais elle est d’une actualité brûlante. A tel point qu’Infocert va lancer une initiative dans les semaines qui viennent afin de proposer une réponse à ces nouveaux besoins de gestion des risques de non-conformité dans les entreprises. Elle pourrait être opérationnelle dès septembre.
(*) Société indépendante, Infocert est le secrétariat technique d’Afnor Certification pour la certification de logiciels et de systèmes d’informations. Infocert gère les marques : NF Logiciel, NF Reporting financier et NF Logiciel sécurité civile. Infocert est également chargée de développer toute autre application de la marque NF dans le domaine des technologies de l’information. http://nf203.infocert.org/
