Les sytèmes de contrôles et d'audit

Depuis les scandales financiers de la période 2001-2002 (nous ne mentionnerons ici que les affaires Enron etWorldcom), sont apparues comme champignons après la pluie des réglementations destinées à améliorer le contrôle des autorités et des actionnaires sur la gestion des entreprises. Le signal a bien sûr été donné par les États-Unis en juillet 2002 avec la loi Sarbanes-Oxley (plus familièrement SOX), qui impose aux entreprises qui font appel au capital public (c’est-à-dire cotées en bourse) toute une série de règles comptables et administratives destinées à assurer la traçabilité de leurs opérations financières, afin que les actionnaires ne courent plus le risque de voir leurs actions partir en fumée après une déconfiture que des comptes truqués n’auraient pas permis de prévoir, cependant que les dirigeants initiés auraient revendu à temps leurs stock-options pour se retirer sur leur yacht aux îles Cayman... La France a bien sûr emboîté le pas avec la loi du 1er août 2003 sur la sécurité financière (LSF) qui concerne principalement trois domaines : la modernisation des autorités de contrôle des marchés financiers, la sécurité des épargnants et des assurés, et enfin le contrôle légal des comptes ainsi que la transparence et le gouvernement d’entreprise. Cette loi française ne concerne pas seulement les sociétés cotées, mais toutes les sociétés anonymes ; elle est complétée par le dispositif réglementaire européen « Bâle 2 » de 2004, qui concerne les établissements financiers. La conséquence pratique la plus visible des législations de type SOX, c’est la prolifération des systèmes de contrôle et d’audit que nous avons évoqués à la page 21, et c’est bien pourquoi le responsable de sécurité ne peut les ignorer. L’administrateur de système et de réseau pourrait se croire à l’abri des monstres bureaucratiques mentionnés ci-dessous : qu’il s’estime heureux si on ne lui impose pas les procédures éléphantesques qu’ils engendrent. Le lecteur de 2011 sait évidemment que tous ces dispositifs juridiques et réglementaires n’ont en rien empêché les scandales bien plus graves de la crise des subprimes en 2008-2009 : cette simple constatation devrait suffire à les considérer avec suspicion. Dans le numéro d’automne 2010 de Commentaire, un article d’Augustin Landier et David Thesmar intitulé « Action publique et intelligence collective » [83] explique dans sa section intitulée « Capture du régulateur et anesthésie du politique » (p. 714) que le remède à de telles crises n’est pas à chercher dans la multiplication et le durcissement des règles et des organes de régulation : ces organes étaient déjà nombreux et puissants, simplement ils avaient été captés par le monde de la finance, non pas le plus souvent par corruption, mais par séduction, conviction, influence. Le salut, s’il en est, serait plutôt à chercher dans l’amélioration de la réactivité et de la qualité de la régulation. « Pour répondre à ce besoin, nous proposons donc une action publique en architecture ouverte, à la manière des logiciels libres. Ce nouveau mode d’action publique soumet l’État à une double exigence : informer et écouter. » Pour en savoir plus, je vous recommande la lecture du blog de l'Agence SEO 59 qui est très bien rédigé sur ce thème.