J-C. Carrau (DNV) : "Les sociétés cotées devront mieux contrôler les risques liés au reporting financier"

La directive EuroSOX, version européenne de la loi américaine Sarbanes-Oxley, devrait être mise en oeuvre en France dans les prochains mois. Elle s'appliquera à toutes les entreprises cotées. Explications.

Les scandales financiers américains des années 2001 et 2002 - comme la faillite d'Enron par exemple - ont conduit au vote de la loi Sarbanes-Oxley (SOX) aux Etats-Unis. En France, la version européenne de cette loi devrait s'appliquer dès cette année à toutes les entreprises cotées. Les explications de Jean-Christophe Carrau, consultant en responsabilité d'entreprise et développement durable chez Det Norske Veritas Certification France (DNV), organisme de certification en management des risques.

 

En quoi consiste la directive EuroSOX ?

carrau 100
Jean-Christophe Carrau, consultant chez Det Norske Veritas Certification France (DNV) © DNV

Jean-Christophe Carrau. EuroSOX est très orientée sur la gestion et la bonne compréhension des risques notamment en matière de reporting financier. La directive pousse les entreprises à mieux analyser et comprendre les risques encourus en l'absence de transparence, dans le but de protéger non seulement les investisseurs mais également les employés ou les clients dans le cas d'établissements financiers.

Les 4ème, 7ème et 8ème paragraphes de la directive sont essentiels. Les deux premiers concernent la description des contrôles internes et la gestion des risques relatifs au reporting financier. En définitive, il faut donner la preuve que les contrôles sont pertinents et suivis de faits et d'actions. Le paragraphe 8 concerne le comité d'audit qui doit surveiller les processus de reporting, l'efficacité des contrôles internes, l'audit annuel, etc.

 

Quelles sont les conséquences pratiques pour les entreprises ?

Toutes les sociétés listées sur les marchés boursiers vont devoir communiquer dans un document officiel leurs activités de management des risques liés au reporting financier.

Sur les points de contrôle jugés sensibles pour l'entreprise, celle-ci doit expliquer ce qui est fait pour contrer le risque, que ce soit dans le code de conduite, les types de contrôles menés et l'évaluation de leur efficacité...

La communication doit comporter des informations concernant les principes sur lesquels est bâti le système de contrôle des risques, mais aussi les principaux éléments de mise en œuvre des contrôles internes : qui signe, qui contresigne, quels sont les contrôles, y a-t-il des exemptions locales et pour quelles raisons... Le code de gouvernance doit également être rendu public.

Pour le moment, il est encore rare de voir les entreprises décrire le contrôle et la gestion des risques. Et, souvent, elles ne recensent ni ne classent les risques, leurs conséquences possibles pour l'entreprise et la probabilité pour qu'ils surviennent. L'idéal serait pourtant de ne retenir que les points sensibles qui sont susceptibles d'avoir un impact sur l'entreprise.

 

Y a-t-il des différences avec la loi Sarbanes-Oxley ?

Je citerais la section 404 de la loi Sarbanes-Oxley qui concerne la certification des contrôles internes avec la direction, les auditeurs externes... Ceux-ci doivent prouver l'efficacité des contrôles du reporting financier au moyen d'un nombre invraisemblable de points de contrôle. C'est un vrai cauchemar aux Etats-Unis. Au contraire, en Europe il n'y a pas de démarche de certification comme aux Etats-Unis. Si l'on n'est pas conforme à la loi, il suffit de dire pourquoi et de décrire ce qui est mis en œuvre pour y remédier. Le système est plus souple pour l'instant. Pour éviter que les risques ne se transforment en accidents, mieux vaut moins de contrôles mais à des points plus stratégiques ou sensibles, où l'on consacre davantage de ressources. S'il y a trop de points de contrôle, on finit par les survoler.

 

Où en est-on du calendrier d'application ?

Selon le Journal officiel de l'Union européenne, la directive sera en place en 2008, bien qu'adoptée dès 2005 par la Commission européenne. On y annonce le 29 juin pour le paragraphe 8 et le 5 septembre pour les 4 et 7. Mais il y a du retard actuellement. Pour les entreprises françaises qui seraient cotées à l'étranger, il est possible que la mise en œuvre y soit assez rigide, notamment là où les pays ont vu de grandes entreprises disparaître ou faire face à des scandales financiers, comme Parmalat en Italie. En France, la Commission des finances du Sénat préconise pour l'instant une mise en application en l'état de la directive.

 

Le parcours de Jean-Christophe Carrau
Source : DNV
Jean-Christophe Carrau est consultant en responsabilité d'entreprise et développement durable pour Det Norske Veritas. Sa spécialité est l'évaluation et la mise en oeuvre de stratégies RSE au sein des entreprises. Ses expériences du management général (cinq ans pour un groupe anglo-saxon) et de la RSE (six ans dans le secteur du tabac puis comme consultant indépendant) lui permettent d'appréhender la RSE comme système de gestion et de maîtrise des risques (réputation, commerciaux, sociaux, environnementaux...) au sein des entreprises en tenant compte non seulement des aspects externes mais également des impacts de la stratégie RSE sur l'organisation elle-même. Quant à DNV, il s'agit d'un organisme de certification en management des risques, présent dans 100 pays avec près de 7.800 employés, dont 200 en France. Parmi ses activités figurent des services de certification, formation et évaluation en management des risques et conseils.