Vous êtes sur la page 1sur 48

revue internationale des auditeurs et des contrôleurs internes

RENCONTRE
AVEC ...

Abdellatif Jouahri,
Gouverneur de
Bank Al-Maghrib

LA CONFORMITÉ :
UNE PRÉOCCUPATION
MAJEURE DES DIRIGEANTS

N°001
1er trimestre 2015
SOMMAIRE

05 EDITO
Le monde de la Francophonie a son nouveau
média

06 CHRONIQUE
Conformité : être conscient des organisations à
risques

08 VOIX DE LA FRANCOPHONIE
Pour partager plus et mieux

10 OUVERTURE SUR LE MONDE


L’audit interne de l’ESA

13 RENCONTRE AVEC ...


Abdellatif Jouahri, Gouverneur de Bank Al-
Maghrib

19 DOSSIER
20 La conformité est devenue une préoccupation
majeure des dirigeants
24 Développer la conformité sans étouffer
l'ardeur des opérationnels
28 Maîtriser les enjeux et satisfaire aux exigences
réglementaires
31 La conformité, acteur de premier plan dans le
dispositif de contrôle interne bancaire
33 L'audit de conformité : une implication de
plusieurs acteurs
19 DOSSIER
38 À LA DÉCOUVERTE DE ... La conformité : une préoccupation
majeure des dirigeants
Direction de l’audit interne de ATM Mobilis :
Une confiance à gagner, une légitimité et une
crédibilité à construire

41 BONNES PRATIQUES
Audit de la Supply Chain

45 ACTUALITÉ

n° 001 — audit, risques & contrôle — 1er trimestre 2015 03


Gestion des Risques :
Auditeurs internes, le comité d’audit
et la direction générale comptent
sur vous !

Norme 2120 – Management des risques : L'audit interne doit évaluer l’efficacité des processus de
management des risques et contribuer à leur amélioration.

Afin de renforcer la capacité des auditeurs internes à exercer efficacement leurs responsabilités en
matière d’évaluation des processus de management des risques, l’IIA a développé la certification
CRMA (Certification in Risk Management Assurance).

Le CRMA est un examen de 2 heures, composé de 100 Questions à Choix Multiples. Il est conçu pour
les auditeurs internes et les professionnels de la gestion des risques qui interviennent sur les
périmètres de l’évaluation des risques, sur les processus de gouvernance, sur l’évaluation de la qualité
et l’auto-évaluation des contrôles.

Marquez des points !


Détenir le CRMA vous permettra de démontrer votre professionnalisme dans le domaine de
l’évaluation de la gestion des risques, et plus particulièrement votre capacité à :
 évaluer la maîtrise des risques et la gouvernance des processus métiers
de votre organisation ;
 sensibiliser la direction et le comité d’audit aux concepts liés aux
risques et à la maîtrise des risques ;
 vous centrer sur les risques
stratégiques de l’organisation ;
 apporter encore plus de valeur
ajoutée à votre organisation.
Conception : ebzone communication - Photo : © Paty Wingrove - Fotolia.com

POUR EN SAVOIR PLUS ...


Rendez-vous sur le site internet de l’IFACI
(www.ifaci.com)
à la rubrique « Carrière + Diplômes ».
Le monde de EDITO
la Francophonie a
son nouveau média

D
ans le rapport « La Francophonie et la Francophilie, moteur de la crois-
sance durable», remis en août 2014 à François Hollande, Président de
la République, il était affirmé : « aujourd’hui la Francophonie est, avec 230
millions, le sixième espace géopolitique par sa population […] il peut deve-
nir le quatrième, à l’horizon 2050, avec une population de 770 millions », cette crois-
sance provenant essentiellement des pays francophones africains.

Depuis 1988, avec l’UFAI (Union Francophone de l’Audit Interne), des liens étroits
audit, risques & contrôle ont été tissés avec tous les instituts francophones, créant une communauté d’en-
La revue internationale des auditeurs et des contrôleurs internes
traide, et d’intérêts partagés, pour le plus grand bénéfice de tous. Dès le début
n°001 - 1er trimestre 2015
des années 90, il avait été envisagé de transformer la revue française de l’audit
EDITEUR interne en revue francophone mais les esprits n’étaient pas encore prêts à franchir
Union Francophone de l’Audit Interne (UFAI) le pas. C’est chose faite aujourd’hui, la revue de l’IFACI : « Audit & Contrôle
Association Loi 1901 Internes » devient revue internationale « Audit, Risques & Contrôle ».
98 bis, boulevard Haussmann - 75008 Paris (France)
Tél. : 01 40 08 48 00 - Mel : institut@ifaci.com Nous voulons que cette revue soit une tribune offerte à tous les professionnels
Internet : www.ufai.org francophones de la maîtrise des risques, tout en l’ouvrant aux meilleures plumes
DIRECTEUR DE PUBLICATION étrangères. C’est ainsi qu’à la rubrique « La voix de la Francophonie » où s’expri-
Mireille Harnois mera régulièrement le/ou la président(e) de l’UFAI, actuellement la canadienne
Mireille Harnois, répondra la rubrique « Ouverture sur le Monde ».
RESPONSABLE DE LA RÉDACTION
Philippe Mocquard
Dans ce premier numéro, vous pourrez lire le très riche entretien avec Abdellatif
RÉDACTEUR EN CHEF Jouahri, Gouverneur de Bank Al-Maghrib (Banque Centrale Marocaine).
Louis Vaurs Abordant dans un premier temps certains sujets macroéconomiques tels que la
santé du système bancaire africain ou les grands enjeux du système bancaire
COMITÉ RÉDACTIONNEL
Louis Vaurs - Mireille Harnois - Eric Blanc - marocain, il en vient très rapidement à traiter de la maîtrise des risques à la
Antoine de Boissieu - Jean-Loup Rouff Banque centrale et dans les banques commerciales, en soulignant : l’importance
d’une bonne gouvernance ; le rôle du Comité d’audit ; le nécessaire renforcement
SECRÉTARIAT GÉNÉRAL des fonctions de contrôle interne ; l’articulation au sein de Bank Al-Maghrib des
Eric Blanc - Tél. : 06 15 04 56 32 - Mel : eblanc@ifaci.com trois grandes fonctions de la maîtrise des risques : conformité, gestion des risques,
CORRESPONDANTS audit interne ; la grande proximité du gouvernement de la Banque Centrale avec
Amérique : Farid Al Mahsani l’audit interne considéré comme « le gardien du Temple ». A l’évidence, cet entre-
Maghreb : Nourdine Khatal tien devrait intéresser le plus grand nombre.
Afrique subsaharienne : Fassery Doumbia
Le « Dossier » sera consacré à la Conformité, l’une des préoccupations majeures
RÉALISATION
EBZONE Communication
des dirigeants d’aujourd’hui. Constitué de cinq articles, il traite en profondeur
22, rue Rambuteau - 75003 Paris tant les audits de conformité que l’audit de la conformité, en mettant en exergue
Tél. : 01 40 09 24 32 - Mel : ebzone@ebzone.fr l’interaction de l’audit interne avec les différentes lignes de maîtrise.

IMPRESSION Je pense que vous lirez avec une certaine curiosité


Imprimerie de Champagne comment fonctionne la direction de l’audit interne
Rue de l’Etoile de Langres - ZI Les Franchises d’ATM Mobilis, société filiale d’Algérie Télécom. Sa
52200 Langres
responsable, Nour-Elhouda Garici Boughalem, inti-
ABONNEMENT tule son article « une confiance à gagner, une légiti-
Michèle Azulay - Tél. : 01 40 08 48 15 mité et une crédibilité à construire », expression
Mel : mazulay@ifaci.com réaliste, s’il en est, du challenge que doit relever en
permanence la profession.
Revue trimestrielle (4 numéros par an)
ISSN : en cours Vous lirez également dans ce numéro, la chro-
Dépôt légal : avril 2015 nique d’Antoine de Boissieu qui nous invite à
Crédit photos couverture : © Sergey Nivens - Fotolia.com être conscient des organisations à risques ;
Ce document est imprimé avec des encres végétales
mais aussi l’article traduit de la revue Audit &
sur du papier issu de forêts gérées dans le cadre
d’une démarche de développement durable.
Risk de l’IIA UK, consacré à l’audit interne de
l’Agence Spatiale Européenne (ESA) ; ainsi
Prix de vente au numéro : 25 € TTC qu’un article portant sur l’audit de la Supply
Chain.

Bonne lecture. 
Les articles sont présentés sous
la responsabilité de leurs auteurs.

Toute représentation ou reproduction, intégrale ou partielle,


Louis Vaurs - Rédacteur en chef
faite sans le consentement de l’auteur, ou de ses ayants droits,
ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1er de
l’article 40). Cette représentation ou reproduction, par quelque
procédé que ce soit, constituerait une contrefaçon sanction-
née par les articles 425 et suivants du Code Pénal. n° 001 — audit, risques & contrôle — 1er trimestre 2015 05
CHRONIQUE

Conformité :
être conscient
des organisations
à risques

C
e premier numéro de la liés à la conformité au droit du
Sociétés Faits
revue « Audit, Risques & travail. Une affaire gigantesque a
Condamnation en France à une amende de 60
Contrôle » est consacré fait la une de l'actualité ces der- Orange (France) M€ pour abus de position dominante.
à l'audit de la confor- nières années : il s'agissait d'une
Condamnation à une amende de 50 M€ pour ne
mité. Ce thème reste d'actualité class action intentée par 1,5 mil- Allianz (France) pas avoir recherché activement les bénéficiaires
début 2015, avec son lot d'af- lion d'employées contre Wal- de contrats d'assurance-vie en déshérence.
faires liées à des pratiques inter- Mart aux Etats-Unis, pour Petrobras (Brésil) Démission de la direction générale dans une
dites en tout genre : ententes, discrimination. Rétrospective- affaire de 4 milliards sur-facturations.
corruption, pratiques commer- ment, d'énormes indices permet- Uniqlo Mise en cause pour des conditions de travail
(Japon / Chine) inacceptables chez deux sous-traitants chinois.
ciales abusives, violations de bre- taient de suspecter un risque fort.
Suspension de la commercialisation de dizaines
vets ou de propriété Pharmacie de médicaments génériques, faute de garantie
intellectuelle, conditions de tra- Wal-Mart : des (Inde / Europe) sur la qualité des données produites par des
vail inhumaines, pollution, mise responsabilités sous-traitants indiens.
en danger des consommateurs, redescendues dans Minshen Banking Démission du président de la première banque privée
(Chine) chinoise, mis en cause dans une affaire de corruption.
vol de données... l'organigramme HSBC Mise en cause de la filiale suisse de la banque pour
(R.U. / Suisse) des montages d'évasion fiscale à grande échelle.
La liste des grandes sociétés L'organisation de Wal-Mart était Qualcomm Amende d'1 milliard de dollars en Chine pour
internationales citées ou mises ainsi faite qu'elle permettait, et, (E.U. / Chine) abus de position dominante.
en cause à un titre ou à un autre selon les plaignantes, qu'elle inci- Accusation d'avoir installé un logiciel publicitaire
Lenovo (Chine)
est longue. Citées dans l'actualité tait, à la prise de risque. Le groupe rendant les ordinateurs vulnérables au piratage.
en 2015, on trouve déjà Orange, exploite plusieurs milliers de Enquête aux E.U. contre 10 grandes banques
Siemens, Allianz, Glaxo supermarchés aux Etats-Unis. Les Banque soupçonnées d'avoir manipulé le marché des
métaux précieux.
SmithKline, Apple… (Cf. tableau directeurs de supermarché sont
Condamnation par un tribunal texan à 550 M$ de
ci-contre). situés à un niveau assez bas dans Apple (E.U.) dommages et intérêts pour violation de brevet.
l'organigramme, N-6 ou N-7 par Enquête de la commission européenne sur un
Les risques de conformité sont rapport au PDG du groupe. Leurs Man, Scania, cartel des fabricants de camions – rumeurs d'une
Daimler
difficiles à auditer : ils sont sou- responsabilités et leur pouvoir de amende record de 4 milliards €.
vent dissimulés, ils laissent peu prise de décision sont très limi- Yoplait, Lactalis, L'Autorité de la Concurrence inflige une amende
Senoble de 190 M€ à une dizaine de fabricants de yaourts.
de traces, ils peuvent se loger tés : ils ne décident ni de l'implan-
derrière des particularités locales : tation du magasin, ni des Apple (E.U.), Plainte d'Ericsson contre Apple pour violation de
Ericsson brevets ; Ericsson réclame 650 M$.
ils sont donc difficiles à mettre en produits vendus, ni de l'assorti-
Siemens,
évidence. Dans certains cas ment, ni des prix de vente (ou à Rumeurs d'exclusion des marchés publics en
Rheinmetall Grèce, pour corruption.
cependant, les risques se voient la marge), ni des fournisseurs, ni (Allemagne / Grèce)
comme le nez au milieu de la des actions de communication. Commerzbank Amende de 1,4 mrd $ aux Etats-Unis pour
figure. C'est dans ce cas là que les En revanche, ils sont responsa- (Allemagne / E.U.) violation d'embargo.
auditeurs ont un devoir de vigi- bles de leur personnel : ils choi- Licenciement de 110 collaborateurs en Chine,
GlaxoSmithKline après une amende de 400 M$ pour corruption de
lance, et doivent bien identifier sissent qui embaucher, à quel (R.U. / Chine) médecins et d'hôpitaux prescripteurs.
les risques en préparation de mis- salaire, pour quels horaires, à quel Chute du cours de bourse de Gemalto après la
sion. statut, ils suivent le temps de tra- Gemalto (victime) révélation que la NSA (National Security Agency)
– NSA (E.U. /
Prenons par exemple les risques vail et évaluent les collaborateurs. aurait dérobé des clefs de chiffrement des cartes
France) SIM fabriquées par Gemalto.

06 1er trimestre 2015 — audit, risques & contrôle - n° 001


CHRONIQUE

gers qui n'ont pas respecté sont souvent suspectés d'ententes évolue, au fur et à mesure des
l'éthique et les valeurs du et de corruption, par exemple affaires qui font revenir le risque
groupe : l'organisation mise en dans le BTP. Certaines majors ont en boomerang aux donneurs
place était néanmoins faite pour ainsi une organisation très décen- d'ordre (incendies au
permettre cette prise de risque, tralisée, avec une multitude de Bangladesh, impact de la produc-
et en laisser la responsabilité à filiales, chacune intervenant sur un tion d'huile de palme sur l’envi-
des exécutants de bas niveau marché local dans une spécialité ronnement...).
dans l'organigramme. donnée. Il est évident que cette
organisation fait courir le risque Repérer les
Une absence d'objectifs que les patrons de filiales échan- organisations à risque
et d'indicateurs gent un peu trop avec leurs
concurrents, ou qu'ils établissent Toute organisation a des avan-
Le risque était d'autant plus grand des liens « inappropriés » avec cer- tages et des inconvénients : l'au-
qu'il n'était pas vraiment piloté : il tains donneurs d'ordre, par exem- dit et le contrôle interne doivent
© Rawpixel - Fotolia.com

n'y avait pas d'indicateurs perti- ple dans les collectivités publiques. bien identifier les gros risques liés
nents permettant de repérer ou Dans ce contexte, les objectifs en à certains types d'organisation.
d'analyser d'éventuels risques de matière de conformité, les indica- Leur rôle n'est pas de remettre en
non-conformité à la réglementa- teurs de mesure utilisés et les outils cause l'organisation, qui a par ail-
tion. Les plaintes, transactions, de détection mis en place par les leurs d'autres avantages ; dans le
licenciements, condamnations… fonctions centrales sont, comme cas de Wal-Mart ou du BTP, la
n'étaient pas consolidés. Les direc- dans le cas de Wal-Mart, souvent décentralisation permet une agi-
Une pression sur les teurs de magasin n'avaient pas insuffisants, voire inexistants. La lité, une vitesse de prise de déci-
managers de terrain non plus ces indicateurs dans leurs situation évolue cependant en sion, une proximité des clients,
objectifs individuels. Autrement Europe, largement sous la pression que l'on perdrait dans une orga-
Lorsque l'on fixe à ces managers dit, un objectif de conformité était des autorités de la concurrence. nisation plus centralisée. Le rôle
des objectifs de chiffre d'affaires bien affiché, mais personne n'était de l'audit est de valider que, vu
et de marge, leur principal, voire pénalisé à court terme si l'objectif L'externalisation du les risques inhérents à l'organisa-
leur unique levier d'action se n'était pas atteint. Pour des mana- risque de conformité tion, on a bien pris les mesures
situe donc dans la gestion des gers de terrain qui n'ont pas d'au- nécessaires pour en permettre
ressources humaines. Le risque tres marges de manœuvre, cela On pourrait appliquer le même une bonne maîtrise. Les audi-
de non-conformité en matière de peut être vu comme une incita- raisonnement à l'externalisation teurs et contrôleurs internes doi-
RH a donc été redescendu, épar- tion à la prise de risque réglemen- de la fabrication dans des pays à vent notamment bien analyser
pillé pourrait-on dire, entre 6 000 taire. bas coûts. L'externalisation pose les objectifs fixés et les indica-
managers de terrain, dont c'est le évidemment la question du res- teurs de mesure utilisés, pour
seul levier d'action, sans contrôle Une organisation pect du droit du travail et de l'en- vérifier s'ils incitent effectivement
réel des fonctions centrales ou répandue dans d'autres vironnement par les sous- à ne pas prendre trop de risques,
régionales. Il ne faut pas s'éton- secteurs traitants, a fortiori si les donneurs et s'ils permettent de détecter
ner si des dérives sont consta- d'ordre ne se sont pas dotés des une prise de risque excessive. 
tées. Le siège peut toujours On retrouve le même type d'orga- moyens de contrôle et ne se sont
expliquer qu'elles sont limitées, nisation et les mêmes méca- pas fixés d'objectifs mesurables
exceptionnelles, le fait de mana- nismes dans certains secteurs qui en la matière. Là aussi, la situation Antoine de Boissieu

n° 001 — audit, risques & contrôle — 1er trimestre 2015 07


VOIX DE LA FRANCOPHONIE

08 1er trimestre 2015 — audit, risques & contrôle - n° 001


VOIX DE LA FRANCOPHONIE

Pour partager
plus et mieux
Mireille Harnois, Présidente de l’Union Francophone de l’Audit Interne

L
’Union Francophone de est crucial afin d’anticiper et de Que ce soit par le biais de sémi- internationale « Audit, Risques &
l’Audit Interne (UFAI) a été s’adapter aux transformations. naires de formation, de col- Contrôle » qui vient renforcer l’es-
créée il y a plus de vingt loques, de travaux de recherche prit de coopération internatio-
cinq ans dans le but de Dans sa mission de promouvoir ou par l’accessibilité au matériel nale francophone.
disposer d’une plateforme de et de développer la pratique de francophone, l’UFAI parvient à
coopération entre les pays fran- l’audit interne, l’UFAI permet de tisser des liens entre auditeurs Cette revue vise un lectorat élargi
cophones. Durant ces années rassembler les organismes et les francophones et met à profit les qui comprend notamment tous
tout le contexte a évolué à auditeurs dans la francophonie expertises de chacun pour le plus les métiers de la gestion des
grande vitesse et conséquem- afin de créer un réseau répon- grand bénéfice de tous. risques, du contrôle interne et de
ment la profession. dant aux besoins grandissants Pour évoluer et s’accomplir, quelle la gouvernance des organisa-
des professionnels tout en consi- richesse de pouvoir compter sur tions.
En effet, au cours de la dernière dérant les particularités locales. un tel réseau francophone ! Je
décennie, la complexité des opé- profite de cette tribune pour Ultimement, cette collaboration
rations, l’émergence de nouvelles Dans cette ligne de pensée, le saluer les quatre présidents internationale francophone
technologies et les exigences concept populaire « pensez glo- membres fondateurs (France, permet d’élargir notre vision afin
croissantes des normes profes- balement pour agir localement » Maroc, Montréal et Tunisie) de de mieux répondre aux préoccu-
sionnelles, réglementaires et sied tout à fait au réseau de l’UFAI. cette Union qui, en 1988, avait pations des parties prenantes.
légales ont entraîné de multiples
responsabilités additionnelles
pour les administrateurs et diri-
geants. Ces éléments, combinés
aux scandales et crises finan-
« L’UFAI permet de rassembler les organismes et les auditeurs dans
la francophonie afin de créer un réseau répondant aux besoins
grandissants des professionnels tout en considérant les
cières ainsi que la lutte contre la
fraude et la corruption ont forcé
l’amélioration de la gouvernance
d’entreprise et les pays franco-
particularités locales
Peu importe le pays ou le conti-
»
une vision bien claire. Ils ont pavé
phones n’y font pas exception. En nent, l'actualité nous entraîne à la voie pour nous. Depuis, des Vous pouvez participer au succès
conséquence, le rôle et la per- traiter des mêmes sujets ou gens dévoués continuent de s’in- de cette nouvelle revue en nous
ception de l’audit interne ont préoccupations, d'où l'impor- vestir constamment afin de pour- faisant part de vos commentaires,
subi une transformation majeure. tance d'établir un large réseau au suivre l’œuvre francophone. de vos suggestions et surtout en
L’audit interne est de plus en plus sein duquel nous pouvons acceptant de partager vos expé-
reconnu comme une fonction échanger des connaissances et Dans le but d’accroître le nombre riences et expertises par le biais
essentielle au succès des organi- bénéficier particulièrement de de publications disponibles en de cette dernière.
sations. l’expérience de chacun pour langue française et d’en assurer
améliorer constamment nos une plus vaste diffusion, l’UFAI est Bon succès à cette nouvelle
Pour bien répondre aux défis façons de faire et notre façon de heureuse de participer au lance- revue et bonne lecture à vous
émergents, le besoin de partager penser. ment de cette nouvelle revue tous ! 

n° 001 — audit, risques & contrôle — 1er trimestre 2015 09


© ESA–S. Corvaja, 2015

L’audit
interne de
l’ESA
Beaucoup de services d’audit revoient des projets au budget
astronomique ; mais peu peuvent se vanter d’auditer réellement
le lancement de fusées, la mise en orbite de satellites ou les
voyages vers la station spatiale internationale. Il s’agit pourtant
du quotidien des auditeurs de l’Agence Spatiale Européenne.

Par Neil Hodge

L
’Agence Spatiale Euro- des objectifs fixés. Ce sont de plus
péenne (« ESA » dans son des projets intrinsèquement risqués,
acronyme anglais) a célé- coûteux, et avec des cycles de vie
bré son 50ème anniversaire longs. Par conséquent, nous ne
en 2014. Cette agence est une devons pas seulement auditer la
organisation internationale, gestion des projets et le déploie-
formée de 20 pays européens, la ment des processus de gestion de
plupart étant membres de l’U.E. projet : nos audits portent aussi sur
En mutualisant et coordonnant l’évaluation des risques par les
les ressources financières et intel- équipes Projet, sur le reporting de
lectuelles de ses membres, elle ces risques, et sur les contrôles et
est capable de gérer des pro- procédures de maîtrise associés. »
grammes qui dépasseraient les
capacités d’un état seul. Parmi « Les risques liés à la sous-traitance
ces programmes ambitieux et et aux fournisseurs sont aussi un
innovants, on peut citer le projet point clef de l’approche de gestion
Rosetta, l’accostage réussi des des risques de l’ESA », selon
astronautes européens sur la sta- Cristobal Martin-Rico. « Nous
tion spatiale internationale, ou la devons vérifier que les sous-trai-
réussite commerciale d’Ariane 5, tants sont capables de remplir leurs
capable de lancer deux satellites missions : ont-ils l’expertise tech-
simultanément. nique et la gamme de produits
dont nous avons besoin ? Peut-on
Très haute technologie changer rapidement de fournisseur
et innovation en cas de besoin ? L’équipe « assu-
rance produit » de l’ESA est chargée
Vu l’activité de l’ESA, il n’est pas de ces questions : l’audit interne
surprenant que les risques tech- revoit leur travaux, généralement
niques soient au cœur de l’acti- une fois par an. »
vité de l’audit interne.
Les métiers de l’ESA ont beau
« Le suivi et l’évaluation des risques être de haute technologie,
techniques est une priorité pour l’Agence n’en reste pas moins
l’audit interne » témoigne ainsi exposée à des risques plus ordi-
Cristobal Martin-Rico, le directeur naires, notamment des risques
de l’audit interne de l’ESA. « Les financiers et des risques liés à la
projets menés par l’agence n’ont conformité. « Nous devons être
jamais été réalisés auparavant : il rigoureux sur le respect des budgets
n’y a donc pas de précédents qui et des calendriers financiers »
permettraient de prédire les difficul- déclare Cristobal Martin-Rico.
tés, ou de juger du caractère réaliste « Les projets de l’ESA comportent

10 1er trimestre 2015 — audit, risques & contrôle - n° 001


OUVERTURE SUR LE MONDE
© ESA-NASA

des risques techniques importants, rement brillantes. Nous ne préten- part sont des risques techniques liés Assurance Produit, des auditeurs
et vu le cycle de vie de certains pro- dons pas être experts en quoi que à des points spécifiques ou à des qualité ISO, et de l’inspecteur
jets – qui peuvent s’étendre sur 10 ce soit, si ce n’est en contrôle interne activités de niche » explique général, chargé de conduire des
ans, voire plus – nous devons être et gestion des risques. Notre mis- Cristobal Martin-Rico. « Ces revues revues de projet et d’évaluer les
en veille permanente sur les risques sion est donc de vérifier que les de risques permettent de donner risques techniques. L’audit
émergents : les impacts potentiels contrôles appropriés sont en place, une assurance sur les risques tech- interne est chargé d’auditer tous
sur les budgets et sur les délais peu- et d’obtenir l’assurance que tous les niques des projets. Cependant, les types de processus, et de véri-
vent en effet être considérables. » risques organisationnels plus larges nous devons vérifier que la revue de fier que les risques, quelque soit
– et pas seulement les risques tech- projet – et les autres services déli- leur nature, sont gérés de façon
Conserver la crédibilité niques – sont bien identifiés, suivis vrant une assurance – va au delà efficace et que le niveau de
de l’audit interne et maîtrisés. » des aspects techniques. Ils doivent contrôle interne est satisfaisant.
aussi envisager l’impact des risques
Dans toute organisation, il est Cristobal Martin-Rico note que externes : par exemple, des retards, « Nos audits sont longs, et ont des
important que l’audit interne « on accepte que les auditeurs dépassements de coût, difficultés périmètres larges » explique Nick
garde une bonne réputation et internes n’aient pas les connais- de trouver une source alternative Waldron. « Ce sont des revues
conserve sa crédibilité. Cela l’est sances ou l’expérience pour auditer pour des équipements clef, impact approfondies des risques, contrôles
tout spécialement à l’ESA. « Nous les spécificités des projets menés au des technologies nouvelles ou et questions de gouvernance. Les
travaillons dans une organisation sein de l’ESA. » Cependant, fait-il dépassées… » audits peuvent porter sur un projet
qui emploie certaines des per- remarquer, « il est important que ou un service spécifiques, ou être
sonnes les plus intelligentes au l’audit interne revoie le travail des Evaluer la deuxième transversaux. Nous utilisons la
monde, déterminées à atteindre autres services, y compris les autres ligne de maîtrise méthodologie du COSO, et nous
des objectifs qui n’ont jamais été services donnant une assurance, avons une approche classique, en
atteints auparavant : il est impor- pour vérifier que les risques tech- L’audit interne doit aussi mainte- interaction permanente avec les
tant que l’audit interne ne soit pas niques sont identifiés, suivis et gérés nir de bonnes relations de travail audités. Les missions se terminent
vu comme une barrière à la réalisa- de façon appropriée, et que les avec les autres services fournis- par un atelier de travail avec les
tion des projets » explique Nick risques plus larges pour l’agence et seurs d’assurance. Au total, l’ESA audités, très intensif, qui permet de
Waldron, l’un des auditeurs de ses projets ne sont pas négligés. » a plus de 150 collaborateurs tra- finaliser le rapport d’audit et les
l’agence. vaillant dans les 2ème et 3ème lignes plans d’actions des audités, et d’ob-
On peut certes être intimidé par de défense. La deuxième ligne de tenir leur validation par la direc-
« Notre crédibilité est importante, et le très haut niveau de technicité défense se compose du service tion. »
ce n’est pas une bonne idée de des sujets à auditer. « Nous avons de conformité, qui s’assure de la
poser des questions bêtes quand on des listes de risques qui font 300 conformité aux règles financières Dans le cadre de cette approche,
a à faire à des personnes particuliè- pages pour certains projets. La plu- et en matière d’achats, du service l’audit interne de l’ESA a réalisé

n° 001 — audit, risques & contrôle — 1er trimestre 2015 11


OUVERTURE SUR LE MONDE

une cartographie des risques et services de la deuxième ligne de l’importance de bien valider les alertes sur les risques à la hiérarchie.
du périmètre couverts par la maîtrise, nous réalisons des revues informations et les méthodes Ils ne se formalisent donc pas
deuxième ligne de maîtrise. « En régulières de leur façon de travailler. employées pour les produire. S’ils quand on leur demande de faire la
raison du nombre de services qui Nous n’avons pas peur d’auditer la voient le moindre problème, ils ont même chose avec des informations
participent à la deuxième ligne de deuxième ligne de maîtrise » le réflexe de le remonter à la hiérar- générales, lors des audits. » 
maîtrise, il est important que l’audit affirme Cristobal Martin-Rico. chie » explique Waldron. « Cela faci-
interne ait une bonne compréhen- lite beaucoup notre travail : les
sion de la façon dont les risques Outre de bonnes relations et une collaborateurs ont déjà l’habitude Cet article est traduit de la revue « Audit &
sont identifiés, évalués et mis sous répartition claire des responsabi- de remonter les problèmes et les Risk », de l’IIA UK
contrôle par ces différents acteurs. lités avec les services de la
Nous regardons aussi comment ces deuxième ligne de maîtrise, il est
différents services remontent les également crucial de disposer
L’équipe d’audit de l’ESA : un vivier
risques à la direction générale et au d’un système de gestion et de
de compétences
conseil : nous voulons en effet nous reporting des risques (ERM).
assurer que ces derniers sont infor- « Nous avons la chance d’avoir un
Avec une équipe de 4 auditeurs – y compris le responsable du
més correctement et à temps pour dispositif d’ERM qui est bien com-
service – l’audit interne est petit comparé aux autres services de
une prise de décision » explique pris à l’Agence, avec une bonne
risques et contrôle de l’ESA. Les auditeurs ont cependant un
Nick Waldron. appropriation par le management
champ de compétences très vaste, notamment en termes de
suivant une approche « top-
langues ou d’expérience professionnelle, que ce soit dans le sec-
D’après Cristobal Martin-Rico, il down » » explique Cristobal
teur privé ou dans le secteur public.
est clair – et le conseil d’adminis- Martin-Rico. « Nous avons aussi la
tration en a bien conscience – chance que, en raison de la nature
L’Italien Corrado di Giulio, auditeur senior, a ainsi 20 ans d’expé-
que l’audit interne est la 3ème et de leur travail, les collaborateurs
rience en audit, alors que la Française Lucie Lanctin a rejoint
dernière ligne de défense, même ont une bonne compréhension et
l’équipe en 2010 après avoir travaillé en audit externe chez PWC
s’il s’agit du plus petit des services une bonne appréciation du risque,
et en Chine. L’Anglais Nick Waldron a débuté sa carrière d’auditeur
de risques et de contrôle. L’audit et qu’ils partagent une vision com-
interne à la Forestry Commission, avant de travailler à l’UNESCO
interne est rattaché directement mune. »
et à l’Organisation pour la Prohibition des Armes Chimiques.
à Jean-Jacques Dordain, le direc-
L’Espagnol Cristobal Martin-Rico était auparavant ingénieur en
teur général de l’agence. « Si nous « Les personnes qui font l’ESA sont
systèmes aéronautiques et chercheur, avant de prendre des fonc-
nous appuyons dans nos missions des scientifiques et des experts
tions de management, puis de rejoindre l’audit interne. Il travaille
sur les évaluations réalisées par les techniques : ils sont conscients de
depuis 15 ans pour l’ESA. Il a aussi une expérience d’administra-
teur : « J’ai été président du conseil de petites sociétés du secteur
aéronautique en Espagne et au Royaume-Uni, et membre du conseil
d’une autre société en France. Cette expérience m’a donné une vision
beaucoup plus large de la gestion d’entreprise, et m’a permis de com-
prendre ce qu’un conseil d’administration attend de ses services de
risques, audit et contrôle. »

© ESA–M. Pedoussaut, 2015

12 1er trimestre 2015 — audit, risques & contrôle - n° 001


RENCONTRE AVEC ...

Pour une supervision


conforme aux
meilleurs standards
Abdellatif Jouahri, Gouverneur de Bank Al-Maghrib

afférents dans les pays concer- logues africains. En sus de la


Concomitamment aux avancées réalisées dans le secteur ban- nés. supervision qu’elle exerce sur
caire africain, dont l’activité a triplé au cours des dix dernières base consolidée sur les banques
années, le secteur bancaire marocain a fait l’objet d’une restruc- A cet égard, je considère que la marocaines implantées à travers
turation en profondeur. Il est assujetti à un cadre légal et régle- régulation et la surveillance des le continent, elle a mis en place
mentaire ainsi qu’à un dispositif de supervision, alignés sur les banques transfrontalières, au une supervision transfrontalière
normes internationales. Ce cadre lui permet de consolider, en niveau du continent, s’avèrent spécifique, conforme aux meil-
permanence, son assise financière et de rehausser ses normes particulièrement importantes. leurs standards, fondée sur
Les cadres de réglementation et l’échange d’informations et la
de gestion des risques en s’appuyant plus particulièrement sur
de contrôle bancaires devraient coordination, les contrôles sur
la direction de l’audit interne et des risques, « gardien du être rehaussés en conséquence place conjoints avec les autorités
Temple » en matière de contrôle et de maîtrise des risques. et les relations entre les autorités homologues et l’institution de
de surveillance des pays d’origine collèges de superviseurs.
et des pays hôtes devraient se
Louis Vaurs : Monsieur le croissance important. Les récents renforcer davantage pour per- L. V. : La faible croissance de l’éco-
Gouverneur, vous êtes à la tête développements, inscrits sous le mettre la prévention des difficul- nomie de la zone Euro, principal
de l’une des plus importantes signe de partenariats Sud-Sud tés des banques ou, à tout le partenaire du Maroc est-elle un
banques centrales africaines. renforcés, induisent une transfor- moins, réduire leurs impacts. obstacle majeur au développe-
Quel regard portez-vous sur la mation de l’industrie bancaire en ment de l’économie marocaine ?
santé du système bancaire d’un Afrique et l’émergence de Bank Al-Maghrib, qui est en
continent en pleine mutation, groupes bancaires d’envergure charge de la supervision du sec- M. le G. : Effectivement, la zone
disposant de ressources considé- panafricaine. teur bancaire marocain, y travaille Euro est le principal partenaire
rables, humaines notamment et étroitement avec ses homo- économique du Maroc. En 2013,
qui n’a pas connu, comme De mon point de vue, de tels
l’Europe, la terrible crise des sub- développements devraient per-
primes de 2008 ? mettre une diversification de l’of-
fre bancaire dans le continent, un
Monsieur le Gouverneur : Au développement de l’inclusion
cours des dix dernières années, le financière des populations et un
secteur bancaire africain a réalisé meilleur financement des écono-
des avancées considérables. Son mies locales. Ces évolutions, si
activité a presque triplé et elles sont favorables tant aux
comme vous l’avez souligné, il n’a pays d’accueil qu’à leurs parte-
pas été affecté par les effets de la naires devraient, toutefois, s’ins-
crise qui a éclaté depuis 2008. crire dans un processus de
Avec un taux de bancarisation et restructuration, de consolidation
un ratio de crédit sur PIB encore et de mise à niveau des pratiques
faibles, le secteur bancaire afri- bancaires et des normes et dis-
cain dispose d’un potentiel de positifs de gestion des risques y

n° 001 — audit, risques & contrôle — 1er trimestre 2015 13


RENCONTRE AVEC ...

elle a été la destination de 56 %


de nos exportations et la source
de 44 % de nos importations. Elle
abrite une communauté maro-
caine importante et est à l’origine
de 66 % des touristes étrangers
qui se rendent dans notre pays.
Elle est également une source
principale des flux entrants d’in-
vestissements directs étrangers. Il
est donc naturel qu’il y ait une
forte synchronisation de nos
cycles de croissance.

Pour vous donner une idée, la


corrélation entre la croissance
globale de la zone Euro et celle
non agricole au Maroc dépasse
60 % sur la période de 2000 à
2014. Ceci dit, le Maroc entre-
prend depuis plusieurs années
d’importants efforts pour diversi- jour davantage, comme en crédits aux entreprises ont plus Ont-elles un dispositif de maîtrise
fier ses partenaires et les débou- témoigne le succès qui ne cesse que triplé. Il a contribué à l’amé- des risques différent des banques
chés pour ses exportations. Ces de se confirmer de Casablanca lioration du niveau de la popula- locales ? Une maturité ou une
efforts ont commencé à porter Finance City. tion à travers l’accès aux services approche différente de ces
leurs fruits, comme en témoi- financiers, le nombre d’habitants sujets ?
gnent les mutations de la struc- L. V. : Quels sont les grands par agences étant passé de
ture de notre commerce enjeux pour le système bancaire 15 000 à moins de 6 000, de M. le G. : Le paysage bancaire
extérieur. Des pays comme l’Inde marocain ? même que le taux de bancarisa- marocain est constitué de 12
ou le Brésil ou encore les Etats- tion a été multiplié par 3 pour banques à capital majoritaire-
Unis figurent aujourd’hui parmi M. le G. : Il n’est pas inutile de rap- atteindre aujourd’hui plus de ment marocain et 7 banques pri-
nos principaux clients. Du côté peler que le secteur bancaire 62 %. vées à capital majoritairement
importations, la Chine, par exem- marocain a fait l’objet, au cours étranger. Ces dernières disposent
ple, est devenue le troisième des quinze dernières années, Ces efforts doivent se poursuivre de 18 % des actifs bancaires. Elles
fournisseur de notre pays alors d’une restructuration en profon- et les banques sont amenées à sont soumises aux mêmes dispo-
que la Turquie s’est hissée à la deur qui a débouché sur des développer des produits inno- sitions légales et réglementaires
neuvième position. En outre, le transformations dans la structure vants pour capter de nouveaux que celles applicables à leurs
Maroc se tourne de plus en plus de son actionnariat, avec un dés- clients et rehausser davantage consœurs marocaines. Elles appli-
vers l’Afrique, capitalisant sur ses engagement progressif de l’État encore la bancarisation de la quent, le plus souvent, les
liens historiques et politiques et a permis l’émergence d’un population, notamment rurale et mêmes procédures que leur
avec les pays du continent. Notre pôle de banques commerciales à bas revenus. Cet objectif est, maison-mère, sans porter préju-
système bancaire est présent solide et performant avec une d’ailleurs, inscrit, parmi les priori- dice aux normes locales qui sont
dans 23 pays et réalise près de présence au niveau régional et tés stratégiques de la banque d’ailleurs largement inspirées des
20 % de son résultat en Afrique. continental. Le secteur est assu- centrale et nous appuierons les standards internationaux.
jetti à un cadre légal et réglemen- banques pour relever ce défi.
J’ajouterai que le Maroc a égale- taire ainsi qu’à un dispositif de L’action en faveur du finance- L. V. : Bank Al Maghrib est char-
ment renforcé ses liens avec les supervision, alignés sur les ment des Toutes Petites et gée de contrôler l’activité des
pays du Conseil de Coopération normes internationales. Ce cadre Moyennes Entreprises fait égale- établissements de crédit du
du Golfe avec lesquels il a signé lui permet de consolider, en per- ment partie des priorités de Bank Maroc et de s’assurer du bon
un accord de partenariat straté- manence son assise financière et Al-Maghrib. Des avancées signifi- fonctionnement de son système
gique. D’ailleurs, les flux d’inves- de rehausser ses normes de ges- catives ont été réalisées en la bancaire. Outre des contrôles sur
tissements directs étrangers et tion de risques. matière et nous continuerons à y place plus ou moins intrusifs, dili-
les transferts des marocains rési- œuvrer avec la contribution du gente-t-elle des « stress tests »
dant à l’étranger en provenance Le système bancaire a d’ailleurs système bancaire pour favoriser comme vient de le faire la
de cette région sont de plus en fait preuve d’une bonne rési- une croissance plus forte et plus Banque Centrale Européenne
plus importants. Plus qu’un pays lience face à la crise internatio- inclusive de l’économie maro- pour les banques de la zone
du Sud ancré à l’Europe, le Maroc nale et a continué, en dépit d’une caine. Euro ?
ambitionne aujourd’hui de deve- conjoncture économique diffi-
nir une porte d’entrée et un hub cile, à assurer le financement de L. V. : Parmi les grandes banques M. le G. : D’abord, il convient de
régional liant le continent au l’économie. Le rapport du crédit marocaines, on compte plusieurs souligner que Bank Al-Maghrib a,
reste du monde. Cette ambition bancaire au PIB est passé de 51 à filiales de banques internatio- depuis 2010, fixé les normes
se concrétise d’ailleurs chaque 86 %, en l’espace de 15 ans et les nales, françaises notamment. minimales qui doivent régir les

14 1er trimestre 2015 — audit, risques & contrôle - n° 001


RENCONTRE AVEC ...

programmes de stress tests du GAFI. Ces dispositions exigent ravivé les discussions sur le dispo- puisque les établissements de
devant être menés par les des établissements de crédit et sitif de gouvernance au sein des crédit marocains ont l’obligation
banques, elles-mêmes. Ces stress organismes assimilés de disposer banques. Consciente de cette de mettre en place un dispositif
tests doivent être établis sur la de systèmes internes de vigilance problématique, Bank Al-Maghrib de contrôle permanent au niveau
base d'un éventail de scénarii permettant de prévenir les a œuvré, depuis 2007, avant la des entités opérationnelles qui a
selon différents degrés de sévé- risques de blanchiment des capi- crise internationale, à la transpo- vocation à constituer « la pre-
rité en fonction des caractéris- taux et de financement du terro- sition des normes édictées par le mière ligne de défense » en
tiques des risques évalués (crédit, risme, de repérer les activités Comité de Bâle, en révisant les matière de contrôle interne et de
marché, concentration, liquidité, suspectes et d’en informer les dispositions relatives au contrôle bonne gouvernance. Viennent
taux d’intérêt…). Ils doivent être autorités compétentes. interne mises en place depuis ensuite la fonction de gestion
prospectifs et incorporer les 2001 et en édictant des règles de des risques et l’audit interne qui
changements potentiels dans la Dans le cadre de sa mission de bonne gouvernance au sein des visent à constituer respective-
composition des portefeuilles de contrôle, des vérifications sur établissements de crédit. En ment « la deuxième et troisième
l’établissement ainsi que les place, générales ou thématiques, 2014, compte tenu des enseigne- ligne de défense » pour une ges-
risques qui ne découlent pas de sont assurées par Bank Al- ments de la crise, elle a procédé tion anticipative, par les établisse-
l'analyse historique. De plus, nous Maghrib auprès des établisse- à la révision de ces exigences et ments de crédit, des risques qu’ils
avons développé nos propres ments de crédit et assimilés, à ce, pour renforcer le rôle et l’indé- encourent. Mieux encore, les éva-
outils de stress tests visant à l’effet de s’assurer de leur confor- pendance des fonctions de luations récentes réalisées au
apprécier la résilience du secteur mité aux dispositions légales et contrôle et de gestion des niveau des banques par les
bancaire à des chocs externes. réglementaires en matière de risques au sein des établisse- équipes chargées du contrôle
Ainsi, des exercices de tests sont lutte contre le blanchiment de ments de crédit. Elle a aussi bancaire ont intégré d’ores et
conduits, deux fois par an, pour capitaux et le financement du rehaussé leurs normes de gou- déjà l’ensemble de ces principes.
évaluer la résistance des banques terrorisme, y compris celles rela- vernance. On peut citer, à cet
à des chocs macro-économiques tives à la déclaration de soupçon égard, l’institution d’un comité L. V. : En France, l’ACPR vient de
ou à des chocs spécifiques de et à la communication d’informa- risques émanant de l’organe publier un nouveau document
risque, notamment de crédit, de tions à l’Unité de Traitement et de d’administration ou la présence sur le contrôle interne des
liquidité ou transfrontaliers. Les Renseignement Financier. Des d’administrateurs indépendants banques entendu dans son

« Les établissements de crédit marocains


ont l’obligation de mettre en place un
au sein des organes d’administra-
tion et de leurs comités spéciali-
sés.
acception la plus large. Dans ce
document, le Comité d’audit
n’apparaît plus. Il est remplacé en

dispositif de contrôle permanent


résultats sont soumis au comité
»
évaluations sont également
L. V. : Le Comité de Bâle a publié
récemment un document
consultatif portant sur les grands
tant que tel par le Comité des
risques auprès duquel, gestion-
naires des risques et auditeurs
internes entretiennent des rela-
de stabilité financière interne à la menées régulièrement à distance principes de la bonne gouver- tions particulières, relations
banque centrale qui peut propo- sur la base d’un rapport sur la nance des banques. Parmi les 13 qu’auparavant les auditeurs
ser toute mesure susceptible conformité et d’un questionnaire grands principes présentés, deux internes entretenaient avec le
d’atténuer les risques systé- dédié devant être transmis, concernent spécifiquement la Comité d’audit. Une telle évolu-
miques. chaque année, par les établisse- gestion des risques et l’audit tion est-elle envisageable pour le
ments de crédit à la Banque interne. Le Comité de Bâle range secteur bancaire du Maroc, le
L. V. : En France, l’Autorité de Centrale, et donnent lieu à une la gestion des risques dans la Comité d’audit ne s’intéressant
Contrôle Prudentiel et de notation communiquée à ces « deuxième ligne » de défense et plus dès lors qu’au suivi de l’indé-
Résolution (ACPR) porte une établissements. l’audit interne dans la « troisième pendance des commissaires aux
attention toute particulière à la ligne ». Ce concept des 3 lignes comptes, du processus d’élabora-
lutte contre le blanchiment des L. V. : A la suite de la crise finan- de défense proposé par l’IIA (The tion de l’information financière et
capitaux et le financement du cière de 2008, il a été décidé, Institute of Internal Auditors), est-il du contrôle légal des comptes ?
terrorisme (LCB-FT). Qu’en est-il dans beaucoup de pays, de ren- mis en place dans les banques
de Bank Al Maghrib et plus géné- forcer les fonctions de contrôle que Bank Al-Maghrib supervise ? M. le G. : Bank Al-Maghrib a
ralement des autres grandes interne et de maîtrise des risques. depuis plusieurs années mis l’ac-
banques centrales africaines ? C’est ainsi qu’il a été donné des M. le G. : Comme indiqué précé- cent, dans son corpus réglemen-
moyens et des responsabilités demment, les récents textes taire, sur le rôle du Comité d’audit
M. le G. : En vertu des attributions accrus à la conformité et à la ges- édictés en 2014 par Bank Al- dans la gouvernance des établis-
qui lui sont dévolues par la loi tion des risques. Ce phénomène Maghrib ont intégré les principes sements de crédit, ses attribu-
bancaire et celle relative à la lutte s’est-il répandu au Maroc et dans bâlois de gouvernance prévalant tions et les règles régissant sa
contre le blanchiment de capi- les autres grands pays africains ? depuis 2010 et introduit égale- composition. Sur cette base, les
taux, Bank Al-Maghrib a édicté, il ment les nouveaux principes Comités d’audit se sont générali-
y a plus d’une décennie, des dis- M. le G. : Effectivement, les ana- encadrant la gouvernance des sés dans le secteur bancaire. Pour
positions relatives à l’obligation lyses et les études menées suite risques. En l’occurrence, les assurer une meilleure efficacité
de vigilance incombant aux éta- à la crise de 2008 ont mis en évi- concepts des 3 lignes de défense de ses travaux, les nouvelles ten-
blissements de crédit qu’elle a dence la nécessité de repenser auxquelles vous faites référence dances vont vers une spécialisa-
révisées à deux reprises, en ligne les fondements de la régulation ont été implicitement retracés tion de ce comité dans les
avec les évolutions des standards des systèmes financiers et ont dans ces nouveaux textes questions liées aux contrôles

n° 001 — audit, risques & contrôle — 1er trimestre 2015 15


RENCONTRE AVEC ...

© Comugnero Silvana - Fotolia.com


interne et externe et l’institution, triennal établi en 2004, la Banque courantes de la banque, avec son système de contrôle interne
en parallèle, d’un deuxième s’est attelée à mettre en place un l’institution de plusieurs comités en s’inspirant du référentiel
comité, émanant de l’organe système de gouvernance de pilotage, permanents et ad- COSO.
d’administration, spécialisé dans conforme aux standards interna- hoc. En outre et tenant compte
la surveillance des risques. La tionaux en la matière. A ce titre, de l’évolution de son environne- L. V. : Justement votre système de
banque centrale a pris en consi- les structures de gouvernance ment interne et externe induit, contrôle interne a connu des
dération ces récentes évolutions ont été renforcées à travers, notamment, par la crise finan- évolutions importantes au cours
dans la nouvelle loi bancaire, qui notamment la clarification statu- cière internationale, les missions de ces dernières années. Quelles
vient d’être publiée il y a taire des prérogatives des de la banque et les dispositifs de en étaient les principales étapes ?
quelques semaines, et qui consa- organes d’administration, de ges- son indépendance ont été clari- Et quelles sont les prochaines
cre légalement l’obligation pour tion et de contrôle de la banque. fiés et renforcés dans le cadre échéances clés ?
les établissements de crédit de En particulier, l’amélioration d’amendements, de plus en plus
disposer à la fois d’un Comité continue du fonctionnement du fréquents, de ses textes fonda- M. le G. : La première étape a
d’audit et d’un Comité risques Conseil s’est traduite par l’institu- teurs, en 1993, 2006 et plus consisté à renforcer l’environne-
composés, tous deux, d’adminis- tion en son sein de comités spé- récemment en 2014 (en cours ment de contrôle, composante
trateurs notamment de mem- cifiques (Comité d’audit, d’adoption). En contrepartie de fondamentale du système de
bres indépendants. notamment) et, plus récemment, cette indépendance accrue, la contrôle interne. Ainsi, la banque
d’un dispositif d’autoévaluation banque a renforcé graduelle- a progressivement construit un
L. V. : Bank Al-Maghrib a mis en périodique de l’efficacité de son ment sa politique de transpa- dispositif déontologique struc-
place depuis plusieurs années un fonctionnement. Ce renforce- rence, comme en témoignent turé selon une approche partici-
cadre de gouvernance en s’inspi- ment des organes de gouver- aujourd’hui ses différents com- pative en vue d’emporter
rant des meilleures pratiques en nance a été accompagné par muniqués et publications, ses l’adhésion de tous, avec un Code
la matière. Quels en sont les prin- l’enracinement du principe de points de presse ainsi que la de déontologie applicable aux
cipaux contours ? prise de décision collégiale, tant richesse informationnelle de son membres du Conseil, au
au niveau des processus « cœur portail internet. Parallèlement, la Gouvernement de la banque et à
M. le G. : Effectivement, depuis de métier » qu’au niveau de la banque a procédé, dès 2004, à l’ensemble du personnel, ainsi
son premier plan stratégique gestion des projets et affaires une restructuration profonde de qu’un dispositif d’alerte éthique

16 1er trimestre 2015 — audit, risques & contrôle - n° 001


RENCONTRE AVEC ...
(Whistleblowing). Je tiens à préci- maîtrise des risques pouvant L. V. : Au sein de Bank Al-Maghrib, commun. Elles sont pleinement
ser, à ce propos, l’importance entraver l’atteinte de nos objec- comment s’articulent les trois situées au niveau de la deuxième
pour nous, en tant que Banque tifs et par une volonté d’exempla- grandes fonctions de la maîtrise ligne de défense, l’audit interne
centrale, d’asseoir une forte rité, à l’instar de ce que nous des risques : conformité, gestion se positionnant naturellement à
rigueur déontologique puisque exigeons des opérateurs que des risques, audit interne ? Quelle la troisième ligne. Le Comité d’au-
la confiance que nous devons nous contrôlons. Ainsi, depuis indépendance ? Quelles relations dit quant à lui examine, de
inspirer au public et à nos parte- près de 10 ans maintenant, une entre eux et avec les organes diri- manière indépendante, la bonne
naires, constitue notre principal cartographie consolidée des geants ? articulation entre ces fonctions.
actif. Il ne peut y avoir de risques est élaborée annuelle-
confiance sans intégrité, une des ment et constitue un véritable M. le G. : La gestion de la confor- L. V. : Bank Al-Maghrib dispose
clés de voûte d’une bonne gou- outil d’aide à la décision, notam- mité est exercée de manière d’une Direction de l’audit interne
vernance. J’ai d’ailleurs tenu à ment pour l’audit interne et la décentralisée par plusieurs struc- et des risques reconnue comme
présider moi-même, en 2005, la planification budgétaire et straté- tures et ce, dans le cadre d’une étant très professionnelle. Quelles

« L’audit interne entretient une relation


directe et privilégiée avec le comité
démarche de gestion des risques
communs à l’ensemble des pro-
cessus de la banque. Parmi ces
relations entretenez-vous avec
elle ? De quel type d’indépen-
dance dispose-t-elle ? Quelles

d’audit
»
cérémonie solennelle de signa-
ture de l’acte d’engagement à
gique. Au fur et à mesure de
l’avancement de ces étapes, nous
risques, je citerai notamment le
risque juridique, incluant les
aspects liés à la protection des
données personnelles et la lutte
anti-blanchiment, suivi par le
sont vos attentes par rapport à
ses responsabilités ? Comment
l’indépendance de ses deux
départements est-elle assurée ?
Quel type de relations entretient-
notre Code où le haut manage- avons procédé annuellement à Département des affaires juri- elle avec le Conseil d’administra-
ment (y compris moi-même) a l’élaboration d’un rapport d’éva- diques, le risque de conformité tion, le Comité d’audit et/ou le
signé cet acte avant qu’il ne le luation de la maturité de notre comptable et fiscal suivi par la Comité des risques ? Y fait-on car-
soit par l’ensemble du personnel. système de contrôle interne dans Direction financière ainsi que les rière ?
L’environnement de contrôle a, l’ensemble de ses composantes risques de conformité déontolo-
également, bénéficié des inci- (environnement de contrôle, ges- gique et de sécurité de l’informa- M. le G. : J’entretiens une relation
dences positives des chantiers tion des risques, dispositifs de tion suivis par le Département de de grande proximité avec cette
structurants concrétisés dans le contrôle, information et commu- la gestion des risques et de entité qui est pour moi le « gar-
cadre du plan stratégique 2004- nication, pilotage). Sur une l’éthique relevant de la Direction dien du temple » en matière de
2006. Il s’agit, en l’occurrence, du échelle de 1 à 5, ce rapport posi- de l’audit interne et des risques contrôle et de maîtrise des
schéma directeur des ressources tionne aujourd’hui notre système (DAIR). Ces fonctions, exercées risques. C’est donc logique que je
humaines qui a mis sur les rails les de contrôle interne dans la four- par des entités indépendantes lui délègue, en partie, cette res-
concepts de la gestion moderne chette supérieure du niveau 4. qui me sont directement ratta- ponsabilité d’assurance quant à
des ressources humaines, du Nous avons l’ambition d’attein- chées, agissent de manière intel- la maîtrise des risques. Dans le
schéma directeur informatique dre le niveau 5 au terme de notre ligente et complémentaire, selon même sens, je m’appuie forte-
qui a dessiné les contours de plan stratégique 2013-2015. un cadre méthodologique ment sur ses conclusions issues
notre système d’information ainsi
que du système de management
de la qualité ISO 9001 qui a
permis l’ancrage de la dyna-
mique d’amélioration au sein de
la banque. Parallèlement, nous
avons procédé à une responsabi-
lisation accrue des structures
opérationnelles par rapport aux
activités de contrôle de premier
niveau, auparavant centralisées
au sein d’une même entité. Nous
avons renforcé, aussi et surtout, la
fonction d’audit interne à travers
sa mise à niveau et sa profession-
nalisation conformément aux
standards internationaux de l’IIA.
Ces mesures ont été accompa-
gnées par l’introduction du prin-
cipe du contrôle par les risques.
Ainsi, une démarche de gestion
des risques opérationnels a été
élaborée et déployée progressi-
vement sur nos processus. Sa
mise en œuvre a été dictée à la
fois par le souci de s’assurer de la

n° 001 — audit, risques & contrôle — 1er trimestre 2015 17


RENCONTRE AVEC ...

débat franc sans langue de bois,


une approche constructive et
une intensité des discussions per-
mettant ainsi d’asseoir une rela-
tion de confiance avec les
membres du Comité d’audit.
Par ailleurs, le responsable de la
DAIR assiste aux réunions du
Conseil de la banque et présente,
en fonction de l’ordre du jour, les
principaux travaux liés au pro-
gramme annuel d’audit, aux
risques clés et aux conclusions du
rapport sur le système de
contrôle interne. A ce propos et
malgré les contraintes liées à l’or-
dre du jour desdites réunions, je
veille à ce que ces sujets soient
traités de manière appropriée. Là
aussi, les débats et discussions
entre les membres du Conseil
sont intenses et constructifs per-
© Ionut David - Fotolia.com

mettant ainsi à cette instance


d’exercer pleinement son rôle de
surveillance.

Eu égard à la nature de ses activi-


tés ayant une portée transverse
sur les activités de la banque, la
DAIR dispose d’un capital humain
tant des missions d’audit que du charte approuvée par le Conseil turé et formalisé / non implica- riche et diversifié. Experts comp-
reporting annuel sur les risques, de la banque. Pour ce qui est des tion des auditeurs dans les tables, financiers, ingénieurs et
pour identifier les pistes d’amé- attentes, je suis assez exigeant à activités de gestion des risques juristes sont autant de profils
lioration en lien avec les activités l’égard de cette Direction quant à et vice versa) ; pouvant bien entendu y faire car-
de notre Institution. Je veille, éga- son rôle d’assurance en matière  une évaluation externe des rière. J’ai, en particulier, vivement
lement, à ce qu’elle dispose des de maîtrise des risques. Je m’at- activités de la DAIR, en particu- encouragé les programmes de
moyens nécessaires (humains, tends, en particulier, à une forte lier celle de l’audit interne, par certification professionnelle
techniques et financiers) lui per- proactivité, à un apport de valeur des cabinets spécialisés sélec- reconnus à l’échelle internatio-
mettant de s’acquitter pleine- ajoutée et à un esprit d’anticipa- tionnés dans le cadre d’appels nale des agents de cette entité,
ment de sa mission. Cette tion et de prévention des risques d’offres internationaux. J’ai tels que le CIA (Certified Internal
Direction, par ailleurs, n’étant pas auxquels la banque est exposée. exigé que ces évaluations Auditor), le CISA (Certified
impliquée dans les activités opé- Concernant l’indépendance des soient effectuées tous les trois Information System Auditor), le
rationnelles, dispose d’une neu- deux départements de la DAIR, je ans en ligne avec notre cycle CFA (Certified Financial Analyst), le
tralité à même de lui permettre précise en premier lieu que Bank stratégique, bien que les CAMS (Certified Anti Money
de formuler des avis objectifs Al-Maghrib a décidé de rassem- normes de l’IIA préconisent Laundering Specialist) ou le CICS
chaque fois que je sollicite son bler l’audit interne et la gestion cinq ans. Jusqu’à présent, deux (Certified Internal Control
concours dans les chantiers des risques sous une même évaluations ont été réalisées, Specialist). Près de 40 % parmi eux
transverses de la banque. Elle structure en raison des fortes en 2009 et en 2012, et ont sont aujourd’hui certifiés.
participe également, dans la plu- synergies dégagées par les deux confirmé la conformité de
part des comités de pilotage et fonctions et qui sont nécessaires notre audit interne aux normes Parallèlement, la banque a mis en
ad-hoc où son avis est pris en à une bonne maîtrise des risques. de l’IIA. place un dispositif de mobilité
compte en vue d’une meilleure Toutefois, des garde-fous ont été interne permettant aux agents,
maîtrise des risques induits, par- conçus et mis en œuvre pour A propos de ses relations avec les en fonction de leurs compé-
ticulièrement, par les change- maîtriser le risque de conflit d’in- organes de surveillance, je sou- tences et des besoins de la
ments engagés par la banque. térêts apparent entre les deux ligne que l’audit interne entre- banque, de bénéficier de mobili-
Du fait qu’elle m’est directement départements avec notamment : tient une relation directe et tés inter ou intra-entités. Ainsi,
rattachée, cette Direction jouit  un dispositif de muraille de privilégiée avec le Comité d’audit. plusieurs mobilités de et vers la
d’une indépendance incontesta- Chine robuste, clairement for- Il en assure le secrétariat et le ren- DAIR ont été enregistrées ces
ble vis-à-vis des entités opéra- malisé entre les deux départe- contre au moins quatre fois par dernières années, certains cadres
tionnelles. Sur l’activité d’audit ments et validé par notre an. Au vu des comptes rendus de de la DAIR exerçant aujourd’hui
interne, cette indépendance est, Conseil (séparation physique / ces réunions, je constate que les des fonctions managériales au
en outre, formalisée dans une échange d’information struc- échanges sont marqués par un sein d’entités opérationnelles. 

18 1er trimestre 2015 — audit, risques & contrôle - n° 001


DOSSIER

LA CONFORMITÉ :
UNE PRÉOCCUPATION
MAJEURE DES DIRIGEANTS

21- La conformité est devenue


une préoccupation majeure
des dirigeants

24- Développer la conformité


sans étouffer l'ardeur des opérationnels

28- Maîtriser les enjeux et satisfaire


aux exigences réglementaires

31- La conformité,
acteur de premier plan
dans le dispositif de contrôle interne
bancaire

33- L'audit de conformité :


une implication de plusieurs acteurs

n° 001 — audit, risques & contrôle — 1er trimestre 2015 19


DOSSIER
Crédit photos © copyright photothèque PwC

20 1er trimestre 2015 — audit, risques & contrôle - n° 001


DOSSIER

La conformité est
devenue une
préoccupation
majeure des
dirigeants
La conformité est un domaine que les organisations doivent intégrer dans leur dispo-
sitif de contrôle interne.
Dans un contexte légal et réglementaire de plus en plus contraignant, l’entreprise doit
s’assurer de l’adéquation de ses activités avec les normes qui lui sont applicables.

Jean-Pierre Hottin, Associé, PwC

F
ace à la judi- normes de « hard law » ou de « soft law ». Cette
ciarisation de obligation d’assurance a d’ailleurs été insérée
notre société au sein du UK Bribery Act par l’instauration du
civile, le res- nouveau délit de « failure to prevent » sur la
pect, par les entre- base duquel les entreprises peuvent être
prises, des obligations légales et condamnées pour ne pas avoir pris toutes les
réglementaires s’imposant à leurs activités, diligences possibles afin de prévenir les viola-
devient primordial pour leur avenir. Cette tions à cette loi.
extension du rôle de la Justice ne la place plus
uniquement comme garante du droit, mais Qu’entend-on par conformité ?
également comme un véritable instrument
de régulation des relations sociales, écono- La conformité est par nature un domaine que
miques et politiques au sein de notre société. les organisations doivent intégrer dans leur
Ce phénomène entraîne une régulation de dispositif de contrôle interne. Nous retien-
plus en plus dense et complexe, qui devient drons pour la suite de cet article la définition
une préoccupation majeure des dirigeants, proposée par le référentiel COSO mis à jour en
comme le montrent nos enquêtes récentes 2013 : « les lois et les réglementations fixent des
auprès des dirigeants : l’excès de régulation normes minimales de conduite attendue de l'en-
est considéré par 78 % d’entre eux comme treprise ; l'organisation est censée incorporer ces
une menace pour le développement de leur normes dans les objectifs fixés pour l'entreprise ».
entreprise1, contre 72 % en 2014 ; la confor- Le respect des règles et des procédures
mité des entreprises à ces régulations fait dés- internes relève dans cette définition des
ormais partie des huit préoccupations objectifs opérationnels.
importantes du Comité exécutif et des inves- Le périmètre des lois et règlementations est
tisseurs2. très large, et peut inclure par exemple :
Dans un contexte légal et réglementaire de  des lois et réglementations spécifiques à un
plus en plus contraignant au quotidien, l’en- secteur ou à une industrie (pharmacie,
treprise doit alors s’assurer de l’adéquation de énergie, banque, assurance…), pouvant
ses activités avec les nombreuses normes qui avoir des spécificités pratiques dans
lui sont applicables, qu’elles soient des chaque pays ;

n° 001 — audit, risques & contrôle — 1er trimestre 2015 21


DOSSIER

 des lois et règlementations dont l’impact domaines plus opérationnels et à plus « forte l’adéquation des actions de l’entreprise aux
peut être extra territorial (par exemple, cer- valeur ajoutée »… tout en considérant souvent différentes normes qui lui sont applicables.
taines règlementations bancaires, les règle- que la conformité fait partie par essence du Cet audit de conformité possède deux volets.
mentations anti-corruption) ; domaine d’intervention de l’audit interne… Le premier volet est l’analyse des normes
 des lois et règlementations spécifiques à L’audit interne est susceptible d’intervenir internes face aux obligations légales et
chaque contexte national voir transnatio- sous deux formes : réglementaires de l’entreprise. Ici, l’audit
nal, portant sur des domaines plus spéci-  en menant des audits de conformité au interne a pour rôle de vérifier que ces obliga-
fiques : droit des sociétés, droit de la sens premier du terme, à savoir en s’assu- tions se reflètent dans les normes internes de
concurrence, fiscalité, droit du travail et rela- rant que la première ligne de défense res- l’entreprise pour garantir leur respect en
tions sociales, sécurité des biens et des per- pecte les obligations qui lui incombent, toutes circonstances. Le deuxième volet est la
sonnes, environnement, transport de c'est-à-dire en vérifiant la traduction dans confrontation de ces règles à la réalité des
marchandises, protection des données per- les procédures et contrôles, des lois et opérations pour vérifier qu’aucune discor-
sonnelles, propriété intellectuelle… règlements applicables et en s’assurant du dance entre les deux n’existe. L’auditeur
respect effectif desdits procédures et interne n’analysera plus le corpus normatif
Les obligations d’une entreprise sont nom- contrôles ; lui-même, mais l’adéquation des comporte-
breuses et souvent difficilement appréhenda-  en auditant la fonction conformité, ou ments de l’entreprise à celui-ci. Il est ques-
bles dans leur ensemble, ce qui est d’autant plus largement le dispositif conformité – tion ici de l’audit de la première ligne de
plus vrai lorsque l’entreprise évolue dans un i.e. l’approche et l’organisation mises en défense.
milieu international. En réponse à cette pres- place par la seconde ligne de défense pour
sion règlementaire, les entreprises sont de structurer et organiser la réponse aux L’audit interne peut être amené à mener ces
plus en plus souvent amenées à créer des risques réglementaires, y compris la missions de plusieurs manières :
fonctions dédiées en charge de la conformité. manière dont sont menés les audits  en menant des missions ciblées sur des
Traditionnellement, ces fonctions sont « pro- conduits par cette seconde ligne de processus ou des entités avec pour objectif
priétaires » de domaines réservés à la fonction défense et le degré d’assurance qu’ils amè- de donner une assurance sur la conformité
conformité tels que la lutte contre la corrup- nent. à une ou plusieurs réglementations ;
tion, le renforcement du code de conduite de  en intégrant dans des objectifs d’audit de
l’entreprise3 ou encore les réglementations Mais avant tout, il est nécessaire de disposer mission plus larges, le respect d’obligations
sectorielles telles qu’elles peuvent exister dans d’une vision claire des risques de conformité réglementaires ciblées.
le secteur pharmaceutique ou dans le secteur et du rôle respectif des premières et secondes
financier. Les domaines octroyés à la fonction lignes de défense. Dans les deux cas, la complexité du corpus
conformité sont très variables d’une entre- normatif peut poser la question de la légiti-
prise à l’autre, dépendant généralement des La cartographie des activités mité de l’audit interne à effectuer ces vérifica-
risques auxquels elles sont le plus exposées – d’assurance, un outil tions. L’audit interne ne possède pas, en
par exemple, les problématiques de harcèle- particulièrement pertinent général, l’ensemble des connaissances juri-
ment ou de discrimination sont régulière- en matière de conformité diques lui offrant l’expertise nécessaire pour
ment traitées par les fonctions RH. s’assurer de la conformité de l’entreprise aux
Dans la vision des trois lignes de maîtrise, la Face à la complexité du domaine, l’audit normes externes.
conformité est donc le plus souvent position- interne aura tout intérêt à procéder à une car- Le recours à des expertises spécifiques est en
née en deuxième ligne, au travers d’une fonc- tographie des activités d’assurance, qui lui la matière une bonne pratique à encourager,
tion dédiée ou au sein des différentes permettra d’avoir une vision claire sur l’ensem- qu’elle soit réalisée en interne (par exemple en
fonctions traitant des sujets spécifiques de ble des domaines de conformité, des fonc- mobilisant la seconde ligne de défense ou des
conformité. tions de la seconde ligne de défense et de « guest auditors ») ou des prestataires externes
Enfin, les fonctions de la seconde ligne de leur rôle (prescription de procédures, supervi- à même de prendre en charge totalement ou
défense peuvent également mener des audits sion de la première ligne, voire audits menés partiellement les objectifs d’audit de la mis-
– cela est souvent le cas des fonctions confor- dans la première ligne), et in fine, du niveau sion.
mité qui disposent des ressources nécessaires d’assurance existant dans chaque domaine.
pour mener des audits de conformité au sein Cette approche permettra d’identifier les Par exemple, en tant que prestataire de ser-
des unités opérationnelles –. domaines de conformité partiellement ou vices d’audit interne, nous sommes de plus en
non couverts par la seconde ligne de défense, plus sollicités pour mener des audits de
Quel rôle pour l’audit interne et ainsi de déterminer où l’audit interne pour- conformité paie ou droit social. Ces audits
en tant que troisième ligne rait focaliser ses efforts en termes d’audit de nécessitent une connaissance de sujets tech-
de défense et quels enjeux ? conformité. Elle permettra également de se niques spécifiques que ne possèdent pas les
forger une première opinion sur la manière auditeurs internes en général. Nous mobili-
Le positionnement de l’audit interne comme dont l’audit interne pourra s’appuyer sur les sons pour ce faire des experts de la paie ou
troisième ligne de maîtrise est désormais pra- audits de conformité réalisés par la seconde des juristes, à même de déterminer le
tique courante au sein des entreprises. Pour ligne de défense. contexte réglementaire applicable, d’analyser
autant comment adresser ce rôle dans un les documents complexes (contrats, régle-
domaine qui fait appel à des compétences très Les enjeux des audits mentaires de paie…) et les intégrons avec nos
spécifiques et avec une seconde ligne de de conformité auditeurs internes pour inscrire les interven-
défense souvent éclatée entre plusieurs fonc- tions dans les principes de conduite des mis-
tions ? Cela d’autant plus qu’il est souvent Exercice par excellence de l’auditeur interne, sions de la profession audit interne. Il en va de
demandé à l’audit interne d’aborder des l’audit de conformité donne l’assurance de même dans de nombreux autres domaines,

22 1er trimestre 2015 — audit, risques & contrôle - n° 001


DOSSIER

comme la conformité fiscale (crédit Actions


Engagement
société qui a fait l’objet de sanctions
correctrices aux
impôt recherche), l’anticorruption, les incidents de non- de la Direction consacrera par nature plus de res-
règlementations spécifiques du sec- sources à l’audit de conformité.
 La mise en œuvre des expertises liées
conformité
teur financier (lutte anti blanchiment, Mise en place
protection des consommateurs…). Audit et d’une fonction aux domaines de conformité analy-
monitoring conformité sés, couplée avec des capacités d’au-
Les départements d’audit interne des dit interne organisationnel.
groupes multinationaux doivent faire Programme de  La prise en compte du niveau d’at-
face à d’autres défis. Il leur est difficile compliance Evaluation tente des parties prenantes et de la
Mesures RH du risque
d’appréhender les spécificités légales capacité à donner une assurance
et réglementaires de tous les pays dans « suffisante » – nous sommes par
lesquels l’entreprise opère, y compris nature dans la fourniture d’une assu-
les pratiques élémentaires qu’un audi- Mise en place rance raisonnable, sachant que les
Procédure de procédures
teur interne « local » aura capitalisées d’alerte et workflows sanctions de non-conformité peu-
au fil de ses expériences. Il lui faudra Communication vent atteindre des sommets… Le
formation et
travailler de concert avec certaines éducation développement des certifications de
fonctions, principalement les départe- dispositifs peut donner un sentiment
ments juridiques locaux, qui le guide- de confiance qui va bien au-delà de
ront dans la compréhension des règles ce qui peut aller au delà de ce qui
locales à auditer. De plus en plus fréquem- par exemple : peut être raisonnablement fourni.
ment, les grands groupes internationaux cher-  Les prescriptions déployées répondent-  L’indépendance et l’objectivité de l’auditeur
chent à intégrer dans leurs équipes d’audit elles non seulement aux obligations mini- interne – qui aura également à juger de son
des auditeurs locaux via des contrats de males requises mais plus largement aux rôle dans le dispositif, notamment en
cotraitance avec des cabinets spécialisés en engagements que peut prendre l’entre- termes d’audit de conformité.
audit interne. prise ? – i.e. au-delà du respect de la norme
Dans tous les cas, il est essentiel de bien déter- actuelle l’entreprise peut dans certains cas Ces enjeux peuvent amener les départements
miner dans la lettre de mission les exclusions décider d’anticiper des évolutions possi- audit interne à se faire accompagner par un
et inclusions en matière de revue de la confor- bles, par exemple en matière de législation prestataire externe pour réaliser de tels audits.
mité – et en particulier dans les objectifs rete- du travail dans des pays à bas coût.
nus pour la mission. Ces exclusions et  Les dispositifs déployés sont-ils efficaces * * *
inclusions devront également être clairement d’un point de vue coût ?
explicitées dans le rapport afin d’éviter toute  L’information remontée au travers des dis- A l’heure où les fonctions audit interne sont
ambiguïté en cas de non-conformité détec- positifs est-elle suffisamment robuste pour de plus en plus challengées sur la valeur ajou-
tée par la suite par les audits des « régula- répondre aux attentes des parties pre- tée qu’elles apportent, l’arbitrage peut aller en
teurs » que l’on pourrait qualifier de nantes et mieux protéger la réputation de défaveur du maintien d’un focus suffisant sur
« quatrième ligne de défense » – qui en l’oc- l’entreprise ? la conformité.
currence ici accompagneront leurs conclu-  Les dispositifs déployés sont-ils suffisam- Notre dernière enquête sur la fonction audit
sions d’amendes et de sanctions le plus ment agiles pour s’adapter à des évolutions interne a souligné l’importance du rôle tradi-
souvent, à la différence de l’audit interne ! règlementaires ou à des changements d’or- tionnel d’assurance y compris pour les fonc-
ganisation interne ? tions qui ont évolué vers des rôles à
L’audit de la conformité …  Le degré d’assurance opposable permet-il beaucoup plus forte valeur ajoutée.
ou des conformités de donner plus de confiance aux régula- Il est important, dans cet environnement
teurs externes et limiter ainsi la pression règlementaire de plus en plus contraignant et
En tant que troisième ligne de défense, l’audit qu’ils peuvent exercer sur les opération- anxiogène pour les dirigeants, d’avoir une
interne est idéalement positionné pour nels ? approche structurée et transparente vis-à-vis
donner une assurance sur l’efficacité de la  L’organisation générale des dispositifs des parties prenantes en :
seconde ligne de défense. C’est également ce permet-elle d’embrasser un champ tou-  clarifiant le niveau d’assurance que les
qui positionnera le curseur des audits de jours plus large d’obligations ? lignes de défense produisent, en utilisant
conformité décrits précédemment – les par exemple la cartographie des activités
méthodes, l’objectivité et les compétences Toutes ces questions peuvent être abordées d’assurance, et ceci en considérant la
mises en œuvre pourront permettre de limiter en utilisant le prisme d’analyse que nous pro- conformité sous ses aspects les plus variés ;
le degré d’intervention de l’audit interne qui posons dans le schéma ci-dessus, qui pré-  explicitant les attentes des parties pre-
pourra capitaliser sur le niveau d’assurance sente les principaux piliers d’un dispositif de nantes vis-à-vis de l’audit interne, et en ali-
déjà obtenu. L’audit interne s’intéressera à l’ef- conformité efficace – piliers qui se recoupent gnant les moyens et les actions sur ces
ficacité de la conception du dispositif de parfaitement avec les 17 principes du COSO attentes. 
conformité. Certes, il sera en charge de s’assu- révisé.
rer que les fonctions responsables des dispo-
sitifs de conformité répondent aux attentes de Ces audits présentent des enjeux particuliers : 1. PwC 18th Annual Global CEO Survey, p.9.
l’entreprise dans la maîtrise des risques  L’accès à des benchmarks pertinents, mais 2. PwC, “State of Compliance 2014 Survey”, “What it means
entrant dans leur périmètre d’action. Mais surtout la capacité à prendre en compte les to be a “chief” compliance officer: Today’s challenges,
tomorrow’s opportunities”, p.13
l’audit des dispositifs de conformité pourra contextes particuliers de chaque organisa-
s’intéresser à des objectifs plus larges, comme tion « benchmarkée ». Ainsi une 3. Ibidem, p.3

n° 001 — audit, risques & contrôle — 1er trimestre 2015 23


DOSSIER

© Crédit Photo - GDF SUEZ - CALLENS THOMAS


Développer la
conformité
sans étouffer l'ardeur
des opérationnels
Les principaux risques
La direction éthique et conformité est chargée, entres autres, de
la prévention de la fraude et de la corruption. Elle a élaboré trois Un large spectre de risques avec des conséquences potentielles
procédures groupe qui couvrent des zones à risques : le recours sur l’image du Groupe
aux intermédiaires, le traitement des cadeaux et invitations et Par la diversité de ses activités, de ses implantations et de ses offres, le
les relations avec les pays sous embargo. Des missions sont Groupe est exposé à des risques de nature financière, industrielle et
conduites par l’audit interne qui donne une assurance sur le dis- commerciale. Sa position de leader dans le secteur de l’énergie, ainsi
positif de la conformité. que son ambition de développement, l’exposent également à des
risques de réputation notamment lorsque sont mises en cause les
valeurs, l’excellence opérationnelle ou la légitimité d’opérateur du
Xavier Bedoret, Directeur de l’audit interne, GDF SUEZ Groupe. Par sa gouvernance, ses politiques, son organisation et ses
Michel Caty, Auditeur interne, GDF SUEZ procédures, le Groupe met tout en œuvre pour prévenir les risques

24 1er trimestre 2015 — audit, risques & contrôle - n° 001


DOSSIER

opérationnels et les attaques en dénigrement réalisation des objectifs. Elle élabore les poli- de nouveaux principes de la relation com-
qui pourraient affecter sa réputation. tiques et les référentiels en matière d’éthique merciale, notamment en matière de
et promeut leur mise en œuvre dans le cadeaux et invitations ;
Des risques liés à la conformité aux lois et Groupe.  le référentiel management de la conformité
réglementations éthique qui précise l’organisation et les pro-
Les métiers du Groupe sont soumis à de nom- Un réseau dense de déontologues cessus déployés pour atteindre l’efficacité
breuses lois et réglementations relatives au La Direction éthique et compliance anime un des dispositifs éthiques ;
respect de l’environnement, à la promotion réseau de plus de 190 déontologues répartis  un référentiel droits humains.
des systèmes de production énergétique à au sein des filiales, branches et directions
zéro ou à faible émission de gaz à effet de fonctionnelles et travaille en étroite collabo- Un système de remontée des incidents
serre, à la réduction des consommations ration avec toutes les filières concernées, Le Groupe a mis en place, d’une part, un sys-
d’énergie, à la protection de la santé ainsi qu’à parmi lesquelles le management des risques, tème d’alerte par e-mail permettant aux col-
la fixation de normes de sécurité. Au-delà des le contrôle interne, l’audit interne, les res- laborateurs de signaler des dysfonc-
précautions contractuelles, le Groupe s’efforce sources humaines et le juridique. tionnements et, d’autre part, un outil de repor-
de limiter l’ensemble de ces risques, notam- ting « INFORM’ethics » déployé dans les
ment dans le cadre d’une politique environ- Des procédures Groupe visant à branches qui permet la déclaration par le
nementale proactive. développer une culture de l’éthique management d’incidents dans six domaines :
Concernant les risques éthiques, des poli- La politique éthique de GDF SUEZ vise à déve- intégrité comptable et financière, conflit d’in-
tiques sont développées pour éviter dans lopper une culture de l’éthique fondée sur : térêts, responsabilité sociale et droits humains,
toute la mesure du possible la survenance de  la charte éthique qui fixe le cadre général éthique des affaires, information confiden-
tels risques. dans lequel doit s’inscrire le comportement tielle et protection du patrimoine immatériel.
professionnel de chaque collaborateur. Elle
Une gestion des risques structurée précise les 4 principes fondamentaux : agir Une procédure de conformité éthique
de façon globale en conformité avec les lois et les réglemen- annuelle
GDF SUEZ a créé dans son organisation cen- tations, ancrer une culture d’intégrité, faire Chaque année, le rapport du déontologue du
trale une direction de pilotage des risques, preuve de loyauté et d’honnêteté, respec- Groupe est présenté au Comité pour l’éthique,
comprenant le management des risques, l’au- ter les autres ; l’environnement et le développement dura-
dit interne et le contrôle interne, tous les trois  le guide des pratiques de l’éthique qui ble du Conseil d’administration. Il synthétise
sous la responsabilité d’une même personne, détaille les modalités de mise en œuvre de les actions menées au niveau du Groupe ainsi
le directeur en charge de l'audit et des risques, l’éthique dans les situations profession- que des branches pour mettre en œuvre les
également membre du Comité exécutif. Cette nelles au quotidien ; politiques d’éthique et de compliance. Chaque
organisation pilote le processus d’analyse des  le référentiel intégrité qui décrit la façon rapport de branche, établi par le déonto-
risques, de définition puis de mise en œuvre dont le Groupe est organisé pour appré- logue, est accompagné d’une lettre de
des plans d’action. hender le risque auquel expose tout man- conformité du directeur de la branche certi-
quement à l’intégrité et établit le fiant sa responsabilité et son engagement
La gouvernance programme des actions pour lutter contre quant à l’application du dispositif éthique au
la fraude et la corruption : mise en œuvre sein de l’organisation dont il a la charge.
Les dirigeants de GDF SUEZ, en particulier le de la politique consultants commerciaux et
président-directeur général et le secrétaire Un programme de contrôle interne
général, membre du Comité de direction intégrant la dimension éthique et
générale et déontologue du Groupe, impul- la conformité
sent et supervisent la politique éthique et Le programme de contrôle interne du Groupe
garantissent sa bonne application. couvre les entités et les processus les plus
significatifs du Groupe en termes de risques
Des Comités spécialisés opérationnels. Son dispositif de reporting
Au sein du Conseil d’administration, le Comité permet de donner au management et au
pour l’éthique, l’environnement et le dévelop- Comité d’audit une assurance raisonnable en
pement durable supervise les sujets relatifs à matière de maîtrise des risques opérationnels.
la gouvernance, à l’éthique et à la compliance. Il s’appuie sur l’engagement des responsables
de processus relatif à la bonne réalisation des
Le Comité directeur des déontologues et le points de contrôles principaux et aux résultats
Comité de la compliance, tous deux présidés obtenus. Cet engagement est par ailleurs cor-
par le déontologue du Groupe, initient et roboré par le regard indépendant de l’audit
mettent en œuvre les plans d’actions en interne qui examine avec une rotation de cinq
matière d’éthique et les procédures de confor- à six ans les évaluations faites par le manage-
mité dans les branches et prennent les ment.
mesures de suivi nécessaires. Pour réaliser ce programme, le Groupe dis-
pose d’un ensemble complet et détaillé de
Une Direction éthique et compliance référentiels de contrôle. Un référentiel de
La Direction éthique et compliance prépare les contrôle interne spécifique « Respect des
plans d’actions dans le domaine de l’éthique principes d’éthique » a été élaboré avec la
et les procédures de conformité et veille à la Xavier Bedoret et Michel Caty Direction éthique et compliance et est systé-

n° 001 — audit, risques & contrôle — 1er trimestre 2015 25


DOSSIER
© Crédit Photo - Electrabel - DAUWE Sophie

matiquement déployé dans les entités faisant remontés par la ligne managériale y sont consolidée et succincte des sujets liés aux
partie du programme. passés en revue et analysés pour (i) identifier manquements à l’éthique et à la fraude.
Par ailleurs, chaque nouvelle politique ou pro- de nouveaux risques ou des failles éventuelles Par ailleurs, l’audit interne en lui même est l’un
cédure fait l’objet d’une analyse systématique dans le dispositif de contrôle interne, (ii) éven- des éléments de conformité à la réglementa-
pour identifier les points méritant d’être inté- tuellement compléter les référentiels de tion : selon le principe 6 du UK-Bribery Act
grés dans les référentiels de contrôle interne. contrôle interne et (iii) alerter les auditeurs sur « Monitoring and review », des contrôles et véri-
De même, l’analyse régulière des déclarations les risques avérés auxquels ils doivent être fications doivent être pratiqués afin de vérifier
d’incidents éthiques ainsi que les retours d’ex- attentifs lors de leurs missions. la mise en œuvre des procédures sur le terrain
périence des fraudes et audits internes per- ainsi que leur efficacité. La réalisation de tels
mettent d’identifier les modifications à Deux présentations par an au Comex audits est donc indispensable pour s’assurer
apporter aux référentiels de contrôle interne et au Comité d’audit de la conformité au regard des réglementa-
afin d’en renforcer l’efficacité. A la suite de ces réunions, la Direction de l’au- tions.
dit interne présente un rapport semestriel au
Interaction de l’audit interne Comité exécutif du Groupe et au Comité d’au- Les missions conduites
avec les différentes lignes dit. Ce rapport présente les cas avérés, la façon par l’audit interne pour donner
de maîtrise dont ils ont été traités et les plans d’action une assurance du dispositif
entrepris. Cette habitude de réaliser un rap- de la conformité
Des revues semestrielles avec port sur les fraudes et manquements à
la Direction éthique et compliance l’éthique date de la mise en œuvre du dispo- Des missions sur la conformité
Chaque semestre, une session de travail réunit sitif Sarbanes-Oxley en 2006, et a été mainte- aux réglementations
la Direction éthique et compliance, l’audit nue. Le Comité exécutif et le Comité d’audit De façon générale, la plupart des missions
interne et le contrôle interne. Les incidents souhaitent en effet avoir une vision intégrée, abordent certains risques liés à la conformité

26 1er trimestre 2015 — audit, risques & contrôle - n° 001


DOSSIER

1. Des missions de prévention. Ce sont les Les principaux challenges


missions les plus fréquentes : le rôle de l’au- et priorités à venir
dit est de donner une assurance sur le
déploiement et la mise en œuvre des poli- Plusieurs défis se posent à l’audit interne en
tiques du Groupe. Elles reposent sur des matière de conformité :
analyses ou des tests substantifs. 1. L’expansion internationale du Groupe, la
réalisation d’investissements importants
2. Des missions de détection. Ces missions dans des pays émergents et le développe-
portent sur des sujets particuliers (la paye ment d’activités dans de nouveaux pays
par exemple, ou les frais professionnels), sur obligent à une vigilance accrue et continue
un périmètre défini (une filiale par exem- en matière d’éthique des affaires.
ple). L’objectif des missions est de s’assurer
qu’il n’y a pas d’opérations anormales et 2. La complexité des législations à portée
que le processus est bien sous contrôle. internationale (Bribery Act, FCPA, embargo,
Elles reposent sur une analyse détaillée de EMIR, FATCA…) et des règles locales rend
certaines données ou transactions. délicate la bonne compréhension et la
bonne mise en œuvre de ces réglementa-
3. Des missions d’investigation. Ces missions, tions, souvent compliquées. Ce risque est
plus rares, font suite à une suspicion de accru dans des organisations complexes ou
fraude. Elles sont généralement ciblées sur en évolution, particulièrement lorsque les
des transactions ou activités particulières. équipes locales ne perçoivent pas les
Ces missions sensibles requièrent un proto- enjeux de certaines de ces réglementations
cole particulier : la Direction de l’audit internationales.
interne Groupe a rédigé un guide sur les
missions d’investigation, pour permettre 3. La Direction de l’audit interne est de plus
aux auditeurs des branches ou des filiales en plus souvent sollicitée par le Groupe
de réaliser ce type de mission de manière pour réaliser des missions d’investigation
adéquate. La priorité dans ces missions est de courte durée, avec un faible préavis, à
donnée à la préservation des intérêts du l‘international, en prenant en compte les
Groupe (mise en place de mesures conser- particularités du contexte local. Le fait que
vatoires) ainsi qu’à la préservation des l’audit interne soit composé d’un réseau
preuves et de leur intégrité. Ces missions d’équipes internationales, multiculturelles,
sont menées en étroite collaboration avec mobilisables à court terme, est particulière-
les juristes qui accompagnent et valident ment apprécié. Un challenge important
les travaux menés en termes de conformité consiste à maintenir le bon équilibre entre
aux réglementations ainsi que les preuves ces missions d’investigation, qui apportent
et leur méthode de collecte. Un processus un éclairage important aux commandi-
de communication spécifique permet au taires, et les missions sur les grands risques
directeur de l’audit interne d’encadrer stric- et enjeux inscrites au plan d’audit.
tement les travaux menés dans ces mis-
(achats, santé et sécurité, ressources sions par les auditeurs. 4. Plus généralement, l’augmentation du
humaines…). La Direction de l’audit interne nombre de réglementations impose de
réalise en outre certaines missions ciblées sur Un réseau de partage de connaissance trouver le bon équilibre entre la conformité
le respect de telle ou telle réglementation : « éthique et fraudes » au sein de l’audit et les enjeux opérationnels : l’audit interne
par exemple, sur le respect de la réglementa- interne doit veiller à ne pas adopter une approche
tion financière comme EMIR, ou des missions Une quinzaine d’auditeurs des différents ser- mécanique et tatillonne de la conformité. Il
sur des réglementations techniques dans les vices d’audit constituent un réseau de par- doit conserver une approche par les
domaines de l’exploration/production, de la tage de connaissance au sein de la risques, en prenant en compte les enjeux,
production ou de la distribution du gaz et de communauté de l’audit interne. Des représen- les risques potentiels et le coût de mise en
l’électricité. La Direction de l’audit a aussi tants des filières ERM et contrôle interne font œuvre des mesures de contrôle. L’audit
mené des missions sur le respect de la légis- aussi partie du réseau. interne a aussi un rôle pédagogique dans
lation sur les délais de paiement des fournis- ce type de missions, pour expliquer aux
seurs. Une autre mission a porté sur le respect Le rôle de ce réseau est de suivre les évolu- filiales les enjeux et les motivations du
des réglementations en matière de sécurité tions des politiques et des procédures, d’ana- Groupe, et pour aider à la définition de pro-
industrielle sur les sites Seveso ; cette mission lyser les risques avérés, d’organiser les cédures pragmatiques, proportionnées aux
a été conduite en coopération avec la échanges entre auditeurs, et de proposer des enjeux et ciblées sur les zones à risques. Ce
Direction santé sécurité. programmes de travail sur l’éthique et la rôle de pédagogie est fondamental afin
fraude pour les audits des branches et des d’assurer que les plans d’actions seront bien
3 types de missions sur les risques liés filiales. Il se réunit tous les 3 mois, ce qui compris, rapidement mis en place par le
à l’éthique et à la fraude permet des échanges formels et informels management et permettront une diminu-
Pour les risques liés à l’éthique et à la fraude, entre les auditeurs du réseau. tion effective et efficace des risques pour le
l’audit interne réalise 3 types de missions : Groupe. 

n° 001 — audit, risques & contrôle — 1er trimestre 2015 27


DOSSIER

Maîtriser les
enjeux et
satisfaire aux
exigences
réglementaires
Chez Sanofi, les différentes parties prenantes du dispositif de
conformité s’articulent selon le modèle des trois lignes de maî-
trise. Chaque ligne de maîtrise joue un rôle actif et défini dans
le dispositif de sécurité mis en place afin d’assurer une coordi-
nation effective et efficiente, éviter les redondances inutiles et
les lacunes dans le contrôle.

Marie-Hélène Laimay, Senior VP Audit &


Evaluation du Contrôle Interne, Sanofi

Les principaux risques

Le Groupe Sanofi est un leader mondial de la


santé centré sur les besoins des patients, pré-
sent dans plus de 100 pays avec plus de 110 000 collaborateurs.
Engagé dans la recherche et le développement, avec plus de 20 sites
de R&D, dans la fabrication, 112 sites répartis sur 41 pays, et dans la
commercialisation de produits de santé, Sanofi propose une offre
diversifiée de médicaments humains et vétérinaires, de vaccins et de
solutions thérapeutiques innovantes.
Le secteur pharmaceutique, du fait de son action consacrée à la santé
humaine et de ses liens avec les acteurs institutionnels est aujourd’hui
un des secteurs les plus règlementés. Parmi ces référentiels se trouvent
en premier lieu ceux émanant des autorités de tutelles aux différents
stades de développement d’un produit de santé. En tant que société
cotée en France et aux États-Unis, Sanofi doit également se conformer
aux règles qui régissent les marchés financiers. A l’ensemble de ces
référentiels, viennent s’ajouter toutes les exigences réglementaires
communes à toute activité telles que les règles HSE, le droit du travail,
la responsabilité sociale et sociétale, les obligations légales et juri-
diques…

L’implantation géographique du Groupe Sanofi, l’ensemble des régle-


mentations auxquelles il est soumis, et les risques associés, représen-
tent un enjeu stratégique nécessitant de s’adapter à un
environnement vaste et complexe, en mettant en jeu de nombreux
acteurs et différentes expertises outre l’audit interne.

28 1er trimestre 2015 — audit, risques & contrôle - n° 001


DOSSIER

La gouvernance Les trois lignes de maîtrise des risques de Sanofi

Chez Sanofi, les différentes parties prenantes Board of


AUDIT COMMITEE
du dispositif de conformité s’articulent selon Directors
le modèle des trois lignes de maîtrise. Ce
modèle a été mis en place il y a plusieurs EXECUTIVE COMMITTEE
années. Présenté dans un premier temps au Senior
Management RISK COMMITTEE
cours des réunions d’ouverture des missions
d’audit interne, puis intégré dans la charte de COMPLIANCE COMMITTEE
l’audit interne, il s’est imposé comme le réfé-
rentiel Groupe notamment en servant de 1st line of defense 2d line of defense 3rd line of defense
socle aux démarches de l’ERM et du contrôle
interne Groupe. R&D Legal

Global Compliance
Chaque ligne de maîtrise joue un rôle actif et

Management
Group Risk
défini dans le dispositif de conformité mis en Medical Affairs
Industrial Affairs
place afin d’assurer une coordination effective
et efficiente, éviter les redondances inutiles et

Regulation bodies
Finance

External Audit
les lacunes dans le contrôle. Global Operations
La première ligne, constituée par le manage- Group Internal Audit
HSE
ment opérationnel, propriétaire des risques,

Group Expert audits


Global Divisions

Internal Control
est alignée sur l’organisation et les métiers du

& Processes
IS
Groupe. Elle veille au respect des règles et des
procédures qui régissent son activité quoti- Vaccines
dienne, assure la mise en place de contrôles Global Quality
managériaux et de supervision adéquats pour
garantir la conformité, ainsi que la détection Other operations Other functions
de contrôles défaillants, de processus inadé-
quats ou d’évènements inattendus. has ownership, responsibility and monitors and facilitates the provides assurance to the Group
accountability for assessing, implementation of effective risk governing body and senior
L’ensemble des référentiels appliqués par la controlling and mitigating risks management practices by the 1st management on the organization’s
première ligne de maîtrise est décliné des line and assists risk owners in effectiveness in assessing and
reporting adequate risk-related managing its risks and related
politiques Groupe, définies généralement par information throughout the internal control systems, including
organization the manner in wich the 1st and 2nd
les fonctions de la 2nde ligne de maîtrise. lines operate
La seconde ligne de maîtrise a pour principale
mission d’édicter les référentiels applicables
par la première ligne de maîtrise, et pour conformité avec les normes professionnelles naux situés à Paris en France, à Bridgewater
objectif d’assurer le suivi du contrôle des internationales, l’audit interne dispose d’un aux États-Unis et à Singapour. Chaque bureau
risques et de la conformité. Chez Sanofi, la programme d’assurance et d’amélioration de rapporte au senior vice-président de l’audit
seconde ligne de maîtrise se compose du la qualité. Il se compose d’évaluations internes interne localisé à Paris. Cette organisation
département juridique qui englobe la fraude (auto-évaluation, revues qualité) et d’évalua- répond à la stratégie de croissance du Groupe,
et la conformité éthique, du département de tions externes régulières (IFACI, consultants, dont les pays émergents sont un des piliers.
contrôle interne, rattaché à la Direction finan- auditeurs externes). Cette régionalisation de l’audit interne permet
cière du Groupe, des affaires médicales et La cotation en bourse en France et aux Etats- d’établir des liens privilégiés, mais indépen-
réglementaires, de la qualité globale, HSE et Unis du Groupe Sanofi, et la spécificité de son dants, avec les fonctions opérationnelles et
d’autres fonctions ERM (systèmes d’informa- activité, font des auditeurs externes et des supports des organisations régionales du
tion). Certaines fonctions intègrent des dispo- autorités de tutelles du secteur pharmaceu- Groupe, de s’imprégner des réglementations
sitifs d’audit experts et réalisent des audits tiques, des acteurs clés de la gouvernance et contraintes opérationnelles locales, ainsi
« ciblés » de la première ligne de maîtrise afin Sanofi, pouvant être qualifiés de quatrième que des risques et des enjeux spécifiques. Les
de s’assurer de la mise en œuvre correcte des ligne de maîtrise. Ils fournissent aux organes missions menées par chaque bureau sont
référentiels et des contrôles, et de la maitrise de gouvernance du Groupe une assurance définies au travers d’un plan d’audit annuel et
des risques. La deuxième ligne de maîtrise rat- complémentaire à celle émanant des lignes pluriannuel validé par le directeur général et
tachée aux différentes fonctions du Groupe de maîtrise internes, relative notamment à la le Comité d’audit Groupe.
rend compte régulièrement du niveau de conformité des états financiers publiés et au Afin d’assurer une couverture adéquate des
contrôle des opérations au Comité de direc- respect des bonnes pratiques pharmaceu- risques, d’adapter ses modes de fonctionne-
tion via les différents comités spécialisés tiques. ment et se coordonner avec les différentes
(Comité des risques, Comité compliance). lignes de maîtrise, l’audit interne, via ses trois
L’audit interne, rattaché hiérarchiquement au Interaction de l’audit interne bureaux, interagit régulièrement avec les dif-
directeur général Groupe et fonctionnelle- avec les différentes lignes de férents acteurs de la gestion des risques et du
ment au président du Comité d’audit, consti- maîtrise contrôle interne du Groupe Sanofi. Ces inter-
tue la troisième ligne de maîtrise. Il s’assure au actions jalonnent les processus opérationnels
travers de ses missions de l’efficacité de la ges- L’audit interne du Groupe Sanofi compte envi- de l’audit interne :
tion des risques au sein de l’organisation. Pour ron 70 personnes, dont une cinquantaine  Lors de l’élaboration du plan d’audit annuel,
garantir la pertinence de son mandat, et sa d’auditeurs, répartie sur trois bureaux régio- les bureaux échangent sur les zones de

n° 001 — audit, risques & contrôle — 1er trimestre 2015 29


DOSSIER

risques identifiées avec chaque ligne de Outre, l’assurance intégrée fournie sur le dis- Tout d’abord la mise en place d’un référentiel
maîtrise. Les informations collectées sont positif de conformité aux organes de gouver- des zones de risques et un catalogue des
consolidées et hiérarchisées pour définir le nance, ces missions contribuent au risques Groupe commun à l’ensemble des
plan d’audit interne du Groupe. Une fois renforcement des échanges et de la collabo- lignes de maîtrise permet de définir un lan-
validés, les plans d’audits de l’audit interne ration entre la seconde ligne de maîtrise et gage commun.
et des audits expert (ex. : SI, qualité) du l’audit interne, et permettent une améliora- Ensuite, le déploiement du référentiel de
Groupe sont échangés afin d’assurer une tion continue des pratiques respectives. contrôle interne au sein du Groupe basé sur
approche d’audit coordonnée au niveau une approche par processus partagée entre
Groupe. Les principaux challenges les différents acteurs et comprenant une liste
 Lors de la préparation d’une mission d’au- et priorités à venir de contrôles obligatoires, assure un socle de
dit, des entretiens avec le management de base qui fait l’objet d’audit régulier.
la première ligne de maîtrise sont systéma- Si l’efficacité de la gouvernance des risques Enfin, les parties prenantes de ce dispositif
tiquement organisés. Les fonctions de la basée sur le modèle des trois lignes de maî- doivent expliquer les rôles et responsabilités
seconde ligne de maîtrise communiquent trise n’est plus à démontrer, elle doit encore de chaque métier au sein du Groupe, valoriser
à l’audit interne les résultats de leurs der- être optimisée. A ce jour, Le Groupe Sanofi a les enjeux des différentes interactions afin de
niers contrôles / missions / revues relatifs à retenu trois axes prioritaires de développe- garantir une assurance intégrée de la couver-
l’entité auditée. Tous ces éléments font ment. ture des risques et de l’efficacité du dispositif
partie intégrante de l’analyse de risques dans son ensemble. 
permettant de déterminer le périmètre et
les objectifs de la mission d’audit.
 Au cours de la phase terrain, les observa-
tions soulevées relevant plus spécifique-
ment des secondes lignes de maîtrise, sont
régulièrement discutées et validées avec
celles-ci. Audit interne et seconde ligne de
maîtrise s’accordent sur le constat, sa sévé-
rité, la recommandation et le délai d’implé-
mentation.
 Les résultats des missions d’audits internes
sont enfin partagés avec la seconde ligne
de maîtrise. Celle-ci peut également, le cas
échéant, évaluer le niveau de mise en
œuvre d’un plan d’action issu d’une mis-
sion d’audit interne lors de ses propres
investigations terrain.
 Enfin, l’audit interne interagit également
avec les auditeurs externes. Ainsi, deux réu-
nions annuelles sont par exemple adossées
aux échéances du calendrier financier. De
plus, les plans d’audit respectifs et l’évalua-
tion des risques sont également partagés
lors de réunions formelles. Les auditeurs
externes sont par ailleurs destinataires de
tous les rapports de mission de l’audit
interne.

Les missions conduites


par l’audit interne pour donner
une assurance du dispositif
de la conformité

L’audit interne de Sanofi évalue le dispositif


global de conformité des risques en auditant
aussi bien la première ligne de maîtrise que la
seconde.
Les audits de la première ligne constituent
une majorité du plan d’audit annuel. Des mis-
sions d’audits ou de diagnostics ciblées sur les
fonctions de la seconde ligne de maîtrise sont
également conduites pour évaluer l’organisa-
tion et la maturité des départements de
conformité, qualité ou pharmacovigilance.

30 1er trimestre 2015 — audit, risques & contrôle - n° 001


DOSSIER

La conformité, acteur
© Sergey Nivens - Fotolia.com

de premier plan
dans le dispositif
de contrôle interne
bancaire
des risques nouveaux – les risques de non-
L’audit de conformité a toujours constitué la base de la démarche de l’auditeur dont la conformité – exposant les banques, au-delà
mission première consistait à vérifier la bonne application des procédures internes. du risque de réputation, à des risques de
L’évolution du cadre d’activité des banques a conduit les superviseurs à définir les sanctions financières pouvant affecter signifi-
risques de non-conformité et à les encadrer par un dispositif normatif précis et contrai- cativement la rentabilité et au-delà les fonds
gnant devant faire l’objet d’une évaluation régulière par l’audit interne. propres d’un établissement.
C’est la raison pour laquelle l’audit de la
conformité est devenu un enjeu majeur pour
Michel Le Masson, Inspecteur général, Crédit Agricole le secteur bancaire dans l’évaluation du dis-
positif de contrôle interne par la fonction
d’audit interne.

L
’environnement l’offre commerciale à la clientèle, qu’elle soit On est ainsi passé d’un audit de conformité à
dans lequel les de particuliers, d’entreprises ou institution- un audit de la fonction conformité.
banques exer- nelle auxquels sont proposés des produits de
cent leur activité s’est plus en plus complexes dans des marchés L’audit de conformité a toujours constitué la
au cours des années désormais globalisés et soumis à des régle- base de la démarche de l’auditeur dont la mis-
considérablement complexifié avec la diver- mentations multiples. sion première consistait à vérifier la bonne
sité des métiers exercés, l’enrichissement de Ceci conduit l’audit interne à devoir évaluer application des procédures internes, c’est-à-

n° 001 — audit, risques & contrôle — 1er trimestre 2015 31


DOSSIER

« Il appartient à l’audit interne d’évaluer le positionnement


de la fonction conformité au sein de la gouvernance
»
tion de la remontée des dysfonction-
nements ou des incidents de conformité à
la gouvernance.

L’évaluation de l’efficacité du dispositif de


conformité dans les banques mobilise des res-
dire le respect par les fonctions de l’entreprise pilotage des dispositifs de prévention des sources d’audit croissantes. Elle nécessite sou-
d’un référentiel interne ou externe. risques de non-conformité. Le positionne- vent une réelle expertise réglementaire des
Mais l’évolution du cadre d’activité des ment de son responsable auprès d’un métiers audités ainsi que des auditeurs spé-
banques, aussi bien sur leur marché domes- membre de l’organe exécutif et son accès à cialisés dans les systèmes d’information, en
tique avec le développement de législations l’organe délibérant directement ou via le particulier pour les problématiques liées aux
protectrices de la clientèle qu’à l’international Comité d’audit (Comité des risques) au même filtrages des flux et des moyens de paiement
avec les règles relatives au respect des règles titre que le responsable de la fonction risques ou l’exploitation de bases de données ou de
d’embargo ou de lutte contre le blanchiment ou le responsable d’audit interne témoignent systèmes (contrôle des abus de marché).
de capitaux ou le financement du terrorisme, du poids pris par la fonction au cœur du dis- L’évaluation des ressources dédiées à l’audit
ont conduit les superviseurs à définir les positif de contrôle interne. de la conformité n’est pas toujours aisée. Si un
risques de non-conformité et à les encadrer chantier conformité est ainsi déjà intégré sys-
par un dispositif normatif précis et contrai- La fonction de conformité est ainsi devenue tématiquement à toutes les missions d’audit
gnant devant faire l’objet d’une évaluation un enjeu d’audit important tant pour la gou- sous forme d’enquêtes générales de type
régulière par l’audit interne. La fonction de vernance que pour le superviseur. monographique, celui-ci peut prendre des
conformité est ainsi devenue une fonction formes variées allant de la déclinaison de
essentielle du dispositif de contrôle interne au  Il nécessite pour la fonction d’audit interne guides d’audits réglementaires standards à
même titre que la fonction de contrôle des de pouvoir exploiter la cartographie des des chantiers ad hoc nécessitant des moyens
risques. risques de non-conformité pour établir la dédiés.
propre vision de l’audit interne qui permet-
Les risques de non-conformité sont repris in tra d’identifier les missions à programmer En revanche, les missions thématiques visant
extenso dans l’arrêté du 3 novembre 2014 dans le plan d’audit. Il conduit également à évaluer le fonctionnement du dispositif de
relatif au contrôle interne des entreprises du l’audit interne à évaluer la robustesse du sécurité financière, d’abus de marché ou tous
secteur de la Banque, qui s’est substitué au dispositif de contrôle permanent de la les aspects visant à assurer la protection du
règlement 97-02, en particulier le chapitre 2 conformité servi par des outils dédiés (en consommateur sont identifiables dans le plan
intitulé « Dispositif de contrôle de la confor- particulier les outils de prévention et la d’audit, de même que les missions visant à
mité » et le chapitre 3 « Dispositif de lutte détection des opérations de blanchiment, apprécier la fonction conformité au sein de la
contre le blanchiment des capitaux et le de filtrage des flux, ainsi que du contrôle gouvernance. Elles représentent une part
financement du terrorisme », soit les articles des abus de marché…). Les dispositifs de croissante des missions du plan d’audit, à la
28 à 73 d’un règlement qui en compte désor- reportings et d’indicateurs permettant fois en nombre de missions, mais aussi en
mais 280. d’évaluer les plans de contrôle des unités taille, ces missions pouvant mobiliser de façon
entrent également dans le champ des transverse un grand nombre d’auditeurs en
Le risque de non-conformité, résultat d’une investigations, de même que les plans de fonction des enjeux, de la dimension système
réflexion menée au début des années 2000 au formation des collaborateurs aux problé- et du nombre d’entités impactées.
sein notamment du Comité de Bâle, est défini matiques de conformité. Ainsi, l’apprécia-
par la réglementation (article 10p de l’arrêté tion de la culture conformité de l’entreprise En conséquence, le nombre de recommanda-
du 3 novembre 2014) « comme le risque de et la détection des comportements à risque tions émises par les missions d’audit sur la
sanction judiciaire, administrative ou discipli- deviennent des points d’audit, la réglemen- thématique de la conformité augmente régu-
naire, de perte financière significative ou d’at- tation prévoyant désormais que ces élé- lièrement pour constituer aujourd’hui une
teinte à la réputation qui naît du non-respect des ments soient intégrés dans la politique de partie importante du stock de recommanda-
dispositions propres aux activités bancaires et rémunération des collaborateurs. tions.
financières, qu’elles soient de nature législative
ou réglementaire, nationales ou européennes  Enfin, il appartient également à l’audit Ainsi, face à des risques de conformité évolu-
directement applicables ou qu’il s’agisse de interne d’évaluer le positionnement de la tifs parfois difficiles à évaluer de par leur
normes professionnelles et déontologiques ou fonction au sein de la gouvernance. Ceci se nature juridique et la complexité d’une régle-
d’instruction des dirigeants effectifs, notamment fait par la vérification de l’adéquation des mentation mouvante, les audits bancaires
en application des orientations de l’organe de moyens, l’évaluation du fonctionnement sont fortement mobilisés pour apprécier ces
surveillance ». des Comités dans lesquels la conformité risques et les remonter à la gouvernance.
exerce ses fonctions, l’analyse des dossiers Cette mobilisation est à la hauteur des enjeux
Les banques ont investi des moyens impor- refusés, le suivi des plans d’action spéci- financiers et de réputation attachés à la maî-
tants au cours de la dernière décennie pour fiques à la suite de dysfonctionnements trise des risques de non-conformité. 
mettre en place une fonction de conformité constatés, la capacité à mobiliser sur des
organisée sous forme d’une ligne métier chantiers transverses suite à la mise en 1. Foreign Account Tax Compliance Act, réglement du Code
dotée de moyens spécifiques permettant de place de nouvelles réglementations (type Fiscal des Etats-Unis qui oblige les banques des pays
fixer un cadre partagé sur base d’un référen- FATCA1) ou de suites à donner à des mis- signataires de l’accord à communiquer au Département du
Trésor des Etats-Unis tous les comptes détenus par des
tiel commun et d’organiser l’animation et le sions des superviseurs, enfin par la vérifica- citoyens américains.

32 1er trimestre 2015 — audit, risques & contrôle - n° 001


DOSSIER
© thodonal - Fotolia.com

L'audit de conformité :
une implication de
plusieurs acteurs
social et économique du Québec. Formant
Les Orientations publiées par le Comité de Bâle sur le contrôle bancaire, ainsi que les aujourd'hui l'un des plus importants groupes
lignes directrices des Autorités des marchés financiers du Québec (AMF) exposent clai- financiers au Canada (un actif de près de 227
rement la nécessité et l’importance pour les institutions financières comme Desjardins G$, 5,5 millions de membres et clients, 45 000
de s’assurer de leur conformité aux lois, règlements et lignes directrices. employés et 360 caisses au Québec et en
Ontario). De plus, Desjardins se classe premier
en Amérique du Nord et deuxième au
Entretien avec Clément Clément, Directeur principal, audit interne, monde, en 2014, pour sa solidité financière, ex
Fonctions Mouvement au Bureau de la Surveillance du Mouvement aequo avec une autre banque coopérative
Desjardins japonaise, selon Bloomberg. Enfin, Desjardins
est toujours resté fidèle à la philosophie de
son fondateur : contribuer au mieux-être des
Farid Al Mahsani1 : Présentation individus et des collectivités. À ce titre, le
Merci d’avoir accepté magazine Corporate Knights a placé le
de participer à cette première édition de la F. Al M. : Parlez-nous brièvement de votre Mouvement Desjardins au 8e rang du classe-
revue « Audit, risques & contrôle ». Les ques- organisation et ensuite de votre unité et son ment des 50 meilleures entreprises citoyen-
tions vont porter dans un premier temps sur positionnement dans la structure organisa- nes au Canada en 2013.
une présentation générale de votre organisa- tionnelle. Il est important de souligner le caractère spé-
tion. Deuxièmement, nous aborderons des cifique de gouvernance du Mouvement des
questions du cadre général de la conformité. Clément Clément : L'histoire du Mouvement caisses Desjardins. Chacune des caisses popu-
Troisièmement, nous nous attarderons sur le Desjardins est indissociable de celle du laires est une entité juridique distincte,
rôle de l’audit interne. Finalement, nous Québec moderne. Depuis plus d'un siècle, le regroupée sous la Fédération des caisses
conclurons cette entrevue par les défis aux- développement de son réseau et la diversifi- populaires à laquelle se greffent plusieurs
quels votre unité est confrontée. cation de ses activités ont accompagné l'essor filiales. Les secteurs d’activités Particuliers et

n° 001 — audit, risques & contrôle — 1er trimestre 2015 33


DOSSIER

Entreprises, Gestion de patrimoine et bénéficier d’un délai d’ap-


Assurance de personnes et Assurance de plication. Ces lignes direc-
dommages proposent aux membres et aux trices, une vingtaine, vont
clients, particuliers et entreprises, une gamme du très général (gouver-
complète de produits et de services financiers nance, gestion intégrée
offrant une réponse adaptée à leurs besoins. des risques, critères de
probité et compétences,
Bureau de la surveillance du Mouvement conformité) au très parti-
Desjardins culier (billets à capital pro-
Dans un souci de gestion saine et prudente tégé, gestion des risques
de la part des dirigeants, Desjardins a mis en liés à la titrisation, simula-
place un cadre unique pour surveiller ses acti- tions de crise).
vités par le biais du Bureau de surveillance, Il y a également d’autres
organisation indépendante et objective d’as- exigences réglementaires dont celles reliées et en procédant à des inspections pério-
surance et de conseil. au règlement 52-109 (le « Sarbanes-Oxley » diques des activités. Enfin, le Mouvement
Sa mission s’articule autour de deux points : canadien) portant sur « l'attestation de l'infor- Desjardins a mis en place un mécanisme
 Assister les dirigeants du Mouvement dans mation présentée dans les documents formel de reddition de comptes à cet égard à
l’exercice de leur responsabilité de gouver- annuels et intermédiaires des émetteurs ». l’intention de la haute direction et des
nance, surveiller et conseiller la direction Il faut également ajouter une multitude d’au- diverses instances. Cette gestion d'ensemble
dans sa responsabilité de gestion saine et tres lois qui ont des impacts importants sur la de la conformité vise à procurer l’assurance
prudente. surveillance que l’on doit en faire. Je pense ici raisonnable que la conduite des activités du
 Contribuer à l’amélioration de la perfor- notamment aux diverses lois portant sur la Mouvement respecte la réglementation à
mance globale du Mouvement et au main- protection des renseignements personnels laquelle elles sont assujetties.
tien de la confiance des membres, du ainsi que la « Loi sur le recyclage des produits
public et des organismes réglementaires de la criminalité et le financement des activi- F. Al M. : Qui pilote la conformité réglemen-
envers Desjardins. tés terroristes ». taire à haut niveau ?

Le Bureau de la Surveillance est responsable F. Al M. : Existe-il une autre unité, autre que la C. C. : Chez Desjardins, c’est un comité du
de l’audit interne des filiales et des compo- vôtre qui réalise des activités de conformité Conseil d’administration du Mouvement, la
santes du Mouvement Desjardins, de l’audit (services spécifiques en conformité, contrôle commission Vérification et Inspection qui
externe des états financiers des caisses du interne, direction des affaires juridiques, etc.) ? exerce cette fonction. Les rôles et responsabi-
Québec et de l’inspection des caisses du lités de cette commission sont définis de
Québec et de l’Ontario. C. C. : La gestion et la surveillance de la façon à donner à ses membres une indication
conformité implique plusieurs acteurs. Selon claire de leurs fonctions, qui sont de l’ordre de
Cadre général le concept des trois lignes de défense, il y a la surveillance. Elle dispose des pouvoirs et de
Les Orientations publiées par le Comité de d’abord ceux en 1re ligne qui sont responsa- toute l’information nécessaires pour remplir
Bâle sur le contrôle bancaire ainsi que les bles des diverses activités. Chez Desjardins et son mandat. Elle revoit l’ensemble de l’infor-
lignes directrices des Autorités des marchés comme dans la plupart des grandes institu- mation financière, supervise les redditions de
financiers du Québec (AMF) exposent claire- tions financières, il y a également des acteurs comptes requises et exerce un rôle de pre-
ment la nécessité et l’importance pour les ins- de 2e ligne tels les responsables de la gestion mier plan quant à la surveillance des contrôles
titutions financières comme Desjardins de des risques, ceux du programme 52-109, les relatifs à l’information financière et à l’appré-
s’assurer de leur conformité aux lois, règle- actuaires désignés, de même que le chef de ciation de leur adéquation aux besoins à cet
ments et lignes directrices. la conformité. On y reviendra plus loin. égard. Elle dispose de moyens de communi-
En particulier, le Bureau du chef de la confor- cation directs avec le Bureau de la
F. Al M. : Quelles sont les principales exigences mité du Mouvement est responsable de l'éla- Surveillance. Elle est également en contact
réglementaires auxquelles est soumis le boration de la mise à jour et du maintien du avec les auditeurs externes, avec qui elle peut
Mouvement des caisses Desjardins ? cadre de gestion de la conformité, qui s'ap- discuter et passer en revue certaines ques-
puie sur l'identification et le suivi des obliga- tions, le cas échéant. Elle tient des séances à
C. C. : Comme vous vous en doutez, les insti- tions réglementaires ainsi que des unités huis clos, sans la présence de membres de la
tutions financières au Canada comme ailleurs, fonctionnelles visées par celles-ci. Pour ce direction. Cette commission veille à l’indépen-
sont très règlementées. Il faut d’abord souli- faire, une vigie des développements en dance du secteur de l’audit interne du
gner que, dans la foulée des exigences de matière de réglementation et de leur inci- Mouvement Desjardins et adopte son plan
Bâle, Desjardins a été déclaré par l’AMF, son dence sur les activités est effectuée en d’action annuel.
autorité réglementaire, « institution financière continu par la fonction de conformité en col-
à risque systémique intérieure ». Ce statut laboration avec le service des Affaires juri- Rôle de l’audit
implique notamment une surveillance accrue diques. La fonction de conformité appuie les
de la part de l’AMF et par conséquent des gestionnaires responsables des secteurs d’ac- F. Al M. : Quels sont les risques de conformité
attentes plus élevées envers le Bureau de la tivité et des fonctions de soutien dans la ges- couverts par l'audit ?
Surveillance du Mouvement Desjardins. Ce tion efficace de leurs risques, en élaborant
statut confère également l’exigence de la l’encadrement et la documentation perti- C. C. : Les risques sont évalués principalement
mise en œuvre des diverses lignes directrices nente, en exerçant un rôle de conseil, en met- dans le cadre de l’analyse des risques réalisée
de l’AMF dès la publication de celles-ci, sans tant en place des programmes de formation lors de la préparation du plan annuel d’audit.

34 1er trimestre 2015 — audit, risques & contrôle - n° 001


DOSSIER

Le plan annuel comprend notamment les même pour de vastes segments de la règle- cience et d’économie. C’est l’essence même
mandats statutaires tels ceux prescrits par la mentation relative aux exigences de Bâle qui du concept de GRC (gouvernance, risque et
Loi sur le recyclage des produits de la crimi- vise à ce que l’institution financière dispose conformité) pour assurer une gestion opti-
nalité et le financement des activités terro- de solides processus de gestion des risques. male de tous ceux dont la mission est de pro-
ristes qui exigent un audit indépendant, tous Ces processus sont au cœur de la mission des curer une assurance quant à la maturité
les deux ans, de chacune des entités décla- institutions financières et de leur saine gestion appropriée des processus et une surveillance
rantes faisant partie du groupe. À ces mandats des activités. adéquate.
statutaires périodiques, s’ajoutent divers man- Dans le contexte d’aujourd’hui, les entreprises
dats définis selon l’analyse de risque et peu- F. Al M. : Chez Desjardins, l'audit interne fait-il qui réussissent le mieux à cet égard peuvent
vent concerner divers sujets tels que la des missions d'évaluation sur la deuxième ainsi se procurer un avantage concurrentiel.
protection des renseignements personnels et ligne de défense ? Des équipes de Desjardins travaillent en ce
les pratiques commerciales. Aussi, le contexte sens et l’audit interne surveille de près l’évo-
des exigences de Bâle et de la désignation de C. C. : L’audit interne s’appuie de plus en plus lution de ces travaux. L’audit interne compte
Desjardins comme institution financière à sur le concept des trois lignes de défense et effectivement s’appuyer de plus en plus sur
risque systémique intérieure, implique actuel- plusieurs discussions sont en cours à ce sujet les travaux de la 2e ligne de défense selon son
lement le déploiement d’efforts importants actuellement. En particulier dans les institu- évaluation de la maturité de cette dernière.
pour l’obtention des agréments prévus dans tions financières, il y a un défi actuellement de
la réglementation. Le Bureau de la bien définir et coordonner ces lignes de F. Al M. : Quel suivi faites-vous auprès du
Surveillance du Mouvement Desjardins, à titre défense. Autrement dit, s’assurer d’avoir un Comité d’audit et des risques au sujet de la
d’auditeur interne, est appelé à réaliser des langage et un référentiel communs, et un res- gestion des risques et de conformité ?
travaux de revue indépendante tout au long ponsable qui coordonne l’ensemble des tra-
de la mise en place des agréments et d’attes- vaux de la 2e ligne, notamment ceux de la C. C. : Chaque groupe composant la 2e ligne
ter le respect des exigences par des audits conformité, dans un souci d’efficacité, d’effi- de défense fait une reddition de comptes
indépendants.

F. Al M. : Parmi les activités de l’audit interne


de votre unité (évaluation de la pertinence et
de l’efficacité du dispositif de contrôle, audit
de conformité, VOR, audit des TI, services
conseil, etc.) quelle proportion prennent
celles de l’audit de conformité ?

C. C. : Outre les travaux directement reliés aux


exigences de Bâle, il est difficile de déterminer
de telles proportions du fait que plusieurs
lignes directrices des autorités règlementaires
s’appuient sur des principes de saine gestion
(ex. : gouvernance, gestion intégrée des
risques). Par exemple, un mandat portant sur
la gouvernance de l’entreprise couvrira le res-
pect de certains principes énoncés dans la
Ligne directrice sur la gouvernance de l’AMF
mais portera davantage sur la saine gestion
que sur des aspects purement de conformité.
On dit que le principal risque de conformité
en est un de réputation. Ainsi, lorsqu’on réalise
un mandat portant, par exemple sur la pro-
tection des renseignements personnels, nous
nous assurons bien sûr que la règlementation
est respectée tout en ayant à l’esprit la possi-
bilité et les impacts potentiels qu’aurait un
événement malheureux à ce sujet. Il en est de

Dans le cadre du modèle des trois lignes


de défense (ou de maîtrise), l'IIA définit
les première, deuxième et troisième
lignes, respectivement comme étant « les
contrôles pilotés par le management »,
« le suivi du contrôle des risques et de la
conformité », et « l’assurance indépen-
dante fournie par l’audit interne ».

n° 001 — audit, risques & contrôle — 1er trimestre 2015 35


DOSSIER

auprès de l’instance appropriée selon les res- nisation (Conseils d’administration et ses divers une bonne gestion de la conformité et ce défi
ponsabilités définies dans leur charte respec- comités ainsi que la Direction générale). Avec le n’est pas propre à l’audit interne. Il peut arriver
tive (commission vérification et inspection et temps et les divers scandales financiers interna- qu’il soit difficile de démontrer la valeur ajou-
commission de gestion des risques notam- tionaux survenus ces dernières années, les ges- tée que procureent des travaux pour se
ment). tionnaires et les employés comprennent mieux conformer à des règles quelconques. Mais
les besoins d’audit et de surveillance en général aujourd’hui, les autorités réglementaires
F. Al M. : Quelles relations entretenez-vous de même que les besoins de démontrer la saine appuient de plus en plus leurs exigences, sur
avec les principaux acteurs, essentiellement utilisation des ressources mises à la disposition des principes de saine gestion. Les organisa-
ceux du service de la conformité et la direc- des gestionnaires. Cependant, on peut com- tions qui intègrent le mieux ces exigences à
tion des affaires juridiques ? prendre que pour plusieurs acteurs de la 1re leur processus d’affaires, et non pas un pro-
ligne de défense, il peut exister une confusion cessus parallèle pour rencontrer des exi-
C. C. : Comme indiqué antérieurement, l’en- entre les rôles des auditeurs internes, des audi- gences, s’assureront non seulement d’un
semble des acteurs utilise les concepts véhi- teurs externes, des gestionnaires de risques, de avantage compétitif, mais aussi d’un rehaus-
culés dans les trois lignes de défense. Il existe conformité, d’assurance-qualité et autres. C’est sement de leur image. De même, la compré-
diverses tables de concertations ou de comi- un défi de communication et de démonstra- hension mutuelle des divers acteurs
tés conjoints pour assurer, comme expliqué tion de la valeur ajoutée de même que de la impliqués dans les lignes de défense et la
plus haut, la cohérence des actions de ces coordination entre les différents groupes. coordination de leurs travaux assurera une
divers intervenants. efficience et une efficacité des processus et il
* * * s’agit là, dans le contexte d’aujourd’hui, d’un
F. Al M. : Dans votre organisation, comment enjeu stratégique majeur. 
est perçue la fonction d’audit interne et en F. Al M. : A quels défis votre unité est-elle
particulier l’audit de conformité ? Une néces- confrontée pour répondre aux attentes des
sité ou une valeur ajoutée pour l’organisa- parties prenantes dans votre organisation en
tion ? termes de conformité?

C. C. : La fonction d’audit interne représente un C. C. : À mon avis, le principal défi consiste à 1. Entrevue réalisée par Farid Al Mahsani, Correspondant de
pilier important pour la gouvernance de l’orga- démontrer la valeur ajoutée que représente la Revue pour la partie Amérique (Canada/Québec et Haïti).

36 1er trimestre 2015 — audit, risques & contrôle - n° 001


Progressez sur
des bases solides

Votre engagement pour


+ de bonnes pratiques
+ de performance
+ de légitimité
+ de sécurité

Conception : ebzone communication - Photo : © Jakub Cejpek - Fotolia.com

Le label de qualité et de performance Certification


IFACI est délivré aux services d'audit interne qui Contactez-nous :
appliquent de façon pérenne les trente exigences Tél. : 01 44 70 63 00
pragmatiques du Référentiel Professionnel de E-mail : certification@ifaci.com
l'Audit Interne.
À LA DÉCOUVERTE DE ...

Une confiance
à gagner,
une légitimité et
une crédibilité à
construire
Nour-El-Houda Nabila Garici-Boughalem, Directrice de l’audit, ATM Mobilis

A
TM Mobilis, filiale d’Algérie Télécom, s’assure que les dispositifs mis en œuvre au Les types d’audit réalisés
est l’un des acteurs majeurs du sec- sein de chaque structure de l’entreprise per- Tout type d’audit peut être inclus dans le plan
teur des TIC en Algérie. Entreprise mettent à celle-ci de maîtriser son fonction- d’audit : des audits « classiques » tels que l’au-
publique économique, elle est le nement et d’atteindre ses objectifs. Elle dit des processus ventes, achats, créances, RH,
premier opérateur mobile en Algérie, créée en assume une fonction support au manage- maintenance, etc., les audits transverses (pro-
2003 et entrée officiellement en activité le 1er ment, indépendante de la ligne opération- cessus de reporting, élaboration des plans
janvier 2004. Avec un chiffre d’affaires de plus nelle. Outre ses missions d’assurance, la d’actions et des budgets…), les audits de pro-
de 86 milliards de DA (près de 1 milliard de $ Direction de l’audit interne peut mener des jets, les audits de suivi de la mise en œuvre
USD), elle emploie plus de 5000 personnes et activités de conseil. des recommandations d’audit, le suivi de la
compte plus de 15 millions d’abonnés. levée des réserves des commissaires aux
Son rattachement comptes…
A la découverte de la Direction La Direction de l’audit d’ATM Mobilis est ratta- Pour une première année de production, les
de l’audit interne chée hiérarchiquement au président-direc- audits de conformité ont été privilégiés.
teur général et fonctionnellement au Comité
Dans son effort de développement et de crois- d’audit des comptes et au Comité d’audit Une nouvelle organisation
sance, ATM Mobilis a décidé de renforcer et de technique. et davantage de moyens
moderniser sa Direction de l’audit interne.
L’objectif recherché est de doter l’entreprise Son champ d’intervention L’entreprise a décidé de renforcer et de
d’une structure professionnelle, à même d’ap- L’univers d’audit inclut l’ensemble des entités moderniser sa Direction de l’audit. C’est ainsi,
porter une assistance au management, à tra- (opérationnelles, fonctionnelles et régionales), qu’à la fin de l’année 2013, un plan d’action a
vers une opinion indépendante sur les fonctions, processus et systèmes de l’entre- été adopté et couvre plusieurs volets.
dispositifs de contrôle interne en place et des prise.
propositions d’amélioration de l’existant. Sur le plan organisationnel
Son effectif Une nouvelle organisation de la Direction de
Sa principale mission Aujourd’hui, l’effectif est de 10. Il est appelé à aug- l’audit a été adoptée par l’entreprise, privilé-
La Direction de l’audit interne de Mobilis menter, dans le cadre de la mise en œuvre d’un giant à la fois le travail de terrain et le volet
évalue les processus de contrôle interne et processus de recrutement, entamé en 2014. méthodes, par la création de deux structures

38 1er trimestre 2015 — audit, risques & contrôle - n° 001


À LA DÉCOUVERTE DE ...
© Giulio_Fornasar - Fotolia.com

distinctes mais complémentaires : conduite contenus dans le code de déon- sances en finances et comptabilité et sur les
 La première est chargée du volet tologie des instituts de référence de la fonc- capacités de communication des candidats.
méthodes, par la mise à disposition des tion. L’équipe, aujourd’hui, est composée d’une
auditeurs internes des Normes de l’audit  La mise à disposition des auditeurs des dizaine de personnes avec une prédomi-
interne, des MPA, des processus, des procé- Normes de la profession et des modalités nance de profils de diplômés en finances et
dures et des outils nécessaires à la réalisa- pratiques de leur application (MPA). en sciences juridiques et d’éléments de cabi-
tion des missions d’audit et en s’assurant de nets d’audit et de commissariat aux comptes
leur application. Elle est également chargée Sur le plan des ressources humaines avec une expérience de deux à sept ans en
du reporting. Elle gère, par ailleurs, le fonds  L’évaluation des besoins en ressources audit interne / externe. Elle devra être renfor-
documentaire de l’audit et suit le volet humaines et le lancement d’un processus cée par des recrutements, en interne ou en
« développement des compétences » des de recrutement d’auditeurs juniors et externe, d’ingénieurs dans les métiers de l’en-
auditeurs. seniors, pour assurer des missions d’audi- treprise.
 La seconde est chargée de planifier, de réa- teur, de chef de mission et de superviseur
liser les missions d’audit au niveau des des missions d’audit. Pour ce qui est du développement
structures opérationnelles, fonctionnelles  L’élaboration d’un programme de dévelop- des compétences des auditeurs
et régionales et d’élaborer les rapports d’au- pement des compétences des auditeurs et Un plan directeur de formation a été élaboré,
dit y afférents. l’entame de sa mise en œuvre, en collabo- sur la base d’une identification des compé-
ration avec la structure en charge de la for- tences requises pour tout auditeur interne. Il
Sur le plan référentiel d’audit mation. identifie les formations devant être dispen-
 L’élaboration de la charte d’audit d’ATM sées aux auditeurs internes pour s’assurer qu’à
Mobilis s’inspire des normes consacrées et Pour ce qui est du profil des auditeurs terme chaque auditeur dispose des compé-
qui définit la mission, le rôle et les respon- Des appels à candidatures ont été lancés, tences nécessaires à l’exercice de son métier.
sabilités de la Direction de l’audit. Outre un pour recruter, en interne et en externe, des Une distinction est faite entre les formations
rappel de la définition de l’audit interne, auditeurs juniors et des seniors (chefs de mis- communes à l’ensemble de la population
cette charte précise le rattachement de sion et superviseurs), avec des conditions appartenant à la filière audit et les formations
l’audit et définit les droits et obligations des d’accès précisant les filières recherchées spécifiques à chacune des catégories de
auditeurs et des audités, le champ et les (expertise comptable, diplômés des écoles de ladite filière (auditeurs juniors, chefs de mis-
modalités d’intervention de l’audit ainsi que commerce ou de gestion, ingénieurs…), le sion et managers).
le processus d’approbation et de révision nombre d’années d’expérience profession- C’est ainsi qu’il a été décidé de faire suivre à
de ladite charte. nelle souhaitées en audit selon le poste à tout auditeur rejoignant l’équipe de la
 L’élaboration du code de déontologie des pourvoir, les aptitudes professionnelles ainsi Direction, le cursus DPAI de l’IFACI, la prépa-
auditeurs d’ATM Mobilis reprend, quant à que les qualités personnelles requises. ration à ce cursus se faisant avec des forma-
lui, les principes fondamentaux et règles de L’accent est mis, notamment, sur les connais- teurs de l’IFACI et de l’AACIA.

n° 001 — audit, risques & contrôle — 1er trimestre 2015 39


À LA DÉCOUVERTE DE ...

Pour cela, elle doit relever plu- par ses méthodes et les com-
sieurs défis ; les plus importants pétences techniques, managé-
sont les suivants : riales, comportementales et
relationnelles de ses membres.
 Recruter des auditeurs com- L’équipe d’audit, tous grades
pétents et les fidéliser : cet confondus, doit donner
objectif doit, toutefois, tenir l’exemple en respectant les
compte des contraintes de règles que l’entreprise lui fixe
rareté des profils seniors sur le et les règles que lui fixe la pro-
marché de l’emploi. Pour fession. C’est en veillant à la
dépasser cette contrainte, l’op- qualité des travauxd’audit et à
tion choisie est de recruter des leur caractère « incontestable
juniors, de leur faire suivre une », que nous arriverons à gagner
formation de qualité, leur en crédibilité et à gagner le res-
adjoindre des seniors recrutés pect des audités et de la
en externe lorsque la ressource Direction générale.
est disponible, et de renforcer
ces équipes par des recrute-  Gagner la confiance du
A ces formations viennent s’ajou- Fonds documentaire ments en interne de profils management : cet objectif
ter des formations induction sur L’objectif recherché à travers techniques, qui compléteront peut être atteint en étant à
les métiers de l’entreprise, des for- cette action, est de mettre en leur formation de base par une l’écoute des besoins et des
mations en audits spécialisés place un fonds documentaire formation en audit interne, attentes de la Direction géné-
(audit des achats, audit des dédié à l’audit interne, pour assu- avec l’objectif d’en faire des rale et en étant à l’affût des
contrats, audit des RH, audit des rer le développement continu managers d’équipes. évolutions de l’environnement,
SI…), des formations managé- des compétences des auditeurs tant externe qu’interne à l’en-
riales (gestion des équipes, ges- et leur permettre ainsi d’exercer  Veiller à la professionnalisa- treprise ; la Direction de l’audit
tion des conflits, gestion du au mieux leur mission. Dans un tion des auditeurs et au déve- doit être en mesure d’anticiper
temps...) ainsi que d’autres forma- premier temps et en sus de loppement continu de leurs les risques qui pourraient
tions indispensables ( IAS/IFRS, l’adhésion à l’IFACI, il a été pro- compétences : une impor- menacer l’atteinte des objec-
bureautique…).

Sur le plan des procédures et


outils de travail
Process de la Direction et procé-
« Notre ambition : devenir un outil incontournable d’aide et
d’appui au management
»
dures de travail
L’un des premiers chantiers cédé à l’acquisition de quelques tance particulière est accordée tifs de l’entreprise et lui porter
ouverts par la Direction est la for- ouvrages de référence. Par ail- à la compétence des équipes préjudice, en ciblant des mis-
malisation de ses process et sa leurs, des « fichiers métiers » sont d’audit. Dans ce cadre, et outre sions d’audit qui puissent
dotation en procédures de travail, régulièrement transmis aux la formation continue, l’auto- apporter une valeur ajoutée à
validés par la Direction de la qua- membres de l’équipe. formation et le partage des l’organisation.
lité. connaissances entre les audi- C’est aussi, en fonction de la
L’objectif recherché est de doter Les défis à relever teurs internes sont également qualité des résultats des audits
les auditeurs internes de procé- encouragés. Les seules com- et des recommandations
dures, conformes aux Normes de La Direction de l’audit de Mobilis pétences en audit interne contenues dans nos rapports
la profession, en commençant est une structure jeune, en pleine demeurent insuffisantes et d’audit, que nous arriverons à
par les plus urgentes. phase de construction et de mise une bonne connaissance de « intéresser » les audités et à
C’est ainsi que trois procédures en place. l’entreprise est nécessaire. démystifier l’audit pour trans-
ont été identifiées et concernent : Elle fait sienne la signature insti- Rajouter à cela, toutes les former la Direction de l’audit
l’élaboration du plan d’audit, la tutionnelle de son entreprise autres qualités personnelles en « partenaire » privilégié du
réalisation d’une mission d’audit « Partout avec vous » et ambi- indispensables à l’exercice du management de l’entreprise.
et le suivi des recommandations tionne de devenir un outil incon- métier d’auditeur : capacité
d’audit. tournable d’aide et d’appui au d’écoute, capacité de commu- Si l’année 2014 a été l’année de la
management, partout dans l’en- nication, sens de l’organisation, réorganisation de la structure,
Base de données audit treprise et avec ses managers. discrétion, curiosité et sens de 2015 devra être celle de la com-
Il s’agit de mettre en place une l’observation, courage et per- munication et du marketing de la
base de données pour la gestion Pour se faire, elle s’est engagée à sévérance. fonction pour arriver à en faire un
des missions d’audit. Un travail se doter d’un référentiel d’audit outil de contrôle, de conseil et
avec la Direction SI a été initié conforme aux pratiques profes-  Construire et maintenir sa d’aide à la décision. 
dans ce sens et sera pris en sionnelles de l’audit interne et crédibilité : pour que cet
charge dans le cadre d’un projet s’est fixée comme objectif, une objectif soit atteint, la Direction
d’entreprise en cours de mise en mise en conformité progressive de l’audit s’engage à bâtir une
œuvre. aux normes de la profession. fonction professionnelle, forte

40 1er trimestre 2015 — audit, risques & contrôle - n° 001


BONNES PRATIQUES

AUDIT DE LA
SUPPLY CHAIN
Géraldine Sutra , Présidente, Strat&Risk

tinent d’externaliser vers des pays éloignés


Parmi les sujets à forte évolution ces dernières années, la Supply Chain tient une place que ce soit pour améliorer la maîtrise de ses
de choix dans ce palmarès. Outre les évolutions technologiques, la recherche constante coûts ou pour se rapprocher de ses clients, les
de l’optimisation des flux conjuguée à une internationalisation toujours plus impor- risques qui en découlent peuvent parfois
tante a rendu les risques de ce processus d’une grande complexité. Les compétences s’avérer plus délicats que prévus. On retrouve
des acteurs de la Supply Chain ont dû évoluer pour s’adapter à ce nouvel environne- bien entendu les risques liés à l’internationa-
ment, à commencer par celles des auditeurs confrontés à de nouveaux types de risques. lisation déjà évoqués ci-dessus, mais auxquels
va aussi s’ajouter l’incertitude de leur niveau
de maîtrise. Tant pour les évènements du
Comprendre les nouveaux Une évolution dans les modalités Rana Plaza que pour le Tsunami, c’est aussi la
enjeux de la Supply Chain de production problématique de la sous-traitance en cas-
Le produit industrialisé n’est plus considéré cade qui a été soulevée. Quand bien même le
Très clairement, le processus de la Supply comme étant un « un » indissociable, les dispositif de contrôle interne réussit à couvrir
Chain a pris une dimension stratégique ces industriels envisagent dorénavant facilement les prestataires ou fournisseurs de 1er rang –
dernières années en devenant un facteur dif- la production en silo, par module industrielle- ce qui peut déjà relever dans certains cas
férenciant, voire un avantage concurrentiel. ment sécable, avec une phase finale de réas- d’une gageure –, la maîtrise de ces mêmes
Historiquement, la Supply Chain se positionne semblage permettant de reconstituer les dispositifs chez les sous-traitants des sous-trai-
comme un macro-processus qui englobe les différents éléments en produit fini. Ce chan- tants et plus, alors que ces derniers sont géo-
processus afférents à l’approvisionnement, la gement d’approche des modalités de pro- graphiquement éclatés sur plusieurs pays
gestion des stocks et la logistique. Si ces pro- duction génère des solutions de production voire continents, relève de l’incertitude et bat
cessus sont aujourd’hui toujours concernés, la différenciées par modules, voire par pièces. en brèche toute notion d’assurance raisonna-
Supply Chain ne peut plus être dissociée de la Chaque module peut ainsi être réalisé par des ble.
production, de la politique achats et des usines internes ou chez des prestataires en C’est bien d’ailleurs pour cette raison notam-
objectifs financiers dont les ratios peuvent fonction de la politique achats de l’entreprise, ment que les assureurs restent prudents
être lourdement impactés. Son périmètre s’est se trouver réparti à différents endroits de la quant à l’élaboration d’offres assurantielles
élargi en absorbant d’autres processus pour planète, avec des risques qui ne sont plus seu- couvrant les risques de la Supply Chain.
former un ensemble dont l’analyse doit être lement d’ordre technologique ou logistique,
globale et transverse. mais auxquels s’ajoutent des risques poli- Une financiarisation de la Supply Chain
Les évènements récents largement relayés tiques, légaux, administratifs, culturels... Ces qui a remplacé la gestion prudente en
par les médias, tel que l’effondrement du Rana derniers doivent être gérés en sus et dans une « bon père de famille »
Plaza au Bengladesh, les ruptures d’approvi- logique qui peut donc nécessiter une analyse La bonne maîtrise d’une Supply Chain trans-
sionnement conséquentes aux Tsunami de différenciée par module, ce qui peut s’avérer paraît au travers des ratios financiers de l’en-
mars 2011, ou les déséquilibres politiques particulièrement complexe si la production treprise. Très directement, le BFR (besoin en
illustrent cette globalisation et la complexité est très éclatée. fonds de roulement) qui renseigne sur les res-
qui en découle. La Supply Chain fait d’ailleurs sources nécessaires au financement du cycle
partie du top 10 des risques jugés les plus Une internationalisation et opérationnel, intègre notamment dans son
préoccupants pour 2015 si l’on se réfère aux une interdépendance des prestataires calcul la politique de gestion des stocks, ainsi
enquêtes et sondages réalisés auprès des diri- Les évolutions économiques et les discours que les dettes fournisseurs. En d’autres
geants1. sur les avantages - inconvénients de la mon- termes, tandis que la constitution de stocks
Trois aspects ont plus particulièrement favo- dialisation concernent aussi la Supply Chain. Si est incitée à être toujours plus revue à la
risé cette évolution : d’un point de vue stratégique, il peut être per- baisse, les entreprises sont incitées à payer

n° 001 — audit, risques & contrôle — 1er trimestre 2015 41


BONNES PRATIQUES

© Photographee.eu - Fotolia.com
plus tardivement leurs fournis- dologiques se trouveront mises à  d’un programme, les éléments techniques et spéci-
seurs. Poussé à l’extrême, l’entre- l’épreuve par la nécessaire prise  d’une zone géographique. ficités (Cf. encadré 2).
prise peut se retrouver dans une en compte de cet environne- Cette appropriation nécessite
situation à fort risque opération- ment protéiforme et pluridiscipli- S’assurer lors du démarrage une connaissance précise et
nel tout en ayant un BFR enviable naire. L’auditeur interne devra en de la mission de actualisée, et donc une mise à
et prometteur. Toute la difficulté sus apporter toute sa vigilance l’actualisation des jour en cas d’audit récurrent, des
réside dans l’interrogation sui- sur certains points clefs, détermi- connaissances de l’auditeur objectifs de l’entreprise.
vante : « où placer le curseur ? ». nants de la réussite de sa mission. interne quant à la stratégie L’ampleur des enjeux tels que
Certes, il n’appartient sans doute Quatre points méritent plus par- Supply Chain de l’entreprise précédemment listés à savoir :
pas à l’auditeur de répondre ticulièrement d’être retenus : Il sera pertinent pour l’auditeur modalités de production, inter-
directement à cette question ; d’analyser les données et indica- nationalisation, interdépen-
néanmoins, les fruits de son ana- Bien délimiter le périmètre de teurs de performance sur le péri- dances avec les prestataires,
lyse et de ses constats ne man- la mission grâce à une mètre de la Supply Chain auditée financiarisation, peuvent générer
queront pas d’alimenter le débat segmentation opportune de (Cf. encadré 1). une telle variation de contexte et
et d’en influencer les réponses. la Supply Chain Il s’agira aussi dans cette phase d’environnement que les objec-
Le périmètre peut être vaste, tant de connaître et de comprendre la tifs de l’entreprise ne peuvent
Très clairement, et c’est d’ailleurs par la nature des processus nature des flux propres au péri- être identiques d’un périmètre à
tout l’intérêt du sujet, il n’existe concernés par l’audit (logistiques, mètre audité, de s’en approprier un autre. Cette étape doit être
pas une réponse standard à ces stocks, mais aussi politique
différentes problématiques, telle Achats, production, développe-
une application systématique et ment...), par la dimension géo- Données et indicateurs pouvant être
rassurante d’un guide des graphique internationale, ou en pertinents pour l’auditeur en plus
bonnes pratiques de la Supply raison de son étendue partena- des données habituellement demandées
Chain qui orienteraient vers des riale si moult prestataires sont  Les résultats de l’indicateur OTIF (On time in Full) qui le rensei-
solutions types. En d’autres impliqués. gneront sur le nombre de commandes livrées conformes tant
termes, et pour se placer du d’un point qualitatif que sur le respect des délais de livraison,
point de vue de l’auditeur, cet Sur ce point, procéder par seg- du lieu de livraison...
environnement protéiforme, mentation permet de structurer  Le Lead Time qui mesure le nombre de jours entre une com-
rapidement évolutif, et fortement les interventions, sans se retrou- mande et sa livraison au client et qui permet d’apprécier la
stratégique, soulève la difficulté ver dépassé par un périmètre réactivité de la Supply Chain.
majeure d’avoir un référentiel trop lourd avec des enjeux diffi-  Le taux d’utilisation des ressources via par exemple le TRS (taux
stable et partagé. cilement comparables entre eux. de rendement synthétique).
Pour être opportune, cette seg-  Les données prévisionnelles des ventes et des demandes de
Points méthodologiques mentation doit être réalisée en l’année en cours mais aussi des années passées afin d’en appré-
clefs pour la réussite fonction du contexte, de l’activité cier la fiabilité.
d’un audit de Supply et de la stratégie de l’entreprise.  Les données de suivi et d’évolution des niveaux des stocks.
Chain A titre d’exemple, le choix de ce  Les données financières, de suivi et de maîtrise des coûts.
périmètre peut être défini à  Eventuellement les données permettant d’apprécier l’impact
Bienheureux l’auditeur qui s’est partir :
 d’un produit ou d’un module
de la Supply Chain auditée sur l’environnement au regard de la
vu confier la réalisation de cet politique RSE de l’entreprise.
audit, ses compétences métho- en particulier,
Encadré 1

42 1er trimestre 2015 — audit, risques & contrôle - n° 001


BONNES PRATIQUES

Supply Chain qui nécessitent de place chez le donneur d’ordre.


Nature des flux dans une Supply Chain reprendre cette hauteur de vue Relayés chez les principaux pres-
 Flux poussé : la demande est prévisionnelle, la production se pour pleinement les apprécier. tataires, les moyens de maîtrise
fait par anticipation et en prévision de cette demande. gagnent en fiabilité et en effica-
 Flux tiré : la demande est cette fois réelle, soit parce qu’il s’agit Pistes de cité.
d’une commande client, soit d’un signal en aval (le Kanban) ; recommandation
la production se fait en réponse à cette demande. Explorer au maximum les
 Flux tendu : flux tiré mais avec un minimum de stock intermé- Deux axes peuvent trouver un bénéfices du triptyque « audit
diaire. écho favorable lors des recom- / gestion des risques /
mandations : contrôle interne »
Encadré 2 La réalisation d’audits réguliers
Mettre en place une est, bien entendu, une contribu-
menée avec minutie en s’interro- précédents que, sauf s’il s’agit démarche collaborative avec tion à la démarche d’amélioration
geant sur la stratégie voulue par d’un audit volontairement très les prestataires continue de l’entreprise au tra-
le top management. spécifique, l’auditeur ne saurait se Bien souvent oubliée ou mécon- vers de la mise en œuvre des
contenter de limiter le périmètre nue en interne la chaîne de la recommandations. Toutefois, en
Diagnostiquer le niveau de de son analyse à la seule logis- sous-traitance doit aussi être sus de ces audits, le responsable
maturité de sa Supply Chain tique et gestion des stocks. regardée avec la plus grande Supply Chain aura tout intérêt à
Afin de structurer son diagnostic, Les sous-processus suivants doi- attention. L’audit pourra être l’oc- mettre en place un dispositif
l’auditeur interne trouvera un vent être regardés et approfondis casion d’envisager un processus récurrent de maîtrise de ses acti-
intérêt à cartographier les diffé- en conséquence : collaboratif partagé avec les pres- vités via un contrôle interne spé-
rents acteurs de la production  Conception tataires, en les encourageant à cifique adapté à ses enjeux. Ce
(prestataires ou usines internes)  Industrialisation faire de même avec leurs propres dispositif récurrent incluant aussi
en fonction de leur niveau de  Production prestataires. Cette démarche col- une gestion des risques permet-
maturité.  Distribution laborative relayée sur l’ensemble tra de s’assurer des risques et
Cette maturité peut s’apprécier  Support : juridique, financier, de la chaîne présente déjà un opportunités, par exemple en cas
sur une échelle de 1 à 4 et pourra image, RH... premier intérêt, celui de recenser de décision d’externalisation, de
par exemple comprendre les cri-  Système d’information tous les acteurs, internes ou l’entrée d’un nouveau fournis-
tères suivants :  Achats externes, intervenant sur l’ensem- seur, ou du renforcement d’un
 Performance qualitative et ble du cycle. autre.
financière : indicateurs de la Cette approche segmentée par Cette démarche collaborative Sur ce processus protéiforme et
Supply Chain. sous-processus devra être com- pourra démarrer par un état des pluridisciplinaire qu’est la Supply
 Niveau de difficulté technique plétée, en fin d’analyse, par une lieux des moyens de maîtrise, à Chain, l’assurance raisonnable de
à réaliser le module ou produit réflexion en approche globale commencer par exemple par maîtrise de l’activité ne pourra
concerné. qui permettra de s’assurer qu’il ceux se rapportant à la continuité être acquise que par la mise en
 Niveau de complexité d’une n’existe pas de risques supplé- d’activité. œuvre coordonnée et efficiente
sous-traitance en chaîne plus mentaires de nature transverse. En second lieu, cette démarche du triptyque « audit / gestion des
ou moins développée. Ce sera par exemple le cas des contribuera à donner une réso- risques / contrôle interne ». 
 Modalité de pilotage. risques se rattachant à la gouver- nance opérationnelle concrète
 Niveau de confiance globale nance ou au reporting de la aux moyens de maîtrise mis en 1. Enquête Allianz sur les risques majeurs les
(critère prenant en compte des plus redoutés par les dirigeants pour 2015.
éléments plus subjectifs basés
Exemple de cartographie de maturité d’une Supply Chain
sur les expériences passées).
Enjeux du produit /
Cette cartographie présente l’in- module / ...
térêt majeur d’illustrer simple- Prestataire A Prestataire C Prestataire D
ment et visuellement les points
Usine interne A
de tension. En fonction de la Fort Interrogation stratégique
zone où sont positionnés les sur le maintien de ces prestataires
ou décision de déploiement prioritaire « Business as usual »
avec vigilance accrue
acteurs, des solutions types de plans d’actions

d’amélioration peuvent être envi-


sagées. Cela permettra de suivre
et de pouvoir comparer entre
Prestataire E Prestataire B
eux des prestataires appartenant
à une même zone. (Cf. schéma 1). Faible
« Business as usual » S’interroger sur une
avec dispositif de surveillance allégé éventuelle sur-qualité
Avoir une vision globale tout
en étant structuré
Le raisonnement par processus
permettra cette structuration de Faible Fort Niveau de maturité de
la Supply Chain (appréciée
l’audit. en fonction de critères prédéfinis)
Il découle des raisonnements
Schéma 1

n° 001 — audit, risques & contrôle — 1er trimestre 2015 43


ACTUALITÉ

EN BREF
FRANCE
Blanchiment : l'ACPR pour le renforcement de Gestion des risques : vers plus de « lisibilité » et
l'approche par les risques et du contrôle de « pertinence »
périodique
L’AMF (Autorité des Marchés Financiers) publie pour la première fois
L’ACPR (Autorité de Contrôle Prudentiel et de Résolution) a publié un rapport sur le contrôle interne et la gestion des risques des «
de nouveaux principes relatifs à la lutte contre le blanchiment de valeurs moyennes » et constate le besoin de simplification des infor-
capitaux et le financement du terrorisme (LCB-FT) pour le secteur mations demandées à ces émetteurs sur la gestion des risques afin
des assurances. Basé sur les contrôles déjà menés dans ce secteur, de gagner en lisibilité et en pertinence. D’ores et déjà les recom-
ce document explicatif aborde 5 thèmes dont l’approche par les mandations formulées sont des pistes pour une vision plus intégrée
risques et le contrôle interne relatif au dispositif LCB-FT. Ainsi, l’éla- faisant le lien avec :
boration d’une classification des risques BC-FT apparaît comme un  la stratégie et/ou le modèle économique ;
« préalable indispensable ». Le périmètre du dispositif doit être suffi-  le référentiel retenu ;
sant puisque les activités menées par les délégataires de gestion  les acteurs et les ressources affectés au contrôle interne et à la
doivent être couvertes par le contrôle permanent et le contrôle gestion des risques ;
périodique de l’organisme. Le rythme des missions d’audit interne  les objectifs, le périmètre et le champ du contrôle interne (qui n’est
doit être adapté « aux risques BC-FT engendrés par l’activité qui ne pas limité à la fiabilité des informations comptables et financières) ;
saurait excéder 5 ans ».  les « facteurs de risques » du document de référence.

Pour plus d’information : Ces recommandations font écho à celles formulées en novembre
 Transposition 3ème Directive
2013 pour les autres émetteurs.
 Cahier de la recherche – « La délégation de gestion en assurances de
Pour plus d’information :
 Recommandation AMF 2015-01 du 12 janvier 2015
personnes : Pistes pour un contrôle interne efficace» / IFACI, 2012
 Cahier de la recherche – « Cartographie des risques (2e éd.) - Groupe
 Etude relative aux rapports des présidents sur les procédures de
Assurance » / IFACI, 2013
 Norme et MPA-2010
contrôle interne et de gestion pour l'exercice 2013
 Recommandation AMF 2013-17 modifiée le 13 janvier 2015
 Principes d’application sectoriels de l’Autorité de contrôle prudentiel
et de résolution relatifs à la lutte contre le blanchiment de capitaux
et le financement du terrorisme pour le secteur des assurances
Gouvernance : honorabilité et compétence des
dirigeants

Les comptes de l'Etat : une certification sous Le 1er Janvier 2015 marque l’entrée en vigueur d’un décret structu-
réserves rant pour la gouvernance des banques et des assurances. Elles doi-
vent rendre compte à l’ACPR des connaissances relatives aux
exigences légales et réglementaires, au système de gouvernance,
La Cour des comptes a rendu public, le 11 février 2015, son rapport
au contrôle interne, à la planification stratégique, à la gestion des
annuel dans lequel elle émet une nouvelle fois des réserves subs-
risques et à l’information comptable et financière des membres de
tantielles sur les comptes de l’Etat pour l’exercice 2013. A noter, tou-
leur conseil.
tefois, des progrès puisque le nombre de réserves a été ramené à
Les points d’attention du COSO rappellent le rôle clé des dirigeants
cinq contre 13 en 2006. De plus, la Cour note une amélioration des
qui doivent :
 « faire preuve d’exemplarité »,
dispositifs d’audit et de contrôle interne chez certains opérateurs.
 « mettre en œuvre l’expertise requise »,
Ainsi, l’Agence de l’Eau Rhône Méditerranée et Corse développe
 « agir en toute indépendance ».
depuis quelques années ces dispositifs et a créé une mission d’audit
interne. Le Crous de Paris et la Direction Régionale des finances
publiques d’Ile-de-France, quant à eux, ont adopté une méthodo- Ces recommandations font écho à celles formulées en novembre
logie commune concernant le dispositif de contrôle interne comp- 2013 pour les autres émetteurs.
table et financier.
Pour plus d’information :
Pour plus d’information :  http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D84BA7F9F
 Cahier de la Recherche – « Contrôle interne des opérateurs de l'Etat : 3AA9F251FB67D518CC7AFC0.tpdjo05v_3?cidTexte=JORFTEXT00002
pour une maîtrise et un pilotage global des risques » / IFACI, juillet 2014
 https://www.ccomptes.fr/Actualites/A-la-une/Le-rapport-public-
9761730&dateTexte=&oldAction=rechJO&categorieLien=id&idJO=J
ORFCONT000029761619
annuel-2015  Principe 1 et 2 du COSO : http://www.ifaci.com/61/109/1/COSO-
Referentiel-Integre-de-Controle-Interne.html

n° 001 — audit, risques & contrôle — 1er trimestre 2015 45


ACTUALITÉ

MONDE PUBLICATIONS
Améliorer le
La satisfaction au travail des auditeurs Reporting Intégré

Un nouveau rapport de la fondation de la recherche de l’IIA réa- Le Reporting Intégré est


lisé auprès de 1 600 professionnels de l’audit met en évidence une nouvelle pratique de
des constats utiles pour la rétention des talents. Ainsi, la motiva- gouvernance dont les
tion des auditeurs internes est fonction de leur niveau de certifi- enjeux vont au-delà de la
cation, de leur intégration dans un parcours de « hauts question de la fiabilité de
l’information extra-finan-
potentiels », de leur statut, du niveau de rattachement du respon-
cière. Pour illustrer la valeur
sable de l’audit interne...
ajoutée de l’audit interne,
l’IFACI publie les résultats
Pour plus d’information :
 https://global.theiia.org/news/Pages/IIA-Research-Foundation-
d’un partenariat avec plu-
sieurs instituts européens
Issues-Report-on-Job-Satisfaction-for-Internal-Auditors.aspx (Espagne, Grande-Bretagne
et Irlande, Pays-bas, Norvège). En effet, les auditeurs internes peu-
vent contribuer à mettre en place un processus efficace de
Mise à jour du code de gouvernement Reporting Intégré et à répondre aux besoins d’assurance en la
d'entreprise britannique matière. Les recommandations du groupe de travail reposent sur
le Cadre de Référence International des Pratiques Professionnelles
de l'Audit Interne (CRIPP) de l'IIA.
Cette mise à jour vise à renforcer la qualité de l’information reçue
Cette publication en deux volets s’adresse aux instances de gou-
par les investisseurs, notamment sur les notions liées à la viabilité
vernance (Conseil d’administration, direction générale) et aux
à long terme, la stratégie des entreprises cotées et augmente les
professionnels de l’audit interne et de la gestion des risques. Elle
exigences en matière de management des risques. Dorénavant, apporte un éclairage sur les concepts, principes et éléments
les entreprises britanniques devront, au moins une fois par an, constitutifs recommandés par l'International Integrated
évaluer l’efficacité des systèmes de management des risques et Reporting Council (IIRC) ; clarifie les enjeux sous-jacents de gou-
de contrôle interne et communiquer les résultats dans leur rap- vernance, de risque et de contrôle ; propose des missions d'as-
port annuel ou stratégique. surance et de conseil de l'audit interne.
L’IFACI diffusera dans les prochaines semaines une version fran-
Pour plus d’information : çaise de cette publication.
 https://w w w.frc.org.uk/Ne ws- and-Events/FR C-
Press/Press/2014/September/FRC-updates-UK-Corporate- Retrouvez cette publication sur le site internet de l’IFACI.
Governance-Code.aspx
Le contrôle interne
du Credit
Un panorama de l'audit interne par l'IIA UK & Management
Ireland
L’IFACI et l’AFDCC (Associa-
L’IIA UK & Ireland vient de publier les résultats d’une enquête sur tion Française des Credit
Managers et Conseils)
les pratiques de gouvernance et de gestion des risques auprès
publient un guide pratique
de 250 responsables d’audit interne à propos :
 du management des risques (maturité de la fonction de ges-
commun. En effet, les entre-
prises sont confrontées à des
tion du risque, rôle de l’audit interne, zones à risque),
 des qualifications et compétences des auditeurs internes,
risques clients de plus en

 de la structuration et des responsabilités de l’audit interne (rat-


plus nombreux et doivent
donc pouvoir compter sur
tachements, relations et accès au comité d’audit et à la direc- un Credit Management per-
tion générale, supervision…) formant et structuré.
 des ressources de l’audit interne (ressources, prestations Ce référentiel soutiendra les dispositifs de gestion du risque client
externes, évaluation externe du programme d’assurance et de sa prévention au recouvrement. Il donne également des clés
d’amélioration qualité). pour un renforcement de l’environnement de contrôle du Credit
Management.
Pour plus d’information :
 https://www.iia.org.uk/govandrisk2014
Retrouvez cette publication sur le site internet de l’IFACI.

46 1er trimestre 2015 — audit, risques & contrôle - n° 001


Formation 2015
Tarifs Tarifs non
SESSIONS Durée janv. févr. mars avril mai juin juillet sept. oct. nov. déc.
adhérents adhérents

SE FORMER À LA MAÎTRISE DES ACTIVITÉS ET AU CONTRÔLE INTERNE


S’initier à la maîtrise des activités et au contrôle interne 2j 950 € 1 125 € 15-16 4-5 9-10 1-2 6-7 8-9 2-3 10-11 1-2 5-6 3-4
Réaliser une cartographie des risques 3j 1 675 € 1 875 € 19-21 9-11 11-13 8-10 11-13 10-12 6-8 14-16 5-7 16-18 7-9
Elaborer le référentiel de maîtrise des activités 2j 1 200 € 1 350 € 22-23 12-13 16-17 14-15 19-20 16-17 9-10 17-18 8-9 19-20 10-11
Piloter un dispositif de maîtrise des activités
2j 1 200 € 1 350 € 26-27 19-20 18-19 16-17 27-28 18-19 23-24 14-15 24-25 16-17
et de contrôle interne
Le contrôle interne des systèmes d’information 2j 1 200 € 1 350 € 29-30 24-25 23-24 12-13
Maîtrise des activités, contrôle interne et communication 2j 1 200 € 1 350 € 17-18 21-22 1-2 21-22 19-20 14-15

SE FORMER À L’AUDIT INTERNE


Les fondamentaux de l’audit interne
- 20% pour un participant inscrit
simultanément à 4 formations

S’initier à l’audit interne 2j 950 € 1 125 € 12-13 5-6 2-3 2-3 5-6 4-5/29-30 7-8 5-6 4-5 3-4
Conduire une mission d’audit interne : la méthodologie 3+1 j 1 675 € 1775 € 14-16 10-12 4-6 8-10 11-13 9-11 1-3 9-11 7-9 16-18 7-9
Maîtriser les outils et les techniques de l’audit 3j 1 625 € 1 775 € 19-21 16-18 9-11 13-15 18-20 15-17 6-8 14-16 12-14 23-25 14-16
Maîtriser les situations de communication orale de l’auditeur 2j 1 050 € 1 150 € 22-23 19-20 12-13 16-17 21-22 18-19 9-10 17-18 15-16 26-27 17-18
Réussir les écrits de la mission d’audit 2j 1 050 € 1 150 € 29-30 23-24 19-20 20-21 26-27 23-24 7-8 21-22 21-22 19-20 10-11
Exploiter les états financiers pour préparer
3j 1 525 € 1 675 € 26-28 23-25 27-29 28-30 23-25
une mission d’audit
Désacraliser les systèmes d’information 3j 1 525 € 1 675 € 16-18 1-3 23-25 2-4
Détecter et prévenir les fraudes 2j 1 050 € 1 150 € 26-27 22-23 4-5 21-22 19-20 8-9
Le management
Piloter un service d’audit interne 2j 1 300 € 1 450 € 12-13 11-12 8-9
Manager une équipe d’auditeurs au cours d’une mission 1j 685 € 770 € 16 6 17
L’audit interne dans les petites structures 1j 685 € 770 € 4 27
Balanced Scorecard du service d’audit interne 1j 685 € 770 € 27 25
Le suivi des recommandations 1j 685 € 770 € 28 16 15 30 18
Préparer l’évaluation externe du service d’audit interne 2j 1 300 € 1 450 € 10-11 12-13 19-20
L’audit interne, acteur de la gouvernance 1j 685 € 770 € 17 1
Audit interne, contrôle interne et qualité : les synergies 1j 685 € 770 € 23 15 2
Les audits spécifiques
Audit du Management de la Continuité d’Activités 2j 1 300 € 1 450 € 24-25 25-26 21-22
Audit de la fonction Comptable 2j 1 300 € 1 450 € 13-14 12-13
Audit de performance de la gestion des Ressources
3j 1 525 € 1 675 € 28-30 23-25
Humaines
Audit de la fonction Achats 2j 1 300 € 1 450 € 26-27 26-27 14-15
Audit des Contrats 1j 685 € 770 € 18 4
Audit de la fonction Contrôle de Gestion 2j 1 300 € 1 450 € 30-31 7-8
Audit de la Sécurité des Systèmes d’Information 2j 1 300 € 1 450 € 19-20 28-29
Audit des Processus Informatisés 2j 1 300 € 1 450 € 9-10 25-26
Audit de la Conformité à la Législation Sociale 2j 1 300 € 1 450 € 16-17 5-6
Audit du Développement Durable 2j 1 300 € 1 450 € 19-20 13-14
Audit des Projets et Investissements 2j 1 300 € 1 450 € 2-3 23-24

SE FORMER DANS LE SECTEUR PUBLIC


Le contrôle interne dans le secteur public 2j 1 300 € 1 450 € 5-6 7-8 16-17
Pratiquer l’audit interne dans le secteur public 4j 1 950 € 2 150 € 14-17 14-17 1-4

SE FORMER DANS LE SECTEUR BANCAIRE ET FINANCIER


Le contrôle permanent et la conformité dans le secteur
3j 1 525 € 1 675 € 17-19 16-18 2-4
bancaire et financier
Pratiquer l’audit interne dans une banque
4j 1 950 € 2 150 € 22-25 22-25 7-10
ou un établissement financier
SE FORMER DANS LE SECTEUR DES ASSURANCES
Le contrôle interne dans le secteur des assurances 2j 1 300 € 1 450 € 5-6 5-6 7-8 5-6
Pratiquer l’audit interne dans le secteur des assurances 4j 1 950 € 2 150 € 10-13 16-19 13-16 14-17

SE FORMER DANS LES SECTEURS INDUSTRIE ET COMMERCE


Audit de la gestion des stocks et de la logistique 2j 1 300 € 1 450 € 3-4 9-10
Audit du processus de ventes 2j 1 300 € 1 450 € 7-8 15-16

ACQUÉRIR UNE CERTIFICATION


Préparation au CIA - Partie 1 2j 950 € 1 125 € 11-12 2-3 8-9 2-3
Préparation au CIA - Partie 2 2j 950 € 1 125 € 18-19 8-9 14-15 9-10
Préparation au CIA - Partie 3 3j 1 525 € 1 675 € 24-26 17-19 23-25 15-17
CRMA Training 2j 995 € 1 170 € Dates sur notre site internet : www.ifaci.com

IFACI Formation - Tél. : 01 40 08 48 08 - Mel : formation@ifaci.com - Retrouvez également le programme complet sur le site internet www.ifaci.com