Académique Documents
Professionnel Documents
Culture Documents
Audit Interne PDF
Audit Interne PDF
Collection Finance
S o u s l a d i r e c ti o n d e
e
fonction cl de lentreprise Prface de Louis Vaurs
c
n
Laudit interne est devenu un acteur majeur du dispositif de Avec la contribution
Audit
matrise des risques, du contrle interne et de la gouvernance de :
a
des socits. La fonction en elle-mme est de plus en Valrie Berche
plus large et la valeur ajoute des missions des auditeurs
n
Christian Bertheuil
internes leur confre une vritable force de proposition et
Audit interne
de conseil. Cette volution, qui sest acclre la suite de lisabeth Bertin
i
la promulgation du Sarbanes-Oxley Act (2002) et dans un Patricia Coutelle-Brillet
F
contexte dinternationalisation croissante des entreprises
interne
Eustache Ebondo wa
et de multiplication des fusions-acquisitions, engendre de Mandzila
nouvelles problmatiques.
Florence Fradin
n
Cet ouvrage donne une vision trs complte des spcicits
Christophe Godowski
et des enjeux de laudit interne en contexte international.
o
Outre lactualit du sujet, son intrt rside dans le large ric Lamarque
ventail des thmes traits : Francis Lamarque
i
1 la dmarche et les dimensions organisationnelles et
Christine Pochet
comportementales de laudit interne ;
t
Nol Pons
1 laudit des processus qui prsentent des spcicits
c
linternational ; Christian Prat dit
1 limpact des volutions rglementaires rcentes et Hauret
lisabeth Bertin
Docteur s Sciences de Gestion, lisabeth Bertin est matre de
Enjeux
Code diteur : G53970
ISBN : 978-2-212-53970-7
-:HSMCLC=ZX^\U\:
confrences en sciences de gestion lInstitut dadministration des
entreprises de Tours. Elle assure la direction du master 2 Audit des
entreprises internationales, quelle a cr. Ses travaux de recherche
portent sur laudit externe et interne, plus particulirement sur le
et pratiques
comportement daudit, linternationalisation de laudit et la formation linternational
laudit.
45
Audit interne :
enjeux et pratiques
linternational
www.editions-eyrolles.com
audit interne, dfini officiellement comme une activit, est avant tout
L une fonction de lorganisation et cest avec des ressources appropries
de celle-ci que laudit interne est susceptible dapporter le plus de valeur
ajoute. Laudit interne doit vivre lentreprise, tre imprgn de sa culture, se
sentir concern par tout ce qui la touche, ses succs comme ses difficults ou
ses checs. En consquence, lexternalisation du service daudit interne,
association insolite de termes contradictoires diraient daucuns, est ban-
nir. En revanche, le recours ponctuel des ressources et des comptences
externes, lorsque la ncessit sen fait sentir, est recommander.
Laudit interne est une fonction qui prsente de grandes spcificits et ne
peut tre compare aucune autre. Elle dispose en fait des caractristiques
dune profession norme lchelle internationale : mme dfinition,
mmes standards professionnels, mme code de dontologie ; un examen
mondialement reconnu, le CIA (Certified Internal Auditor), auquel est venu
sajouter pour les pays francophones le DPAI (Diplme Professionnel de
lAudit Interne) ; une valuation rgulire enfin de son bon fonctionnement
par des organismes indpendants.
Contrairement une ide reue, laudit interne nest pas une fonction
comptable et financire ou du moins nest pas que cela. En effet, sa mission
consiste analyser les risques, tous les risques, quils soient oprationnels,
financiers ou de conformit, susceptibles daffecter la ralisation des objectifs
fixs par lorganisation, puis sassurer quil existe un dispositif de contrle
interne parfaitement adapt sa situation et, si tel nest pas le cas, faire
toutes les propositions ncessaires pour y pourvoir.
Le problme de son rattachement fait lobjet, depuis des annes, de grandes
controverses. Dans la mesure o laudit interne sest, au fil des ans, loign
du domaine comptable et financier, le rattachement la direction financire
doit tre abandonn au profit dun rattachement la Direction gnrale.
Groupe Eyrolles
Sur le plan international, grce certes aux initiatives de lIIA1, mais aussi
celles des organisations telles que lECIIA2 pour les pays europens et du
bassin mditerranen ou lUFAI3 pour les pays francophones, laudit interne
a fait de formidables avances, mais tous les pays ne le pratiquent pas de la
mme faon et les comparaisons sont parfois difficiles, mme entre les pays
considrs comme les plus avancs.
Comme en toute chose, il ny a pas de vrit absolue sur la faon dont laudit
interne doit tre pratiqu et bien souvent, lidal, cest le possible. En cons-
quence, les entreprises qui ont des filiales ltranger doivent viter tout
dogmatisme. Et tout en restant fermes sur les grands principes, elles doivent
imprativement tenir compte des cultures, des usages, de la ralit de la
corporate governance et de la faon dont le rle de laudit interne est peru.
Ce nest quen agissant avec prudence et doigt que les meilleures pratiques
en audit interne y seront peu peu implantes.
Louis Vaurs,
Dlgu Gnral de lIfAcI
1. Institute of Internal Auditors : association internationale qui fdre les instituts daudit
Groupe Eyrolles
interne nationaux.
2. European Confederation of Institutes of Internal Auditing : Confdration Euro-
penne des Instituts dAudit Interne.
3. Union Francophone de lAudit Interne.
8
Remerciements
lisabeth Bertin
Groupe Eyrolles
Prface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Remerciements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Introduction gnrale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Partie I
Lorganisation et la conduite de laudit interne
en environnement international
Partie II
La contribution de laudit interne au processus de gouvernance de
lentreprise en environnement international
Partie III
La mise en uvre daudits spcifiques en environnement international
Chapitre 9 Laudit des fraudes dans les filiales . . . . . . . . . . . . . . . . . . . . . . . . . 221
Les valuations liminaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
Les fraudes gnriques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
La fraude des employs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
Chapitre 10 Laudit des fraudes sur les systmes dinformation . . . . . . . . . . . 243
Enjeux, objectifs et univers de laudit sur les systmes dinformation . . . . . . . . 244
Dtection et prvention de la fraude . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
Chapitre 11 Audit social : fondements, mthodologie
et volutions stratgiques . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
Laudit social : fondements, rles et composantes . . . . . . . . . . . . . . . . . . . . . . . 269
Laudit social dans un contexte international . . . . . . . . . . . . . . . . . . . . . . . . . . 283
Chapitre 12 Laudit stratgique : positionnement, dmarche et risques . . . . . 289
Le positionnement et les rles de la stratgie
dans lentreprise internationale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290
La dmarche de laudit stratgique : ltablissement dune performance durable 295
Les risques associs laudit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
Conclusion gnrale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305
Bibliographie gnrale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307
Prsentation des auteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
Groupe Eyrolles
Introduction gnrale
enjeux et ses limites au sein des multinationales et prsente les liens de laudit
social avec le concept de responsabilit sociale de lentreprise et les opportu-
nits stratgiques qui en dcoulent.
14 Audit interne
Lorganisation et la conduite
de laudit interne
en environnement international
Chapitre 1
Organisation et mthodologie
de laudit interne
PAR EUSTACHE EBONDO WA MANDZILA1
Professeur Euromed Marseille
cole de Management
1. Lauteur remercie lIfAcI et les directeurs daudit interne des entreprises qui ont
rpondu au questionnaire, notamment Jean-Jacques Vaudoyer de Renault et
Georges Deniau de la socit Onet.
18 Lorganisation et la conduite de laudit interne en environnement international
1. Laudit financier peut ne pas avoir pour objectif la certification des comptes. Cest pr-
cisment le cas lorsque est confie un professionnel la mission dexprimer une opi-
nion sur les tats financiers, la situation et les rsultats financiers, par rfrence des
Groupe Eyrolles
normes, dans le contexte par exemple dune acquisition, dune demande de crdit.
2. Ce schma est une adaptation de la Direction gnrale de lAdministration et de la
Fonction Publique et Inspection Gnrale de lIndustrie et du Commerce du guide
interne Pour une bonne pratique de laudit (date non indique).
20 Lorganisation et la conduite de laudit interne en environnement international
Finalits
DIAGNOSTIC
ET VALUATION
PRESCRIPTION Politiques GLOBALE
Stratgies
Objectifs
OPRATIONS
RGULARIT AUDIT
tats Tableaux FINANCIER
financiers de bord
1. Il est aussi vrai que laudit interne peut prconiser la mise en place dun contrle
interne qui nexiste pas. Sur la dfinition et les rfrentiels du contrle interne, voir la
Groupe Eyrolles
1. P. Joffre, dans De nouvelles thories pour grer lentreprise du XXIe sicle (conomica, 1999),
Groupe Eyrolles
interne ou sur les zones des risques susceptibles de nuire latteinte des
objectifs stratgiques, oprationnels, informationnels et de conformit.
Gramling et Myers (2006) ont mis en vidence le rle jou par laudit
interne dans le management des risques dentreprise.
Selon ces deux auteurs, lauditeur interne exerce une influence sur cinq de
ses composantes. Il donne une assurance raisonnable quant au processus de
management des risques, que les risques sont correctement valus, que le
processus de management des risques a t bien valu, que le reporting sur
les risques majeurs a t correctement tabli et quun bilan sur la gestion des
principaux risques a t dress. Selon les rsultats de leur tude figurant dans
le tableau n 1 ci-aprs, dans lensemble, laudit interne ne joue, lheure
actuelle, quun rle modr dans le management des risques dentreprise. Ce
rle est appel se dvelopper, notamment pour valuer le processus de
management des risques de lentreprise.
Tableau n 1 - Les principaux rles de laudit interne dans le management
des risques dentreprise
Responsa- Responsa-
Activits relatives au management des risques de
bilit bilit idale ou
lentreprise
actuelle souhaite
Les rsultats figurant dans le tableau n 2 suivant semblent lgitimer les rles
Groupe Eyrolles
jous par laudit interne dans la gestion des risques dentreprise, voire les ren-
forcer dans les diffrents domaines.
Organisation et mthodologie de laudit interne 27
Responsa-
Activits relatives au management des risques Responsa-
bilit
de lentreprise bilit idale
actuelle
Identifier et valuer les risques 3,38 3,50
Assister le management dans la recherche des solutions
aux risques 2,84 3,11
Coordonner les activits relatives au management des
risques de lentreprise 2,47 2,75
Consolider le reporting relatif aux risques 2,87 3,10
Maintenir et dvelopper le cadre duD management des
risques de lentreprise 2,49 2,73
uvrer en faveur de la mise en place du management
des risques de lentreprise 2,88 3,27
Dvelopper la stratgie du management des risques au
service du conseil dadministration 2,23 2,51
La taille de lentreprise
La taille de lentreprise est souvent associe au chiffre daffaires ou aux effec-
tifs. Le nombre de salaris est le critre qui, de loin, dtermine la cration
dun service daudit interne. On considre gnralement quun service
daudit interne simpose raison dun auditeur interne pour mille salaris
environ (Van Cutsem, 1999). Il nest pas rare de rencontrer un service
daudit interne dans des entreprises disposant de moins de mille salaris.
Dans cette hypothse, outre leffectif, cest surtout limportance relative et la
nouveaut des oprations qui seront prises en compte pour dcider de la
cration dun service daudit interne. Dans les autres cas, le recours un
audit externe savre plus judicieux.
Groupe Eyrolles
28 Lorganisation et la conduite de laudit interne en environnement international
La dispersion gographique
Mme si la cration dun service daudit interne est principalement dicte
par la taille, dans un groupe1, la dispersion ou lloignement gographique
des filiales par rapport au sige justifie la cration dun service daudit interne
au niveau du groupe, voire des filiales. Les missions attribuer au service
daudit groupe peuvent tre les suivantes :
sassurer que les procdures sont mises en place de faon homogne tant
au niveau du sige quau niveau des entits filiales ;
sassurer que les dcisions prises au niveau du sige sont correctement
appliques au niveau des filiales ;
sassurer que les informations en provenance des mmes filiales (les infor-
mations dcoulant dobligations lgales, les informations additionnelles,
i.e. reporting et linformation collecte) sont fiables ;
sassurer que les filiales respectent les lois et les rglements en vigueur dans
les pays o elles sont implantes.
En dfinitive, les services daudit interne dans les grandes entreprises natio-
nales et dans les grands groupes internationaux ont pour mission de garantir
lunit de commandement et la cohrence globale des politiques et des stra-
tgies entre le sige et les diffrents centres de responsabilit et/ou les entits
filiales du groupe. Lefficacit de laudit interne dans les grandes entreprises
nationales et dans les groupes internationaux dpend de lorganisation du
service daudit et de lapproche mthodologique utilise.
1. Selon Haffen (1999), un groupe est un ensemble de socits ayant chacune leur auto-
nomie juridique mais tenues sous la dpendance dune socit tte de pont, dite
Groupe Eyrolles
socit mre .
2. On y retrouve une quipe dauditeurs au niveau du sige qui effectuent des dplace-
ments dans les villes ou lentreprise est implante. Des services daudit interne peuvent
tre aussi crs au sein de ses diffrentes implantations.
Organisation et mthodologie de laudit interne 29
1. Les plus grands cabinets daudit mondiaux (les big four ) ont adopt la mme struc-
ture. On y trouve des auditeurs spcialiss en informatique, banque/assurance ou par
secteur dactivit.
30 Lorganisation et la conduite de laudit interne en environnement international
Socit mre
du groupe
Direction gnrale
daudit interne reste unique, mais dispose des antennes dans une ville de son
domaine daction ou dans des filiales. Cette organisation est privilgie par
des groupes multinationaux dont les filiales ont des activits diffrentes. Trs
Organisation et mthodologie de laudit interne 31
souvent, laudit agit la demande, sur des domaines ponctuels et prcis, exi-
geant un niveau dexpertise lev.
vice daudit central quatre missions : une mission de dfinition des normes et
de la politique et des moyens, une mission de formation professionnelle, une
mission dvaluation des activits des auditeurs, enfin une dernire de ralisation
32 Lorganisation et la conduite de laudit interne en environnement international
Direction
gnrale
Filiale 1 Filiale 2
Normes
Formation
Audit de l'audit
Missions spcifiques
1. Les normes ont un caractre obligatoire alors que les MPA sont facultatives.
Organisation et mthodologie de laudit interne 33
champ dapplication ne change pas, puisque lauditeur interne exerce son art
sur les activits financires et non financires (COSO II). Il semble mme
que le rattachement de lauditeur interne au conseil dadministration ou au
34 Lorganisation et la conduite de laudit interne en environnement international
comit serait de nature apaiser les tensions qui auraient pu apparatre entre
lauditeur externe et le dirigeant, dans une relation dagence pure, et instau-
rerait un climat de confiance entre les principaux acteurs de la gouvernance.
1. Ces normes sont adoptes et parfois adaptes par chaque chapitre national de lIIA.
Cest le cas en France de lIfAcI.
36 Lorganisation et la conduite de laudit interne en environnement international
les auditeurs du groupe sont amens raliser des missions daudit dans les
filiales du groupe. En effet, dans certaines de ces entits, larrive des audi-
teurs peut tre mal ressentie ou mal interprte. Il est ncessaire davoir une
Organisation et mthodologie de laudit interne 37
En pratique
Normes ou pratiques
Les phases Techniques utilises
gnralement admises
Une mission daudit se prpare. Mais auparavant, lauditeur doit avoir reu
lordre ou le mandat deffectuer la mission. Le document qui fait dclencher
la mission daudit sintitule un ordre de mission pour lauditeur interne ou
une lettre de mission pour lauditeur externe. Il sagit gnralement dun
document dinformation court (une page) qui indique le prescripteur, le
destinataire et lobjet de la mission, les objectifs gnraux, le lieu et primtre
de la mission, la date du dbut et de la fin de la mission.
1. Il sagit de reprendre les questions que lauditeur se pose sur lentit auditer afin de se
familiariser avec elle, de permettre une orientation de la mission. La mise en uvre du
questionnaire de prise de connaissance se fait par interview, par analyse du systme
dinformation, des procdures, des documents et par observation.
Organisation et mthodologie de laudit interne 41
Forces et
Entit/ Objectifs valuation
Bonnes faiblesses
domaine/ de Risques prliminaire
pratiques apparentes :
opration contrle des risques
F/f
R1 f (faiblesse) lev
R2 f moyen
R3 f faible
1. Ce document tait autrefois appel tableau des forces et des faiblesses apparentes
(TFfA) et prsente plusieurs variantes selon les auteurs. Les quatre premires colonnes
constituent le rfrentiel pour tout auditeur.
42 Lorganisation et la conduite de laudit interne en environnement international
Bonnes
Objectifs Risques
pratiques
Finalits Impact
Empchements Bonnes
Objectifs de CI Points de contrle risque si
Risques que pratiques
du tapes cls du CI tape cl
finalit ne soit moyens du CI,
stade/opration/ Observables dfaillante/
pas atteinte ressources
lment dficiente
sur les lments de preuve recueillis. Chaque FRAP est supervise par le chef
de mission qui lapprcie, situe sa place et son degr dimportance par rap-
port la mission. Les validations individuelles et successives sont suivies de
validations gnrales en fin de mission (la runion de clture).Tous les docu-
ments utiliss par lauditeur interne durant la phase de ralisation, appels
papiers de travail, sont rfrencs. Lensemble des FRAP aprs reclassement
constitue l ossature du rapport daudit.
La phase de restitution des rsultats de laudit : le rapport daudit
Toute mission daudit sachve par la rdaction dun rapport. Cest pourquoi
au cours de cette phase, il convient dobtenir ladhsion des membres de
lquipe dauditeurs et des audits impliqus dans la mission lors de la ru-
nion de clture.
Celle-ci constitue un moment privilgi puisquelle offre aux auditeurs
loccasion de prsenter les conclusions gnrales de la mission et de recueillir
les objections ou les prcisions, voire les contestations des audits qui leur
seront utiles pour rdiger le rapport daudit.
Ce dernier est prvu par la norme 2 440 de laudit interne1, qui nonce clai-
rement que cest au responsable quincombe la charge de communiquer les
rsultats de laudit. Ce rapport fait apparatre les mentions suivantes :
une page de garde comprenant le titre complet de la mission, la date, les
auditeurs ayant particip la mission ;
lordre de mission, qui doit tre plac en tte du rapport ;
le sommaire ;
une note de synthse de deux trois pages permettant aux destinataires
principaux du rapport davoir lessentiel des conclusions du travail
daudit, date et signe par le chef de mission ;
le rapport proprement dit ;
les annexes.
Toutefois, il ny a pas dunanimit sur la forme du rapport daudit dans les
entreprises (Renard, 2006). Pour certains auditeurs internes, le rapport doit
donc tre rdig, comme un rapport doit ltre selon la tradition . Pour
dautres auditeurs internes, le rapport daudit doit tre construit sous forme
de chapitres ou par cycle. Dans chaque cycle, lauditeur expose ses remarques
point par point, selon la structure de la FRAP : le problme, les faits, les cau-
Groupe Eyrolles
En pratique
Caractristiques de lchantillon
Ces caractristiques seront apprcies travers quatre points : la population
interroge, les entreprises de lchantillon, les rpondants au questionnaire
adress et la taille des entreprises de lchantillon.
Lenqute a t effectue de janvier mars 2007 auprs des entreprises
capitaux privs et semi-publics ayant des implantations tant en France qu
ltranger (filiales).
Le questionnaire a t adress quinze grands groupes internationaux dispo-
sant de service daudit interne appartenant aux secteurs conomiques suivants :
grande distribution, automobile, tlcommunications, prestations de services
aux entreprises, assurances, banques, transports. Ladministration du question-
naire sest droule par lenvoi dun questionnaire par courrier lectronique.
En dpit de relances, seules quatre entreprises ont rpondu, ce qui correspond
un taux de retour de 26,70 %. Les secteurs reprsents sont les suivants :
grande distribution : 1 ;
Groupe Eyrolles
automobile : 1 ;
tlcommunications : 1 ;
prestations de services aux entreprises : 1.
46 Lorganisation et la conduite de laudit interne en environnement international
La taille de lentreprise
La taille de lentreprise apprcie au travers de leffectif et du chiffre daffaires
est considre comme un lment dterminant de la cration de la fonction
daudit dans une entreprise nationale ou internationale. Les rsultats de notre
enqute (tableau n 5 ci-aprs) vont dans le sens de cette hypothse.
de ses oprations, lui apporte ses conseils pour les amliorer, et contribue
crer de la valeur ajoute. Il aide cette organisation atteindre ses objectifs en
valuant, par une approche systmatique et mthodique, ses processus de
Organisation et mthodologie de laudit interne 47
Selon ce tableau, les lois LSF et SOX ont eu une grande influence sur la
fonction daudit interne au niveau des missions notamment. En revanche,
pour un auditeur seulement sur trois, cette influence se situe au niveau de la
pratique et des moyens. En dautres termes, les lois nont pas eu dimpact sur
la pratique daudit et sur les moyens offerts aux auditeurs internes.Trois audi-
teurs sur quatre reconnaissent que lauditeur interne participe directement au
processus dlaboration du rapport sur le contrle interne. Cette situation
devrait influer sur le rattachement hirarchique de lauditeur interne.
Si oui, le service daudit interne est-il unique ou oui oui oui oui
central ?
Le service daudit interne de votre socit est-il oui oui non non
dcentralis ?
termes deffectifs ?
/
50 Lorganisation et la conduite de laudit interne en environnement international
*Non-rponse
**Il sagit dun service daudit unique, ayant comptence sur lensemble des activits du groupe
socit dclare nintgrer dans son plan daudit que des missions groupes .
Organisation et mthodologie de laudit interne 51
POUR CONCLURE
Laudit interne est une fonction organise sur le plan international. Ainsi, sa
mthodologie en contexte international nest pas fondamentalement diffrente de
celle dploye pour conduire une mission daudit interne au niveau national. Elle
sappuie sur les normes et les modalits pratiques dapplication dictes par lIIA,
traduites et adaptes dans chaque chapitre national, dont lIfAcI en France. Dautres
organisations rgionales (ECIIA, OCDE) et les directives europennes contribuent
galement mettre en place de bonnes pratiques en matire daudit interne et de
gouvernance dentreprise et permettent galement de se benchmarker . Il est
apparu nanmoins quun certain nombre de bonnes pratiques sont observes pour
mener une mission daudit interne, notamment au niveau de lidentification des
risques groupes, de la construction du plan daudit et au niveau des bonnes
pratiques pour sadapter aux diffrents environnements. De mme, les entreprises
voluant linternational adoptent une structure centralise ou dcentralise de leur
service. Le choix dune structure par rapport une autre dpend aussi des enjeux du
groupe et du rle quil entend faire jouer laudit interne.
Groupe Eyrolles
Chapitre 2
ET FLORENCE FRADIN
Responsable de la Recherche lIfAcI1
la suite des nombreux scandales financiers qui ont secou les entrepri-
ses amricaines la fin des annes 1990 et au dbut des annes 2000,
les tats-Unis ont adopt le 30 juillet 2002, le Sarbanes-Oxley Act
(SOX). Selon larticle 404 de cette loi, le directeur gnral et le directeur
financier doivent se dclarer responsables de la mise en place et du maintien
dun processus de contrle interne comptable et financier au sein de leur
entreprise et procder une valuation de son efficacit au regard dun
modle de contrle interne reconnu. Les auditeurs externes doivent quant
eux mettre une opinion sur son efficacit.
Pour la mise en uvre de cette section 404, la Securities and Exchange
Commission (SEC) et le Public Company Accounting Oversight Board
(PCAOB) ont fortement recommand aux entreprises amricaines et tran-
gres cotes New York dadopter comme rfrentiel de contrle interne le
document amricain publi en 1992 et intitul Internal Control Integrated
Framework ou COSO2.
De ce fait, le COSO, qui tait trs largement utilis aux tats-Unis, sest vu
adopt par de nombreuses socits trangres (notamment franaises) cotes
New York.
1. Depuis octobre 2006, Florence Fradin est Responsable Doctrine, Rfrentiel et Qua-
lit lInspection gnrale de BNPParibas.
Groupe Eyrolles
2. Le cadre de rfrence centr sur le contrle interne, auquel il sera fait rfrence tout au
long de ce chapitre, ne doit pas tre confondu avec le cadre de rfrence pour la ges-
tion des risques. labor par le mme groupe de travail et, par commodit, appel le
COSO 2, il a t diffus en septembre 2004.
54 Lorganisation et la conduite de laudit interne en environnement international
Il est toutefois admis que lon peut utiliser tout autre cadre sil a t tabli par
un corps dexperts, a t dbattu publiquement et sil intgre des lments
qui englobent tous les thmes du COSO1. Les recommandations sur le
contrle interne publies en 1995 par lInstitut canadien des Comptables
Agres et connu sous le nom de COCO, et lInternal Control Guidance for
Directors on the Combined Code, dvelopp en 19992 par lInstitut des
Experts-Comptables dAngleterre et du Pays de Galle, communment appel
le Turnbull Guidance ou Turnbull, semblent rpondre aux exigences du
PCAOB et de la SEC. Bon nombre de socits anglaises et canadiennes, sou-
mises au SOX, ont choisi malgr tout le COSO comme cadre de rfrence.
Si lon veut tre trs puriste, seuls le COSO et le COCO peuvent tre consi-
drs comme de vritables rfrentiels. En effet, le Turnbull sapparente
davantage un guide lattention des administrateurs dune socit cote
pour les aider tablir et rviser le systme de contrle interne.
Le 1er aot 2003 tait promulgue en France la loi de scurit financire
(LSF). Son article 117 cre lobligation pour le prsident du conseil dadmi-
nistration ou du conseil de surveillance de rendre compte des procdures de
contrle interne mises en place par la socit3. En avril 2005, lAutorit des
Marchs Financiers (AMF) a confi un groupe de travail de Place , le
choix et/ou ladaptation dun rfrentiel de contrle interne lusage des
socits franaises soumises aux obligations de la loi du 1er aot 2003, en pr-
cisant que le rfrentiel devait constituer un outil de gestion au service des
entreprises faisant appel public lpargne . Les travaux du groupe de place
ont t valids par lAMF et publis en dcembre 2006 sous le titre Le dis-
positif de contrle interne : cadre de rfrence .
Sur le plan europen4, les autres pays nont pas adopt de rfrentiel spcifi-
que lexception du Royaume-Uni et de lIrlande (Turnbull Report).
Prcisons que les Pays-Bas considrent que le COSO constitue un modle
sur lequel on peut sappuyer, mais que dautres sont possibles.
Deux de ces trois rfrentiels trangers cits ci-dessus ont t labors essen-
tiellement par des comptables : le COCO par lInstitut canadien des Comp-
tables agrs et le Turnbull par lInstitut des Experts Comptables
dAngleterre et du Pays de Galle. Le COSO a t rdig, quant lui, par un
groupe de travail dominante comptable et financire, mais dans lequel lIIA
a jou un rle de tout premier plan. Si lIIA na pas fait du COSO le rfren-
tiel officiel de contrle interne des auditeurs internes, il en a fortement
recommand lusage.
Pour ce qui est du cadre de rfrence (CDR) de lAMF, il a t rdig par les
reprsentants des entreprises (MEDEF1, AFEP2, Middlenext3) et des institu-
tions comptables (CNCC4 et CSOEC5) et par des personnalits qualifies
appartenant notamment lIFA6, lIfAcI, lAMRAE7 et aux big four .
Les recommandations du COCO sappliquent tous les types
dorganisation : aux organismes des secteurs public et priv but lucratif,
organismes sans but lucratif, administrations centrales ou locales. Celles du
COSO ont pour ambition de sappliquer toutes les socits y compris
celles de taille modeste, pour lesquelles des recommandations spcifiques
sont labores. Le Turnbull, fond sur un certain nombre de principes et
soucieux de mettre en exergue limportance du management des risques, est
devenu non seulement le guide des socits cotes Londres, mais aussi celui
des organisations du secteur public et des associations sans but lucratif britan-
niques. Mme sil est destin en priorit aux socits soumises la LSF, le
CDR AMF devrait pouvoir tre adopt par toute organisation, quelle soit
du secteur public, priv ou du monde associatif 8.
Tous ces rfrentiels comportent certes de nombreux points communs.
Quelques nuances et divergences tant sur la forme que sur le fond -
peuvent cependant tre mises en exergue. Ce chapitre a pour objectif de pr-
senter une tude comparative de ces quatre rfrentiels de contrle interne
(COSO, COCO, Turnbull, CDR AMF). cette fin, les trois dimensions
suivantes seront analyses :
la porte du contrle interne ;
les composantes du contrle interne ;
les acteurs du contrle interne et leur responsabilit.
Objectifs
Tous les rfrentiels saccordent pour dfinir le contrle interne comme un
ensemble de moyens aidant une organisation atteindre ses objectifs. Le
CDR AMF na pas dfini le contrle interne comme tant un processus .
Il a hsit entre systme et dispositif pour sarrter en dfinitive dis-
positif en insistant beaucoup sur le fait que cest un dispositif de la socit,
dfini et mis en uvre sous sa responsabilit. Le CDR AMF a retenu
comme le COSO une dfinition largie du contrle interne. Alors que la
LSF, dans son article 117, ne parle que de procdures de contrle interne, le
CDR AMF prcise dentre que le contrle interne ne se limite pas un
ensemble de procdures ni aux seuls processus comptables et financiers.
Les quatre rfrentiels identifient les trois mmes catgories dobjectif : leffi-
cacit et lefficience des oprations, la fiabilit des informations financires,
la conformit aux lois et aux rglements en vigueur. Le CDR AMF na
cependant pas utilis le vocable objectif , afin dviter toute confusion
entre objectifs de contrle interne et objectifs de lentreprise.
Le COCO et le Turnbull ont complt ces trois objectifs, en largissant les
notions de fiabilit de linformation et de conformit aux lois et rglements
en vigueur. Ainsi, pour ces deux rfrentiels, linformation en provenance de
lintrieur comme de lextrieur de lorganisation doit tre fiable et la confor-
mit sentend aussi de la conformit de lorganisation avec ses politiques
internes. Dans la mme veine, la dfinition du CDR AMF indique que le
Groupe Eyrolles
Notons enfin que le Turnbull et le CDR AMF sont les seuls aborder la
notion de risque dans leur dfinition du contrle interne.
Dfinition
Selon le COSO : Le contrle interne est un processus mis en uvre par le
conseil dadministration, les dirigeants et le personnel dune organisation,
destin fournir une assurance raisonnable quant la ralisation des objectifs
suivants :
ralisation et optimisation des oprations ;
fiabilit des informations financires ;
conformit aux lois et aux rglementations en vigueur.
Pour le COCO : Le contrle interne est constitu des lments dune
organisation (y compris les ressources, les systmes, les processus, la culture,
la structure, et les tches) qui collectivement aident les gens raliser les
objectifs de lorganisation qui font partie des trois catgories suivantes :
efficacit et efficience du fonctionnement ;
fiabilit de linformation interne et externe ;
conformit aux lois, aux rglements et aux politiques internes.
La dfinition du Turnbull, elle, est la suivante : Un systme de contrle
interne englobe les politiques, processus, tches, comportements et autres
aspects dune entreprise qui, combins :
facilitent lefficacit et lefficience des oprations en aidant la socit
rpondre de manire approprie aux risques commerciaux, opration-
nels, financiers, de conformit et tout autre risque, afin datteindre ses
objectifs ; ceci inclut la protection des actifs contre un usage inappropri,
la perte et la fraude, et lassurance que le passif est identifi et gr ;
aident assurer la qualit du reporting externe et interne ce qui ncessite
de conserver les enregistrements appropris et de maintenir des processus
qui gnrent un flux dinformations pertinentes et fiables en provenance
de lintrieur et de lextrieur de lorganisation ;
aident assurer la conformit aux lois et rglements ainsi quaux politi-
ques internes relatives la conduite des affaires.
Enfin, selon le CDR AMF, le contrle interne est un dispositif de la
Groupe Eyrolles
leur gard.
Enfin pour le CDR AMF, le contrle interne ne recouvre pas toutes les ini-
tiatives prises par les organes dirigeants ou le management, par exemple la
Une comparaison des principaux rfrentiels de contrle interne 59
fiable dans la ralisation de ses objectifs. Le contrle est efficace lorsquil pro-
cure une assurance raisonnable que lorganisation ralisera ses objectifs,
autrement dit lorsque les risques rsiduels (non contrls) de non-ralisation
Une comparaison des principaux rfrentiels de contrle interne 61
En pratique
Lenvironnement de contrle
Selon le COSO, lenvironnement de contrle est un lment trs important
de la culture dune entreprise, puisquil dtermine le niveau de sensibilisation
du personnel au besoin de contrle. Il constitue le fondement de tous les
autres lments du contrle interne, en imposant discipline et organisation.
Les facteurs ayant un impact sur lenvironnement de contrle comprennent
notamment lintgrit, lthique et la comptence du personnel ; la philoso-
phie des dirigeants et le style de management ; la politique de dlgation des
responsabilits, dorganisation et de formation ; enfin, lintrt manifest par
le conseil dadministration et sa capacit indiquer clairement les objectifs.
Intgrit et thique
Groupe Eyrolles
gnrale (ainsi que le conseil pour le COCO) ont une influence majeure
dans ce domaine et doivent donner lexemple. Dans la mesure o le
CDR AMF considre que des rgles de conduite et dintgrit portes par
les organes de gouvernance et lexemplarit sont des pralables la mise en
uvre dun bon dispositif de contrle interne, il ne les a pas traites en tant
que composantes du contrle interne, mais plutt en tant qulments sous-
jacents, indispensables sa mise en uvre.
Le COSO
Les objectifs dune entreprise et les mthodes utilises pour les atteindre sont
fonds sur des priorits, des jugements de valeur et un style de management.
Ces priorits et jugements de valeur, qui se traduisent par un code de
conduite, refltent lintgrit et lthique des dirigeants. Lefficacit des pro-
cdures de contrle interne dpend de lintgrit et de lthique dont font
preuve les personnes qui crent ces contrles, les grent et en assurent le
suivi. Lthique et lintgrit des dirigeants sont le fruit de la culture
dentreprise , qui se matrialise dans des normes dthique et de conduite,
ainsi que dans les mthodes utilises pour communiquer et dvelopper
celles-ci au sein de lentreprise. La direction gnrale joue un rle majeur
dans la dtermination de la culture dentreprise, commencer par le P-DG.
Des principes dthique doivent tre inculqus et des conseils explicites en la
matire doivent galement tre prodigus. Lexemple constitue la meilleure
faon de promouvoir un message de comportement conforme lthique
travers toute la firme. Toutefois, donner lexemple nest pas suffisant. Le
management doit communiquer oralement au personnel les valeurs et les
normes de conduite retenues par lorganisation. Il est particulirement
important que des sanctions soient prvues en cas de violation de ces codes
de conduite et que des mcanismes de communication des infractions soient
mis en place.
Le COCO
Des valeurs thiques, dont lintgrit, devraient tre dfinies, communiques
et mises en pratique dans lensemble de lorganisation. Ces valeurs font partie
de la culture de lorganisation et constituent un code de conduite non crit
partir duquel les comportements sont valus. Un code de conduite officiel
Groupe Eyrolles
Le Turnbull
Pour celui-ci, la direction gnrale doit dmontrer au travers de ses actions
tout comme de ses politiques son engagement en faveur de lintgrit.
Le COSO
La politique de gestion des ressources humaines traduit les exigences de
lentreprise en matire dintgrit, dthique et de comptence. Cette politi-
que englobe le recrutement, la gestion des carrires, la formation, les valua-
tions individuelles, les conseils aux employs, les promotions, la
rmunration et les actions correctives.
Des systmes de rmunration comptitifs, prvoyant lattribution de pri-
mes, permettent de motiver et daccrotre les performances. Enfin, les mesu-
res disciplinaires permettent de faire comprendre que tout manquement aux
rgles de comportement tablies dans lentit ne sera pas tolr. Les tudes et
la formation doivent prparer le personnel de lentreprise sadapter aux
volutions de lenvironnement.
Le COCO
Les politiques et pratiques en matire de RH devraient tre conformes aux
valeurs thiques de lorganisation et cohrentes avec ses objectifs. Le contrle
est effectu par lintermdiaire de personnes dont le comportement et la
motivation sont influencs par les politiques et pratiques en termes de RH et
Groupe Eyrolles
Le Turnbull
La socit doit disposer dune culture dentreprise, dun code de conduite,
dune politique de ressources humaines et dun systme de rcompenses des
performances qui favorisent la ralisation des objectifs. Elle doit aussi favori-
ser le dveloppement dun climat de confiance au sein de la socit.
Le CDR AMF
Une politique de gestion des ressources humaines doit permettre de recruter
des personnes possdant les connaissances et les comptences ncessaires
lexercice de leur responsabilit et latteinte des objectifs actuels et futurs de
la socit.
Le COSO
Cet aspect de lenvironnement de contrle concerne les dlgations de pou-
voirs et de responsabilits au sein des activits oprationnelles, les liens hirar-
chiques permettant la remonte des informations et les rgles en matire
dapprobation. Il concerne galement la manire dont les individus et les qui-
pes sont encourags prendre des initiatives pour aborder et rsoudre les pro-
blmes, ainsi que les limites imposes lautorit exerce par des individus et
des quipes. La principale difficult rside dans le fait que les responsabilits ne
doivent tre dlgues que dans la limite des objectifs raliser. Pour cela, il est
ncessaire de sassurer que les risques sont pris en fonction de la capacit des
responsables les identifier et les minimiser, ainsi qu valuer et peser les
pertes et les gains potentiels rsultant de la prise de dcision. Il est galement
Groupe Eyrolles
Le COCO
Les pouvoirs, les responsabilits et lobligation den rendre compte devraient
tre clairement dfinis et conformes aux objectifs de lorganisation afin que
les dcisions et les actions soient prises par les bonnes personnes. Ces pouvoirs
et responsabilits doivent tre communiqus au moyen de descriptions de
tches ou de fonction. Des politiques visant faciliter latteinte des objectifs
de lorganisation et la gestion des risques auxquels elle fait face devraient tre
tablies, communiques et mises en pratique, afin que les gens comprennent
ce qui est attendu deux et connaissent ltendue de leur libert daction.
Le Turnbull
Les pouvoirs et les responsabilits doivent tre clairement dfinis de telle
sorte que les dcisions soient prises et les actions effectues par les personnes
appropries. La socit doit communiquer ses salaris ce qui est attendu
deux et leur espace de libert daction.
Le CDR AMF
La mise en uvre dun dispositif de contrle interne doit reposer sur des prin-
cipes fondamentaux, mais aussi sur deux autres lments. Il faut dabord une
organisation approprie qui fournit le cadre dans lequel les activits ncessai-
res la ralisation des objectifs sont planifies, excutes, suivies et contrles.
Par ailleurs, des responsabilits et pouvoirs clairement dfinis doivent tre
accords aux personnes appropries en fonction des objectifs de la socit. Ils
peuvent tre formaliss et communiqus au moyen de descriptions de tches
ou de fonctions, dorganigrammes hirarchiques et fonctionnels, de dlga-
tions de pouvoirs et devraient respecter le principe de sparation des tches.
Comptences
Le COSO, le Turnbull et le CDR AMF conviennent que les membres de
lorganisation doivent possder les connaissances et les comptences nces-
saires laccomplissement de leurs tches.
Le COSO
La comptence doit reflter la connaissance et les aptitudes ncessaires
Groupe Eyrolles
Le Turnbull
Les membres de lorganisation doivent possder les connaissances, les com-
ptences et les outils ncessaires laccomplissement des objectifs de lorga-
nisation et au management des risques.
Le CDR AMF
Une organisation comportant une dfinition claire des responsabilits, dis-
posant des ressources et des comptences adquates et sappuyant sur des
procdures, des systmes dinformation, des outils et des pratiques appropris
doit tre mise en uvre.
Structure de lentreprise
Groupe Eyrolles
Selon le COSO, quelle que soit la structure retenue, les activits dune entre-
prise doivent tre organises de faon faciliter la mise en uvre des strat-
gies destines assurer la ralisation dobjectifs prcis.
Une comparaison des principaux rfrentiels de contrle interne 69
Les risques
Si pour le COSO et le CDR AMF, lvaluation des risques est lune des cinq
composantes du contrle interne, le Turnbull en fait une notion centrale
puisque selon ce rfrentiel, le conseil doit adopter une approche base sur
les risques pour tablir un systme de contrle interne solide. Et selon le
COCO, le contrle est efficace seulement si les risques rsiduels de non-
ralisation des objectifs de lorganisation sont jugs acceptables. Le contrle
comprend donc lidentification et la rduction des risques.
Les objectifs
Les quatre rfrentiels saccordent dire que la fixation des objectifs consti-
tue une condition pralable lvaluation des risques. Pour lensemble de ces
rfrentiels, ces objectifs doivent tre clairs et comprhensibles par les mem-
bres de lorganisation. Une communication de ces objectifs est par cons-
quent ncessaire. Les quatre rfrentiels saccordent galement sur le fait que
ces objectifs doivent tre mesurables. Rappelons que pour le COCO, le
COSO et le CDR AMF, la dtermination des objectifs est hors du champ de
contrle interne.
Le COSO
Le management doit se fixer des objectifs avant didentifier les risques sus-
ceptibles davoir un impact sur leur ralisation et prendre les mesures nces-
saires. Ltablissement des objectifs reprsente donc une tape cl de la
conduite des affaires. Bien que ntant pas un lment du contrle interne,
cette phase constitue une condition pralable permettant dassurer le
contrle interne. En se fixant des objectifs gnraux, une entreprise est en
mesure didentifier des facteurs cls de russite, cest--dire des vnements
qui doivent se produire ou des conditions qui doivent exister pour que les
objectifs puissent tre atteints.
Ces derniers doivent tre complmentaires et lis. Les objectifs gnraux
doivent non seulement tre en harmonie avec les capacits et les perspectives
de lentreprise, mais galement tre en accord avec les objectifs de ses diff-
rentes units et fonctions. Ainsi, lorsquune entreprise met en place une nou-
velle stratgie, il est ncessaire de sassurer de la cohrence des objectifs fixs
Groupe Eyrolles
au niveau des diffrentes units et des fonctions avec ceux de lentit. Les
objectifs relatifs aux activits doivent tre clairs, i.e. tre aisment comprhen-
sibles par les individus responsables de leur ralisation. Ils doivent galement
70 Lorganisation et la conduite de laudit interne en environnement international
Le COCO
Pour ce rfrentiel, des objectifs doivent tre tablis et communiqus. Ceux-
ci fournissent des orientations. Ils peuvent tre lis lorganisation entire ou
des parties de celle-ci et tre plus ou moins dtaills. La mission et la vision
constituent des objectifs globaux de lorganisation. La premire est sa raison
dexister. La vision, elle, reprsente la situation future laquelle lorganisa-
tion aspire. Elle englobe les objectifs stratgiques et les plans pour les raliser.
Une mission explicite et une vision claire auxquelles les gens adhrent dans
lensemble de lorganisation permettent celle-ci de tenir le cap et assurent
ainsi la cohsion au cours des changements. Le choix des objectifs, comme
dautres dcisions, constitue un aspect de la gestion qui ne fait pas partie du
contrle. En revanche, le processus dtablissement des objectifs est couvert
par la dfinition du contrle. Il faut galement que les objectifs soient com-
muniqus clairement afin que les gens comprennent le contexte et lorienta-
tion dans lesquels se situent leurs dcisions, leurs actions et leurs activits de
coordination. Les objectifs et les plans connexes devraient comprendre des
cibles et des indicateurs de performance mesurables.
Le Turnbull
La notion dobjectif est essentiellement aborde dans lannexe du document.
Il y est donn un ensemble de questions pour permettre au conseil dvaluer
la qualit des processus de gestion des risques. Lorganisation doit
sassurer quelle a des objectifs nets, clairement communiqus aux employs,
afin que ces derniers comprennent et adhrent la politique de lorganisa-
tion en matire dvaluation des risques et de contrle. Le conseil doit sassu-
rer que les programmes comportent aussi des cibles et des indicateurs afin de
mesurer la performance de lentreprise.
point de vue des cots de relever lensemble des risques, leur identification
doit tre suffisamment globale.
Le COCO estime que les notions de risques et dopportunits sont troite-
ment lies.
Pour le COSO, une distinction doit tre faite entre les procdures didentifi-
cation des risques et danalyse de risques, pour limiter les risques importants.
Le COCO et le Turnbull prcisent que les risques jugs acceptables par le
Conseil et le management doivent tre communiqus lensemble des
membres de lorganisation.
Mais, alors que le COSO parle de lvaluation du risque de tous les ris-
ques , le CDR AMF, lui, voque un systme qui vise recenser et analy-
ser les principaux risques. Encore faut-il quils soient identifiables Il sagit
ici plus que dune simple nuance.
Le COSO
Ce processus didentification et danalyse du risque est un lment cl dun
systme de contrle interne efficace. Le management doit, tous les
niveaux, identifier minutieusement les risques et prendre les mesures ad-
quates afin de les limiter. Les performances dune entreprise peuvent tre
menaces par des facteurs internes ou externes. Ceux-ci peuvent, leur
tour, avoir un impact la fois sur les objectifs formuls et sur les objectifs
implicites. Il est essentiel que tous les risques soient identifis. Une technique
consiste identifier les activits comportant le plus de risques et classer ces
derniers par ordre de priorit.
Lessentiel est que les dirigeants tiennent compte attentivement des facteurs
qui peuvent contribuer lapparition dun risque, voire son aggravation.
Les facteurs prendre en compte sont notamment :
la non-ralisation des objectifs par le pass ;
la comptence du personnel ;
les changements au niveau de la concurrence, de la rglementation, du
personnel ou autres, ayant un impact sur lentreprise ;
la dispersion gographique des activits, internationale principalement ;
limportance que revt une activit pour lentreprise ;
Groupe Eyrolles
Le COCO
Le contrle est efficace lorsque les risques rsiduels (non contrls) de non-
ralisation des objectifs de lorganisation sont jugs acceptables. Le contrle
comprend donc lidentification et la rduction des risques. Ceux-ci ne se
limitent pas aux risques connus lis la ralisation dun objectif prcis ; ils
comprennent galement deux risques plus fondamentaux qui menacent la
viabilit et le succs de lorganisation :
celui que lorganisation ne conserve pas sa capacit didentifier et de
mettre profit les opportunits ;
celui que lorganisation ne conserve pas sa souplesse, i.e. la capacit de
lorganisation ragir et sadapter lorsque des risques et des opportuni-
ts imprvus se manifestent.
Les risques internes et externes importants auxquels lorganisation fait face
dans la poursuite de ses objectifs devraient tre identifis et valus. Toute
action ou toute inaction comporte un risque de non-ralisation des objectifs.
Les risques et les opportunits sont troitement lis. Il est important que
lorganisation identifie de faon continue les risques internes et externes
importants afin quelle puisse ragir aux changements (ou les susciter) de
faon approprie et sans dlai.
Bien quil soit rarement avantageux du point de vue des cots de tenter de
relever tous les risques, leur identification doit tre suffisamment globale
pour fournir lassurance raisonnable que les risques pouvant avoir une
incidence importante sur les objectifs sont identifis. Les gens ont besoin
de savoir quels risques sont acceptables pour la direction gnrale et le
conseil dadministration. Lidentification explicite des risques rsiduels
accepts et la communication de cet lment dans lensemble de lorgani-
sation sont essentielles lefficacit du contrle. Lidentification et lva-
luation des risques doivent tre menes pour chaque objectif important de
Groupe Eyrolles
lorganisation.
Le risque provient des environnements dans lesquels lorganisation uvre,
mais aussi des choix faits en matire de fonctionnement.
Une comparaison des principaux rfrentiels de contrle interne 73
Le Turnbull
Les risques significatifs doivent tre identifis et valus rgulirement. Le
management et les autres membres du personnel doivent connatre les ris-
ques jugs acceptables par le conseil.
Le CDR AMF
La socit doit recenser les principaux risques identifiables, internes ou
externes, pouvant avoir un impact sur la probabilit datteindre les objectifs
quelle sest fixs. Cette identification, qui sinscrit dans le cadre dun proces-
sus continu, devrait couvrir les risques pouvant avoir une incidence impor-
tante sur sa situation.
Le COSO
Il est ncessaire de procder une analyse des risques une fois que ceux-ci
ont t identifis, la fois au niveau de lentreprise et de chaque activit. Le
processus plus ou moins formel se dcompose gnralement de la faon
suivante :
valuation de limportance du risque ;
valuation de la probabilit (ou frquence) de survenance du risque ;
prise en compte de la faon dont le risque doit tre gr, cest--dire va-
luation des mesures quil convient de prendre.
Lvaluation des risques reste difficile : on peut les dcrire au mieux comme
tant forts , moyens ou faibles .
Le COCO
Pour valuer les risques, il convient destimer les probabilits que survienne
un fait ainsi que limportance des consquences de ce dernier afin que les
politiques et les processus de contrle appropris puissent tre mis au point.
Groupe Eyrolles
Le Turnbull
Pour dterminer des politiques de contrle interne, le conseil doit prendre
en considration :
74 Lorganisation et la conduite de laudit interne en environnement international
Le CDR AMF
Pour analyser les risques, il convient de tenir compte de leur possibilit
doccurrence et de leur gravit potentielle, ainsi que de lenvironnement et
des mesures de matrise existantes.
Le COSO
Une fois limportance et la probabilit de survenance du risque values, le
management doit tudier la faon dont il doit tre gr. Pour cela, il doit
faire appel son jugement, en se basant sur certaines hypothses concernant
les risques et sur une analyse raisonnable des cots quil serait ncessaire
dengager pour les rduire.
Notons quil existe une diffrence de nature entre lvaluation des risques, qui
fait partie intgrante du contrle interne, et les plans, programmes et mesures
en dcoulant, jugs ncessaires par le management dans le cadre de la gestion
des risques. Prendre des mesures constitue un maillon essentiel dans un pro-
cessus de gestion densemble, mais pas un lment du systme de contrle
interne. Paralllement aux mesures prises pour grer le risque, des procdures
Groupe Eyrolles
Le COCO
Pour valuer les risques, il convient destimer les probabilits que survienne
un fait ainsi que limportance de ses consquences afin que les politiques et
processus appropris puissent tre mis au point pour les contrler.
Le Turnbull
Le conseil doit sassurer que le systme de contrle interne est efficace pour
grer les risques. Pour cela, il doit tablir des procdures qui doivent tre
mises en uvre par le management.
Le CDR AMF
Les diffrents lments danalyse de risques ne sont pas figs, mais au contraire
pris en compte dans un processus de gestion des risques. La direction gnrale
ou le directoire, avec lappui dune direction des risques si elle existe
devraient dfinir des procdures de gestion des risques.
La gestion du changement
Les quatre rfrentiels indiquent que lorganisation doit tre attentive aux
changements dans son environnement interne et externe et prendre les
mesures qui simposent. Pour le COSO, le COCO et le Turnbull, une pro-
cdure spcifique doit tre mise en place cet effet.
Le COSO
Les changements intervenus dans lconomie, le secteur dactivit, le contexte
rglementaire et les activits de lentreprise font quun systme de contrle
interne qui savre efficace dans tel contexte ne le sera pas ncessairement
dans tel autre. Une procdure visant identifier les changements dans lenvi-
ronnement et prendre les mesures qui simposent constitue le fondement de
lvaluation des risques. Il est essentiel que chaque entreprise dispose dune
procdure, formelle ou non, permettant didentifier les vnements pouvant
avoir un impact significatif sur sa capacit atteindre les objectifs fixs.
Le COCO
Les changements relatifs tout aspect de lorganisation ont des consquences
sur les contrles. Une surveillance continue des environnements externe et
Groupe Eyrolles
Le Turnbull
Les objectifs dune entit, son organisation interne ainsi que son environne-
ment, sont en volution permanente et par consquent les risques changent
continuellement. Un solide systme de contrle interne ncessite une va-
luation rgulire de la nature et de ltendue des risques auxquels lorganisa-
tion fait face. Le systme de contrle interne doit tre capable de rpondre
rapidement aux changements de risques.
Le CDR AMF
En raison de lvolution permanente de lenvironnement ainsi que du
contexte rglementaire, les socits doivent mettre en place des mthodes
pour recenser, analyser et grer les risques.
Le COCO
Les activits de contrle devraient tre conues de faon faire partie int-
grante de lorganisation, compte tenu des objectifs de celle-ci, des risques
susceptibles de nuire latteinte de ces objectifs et de linterrelation entre les
lments de contrle.
Les activits de contrle constituent des procdures standard tablies pour
fournir lassurance que les processus fonctionnent comme prvu et quils
rpondent aux exigences des politiques de lorganisation. Chaque membre
de lorganisation est susceptible davoir une responsabilit lgard des activi-
ts de contrle. La dcision den ajouter devrait tenir compte des cots, des
avantages et des risques rsiduels acceptables.
En pratique
Le CDR AMF
Les activits de contrle doivent tre proportionnelles aux enjeux propres
chaque processus et conues pour sassurer que les mesures ncessaires sont
prises en vue de matriser les risques susceptibles daffecter la ralisation des
objectifs.
Les activits de contrle sont prsentes partout dans lorganisation, tout
Groupe Eyrolles
niveau et dans toute fonction, quil sagisse de contrles orients vers la pr-
vention ou la dtection, de contrles manuels ou informatiques ou encore
hirarchiques.
78 Lorganisation et la conduite de laudit interne en environnement international
Le COSO
Paralllement lvaluation des risques, le management doit dterminer et
mettre en uvre le plan daction destin les matriser. Une fois dtermi-
nes, ces actions devront galement servir dfinir les oprations de contrle
appliques pour garantir leur excution correcte et en temps voulu.
Le COCO
Les activits de contrle devraient tre conues de faon faire partie int-
grante de lorganisation, compte tenu des objectifs de celle-ci, des risques
susceptibles de nuire latteinte de ces objectifs et de linterrelation entre les
lments de contrle.
Le Turnbull
Les procdures et contrles doivent tre rgulirement adapts et prendre en
compte les risques mergents ou changeants ou les dfaillances oprationnelles.
Le COSO
Les systmes dinformation, qui jouent un rle croissant dans la gestion
des entreprises, doivent imprativement tre contrls. Ces oprations
peuvent tre rparties en deux groupes : les contrles globaux et les
contrles applicatifs. Les premiers portent habituellement sur les opra-
tions du centre de traitement, lacquisition et la maintenance des logiciels
dexploitation, les contrles daccs, le dveloppement et la maintenance
des applications. Les contrles applicatifs, eux, comprennent des procdu-
res programmes lintrieur mme des logiciels dapplication ainsi que
des procdures manuelles associes, assurant le contrle du traitement des
diffrentes transactions. Ces contrles sappliquent lensemble des syst-
mes, quil sagisse des ordinateurs centraux, des mini-ordinateurs ou de
lenvironnement utilisateur.
Le COCO
Groupe Eyrolles
Le CDR AMF
Une attention toute particulire devrait tre porte aux contrles des pro-
cessus de construction et de fonctionnement des systmes dinformation.
Les systmes informatiques sur lesquels sappuient les systmes dinforma-
tion doivent tre protgs efficacement tant au niveau de leur scurit
physique que logique afin dassurer la conservation des informations stoc-
kes. Leur continuit dexploitation doit tre assure au moyen de proc-
dures de recours. Les informations relatives aux analyses, la
programmation et lexcution des traitements, doivent faire lobjet
dune documentation.
Information et communication
Les quatre rfrentiels affirment que linformation doit tre pertinente, fiable
et diffuse au moment opportun aux personnes qui en ont besoin pour leur
permettre dassurer leurs responsabilits, et que les besoins en information
ainsi que les systmes dinformation doivent voluer en fonction des change-
ments de lenvironnement.
Le COSO et le Turnbull prcisent quil est ncessaire de prvoir des systmes
de communication permettant aux individus de faire remonter des probl-
mes ou des questions dlicates.
Information
Le COSO
La gestion de lentreprise et la progression vers les objectifs quelle sest fixs
impliquent que linformation irrigue tous les niveaux de la socit. Il devient
particulirement important de sassurer que les informations collectes con-
tinuent de correspondre aux besoins de lorganisation. Lorsque cette der-
nire opre dans un environnement en profonde mutation, les systmes
dinformation doivent voluer pour rpondre aux nouveaux objectifs de la
firme.
Pour tre efficaces toutefois, les systmes dinformation doivent non seule-
ment identifier et recueillir les donnes requises, financires ou non, mais
galement les traiter et les diffuser dans des dlais et sous une forme facilitant
Groupe Eyrolles
Le COCO
Des plans pour guider les efforts de ralisation des objectifs de lorganisation
devraient tre tablis et communiqus. La planification traduit les objectifs et
lvaluation des risques en stratgies, en plans daction et en cibles opration-
nelles et financires en fonction desquels on peut mesurer les progrs et en
faire le suivi. Une information pertinente suffisante devrait tre tablie et
communique dans des dlais acceptables pour permettre aux personnes de
sacquitter des responsabilits qui leur sont confies. Pour que le suivi soit
efficace, il faut que les informations recueillies soient pertinentes et fiables,
quelles soient communiques ceux dots du pouvoir dagir ou mises leur
disposition. Enfin, elles doivent tre recueillies suffisamment vite pour per-
mettre une prise de position efficace. Les besoins dinformation et les syst-
mes connexes devraient tre rvalus lorsque les objectifs changent ou que
des dficiences sont releves dans la communication de linformation.
Groupe Eyrolles
Une comparaison des principaux rfrentiels de contrle interne 81
Le Turnbull
Des informations pertinentes, fiables et transmises au moment opportun
doivent tre communiques au management et au conseil pour leur permet-
tre de prendre toutes les dcisions qui simposent. Les besoins en information
ainsi que les systmes dinformation doivent tre rvalus ds lors que les
objectifs, les risques voluent ou que des dfaillances sont identifies.
Le CDR AMF
Il insiste sur la diffusion en interne dinformations pertinentes, fiables, dont
la connaissance permet chacun dexercer ses responsabilits.
Communication
Le COCO
Les processus de communication devraient soutenir les valeurs de lorga-
nisation et la ralisation de ses objectifs. Pour que le contrle soit efficace,
lorganisation doit disposer de processus de communication permettant la
communication bidirectionnelle et ouverte dinformations pertinentes et
fiables en temps voulu. Les processus peuvent tre structurs ou informels.
Ils servent diffuser un large ventail dinformations, notamment sur les
valeurs thiques, les politiques, les pouvoirs, les responsabilits et les obli-
gations den rendre compte, les objectifs de lorganisation et les plans pour
les atteindre.
Des processus respectant lanonymat devraient exister pour la communica-
tion de problmes ou de questions dlicates.
Le COSO
Tous les membres du personnel, et notamment ceux ayant dimportantes res-
ponsabilits oprationnelles ou financires, doivent recevoir de la direction
un message exposant avec force limportance du contrle interne. La clart
du message revt une grande importance, ainsi que lefficacit avec laquelle
ce dernier est transmis.
Chaque acteur particulier impliqu dans le contrle interne doit avoir cons-
cience des diffrents aspects du systme, de la faon dont ceux-ci simbriquent,
Groupe Eyrolles
ainsi que de son rle et de ses responsabilits propres dans cet ensemble.
Au sein de lentit, chacun doit savoir en quoi ses activits sont lies celles
des autres. Il est essentiel de possder cette connaissance pour dtecter une
82 Lorganisation et la conduite de laudit interne en environnement international
Le Turnbull
Des moyens de communication permettant aux individus de faire remonter
toute suspicion dinfraction aux lois et aux rglements ainsi que tous les actes
quils estiment illicites ou contraires lthique ou au code de conduite de
lorganisation doivent tre mis en place.
Le CDR AMF
La socit devrait disposer de processus assurant la communication dinfor-
mations pertinentes, fiables et diffuses en temps opportun aux acteurs
concerns de la socit afin de leur permettre dexercer leurs responsabilits.
Le pilotage
Les quatre rfrentiels conviennent de la ncessit de mettre en uvre un
processus de pilotage du contrle interne et de raliser des valuations ponc-
tuelles de son efficacit, notamment par le biais dauto-valuations ou encore
de revues ralises par laudit interne.
Mis part des diffrences de vocabulaire (le COSO parle de pilotage et
dvaluation, le CDR AMF de surveillance), peu de diffrences existent
entre les deux approches. Elles mettent en avant la ncessit de contrler le
dispositif du contrle interne pour sassurer de son bon fonctionnement, ces
contrles se faisant de faon permanente et priodique. Le COSO souligne
que les contrles priodiques peuvent se faire par auto-valuation ou grce
aux travaux dauditeurs internes. Le CDR AMF, lui, ne mentionne que les
travaux effectus par laudit interne.
Si le COSO note que le management peut utiliser les travaux effectus par
les auditeurs externes, le CDR AMF y ajoute ceux raliss par les ventuel-
les instances rglementaires de supervision (commission bancaire par exem-
ple), lorsque cela est prvu par les textes.
Groupe Eyrolles
Une comparaison des principaux rfrentiels de contrle interne 83
Processus dvaluation
Le COSO
Lvaluation dun systme de contrle interne constitue un processus en soi.
Ceci implique de comprendre chaque activit de lorganisation et chaque
lment de contrle interne valus. Ce processus suppose lanalyse de la
structure du systme de contrle interne et des rsultats des tests effectus,
mene dans le cadre de critres dfinis, afin de pouvoir dterminer si le sys-
tme permet dobtenir une assurance raisonnable de ralisation des objectifs
fixs.
Le CDR AMF
Une surveillance permanente portant sur le dispositif de contrle interne
ainsi quun examen rgulier de son fonctionnement doivent tre mis en
uvre. Comme tout systme, le dispositif de contrle interne doit faire
lobjet dune surveillance permanente. Il sagit de vrifier sa pertinence et
son adquation aux objectifs de la socit.
Le COSO
Ces oprations comprennent les activits courantes de gestion et de supervi-
sion, les analyses comparatives, les rapprochements dinformations et dautres
tches courantes.
Le CDR AMF
Mise en uvre par le management sous le pilotage de la direction gnrale
ou du directoire, la surveillance prend notamment en compte lanalyse des
principaux incidents constats, le rsultat des contrles raliss ainsi que des
travaux effectus par laudit interne, lorsquil existe. Cette surveillance
sappuie notamment sur les remarques formules par les commissaires aux
comptes et par les ventuelles instances rglementaires de supervision. La
surveillance peut utilement tre complte par une veille active sur les
meilleures pratiques en matire de contrle interne. Surveillance et veille
conduisent, si ncessaire, la mise en uvre dactions correctives et ladap-
Groupe Eyrolles
valuations ponctuelles
Le COSO
Si les oprations courantes de pilotage fournissent habituellement dintres-
santes informations sur lefficacit des autres lments du contrle interne, il
peut tre utile de porter de temps en temps un regard neuf sur lefficacit du
systme, cela peut galement tre loccasion de dterminer si les oprations
courantes de surveillance continuent dtre efficaces.
Les valuations du contrle interne varient en tendue et en frquence, en
fonction de limportance relative des risques couverts par les contrles, dune
part, et des contrles visant les rduire, dautre part.
Ce processus prend souvent la forme dune auto-valuation : les personnes
responsables dune unit ou dune fonction particulire dterminent elles-
mmes lefficacit des contrles sy appliquant.
Les auditeurs internes valuent rgulirement le contrle interne. De mme,
le management peut se servir des travaux effectus par les auditeurs externes
dans le cadre de leur propre valuation de lefficacit du contrle interne.
Les lments et les critres sappliquent au systme de contrle interne dans
son ensemble. Pour une catgorie donne, les cinq critres doivent tre rem-
plis afin de conclure lefficacit du contrle interne.
Le COCO
La direction devrait valuer priodiquement lefficacit du contrle dans
lorganisation et communiquer les rsultats de son valuation aux personnes
obligatoirement concernes. La frquence et le dtail de lexamen varient
selon la nature et limportance de lobjectif et des risques connexes. Lvalua-
tion du contrle dans une organisation peut tre faite de faon informelle
(contacts directs), en ayant recours des vrificateurs, et au moyen dauto-
valuation. Les rsultats de ces valuations doivent tre communiqus. Les
personnes responsables, individuellement ou en quipe, de la ralisation
dobjectifs, doivent galement ltre de lefficacit du contrle qui contribue
la ralisation de ces objectifs et communiquer les rsultats de ces valuations
aux personnes auxquelles elles doivent rendre des comptes. Quelle que soit la
faon de mener lvaluation, il faut en dvoiler les conclusions pour boucler la
Groupe Eyrolles
Le Turnbull
Le management est responsable de la mise en uvre dun processus continu
de pilotage afin de sassurer de lapplication des politiques, des procdures et
des activits relatives au contrle interne et la gestion des risques. Ce pro-
cessus inclut des auto-valuations, la confirmation par les membres de lorga-
nisation du respect des politiques et du code de conduite, des audits internes
ou dautres revues effectues par le management. Un tel processus doit per-
mettre de sassurer que lorganisation est mme de rvaluer ses risques et
dadapter les contrles en fonction des modifications de ses objectifs, de son
activit ou de lenvironnement externe.
Des communications, relatives lefficacit du processus de pilotage, doivent
tre ralises, au moment opportun, auprs du Conseil et doivent inclure :
lvaluation de tous les risques significatifs ;
lvaluation de lefficacit du contrle interne au regard de ces risques ;
lidentification de toutes les faiblesses ou les dfaillances de contrles, en
prcisant limpact quils ont, auraient, ou peuvent avoir sur la socit ;
les actions prises pour pallier et rectifier ces dysfonctionnements.
valuation annuelle
Selon le Turnbull, le conseil doit dfinir le processus relatif la revue deffica-
cit du contrle interne, tous les contrles internes y tant soumis (opra-
tionnels, de conformit, financiers). Durant lanne, il doit revoir les
rapports du management relatifs au contrle interne et doit :
identifier les risques significatifs et valuer comment ils ont t identifis,
mesurs et grs ;
valuer lefficacit du systme de contrle interne permettant de grer les
risques significatifs, en particulier au regard des dfaillances ou des faibles-
ses de contrle interne qui lui auraient t rapportes ;
considrer si les actions ncessaires sont prises temps pour remdier aux
faiblesses et aux dfaillances identifies ;
considrer si les points faibles identifis indiquent la ncessit dun suivi
renforc du systme de contrle interne.
Lvaluation annuelle du conseil doit prendre en compte plusieurs param-
tres. Il sagit tout dabord des changements intervenus durant lanne et de la
Groupe Eyrolles
Personnes informer
Le COSO
Les faiblesses du contrle interne doivent non seulement tre signales la
Groupe Eyrolles
Le CDR AMF
La direction gnrale ou le directoire apprcient les conditions dans lesquel-
les ils informent le conseil des principaux rsultats des surveillances et des
examens ainsi exercs.
tions et les codes sont peu prolixes pour prciser le rle du conseil dadmi-
nistration dans le domaine du contrle interne, il en rsulte, de la part du
CDR AMF, une position pragmatique. Selon celle-ci, le niveau dimpli-
88 Lorganisation et la conduite de laudit interne en environnement international
Le conseil dadministration
Le COSO
Le conseil dadministration et le comit daudit supervisent le systme de
contrle interne. En fait, tous les comits du conseil dadministration, de par
leur rle de supervision, constituent des lments importants du systme de
contrle interne.
Le COCO
Le conseil dadministration est responsable de la grance de lorganisation, y
compris des fonctions de contrle dans les domaines suivants :
approbation et surveillance du respect de la mission, de la vision et de la
stratgie de lorganisation ;
approbation et surveillance des valeurs thiques de lorganisation ;
surveillance du contrle de gestion ;
valuation de la direction gnrale ;
supervision des communications externes ;
apprciation de lefficacit du conseil.
Groupe Eyrolles
Le Turnbull
Le conseil est responsable du systme de contrle interne de lorganisation. Il
doit mettre en place les politiques de contrle interne et rechercher rguli-
Une comparaison des principaux rfrentiels de contrle interne 89
Le CDR AMF
Le niveau dimplication des conseils en matire de contrle interne varie
dune socit une autre. Il appartient la direction gnrale ou au direc-
toire de rendre compte au conseil (ou son comit daudit lorsquil existe)
des caractristiques essentielles du dispositif de contrle interne. Si nces-
saire, le conseil peut faire usage de ses pouvoirs gnraux pour faire procder
par la suite aux contrles et aux vrifications jugs opportuns ou prendre
toute autre initiative quil estimerait approprie.
Le comit daudit
Le COSO
Le comit daudit (ou le conseil dadministration en labsence dun tel
comit) occupe une position privilgie : il a les pouvoirs ncessaires pour
interroger la direction sur la faon dont elle assume ses responsabilits en
matire dinformations financires, ainsi que pour sassurer du suivi des
recommandations. Le comit daudit, agissant en collaboration ou en com-
plment dune fonction daudit interne influente, est le mieux plac pour
identifier les tentatives de la direction d outrepasser le systme de contrle
interne dune part, et dautre part, pour agir en consquence. Il est clair que
le contrle interne se trouve renforc par son existence.
Le CDR AMF
Lorsquil existe, le comit daudit devrait effectuer une surveillance attentive
et rgulire du dispositif de contrle interne. Pour exercer ses responsabilits
en toute connaissance de cause, il peut entendre le responsable de laudit
interne, donner son avis sur lorganisation de son service et tre inform de
son travail. Il doit tre en consquence destinataire des rapports daudit
interne ou dune synthse priodique de ces rapports.
Groupe Eyrolles
90 Lorganisation et la conduite de laudit interne en environnement international
Le management
Le COSO
Le management est directement responsable de lensemble des activits de
lorganisation, y compris de son systme de contrle interne. Le P-DG
assume la responsabilit ultime. Il est ainsi le premier responsable du systme
de contrle interne. Pour cela, il doit sassurer de lexistence dun environne-
ment de contrle positif et donner lexemple par des principes de conduite
influenant les facteurs ayant trait lenvironnement de contrle.
Les directeurs des diffrentes entits sont responsables du contrle interne li
aux objectifs de celles-ci. Ils pilotent le dveloppement et la mise en uvre
des normes et des procdures de contrle interne destines permettre la
ralisation des objectifs de lunit, et sassurent quelles sont cohrentes avec
les objectifs gnraux de la socit.
Le P-DG ayant lultime responsabilit du systme de contrle interne doit
rendre compte au conseil dadministration de tout ce qui sy rapporte.
Le COCO
Les membres de la direction participent au contrle et ont la responsabilit
den rendre compte.
Le Turnbull
Le rle du management est dappliquer les politiques de contrle et de ris-
ques dfinies par le conseil. Pour cela, le management doit valuer les risques
encourus par lorganisation, dfinir, mettre en uvre et piloter un systme
de contrle interne fiable.
Le CDR AMF
Le directeur gnral ou le directoire sont chargs de dfinir, dimpulser et de
surveiller le dispositif le mieux adapt la situation et lactivit de la socit.
Dans ce cadre, ils se tiennent rgulirement informs de ses dysfonctionne-
ments, de ses insuffisances et de ses difficults dapplication, voire de ses
excs, et veillent lengagement des actions correctives ncessaires.
Groupe Eyrolles
Une comparaison des principaux rfrentiels de contrle interne 91
Le COSO
Il prcise que dans une certaine mesure, le contrle interne relve de la res-
ponsabilit de tous les membres du personnel et doit donc tre mentionn,
de faon explicite ou implicite, dans la description de poste de chaque
employ. Le contrle interne est laffaire de tous et les rles et responsabilits
de lensemble des membres du personnel doivent tre clairement dfinis et
efficacement communiqus.
Le COCO
La responsabilit du contrle existe partout dans lorganisation en relation
avec lobligation de rendre compte de latteinte des objectifs. Les responsa-
bles, individuellement ou en quipe, de la ralisation dobjectifs doivent ga-
lement tre chargs de lefficacit du contrle qui contribue la ralisation
de ces objectifs et communiquer les rsultats de ces valuations aux person-
nes auxquelles elles doivent rendre des comptes.
Groupe Eyrolles
Le Turnbull
Il prcise que les employs doivent avoir les comptences, la connaissance,
linformation et lautorit ncessaires pour tablir et suivre le systme de
92 Lorganisation et la conduite de laudit interne en environnement international
contrle interne. Pour cela, ils doivent connatre et comprendre les objectifs
de la socit, le march sur lequel celle-ci volue et les risques auxquels elle
doit faire face.
Le CDR AMF
Chaque collaborateur concern devrait avoir la connaissance et linforma-
tion ncessaires pour tablir, faire fonctionner et surveiller le dispositif de
contrle interne, au regard des objectifs qui lui ont t assigns. Cest le cas
des responsables oprationnels en prise directe avec le dispositif de contrle
interne, mais aussi des contrleurs internes, qui doivent jouer un rle impor-
tant de pilotage et de contrle.
Le Turnbull
Les socits ne disposant pas dune fonction daudit interne doivent revoir
rgulirement leur besoin en la matire. Le conseil doit sassurer de faon
annuelle du besoin de cette fonction. Ce besoin varie en fonction de divers
critres (taille, diversit, complexit des entreprises, nombre demploys...).
Il est indiqu quen labsence de fonction daudit interne, le management
doit appliquer dautres processus de suivi de manire lui fournir, ainsi quau
Groupe Eyrolles
Le CDR AMF
Lorsquil existe, le service daudit interne a la responsabilit dvaluer le
fonctionnement du dispositif de contrle interne et de faire toutes prconi-
sations pour lamliorer, dans le champ couvert par ses missions. Il sensibilise
et forme habituellement lencadrement au contrle interne, mais nest pas
directement impliqu dans la mise en uvre quotidienne du dispositif. Le
responsable de laudit interne rend compte des principaux rsultats de la sur-
veillance exerce la direction gnrale et, selon des modalits dtermines
par chaque socit, aux organes sociaux.
Les tiers
Selon le COSO, plusieurs catgories de tiers peuvent contribuer la ra-
lisation des objectifs de lentreprise, parfois grce des actions menes
paralllement celles de la socit. Dans dautres cas, les tiers peuvent four-
nir des informations utiles lentit dans ses activits de contrle interne.
Parmi ces tiers, le COSO cite les auditeurs externes, les lgislateurs et les
autorits de tutelle, les tiers ayant une interaction avec lentit, les analystes
financiers, la presse
POUR CONCLURE
Voici les dix points cls des quatre principaux rfrentiels de contrle interne :
1. Le contrle interne se dfinit comme un ensemble de moyens aidant une
organisation raliser ses objectifs que lon peut classer en trois catgories :
efficacit et efficience des oprations ;
fiabilit de linformation interne et externe ;
conformit aux lois, aux rglements et aux politiques internes.
2. Le champ du contrle interne comporte toutes les activits de gestion,
lexception, selon les rfrentiels, de ltablissement des objectifs, de la planification
stratgique, de la gestion des risques et des mesures correctives, des prises de
dcision.
3. Tout systme de contrle interne ne peut fournir quune assurance raisonnable que
Groupe Eyrolles
lorganisation pourra atteindre ses objectifs. Il existe en effet des limites inhrentes au
contrle interne :
erreurs de jugement dans la prise de dcision ;
94 Lorganisation et la conduite de laudit interne en environnement international
10. Le contrle interne est laffaire de tous : conseil dadministration et ses comits ;
direction gnrale ; lensemble des managers ; laudit interne ; tout le personnel.
Chapitre 3
1. Les auteurs remercient les collaborateurs des banques interviews pour ce travail.
2. Ce comit a pour mission de fixer dans le cadre des orientations dfinies par le gou-
Groupe Eyrolles
En pratique
Ce contrle fait ainsi appel la vigilance de chaque salari dans le travail quil
effectue en lui permettant dviter le moindre risque derreur. Il vise par l
mme propager une forte culture de contrle. Le contrle de premier
niveau pourrait tre assimil ainsi un contrle des flux.
niveau sappuie sur la technique de lenqute et, plus prcisment, utilise les
questionnaires comme un moyen de vrifier les contrles raliss par les contr-
leurs oprationnels ainsi quun moyen de communication avec ces derniers.
En pratique
Organes de
Surveillance surveillance de l'tat
Conseil
d'administration Information/Coordination
Surveillance
Comit d'audit
Information
Coordination
Audit externe
Information
Direction gnrale
Information
Audit Contrle interne Coordination
Collaboration
En pratique
Et, bien que nayant aucune ligne hirarchique dans lorganisation SOX, le
contrle permanent de la banque europenne subit pourtant les exigences
de cette loi. Ainsi, les contrleurs permanents sont contraints de rdiger les
guides daudit dcrivant les processus mtier pour le compte de laudit.
1. Pour une prsentation dtaille du COSO, voir dans cet ouvrage la contribution de
Louis Vaurs et de Florence Fradin, Une comparaison des principaux rfrentiels de
contrle interne (p. 53).
104 Lorganisation et la conduite de laudit interne en environnement international
Activit de contrle
Les activits de contrle peuvent se dfinir comme lapplication des normes
et des procdures qui contribuent garantir la mise en uvre des orientations
manant du management. Ces oprations permettent de sassurer que les
mesures ncessaires sont prises en vue de matriser les risques susceptibles
daffecter la ralisation des objectifs de lentreprise. Les activits de contrle
sont menes tous les niveaux hirarchiques et fonctionnels de la structure et
Groupe Eyrolles
Information et communication
Linformation pertinente doit tre identifie, recueillie et diffuse sous une
forme et dans des dlais permettant chacun dassumer ses responsabilits.
Les systmes dinformation produisent, entre autres, des donnes opration-
nelles, financires ou encore lies au respect des obligations lgales et rgle-
mentaires, qui permettent de grer et de contrler lactivit.
Ces systmes traitent non seulement les donnes produites par lentreprise,
mais galement celles manant de lextrieur (vnements, marche de lacti-
vit, contexte gnral) et qui sont ncessaires la prise de dcision en matire
de conduite des affaires et de reporting externe.
Il existe galement un besoin plus large de communication efficace, la fois
ascendante, descendante et horizontale. Le management doit transmettre un
message clair lensemble du personnel sur toutes les responsabilits en
matire de contrle. Les employs doivent comprendre le rle quils sont
appels jouer dans le systme, ainsi que la relation existant entre leurs pro-
pres activits et celles des autres membres du personnel. Ils doivent tre en
mesure de faire remonter les informations importantes.
Par ailleurs, une communication efficace avec les tiers, tels que les clients, les
fournisseurs, les autorits de tutelle ou les actionnaires, est aussi ncessaire.
Pilotage
Les systmes de contrle interne doivent eux-mmes tre contrls afin
quen soient values, dans le temps, les performances qualitatives.
Pour cela, il convient de mettre en place un systme de suivi permanent ou
de procder des valuations priodiques, ou encore de combiner les deux
mthodes. Le suivi permanent sinscrit dans le cadre des activits courantes et
comprend des contrles rguliers effectus par le management et le person-
nel dencadrement, ainsi que dautres techniques appliques par le personnel
loccasion de ses travaux. Ltendue et la frquence des valuations priodi-
ques dpendront essentiellement de lvaluation des risques et de lefficacit
du processus de surveillance permanente. Les faiblesses de contrle doivent
tre portes lattention de la hirarchie, les lacunes les plus graves devant
tre signales aux dirigeants et au conseil dadministration.
Groupe Eyrolles
Analyse de lenvironnement
Quelle est linteraction de la banque avec son environnement ? La rponse
cette question suppose une analyse globale, oprationnelle et stratgique,
Audit et contrle interne bancaire 109
mais aussi rglementaire. Au-del, ce sont les parties prenantes qui sont ana-
lyses en regardant jusqu leurs attentes par rapport linstitution.
Tests defficacit
Un lment cl de SOX rside dans les tests defficacit. Il sagit en fait dune
application directe de larticle 404 de la loi. Le TOE (Test of efficiency) vrifie
que les contrles internes du reporting financier fonctionnent de faon
empcher ou dtecter des erreurs matrielles dans les rapports financiers.
Celui-ci est conduit par laudit Paris ou les testeurs Londres.
Un tel test constitue lun des outils les plus importants pour laudit interne
afin dvaluer lefficacit des contrles internes selon des critres appropris.
Afin dassurer le maximum de pertinence et de fiabilit, le TOE doit
sappuyer sur des preuves documentes et aboutir une valuation crite sur
lefficacit du contrle interne dans la banque. Ces tests sont conduits suivant
le planning annuel pour assurer la fiabilit des processus de reporting et au-
del, la fiabilit des tats financiers pour le management et les actionnaires.
On ne peut dcrire ici lensemble des tests et du droulement dune telle
mission, mais le travail avec des auditeurs a permis de dresser un premier
comparatif des difficults et des synergies possibles lies la ncessit de
mettre en uvre deux rfrentiels.
En pratique
Dans le secteur bancaire, la place sest accorde ne pas vrifier les ch-
ques mis en dessous de 5 000 euros, car cela cote moins cher de pren-
dre en charge les sinistres que de les prvenir. La saisie et la validation du
chque pourrait ainsi tre confie un junior. Or, la loi SOX exige le
principe des 4 yeux , quelle que soit lopration.
Enfin, les missions SOX cotent cher. En effet, chacune dure en moyenne
trois semaines lorsque la documentation est communique temps par les
oprationnels. Lorsquun test est dfaillant, il faut prvoir nouveau une
quipe pour effectuer les contrles. Laudit peut galement faire appel des
consultants externes, comme dans la filiale anglaise o trois consultants ont
t recruts : un pour la conception des guides daudit, un autre pour la
coordination SOX, enfin un dernier pour lanalyse des risques.
Malgr la lourdeur des contrles imposs par la lgislation SOX, les ris-
ques, notamment derreur humaine et de fraude, ne peuvent tre prvenus ni
empchs. Les limites cette loi rsident galement dans la facult de juge-
ment laisse aux auditeurs.
POUR CONCLURE
La gestion des risques, ainsi que laudit et le contrle internes, doivent rellement tre
apprhends comme un processus continu dont lapplication doit tre garantie en
permanence. Ce processus doit assurer lidentification des dficiences et la prise de
mesures de correction adquates. Il ne peut sagir dune apprciation fige des
risques un instant donn. Ds lors, lefficacit du dispositif devient une relle source
davantage concurrentiel pour un tablissement. En sus de la vision purement
contrle , la combinaison de ces dispositifs fournit un outil de pilotage ayant
vocation amliorer les pratiques et pas seulement sanctionner. Les tablissements
ayant pris conscience de lopportunit qui leur est offerte auront une longueur
davance.
Groupe Eyrolles
Chapitre 4
Les dveloppements qui suivent ont donc pour objet de montrer la pratique
de la communication orale et de la communication crite dans les activits
daudit interne, den prsenter les difficults et de mettre en exergue leur
multiplication en environnement international.
Ce chapitre abordera, comme corollaire de la communication, les attitudes et
les comportements qui sont, compte tenu des diffrences de culture aux-
quelles sont confronts les auditeurs internes, sans doute parmi les lments
les plus importants considrer.
auditeurs internes sur le sujet. Cest notamment le cas des dcisions relatives
aux recommandations souvent nonces par une direction gnrale lgiti-
mement loigne du terrain, do limportance de la qualit des crits.
Les difficults de communication lies la pratique de laudit interne linternational 117
En pratique
audits et avec les mandants de la mission daudit, ainsi que dchanger avec
lquipe daudit (superviseur, chef de mission, etc.) et avec les quipes
dauditeurs internes venir.
crire est aussi la seule faon de laisser des traces (notion de traabilit) la
fois pour laction mettre en uvre et pour le suivi de cette action, mais
aussi pour la reprise des audits futurs dans le cas de missions rcurrentes.
Les crits daudit sont multiples (lettre de mission, compte-rendu dentre-
tien, synthse, rapport, etc.) et tous bass sur lobservation et lanalyse tout au
long de la mission. Ils ne se rsument en aucun cas aux seuls comptes-rendus
dentretiens.
Sil est facile dcrire pour soi, la principale difficult de lcrit professionnel
reste, comme il a t prcis plus haut, de rdiger pour dautres lecteurs, par-
fois inconnus, en :
comprenant leurs besoins ;
se mettant leur place ;
anticipant les questions quils pourront se poser.
En effet, lauditeur interne est un instant t devenu le spcialiste du domaine
audit. Il a analys les processus et procdures, a men les tests, investigu et
compuls des documents, rencontr les audits et entendu les difficults
quils connaissent et donc matrise fond son sujet. Sil dtient un nombre
important dinformations en tte que nont pas ses futurs lecteurs, il na
dailleurs parfois pas conscience de toutes les informations formelles ou
informelles dont il dispose.
La difficult consiste faire passer lensemble de ses connaissances (ainsi que
dautres messages comme les recommandations) diffrents types de lecteurs
qui nont ni les mmes attentes, ni les mmes besoins, ni les mmes objectifs.
Les auditeurs internes doivent donc savoir crire de faon claire, prcise,
concise, neutre et objective.
crire clairement permet dtre compris de tous. ce niveau, il faut savoir se
mettre la porte de tous les lecteurs et se poser notamment la question des
termes techniques et du jargon professionnel ; cela est particulirement vrai
sur certains thmes daudit comme linformatique, la finance ou les ques-
tions juridiques. Lauditeur devra employer des termes simples ou dfinir de
Groupe Eyrolles
poser ou se poser des questions sur le sens de ce qui est crit. Notons que
limprcision peut en outre amener les lecteurs douter de ce qui est crit,
voire prendre de mauvaises dcisions.
Quant lcriture concise, elle permet de ne pas gnrer de perte de temps.
Les diffrents lecteurs ne disposent pas tous du mme temps pour lire les rap-
ports et dautres crits daudit. La concision permet, sans mot ni priphrase,
de tout crire.
La neutralit assure de ne pas devenir juge du domaine audit. Lobjectif
dune mission daudit est dassurer la conformit (audit rglementaire) ou la
couverture satisfaisante des risques (audit oprationnel), mais en aucun cas de
porter un jugement sur les personnes. Les auditeurs internes travaillent sur
les processus, les procdures, les organisations, les structures, etc., mais jamais
sur les personnes.
Enfin, rdiger objectivement permet de ne pas prendre parti. Lcrit est des-
criptif et factuel, ne donne lopinion de lauditeur que sur les actions et leur
rsultat, ne doit pas inclure de notion de bien ou de mal , mais unique-
ment valuer ce qui est par rapport ce qui devrait tre.
Il est donc impratif, tant pour la facilit dcrire que pour celle dtre lu, de
disposer dune mthodologie dcriture, qui prsente deux objectifs :
aider le rdacteur dans son travail afin dy investir le moins de temps pos-
sible, lui permettant notamment de finaliser un rapport de mission dans
les meilleurs dlais ;
aider le rdacteur sortir de ce seul rle, se mettre la place de ses lec-
teurs et ainsi de comprendre et donc de rpondre leurs besoins et leurs
attentes.
Premire tape
Il sagit dune tape de rflexion. Cest galement une phase de marketing,
en ce sens o elle consiste considrer les lecteurs comme des clients et
lcrit comme un produit destin satisfaire un besoin client. Il convient
alors de se poser les questions suivantes par rapport aux lecteurs (les clients) :
Deuxime tape
Cest l aussi une tape de rflexion, pouvant cependant donner lieu une
Groupe Eyrolles
Par message , il faut entendre les points essentiels sur lesquels nous souhai-
tons attirer lattention de nos lecteurs. En fonction de ces messages, il sagit
ensuite tout dabord dorganiser les ides les unes par rapport aux autres :
quelles sont les ides fortes, essentielles ?
Il convient aussi de procder un tri et une hirarchisation des
informations : quelles sont les informations importantes qui vont soutenir et
argumenter le message ? Quelles sont celles de moindre importance ?
Enfin, il faut concevoir un plan dtaill afin de permettre lenchanement
logique des ides et le passage facile (notion de fil conducteur) dune ide
une autre. En dautres termes, il sagit de guider nos lecteurs, de leur faciliter
la tche, de les aider lire.
Troisime tape
La troisime phase consiste passer la rdaction qui peut, en fonction de la
complexit de lcrit et des capacits rdactionnelles de chaque auditeur
interne, ncessiter un projet avant rdaction dfinitive.
ce niveau, il est important dentretenir une bonne communication dans
lquipe : en effet, un des gains de temps pour lquipe daudit consiste
faire bien ds le premier jet. Il convient donc de connatre le style sou-
hait par le responsable de la mission : souhaite-t-il plutt un style dvelopp
ou lapidaire ? Jusqu quel niveau de dtail veut-il aller ? Etc. Noublions pas,
comme nous lavons soulign prcdemment, que toute reprise dcrit est
longue et mentalement pnible.
La rdaction va porter sur le fond et sur la forme. Des normes rdactionnel-
les et de prsentation, quil convient de respecter en plus des standards
dcriture, peuvent exister dans les organisations.
Le fond, qui concerne le message et les ides, constitue la partie essentielle,
car cest sur cette base que vont tre prises les dcisions, notamment de mise
en uvre ou non des recommandations.
La forme, elle, concerne la prsentation, la mise en page, la typographie, etc.
Elle est trs lie au fond en ce sens o, si la forme nest pas bonne, le lecteur
ne sattache qu elle et ne se concentre plus sur le fond. Sans la forme, le
fond nest pas lu, sans le fond, la forme ne sert rien.
Groupe Eyrolles
Quatrime tape
Le processus rdactionnel ne sachve quaprs une quatrime phase, dite de
relecture, qui a pour objectif de livrer un produit totalement fini. La relec-
Les difficults de communication lies la pratique de laudit interne linternational 123
ture suit des rgles prcises : elle doit tre organise par objectif et centre sur
la nature des erreurs supprimer, en fonction des difficults particulires que
se connat le rdacteur.
En pratique
une sur le fond, par exemple centre sur les liens logiques entre les diff-
rentes parties du raisonnement, sur la prsence dun fil conducteur, le choix
et la place des informations rapportes, etc. ;
une autre sur la forme, par exemple focalise sur les rptitions, la lon-
gueur des phrases, la ponctuation, etc.
Les chiffres suivants peuvent surprendre, mais ils sont unanimement admis :
nous communiquons environ 55 % par le mode non verbal, 38 % de
faon paraverbale et 7 % verbalement. Cela peut se comprendre, puisque
Les difficults de communication lies la pratique de laudit interne linternational 127
dans toute situation de prsence nous sommes dabord vus, puis entendus et
enfin couts.
En pratique
Qui na pas un jour rencontr un audit colreux qui semporte sans rete-
nue et sans que nous layons vu venir ?
Lexercice de la transparence
Au-del des outils et des techniques, lexercice de la transparence permet
aux auditeurs internes de briser les barrires et de favoriser lexpression
des audits. Cet exercice de transparence passe par plusieurs attitudes de
communication.
En premier lieu, il est lgitime que les audits connaissent la signification de
la fonction daudit interne puisquils vont participer son fonctionnement. Il
est donc ncessaire que chaque auditeur puisse la dfinir en termes adapts
ses audits, bien videmment sans utiliser notre jargon dauditeurs. Ima-
ginez la tte dun audit lambda qui lon dfinit la fonction comme tant
lassurance de lexistence et de lefficacit des contrles internes ou, en
dautres termes, lassurance que les risques sont under control . Les auditeurs
internes doivent disposer dune prsentation matrialise ou non de
laudit interne, naturellement la mme pour tous.
Ensuite, il est normal que les audits connaissent les objectifs de la mission.
Groupe Eyrolles
Ils vont passer du temps nous permettre de nous assurer de la gestion des
risques et nous montrer noublions pas que ce sont eux qui connaissent le
mieux leur travail l o se situent les points faibles du systme. Cette
Les difficults de communication lies la pratique de laudit interne linternational 129
Nous mettrons ici en vidence les piges linternational aprs avoir voqu
linduction rciproque des comportements et les fondamentaux du compor-
tement.
130 Lorganisation et la conduite de laudit interne en environnement international
Quatre paramtres
Les ouvrages sur le comportement en milieu multiculturel sont nombreux.
Une rapide recherche sur Internet permet de sen apercevoir.
Ainsi, le psychologue nerlandais Geert Hofstede (1994), se fondant sur
lanalyse statistique du comportement au travail des collaborateurs denviron
soixante-dix filiales dun grand groupe international rparties dans le monde
entier, dduit un certain nombre de postulats caractrisant les populations
rencontres. Selon lui, quatre paramtres essentiels ont un impact sur notre
comportement au travail et sur notre relation aux autres.
En pratique
avant daller faire une mission daudit dans tel ou tel pays ? Certainement pas,
mais cela peut nous aider comprendre et accepter certains comporte-
ments qui ne nous sont pas familiers. Il reste que, par dfinition, une per-
sonne est unique et que son comportement le sera aussi. Donc, si lon peut
prvoir un certain nombre de choses, il faudra rester adaptable et ragir au
cas par cas.
En pratique
Quelques exemples
Les exemples qui suivent aident illustrer cette trs courte analyse des diff-
rences de comportement.
Sil est normal en France de se serrer la main en se rencontrant, il nen va pas
de mme dans certains pays anglo-saxons dans lesquels, en revanche,
lemploi du prnom est rapide et courant.
Par ailleurs, si se regarder en face est courant et recommand lors dun entre-
tien daudit en Europe, il nen va pas de mme dans certains pays dAfrique
o, notamment en cas dcart dge et/ou de niveau hirarchique entre
lauditeur interne et laudit, il convient de ne pas trop regarder son interlo-
cuteur dans les yeux.
Et que dire de la distance entre deux personnes qui se parlent debout ? Les
Anglo-Saxons vont garder une distance respectable , alors que les Brsi-
liens seront trs proches lun de lautre, un point qui peut surprendre un
Europen.
Quant la tenue vestimentaire, elle peut aussi surprendre nos interlocuteurs.
Sans aller chercher des vtements de facture fort diffrente, il est vident que
la mode franaise et celle dAmricaine du Nord sont bien diffrentes et que,
Groupe Eyrolles
Pour leur part, les contextes politiques entre deux pays peuvent aussi un
moment donn compliquer les choses : ce nest plus lauditeur interne que
lon voit entrer, mais la personne de telle ou telle nationalit, reprsentant
telle ou telle position politique de son pays.
voquons aussi ici la notion de temps, qui ne semble pas tre la mme pour
tous. Le respect des horaires dbut dune runion de travail par exemple
ne semble pas avoir la mme signification dans tous les pays
De plus, il est possible de compliquer les choses en ajoutant, dans certains
pays, la notion de relation homme/femme qui peut fortement diffrer de ce
quelle est sur notre continent et induire des situations quelque peu tendues,
voire conflictuelles.
Enfin, encore un mot sur les religions, qui ont aussi une incidence sur les
horaires absence des personnes aux heures de prire ou imposent de ne
pas commencer un tour de table du mauvais ct .
POUR CONCLURE
Alors que faut-il faire ? Doit-on se dire que les missions daudit interne ne peuvent
avoir lieu quen pays connu ou quil faut des quipes dauditeurs internes dans
chaque pays et quils nen sortent pas ?
Peut-tre vaut-il mieux disposer dquipes internationales et en tout tat de cause
adaptables aux diffrents contextes. Encore faut-il que, pour sadapter, les auditeurs
internes sachent comment procder.
La connaissance des us et les coutumes du pays dans lequel nous travaillons est
indispensable pour adopter un comportement et une communication positive
lgard de nos audits : pour cela, il convient dinvestir un peu de temps pour
apprendre, comprendre et accepter les diffrences.
Ensuite, il faut possder un certain nombre doutils et de techniques de
communication afin de communiquer en toutes circonstances. Si ces techniques ne
sont pas toujours faciles ni simples mettre en uvre, elles sapprennent.
Enfin, il est ncessaire de travailler un minimum sur soi pour viter des ractions bien
spontanes qui pourraient choquer ou froisser.
Sil fallait rsumer ces quelques lignes par un seul mot, peut-tre celui qui viendrait
lesprit serait adaptabilit.
Groupe Eyrolles
Partie II
Lobjectivit de lvaluation
de la corporate governance
par laudit interne
PAR CHRISTOPHE GODOWSKI,
Matre de Confrences lInstitut dAdministration des
Entreprises (IAE) de lUniversit Franois-Rabelais
de Tours
trielles se ralisant par appel public lpargne, le capital sest retrouv dilu
entre diffrentes mains peu concernes pour exercer des fonctions de direc-
tion au sein de la structure. Les nombreux propritaires ont donc t dans
lobligation de mandater des personnes pour grer lentreprise. En prenant
appui sur cette reprsentation de la firme, un premier champ apparat sous la
dnomination de vision actionnariale de la gouvernance de lentreprise. Les
critiques ont contribu faire merger une seconde approche rpondant
une vision partenariale de lentreprise.
1. Le cycle de vie des dirigeants comprend trois phases : une phase de valorisation, une
phase de rduction des moyens de contrle et une phase daugmentation de la
consommation. Lors de la premire phase les dcisions prises seront ncessairement en
phase avec les attentes des actionnaires.
140 La contribution de laudit interne au processus de gouvernance de lentreprise
positionne le droit franais par rapport des positions divergentes dans les
rapports. Ce texte a t complt par la loi de Scurit Financire
daot 2003, pendant de la SOX aux tats-Unis.
Lobjectivit de lvaluation de la corporate governance 141
En pratique
Les principales dispositions des rapports franais et lois en matire de
corporate governance
1995 - Rapport Vinot I Le conseil dadministration des socits cotes
(AFEP et CNPF)
Incitation pour le conseil dadministration se pencher rgulirement
sur sa composition, son organisation et son mode de fonctionnement au
travers dune auto-valuation.
Raffirmation des missions du conseil dadministration.
Propositions sur le principe de croisement des administrateurs, le
nombre de mandats dadministrateur et les droits et devoirs des adminis-
trateurs, la cration de comits, lentre dadministrateurs indpendants.
1996 - Rapport Marini Chapitre III. Promouvoir un meilleur quilibre
des pouvoirs et des responsabilits au sein de lentreprise dun rapport
visant la modernisation du droit des socits franais
Constat dun double dsquilibre imputable notre droit des socits :
suprmatie des fonctions de direction sur celles de contrle et suprma-
tie des contrles de type judiciaire sur ceux de type interne exercs par
les actionnaires et/ou les commissaires aux comptes.
Proposition sur la possibilit de dissocier dans les statuts les fonctions de
prsident du Conseil dAdministration de celles de directeur gnral.
Proposition pour limiter le nombre de mandats dadministrateurs pour un
travail plus effectif du fait dune plus grande disponibilit ainsi que de
lgifrer pour donner plus defficacit et de poids aux comits.
la rmunration des employs par des actions des entreprises peut four-
nir un mcanisme destin encourager et protger les investissements en
capital humain spcifique .
Que la vision soit actionnariale ou partenariale, les deux reposent sur une
reprsentation contractuelle de lorganisation. Lentreprise est un nud de
contrats ncessitant de mettre en place des dispositifs pour prvenir ou agir sur
des conflits entre parties prenantes lentreprise. Le courant cognitif propose
un autre cadre conceptuel pour apprhender la gouvernance.
1. Foss a dmontr que linnovation tait favorise par la coexistence de schmas cognitifs
conflictuels. Foss, N., (1996), Capabilities and the Theory of the Firm , Revue
dconomie Industrielle, n77, troisime trimestre, pp. 7-28.
146 La contribution de laudit interne au processus de gouvernance de lentreprise
ments des conflits cognitifs qui feront merger par mulation les
investissements rentables (Charreaux, 2004). Dans cette perspective, le rle
de la gouvernance est de sassurer que les procdures de prise de dcision au
sein de lorganisation seront rellement efficientes . Pour cela, les mcanis-
mes de gouvernance de lentreprise doivent tre conus dans loptique
dassister le management dans la phase dlaboration des orientations strat-
giques. Ceci sous-tend de crer un climat organisationnel propice aux
apprentissages (conflits cognitifs) dans le but de faire merger des voies de
croissance. Cette dimension de la gouvernance est qualifie par Charreaux
de dimension habilitante. Pour tre totalement efficace, elle doit saccompa-
gner dune dimension contraignante. Afin que les conflits cognitifs ne
dclenchent une situation de blocage, des mcanismes doivent exister pour
servir des contraintes aux choix stratgiques des managers notamment en
affichant des dispositifs de sanction en cas dchec ou de non-ralliement aux
modles cognitifs dominants.
Ces deux dimensions rapprochent finalement les deux courants de la gou-
vernance dentreprise tout en inscrivant le systme de gouvernance en
priorit dans la perspective dasseoir la capacit dinnovation et dappren-
tissage de lorganisation. Ce dernier se doit alors doptimiser le potentiel
de cration de valeur par linnovation et lapprentissage, tout en dvelop-
pant conjointement des mcanismes doptimisation de la latitude manag-
riale. Charreaux (2004) prsente le modle de Lazonick et OSullivan
(2000) de la firme innovatrice comme une parfaite illustration de ce rap-
prochement des courants. Selon ce modle, le systme de gouvernance
doit permettre :
lengagement financier, de faon permettre non seulement le dvelop-
pement des comptences, mais galement dobtenir le dlai suffisant pour
que les investissements porteurs dinnovation soient rentables ;
lintgration organisationnelle incitant les acteurs internes investir leurs
comptences et leurs efforts en fonction des objectifs de la firme ;
la matrise du processus de dveloppement qui repose sur leur exprience
et leur interprtation (Charreaux, 2004).
nance de lentreprise. Elle peut effectivement agir la fois, pour reprendre les
termes de Charreaux (2002), sur la dimension habilitante , mais aussi sur la
dimension contraignante de la gouvernance de lentreprise.
Mcanismes Description
Le march du travail Le march du travail exerce une pression sur les dirigeants.
(contrle externe En cas de non-performance, ces derniers pourront faire
et mcanisme de lobjet dun remplacement. A contrario, dans le cas dune
contrle) performance et en labsence dindexation de la rmunration
sur les rsultats, les dirigeants peuvent tre conduits par-
tir, face aux opportunits proposes par le march du travail.
1. Pig distingue, dun point de vue partenarial, trois niveaux dasymtrie dinformation
au sein du gouvernement dentreprise : lasymtrie dinformation entre dirigeants et
conseil dadministration, celle entre les actionnaires et leurs reprsentants les adminis-
trateurs et celle entre les investisseurs potentiels et les dirigeants de lentreprise.
Lobjectivit de lvaluation de la corporate governance 151
La norme 2 130
Au sein des normes de fonctionnement, une norme explicite la mission
dvaluation par laudit interne du processus de gouvernance de lentreprise.
Il sagit de la norme 2 130, prcisant les attentes concernant cette mission.
Laudit interne doit valuer le processus de gouvernement dentreprise et
formuler les recommandations appropries en vue de son amlioration.
cet effet, il dtermine si le processus rpond aux objectifs suivants :
promouvoir des rgles dthique et des valeurs appropries au sein de
Groupe Eyrolles
lorganisation ;
garantir une gestion efficace des performances de lorganisation, assortie
dune obligation de rendre compte ;
152 La contribution de laudit interne au processus de gouvernance de lentreprise
Problme de compatibilit
Cette norme 2 130 soulve un vritable problme de compatibilit avec la
participation directe de laudit interne au processus de corporate governance. Ce
concours actif au processus de management permet-il la fonction dappor-
ter une valuation totalement objective du processus de gouvernement
dentreprise ? tre la fois juge et partie ne fait-il pas peser un risque dalt-
ration de lvaluation ? De surcrot, cette participation semble en totale con-
tradiction avec la norme de qualification, selon laquelle les auditeurs
internes doivent tre indpendants des activits quils auditent cest--dire
que les domaines dans lesquels intervient lauditeur interne ne sauraient tre
audits par lintress . Pour expliciter ce risque daudit2, il est possible de
rapprocher certains objectifs du processus de gouvernance dentreprise que
doit vrifier laudit interne des principales normes pour la pratique profes-
sionnelle de laudit interne.
Ainsi, la norme 2 130 prcise que laudit interne doit prendre position sur la
capacit du processus de gouvernement dentreprise garantir une gestion
efficace des performances de lorganisation, assortie dune obligation de
rendre compte. Suite cette valuation, le fait dmettre des recommanda-
tions sur cet lment et compte tenu de sa participation au processus de gou-
vernement dentreprise conduit laudit interne reconnatre implicitement
que la gestion de lactivit daudit interne nest pas totalement exerce dans
1. Extrait de la traduction par lIfAcI des normes internationales pour la pratique profes-
Groupe Eyrolles
1. Elle prcise que si lobjectivit ou lindpendance des auditeurs internes sont com-
promises dans les faits ou mme en apparence, les parties concernes doivent en tre
Groupe Eyrolles
En pratique
Section 202
Section 204
Section 301
Le comit daudit est compos intgralement dadministrateurs qui res-
pectent les exigences dindpendance, y compris sur les questions de
rmunrations, de la loi et des rglements correspondants propres aux
autorits boursires.
le comit daudit a le pouvoir dengager des conseillers indpendants
dans la mesure o il le juge ncessaire.
le comit daudit a le pouvoir de runir les fonds ncessaires une
rmunration approprie des auditeurs indpendants et de tout
conseiller engag par ses soins.
le comit daudit est directement responsable des points suivants relatifs
lauditeur indpendant : slection, rmunration, supervision de la mis-
sion, non-renouvellement (le cas chant), arbitrage de tout conflit avec la
direction, supervision de tout problme ou de toute difficult lis laudit
ainsi que des rponses de la direction sur ces problmes ou difficults.
le comit daudit doit mettre en place des procdures visant permettre
la soumission confidentielle et anonyme, par des employs de la compa-
gnie, de points qui semblent problmatiques sur le plan de la comptabi-
lit ou de laudit.
Groupe Eyrolles
Section 407
La compagnie doit divulguer si le comit daudit comprend au moins un
expert financier , au sens des critres tablis par la Securities Exchange
Commission. Si tel est le cas, il convient de mentionner le nom de cette per-
sonne et de prciser si elle est, ou non, indpendante de la direction. Si le
conseil dadministration tablit que le comit daudit ne compte aucun
expert financier, il convient de prciser les raisons de cette dcision.
En pratique
Les fonctions du comit daudit dans le contexte amricain
1. Les auditeurs internes aident le comit daudit sassurer de la conformit aux rgles et
aux politiques de lentreprise (application du rglement intrieur, etc.). Ils effectuent,
dans certains cas, des investigations spcifiques sur demande du comit daudit, par
exemple sur des versements douteux ou des fraudes potentielles.
158 La contribution de laudit interne au processus de gouvernance de lentreprise
POUR CONCLURE
La prsence du comit daudit ne constitue pas une condition suffisante pour attnuer
le risque daudit rsultant dune valuation par laudit interne du processus de
gouvernance dentreprise. Il est ncessaire que le comit daudit soit indpendant,
comptent et impliqu. Pour affirmer la qualit des valuations ralises par laudit
interne, certains souhaitent un rattachement hirarchique de laudit interne
directement au comit daudit. Si nous concevons quil doit exister un rattachement
fonctionnel de laudit interne au comit daudit, nous sommes plus rservs sur un
rattachement hirarchique, au risque de contraindre laudit interne dans le primtre
troit de laudit de conformit et defficacit.
Groupe Eyrolles
Chapitre 6
La loi Sarbanes-Oxley
et la coopration audit interne/
audit externe
PAR LISABETH BERTIN1,
Matre de Confrences lInstitut dAdministration des
Entreprises (IAE) de lUniversit Franois-Rabelais de Tours
focaliserons notre attention sur la loi Sarbanes-Oxley, source dinspiration pour diff-
rents tats et, de plus, de porte internationale. En effet, elle sapplique toutes les
entreprises amricaines et trangres cotes la Bourse de New York ainsi quaux
filiales des socits amricaines.
162 La contribution de laudit interne au processus de gouvernance de lentreprise
qui ont une crance lgitime sur lentreprise sont des parties prenantes ou
stakeholders, et quen tant que tels, ils sont en droit dobtenir une partie de la
rente organisationnelle et susceptibles dtre affects par des styles de gestion
inefficients (Depret et Hamdouch, 2005). Lobjectif essentiel du systme de
gouvernance savre alors de prenniser le nud de contrats constitutif de
lentreprise, et paralllement, doptimiser la latitude managriale (Char-
reaux, 2004). La gouvernance dentreprise recouvre ainsi lensemble des
mcanismes organisationnels qui ont pour effet de dlimiter les pouvoirs et
dinfluencer les dcisions des dirigeants, autrement dit qui gouvernent leur
conduite et dfinissent leur espace discrtionnaire (Charreaux, 1997).
Les dbats sur la gouvernance de lentreprise ont longtemps t centrs
sur les aspects financiers, cherchant amliorer la qualit du reporting
financier, en renforant notamment le rle de lauditeur lgal. Les disposi-
tions lgales les plus rcentes en matire de gouvernance dentreprise (loi
Sarbanes-Oxley notamment) sont plus explicitement destines amlio-
rer les mcanismes de contrle interne, se fondant sur lhypothse dune
relation forte entre le contrle interne, la qualit du reporting financier et
la gouvernance de lentreprise. Mme si elles ne font pas rfrence direc-
tement laudit interne, ces nouvelles rglementations confortent la lgi-
timit de la fonction daudit interne et son triple rle, eu gard la
gouvernance. Les complmentarits entre lauditeur interne et lauditeur
externe justifient leur coopration.
dvelopper des normes internationales sur laudit lgal, les missions dassurance, lthi-
que et la formation des professionnels comptables. En France, le Code de dontologie de
la profession de commissaire aux comptes de la CNCC a t approuv par le dcret du
16 novembre 2005.
166 La contribution de laudit interne au processus de gouvernance de lentreprise
En pratique
en fait daudit.
Ensemble des stakeholders, indi-
rectement
La loi Sarbanes-Oxley et la coopration audit interne/audit externe 167
Aval Amont
Lauditeur interne identifie et va-
lue les risques avant quils ne
soient traduits dans les comptes.
constitue lun des dispositifs mis en uvre pour empcher ou rduire les
conflits dintrts entre parties prenantes lentreprise (Charreaux, 2004).
Laudit interne, parce quil remplit, ct dune mission traditionnelle
dassurance, une mission de conseil, est un mcanisme de gouvernance lgi-
tim la fois par le courant disciplinaire et par le courant cognitif de la gou-
vernance. Selon ce dernier, lorganisation est apprhende comme un lieu
de connaissances et le systme de gouvernance devient lensemble des
mcanismes permettant davoir le meilleur potentiel de cration de valeur
par lapprentissage et linnovation (Charreaux, 2004). Lindpendance de
lauditeur interne ntant pas protge juridiquement comme celle de laudi-
teur externe, et lauditeur interne tant un membre part entire de lorga-
nisation contrle, on pourrait tre tent de dire que laspect disciplinaire est
moins puissant que dans le cas de lauditeur externe.
On comprend alors que la coopration entre audit interne et audit externe
savre source de bienfaits non ngligeables. Le processus daudit global (audit
interne plus audit statutaire) constitue un dispositif agissant simultanment sur
les dimensions disciplinaires et cognitives du processus de cration/rpartition
de la valeur. Il participe ainsi la reconstruction de la vision financire de la
gouvernance largie aux dimensions cognitives (Charreaux, 2004).
Linteraction donne naissance des effets de synergie en matire de comp-
tences. La multiplication des points de vue et le partage des informations
renforce la comptence de chacun.
L o existe une fonction daudit interne, lauditeur externe apprcie diff-
remment les qualits de rgularit et de sincrit des comptes qui lui sont
prsents. L o un auditeur externe exerce son activit, la matrise des affai-
res sen trouve renforce. Chacun peut se prvaloir des travaux de lautre
pour asseoir son jugement ou tayer sa dmonstration (Renard, 2006).
Si les avantages en matire de partage des connaissances et de complmenta-
rit des comptences sont vidents, les effets de synergie en termes dind-
pendance restent cependant dmontrer.
Enfin, une collaboration troite des deux organes permet de raliser des co-
nomies de cots, par rapport une situation o les deux acteurs travaille-
raient compltement sparment. Selon Felix et al. (2001) et Haron et al.
(2004), la participation de laudit interne laudit statutaire permet dabaisser
Groupe Eyrolles
le montant des honoraires verss aux auditeurs externes. Cet argument revt
un intrt particulier dans un contexte de pression sur les honoraires des
contrleurs lgaux des comptes. Lefficience de lentreprise se trouve ainsi
La loi Sarbanes-Oxley et la coopration audit interne/audit externe 169
En pratique
fidles la ralit ;
quils sont responsables de la mise en uvre de contrles internes ;
/
170 La contribution de laudit interne au processus de gouvernance de lentreprise
quils ont valu lefficacit des procdures de contrle interne dans les
90 jours prcdant le rapport et quils ont prsent dans le rapport leurs
conclusions rsultant de cette valuation au sujet de lefficacit des pro-
cdures de contrle interne ;
quils ont divulgu aux auditeurs externes ainsi quau comit daudit,
toutes les dfaillances significatives relatives la conception et la mise en
uvre des procdures de contrle interne, ainsi que toute fraude qui com-
promet le management et toute personne implique dans les procdures de
contrle interne ;
quils ont indiqu dans le rapport sil y a eu ou non des changements dans
les procdures de contrle interne y compris les mesures correctrices desti-
nes remdier aux faiblesses du contrle interne aprs leur valuation.
1. Afin de certifier la rgularit, la sincrit et la fidlit des tats financiers, lauditeur externe
doit apprcier les dispositifs de contrle interne de nature financire et comptable.
2. Au niveau national, de telles normes ont galement t publies. En France, par exem-
Groupe Eyrolles
ple, la CNCC a mis en 2006 les Normes dExercice Professionnel (NEP) 315, 330,
500, qui correspondent ladaptation des normes ISA correspondantes. La huitime
directive europenne rvise (2006) rend obligatoire lapplication des normes ISA dans
tous les pays de lUE.
La loi Sarbanes-Oxley et la coopration audit interne/audit externe 171
Comparatif
Une comparaison des normes 2 050 de lIIA et 610 de lIFAC est mene au
travers des quatre points suivants (voir tableau n 2) :
lobjectif et lintrt dune coopration audit interne/audit externe ;
le champ dintervention et la dlimitation des responsabilits ;
lvaluation respective des travaux et des performances ;
les rencontres et les informations changes.
1. Par exemple la NEP (Norme dExercice Professionnel) 610 produite en 2007 par la
CNCC en France et adaptant la norme ISA 610. Rappelons que la huitime directive
europenne (2006) rend obligatoire lusage des standards internationaux daudit (ISA)
dans la conduite des audits statutaires en Europe.
2. Le Comit de Ble, dans son document publi en aot 2001 sur laudit interne dans
les banques et les relations des autorits de tutelle avec les auditeurs stipule que les
Groupe Eyrolles
1. LIfAcI, dans sa version franaise de la norme, ajoute : Laudit interne peut galement
jouer un rle fondamental en alertant la direction gnrale et/ou le comit daudit
lorsque la pression exerce sur les commissaires aux comptes et les rductions dhono-
raires ne permettent plus dassurer lefficacit et la qualit de leurs travaux de
contrle.
Groupe Eyrolles
Une reformulation de lISA 610 est en cours. Des propositions sont avances
par lIFAC, mais ne sont pas encore valides lheure o nous rdigeons
cette contribution. Pour information, lIFAC envisage essentiellement trois
actions. Il sagit tout dabord de supprimer certaines phrases redondantes
avec des informations contenues dans une autre norme.
Il faut galement donner un autre statut certains paragraphes, qui sont
levs au rang dobjectif ou dexigence. Notamment, la nouvelle version
pourrait prciser que lobjectif de lauditeur externe est dacqurir une
connaissance suffisante de la fonction daudit interne et de dterminer si les
activits de la fonction daudit interne sont utiles pour programmer et rali-
ser laudit, si elles sont pertinentes, leur effet sur les procdures mises en
uvre par lauditeur externe. De mme, lIFAC pourrait considrer comme
imprative lvaluation des contraintes et des restrictions imposes par la
direction et pesant sur la fonction daudit interne.
Enfin, la troisime action consiste intgrer de nouvelles informations afin
de rendre la norme ISA 610 plus cohrente avec les normes mises rcem-
ment. Par exemple, on pourrait lire : lauditeur veillera acqurir une
connaissance suffisante de la fonction daudit interne en conjonction avec le
contrle interne.
Ainsi, les deux normes reconnaissent la complmentarit des deux profes-
Groupe Eyrolles
Quelques divergences
Dune part, linteraction audit interne/audit externe peut tre absente, occa-
sionnelle, rgulire ou frquente. Les normes mettent laccent sur la nces-
sit pour les auditeurs internes et externes de se rencontrer rgulirement.
Cependant, elles ne nous disent rien quant la frquence et la dure de ces
runions. De mme, elles ne prcisent pas la configuration de ces
rencontres : runions en tte--tte, en prsence de membres du comit
daudit, en prsence de la direction gnrale, etc.
Dautre part, la coopration revt plusieurs formes. En labsence de collabo-
ration, on parlera de simple coexistence des deux organes de gouvernance.
Quant au niveau suivant, il relve de lintgration des travaux de laudit
interne par laudit externe. Les auditeurs externes sappuient sur les travaux
des auditeurs internes de deux faons : soit en leur demandant deffectuer
des tches spcifiques, soit en faisant confiance aux tests et aux rapports quils
ont raliss de leur ct. Cependant, lauditeur externe ne saurait utiliser les
travaux de laudit interne sans avoir valu auparavant leur qualit intrins-
que et la qualit de leurs auteurs. Laudit interne peut alors tre
subordonn laudit externe. En aucun cas, lauditeur externe ne peut
tre subordonn laudit interne. La norme ISA 610 met laccent sur
cette approche de la coopration.
Enfin, le dernier niveau est celui de partenariat. Dun ct, chaque acteur a
besoin de lautre pour atteindre ses propres objectifs. De lautre, il sagit de
mettre en commun, de partager et de produire conjointement des connais-
sances, de svaluer rciproquement, afin datteindre un objectif commun :
accrotre lefficacit du processus daudit global. En vue dune meilleure
comprhension et dune plus grande efficacit, il est primordial que les deux
acteurs utilisent le mme langage, les mmes rfrentiels. Nous pensons l au
rfrentiel de contrle interne, notamment. Le partenariat peut tre infor-
mel ou formel. La formalisation peut tre organisationnelle (supervision de
la part du comit daudit) ou procdurale (validation, valuation). Le parte-
nariat suppose une interaction symtrique1. La norme IIA 2 050 privilgie
cette approche de la coopration.
tions). Lentreprise existe, car elle permet de rduire les cots de transaction :
un contrat unit plusieurs personnes pour effectuer des tches sans recourir au
march et donc au prix.
Morill et Morill (2003), se fondant sur la thorie des cots de transaction,
dmontrent que les auditeurs internes sont davantage impliqus dans des
audits lgaux qui exigent une importante connaissance spcifique. Linvestis-
sement spcifique reprsente un dterminant plus important que lincerti-
tude comportementale, pour expliquer lengagement des auditeurs internes
dans laudit statutaire.
En pratique
Zain et al. (2006) indiquent une association positive entre la taille du dpar-
tement daudit interne et le niveau dexprience en audit des personnes du
dpartement, dune part, et la contribution de laudit interne laudit
externe, dautre part. Les auteurs ne prcisent pas si le niveau dexprience
en audit des auditeurs internes est en audit interne ou en audit externe.
La nature de la relation entre les dirigeants et la fonction daudit interne peut
compromettre lobjectivit de laudit interne et porter prjudice son
indpendance. Si lon se rfre la thorie de lagence, les dirigeants peuvent
inciter les auditeurs internes ne pas mettre en lumire dventuels dysfonc-
tionnements traduisant leur incomptence ou leurs pratiques frauduleuses.
Plumlee (1985), Harrell et al. (1989) et Al-Twaijry et al. (2003) confirment
lexistence de menaces lindpendance de laudit interne.
En pratique
Dans certains pays et dans certaines entreprises, les auditeurs internes rap-
portent uniquement aux managers, ont un champ dactivit limit, une libert
dinvestigation rduite et entreprennent parfois des activits loignes de
laudit. Harrell et al. (1989) avancent que les auditeurs membres de lIIA sont
plus susceptibles de rsister aux diverses pressions que les autres.
Le niveau dautorit devant lequel les auditeurs internes sont responsables est
le plus important des critres affectant le niveau dindpendance et dobjecti-
vit des auditeurs internes. Et seul un service daudit interne indpendant est
peru comme performant (Clark et al., 1981).
Les opportunits de carrire offertes par lentreprise constituent un autre fac-
teur prendre en compte. Si elles sont susceptibles daccrotre la motivation
et la performance de laudit interne (Albrecht et al., 1988 ; Ridley et Cham-
bers, 1998), elles peuvent galement porter atteinte lobjectivit des audi-
teurs en les rendant plus rticents sopposer un audit qui pourrait tre
leur futur suprieur hirarchique (Goodwin et Yeo, 2001).
Un dilemme comparable existe lorsque les auditeurs assument des fonctions
de conseil. Le fait que lauditeur interne soit la fois partie prenante au pro-
cessus de gouvernance de lentreprise et valuateur de ce mme processus
Groupe Eyrolles
1. Selon la norme ISA 200, le risque inhrent correspond la possibilit quune assertion
comporte une anomalie qui pourrait tre significative individuellement ou cumule
avec dautres anomalies, nonobstant les contrles existants. Il sagit dun risque propre
lentit, indpendamment de laudit des tats financiers.
182 La contribution de laudit interne au processus de gouvernance de lentreprise
1. Selon ce texte, lindpendance des membres du comit daudit implique que les per-
sonnes sigeant au comit daudit ne sauraient : (i) recevoir de la socit une rmun-
Groupe Eyrolles
ration au titre de services de conseil, consulting ou autres rendus la socit ou (ii) tre
des affilis de la socit mettrice ou dune de ses filiales.
2. Rule 10A-3 de lExchange Act : Standards Relating to Listed Companies Audit Committees,
publie le 10 avril 2003.
La loi Sarbanes-Oxley et la coopration audit interne/audit externe 183
En pratique
POUR CONCLURE
La coopration audit interne/audit externe contribue amliorer le processus de
gouvernance de lentreprise, sous certaines conditions.
Les dispositions lgislatives issues de la loi Sarbanes-Oxley et les rsultats des
travaux de recherche suggrent que les entreprises ont la possibilit daccrotre
ltendue de la coopration audit interne/audit externe afin de faire merger un
vritable partenariat, en investissant dans la qualit de laudit interne, en mnageant
du temps libre aux auditeurs internes et en disposant dun comit daudit efficace,
qui facilite entre autres la coordination entre auditeurs internes et externes.
Si, dans certains cas, lapplication des dispositions de la loi Sarbanes-Oxley a pu
dtriorer la collaboration entre auditeur interne et auditeur externe, nous estimons
que ce phnomne est transitoire. La professionnalisation de laudit interne et la
certification qualit des directions daudit interne, laquelle connat aujourdhui un
essor important, contribuent renforcer la crdibilit et la lgitimit de la fonction
aux yeux des auditeurs externes et seront amenes jouer un rle important dans
lmergence dune symtrie partenariale avec ces derniers.
Groupe Eyrolles
Chapitre 7
a performance des organisations est plus que jamais au centre des pr-
L occupations en raison dune concurrence mondiale exacerbe. Lune
des composantes de cette performance rside dans le comportement thique
et responsable de ses diffrents acteurs. Or, la fin du xxe sicle, diffrents
scandales financiers, lis notamment aux affaires Enron et Worldcom, ont
clabouss la rputation dentreprises cotes et cr un climat de dfiance.
Ainsi, en juillet 2002, suite aux diffrents scandales que les tats-Unis ont
connus, le congrs a adopt la loi Sarbanes-Oxley qui impose aux socits
amricaines ou trangres cotes dans ce pays, ainsi qu leurs filiales
ltranger, de mettre en place un systme permettant aux salaris de rappor-
ter anonymement les fraudes et les malversations comptables et financires
dont ils auraient connaissance. Le whistleblowing que lon peut traduire par
lexpression donner un coup de sifflet et qui savre une pratique rpan-
due dans les entreprises anglo-saxonnes dsigne donc la possibilit pour les
salaris de faire part leur hirarchie ou un comit interne des malversa-
tions dcouvertes au sein de leur organisation.
Ces diffrents scandales voqus plus haut ont replac au centre des dbats la
dimension thique des diffrents acteurs de lorganisation et son influence
sur une gouvernance optimise. Mercier (2000) cite Arrow : Un contrle
dordre thique est ncessaire, les systmes juridiques et conomiques ninci-
tant pas forcment les organisations prendre en compte limpact moral de
leurs dcisions. Il poursuit sa rflexion en notant quil est dans lintrt
des dirigeants de mieux prendre en compte le contenu thique de leur orga-
Groupe Eyrolles
nisation dans le but de justifier leurs activits (en fonction de normes thi-
ques et de valeurs) et de se prmunir contre dventuelles actions
rpressives .
186 La contribution de laudit interne au processus de gouvernance de lentreprise
treint des actions lies la vie humaine Quant au terme dontologie, qui
vient du grec deonta, les devoirs , ce qui est d ou requis, il dsigne ce quil
convient de faire dans une situation sociale donne, en particulier lensemble
thique et audit interne : la problmatique du whistleblowing 187
En pratique
Le whistleblowing la franaise
Tout dabord, la lgitimit de la mise en place du whistleblowing ne peut tre
transpose en ltat dans le contexte franais. Le whistleblowing la
franaise existe dj sous une autre forme, dans la mesure o il est suscepti-
ble dtre exerc par les auditeurs externes lgaux. Larticle 34 du dcret-loi
du 8 aot 1935, repris ultrieurement dans la loi du 24 juillet 1966, imposa
aux commissaires aux comptes de rvler au procureur de la Rpublique
tout fait dlictueux dont ils auraient eu connaissance au cours de leur mis-
Groupe Eyrolles
sion. Cette obligation fut pour partie une rponse juridique diffrents scan-
dales financiers tels que la faillite de la Compagnie Universelle du canal
interocanique de Panama, lescroquerie de petits porteurs lors de lmission
190 La contribution de laudit interne au processus de gouvernance de lentreprise
droit dalerte semble acquise lorsque les dispositifs dalerte sont mis en uvre
la seule fin de rpondre une obligation lgislative ou rglementaire de
droit franais visant ltablissement de procdures de contrle interne dans
des domaines prcdemment dfinis. En revanche, pour la CNIL, il ne
semble pas que le simple fait de lexistence dune disposition lgale trangre
en vertu de laquelle un dispositif dalerte serait mis en place permette de
lgitimer un traitement de donnes personnelles, notamment dans le cas des
dispositions de la section 301 de la loi Sarbanes-Oxley, qui prvoit que les
employs dune entreprise doivent pouvoir faire tat au comit daudit de
leurs inquitudes quant une comptabilit ou un audit douteux en tant
assurs de bnficier dune garantie de confidentialit et danonymat .
En pratique
notamment :
la mise en place du systme dalerte par accord collectif ou engagement
unilatral, comme le rglement intrieur ;
192 La contribution de laudit interne au processus de gouvernance de lentreprise
Si lon accepte que le whistleblowing soit possible pour les salaris de lentre-
prise, on peut se demander qui sera charg de lencadrer, danalyser les
situations et ventuellement dengager des actions. Pour quil soit lgitime, il
thique et audit interne : la problmatique du whistleblowing 193
faut que son contrle soit fiable et efficace. Il est vital, pour la russite du sys-
tme et viter tout dommage collatral sur la culture organisationnelle de
lentreprise, de confier la gestion des alertes une organisation spcifique.
Les diligences raliser par les auditeurs internes pourront tre formalises
dans le cadre dun code de dontologie afin de dlimiter le champ dinter-
vention et les actions conduire. La dontologie renvoie un ensemble de
rgles dont se dote une profession (ou une partie dune profession) au travers
dune organisation professionnelle qui devient linstance dlaboration, de
mise en uvre, de surveillance et dapplication des rgles (Isaac, 1996).
En pratique
ments thiques ;
la nomination dun ou de plusieurs responsables de lthique dans lorga-
nisation pour veiller lapplication de ces principes et procdures ;
196 La contribution de laudit interne au processus de gouvernance de lentreprise
POUR CONCLURE
Si le whistleblowing devait tre mis en place, il devrait faire lobjet dun consensus
entre les diffrentes parties prenantes de lorganisation sur son primtre, les
conditions de ralisation du droit dalerte et le cadre thique dans lequel il sera
exerc.
Groupe Eyrolles
Chapitre 8
Fusions-acquisitions :
le rle de lauditeur interne
PAR CHRISTINE POCHET,
Professeur lInstitut dAdministration des Entreprises de
lUniversit Paris I Panthon-Sorbonne
ET ALESSANDRO REITELLI,
Directeur gnral adjoint dune filiale du groupe CFAO
(filiale de PPR)
obir une logique de recentrage sur les activits principales, suscitant des
oprations de nature horizontale accompagnes de cessions. Dsormais, dans
la plupart des pays europens, le poids des fusions transfrontalires dpasse
celui des oprations domestiques. Les vagues successives de consolidation
tendent par ailleurs gnrer un nombre croissant de mga deals. Dans le
mme temps, les progrs raliss dans le domaine des nouvelles technologies
de linformation et de la communication (NTIC) facilitent la gestion
dentreprises oprant lchelle mondiale. Lclatement de la bulle spcula-
tive en 2001 marque la fin de cette priode.
pas moins dlicates mettre en uvre. Leur impact sur la richesse des action-
naires est depuis longtemps discut par la littrature qui fournit sur ce point
des rsultats contrasts. Nous en prsenterons une vue synthtique. Nous
analyserons ensuite le risque auquel sont exposs les actionnaires de lentre-
prise acqureuse lors dune opration de regroupement dentreprises.
La littrature suggre donc que seuls les actionnaires des entreprises cibles
savrent clairement gagnants dans les fusions-acquisitions. Plusieurs hypo-
thses ont t formules pour tenter dexpliquer les performances dcevantes
de lacqureuse. Le dirigeant de lentreprise acheteuse pourrait tre victime
de biais cognitifs (Barabel et Meier, 2002), notamment un penchant sures-
timer sa capacit grer une opration aussi complexe et risque quune
fusion-acquisition : cest lhypothse dorgueil (hubris) faite par Roll (1986).
Il serait galement victime de la maldiction du vainqueur lorsque,
confront une concurrence pour la cible, il accepterait de payer un prix trop
lev pour remporter loffre, compromettant ainsi la rentabilit de lopration
(Dickie et al., 1987). Enfin, dans la perspective de la thorie de lagence (Jen-
sen et Meckling, 1976), on peut noter que les conflits dintrts entre action-
naires et dirigeants sont importants dans un contexte de fusion-acquisition. La
ralisation doprations contraires aux intrts des actionnaires sexpliquerait
alors par lopportunisme des dirigeants (Morck et al., 1990).
Nous nous proposons maintenant de procder une analyse globale du
risque auquel sont exposs les actionnaires de lentreprise acqureuse lors
dune opration de fusion-acquisition. Par souci de concision, nous parle-
rons de risque dacquisition pour dsigner ce risque.
Le risque dagence
Considrons tout dabord le cas o les dirigeants agissent loyalement
lgard des actionnaires. Dans cette hypothse, le risque quencourent ces
206 La contribution de laudit interne au processus de gouvernance de lentreprise
doccurrence.
Dans cette perspective, le risque dagence traduit le risque derreur (d
lincertitude, aux biais informationnels et la limitation des capacits
Fusions-acquisitions : le rle de lauditeur interne 207
Le risque dopportunisme
Les dirigeants, lorsquils ne sont pas les propritaires de lentreprise, ont reu
mandat de grer celle-ci dans lintrt des actionnaires.Toutefois, lorsquils dis-
posent de liquidits abondantes et ont puis toutes les opportunits dinvestis-
sement cratrices de valeur, ils sont incits entreprendre des projets risqus,
par exemple des fusions-acquisitions (Jensen, 1986). Dune part, la rmunra-
tion des dirigeants est fortement corrle la taille de lensemble quils dirigent
(Baker et al., 1988). Il y a l une incitation faire crotre cette taille et les acqui-
sitions constituent un moyen rapide dy parvenir. Dautre part, des motivations
dordre non pcuniaire (pouvoir, notorit) peuvent galement jouer. La tho-
rie de lenracinement (Shleifer et Vishny, 1989) propose un argument
complmentaire : les fusions-acquisitions constitueraient un moyen pour les
dirigeants de senraciner, cest--dire dlever le cot de leur remplacement.
Dans cette perspective, la ralisation doprations de fusion-acquisition sana-
lyse comme une stratgie dlibre de complexification par les dirigeants
de la structure de leur groupe. Les oprations de regroupement dentreprises
constituent donc un terrain naturellement propice la manifestation de com-
portements opportunistes de la part des dirigeants, ce qui renforce le caractre
risqu de ces oprations pour les actionnaires. Nous allons maintenant exami-
ner quel rle lauditeur interne peut jouer pour matriser les risques associs
aux oprations de fusions-acquisitions.
Nous allons passer en revue le rle de lauditeur interne chacune des tapes
du processus en distinguant la contribution quil est susceptible dapporter en
amont de la transaction, puis en aval.
208 La contribution de laudit interne au processus de gouvernance de lentreprise
En pratique
uvre dune due diligence peut se heurter des difficults dobtention des
informations ainsi qu une pression temporelle importante. Dans le
contexte des fusions-acquisitions, on nomme deal breaker un problme
majeur qui vient interrompre la transaction. Au cours de la due diligence, et
notamment de la due diligence financire, lauditeur identifie de nombreux
problmes qui vont se rsoudre par le biais dajustements comptables (dpr-
ciations dactifs, constitution dune provision pour risque, etc.). Seul un pro-
blme majeur est susceptible de constituer un deal breaker. Par ailleurs, il est
clair que le but de lauditeur consiste identifier le maximum de problmes
afin de diminuer le prix dacquisition de la cible.
Lenjeu dune due diligence financire est triple : obtenir une comprhension
des performances passes de la cible, analyser lactivit correspondant
lexercice courant, enfin valuer le potentiel futur de cration de valeur de
lacquisition.
Les principales analyses effectuer pour comprendre la performance histori-
que sont rsumes dans le tableau n 1 ci-aprs.
volution mensuelle
Lanalyse du current trading consiste passer en revue les derniers comptes dis-
ponibles (mensuels, trimestriels ou semestriels) arrts par le management de
la cible et projeter ces comptes par rapport au budget de lanne en cours.
Ceci permet de connatre la tendance en matire dvolution de lactivit, de
la rentabilit et de la situation de trsorerie. En comparant les derniers chif-
fres disponibles au budget, il est galement possible dapprcier la qualit des
prvisions du management de la cible. Enfin, moyennant un examen dtaill
du carnet de commandes, cet exercice permet dajuster si ncessaire les pr-
visions de rsultat en fin dexercice.
Lanalyse de lactivit courante passe galement par un audit des principaux
postes risque du bilan ainsi que par lidentification des principales zones de
risques hors bilan. Les points principaux sont les suivants (tableau n 2).
Tableau n2 - Identification des risques au bilan et hors bilan
par la cible fait lobjet dun examen trs pouss. Il sagit de vrifier la coh-
rence des hypothses fondant les projections dactivit avec la tendance des
donnes historiques. De mme, le caractre raliste des prvisions doit tre
interrog et des analyses de sensibilit conduites. ce stade, il est indispensa-
ble didentifier les risques cls ainsi que les principaux leviers de perfor-
mance inclus dans le business plan.
En pratique
En pratique
POUR CONCLURE
Les oprations de fusions-acquisitions ont vocation enrichir les actionnaires : cest
tout du moins largument invoqu par les dirigeants pour convaincre les investisseurs
de leur bien-fond. Pourtant, que ce soit au cours de la dcennie 1990 ou lpoque
des raids hostiles des annes 1980, bien des dsillusions ont couronn des deals qui
semblaient prometteurs.
Les causes de ces checs sont diverses :
surestimation des synergies ;
sous-estimation des difficults dintgration et des cots associs ;
mauvaise matrise du processus dintgration ;
biais cognitifs divers du dirigeant et de son quipe.
Il sagit l en dfinitive des risques classiques qui sattachent toute prise de dcision
dinvestissement en situation dincertitude. tous ces risques, il faut cependant
ajouter celui dopportunisme du dirigeant. En effet, les fusions-acquisitions
constituent, nous lavons vu, un contexte favorable aux conflits dintrts entre
dirigeants et actionnaires.
Groupe Eyrolles
Groupe Eyrolles
Partie III
La mise en uvre
daudits spcifiques
en environnement international
Chapitre 9
ET VALRIE BERCHE,
Directrice de laudit Groupe la Franaise des Jeux
De plus, il nexiste pas au sein dun groupe deux filiales prsentant les mmes
caractristiques ni le mme degr dautonomie. Chacune ncessite donc une
approche adapte sa situation spcifique.
Les raisons justifiant ces diffrences sont diverses et lhistoire apporte souvent
des explications pertinentes. Ainsi, la socit filiale peut avoir t cre dans
un but bien prcis, par exemple la reprsentation ou la commercialisation
dun produit. Mais elle peut aussi prsenter des caractristiques plus gnra-
les. Juridiquement, elle appartient en totalit, avec ou sans effet levier, direc-
tement la maison mre ou indirectement si cest une autre filiale qui en est
propritaire. De mme peut-elle tre cre en association avec dautres par-
tenaires dans un but particulier. Enfin, elle peut avoir fait lobjet dun rachat,
avec les anciens propritaires prsents ou non dans le capital. Lensemble des
spcificits des filiales requiert pour lauditeur la ncessit de dfinir des
modalits dapproche diffrentes.
Dans le mme ordre dides, les modalits de gestion entre filiales peuvent
tre fort dissemblables, de mme que les objectifs qui leur sont assigns, sui-
vant que la filiale se prsente comme un centre de profit indpendant ou
quelle est intgre au modle conomique du groupe. L encore, les parti-
cularits ncessitent la mise en place dun questionnement particulier de la
part de lauditeur.
En rsum, au regard de la fraude, les recherches mener en filiale ne sont
gure diffrentes en termes de mthodologie de celles qui peuvent tre dve-
loppes au sein de la maison mre, mais elles doivent systmatiquement faire
lobjet dune adaptation qui peut savrer lourde.
Les conseils dEnron ont largement utilis ces structures dans le but de dga-
ger les crances injustifies de leurs comptes. Le montage labor tait alors
le suivant.
Laudit des fraudes dans les filiales 227
En pratique
Une structure de ce type est cre, avec sa tte un responsable des ban-
ques engages auprs dEnron ou un manager de niveau moyen de cette
dernire. Puis Enron cautionne un prt consenti par ces mmes banques
ces Special Purpose Entities . Lachat par ces socits des crances
injustifies libre Enron des pertes correspondantes et gnre mcanique-
ment un produit. Celui-ci est fictif, mais une fois la caution camoufle ,
la situation de trsorerie est amliore. Sur ces oprations, les analystes
financiers peu perspicaces identifient une situation intressante et propo-
sent laction lachat, ce qui augmente la valeur boursire.
ts de facturation.
On constate donc que les oprations dcrites ci-avant consistent essentielle-
ment trafiquer les valeurs dchange. Ce type de manipulation est com-
Laudit des fraudes dans les filiales 229
En pratique
Lun des cas relativement utilis est celui du double paiement dun
fournisseur : une facture dj rgle est rinjecte dans le circuit, mais avec
une adresse bancaire diffrente.
232 La mise en uvre daudits spcifiques en environnement international
En pratique
Une sparation des tches existe-t-elle entre les trois moments forts de
lachat (commande, rception/validation et paiement) ?
Existe-t-il une liste des forages du systme de gestion (tous les forages)
et est-elle utilise des fins de contrle ?
Les lments relevant de la trsorerie font-ils lobjet dun encadrement
pertinent ?
Une analyse de lexistence et de lexplication de doublons est-elle
effectue ?
Une analyse est-elle effectue systmatiquement entre les budgets et la
ralisation dfinitive des oprations ?
Ces analyses sont-elles corrles avec les problmes relevs dans la ges-
tion des stocks ?
ment constitues flux renvers. Les fraudes relatives aux achats augmentent
les sorties de manire illgitime alors que les fraudes relatives aux ventes
diminuent les produits.
234 La mise en uvre daudits spcifiques en environnement international
La cration dun client fictif est une vielle histoire Elle permet de faire
bnficier indirectement celui qui la met en place de bonus ou de commis-
sions plus importantes. En effet, la vente qui lui est affecte est comptabilise
comme une vente relle. En ce sens, elle rentre dans le calcul du bonus. En
revanche, lorsque le paiement nest pas effectu, qui va payer ? Les avoirs ne
diminuent pas les sommes dj obtenues pour les fraudeurs.
Il est aussi intressant de crer des clients fictifs, qui jouent le rle dcran
lorsque le fraudeur dsire dtourner des produits. Le client ne paye pas et
lorganisateur peut vendre les produits pour son propre compte. La grande
criminalit utilise largement ce systme pour agresser les entreprises et les
dpouiller de la valeur facture.
Les montages effectus autour des facturations sont lgion et affectent le ser-
vice commercial. Il sagit de vendre moins cher des produits une socit
lie, ce qui se matrialise par un manque gagner. On lidentifie en gnral
partir du calcul de la moyenne des remises. Cest alors le client avantag qui
bnficie des sommes au dtriment de la socit qui a vendu. Les sommes
peuvent tre partages entre les complices. Cette pratique est utilise fr-
quemment lorsque les socits sont proches de la liquidation. Ce montage
souvent coupl avec celui mettant en uvre un client fictif permet dextraire
de la socit des produits qui seront ngocis au noir.
Les manipulations de facturation ou despces constituent le moyen le plus
frquent pour dtourner des sommes. Il sagit de manipulations qui consis-
tent crmer les comptes clients, cest--dire que le fraudeur va dtourner
une partie des espces qui devraient tre comptabilises au compte client ou
mettre des factures avec des acomptes, encaisser ceux-ci titre personnel et
crer une nouvelle facture sans indiquer leur existence. Ceci ne peut cepen-
dant pas tre effectu avec tous les clients et ncessite, pour en bnficier,
une bonne connaissance du fichier client.
On remarquera que lanalyse des fraudes partir des comptes clients est simi-
laire celle effectue partir des comptes fournisseurs. La seule diffrence
tient la nature des flux qui est inverse. Le questionnement pouvant tre
dvelopp sera le suivant.
Au regard de la slection des clients pour les filiales importantes :
existe-t-il une procdure dagrment des clients encadre par des plan-
Groupe Eyrolles
a-t-on mis en place une extraction systmatique des clients intrus (non
inclus dans les listes) et une analyse des chiffres daffaires raliss et des
modalits de rglement ?
a-t-on mis en place une remonte systmatique des modifications des
fichiers clients, en particulier celles qui concernent les identifiants
bancaires ?
a-t-on corrl les retours de fabrication, les avoirs, les problmes divers
relatifs aux produits avec les clients concerns et les commerciaux ?
dispose-t-on dune analyse portant sur les chiffres daffaires, les modalits
de paiement, les dates de cration et la crdibilit conomique des clients
concerns ?
est-il possible de corrler ces analyses avec un responsable local ?
Au regard de la mise en place des processus :
une sparation des tches existe-t-elle entre les trois moments forts de la
vente (commande, rception/validation des taux, sortie de stock et
paiement) ?
existe-t-il une liste des forages du systme de gestion (tous les forages)
et est-elle utilise des fins de contrle ?
les lments relevant de la trsorerie font-ils lobjet dun encadrement
pertinent ?
une analyse de lexistence et de lexplication de doublons est-elle
effectue ?
une analyse est-elle effectue systmatiquement entre les budgets et la
ralisation dfinitive des oprations ?
ces analyses sont-elles corrles avec les problmes relevs dans la gestion
des stocks ?
en trois catgories.
La premire catgorie regroupe les faux salaris ou les salaris fantmes. Il
sagit de salaris ajouts sur les fichiers de salaires et qui nont pas dexistence
236 La mise en uvre daudits spcifiques en environnement international
si ce nest celle de gnrer de vrais paiements pour le fraudeur. Ces faux sala-
ris peuvent tre intgrs dans le systme comptable, mais il arrive souvent
que le montage consiste continuer payer un salari qui a quitt la struc-
ture. Lorsquil existe des cas de sous-traitance sur plusieurs sites non contr-
ls, il arrive que les mmes salaris soient facturs plusieurs fois. Le fait que,
dans de nombreux pays, les paiements soient effectus en espces, rend plus
difficile le contrle.
La seconde catgorie de montages concerne des modifications de taux ou
une augmentation des salaires au profit de certaines personnes. Dans ce cas,
les amitis, les prfrences, sont souvent largement rmunres.
Le dernier cas est celui des remboursements de frais qui peut se dcliner de
diverses manires, suivant laccs dont dispose le fraudeur au systme infor-
matis. Ces remboursements peuvent tre totalement faux, mais il est aussi
possible de les comptabiliser plusieurs fois. On suit en cela le systme classi-
que des manipulations frauduleuses.
Le questionnement pos peut tre le suivant.
Le processus de trsorerie
Dans ce processus, on relve des possibilits de dtournement considrables.
Il sagit dans la plupart des cas derreurs ou de manipulations autour de la
caisse ou de la gestion des comptes bancaires et des titres de paiement.
Les techniques de fraudes relatives aux dpts et aux recettes en espces sont
utilisables si les fonctions ne sont pas spares et si les rapprochements ban-
caires et relatifs aux stocks sont approximatifs. On relve ici quelques prati-
ques trs connues.
En pratique
oprations relles.
Enfin, cela recouvre toutes les oprations pouvant tre ralises partir de
formules bancaires dtournes.
238 La mise en uvre daudits spcifiques en environnement international
En pratique
En pratique
POUR CONCLURE
Ces quelques lignes constituent un guide qui ne correspond en aucun cas un code
de pratiques exclusives. Il doit permettre tout auditeur de se poser les questions
pertinentes au regard de la recherche des fraudes dans les conditions normales
dune gestion de filiales. Cest un simple outil dont la plus grande difficult
dapplication rside dans la capacit dadaptation de lauditeur aux normes et la
lgislation locale.
Groupe Eyrolles
Chapitre 10
dans lentit de nombreuses manires : via les postes de travail, les impriman-
tes en rseau, par dcouplage1.
Ce chapitre sorganise en deux parties. Dans un premier temps, il sagira de
mettre en vidence les enjeux, les objectifs et lunivers de la fraude sur les
systmes dinformation. Puis nous nous attarderons sur la dtection et la pr-
vention de la fraude sur les systmes dinformation.
1. Cble plac prs de lun des cbles rcuprant les informations, qui permet de les
retourner modifies dans le systme dinformation.
Laudit des fraudes sur les systmes dinformation 245
Dmatrialisation
des oprations
les ERP1, ainsi que la rduction des dlais souvent impose aux dirigeants ou
responsables de la matrise dactivit, font que lon supprime des points de
contrle interne (informatique), bien souvent basiques. Ces contrles int-
grs aux applications sont appels contrles programms ou automatiss, ou
encore informatiss. On omet mme de procder des balances carres lors
de la sortie dtats (en comptabilit auxiliaire par exemple).
Il nexiste pas dinventaire de contrles programms par applications, logi-
ciels, progiciels et autres ERP et lorsque lon en parle, les interlocuteurs sont
parfois surpris. Et pourtant, on les listait bien lorsquil sagissait des contrles
internes classiques. Par ailleurs, les contrles, lorsquils existent, ne sont pas
documents dans les programmes et lauditeur est dans lobligation de les
rechercher un par un.
toile, Ethernet) connects les uns aux autres avec de multiples portes
dentre ou de sortie vers lextrieur, protocoles diffrents utiliss, firewalls
physiques et/ou logiques mal configurs, captures de trames non ralises et
surtout non analyses, etc.
Mme les trs grandes entreprises narrivent pas se protger suffisamment,
dans le cas dintrusions internes, mais aussi externes, ce qui fait le bonheur
des socits de conseils qui sont payes pour dtecter des failles.
Les donnes arrivent de lextrieur et elles sont traites par un systme et
renvoyes vers un autre. Peut-on dsormais suivre rellement notre chre
piste daudit ?
Les tentatives dintrusion ralises par des socits spcialises sont effectues
depuis des laboratoires externes avec soin. Cependant, les entreprises rechi-
gnent procder aux mmes oprations en interne (sous prtexte de scu-
rit), ce qui laisse des portes internes ouvertes (malveillance, fraudes,
collusion, etc.).
La bonne volont des responsables de systmes dinformation est vidente,
mais comment procder pour rpondre aux vux des auditeurs alors que les
concepteurs des applications (et leurs propritaires) nont pas dfini la piste
daudit ds la conception et tout au long des diffrentes phases de dveloppe-
ment jusqu la livraison et la mise en production, comme cela devrait tre
systmatiquement le cas ?
En pratique
La dmatrialisation des oprations sur les notes de frais peut entraner des
drives importantes. Un directeur gnral possdant une carte bancaire
avait lhabitude de se faire rembourser ses frais via lapplication (absence
de sparation de fonctions) et sa carte bancaire (en direct). Sans croise-
ment des informations (opration carte bancaire en comptabilit et opra-
tion par le biais de lapplication note de frais), il est difficile de dtecter ce
type de fraude.
lments de dfinitions
Par fraude, nous entendons toutes les irrgularits et tous les actes illgaux
commis avec lintention de tromper. Elles peuvent tre commises pour le
bnfice de lorganisation ou son dtriment, tant par les employs de
lorganisation que par des personnes extrieures (norme IIA 1 210-A2-1).
Cette dfinition est suffisamment large pour englober les relations interna-
tionales et permettre ainsi des poursuites largies. Elle peut sappliquer la
fraude sur les systmes dinformation, puisque les irrgularits pourraient
par exemple concerner la perte dintgrit dinformations ou impacter les
aspects confidentialit des transactions opres.
Existe-t-il une dfinition particulire et lgale de la fraude sur les systmes
dinformation ? En voici une approche implicite dans la loi dite Godfrain
(1988), laquelle a fait lobjet damnagements depuis. Selon celle-ci, il sagit
de lutilisation non autorise des ressources du systme dinformation,
conduisant un prjudice valuable de faon montaire pour la victime,
essentiellement par le dtournement de biens (fonds, services matriels ou
immatriels, informations) au profit du criminel.
Il convient de noter ici quil existe une vritable confusion entre matrise
dactivit informatique et matrise des systmes dinformation. En effet, la
premire ncessite des connaissances informatiques approfondies, alors que
la seconde est la porte des auditeurs internes non-informaticiens.
Ds lors, laudit des systmes dinformation ax sur la fraude sera plus simple
envisager que laudit informatique.
Laudit technique dune application (lorsquune fraude est envisage) ne peut
Groupe Eyrolles
tre effectu que par un spcialiste, car dans bien des cas, il sera ncessaire de
connatre le langage utilis, ainsi que les techniques de dveloppement
employes.
248 La mise en uvre daudits spcifiques en environnement international
Les enjeux
Les enjeux de laudit de la fraude sur les systmes dinformation sont multi-
ples. Ce dernier permet de sassurer que lentreprise dispose dun systme
dinformation complet, protg de faon efficiente (sans trous ou possibilits
dintrusions facilites, etc.). Il veille ce que soit garantie une excellente
communication entre les systmes de faon viter toute rupture ou altra-
tion de la chane de communication.
Ainsi, la capacit de lentreprise supporter tout changement se trouve opti-
mise. Sa crdibilit, lorsquelle est amene mener des oprations de
rachats (absorptions) ou de fusions, ou bien lorsquelle est, elle-mme,
reprise, est conforte. Le risque pnal pour lentreprise et pour ses dirigeants,
qui nont pas mis en place les protections indispensables, est vit. Sa survie
est assure aprs un dtournement de fonds : problmes lis aux montants
dtourns, mais galement la publicit ngative que cela peut engendrer.
Souvent, la tche la plus difficile accomplir est de convaincre les diffrents
responsables des diffrentes activits du risque de fraudes et surtout de les sen-
sibiliser ce type de risques. Il convient galement dattirer lattention de sa
propre quipe daudit sur les risques de fraudes en partant de la cartographie
des risques. Les entreprises restent souvent frileuses et ne souhaitent encore ni
communiquer, ni incorporer dans leur plan daudit les aspects fraudes.
Les objectifs
Groupe Eyrolles
1. Cette commission est charge de veiller au respect des droits des personnes (informa-
tions personnelles).
250 La mise en uvre daudits spcifiques en environnement international
Oprations
Stratgie
Financement
Laudit des fraudes sur les systmes dinformation 251
252 La mise en uvre daudits spcifiques en environnement international
Application 1 Application 2
Flux de Flux de
donnes Systme d'information donnes
en entre en sortie
Application 3 Application 4
Les points daccroche ou danalyse essentiels pour lauditeur sont alors les
suivants :
les inventaires de toute nature (physiques, contrats informatiques,
conventions inter entits, comptes bancaires, etc.) ;
les oprations financires de toute nature et les ratios ou benchmarks
associs ;
les donnes (extractions a priori ou a posteriori) significatives pour lentre-
prise ou le groupe : par exemple, extraction des lments spcifiques la
corruption dans un fichier fournisseurs partir dun logiciel ddi,
cadeau(x) ristournes rabais , doublons ou triplons de montants,
rupture de squencement des chques mis ;
les donnes paramtres et les fichiers rfrence exemples de donnes
paramtres pour la paie : le plafond Scurit sociale, les diffrents taux de
prlvements ;
les incidents informatiques1 en production (lanalyse seffectue partir de
six questions que doit se poser lauditeur : pourquoi ? qui ? quand ? o ?
quoi ? comment ?) ;
Groupe Eyrolles
1. Il sagit de tout vnement pouvant avoir un impact sur le bon droulement des pro-
cessus informatiss, par exemple, une transaction naboutissant pas ou une application
ne pouvant plus tre utilise.
Laudit des fraudes sur les systmes dinformation 253
La fraude informatise
Celle-ci peut tre physique (dtournements de matriels informatiques, par
exemple), et le plus souvent logique1, cest--dire partir de programmes ou
de modifications de traitements en production (laudit est alors affaire de sp-
cialistes). Linformation est dans ce cas modifie ds son entre dans le
Groupe Eyrolles
1. Fraude sur les mots de passe utiliss frauduleusement, sur les entres dans le systme
dinformation, par intervention directe dans les traitements informatiques, piratage
partir du Web, etc.
254 La mise en uvre daudits spcifiques en environnement international
4. Littralement murs de feux . Il sagit dune protection par logiciel du poste de travail
pour en interdire laccs.
5. Ordinateurs ne comportant que la copie des lments indispensables pour un utili-
sateur externe : ils ne sont pas relis lordinateur principal.
Laudit des fraudes sur les systmes dinformation 255
Comment ragir ?
Doit-on revenir pour autant aux bonnes vieilles mthodes de
communication ? Le retour en arrire est aujourdhui impossible, compte
tenu des dcisions qui doivent tre prises presque instantanment parfois, car
le retard peut entraner la perte dun march.
En pratique
Descriptions/Faits :
Efficacit/Cot
Les diffrents moyens
+ = -
Moyens de dissuasion : +
Les cyberfraudes
Les entreprises de taille moyenne sont encore beaucoup moins sujettes des
Groupe Eyrolles
Le fichier core
Les mots de passe sont stocks sur les postes de travail dans un fichier
dnomm core . Il suffit de rcuprer les mots de passe via un mini-pro-
gramme qui transformera les donnes en clair.
(on peut ainsi dtecter les mots de passe et autres informations circulantes).
La protection ncessite des moyens coteux (murs doubls, systme de
dtection, etc.).
260 La mise en uvre daudits spcifiques en environnement international
Le dcouplage
Lorsque lon branche deux lignes lectriques cte cte sur une prise don-
ne, un effet de dcouplage se produit. Les informations envoyes (sous
forme de diffrents rayons lectriques) par la premire ligne se rpercutent
sur la seconde (en parallle). Les deux lignes ne sont bien sr pas relies
physiquement. On peut donc enregistrer sur lune des deux lignes les infor-
mations qui circulent sur lautre. Linformation peut alors tre pirate. Pour
se protger, il est indispensable de tenir jour un inventaire exhaustif du
cblage et dutiliser des cbles de bonne qualit (blindage, fibre optique, etc.).
Une conomie sur cet aspect peut savrer catastrophique.
Le sniffing1
Un logiciel dnomm sniffer se trouve la base de cette technique. Ce
logiciel est trs utile pour les administrateurs de rseaux (notamment pour
surveiller et dtecter les problmes). Les pirates (hackers, crackers, etc.) se ser-
vent de cet outil pour dtecter et rcuprer les mots de passe.
Lorsque la connexion seffectue sur un rseau, lensemble des donnes se
retrouve sur toutes les cartes rseau des postes de travail intelligents connec-
ts. Les trames que les diffrentes cartes reoivent sont interceptes (y com-
pris celles qui ne concernent pas son propre poste de travail). Ds quun
utilisateur se connecte, son mot de passe est dtect, car il est juste cet ins-
tant en clair.
Pour se protger du sniffing, il convient de limiter la taille des sous-rseaux
internes (avec le wifi2, la protection est beaucoup plus difficile) et de les spa-
rer par des switches3.
Le spoofing4
Le fraudeur ou le pirate se fait passer pour un autre ordinateur en trafiquant
(modifiant) son adresse IP5 (protocole Internet chiffres). Cette technique
1. Littralement : reniflement.
2. Wireless file : sans fil.
3. quipement rseau permettant linterconnexion dquipements informatiques en
rseau local optimisant la bande passante.
Groupe Eyrolles
Le flooding
On envoie un serveur dtermin une multitude paquets IP (voir
rfrence 21 plus bas) de trs grosse taille. Le serveur cible ne peut pas
tous les traiter et finit par se dconnecter du rseau.
Ici, une excellente communication (ping) entre lordinateur pirate et le ser-
veur est ncessaire : les donnes sont envoyes plus vite que la vitesse
laquelle le serveur peut rpondre.
Le TCP-SYN Flooding
Il sagit dune variante du flooding qui sappuie galement sur le protocole
TCP. On envoie un serveur (SYN) dtermin un grand nombre de
connexions partir de plusieurs machines ou encore dun seul ordinateur
qui falsifie son adresse IP (utilisation de la technique dite du spoofing).
Le serveur envoie un trs grand nombre de paquets SYN-ACK et attend en
rponse ACK, qui ne viendra jamais, bien entendu.
Le dbordement de tampon
Cette technique est base sur les failles du protocole IP. Le pirate envoie
lordinateur ou au serveur cible des donnes dune taille trs suprieure la
capacit dun paquet. Le paquet est alors fractionn pour lenvoi et assembl
par lordinateur ou le serveur cible. Ainsi, il y aura dbordement des variables
internes. Lordinateur peut ainsi se bloquer, redmarrer ou encore crire du
code en mmoire. On peut donc modifier directement le code des program-
mes de la machine.
Le cheval de Troie1
Il sagit de programmes engendrant des failles dans les systmes et permettant
lentre des fraudeurs. Lexpression cheval de Troie est emprunte la
Grce antique.
Lors de lcriture ou de la modification dun programme, on introduit des
instructions non apparentes, et accessibles aux seuls initis laide dun fait
dclencheur (code, date, arrt systme). Ces instructions peuvent avoir pour
effet le dclenchement de virements non autoriss, de destructions ou de
modifications frauduleuses de donnes et/ou de programmes.
La dtection est une opration trs proche de celle de la dtection des virus.
Dailleurs, la plupart des antivirus assurent galement la dtection des che-
vaux de Troie. En somme, lennemi est dans la place. Il peut en profiter,
notamment pour frauder.
Il convient ici de procder une analyse dtaille des ports ( port scan ).
Pour transmettre les donnes, ces espions doivent utiliser une connexion
rseau quelconque. Le port scan recherche les donnes dfectueuses sur
une connexion et dtecte ainsi une activit cheval de Troie. Le cheval de
Troie laisse galement une trace dans la base de registre du systme dexploi-
tation. Lorsque lon connat le nom, il suffit daller dans Dmarrer, Excu-
ter et Rechercher le nom , puis on le dtruit. Mais, attention ! La base de
registres est assez dlicate manipuler et on peut perdre des informations
sensibles et capitales. Les chevaux de Troie doivent tre limins ds leur
dcouverte.
1. En anglais :Trojan.
264 La mise en uvre daudits spcifiques en environnement international
savrer trs divers : dlai de x jours ou dheures aprs linstallation, date sp-
cifique, disparition dun compte, inactivit de lordinateur. Une bombe peut
ainsi tre cache dans un conomiseur dcran et ne se lancer quaprs un
temps de veille. La dtection et lradication seffectuent galement partir
dun antivirus qui intgre les diffrents aspects.
Les hoax
Ce sont des canulars ou des messages transmettre en srie envoys par mes-
sagerie. En principe, ils ne sont pas nuisibles pour lordinateur. En revanche,
ils saturent les rseaux compte tenu de leur propagation massive. Ils surchar-
gent galement les botes aux lettres et propagent la dsinformation ou cons-
tituent des supports intressants pour les sectes de toutes sortes. Ils peuvent
galement servir de base un virus, un ver ou des chevaux de Troie ou
une chane de messages. Ils demandent quon les envoie toutes les person-
nes connues et celle qui les reoit peut tre menac de mille foudres en cas de
non-rediffusion.
Avant de faire suivre un tel message, il convient, bien entendu, de sassurer de
son authenticit. Il importe donc de rechercher sur Internet les petits utilitai-
res permettant de sen dbarrasser. Ils sont fort nombreux.
Les backdoors
Il sagit de portes dentre laisses par les hackers, crackers et autres pirates
qui leur permettent de reprendre facilement le contrle dun ordinateur.
Deux possibilits se prsentent : une seule backdoor bien cache ou un
grand nombre, dans lespoir que lune au moins dentre elles ne sera pas
dtecte. Certaines backdoors ajoutent tout simplement un nouveau
compte au serveur avec le mot de passe choisi par le pirate.
Dautres backdoors modifient le firewall pour quil accepte une adresse IP
dfinie (une que le pirate pourra spoofer facilement). On perd ainsi le
contrle total de son ordinateur ou du serveur. Le pirate peut alors rcu-
prer les donnes quil souhaite, voler des mots de passe ou mme dtruire
ou modifier des donnes son profit.
Les backdoors sont assez difficiles dtecter. Il convient de surveiller les ports
ouverts et de se proccuper de tout comportement inhabituel de lordinateur
(lenteur dexcution ou au dmarrage, etc.). vitez de tlcharger nimporte
Groupe Eyrolles
quel programme, car il peut contenir une backdoor voulue ou non par le con-
cepteur/crateur du (ou des) programme(s).
Laudit des fraudes sur les systmes dinformation 265
Lingnierie sociale
Cette technique est utilise pour se faire passer pour quelquun dautre (en
gnral un des administrateurs du serveur que lon veut pirater) et demander
lordinateur des informations personnelles (logins, mots de passe, accs,
numros, tlphones, donnes, etc.) en inventant un quelconque motif
( plantage du rseau, modification de celui-ci). Elle se fait soit au
moyen dune simple communication tlphonique, soit par message. Ling-
nierie sociale (social engineering) ne constitue pas une attaque informatique,
mais plutt une mthode pour obtenir des informations sur un systme ou
des mots de passe. Cette attaque peut tre utilise en matire dintelligence
conomique, despionnage technique ou financier.
Pour viter lingnierie sociale, il ne faut pas communiquer de donnes per-
sonnelles des personnes dont on nest pas sr de lidentit (une adresse
e-mail nest pas un moyen fiable didentifier une personne). De plus, un
administrateur na pas demander un mot de passe ou un login, le premier
tant priv et le second dj connu de celui-ci. Enfin, il convient de ne
jamais communiquer de donnes importantes par e-mail.
Il est enfin conseill de crypter les donnes transmises par messagerie au
moyen dun logiciel de type AX CRYPT, LAN CRYPT, SECURITY
BOX1, etc.
1. Logiciels de cryptage (les donnes de toute nature sont cryptes) : certains retirent les
caractristiques du fichier. Le type de programme utilis pour lancer le fichier ne peut
pas tre dtermin. Exemple : .doc devient 1H2C42.
266 La mise en uvre daudits spcifiques en environnement international
Techniques Explicitations
Faux clavier, fausse faade de distributeur Mise en place de fausses faades de lec-
automatique de billets (DAB), faux distribu- teurs. Cette technique est connue sous le
teur nom de collet marseillais . Elle sest
tendue par la suite aux autres rgions,
ainsi quaux pays voisins. Des systmes de
protection physiques et discrets sont pro-
poss par des entreprises spcialises.
Duplication de la propre carte puce de Greffe dune autre puce sur une carte ban-
lutilisateur caire existante ou sur une fausse carte
bancaire.
Yescard mthode dite Humpich La technique dite Humpich est base sur
une inversion des algorithmes de cryptage.
partir de cela, il est possible de fabriquer
des cartes en les programmant.
Mthode dite de luf dur Elle consiste prendre une carte puce
dont on ne connat pas le code confidentiel
et limmerger brutalement dans de leau
bouillante. Nimporte quel code serait lu
par la carte. Mais cela ne fonctionnerait
pas en permanence et parat un peu
curieux et hasardeux.
Techniques Explicitations
Toutes ces techniques nont quun but : soutirer de largent une personne
physique, une entit ou un groupe dentits.
Le rle des auditeurs dans le domaine de la cyberfraude est relativement
complexe, car la prvention ncessite des connaissances approfondies en
informatique quil convient de mettre jour en permanence. Cependant,
lauditeur doit imprativement se tenir inform des nouveauts dans le
domaine afin de prvenir sa direction des dangers encourus.
Il sera possible alors de faire appel des spcialistes, ou mieux encore dans les
grandes structures internationales de former des auditeurs ce type daudit
complexe.
Groupe Eyrolles
268 La mise en uvre daudits spcifiques en environnement international
POUR CONCLURE
Se protger de la fraude sur les systmes dinformations relve du parcours du
combattant. titre dexemple simple, la fraude peut intervenir via un virus, un ver, un
cheval de Troie et une bombe logique. Pour se protger de ceux-ci, un seul antivirus
ne suffit pas. En effet, dans de nombreux cas, les intrus ne sont pas dtects.
La protection doit senvisager ds la conception des applications lorsquelles sont
uniquement destines un usage interne (via un intranet ou les rseaux classiques),
mais a fortiori lorsquelles vont avoir une connectivit avec lextrieur (Internet,
Extranet). Ceci concerne encore plus les entreprises de taille internationale.
Bien entendu, il convient de disposer dantivirus coupls des pare-feux de qualit
(firewalls), qui doivent tre physiques et logiques.
Lintranet doit tre galement protg, tout comme et a fortiori les changes avec les
fournisseurs, les clients, les instances de tutelle ou autres (extranet).
Il convient dorganiser des niveaux daccs Internet et galement de ne pas laisser
de portes ouvertes (ports dentre surveiller).
La scurit logique1 doit donc tre envisage avec srieux, de mme que la scurit
physique. Il est important de se doter dun comit de scurit et dun ou plusieurs
responsable(s) de la scurit des systmes dinformation.
Groupe Eyrolles
1. Elle concerne notamment les accs aux ordinateurs par code utilisateur et profil associ
(droits) et mots de passe, les aspects scurit des traitements en production, etc.
Chapitre 11
1. www.audit-social.eu
Audit social : fondements, mthodologie et volutions stratgiques 271
Danziger, 1997).
Notons une volution rcente, mais importante dans le comportement des
entreprises vis--vis des donnes sociales. Le dveloppement de la notion de
272 La mise en uvre daudits spcifiques en environnement international
En pratique
Contenu Moyens
Sans dtailler les sept tapes de la planification sociale, laudit social, dans le
cadre de la planification sociale, a pour objectif d aider tous les centres de dci-
274 La mise en uvre daudits spcifiques en environnement international
sions de lentreprise en leur fournissant des analyses objectives, des apprciations, des
recommandations et des commentaires utiles (Couret et Igalens, 1988). La mis-
sion de laudit social prend la forme de lanalyse sociale suivie de proposition
dactions correctives dans le cas dcarts entre les objectifs et les rsultats
effectifs de lentreprise. Lauditeur social se doit galement de faire ressortir
les risques encourus et de les valuer.
Ces quatre types de risques sont analyss lors des audits sociaux. Il existe
essentiellement trois catgories daudit social dont les objectifs divergent en
fonction de leur finalit.
Audit social : fondements, mthodologie et volutions stratgiques 275
En pratique
Le premier niveau
Il repose sur lanalyse des rsultats par rapport aux objectifs de lentreprise.
Lauditeur mesure en fonction des lments prexistants les objectifs de la
structure et leur ralisation. Le dispositif prexistant sappuie le plus souvent
sur les tableaux de bord sociaux, le dveloppement dun contrle de gestion
social et le bilan social. Lauditeur value alors les critres de qualit des indi-
cateurs utiliss par lentreprise. Les principaux critres de qualit sont :
la fidlit de lindicateur ;
sa validit ;
sa sensibilit ;
sa stabilit ;
sa comparabilit.
Groupe Eyrolles
Le deuxime niveau
Il sintresse aux cots dobtention des rsultats. Lauditeur value alors la
capacit des gestionnaires sociaux expliquer lvolution des cots sociaux,
la sparation des cots obligatoires et des cots discrtionnaires, linformati-
sation de la gestion RH (outils et leur usage), les choix dexternalisation et la
mesure des cots cachs relatifs aux dysfonctionnements sociaux de lorgani-
sation (absentisme, accidents du travail, productivit, qualit, turnover, etc.).
Le troisime niveau
Il cherche mesurer la qualit des rsultats. Cela signifie daprs Foucher
(1987), cit par Couret et Igalens (1988), que : Laudit doit sattacher
comprendre le cheminement de linformation au travers des diffrentes
fonctions, sassurer que le flux des informations chemine correctement.
Dans ce cadre lauditeur analyse les flux dinformations (relles et virtuelles)
au sein de lorganisation.
Efficacit cot/avantage ?
Audit d'efficacit Cohrence des procdures et
pratiques ?
Cohrence de stratgie
Audit stratgique sociale avec la stratgie et
les objectifs de l'entreprise ?
Maintenant que nous avons prsent les diffrents types daudits sociaux et
leur rle dans lentreprise, prcisons la mthodologie spcifique laudit
social. Cette tape nous permettra ensuite de mesurer limportance de sa
Groupe Eyrolles
contextualisation et les difficults que cela peut entraner au sein dune mul-
tinationale.
Audit social : fondements, mthodologie et volutions stratgiques 279
Informations et ngociations
La premire tape concerne la recherche dinformations ainsi que les ngo-
ciations pralables la mission. Lauditeur ngocie les termes de la lettre
daudit avec les demandeurs de la mission. Ce document dfinit les objectifs
de la mission ainsi que son primtre daction et les lments de logistique et
de paiement.
Une fois les contours de la mission dfinis, lauditeur sattelle la phase de
recueil dinformations particulirement importantes. Un auditeur junior se
doit de soigner cette phase pour simprgner de lexprience de ses pairs.
Le recueil dinformations sarticule autour de plusieurs objectifs compl-
mentaires. Il sagit dabord de prendre connaissance de lentreprise en tu-
diant son histoire, ses chiffres cls et les rapports daudit raliss
prcdemment. Le deuxime objectif vise construire le rfrentiel sectoriel
de lentreprise. Pour cela, une tude approfondie du secteur doit tre effec-
tue afin dlaborer un rfrentiel pouvant servir de cadre et de rfrent tout
au long de la mission. Cette tape de recueil dinformation est dautant plus
stratgique quun rfrentiel incomplet peut faire manquer lauditeur une
problmatique importante.
Enfin, le troisime objectif de cette tape de recueil dinformations consiste
en un premier test de la relation avec les diffrentes parties prenantes de
Groupe Eyrolles
lorganisation.
Concrtement, ces trois objectifs prennent la forme de recueils et danalyses
de documents et dinterviews avec des reprsentants des parties prenantes
280 La mise en uvre daudits spcifiques en environnement international
En pratique
Analyse de contenu
Une fois les entretiens raliss, lauditeur social effectue une analyse de
contenu des retranscriptions des entretiens. Laudit slectionne les thmati-
ques importantes ainsi que les sous-thmes rcurrents lors des interviews.
Cette construction de larborescence des thmes et des sous-thmes repr-
sente une tape cl de laudit social.
lissue de cette premire analyse, laudit peut choisir de valider ces hypo-
thses dexplication par ladministration dun questionnaire diffus
lensemble de la population tudie. Ainsi, les pistes de rflexion provenant
de lanalyse de contenu peuvent tre valides ou invalides. Le choix de
loutil danalyse des rsultats statistiques est dterminant et peut orienter les
rsultats. Cest pourquoi il est fondamental de choisir son appareillage statis-
tique a priori.
En pratique
cadres lgaux des pays dans lesquels il intervient. Le rfrentiel subit donc
une contextualisation spatio-temporelle, puisquil varie dun pays lautre et
dans le temps.
284 La mise en uvre daudits spcifiques en environnement international
En pratique
comprend les fournisseurs, les clients, les actionnaires, les employs, les communauts,
les groupes politiques, les autorits politiques (nationales et territoriales) ; les mdias,
etc.
286 La mise en uvre daudits spcifiques en environnement international
1. www.vigeo.com/csr-rating-agency/fr/methodologie/critresderecherche/37-criteres-
danalyse.html
Audit social : fondements, mthodologie et volutions stratgiques 287
Pour cela, le cabinet se rfre aux textes de lois fondateurs tels que les dcla-
rations de lONU et de lUE. Ces indicateurs se retrouvent dans la dmarche
daudit social qui intgre alors de plus en plus un volet daudit de RSE. Si
Egg (2005) considre que laudit de RSE balbutie encore , il semble toutefois
que son dveloppement reprsente une tendance importante et quil replace
alors laudit social au cur des proccupations stratgiques. Laudit social
devient un moyen de communiquer avec les parties prenantes et un lien
nouveau avec celles-ci.
Pour aller plus loin,Vatteville et Joras (2000) considrent quun modle uni-
versel de gestion est en train de voir le jour via le dveloppement des normes
internationales (ISO 9 001 et ISO 14 000 notamment). Prsentes dans de
nombreuses multinationales, quel que soit le pays, ces normes participent
une harmonisation des modes de gestion et des standards. Laudit social
reprsente une des dimensions de ces normes, comme le montre le
schma n 3.
Audit financier
RESSOURCES FINANCIRES
Bilan comptable
Responsabilit financire
DVELOPPEMENT DURABLE
POUR CONCLURE
En conclusion, aprs avoir prsent les fondements de laudit social, sa mthodologie
et ses spcificits en contexte international, nous avons cherch montrer les dfis de
laudit social aujourdhui. Il semble quil se trouve un tournant important de son
volution.
De plus, lintgration de laudit de la RSE laudit social reprsente avant toute
chose une opportunit qui permettra de replacer laudit social un niveau
stratgique. Notons que cette volution est particulirement rcente et ne nous permet
quune faible prise de recul par rapport ces nouvelles notions.
Groupe Eyrolles
Laudit stratgique :
positionnement, dmarche et risques
PAR PATRICIA COUTELLE-BRILLET,
Matre de Confrences lInstitut dAdministration des
Entreprises (IAE) de lUniversit Franois-Rabelais
de Tours
audit stratgique est associ lune des sciences de gestion les plus dif-
L ficiles apprhender en entreprise. Conu comme une confrontation
de lensemble des politiques et stratgies de lentreprise avec le milieu dans
lequel elles se situent pour en vrifier la cohrence globale, il peut transfor-
mer de manire durable lorganisation par les prconisations pouvant tre
suggres. Cest pourquoi il se rvle trs dlicat raliser et demande une
grande connaissance et exprience de lentreprise.
En thorie, lauditeur doit jouer un rle dans lapprciation de la perfor-
mance. Il doit sassurer quune norme de performance est prsente dans
lentreprise. En pratique, il permet de clarifier de manire prcise le rle
dapprentissage et de transformation dune entreprise dans un environne-
ment en perptuel mouvement. Ces notions sont mises en exergue de
manire encore plus cruciale dans un contexte international o les condi-
tions socioculturelles sont diffrentes. Laudit stratgique peut aisment
sappliquer toutes les entreprises, car il doit tre mis en place de manire
indiffrencie dans la maison mre, les filiales, les Strategic Business Units
(SBU), les dpartements et le capital humain : il sapplique lentreprise dans
sa globalit.
Ce chapitre vise prsenter, dans un premier temps, les principales volu-
tions de la stratgie afin de prciser son positionnement et ses rles dans
lentreprise ; dans un deuxime temps, prciser la dmarche et les principes
ncessaires ltablissement dun audit stratgique ; enfin dans un troisime
Groupe Eyrolles
temps, dtailler les risques lis la ralisation de laudit, afin de conclure sur
la ncessaire mise en place dune vision partage.
290 La mise en uvre daudits spcifiques en environnement international
Dans les annes 1970, des outils synthtiques ont t proposs afin de confron-
ter conjointement les opportunits et les menaces ainsi que les forces et les
faiblesses. Ces dispositifs intgrateurs constituent des matrices danalyse
Laudit stratgique : positionnement, dmarche et risques 291
La planification stratgique
En dcembre 2005, lExpansion Management Review publiait les rsultats de
lenqute mondiale du cabinet de conseil amricain Bain & Co sur les outils
de management les plus utiliss par les entreprises dans lobjectif dune am-
lioration de leur rsultat net. En tte de ces outils, la planification stratgique
est utilise par 79 % des entreprises et donne le premier taux de satisfaction.
Cet outil, qui concide gnralement avec une vision de long terme de
lentreprise, est aujourdhui plbiscit par les chefs dentreprise comme un
instrument indispensable de pilotage de la performance.
La planification stratgique reprend les principales volutions de la stratgie,
savoir la vision descriptive de lcole de Harvard, lanalyse matricielle,
lanalyse concurrentielle et lapproche par les ressources rares. En effet,
quatre grands lments sont pris en considration pour tablir cette
planification : dfinition des objectifs, dfinition des mtiers (ressources
rares), analyse de lenvironnement (cole de Harvard, Porter) et analyse des
potentiels existants (matrices) comme le montre le schma ci-aprs.
La dfinition des objectifs court terme, mais surtout moyen et long terme
constitue une tape incontournable de la planification. Elle permet de dfi-
nir une ligne directrice pour lentreprise et dorienter celle-ci vers une vision
commune. La dfinition des mtiers engendre une rflexion sur les ressour-
ces dont dispose lentreprise. Quels sont les lments principaux qui peuvent
lui permettre de sengager dans tel secteur ou lobligent se dsengager de tel
autre ? Lanalyse de lenvironnement met en exergue la position de lentre-
prise par rapport aux diffrentes parties prenantes :
le macro-environnement (politique, conomique, socioculturel, techno-
logique, environnemental, lgal) ;
le micro-environnement avec les concurrents, les fournisseurs et les
clients.
Enfin, lanalyse des potentiels existants permet de dterminer les facteurs de
comptitivit sur lesquels lentreprise pourra sappuyer pour mettre en place
ses stratgies.
La planification reprsente un instrument minemment stratgique. Elle
permet de dcrire le systme de valeurs associ lentreprise et mobilise
lensemble des salaris vers une vision commune. Le plan permet de coor-
Groupe Eyrolles
donner pour faciliter lchange entre les diffrentes fonctions prsentes dans
lentreprise. Cest galement un facilitateur du pilotage de lentreprise,
puisquil entrane la mise en place des indicateurs permettant le suivi des
Laudit stratgique : positionnement, dmarche et risques 293
Autres DAS
DAS exploits
possibles
Segmentation
stratgique
valuation volution
du portefeuille des DAS
Rflexion
stratgique
Choix d'un
portefeuille de DAS
Corporate
strategy
Segmentation
des DAS
Business
strategies Choix d'une
stratgie par DAS
valuation du plan
stratgique
Planification
Dfinition des stratgique
objectifs du plan
stratgique
Cohrence
finalit/stratgie
Stratgie
choisie
Le recueil dinformations
Cette premire tape est cruciale dans la mise en place dun audit stratgique
(Besson et Possin, 2002). Deux lments importants la composent : le recen-
sement des interlocuteurs et la recherche de toutes les sources dinformation
ncessaires laudit.
Le principal interlocuteur de laudit stratgique est souvent le directeur de
lentreprise ou un membre de la direction gnrale. Cest lui qui fournira
lauditeur les cls de la recherche dinformation dans lentreprise. Il est aussi
le pilote essentiel de la stratgie et, ce titre, il est important de prendre en
compte sa vision et ses rflexions qui permettront dvaluer la pertinence et
ladquation de la stratgie en cours. Cest aussi le directeur qui donnera
lauditeur les sources dinformation ncessaires ltablissement de son audit.
Dautres personnes sont alors susceptibles dtre interroges : les directeurs
des principales fonctions (marketing, finances, ressources humaines, produc-
tion, recherche, etc.), les responsables du ple dinformation et du ple
dtudes et peut-tre aussi des sources externes lentreprise (fournisseurs,
sous-traitants, clients).
Les informations que doit rassembler lauditeur sont externes et internes afin
de pouvoir effectuer un diagnostic complet de lentreprise. Ainsi, le diagnos-
tic externe concerne lenvironnement :
macro-environnement : environnement politique (stabilit/instabilit),
conomique (indicateurs), sociologique (tendances dmographiques et
de comportement), technologique (progrs technique), cologique
(dveloppement durable), lgal (aspects juridiques) ;
micro-environnement : demande (quantitative et qualitative), offre
(quantitative et qualitative), structure concurrentielle (place et image des
principaux concurrents).
Quant au diagnostic interne, il vise la fonction stratgie et les principaux l-
ments facilitant sa ralisation :
la stratgie : les grandes options stratgiques (spcialisation, diversifica-
tion, intgration, innovation) ; analyse du portefeuille dactivits de
lentreprise ;
les modes dorganisation (structure simple/matricielle ; mode de gestion
Groupe Eyrolles
hirarchique/partag) ;
les procdures (systme de planification, systme de contrle) ;
la productivit (analyse de rentabilit).
Laudit stratgique : positionnement, dmarche et risques 297
En pratique
Une entreprise connat une performance moyenne, mais possde des com-
ptences pouvant tre largies dautres secteurs dactivits. Laudit peut
suggrer une diversification. Lestimation des consquences (financires,
humaines, matrielles, dimage) lies cette problmatique va permettre
de hirarchiser les principaux facteurs lis cette problmatique et denvi-
sager les secteurs dactivits prioritaires qui conviendraient pour amliorer
la performance de lentreprise.
que avec les rsultats et les moyens de lentreprise. Lauditeur peut alors
dterminer si lobjectif stratgique propos est ralisable grce lanalyse des
facteurs de contingence.
Laudit stratgique : positionnement, dmarche et risques 299
Taux de croissance
Performance conomique Part de march
Implantation internationale
Niveau de rmunration
Formations proposes
Performance sociale
Taux de turnover
Indice de satisfaction
que et comprise par toutes les SBU. Cest l le deuxime principe essentiel
de mise en place dun audit stratgique.
300 La mise en uvre daudits spcifiques en environnement international
La conscience du management
Il importe dapprcier le rle intrinsque de lorganisation dans lamliora-
tion de la performance. Beaucoup de dirigeants ont hrit du modle de leur
organisation et ne disposent ni du temps ni des ressources ncessaires pour
apprcier quel point il est fonctionnel. Sils se heurtent limpossibilit de
raliser leurs objectifs, il est exceptionnel quils recherchent dans lorganisa-
tion les interactions, les arrangements et les motivations qui sont la source de
la non-application de la stratgie.
La taille et la complexit
Groupe Eyrolles
POUR CONCLURE
Laudit stratgique reprsente un outil puissant, car il permet lentreprise de se
donner les conditions dune bonne sant long terme. Il doit nanmoins prendre en
considration lvolution de la stratgie, qui est passe dun dterminisme trs
analytique une complexit pousse en termes de processus.
Lauditeur, dans sa dmarche danalyse, doit respecter certains principes : sassurer
dune performance ralisable et multiple et de lalignement de la stratgie avec
lorganisation, les SBU et le capital humain.
Nanmoins, des risques persistent, lis la nature des indicateurs et la
communication de laudit envers ses partenaires. Lentreprise, pour conditionner sa
russite, doit donc mettre en place une vision partage.
Groupe Eyrolles
Conclusion gnrale
Groupe Eyrolles
Bibliographie gnrale
Adams, M.B., Agency Theory and the Internal Audit , Managerial Auditing Journal, 1994,
vol. 9, n 8, pp. 8-12.
Agrawal, A., Jaffe, J., Mandelker, G., The Post-Merger Performance of Acquiring Firms :
A Re-examination of an Anomaly , Journal of Finance, 1992, vol. 47, pp. 1605-1621.
Albouy, M., qui profitent les fusions-acquisitions ? Le regard du financier , Revue Fran-
aise de Gestion, 2000, n 131, pp. 70-84.
Albrecht, W.S., Howe, K.R., Schueler, D.R., Stocks, K.D., Evaluating the Effectiveness of Inter-
nal Audit Departments, Altamonte Springs, Florida : the Institute of Internal Auditors, 1988.
Al-Twaijry, A.A.M., Brierley, J.A., Gwilliam, D.R., The Development of Internal Audit in
Saudi Arabia : an Institutional Theory Perspective , Critical Perspectives on Accounting, 2003,
vol. 14, pp. 507-531.
Asare, S.K., Davidson, R.A., Gramling, A.A., The Effect of Management Incentives and
Audit Committee Quality on Internal Auditors Planning Assessments and Decisions,
avril 2003, working paper, www.ssrn.com
Autissier, D., Nature des changements produits par une mission daudit interne , Compta-
bilit-Contrle-Audit, 2001, pp. 87-103.
Baker, G., Jensen, M., Murphy, K., Compensation and Incentives : Practice vs. Theory ,
The Journal of Finance, 1988, vol. 43, n 3, pp. 593-616.
Barabel, M., Meier, O., Biais cognitifs du dirigeant, consquences et facteurs de renforce-
ment lors de fusions-acquisitions : synthse et illustrations , Finance-Contrle-Stratgie, 2002,
vol. 5, n 1, pp. 5-42.
Batsch, L., Le recentrage : une revue des approches financires , Finance-Contrle-Stratgie,
2003, vol. 6, n 2, pp. 43-65.
Bcour, J.-C., Bouquin, H., Audit oprationnel, conomica, 1991.
Bcour, J.-C., et Bouquin, H., Audit oprationnel - Efficacit, Efficience ou scurit, conomica,
2e d., 1996.
Bennett, J.W., Hedlund, S.B., Kocourek, P.K. et Persteiner, T.E., Organisation et
stratgie : le paradoxe de lalignement, LExpansion Management Review, mars 2001, pp. 6-
14.
Berle, A., Means, G., The Modern Corporation and Private Property, McMillan, New York,
1932.
Berry, J., Acculturation as Varieties of Adaptation in Acculturation Theory, Models and
Some New Findings, A. Padilla,Westview Press, Boulder, Colorado, 1980.
Bertin, E., Jaussaud, J., Kanie, A., Audit lgal et gouvernance dentreprise : une comparai-
Groupe Eyrolles
son France/Japon , Comptabilit, Contrle, Audit, numro spcial international, mai 2002.
Besson, B., et Possin, J.-C., Laudit de lintelligence stratgique, Dunod, 2e d., 2002.
Blair, M., Ownership and Control : Rethinking Corporate Governance for the Twenty-First Century,
Washington : Brookings, 1995.
308 Audit interne
Bouquin, H., Audit ; contrle Encyclopdie de gestion, conomica, 1997, pp. 200-
218 ; pp. 667-686, sous la direction de Simon,Y. et Joffre, P.
Bouquin, H., Audit, Encyclopdie de Gestion, sous la direction de Simon, Y. et Joffre, P., co-
nomica, 2000, pp. 200-218.
Bouquin, H., Le contrle de gestion, PUF, 2001.
Braiotta, L., The Audit Committee Handbook, (3rd Edition), New York : John Wiley and Sons
Inc., 1999.
Brody, R.G., Lowe, D.J., The New Role of the Internal Auditor : Implications for Internal
Auditor Objectivity , International Journal of Auditing, 2000, vol. 4, pp. 169-176.
Broussal, D. Le whistleblowing la franaise : les prcautions prendre , Le Journal du Net
(www.journaldunet.com), 2005.
Buono, A., Bowditch, J., The Human Side of Mergers and Acquisitions : Managing Collisions
Between People, Cultures and Organizations, Jossey-Bass Publishers, San Francisco, 1989.
Caby, J., Hirigoyen, G., Cration de Valeur et Gouvernance de lEntreprise, 3e d., conomica,
2005.
Candau, P., Audit social,Vuibert, 1985.
Canto-Sperber, M., et Ogien, R., La philosophie morale, coll. Que Sais-Je ? , PUF, 2004.
Carcello, J.V., Hermanson, D.R., Raghunandan, K., Changes in Internal Auditing During
the Time of the Major US Accounting Scandals , International Journal of Auditing, 2005,
vol. 9, pp. 117-127.
Carlevaris, A., et Spitz, B. Whistleblowing : quand un rapport propose dlargir le
domaine de lalerte professionnelle, la CNIL siffle le hors-jeu , Juriscom.net, 25 avril 2007
(www.juriscom.net).
Cartwright, S., Cooper, C.L., The Role of Culture Compatibility in Successful Organiza-
tional Marriage , Academy of Management Executive, 1994, vol. 72, n 2, pp. 57-69.
Casta, J.-F., Mikol, A., Vingt ans daudit : de la rvision des comptes aux activits
multiservices , Comptabilit Contrle Audit, numro spcial Les vingt ans de lAFC
mai 1999, pp. 107-121.
Cercle dthique des affaires Pour un whistleblowing la franaise , Revue Banque Strat-
gie, n 228, juillet-aut 2005, pp. 25-26.
Chaput,Y. Le commissaire aux comptes, partenaire de lentreprise, Presses Universitaires de Scien-
ces Po, Creda, 1999.
Charreaux, G., Vers une thorie du gouvernement des entreprises , in Le gouvernement
dentreprise : Corporate Governance, thories et faits, Grard Charreaux diteur, conomica,
1997.
Charreaux, G., Les thories de la gouvernance : de la gouvernance des entreprises la
gouvernance des systmes nationaux , Cahiers du FARGO, n 1040101, Universit de
Bourgogne, dcembre 2004.
Clark, M., Gibbs, T., Schroeder, R., CPAs Judge Internal Audit Department Objectivity ,
Management Accounting, February 1981, pp. 40-43.
CNIL, Document dorientation adopt par la Commission le 10 novembre 2005 pour la
Groupe Eyrolles
Coase, R.H., The Nature of the Firm , Economica, vol. 4, November 1937, pp.331-351
ou La nature de la firme , Revue Franaise dconomie, 1987, vol. 2, n 1, pp. 133-163.
Committee of Sponsoring Organisations of the Treadway Commission (COSO), Internal
Control Integrated Framework, AICPA, New York, 1992.
Couret, A., Igalens, J., LAudit social, coll. Que-sais-je ? , PUF, 1988.
Courrent, J.-M. thique et petite entreprise , Revue Franaise de Gestion, 2002, pp. 139-
152.
Datta, D., Puia, G., Cross-Border Acquisition : an Examination of the Influence of Relat-
edness and Cultural Fit on Shareholder Value Creation in US Acquiring Firms , Manage-
ment International Review, 1995, vol. 35, n 4, pp. 337-359.
De Angelo, L., Auditor Independance, Low Balling, and Disclosure Regulation , Journal
of Accounting and Economics, 1981a, n 3, pp. 113-127.
De Angelo, L., Auditor Size and Audit Quality , Journal of Accounting and Economics,
1981b, vol. 3, pp. 183-199.
Djean, F., Contribution ltude de linvestissement socialement responsable : les stratgies de lgiti-
mation des socits en gestion, thse de doctorat, Universit Paris-Dauphine, 2004.
Delavalle, E., La direction par les objectifs, et aprs ? , LExpansion Management Review,
juin 2005, pp. 83-91.
Depret, M.H., Hamdouch, A., Gouvernement dentreprise et performance , in Gouver-
nement dentreprise. Enjeux managriaux, comptables et financiers, De Boeck, 2005, pp. 39-79.
Dezoort, F.T., Houston, R.W., Peters, M.F., The Impact of Internal Auditor Compensa-
tion and Role on External Auditors Planning Judgments and Decisions , Contemporary
Accounting Research, vol. 18, n 2, Summer 2001, pp. 257-281.
Dickie, R., Michel, A., Shaked, I., The Winners Curse in the Merger Game , Journal of
General Management, 1987, vol. 12, n 3, pp. 32-51.
Directive 2006/43/CE dite 8me Directive du 17 mai 2006, Journal Officiel de lUnion
europenne, 9 juin 2006.
Dosi, G., Sources, Procedures and Microeconomics Effects of Innovation , Journal of Eco-
nomic Literature, 1988, vol. 26, n 3, pp. 1120-1171.
Durieux, F., Girod-Sville, M., Perret,V., De la planification stratgique la complexit ,
LExpansion Management Review, 2000, pp. 82-92.
Ebondo, E., Pig, B., Larbitrage entreprise/march : le rle du contrle interne, outil de
rduction des cots de transaction , Comptabilit Contrle Audit, tome 8, vol. 2, novembre-
dcembre 2002, pp. 51- 67.
Ebondo Wa Mandzila, E., La gouvernance de lentreprise. Une approche par laudit et le contrle
interne, LHarmattan, 2006.
ECIIA, Internal Auditing in Europe, Position paper : www.eciia.org, February 2005.
Egg, G., Le social dans la grande marmite de laudit , Actes du Congrs de lIAS, IAE
de Lille, septembre 2005.
Fama, E., Jensen, M., Separation of Ownership and Control , Journal of Law and Econo-
mics, 1983, vol. 26, pp. 301-326.
Felix, W.L., Gramling, A.A., Maletta, M.J., The Contribution of Internal Audit as a Deter-
Groupe Eyrolles
minant of External Audit Fees and Factors Influencing this Contribution , Journal of Accoun-
ting Research, 2001, vol. 39, n 3, pp. 513-534.
Feron, M., Comment passer un audit social de troisime gnration ? , Actes du
Congrs de lIAS, IAE de Lille, septembre 2005.
310 Audit interne
IIA, Standards for the Professional Practice of Internal Audit, Altamonte Springs, Florida : the Ins-
titute of Internal Auditors, 2000, 2002.
IIA, Internal Auditings Role in Sections 302 and 404 of the U.S. Sarbanes-Oxley Act of
2002, www.theiia.org, May 2004.
IIA, Organizational Governance : Guidance for Internal Auditors, Position Paper :
www.theiia.org, July 2006.
Internal Control Working Party, Guidance for Directors on the Combined Code, (The Turnbull
Report), ICAEW, London, 1999.
Iribarne (d), P., La logique de lhonneur : gestion des entreprises et traditions nationales, Le Seuil,
1993.
Isaac, H. Les codes de dontologie : outil de gestion de la qualit dans les services
professionnels ,Thse, Universit Paris IX Dauphine, 1996.
ISEOR, Laudit social au service du management des ressources humaines, conomica, 1994.
Jemison, D., Sitkin, S., Corporate Acquisitions : A Process Perspective , Academy of Man-
agement Review, 1986, vol. 11, n 1, pp. 145-163.
Jensen, M.C., Meckling, W.H., Theory of the Firm : Managerial Behavior, Agency Costs
and Ownership Structure , Journal of Financial Economics, October 1976, pp. 305-360.
Jensen, M., Takeovers : their Causes and Consequences , Journal of Economic Perspectives,
1986, vol. 2, pp. 21-48.
Jobart, J.-P., Navatte, P., Raimbourg, P., Finance, Dalloz, 1994.
Kalbers, L.P., Audit Committees and Internal Auditors , Internal Auditor, vol. 49, n 6,
December 1992, pp. 37-44.
Kaplan, R.S., et Norton, D.P., The Office of Strategy Management , Harvard Business
Review, octobre 2005.
Kaplan, R.S., Norton, D.P., Lalignement stratgique, ditions dOrganisation, 2007.
Kerorguen (de),Y., Le whistleblowing : un cas de conscience , Article 1 680, www.place-
publique.fr, 2005.
Kiessling, T., Harvey, M., The Human Resource Management Issues during an
Acquisition : the Target Firms Top Management Team and Key Managers , International
Journal of Human Resource Management, 2006, vol. 17, n 7, pp. 1307-1320.
Koenig, G., Management stratgique : paradoxes, interactions et apprentissages, Nathan, 1996.
Krishnamoorthy, G., A Multistage Approach to External Auditors Evaluation of the Inter-
nal Audit Function , Auditing : a Journal of Practice and Theory, 2002, vol. 21, n 1, pp. 95-
121.
Lamarque, E., Management de la Banque : risque, relation client, organisation, Pearson, 2005.
Lamarque, E., Gestion Bancaire, Pearson & E-node, 2003.
Lazonick, W, OSullivan, M., Perspectives on Corporate Governance, Innovation and
Economic Performance , CGEP, European Institute of Business Administration, Insead,
juin 2000.
Lemant, O., (dir.) La direction dun service daudit interne , IfAcI, 1995.
Loi de Scurit Financire, n 2003-706 du 1er aot 2003, Journal Officiel, 2 aot 2003.
Groupe Eyrolles
Loi Godfrain relative la fraude informatique, n 88-19 du 5 janvier 1988, Journal Officiel,
6 janvier 1988.
Loi sur les Nouvelles Rgulations conomiques n 2001-420 du 15 mai 2001, Journal Offi-
ciel, 16 mai 2001.
312 Audit interne
Stigler, G.T., Monopoly and Oligopoly by Merger , American Economic Review, 1950,
vol. 40, pp. 23-34.
Szylar, C., Les fondements de laudit social dans la perspective de laudit de la responsabi-
lit sociales des entreprises , Actes du Congrs de lIAS, IAE de Lille, septembre 2005.
314 Audit interne
Groupe Eyrolles
Prsentation des auteurs
Valrie Berche est Directrice de lAudit Groupe Franaise des Jeux depuis 2006.
Diplme de lcole Suprieure Libre des Sciences Commerciales Appliques
(ESLSCA) Paris, elle a pass trois ans au sein du cabinet daudit
Price Waterhouse Coopers, o elle a ralis des missions de commissariat aux
comptes et daudit oprationnel, essentiellement en milieu industriel.
De formation marketing et gestion, Christian Bertheuil est consultant. Il possde
une double exprience de lentreprise au sein de socits industrielles et de services,
et de la formation en milieu professionnel et universitaire. Tout au long de son par-
cours professionnel, il a conduit et accompagn des changements, initi des volu-
tions comportementales et accompagn des volutions personnelles. Il a
notamment cr et mis en uvre pendant cinq ans la fonction Audit Interne dans
des filiales dun grand groupe agro-alimentaire franais.
Docteur en sciences de gestion, lisabeth Bertin est Matre de Confrences en
sciences de gestion lInstitut dAdministration des Entreprises (IAE
Universit Franois-Rabelais) de Tours. Elle assure la responsabilit du Master 2
Audit des Entreprises Internationales, quelle a cr, et y enseigne notamment le
diagnostic financier des comptes consolids IAS-IFRS, lthique et la psychologie
de laudit. Ses travaux de recherche portent sur laudit externe et laudit interne,
plus particulirement sur le comportement daudit, linternationalisation de laudit
et la formation laudit. Elle anime laxe de recherche Gouvernance et audit
interne au sein du Centre dtudes et de Recherches en MAnagement de Tou-
raine (CERMAT).
Docteur en sciences de gestion, Patricia Coutelle-Brillet est Matre de Conf-
rences en sciences de gestion lIAE (Universit Franois-Rabelais) de Tours. Elle
est responsable du Master Administration des Entreprises (ex-DESS CAAE) depuis
2001. Ses recherches portent dans le domaine du marketing sur limpact des strat-
gies de prix des distributeurs et sur limage prix des entreprises. Elle a men ce
titre de nombreux audits des stratgies marketing des entreprises. Elle enseigne la
stratgie, la stratgie marketing, les tudes marketing et laudit stratgique et marke-
ting. Ses activits lont conduite effectuer des communications et des sjours de
recherche ltranger. Elle est aussi membre du Conseil National des Universits
depuis 2003 et membre du jury dagrgation interne. Elle est lauteur douvrages et
darticles dans le domaine de la stratgie et du marketing.
Groupe Eyrolles
des Affaires (MBA) Alger. Docteur en sciences de gestion, docteur troisime cycle
en conomie et droit des transports ariens, DESS Finance et Mastre spcialis en
Audit interne et contrle de gestion, il a t auditeur interne dans une banque, con-
sultant dans un cabinet daudit, directeur administratif et financier dans une entre-
prise de services. Il est lauteur de plusieurs articles et dun ouvrage sur laudit, le
contrle interne et la gouvernance dentreprise. Ses recherches portent sur les
aspects internationaux de laudit, la qualit de laudit, lefficacit des comits spcia-
liss, la responsabilit sociale, environnementale et les modes de gouvernance.
Diplme dune cole suprieure de commerce, Florence Fradin a t auditrice
interne au sein du Groupe La Poste puis responsable de la Recherche lIfAcI. Elle
a particip au Groupe de Place, cr linitiative de lAutorit des Marchs Finan-
ciers pour laborer un cadre de rfrence de Contrle Interne Franais. Elle est
actuellement, responsable Rfrentiels dAudit Interne et Qualit au sein de lIns-
pection Gnrale de BNPParibas.
Docteur en sciences de gestion, Christophe Godowski est Matre de Confren-
ces lIAE (Universit Franois-Rabelais) de Tours. Responsable du Master 2
Ingnierie et Politique Financires au sein de cet IAE, il est charg denseigne-
ments en finance dentreprise et en finance bancaire et notamment du cours de
gouvernance au sein du Master 2 Audit des entreprises internationales. Ses travaux
de recherche portent essentiellement sur la gouvernance bancaire.
ric Lamarque est Professeur agrg en sciences de gestion lUniversit Mon-
tesquieu Bordeaux IV et directeur du groupe de recherche sur la gestion et la gou-
vernance des banques. Il est lauteur de plusieurs ouvrages et articles sur la gestion,
la stratgie et le management des banques. Ses derniers travaux portent sur lint-
gration de la dmarche de contrle dans le dispositif organisationnel et les processus
des tablissements financiers. Il tudie galement la ncessaire volution du mana-
gement de ces dispositifs. Il intervient actuellement auprs de plusieurs tablisse-
ments financiers sur lintgration du contrle des risques dans la dmarche
commerciale.
Francis Lamarque, ancien cadre dirigeant du Groupe Crdit Agricole, est, depuis
2006, consultant senior associ de Lamarque Associs Consulting, en charge de
missions de conseil et daudit auprs des principaux groupes bancaires mutualistes.
En capitalisant sur vingt-cinq ans dexprience de direction gnrale de banques
rgionales il sest spcialis dans la conduite de grands projets de migration de sys-
tme dinformation, de fusion, de restructuration et de redressement de filiales du
groupe, notamment comme administrateur directeur gnral de la Banque Fran-
Groupe Eyrolles
Groupe Eyrolles
Index
N dditeur : ?????
N dimprimeur :
Dpt lgal : septembre 2007
Imprim en France