Le Plan de dématérialisation des opérations financières
Un grand chantier nécessaire pour les banques et pour leurs clients- entreprises
1. La dématérialisation au service des activités financières
La majorité des transactions et des pièces comptables sont gérées dans une comptabilité informatisée.
Et pourtant, les documents établis par les logiciels de gestion n’acquièrent facilement leur valeur juridique certaine qu’en matérialisant le fichier-texte sur un support papier complété d’une impression des données et assorti d’une signature manuscrite (parapheur).
Les données de ces documents acheminés par courrier postal sont ensuite saisies manuellement ou numérisées (scanner) pour entrer dans l’application informatique du destinataire, avant que les originaux papiers et les preuves de correspondance ne soient archivés avec une valeur légale probante dans leurs dossiers rangés en entrepôt.
La gestion hybride juxtaposant des supports électroniques et physiques est coûteuse, risquée, et démunie de sécurité. La diversité des supports de gestion et de correspondance entraine des risques d’alimentation asymétrique entre les bases de données, des risques de désynchronisation des opérations journalières, des risques de perte de documents, et des risques de démembrement des opérations organisées d’une certaine façon en produits structurés.
Ces produits structurés sont ensuite classés par dossiers en fonction des procédures d’appariement ou d’adossement en vigueur pour se conformer à un régime fiscal ou à une méthode de gestion particulière.
Les anomalies, et les erreurs d’interprétation consécutives, avec toutes leurs conséquences financières, ne sont généralement découvertes qu’en effectuant à postériori les travaux de rapprochement et de contrôle.
Ces dysfonctionnements créent une situation propice pour dénaturer les informations, surtout si les données informatiques peuvent être facilement manipulées sans laisser de traces.
L’allongement des circuits administratifs, la délocalisation des centres de gestion, l’externalisation de certaines fonctions, ont encore davantage fragilisé les réseaux de correspondance documentaire en créant des problèmes d’interopérabilité, soit au niveau des protocoles de communication qui sont très hétérogènes, soit au niveau des formats de fichiers professionnels qui demandent des traducteurs informatiques entre deux ordinateurs de gestion distants.
Dans ces circonstances, il n’est pas surprenant que les fraudes augmentent sur les transactions financières puisque l’origine et l’authenticité des identités, des codes d’accès, des documents, des pouvoirs, des signatures, des dates, et des adresses de correspondance et d’archivage, ne peuvent être garanties sans préserver durablement l’intégrité de tous ces attributs de confiance et de tous ces objets de correspondance, et sans les conserver dans leur intégralité pour les besoins de la dématérialisation des documents et de la sécurité des personnes.
L’intégrité d’une identité peut être altérée par une usurpation d’identité. L’intégralité d’une transaction peut être remise en cause (chemin de révision) si le lien sous jacent avec l’opération initiale est perdu, si celle-ci n’est plus appariée aux pièces de son dossier de référence, ou si une mention obligatoire constitutive de sa valeur probante a été retirée de son contenu, par malveillance.
Dans l’état actuel des choses, la valeur juridique certaine des documents hybrides et dispersés dans de multiples bases de données ou dossiers non sécurisés, devient difficile à vérifier sur toute leur durée de vie.
S’agissant pour l’entreprise de valeurs souvent incorporelles, c’est une partie de son patrimoine qui risque d’être détourné de son objet social ou subtilisé discrètement du bilan à son insu : il suffit d’altérer une information (antidater) ou de supprimer un lien de dépendance informatique (adossement) pour qu’un transfert d’actif/passif ou pour qu’un mouvement de hors bilan, modifie par anticipation ou en différé le résultat d’exploitation sur une année ou sur plusieurs.
La dématérialisation des transactions apporte en revanche tous les niveaux de sécurité et d’interopérabilité entre d’une part les identités, les documents, les procédures, les signatures électroniques, et d’autre part les moyens informatiques mis en œuvre.
Ces niveaux de sécurité et d’interopérabilité entre les personnes, les réseaux, et les opérateurs de correspondance, permettent de garantir la sincérité et la conformité des échanges électroniques (obligation de résultat).
Certaines données de ces échanges électroniques doivent être justifiées, horodatées, et intangibles avant de rattacher la transaction à valeur juridique certaine aux dossiers utilisés par le chemin de révision comptable pour relier les échanges aux pièces justificatives.
Dans le contexte actuel où la majorité des transactions sont informatiques, comment peut-on accepter deux régimes de certification aussi différents, entre d’une part, les instruments commerciaux et financiers évalués d’une façon relativement discrétionnaire (avec une obligation de moyen), et d’autre part, la monnaie scripturale correspondante qui est fondée dans le même bilan informatisé sur la dématérialisation forte avec une obligation de résultat ?
Dans les banques, la dématérialisation de la monnaie scripturale est verrouillée par trois systèmes de sécurité :
- Le bureau d’enregistrement de l’identité numérique
- Le bureau d’horodatage de la compensation ou de l’échange numérique
- Le bureau d’archivage du relevé de compte courant numérique
L’identité numérique est établie par une autorité d’enregistrement avec un RIB : relevé d’identité bancaire.
La compensation est établie par une autorité d’enregistrement avec une date de valeur ou une marque de temps
L’archivage est établi par une autorité d’enregistrement avec un jeton ou un attribut comptable.
La dématérialisation des transactions commerciales et financières suit le même modèle de sécurité :
- Un prestataire de services de certification de l’identité numérique
- Un prestataire de services de certification de l’horodatage
- Un prestataire de services de certification de l’affectation comptable
Pour chaque utilisateur, comme pour la dématérialisation des opérations bancaires, la gestion peut s’organiser autour d’un compte courant documentaire pour le suivi des mouvements de correspondance, et autour d’un coffre fort électronique pour la conservation des documents originaux certifiés à valeur juridique certaine.
La Carte Nationale d’Identité Numérique que la Ministère de l’Intérieur va déployer à partir de 2009, permettra à chaque citoyen, particulier, administré, ou employé, d’utiliser ce moyen d’identification et de signature en ligne pour dématérialiser ses correspondances de transactions en recourant à un opérateur de correspondance sécurisée. Cet Opérateur établira la conformité du document dans son contenu (mentions obligatoires), la valeur probante des échanges documentaires (preuves d’expédition et de réception), et la valeur probante des originaux et des preuves d’échanges archivés en coffre fort électronique et nominatif.
Aujourd’hui, le plan de dématérialisation des transactions concernent en priorité les banques et leur direction centrale des marchés pour protéger leurs engagements bancaires.
La dématérialisation des opérations dans les banques sera naturellement étendue aux entreprises qui feront l’effort de dématérialiser à leur tour.
Le plan de dématérialisation des banques est donc un relai précieux pour accélérer le processus de dématérialisation qui pourrait s’essouffler dans les grandes entreprises engagées dans l’EDI depuis 20 ans (Electronic Data Interchange).
L’enjeu de la dématérialisation est important puisque les économies réalisées chaque année représente, pour la facture électronique, un gain de 243 Milliards € au niveau de l’Europe (Rapport EU 2007), un gain de 15 Milliards pour les Administrations françaises (Rapport Attali 2008), et un gain de 20 Milliards pour les entreprises de l’Hexagone.
La réforme des paiements électroniques SEPA, avec notamment la dématérialisation des conventions de services pour l’ordonnancement des paiements (Debtor Mandate Flow), contribuera également à rapprocher les banques et les entreprises sur le grand chantier de la dématérialisation des paiements sécurisés par Internet (encours de paiement en Europe : 50.000 milliards €).
Pour le bilan des banques, et pour leur comptabilité informatisée, il serait donc juste que les instruments financiers soient maintenant dématérialisés au même titre que la monnaie scripturale dont la sécurité est assurée sur les identités (RIB), sur les documents (comptes courants), et sur les compensations (dates de valeur), avec la garantie d’un Système de Place chargé de la certification et de l’interopérabilité des échanges entre banques.
De surcroît, la dématérialisation des engagements bancaires ne réduirait pas seulement leurs risques opérationnels, mais également leurs délais et leurs coûts administratifs dans un rapport de 60% à 75%.
2. La dématérialisation forte appliquée aux banques
La crise bancaire tire son origine principalement de trois défaillances majeures sur la gestion, sur la comptabilité sur la trésorerie et sur la liquidité. Ces défaillances vont à l’encontre de la règlementation en vigueur organisée pour contrôler les risques et pour les couvrir avec une allocation de fonds propres suffisante.
Ces défaillances vont aussi à l’encontre de la règlementation établie pour contrôler le résultat des instruments financiers avec leurs incidences de trésorerie et avec les besoins de liquidités qu’ils engagent à court terme (comment éviter la cessation de paiement, ou comment éviter de se servir de l’épargne des déposants qui font confiance).
La cause essentielle des pertes constatées dans les banques (Lehmann Brothers, SG,…) se situe à la création des transactions, et ensuite dans la manipulation des dossiers papiers et électroniques.
En effet les termes initiaux des dites transactions peuvent être incomplets, transformés ou altérés afin de dissimuler une perte ou un gain, ou pour transférer (en différé) un résultat latent d’un centre de profit à un autre.
En tout état de cause, la dispersion des informations sans préserver l’intégralité des données empêche la réconciliation entre les résultats de gestion, les résultats comptables, et les incidences de trésorerie.
La « manipulation numérique » sur les fichiers est à l’origine de la majorité des crimes financiers découverts ces dernières années à l’occasion d’une cessation de paiement ou d’une faillite.
Dans tous les cas, l’infraction aux procédures internes ou externes qui n’est pas détectée à temps, ne bloque pas la transaction, ce qui entraine par la suite une cascade d’erreurs d’appréciation et d’enregistrement dans la comptabilité informatisée.
Sous la pression des objectifs de résultats à réaliser, ou pour obtenir des primes ou des bonus sans créer en contrepartie la valeur ajoutée nécessaire, certains « traders » n’hésitent pas à utiliser, à l’insu de leur hiérarchie, les trous dans la sécurité qui permettent d’altérer la chaine de gestion et de confiance (signature informatique).
Quatre trous dans la sécurité expliquent la grande majorité des scandales financiers depuis 20 ans (Enron, WorldCom versus Arthur Andersen, etc.…) :
- La transaction n’est pas immédiatement et définitivement affectée au donneur d’ordre, ou bien celui-ci n’est pas connu, pas prévenu, mal identifié.
- La transaction attribuée au donneur d’ordre est retirée ou modifiée, à postériori et à son insu, dans son dossier.
- La transaction ne fait l’objet d’aucun contrôle de conformité régulier, ou d’aucun rapprochement entre le résultat de gestion et le résultat comptable car la banque ne dispose pas d’une solution informatique globale et sécurisée qui soit étendue à tout son réseau administrative. Il est donc recommandé d’établir des autorités de contrôle et de validation indépendantes, et de leur assurer les accès sécurisés et l’interopérabilité des échanges de fichiers et de données pour gérer efficacement l’information (hiérarchie et chaine de confiance).
- La transaction ne fait l’objet d’aucun calcul de la consommation de trésorerie prévisionnelle, ni d’aucun calcul d’évaluation du besoin en fonds propres nécessaire à la couverture du risque réel ou systémique. Il n’existe aucun moyen exhaustif pour consolider les risques sur les opérations, pour évaluer la consommation des fonds propres alloués aux risques consolidés, et pour déterminer le bénéfice net consolidé après l’élimination de tous les résultats internes.
Pourtant, le dispositif règlementaire français existe pour éviter les trous dans la sécurité financière mais les obligations ne sont pas appliquées, soit parce que les banques ne savent pas mettre en place un dispositif de contrôle et de validation informatique efficace en fonction de la masse colossale des opérations à gérer au jour le jour, soit parce qu’elles renoncent aux investissements informatiques nécessaires, soit parce qu’elles sont devenues incapables de contrôler leurs risques multinationaux en privilégiant exagérément le recrutement de financiers sophistiqués destinés aux nouveaux produits complexes, plutôt que le recrutement d’ingénieurs qualifiés en « organisation informatique et sécurisée » pour maîtriser les engagements et leur complexité sur des périodes de 1 à 30 ans.
Parmi le personnel des banques, et notamment chez les « traders », certains ont donc profité des défaillances du système administratif, défaillances pourtant soulignées par les réserves incessantes des Commissaires Aux Comptes.
Les opérateurs financiers en ont profité parfois pour occulter ou maquiller leurs transactions dans des produits complexes ou dans des portefeuilles d’investissements gigantesques, sans traçabilité, sans transparence, et soumis volontairement à une activité d’arbitrage effrénée (Trading), décourageant ainsi toute initiative d’investigation, d’analyse, de valorisation ou de contrôle indépendant. Cette situation s’est aggravée en laissant développer par les traders des logiciels propriétaires difficiles à auditer, plutôt que d’utiliser les logiciels du marché, ceci laissant aux opérateurs une certaine latitude pour expliquer à leur manière leurs risques et leurs résultats différents de la comptabilité.
La complexité et l’opacité croissantes ont rendu les portefeuilles et leurs produits complexes incessibles, créant inéluctablement une crise de confiance et de liquidité mondiale dont la durée pour certains produits structurés ou dérivés, peut dépasser 30 ans.
Cette opacité a facilité les transferts de résultats occultes entre les centres de profits en « permettant » d’attribuer ou de retirer arbitrairement certaines opérations, avec leurs bénéfices ou leurs pertes, entre les portefeuilles des donneurs d’ordre ou leurs centres de profit gérés sous mandats de gestion de manière discrétionnaire.
Cette opacité permet également d’accélérer ou de différer les résultats de l’exercice, notamment dans les relations entre le bilan des banques et leur « hors bilan » qui est dix fois plus volumineux et compliqué à suivre (encours : milliers de milliards €).
Puisque les dossiers de millions de transactions annuelles reposent sur des papiers et sur des fichiers électroniques facilement falsifiables ou manipulables, faute de sécurité suffisante sur les données et sur les clauses d’indexation, comment peut-on préserver la traçabilité et le « classement intangible » des dossiers électroniques, en sachant que le maquillage des informations ou des dossiers est indécelable sans avoir des indices précis ?
Cette situation d’insécurité et de désordre permanent rend relativement fragile la sincérité des comptes pour les actionnaires et pour la Direction des Impôts (le terme « sincère » vient du latin « sine cere » voulant dire « sans cire » c’est-à-dire « pas maquillé », s’agissant du bois de sapin que les Romains ciraient en noir pour le dénaturer et pour le vendre plus cher au prix du « bois d’ébène »).
Le Jugement de la Cour de Cassation Chambre Criminelle du 8 décembre 1999 est très instructif dans ce domaine puisqu’il punit de prison « la suppression et la modification d’écritures comptables d’une comptabilité informatisée ».
La « dématérialisation » des transactions (1), selon la réglementation en vigueur, éviterait dans le futur que de tels risques se reproduisent, et réduirait en l’occurrence la consommation des fonds propres nécessaires à la couverture des risques opérationnels bancaires.
Il serait donc judicieux que les aides de l’Etat aux banques soient subordonnées à la mise en œuvre d’un « plan de dématérialisation » des transactions bancaires, entre elles et avec leurs clients-entreprises, afin que les « contrôles de conformité et de légalité » indispensables à la certification des comptes soient assurés pour le bilan informatisé, et dans l’intérêt des créanciers, en premier lieu l’Etat prêteur.
Ne rien faire dans ce domaine, c’est accepter que la crise se répète puisque la fraude pourra continuer ses ravages en toute impunité, et que cette pratique de la manipulation des données, des documents électroniques et des dossiers archivés, pourra continuer sans encourir de poursuite ou de sanction judiciaire pour la majorité du personnel impliqué.
Ne rien faire d’efficace, c’est encore s’exposer d’ici 2012 à d’autres accidents graves qui créeront un mouvement de défiance vis à vis des Banques et des Pouvoirs Publics au moment où l’économie devrait renouer avec la croissance.
Eric Blot-Lefevre
Directeur général TrustMission SA
Administrateur de la Fédération Nationale des Tiers de Confiance FNTC
Administrateur de l’Association de Sécurité Forum Atena
20 janvier 2009
Pour vous inscrire à l’atelier, cliquez ICI
(1) La dématérialisation consiste à établir chaque transaction informatique en y associant :
1. Les parties avec leur identité numérique et leur signature électronique
2. Les documents avec leurs mentions légales obligatoires et leurs conventions d’échanges
3. Les adresses avec les preuves de correspondance et d’horodatage électroniques
4. Les classements avec les preuves d’archivage comptable à valeur probante
Pour garantir la valeur juridique certaine de chaque transaction, la validité des « certificats » justifiant la signature électronique, l’horodatage électronique, et l’archivage comptable électronique, doit être vérifiée par un tiers de confiance. Ces certificats de valeur probante sont requis par la LCEN Loi pour la Confiance dans l’Economie Numérique (21 JUIN 2004 Prestataires de Services de Certification Electronique).
…..