Vous êtes sur la page 1sur 40

revue internationale des auditeurs et des contrôleurs internes

L’AUDIT
EN CONTINU Interview de
Jean-Pierre Jochum

Un état d’esprit
adapté au rythme Pour un audit interne
performant au sein
du changement des services de l’Etat

N°002
2e trimestre 2015
Progressez sur
des bases solides

Votre engagement pour


+ de bonnes pratiques
+ de performance
+ de légitimité
+ de sécurité

Conception : ebzone communication - Photo : © Jakub Cejpek - Fotolia.com

Le label de qualité et de performance Certification


IFACI est délivré aux services d'audit interne qui Contactez-nous :
appliquent de façon pérenne les trente exigences Tél. : 01 44 70 63 00
pragmatiques du Référentiel Professionnel de E-mail : certification@ifaci.com
l'Audit Interne.
SOMMAIRE

05 EDITO
De l’audit en continu à l’audit dans les ministères
La vitalité de l’audit interne

06 CHRONIQUE
10 façons risquées de soutenir les ventes

08 VOIX DE LA FRANCOPHONIE
Partager et mutualiser les synergies

10 RENCONTRE AVEC ...


Jean-Pierre Jochum, Vice-président du CHAI

15 DOSSIER
16 Au-delà des systèmes et des technologies
20 Effet de mode ou réelle opportunité ?
22 Enjeux et apports
24 La mise en œuvre d’un processus
de contrôle continu
25 Une action conjointe des deuxième et
troisième lignes de maîtrise
26 Audit interne et pilotage en continu :
l’exemple d’une intégration réussie

29 À LA DÉCOUVERTE DE ...
Service Ethique et Conformité d’Alstom

32 LIBRES PROPOS
32 Le management par la confiance peut-il 15 DOSSIER
aboutir à la fin des auditeurs et contrôleurs L’audit en continu : un état d’esprit
internes ? adapté au rythme du changement

34 L’audit interne est un élément essentiel du


management par la confiance

35 OUVERTURE SUR LE MONDE


ECIIA : la voix de l’audit interne en Europe

37 ACTUALITÉ

n° 002 — audit, risques & contrôle — 2e trimestre 2015 03


Gestion des Risques :
Auditeurs internes, le comité d’audit
et la direction générale comptent
sur vous !

Norme 2120 – Management des risques : L'audit interne doit évaluer l’efficacité des processus de
management des risques et contribuer à leur amélioration.

Afin de renforcer la capacité des auditeurs internes à exercer efficacement leurs responsabilités en
matière d’évaluation des processus de management des risques, l’IIA a développé la certification
CRMA (Certification in Risk Management Assurance).

Le CRMA est un examen de 2 heures, composé de 100 Questions à Choix Multiples. Il est conçu pour
les auditeurs internes et les professionnels de la gestion des risques qui interviennent sur les
périmètres de l’évaluation des risques, sur les processus de gouvernance, sur l’évaluation de la qualité
et l’auto-évaluation des contrôles.

Marquez des points !


Détenir le CRMA vous permettra de démontrer votre professionnalisme dans le domaine de
l’évaluation de la gestion des risques, et plus particulièrement votre capacité à :
 évaluer la maîtrise des risques et la gouvernance des processus métiers
de votre organisation ;
 sensibiliser la direction et le comité d’audit aux concepts liés aux
risques et à la maîtrise des risques ;
 vous centrer sur les risques
stratégiques de l’organisation ;
 apporter encore plus de valeur
ajoutée à votre organisation.
Conception : ebzone communication - Photo : © Paty Wingrove - Fotolia.com

POUR EN SAVOIR PLUS ...


Rendez-vous sur le site internet de l’IFACI
(www.ifaci.com)
à la rubrique « Carrière + Diplômes ».
EDITO
De l’audit en continu à
l’audit dans les ministères
La vitalité de l’audit interne

O
n en parle beaucoup, on le pratique peu et pourtant, l’audit en continu
a les plus grandes chances de se développer au cours des prochaines
années. C’est en tout cas, l’enseignement que l’on peut tirer du
« Dossier » de ce numéro où experts et praticiens s’expriment très libre-
ment sur ce sujet. Non, l’audit en continu n’est pas un pilotage en continu ; non,
audit, risques & contrôle il ne se limite pas à des systèmes et des technologies ; et si les travaux y afférents
La revue internationale des auditeurs et des contrôleurs internes
n°002 - 2e trimestre 2015
s’appuient sur des bases de données, « l’audit en continu c’est avant tout, pour
l’auditeur interne, un état d’esprit adapté au rythme du changement au sein des
EDITEUR organisations ».
Union Francophone de l’Audit Interne (UFAI)
Association Loi 1901 L’audit interne dans les ministères est aujourd’hui une réalité nous dit Jean-Pierre
98 bis, boulevard Haussmann - 75008 Paris (France) Jochum, vice-président du CHAI (Comité d’harmonisation de l’audit interne), dans
Tél. : 01 40 08 48 00 - Mel : institut@ifaci.com l’entretien qu’il a bien voulu nous accorder : les structures sont en place ; les comi-
Internet : www.ufai.org
tés ministériels d’audit interne sont composés de manière à garantir leur indé-
DIRECTEUR DE PUBLICATION pendance, majorité de personnes non investies dans la gestion et de
Mireille Harnois personnalités extérieures aux ministères ; l’audit comptable est très opérationnel
et les audits métiers se développent même si quelques progrès sont encore à
RESPONSABLE DE LA RÉDACTION
Philippe Mocquard faire dans ce domaine ; l’audit interne est un métier à part entière qui attire de
jeunes diplômés sortant des meilleures grandes écoles et qui va être prochaine-
RÉDACTEUR EN CHEF ment ajouté au répertoire interministériel des métiers de l’Etat. En quelques mois,
Louis Vaurs le CHAI a élaboré un cadre de référence très proche de celui de l’IIA / IFACI et
COMITÉ RÉDACTIONNEL publié plusieurs guides d’audit. Il anime la communauté des auditeurs ministé-
Louis Vaurs - Mireille Harnois - Eric Blanc - riels et contribue à leur formation. Demain, ce qui a été fait au niveau central
Antoine de Boissieu - Jean-Loup Rouff devrait pouvoir se décliner au niveau des collectivités territoriales.
SECRÉTARIAT GÉNÉRAL Je pense que vous serez intéressés par la rubrique « Libres propos » qui traite du
Eric Blanc - Tél. : 06 15 04 56 32 - Mel : eblanc@ifaci.com
management par la confiance pratiqué par les entreprises dites libérées comme
CORRESPONDANTS Nordstrom, importante société américaine cotée à la bourse de New York. Pour
Amérique : Farid Al Mahsani ces entreprises, les activités de contrôle sont fortement réduites. Est-ce le chant
Maghreb : Nourdine Khatal du cygne pour l’audit interne ? La directrice de l’audit interne de Nordstrom
Afrique subsaharienne : Fassery Doumbia prenant exemple de son vécu pense tout le contraire.
RÉALISATION
EBZONE Communication La conformité a le vent en poupe, la présentation du service éthique et confor-
22, rue Rambuteau - 75003 Paris mité d’Alstom dirigé par son ancien directeur d’audit interne est riche d’ensei-
Tél. : 01 40 09 24 32 - Mel : ebzone@ebzone.fr gnement.
IMPRESSION
ECIIA (Confédération européenne des instituts d’au-
Imprimerie de Champagne
dit interne) est peu connue. A quelques mois de la
Rue de l’Etoile de Langres - ZI Les Franchises
52200 Langres
conférence des 21et 22 septembre « Audit on the
spotlight », l’article signé de son président, Thijs
ABONNEMENT Smit, vous en apprendra un peu plus sur son fonc-
Michèle Azulay - Tél. : 01 40 08 48 15 tionnement et ses réalisations.
Mel : mazulay@ifaci.com
A la rubrique, « voix de la Francophonie », la prési-
Revue trimestrielle (4 numéros par an) dente de l’UFAI présente les principaux points déve-
ISSN : 2427-3260
loppés à Pékin lors du 12ème conseil global de
Dépôt légal : juillet 2015
l’IIA, et d’insister sur la nécessité, pour les audi-
Crédit photos couverture : © kras99 - Fotolia.com
teurs internes membres du réseau de l’UFAI,
Ce document est imprimé avec des encres végétales de partager et de mutualiser leur énergie.
sur du papier issu de forêts gérées dans le cadre
d’une démarche de développement durable.
Vous pourrez lire enfin la rubrique toujours
Prix de vente au numéro : 25 € TTC très inventive d’Antoine de Boissieu qui traite
cette fois-ci des « 10 façons risquées de
Les articles sont présentés sous soutenir les ventes ».

Bonne lecture. 
la responsabilité de leurs auteurs.

Toute représentation ou reproduction, intégrale ou partielle,


faite sans le consentement de l’auteur, ou de ses ayants droits, Louis Vaurs - Rédacteur en chef
ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1er de
l’article 40). Cette représentation ou reproduction, par quelque
procédé que ce soit, constituerait une contrefaçon sanction-
née par les articles 425 et suivants du Code Pénal. n° 002 — audit, risques & contrôle — 2e trimestre 2015 05
CHRONIQUE

10 façons
risquées
de soutenir
les ventes
Une banquière de MORGAN STANLEY qui use de moyens équi-
voques pour augmenter son chiffre d’affaires, l’Autorité de la nautique, par exemple, ou les le Ministry of Defence britannique
Concurrence qui trouve des ententes dans des secteurs très grands constructeurs ont parfois pour certains achats d’avions, le
variés (loueurs de voitures, fabricants de yaourts, fabricants de accepté un peu vite les cahiers MoD achetant désormais des
des charges et les délais des heures de vol suivant une
poids lourds, producteurs de volailles...), SFR-NUMERICABLE
grands donneurs d’ordre. Le formule de prix fixée à l’avance.
menacée d’une pénalité de 50 M€ (la seconde) pour retard dans carnet de commandes se remplit, Cette situation a aussi longtemps
l’exécution d’un contrat avec le département des Hauts-de- les directions générales et les prévalu dans le secteur automo-
Seine, HSBC mise en examen pour blanchiment de fraude équipes commerciales sablent le bile, les constructeurs gardant le
fiscale… : l’actualité fournit de multiples exemples de risques champagne, et les difficultés sont contrôle des circuits de distribu-
commerciaux. repoussées de quelques années, tion des pièces de rechange,
La pression pour atteindre les objectifs de chiffre d’affaires peut lorsqu’il s’agit de livrer les appa- vendues à des prix élevés. Les
parfois conduire à une prise de risque inconsidérée. Voici 10 reils conformes. Les programmes excès ont conduit à une interven-
façons risquées d’augmenter le chiffre d’affaires, auxquelles les A380 et A400M d’AIRBUS, B787 tion des législateurs et à une libé-
de BOEING, ou F35 de LOCK- ralisation forcée.
auditeurs et contrôleurs internes devraient être attentifs.
HEED, l’illustrent bien.
Mais on retrouve le même méca- 4. S’entendre avec
nisme dans beaucoup de les concurrents
1. Vendre aux mauvais d’impayés dépassant les 30 % à secteurs d’activité, notamment
payeurs certaines époques. dans les secteurs gérant des L’actualité fournit de nombreux
C’est le même mécanisme qui a projets (BTP, SSII, ingénierie...) et exemples, certains secteurs étant
Pour des commerciaux, la façon poussé des banques américaines dans les services. multirécidivistes (la banque
la plus simple de gonfler le chiffre ou espagnoles à faire des prêts notamment). Ces affaires prou-
d’affaires est de vendre à des immobiliers à des clients insolva- 3. Placer le client vent qu’une entente bien gérée
clients qui ne paient pas. Les bles, provoquant la crise des en situation de permet d’avoir un effet certain
concurrents ne se battent géné- subprimes ; jusqu’au retourne- dépendance sur les prix, tout en garantissant
ralement pas pour les garder, et ment du marché et au défaut des les parts de marché des uns et
les dits-clients ne sont pas trop clients, ces banques ont pu affi- Le risque serait d’abuser de la des autres. Les amendes sont
regardants sur le prix de vente cher une croissance flatteuse de dépendance du client. Dans le cependant de plus en plus
(beaucoup plus sur les conditions leur chiffre d’affaires. Le risque secteur de la défense par exem- dissuasives.
de paiement, de rupture de s’est réalisé avec quelques années ple, beaucoup de sociétés ont
contrat, et de garantie). C’est ce de décalage, provoquant une ainsi eu tendance à en jouer un 5. Vendre discrètement
qui s’est produit lorsque le vague de faillites bancaires. peu trop, les clients étant géné- autre chose sans le dire
marché de l’électricité et du gaz ralement forcés de faire appel à au client
a été libéralisé en France pour les 2. Promettre n’importe eux pour la maintenance d’équi-
particuliers. Des petits concur- quoi au client pements complexes (avions, Dans beaucoup d’activités, c’est
rents d’EDF et de GDF (POWEO, bateaux, chars…). Le construc- possible. Le mécanisme le plus
DIRECT ENERGIE) se sont lancés Une bonne façon de gonfler le teur est alors en position de force simple est de vendre des presta-
dans une course à la taille pour carnet de commandes à court pour négocier les prix, parfois tions de services annexes au
atteindre le seuil d’un million de terme est de faire au client des aussi le volume d’activité lorsque client, si possible en ne lui factu-
clients. Leurs commerciaux, promesses que l’on ne tiendra le client n’a pas l’expertise néces- rant qu’au moment où les livrai-
objectivés sur le chiffre d’affaires pas ; le coût lié à la non-exécution saire pour réaliser ses propres sons sont réalisées. Ces services
et le nombre de clients, ont donc du contrat ne se verra que plus diagnostics de maintenance. Les peuvent aller du transport à l’as-
décroché rapidement quelques tard, de même que les effets abus ont conduit certains clients surance, en passant par l’exper-
centaines de milliers de clients à induits sur la réputation et le chif- à changer leur mode de négocia- tise technique, la certification, la
risque. Le portefeuille clients a fre d’affaires. tion, intégrant le coût de posses- diffusion, la promotion… Cette
ensuite dû être assaini, le taux Ce risque est courant dans l’aéro- sion. C’est notamment ce qu’a fait pratique n’est pas forcément illé-

06 2e trimestre 2015 — audit, risques & contrôle - n° 002


CHRONIQUE
forçant le passage de certains secteurs sont concernés, à plus ou
jalons. Le projet ne se terminera moins grande échelle : agrochi-
pas plus tôt, mais, dans une mie (via les grossistes et distribu-
comptabilité à l’avancement, cela teurs), matériel agricole (idem),
permet d’anticiper une partie du matières premières (via les socié-
chiffre d’affaires. tés de négoce, souvent prêtes à
Dans un autre domaine, la grande rendre service)…
distribution a aussi longtemps
joué sur les marges arrière lorsque 10. Casser les prix
celles-ci pouvaient être pluri-
annuelles : il suffisait alors de les Cette façon de faire n’est pas

© Sergey Nivens - Fotolia.com


comptabiliser intégralement sur forcément illégale et peut résulter
la première année du contrat. d’une stratégie valable. C’est par
C'est ainsi qu’AHOLD a pu gonfler exemple la stratégie suivie pour le
son chiffre d’affaires de près d’un pétrole par l’Arabie Saoudite, qui
milliard de dollars en 2004. cherche à gêner certains concur-
Une autre façon de faire peut être rents (Russie et Iran) en les empê-
de déconnecter le chiffre d’af- chant de dégager une trésorerie
faires des ajustements négatifs, d’exploitation suffisante pour
gale, mais le risque est grand de 7. Payer les en repoussant la comptabilisa- moderniser leurs installations et
franchir la ligne rouge. prescripteurs tion de ces ajustements. Le cas mener à bien leurs projets de
L’exemple le plus frappant est d’école est fourni par l’aéronau- développement. C’est aussi la
sans doute la vente par les Même si cela devient plus risqué, tique, où les pénalités de retard stratégie suivie par les 3 grands
banques britanniques d’assu- le paiement des prescripteurs de livraison sont souvent trans- producteurs de fer (RIO TINTO,
rances crédit liées aux prêts pour qu’ils fassent acheter les formées en rabais sur des VALE, BHP BILLITON), pour empê-
immobiliers (« Payment Protection clients est toujours une pratique commandes ultérieures. Ainsi, cher leurs concurrents de lancer
Insurance »). Ces ventes d’assu- répandue. Cette pratique a long- l’année de la livraison, les fabri- des projets d’extension de capa-
rances à marges très élevées ont temps existé dans le secteur cants comptabilisent l’intégralité cité et condamner à la fermeture
été finalement considérées par la pharmaceutique, les producteurs du chiffre d’affaires, en repous- (vraisemblablement définitive) de
justice britannique comme ciblant les universitaires, les sant de plusieurs années la nombreuses mines chinoises.
abusives, les banques anglaises médecins et les pharmaciens. Si comptabilisation de l’avoir La vente en dessous d’un prix
étant condamnées à rembourser la situation s’est assainie dans les accordé au client, avoir qui n’ap- plancher peut cependant être
plus de 22 milliards de livres. pays de l’OCDE, ce n’est pas le cas paraîtra jamais comme tel. interdite, ou considérée comme
Ce type de pratiques est de toute ailleurs : la Chine a ainsi un abus de position dominante.
façon risqué dans la mesure où condamné GLAXO à 400 M$ 9. Se vendre à soi même Dans certains secteurs, le niveau
cela fournit des arguments d’amende en 2014, pour avoir (ou presque) de prix ou de marge (interdiction
commerciaux aux concurrents, acheté des prescriptions. de vente à perte) est fixé. C’est le
qui pourront expliquer au client Des affaires de pots-de-vin (avérés Une variante de cette anticipation cas de la pharmacie par exemple,
la façon dont il a été surfacturé. ou non) sont également fréquem- de chiffre d’affaires peut être de ou de la grande distribution. De
ment rendues publiques dans la vendre à des faux clients. Cela est nombreuses façons existent de
6. Etre très (trop) gentil défense, le BTP, les industries pétro- généralement possible dans les tourner ces interdictions : avoirs
avec le client lières et gazières, l’ingénierie… marchés intermédiés, d’autant plus ou moins justifiés, flux de
plus pour les sociétés internatio- prestations croisées, réalisation
S’il est normal d’être à l’écoute 8. Anticiper le chiffre nales, lorsque les intermédiaires de prestations non facturées…
des besoins du client, il faut faire d’affaires sont locaux (donc difficiles à Dans ces cas là, l’enjeu pour la
attention à ne pas tomber dans contrôler, et de petite taille). Il direction générale est de bien
l’illégalité en aidant le client à Toutes les techniques ci-dessus suffit dans ce cas de créer son contrôler l’activité des commer-
contourner les réglementations. consistent à prendre de gros propre intermédiaire, ou de ciaux et des filiales, pour éviter de
Des banques de renom ont ainsi risques à moyen et long terme donner des garanties aux inter- se faire déborder. Sont par exem-
reçu des amendes ou été mises pour atteindre les objectifs à médiaires locaux. Les ventes ple exposées à ce risques les
en cause pour complicité de court terme. Plutôt que de pren- peuvent alors être facilement anti- entreprises de services informa-
fraude fiscale (UBS, HSBC), dre de vrais risques commerciaux, cipées, les intermédiaires accep- tiques (avec la nécessité de bien
complicité de blanchiment certaines entreprises peuvent tant les livraisons et les gardant en contrôler le taux de facturation
(HSBC), complicité de violation être tentées de jouer sur l’affi- stock. Les constructeurs automo- horaire réel et l’activité des
d’embargo (BNP PARIBAS, chage, en surestimant leur chiffre biles ont décliné cette idée avec consultants), de travaux publics
COMMERZBANK, ING...)… On se d’affaires. Les secteurs impliquant des ventes de fin de période aux (avec le problème du contrôle
souvient aussi de l’affaire Enron, une gestion de projets s’y prêtent concessionnaires, des ventes « 0 des travaux réellement réalisés),
qui a entraîné la disparition très bien : services informatiques, km », des ventes avec immatricu- de l’automobile (par exemple
d’ARTHUR ANDERSEN, accusé ingénierie, aéronautique, usines lation pour compte propre… A tel avec le contrôle du prix de reprise
d’avoir fait preuve de trop de clef en main, BTP… ; il suffit d’exa- point que l’analyse des statis- du véhicule d’occasion, qui peut
complaisance pour pouvoir gérer l’avancement du projet à la tiques de vente demande désor- masquer une ristourne sur le
continuer à vendre à Enron des date de clôture comptable, par mais une vraie expertise pour véhicule neuf )… 
prestations de conseil. exemple en ne relevant pas distinguer les ventes normales des
certaines non-conformités, ou en ventes anticipées. D’autres Antoine de Boissieu

n° 002 — audit, risques & contrôle — 2e trimestre 2015 07


VOIX DE LA FRANCOPHONIE

Partager et

© Victoria - Fotolia.com
mutualiser
les synergies
L
ors du 12e Conseil global mondiale et de la profession. Un délégués, y compris le Comité promotion de l’audit interne
de l’Institut des auditeurs total de 75 Instituts ainsi que 4 exécutif de l'IIA Global et son (advocacy), la valeur durable et le
internes (IIA), tenu à Pékin organisations régionales dont personnel clé. renforcement des capacités. Il a
en Chine, les leaders l’Union Francophone de l’Audit été demandé aux participants de
provenant du monde entier se Interne (UFAI) étaient représen- Le programme de cette année a se prononcer sur les défis et les
sont réunis pour échanger, parta- tés, faisant de ce Conseil global porté sur quatre éléments essen- opportunités ayant un impact sur
ger, apprendre et contribuer à un des plus imposants de l’his- tiels du plan stratégique de l’IIA la profession de l'audit interne à
l’évolution de cette organisation toire avec la participation de 143 soit : le professionnalisme, la l'échelle mondiale, mais aussi

Graphique 1 – Membres IIA par région


Autres pays
1% Afrique 7 %
Région Instituts Membres
Afrique centrale / sud
Afrique 24 13 291 7%

Afrique centrale et du sud 18 13 254


Asie / Pacifique 18 30 775 Asie / Pacifique
Amérique 17 %
Europe 39 48 431 du Nord
39 %
Moyen orient 7 6 000
Amérique du Nord 2 72 586
Autres pays NC 1 908
Moyen orient Europe
Total Monde 108 186 245 3% 26 %

08 2e trimestre 2015 — audit, risques & contrôle - n° 002


VOIX DE LA FRANCOPHONIE

De plus, lors de ce Conseil Global, orientées autour de quatre


Graphique 2 – Membres IIA selon langue primaire l’IIA a confirmé travailler à l’élabo- objectifs majeurs :
ration d’initiatives de développe-  créer des opportunités pour
ment en territoire africain, les auditeurs francophones de
Autres
notamment en déployant divers se regrouper et de partager ;
 accroitre le nombre de publi-
14 %
programmes dont un
Allemand 3 % programme de mentorat, dédié cations francophones et en
au soutien des instituts principa- assurer la distribution ;
 fournir un support de forma-
Chinois 3 %
lement en formation ou en
Japonais 3 %
progression et un programme de tion et de certification incluant
Portugais 3 % chapitres internationaux qui le CIA en français ;
Français permettra de rejoindre un plus  assister dans la création d’asso-
5% grand nombre d’auditeurs et de ciations et d’instituts d’audit
Anglais mettre à leur disposition un plus interne.
Espagnol 63 %
6% grand nombre de services. Le
soutien et des plateformes de Donc l’UFAI aujourd’hui a toute
l’IIA pourront ainsi permettre aux sa place au centre de la commu-
organisations locales de réaliser nauté et des activités franco-
des économies de ressources et phones mais aussi comme un

d’identifier les moyens de colla- phonie, en lien notamment avec


boration entre les membres du
réseau IIA pour travailler ensem-
un des éléments clés du Global
Council, à savoir le renforcement
9 000 auditeurs internes
ble au renforcement et à l’amélio- des capacités. Ce renforcement ont le français comme langue primaire
ration continue de notre doit se bâtir entre les instituts,
organisation à l’échelle mondiale. entre les leaders, entre les audi-
teurs et ce tant au niveau des d’investissement et de diriger joueur clé pour faire le lien entre
En ouverture de session, après un produits que des services. C’est là leurs efforts en focalisant sur des le réseau francophone et l’évolu-
bref examen du plan stratégique la force du réseau de l’UFAI pour activités à forte valeur ajoutée. tion de la profession au niveau
2015-2020 de l'IIA Global les auditeurs francophones, qui mondial.
présenté par le Vice-président du permet de partager, de mutuali- Toutes ces initiatives présentent
Conseil Larry Harrington, l’Institut ser les énergies. des défis, y compris relativement Au sein de l’UFAI, des
à la complexité des services à leaders contribuant au
déployer, les compétences développement de la
180 000 auditeurs dans le monde requises, la disponibilité de
ressources et bien sûr tous les
profession
dont 33% en Europe et en Afrique efforts d’adaptation locale et La participation active de leaders
linguistique. Le rôle de l’UFAI est francophones, membres de
donc clé pour mutualiser toutes l’UFAI, dans les discussions du
des auditeurs internes présentait Donc, il sera crucial que le réseau les ressources. Global Council aide à orienter et
ses plus récentes données, et les membres de l’UFAI travail- diriger la profession et l’IIA à la
notamment la répartition des lent ensemble et y mettent les Rappelons que l’UFAI a été créé rencontre des besoins d’une
membres de l’IIA selon la région efforts nécessaires pour assurer en 1988 dans le but de promou- profession en évolution. 
géographique (graphique 1) puis notre succès. Cet effort collectif voir et développer la pratique de
selon la langue primaire et une grande collaboration l’audit interne dans les pays et Mireille Harnois, Présidente de
(graphique 2). permettront de renforcer nos régions où le français est parlé. l’Union Francophone de l’Audit
capacités d’offrir aux auditeurs Ses actions ont toujours été Interne
L’IIA compte à ce jour environ francophones l’accès aux services
180 000 membres. On note que dont ils ont besoin, d’où qu’ils
l’Afrique et l’Europe ensemble viennent. Il nous faudra donc
composent 33 % des membres améliorer l’accès et l’échange de
mais en regardant les données produits et services entre instituts
portant sur la langue primaire, francophones constitués ou en
nous constatons que nous cours de constitution.
sommes environ 9 000 membres Une telle démarche permettra de
(5 %) avec le français comme fournir à ces auditeurs l’informa-
langue primaire, une véritable tion en temps opportun et perti-
minorité. nente afin de renforcer leur
professionnalisme. Les auditeurs
Ces résultats montrent l'impor- auront dès lors tout en main pour
tance de favoriser le meilleur respecter les normes internatio-
partage possible dans la franco- nales de la profession.

n° 002 — audit, risques & contrôle — 2e trimestre 2015 09


RENCONTRE AVEC ...

Le CHAI
pour un audit interne
performant au sein des
services et métiers de l’Etat
Jean-Pierre Jochum, Vice-président du CHAI (Comité d’Harmonisation de l’Audit Interne)

Marché public, le guide d’audit pas besoin de modalités prati-


Le décret du 28 juin 2011 et la circulaire du premier ministre du des Systèmes d’information et le ques d’application. Ce n’est pas la
30 juin 2011, relatifs à l’audit interne dans l’administration, ont guide d’audit de la gestion des peine de systématiser l’exercice.
généralisé la démarche d’audit interne dans les ministères en Ressources humaines. Par contre, je suis favorable à
prévoyant que chacun d’entre eux se dotera d’une mission minis- Ces guides ont été établis par des travailler sur des sujets tels que la
térielle d’audit interne (MMAI) et d’un comité ministériel d’audit groupes de travail du CHAI mobi- préparation des missions d’audit
interne (CMAI) et en créant, auprès du ministre chargé de la lisant aujourd’hui plus de 80 mais aussi le dossier de travail ou
réforme de l’Etat, le comité d’harmonisation de l’audit interne personnes membres des MMAI, la supervision des missions.
des inspections générales ou
(CHAI). Jean-Pierre Jochum, vice-président du CHAI, a bien
corps de contrôle des ministères, L. V. : La création de missions
voulu, pour les lecteurs de « l’AR&C », faire le point sur les réali- la participation à ces groupes se ministérielles d’audit interne a-t-
sations de ce comité et évoquer ses marges de progrès. faisant en fonction de leur expé- elle été bien comprise par les
rience en ces domaines. administrations centrales de
Le cadre de référence a occupé le l’Etat ? N’a-t-elle pas été perçue
Louis Vaurs : Quelles sont les occasion des recommandations. CHAI pendant quasiment une comme une contrainte supplé-
missions du CHAI ? Quelles sont Nous avons commencé à travail- année : après des débats nourris, mentaire, un contrôle supplé-
ses principales réalisations ? ler à ce que pourraient être les le CHAI a décidé de prendre mentaire ?
critères d’examen de la politique comme base les normes de l’IIA
Jean-Pierre Jochum : La première d’audit interne des ministères. adaptées pour tenir compte des J.-P. J. : Dans la suite logique de la
mission confiée au CHAI, présidé Notre ambition est de lancer le dispositions réglementaires s’im- mise en place de la LOLF, l’audit
par M. Thierry Mandon, secrétaire processus pour la première fois posant à l’administration et du interne s’est développé dans le
d’Etat chargé de la réforme de l’année prochaine, ce qui mode de gouvernance des domaine comptable dans le
l’Etat, est d’élaborer le cadre de suppose que notre grille de ministères qui n’est pas celui cadre de la certification des
référence applicable en matière critères soit prête à l’automne et d’une entreprise. Ainsi l’absence comptes de l’Etat. Une réflexion
d’audit interne de l’Etat. que nous ayons eu le temps de de conseil d’administration a sur l’extension de l’audit interne
Sa deuxième mission est d’ani- l’expliquer à nos interlocuteurs. conduit à analyser de façon au-delà de ce cadre restreint a
mer la communauté des audi- spécifique les relations des diffé- débuté en 2008 sous l’impulsion
teurs ministériels et de contribuer Jusqu’à présent, le CHAI a essen- rents acteurs de la fonction d’au- de l’inspection générale des
à sa professionnalisation en tiellement établi le cadre de réfé- dit. La transposition s’est donc finances qui a réalisé d’abord une
établissant des outils méthodolo- rence – ce que l’on appelle les faite a minima, en ne changeant analyse comparative dans les
giques. normes obligatoires, dans le que ce qui était strictement administrations de cinq pays de
Reste une mission essentielle que langage de l’audit interne – et a nécessaire. l’OCDE et de la Commission
le CHAI n’a, pour l’instant, pas travaillé sur un certain nombre de européenne, puis a établi, en
encore mis en œuvre : c’est d’exa- guides d’audit, parmi lesquels le Quant à la refonte des MPA, je ne 2009, des propositions pour la
miner chaque année la politique guide de l’audit interne compta- souhaite pas que l’on s’enferme à structuration de la politique de
d’audit des départements minis- ble, le guide d’audit de la fonc- nouveau dans une salle pour les contrôle et d’audit internes de
tériels et de formuler à cette tion Achat, le guide d’audit d’un réécrire. Toutes les normes n’ont l’Etat en France.

10 2e trimestre 2015 — audit, risques & contrôle - n° 002


RENCONTRE AVEC ...

On n’est pas parti d’une volonté contrôle interne et la maîtrise des une mission d’inspection qui couverts par un dispositif de
politique, mais d’une nécessité risques et de montrer les diffé- garde toujours un peu un aspect contrôle et d’audit internes.
technique de parachever le rences entre une mission d’audit « contrôle externe », un peu
travail fait à l’occasion de la et une mission d’inspection ou « shérif », c’est que l’audit interne Je pense que ce sera un sujet
réforme budgétaire et compta- une mission de la Cour des se situe à l’intérieur de l’organisa- essentiel de l’examen de la poli-
ble qui mettait notamment en comptes. tion et que son ambition se tique d’audit interne des minis-
évidence le concept de politique L’auditeur interne ne juge pas confond avec celle bien tères : quel est le périmètre
publique repris par le décret sur une organisation de l’extérieur. Il comprise des dirigeants de l’or- couvert par l’audit interne ? Est-
l’audit interne de 2011. tente de se mettre à la place du ganisation. ce que le comité d’audit ministé-
responsable de la structure audi- riel va se préoccuper de savoir si

« laNosprofessionnalisation
priorités c’est d’abord de travailler à
on a pensé également aux
risques qui peuvent surgir de l’ac-

»
tivité des opérateurs ?
de nos auditeurs Il faut être conscient que, dès qu’il
y a une solution de continuité
dans la chaîne de responsabilité,
Au départ, l’audit interne, comme tée, il essaie de comprendre L. V. : Est-ce qu’actuellement, un partage de responsabilité, il y
le contrôle interne, est apparu quels sont ses objectifs et l’une de vos préoccupations est a un risque potentiel. Lorsque la
comme une « couche supplé- comment il s’est mis en capacité de vous assurer que tous les mise en œuvre d’une politique
mentaire » dont on ne voyait de les atteindre. Il examinera si les grands opérateurs de l’Etat dispo- publique est confiée pour partie
guère la valeur ajoutée ni même bons efforts sont faits aux bons sent d’un département d’audit à un opérateur, il y a par exemple
la place dans un contexte admi- endroits ; les bons endroits, c’est- interne, ou bien est-ce l’audit un risque de connaissance insuf-
nistratif marqué par la tradition à-dire les éléments présentant le interne du ministère qui joue ce fisante tant au niveau amont de
légaliste. plus de risque ; les « bons rôle ? la stratégie mise en œuvre par
En fait, nous n’avons pas fini d’ex- efforts », c’est-à-dire les efforts l’opérateur qu’au niveau aval des
pliquer les choses. Et notre adéquats pour réduire les risques J.-P. J. : Ce n’est pas une préoccu- résultats obtenus.
premier examen de la politique et donc efficaces. pation directe du CHAI, c’est à De la même manière des risques
d’audit interne des ministères Et puis, il examine des processus, chaque ministère de s’assurer spécifiques peuvent exister
devra être l’occasion de préciser des modes de fonctionnement, il que l’ensemble des acteurs parti- quand il y a des services décon-
la logique de l’audit interne et ne juge pas des personnes. Ce cipant aux politiques publiques centrés.
notamment son lien fort avec le qui est nouveau par rapport à qui lui sont confiées sont bien
L. V. : Souhaitez-vous jouer un
rôle au niveau du développe-
ment de l’audit interne dans les
collectivités territoriales ?

J.-P. J. : Je pense que, quand on


parle de secteur public, il n’y a
pas que l’Etat et ses opérateurs, il
y a d’autres personnes et il y a
d’autres collectivités, d’autres
niveaux. Et en tout cas, même si
le CHAI n’est pas compétent pour
les collectivités territoriales, j’ai
bien l’intention, si j’en ai le temps,
de créer quelques passerelles
avec les associations représen-
tant les différentes collectivités,
associations des régions de
France, des départements de
France, des mairies de France.

L. V. : Quels sont les chantiers


actuels du CHAI et ses priorités
pour les prochaines années ?

J.-P. J. : Nos priorités, c’est d’abord


de travailler à la professionnalisa-
tion de nos auditeurs. C’est aussi
les aider à se faire connaître, à se
faire comprendre dans leurs
organisations. En matière de

n° 002 — audit, risques & contrôle — 2e trimestre 2015 11


RENCONTRE AVEC ...

professionnalisation, nous nous


efforçons de recenser les forma-
tions disponibles pour en infor-
mer les responsables de missions
ministérielles d’audit et nous
avons mis en place nous-mêmes
une formation aux fondamen-
taux de l’audit interne.

Une autre priorité, c’est de mettre


en place l’examen annuel de la
politique d’audit interne des
différents départements ministé-
riels, prévu dans le décret de juin
2011.

Enfin, nous souhaitons nous faire


connaître et échanger, à la fois
avec les responsables de l’audit
interne dans le privé et avec les
réseaux d’auditeurs internes
publics au niveau international.

L. V. : Avez-vous le sentiment que


les auditeurs internes s’appuient
sur le CHAI pour avancer ?

J.-P. J. : Oui, je le crois sincère-


ment. Ils peuvent échanger,
partager leurs difficultés. C’est un
endroit où l’on peut effective-
ment – y compris dans les
groupes de travail – parler des
solutions que l’on a trouvées ou
des démarches que l’on a pu
mettre en œuvre.
Je pense que le simple fait de ne
pas être seul face à ses managers,
de pouvoir bénéficier des expé-
riences (mauvaises ou bonnes)
des autres est un atout considé-
rable pour eux.
Nous avons lancé un nouveau
type d’action qui s’appelle les
partages d’expérience. On
rassemble le plus possible de
représentants ministériels pour
discuter de tel ou tel sujet. Et c’est
La première Conférence annuelle du CHAI, tenue le 28 novembre 2014, a réuni plus de 200 personnes.
d’ailleurs à travers ce biais-là que
l’on va parfois écrire quelques
modalités pratiques d’application leurs interlocuteurs ce qu’était un L. V. : Quel regard portez-vous sur d’audit ministériels, l’objectif d’in-
qui seront le résultat du partage risque, ce qu’était le « contrôle » les comités ministériels d’audit dépendance est atteint : dans l’in-
d’expérience. au sens anglais, la « maîtrise » ; interne ? tégralité des comités d’audit
comment il fallait noter les interne, les personnalités non
Je voudrais ajouter que les audi- risques pour être en mesure de J.-P. J. : Au tout début, les CMAI investies dans la gestion, dans
teurs des missions ministérielles déterminer l’effort d’audit à four- n’étaient pas composés de l’opérationnel, y compris des
d’audit interne ont tous été solli- nir … Il y avait là tout un travail manière à garantir leur totale personnalités extérieures au
cités comme les « sachant » de persuasion, d’explication, et je objectivité. En effet, les opéra- ministère, sont effectivement
lorsque les ministères ont dû pense que les discussions que tionnels, les directeurs des minis- majoritaires.
établir une cartographie des nous avons eues au sein du CHAI tères constituaient pour
risques. Les auditeurs internes sur cette problématique ont été l’essentiel les comités d’audit. L. V. : Outre l’adaptation des
ont eu l’occasion d’expliquer à tout particulièrement utiles. Actuellement, dans les comités normes et la rédaction de

12 2e trimestre 2015 — audit, risques & contrôle - n° 002


RENCONTRE AVEC ...

plusieurs guides, avez-vous mis L. V. : Quelles sont les relations du ple, et pourquoi pas un auditeur L’idée est, sur la base d’une
d’autres outils et instruments à la CHAI avec les services d’audit de public étranger. connaissance partagée des
disposition des auditeurs ? la Commission européenne, avec formations existantes sur le
INTOSAI, EUROSAI, la Cour des L. V. : Avez-vous des contacts marché, que chaque auditeur se
J.-P. J. : Nous allons continuer à comptes, l’ECIIA et l’IIA ? Est-ce avec les administrations centrales voit doté d’un carnet de forma-
élaborer des guides, notamment qu’il y a des relations organisées des pays d’Afrique subsaharienne tion recensant les formations qu’il
compléter le guide RH. Par avec ces différentes structures ? membres de l’UFAI ? aura suivies.
contre, aucun travail à ce stade
n’a porté sur les outils informa- J.-P. J. : Le CHAI en tant que tel J.-P. J. : Pour l’instant non, mais L. V. : Quel type de collaboration
tiques les plus appropriés au n’est pas encore en relation avec nous y réfléchissons. En effet, je est-il pratiqué entre l’audit
travail des auditeurs. Certains les auditeurs de la Commission sais que du côté du FMI ou de la interne des ministères et l’audit
services d’audit disposent de tels Européenne même si, à titre indi- Banque mondiale, qui sont des externe de la Cour des comptes ?
outils et seront en mesure de les viduel, certains s’inscrivent dans institutions internationales bien
présenter à leurs collègues. les réseaux d’auditeurs publics présentes en Afrique, l’audit J.-P. J. : Il faut tout d’abord avoir
européens. interne n’est pas une compé- conscience que l’on n’a pas les
L. V. : Pouvez-vous définir en Nous n’avons pas de relations tence qu’ils ont dans leur porte- mêmes clients. Pour l’auditeur
quelques mots la valeur ajoutée avec INTOSAI et EUROSAI, parce feuille habituel. interne, ses clients, ce sont les
du CHAI ? que je considère que ce sont des responsables des organisations
organismes s’adressant aux struc- L. V. : Quelles relations le CHAI auditées. La Cour des comptes,
J.-P. J. : Le CHAI est un collectif qui tures de contrôle externe (Cours entend-il avoir avec l’IFACI ? comme un commissaire aux
donne un peu plus de force à des comptes). Quelle ligne de partage des comptes, travaille pour que des
tout le monde. Nous n’avons pas de relation avec responsabilités entre eux deux ? personnes extérieures disposent
C’est aussi un lieu de partage des l’ECIIA. En tant que CHAI, nous Que peuvent-ils bâtir ensemble ? d’informations fiables : le Parle-
bonnes pratiques, ou des avons en revanche adressé à l’IIA, ment, les citoyens et toute autre
mauvaises pratiques, ou des au printemps dernier, notre cadre J.-P. J. : Depuis que je suis au partie prenante.
mauvaises expériences. Il faut de référence traduit en anglais. CHAI, je rencontre l’IFACI réguliè-
que l’on arrive à créer une vraie En réponse, l’IIA a salué la rement. Je pense aussi que nous n’avons

« L’objectivité du CHAI n’est pas d’harmoniser vers le bas


mais de tirer la qualité vers le haut sans néanmoins
pas exactement les mêmes
objectifs, Pour comprendre ce
point, il convient d’avoir à l’esprit

»
que la Cour a, au moins, pour
notre propos deux rôles.
rechercher un perfectionnement excessif
D’une part, elle est l’auditeur
relation de confiance pour que démarche de la France par un Nous avons eu des discussions, externe assurant la certification
l’on soit capable d’y parler de nos communiqué publié sur son site. dès mon arrivée avec les diri- des comptes des comptes de
vrais problèmes. Le CHAI est ainsi Le CHAI a par ailleurs répondu à geants de l’IFACI. l’Etat comme le ferait un commis-
un point d’appui pour les la consultation de l’IIA sur son Nous avons défini un modus saire aux comptes privé et dans
services d’audit interne. projet de cadre conceptuel en vivendi avec un postulat de ce cadre il est naturel, en applica-
soulignant l’intérêt de tenir départ : nous sommes d’accord tion des normes internationales
Il est aussi le garant de la qualité. compte de quelques points pour travailler ensemble. d’audit, que les travaux sur la
Chaque ministère a sa culture, spécifiques au secteur des admi- J’ai expliqué, et l’IFACI l’a très bien comptabilité de l’audit interne lui
souvent fortement ancrée, qui nistrations publiques. compris, que tout ce qui était soit communiqués systémati-
peut comporter des mauvaises institutionnel, à savoir tout ce qui quement et directement.
habitudes au regard des L. V. : Est-ce que dans le cadre de concerne la manière dont doit
exigences propres de l’audit l’ECIIA, vous pourriez envisager s’organiser l’audit interne dans les D’autre part, la Cour des Comptes
interne. La tentation est de constituer, à l’instar de ce qui ministères, me semblait réservé exerce, en tant que juridiction ou
fréquente de tirer argument de a été fait par le secteur bancaire, au CHAI. En matière de méthodo- en vertu d’attributions qui lui
ses spécificités pour s’extraire de un groupe de travail européen logies, rien ne s’oppose à ce que sont données par la Constitution
la norme. Le rôle du CHAI est d’of- Administration Publique ? le domaine soit partagé en veil- ou d’autres textes organiques,
frir une référence commune de lant à éviter les redondances et, a d’autres missions au cours
ce qu’il faut respecter pour que le J.-P. J. : Cela mérite une réflexion. fortiori, les contradictions. desquelles elle peut exercer son
travail effectué soit de qualité, D’une manière plus générale, j’ai Je pense que le CHAI doit se droit de communication général.
pertinent et utile. Ce ne sera pas l’intention de proposer assez préoccuper de la formation des Dans ce cadre, elle l’exerce selon
toujours facile de convaincre que rapidement au CHAI de désigner auditeurs, même s’il n’a pas les les procédures prévues et non
pour atteindre ce but, il faut quelqu’un d’entre nous pour moyens d’agir lui-même comme pas en s’adressant aux auditeurs
respecter un minimum de règles. siéger dans ce genre d’instances. organisme de formation. Comme internes. Un des sujets les plus
L’objectif du CHAI n’est pas d’har- Je souhaiterais inviter à la je vous l’ai dit, le CHAI a organisé sensibles est évidemment celui
moniser vers le bas, le médiocre, prochaine conférence annuelle une formation aux fondamen- des cartographies des risques.
mais de tirer la qualité vers le du CHAI, un représentant de la taux de deux jours, qui sera L’établissement de ces cartogra-
haut, sans néanmoins rechercher Commission européenne, de renouvelée autant que de phies relève de la compétence
un perfectionnisme excessif. l’Internal Audit Service par exem- besoin ; il ne peut pas faire plus. des opérationnels ; il semble

n° 002 — audit, risques & contrôle — 2e trimestre 2015 13


RENCONTRE AVEC ...

exclu que les auditeurs puissent départements ministériels qui


transmettre dans ce domaine des sont très divers ?
informations qui ne leur appar-
tiennent en rien même s’ils ont J.-P. J. : Le défi c’est d’arriver, à
pu aider à leur élaboration. partir de cultures différentes –
parce qu’il y a des cultures minis-
L. V. : Quel état des lieux pouvez- térielles différentes –, à faire
vous établir, aujourd’hui, sur le adopter des modes de fonction-
développement de l’audit nement, des méthodologies
interne dans l’administration ? communes. Il faut respecter un
tronc commun, le minimum
J.-P. J. : La situation est variable. minimorum qui garantit que les
En ce qui concerne la mise en travaux seront pertinents et utiles
place des structures, tous les aux audités, c’est-à-dire les aide-
ministères sauf un sont pourvus ront à mieux gérer leurs activités
des textes réglementaires et les risques qui y sont attachés.
mettant en œuvre le dispositif Bien entendu, les métiers spéci-
d’audit interne prévu par le fiques à chaque ministère appel-
décret de 2011. leront des compléments.
S’agissant du fonctionnement Mais le rôle du Comité d’harmo-
concret du dispositif, les comités nisation, c’est de travailler sur le
d’audit interne se réunissent, les socle commun et d’éviter de faire
cartographies de risques ont été du spécifique pour faire du spéci-
établies et servent de base à la fique. Le spécifique n’est justifié
programmation des travaux d’au- que pour un vrai besoin.

© Comugnero Silvana - Fotolia.com


dit à peu près partout. Mais le
champ et la visibilité de l’audit * *
interne sont variables d’un minis- *
tère à l’autre. Dans certains minis-
tères, on est encore plutôt sur de L. V. : Qui sont les auditeurs de

© hassan bensliman - Fotolia.com


l’audit interne comptable, l’Etat, leurs compétences, leur
domaine en progrès constant. niveau de professionnalisation,
Les audits métiers se dévelop- leurs perspectives d’évolution ?
pent plus ou moins rapidement.
Il me semble, mais je ne suis pas J.-P. J. : Les auditeurs de l’Etat sont
le seul à le considérer, qu’il faut des fonctionnaires et, plus rare-
désormais s’occuper des vrais ment, des contractuels. Ce sont
sujets que sont les risques des membres des corps de
métiers. contrôle préexistants, la plupart
du temps. forcément être exercé durant L. V. : Quelles sont les ambitions
L. V. : Que reste-il à faire ? Certains sont des jeunes qui toute une vie professionnelle, du CHAI pour les prochaines
sortent de l’ENA ou de grandes c’est un métier qui peut faire années ?
J.-P. J. : Je pense que les struc- écoles commerciales ou scienti- partie du parcours d’un cadre à
tures sont en place. A présent, il fiques. D’autres sont des potentiel car il donne quelques J.-P. J. : Maintenant que le CHAI a
faut faire tourner la machine pour personnes qui ont déjà exercé bons réflexes : ne pas croire sans une base, il va pouvoir s’ouvrir sur
l’améliorer, pour faire les bons des fonctions au sein de l’organi- vérifier, être capable de se poser le monde extérieur : Europe, pays
constats, donner les bonnes sation, notamment opération- des questions, d’avoir un regard francophones… Compte tenu de
recommandations et faire nelles, à de haut niveau parfois. un peu distancié, de détecter l’expérience acquise, on pourrait
bouger les choses. Il ne faut pas Ils ont été formés « sur le tas », l’« anormal » et de s’y arrêter… partager avec d’autres pays, d’au-
oublier que l’objectif de l’audit certains ayant déjà une forte Habituellement, on conserve ces tres institutions, en restant sur
interne, ce n’est pas de produire expérience en matière de réflexes, quel que soit le métier l’idée qu’il n’y a pas de différence
les meilleurs rapports du monde contrôle, et au travers de diffé- que l’on exerce ensuite. fondamentale entre le privé et le
et les meilleures recommanda- rentes formations. J’ai parlé de L’idéal à mon avis pour former les public.
tions du monde, c’est de faire notre souci d’aider nos collègues missions ministérielles, est, Il serait souhaitable d’arriver, dans
bouger l’organisation dans le à professionnaliser leurs équipes. quand cela est possible, un mixte les prochaines années, à « embar-
sens de l’amélioration. Il est extrêmement rare que l’on de jeunes diplômés et de quer » les collectivités territoriales
Quand aura-t-on réussi ? Quand reste auditeur toute sa vie dans le personnes connaissant déjà l’or- dans une démarche de même
il y aura des plans d’actions et secteur public. Je pense néan- ganisation, car il est utile au sein nature.
qu’ils auront été mis en œuvre. moins que l’audit interne est un d’un service d’audit interne
métier. D’ailleurs, il va être ajouté d’avoir la connaissance des L. V. : Je vous remercie de m’avoir
L. V. : Quel est le défi de l’harmo- au répertoire interministériel des métiers de l’organisation. accordé ce long entretien. 
nisation des pratiques au sein des métiers de l’Etat. S’il ne doit pas

14 2e trimestre 2015 — audit, risques & contrôle - n° 002


DOSSIER

L’AUDIT INTERNE
EN CONTINU
Un état d’esprit adapté
au rythme du changement

16 - Au-delà des systèmes


et des technologies

20 - Effet de mode ou
réelle opportunité ?

22 - Enjeux et apports

24 - La mise en œuvre d’un processus


de contrôle continu

25 - Une action conjointe des deuxième


et troisième lignes de maîtrise

26 - Audit interne et pilotage en continu :


l’exemple d’une intégration réussie

n° 002 — audit, risques & contrôle — 2e trimestre 2015 15


L’AUDIT EN CONTINU

Au-delà des systèmes

© Sergey Nivens - Fotolia.com


et des technologies
Jean-Pierre Hottin, Associé, PwC

L
a technologie L’audit en continu est défini comme la C’est donc un réel apport pour l’auditeur
est au cœur « combinaison d’évaluation continue des interne qui doit le plus souvent, avec des
des enjeux risques et des contrôles qui s’appuient sur les moyens contraints, focaliser encore plus ses
pour les fonc- systèmes d’information. L’audit en continu missions sur les zones de risques les plus
tions audit interne. En doit permettre à l’auditeur interne de critiques tout en augmentant le niveau global
particulier, la capacité à accéder en temps réel communiquer ses constats sur l’objet consi- d’assurance pour des parties prenantes de
à des données de plus en plus étendues, déré bien plus rapidement que dans le cadre plus en plus exigeantes.
structurées ou non structurées, change fonda- de l’approche rétrospective traditionnelle ».
mentalement le contexte dans lequel les L’idée sous-jacente est que les organisations Le cadre étant posé, il est question ici d’éva-
fonctions audit interne évoluent. Plus large- doivent faire face à un rythme de change- luation en continu des risques et des
ment c’est tout le champ de la gestion des ment et de transformation du contexte de contrôles. N’y a-t-il pas confusion avec le pilo-
risques, du contrôle interne et de la confor- risques toujours plus rapide, auquel ne peut tage en continu ?
mité qui doit s’adapter, y compris les auditeurs plus répondre une approche d’audit interne
internes et externes. Comment s’intègre l’au- traditionnelle. L’audit en continu et le pilotage
dit en continu, concept développé depuis en continu dans le modèle
plusieurs années, dans ce nouveau monde ? L’audit en continu c’est en résumé la capacité, des 3 lignes de défense (ou de
pour l’audit interne, en capitalisant sur les maîtrise)
Audit en continu, technologies et les données disponibles, de :
de quoi parle-t-on ?  développer un plan d’audit beaucoup plus Dans le modèle des trois lignes de défense la
agile, en développant des indicateurs responsabilité du pilotage en continu est clai-
L’IIA a publié en mars 2015 la seconde édition permettant de cibler les éléments de l’uni- rement du ressort du management et des
du GTAG 3, en intégrant spécifiquement l’ap- vers d’audit (entités ou risques) nécessitant fonctions qui l’appuient pour la mise en
proche dans le modèle des 3 lignes de d’être priorisés ; œuvre des dispositifs de gestion des risques,
défense (de maîtrise en France) et en inté-  cibler les missions de manière beaucoup de conformité et de contrôle interne.
grant des aspects au-delà du domaine pure- plus précise, en s’appuyant sur les indica-
ment transactionnel pour intégrer les apports teurs de risques et de contrôles ; En pratique plus les dispositifs sont pilotés de
des outils d’analyse en continu comme par  mieux suivre la mise en place des recom- manière rapprochée, plus l’audit interne
exemple ceux relatifs au suivi des paramé- mandations en s’appuyant sur l’évolution
trages de contrôles, de la sécurité et de la des indicateurs affectés par les recomman-
séparation des tâches, ainsi que la capacité de dations émises. 1 La version française du GTAG 3 publiée par l’IFACI
traiter des données moins structurées1. est téléchargeable sur le site www.ifaci.com

16 2e trimestre 2015 — audit, risques & contrôle - n° 002


L’AUDIT EN CONTINU

pourra réduire son effort, pour tant est qu’il ait La précédente version de ce GTAG me La technologie associée est bien évidemment
évalué la qualité du dispositif de pilotage. semblait d’ailleurs plus focalisée sur l’esprit fondamentale, et représente des enjeux
L’exemple le plus courant est celui des auto- que sur la technologie, en donnant des illus- importants :
évaluations du contrôle interne, mises en trations et des exemples plus approfondis sur  Comment s’intégrer dans l’urbanisme des
place dans la plupart des entreprises en les indicateurs de risques versus les indica- systèmes de l’entreprise, prendre en
France : dans certaines entreprises, la fonction teurs de contrôles – un focus particulier étant compte sa complexité, tout en ne dégra-
contrôle interne ou contrôle permanent est mis dans cette dernière version sur les indica- dant pas la performance des systèmes
étroitement impliquée dans le pilotage d’in- teurs de contrôles automatiques ou paramé- opérationnels ?
dicateurs attestant de la mise en place effec- trés, ce qui traduit l’évolution des outils  Comment adresser le sujet de la protection
tive des contrôles remontant des disponibles pour les principaux ERP ces des données que va manipuler l’audit
autoévaluations, limitant ainsi la nécessité dernières années. interne, en veillant à respecter également
pour l’audit interne d’intervenir sur la
première ligne de défense, si ce n’est pour
corroborer la qualité du pilotage mis en place.
Dans d’autres entreprises, le pilotage n’est pas Activités d'audit interne entrant dans le cadre de l'assurance
mis en place et implique pour l’audit interne, continue :
s’il veut construire son assurance sur les • Tests d'audit sur les contrôles en continu réalisés par
les 1re et 2e lignes de maîtrise
autoévaluations, de mener des audits plus
• Audit en continu
approfondis au niveau des opérations.

La plupart des grandes entreprises et par


essence les entreprises du secteur financier 3e ligne de maîtrise :
ont mis en place des fonctions risques et L'audit interne fournit Tests d'audit
une assurance sur les contrôles
contrôle interne qui ont vocation à prendre indépendante. en continu réalisés
en charge ce pilotage en continu. Pour les par les 1re et 2e
autres, et notamment les organisations non lignes de Audit en
maîtrise continu
financières de taille moyenne, l’audit interne Transfert des
2e ligne de maîtrise : via des
aura souvent un rôle plus étendu et viendra Des fonctions techniques
techniques
appuyer directement le management pour (comme les fonctions d'audit en continu
de gestion des informatisées
développer cette supervision en continu. risques et de conformité) d’évaluation
In fine, le pilotage en continu est bien de la exercent une surveillance
des risques.
continue
responsabilité du management, alors que des risques
l’audit en continu est une approche dévelop- Contrôle et des
pée par l’audit interne pour s’adapter au en continu contrôles
1re ligne de maîtrise :
rythme des changements dans l’organisation Les managers
opérationnels
et mieux allouer ses ressources. La première endossent et gèrent
responsabilité de l’audit interne sera donc les risques.
bien d’évaluer le pilotage en continu des deux
autres lignes pour déterminer les travaux qu’il
devra réaliser en complément afin de donner Schéma 1 : Cadre optimisé de l’assurance continue
un niveau d’assurance approprié.

Le schéma proposé dans la dernière version L’audit en continu, c’est avant tout pour l’au- les réglementations sur la protection des
du GTAG 3 reprend clairement ces différents diteur interne un état d’esprit adapté au données personnelles ?
éléments (Cf. Schéma 1). rythme du changement au sein des organisa-  Comment avoir l’assurance sur la qualité
tions : des données utilisées ?
L’audit en continu est-il  un plan l’audit qui n’est plus figé sur une
uniquement un sujet base annuelle, qui s’adapte à la lecture d’in- Les données et leur qualité
technologique ? dicateurs disponibles au sein de l’organisa- au centre d’un dispositif d’audit
tion, ou créés spécifiquement pour les en continu
Le GTAG est par nature associé aux aspects besoins du plan d’audit ;
technologiques. La définition ainsi que les  des audits dont l’intensité et le périmètre L’objectif de l’audit en continu est :
exemples sont d’ailleurs très focalisés sur l’uti- sont adaptés au fil de l’eau en exploitant les  de mesurer les risques de manière dyna-
lisation des technologies. A mon sens il ne indicateurs ad hoc ou les informations mique, en regardant par exemple des
faut pas limiter l’audit en continu à des remontant du pilotage en continu ; tendances (suivi de ratios de gestion), en
systèmes et des technologies, même si nous  l’appui autant que faire se peut au fil de mesurant des expositions à des natures de
avons en tant qu’auditeurs internes une l’exécution des audits, de la préparation au risques (répartition du portefeuille clients),
opportunité fantastique de faire évoluer la reporting, sur les techniques d’analyses de en allant jusqu’à essayer de prévoir ou d’an-
profession grâce à des données plus facile- données ; ticiper des risques ;
ment accessibles et à des outils d’exploration  une meilleure intégration avec les méca-  de mesurer le caractère effectif des
et d’analyse à portée de main pour des audi- nismes de pilotage managériaux de l’orga- contrôles attendus, de manière continue,
teurs généralistes. nisation. par exemple en pilotant les paramétrages

n° 002 — audit, risques & contrôle — 2e trimestre 2015 17


L’AUDIT EN CONTINU

de contrôles systèmes ou en analysant des Dès le moment où l’audit interne s’appuie sur sont une première base de départ. Les fonc-
signaux de dérive des contrôles par l’ana- des dispositifs de pilotage, collectant et agré- tions transverses sont également une source
lyse massive de transactions. geant eux même des informations en prove- d’indicateurs à exploiter. L’existence d’un ERP
nance de sources opérationnelles, il devra commun est un avantage considérable
L’audit en continu va donc « lire » des données revoir les contrôles garantissant la qualité de puisqu’il pourra souvent permettre d’indus-
variées, qui vont permettre d’alimenter une la donnée , que ce soient les contrôles géné- trialiser des indicateurs très opérationnels.
vision dynamique des risques et des raux informatiques ou les contrôles sur les
contrôles. Schématiquement vont être collec- processus de collecte et agrégation. Une fois les indicateurs identifiés sur les zones
tées par exemple des données sur : prioritaires, il faut déterminer la fréquence de
 les indicateurs de performance de l’entre- Mettre en place un dispositif suivi. L’audit interne n’a pas la capacité à suivre
prise, qui peuvent également être compa- d’audit en continu, quelles les indicateurs en continu – c’est le rôle du
rés à des benchmarks externes ; étapes ? management et des fonctions de contrôle.
 les indicateurs de risque : ce sont des indi- Pour chaque domaine, il faudra déterminer les
cateurs internes (par exemple accroisse- Le GTAG décrit de manière synthétique 4 fréquences d’analyse – sans doute pour
ment de la part de transactions avec telle étapes pour mettre en place avec une vision commencer semestriel, puis trimestriel.
catégorie de clients), ou externes (évolution technologique.
du taux de défaillances d’entreprises dans Une fois ces fréquences déterminées il sera
une région donnée) ; Si l’on prend un peu de recul en excluant ces nécessaire de mettre en place ces indicateurs,
 l’état de la mise en œuvre des dispositifs de aspects technologiques et les moyens à ce qui nécessitera l’appui sur des outils. Le cas
maîtrise/contrôles (taux de conformité des mettre en œuvre sur le plan humain et tech- idéal est l’organisation qui s’appuie sur un ERP
autoévaluations, modifications de contrôles nologique, la démarche ressemblerait aux qui intègre un module GRC… malheureuse-
paramétrés, résultat des évaluations du étapes décrites ci-après. ment toutes les organisations ne sont pas
contrôle permanent…), et les indicateurs dans ce cas et l’audit interne devra prendre
de dysfonctionnements de contrôles La définition des zones prioritaires est essen- garde à ne pas introduire un niveau de
(analyses de données sur des populations tielle : comme dans toute transformation il y complexité supplémentaire dans l’urbanisa-
très larges montrant des tendances inhabi- a des « quick wins » qu’il faut privilégier. En l’es- tion des systèmes en « branchant » un
tuelles (nombre de commandes proches pèce, il faut prendre du recul sur son plan nouveau système. L’évolution des technolo-
du plafond validation…) ; d’audit et s’interroger par exemple sur les gies dans le domaine data représente une
 les alertes et évènements inhabituels audits répétitifs et les moyens de mieux les véritable opportunité pour rendre moins
capturés en temps réels (tentatives d’intru- cibler/prioriser en utilisant des indicateurs. Les ardue cette étape, en s’appuyant sur des outils
sion sur les SI, utilisation de transactions plans d’audit de nos entreprises françaises de modélisation et d’exploration de données
sensibles, litiges…). incluent souvent des sujets plus opération- du marché (Qlickwiew, Tableau Software…).
nels ou stratégiques qu’il est peu pertinent de Ces outils permettent de gérer des volumes
L’enjeu est de mettre en place les dispositifs couvrir avec cette démarche. considérables de données et offrent des
de collecte des données qui en garantissent capacités d’exploration et de visualisation très
l’intégrité, en considérant la complexité des L’identification des indicateurs est la seconde évoluées.
systèmes et des sources de données à exploi- étape essentielle. La démarche doit s’appuyer
ter. au maximum sur des données déjà disponi- Le suivi des indicateurs peut représenter un
Le schéma 2, extrait de la précédente édition bles, afin de limiter le coût pour l’organisation. challenge – ce doit être une mission allouée
du GTAG 3, illustre l’étendue de l’audit en En général, le contrôle de gestion dispose de dans le planning d’audit interne, le plus grand
continu. remontées d’informations assez détaillées qui danger étant de ne pas prendre suffisamment
de temps pour les exploiter et passer ainsi à
côté de signaux de risques.
Audit continu
Enfin, évidemment, tout ceci
Evaluation continue des contrôles Evaluation continue des risques Approche doit donner lieu à une
amélioration continue – rien
n’est figé.
Fondé sur les contrôles Fondé sur les risques
(les contrôles destinés à apporter une Cible
(identification / évaluation des risques)
assurance fonctionnent) Deux exemples en
Contrôles financiers / opérationnels
Contrôles financiers pratique, l’audit des
magasins dans
Tests des transactions détaillées /
Comparaison / tendances Technique les réseaux de
en temps réel
(données financières)
(données financières / opérationnelles) d’analyses distribution et l’audit
à intensité variable
Assurance sur Vérification
Fraude / Périmètre et Suivi des
Plan d’audit
Activités de dans le secteur
gaspillage / objectifs de recom. de l’audit y financier
les contrôles financière annuel
abus l’audit l’audit afférentes
Gestion de la Activités du La grande distribution, en
Pilotage des Pilotage des Tableau de Tableau de
qualité totale management particulier aux Etats-Unis,
contrôles performances bord équilibré bord équilibré
(TQM) y afférentes offre un terrain extrêmement
Schéma 2

18 2e trimestre 2015 — audit, risques & contrôle - n° 002


L’AUDIT EN CONTINU

fertile à la mise en place de systèmes d’audit interne déclarent utiliser les techniques  Et puis il faut disposer de la « bande
en continu. L’enjeu pour les entreprises d’analyse de données, mais seulement 43 % passante » au sein de l’audit interne pour
concernées est de maximiser le plan d’audit utilisent des techniques dans le cadre de pouvoir analyser ces indicateurs, ce qui est
magasins. Les approches mises en place l’analyse de risques et 48 % pour déterminer l’une des limites les plus souvent citées…
consistent à bâtir un tableau de bord, en utili- le périmètre des interventions. Ils sont pour-
sant des données internes et externes, débou- tant plus de 70 % à considérer qu’ils devraient Enfin, dernier point, les parties prenantes ne
chant sur des indicateurs de risques qui le faire. sont pas forcément disposées à réaliser l’in-
permettent de prioriser efficacement les vestissement nécessaire au sein de leur fonc-
magasins à auditer. Ce n’est pas nouveau, le Lorsque l’on regarde plus particulièrement la tion audit interne – investissement qui est
précédent GTAG 3 utilisait un exemple simi- situation française, les tendances sur l’utilisa- proportionnellement élevé comparé à leurs
laire pour illustrer l’application de l’audit en tion de l’analyse de données pour suivre des dépenses courantes habituelles, les budgets
continu sur le plan d’audit. Ce qui est nouveau indicateurs de risques ou disposer de tableaux seront plus facilement réalisables au sein des
c’est la capacité à exploiter beaucoup plus de de bord dynamiques sont relativement simi- opérations.
données, internes et externes, y compris à laires au reste du monde, même si l’on
partir des réseaux sociaux, pour cibler les constate un léger retrait : Que faire alors ?
magasins « à risque », et de piloter tout ceci  69 % en France versus 76 % au niveau
au travers de tableaux de bord dynamiques mondial utilisent ou envisagent d’utiliser L’audit interne doit s’adapter à l’évolution digi-
grâce aux nouveaux outils accessibles pour l’analyse de données pour les indicateurs tale et à ce qu’elle implique. Les fonctions
tout auditeur interne. de risques ; opérationnelles s’affranchissent des lourdeurs
 55 % en France versus 64 % au niveau des systèmes d’information en s’appuyant sur
Un autre exemple intéressant est la démarche mondial utilisent ou envisagent d’utiliser les outils externes d’exploration de données
d’ajustement de l’intensité d’audit mise en l’analyse de données pour des tableaux de disponibles sur le marché. L’audit interne doit
œuvre en Angleterre pour une grande bord. suivre cette tendance et il me semble essen-
banque. La question posée est quelque peu tiel que chaque fonction mène des réflexions
différente, puisque dans le cas présent l’audit Les freins à la mise en place de telles stratégiques sur le thème de l’analyse de
interne a l’obligation de couvrir sur une base démarches sont de plusieurs ordres, comme données et au-delà sur ce concept d’audit en
pluriannuelle l’ensemble des éléments de l’illustrent les directeurs audit interne qui ont continu pour rester en ligne avec le reste de
l’univers d’audit. Pour répondre à cet enjeu, contribué à ce dossier : l’entreprise.
nous avons développé une approche structu-  Toutes les fonctions audit interne n’ont pas
rée, basée sur l’exploitation d’indicateurs et la capacité à collecter en continu des Cela passera par exemple par :
déterminant la profondeur d’audit en fonc- données homogènes et de qualité.  des ateliers de réflexion, avec l’aide de
tion de la lecture de ces indicateurs. Il était L’urbanisme des systèmes d’information est spécialistes internes ou externes, pour faire
possible également de reprioriser les une complexité pour des groupes qui se émerger au sein de l’équipe audit interne
éléments de l’univers d’audit en fonction du développent par acquisition à l’internatio- des pistes de travail et des quick wins ;
niveau de risque lu au travers des indicateurs. nal.  une collaboration active avec la seconde
Cette démarche nécessite un outillage très  Les auditeurs internes ne sont pas toujours ligne de défense, en particulier les autres
avancé puisqu’il faut réellement « connecter » convaincus des bienfaits de la donnée, fonctions impliquées dans la gestion des
les éléments de l’univers d’audit aux indica- ayant parfois vécu des expériences d’utili- risques, et le contrôle de gestion, afin de
teurs de risque et de contrôle. sation de ces techniques mal préparées. s’appuyer sur les indicateurs déjà existant ;
 La compétence nécessaire pour mettre en  des démarches ciblées, menées en mode
Quels sont les freins au œuvre ces techniques sur le plan opéra- « test & learn », en acceptant que le résultat
développement de l’audit en tionnel n’est pas toujours « gérable » par ne soit pas au rendez-vous tout de suite,
continu et les risques associés ? l’équipe audit interne – il s’agit de profils mais se construise progressivement ;
techniques qui ont potentiellement des  la recherche de partenaires internes ou
Le concept n’est pas nouveau – le premier chemins de carrière spécifiques. externes pour traiter les aspects plus tech-
GTAG est paru en 2005. Pour autant, peu d’en-  Il faut pouvoir comprendre les indicateurs, niques ou expertises de données, et en
treprises en France semblent avoir progressé ce qui nécessite une acuité business qui est ayant réfléchi à la chaîne valeur par rapport
sur la mise en place de telles techniques. Pour l’un des grands challenges des auditeurs aux compétences gérées au sein d’une
quelles raisons ? Est-ce parce que les béné- internes, comme l’a montré notre dernière équipe audit interne. Ceci pourra passer par
fices espérés sont insuffisants au regard des enquête – et comment maintenir cette une phase intermédiaire avec appui sur un
investissements ? Ou bien par manque des compétence lorsque le modèle est un prestataire externe qui prendra en charge
compétences nécessaires ? parcours d’excellence de quelques années les aspects traitements de données et mise
La plupart des fonctions audit interne sont en à l’audit interne ? à disposition des indicateurs, afin de limiter
train de réfléchir à l’utilisation des technolo-  Les auditeurs internes doivent tracer la dans un premier temps les investissements
gies et en particulier de l’analyse de données, limite entre l’audit en continu qui est réalisé humains et technologiques ;
fondement de l’audit en continu. La dernière pour le besoin du plan d’audit et le pilotage  et un passage de relais progressif aux
enquête internationale de PwC sur la profes- en continu qui n’est pas de leur responsa- premières et deuxièmes lignes de défense
sion a mis en exergue cet écart entre inten- bilité – i.e. ils ne peuvent pas porter la pour construire ensemble progressivement
tion et action en matière d’appui sur les responsabilité des actions associées au suivi un niveau d’assurance plus élevé. 
technologies. 82 % des directeurs d’audit régulier des indicateurs.

n° 002 — audit, risques & contrôle — 2e trimestre 2015 19


L’AUDIT EN CONTINU

Effet
de mode

© ra2 studio - Fotolia.com


ou réelle opportunité ?
Mounim Zaghloul, CIA, CISA, CGEIT, CRMA, CRISC, Président de l'IIA-Maroc – plus ouverts sur l’extérieur.
Vice-président de l’UFAI pour l’Afrique du nord et le Moyen-Orient – Dans ce contexte, il est illusoire de prétendre
Dirigeant de la société Consilium donner une quelconque assurance sur la
fiabilité aussi bien des contrôles généraux
informatiques que des contrôles applicatifs et
métiers sans l’usage des outils informatiques,
d’autant plus que ces derniers permettent de
traiter l’exhaustivité des opérations indépen-

V
oilà un sujet qui divise les professionnels leur management. En effet, cet impact va au- damment des contraintes volumétriques ou
de l’audit interne et du contrôle depuis delà de la généralisation de l’usage des tech- technologiques, tout en automatisant le
plus d’une dizaine d’années. nologies en touchant les exigences des déclenchement de ces contrôles à des
instances de gouvernance et du manage- fréquences pertinentes.
En effet, la première édition du GTAG 3 datant ment qui réclament des informations fiables Se contenter d’un contrôle périodique dans
de 2005 et la seconde parue en mars 2015, et pertinentes, orientées vers davantage d’an- ce contexte, reviendrait pour un responsable
tentent encore une fois de convaincre les ticipation et de pro activité dans la prise de de sécurité, à préférer baser ses contrôles sur
hermétiques à tout concept de continuité au décisions. un échantillon de photos statiques au lieu de
niveau de l’audit interne, soutenant que l’au- Pour illustrer davantage cette recherche de les baser sur un dispositif de vidéosurveillance
dit a toujours été considéré comme un type maîtrise des risques, prenons comme exem- doté d’un système d’alerte.
de contrôle périodique et devrait le rester eu ple le risque de fuite de données sensibles. Le
égard à certains textes régissant quelques management est beaucoup plus intéressé par Evolution de la profession
secteurs réglementés et le définissant en tant la prévention et la détection de ce type d’in-
que tel. cidents que par une mission d’audit a poste- Il est important de rappeler que notre profes-
riori qui établirait les responsabilités des uns sion a ressenti la nécessité de préciser son
Un environnement de plus en et des autres et qui s’inscrit dans des schémas positionnement par rapport aux autres dispo-
plus informatisé classiques de plans d’audit annuels, basés sur sitifs de gouvernance et de contrôle.
des cartographies de risques qui ne sont Le modèle des 3 lignes de défense ou 3 lignes
Dans un environnement où les changements souvent pas assez dynamiques pour couvrir de maîtrise, selon la prise de position de l’IFACI
s’accélèrent et touchent les différentes les risques du moment. et de l’AMRAE en est la preuve, puisqu’il
sphères d’une entreprise, les auditeurs Il est à noter également que l’essentiel des accorde à l’audit interne un double rôle : une
internes ne sont pas en reste. opérations au sein des organisations se responsabilité de contrôle à l’égard de la
L’un des déclencheurs de ces changements déroulent dans des environnements forte- première ligne de défense qui est essentielle-
est l’impact des TIC sur les organisations et ment informatisés et intégrés, et de plus en ment constituée des opérationnels, et une

20 2e trimestre 2015 — audit, risques & contrôle - n° 002


L’AUDIT EN CONTINU

responsabilité de contrôle et de coordination Le suivi de ces exceptions viendra renforcer et manquent pas pour disputer le leadership de
à l’égard de la deuxième ligne de défense qui accélérer la mise en place des recommanda- l’audit interne en matière de maîtrise des
est composée de fonctions de support et tions émises par les auditeurs dans leurs risques et des contrôles.
d’autres de contrôle telles que la conformité, rapports. Je pense qu’il est temps que ce sujet, traité
le management des risques ou le contrôle Au bout de ce processus, le niveau de maîtrise jusqu’à maintenant comme une probléma-
permanent. ainsi que la qualité et la fiabilité des données tique technique, s’inscrive dans les nouvelles
D’ailleurs, le schéma présenté en page 17 du s’amélioreront, tout en permettant à l’audit attributions de l’audit interne en tant qu’ex-
présent numéro de la revue, issu de la interne de se focaliser sur des missions à forte pert des dispositifs de contrôle et de maîtrise
seconde édition du GTAG 3, démontre valeur ajoutée répondant ainsi aux exigences des risques et en tant que coordinateur, aussi

«
bien avec la 1ère et la 2ème ligne de maîtrise
qu’avec le management et certains régula-
L’audit continu ne se résume pas à un gadget
ni à une solution miracle
comment l’audit interne joue pleinement ces
»
de plus en plus importantes en matière de
teurs à l’origine de textes figeant l’audit
interne dans un contrôle strictement pério-
dique.
A ce titre, le diagramme sous forme d’éventail
produit par l’IIA UK – Ireland sur le rôle de l’au-
deux rôles, en étant d’une part l’architecte des couverture annuelle des plans d’audit. dit interne dans le management des risques
contrôles dans le cadre de l’audit continu, et A cet effet, les auditeurs internes devront s’in- d’entreprise et définissant ce qui est permis,
d’autre part le garant du transfert et de la vestir dans l’amélioration de leurs compé- ce qui est toléré et ce qui est totalement exclu
supervision de ces contrôles destinés à être tences à travers une formation et une veille pour les auditeurs internes, serait un bon
intégrés dans un dispositif similaire appelé le permanentes afin de maîtriser ce type de exemple à suivre en matière d’audit continu.
CCM (Continuous Control Monitoring) qui est sujets. Une revue audacieuse des normes (1210,
sous la responsabilité de la première et de la 1220, 2130…) et de certaines modalités
seconde ligne de défense. Un marché juteux pratiques d’application telles que les MPA
2320-4 devrait aboutir à la définition de la
Préalable à la réussite Soyons clairs, derrière ce concept, il y a aussi bonne démarche à adopter, en consacrant
de l’audit continu un marché juteux que convoitent plusieurs l’audit interne comme leader de l’assurance
éditeurs de solutions, aussi bien les spécia- intégrée, conscient des évolutions technolo-
L’audit continu ne se résume pas à un gadget listes historiques de l’analyse de données que giques et à même d’en tirer le maximum d’op-
ni à une solution informatique miracle qui, les géants éditeurs des ERP, ces derniers portunités, tout en veillant à préserver son
une fois installée, fonctionnerait toute seule proposant désormais des modules GRC indépendance et son objectivité. 
et détecterait les opérations douteuses ou les incluant quelques fonctions de contrôle
transactions atypiques. continu.
Bien au contraire, c’est un programme d’en- D’ailleurs, les cibles privilégiées des éditeurs
treprise comportant plusieurs projets intégrés sont désormais les autres fonctions de
qui nécessitent plusieurs préalables, en contrôle et de support car elles représentent Quelques Références :
commençant par un travail en profondeur sur un potentiel d’utilisateurs beaucoup plus
la gouvernance des données qui permettra important que celui des auditeurs internes.
CRIPP : Cadre de Référence International
de s’assurer de la maîtrise du patrimoine infor- Bien entendu, il demeure tout à fait envisa-
des Pratiques Professionnelles de l’Audit
mationnel. À ce titre, plusieurs référentiels geable de développer en interne des outils
Interne
existent en la matière, notamment les cadres dédiés à ce type de contrôle, sous certaines
de référence du « Data Governance Institute » conditions. GTAG : Guide Pratique d’Audit des
ainsi que celui du « Data Management Pour davantage de détails sur les différentes Technologies de l’Information
Association le DMBOK ». solutions présentes sur le marché, vous GTAG 3 : « Audit en continu : Coordonner
Une fois les données maîtrisées, il convient de pouvez vous reporter au cahier de recherche l’audit et le contrôle en continu pour
faire le lien entre les processus, les applica- de l’IFACI « Comment sélectionner un outil fournir une assurance continue »
tions et les données utilisées à travers une informatique ? » ainsi qu’au numéro 212 de la
GTAG 1 : « Les Contrôles et le Risque des
démarche intégrée des risques et contrôles, revue de l’IFACI, dédié aux outils informa-
Systèmes d’Information »
en adoptant une double approche Top down / tiques datant de 2012 et qui mérite une
Bottom up « ascendante / descendante ». actualisation régulière car l’offre ne cesse Prise de position de l’IFACI et de l’AMRAE :
Selon les retours d’expériences, les deux d’évoluer avec beaucoup de chevauche- 3 lignes de Maitrises pour une meilleure
étapes précédentes représentent le plus gros ments de périmètres. performance
du travail avant de démarrer la mise en œuvre Revue « Audit & Contrôle internes »
du dispositif d’audit continu. * * N° 212
Concrètement, ce qui est demandé aux audi- *
teurs internes, c’est qu’au moins certains tests Data Governance Institute Framework:
qu’ils déroulent lors de leurs missions pério- Ne pas accorder à ce sujet l’importance qu’il www.datagovernance.com/the-dgi-
diques, puissent continuer à tourner et à mérite, c’est prendre le risque, pour l’audit framework/
générer des résultats sous forme d’exceptions interne, d’être marginalisé sur un sujet haute- DAMA - Data Management Association :
à analyser par une fonction de seconde ligne, ment stratégique pour le management et qui http://www.dama.org/content/body-
tel que le contrôle permanent lorsqu’il existe, d’ailleurs se fera avec ou sans la participation knowledge
sinon par les opérationnels concernés. de l’audit interne, car les prétendants ne

n° 002 — audit, risques & contrôle — 2e trimestre 2015 21


L’AUDIT EN CONTINU

Enjeux
et apports

© dragonstock - Fotolia.com
Christophe Autrive, Directeur de l’audit interne Groupe, Carrefour Ch. A. : Nous sommes entre le second et le
troisième niveau.
Nous avons un modèle éprouvé sur l’utilisa-
AR&C : Vous avez partagé lors de la confé- outil comme ACL lors des missions sur le tion des analyses de données lors de l’exécu-
rence IFACI de 2014 vos convictions autour de terrain. tion des missions. Nous avons développé des
ce sujet, pouvez-vous nous les rappeler en  Le second niveau correspond à la capacité routines d’analyses « standards » par domaine,
quelques mots ? de l’équipe à regarder les indicateurs dans à disposition des auditeurs internes, que l’on
l’année, et à se servir de ces informations pourrait qualifier d’industrialisées (par exem-
Christophe Autrive : En tant que directeur notamment en amont dans la préparation ple production de Balance âgée des comptes
audit interne de Carrefour, je suis confronté à de missions inscrites au plan annuel pour fournisseurs par pays, identification des
une volumétrie assez unique. Le Groupe recibler ses travaux ou mettre à jour la prio- anomalies de sorties de caisse magasin), et
Carrefour, c’est 10 860 magasins, 381 227 risation des missions. nous avons des auditeurs internes qui dispo-
employés, plusieurs milliers de références  Le troisième niveau serait d’utiliser ces indi- sent des compétences nécessaires pour affi-
produits gérées, 12,5 millions de passage en cateurs pour élaborer un véritable plan ner nos requêtes ACL. Nous faisons
caisse chaque jour… : Imaginez le nombre d’audit « agile » rebalayant l’univers d’audit également appel à de l’expertise externe pour
d’analyses combinatoires possibles ! Pour de manière régulière pour déterminer les déployer des requêtes informatisées ad hoc.
auditer un tel univers il faut trouver des solu- missions à inscrire en priorité (un rolling Nous pouvons nous appuyer, avant de lancer
tions. Ma conviction est que mes équipes planning d’audit). les missions prévues au plan, sur des données
doivent s’appuyer sur plus d’automatisation, issues soit de notre système de reporting, soit
et sur plus de prospective – il ne s’agit pas La situation cible serait alors un plan d’audit des bases de données centrales mis en place
uniquement d’exécuter un plan annuel mais dynamique. Mais ne rêvons pas complète- par le groupe (ex : comptabilité, marchan-
également d’aider l’entreprise à anticiper les ment, dans la plupart des groupes on ne peut dises…), qui nous offrent des vues très détail-
sujets. La donnée devient donc un élément pas décider du jour au lendemain de changer lées sur l’ensemble des activités. Nous nous
central pour l’auditeur interne. la Business Unit à auditer – il faut garder un servons de ces éléments pour mener des
délai de prévention. On peut toutefois imagi- analyses et cela nous a permis régulièrement
Je vois dans cette situation trois niveaux de ner un plan qui est actualisé d’un trimestre à de requalifier le périmètre des missions
maturité pour une équipe audit interne : l’autre. prévues initialement au plan d’audit annuel,
 Le premier niveau c’est une équipe qui en pouvant « éliminer » des sujets qui ne
fonctionne sur un mode « traditionnel » en AR&C : Comment jugez-vous votre maturité présentaient pas de risque sur la base des
faisant des analyses de données avec un par rapport à ces trois niveaux ? analyses menées.

22 2e trimestre 2015 — audit, risques & contrôle - n° 002


L’AUDIT EN CONTINU

Pour atteindre le troisième niveau, nous avons quées plus haut ; et aux données disponibles doit pas se substituer au management pour
les données et les indicateurs que nous regar- localement en fonction des sujets. piloter les risques.
dons mais pas de manière suffisamment Sur le plan technologie, nous utilisons actuel-
régulière pour considérer que la démarche lement ACL. Il est vrai que nous n’avons pas AR&C : Quelles seraient vos recommanda-
soit vraiment ancrée. exploré les outils de statistiques et de visuali- tions pour ceux qui souhaitent se lancer dans
Par rapport à la définition proposée de l’audit sation plus évolués qui sont par ailleurs utilisés cette aventure ?
en continu, je peux donc dire que nous avons dans le Groupe. C’est sans doute un sujet à
mis un pied à l’étrier, mais il nous reste à indus- creuser pour avancer plus loin. Ch. A. : Mon expérience m’a montré qu’il faut
trialiser et systématiser la démarche. savoir sortir de sa zone de confort :
AR&C : Vous n’avez pas parlé de la supervision  Intégrer une vision prospective dans la
AR&C : Quels sont selon vous les prérequis en continu qui peut être réalisée par les autres démarche, et pas uniquement une vision
pour tirer de la valeur de ces démarches ? lignes de défense ? historique a posteriori : c’est beaucoup plus
engageant que la simple exécution d’un
Ch. A. : Ces démarches nécessitent l’accès aux Ch. A. : C’est vrai, j’ai parlé surtout de ce que plan d’audit.
données, la maîtrise des outils, mais surtout la nous faisons. Cela ne veut pas dire évidem-  Déterminer précisément ce que l’on
vision fonctionnelle. Lorsque l’on regarde un ment que les premières et deuxièmes lignes cherche sur la base d’une analyse préalable
groupe comme Carrefour, il faut prendre en de défenses ne font rien en la matière, mais il des risques.
compte la complexité cachée derrière des n’y a pas de démarche coordonnée.  Penser compétence fonctionnelle des audi-
processus qui semblent homogènes. Le prin- Par exemple, l’activité relative au groupe sur teurs, ce qui peut être un vrai challenge
cipe de gouvernance dans un modèle de les réseaux sociaux est monitorée par d’autres avec des modèles de carrière qui privilé-
distributeur est la subsidiarité – chacun directions. Nous n’intervenons pas dessus. gient la rotation rapide des auditeurs
s’adapte à son marché. Chaque format de Notre démarche est complètement centrée internes.
magasin, chaque pays présente ses particula- sur le plan d’audit et son exécution et n’a pas  Ne pas se laisser envahir par la profusion
rités, et la lecture faite de la donnée en sera vocation à assurer le pilotage en continu des des données, cibler quelques sujets clefs
affectée Il faut donc que les auditeurs internes risques de l’entreprise. L’ensemble des risques pour influencer le plan d’audit, et laisser le
qui utilisent les indicateurs soient capables reste sous la responsabilité des directions reste pour la préparation et l’exécution des
d’en comprendre le sens dans chaque exécutives des pays ou BUs. L’audit interne ne missions. 
contexte. Cela nécessite une forte spécialisa-
tion fonctionnelle, et c’est ce que nous avons
mis en place au sein de l’équipe, avec des
managers en charge de domaines précis, par
exemple supply chain, marchandises, sécurité
alimentaire, banque et assurances, immobi-
liers, systèmes d’information …

Ces managers ont pour mission de proposer


une vision « stratégique » de leur domaine, en
s’intéressant au passé mais aussi en se
mettant dans un mode prospectif – i.e. pren-
dre en compte les tendances et anticiper les
évolutions pour mieux cibler les risques à
couvrir.

L’idéal sera à terme que chaque manager


responsable de son domaine soit en mesure
de cibler 5 à 10 indicateurs qui lui permettront
de suivre son domaine et adapter en consé-
quence son approche d’audit.

AR&C : Comment avez-vous organisé l’accès


à la technologie et aux données ?

Ch. A. : Nous avons, comme beaucoup de


groupes, une équipe d’auditeurs informa-
tiques qui peut nous aider dans cette
démarche. Mais lorsque l’on veut industrialiser
des requêtes de traitement de données, nous
© flashpics - Fotolia.com

avons fait le choix de nous appuyer sur un


prestataire externe.

En termes de technologies, nous avons accès


directement aux données centralisées indi-

n° 002 — audit, risques & contrôle — 2e trimestre 2015 23


L’AUDIT EN CONTINU

La mise en œuvre
d’un processus

© Garglass
de contrôle continu
Gilles Trolez, Directeur audit et maîtrise des risques, Carglass

Genèse et objectifs Pour chaque contrôle, un tableau de bord présente a minima une
Après une phase de refonte de nos référentiels de risques et de analyse par zone géographique, par tiers (clients, fournisseurs, etc.), et
contrôles internes en 2013, l'informatisation de l’animation de notre par profil métier. Certains tableaux de bord présentent une analyse par
dispositif de maitrise des risques s'est imposée dès 2014 pour en péren- familles de produits.
niser la qualité, dans un environnement en perpétuelle évolution. Chaque résultat du contrôle continu est présenté via une notification
Par ailleurs, compte tenu du niveau de maturité atteint en matière de automatique au contrôleur de l’action de maîtrise de risques identifié
contrôle interne au sein de notre organisation, il nous est apparu perti- dans l’organisation, pour une analyse de premier niveau. Chaque
nent d’envisager de répondre aux enjeux d'optimisation et d’harmoni- contrôleur documente ses investigations et évalue le niveau de perfor-
sation de l’évaluation des actions de maîtrise des risques par un contrôle mance de l’action de maîtrise contrôlée selon trois niveaux (inefficace,
continu « certifié » des données de notre ERP. partiellement efficace, efficace). L’évaluation du contrôleur est ensuite
C’est dans ce contexte que nous avons intégré un chantier « Contrôle transmise pour supervision au responsable du processus par le canal
continu » dans l’appel d’offre de notre projet d'informatisation de la du workflow intégré de la solution.
gestion de nos risques et de la conformité. Nous avons associé dès la
définition des besoins notre direction des systèmes d'information afin Périmètre
de définir la meilleure architecture pour un traitement optimum, certifié Quelques exemples de contrôles
et sécurisé des données. Dans une première phase, il nous est apparu
opportun de limiter notre ambition à 15 contrôles. Processus Contrôle
Modifications des champs « sensibles » de la fiche fournis-
La solution retenue seur (IBAN …)
Nous avons sélectionné le logiciel de GRC BWise, unique solution du Achat au Doublons potentiels de factures fournisseurs sur la base
marché en 2014 qui proposait une approche globale combinant paiement de 3 règles complémentaires à la règle ERP
contrôle interne traditionnel et contrôle continu des données. Ecarts Facture / Ordre Achat fournisseur réceptionné
Délais de paiements fournisseurs
L’approche projet Réceptions informatiques des entrées en stocks
Piloté par la direction audit et maîtrise des risques et accompagné par
Ajustements de stocks informatiques => Cause à justifier
un cabinet d’audit pour l’intégration de la solution et la réalisation des Stocks - Inventaire par le manager opérationnel
scripts de contrôles, notre projet s’est décliné en trois phases de prépa- Casse déclarée dans l’ERP => A superviser par le N+1 au-
ration et trois phases de réalisation (Cf. schéma ci-dessous). delà de seuils fixés
L’ensemble des responsables des processus financiers et supply chain Conformité des dossiers d’intervention « bris de glace »
ont été impliqués dans la sélection et la priorisation des contrôles à avant facturation clients
automatiser afin de « diffuser » la vision de la direction audit et maîtrise Commande à Avoirs clients
des risques et préparer les équipes au changement. Encaissement
Délais encaissement clients
Le niveau du risque brut, le potentiel de réduction de pertes, par une
Modifications des champs « sensibles » de la fiche client
surveillance processus et une animation renforcée ont principalement
Gestion des accès Contrôle de conformité des transactions / matrices des
guidé notre première sélection de contrôles à automatiser. Système Information autorisations et de séparation des tâches

Le processus mis en œuvre


En fonction du niveau du risque mis sous surveillance, nous avons opté Prochaines étapes
soit pour des alertes, soit pour des tableaux de bord mensuels d’indi- Le volume des données traitées nous permet d’envisager dès 2016 l’au-
cateurs de performance processus. dit en continu à destination de nos auditeurs. 

Sélection, priorisation
Cadrage et Revue du référentiel Rédaction du cahier Réalisation des Design des tableaux
des contrôles à
lancement du projet de contrôle interne des charges scripts de bord
automatiser

24 2e trimestre 2015 — audit, risques & contrôle - n° 002


L’AUDIT EN CONTINU

Une action
conjointe
des deuxième et
troisième lignes
de maîtrise
Sophie Neron-Berger, Vice-président corporate Audit, Carlson
Wagonlit Travel

L
e contexte de Carlson WagonlitTravel est similaire à celui de
beaucoup d’autres groupes internationaux. Nous avons un
champ d’audit large, avec des implantations dans plusieurs Peut-on parler d’audit en continu ? Pas complètement si l’on s’en tient
pays, un métier très transactionnel, appuyé sur des systèmes à sa définition précise. Mais la démarche s’inscrit bien dans une
back office hétérogènes. Pour traiter cet univers d’audit nous avons une démarche d’assurance en continu, qui s’appuie effectivement sur les
équipe audit interne de 10 personnes, et nous pouvons nous appuyer technologies et les données pour renforcer le niveau d’assurance
depuis l’année dernière sur une direction contrôle interne qui inter- global, en donnant la capacité aux lignes de défense d’alerter plus rapi-
vient en tant que seconde ligne de défense. Dans cet environnement, dement sur les signaux de risques…
l’appui sur l’analyse de données est une nécessité – l’objectif étant de
pouvoir renforcer le niveau d’assurance global. Pourquoi ne pas aller plus loin et appuyer complètement le plan d’au-
dit sur des indicateurs par exemple ? Pour plusieurs raisons :
La démarche que nous mettons en place se déploie autour de 2  Le plan d’audit reste un exercice faisant appel au jugement profes-
grands axes : sionnel, difficile à mettre en équation. L’approche mise en place intè-
 la capacité de l’audit interne à concevoir, sur la base de son expé- gre bien cette dimension de réaction à des évolutions capturées via
rience terrain, des analyses de données pertinentes et ciblées sur l’analyse en continu de risques et de contrôles – mais repose sur la
les bons domaines, le plus souvent réplicables sur les différentes communication continue entre le contrôle interne, qui pilote des
entités. Ces analyses sont menées en général en phase de prépara- indicateurs en continu, et l’audit interne, qui pourra influer sur le
tion, de manière à mieux cibler les zones à investiguer plus en détail plan d’audit si des signaux faibles apparaissaient sur telle ou telle
ou celles nécessitant moins de travaux. Elles peuvent également entité.
être conduites sur une base ad hoc en cours de mission, pour appro-  L’audit interne a une « bande passante » limitée, et ne peut pas pren-
fondir des analyses spécifiques qui s’avéreraient nécessaires au fil de dre en charge un suivi « continu ». C’est le rôle des autres lignes de
l’eau ; défense, que ce soit dans notre cas le contrôle interne, pour d’autres
 l’équipe contrôle interne pour piloter plus en continu certains indi- entreprises la direction des risques qui peut piloter des indicateurs
cateurs issus des requêtes développées par l’audit interne. Ces indi- et sans oublier la première ligne de défense. Dans cette vision l’audit
cateurs sont issus de l’expérience terrain acquise par les auditeurs interne doit plutôt s’assurer que ce pilotage est en ligne avec les
internes, et sont établis et révisés à périodicité régulière par cette objectifs d’assurance retenus et s’appuie sur des processus et des
équipe audit interne, qui maîtrise la technologie utilisée. Un outil de données robustes.
type GRC collaboratif permet le transfert à l’équipe contrôle interne
et la traçabilité sur les analyses menées. La responsabilité du suivi L’apport des auditeurs internes dans ce domaine est leur capacité à
étant transférée à l’équipe contrôle interne, l’audit interne agit identifier et affiner les indicateurs grâce aux missions réalisées, et
comme un prestataire de services n’ayant pas mis en place spécifi- quelque part à « embarquer » les lignes de défense dans la démarche
quement de pilotage de l’analyse des résultats de ce pilotage. en exploitant les résultats via leurs missions. 

n° 002 — audit, risques & contrôle — 2e trimestre 2015 25


L’AUDIT EN CONTINU

Audit interne et
pilotage en continu :
l’exemple d’une
intégration

© Sergey Nivens - Fotolia.com


réussie
sés automatiquement. Il s’agit bien de la
Le contexte : cette entreprise (qui souhaite garder l’anonymat), très fortement implan- responsabilité des opérationnels. Par contre,
tée à l’international, intervient sur des métiers variés, incluant notamment des activités l’existence de ces démarches rend l’audit
de service et des activités de production. L’activité, de par sa nature et son implantation interne beaucoup plus agile et efficace : l’exis-
géographique, est exposée à divers risques de fraude ou de défaillance de contrôle tence de ces contrôles permet de limiter les
interne. Comme beaucoup, cette entreprise a un très grand nombre de systèmes d’in- travaux sur certains domaines, et de se focali-
formation, héritage du passé et d’acquisitions successives. ser sur d’autres zones de risques. Par ailleurs
l’audit interne a la capacité de s’appuyer sur
connexions et les données ainsi disponibles
La genèse de la démarche : le directeur de contrôles opérationnels (contrôles d’inter- pour développer des requêtes ad hoc au fil
l’audit interne, confronté à ce contexte faces complexes que les opérationnels ont des missions et ainsi continuer à alimenter le
complexe, a eu très tôt la conviction que l’uti- des difficultés à réaliser rapidement avec les pilotage en continu de l’entreprise, accrois-
lisation des données pouvait lui permettre outils à leur disposition, vérification automa- sant ainsi le niveau d’assurance global.
d’apporter plus de valeur à l’entreprise, en tisée de la cohérence des données saisies
faisant levier sur ce qui fait la particularité des dans les système opérationnels, analyses Peut-on parler d’audit en continu ? Pas
auditeurs internes : multidisciplinarité, indé- nécessitant de croiser deux systèmes diffé- complètement si l’on s’en tient à la proposi-
pendance, curiosité intellectuelle. rents). tion du GTAG 3. L’idée est bien ici de s’appuyer
sur les technologies et les données. Par contre
La démarche mise en œuvre : l’audit interne Les requêtes sont administrées centralement, l’utilisation de ces techniques ne va pas
a développé une stratégie de déploiement de et les anomalies ou résultats relevés par leur jusqu’à la mise en place d’indicateurs permet-
requêtes d’analyses de données, basées sur exécution sont transmises par un workflow tant d’influencer le plan d’audit directement.
les enseignements des différents audits réali- automatique aux opérationnels (environ 300 Ce n’est pas la philosophie retenue, y compris
sés, qui ont vocation à être mises entre les utilisateurs concernés) qui ont pour respon- pour l’établissement du plan d’audit. Le retour
mains des opérationnels. Ces requêtes ont sabilité de traiter les anomalies, et notamment sur investissement serait d’ailleurs sans doute
majoritairement vocation à détecter de d’isoler les faux positifs. Chacun dispose de insuffisant pour le justifier. Nous sommes prin-
potentielles erreurs ou fraudes (i.e. déclara- tableaux de bord permettant de piloter la cipalement dans une démarche de pilotage
tions de chargements de camions très rappro- résolution des anomalies. en continu. Cela étant, l’audit interne suit
chées dans le temps, double paiements), des mensuellement le nombre d’exceptions
risques de conformité (i.e. vérification que les L’intérêt pour la démarche audit interne : ouvertes / clôturées – il y a donc bien un suivi
tiers ne sont pas sur liste noire), ou tout l’équipe audit interne n’interfère pas dans le en continu par l’audit interne…
simplement à faciliter la réalisation de pilotage au fil de l’eau des contrôles ainsi réali-

26 2e trimestre 2015 — audit, risques & contrôle - n° 002


L’AUDIT EN CONTINU

Quels ont été les facteurs clefs de succès de contrôles. Ce qui n’empêche ni d’étendre de bord intégrés, le tout à un coût que l’on
cette démarche ? l’application des requêtes par la suite à des peut estimer « très raisonnable » au vu des
Plusieurs facteurs contribuent à la réussite de entités non auditées, ni de développer des bénéfices apportés.
cette démarche : requêtes à la demande des opérationnels.
 L’audit interne a réalisé un recrutement  Les opérationnels sont embarqués dès le Sur l’aspect technologique, l’entreprise est
spécifique pour piloter cette démarche, départ dans la démarche. Ils contribuent à aujourd’hui confrontée à une difficulté inat-
avec les compétences techniques néces- la communication sur les bénéfices, par tendue : les outils du marché qu’elle utilise
saires pour comprendre les systèmes et exemple en mesurant avec l’audit interne n’évoluent pas au rythme attendu. Ceci est lié
utiliser les outils de données. le retour sur investissement en évaluant le à la faible diffusion de ce type de démarche,
 Dans chaque région, un auditeur informa- temps « économisé » par l’automatisation à tout le moins sur la base d’outils externes.
tique est présent, ce qui permet de rester de contrôles auparavant plus manuels. Ils L’enjeu est à moyen terme de sécuriser les
au plus près de la compréhension des sont responsables du suivi de leurs technologies utilisées, en restant dans un
systèmes et des données. Ces auditeurs tableaux de bord. rapport coût/bénéfice raisonnable.
informatiques interviennent également au-
delà des domaines informatiques sur les D’autres éléments ont été facilitateurs sur la L’enseignement que l’on peut tirer de cet
missions d’audit classiques, ce qui permet démarche : exemple est que l’audit interne a une position
de compléter leur compréhension des  L’audit interne est rattaché à la direction unique dans l’entreprise pour développer les
systèmes par la compréhension du métier générale. C’est un atout essentiel, cela légi- bases d’une « assurance en continu », de par
et des processus. C’est un élément indis- time l’audit interne pour accéder à l’ensem- sa position transverse et l’expérience accumu-
pensable pour cibler les requêtes et les ble des données, financières mais aussi et lée sur le terrain. Enfin ce type de démarche
contrôles de manière appropriée. surtout opérationnelles. contribue fortement à rehausser le niveau
 Le développement de requêtes est basé sur  L’appui sur la technologie, au travers de d’assurance global de l’entreprise en limitant
l’expérience des missions – i.e. les requêtes modules externes aux systèmes d’informa- les investissements dans les départements
s’appuient sur l’expérience terrain, les tion permettant la connexion directe à plus d’audit interne eux-mêmes. 
constats d’audit et la collaboration avec les de 20 systèmes d’information différents, la
audités pour renforcer l’environnement de mise en place de workflows et de tableaux

n° 002 — audit, risques & contrôle — 2e trimestre 2015 27


PUBLICATIONS
Audit en continu : Coordonner l’audit et le contrôle
en continu pour fournir une assurance continue
Réédition du GTAG 3
Cette réédition aidera les responsables de l’audit interne
qui souhaitent développer un service plus proactif et opti-
miser leurs ressources.
En effet, avec la maturité croissante des systèmes de
contrôle et d’information, la plus-value de l’audit interne
dépend notamment de sa capacité :
 à jauger, de manière objective et indépendante, les
dispositifs de contrôle en continu mis en œuvre par les
autres lignes de maîtrise ;
 à concevoir des programmes d’audit intégrant toutes les
sources pertinentes d'information et susceptibles de
mettre en lumière des valeurs hors normes qui pourront
être analysées de manière plus efficiente.

Retrouvez des bonnes pratiques pour mieux exploiter la


masse de données circulant dans votre organisation et
apporter aux organes de gouvernance une assurance sur
la pertinence des activités de contrôle et de gestion des
risques réalisées en continu par la 1ère et la 2ème ligne de
maîtrise.

Une gestion des compétences adaptée au niveau de maturité


Nouveau guide pratique
L’IIA publie un guide pratique pour le développement, la
mise en place et le maintien d’un processus de gestion des
compétences de l’audit interne. Les responsables d’audit
interne pourront ainsi s’assurer que leur équipe possède
collectivement les connaissances, le savoir-faire et les autres
compétences nécessaires à l’exercice de leurs responsabili-
tés.

Articulé au modèle de maturité développé par la Fondation


de la Recherche de l’IIA (IIARF), ce guide décrit 12 étapes
pour une gestion stratégique des ressources de l’audit
interne allant de l’interaction avec les instances de gouver-
nance, à l’analyse des écarts pour un plan d’action dont le
succès reposera sur :
 un environnement favorisant l’apprentissage,
 un plan de formation et de développement professionnel
structuré,
 une politique sélective de recrutement.

De nombreux tableaux et deux exemples pratiques vien-


nent illustrer ce guide. Destiné au secteur public, il est aisé-
ment transposable dans d’autres environnements.

Les lignes directrices de l’IPPF sont disponibles sur le site de l’IFACI (www.ifaci.com)
À LA DÉCOUVERTE DE ...

Service Ethique
et Conformité d’Alstom

R. M. : La première raison est liée à l’environne-


Romain Marie, Directeur Ethique et Conformité, Alstom ment législatif et règlementaire. Depuis le
début des années 2000, l’arsenal législatif de
lutte contre la corruption s’est considérable-
ment étoffé. Dans le sillage du Foreign Corrupt
L’éthique et la conformité répondent à un besoin stratégique bien défini : signifier aux Practices Act (USA, 1977), d’autres pays ont
parties prenantes que l’entreprise considère leurs exigences et mobilise les moyens adapté leur propre environnement législatif.
adéquats pour y répondre. C’est le cas du Royaume-Uni, qui a mis au point
Dans un domaine en pleine mutation, le pire est de ne rien faire. Il faut à la fois saisir le UK Bribery Act (2010), du Brésil, de l’Inde, mais
les leçons tirées d’expériences, fussent-elles les plus douloureuses, et formuler des aussi de la Russie, qui a réactualisé en 2013 une
loi datant de 2008.
réponses adaptées, voire innovantes.
La seconde est liée à la nature de notre activité.
Entretien avec Romain Marie à propos du service Ethique et Conformité d’Alstom qu’il
Remporter de nouveaux marchés est notre
dirige depuis juillet 2013. raison d’être. Nous devons veiller à ce que nos
projets industriels et les conditions dans
lesquelles nous les menons soient en stricte
conformité avec nos règles et procédures anti-
AR&C : Alstom s’est doté d’un service Ethique compétences nous permet de traiter les corruption. Prenez par exemple la Banque
et Conformité. Comment cela a-t-il démarré ? problématiques de manière globale, de l’ana- mondiale, qui gère de nombreux appels d’of-
lyse des risques au plan de formation des sala- fres pour le développement d’infrastructures
Romain Marie : Le service tel que nous le riés. Ainsi, nous parvenons à répondre dans les pays en voie de développement. Elle
connaissons aujourd’hui est le résultat d’une rapidement et efficacement aux demandes dispose d’une cellule dédiée à l’intégrité qui
volonté de la direction générale et d’un inves- formulées par la direction générale (voir enca- passe au crible les actions de prévention de la
tissement collectif. En 2001, paraissait le dré 1). corruption. Si vous ne remplissez pas les
premier Code d’Ethique. L’organisation interne du Service repose sur un critères à ce niveau, vous pouvez être disquali-
Tout s’est accéléré à partir de 2006 : nous avons double ancrage sectoriel et géographique : 4 fié, voire exclu, de tout appel d’offre durant
identifié le risque lié à la non-conformité juri- Compliance Officers supervisent chacun un plusieurs années.
dique et décidé de lui consacrer un Service secteur d’activité depuis le siège. Ils sont en Notre approche systématique dans les rela-
entier afin de gérer la mise en place d’actions. contact permanent avec un réseau de 10 tions avec nos partenaires est la suivante : si les
Priorité a été donnée à la rédaction des Compliance Officers pays. Les Compliance
premières règles relatives aux usages en Officers se coordonnent au quotidien afin que
matière de cadeaux et d’invitations, par exem- les règles et les procédures soient correcte- Encadré 1 :
ple. Progressivement, d’autres règles et procé- ment appliquées de manière homogène. Ils Un accès direct aux
dures ont paru pour traiter plus globalement définissent les plans d’action à mettre en
le risque de corruption dans les relations d’af- œuvre et discutent des informations qu’ils
principaux décideurs
faires. recueillent auprès des opérationnels. Compte tenu de l’importance du sujet
Pour accompagner la croissance du service, Nous comptons aussi des Compliance Officers pour Alstom, le directeur du service
nous avons recruté massivement depuis 2012. fonctionnels spécialisés en « due diligence », Ethique et Conformité bénéficie d’un
Désormais une trentaine de personnes venant contrôle des prestations et des paiements, accès direct au président-directeur géné-
d’horizons professionnels différents (juristes, formation et communication, en gestion ral et au directeur juridique du Groupe.
anciens procureurs du Serious Fraud Office ou globale du programme d’intégrité du Groupe Par ailleurs, il informe régulièrement les
de la justice argentine, ancien président Pays, et en gestion de projet. membres du comité éthique, conformité
mais aussi ex-auditeurs internes, financiers, et développement durable, créé en 2010
professionnels des ressources humaines et de AR&C : Comment expliquez-vous l’importance afin d’examiner les systèmes et procé-
la communication) travaillent au développe- prise par le service Ethique et Conformité au dures internes prévus pour l’application
ment de la culture d’intégrité. Ce mix de sein d’Alstom ? des règles.

n° 002 — audit, risques & contrôle — 2e trimestre 2015 29


À LA DÉCOUVERTE DE ...

conditions d’intégrité fixées par Alstom ne sont


pas réunies alors nous sommes prêts à nous
retirer, quitte à perdre définitivement un projet.
Et comme nous bénéficions d’un soutien sans
faille de la Direction générale nous réussissons
à faire passer ce message.

AR&C : Justement, en quoi consistent vos


missions ?

R. M. : Nous réalisons plusieurs missions. Nous


identifions en amont l’impact que certains
événements pourraient avoir sur différents
types de risques. Nous nous appuyons sur des
méthodes quantitatives et qualitatives, comme
la Yearly Integrity Review qui permet de sonder,
chaque année, quelque 500 managers du
Groupe afin de savoir ce qu’ils ont fait en
matière d’éthique et de conformité, les
problèmes qu’ils ont rencontré et les besoins
auxquels nous devrons répondre.
A partir des résultats d’analyses des risques, ou
bien des résultats d’enquêtes internes, d’obser-
vations ou d’échanges avec des salariés ou des
homologues, nous élaborons de nouvelles
règles et en renforçons d’autres afin de rendre
notre programme d’intégrité encore plus
robuste (voir encadré 2).
Nous formons également les salariés sur diffé-
rents aspects de l’éthique et de la conformité,
grâce notamment au module de formation à
distance, e-Ethics, qui a permis de familiariser
quelque 70 400 collaborateurs, depuis 2010, au
contenu du code d’éthique ou au workshop sur
la prévention de la corruption qui réunit par
petits groupes des cadres qui s’exercent, au
cours d’une journée, à détecter les différents
types de risque de corruption inhérents à leur
métier et à les déjouer grâce aux outils que
nous mettons à leur disposition.

AR&C : Concrètement, dans quelle mesure les


règles que vous élaborez vous aident-elles à
prévenir de la corruption ?

R. M. : Les règles peuvent être perçues soit Groupe. première étape, nous qualifions le niveau de
comme une contrainte, soit comme un moyen Notre processus de sélection est détaillé dans « due diligence » en fonction de l’évolution du
de protection. Il faut savoir que les sanctions ce que nous appelons une Instruction du risque. Un rapport d’intelligence économique
dans les affaires de corruption concernent Groupe, qui est plus qu’une simple recomman- vient systématiquement compléter la somme
aussi bien les entreprises que les individus dation, accessible à tous les salariés. Nous d’informations collectées. Dans tous les cas, la
impliqués. Nos règles s’inscrivent dans une commençons par examiner scrupuleusement procédure est répliquée tous les deux ans.
démarche de protection collective. le profil du partenaire, en particulier le risque A partir de ce travail d’enquête et de classifica-
Pour illustrer ce que nous faisons avec nos de corruption qu’il pourrait faire courir au tion, le senior management peut décider d’ap-
règles, je prendrai l’exemple de la procédure de Groupe. Nous utilisons un ensemble de prouver ou de refuser la sélection du partenaire
sélection que nous appliquons aux partenaires critères, qui vont des caractéristiques du pays en connaissance de cause, et cela avant que le
qui nous aident à répondre aux appels d’offres où le contrat de services devra être exécuté à contrat n’ait été signé.
ou qui interviennent pour des missions la valeur du contrat en jeu. Nous regardons Une fois la prestation terminée, nous collectons
précises durant l’exécution du contrat. Notre aussi son expérience, sa formation, et évaluons les preuves de services qui attestent de la réali-
principal souci est de garantir que ceux que sa réputation en réalisant une enquête sur sation de la mission. Nous vérifions les écarts
nous retenons sont parfaitement intègres et internet et les réseaux sociaux. Selon les cas, éventuels entre ce qui a été promis et ce qui a
qu’ils s’alignent sur les principes que nous nous nous réservons la possibilité d’ajouter été effectivement réalisé. C’est une étape
promouvons et faisons appliquer dans le tout autre critère pertinent. Au terme de cette essentielle de notre processus.

30 2e trimestre 2015 — audit, risques & contrôle - n° 002


À LA DÉCOUVERTE DE ...

Cette rigueur appliquée offre la garantie que le mations, se révèle très efficace pour identifier l’occasion de la publication de la dernière
maximum de mesures a été pris pour prévenir certains dysfonctionnements imperceptibles version de notre code d’éthique en octobre
le risque de corruption. C’est ainsi que nous de là où nous sommes. Si nous supervisons le 2014. Le message était simple et direct : « 100 %
parvenons à démontrer notre engagement suivi de l’alerte, l’enquête interne incombe à éthique 100 % conformité. C’est ainsi que nous
dans cette lutte et à construire auprès de nos l’audit interne. Ainsi le service Ethique et travaillons » (voir encadré). Cela sert à ancrer
clients notre réputation d’entreprise intègre. Conformité reste neutre : il ne décide ni de l’éthique et la conformité dans le quotidien des
l’orientation de l’enquête ni des actions correc- collaborateurs, à faire comprendre quelle est
AR&C : Alstom est une des premières entre- trices et des sanctions éventuelles. notre ambition et ainsi à favoriser le dévelop-
prises du CAC 40 à avoir entrepris une pement d’une culture d’intégrité.
démarche de certification de son programme AR&C : Vous parlez souvent de culture d’inté-
d’intégrité. Qu’est-ce que cela vous apporte ? grité, qu’est-ce que cela implique ? AR&C : A quel genre de défis vous attendez-
vous dans les années à venir ?
R. M. : Aujourd’hui, il ne suffit plus de faire des R. M. : Les règles et procédures sont une chose,
promesses. Il faut apporter des preuves de nos mais nous ne pouvons pas nous prévaloir de R. M. : Ils sont très certainement nombreux
actions et de leur efficacité. leur efficacité si nous ne travaillons pas au mais à très court terme j’en identifie au moins
C’est ce qui a motivé Alstom à faire auditer et développement d’une culture d’entreprise deux.
certifier son programme d’intégrité. Nous axée sur le respect de ces règles et procédures. Le premier a trait à la structuration de la filière
avons fait appel à un cabinet externe, Ethic Nous partons du principe que pour être appli- éthique et conformité. Relativement jeune, elle
Intelligence, pour garantir l’indépendance de quées elles doivent être comprises. A nous de sera confrontée à une nécessité de profession-
l’évaluation et des résultats. valoriser également de quelle manière elles nalisation. C’est ce qui est arrivé au métier d’au-
Ce certificat est délivré au terme d’une procé- sont utiles dans la pratique quotidienne des diteur. Il y a donc fort à parier que le même
dure rigoureuse, qui prévoit des audits et des affaires. schéma se reproduira pour les Compliance
entretiens avec les différents acteurs qui ont La formation est indispensable tout comme Officers. La certification des professionnels de
participé à la conception et à la mise en place l’action de proximité. Dans ce domaine, nous la conformité, qui ne sont pas tous juristes, sera
des actions de prévention aussi bien au siège, comptons depuis mai 2010 près de 300 salariés un enjeu crucial en termes de crédibilité.
dans nos secteurs d’activité que dans nos endossant les habits d’ambassadeurs Ethique Le second vient du fait que nous trouverons
filiales. et Conformité pour parler de ce que nous toujours des situations qui justifieront de
Pour garantir l’objectivité de l’évaluation, le faisons, promouvoir les règles, sensibiliser les nouvelles règles. Toutefois, nous devrons nous
cabinet recrute des auditeurs externes. Et, en salariés. Ils viennent des fonctions juridiques, garder de créer un carcan de règles et de
fin de procédure, il s’en remet à un comité de ressources humaines ou communication, et procédures ingérable car les collaborateurs fini-
certification composé d’experts reconnus de la démontrent que l’éthique et la conformité raient par ne plus rien appliquer systématique-
lutte contre la corruption, qui statue sur les concernent tout le monde. ment. Notre défi permanent consiste donc à
conclusions et décide de décerner ou non le Notre approche étant globale, nous commu- maintenir un dispositif de conformité simple,
certificat. niquons aussi activement. Nous avons lancé cohérent et efficace. 
Après 2009, la certification a été renouvelée une nouvelle campagne de communication à
une première fois, en 2011, puis une seconde,
en 2014.
Cette procédure nous permet non seulement Encadré 2 : le programme d’intégrité d’Alstom,
de formaliser nos processus mais aussi de tenir un système de prévention de la corruption
un discours crédible appuyé par la preuve
tangible que nous menons des actions L’engagement d’Alstom pour l’éthique et la conformité se traduit dans le programme d’in-
tégrité du Groupe, véritable système articulant tous les outils élaborés par le service
concrètes.
Ethique et Conformité. En font partie :
AR&C : Comment le service Ethique et  le code d’éthique, qui détaille les règles de conduite dans les différents domaines de
la vie de l’entreprise ;
 les règles et procédures, qui régissent d’une part les principaux usages concernant les
Conformité se positionne-t-il par rapport à l’au-
dit interne ?
vecteurs de corruption, comme les cadeaux et les invitations, les contributions poli-
R. M. : Au sein d’Alstom, l’audit interne et tiques et le financement d’œuvres caritatives, le sponsoring, les conflits d’intérêts et les
l’éthique et conformité sont très complémen- paiements de facilitation, et d’autre part les bonnes façons de gérer les relations avec
taires. L’audit interne veille à l’adéquation et l’ef- les partenaires commerciaux, les consultants, les fournisseurs et sous-traitants, les joint-
ventures et les consortiums ;
 l’offre de formation, associant formations présentielles et formations à distance ;
ficacité du système de contrôle interne à tous
les niveaux du Groupe. A ce titre, il peut inter-
venir sur toute opération relative à l’éthique et  l’animation d’une communauté d’environ 300 ambassadeurs Ethique et Conformité ;
conformité afin d’en contrôler la nature et la  les outils d’information et de communication interne et externe, comme la newsletter
fiabilité. Lorsqu’il constate que certaines de nos mensuelle, les onglets des sites intranet et internet, les campagnes de communica-
règles mériteraient d’être renforcées, il peut tion ;
 le système d’alerte éthique, accessible à toute personne souhaitant signaler un
formuler des recommandations dans ce sens.
Nous comptons aussi sur l’audit interne pour manquement ou une violation des règles et procédures d’Alstom ou d’une obligation
porter à notre attention le non-respect d’une légale ;
 le processus de certification, qui inscrit le programme d’intégrité dans une démarche
disposition du code d’éthique ou la violation
d’une obligation légale. Notre système d’alerte
d’amélioration continue.
éthique, qui garantit la confidentialité des infor-

n° 002 — audit, risques & contrôle — 2e trimestre 2015 31


LIBRES PROPOS

Le management
par la confiance
peut-il aboutir à la fin
des auditeurs et contrôleurs
internes ?
Frédéric Cordel, fondateur de
« Si l'on veut que telle manière d'être, telle habitude de vie s'établisse,
FCconsulting
(www.fcconsulting.company)
la dernière chose à faire est d'ordonner que l'on s'y conforme. Voulez- quotidien ce qui a pour consé-
vous être obéi ? Il ne faut pas vouloir qu'on fasse, il faut faire qu'on quence importante de ralentir
veuille ».

A
rte a diffusé récem- considérablement le processus
ment un documentaire Jean-Baptiste Say de décision et dans certain cas de
intitulé « le bonheur au rendre le processus de contrôle
travail1 » traitant des Comment se traduit procédures formalisées y sont plus coûteux que le risque
entreprises « libérées », ces concrètement cette réduites7 à leur plus simple couvert. Je pense ici notamment
dernières pouvant se définir confiance ? expression afin de ne pas entra- aux cas suivants, tous rencontrés
comme « des entreprises où la ver la prise d’initiative et la flexi- au cours de mon expérience
majorité des salariés peuvent déci- Tout d’abord, les entreprises libé- bilité, à l’exemple du groupe professionnelle :
der toutes actions qu’ils considèrent rées semblent se caractériser par Nordstrom (société cotée sur le  Mise en place dans une armoire
eux-mêmes comme étant les meil- une absence quasi-systématique NYSE réalisant un CA de plus de sécurisée des fournitures (stylos,
leures pour l’entreprise sans qu’elles de managers exerçant des activi- 12 milliards de dollars) et de son feuilles…) et conservation de la
soient nécessairement imposées tés de supervision / contrôle4 règlement intérieur (dans la clé par une personne dédiée,
par les décideurs ou une quel- (qualiticiens, chef d’équipe, chef plupart des entreprises améri- impliquant des pertes de
conque procédure. » (Isaac Getz2). d’atelier, auditeurs internes, caines un long recueil de toutes temps significatives pour les
On y découvre des salariés contrôleurs de gestion…). De les choses qu’il convient de ne personnes ayant besoin
épanouis et fortement engagés telles entreprises partent du prin- pas faire, élaboré à grand frais par desdites fournitures9, ainsi
dans leur travail, principalement cipe, comme l’affirme Jean- des cabinets d’avocats) qui ne qu’une importante démotiva-
en raison de la confiance qui leur François Zobrist5, que « l’homme comprend qu’une carte reprise tion résultant de la méfiance
est accordée au quotidien en est bon » (au sens technique et en page suivante. suscitée par cette démarche.
matière de prise de décision3 ; moral) et donc capable de s’amé- L’idée centrale est ici que la majo-  Processus de validation des
engagement qui contraste forte- liorer et de se contrôler de sa rité des procédures sont mises en achats impliquant plusieurs
ment avec les données publiées propre initiative, cette autonomie place dans les sociétés « non libé- niveaux de validation pour des
par l’institut Gallup en 2012 rela- étant par ailleurs une source rées » pour « gérer les 3 %8 » de dépenses de quelques cen-
tives aux salariés français pris considérable d’engagement6. cas problématiques (dont ceux taines ou milliers d’euros, alors
dans leur ensemble (voir Seconde caractéristique impor- de fraude), mais 100 % des sala- que ces dépenses avaient été
graphique ci-dessous). tante des entreprises libérées : les riés s’y trouvent confrontés au budgétées et que la société

Répartition des salariés


1 Documentaire disponible à: http://www.arte.tv/guide/fr/051637-000/le-bonheur-au-travail, voir également
Engagés
9% un article du journal le Monde à : http://tinyurl.com/lemondeentrepriseslibere ainsi que le blog d’Isaac Getz :
http://liberteetcie.com/category/leaders-liberateurs/
Activement 2 Isaac Getz est professeur à l’ESCP et auteur notamment de « Liberté & Cie »,
désengagés ouvrage ayant inspiré le documentaire cité ci-dessus.
26 % 3
De nombreuses études montrent que « l’empowerment », c’est à dire la capacité
à déléguer la prise de décision, est un des facteurs clés de la motivation des salariés
(voir notamment les études mondiales réalisées par Tower Watson).
4
Activités généralement incorporées dans ce qui est convenu d’appeler la « 2ème ligne de maîtrise ».
5
Ancien dirigeant de l’entreprise « libérée » FAVI et conférencier – entre autre – à HEC.
6 Selon de nombreuses études, de 50 à 85% des salariés seraient peu ou pas du tout engagés dans leur
entreprise (sur la complexité de la définition de l’engagement, voir :
http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.182.2845&rep=rep1&type=pdf).
7 A noter que la norme ISO9001 :2015 (Systèmes de management de la qualité – Exigences)

anticipe déjà cette évolution en insistant plus sur les « processus » que sur la « documentation ».
8
Expression reprise dans de nombreux discours de Jean-François Zobrist.
9
Jean-François Zobrist cite de nombreux exemples de ce type dans « Liberté & Cie » et dans les nombreuses
Désengagés
interviews qu’il a accordées. Voir notamment une synthèse de sa vision de l’entreprise libérée à :
65 % https://www.youtube.com/watch?v=N_4DzvRn-Qg. Voir également son mythique discours sur « la leçon de
management de la prostituée » : http://www.pleyers.be/2015/03/26/la-lecon-de-management-de-la-prostituee/

32 2e trimestre 2015 — audit, risques & contrôle - n° 002


LIBRES PROPOS

possible13 indépendamment de dures qu’ils ont souvent contri-


la taille et du secteur d’activité bué à mettre en place et à
(certaines de ces entreprises libé- améliorer, sans se rendre forcé-
rées sont cotées et globales14), ce ment compte de leur impact
mouvement conduit à repenser parfois (souvent ?) négatif en
le rôle des structures de contrôle termes d’adaptabilité, atout indis-
(auditeurs et contrôleurs internes, pensable pour réussir dans un
contrôleurs de gestion, mana- marché globalisé et connecté.
gers…) qui sont perçues essen- Les auditeurs internes / contrô-
tiellement comme une source de leurs internes pourraient pro-
coûts et non comme un levier de mouvoir les mérites d’un
la performance organisationnelle contrôle interne « lean », élaboré

© Arto - Fotolia.com
et financière. Attention, une en étroite collaboration avec les
entreprise libérée ne signifie pas différentes parties prenantes.
une entreprise sans contrôles ni Il serait toutefois important que
procédures : dans de telles entre- soit élaboré au préalable un diag-
prises, le contrôle est le plus nostic de la culture de l’entreprise
souvent défini et mis en œuvre en matière de confiance, sur le
réalisait un CA de plusieurs contrôle ne soit effectué a priori par la personne en charge d’exé- modèle de ce que proposent des
milliards d’euros10. et/ou a posteriori sur l’utilisation cuter la tâche opérationnelle sociétés comme Franklin Covey
 Processus de validation des des fonds ainsi confiés. (auto-contrôles, cercles de la LLC (voir : http://www.myspee-
notes de frais impliquant Dernière caractéristique impor- qualité…). Une entreprise libérée doftrust.com/).
plusieurs niveaux hiérar- tante des entreprises libérées : fonctionne donc principalement Seconde possibilité, déjà consta-
chiques et mise en place de elles n’hésitent pas à mettre en dans un mode « bottom-up » et tée dans plusieurs entreprises
politiques de déplacement œuvre des politiques RH inno- sans structures lourdes de super- libérées, ces départements sont
comportant parfois plusieurs vantes. Ainsi, il n’est pas rare dans vision / contrôle dédiées (certai- réduits à leur strict minimum
dizaines de pages (dans de de telles organisations que les nes structures libérées ayant été (afin de respecter des obligations
nombreux cas pour rappeler objectifs des salariés soient défi- jusqu’à supprimer les départe- réglementaires), voire supprimés,
quelques règles de bon sens)11. nis par eux-mêmes, le rôle des ments contrôle de gestion et RH). ce qui me semble toutefois peu
 Mise en place et signature leaders étant plus ici de s’assurer Par ailleurs, le contrôle y est forte- probable à court ou moyen
d’accords de confidentialité de la cohérence des objectifs ment social : chaque salarié, terme, du fait :
pour des données dont le ainsi déterminés avec les finalités, jugeant précieuses la liberté et la  de la complexité réglemen-
caractère confidentiel est assez les valeurs et la vision de l’entre- confiance qui lui sont accordées, taire toujours croissante qui
relatif (ex : la société X souhaite prise. D’autres sont allées jusqu’à va s’attacher au bon fonctionne- impose la mise en place de
faire appel au consultant Y bannir les organigrammes et les ment du système mis en place, dispositifs de gestion des
pour procéder à une revue de titres, remplaçant leur VP, direc- conscient que des écarts significa- risques toujours plus impor-
ses outils de reporting)… teurs, managers (…) par des tifs et répétés avec le système de tants (dont le contrôle
« associates » (cas de la société WL valeurs instauré pourraient avoir interne) ;
On est bien loin ici de certaines Gore & Associates, inventeur du un impact négatif sur l’intérêt des  des très nombreux intérêts
des politiques mises en place Gore-Tex, réalisant un CA de plus tâches qui lui sont confiées. particuliers en jeu (notamment
dans des entreprises libérées : de 3 milliards de dollars12). Par Si de tels modèles de manage- pour les cabinets d’audit et de
dans son bestseller « The Speed of ailleurs lorsqu’un leader est en ment venaient à se substituer au conseil).
Trust », Stephen Covey cite ainsi – place dans une entreprise libérée, modèle prédominant (classique)
parmi d’autres exemples – le cas il est le plus souvent coopté par basé sur une logique de Si ce scénario de la disparation
d’un grand groupe hôtelier son équipe (on parle alors de « command & control » d’inspira- progressive des fonctions d’audit
américain qui alloue à l’ensemble « followership » et non de « leader- tion taylorienne, quel pourrait interne et de contrôle interne
de ses personnels en contact ship »). Ce système de promotion alors être le rôle des contrôleurs semble très peu probable, il n’en
avec la clientèle une enveloppe est basé sur un des piliers de la internes / auditeurs internes ? reste pas moins qu’il devrait,
de 2 000 USD afin que ces confiance : la crédibilité. Première possibilité, ces départe- selon moi, être considéré comme
derniers puissent répondre rapi- Au-delà des nombreux exemples ments pourraient se positionner un « wild card event » et donc à ce
dement aux besoins exprimés disponibles qui semblent prou- dans une logique de « décons- titre figurer dans la cartographie
par les clients, sans qu’aucun ver qu’une telle libération est truction raisonnée » des procé- des risques de la profession. 

10 Les entreprises américaines et anglaises ont pris l’habitude de gérer ce type de dépenses au moyen de

« purchasing cards », dispositif encore assez peu répandu en France car considéré « risqué » par de nombreuses
EMPLOYEE OUR ONE RULE directions financières (il implique en effet une confiance élevée envers les salariés).

HANDBOOK 11 Un directeur financier basé en Norvège m’a un jour affirmé que sa politique de déplacement ne faisait qu’une

Use good ligne : « Dépensez l’argent de la société comme si c’était le vôtre et n’engagez que des dépenses qui sont dans l’intérêt
de l’entreprise ! ». Aucune politique de validation n’était par ailleurs instaurée, afin de ne pas « faire perdre leur temps »
Our number one goal is to provide
outstanding customer service. Set both your
judgment in all 12
aux managers de l’entreprise qui étaient bien mieux occupés en passant du temps auprès de leurs clients.
En 2014, Gore a été classé par l´institut Great Place to Work® au 4ème rang mondial des meilleurs lieux de
personal and professional goals high. We
have great confidence in your ability to
situations. travail multinationaux. Ce palmarès basé sur l´étude mondiale des meilleurs lieux de travail identifie le top 25
des entreprises multinationales excellant dans la qualité de leur lieu de travail.
achieve them, so our employee handbook is 13
Ce mouvement peut toucher également le secteur public à l’exemple
very simple. We have only one rule...
Please feel free to ask your department de ce qui a été mis en œuvre dans la sécurité sociale belge :
manager, store manager or Human http://www.organisationliberee.fr/le-ministere-belge-de-la-securite-sociale-se-libere/
Ressources any questions at any time. 14
On citera notamment le cas emblématique d’Harley-Davidson, qui, au bord de la faillite, s’est redressée suite
NORDSTROM
à son mouvement de « libération ».

n° 002 — audit, risques & contrôle — 2e trimestre 2015 33


LIBRES PROPOS

L’audit interne est un élément essentiel


du management
par la confiance
Réponse à l’article de Fréderic Corbel de Dominique Vincenti, Vice President de l’audit interne, Nordstrom, Inc.

J
e ne dirai pas que Nordstrom est une Dans ces conditions, il ne peut y avoir de management par la confiance
« Entreprise libérée ». En particulier si on sans un minimum de vérification ou d’accompagnement « Trust but
définit l’entreprise libérée comme l’a fait Verify ». Une confiance aveugle ne saurait être un modèle de gestion
Tom Peters en 1993 dans son ouvrage efficace et pérenne quand, à tout moment, il faut rendre compte à ses
« Liberation Management » où les schémas clients, ses actionnaires, ses partenaires, ses régulateurs, et prendre des
hiérarchiques et managériaux sont totalement abolis et remplacés par décisions qui engagent tous les rouages de l’entreprise.
des groupes ad hoc de travailleurs intellectuels, qui se font et se défont En l’occurrence, et contrairement à l’hypothèse développée dans l’arti-
au gré des projets, ou encore, comme défini dans l’article de Fréderic cle de Philippe Cordel, c’est dans un tel univers que l’audit interne peut
Corbel « … se caractérisant par une absence quasi-systématique de mana- prendre tout son sens et devient très nécessaire. L’audit interne devient
gers exerçant des activités de supervision / contrôle (qualiticiens, chef un partenaire essentiel à la bonne gouvernance et à la gestion des
d’équipe, chef d’atelier, auditeurs internes, contrôleurs de gestion…) ». Dans risques.
l’organigramme de Nordstrom vous trouverez des qualiticiens, des chefs
d’équipes, des contrôleurs de gestion et … des auditeurs internes que Mais de quel audit interne parle-t-on ?
j’ai le privilège de guider et de servir.
Par contre, on peut dire que Nordstrom est très certainement une entre- Non de celui qui se confine à donner son point de vue sur la conformité
prise qui a entretenu, depuis sa création en 1910, un esprit très entre- aux règles et procédures (il y en a peu), mais de celui que mon équipe
preneurial dans son mode de gestion. La prise de décision pratique, c’est-à-dire : celui qui seul peut donner une visibilité objective
opérationnelle et tactique y est très décentralisée et au plus près du sur comment s’imbrique la prise de risque et sa gestion dans tous les
client – « Use good jugement at all times » – et autour de valeurs et de recoins de l’entreprise ; celui qui permet de peser objectivement les
principes fondamentaux simples, clairs, sans cesse répétés et incarnés options possibles et arbitrages nécessaires entre des choix de contrôle /
par les leaders de l’entreprise : durs à la tâche, persévérants, loyaux, gestion de risques souvent discordants car ils sont le fruit de l’interpré-
altruistes (servant le leadership), intègres, compétitifs et, par-dessus tout, tation des décideurs sur le terrain et non pas de l’application de règles
engagés inébranlablement à strictes et prédéterminées. C’est
mettre l’intérêt du client au Mon expérience est que cette définition de l’audit interne ne peut un audit interne qui sait faire des
dessus de tout. vraiment totalement s’exprimer que dans une entreprise « libérée ». recommandations nuancées et
Au bout du compte, le résultat Aussi, dans un monde en plein bouleversement et au sein des entre- équilibrées entre la création et la
attendu est très clair pour chacun prises qui cherchent à se renouveler et répondre aux enjeux de l’ave- préservation de la valeur. C’est
d’entre nous : « Leave it better than aussi un audit interne qui joue à
nir de façon agile et efficace, l’audit interne a encore de bien beaux
you found it » (laisser la place plein son rôle d’agent harmonisa-
mieux que vous ne l'avez trou- jours devant lui. Je dirai même mieux : le meilleur est à venir. teur, distribuant bonnes pratiques
vée). ou pratiques avérées afin de
Aussi, c’est bien la confiance qui fondamentalement régit les relations permettre à chaque unité de prendre de meilleures décisions à l’avenir.
entre l’ensemble des collaborateurs. Chacun sait ce qu’il doit faire et Je parle d’un audit interne qui fait de la vérification active pour informer
selon quels principes ; la gestion du risque est au cœur de l’action et de sur les attributs du succès à venir et non pas de la vérification inerte
chaque unité opérationnelle ou fonctionnelle ; le management est pour entériner les défaillances du passé.
considéré comme responsable de l’ensemble de ses actions et de sa L’audit interne devient un élément essentiel du management par la
prise de décision, donc de ses risques et de leur gestion qu’ils soient confiance et permet de préserver cet entreprenariat moteur de crois-
stratégiques, opérationnels, financiers ou de conformité. En effet, la sance. Sans cet audit interne-là, l’organisation n’a plus qu’à se résoudre
gestion à Nordstrom est relativement peu prescriptive comparée à d’au- à imposer une bureaucratie administrative lourde et contraignante ou
tres entreprises. de prendre le risque de piloter en aveugle.
Un bémol néanmoins. Même si Nordstrom n’appartient pas à une Cet audit interne, c’est celui que notre direction générale et notre
industrie dite très régulée (sauf sa banque), il faut néanmoins rappeler Comité d’audit qualifient « d’agent qui permet de garder notre entre-
que Nordstrom est une entreprise cotée à la bourse de New York et qu’à prise saine ».
ce titre, elle n’échappe pas à la rigueur de gestion imposée par les régu- Je parle bien de l’audit interne tel que défini par l’IIA/IFACI :
lateurs du marché américain (Sarbanes Oxley, Dodd Frank etc.). Elle est « L'audit interne est une activité indépendante et objective qui
aussi assujettie à un certain nombre de règles administratives en toutes donne à une organisation une assurance sur le degré de maîtrise
sortes de domaines (qualité des produits, ressources humaines, hygiène, de ses opérations, lui apporte ses conseils pour les améliorer, et
sécurité, information clients et concurrences, données informatiques, contribue à créer de la valeur ajoutée.
etc.). Nordstrom n’échappe pas à la mise en place de « quelques » (c’est Il aide cette organisation à atteindre ses objectifs en évaluant, par
un euphémisme) règles et procédures pour répondre aux exigences de une approche systématique et méthodique, ses processus de mana-
son environnement mais aussi de certaines exigences que l’entreprise gement des risques, de contrôle, et de gouvernement d'entreprise,
s’impose à elle-même. et en faisant des propositions pour renforcer leur efficacité. » 

34 2e trimestre 2015 — audit, risques & contrôle - n° 002


OUVERTURE SUR LE MONDE

ECIIA :
la voix de l’audit
interne en Europe
Thijs Smit, Président, ECIIA
au Concert Noble qui a accueilli plus de trois
cents parlementaires et des représentants du
monde du lobby à Bruxelles.

Suite à la crise financière, l’Europe a voulu


réagir et de nombreuses initiatives, impactant
notre profession, ont été lancées et concréti-
sées. Le 17 avril 2014, le Parlement Européen
a voté la règlementation « audit reform ». Elle

L
a Confédération a vu le jour en 1982. L’activité principale de l’ECIIA est de suivre les concerne principalement le rôle des auditeurs
Une lettre d’intention fut signée par la développements de la Commission Euro- externes, mais inclut une liste de services que
France, la Finlande, l’Angleterre / péenne et des instances européennes, l’audit externe ne peut rendre chez ses clients
l’Irlande, la Norvège et le Bénélux. Trois susceptibles d’impacter la profession, et de (y compris l’audit interne) ; elle prévoit égale-
objectifs étaient fixés : l’échange d’informa- réagir à leurs initiatives. ment un processus de sélection des auditeurs
tion, la représentation de l’audit interne au externes, dans lequel les auditeurs internes
niveau européen et la collaboration entre les Les institutions cibles sont, outre la peuvent jouer un rôle ; enfin elle définit des
instituts membres. Commission et le Parlement Européens, la critères de qualité des rapports d’audit ainsi
Banque Centrale Européenne, EIOPA (autorité que des règles de rotation des auditeurs
Trente trois ans plus tard, l’ECIIA compte 36 des assurances), EBA (autorité bancaire), ESMA externes.
pays européens et du bassin méditerranéen1, (autorité des marchés financiers). Une lettre L’ECIIA a souhaité rappeler à la Commission le
et 40 000 membres. d’intention a été signée avec l’EUROSAI pour rôle des auditeurs internes et a encouragé la
le secteur public. L’ECIIA collabore également collaboration entre l’audit interne et l’audit
En matière de gouvernance, l’ECIIA est gérée avec des associations européennes, actives en externe.
par l’assemblée générale qui rassemble tous matière de gouvernance d’entreprise : Ferma Une publication sur le sujet (« Improving
les membres annuellement, un conseil d’ad- (Fédération Européenne des Risks Managers) ; cooperation between internal and external
ministration avec 8 membres dont 4 venant ecoDa (Association Européenne des Adminis- audit ») a été présentée aux commissaires et
obligatoirement des instituts allemands, fran- trateurs) ; FEE-ACCA et ICAEW (Fédérations parlementaires en charge de la réforme, lors
çais, italiens et britanniques / irlandais, Européennes d’Experts Comptables) ; Business d’une table ronde en décembre 2013 où ont
nommés pour 6 ans maximum. La gestion Europe et European Issuers (Associations participé Mr S. Karim, parlementaire en charge
courante est assurée par le secrétaire général Européennes des entreprises privées). Au de la réforme et N. Berger, responsable audit
assisté d’un comité des affaires publiques, niveau des activités, outre la mission d’avo- au sein de la DG Market.
composé de volontaires, qui traite des rela- cacy qui est sa raison d’être, l’ECIIA publie des
tions avec les régulateurs et les associations prises de positions et un magazine « European
européennes. Governance ».
1 IIA Austria, IIA Azerbaidjan, IIA Belgium, IIA Bosnia and

Herzegovina, IIA Bulgaria, IIA Croatia, IIA Cyprus, IIA Czech,


La mission principale de l’ECIIA est d’être la En mars 2015, l’ECIIA, en collaboration avec le IIA Denmark, IIA Estonia, IIA Finland, IFACI, IIA Georgia,
voix consolidée de l’audit interne en Europe magazine du Parlement Européen, a créé le IIA Germany, IIA Greece, IIA Hungary, IIA Iceland, IIA Israel,
auprès des autorités européennes (Parlement prix du meilleur parlementaire en matière IIA Italy, IIA Latvia, IIA Lithuania, IIA Luxembourg,
IIA Montenegro, IIA Morocco, IIA Netherlands, IIA Norway,
et Commission) et de certaines autres institu- de gouvernance d’entreprise. Il a été remis à IIA Poland, IIA Portugal, IIA Romania, IIA Serbia, IIA Slovenia,
tions, afin de les influencer à notre cause. Mme Regner lors d’une cérémonie officielle IIA Spain, IIA Sweden, IIA Switzerland, IIA Turkey, IIA UK & Ireland.

n° 002 — audit, risques & contrôle — 2e trimestre 2015 35


OUVERTURE SUR LE MONDE

© jorisvo - Fotolia.com
Le 15 avril 2014, une nouvelle l’assemblée générale par de la conférence de l’ECIIA en tions officielles impactant la
directive a été votée pour impo- rapport au conseil d’administra- septembre à Paris. profession et a récemment réagi
ser aux grandes entreprises de tion. Actuellement, les points à la consultation du Comité de
publier des informations sur les développés touchent principale- En raison de la mise en place au Bâle (« corporate governance prin-
procédures, risques et impacts ment l’identité des actionnaires sein de la Banque Centrale ciples for banks »). Elle en avait fait
des matières environnemen- mais les développements futurs Européenne, d’un mécanisme de de même aux dispositions d’EBA
tales, sociales, de droit humain, porteront sur le partage des surveillance unique (MSU), un (draft guidelines for common
d’anticorruption, de vol et de responsabilités. groupe « Banque » a été créé en procedures and methodologies for
diversité des conseils d’adminis- janvier 2015 avec des responsa- the supervisory review and evalua-
tration. Avec ecoDa, l’ECIIA a publié en bles d’audit interne de grandes tion process under article 107 of
L’ECIIA a présenté sa prise de 2012 une prise de position intitu- banques impactées par ces Directive 2013/36) qui passait sous
position sur le sujet (Non financial lée « Making the most of the nouveaux contrôles. Une silence l’indispensable besoin
reporting: building tust with inter- internal audit fonction », recueil première réunion très positive a d’indépendance de l’audit
nal audit) lors d’une table ronde de 10 recommandations desti- eu lieu mi-mai 2015 avec la BCE interne.
en mars 2015 à la Commission nées aux administrateurs. Avec (Mme Lautenschlager) et une
Européenne. Dr Igor Šoltes Ferma, l’ECIIA a édité une collaboration étroite est en train De nombreux développements
(parlementaire), Antoine Begasse, nouvelle publication en octobre de se mettre en place. Nous européens impactent notre
Policy and Case Officer, Corporate 2014, afin de promouvoir le aurons également le grand plaisir profession et seront traduits sous
transparency à la Commission, et modèle des 3 lignes de défense d’accueillir Mme Nouy et de peu dans les législations natio-
Jonathan Labrey, Chief Strategy qui nous sert de référentiel dans présenter les travaux de ce nales. La mission de l’ECIIA est
Officer chez IIRC ont commenté toutes les discussions euro- groupe de travail lors de la confé- d’influencer les régulateurs euro-
la prise de position de l’ECIIA. péennes, et de préciser le rôle du rence de septembre à Paris. Le péens pour que notre profession
comité d’audit et du comité des groupe prépare une publication soit reconnue à sa juste place, et
Actuellement, la Commission risques : « Audit and Risk Commit- sur le top 5 des priorités des audi- d’informer les membres de l’ECIIA
travaille sur la simplification des tees: news from EU legislation and teurs internes européens dans le des nouveautés. L’ECIIA travaille
règlementations européennes, best practices ». secteur bancaire, en collabora- en étroite collaboration avec ses
sur le marché unique du numé- tion avec les comités banque des membres afin de définir ensem-
rique et les mesures en matière Un groupe de travail « Assuran- instituts membres. ble la « voix » de l’audit interne en
de cyber sécurité. L’ECIIA parti- ces » a vu le jour en 2013 au Europe.
cipe aux discussions afin d’être début des discussions relatives à Avec l’EUROSAI, l’ECIIA, via des
informée des développements et Solvency II. Actuellement, la légis- groupes de travail communs, va J’espère avoir le plaisir de vous
réagir aux points susceptibles lation est votée mais le groupe définir le rôle et les responsabi- accueillir nombreux à Paris lors
d’impacter l’audit interne. de travail est toujours actif avec lités respectives des auditeurs de la conférence du 20 au 22
l’EIOPA afin de définir les modali- internes et des auditeurs septembre prochain afin
Des discussions très avancées tés d’implémentation, et renfor- externes, et la façon dont ils d’échanger sur l’avenir de l’audit
sont menées au sujet du rôle des cer le positionnement et l’indé- peuvent collaborer et échanger. interne en Europe. 
actionnaires et plus particuliè- pendance de l’audit interne. Un
rement les responsabilités de débat sur ce sujet aura lieu lors Enfin, l’ECIIA répond aux publica-

36 2e trimestre 2015 — audit, risques & contrôle - n° 002


ACTUALITÉ

EN BREF
FRANCE
Solvabilité II : le train est en marche Position de l'IFA sur la fraude et la corruption
Le décret d’application de l’ordonnance transposant la Directive Le conseil d’administration a un rôle déterminant dans la prévention
concernant Solvabilité II entrera en vigueur le 1er janvier 2016. Les du risque de fraude. Dans son rôle de supervision, il s’assure de l’adé-
organismes d’assurance peuvent d’ores et déjà s’appuyer sur le texte quation et du correct déploiement du dispositif de lutte anti-fraude
publié au JO qui vise à encadrer et à développer des bonnes défini par la direction générale. La récente note de la commission
pratiques de gouvernance y compris en matière d’audit interne. Par déontologie de l’IFA (Institut Français des Administrateurs) rappelle
exemple, pour le suivi des conclusions de l’audit interne « le direc- que l’audit interne peut « aider les membres de l’organisation à
teur général ou le directoire veille à ce que ces actions soient remplir leurs diligences de manière efficace en leur fournissant des
menées à bien et en rend compte au conseil d'administration ou analyses, évaluations, des recommandations, des conseils et des
au conseil de surveillance ». informations sur les activités examinées ». L’interaction régulière avec
le Conseil permet également d’alerter et d’informer les administra-
Pour plus d’information :
 http://legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT0000305
teurs sur les risques de fraude.
59751&dateTexte=&categorieLien=id Pour plus d’information :
 Ordonnance n° 2015-378 du 2 avril 2015 transposant la directive  Norme 1210.A2
2009/138/CE du Parlement européen et du Conseil du 25 novembre  Prise de position – Le rôle de l'audit interne dans le gouvernement
2009 sur l'accès aux activités de l'assurance et de la réassurance et leur d'entreprise (mai 2009)
exercice (Solvabilité II)  Note de synthèse de la Commission Déontologie de l’IFA : Rôle du
 CRIPP (notamment les Norme 1000, 1111,2100, 2400 et 2500) conseil en matière de gestion du risque de fraude et de corruption
 Cahier de la recherche - Cartographie des risques (2e éd.) - Groupe
Assurance (octobre 2013)
 Cahier de la recherche - La délégation de gestion en assurances de
personnes : Pistes pour un contrôle interne efficace - Groupe Assurance
(2012)

Propos de Jean Tirole sur l'ISR


Le prix Nobel d’économie a présenté 3 visions de l’Investissement
Socialement Responsable lors d’une conférence inaugurale à Paris-
Dauphine. Il a rappelé que l’ISR n’excluait pas la maximisation du
profit. Du moins dans des visions « win win » (à long terme) ou de
« philanthropie déléguée » (impliquant une interaction étroite avec
des parties prenantes). Les acteurs peuvent également s’engager
MONDE
dans une 3ème voie : le mécénat pur ou « philanthropie désintéres- ECIIA : L'audit interne vecteur de confiance dans
sée ». Outre, les difficultés de définition du « socialement responsa- les reportings non-financiers
ble », l’économiste a mentionné des points d’attention :
 Collecte et agrégation des données ; Dans la perspective de la mise en œuvre de la directive 2013/34/EU
 Présentation des arguments ; amendée au sujet de la communication extra-financière et des infor-
 Qualité de l’information ; mations relatives à la diversité, l’ECIIA (European Confederation of
 Risque d’usine à gaz avec des instruments de régulation qui Institutes of Internal Auditing) rappelle que l’audit interne contribue
seraient fondés sur des informations inexistantes ou de piètre à donner une assurance sur les systèmes, procédures et contrôles
qualité. relatifs à l’information financière et extra-financière. Les organisa-
tions sont invitées à dépasser la simple mise en conformité avec
Des enjeux similaires à ceux du reporting intégré. cette nouvelle directive en envisageant d’ores et déjà la mise en
Cette intervention a été suivie d’une table ronde introduite par place de processus de reporting intégré.
Denis Kessler (PDG de Scor) sur « Finance de long terme, finance
Pour plus d’information :
 http://www.eciia.eu/blog/
durable ».
Pour plus d’information :  http://www.ifaci.com/recherche/les-productions- de -la-
 http://www.dauphine.fr/fr/actus/evenements/conferences-avec-des- recherche/reporting-integre-388.html
personnalites.html  Directive 2014/95/UE sur la publication d’informations non finan-
 http://www.ifaci.com/recherche/les-productions- de -la- cières et d’informations relatives à la diversité par certaines grandes
recherche/reporting-integre-388.html entreprises et certains groupes

n° 002 — audit, risques & contrôle — 2e trimestre 2015 37


ACTUALITÉ

MONDE PUBLICATIONS
Coordination audit interne, audit externe : Utiliser le COSO pour
le rôle clé du comité d'audit maîtriser les cyber-risques
L’IIA et l’AICPA (American Institute of CPAs) rendent compte de Le COSO (Comittee of Sponsoring
discussions entre leurs membres à propos de la coopération Organisations of the Treadway
entre les acteurs de l’audit. Malgré les spécificités liées au Commission) vient de publier un
contexte américain, ces échanges reflètent des enjeux universels : rapport sur l’utilisation du Référentiel
 le rôle moteur du comité d’audit ; intégré de contrôle interne et du
 l’ERM (Entreprise Risk Management) comme point de conver- Cadre de référence – Le management
gence du « triangle d’or » formé par l’audit interne, le comité des risques de l’entreprise pour pallier
d’audit et l’audit externe ; les risques de cyber-sécurité. Ce docu-
 la détermination des professionnels à s’engager dans cette ment prend en compte les risques liés aux évolutions technolo-
coopération. giques de ces dernières années. Vous y trouverez notamment une
application des 17 principes en matière de contrôle interne.
La publication IFACI/CNCC avait précisé ces éléments.
Retrouvez cette publication sur le site internet du COSO :
Pour plus d’information :
 Prise de position - Améliorer la coopération entre l'audit interne et
www.coso.org.

l'audit externe (Novembre 2014). IFACI / CNCC Une gestion des compétences adaptée au
 Norme 2110 – Gouvernement d’entreprise niveau de maturité :
 Norme 2050 – Coordination et MPA 2050 – 1 Nouveau guide pratique
 http://www.thecaq.org/docs/reports-and-publications/caq-inter-
Vous pouvez dès à présent téléchar-
secting-roles-report.pdf?sfvrsn=4
ger la version française du guide
pratique publié par l’IIA pour le déve-
loppement, la mise en place et le
maintien d’un processus de gestion
Audit interne et décision des compétences de l’audit interne.
L’audit interne est toujours en position Articulé autour du modèle de matu-
de susciter une décision ne serait-ce rité développé par la Fondation de la
qu’à travers le suivi de ses recomman- Recherche de l’IIA (IIARF), ce guide
dations. Cette publication rend décrit 12 étapes pour une gestion
compte d’autres façons d’accompa- stratégique des ressources de l’audit interne allant de l’interaction
gner des prises de décisions plus avec les instances de gouvernance à un plan d’action reposant
« spontanées » du manager. notamment sur un environnement favorisant l’apprentissage.
Nous voyons dans ces missions d’assu- Très illustré, ce guide destiné au secteur public est aisément trans-
rance ou de conseil, une opportunité posable dans d’autres environnements.
de contribuer à la performance des
organisations. Dans un contexte où les Retrouvez cette publication sur le site internet de l’IFACI.
managers cherchent du sens et où les structures organisationnelles
se complexifient, l’audit interne peut améliorer les conditions de Livre Blanc AFAI, IFACI, USF
la prise de décision et vérifier l’efficacité de sa mise en œuvre. « Guide d'évaluation d'un
Ce document, à l’attention des décideurs, rappelle les fondamen-
taux du métier et leur donne la parole.
système SAP pour l'audit
interne »
Retrouvez cette publication sur le site internet de l’IFACI.
Que l’on soit utilisateur ou non, il n’est
Challenges and plus utile de présenter l’ERP SAP. SAP,
expectations for the future comme tous les ERPs, est plus qu’un
of internal audit in banking simple système informatique : il
and credit institutions formalise, structure les processus et
comporte de nombreuses fonction-
Rappelant l’évolution des business nalités métiers. Ainsi, les données les
models des banques et les nouvelles plus stratégiques y sont stockées.
régulations dans le secteur bancaire, Toutefois, du fait de l’étendue de son
cette publication de l’IIA Espagne déploiement dans l’organisation, de sa richesse et de sa complexité,
donnera au responsable d’audit
la mise en œuvre et l’emploi de ce type d’outil engendrent des
 sa gestion des ressources humaines ;
interne des éléments pour adapter :
risques spécifiques et tout dysfonctionnement ou incident de
 l’organisation de son département ; sécurité peut avoir des impacts considérables sur l’image et plus
 l’approche (y compris en termes d’assurance combinée) et le encore sur l’activité de l’organisation qui l’utilise, et donc directe-
ment sur son chiffre d’affaires.
 les outils et techniques d’audit.
périmètre des missions ;
L’AFAI (Association Française de l’Audit et du conseil Informatique),
l’IFACI et l’USF (Utilisateurs SAP Francophones) ont souhaité s’asso-
Dans le contexte de la supervision unique européen, ce docu- cier pour réaliser un guide d’évaluation d’un système SAP.
ment devrait être facilement adaptable à vos services d’audit.
Retrouvez cette publication sur le site internet de l’IFACI.
Retrouvez cette publication sur le site internet de l’IFACI.

38 2e trimestre 2015 — audit, risques & contrôle - n° 002


Formation 2015
Tarifs Tarifs non
SE S SI O N S Durée janv. févr. mars avril mai juin juillet sept. oct. nov. déc.
adhérents adhérents

SE FORMER À LA MAÎTRISE DES ACTIVITÉS ET AU CONTRÔLE INTERNE


S’initier à la maîtrise des activités et au contrôle interne 2j 950 € 1 125 € 15-16 4-5 9-10 1-2 6-7 8-9 2-3 10-11 1-2 5-6 3-4
Réaliser une cartographie des risques 3j 1 675 € 1 875 € 19-21 9-11 11-13 8-10 11-13 10-12 6-8 14-16 5-7 16-18 7-9
Elaborer le référentiel de maîtrise des activités 2j 1 200 € 1 350 € 22-23 12-13 16-17 14-15 19-20 16-17 9-10 17-18 8-9 19-20 10-11
Piloter un dispositif de maîtrise des activités
2j 1 200 € 1 350 € 26-27 19-20 18-19 16-17 27-28 18-19 23-24 14-15 24-25 16-17
et de contrôle interne
Le contrôle interne des systèmes d’information 2j 1 200 € 1 350 € 29-30 24-25 23-24 12-13
Maîtrise des activités, contrôle interne et communication 2j 1 200 € 1 350 € 17-18 21-22 1-2 21-22 19-20 14-15

SE FORMER À L’AUDIT INTERNE


Les fondamentaux de l’audit interne
- 20% pour un participant inscrit
simultanément à 4 formations

S’initier à l’audit interne 2j 950 € 1 125 € 12-13 5-6 2-3 2-3 5-6 4-5/29-30 7-8 5-6 4-5 3-4
Conduire une mission d’audit interne : la méthodologie 3+1 j 1 675 € 1775 € 14-16 10-12 4-6 8-10 11-13 9-11 1-3 9-11 7-9 16-18 7-9
Maîtriser les outils et les techniques de l’audit 3j 1 625 € 1 775 € 19-21 16-18 9-11 13-15 18-20 15-17 6-8 14-16 12-14 23-25 14-16
Maîtriser les situations de communication orale de l’auditeur 2j 1 050 € 1 150 € 22-23 19-20 12-13 16-17 21-22 18-19 9-10 17-18 15-16 26-27 17-18
Réussir les écrits de la mission d’audit 2j 1 050 € 1 150 € 29-30 23-24 19-20 20-21 26-27 23-24 7-8 21-22 21-22 19-20 10-11
Exploiter les états financiers pour préparer
3j 1 525 € 1 675 € 26-28 23-25 27-29 28-30 23-25
une mission d’audit
Désacraliser les systèmes d’information 3j 1 525 € 1 675 € 16-18 1-3 23-25 2-4
Détecter et prévenir les fraudes 2j 1 050 € 1 150 € 26-27 22-23 4-5 21-22 19-20 8-9
Le management
Piloter un service d’audit interne 2j 1 300 € 1 450 € 12-13 11-12 8-9
Manager une équipe d’auditeurs au cours d’une mission 1j 685 € 770 € 16 6 17
L’audit interne dans les petites structures 1j 685 € 770 € 4 27
Balanced Scorecard du service d’audit interne 1j 685 € 770 € 27 25
Le suivi des recommandations 1j 685 € 770 € 28 16 15 30 18
Préparer l’évaluation externe du service d’audit interne 2j 1 300 € 1 450 € 10-11 12-13 19-20
L’audit interne, acteur de la gouvernance 1j 685 € 770 € 17 1
Audit interne, contrôle interne et qualité : les synergies 1j 685 € 770 € 23 15 2
Les audits spécifiques
Audit du Management de la Continuité d’Activités 2j 1 300 € 1 450 € 24-25 25-26 21-22
Audit de la fonction Comptable 2j 1 300 € 1 450 € 13-14 12-13
Audit de performance de la gestion des Ressources
3j 1 525 € 1 675 € 28-30 23-25
Humaines
Audit de la fonction Achats 2j 1 300 € 1 450 € 26-27 26-27 14-15
Audit des Contrats 1j 685 € 770 € 18 4
Audit de la fonction Contrôle de Gestion 2j 1 300 € 1 450 € 30-31 7-8
Audit de la Sécurité des Systèmes d’Information 2j 1 300 € 1 450 € 19-20 28-29
Audit des Processus Informatisés 2j 1 300 € 1 450 € 9-10 25-26
Audit de la Conformité à la Législation Sociale 2j 1 300 € 1 450 € 16-17 5-6
Audit du Développement Durable 2j 1 300 € 1 450 € 19-20 13-14
Audit des Projets et Investissements 2j 1 300 € 1 450 € 2-3 23-24

SE FORMER DANS LE SECTEUR PUBLIC


Le contrôle interne dans le secteur public 2j 1 300 € 1 450 € 5-6 7-8 16-17
Pratiquer l’audit interne dans le secteur public 4j 1 950 € 2 150 € 14-17 14-17 1-4

SE FORMER DANS LE SECTEUR BANCAIRE ET FINANCIER


Le contrôle permanent et la conformité dans le secteur
3j 1 525 € 1 675 € 17-19 16-18 2-4
bancaire et financier
Pratiquer l’audit interne dans une banque
4j 1 950 € 2 150 € 22-25 22-25 7-10
ou un établissement financier
SE FORMER DANS LE SECTEUR DES ASSURANCES
Le contrôle interne dans le secteur des assurances 2j 1 300 € 1 450 € 5-6 5-6 7-8 5-6
Pratiquer l’audit interne dans le secteur des assurances 4j 1 950 € 2 150 € 10-13 16-19 13-16 14-17

SE FORMER DANS LES SECTEURS INDUSTRIE ET COMMERCE


Audit de la gestion des stocks et de la logistique 2j 1 300 € 1 450 € 3-4 9-10
Audit du processus de ventes 2j 1 300 € 1 450 € 7-8 15-16

ACQUÉRIR UNE CERTIFICATION


Préparation au CIA - Partie 1 2j 950 € 1 125 € 11-12 2-3 8-9 2-3
Préparation au CIA - Partie 2 2j 950 € 1 125 € 18-19 8-9 14-15 9-10
Préparation au CIA - Partie 3 3j 1 525 € 1 675 € 24-26 17-19 23-25 15-17
CRMA Training 2j 995 € 1 170 € Dates sur notre site internet : www.ifaci.com

IFACI Formation - Tél. : 01 40 08 48 08 - Mel : formation@ifaci.com - Retrouvez également le programme complet sur le site internet www.ifaci.com

Vous aimerez peut-être aussi