A l’occasion de la promulgation de la Loi de Sécurité Financière en 2003 (Titre III de la LOI 2003/7006), le Garde des Sceaux, Ministre de la Justice avait déjà précisé que « la Direction Générale de l’Entreprise est responsable du système de contrôle interne de l’entreprise, et rapporte sur l’adéquation et l’efficacité de ce système »
De son coté, l’AMF avait alors souligné que « concernant les sociétés faisant appel public à l’épargne, le gouvernement d’entreprise était l’un des piliers de la confiance des marchés et par conséquent de leur capacité à jouer un rôle moteur dans l’économie et la croissance. »
L’AMF précisait ensuite que « la démarche de l’entreprise devait s’inscrire dans une perspective dynamique permettant aux émetteurs d’aboutir à terme à une appréciation sur l’adéquation et l’efficacité du contrôle interne » en tant que mécanisme de prévention des défaillances des dirigeants, de surveillance de la mise en œuvre des meilleures pratiques nécessaires à la sécurité des organisations et à la qualité des informations stratégiques et financières.
A l’analyse des règlementations en vigueur, on s’aperçoit maintenant que les défaillances du marché financier ne viennent pas de leurs insuffisances, mais elles proviennent plutôt de leur inapplication dans la mesure où les banques et les entreprises n’ont pas su investir trouver ni voulu trouver des solutions informatiques fiables pour la mise en œuvre. Les solutions informatiques qu’il y a lieu de rechercher, comportent des obligations de résultat de nature à assurer l’exactitude et la sincérité des comptes.
Les Commissaires aux Comptes et les Agences de notation, sans comptabilité et contrôle de gestion informatisés avec les niveaux de sécurité à la mesure de la complexité des nouveaux instruments financiers, ne parvenaient plus à démontrer la gravité des risques encourus, ni l’insuffisance des provisions constituées sur les revenus car la traçabilité des opérations se perdait dans l’« enchevêtrement » des produits structurés et synthétiques, dans le désordre des dossiers (papiers, fax, mails, photocopies, fichiers) et dans tous les trous de sécurité.
Certaines banques se sont mises hors la loi par la disproportion notable entre d’une part les risques et les pertes latentes ou réalisées, et d’autre part, les fonds propres obligatoires (ration Cooke/mac Donought), cette démesure entrainant une hémorragie de trésorerie, parfois prélevée subitement sur les dépôts de la clientèle. On ne peut pas jongler indéfiniment avec les risques ou s’en défausser en transférant tout ou partie des positions à long terme sur des contreparties, parfois complices, qui deviennent insolvables par la nature illiquide des produits dont elles ont été contaminées.
Sur l’inextricable complexité des documents justifiant des « produits structurés », Tony Lomas, l’administrateur chargé de la liquidation de Lehman Brothers indiquait au journal Le Monde : « déterminer les vrais propriétaires des avoirs et des créances revient à dévider toujours plus avant la pelote d’un incroyable enchevêtrement ». Le grand nombre d’accidents financiers ou de fraudes qui fait maintenant réfléchir les dirigeants sur la politique de sécurité à introduire dans la gouvernance des entreprises, s’explique par la rupture des liens innombrables et « décousus » entre les données de gestion et les données comptables qui doivent être obligatoirement appariées pour la traçabilité et pour le chemin de la « révision comptable », et qui doivent être légalement archivées en dossiers électroniques pour l’administration des preuves.
Depuis 2006 en France, l’article 410-5 (annexe 2) du CGI (BOI 13 L 1-06 N° 12 du 24/01/2006) précisait bien que le compte est la plus petite unité retenue pour le classement, l’enregistrement et l’archivage des mouvements financiers. Chaque mouvement doit donc « s’appuyer sur une pièce justificative datée, établie sur papier ou sur un support électronique assurant la fiabilité (Identité, Conformité, Intégrité), la conservation durable (archivage légal), et la restitution en clair de son contenu pendant les délais requis ».
L’article 420-3 stipule que l’enregistrement comptable doit « préciser l’origine, le contenu et l’imputation de chaque donnée, ainsi que les références de la pièce ou du document justificatif qui l’appuie ». Or souvent les erreurs d’évaluation des portefeuilles de gestion et les fraudes viennent du fait que les adossements entre les instruments financiers ont été par négligence ou volontairement cassés de manière à transférer un résultat favorable ou de façon à occulter un résultat défavorable. Tant que ce problème informatique ne sera pas résolu, la meilleure règlementation du monde ne fera pas progresser la sécurité financière.
Ces dispositions règlementaires établies en 2006 étaient donc suffisantes pour établir régulièrement la situation financière des entreprises dès lors que le système informatique disposait des moyens de sécurité pour préserver de bout en bout l’intégralité des opérations ainsi que leur causalité et leur intégrité.
Les défauts de transparence et de traçabilité qui se sont accumulés dans la « comptabilité informatisée » entre 2006 et 2008, ont profondément altéré les prévisions de risques et de résultats consolidés, sachant que certaines fautes étaient pénalement sanctionnées aussi bien en France (Cour de Cassation 8 déc. Chambre Criminelle 1999 Pourvoi 98-84.752) qu’à l’étranger.
Depuis 2006, le risque pénal en matière de fraude était plus explicite avec le décret du 26 juin 2006. Ce décret aurait du alerter davantage les entreprises qui ne maitrisaient pas correctement leurs opérations et les employés chargés de leur gestion. Le décret N° 2006-736 du 26 juin 2006 transposant la directive N°2001/97/CE du 4 décembre 2001 et publié au JO N° 147 du 27 juin 2006 précisait bien qu’ « en cas de manques avérés par une Institution, son Conseil d’Administration et sa Direction Générale pourront être poursuivis pénalement »
Le risque pénal pas plus que la réduction des bonus n’apportent de solution au problème de fond qui est de savoir comment la politique de sécurité peut protéger la gouvernance des entreprises.
Dans un monde totalement informatisé où les instruments financiers sont depuis l’origine électroniques, comment authentifier les personnes par leur identité numérique et comment préserver l’intégrité des documents ? Comment assurer l’affectation définitive des documents financiers ou caractériser leur appartenance en les classant dans les portefeuilles informatisés de leurs propriétaires ? Comment garantir, entre les documents, les portefeuilles, les propriétaires et leurs intermédiaires, la traçabilité et la conservation durable des preuves de toutes ces relations de gestion régulières quelque soit leur complexité, en sachant que ces « données électroniques » transitent par de multiples ordinateurs, personnes, centres de profit et bases de données, sans être soumises systématiquement à des contrôles de conformité et de cohérence permettant de vérifier l’application des procédures contractuelles ou règlementaires en vigueur ? Comment éviter, dans les réseaux de communication physiques et électroniques empruntés, toutes les ruptures d’information existant dans la traçabilité, et comment éviter les trous dans la sécurité qui occasionnent des fraudes et des anomalies en cascade ?
Il existe un système de centralisation efficace du contrôle des risques et des résultats sur les opérations commerciales et financières informatisées qui consiste à « dématérialiser » en toute sécurité les transactions au même titre que les opérations monétaires (monnaie scripturale). Est-il logique que les solutions informatiques qui traitent les transactions commerciales et financières, se contentent d’une obligation de moyen sans garantir le niveau de sécurité nécessaire, alors que les flux monétaires correspondants dans le bilan informatisé de chaque entreprise sont certifiés à valeur légale certaine par les opérateurs bancaires ? Cette question s’applique à 50.000 milliards € de transactions commerciales (Rapport SEPA EU) et à 55.000 Milliards € d’opérations bancaires (Bilan et hors Bilan 2007).
En bref, il suffit d’effectuer, à l’origine des transactions financières informatisées, un contrôle d’identité électronique sur les personnes engagés dans les échanges bilatéraux, un contrôle de validité sur les mandats de gestion exercés, un contrôle de sécurité sur les intentions de gestion (position ou couverture), un contrôle de légalité sur l’application des dispositions règlementaires (LSF, SOX, CMF, MIFID, Art.97.02, Ratio Mac Donought, FAS 133, IAS32, …), et un contrôle de conformité sur les caractéristiques de transaction afférent aux limites de risques et de durées , et aux prix négociés.
Dès que les instruments financiers sont validés avec leurs mentions obligatoires, les contrats originaux sont horodatés et archivés dans des coffres forts électroniques ouverts à titre nominatif. Les preuves d’archivage sont ensuite transmises, avec les données des documents archivés, aux serveurs qui sont chargés séparément de la « comptabilité » informatisée par unités de comptes, du « contrôle de gestion » informatisé par natures de portefeuilles, du « Règlement/Livraison » informatisé par correspondants ou par dépositaires (Correspondent banking), et de la « trésorerie centrale » informatisée par comptes courants monétaires.
Seuls des liens intangibles entre ces différentes prestations informatiques permettent de préserver durablement, pour chaque transaction informatisée, la « chaîne de sécurité et de confiance », de façon à certifier la qualité des informations adressées aux personnes habilitées.
En ce sens, la Loi pour la Confiance dans l’Economie Numérique du 21 Juin 2004 s’applique puisqu’elle préconise la dématérialisation à valeur probante des transactions en assurant la sécurité juridique, informatique et professionnelle par le recours systématique à trois Prestataires de Services de Certification Electronique PSCE qualifiés pour la signature électronique (certificat d’identité numérique, scellement du document), pour l’horodatage (marque de temps), et pour l’archivage légal (traçabilité et jeton comptable).
Les opérations sont ainsi informatisées pour servir les fonctions de contrôle et de gestion financière avec le personnel habilité et subordonné à l’exécution des procédures internes et des règlementations externes en vigueur.
La sécurité des opérations dématérialisées rend intangibles leurs relations de gestion, transparentes leurs informations protégées, et rend pratique le chemin de révision comptable.
De cette manière, les appariements entre les opérations causées sont parfaitement organisés et verrouillés en fonction des intentions de gestion, des schémas comptables et fiscaux, et des modalités d’adossement en portefeuilles et de classement en dossiers dématérialisés, interdisant toute rétroactivité ou manœuvre antidatée.
Cette sécurité organisée sur le réseau à valeur ajoutée de l’entreprise empêche finalement de travestir la réalité des positions et des couvertures sans laisser de trace et sans déclencher les alertes obligatoires. Cette sécurité est assez dissuasive pour éviter de maquiller les risques ou les résultats évalués sur des logiciels difficiles à auditer, ou encore conservés sur des bases de données non sécurisées.
La dématérialisation intégrale des opérations empêche également de réaliser des transferts discrets ou occultes, soit en altérant l’identité des personnes, l’appartenance des opérations, et leurs liens de gestion (adossements), soit en modifiant l’échéancier par l’introduction d’instruments financiers non référencés dont la nature est d’accélérer ou de différer artificiellement les résultats entre deux ou plusieurs exercices sociaux.
Chaque engagement validé par ce contrôle de conformité est signé électroniquement par un responsable qui en garantit l’origine et l’intégrité avant d’en communiquer les copies conformes à tous les services opérationnels chargés du contrôle de gestion, de la comptabilité, des prévisions de trésorerie, et des règlements-livraisons.
La symétrie des informations et leur diffusion instantanée sont ainsi assurées à l’échelle du monde. La sécurité du processus de dématérialisation des transactions permet de les certifier à valeur juridique certaine de manière à garantir leur interopérabilité de bout en bout entre les services internes et les contreparties externes. Grâce à la certification des transactions dématérialisées, l’interopérabilité s’organise sur des critères de confiance puisque les documents électroniques sont échangés sans prendre de risques au niveau des erreurs, des retards, et des fraudes qui peuvent autrement se produire et dégénérer en cascade. La détection des anomalies sur des réseaux de sécurité et de confiance est quasi-instantanée pour stopper tout dysfonctionnement à sa source, et éventuellement, pour corriger les procédures internes défectueuses.
La banque en dématérialisant ses transactions en toute sécurité juridique et informatique bénéficierait donc, pour la correspondance électronique, d’un rapprochement systématique et quotidien des documents financiers échangés avec ses partenaires.
Or la dématérialisation des échanges documentaires représente pour les banques françaises une économie de charges annuelles supérieure à 5 Milliards €, ainsi qu’une réduction des allocations en fonds propres (Ratio Cooke /Mac Donought), réservées à la couverture règlementaire des risques opérationnels, équivalente à 3 milliards €.
La dématérialisation légale des extraits de comptes et des avis d’opérés fera économiser aux banques françaises entre 3 et 5 milliards d’euros, dans les toutes prochaines années. Ce sera même, en Europe, un facteur majeur de compétitivité puisque la dématérialisation procure une confiance réelle avec les clients, et une excellente productivité sur les services rendus.
Ces chiffres surprenant se comparent aux économies estimées à 243 Milliards € par an par la Commission Européenne pour la dématérialisation des factures interentreprises (Rapport Juillet 2007), et également estimées à 15 milliards € pour la France dans le Rapport Attali traitant de la modernisation des Administrations.
Certaines aides des Etats Européens pourraient être subordonnées à la mise en œuvre, dans les banques et dans les grandes Entreprises, d’un « Plan de dématérialisation » des opérations commerciales et financières afin de renforcer la sécurité des places de marché, et la sincérité des comptes présentés aux actionnaires et à l’administration fiscale.
Seuls les contrôles de la dématérialisation des transactions informatisées, inscrits dans cette politique de sécurité pour la Gouvernance des entreprises, permettent de réconcilier, par construction et en lecture directe, les résultats de gestion avec les résultats comptables, d’effectuer les prévisions de trésorerie, et de mesurer les risques de transactions et de liquidités.
La situation d’insécurité et le désordre des marchés financiers ont, pour le moment, ruiné la confiance des épargnants. Pour restaurer la confiance, l’exactitude et la sincérité des comptes devront être rétablies, et les instruments financiers inscrits dans le bilan et le hors bilan informatisés devront être dématérialisés au même titre que la monnaie scripturale déjà sécurisée en zéro papier et zéro défaut. Le terme « sincère » vient du latin « sine cere » voulant dire « sans cire » c’est-à-dire « pas maquillé », s’agissant du bois de sapin que les Romains ciraient en noir pour ainsi le dénaturer et mieux le vendre au prix du bois d’ébène !
La politique de sécurité revue sous l’angle de la dématérialisation des transactions est bien un axe majeur de la gouvernance des entreprises pour protéger leur organisation, pour améliorer leur compétitivité, pour assurer l’application des procédures internes, et pour profiter de l’excellence des règlementations en vigueur.