Vous êtes sur la page 1sur 46

la revue des professionnels de laudit, du contrle et des risques

Dans lactualit
Alitalia, Finmeccanica, Riva, Monte Paschi : des ides pour les comits daudit ?

Ides et dbats
Lauditeur interne face lmergence de linformatique mobile

International
Ce que lavenir nous rserve

Mmoire dtudiant
Guide daudit de la mise en conformit du middle office des drivs de gr gr : Nouvelle rglementation EMIR

Fiche technique
>> Grer efficacement les identits et les accs

LES RPONSES DE LAUDIT INTERNE AUX ATTENTES DES PARTIES PRENANTES


N216
Septembre-Octobre 2013

Marquez des points ...


avec la nouvelle certification professionnelle
Professionnels de laudit et du contrle internes, cette nouvelle certification vous permettra de dmontrer votre professionnalisme dans le domaine de lvaluation de la gestion des risques, et plus particulirement votre capacit : valuer la matrise des risques et la gouvernance des processus mtiers de votre organisation ; sensibiliser la direction et le comit daudit aux concepts lis aux risques et la matrise des risques ; vous centrer sur les risques stratgiques de lorganisation ; apporter encore plus de valeur ajoute votre organisation. Disponible, la fin du premier semestre 2013, sous la forme dun examen, le CRMA est accessible ds aujourdhui via un processus de Reconnaissance de lExprience Professionnelle (REP). Ainsi, toute personne justifiant dune exprience professionnelle dans les cinq domaines couverts par la certification CRMA, et titulaire de diplmes et/ou de tout autre certificat dans le domaine de laudit, sera en mesure de faire une demande de REP en vue dobtenir la certification CRMA.

POUR EN SAVOIR PLUS ...


Rendez-vous sur le site internet de lIFACI (www.ifaci.com) la rubrique Carrire + Diplmes .

Conception : ebzone communication - Photo : Paty Wingrove - Fotolia.com

La revue des professionnels de laudit, du contrle et des risques n216 - sept./oct. 2013 EDITEUR Institut Franais de lAudit et du Contrle Internes (IFACI) Association Loi 1901 98 bis, boulevard Haussmann 75008 Paris (France) Tl. : 01 40 08 48 00 Mel : institut@ifaci.com Internet : www.ifaci.com DIRECTEUR DE PUBLICATION Farid Aractingi RESPONSABLE DE LA RDACTION Philippe Mocquard RDACTEUR EN CHEF Louis Vaurs RDACTION - RVISION Jean-Loup Rouff - Batrice Ki-Zerbo SECRTARIAT GNRAL Eric Blanc - Tl. : 01 40 08 48 02 Mel : eblanc@ifaci.com RALISATION EBZONE Communication 32, avenue de Beauregard 94500 Champigny-sur-Marne Tl. : 01 48 80 00 56 Mel : ebzone@ebzone.fr IMPRESSION Imprimerie de Champagne Rue de lEtoile de Langres - ZI Les Franchises 52200 Langres ABONNEMENT Elsa Sarda - Tl. : 01 40 08 47 84 Mel : esarda@ifaci.com Revue bimestrielle (5 numros par an) ISSN : 2117-1661 CPPAP : 0513 G 83150 Dpt lgal : octobre 2013 Photos couverture : Dmitry - Fotolia.com

Les rponses de laudit interne aux attentes des parties prenantes

audit interne doit rpondre aux attentes de ses parties prenantes qui sont, pour lessentiel, la direction gnrale et le comit daudit mme si les audits, les auditeurs externes, et les autorits de supervision sont des parties prenantes ne pas sous-estimer. La norme 1110 de la profession dicte que le responsable de laudit interne doit relever dun niveau hirarchique suffisant au sein de lorganisation pour permettre au service daudit interne dexercer ses responsabilits , et de recommander un double rattachement la direction gnrale et au comit daudit. Dans le dossier du prsent numro, la direction gnrale apparat trs largement dominante. Pour le groupe Arcade, important groupe immobilier, et le Secrtariat gnral pour ladministration du Ministre de la Dfense, il nexiste pas, proprement parler, de comit daudit. Le responsable de laudit interne de cette dernire structure sen meut et nhsite pas faire des propositions innovantes pour faire bouger les lignes. Pour le groupe AG2R La Mondiale, un double rattachement existe mais la direction gnrale reste la partie prenante la plus importante comme cela est observ le plus souvent en France. On peut, peut-tre, regretter labsence dans certaines organisations de vritable comit daudit auprs duquel laudit interne aurait des relations troites et rgulires comme le recommande la prise de position IFA / IFACI de 2009. Mais cette absence ne signifie pas, pour autant, quil est moins indpendant et que son impact est moindre sur la matrise des risques de lorganisation. On peut toutefois penser que sa tche serait grandement facilite si un tel comit existait. Linterview de Philippe Lagayette, que je vous recommande de lire avec la plus grande attention, est l pour le confirmer. Prsident du comit daudit du groupe Renault, il nous dcrit son exprience et son vcu, et nous fait part des qualits que devrait avoir tout directeur daudit interne. Premirement, il doit tre comptent dans le domaine de laudit ; deuximement, avoir une bonne connaissance de lentreprise ou quil apprenne la connatre rapidement ; troisimement, il doit distinguer limportant du moins important si non on peut ne pas projeter sur le management des messages clairs et centrs sur lessentiel, ce qui suppose un esprit tourn vers lefficacit ; quatrimement, il faut quil fasse preuve de caractre et sache rsister aux pressions le cas chant ; et quand il sest fait une opinion, il doit lexposer dune faon simple et claire pour tre certain dtre bien compris. En quelques mots, tout est dit et je vous laisse mditer ces propos.

Prix de vente au numro : 25 TTC


Ce document est imprim avec des encres vgtales sur du papier issu de forts gres dans le cadre dune dmarche de dveloppement durable.

Les articles sont prsents sous la responsabilit de leurs auteurs.


Toute reprsentation ou reproduction, intgrale ou partielle, faite sans le consentement de lauteur, ou de ses ayants droits, ou ayants cause, est illicite (loi du 11 mars 1957, alina 1er de larticle 40). Cette reprsentation ou reproduction, par quelque procd que ce soit, constituerait une contrefaon sanctionne par les articles 425 et suivants du Code Pnal.

Bonne lecture.

Louis Vaurs - Rdacteur en chef


sept./oct. 2013 - Audit & Contrle internes n216

Progressez sur des bases solides


Votre engagement pour + de bonnes pratiques + de performance + de lgitimit + de scurit

Le label de qualit et de performance Certification IFACI est dlivr aux services d'audit interne qui appliquent de faon prenne les trente exigences pragmatiques du Rfrentiel Professionnel de l'Audit Interne.

Contactez-nous : Tl. : 01 44 70 63 00 E-mail : certification@ifaci.com

Conception : ebzone communication - Photo : Jakub Cejpek - Fotolia.com

SOMMAIRE

DANS LACTUALIT

DOSSIER

Alitalia, Finmeccanica, Riva, Monte Paschi : des ides pour les comits daudit ? Antoine de Boissieu

IDES ET DBATS

Lauditeur interne face lmergence de linformatique mobile Jean-Claude Hillion

Les rponses de laudit interne aux attentes de ses parties prenantes p. 17 34


18
Ce quattend de laudit interne un prsident de comit daudit Philippe Lagayette Laudit interne : une fonction exigeante aux multiples facettes Benot Harel Comment laudit interne dArcade satisfait-il les attentes diverses et parfois de nature diffrente des parties prenantes du groupe ? Jean-Marc Pluzanski Le contrle interne au ministre de la Dfense : une organisation spcifique Jean-Franois Charbonnier Comment rpondre au mieux aux attentes des parties prenantes de laudit interne dAG2R La Mondiale ? Eric Burlot

INTERNATIONAL

12

Ce que lavenir nous rserve Graig Guillot

23 25

MMOIRE DTUDIANT

35

Guide daudit de la mise en conformit du middle office des drivs de gr gr : Nouvelle rglementation EMIR Loc Kerboas

29 32

LA PROFESSION EN MOUVEMENT

37 38

Evnements Lu pour vous

FICHE TECHNIQUE N46

>> Grer efficacement les identits et les accs


Olivier Sznitkies

sept./oct. 2013 - Audit & Contrle internes n216

DANS LACTUALIT

Alitalia, Finmeccanica, Riva, Monte Paschi : des ides pour les comits daudit ?
Antoine de Boissieu - Associ-grant, OSC Solutions

actualit nous fournit plusieurs exemples de socits italiennes prestigieuses en proie de srieuses difficults.

ment, ces difficults ne sont pas diffrentes de ce qui se passe ailleurs, mais cest laccumulation sur une courte priode qui est frappante. Le groupe Riva est peu connu en France : cest une socit familiale, le 4me sidrurgiste en Europe avec 20 000 employs et 11 Mrd de CA. Son acirie gante de Tarente, qui compte 12 000 employs, est partiellement ferme depuis 2012 pour des problmes de pollution. La justice italienne vient de mettre sous squestre 8 Mrd dactifs du groupe pour faire face au passif environnemental ; ses dirigeants ont t mis en examen. Monte dei Paschi di Siena, enfin, est la plus vieille banque encore en activit, avec plus de six sicles dexistence. Elle est contrle par une fondation municipale. Elle se trouve dsormais au bord de la faillite la suite doprations spculatives rates, dissimules jusqu' ce que la crise financire de 2012 ne permette plus de les cacher.

Alitalia est en quasi-faillite, pour la seconde fois depuis 2008, malgr des annes de restructurations. Un nouveau plan de sauvetage doit tre mont. Finmeccanica, le gant italien de lindustrie aronautique et de dfense, connat des difficults en chane : annulation pour corruption dune vente dhlicoptres larme indienne, accusation de rseaux de caisses noires en Afrique passant par un financier notoire de la mafia, problmes de qualit sur des TGV livrs par sa filiale Ansaldo (et finalement refuss par les clients, qui ont annul la commande), dmission et mise en examen de deux PDG en 2 ans. A cela sajoutent des problmes stratgiques, le groupe nayant sans doute pas la taille critique dans certaines activits (nergie, construction aronautique, spatial, transports), et deux annes conscutives de pertes. Prises individuelle-

Analysons rapidement les points communs entre ces situations priori trs diffrentes. Rtrospectivement, il apparat que toutes ces socits ont suivi une stratgie intenable ou trs risque. Cette stratgie a t valide, voire impose, par les conseils dadministration. Le conseil et la direction gnrale ont souvent fonctionn trop en osmose : pour des raisons capitalistiques chez Riva, qui est une socit familiale ; pour des raisons de consanguinit chez Monte Paschi, Alitalia et Finmeccanica. Pour ces dernires, dirigeants et administrateurs taient issus des mmes milieux politico-conomiques, avec un tissu de liens personnels o sentremlaient intrts privs et publics, conomiques et politiques. Ce contexte a pes dans les mcanismes de prise de dcision, en imposant le maintien ou le dveloppement en Italie dactivits non rentables ou trop risques. Ainsi, chez Alitalia, jusquen 2008, le monde politique et

conomique a impos le maintien de 2 hubs Rome et Milan, des activits court/moyen/long courrier, dun rseau descales italiennes surdimensionn et sous-productif : cette stratgie a pes sur la rentabilit de la compagnie ds quil y a eu ouverture du march. Alitalia na donc pas pu tre moteur dans les mouvements de consolidation du secteur depuis 2005, et a fait une premire fois faillite en 2007/2008. Finmeccanica, dont le premier actionnaire est ltat italien avec le tiers du capital, est prsente dans de nombreuses activits1 dans les secteurs de pointe. Elle emploie 60% de son personnel, soit prs de 40 000 personnes, en Italie. L encore, il y a eu une volont politique de maintenir un large spectre dactivits en Italie, pour des raisons de souverainet, de prestige, dinfluence, de pouvoir (une activit = une filiale avec un PDG, un conseil dadministration, des dirigeants, un sige social, etc.). Les jointventures ou anciennes jointventures de Finmeccanica avec des partenaires tran-

Audit & Contrle internes n216 - sept./oct. 2013

Le groupe Riva est rest trs europen, avec la majeure partie de sa production en Italie, alors que ses concurrents (ArcelorMittal, Tata/ Corus, Thyssen) sinternationalisaient pour chapper la morosit du march europen et rester comptitifs sur une large gamme de produits (et pas seulement sur le milieu/haut de gamme). Cette internationalisation nest dailleurs pas une garantie de russite, comme lillustrent les rcents investissements rats de Thyssen qui cherche revendre trois aciries neuves au Brsil et aux USA, qui lui ont cot 10 Mrd . Toujours est-il que Riva a mis tous ses ufs dans le mme panier, en loccurrence son acirie de Tarente. Sa production tait de 11 Mt, soit les 2/3 de la production du groupe2. Les problmes de pollution de lacirie de Tarente taient connus depuis longtemps, et il aurait fallu consentir de gros investissements pour la mettre aux normes, dans un

contexte de baisse du march europen. La direction a choisi de ne pas le faire, le poids de lacirie dans lconomie locale donnant sans doute une impression dimpunit. La justice italienne a mis fin au systme. Au dbut des annes 2000, Monte dei Paschi di Siena tait une petite banque. Elle a suivi une stratgie de croissance risque, en se lanant dans une vague dacquisitions qui a culmin par le rachat dAntonveneta en 2007, pour 10 Mrd , soit deux fois plus que les estimations de lpoque. Cette croissance, paye au prix fort, a abouti une forte diversification des activits, la banque souhaitant tre prsente sur tous les crneaux pour concurrencer les grandes banques gnralistes. Or, mme aprs cette vague dacquisitions, Monte Paschi restait 3 ou 4 fois plus petite que ses principaux concurrents, Unicredit et

Intesa San Paolo. Elle navait ni les moyens, ni lexprience, ni les comptences, ni la taille critique, pour raliser et contrler efficacement une palette dactivits aussi larges et, pour certaines, aussi rcentes. On pourrait trouver des similitudes entre ces socits italiennes et certaines socits franaises. Ces exemples pourraient donc inspirer des comits daudit qui lon va bientt demander de se pencher sur le plan daudit 2014. Trois axes daudit pourraient ainsi tre envisags : 1. auditer la stratgie : comment se compare-telle celle des concurrents, et comment justifiet-on les grosses diffrences ? A-t-on valid que lon a les moyens de la mener bien ? 2. auditer les activits pour lesquelles on na pas la

taille critique : est-on sr que lon a les comptences, lexprience requise ? Que lon est capable de les contrler correctement ? 3. enfin, demander un audit du conseil dadministration et des organes de gouvernance pourrait savrer utile. Un simple benchmark permettant de positionner la socit par rapport un rfrentiel international peut dj mettre en vidence des lacunes.

Hlicoptres, aronautique civile et militaire, construction ferroviaire, signalisation ferroviaire (le mme march mais pas du tout le mme mtier), satellites, missiles, torpilles, nergie A titre de comparaison, la France produit 15,5 Mt dacier par an.

sept./oct. 2013 - Audit & Contrle internes n216

alphaspirit - Fotolia.com

gers (hlicoptres, missiles, satellites, avions de transport rgionaux), sont dailleurs souvent les branches les plus internationalises et les plus rentables du groupe ; ce sont aussi celles o le pouvoir est partag et dont la stratgie subit le moins dinfluences extrieures. Les cessions dactivits ont dsormais commenc, largement contraintes par la baisse des commandes militaires et les diffrentes affaires fragilisant le groupe. Mais, pendant des annes, il y a eu limpression que Finmeccanica tait trop grosse, trop puissante, pour tre menace, et pouvait continuer sa stratgie multiactivits tout en maintenant une forte implantation en Italie.

IDES ET DBATS

Lauditeur interne face lmergence de linformatique mobile


Jean-Claude Hillion - Inspecteur gnral honoraire de la Banque de France
directement au rseau de lentreprise (synchronisation de mls, applications web, notamment). Or, face au risque que ces informations soient divulgues intempestivement, si le terminal mobile tombe entre les mains de tiers malintentionns, les dispositions de protection mises en place savrent, la plupart du temps, trs insuffisantes pour rsister efficacement au savoir technique dont dispose ledit tiers averti et malintentionn. Tandis que les normes de scurit pour les ordinateurs utiliss dans lentreprise imposent un verrouillage complet (authentification pr-boot avant dmarrage), on ne retrouve pas ce niveau de protection pour les smartphones. Cest ainsi que, si pour ces derniers le systme d'exploitation livr avec lquipement propose une fonction deffacement distance ( remote wipe ), le dlai susceptible de scouler entre la perte et la mise en uvre effective de la procdure deffacement, voire tout simplement son efficacit relle, laisse, de fait, le temps un pirate de copier les donnes de l'appareil avant que celle-ci nintervienne. Absence de contrle des flux d'information changs via les dispositifs de connexion du terminal Les terminaux mobiles sont dots de diverses techniques, tel que Bluetooth,

Avec larrive de linformatique mobile, il est indispensable de rviser les stratgies et les concepts de scurit, et le cas chant les modifier. Par principe, la pertinence des orientations prises en matire demploi de technologies, comme les terminaux mobiles, ne relve pas, en tant que telle, de la mission de laudit. En revanche, les auditeurs internes se doivent danalyser ladquation des options retenues, en regard de lexposition aux risques qui en rsulte et dvaluer la qualit des dispositifs de matrise de ces risques.

emploi de terminaux mobiles (ordinateurs portables et organiseurs, smartphones et autres tablettes, ainsi que les supports d'information et les accs au rseau qui leur sont associs) est en constante augmentation, tant dans la sphre prive, que professionnelle. Lorigine de cette situation rside, lvidence, dans le fait que leur mise en uvre est facilite par une multitude de services dinformation et de communication, trs souvent sous forme dapplications intgres. Lauditeur interne ne peut ignorer plus longtemps ce phnomne. Les appareils et les services proposs disposent dj de fonctions de scurit intgre. Cependant, en cas de perte ou de vol dun appareil, celles-ci se rvlent trs (trop) souvent insuffisantes pour protger efficacement les donnes confidentielles ( caractre personnel ou sensibles lgard de lentreprise) stockes sur ces quipements. Il convient donc de mettre en uvre des mesures de scurit supplmentaires

techniques et/ou organisationnelles lors de lutilisation de terminaux mobiles.

Les risques induits par linformatique mobile


Perte dinformations de lentreprise Les terminaux mobiles sont particulirement concerns par la perte ou le vol. Pour les entreprises, au-del des risques intrinsques lis la protection des donnes, il existe aussi un risque dimage dans la mesure o la mmoire interne du terminal mobile contient des adresses, des e-mails et leurs pices jointes, ainsi que des rendez-vous, des notes confidentielles, etc. Un usage professionnel conduit au stockage dinformations concernant, par exemple des clients, des produits, voire des donnes relatives des appels d'offres. De surcrot, sont conservs, par dfinition, les identifiants et mots de passe associs, permettant daccder

Audit & Contrle internes n216 - sept./oct. 2013

WLAN et USB, pour se connecter localement. Or, quand les liaisons utilises par des collaborateurs ne sont pas verrouilles (par exemple Hot Spot / Point dAccs public), des tiers non autoriss peuvent prendre connaissance dinformations professionnelles confidentielles, voire de donnes permettant laccs au rseau de l'entreprise. Cette dernire peut, dordinaire, protger l'accs dun terminal mobile au rseau de l'entreprise en autorisant uniquement la communication via un canal verrouill (par exemple SSL/TSL ou VPN) avec une authentification rciproque des deux terminaux. Mais, lorsque des collaborateurs utilisent un processus de synchronisation travers des interfaces locales, des donnes concernant l'entreprise se trouvant sur leur terminal mobile peuvent tre transfres dans un

environnement insuffisamment scuris. Le mme risque existe lorsque des collaborateurs sauvegardent ou dstockent des donnes partir de leur terminal mobile grce des services de sauvegarde proposs sur internet (par ex. services Cloud Backup ). Risque de conformit dans llaboration de profils de trajet via le rcepteur GPS Des informations locales peuvent tre mises la disposition de l'utilisateur via la localisation de son smartphone, par exemple sur les applications de navigation, guides de restaurants, appel de taxi, etc. En rgle gnrale, il est demand l'utilisateur lors de l'installation de telles applications, de dbloquer l'utilisation du rcepteur GPS. Dans ce cas, il est

ncessaire de respecter les dispositions lgales relatives la protection des donnes personnelles. Cette rgle s'applique galement l'emploi planifi du rcepteur GPS en vue d'laborer des profils de trajet de collaborateurs, par exemple en vue de contrler leurs performances. Hameonnage via les services de communication Les pirates / hackers peuvent usurper lidentit d'un utilisateur (notamment des personnes-cls de l'entreprise sciemment vises) par le biais de faux emails ou de SMS, ou encore de la messagerie instantane, afin daccder aux informations scurises se trouvant sur un terminal mobile. En particulier, de telles communications ( hameon-

sept./oct. 2013 - Audit & Contrle internes n216

bloomua - Fotolia.com

IDES ET DBATS
nage ) visent obtenir du destinataire quil envoie ses donnes d'accs secrtes vers une page Web falsifie. (NDT : En effet, les donnes stockes sur un smartphone sont, aujourdhui, moins bien protges que celles stockes sur un PC ; ainsi, par exemple, les dispositifs de cryptage sont peu dploys sur les smartphones. En complment, on constate, lutilisation, que la vigilance du dtenteur dun smartphone est plus faible que lorsquil traite les mmes donnes sur son PC). Introduction clandestine de logiciels malveillants ( malwares ) Avec leurs diffrentes interfaces de communication et de services (clef USB, Bluetooth, SMS ou MMS, et mme les mls), via le navigateur daccs (tlchargement), les terminaux mobiles offrent diffrentes voies de pntration aux logiciels malveillants. Face cette menace, il n'est pas possible de raliser pour les smartphones, a contrario des PC et des ordinateurs portables, un systme de protection en plusieurs couches, compos par exemple dun anti-malware, dun anti-spam et dun filtre URL. Dans ce contexte, il nest pas tonnant de constater une augmentation du nombre de logiciels malveillants sur les smartphones. En outre, limplantation dun logiciel de scurit spcifique qui n'manerait pas du constructeur luimme, savre impossible en regard de la diversit des systmes dexploitation existants. (NDT : En effet, les constructeurs de solution de scurit, dont lefficacit repose sur une connaissance fine du code et de larchitecture des systmes dexploitation (IOS / Androd / Windows Mobile), ne sont pas aujourdhui en mesure de dvelopper, et surtout de maintenir, des solutions efficaces sur des dizaines de version de ces systmes, dont certains sont par ailleurs notablement instables.) Contournement ou neutralisation des mcanismes de scurit La plupart des prestataires de services smartphone permettent seulement d'installer et d'excuter des applications pour smartphones et tablettes ( apps ) certifies, provenant de leur propre magasin en ligne ( App-Store ). Les utilisateurs peuvent toutefois contourner cette restriction avec le mcanisme dit de dbridage pour le systme d'exploitation iOS (Apple), et de routage pour le systme d'exploitation Androd (Google), ce qui a pour effet de neutraliser le systme de scurit install par le fabricant. Une telle manipulation peut donc provoquer des failles techniques de scurit qui faciliteront des prises de contrle abusives des fonctions du terminal mobile par des logiciels malveillants et/ou des pirates / hackers. Commande distance des fonctions des appareils par des tiers Les applications ont souvent accs aux identifiants de l'appareil, aux donnes de golocalisation, aux e-mails et contacts tlphoniques, au numro de carte SIM et autres donnes caractre personnel, pour tre transmis, linsu de lutilisateur, aux fabricants d'appareils, fournisseurs et bien autres services de diagnostic Sur la base de cette facult, il est possible, grce un logiciel malveillant, de transformer de manire cache le terminal mobile en une installation d'coute ou une camra de surveillance. En labsence de possibilit dinstaller de pare-feu personnel sur les smartphones, iI est possible de suivre les conversations en temps rel, et/ou de les enregistrer sur un fichier afin de les retransmettre ultrieurement, sans que le possesseur de l'appareil ne sen rende compte. L'appareil mobile comme moyen dintrusion pour des pirates Les collaborateurs de l'entreprise peuvent se connecter au WLAN avec un smartphone ou une tablette, et ainsi accder aux mmes donnes quavec un appareil agr par l'entreprise. Si la connexion repose uniquement sur le couple identifiant/mot de passe, c'est-dire sans identification renforce, ces accs peuvent permettre dintroduire un logiciel malveillant dans le rseau de l'entreprise. Cest le cas lorsque les smartphones pirats sont synchroniss avec des ordinateurs insuffisamment protgs des attaques de logiciels malveillants.

Les diffrentes rponses pouvant tre apportes aux enjeux de scurit


Des solutions techniques En raison des diffrents usages, du grand nombre d'interfaces et de leur utilisation dans des environnements non scuriss, les terminaux mobiles doivent tre scuriss. Encore faut-il vrifier si, et dans quelle mesure, les solutions retenues sont appropries. Les vendeurs de terminaux mobiles quipent ceux-ci avec diffrentes fonctions de scurit. Force est de remarquer cependant que, mme dans les dernires versions livres, aucun constructeur ne propose de solution en matire dexigences de scurit, telle que antimalware, anti-spam, filtre URL ou parefeu personnel. Il est toutefois possible de se procurer pour certaines plates-formes techniques des applications de scurit du mme fabricant, ou de vendeurs de logiciels de scurit, qui peuvent tre mises en place localement. Ces produits de scurit contiennent en gnral les fonctions suivantes : antivirus, protection anti spam, protection du navigateur, liste dapplications, protection contre le vol, etc. Cette dernire protection permet d'effacer toutes les donnes personnelles distance et de remettre l'appareil vol (ou gar) avec son paramtrage dorigine, de le bloquer ou de le golocaliser. Il existe des profils de protection (officiels) conformes aux standards internationaux pour la scurit des systmes (Common Criteria). Ces profils de protection peuvent servir de rfrence une communication mobile scurise ; des smartphones appliquant ce standard

10

Audit & Contrle internes n216 - sept./oct. 2013

de scurit sont dj disponibles depuis 2009. Le march propose galement des systmes pour la gestion des appareils mobiles (Mobile Device Management MDM). Parmi les prestations proposes figurent des services techniques en vue de transposer les exigences de la politique de scurit SI de lentreprise sur les terminaux mobiles. Certains fabricants de systmes MDN livrent en plus une solution de scurit autonome qui sera installe localement sur le smartphone, par exemple en tant qu'agent de scurit ou sandboxing , qui permet une utilisation des services du smartphone titre professionnel sparment de l'utilisation prive. Du point de vue de la scurit informatique, ces techniques de scurit ont l'avantage de pouvoir faire face plusieurs vecteurs d'attaque. Une telle solution de scurit doit toutefois tre ellemme dploye de manire sre. Une stratgie de scurit spcifique Avec larrive de l'informatique mobile, il est indispensable de rviser les stratgies et les concepts de scurit, et le cas chant les modifier. En particulier, en ce qui concerne les accs scuriss distance au rseau de l'entreprise et aux applications, la gestion des identits prenant globalement en compte aussi bien lquipement informatique traditionnel que celui de l'utilisateur (Bring Your Own Device BYOD), les processus de scurit des appareils terminaux, la gestion distance et la tldistribution de logiciels vers les terminaux (facult pour les DSI des entreprises, de dployer distance une solution logicielle sur lensemble dune flotte de terminaux mobiles). En raison de leur court cycle de vie, latteinte de ces objectifs ncessite une actualisation permanente des options retenues. Du point de vue de l'entreprise, il est ncessaire de dterminer quel usage professionnel les terminaux mobiles sont destins. Il faut en particulier tablir dans le projet d'application quelles donnes seront mises disposition ou sai-

sies via le terminal mobile, par quelles applications centrales les donnes seront produites ou traites, ainsi que les services de terminaux mobiles et l'infrastructure informatique que cela ncessitera. L'entreprise doit donc dterminer les exigences de scurit en fonction de l'utilisation professionnelle prvue pour les terminaux mobiles. Ces exigences dcoulent, d'une part de la valeur de protection des donnes, d'autre part des menaces existantes pour les terminaux mobiles au vu du large spectre des diffrents vecteurs d'attaque, dont il convient de tenir compte en fonction des solutions de scurit adquates et proposes sur le march. Un grand nombre de vecteurs d'attaque ne peuvent tre contrs en se limitant de simples mesures de scurit, quelle que soit leur efficacit. Ladhsion des salaris au dispositif, en particulier pour ce qui concerne les conditions daccs aux rseaux sociaux via le terminal mobile, est cruciale.

Ces exigences sont renforces pour ce qui concerne lutilisation de terminaux mobiles, notamment dans des environnements externes au rseau protg de lentreprise, qui les conduit tre exposs des menaces vis--vis desquelles ils sont aujourdhui mal protgs (cf. cidessus). Lusage de terminaux mobiles ncessite des campagnes de sensibilisation pralables destination des salaris concerns. Des rgles prcises accompagnant et compltant les mesures techniques de scurit. Ces rgles dutilisation doivent aborder, entre autres : le primtre strict de l'utilisation, linterdiction ou ladmission d'une utilisation titre priv ou de lutilisation d'appareils privs, les rgles de comportement et de scurit et linformation relative aux mesures dadministration distance.

Issu de larticle Revisionsaspekte beim Mobile Computing / Bernd Stolberg, et al. Zeitschrift Interne Revision, pp. 280-288, Dezember 2012 LIFACI tient remercier le Groupe professionnel Systmes dInformations prsid par Jos Bouaniche, auditeur interne, Caisse des Dpts et Consignations, pour ses travaux de relecture.

Quel positionnement pour laudit interne ?


Par principe, la pertinence des orientations prises en matire demploi de technologies, comme les terminaux mobiles, ne relve pas, en tant que telle, de la mission de l'audit. En revanche, les auditeurs internes se doivent danalyser ladquation des options retenues, en regard de lexposition aux risques qui en rsulte, et dvaluer la qualit des dispositifs de matrise de ces risques. En ce sens, l'audit doit, non seulement appliquer tous les critres lis la scurit informatique (Disponibilit, Intgrit, Confidentialit, Preuve DICP), mais galement ceux se rapportant la fiabilit et la rentabilit, ainsi que, de faon gnrale, lensemble du dispositif de contrle interne. En premier lieu, les mmes exigences de scurit informatiques sont autant applicables l'informatique mobile quaux postes de travail sdentaires .

Lire aussi : Revisionsaspekte beim Mobile Computing / Bernd Stolberg, et al. Zeitschrift Interne Revision, pp. 280-288, Dezember 2012 Auditing the BYOD program. in Internal auditor, February 2013 Bring Your Own Device (BYOD) Security Audit/Assurance Program / ISACA. 2012 BYOD. in Internal auditor, December 2012

sept./oct. 2013 - Audit & Contrle internes n216

11

INTERNATIONAL

Ce que l'avenir nous rserve


Trois des principaux intervenants la confrence internationale 2013 de l'IIA prdisent ce qui attend les entreprises et leurs auditeurs internes

Propos recueillis par ... Craig Guillot, journaliste indpendant la Nouvelle-Orlans

en sommes arrivs un point o mme les mtiers les plus qualifis sont menacs. Les ordinateurs remplacent aujourd'hui certains postes rmunrs 150 000 200 000 dollars. Selon lui, pour survivre dans ce nouvel environnement conomique, les salaris devront constamment se demander quelles comptences leur reviennent encore et comment ils peuvent se montrer plus efficaces que des machines ou des logiciels. Cela requiert un apprentissage et une formation continus, deux dimensions qui ont commenc prendre du retard ces vingt dernires annes. Les entreprises ont d se concentrer sur des avantages comptitifs, et selon Tom Peters, elles ont oubli certains fondamentaux, comme le management et la qualit de leurs collaborateurs. Pour lui : Ce ne sont pas les choses compliques qui posent problme. Ce sont en gnral les choses les plus lmentaires qui mettent en difficult, comme lorsqu'on oublie de rentrer le rideau de douche et que l'on met de l'eau partout. Connaissances et comptences Par consquent, selon Tom Peters, les employeurs devront mettre davantage l'accent sur la formation et l'apprentissage continus, et les universits devront proposer autre chose qu'un simple examen supplmentaire. Il envisage un monde dans lequel les entreprises for-

ans les dix annes venir, les entreprises volueront dans un environnement de plus en plus comptitif o le pouvoir rsidera dans la connaissance, et o les capacits changer et s'adapter seront essentielles. Avec la rduction des marges sur les prix repres, les organisations devront trouver des propositions de valeur uniques pour se dmarquer de la concurrence. Elles devront galement mettre davantage l'accent sur l'identification et l'anticipation des risques inhrents une activit dans l'conomie mondiale, et sur le recours des technologies en constante volution. Dans ce contexte, les auditeurs internes auront probablement un rle central jouer pour aider les dirigeants identifier les risques, formuler des solutions et se prparer ce que leur rserve l'avenir. l'heure o les organisations cherchent prvoir et anticiper les changements qui les attendent, trois experts prospectifs un expert en management renomm, un leader d'opinion dans le domaine de la technologie et un responsable de l'audit interne du classement Fortune 500 livrent leurs points de vue sur l'avenir du monde des affaires et sur celui de la profession d'audit interne.

Tom Peters
Si le monde a rapidement volu ces dix dernires annes, le rythme risque encore de s'acclrer dans les annes venir. Selon Tom Peters, consultant en management, co-auteur du best-seller In Search of Excellence, nous sommes actuellement confronts une mutation technologique sans prcdent et nous allons continuer d'tre inonds de nouveaux appareils et de nouveaux logiciels. Que ce soit l'chelle de l'organisation ou du simple employ, les entreprises doivent s'adapter et apprendre en permanence. Pour Tom Peters, la technologie ne modifie pas seulement la manire dont nous travaillons, elle transforme l'ensemble de notre conomie. Les robots ont commenc remplacer les ouvriers industriels dans les annes 1980 et 1990, tandis qu'aujourd'hui, selon Tom Peters, les fonctionnalits avances des logiciels et ordinateurs supplantent davantage les cols blancs . De nos jours, mme certaines tches d'analyse parmi les plus pointues sont ralises par des algorithmes informatiques. D'aprs Tom Peters : De la comptabilit l'ingnierie en passant par le droit, nous

12

Audit & Contrle internes n216 - sept./oct. 2013

meront en permanence leurs salaris aux dernires technologies et mthodes, un peu comme une quipe sportive, un service de police ou un rgiment de l'arme. Pour lui, le capital humain devrait tre et rester la priorit des organisations. Les budgets de formation devraient tre suprieurs aux budgets d'investissement et le dveloppement du capital humain devrait systmatiquement figurer en tte de tout plan d'action ou document li la stratgie de l'entreprise. Selon Tom Peters : Le responsable de la formation devrait siger aux cts du directeur financier et de tous les autres responsables. Dans l'arme, la formation est assure par un haut grad, tandis que dans les grandes entreprises amricaines, elle est assure par un manager d'chelon intermdiaire. Tom Peters pense galement que chaque salari devrait disposer d'une stratgie de dveloppement personnelle et talonne. Chaque responsable devrait aussi tre valu(e), et sa performance devrait tre lie l'efficacit collective des stratgies de dveloppement individuelles. tant donn qu'il existe actuellement ce qu'il appelle une pnurie de leadership, Tom Peters recommande galement d'optimiser le taux de dveloppement de femmes responsables chaque chelon, et de faire appel au maximum la main-d'uvre plus ge tout en favorisant constamment leur dveloppement. Partenariat avec les auditeurs Tom Peters estime que les auditeurs internes pourraient avoir un rle important jouer dans les prochaines annes travers leur collaboration avec des services et des organisations pour amliorer leurs processus et leur performance. Il y a l pour lui une transformation d'ordre culturel, dans le sens o l'apprhension que suscite l'auditeur chez les responsables de service laisse place la vision d'un possible partenariat.

D'aprs Tom Peters : L'auditeur interne sera l pour aider l'entreprise s'amliorer, se sophistiquer, se professionnaliser, et pour sensibiliser chaque individu chaque chelon aux changements qui s'oprent.

Scott Klososky
Pour Scott Klososky, confrencier, auteur et consultant spcialis dans le domaine de la technologie, l'conomie de demain sera fonde sur la connaissance, et les personnes intelligentes seront gagnantes . Les entreprises peuvent utiliser des outils technologiques sociaux pour constituer un flux large, dense et puissant, d'informations filtres qui peuvent tre combines de manire unique pour chaque individu. Scott Klososky, qui dsigne ce concept sous le nom de rivires d'informations , estime qu'il s'agit d'une manire efficace et efficiente de faire augmenter le niveau d'intelligence d'une organisation tout entire. Lorsqu'une organisation cre une rivire d'informations, les individus et les quipes peuvent rationaliser leur processus quotidien d'assimilation de connaissances. Pour cela, il s'agit de trouver les sources d'information pertinentes pour l'entreprise, le service ou l'individu. Une rivire peut galement contenir des informations sur les concurrents, des donnes sur le secteur d'activit, des points de vue de leaders d'opinion et de blogueurs ainsi que des lettres d'information. Avoir recours aux rivires d'information ncessite de passer par les outils sociaux (des rseaux sociaux aux forums en passant par d'autres applications internet) afin d'assimiler et de transmettre l'information rapidement. Les quipes et les individus devraient contribuer alimenter le flux d'informations cumulatif. D'aprs Scott Klososky : Je pense qu'il s'agira de l'une des meilleures solutions pour aider les salaris apprendre et progresser en permanence. Comptences technologiques accrues Scott Klososky estime que, mme si la technologie est gnralement syno-

nyme de progrs, elle peut devenir aussi un fardeau lorsqu'elle change trop souvent. Non seulement il est ncessaire de s'adapter continuellement, mais il convient aussi d'anticiper les nouvelles volutions et technologies de demain. D'aprs Scott Klososky, tout deviendra de plus en plus complexe avec la course la technologie que les entreprises auront engage pour ne pas se faire dpasser par leurs concurrents. l'instar de Tom Peters, Scott Klososky estime que les salaris de demain devront tre plus souples et plus adaptables. Ils devront tre extrmement qualifis et capables d'apprhender de nouvelles technologies en un clin d'il. Dans tous les domaines, les salaris devront possder des comptences solides dans l'utilisation des rseaux sociaux, la gestion des donnes et la prise en main des outils logiciels. Selon Scott Klososky : Dans chaque domaine, on favorisera les spcialistes qui matrisent aussi la technologie. Outre les comptences spcifiques leur domaine, les individus devront possder des comptences informatiques. Les services de ressources humaines auront la contrainte encore plus pressante de trouver des nouveaux salaris comptents et qui matrisent la technologie, et d'organiser des formations leur intention. Scott Klososky estime que nous allons assister l'essor des tests pour juger de la capacit d'une personne assimiler et progresser rapidement en utilisant le processus d'apprentissage continu de l'organisation. La technologie jouera aussi un plus grand rle particulirement dans le domaine de l'audit. Selon l'enqute 2013 Pulse of the Profession ( l'coute de la profession) de l'Audit Executive Center de l'IIA, intitule 2013 : saisir les nouvelles opportunits , 38 % des participants s'attendent voir l'audit se concentrer davantage sur les technologies de l'information. Ce domaine arrive en tte devant la conformit et la rgle-

sept./oct. 2013 - Audit & Contrle internes n216

13

INTERNATIONAL

mentation, l'efficacit de la gestion des risques, et les aspects oprationnels. Gestion d'une population active virtuelle La technologie transforme galement la manire dont les gens travaillent. Dans de nombreux secteurs, la localisation gographique est en train de perdre de son importance. Selon une tude rcente ralise auprs de 1 000 salaris amricains par ORC International, un cabinet d'tudes indpendant, 11 % des participants sont en tltravail, et 16 % l'ont dj t. S'il est prvu que la part du tltravail augmente, il en va de mme pour la collaboration virtuelle

entre les salaris. Les rencontres hebdomadaires en salle de runion et les espaces de travail collaboratifs sont de plus en plus souvent remplacs par des quipes virtuelles , composes de collaborateurs dissmins dans tout le pays. Scott Klososky estime que les managers qui sont de plus en plus amens grer des quipes virtuelles devront rester la pointe de la technologie pour amliorer les processus de gestion du travail. Ils devront faire plus de choses avec moins de ressources et atteindre plus rapidement leurs objectifs. D'aprs Scott Klososky : La gestion d'quipes virtuelles soulve un certain nom-

bre de problmes, et il faut des personnes bien prcises pour les rsoudre. l'avenir, nous allons raliser une part de plus en plus importante de notre travail de manire virtuelle. Selon lui, puisque les jeunes gnrations ont grandi avec l'essor des rseaux sociaux, elles seront beaucoup plus enclines travailler dans des quipes virtuelles. Habitues aux relations virtuelles sur Facebook et sur Twitter, elles ne seront pas gnes de travailler en quipe avec des personnes qu'elles n'ont jamais rencontres. Pour Scott Klososky : Les salaris seront capables de travailler de n'importe o, n'importe quand, quand ils le souhaitent.

14

Audit & Contrle internes n216 - sept./oct. 2013

alphaspirit - Fotolia.com

Cela reprsente un dfi croissant pour les managers.

Brian Thelen
Dans l'enqute 2013 Pulse of the Profession , Richard Chambers, Prsident et Directeur excutif de l'IIA, dclare que les responsables de l'audit interne ont la capacit d'anticiper les choses et de s'adapter rapidement . Il est soulign dans le rapport que de nombreux auditeurs devront aider les organisations grer la complexit et l'incertitude grandissantes qui psent sur les activits. Pour Brian Thelen, responsable de l'audit interne et de la gestion des risques chez General Motors, les auditeurs ont un rle de plus en plus grand jouer dans l'valuation des risques. La chane d'approvisionnement mondiale, la diminution des marges, la concurrence accrue et la bataille froce pour gagner des parts de march font que les entreprises ne peuvent pas se permettre de prendre des risques. D'aprs Brian Thelen, General Motors a de plus en plus recours ses auditeurs pour anticiper des risques possibles, dterminer l'impact que ces derniers peuvent avoir sur l'entreprise et trouver des solutions pour y remdier. Alors qu'auparavant l'audit interne tait souvent tourn vers les vnements passs, Brian Thelen estime qu'un plus grand nombre de socits dans davantage de secteurs utiliseront dornavant les auditeurs pour se faire une ide de ce que leur rserve l'avenir. D'aprs Brian Thelen : Nous aurons certainement un rle jouer pour aider le management avoir une vision plus prospective. Nous sommes en mesure d'identifier les tendances et le fait de pouvoir communiquer ces tendances au management peut permettre de mieux prdire les volutions futures. Capacits informatiques et rflexion analytique Dans certains domaines, le recrutement d'auditeurs qualifis pourrait poser pro-

blme, selon Brian Thelen. D'une part, les attentes seront plus leves et d'autre part, moins de candidats se montreront prts changer de poste. D'aprs la socit internationale de reclassement externe Challenger, Gray & Christmas, le nombre de salaris prts changer de poste a atteint des niveaux historiquement bas fin 2011. Selon les rsultats tirs d'une tude ralise auprs de 3 000 personnes, les salaris sont moins nombreux vouloir prendre des risques, en raison du contexte conomique incertain et de l'inscurit sur le march du travail. Pour Brian Thelen : Le march des auditeurs internes est toujours assez restreint dans certains endroits, il peut donc tre difficile de recruter la bonne personne au bon poste. Le nombre de candidats qualifis peut varier de manire significative en fonction du secteur d'activit et de la localisation du poste, mais une solution pour remdier ce problme consiste renforcer les liens avec les universits pour crer un vivier de jeunes diplms qualifis. Souvent, les tudiants n'apprennent que les fondamentaux, alors que selon Brian Thelen, l'accent devrait tre davantage mis sur l'innovation et la rsolution de problmes. Nous avons besoin de davantage de personnes qui savent lire les donnes, extraire des informations qui ne sont pas forcment apparentes et faire des rapprochements. L'enjeu sera de savoir faire face ce risque. Pour passer d'un rle ractif un rle proactif, les auditeurs devront penser et travailler diffremment. Ils devront tre attentifs aux volutions pour reprer les menaces potentielles qui psent sur les approvisionnements, la demande du march, la main-d'uvre, et devront savoir analyser les tendances dans les donnes pour faciliter l'mergence de solutions. Dans les annes venir, les auditeurs devront dmontrer encore plus de comptences et de talent pour passer au crible des quantits d'informations toujours plus importantes, afin de dgager des tendances et des liens.

Selon Brian Thelen : Les auditeurs seront beaucoup plus sollicits [ l'avenir] qu'ils ne le sont maintenant. Ils devront faire preuve d'une rflexion stratgique plus pousse, ils devront regarder vers l'avenir et tre capables de transmettre efficacement ces analyses. Monte en puissance des quipes virtuelles Comme l'explique Scott Klokosky, d'une certaine manire, les diffrences gnrationnelles transformeront la population active dans son ensemble. En raison de la polyvalence et de l'utilisation des technologies de pointe, les salaris s'loigneront de plus en plus loin des manires de travailler traditionnelles , pour s'orienter vers des quipes virtuelles. Pour Brian Thelen, la communication en face--face et les activits sur site continueront de faire partie de la profession d'audit, mais les lments virtuels du mtier demeureront un vritable enjeu. Ce qui importe en audit, ce sont les relations, la confiance et la prsence. Je ne pense pas que le mtier deviendra strictement virtuel, mais cette composante prendra une part de plus en plus grande. Il est essentiel de possder les bonnes comptences et capacits pour dvelopper cet aspect. Pour Brian Thelen, les entreprises emploieront souvent la force brute pour surmonter ces dfis, mais en raison des transformations dmographiques l'uvre dans la population active, elles auront besoin d'une fondation plus solide pour matriser de tels risques. Selon lui : En fin de compte, les personnes qui vous ont aid pendant la crise ne seront peut-tre pas l. Nous allons avoir besoin de grer ce risque de manire systmatique et anticipe. Le risque continuera d'tre l'un des principaux obstacles au changement, et les auditeurs joueront un rle cl.

Article paru dans le numro de juin 2013 de la revue Internal Auditor publie par lIIA

sept./oct. 2013 - Audit & Contrle internes n216

15

Publications IFACI

Bon de commande
Le Manuel dAudit Interne - Amliorer lefficacit de la gouvernance, du contrle interne et du management des risques est louvrage international de rfrence sur le mtier dauditeur interne. labor sous lgide de la fondation pour la recherche de lIIA, il est le fruit de la collaboration de trois professeurs et de quatre praticiens. Son adaptation aux contextes europen et franais a t ralise par des universitaires et praticiens franais runis par lIFACI, ce qui en fait loutil idal pour les auditeurs internes, les tudiants en audit interne et leurs enseignants. Ce manuel est organis en deux sections : concepts fondamentaux de laudit interne et conduire une mission daudit interne . Il reflte les dernires volutions de la profession, en particulier dans les domaines suivants : normes internationales de laudit interne ; gouvernance, contrle interne et management des risques ; lments cls lis aux systmes dinformation et rfrences aux guides GTAG et GAIT diffuss par lIIA et par lIFACI ; risques de fraude ; missions de conseil. La premire dition de ce manuel, traduite en espagnol et en japonais a t adopte par de nombreux pays de par le monde. Nous sommes convaincus que cette adaptation franaise de la seconde version ajoutera encore ce succs et contribuera efficacement la formation des tudiants et la professionnalisation des auditeurs internes.
AUTEUR : The Research Foundation (The IIA) / IFACI - Prix HT : 61,61 Septembre 2011 - Format : 17 x 24 cm - ISBN : 978-2-915042-33-7
(65,92 TTC)

BON

DE

COM M A N D E

Socit : ................................................................................................................................................................................................................................................................................... Nom : ............................................................................................................................................. Prnom : ...................................................................................................................... Adresse : .................................................................................................................................................................................................................................................................................. Code postal : ......................................... Ville : ........................................................................................................................... Pays : ......................................................................... Tl. : ........................................................... Fax : ......................................................... Ml : ............................................................................................................................................... TITRE Manuel daudit interne PRIX HT 61,61 Total HT TVA 7 % Net payer TTC* Bon de commande retourner : Marie-Thrse Tran - IFACI 98 bis, bd Haussmann - 75008 Paris Tl. : 01 40 08 48 00 - Fax : 01 40 08 48 20 Mel : mtran@ifaci.com - Internet : www.ifaci.com QUANTIT TOTAL

PAIEMENT PAR :

Chque bancaire ou postal ( lordre de lIFACI) Virement la banque HSBC agence centrale Compte IFACI n30056-00148-01485415521-72 Carte de crdit : N .................................................................................................................................................... Date dexpiration : ....................................................................................................................

Rglements : Une facture pro forma vous sera adresse par courriel ds rception de votre commande. Chque : libell en euros tir sur une banque franaise. Virement : les virements mis partir dune banque hors de France doivent tre nets de tous frais bancaires pour lIFACI.

DATE : ............................................... SIGNATURE :

(*) Hors frais de port et demballage.

DOSSIER

Les rponses de laudit interne aux attentes de ses parties prenantes

18 23 25

Ce quattend de laudit interne un prsident de comit daudit Philippe Lagayette Laudit interne : une fonction exigeante aux multiples facettes Benot Harel Comment laudit interne dArcade satisfait-il les attentes diverses et parfois de nature diffrente des parties prenantes du groupe ? Jean-Marc Pluzanski Le contrle interne au ministre de la Dfense : une organisation spcifique Jean-Franois Charbonnier Comment rpondre au mieux aux attentes des parties prenantes de laudit interne dAG2R La Mondiale ? Eric Burlot

29 32

sept./oct. 2013 - Audit & Contrle internes n216

17

DOSSIER

Ce quattend de laudit interne un prsident de comit daudit


Entretien avec ... Philippe Lagayette, Prsident du comit daudit de Renault

Le rle du comit daudit, cest de dire au conseil dadministration ce qui peut poser problme lintrieur de lentreprise, dans la conformit aux lois et rglements, dans le reprage et la matrise des risques, et dans des agissements potentiellement nuisibles. Le comit daudit sappuie sur les systmes de contrle interne de lentreprise, au sens large : contrle interne, audit interne, audit externe. Le contrle et laudit doivent tre orients par la connaissance des risques. Lauditeur interne doit savoir distinguer limportant du moins important, cela suppose un esprit tourn vers lefficacit. Il faut quil fasse preuve de caractre et quand il sest fait une opinion dfinitive, il doit lexposer de faon claire et simple.

contrle lmentaire qui nest pas fait. Il faudra, ds lors, dpenser une nergie considrable pour le remplacer. Le deuxime tage, cest un contrle plus formel, soit sur certains risques, soit certaines priodes, qui sorganise, mais qui relve soit de la hirarchie, soit de fonctions support ou de fonctions spcialises telles que la gestion des risques ou la conformit. Le troisime tage, cest laudit.

Louis Vaurs : Monsieur le Prsident, ma premire question sera simple et directe. Comment concevez-vous le rle du comit daudit ? Philippe Lagayette : Le rle du comit daudit, cest de dire au conseil dadministration ce qui peut poser problme lintrieur de lentreprise, dans la conformit aux lois et rglements, dans le reprage et la matrise des risques, et dans des agissements potentiellement nuisibles. Pour les comptes, le comit daudit fait part de ses investigations au conseil dadministration, des faiblesses ou des insuffisances releves. Le comit daudit sappuie sur les systmes de contrle interne de lentreprise, au sens large. Il faut distinguer le contrle interne, qui est une sorte dactivit permanente, intgre dans le processus de dcision, et laudit interne qui est une dmarche ponctuelle, qui doit tre dconnect de la hirarchie du processus de dcision habituel. Il y a aussi des audits externes faits par les commis-

saires aux comptes. Quant au contrle interne, il englobe au premier chef tout ce que fait la hirarchie, ce que fait le management. Le management doit faire du contrle, il est le premier contrleur, le premier responsable du respect des lois et de la rglementation. Il y a en gnral un deuxime tage qui est un contrle plus formel. Laudit, cest une sorte de troisime tage, mais dune nature un peu diffrente. Il nest pas dans le processus hirarchique. L. V. : Vous voquez l, me semble-t-il, le concept des 3 lignes de matrise des risques dvelopp par lECIIA, la Confdration Europenne des Instituts dAudit Interne. Ph. L. : Je suis tout fait daccord avec ce concept. Le problme gnral, cest le dsintrt du management pour les contrles. Il considre trop souvent que son mtier cest le commerce ou la production, et que les contrles sont affaires de contrleurs. Si le management a cette attitude, il y a une bonne partie du

L. V. : La fonction gestion des risques a pris rcemment une grande importance au sein des entreprises. Ny a-t-il pas un danger de voir se dvelopper une lutte dinfluence entre celle-ci et laudit interne ? Ph. L. : Normalement, ils ont des points de vue et des angles de vision assez diffrents. Lauditeur interne porte un regard distanci, nayant pas de prise de responsabilit. Le gestionnaire de risques a un travail plus direct faire sur la matrise des risques. Si les choses ne samliorent pas, il est lui-mme en cause, et pas seulement les managers. Laudit, cest un peu diffrent. Son rle est dvaluer le processus de gestion des risques et de faire des constatations de base. Il ne faut pas non plus oublier la conformit : les rgles sont-elles respectes ou pas. Un des risques de laudit, cest de se situer trop haut et de ne pas faire les vrifications de base. Il faut les faire. En comptabilit cest pareil, il ne faut pas regarder seulement si le sys-

18

Audit & Contrle internes n216 - sept./oct. 2013

Les rponses de laudit interne aux attentes de ses parties prenantes

tme comptable est bien fait, il faut regarder aussi si les chiffres sont justes, et sils sont appuys par des pices idoines. Si je prends lexemple de Renault, il a t mis en place une nouvelle organisation. La gestion des risques fait partie dune direction qui comprend galement le contrle interne et laudit interne. Laudit interne ayant quand mme un statut spcial parce quil est branch directement sur le directeur gnral et sur le prsident du comit daudit. Cette direction procde au reprage des risques et lvaluation de ce que lentreprise fait pour les matriser, qui est assez satisfaisante. Il ne sagit pas dune simple cartographie, mais dune valuation du caractre critique et du degr de matrise. Le comit daudit soccupe donc en mme temps des risques, du contrle interne et de laudit.

Renault

Le contrle et laudit doivent tre orients par la connaissance des risques : le reprage des risques et le niveau de matrise. Ceux qui sont mal matriss appellent une action pour mieux les cerner et des actions pour essayer de les matriser. L. V. : Dans le secteur bancaire, il y a une muraille de Chine entre laudit qui est le contrle priodique, et le contrle permanent qui couvre les risques, la conformit, et le contrle au fil de leau. Ce qui est une bonne organisation pour les banques nest pas ncessairement applicable pour les autres secteurs dactivit. Quen pensezvous ? Ph. L. : Dans le secteur bancaire, il y a une ambiance particulire. Dans toutes les activits de march de capitaux, il y a des gens qui poussent beaucoup pour faire des rsultats ; beaucoup plus fort que ce que lon trouve dans une entre-

prise normale . Il faut donc prendre des prcautions particulires dans ce secteur et protger spcialement laudit, et pour cela le sparer. Dans les entreprises normales , il faut aussi que laudit soit indpendant, dans son apprciation, quon ne puisse pas lui imposer le plan daudit. Le plan daudit, cest lentreprise qui le fait, mais il faut que laudit puisse dire : il y a tel problme dans telle entit, il faut faire une mission . Enfin, laudit doit tre totalement indpendant dans les conclusions, quitte ce que lentreprise prenne la responsabilit de ne pas suivre les recommandations. Il doit conserver son indpendance de jugement et pouvoir accder directement au directeur gnral sil a quelque chose dire. Et au prsident du comit daudit. L. V. : Est-ce que vous participez lvaluation du directeur de laudit interne ?

sept./oct. 2013 - Audit & Contrle internes n216

19

DOSSIER
tions, reoit des prsentations, mais ne dtermine pas lorientation de lentreprise. L. V. : Les responsabilits du comit daudit se sont accrues, le prsident du comit daudit que vous tes sen inquite-t-il ? Ph. L. : Il faut tenir compte de lambiance de lentreprise, de ltat desprit qui y rgne. Il existe des entreprises o lon peut faire des btises, mais o il ny a pas de fortes tendances sortir des clous. Il ne faut pas avoir peur. Si quelquun a peur, il va seffrayer de tout. Il va demander une foule de renseignements, des justificatifs, toutes sortes de papiers. Mais il ne sera pas fondamentalement rassur. Ce quil faut, cest se forger un jugement sur les personnes ; il y a les papiers, bien sr, mais il y a beaucoup dautres aspects, humains en particulier. Il faut, lvidence, une information hirarchise et donne par des personnes qui ont confiance dans le fait que cette information vous permettra dagir pour le bien de lentreprise, et non pas pour les mettre en difficult ou compliquer les choses. Il ne faut pas se laisser noyer. Vouloir passer au crible tous les rapports daudit na pas de sens. Le comit daudit nest pas charg de grer lentreprise, mais il sassure quil a t mis en place des systmes fiables qui permettent de reprer les faiblesses les plus graves. Mais ce nest pas lui qui va les dcouvrir. Il doit certes y avoir une relation de confiance entre le prsident du comit daudit et le responsable de laudit interne, mais aussi avec bien dautres responsables : le directeur de la comptabilit, le directeur financier, le directeur juridique, par exemple. Normalement, le comit daudit doit se faire prsenter les principaux contentieux de lentreprise priodiquement. Si la direction juridique veut vous noyer sous les informations, cest trs facile. Elle vous donne un monceau de documents juridiques incomprhensibles et vous navez aucune ide de ce que sont les vrais

Renault

Philippe Lagayette quivalente la culture franaise traditionnelle du chef : un chairman dirige tout, il est seul lgitime. Il expose au conseil dadministration ce quil faut faire et on lui dit quil a raison, quil connat bien lentreprise, etc. Cest vrai dans 95 % des cas. Dautre part, il y a une autre culture, dans laquelle les actionnaires rclament des questions ouvertes, veulent que le conseil dadministration puisse rellement peser et soupeser les orientations que prend lentreprise, stratgiques notamment. Cela donne au conseil dadministration un plus grand poids. Les membres reoivent de lourds dossiers, les questions sont beaucoup plus ouvertes. En France, il y a eu de grands changements en quinze ans, changements sous linfluence de ltranger. Il y a vingt ans la France ignorait les comits daudit, mais elle a volu dans la bonne direction, avec les diffrents comits, les guidelines de lAFEP et du Medef, etc. Ce qui na pas chang, cest le rle du conseil dadministration vis--vis de lentreprise. Cest un organe de vrification, de ratification, qui agit si un gros problme se prsente. Il pose des ques-

Ph. L. : Non. Cest lentreprise qui nomme les gens. Le prsident du comit daudit est nomm par lentreprise, par le directeur gnral. Le devoir du prsident du comit daudit, sil voyait quune personne ne fait pas laffaire, serait de le dire. Jajoute quil nest pas non plus de la responsabilit du comit daudit de participer la nomination du directeur de laudit interne, mais il va de soi que jinterviendrais sil tait licenci parce quil a dit des choses qui dplaisent. Mais dans lambiance actuelle et lvolution des murs sur ces choses, je ne vois pas une entreprise faire cela. Cest dangereux. L. V. : Le rle du conseil dadministration et du comit daudit est-il le mme en France qu ltranger ? Ph. L. : Le rle du conseil dadministration par rapport lentreprise, nest pas le mme dans les pays anglo-saxons. Le conseil dadministration a beaucoup plus de responsabilits en Angleterre ou aux Etats-Unis. Cest trs largement vrai en Angleterre. Aux Etats-Unis, on trouve les deux cultures. Dune part, la culture

20

Audit & Contrle internes n216 - sept./oct. 2013

Les rponses de laudit interne aux attentes de ses parties prenantes

risques. Il faut quelle vous parle franchement, en disant : telle affaire est complique, mais nous sommes sur une assez bonne position ; sur telle autre, notre position est dlicate, etc. . Pour un prsident du comit daudit, le risque principal est l. Cest davoir ou pas une relation de confiance avec les personnes de lentreprise qui agissent dans le domaine du contrle. L. V. : Doit-il y avoir des relations troites entre audit interne et audit externe ? Ph. L. : Les travaux des commissaires aux comptes sont la fois utiles et ncessaires. Il faut partir de l. Ils voient les choses dans un tat desprit diffrent. Ils travaillent pour eux-mmes, pas pour lentreprise. Ce quils veulent fiabiliser, ce sont les chiffres, les comptes quils certifient. Cest pour cela quils font des audits ; ils nont pas le mme point de vue que laudit interne de lentreprise. Dans un schma idal, laudit interne doit se coordonner avec laudit externe pour ne pas refaire ce qui a t fait, et tirer le meilleur parti possible des travaux des auditeurs externes.

Autre point trs important, laudit externe peut constater des anomalies et ne pas les faire remonter parce que ce nest pas son problme. Par exemple le systme comptable de lentreprise nest pas bien tenu, mais les chiffres sont bons. Laudit externe ne devrait pas sen tenir aux chiffres, mais signaler quil y a des faiblesses dans la tenue du systme comptable. Sil ne le fait pas, ces faiblesses ne seront vraisemblablement jamais corriges. L. V. : Est-ce que les commissaires aux comptes doivent sappuyer sur les travaux de laudit interne ? Ph. L. : Sils le veulent, oui. L. V. : Leurs normes disent quils peuvent le faire. Encore faut-il quils aient une certaine assurance de la qualit des travaux de laudit interne. Ph. L. : Cest leur responsabilit. L. V. : Est-ce que le fait dtre certifi, comme la direction de laudit interne de Renault lest, est un signe de qualit ?

Ph. L. : Oui. Je nai pas dexprience gnrale, mais je suppose quil doit y avoir des diffrences de niveau assez grandes dans la qualit des services daudit interne des entreprises. Cest peut-tre li au secteur dactivit ou la culture mme de lentreprise mais cest peut-tre aussi li autre chose : la carrire des auditeurs. Qui sont ces gens ? Do viennent-ils et o vont-ils ? Mon sentiment, cest quil y a plusieurs systmes qui peuvent fonctionner. Laudit peut tre une tape valorisante dans une carrire comme souvent dans les banques. Les jeunes gens, brillants, vont passer quelques annes laudit. Cela complte leur formation sur lentreprise. Et ensuite, ils sont mis en orbite pour occuper des postes plus importants. Faut-il recruter des auditeurs qui viennent dailleurs ? Ou bien faut-il prendre trs majoritairement des agents qui ont dj des expriences dans lentreprise ? Je pense que les deux sont possibles. Mais sils viennent dailleurs, il faut quils apprennent lentreprise. Et peuttre laudit aussi parfois, sils sont trs

Renault

sept./oct. 2013 - Audit & Contrle internes n216

21

DOSSIER
jeunes. Mais aprs tout, les cabinets daudit font de la formation et le systme fonctionne. Si lon prend des agents internes lentreprise, il faut quils aient suffisamment lenvie de prendre la position de lauditeur et de se former ; quil ny ait pas de complicit avec le management. Pour revenir la certification de la direction de laudit interne de Renault, ds lors que cette dmarche tait lance, il fallait quelle russisse. On peut sy reprendre deux fois, a arrive, mais jai vcu cela trs positivement mme si cest vraiment mettre lorganisation sous tension. L. V. : Quattendez-vous du responsable de laudit interne ? Ph. L. : Premirement, le responsable de laudit interne doit tre comptent dans le mtier daudit. Les certifications sont un bon moyen de jauger cette comptence. Deuximement, il faut quil connaisse lentreprise, ou quil apprenne la connatre rapidement. Troisimement, Il doit savoir distinguer limportant du moins important. Sinon, on peut tre trs vite noy dans les observations, les recommandations, etc., et ne pas projeter sur le management des messages clairs et centrs sur lessentiel. Cela suppose un esprit tourn vers lefficacit. Quatrimement, il faut quil fasse preuve de caractre, et sache rsister aux pressions le cas chant. Il donne aux audits un droit de rponse qui peut tre la cause de dissensions. Il faut grer cela avec calme et objectivit. Et quand il sest fait son opinion dfinitive, lexposer de faon simple et claire, pour tre certain dtre bien compris. L. V. : Doit-il jouer un rle particulier dans le domaine de lthique ? Ph. L. : Bien sr. Lthique est un tat desprit qui doit imprgner tout le monde. Laudit doit projeter une image de bon comportement. Et il peut reprer beaucoup de choses et ragir en consquence. Si cest de la fraude, elle doit tre traite par des spcialistes de la fraude. De plus en plus dans les entreprises, il y a des directeurs de lthique. Je crois que cest une bonne tendance, et que lthique a t un peu nglige. La rglementation ne peut pas tout faire. Et les rglementations internes dans les entreprises doivent tre appliques avec un tat desprit positif, dans le souci du bien de lentreprise. L. V. : Faites-vous une diffrence entre la conformit et lthique ? Ph. L. : Oui. La conformit : quand il y a des rgles claires, on les respecte ou pas. Lthique : il y a des drapages ou il ny a pas de transgression de rgles positives. L. V. : Ethique et valeurs ? Ph. L. : Les valeurs de lentreprise sont souvent orientes vers leffort commercial, la russite de lentreprise. Et cest trs bien comme a. Lintgrit fait partie maintenant des valeurs de lentreprise, surtout dans des secteurs o on peut en manquer. L. V. : Merci Monsieur le Prsident de nous avoir accord ce long entretien.

Renault

22

Audit & Contrle internes n216 - sept./oct. 2013

Les rponses de laudit interne aux attentes de ses parties prenantes

Laudit interne : une fonction exigeante aux multiples facettes


Benot Harel, Directeur, IFACI Certification

Pour atteindre ses objectifs, le directeur gnral doit pouvoir sappuyer sur une entreprise en bon ordre de marche. Laudit interne est une des fonctions essentielles sur lesquelles compte ce directeur pour complter son orientation externe par une vision interne. Que demande celui-ci aux auditeurs ? Des conclusions spcifiques (viter les considrations densemble) ; des rapports orients vers la dcision et laction ; des ractions rapides, en cas de coups durs ; des informations sur les pratiques de gouvernance et daudit dorganisations comparables ; la capacit dmontrer la couverture adquate des activits de matrise des risques majeurs de lorganisation, et bien dautres choses encore, qui font lobjet de cet article.

frquemment mise en avant dans les apprciations formules.

Des rapports orients vers la dcision et laction


Les synthses des rapports, orientes vers la dcision et laction, doivent clairement mettre en regard problmatiques releves et solutions envisages, sur lesquelles le directeur gnral conserve un droit de regard et de suite dans son pilotage managrial. La synthse doit attirer lattention dun haut dirigeant sur les points cls de son champ de responsabilit et sur lesquels ce dernier peut simpliquer. Plus prcisment, le dirigeant apprcie une analyse solide des sources de dficiences, une mise en ordre et une connexion des causes multiples, souvent connues mais entremles dans plusieurs champs de responsabilit. Bien sr, laudit interne doit sattacher prvenir les mauvaises surprises, surtout lorsquil sagit des scurits fondamentales dune organisation. Tous ses efforts doivent porter sur le maintien dun contrle de base sur les activits oprationnelles. Il doit disposer de mcanismes pour capter les signaux faibles et synthtiser ces faisceaux. En cas de coup dur, laudit interne doit pouvoir tre prt ragir rapidement pour limiter les

ien des proccupations extrieures retiennent lattention dun directeur gnral. Les interactions avec les investisseurs et actionnaires, les clients, les fournisseurs et les banques sont souvent dlicates ; afin de disposer dune marge de manuvre suffisante, le directeur gnral doit pouvoir sappuyer sur une entreprise en bon ordre de marche pour atteindre les objectifs annoncs. Laudit interne fait partie de ces fonctions essentielles sur lesquelles ce directeur gnral doit pouvoir compter pour complter son orientation externe par une vision interne. Plusieurs enseignements mergent en ce sens de nos entretiens avec les directeurs gnraux qui ont soutenu leur dpartement daudit interne vers la Certification professionnelle IFACI. Les enseignements des missions ne doi-

vent tre gnraliss que lorsque cela est vraiment pertinent. Il est prfrable pour un haut dirigeant de disposer de conclusions spcifiques sur une entit prcise que de considrations densemble mais trop vastes pour responsabiliser les managers concerns. En revanche le partage et la dissmination de bonnes pratiques identifies lors des audits font partie des requtes habituellement prsentes au responsable daudit interne. La remonte dinformations du terrain, analyses et mises en perspective mais sans le filtre du management intermdiaire, est un atout apprci de laudit interne. Assurer, sans dformation ni censure, une boucle de retour aux dcisions et orientations dployes est indiscutablement une source de valeur pour le dirigeant. Lapplication ferme des principes dhonntet et dintgrit est

sept./oct. 2013 - Audit & Contrle internes n216

23

DOSSIER
consquences dune faiblesse mal anticipe et non dtecte. Dans le mme ordre dide, le rapport daudit doit faire lobjet dun portage oral, souvent apprci du directeur gnral pour lui viter de sur-ragir une conclusion ngative, tout en montrant aux audits que le rapport est lu et que le message essentiel est bien pass. schmatiser et structurer linformation correspondante, il apparat que cette information na pas un caractre de conviction et dattention suffisante pour tre utilise voire comprise par le dirigeant. Il est souvent not que, sil ny a pas bijection systmatique entre les actions stratgiques et oprationnelles de lorganisation et leur audit, un lien clair est mettre en vidence. Le reporting de tendances pluriannuelles des conclusions daudit fait partie des points dattention : mettre en vidence les volutions des diffrentes entits entre deux audits est une information recherche. Souligner les progrs et alerter sur les dgradations constitue une mise en perspective utile pour le management. Elle permet de rendre compte des efforts accomplis et de ragir en cas de situations risque. Sauvegarder lobjectivit de laudit interne, dans la vision des dirigeants, ne signifie pas de sabstenir de prjuger au lancement dune mission. Au contraire, un haut manager attend de son audit interne la formulation dune problmatique claire et ltablissement dhypothses favorables ou dfavorables pour mieux orienter les travaux daudit. Il est ncessaire de savoir envisager le pire. Laudit interne doit rester rigoureux pour confirmer ces hypothses ou les remettre en cause sur la base de ses travaux. Dans le prolongement de ce point, le directeur gnral apprcie que figurent parmi les objectifs de la mission les questions quil se pose, interrogations formules ou non en termes managriaux. La capacit de laudit interne formuler des rponses pertinentes, tayes et substantielles ces questions est considr comme un pilier de sa valeur ajoute. Sans problmatique correctement cerne, la dissertation daudit toute les chances de dcevoir. hsiter poser des questions drangeantes au management, de faon courtoise, mais directe et ferme. Savoir se rendre indispensable ; en faire toujours un peu plus que demand, notamment sur la bonne application des stratgies et lutilisation des ressources, sans contribuer au dsengagement du management oprationnel de ses responsabilits, constitue un facteur cl de succs pour laudit interne. A contrario, savoir se restreindre et rester modeste sur les sujets indits ou complexes, puis dfinir les points cls en allant jusquau bout du raisonnement daudit, fait partie des exigences dun dirigeant vis--vis de son service daudit interne.

Se tenir inform
Le responsable daudit interne doit galement se tenir inform des pratiques de gouvernance et daudit des organisations comparables. Le directeur gnral, souvent administrateur dautres organisations, souhaite frquemment obtenir des lments de positionnement et de maturit de son gouvernement dentreprise par rapport celui de ses pairs. Cest pourquoi il est intressant que les synthses annuelles de laudit interne donnent des lments dvaluation des processus cls la fois en valeur absolue , mais galement en valeur relative par rapport aux bonnes pratiques de la place. Le responsable daudit interne est considr comme le garant de la conformit aux pratiques attendues dune bonne gouvernance de lorganisation. Dans le mme ordre dattentes, le directeur gnral est soucieux de donner satisfaction, dans la mesure du possible, aux administrateurs membres du comit daudit, notamment dans leurs demandes en matire daudit interne. Il est judicieux de bien anticiper puis cerner ces demandes, implicites ou explicites, et den assurer un traitement particulier sinon privilgi, puis de rendre compte de leur bonne fin la direction. Dautant que ces demandes conduisent plutt rarement un bouleversement du plan daudit ; il sagit bien souvent de complment cibl sur des proccupations issues dinformations externes ou internes. Parmi les desiderata frquemment rencontrs se trouve la capacit dmontrer la couverture adquate des activits de matrise des risques majeurs de lorganisation. Malgr les efforts de crativit des services daudit interne pour

Savoir se rendre indispensable


En matire dobjectivit, il nest pas attendu du responsable daudit interne de rechercher le consensus tout prix, car il faut savoir dplaire, mais ne pas

Dans sa relation privilgie avec le directeur gnral, le responsable daudit interne est sur la sellette : son avis doit compter au plus haut niveau et ses opinions vont clairer le processus de prise de dcision. Le soutien du dirigeant est un atout dans la recherche dun service valeur ajoute pour lorganisation ; cette reconnaissance et ce soutien se conquirent progressivement, et doivent tre prservs de faon attentive dans la dure pour promouvoir plus defficacit tout en garantissant les scurits.

24

Audit & Contrle internes n216 - sept./oct. 2013

Les rponses de laudit interne aux attentes de ses parties prenantes

Comment laudit interne dArcade satisfait-il les attentes diverses et parfois de nature diffrente des parties prenantes du groupe ?
Comment laudit interne du groupe Arcade peut-il rpondre aux attentes diverses de ses parties prenantes qui sont : le comit excutif, les directeurs gnraux et les managers, chacune de ces entits ayant ses besoins propres ? Le comit excutif est trs attach la conformit, au respect des lois et rglements. Les directeurs gnraux demandent de la conformit ou du conseil, en fonction de la maturit du dispositif de contrle interne. Les managers font passer le conseil devant la conformit.

Jean-Marc Pluzanski
Directeur de laudit interne, groupe Arcade

Lorganisation de laudit interne au sein du groupe


La direction de laudit interne du groupe Arcade est rattache hirarchiquement au comit excutif de la socit mre. Elle est compose du directeur de laudit interne et dun auditeur. Laudit value de manire indpendante et dans le cadre du plan daudit lefficacit du dispositif de contrle interne et de gestion des risques. Dans les principales socits du groupe, un responsable risques est dsign. Il anime le dispositif de contrle interne de la socit en lien avec les managers

oprationnels. Ces responsables risques peuvent tre des relais pour laudit. Pour tre plus prcis, nous avions lanc, en 2005 / 2006, un projet qui consistait, avec lensemble des socits du groupe, et sous le pilotage de la direction de laudit, mettre en place une dmarche matrise des risques. Laudit a particip la mthodologie en sappuyant sur le rfrentiel du COSO pour dfinir la notion de risque, de contrle interne, etc. Nous avons sensibilis les managers en lien avec les diffrentes directions gnrales sur la matrise des principaux risques lis aux activits du groupe. A partir dun chantillon de risques, un rfrentiel de contrle interne sous forme de fiches risques a t tabli dans le cadre de groupes de travail. La dmarche a t ensuite reprise et complte par les socits sur la base dune valuation de leurs risques.

groupe Arcade et les directeurs gnraux des socits du groupe. Ce sont eux les commanditaires des missions daudit. Sont galement parties prenantes, les managers responsables du contrle interne de leurs activits. Dun point de vue formel, il ny a pas de comit daudit mais le comit excutif, dans certains cas, peut avoir les vises dun comit daudit. Le comit excutif dtermine la stratgie et les orientations du groupe. Il participe llaboration du plan daudit. Laudit lui rend compte du rsultat des missions et du suivi des principales recommandations.

Les attentes des parties prenantes


Elles varient selon les parties prenantes. Le comit excutif est plutt dans une attente de conformit, attach au respect des lois et des rglements internes et externes. Pour les directeurs gnraux, cela dpend de la maturit du dispositif de contrle interne. Selon les cas, ils

Les parties prenantes de laudit interne


Les parties prenantes, pour ce qui concerne laudit, sont, dans le sens classique du terme, le comit excutif du

sept./oct. 2013 - Audit & Contrle internes n216

25

DOSSIER

Rsidence MILIN Saint-Herblain (44) Architecte : Vincent PERRAUD Photo : Guillaume AYER

seront en attente dun retour sur la conformit ou bien de conseils sur le dispositif de contrle interne. Dautres demandes de conseil peuvent se traduire par des missions spcifiques intgres au plan daudit ou bien par des sollicitations ponctuelles au fil de leau. Les managers font passer le conseil devant la conformit. Les demandes de missions sont formalises dans le plan daudit. Elles reposent sur une analyse des risques afin de dfi-

nir des priorits cohrentes avec les objectifs du groupe. Sur les missions daudit, environ 50 % manent du comit excutif, et 50 % des directions gnrales. Cette approche quilibre et voulue, a pour but que ces deux parties prenantes participent la demande des missions daudit. On veut sassurer que la fonction audit prsente une utilit dans le groupe, pour le comit excutif, comme pour les directions gnrales. Concernant les attentes, les audits sont prvenus que nous menons a priori des

audits de conformit, avec une teinture de conseil. En fait, lactivit de conseil sintgre naturellement dans les missions daudit.

La satisfaction des parties prenantes


Une mission daudit a pour but dvaluer le dispositif de contrle interne, son efficience, sa pertinence. La mission va galement sassurer que les lois, les rglementations, les procdures sont respectes. Aprs quoi, des recommandations seront mises, ce qui peut tre considr comme du conseil intgr dans le corps mme de la mission daudit. En fait, conseil et conformit sont souvent entremls. Si lon dit que la procdure nest pas respecte et que lon en reste l, on fait de la conformit. Si lon value la procdure, sa pertinence, les amliorations apporter, on fait du conseil pour amliorer le dispositif de contrle interne. De fait, les attentes de conseil des managers et des directions gnrales sont intgres, mme si le

Demandes des parties prenantes Evaluation du contrle interne par la socit et laudit interne Plan daudit Conseils Audit de conformit Volet Conformit Volet Conseil Matris A consolider A dvelopper Audit Conseil Ponctuels

26

Audit & Contrle internes n216 - sept./oct. 2013

Groupe Arcade

Les rponses de laudit interne aux attentes de ses parties prenantes

besoin ntait pas identifi de faon prcise au dpart. De faon pragmatique, comment peuton mesurer la satisfaction des audits et des demandeurs daudit ? Il y a plusieurs niveaux de rflexion. Le premier niveau, cest le constat de conformit : nos constats sont-ils objectifs ? Le rapport donne-t-il lieu des contestations, des discussions sur les constats ? Le deuxime niveau concerne les recommandations proposes aux managers et la direction gnrale au cours dune runion de synthse lissue de la mission daudit. Elles sont mises pour apporter une valeur ajoute au dispositif de contrle interne. Sont-elles acceptes ou refuses ? Sont-elles valides par la direction gnrale. Une fois valides, elles sont alors inscrites dans un plan dactions. Le manager concern, indique la date et le responsable de sa mise en uvre. Pour les missions ou les demandes ponctuelles de conseils, lindice de satisfaction peut tre mesur partir du nombre de recommandations mises en uvre ou bien encore la demande croissante de conseils laudit. Dailleurs, laudit interne peut tre confront des difficults dquilibrage entre la conformit et le conseil. Le volume croissant de missions de conseil ne doit pas se faire au dtriment des missions classiques. Dun point de vue concret, jen suis plutt limiter les conseils un certain niveau pour pouvoir respecter le plan daudit.

avec les deux autres membres du comit. Par ailleurs, jassiste aux conseils dadministration de la socit mre du groupe et diffrents comits transversaux (comit financier, groupe de travail risque et qualit). Je peux aussi participer aux conseils dadministration des filiales si je le souhaite. Laudit interne est donc impliqu de faon naturelle dans la marche de lentreprise. Sur les prises de dcision qui reposent sur des rflexions lies au contrle interne, je peux tre consult, comme pour tout sujet significatif qui relve du contrle interne. Pour tout ce qui concerne la stratgie je ne suis pas consult. Est-ce que laudit doit tre en amont en consultation sur les grandes dcisions stratgiques ? Je ne le pense pas. Ce nest pas notre pratique. Le comit excutif sappuiera davantage sur des tudes prospectives (tudes de marchs, plans moyen terme...) ; il prendra ses dcisions en fonction dun certain nombre de paramtres ; il envisagera des problmatiques organisationnelles, lallocation des ressources, la rentabilit des pistes tudies. La problmatique contrle interne ne sera pas aborde ce niveaul. Si un objectif stratgique est valid, je

peux tre sollicit en tant que conseil pour aider identifier les facteurs de risques pouvant affecter sa ralisation. Ou bien dans une mission daudit pour vrifier que les orientations donnes par le comit excutif se dclinent bien au niveau des socits. Cest une phase dexcution et non pas une phase de rflexion prospective en amont.

Ladaptation du service daudit interne lvolution permanente du mtier


Pour suivre lvolution permanente de la profession, nous avons recours la formation. Aussi, pour mettre niveau nos comptences, nous faisons appel aux formations de lIFACI pour suivre les volutions des normes professionnelles de laudit, des bonnes pratiques de contrle interne. Jai galement pass la certification professionnelle Certified Internal Auditor de lInstitut des auditeurs internes. De plus, je participe au groupe professionnel Immobilier locatif de lIFACI, ce qui me permet de disposer dun cadre dchange de qualit avec dautres responsables daudits sur la matrise des risques spcifiques lies cette activit. Cette ouverture globale me permet

Limplication de laudit interne dans la marche de lentreprise


Le directeur de laudit interne ne participe pas de faon rcurrente aux comits excutifs o sont prises les dcisions stratgique. Je suis sollicit de faon certaine sur la prsentation du plan daudit annuel et le suivi des recommandations, ponctuellement, deux fois par an, au cas par cas. Jai des points daffaires rguliers deux fois par mois avec le prsident et le vice-prsident du comit excutif et de facto, je suis en contacts rguliers

Rsidence Vert Pr Chantereine Choisy-le-Roi (94) Architecte : Cabinet A5A Photo : Pascal ROUSSE

Groupe Arcade

sept./oct. 2013 - Audit & Contrle internes n216

27

DOSSIER
Conseil Administration Filiale Conseil dadministration Socit mre

la mise en place dun contrle interne adapt. Dans ce contexte positif, les audits de conformit prvus au plan daudit consomment moins de ressources. Les gains de temps dgags permettent de mieux rpondre aux demandes de conseil des directions gnrales sur la matrise des risques. Des synergies entre laudit groupe et les acteurs de contrle interne des socits se dveloppent ; retour dexprience de laudit sur des bonnes pratiques En rsum, louverture de laudit au conseil porteuse de valeur ajoute pour les parties prenantes doit rester en cohrence avec la fonction audit dont la mission principale reste de raliser des audits de conformit. Ces audits, rappelons le, peuvent comporter un volet conseil plus ou moins dvelopp en fonction de la maturit du dispositif de contrle interne. Enfin, la participation des directions gnrales llaboration du plan daudit constitue un facteur positif : leurs attentes sont exprimes, le champ daudit est ouvert.

Direction gnrale

Plan daudit

COMEX

1e Ligne de matrise

2e Ligne de matrise

3e Ligne de matrise

Gestion des risques Contrle interne Management Oprationnel Contrle de gestion Qualit Audit interne Evalue lefficacit du contrle interne et de la gestion des risques

Contrle permanent

Contrle priodique

dapprcier lvolution du mtier de limmobilier locatif et didentifier les adaptations auxquelles le service daudit interne peut tre confront.

Les champs daction de laudit interne


Laudit interne couvre tous les champs daudit possibles : lensemble des filiales et des activits du groupe, sans domaine rserv. Il ny a pas de sanctuaire. Le primtre est donc large avec des thmes de missions qui traitent des risques bruts 1 oprationnels ou stratgiques importants. On peut cependant rencontrer des limites. Par exemple, quand laudit na pas la comptence pour auditer un sujet qui ncessite une expertise particulire. Dans ce cas, nous ralisons la mission en nous appuyant sur des comptences externes spcialises. Dautre part, nous avons vu que les attentes des directions gnrales et des managers (conseil ou conformit) pouvaient varier selon la maturit du dispositif de contrle interne. Elle impacte aussi le droulement des missions daudit. Si le dispositif est matris, la mission se droulera alors sans difficults particulires sous langle de la conformit.

Sinon, si le dispositif de contrle interne est dvelopper ou consolider, nous dfinissons alors la bonne pratique. Nous recherchons les principaux risques du processus et les contrles pour les matriser. Ensuite nous comparons les modes opratoires appliqus sur le terrain au regard de cette bonne pratique. En cas dcarts, nous valuons leur impact. Les recommandations intgreront la bonne pratique de contrle interne, soit langle de conseil souhait par la direction gnrale et les managers. Cette dmarche valeur ajoute consomme des ressources de laudit. Elle pourrait, si elle tait trop frquente, affecter alors la ralisation du plan daudit, engendrant linsatisfaction des commanditaires des missions non ralises. Il est noter que les responsables risques peuvent renforcer les quipes daudit pour des missions daudit significatives aprs accord de la direction gnrale concerne. Au-del, le bon quilibre repose dans la complmentarit existante entre les trois lignes de dfense du contrle interne : les managers, les responsables risques, contrleurs internes des socits, et laudit groupe. En effet, les missions daudits ponctuels ne se substituent pas la responsabilit des socits quant

Avant prise en compte du dispositif de contrle interne.

Diplm dune matrise des sciences techniques comptables et financires de Paris Dauphine et titulaire dun DESCF (Diplme dtudes suprieures comptables et financires), Jean-Marc Pluzanski a dbut sa carrire au sein du cabinet daudit Mazars de 1987 1994, o il assurera les responsabilits de chef de mission pendant 4 ans, avant dintgrer le groupe Arcade en 1994 en qualit de directeur de laudit interne.

28

Audit & Contrle internes n216 - sept./oct. 2013

Les rponses de laudit interne aux attentes de ses parties prenantes

Le contrle interne au ministre de la Dfense : une organisation spcifique


Le contrle interne au sein du ministre de la Dfense, prsente la particularit dun partage tripolaire, en fonction des activits de chacun : une responsabilit du chef dtat-major des armes, une responsabilit du dlgu gnral pour larmement et une responsabilit du secrtaire gnral pour ladministration. Cette particularit ne se retrouve dans aucun autre ministre.

Jean-Franois Charbonnier
Chef de la mission daudit interne, Secrtariat gnral pour ladministration, Ministre de la Dfense

organisation du contrle interne au ministre de la Dfense est rgie par le dcret n 2011-775 du 28 juin 2011 qui dispose pour le ministre de la Dfense, le contrle interne est mis en uvre sous lautorit du chef dtatmajor des armes, du dlgu gnral pour larmement et du secrtaire gnral pour ladministration, dans leurs domaines de comptences respectifs . Ce qui veut dire que notre ministre, compar un autre ministre, prsente la particularit dun partage tripolaire, en fonction des acti-

vits de chacun (dans les autres ministres, le contrle interne et laudit interne sont directement placs sous la coupe du secrtaire gnral). Dans ce contexte, la mise en uvre de laudit ministriel relve du contrle gnral des armes, inspection gnrale ministrielle. Schmatiquement nous disposons actuellement dun systme deux tages : un systme qui sappuie dune part sur linspection gnrale ministrielle et dautre part sur les structures daudit infra ministrielles des trois grands subordonns, des missions daudit spcifiques aux armes (le C2A centre daudit des armes), la direction gnrale de larmement et au secrtariat gnral pour ladministration (SGA). Dans cet ensemble, jai la responsabilit de la mission daudit interne du SGA. Le secrtaire gnral pour ladministration dtient la plupart des pouvoirs des secrtaires gnraux des autres ministres sans exercer une fonction de type vice-ministre , laquelle est de fait partage entre les trois grands subordonns en fonction de leurs domaines de comptences : pour lemploi des forces, cest

le chef dtat-major des armes qui est lgitime ; pour lquipement des forces, la prparation du futur des systmes de dfense et les exportations, cest le dlgu gnral pour larmement qui est lgitime ; pour ce qui nous concerne, la lgitimit du SGA, et donc du secrtaire gnral pour ladministration, se trouve dans le soutien gnral du ministre permettant aux autres composantes du ministre de se consacrer leur cur de mtier. De plus, ce dernier exerce un rle particulier en matire de modernisation du ministre. Il assure le pilotage et la coordination des politiques transverses, dlivre des prestations de service dans le cadre de politiques spcifiques et assure linterface interministrielle. Il sappuie ainsi sur des directions et services que lon retrouve dans tout secrtariat gnral et sur des entits spcifiques au milieu de la Dfense : la DRH-MD, DRH centrale du ministre ; la DAF, responsable budgtaire et financier ; la DAJ garante des normes juridiques ; la DMPA, responsable de la politique de mmoire, de la politique immobilire, du patrimoine culturel et des archives ; le SID, matre douvrage en matire

sept./oct. 2013 - Audit & Contrle internes n216

29

DOSSIER
dinfrastructure ; la DSN, pilote du lien entre les armes et la jeunesse ; le SPAC responsable du soutien de ladministration centrale. bien l toute la problmatique dun manager des risques. Pour moi lagrgation ou non des risques est un sujet fondamental. Outre sa propre analyse, laudit interne est intress la fois par la vision globale issue de la cartographie densemble et, en fonction de ses caractristiques, par le risque lmentaire qui peut exister dans la direction A, B ou C. que la fonction daudit interne est la hauteur des enjeux et de leurs attentes.

Le comit daudit
Nous navons pas, aujourdhui, de comit daudit stricto sensu. Sous certains aspects, nous faisons jouer ce rle au comit de direction, par exemple en lui demandant davaliser le plan daudit. De fait, les attentes du comit de direction sont sensiblement les mmes que les attentes des directions et services, et, comme eux, le comit est souvent en attente de missions de conseil plutt que dassurance. Il en rsulte un risque daudit ne pas ngliger de drive vers des missions dans lesquelles lauditeur pourrait se substituer laudit, perdant son indpendance en devenant acteur de la mise en uvre de ses propositions. Par exemple, une question daudit vous avez ralis un tat des lieux du dploiement de tel dispositif, un auditeur ne pourrait-il pas nous aider dterminer les actions mettre en uvre face aux propositions ! Les missions de conseil doivent donc tre bien cernes et bien primtres avec un mandat extrmement clair. Dune manire gnrale, concernant ce que pourrait tre un comit daudit interne au niveau infra-ministriel, il importera de le dfinir en fonction des besoins du dcideur dont dpend laudit interne et qui le lgitime ; ce doit tre avant tout, un outil sa main. Ce nest pas parce que les structures daudit sont dmultiplies que le comit daudit de plus haut niveau doit tre systmatiquement dmultipli. Cela mrite rflexion. Si dmultiplication il y a, un axe dtude pourrait tre de dfinir un comit daudit orient audit interne et risques, le rapprochement avec les risques semblant inluctable. Quelle en serait la composition ? Est toujours pose, pour rassurer, la question de la participation des directions et services oprationnels par rapport aux personnalits qualifies venant de lextrieur. De mon point de vue, le comit daudit formaliser ne doit pas se transformer en grandmesse des directions et services. Cest une instance de travail et non une nime

La mission daudit interne du SGA


Jai cr, il y a cinq ans, la mission daudit interne du SGA, structure modeste de 7 auditeurs. Lide de dpart a t de voir comment amener les directions et les services adhrer la dmarche novatrice voulue et impulse par le secrtaire gnral, tout en recherchant montrer la valeur ajoute pour chaque partie prenante. Jai demand chaque directeur, lors dun entretien particulier, didentifier ses principaux risques, ce qui na pas toujours t ais ; en effet, il est toujours plus facile, du moins en apparence, didentifier les risques de la direction voisine. A cette date, le ministre de la dfense venait, en prcurseur, de lancer le dploiement du contrle interne comptable et lorganisation ministrielle associe afin de satisfaire aux obligations de la LOLF et aux demandes du certificateur des comptes de lEtat1. A partir du matriau recueilli, jai bti une premire liste de thmatiques daudit, qui a t soumise au comit de direction tout en expliquant ses membres pourquoi il tait propos dauditer tel et tel domaine. Plus rcemment, dans le cadre dune dmarche de management et contrle interne , des chargs de mission placs auprs du secrtaire gnral ont pilot llaboration dune cartographie des processus qui senrichit de mois en mois. Son objet est didentifier les processus mtier sur lesquels travaillent les directions et services, et les risques qui portent sur chacun de ces processus. La cartographie, ralise par les acteurs de chaque mtier, vise tre la plus pertinente possible, cest cependant une pertinence toute relative. Si un regard extrieur est port sur cette cartographie, elle pourrait tre value de manire assez diffrente, surtout si les risques de mme nature ont t agrgs pour en donner une vision macroscopique. Cest

Le rle des parties prenantes


On peut avoir une vision extrmement large de la partie prenante, qui peut aller dun directeur jusquau collaborateur. Si je tente de dfinir une partie prenante cest toute personne qui a pouvoir de dcision pendant la ralisation de laudit, en particulier pendant la prise dactions lies aux rsultats de laudit et leur mise en uvre. Dune manire gnrale, les parties prenantes sont donc les bnficiaires de laudit. Au sein du SGA, ma premire partie prenante, cest le secrtaire gnral. Je dpends de lui et cest lui qui lgitime mon action. On sent poindre de nouvelles parties prenantes : le contrle gnral des armes, linspection des armes, les armes, la DGA, le CGFI, sans oublier la Cour des comptes qui a ses propres besoins lorsquelle mne ses enqutes. Quand on parle de la Cour, de quelle Cour parle-t-on ? De la Cour en tant que magistrat, juge des comptes ? Ou de la Cour en tant que certificateur des comptes de lEtat ? Ce sont des rles extrmement diffrents exercs par les mmes acteurs. Dans un cas cest le magistrat qui intervient, dans lautre cest le certificateur. Si le magistrat a un rle bicentenaire, le rle de certificateur a moins de dix ans. Lors des entretiens, il nest pas toujours facile didentifier si le questionnement de la Cour mane du magistrat ou du certificateur. Mme si cest clair dun point de vue dogmatique, cest plus flou dans la mise en uvre et dans la possible permabilit des rsultats. Quelles que soient les parties prenantes, il faut dmontrer, chaque intervention,

30

Audit & Contrle internes n216 - sept./oct. 2013

Les rponses de laudit interne aux attentes de ses parties prenantes

instance dinformation rciproque. Si tel devait tre le cas, nous perdrions tout lapport dun comit daudit qui doit notamment challenger les travaux de contrle et daudit internes au profit du dcideur. Pour cela une solution pourrait tre de constituer le comit autour dun adjoint au dcideur et de 2 ou 3 personnes qualifies (par exemple des personnes reconnues au sein de notre secteur dactivit mais qui ny uvrent plus depuis quelques annes ; elles ne sont pas coupes de la ralit du terrain tout en ayant un regard diffrent dont pourrait se nourrir le comit). Une telle dmarche prserverait la capacit de dcision du dcideur puisquil nintervient pas directement dans le comit qui doit le conseiller ; en ce sens le parallle peut tre fait avec le comit daudit mis en place dans le secteur priv. En fonction des sujets traiter, les directions et services concerns pourraient tre invits sexprimer en tant que membres non dlibrants, laudit interne assurant le secrtariat du comit. Enfin, les sances de ce comit pourraient tre prpares lors dune runion ad hoc runissant les acteurs concerns des directions et services. A ce stade, il sagit-l dun regard iconoclaste sur un sujet sensible pour les administrations de lEtat. A suivre donc pour un retour dexprience du fonctionnement rel des comits daudit dj formaliss sur le papier.

recommandations, certainement tort, mais un retour sur plan daction ; en effet, depuis sa diffusion, des recommandations ont pu devenir obsoltes, des orientations diffrentes ont pu tre prises, parce que les processus et les organisations voluent vite, et il ne sert rien de vouloir maintenir, par pure dogmatisme, une recommandation qui na plus de raison dtre. De plus, nous sommes une petite structure, et nous ne pouvons pas nous permettre de mettre en place une usine gaz , car le temps qui y serait consacr serait du temps perdu pour notre cur de mtier, les missions daudit interne. En termes de plus-value : laction qui a t prise en rponse la recommandation a permis de rduire tel ou tel risque. Si elle navait pas t mene bien, lefficacit recherche voire lefficience en aurait pti ; si laction prise est efficace voire efficiente, alors il y a une relle plus-value. Cest bien l que doit se situer la valeur ajoute de laudit pour une partie prenante, cette dernire restant libre de ses choix dappliquer ou non les recommandations (tout en justifiant ses refus ventuels).

De la conduite du changement
En conclusion, je voudrais voquer une question qui me proccupe rgulirement : celle du changement ou plus exactement de la conduite du changement. Pour moi, laudit est un levier essentiel en matire de changement et dvolution des organisations. Pour progresser, il est ncessaire didentifier, pralablement toute dmarche, les leviers daction de mme que les freins sur lesquels il faudrait agir ; ensuite il est ncessaire de sinterroger sur les changements proposer pour que les choses bougent. Quand je dis changement, je minscris dans une dmarche de conduite du changement, une dmarche oriente management, oriente processus organisationnels, prenant en compte lhumain. On ne privilgie pas suffisamment ce que pourrait produire laudit interne au profit des changements organisationnels. Dans des priodes de profonds changements, ce qui est le cas dans les services de lEtat, il mapparat que laudit interne constitue un levier sousestim et sous-utilis dans le cadre des dmarches de conduite du changement. Cest un axe de travail quil faudrait approfondir Nous sommes certainement tous fautifs : laudit interne ne se met pas assez en avant et ne propose pas ses services aux parties prenantes, ces dernires ne souponnant pas vraiment lapport de laudit interne dont elles peuvent avoir une vision restrictive. Il est ncessaire de faire uvre de pdagogie en simplifiant le discours au profit des parties prenantes qui ne sont pas des spcialistes de laudit ! Un effort professionnel significatif reste faire tant pour laudit interne que pour le contrle interne pour les inscrire concrtement au service de la matrise de lactivit et des risques tout en partageant les bonnes pratiques.

Du bon usage des normes


Pour moi, aujourdhui, les normes sont un garde-fou, un socle. Je ne dirais pas que nous les appliquons la lettre, ce nest pas vrai ; nous appliquons lesprit de la norme en fonction de nos propres contraintes. Je suis un trs grand dfenseur des normes, mais il faut raison garder dans lapplication qui en est faite. On ne peut pas appliquer aveuglment lensemble des normes tous les sujets, sans se poser de questions quant leur application.

Les recommandations, leur suivi


Les recommandations ne doivent pas tre trop nombreuses : les auditeurs ont pour objectif den limiter le nombre et dmettre au maximum une dizaine de recommandations. Celles-ci doivent tre robustes, pragmatiques et applicables ! Les propositions de moindre importance font dsormais lobjet de point dattention dans les rapports daudit sans pour autant tre traduites en recommandations. Quant leur suivi, nous commenons tout juste mener les actions utiles (je vous rappelle que notre structure na que cinq ans dexistence). Nous navons pas initialis, ds le dpart, un suivi des

Les domaines rservs


Il existe, dans certaines organisations, des domaines rservs dont laudit interne est exclu. Ce nest pas le cas dans ma structure. Jai une totale libert daction et je peux proposer dintervenir sur nimporte quel sujet. Jinsiste sur ce point car je crois que cest assez rare pour tre soulign.

Cf. Revue Audit & Contrle internes n 200 juin 2010

sept./oct. 2013 - Audit & Contrle internes n216

31

DOSSIER

Comment rpondre au mieux aux attentes des parties prenantes de laudit interne dAG2R La Mondiale ?
Les parties prenantes du DAI de AG2R La Mondiale sont, au premier chef, la direction gnrale et le comit excutif et, bien entendu, le comit daudit et des comptes ; ensuite, il faut compter galement avec les autorits de tutelle, les fdrations agircarrco et les divers comits internes, etc. La prise de conscience progressive de limportance de tout ce qui touche aux risques et au contrle interne, a conduit crer deux entits distinctes : comit daudit et des comptes et comit des risques.

Eric Burlot
Directeur de laudit interne, AG2R La Mondiale

Je ne suis bien entendu pas membre et ne participe pas systmatiquement aux runions du Comex, notamment pour ne pas tre juge et partie. Jy suis convi, soit de manire exceptionnelle, soit tous les trimestres environ pour faire un point sur les missions en cours, les missions ralises, le taux de retour des plans daction relatifs aux recommandations mises, et pour rpondre des questions diverses, sur tel ou tel problme particulier, qui peut parfois dclencher une mission ou alimenter le prochain plan daudit. Avec le directeur gnral, les relations sont plus informelles. Nous faisons un point avec lui deux fois par an, de manire officielle et, de manire impromptue, sur des sujets divers. Nous essayons de rencontrer individuellement chaque membre du comit excutif au minimum deux fois par an, en milieu et en fin danne pour la prparation du plan daudit. Nous pouvons galement

les rencontrer, et cest frquemment le cas, en fonction de la nature des missions, au dmarrage dune intervention, ou bien pour en dterminer le primtre, et systmatiquement la fin de la mission. La deuxime partie prenante, mettre pratiquement au mme niveau que la premire, mais avec des objectifs diffrents, est le comit daudit et des comptes. En dehors des runions officielles du comit, nous sommes amens rencontrer plusieurs fois par an le prsident de ce comit, indpendamment du directeur gnral, qui nassiste dailleurs pas aux runions du comit.

a premire partie prenante du DAI, cest la direction gnrale et le comit excutif (Comex). Cinq directeurs gnraux dlgus ont en charge chacun un secteur du groupe. Le DAI dpend directement du directeur gnral rattachement hirarchique avec un rattachement fonctionnel au prsident du comit daudit et des comptes.

Une gouvernance complexe


Pour le comit daudit, la situation est un peu particulire : nous sommes un groupe de protection sociale qui a une gouvernance assez complexe dans la mesure o il y a, dun ct, une partie du

32

Audit & Contrle internes n216 - sept./oct. 2013

Les rponses de laudit interne aux attentes de ses parties prenantes

groupe gouvernance paritaire AG2R et de lautre ct, une partie gouvernance mutualiste, La Mondiale. La gouvernance a dailleurs beaucoup volu depuis le rapprochement ces dernires annes vers une rduction du nombre de comits spcialiss, sachant que, dans une gouvernance paritaire, tous les organes de gouvernance doivent tre constitus de manire paritaire, cest--dire comporter dix personnes au minimum, cinq reprsentants des syndicats salaris et cinq reprsentants des syndicats patronaux ; tandis que la gouvernance mutualiste est constitue lorigine, des socitaires lus au conseil dadministration et qui reprsentent lensemble des socitaires. Nous sommes donc sur deux modes de gouvernance diffrents, avec des profils dadministrateurs diffrents. A lorigine, il y avait trois comits daudit : un comit daudit La Mondiale, dont lexistence tait ancienne ; un comit daudit AG2R Prvoyance sur la partie prvoyance de lactivit dAG2R, constitu partir de 2010 ; et enfin, un comit daudit de la SGAM (Socit de groupement dassurances mutuelles) pour lensemble des activits concurrentielles du groupe. Il a fallu un peu plus dun an, pour arriver unifier le fonctionnement des comits autour dune seule instance, en loccurrence le comit daudit et des

Dans une certaine mesure, nous pouvons avoir affaire aux deux volets de comptence et dautorit de cet orgaLe prsident du nisme. Quand on comit daudit et parle des socits La manire des comptes est dinvestissement actuellement un du groupe, donc de fonctionner dun comit administrateur des socits de est trs dpendante de la issu du CA de La gestion dactifs Mondiale, qui est ou des socits personnalit de galement admidpargne salason prsident nistrateur de la riale, nous SGAM. Expertsommes en relation comptable et commisavec les contrleurs du saire aux comptes, prsisecteur Banque de dent de la CCEF et ancien prsilACPR, qui sappuient sur la dent de lOrdre des experts-comptables rglementation bancaire, en loccurParis IdF, il possde naturellement une rence le CRBF 97-02. trs bonne culture dans les domaines nous concernant. Lors des contrles plus frquents sur les activits dassurance, ce nest videmAujourdhui, le comit daudit est fort de ment pas toujours laudit qui est le plus quinze personnes. Il se runit normalesollicit, mais plutt les directions ou ment trois quatre fois par an, avec des dpartements dactuariat mme si les ordres du jour qui varient en fonction de contrleurs prennent de plus en plus la priode de lanne. Gnralement, il lhabitude de demander systmatiquey a un comit daudit fin janvier, un ment les rapports daudit. comit daudit en avril et un comit daudit en septembre. Il peut y en avoir A terme et avec la mise en uvre de en juin et en novembre. Le comit dauSolvabilit 2, lobjectif de lautorit de dit de fin janvier est ax sur la dtermicontrle est, je pense, de rglementer le nation du plan daudit. Cest ce secteur de lassurance avec un cadre du moment que je valide mon plan daudit type de ce que lon trouve pour les actiavec le comit et avec le directeur gnvits bancaires (CRBF 97-02). ral. Il est clair que les missions de lACPR et Les autres parties prenantes consiles insuffisances mises en vidence par drer sont les commissaires aux comptes ses contrles, induisent indirectement avec qui nous changeons sur la nature des missions daudit. et le primtre de nos travaux respectifs ; les autorits de tutelle (ACPR, AMF, les Les attentes du comit daudit fdrations agirc-arrco ). Il ne faut pas et de son prsident oublier non plus les comits internes auxquels moi-mme ou la directrice Je pense que la manire de fonctionner adjointe participe, le comit des risques dun comit est trs dpendante de la oprationnels, les comits scurit personnalit de son prsident. Ce dernier fait en sorte que durant les comits

comptes de la SGAM. Celui-ci regroupe des reprsentants issus la fois du conseil dadministration de La Mondiale et du conseil dadministration dAG2R Prvoyance. Il y a, dans ce comit daudit, une reprsentation paritaromutualiste o lon retrouve, dun ct, les dix administrateurs AG2R issus des syndicats patronaux et des syndicats salaris et les cinq administrateurs issus de La Mondiale.

Le rle de lACPR
LACPR (Autorit de contrle prudentiel et de rsolution) est une entit qui a regroup le contrle des banques avec celui des assurances, mutuelles et institutions de prvoyance.

sept./oct. 2013 - Audit & Contrle internes n216

33

DOSSIER
daudit, le temps soit galement partag entre les arrts de comptes, lavis des commissaires aux comptes, les sujets dactualit, de fiscalit, daudit interne Un bon quilibre est respect avec toujours un temps pour faire un point sur le plan daudit. Pendant plusieurs annes le comit daudit et des comptes tait simultanment comit des risques. Lorsque le comit daudit et la direction gnrale ont pris conscience de limportance de tout ce qui touche aux risques et au contrle interne, deux entits distinctes ont t cres : le comit daudit et le comit des risques. Le sentiment de responsabilit des membres du comit est de plus en plus fort. Ceux-ci se sentent responsables non seulement vis--vis des assurs et des clients, mais aussi des instances syndicales quils reprsentent pour les administrateurs AG2R. Ils veillent ce que le rle de linstitution soit respect, et ce que lon reste dans la ligne dontologique que lon attend dun tel groupe. Les administrateurs membres des comits veulent avant tout comprendre les aspects souvent complexes du groupe et connaitre lampleur des risques. Ils sont videmment demandeurs dune assurance, plus que de conseil. Des inquitudes peuvent conduire le comit demander lexcution de missions ou la prsentation de certains reportings , qui ne soient pas ncessairement en phase ou en accord avec les demandes des directions oprationnelles. Le Comex et les deux prsidents de comits (le prsident du comit daudit dAG2R Prvoyance, et le prsident du comit daudit de LA MONDIALE qui est en mme temps prsident du comit daudit et des comptes de la SGAM) reoivent des rapports complets, avec une synthse reprenant les principales actions. Un expos est fait en sance de comit daudit. Une fois par an, avant le comit daudit de janvier o est dbattu le plan daudit, le prsident du comit rencontre les auditeurs afin dchanger avec eux sur diffrents sujets : lanne daudit coule, les moyens dploys et lvolution des effectifs, les axes des futures missions ligibles au plan, etc. Avec lvolution de la rglementation, les rapprochements dans le groupe et la mobilit des collaborateurs, leffectif de laudit interne varie ces dernires annes entre 12 et 15 personnes. Finalement au-del mme de la vrification de la conformit et de lefficacit des processus de contrle, je pense que la direction gnrale considre laudit comme un bon prestataire interne de conseils, qui peut donner une vision claire de certaines situations, que lon nobtient pas toujours des managers respectifs, en lutte avec les problmes oprationnels quotidiens.

34

Audit & Contrle internes n216 - sept./oct. 2013

MMOIRE DTUDIANT

Guide daudit de la mise en conformit du middle office des drivs de gr gr : Nouvelle rglementation EMIR
Le Prix Olivier Lemant est destin rcompenser le meilleur mmoire de Master(e) consacr au contrle interne ou laudit interne et ralis dans une universit ou une grande cole partenaire. Un jury de professionnels, constitu dArnaud Miroudel (BNP Paribas), Raphal Siffert (BNP Paribas), Marc Sordello (CNP) et Philippe Thierry-Mieg (AREVA), ont ainsi prim des tudes ou recherches finalit pratique. Les mmoires prims en 2013 sont : 1er prix Guide daudit de la mise en conformit du middle office des drivs de gr gr : Nouvelle rglementation EMIR par Loc Kerboas (IAE Aix-en-Provence) 2me prix Contrle interne et routinisation des pratiques comptables oprationnelles : un vecteur dapprentissage ? par Marine Lacourte (IAE Tours) 3me prix La matrise des risques lis au processus de gestion des rclamations clients par Henri Fritsch (ESC Toulouse) Vous pouvez consulter ces mmoires sur le site internet de lIFACI.

Loc Kerboas
Auditeur, groupe Crdit Agricole

epuis 2008, les critiques sont devenues de plus en plus vives l'gard des produits drivs de gr gr, et en particulier les drivs de crdit. Bien qu'ils ne soient pas stricto sensu l'origine de la crise, ils ont t un puissant vecteur de contagion, qui de l'clatement de la bulle du crdit immobilier est devenue une crise systmique. Les produits drivs de crdit mis en cause dans la crise sont des produits structurs, c'est dire une combinaison de plusieurs produits financiers, crs grce au principe de la titrisation et dont l'objectif initial est de se dfaire du risque de crdit. Ce principe de la titrisation permet de transformer des crances long terme peu liquides, en majorit des crances immobilires, en

titres financiers subordonns un sousjacent (les crances initiales), plus liquides et changeables sur les marchs financiers. Il en rsulte ce que l'on qualifie gnriquement d'ABS (Asset Backed Securities) et plus spcifiquement des CDO (Credit Default Obligation) qui sont issus de la titrisation de crances diverses (immobilier, auto, consommation...). Ces produits sont ensuite vendus des investisseurs, qui, grce des effets de levier importants, profitent de rendements levs et a priori sans risque d'aprs les agences de notation. Par ailleurs, AIG (American International Group, a multinational insurance corporation) ngociait sur les marchs des CDS (Collaterized Debt Obligations) afin de se couvrir contre le risque de dfaut dune

contrepartie (survenance dvnement de crdit). Les CDS sont, autrement dit, des assurances crdit. Les investisseurs paient une prime, dont la valeur fluctue en fonction de la confiance du march envers la contrepartie et sa solvabilit. En change, AIG assume le risque de dfaut pour lequel il est rtribu et met rgulirement en garantie du collatral (une provision) lorsque la valorisation du sous-jacent tmoigne d'un risque accru de dfaut. L'ensemble de ces activits est horsbilan. Les contrats sont ngocis de gr gr, c'est--dire de manire bilatrale sans autre tierce-partie pour rguler le march. Autrement dit, le march n'est pas transparent et masque des engagements colossaux. Entre 1987 et 2009, le

sept./oct. 2013 - Audit & Contrle internes n216

35

MMOIRE DTUDIANT
march des produits drivs sest accru de 497 %, atteignant, en 2011, 647 762 milliards de dollars en valeur nominale, reprsentant lui seul plus de 50 fois le montant des changes dactifs rels et 9 fois le PIB mondial. Les drivs de crdit mis en cause ne reprsentent qu'environ 4 % du march. Ces chiffres doivent cependant tre pris avec prcaution car ils reprsentent le montant nominal inscrit au contrat, sans considrer les principes de compensation du portefeuille, de compensation entre les contreparties et de valorisation au prix du march. Pour autant, lopacit du march ne permet pas de mesurer objectivement l'exposition relle. D'autre part, le march des drivs de crdit de gr gr est un march concentr dont les principales banques europennes et amricaines reprsentent prs de 85 % de l'activit. Le march immobilier amricain montrant ces premiers signes de faiblesse a rvl la fragilit du march des produits drivs ainsi que son caractre systmique. C'est ce qu'avait soulev ds 2003 Warren E. Buffet en qualifiant les produits drivs de bombes retardement et d' armes financires de destruction massive . Les Etats-Unis et l'Europe ont alors mesur l'ampleur de la crise et entrepris d'encadrer ce march jusqu'alors drglement. Les reprsentants du G20, runis Pittsburgh en septembre 2009, vont ds lors prendre l'engagement de rguler le march des drivs de gr gr avec pour objectifs de le rendre plus transparent, de prvenir les risques systmiques et de protger les consommateurs contre les abus de march. Ds 2010, le Dodd-Franck Act est adopt aux Etats-Unis. En Europe, le rglement sur les infrastructures de march europennes ou rglement EMIR est longuement discut jusqu' son adoption dfinitive en juillet 2012, prvoyant une mise en conformit progressive ds 2013. Le renforcement du cadre rglementaire du secteur financier impacte significativement la chane de valeur des produits drivs de gr gr et implique paralllement une mise en conformit de leur processus de gestion, en particulier les activits de middle office. C'est dans ce contexte que ce travail a t labor pour constituer un guide d'audit oprationnel de mise en conformit du middle office des produits drivs de gr gr. A cet effet, le rglement EMIR introduit entre autres de nouvelles obligations. Notamment, les informations sur les oprations des drivs de gr gr doivent tre collectes par les rfrentiels centraux ; les drivs qui y sont ligibles doivent tre compenss multilatralement via une chambre de compensation ; les transactions bilatrales doivent tre collatrises afin de rduire le risque de contrepartie. Il est alors essentiel de couvrir les risques de mise en conformit des services de gestion des drivs de gr gr. Notamment en mettant en place des points de contrle afin daccompagner la mise en conformit et de garantir une gouvernance intgre et efficace ; l'adquation de l'organisation des services de gestion ; l'interoprabilit, l'exhaustivit et la fiabilit des systmes d'information ; l'encadrement juridique des accords de partenariats ainsi que la matrise des risques oprationnels (valorisation, compensation...). Il est vident que le renforcement de la lgislation modifie substantiellement les processus de gestion des produits drivs. Les nouvelles exigences de compensation, de valorisation et de gestion du risque de contrepartie requirent dimportants moyens techniques et humains d'valuation des risques. Nanmoins, les apports de la rglementation permettent avant tout une meilleure matrise des risques et imposent finalement lusage de processus de rduction du risque qui, au demeurant, existaient dj et se sont dvelopps depuis 2008 en raison de la volatilit du march. En outre, les exigences accrues de fonds propres lis la rglementation de Ble III mettent en exergue dans le

Loc Kerboas a effectu son parcours universitaire en langues et commerce international, et a travaill dans un institut d'tude marketing sur le secteur de la grande distribution. Aprs un an d'exprience, il rejoint l'Institut d'Administration des Entreprises d'Aix-enProvence dans la filire audit interne ainsi que le CACEIS en tant que stagiaire. Depuis octobre 2012, il poursuit sa carrire d'auditeur au sein du groupe Crdit Agricole dans le secteur de l'assurance. Il a obtenu en 2013 le prix Olivier Lemant.

mme temps la ncessit de rationaliser les liquidits. La rconciliation et la compression de portefeuille sont cet gard des outils d'optimisation. Par ailleurs, il faut souligner le transfert du risque systmique des grandes institutions bancaires vers les contreparties centrales de compensation concentrant dautant les risques. Les autorits de tutelle devront exercer une surveillance quasi infaillible sur les contreparties centrales, au risque que la prochaine crise impactant, de prs ou de loin, le march des drivs de gr gr ne se propage irrmdiablement lensemble des institutions financires. Cest ce titre que lUnion europenne sest dote dune nouvelle infrastructure de march crant quatre nouvelles autorits de tutelle et de surveillance du systme financier dont le centre europen du risque systmique (CERS). Cependant, les mesures rglementaires dencadrement des contreparties centrales suffiront-elles ? Une gouvernance europenne du risque systmique est-elle rellement oprationnelle ? Ces questions mergeront tt ou tard dans lurgence de la situation mais il nest pas exclu quun travail de fond sur ces questions puisse tre men au travers dune approche par les risques.

36

Audit & Contrle internes n216 - sept./oct. 2013

LA PROFESSION EN MOUVEMENT

Evnements
Quelles sont les rgles dun entretien efficace ? Un travail de prparation : prparer une grille dentretien ou un questionnaire ; dfinir une structure dentretien ; mettre en place une relation avec laudit ; introduire le contexte de lentrevue (thmes, objectifs, plan) ; prsenter un ordre du jour des sujets aborder ; sassurer de la comprhension de ces prrequis par linterview. Un travail de communication : laisser parler ou faire parler linterlocuteur ; utiliser les bonnes techniques de questionnement ; reformuler les propos de linterlocuteur ; grer le temps ; piloter son propre comportement ; valider les propos changs, en fin dentretien : restituer les points forts, les faiblesses, les non-conformits, les possibilits damlioration. Un travail de vrification : toutes les informations recueillies doivent tre vrifies. Des tests seront effectus, des preuves seront demandes, des donnes, des chiffres seront collationns. Une tape majeure, la conclusion : reformuler les ides force ; demander si des points importants ont t omis ; dvelopper des points connexes ou directement lis laudit ; remercier son interlocuteur pour le temps accord et la qualit de lentretien, de la clture duquel dpendra limpression sur laquelle restera linterlocuteur. Quelles sont les erreurs ne pas commettre ? Passer outre les points ci-dessus. Instaurer un positionnement inadquat (pas de rapport de force, pas de leons) ; ngliger lcoute ; travailler contre et non avec les audits ; suivre son guide dentretien de faon rigide ; traiter des sujets dcals par rapport au positionnement hirarchique de linterlocuteur. Ne pas tre le dclencheur dun entretien conflictuel, mais savoir le grer, et connatre les techniques de gestion des comportements difficiles. Comment faire une bonne analyse de lentretien et lintgrer dans les conclusions de laudit ? Faire le tri entre les informations utilisables et non utilisables. Valider le contenu de lcrit dfinitif, dans un souci de transparence, et pour pouvoir rendre non opposable son contenu. niveau macro) ou sur des composantes de lorganisation (opinion de niveau micro). Lassurance positive (ou assurance raisonnable) confre le niveau dassurance le plus lev, cest une des opinions daudit la plus solide ; elle ncessite le niveau de preuve le plus lev. Une opinion dassurance ngative (ou limite) constitue une dclaration selon laquelle rien na retenu lattention de lauditeur propos dun objectif particulier ; une telle opinion est moins fiable quune assurance positive. Comment mettre une opinion ? Une opinion ne doit pas tre le rsultat dune rflexion mais celui dun processus planifi. Le besoin dobtenir une opinion daudit et la capacit de laudit interne exprimer cette opinion dpendent de plusieurs facteurs tels que comprendre les besoins des parties prenantes ; dterminer le primtre, la nature, le calendrier et lampleur du travail daudit requis ; sassurer que les moyens sont suffisants pour accomplir le travail et en valuer les rsultats. Le responsable de laudit interne doit prciser, avec la direction gnrale et le conseil, les exigences des parties prenantes en termes dopinion daudit, y compris le niveau dassurance souhait. Lopinion et la responsabilit de lauditeur. Lopi-

Comment mener un entretien efficace lors dune mission daudit interne ?


Runion mensuelle du 18 juin 2013 Pourquoi lentretien est-il un outil essentiel de la mission daudit interne ? Pour vendre la fonction daudit interne, crer un lien pralable la mission et tablir une qualit de relation ( dbloquer les verrous ). Pour accder linformation tangible et intangible et obtenir un maximum dinformations en un minimum de temps : bien entendu les informations reues seront vrifies. Comment prparer un entretien daudit interne ? En se documentant sur linterlocuteur, pour faire un travail positif. Les deux parties (auditeurs/audits) ont tout y gagner, et lorganisation dans son ensemble aussi. En circonscrivant le cadre du sujet. En prparant les conditions de lentretien un triple niveau : technique (gain de temps, crdibilit) ; matriel (salle de runion, projecteur) ; mental/psychologique (courtoisie, cordialit). 50% de chances de russite de lentretien tiennent une bonne prparation.

Focus sur les guides pratiques : Formuler et exprimer une opinion daudit interne
Runion mensuelle du 12 septembre 2013 Quest-ce quune opinion daudit interne ? Cest une assurance ou un avis sur lorganisation dans son ensemble (opinion de

sept./oct. 2013 - Audit & Contrle internes n216

37

LA PROFESSION EN MOUVEMENT

nion de lauditeur engage sa responsabilit. Lutilisation dopinions peut renforcer la confiance dans les rapports daudit interne. Mais cette confiance renforce peut avoir des consquences juridiques, notamment si quelquun sappuie sur le rapport daudit, et quune dfaillance du contrle interne apparat aprs la publication du rapport. A quoi sert une opinion ? Elle doit permettre de rpondre plusieurs questions. Vis--vis du conseil : quelles sont les priorits, quels sont les degrs de confiance ? Vis--vis de lentit : le travail est-il bien fait ? Vis--vis du risk management : Y a-t-il une volution ? Vis--vis du contrle interne : faut-il modifier certains processus ? Les difficults mettre une opinion. Elles peuvent natre dune incomprhension culturelle si le rfrentiel nest pas clairement mis en place et accept, ou la politique du groupe clairement affiche ou comprise ; elles peuvent aussi tre lies des problmes techniques complexes, sources dincomprhension entre les acteurs ; des vnements ou des situations peuvent galement influer sur lopinion. Enfin il faut tenir compte de lvolution des problmatiques et de ladaptation du rfrentiel.

Lu pour vous
Le grand livre du contrle de gestion
Auteurs : Marie-Nolle Dsir-Luciani, Daniel Hirsch, Nathalie Kacher, Marc Polossat Editeur : Eyrolles On a beaucoup crit sur le contrle de gestion. Mais il ne sagit pas ici dun nime ouvrage sur le sujet. Lambition des auteurs est de prsenter la fonction de faon pragmatique, les objectifs, lorganisation, la stratgie ; un panorama vivant du mtier et de ses outils. Aprs les dfinitions et la prsentation des concepts cls, une premire partie traite des enjeux : linfluence de la structure, ladaptation la culture, le positionnement et le rle du contrleur de gestion, les rsultats obtenus dans les centres de responsabilit. La deuxime partie traite des outils pour prvoir laction, la mesurer et la favoriser. Dans la troisime partie, il est question des spcificits sectorielles du contrle de gestion : banque et assurance, prestations de service, secteur public, secteur associatif, PME. La quatrime partie indique la dmarche de mise en uvre dun contrle de gestion, sattache montrer linfluence de la culture de management et du leadership, et du savoir-tre du contrleur de gestion. Louvrage foisonne dexemples concrets, dexercices et de mthodes pratiques, doutils divers, et apporte des rponses aussi bien aux professionnels quaux tudiants.

Thorie et pratique de laudit interne - 8e dition


Auteur : Jacques Renard Editeur : Eyrolles Voici la 8me dition dun ouvrage fondamental, que tout bon auditeur interne se doit davoir porte de la main. Laudit interne est une fonction qui volue rapidement et constamment, pour pouvoir sadapter un monde luimme en volution permanente. La 8me dition prend en compte les innovations parmi lesquelles figurent : ladaptation ldition 2013 des normes professionnelles ; lintgration de la complexit croissante du fonctionnement des organisations ; la mise jour des statistiques nationales et internationales sur la fonction, au vu des enqutes les plus rcentes ; lvolution et lincidence des rglementations franaise et communautaire ; les nouveaux quilibres entre consultants internes en entreprise et les problmes poss ; lattention croissante porte au management des risques et ses consquences ; le dveloppement des outils informatiques. Ce guide prcieux pour les auditeurs en activit, sera lu ou consult avec profit par les dirigeants et les managers oprationnels, comme par les tudiants.

38

Audit & Contrle internes n216 - sept./oct. 2013

Calendrier 2013
S ESS I ON S SE FORMER AU CONTRLE INTERNE
Sinitier la matrise des activits et au contrle interne Raliser une cartographie des risques Elaborer un rfrentiel de contrle interne Piloter un dispositif de matrise des activits et de contrle interne Le contrle interne des systmes dinformation Matrise des activits, contrle interne et communication
Nouveau

Dure

Tarifs Tarifs non adhrents adhrents

janv. fvr. mars avril mai juin juil. sept. oct. nov. dc.

2j 3j 2j 2j 2j 2j

950 1 675 1 200 1 200 1 200 1 200

1 125 10-11 11-12 14-15 8-9 13-14 10-11 3-4 1 875 14-16 13-15 18-20 10-12 15-17 12-14 1 350 21-22 19-20 21-22 1 350 23-24 21-22 25-26 1 350 29-30 1 350 25-26 27-28 27-28

9-10

3-4 14-15 2-3 4-6

11-13 7-9

21-22 17-18 8-9 16-17 10-11 18-19 23-24 20-21 24-25 23-24 19-20 14-15 12-13 20-21 10-11

SE FORMER LAUDIT INTERNE - 20% pour un participant inscrit simultanment 4 formations


Les fondamentaux de laudit interne Sinitier laudit interne Conduire une mission daudit interne : la mthodologie Matriser les outils et les techniques de laudit Matriser les situations de communication orale de lauditeur Russir les crits de la mission daudit Exploiter les tats nanciers pour prparer une mission daudit Dsacraliser les systmes dinformation Dtecter et prvenir les fraudes Le management Piloter un service daudit interne Manager une quipe dauditeurs au cours dune mission Laudit interne dans les petites structures Balanced Scorecard du service daudit interne Le suivi des recommandations Prparer lvaluation externe du service daudit interne Laudit interne, acteur de la gouvernance Audit interne, contrle interne et qualit : les synergies Les audits spciques Audit du Plan de Continuit dActivits - PCA Audit de la fonction Comptable Audit de performance de la gestion des Ressources Humaines Audit de la fonction Achats Audit des Contrats Audit de la fonction Contrle de Gestion Audit de la Scurit des Systmes dInformation Audit des Processus Informatiss Audit de la Conformit la Lgislation Sociale Audit du Dveloppement Durable Audit des Projets et Investissements
Nouveau

2j 4j 3j 2j 2j 3j 3j 2j

950 1 950 1 625 1 050 1 050 1 525 1 525 1 050

1 125 10-11 5-6 14-15 4-5 16-17 6-7

1-2

5-6

3-4

7-8

2-3

2 150 14-17 11-14 18-21 8-11 21-24 10-13 1-4

9-12 7-10 12-15 9-12

1 775 21-23 18-20 25-27 15-17 27-29 17-19 8-10 16-18 14-16 18-20 16-18 1 150 24-25 21-22 28-29 18-19 30-31 20-21 11-12 19-20 17-18 21-22 19-20 1 150 28-29 25-26 25-26 22-23 30-31 24-25 11-12 23-24 21-22 25-26 19-20 301 675 01/02 1 675 1 150 27-28 20-22 27-29 24-25 15-17 3-5 26-27 25-27 25-27 23-24 23-24 4-6 16-18 2-3

2j 1j 1j 1j 1j 2j 1j 1j

1 300 685 685 685 685 1 300 685 685

1 450 16-17 770 770 770 770 1 450 770 770 19 18 20-21 12 22 11 25 18

23-24 4 28 19 14 13-14 30

15-16 29 1 15 18 25-26 14

17

2j 2j 3j 2j 1j 2j 2j 2j 2j 2j 2j

1 300 1 300 1 525 1 300 685 1 300 1 300 1 300 1 300 1 300 1 300

1 450 1 450 1 675 1 450 770 1 450 1 450 1 450 1 450 1 450 1 450 25-26 12-13

26-27 15-16 23-25

25-26 17-18

19-20

27-29 13-14 23-24 3 14 25-26 26-27

1 28-29 20-21 17-18

11-12 21-22 29-30 3-4 27-28

9-10

SE FORMER DANS LE SECTEUR PUBLIC


Le contrle interne dans le secteur public Pratiquer laudit interne dans le secteur public Le contrle permanent et la conformit dans le secteur bancaire et nancier Pratiquer laudit interne dans une banque ou un tablissement nancier 2j 4j 1 300 1 950 1 450 2 150 14-15 26-29 15-16 17-20 9-10 8-11 14-15 10-13

SE FORMER DANS LE SECTEUR BANCAIRE ET FINANCIER


3j 4j 1 525 1 950 1 675 2 150 5-7 10-13 18-20 23-26 11-13 16-19

SE FORMER DANS LE SECTEUR DES ASSURANCES


Le contrle interne dans le secteur des assurances Pratiquer laudit interne dans le secteur des assurances 2j 4j 1 300 1 950 1 450 2 150 7-8 19-22 21-22 24-27 5-6 15-18 21-22 3-6

SE FORMER DANS LES SECTEURS INDUSTRIE ET COMMERCE


Audit de la gestion des stocks et de la logistique Audit du processus de ventes
Nouveau Nouveau

2j 2j

1 300 1 300

1 450 30-31 1 450 3-4

1-2 24-25

ACQURIR UNE CERTIFICATION

Voir notre site internet : www.ifaci.com

IFACI Formation - Tl. : 01 40 08 48 08 - Mel : formation@ifaci.com - Retrouvez galement le programme complet sur le site internet www.ifaci.com

FICHE TECHNIQUE

Grer efficacement les identits et les accs


La gestion des identits et des accs est une activit transversale qui consiste dterminer qui a accs quelle information sur une priode donne. Elle permet dinitier, de capturer, denregistrer et de grer les identits des utilisateurs et les droits correspondants daccs aux informations exclusives de lorganisation. Des processus de gestion des identits et des accs mdiocres ou mal contrls peuvent entraner des violations de la rglementation par lorganisation et empcher didentifier les cas de dtournement des donnes de lentreprise. Les responsables de laudit interne doivent participer au dveloppement de la stratgie de gestion des identits et des accs de lorganisation et valuer la mise en uvre de cette stratgie, ainsi que lefficacit des contrles daccs qui sappliquent dans lensemble de lorganisation.

Olivier Sznitkies
Audit Director, Lafarge Group Audit

e guide pratique de lIIA traitant de la Gestion des identits et des accs , traduit en 2010 par lIFACI, reste dune actualit prgnante. En effet, rares encore sont les organisations qui ont pleinement russi mettre en place des processus de gestion des identits et des accs la fois efficients, robustes et durablement fiables.

Schmatiquement, il sagit de grer les identits et les accs pour matriser Qui a accs quelles informations ? avec comme questions subsidiaires Pour quel usage ? , Qui a le droit de grer quoi ? , Qui a dlgu quoi qui ? , etc. Une gestion des identits et des accs robuste permet donc de poser les fondations dun contrle interne efficace en visant ladqua-

sept./oct. 2013 - FICHE TECHNIQUE N46 - Audit & Contrle internes

FICHE TECHNIQUE

tion des droits daccs avec les fonctions, une sparation des tches adapte et lauditabilit du dispositif. Une mise en uvre, bien plus dlicate quil ny parat Multiplication des composants informatiques (application, bases de donnes, systme dexploitation, serveurs, poste de travail, rseau, etc.), intgration et interconnexion des systmes, extension au-del des frontires de lorganisation, architectures distribues, etc. sont autant de facteurs de complexit bien apprhender dans le cadre de la mise en uvre dune gestion robuste des identits et des accs. Lobjectif du guide pratique est daider mieux comprendre les enjeux de la gestion des identits et des accs pour lorganisation, et de suggrer aux auditeurs internes des points qui mritent un examen plus approfondi. Il peut aider les auditeurs internes, notamment les responsables de laudit interne, comprendre, analyser et surveiller les processus de gestion des identits et des accs de leur organisation. Que visent les organisations lorsquelles mettent en uvre des processus et des systmes de gestion des identits et des accs ? rduire les risques lis la scurit de linformation ; renforcer lefficacit et la transparence des oprations de gestion des identits et des accs ; se conformer aux exigences rglementaires relatives la fiabilisation des dispositifs de contrle interne (Cadre de rfrence de lAMF, SarbanesOxley, Ble 2, protection des donnes personnelles, etc.) ; amliorer le service aux utilisateurs.

Dfinition et concepts cls


Afin de permettre aux lecteurs dapprhender lintgralit du processus de gestion des identits et des accs, le guide pratique propose un rappel des concepts cls apprhender pour conduire un audit efficace de la gestion des identits et des accs (tableau 1) ainsi quune modlisation des grandes composantes de ce processus (cf. figure 1). Le guide dcline ainsi la notion de provisionnement (processus qui part de la demande jusqu la cration du compte utilisateur), la notion dadministration (processus de surveillance et de suivi durant lensemble du cycle de vie du compte) et la notion de mise en uvre des mcanismes didentification et dauthentification lors de la connexion aux systmes. Gestion des identits / gestion des habilitations : 2 cycles distinguer Lobjectif dun processus de gestion des identits et des accs est de crer, de modifier, de suivre et de rsilier les identifiants associs chaque compte quil soit attach une personne ou une machine. Les identits grer revtent des formes multiples et doivent toutes tre correctement prises en compte. En effet, visant naturellement au premier chef le personnel interne des organisations, la gestion des accs doit galement traiter des humains constituant lcosystme de lorganisation (prestataires, clients, prospects, usagers, fournisseurs, etc.) mais galement, dans la perspective de systmes de plus en plus tendus et intgrs, de lidentification et la gestion des accs des machines entre elles.

Identit

Il sagit de lensemble des lments permettant didentifier et dauthentifier de faon univoque une personne (employs, prestataires, clients, etc.) ou une machine (par exemple pour permettre la connexion dun systme un autre pour un transfert de fichier ou une interface). Il peut sagir dun couple identifiants (adresse email, numro de compte) / mot de passe, dun lment avoir (badge didentification, jeton de scurit), ou dune caractristique physique (empreinte digitale ou rtinienne). Il sagit de linformation correspondant aux droits accords une identit. Ces droits daccs peuvent tre affects des utilisateurs pour leur permettre de raliser diffrents types doprations, par exemple : la copie, la modification, la suppression, lapprobation, la visualisation ou la lecture. Il sagit de lensemble des droits daccs ncessaires pour raliser les oprations.
Tableau 1 : Rappel des concepts cls

Accs

Habilitations

Audit & Contrle internes - FICHE TECHNIQUE N46 - sept./oct. 2013

Gestion des identits et des accs

Elments

Identit

Accs

Processus

Provision

Administration

Mise en uvre

Demande Validation Approbation Propagation Communication

Surveillance Gestion des mots de passe Audit et rapprochement Administration des politiques Elaboration dune stratgie Gestion des systmes Systmes dinformation et donnes

Authentification Autorisation Consignation des actions

Figure 1 : Relations entre lments de la gestion des identits et des accs et concepts cls

La gestion des habilitations vise, quant elle, crer, modifier, suivre et rsilier les habilitations ou permissions daccs attribus aux comptes utilisateurs. Quelle que soit lapproche retenue pour regrouper les comptes utilisateurs sous des fonctions similaires (groupe de travail, rles ou profils), lorganisation doit procder rgulirement un inventaire des droits daccs pour vrifier que les droits attribus aux utilisateurs correspondent leurs responsabilits effectives et ont bien pris en compte leurs ventuels changements de poste. Demande daccs, approbation et cration du compte (provisionnement) La gestion des arrives (cration initiale de lidentit) et la gestion des dparts (suppression ou dsactivation de lidentit) constituent des tapes fondamentales du cycle de vie de gestion des identits. Mobilisant diffrents acteurs (manager hirarchique, DRH, DSI), elles ncessitent une grande rigueur et une rpartition claire des responsabilits. Elles feront ce titre, lobjet dune attention particulire dans le cadre de la mise en uvre ou de laudit de la gestion des identits et des accs. Le processus de demande de cration, suppression ou modification dune identit doit dcrire prcisment, pour chaque type de compte, la faon dont sont formules les demandes, qui elles doivent tre communiques, quels sont les dlais de traitement et quelles sont les diffrentes tapes dapprobation.

Lors de la cration dun nouveau compte utilisateur, des droits daccs vont tre associs ce compte. De par leur connaissance de limbrication des systmes, les directions informatiques jouent un rle essentiel dans ce processus de provisionnement. Nanmoins, elles ne peuvent pas se substituer au propritaire du systme ou de lapplication qui doit prendre la responsabilit dapprouver lattribution des droits daccs associs. En outre, des procdures dapprobation et de provisionnements spcifiques doivent tre en place pour traiter : les comptes fonctionnels ou comptes de service (c'est--dire les identits non attaches des individus uniques) ; les comptes privilgis qui dtiennent des droits daccs tendus souvent lis des fonctions dadministration des applications et des systmes. Ces comptes, permettant un vaste champ daction, induisent, par nature, un niveau de risque lev sils ne sont pas utiliss par des personnes fiables et dment autorises. Au cours du processus de provisionnement, les responsables en charge dapprouver les demandes daccs doivent dterminer si la demande risque de provoquer un conflit de sparation des tches. Cette analyse manuelle ou automatise est rendue plus efficace si elle sappuie sur un rfrentiel de conflits pridentifis (par exemple : enregistrement des factures

Actions

sept./oct. 2013 - FICHE TECHNIQUE N46 - Audit & Contrle internes

fournisseur et validation des bons payer ). Elle permet ainsi de servir de contrle prventif avant loctroi de nouveaux droits daccs. Traabilit et journalisation Un annuaire dhabilitation est un systme permettant le suivi des droits daccs attribus aux utilisateurs au fil du temps ainsi que lenregistrement des demandes de changement de droit daccs, les approbations, les dates de dbut et de fin des accs, etc. Ces donnes sont particulirement utiles, sinon ncessaires, pour laudit et la revue des habilitations et droits daccs et notamment pour vrifier que chaque changement de droit a t dment approuv. Le journal de ces vnements doit tre conserv durant une priode de temps adapte pour permettre la conduite de ces revues, rpondre aux ventuelles exigences rglementaires tout en prenant en compte les contraintes de stockage des donnes. Revue des droits daccs par le management

Plus critique, les comptes privilgis devront faire lobjet dune procdure de revue approprie. Il conviendra notamment de vrifier priodiquement la liste des utilisateurs bnficiant daccs privilgis et revoir, dans la mesure du possible, les activits ralises partir de ces comptes. Administration des mots de passe des utilisateurs Facteur essentiel de lefficacit du processus de gestion des identits et des accs, la gestion des mots de passe comprend les tches suivantes : mission des mots de passe initiaux, communication des mots de passe aux utilisateurs, rinitialisation des mots de passe pour les utilisateurs bloqus, vrification du respect des politiques de scurit, vrification des mots de passe triviaux facilitant des utilisations non autorises des systmes. Lauthentification peut prendre dautres formes : empreinte digitale, reconnaissance vocale, badge ou carte puce, code reu par SMS, etc.

Dans le cadre du processus de surveillance de la gestion des identits et des droits daccs, il Comment auditer la gestion des convient de mettre en place une mthoidentits et des accs ? dologie de vrification priodique des droits daccs accords Points de vigilance La gestion des arrives toutes les identits prsentes dans lenvironnement inforEn complment de la descripet la gestion des dparts matique. Cette vrification, tion des principes de gestion constituent des tapes bien que facilite par la DSI, des identits et des accs (cf. devrait essentiellement tre figure 1), le guide pratique fondamentales du cycle conduite par les directions propose lauditeur une liste de vie de gestion mtiers avec lapprobation de des principaux points de vigichaque propritaire dapplilance bien apprhender lors de des identits cation. chacune des tapes dun audit des Un processus de gestion des identits droits daccs et des habilitations (Cf. et des habilitations mature doit faciliter la tableau 2). revue des droits daccs par les managers et les propritaires dapplication. Les managers peuvent Revue des droits daccs par les auditeurs ainsi vrifier les accs accords leurs collaborateurs directs tandis que les propritaires dapplications Pour lauditeur, la revue des droits daccs et des habipourront vrifier efficacement les accs attribus litations visera, en particulier, rapprocher prioditoutes les personnes utilisant leur application afin quement (ventuellement sur la base dchandidentifier et rvoquer les droits daccs injustifis. tillonnage) les accs et habilitations actifs dans les Cette vrification devrait tre conduite avec une systmes avec les listes de demande de cration de frquence adapte au niveau de risque associ compte ou les listes de mouvement demploys chacune des applications. (changement de poste ou dpart). Lorganisation doit disposer dun moyen de signalement, de suivi et de correction des ventuelles anomaCe rapprochement peut faire apparatre les situations lies mise en vidence par ces rapprochements. suivantes :

sept./oct. 2013 - FICHE TECHNIQUE N46 - Audit & Contrle internes

FICHE TECHNIQUE

Etapes Lister et documenter les habilitations Comprendre les processus de gestion des habilitations

Description de ltape et points de vigilance tre attentif aux diffrents types de comptes daccs (comptes utilisateurs, comptes de services, comptes machine, comptes batch). Apprhender les tapes de cration, daffectation, dapprobation, et de suppression des habilitations. Lauditeur doit, en particulier, sassurer que les habilitations ne sont configures dans les systmes quaprs avoir reu toutes les approbations requises. Identifier les mcanismes dauthentification et dautorisation mis en uvre et plus spcifiquement les annuaires sur lesquels vont sappuyer ces mcanismes. Dans de nombreux cas, les applications (par exemple un ERP) sappuieront sur une couche dauthentification tierce (par exemple une authentification Windows lors de louverture dune session sur un poste de travail). Vrifier sil y a des carts entre les rfrentiels dhabilitation dans les systmes et lorganisation relle et, le cas chant, en comprendre lorigine.

Identifier les rfrentiels et annuaire dhabilitations

Identifier les contrles sur les rfrentiels dhabilitation valuer comment sont conduites les revues priodiques des habilitations

Sassurer que ces contrles sont documents et traables, quils sont conduits avec une priodicit raisonnable, et quils font lobjet dactions de suivi (correction des carts, analyse des causes source, etc.).

Tableau 2 : Principaux points de vigilance bien apprhender lors de chacune des tapes dun audit

Les identits possdent les droits daccs correspondant ceux approuvs. Les identits et les droits daccs associs nont pas t revus avec le niveau de frquence attendue. Les identits possdent des droits daccs qui ne correspondent pas aux droits approuvs. Il existe encore, dans lenvironnement informatique, des identits associes des utilisateurs qui ont quitt lorganisation. Certains utilisateurs disposent de droits daccs sans demande daccs pralable ou sans autorisation de cette demande. bauche de programme de travail En outre, le guide pratique propose une liste de quelques questions permettant lauditeur de dfinir un programme de travail pour couvrir chacun des domaines Administration, Provisionnement et Mise en uvre de la gestion des identits des droits daccs. Le tableau 3 en propose une synthse.

Le guide pratique propose lauditeur une base solide lui permettant dorienter et planifier sa revue de la gestion des identits et des accs. Cette planification doit naturellement se fonder sur une bonne comprhension de lenvironnement de lorganisation et de ces processus mtiers mais surtout sur une robuste analyse des risques. Pour ce faire, rappelons quelques exemples de risque prendre en compte dans la planification dune mission daudit de la gestion des identits et des accs : perte de confidentialit (par exemples divulgation de fichiers de prix client, fuite de fichiers de numro de carte de crdit) ; perte dintgrit (par exemples modification indue du solde dun compte, modification non-autorise dun RIB fournisseur) ; perte de traabilit (par exemple : suppression des journaux de consignation du nom des personnes ayant autoris les mises en paiement) ; non-efficience (par exemple : multiples oprations manuelles pour ractiver le compte dun utilisateur en cas doubli de mot de passe).

* *

Audit & Contrle internes - FICHE TECHNIQUE N46 - sept./oct. 2013

Administration

Une stratgie de gestion des identits et des accs a-t-elle t mise en place ? Les risques lis au processus de gestion des identits et des accs sont-ils bien compris par la Direction et les autres personnes concernes ? Les rglementations applicables lorganisation sont-elles bien comprises ? Existe-t-il des mthodes prcises pour rendre compte des problmes lis la sparation des fonctions ? Comment sont labores les rgles des mots de passe et sont-elles suffisantes ? Lorganisation dispose-t-elle de processus cohrents pour la gestion des accs au systme ? Les auditeurs peuvent-ils identifier individuellement les personnes qui ont accs aux systmes de lorganisation, en fonction des identifiants de connexion qui leur sont attribus ? La productivit du personnel ptit-elle de difficults obtenir et maintenir les accs aux systmes ? Qui doit approuver laccs dun utilisateur lenvironnement ? Lorganisation peut-elle prouver que seules les personnes habilites ont accs aux informations ? Existe-t-il des contrles permettant dempcher dajouter des accs aux systmes et aux applications sans respecter la procdure approuve ? Lorsquune personne quitte lorganisation, ses accs aux systmes sont-ils exhaustivement recenss et dsactivs rapidement ? Comment lorganisation traite-t-elle les comptes nayant pas trait des personnes (par exemple compte de services) ? Comment lorganisation traite-t-elle les comptes privilgis ? Quelle est lefficacit des contrles mis en place pour viter que certaines personnes ne contournent les contrles dauthentification ou dautorisation ? La mise en uvre des contrles daccs par les applications suit-elle toujours la mme approche ? Comment les informations sont-elle journalises, collectes et analyses ?
Tableau 3 : Synthse de la liste de questions permettant de dfinir un programme de travail

Provisionnement

Mise en uvre

Rappelons, enfin, que la gestion des identits et des droits daccs est un sujet daudit cl dans le sens o celle-ci constitue un socle sur lequel vont sappuyer bon nombre de contrle mtiers . Ainsi, au cours de la revue dun processus mtier (paye, achat, etc.), ds lors quil souhaitera, sassurer que les contrles bass sur des autorisations (autorisation de dpenses, autorisation de rviser une limite de crdit, etc.,) sont en place, lauditeur devra se poser la question de la fiabilit de mise en uvre de ces contrles dans les systmes conformment aux dcisions dorganisation et aux habilitations. Cette dernire question nous renvoie ainsi la lecture et la mise en uvre du GTAG 8 Guide Pratique dAudit des Contrles Applicatifs.

Olivier Sznitkies est titulaire d'un diplme d'ingnieur IT de l'E.I.S.T.I. et d'un D.E.S.S. de gestion des entreprises de l'I.A.E. de Paris, et auditeur certifi en systme d'information (CISA, CISM, CGEIT). Aprs une exprience comme consultant en business intelligence, il a poursuivi sa carrire dans l'audit et le conseil au sein d'Arthur Andersen et KPMG o il a particip au dveloppement des offres de service gestion des risques, audit et contrle internes, amlioration de la performance IT. Olivier Sznitkies est actuellement directeur de missions au sein de l'audit interne groupe Lafarge. Il supervise des missions d'audit oprationnel et informatique des filiales du groupe dans une cinquantaine de pays.

sept./oct. 2013 - FICHE TECHNIQUE N46 - Audit & Contrle internes