Dans la recherche de l’efficacité pour la gestion et le contrôle des structures publiques, la loi 2022-08 offre d’intéressantes perspectives. Parmi celles-ci, une combinaison compliance-gestion des risques. Dans la logique de la compliance, la démarche est de prévention. L’adage « mieux vaut prévenir que guérir » est tout à fait adapté au but poursuivi par le processus. En toute chose, il est préférable de prendre des précautions afin d’éviter les désagréments futurs. D’aucuns considèrent d’ailleurs qu’il est plus facile d’agir en amont pour prévenir la survenance d’un problème que d’attendre qu’il se manifeste pour mener des actions dans le but de trouver des solutions : pertinence de la gestion des risques. C’est la voie choisie par notre texte de 2022 ajoutant la compliance comme nouvelle forme de contrôle interne. Explications par le professeur Sakho.
 

Le contrôle interne n’est pas une nouveauté, il existe depuis bien longtemps dans le droit sénégalais des entreprises. Par la loi d’orientation 2022-08, on l’a mis à jour en vue de se conformer aux exigences du gouvernement d’entreprise. Concernant le secteur public, l’article 36 de la défunte loi 90-07 le prévoyait via un manuel de procédures soumis de manière permanente à la vigilance d’un contrôleur interne et, une cellule de contrôle de gestion tenant un tableau de bord économique, financier, budgétaire et social sur la situation de l’entreprise. Le contrôle de 90-07 portait beaucoup plus sur l’ex post et l’intervention de personnes extérieures à l’image, par exemple, du contrôleur financier à qui incombait la veille sur le respect par l’entreprise de la réglementation applicable (article 30 loi de 90). Le contrôle interne évolue avec le temps et il s’est aujourd’hui adapté en réglementation dans notre pays. Effectivement, en rupture avec 90-07, la loi 2022-08, pour conformer notre pays aux meilleures pratiques mondiales de gouvernance issues des fortes réactions face aux défis générés par les buts monumentaux que poursuit l’humanité (climat, corruption, terrorisme, blanchiment…), a clarifié la notion de contrôle interne dans les articles 57 à 53 [substance de la Section 3 (Des contrôles internes dans les entités du secteur parapublic) du Chapitre premier (Du contrôle des entités du secteur parapublic) du Titre III (Du contrôle des personnes morales de droit public et prive et du suivi du portefeuille de l’Etat) de la loi d’orientation]. L’emploi du pluriel (des contrôles internes) montre qu’il y a plusieurs formes de contrôle interne que sont : le contrôle interne proprement dit (article 57), le contrôle de gestion (article 58) et l’audit interne (article 59).
 

Sur le contrôle interne proprement dit. En des termes non équivoques, l’article 57 fixe les nouveaux objectifs dudit contrôle en mettant en exergue le rôle des organes internes auxquels il est accordé d’intéressantes possibilités d’actions reposant essentiellement sur la prévention et donc, l’ex ante.
 

Ainsi, concernant le manuel de procédures, premier outil de prévention qui existait déjà en 1990, outre le maintien du suivi permanent par un auditeur interne (non plus par un contrôleur interne, notion vague), la loi de 2022 donne compétence à l’organe délibérant pour son évaluation permanente. Concernant la conformité proprement dite, l’article 57 de la loi de 2022, intitulé « contrôle interne », après avoir rappelé dans son alinéa premier, l’obligation pour les entreprises du secteur parapublic d’instituer en leur sein un dispositif de contrôle interne, dispose dans l’alinéa 2 que l’objectif dudit dispositif à la charge de l’organe délibérant, est d’assurer la conformité aux normes applicables et, dans le dernier alinéa, l’article exige la mise en place d’un dispositif de gestion des risques.
Tout observateur, un tant soit peu averti, remarque ainsi une véritable innovation dans le système de contrôle interne des entités du secteur parapublic. Il est en effet venu se greffer un nouveau type de contrôle interne qui n’est ni le contrôle de gestion de l’article 58, ni l’audit interne de article 59. Ce nouveau type de contrôle est matérialisé par une très forte exigence : l’adoption et la mise en place à l’initiative des organes délibérants, d’un référentiel destiné à fournir une assurance raisonnable quant à la réalisation, entre autres, des objectifs liés à la conformité aux textes, à l’application effective de ces mêmes textes et à la gestion des risques identifiés.
 

Cet article 57 de notre loi d’orientation de 2022 est inspiré de la définition contenue dans le premier standard publié par COSO (Comittee Of Sponsoring Organisation) 1992, mis à jour 2013. Un des standards majeurs qui propose une définition ainsi que les éléments et principes d’un système de contrôle interne. Au regard de sa définition du contrôle interne, le standard COSO 2013, dépasse la simple recherche de la conformité aux textes pour viser l’assurance raisonnable (termes repris dans l’alinéa 2 de l’article 57) dans l’atteinte des objectifs de compliance et d’information financières et non financières. On est bien dans la compliance telle que l’envisage mon ouvrage « Droit de la gouvernance d’entreprise. Corporate governance, Compliance, (L’Harmattan Sénégal, 2025) » et, telle que le secteur bancaire et financier de l’ouest africain la conçoit et la pratique depuis bien longtemps en application des cinq circulaires de 2017 de la Commission bancaire, relatives au système de gouvernance et de contrôle dans les établissements de crédit et les compagnies financières de l’UMOA. Selon ces textes, les fonctions de contrôle dans ce secteur comprennent notamment la fonction d'audit interne, la fonction gestion des risques et la fonction conformité. Le rôle des deux dernières (conformité et gestion du risque) est proactif : anticiper les développements futurs et minimiser l’impact négatif des risques sur les activités de l’entreprise. C’est ce qui donne un cachet particulier à l’approche par les risques et surtout, la place importante que lui accorde l’article 57 de la loi de 2022 dans le dispositif du nouveau référentiel de contrôle interne pour les entreprises du secteur para public.
 

Sur la gestion des risques. L’approche par les risques est plus qu’une tendance dans la gouvernance des entreprises. Elle s’impose désormais comme norme fondamentale dans la gestion de l’entreprise. Nos entreprises ne peuvent y échapper. Il y a effectivement un nombre de plus en plus important de textes de lois qui l’intègrent. Dans notre espace économique (UEMOA) c’est dans le champ du secteur financier au travers des obligations prudentielles construites sur les normes dites de Bâle que cette tendance a démarré. Elle touche désormais les lois de portée générale comme la loi d’orientation. Elle n’est pas nouvelle, elle existait déjà (droit comptable, élaboration de documentation sur les risques comptables et financier ; droit social, les risques concernant l’hygiène et la sécurité ; droit de l’environnement et de la santé, les risques industriels et de pollution ; droit des sociétés qui font appel public à l’épargne, les risques des opérations financières …). La nouveauté, c’est la place désormais centrale qu’elle occupe dans la gouvernance d’entreprise grâce à la fonction conformité qui en fait un élément central des programmes de compliance.
 

Avec un important volet prévention, la fonction gestion des risques est une composante essentielle des programmes de compliance (contenu standard : un code de conduite ou charte éthique, un dispositif d’alerte interne, une cartographie des risques, un dispositif de formation, un dispositif de contrôle et d’évaluation périodique de toutes les mesures). Devenue le procédé central dans le contrôle interne dès lors qu’elle est chargée d'aider l'organe exécutif à identifier et à gérer avec diligence tout risque d'inobservation, par l'établissement, des obligations que lui imposent les normes en vigueur régissant l’exercice de ses activités. C’est donc en toute logique que l’article 57 l’impose : « chaque entité du secteur parapublic procède à la cartographie des risques et adopte un référentiel de contrôle interne (RCI) en vue du management des risques identifiés ».  L’exigence de la cartographie dans le contrôle interne facilite l’interaction, dans le programme de compliance, des fonctions conformité et gestion des risques, en principe séparées mais intimement liées dans un but commun : s’assurer que l’entreprise dispose de mécanismes permettant une assurance raisonnable quant au respect, par elle, de la réglementation juridique et éthique. Mais attention, la cartographie des risques n’est pas une fin en soi, c’est plutôt un moyen ! On y reviendra.
Dakar Septembre 2025.

Abdoulaye SAKHO
Fondateur du Master Droit et Economie de

la Régulation et de la Compliance. Institut EDGE