Académique Documents
Professionnel Documents
Culture Documents
Dans l’actualité
Naufrage du Costa Concordia :
qu’aurait dit l’audit interne ?
Idées et débats
Dispositif national de prévention et
de traitement des risques dans le
domaine de la santé
Interview
De nouvelles ambitions pour l’IFACI
La profession en
QUELLES RELATIONS
mouvement ...
ENTRE L’AUDIT INTERNE
Fiche technique ET LA GESTION DES
> La conscience professionnelle :
une qualité fondamentale de RISQUES ?
l’auditeur
De la séparation stricte des fonctions
à un service regroupé
N°208
Février - Mars 2012
Marquez des points ...
avec la nouvelle certification
professionnelle
Professionnels de l’audit et du contrôle internes, cette nouvelle certification vous permettra de dé-
montrer votre professionnalisme dans le domaine de l’évaluation de la gestion des risques, et plus
particulièrement votre capacité à :
évaluer la maîtrise des risques et la gouvernance des processus métiers de votre organisation ;
sensibiliser la direction et le comité d’audit aux concepts liés aux risques et à la maîtrise des
risques ;
vous centrer sur les risques stratégiques de l’organisation ;
apporter encore plus de valeur ajoutée à votre organisation.
Disponible, à la fin du premier semestre 2013, sous la forme d’un examen, le CRMA™ est ac-
cessible dès aujourd’hui via un processus de Reconnaissance de l’Expérience Profes-
sionnelle (REP). Ainsi, toute personne justifiant d’une expérience professionnelle
dans les cinq domaines couverts par la certification CRMA™, et titulaire de di-
plômes et/ou de tout autre certificat dans le domaine de l’audit, sera en mesure
de faire une demande de REP en vue d’obtenir la certification CRMA™.
S
DIRECTEUR DE PUBLICATION
elon le cadre de référence de l’AMF de 2010,
Claude Viet l’audit interne est chargé « d’évaluer le fonc-
RESPONSABLE DE LA RÉDACTION tionnement des dispositifs de gestion des risques
Philippe Mocquard
et de contrôle interne, d’en effectuer une surveillance régu-
RÉDACTEUR EN CHEF
Louis Vaurs lière et de faire toute préconisation pour l’améliorer. »
RÉDACTION - RÉVISION
Jean-Loup Rouff - Béatrice Ki-Zerbo
Mais qu’en est-il dans la réalité ? Comment s’organi-
SECRÉTARIAT GÉNÉRAL
Eric Blanc - Tél. : 01 40 08 48 02
sent les relations entre la fonction audit interne – la plus ancienne – et la fonction
Mel : eblanc@ifaci.com gestion des risques – bien plus récente – ? C’est l’objet du dossier de la présente
ABONNEMENT Des exemples tirés du fonctionnement de trois entreprises (BPCE, Rhodia et GDF
Elsa Sarda - Tél. : 01 40 08 48 04
Mel : esarda@ifaci.com Suez), et de la DGFiP (Direction générale des finances publiques), viennent illustrer
ce benchmark en mettant en avant la nécessaire indépendance de l’audit interne par
Revue bimestrielle (5 numéros par an)
ISSN : 2117-1661 rapport à la gestion des risques et ce, quel que soit le type d’organisation mis en
CPPAP : 0513 G 83150
Dépôt légal : mars 2011 place, tout en insistant sur l’indispensable coopération entre les deux fonctions pour
Crédit photos : © Greg Epperson - Fotolia.com une bonne maîtrise des risques et un fonctionnement efficace de la gouvernance.
DANS L’ACTUALITÉ
DOSSIER
6 Naufrage du Costa Concordia :
qu’aurait dit l’audit interne ?
Antoine de Boissieu Quelles relations entre l’audit
8 Comment un audit interne doit-il interne et la gestion des risques ?
contribuer à la gestion de crise ? De la séparation stricte des fonctions
Yuji Shimada, Hiroshi Monden et Shigeomi
Suzuki
à un service regroupé p. 15 à 34
IDÉES ET DÉBATS
16 L’audit interne et le management des risques :
13 Dispositif national de prévention et de
des méthodes complémentaires
traitement des risques dans le domaine
de la santé Gilles Caignard et Maxime Civel
Maryse Fourcade
37 Evénements
Le rôle de l’audit interne dans la maîtrise des risques :
28 l’exemple de GDF SUEZ
Xavier Bedoret
Norme 1220-A3
>> La conscience professionnelle : une qualité
fondamentale de l’auditeur
Valérie Berche
L
e paquebot Costa • ils disposent d'un logiciel rimentés. Le capitaine trajectoire et la vitesse
Concordia a fait nau- de navigation qui intègre était même un expert adoptées sont bien celles
frage le mois dernier les informations de ces reconnu en matière de prévues, et qu'elles sont
au large d'une petite île ita- cartes et peuvent calculer sécurité. sûres ;
lienne, Giglio, après avoir les trajectoires et vitesses • le centre de contrôle de
heurté un récif. La catas- possibles et recomman- 2. Ces contrôles préventifs navigation (basé à terre)
trophe a fait une trentaine dées ; sont complétés par des suit la position des diffé-
de morts et entraîné la perte • la route à suivre est prépa- contrôles détectifs, capa- rents navires dans sa
du navire, d'une valeur de rée et validée par les offi- bles de repérer des anoma- zone ; il est donc capable
500 M€. ciers de navigation avec le lies avant qu'il ne soit trop de détecter un navire de
capitaine du navire ; tard : grande taille qui adopte-
Pour une société qui exploite • les consignes générales de • le logiciel de navigation rait une route dangereuse,
des navires, le risque de nau- navigation interdisent, par est paramétré pour alerter par exemple trop proche
frage est un risque inhérent prudence, une navigation en cas de route ou de des côtes, et peut lui
à l'activité. Posons-nous la trop proche des côtes ; vitesse dangereuses, pré- demander de corriger sa
question : un auditeur in- • la navigation dans les sentant, par exemple, des route.
terne qui aurait fait un audit zones potentiellement risques de collision. Les
quelques mois plus tôt dangereuses n'est pas alertes sont perçues par 3. Des contrôles correctifs
aurait-il conclu que ce risque assurée par une personne tous les officiers présents enfin, censés empêcher
était mal maîtrisé ? seule, mais par un groupe à la passerelle ; qu'une collision avec un récif
Cet auditeur aurait identifié d'officiers, présents à la • les navires sont équipés ne tourne à la catastrophe,
une longue liste de disposi- passerelle. Cela permet d'un sonar de fond, c'est à complètent le dispositif de
tifs de contrôle interne d'éviter les erreurs dire d'un appareil calcu- contrôle :
visant à maîtriser le risque humaines. lant en temps réel la pro- • les coques des navires
de naufrage. Faisons-en un fondeur. L'officier de modernes (comme le
rapide inventaire. Enfin, dans le cas du Costa quart peut la comparer à Costa Concordia) sont
Concordia, deux autres fac- la profondeur théorique composées d'une suite de
1. Des contrôles préventifs teurs limitaient les risques : et, réagir en cas de pro- compartiments étanches :
tout d'abord, pour éviter • le navire naviguait sur fondeur anormalement la perforation d'un com-
toute collision susceptible de des routes parfaitement basse ; partiment ne provoque
provoquer un naufrage : connues, déjà empruntées • la trajectoire et la vitesse l'inondation que de ce
• les navires ont les cartes plusieurs fois par les offi- sont suivies en temps réel compartiment, le navire
marines (avec le détail des ciers et par le navire ; par l'officier de quart pré- étant conçu pour résister à
écueils et récifs) des zones • l'équipage, et notamment sent en passerelle ; son l'inondation de deux com-
qu'ils traversent ; les officiers, étaient expé- rôle est de s'assurer que la partiments adjacents ;
Yuji Shimada - Ph.D., CIA, CISA, CISM, CGEIT, professeur à la Faculté des Sciences de l’information,
Université de Tokyo
Hiroshi Monden - CIA, CISA, auditeur interne, Nipponkoa Insurance Co., Ltd.
Shigeomi Suzuki - CIA, auditeur interne, Sociétés du groupe Sumitomo Corporation
À
l’issue des dom- Événements tude de 8,8 sur l’échelle de trophe a été caractérisée par
mages colossaux du 11 mars Richter) a occasionné une la gravité des dommages
provoqués par le interruption du trafic ferro- occasionnés par le tsunami :
grand tremblement de terre Le 11 mars 2011, à 14 h 46 viaire et d’énormes embou- outre des logements, des
de Tohoku, le Japon a rapi- (heure du Japon), un violent teillages. Bon nombre d’ha- bâtiments, des bureaux, des
dement rebondi grâce au tremblement de terre suivi bitants effectuant quotidien- usines et des magasins ont
soutien humain, matériel et par un tsunami a frappé la nement des trajets d’une à été balayés, et la région de
financier reçu du monde région de Tohoku. Ces deux deux heures ont été incapa- Fukushima a été affectée par
entier. Sous l’égide de l’IIA- phénomènes ont provoqué bles de rentrer chez eux et une contamination radioac-
Japan, des forums d’audi- des dommages considéra- ont dû passer la nuit sur leur tive due à des explosions
teurs internes certifiés (CIA) bles : 15 821 morts, 3 926 lieu de travail. dans la centrale nucléaire de
réalisent volontairement dif- disparus, 5 940 blessés, De nombreux membres des Fukushima Daiichi.
férentes enquêtes. La catas- 118 499 bâtiments totale- forums CIA ont marché plu- Voici les enseignements que
trophe du 11 mars 2011 a ment détruits, et 180 297 sieurs heures pour regagner nous avons tirés de cette
naturellement orienté l’at- bâtiments gravement endom- leur domicile, ou ont passé catastrophe.
tention de nos forums sur magés (chiffres au 6 octobre la nuit au bureau et sont
les mesures pouvant être 2011), (http://www.npa.go.jp rentrés chez eux le lende- Prise en compte des
prises, du point de vue de /archive/keibi/biki/higaijo- main. L’entreprise ou l’orga- scénarios catastrophe
l’audit interne, face à une kyo_e.pdf). nisation dans laquelle les
crise de cette ampleur. En En outre, la centrale auditeurs internes travail- Le district de Taro (à
communiquant les résultats nucléaire de Fukushima laient a également subi des l’époque Tarocho) dans la
de ces enquêtes, nous espé- Daiichi a été à l’origine dommages importants. ville de Miyako, Préfecture
rons que les audits internes d’une contamination radio- Le Japon est un pays fré- d’Iwate, a construit la digue
contribuent à formuler des active. quemment frappé par des la plus importante au
suggestions et des recom- À Tokyo, où l’IIA-Japan est catastrophes telles que des monde (longue de 2,5 km et
mandations pour renforcer situé, le séisme d’une mag- tremblements de terre, des haute de 10 mètres) pour se
la gestion de crise à l’avenir. nitude supérieure à 5 sur ouragans, des inondations et protéger contre les inonda-
l’échelle japonaise (magni- des tsunamis. Cette catas- tions provoquées par les tsu-
la catastrophe. Grâce au taines sociétés, dans les- La prise de décision à exposé à différents risques
plan de continuité d’activité, quelles les décisions étaient l’échelle du site prend de catastrophes naturelles,
en place depuis trois ans, la prises au niveau des sites, alors toute son impor- seront différents de ceux de
société a pu redémarrer les ont acquis une bonne répu- tance. Les règles doivent pays exposés à des risques
activités de six des huit tation auprès du public. Par être documentées pour tels que les crimes, les atten-
lignes de production dans exemple, un bureau local que les cadres locaux tats terroristes, les défail-
ses usines fabriquant des d’une société de courses a soient à même de prendre lances de l’infrastructure
ordinateurs personnels, pré- pris seul la décision de four- des décisions en période sociale ou l’instabilité poli-
fecture de Fukushima, et par nir un soutien logistique de crise. tique. Les auditeurs internes
ailleurs compenser la baisse dans le secteur touché par la doivent réaliser un audit de
de la production grâce à catastrophe. En l’occurrence, Possibilité d’un audit gestion de crise en fonction
l’usine de secours de le siège social a ultérieure- de gestion de crise des caractéristiques propres
Shimane, située à mille kilo- ment reconnu cette capacité à l’entreprise et à son envi-
mètres, qui était intacte. Le décisionnaire et a appliqué L’objectif d’un audit interne ronnement.
plan de continuité d’activité l’idée dans l’ensemble de est « d’apporter une valeur Voici quelques conseils pour
précisait que dans le cadre l’entreprise. ajoutée et d’améliorer les acti- un audit de gestion de crise.
du plan de secours, les deux Un cas similaire a été signalé vités d’une entreprise » au
usines compenseraient à Niigata Chuetsu lors du sens de l’IIA. Améliorer les • Faire une observation
mutuellement leur produc- séisme de 2004. Le super- activités d’une entreprise en sur site
tion si l’une d’entre elles marché local de l’enseigne concevant et en renforçant le Il est important de faire une
était endommagée. Les Harashin, qui possède plus système de gestion de crise observation sur site afin de
besoins en main-d’œuvre de soixante magasins, a par- compte parmi les responsa- confirmer l’existence
ayant également été plani- tiellement repris ses activités bilités importantes des audi- d’éventuelles sources de
fiés, la production a pu être sur un parking peu après le teurs internes. danger telles que des rivières
transférée sans difficulté à séisme sur décision du ou des rivages. Il est égale-
l’usine de Shimane. directeur du magasin frappé En conséquence, les audi- ment nécessaire de vérifier
par le séisme. Cette décision teurs internes ne doivent que les mesures de préven-
Cet exemple illustre qu’un s’inscrivait dans la philoso- pas simplement envisager tion de catastrophes sont
plan de continuité d’acti- phie de la direction, « le la possibilité théorique élaborées et mises en œuvre
vité est primordial pour la client avant tout », qui d’un audit de gestion de sur site comme précédem-
poursuite des activités. donne à la clientèle la prio- crise, mais réaliser un ment indiqué à la direction
rité dans les activités quoti- audit de gestion de crise générale.
Désignation des diennes. Le magasin a rapi- dans le cadre des audits
décisionnaires et des dement rouvert, à la grande internes apportant une • Acquérir une vue d’en-
responsables en satisfaction des clients. valeur ajoutée. semble
période de crise Il n’est pas possible de
Lorsqu’une crise se Aspects d’un audit de détecter des points faibles
Durant cette immense catas- déclare, les entreprises gestion de crise sans acquérir une vue d’en-
trophe, certaines entreprises peuvent être moins effi- semble de la société. Il est
ont été affectées par des caces pour prendre des Un audit de gestion de crise également important de
retards dans la prise de déci- décisions ou juger au quo- doit englober les aspects détecter les zones d’ombre
sion parce que de nombreux tidien des processus opé- détaillés dans le tableau ci- dans votre entreprise ou vos
salariés avaient péri ou été rationnels, et le personnel après. Bien entendu, les processus opérationnels.
blessés, ou du fait de l’ab- peut se trouver dans l’in- aspects devant être pris en Acquérir une vue d’ensem-
sence des dirigeants dans les capacité de communiquer compte lors de l’audit d’un ble est essentiel pour y par-
sièges sociaux. Toutefois, cer- avec la direction générale. pays tel que le Japon, qui est venir.
• Tirer les enseignements être attentifs à ces informa- de la question des coûts. une collaboration des audi-
du passé tions. L’audit de la gestion de crise teurs internes possédant des
Pour évaluer un risque de est délicat à mettre en connaissances avec les
catastrophe, il est également * * œuvre, sauf à être un audi- experts des différents
important d’examiner des * teur interne expérimenté et domaines nécessitant une
données telles que les docu- rompu à la sensibilité aux approche spécifique.
ments historiques. Un évé- Les auditeurs internes doi- risques. Les principaux Enfin, nous espérons que les
nement tel que le grand vent prendre l’habitude de aspects ne relèvent pas de auditeurs internes du
tremblement de terre de réfléchir aux différents types connaissances comptables, monde entier pourront
Tohoku est censé se produire de risques. Au Japon, l’atten- mais plutôt de connais- bénéficier des enseigne-
une fois par millénaire, et tion a été focalisée sur le sances dans les domaines ments tirés de la catastrophe
celui de Jogan Sanriku est tremblement de terre et le spécialisés de la stratégie et du 11 mars 2011.
survenu dans la région de tsunami récents, mais nous de l’organisation de l’entre-
Tohoku en 869. Ces événe- devons garder à l’esprit que prise, notamment une
ments historiques doivent ce ne sont pas les seuls expertise dans les activités
être pris en compte et éva- risques inhérents à la ges- telles que la vente, la pro-
lués. Au Japon, les noms de tion des risques. Les propo- duction, la logistique, les
lieux désignent parfois des sitions d’amélioration peu- achats, les ressources
caractéristiques géogra- vent être rejetées, car elles humaines et les technologies
phiques telles que des zones sont souvent onéreuses. de l’information et de la
submergées ou maréca- Mais la mission de l’auditeur communication.
geuses. Les auditeurs est d’informer sur les L’audit de la gestion de crise
internes doivent également risques, indépendamment n’est possible qu’à travers
Dispositif national
de prévention et de traitement
des risques dans le domaine
de la santé
Maryse Fourcade, Inspectrice, IGAS
des dispositifs médicaux et des actes • L’agence nationale de la sécurité • L’autorité de sûreté nucléaire
professionnels ; de promouvoir les sanitaire de l’alimentation, de l’en- (ASN)
bonnes pratiques et le bon usage des vironnement et du travail (ANSES) Autorité administrative indépen-
soins auprès des professionnels de Établissement public à caractère dante, l'Autorité de sûreté nucléaire
santé et des usagers de santé ; d’amé- administratif, l'ANSES intervient dans (ASN), est chargée de contrôler les
liorer la qualité des soins dans les éta- les domaines du travail, de l'environ- activités nucléaires civiles en France :
blissements de santé et en médecine nement, de l'alimentation, de la santé installations nucléaires de base, trans-
de ville ; de développer la concerta- et du bien-être des animaux, de la port des substances radioactives,
tion et la collaboration avec les acteurs santé des végétaux. En santé radioprotection (protection contre les
du système de santé en France et à humaine, l'Agence évalue les proprié- rayonnements ionisants, issus notam-
l'étranger. tés nutritionnelles et fonctionnelles ment des équipements radiologiques
des aliments, ainsi que l'ensemble des des établissements de santé).
• L’Institut de veille sanitaire (InVS) risques auquel l'Homme peut être
Établissement public, placé sous la exposé au travers du travail, de l'envi- Les acteurs territoriaux
tutelle du ministère chargé de la ronnement et de l'alimentation.
Santé, l’Institut de veille sanitaire L'ANSES a aussi compétence dans le La politique de prévention et de traite-
(InVS) réunit les missions de surveil- champ du médicament vétérinaire, et ment du risque sanitaire est déclinée et
lance, de vigilance et d’alerte dans elle assure l'évaluation avant mise sur mise en œuvre au niveau territorial par
tous les domaines de la santé le marché des pesticides et des bio- les 26 Agences régionales de santé
publique. cides, ainsi que des produits chi- (ARS), qui ont ont pour objectifs, au sein
miques dans le cadre de la réglemen- de chaque région, d’assurer un pilotage
• L’Agence française de sécurité tation REACh. L'ANSES est placée unifié et transversal de la santé en
sanitaire des produits de santé sous la tutelle des ministères chargés région et de réguler l’offre de soins.
(Afssaps) de la santé, de l'agriculture, de l'envi-
Cette agence se consacre à assurer la ronnement, du travail et de la Le rôle de l’IGAS
sécurité sanitaire des médicaments, consommation.
des produits biologiques et des dispo- L’Inspection générale des affaires
sitifs médicaux en France. • L’Etablissement français du sang sociales contribue à la maîtrise des
(EFS) risques sur le champ sanitaire à travers
• L’Institut national de prévention et L’Etablissement Français du Sang est deux missions :
d’éducation pour la santé (INPES) l’opérateur civil unique de la transfu- • une Mission d’audit interne lui est
L’Institut national de prévention et sion en France : don de sang, don de rattachée. Cette structure assure
d’éducation pour la santé est un éta- plasma et don de plaquettes. Il est à notamment l’évaluation des disposi-
blissement public administratif chargé ce titre le garant de la sécurité de la tifs de maîtrise des risques mis en
de mettre en œuvre les politiques de chaîne transfusionnelle, du donneur œuvre par les ministères chargés des
prévention et d’éducation pour la au receveur. affaires sociales et leurs opérateurs ;
santé dans le cadre plus général des • une Mission méthodologie perfor-
orientations de la politique de santé • L’agence de la biomédecine (ABM) mance (MMP) chargée, en coopéra-
publique fixées par le gouvernement. L'Agence de la biomédecine est une tion avec le secrétariat général des
Il est également chargé de la partici- agence publique nationale de l'État, ministères chargés des affaires
pation à la gestion des situations exerçant ses missions dans les sociales, du pilotage du dispositif
urgentes ou exceptionnelles ayant des domaines du prélèvement et de la d’animation de la fonction inspec-
conséquences sanitaires collectives et greffe d'organes, de tissus et de cel- tion-contrôle exercée par les ARS.
à la formation à l’éducation pour la lules, ainsi que dans les domaines de
santé. la procréation, de l'embryologie et de
la génétique humaines.
L'audit interne et le
management des risques :
des méthodes
complémentaires
Gilles Caignard - Adjoint de la directrice de l'audit et du contrôle internes, Aéroports de Paris
Maxime Civel - Diplômé du Master Audit des Organisations et Maîtrise des Risques, Paris Descartes
D
ans le cadre de la démarche L'élaboration du plan annuel cation et d’analyse des risques de
de progrès menée conjointe- d'audit et de la cartographie l’entreprise par le management des
ment avec la certification des risques : un enjeu risques (cartographie des risques).
IFACI, la direction de l'audit et du primordial pour l'audit interne • « L’appétence pour le risque défi-
contrôle internes d'Aéroports de Paris a et le management des risques nie par le management des diffé-
réalisé, du 22 mars au 26 mai 2011, un rentes activités ou branches de l’or-
benchmark sur le renforcement du lien Le Référentiel Professionnel de l'Audit ganisation »
entre l'audit interne et le management Interne de l'IFACI précise que « le res- Ce second acte vise davantage la prise
des risques. ponsable de l'audit interne établit un plan en compte des managers dans les
fondé sur une analyse de l'ensemble des activités opérationnelles et de sup-
Cette étude, réalisée avec l'aide d'un risques de son organisation. Pour ce faire, le ports qui peut se révéler être d’une
1
étudiant diplômé du Master « Audit des responsable de l'audit interne prend en utilité significative dans l’identifica-
organisations et Maîtrise des risques » compte le système de management des tion des risques et in fine dans l’élabo-
de l'Université Paris Descartes, a porté risques défini au sein de l'organisation. Il ration de la cartographie des risques.
plus précisément sur les interactions tient notamment compte de l'appétence pour
entre le management des risques et le risque définie par le management pour les Au-delà du référentiel et des axes de
l'audit interne dans l'élaboration du différentes activités ou branches de l'orga- recherche présentés ci-dessus, d’autres
plan annuel d'audit et l'actualisation de nisation. » domaines sont à prendre en compte
la cartographie des risques. pour donner une analyse complète des
A partir de cette formulation, nous pou- liens qui unissent l’audit interne et le
Cette étude a concerné sept entreprises2 vons dégager deux axes de recherche management des risques dans l’élabo-
et a permis de dégager les pratiques les pour l’élaboration du plan annuel d’au- ration du plan annuel d’audit et la car-
plus répandues sur le sujet afin de pro- dit et la cartographie des risques : tographie des risques (ex : suivi des
poser des voies d'améliorations qui ont • « Le système de management des plans d'actions, accidents, etc.).
été mises en application dès la fin de sa risques »
réalisation. Ce premier axe porte essentiellement Ce premier constat souligne l'existence
sur les outils et méthodes d’identifi- d'axes précis mais avec des méthodolo-
5
L'étude a révélé que les fonctions d'au-
dit interne et de management des
risques sont présentes dans toutes les
Schéma 2
leure coordination entre les deux D'autres sources sont utilisées selon les • Deux directions d’audit interne ont
fonctions (élaboration du plan annuel entreprises : choisi de découper le programme
d'audit, actualisation de la cartogra- • Des entreprises ont mis en place un annuel selon la nature des missions
phie des risques, rattachement des tableau/matrice présentant les risques mais en y ajoutant un découpage sup-
audits et des recommandations aux majeurs couverts par les programmes plémentaire selon les branches d’ac-
risques, etc.). d'audit des quatre à cinq dernières tivités de leur entreprise.
La mise en place d'un réseau de risk années. Ce tableau récapitulant l'en-
managers dans chaque activité semble semble des missions d'audit des pré- Seule, une direction d'audit interne pré-
nécessaire pour les entreprises afin de cédents programmes d'audit avec sente son programme d'audit selon le
faire le lien avec les fonctions opéra- leurs risques rattachés permet d'avoir découpage des risques de sa cartogra-
tionnelles et ainsi identifier un plus une vision synthétique sur le niveau phie. Ceci s'explique par la maturité
grand nombre de risques encourus de couverture des risques par les pro- avancée de sa réflexion en termes de
par la société. grammes d'audit antérieurs et à iden- management des risques, qui est la
tifier clairement les risques insuffi- préoccupation principale de l'élabora-
Elaboration du plan d'audit samment couverts. tion du plan annuel d'audit (Cf. schéma
• Dans les cas où les deux fonctions 3).
Eléments pris en compte dans l'élabora- audit/management des risques sont
tion du plan annuel d'audit séparées et relèvent de directions dif- Validation du plan annuel d'audit
L'ensemble des sociétés consultées lors férentes, des réunions formelles entre L'ensemble des entreprises du bench-
de cette étude utilisent principalement le management des risques et l'audit mark présente le projet de plan d'audit
deux sources d'information pour réaliser interne sont organisées régulière- au Comité exécutif (COMEX) ou à la
le plan annuel d'audit : ment. direction générale de la société pour
• La cartographie des risques accord.
Après actualisation, la cartographie Découpage du plan annuel d'audit L'audit interne présente ensuite ce plan
des risques est l’une des deux princi- Le découpage du plan annuel d'audit se d'audit approuvé en comité d'audit
pales sources du plan annuel d’audit présente selon deux modèles domi- lorsque les entreprises en sont dotées
en faisant ressortir les risques majeurs nants : (cinq cas sur sept). Dans ce cas, le comité
de l’entreprise et de ses activités. Un • La majorité des directions d'audit d'audit a un rôle de consultation sur le
niveau de détail suffisamment fin per- interne (4 cas sur 7) découpe le pro- programme d'audit tout en gardant la
met de remonter à la source des gramme annuel selon la nature des possibilité de suggérer des missions.
risques majeurs et ainsi de les traiter missions (type de mission : audit de C'est toutefois à l'issue de cette présen-
plus efficacement par des missions conformité, origine de la mission, tation que le plan est déclaré « validé ».
précises. etc.).
• Des entretiens avec les directions
opérationnelles
Découpage du plan annuel d’audit
Les entretiens avec les responsables et
les directeurs d’unités opérationnelles
sont la deuxième source principale du 1
plan annuel d’audit. Ces entretiens Découpage par famille de risques
visent à évaluer ou à s'interroger sur
Découpage par domaines d’activités
le niveau de maîtrise des risques de 3 2
l'entité et permettent d’impliquer les Découpage par nature de mission
directeurs des unités opérationnelles
dans le processus d’élaboration du
plan annuel d’audit.
Schéma 3
• tableau de rapprochement entre la plans d'actions et ainsi actualiser la • Afin d'avoir une cartographie des
cartographie des risques et les recom- cartographie des risques. risques détaillée et actualisée pour
mandations ; chaque niveau, le management des
• mission d’audit de suivi ; * * risques doit disposer d'un réseau de
• réunion trimestrielle ou mensuelle * risk manager qui serait chargé d'élabo-
entre les directions de l’audit interne rer une cartographie pour chaque
et du management des risques (dans Les bonnes pratiques observées : direction ou branche d'activité. Le
le cas où les directions sont dis- management des risques est dans un
tinctes) ; • Des liens fréquents entre les fonctions rôle de pilotage et de supervision des
• envoi du rapport de mission au mana- d'audit interne et de management des risk managers.
gement des risques ; risques permettent de tirer un meil-
• outil informatique regroupant les leur parti de l'interdépendance natu- • Enfin, même si les pratiques sont
informations des missions d'audit relle de leurs travaux. Souhaitables encore hétérogènes sur le sujet, une
dont les plans d'action. tout au long de l'année, ces liens sont présentation du plan annuel d'audit
indispensables au moment de l'élabo- conforme au découpage de la carto-
Bonnes pratiques : Concernant l'éla- ration du plan annuel d'audit et de graphie des risques concourt de toute
boration de la cartographie des l'actualisation de la cartographie des évidence à une plus grande lisibilité
risques, le management des risques et risques. des deux démarches et à leur conver-
l'audit interne doivent disposer d'un gence.
périmètre suffisamment large pour • Les missions du plan d'audit doivent
identifier les risques majeurs de la être rattachées aux risques de l'activité
société et ceci à tous les niveaux. La auditée afin d'expliciter le lien entre 1. Maxime Civel, co-auteur de l'étude et de l'arti-
réalisation d'un univers des risques ou les missions et la cartographie des cle – Diplômé du Master Audit des Organisa-
tions et Maîtrise des Risques de Paris V, actuel-
des cartographies des risques auprès risques. Il est important de signaler lement Etudiant du Master Comptabilité Audit
des directions opérationnelles per- que ce rattachement n'est possible et Contrôle de gestion de l’Université Paris Dau-
phine.
mettent d'atteindre ce niveau d'exi- qu'à partir d'une cartographie détail-
gence. lée avec plusieurs niveaux de risques, 2. Les sept entreprises ayant répondu au bench-
mark : Banque de France, Michelin, RTE, Eif-
Pour l'intégration des plans d'actions et n'est pertinent que si celle-ci est fage, Eurocopter, Veolia, Air France. Ces entre-
dans la cartographie des risques, actualisée de façon régulière. Idéale- prises exercent des activités diverses avec des
cultures différentes. Par ailleurs, cinq de ces
chaque entreprise utilise les pratiques ment, dans la mesure où ce lien est entreprises sont certifiées IFACI dont deux ont
qui s'adaptent le mieux à son environ- suffisamment robuste, le plan annuel été distinguées lors des Trophées du Contrôle
Interne. Leur taille est très variable avec un chif-
nement. Cependant, l'outil informa- d'audit peut présenter un découpage fre d'affaires compris entre 4 Mds et 33 Mds
tique semble être le meilleur moyen identique à celui de la cartographie d'euros et un effectif de 8 500 et 330 000 sala-
riés.
pour avoir un suivi en temps réel des des risques,
CIBLÉ / SIMPLE / G R AT U I T
L’inspection générale et la
direction des risques du groupe
BPCE : une cohabitation réussie
Entretien avec
Isabelle Maury, Directrice des risques groupe, BPCE
Géraud Brac de la Perrière, Directeur de l’inspection générale groupe, BPCE
graphie des risques, tous les risques de sieurs établissements. Auquel cas, dans L. V. : Qui coordonne la qualité, la confor-
suivi, les risques de conformité, les le domaine des risques, bien sûr, on peut mité… ?
risques informatiques et autres types de soit identifier puis déployer des best
risques, et qui prend en compte égale- practices, soit constituer des ateliers avec I. M. : Il existe un comité de coordina-
ment d’autres aspects, liés aux dernières la filière pour déterminer une nouvelle tion du contrôle interne, qui coordonne
missions réalisées, à des recommanda- norme. C’est très utile. toutes les fonctions de contrôle.
tions qui tardent à être mises en œuvre,
à des éléments de résultat, à des infor- Nous réalisons également une évalua- G. B. P. : Ce comité, j’en assure le secré-
mations que je peux avoir dans mes tion du contrôle permanent, à partir tariat. Il est présidé par François Pérol. Y
contacts avec les dirigeants du groupe. d’un système de scoring que nous avons viennent les membres du directoire en
Tous ces éléments-là sont donc pris en établi en fonction de critères, en identi- charge des finances et des opérations. Y
compte pour bâtir un risk assesment qui fiant également les axes de progrès. viennent également les trois fonctions
vise à établir un plan d’audit avec une de contrôle que l’on a évoquées, le res-
bonne périodicité en fonction de nos L. V. : Comment s’organise la coordination ponsable de la révision comptable et le
moyens et de la criticité des sujets. des différents acteurs du contrôle interne ? responsable de la sécurité des systèmes
L’approche est donc vraiment différente d’information.
de celle de la cartographie des risques de I. M. : Quand on a créé BPCE, on a tra- Les cinq fonctions de contrôle sont réu-
la direction des risques. vaillé sur ce point en priorité, nies dans ce comité qui se tient
A noter que l’inspection générale est non seulement au niveau tous les deux mois envi-
invitée à tous les comités de risques. de BCPE SA, mais ron.
Cela permet d’avoir l’information au fil pour toute la
de l’eau. La fluidité de l’information est filière, et l’on a
« Le 97-02 est limpide L. V. : Ce comité de
la clé du bon fonctionnement. écrit des chartes sur la distinction contrôle coordination des
De plus, les risques reçoivent tous nos de fonctionne- périodique, contrôle contrôles internes
rapports. Nous nous voyons une fois par ment. Ce sont comprend, par
mois pour échanger de manière un peu des écrits fonda- permanent, et il n’y a pas définition, l’audit
informelle, soit sur des événements ou teurs, ils ont per- de mélange des genres » interne, les risques
des thèmes sur lesquels travaille la mis de clairement et la conformité ?
direction des risques, soit sur des points délimiter les missions.
relevés dans nos missions. Et l’on parti- Le but était de bâtir une G. B. P. : Oui. Et les autres
cipe aussi, tous les deux, au comité exé- coordination adaptée et pragmatique, fonctions de contrôle : finances, révi-
cutif du groupe. et de déterminer les missions de l’audit sion comptable, sécurité des systèmes
interne, les risques et la conformité. d’information…
L. V. : Concernant cette cartographie, est-ce Notre lien le plus important avec la
que la direction des risques se sert de l’ap- conformité est avec les risques opéra- L. V. : Contrôle de gestion, aussi ?
proche par les risques développée par l’ins- tionnels. En cas d’incident d’une fraude,
pection générale, pour l’enrichir ? l’urgence est de se coordonner. G. B. P. : Non. Le contrôle de gestion,
Par ailleurs, les risques de non-confor- c’est une des fonctions de gestion.
G. B. P. et I. M. : Non. mité sont intégrés dans la cartographie
des risques opérationnels. La conformité I. M. : Ce n’est pas un contrôle interne
I. M. : En revanche, nous nous servons contribue également à certains comités de niveau 2.
des conclusions, des recommandations des risques, en particulier le comité des
que l’on retrouve dans les rapports risques opérationnels. Nous sommes L. V. : Et comment cela se passe-t-il entre
d’inspection générale pour voir si, au également amenés à coordonner cer- vous et la conformité ?
niveau des établissements, il n’y a pas taines actions pour correspondre au
des actions que l’on pourrait mener au mieux aux organisations des établisse- I. M. : Après deux ans et demi de pra-
niveau national, qui concerneraient plu- ments du groupe. tique nous sommes rodés.
L. V. : Ne pensez-vous pas cependant qu’un émettre une alerte, nous l’émettons. Et Banques populaires et de Caisses
rattachement au comité d’audit vous don- il n’y a aucune censure, bien au d’épargne et de personnalités. Nous
nerait plus d’indépendance ? contraire. mettons beaucoup l’accent sur la péda-
gogie de nos supports et de nos présen-
G. B. P. : Moi, je pense que ce qui est L. V. : Quels sont vos relations avec le tations. Il y a un effort – dans toute la
important, c’est d’avoir l’accès au comité comité d’audit ? profession, et pas seulement chez BPCE
d’audit. Mais c’est aussi d’avoir une rela- – pour rendre les présentations au
tion étroite avec son président, pour G. B. P. : Nous sommes invités perma- comité d’audit accessibles, et pour sus-
nous, le président du directoire. nents, à tous les comités d’audit, qui se citer débats et questions.
tiennent sept à huit fois par an, pendant
I. M. : Celui qui pilote l’entreprise, c’est au moins quatre heures. Le temps L. V. : Je vous remercie de vous être prêtés à
l’exécutif, ce n’est pas le comité d’audit. nécessaire est consacré aux sujets de cette interview qui montre l’importance que
La direction des risques est un outil qui contrôle. Nous pouvons nous exprimer vous attachez à la bonne coopération entre
sert à l’exécutif. En ce qui concerne notre conformément à la réglementation, et risques et audit interne au plus grand béné-
président du directoire, il est très attentif pour la bonne information du comité. fice de la direction générale et du comité
aux risques, à l’inspection, et à la confor- d’audit.
mité, ces trois fonctions lui sont ratta- I. M. : C’est un comité d’audit et des
chées directement. Et si nous devons risques composé de dirigeants de
R
hodia est intégré, depuis sep- 5. Un système d’information structu-
tembre 2011, dans le groupe rant : Les principaux processus s’ap-
Solvay, suite à une OPA ami- puient sur un système informatique
cale. Le nouveau groupe compte 30 000 unique, couvrant pratiquement
collaborateurs pour 12 milliards de chif- toutes les entités du groupe.
fre d’affaires. Le dispositif décrit ci-des-
sous est celui en vigueur chez Rhodia Le dispositif de gestion des risques mis
avant cette intégration. en place a donc dû répondre à ces diffé-
rents objectifs.
Un contexte particulier La gouvernance générale de l’entreprise
La problématique pour Rhodia a été de est la structure de base sur laquelle est
mettre en place un dispositif de gestion construit tout le dispositif. Sous la
Thomas Puissant des risques et de contrôle interne qui supervision du Conseil d’administration
Responsable de l’évaluation du contrôle réponde à 5 contraintes : et du Comité d’audit, les principaux
interne, Rhodia Internal Audit 1. Des risques industriels forts : L’ac- acteurs ont toujours été, et resteront, la
tivité est par nature risquée et impose direction et le personnel de l’entreprise.
de prendre en compte un risque
industriel significatif. Ce risque fait Un comité d’audit actif
en outre l’objet d’un encadrement En liaison avec le Conseil d’administra-
réglementaire strict. tion, le Comité d’audit et des risques est
Comme toute grosse entreprise spécia- 2. Une internationalisation impor- formellement chargé d’assurer un suivi
lisée dans une activité donnée, Rhodia tante : Rhodia est très présente dans de l’efficacité des systèmes de contrôle
– dans le domaine de la chimie – est les pays émergents, notamment la interne et de gestion des risques du
soumise à des contraintes liées notam- Chine et le Brésil, et s’y développe groupe (application de la 8e directive
ment aux risques industriels, à l’inter- régulièrement. européenne). Au-delà de l’aspect for-
nationalisation, aux évolutions régle- 3. Des référentiels réglementaires en mel, ce sont les pratiques qui favorisent
mentaires, etc. évolution : La société a été un temps le bon fonctionnement du dispositif
Un dispositif de gestion des risques a soumise à la loi américaine Sar- interne. Parmi ces pratiques, on peut
été élaboré en fonction de ces banes-Oxley, et est désormais sou- citer :
contraintes. mise au référentiel européen (LSF et • la présentation au comité de la carto-
Une direction des risques et une direc-
e
8 directive). graphie des risques ;
tion de l’audit interne ont la charge, 4. Une volonté de standardisation • les présentations faites au Comité
chacune en ce qui la concerne, de faire des processus : La direction a la d’audit par certains des « risk spon-
vivre et évoluer le dispositif de maîtrise volonté de s’appuyer sur des proces- sors » sur les risques principaux dont
des risques. Certaines directions sont sus standardisés, supportés initiale- ils ont la charge ;
responsables de la maîtrise de risques ment par des fonctions centrales • la présentation du bilan d’activité de
spécifiques. influentes, et qui restent des « pro- l’audit interne et d’une évaluation
cessus modèles ». annuelle du contrôle interne.
Cette information synthétique donne au 4. Ces local process owners sont eux- surer la cohérence entre la cartographie
comité la possibilité de remplir sa fonc- mêmes au contact des acteurs finale- des risques du groupe, la cartographie
tion de supervision. ment les plus importants : les pro- des risques assurables et la déclinaison
priétaires de contrôle, c'est-à-dire du contrôle interne par processus ; les
Un engagement concret de la le personnel qui fait fonctionner les dispositifs de contrôle définis processus
direction générale processus quotidiennement. par processus sont orientés et priorisés
L’engagement de la direction se concré- Les responsables opérationnels, qui en fonction de la cartographie des
tise par tout un ensemble d’actions et de sont les responsables hiérarchiques risques.
communications pour créer le « tone at de ces « propriétaires de contrôle »,
the top », et, en matière d’organisation, doivent garantir la bonne mise en Le service ERM établit chaque année
par la constitution d’un Comité des œuvre des processus, incluant les dis- une cartographie des risques, c’est à dire
risques. Ce comité réunit trois fois par positions de contrôle ou de maîtrise une liste des principaux risques avec leur
an les plus hauts responsables du des risques prévues. évaluation (impact et occurrence). Cette
groupe dans les domaines des opéra- liste est étudiée par le comité des
tions, de la finance, du juridique, de l’in- Deux directions spécialisées risques, qui en tire une liste de risques
formatique, et naturellement le directeur dans la gestion des risques majeurs à suivre au niveau du groupe.
des risques et le directeur de l’audit Deux directions spécifiques ont pour Le comité des risques nomme ensuite
interne. mission de faire vivre et évoluer le dis- les « risk sponsors » sur les risques
positif de maîtrise des risques : une majeurs. Ces « risks sponsors » doivent
Une déclinaison par processus direction des risques et une direction de définir des plans d’action pour le traite-
Un élément clé de la gouvernance l’audit interne. Elles doivent assurer un ment des risques majeurs ; les points
interne a été la déclinaison de la « bouclage » du dispositif qui permette d’avancement de ces plans d’action sont
démarche de contrôle interne par pro- une amélioration continue et son adap- envoyés au comité des risques.
cessus, à 4 niveaux dans l’organisation : tation aux évolutions des enjeux de l’en-
1. Au plus haut niveau, des « pilotes de treprise. Le service « contrôle interne » de la
processus » ont été désignés pour direction des risques fournit un appui
chaque grande direction fonction- La direction des risques : aux CPM dans la conception de leur
nelle. Les directeurs de fonctions cartographie et gestion des modèle de contrôle. Il s’assure notam-
sont ainsi des « Corporate Process risques ment que les dispositifs de contrôle défi-
Owners » – CPO, avec un ensemble La particularité de la direction des nis permettent bien de répondre aux
de processus dont ils ont la charge. risques de Rhodia est qu’elle rassemble, risques identifiés par le comité des
2. Dans la plupart des cas, la définition au sein d’une même direction : risques.
des dispositifs de contrôle à mettre • une activité « assurances », chargée de
en œuvre sur un processus est assu- définir les risques assurables, de
rée en pratique par un collaborateur négocier les contrats d’assurance et de
direct du CPO, désigné « Corporate les suivre ;
Process Manager » – CPM. En tant • une activité « Enterprise Risk Manage- Rhodia en un clin d'œil
qu’expert de son processus et en ment », chargé de réaliser la cartogra- Activité : chimie de spécialités
connaissant très en amont les évolu- phie des risques majeurs et de faire Parmi les 3 leaders mondiaux dans
tions, le CPM peut identifier les définir les actions de traitement de nombreuses activités (tensio-
risques et définir les contrôles appro- nécessaires ; actifs, silices, terres rares, poly-
amides)
issu du « spin-off » de la branche chi-
priés pour son domaine. • une activité « contrôle interne »,
3. Pour favoriser une application effec- chargé de faire définir les dispositifs
mie de Rhône-Poulenc en 1998
chiffre d’affaires 2010 : 5,2 milliards
tive dans les unités de l’entreprise les de contrôle interne processus par pro-
CPM peuvent faire percoler leur cessus. d’euros
message vers des « local process 14 000 collaborateurs
owners », situés au plus près des opé- Le fait de regrouper ces trois activités au 65 sites industriels dans le monde
rations. sein d’une même direction permet d’as-
La direction de l’audit interne : Pour obtenir une couverture la plus large Ainsi, la direction industrielle joue un
évaluation des risques et des possible de l’ensemble des risques et rôle d’audit dans le domaine des risques
contrôles processus significatifs, l’audit interne liés à la sécurité, l’hygiène et l’envi-
La mission de la direction de l’audit utilise différents types d’outils. Les mis- ronnement. Ces audits se fondent sur
interne est de fournir une évaluation sions d’audit constituent la base de son des standards développés en interne et
indépendante sur la maîtrise des risques activité, mais, par la responsabilité d’un visant le meilleur niveau de gestion de
et sur la solidité du dispositif de contrôle processus mondial d’évaluation ce type de risque.
interne. De manière plus précise, la annuelle du contrôle interne, d’autres
direction de l’audit répond aux ques- éléments sont à sa disposition : ques- Au sein de la direction informatique,
tions suivantes : tionnaires remplis par les dirigeants des une équipe de « Governance, Risk, Com-
• A-t-on mis en place les actions de entités légales ou des business units, pliance » (IT GRC) est chargée d’un pilo-
traitement des risques (ou les activités auto-évaluations ou tests de contrôles- tage des risques liés aux processus infor-
de contrôle si l’on se situe dans le clés, documentation de l’environnement matiques, en coordination étroite avec
cadre d’un processus) adéquates ? de contrôle. l’audit interne.
• Ces actions de traitement des risques L’audit peut alors jouer son rôle clas-
majeurs ont-elles les effets attendus ? sique de fonction d’assurance vis-à-vis La direction juridique a également un
• Les dispositifs de contrôle définis pro- de la direction et du comité d’audit, mais impact primordial en ce qui concerne la
cessus par processus fonctionnent-ils il peut également faire une restitution « compliance », notamment en étant le
comme prévu ? aux business et aux CPM d’informations propriétaire et promoteur d’une « poli-
pertinentes qui aident ces derniers à tique de comportement », aspect essen-
La direction de l’audit formule des améliorer la maîtrise de leurs risques, et tiel dans l’établissement d’un environ-
recommandations et suit leur mise en à adapter les activités de contrôle. nement de contrôle favorable.
œuvre.
La direction de l’audit interne est divisée Des directions responsables Une nouvelle histoire s’ouvre pour
en deux services : de la maîtrise de risques Rhodia avec l’intégration au sein de Sol-
1. Un service d’audit interne « clas- spécifiques vay, mais le « nouveau » groupe a
sique », réalisant des missions d’audit Plusieurs fonctions jouent par ailleurs affirmé sa volonté de s’appuyer sur son
de filiales, de fonctions support, de un rôle important dans la maîtrise des dispositif de gestion des risques et de
processus. risques, même si leur désignation ou contrôle interne dans un objectif d’amé-
2. Un service d’évaluation du contrôle titre ne comporte pas nécessairement le lioration continue.
interne, chargé de s’assurer que les mot « risque », « contrôle interne » ou
dispositifs de contrôle interne définis « audit ».
par les CPM sont bien mis en œuvre.
Pour cette évaluation, le service s’ap- Audit interne et risques spécifiques
puie sur un réseau de correspon- Pour le domaine informatique, une partie des risques et des processus est très tech-
dants, situés dans les différentes niques, et l’appel à des personnels experts est incontournable. Les équipes d’audit
zones. Ces correspondants ont sou- interne se font donc souvent accompagner par un membre de l’équipe IT GRC.
L’équipe IT GRC effectue par ailleurs des interventions dans des environnements
vent une autre fonction dans l’entre-
purement informatiques, par exemple en garantissant les bonnes pratiques des
prise, et ne sont pas rattachés hiérar- « data centers » ou en vérifiant la solidité des protections des grandes infrastruc-
chiquement à la direction de l’audit tures réseaux.
(sauf en Europe). Le même type de synergie est recherché avec l’équipe HSE, relevant de la direction
industrielle, qui organise des audits des sites industriels selon un référentiel très
développé.
Le fait de placer l’audit interne et l’éva- Un autre exemple est le développement durable, qui fait l’objet d’un système
luation du contrôle interne dans la d’auto-évaluation étendu chez Rhodia, et dont l’audit vérifie la bonne prise en
même direction permet de coordonner compte par les entités du groupe.
L’ensemble des résultats est rassemblé dans les rapports d’audit interne, fournissant
efficacement leur action et d’optimiser
aux lecteurs des rapports une appréciation la plus complète possible.
les ressources disponibles.
L
’objectif de cet article est d'étu- réseaux, ou des centrales électriques,
dier la place de la direction de sont de plus en plus pointus. Les
l'audit Interne de GDF SUEZ au cadres réglementaires sont de plus en
sein du dispositif global de gouvernance plus stricts, les outils informatiques
et de gestion des risques de l’entreprise. de plus en plus puissants, ce qui aug-
Le positionnement de l'audit interne de mente aussi leur complexité ; les
GDF SUEZ prend en compte quatre normes comptables sont de plus en
challenges : plus techniques... L'audit interne doit
1. Le groupe exerce des activités donc développer les expertises
industrielles diversifiées, de l'ex- répondant à cette technicité crois-
ploitation de centrales nucléaires à la sante.
gestion de réseaux de distribution 4. Enfin, l'audit interne doit coordon-
Xavier Bedoret d'eau, en passant par l'exploration ner son action avec celle des autres
Directeur de l’audit interne Groupe, gazière, la gestion de réseaux de acteurs de la gouvernance, principa-
GDF SUEZ transports de gaz, le négoce d'hydro- lement les équipes de gestion des
carbures, la gestion des déchets risques et de promotion du contrôle
Le groupe a défini l’organisation de industriels et ménagers, etc. Les pre- interne. L’audit interne est fédéra-
l’audit interne en fonction de données miers défis à relever par l'audit teur de diverses démarches de
essentielles : l’exercice d’activités indus- interne sont ceux de la connaissance contrôle des processus et de maîtrise
trielles diversifiées dans plusieurs et de la compétence. des risques.
dizaines de pays ; la technicité crois- 2. GDF SUEZ est un groupe interna-
sante des processus ; la coordination tional, qui exerce ses activités dans Une organisation
de l’audit interne avec la gestion des plusieurs dizaines de pays. Le décentralisée pour mieux
risques et le contrôle interne. deuxième défi pour l'audit interne est couvrir le monde
L’organisation, décentralisée pour de pouvoir intervenir partout dans le
mieux couvrir l’international, garantit monde, dans des contextes indus- L'organisation de l'audit interne a été
l’indépendance de l’audit interne qui, triels et commerciaux spécifiques définie pour répondre à ces enjeux. La
comme il se doit, évalue les dispositifs ainsi que dans des cadres culturels et direction de l'audit comprend plusieurs
de gestion des risques et de contrôle réglementaires particuliers. Il doit équipes : la direction de l’audit du siège
permanent. Il reste néanmoins très donc être agile. ainsi qu’un service d’audit au sein de
proche des managers et fait preuve 3. La troisième contrainte concerne la chacune des 6 grandes branches du
d’une grande disponibilité à l’égard des technicité croissante des proces- groupe. De plus, certaines filiales sont
directions et des différents organes de sus : les processus techniques, par dotées de leur propre service d’audit
contrôle. exemple ceux liés à l'exploitation des pour des raisons réglementaires (socié-
tés cotées sur une bourse locale, législa- présence et de disponibilité auprès d’un • elles animent des réunions théma-
tion spécifique) ou contractuelles (par- grand nombre de clients au sein du tiques et organisent des sessions de
tenariats, contrats de concession). groupe. formation visant à faire monter en
compétence l’ensemble des auditeurs.
Les auditeurs internes de GDF SUEZ La mise en œuvre de filières
représentent une vingtaine de nationa- d’expertise pour plus de Les filières d’expertise de l’audit interne
lités réparties dans une trentaine de ser- pertinence deviennent de véritables interlocuteurs
vices différents. Cette vaste commu- des directions fonctionnelles : la compé-
nauté, riche en diversité et en compé- Afin d’être plus pertinent dans quelques tence professionnelle des auditeurs
tences, fonctionne selon un système de domaines techniques, l’audit interne de combinée à leur expérience « de ter-
double rattachement : le rattachement GDF SUEZ a décidé de créer six filières rain » en font des partenaires reconnus
au directeur de l’audit interne groupe d’expertise : des diverses directions fonctionnelles.
pour assurer l’indépendance de la fonc- 1. gouvernance ; Les rapports de mission d’audit, prag-
tion et la fluidité de la communication 2. comptabilité & finance ; matiques et synthétiques, constituent
des informations (mode de fonctionne- 3. santé, sécurité & gestion environne- une matière utile à la réflexion et l’amé-
ment qualifié de « régalien ») ; le ratta- mentale ; lioration des processus d’entreprise.
chement à la direction de la branche ou 4. trading de commodities ;
de la sous-filiale pour assurer la proxi- 5. systèmes d’information ; Le détachement
mité géographique, la disponibilité 6. fraudes & investigations. d’opérationnels pour plus
managériale et la connaissance des d’impact
métiers du groupe. Chaque filière regroupe une douzaine
d’auditeurs en provenance de différents Les six filières d’expertise ne couvrent
Un audit indépendant mais services d’audit. Un pilote est désigné pas l’ensemble des processus et des
proche des managers pour animer le réseau d’auditeurs. Les thèmes que l’audit doit traiter. C’est
filières d’expertise jouent plusieurs pourquoi, les équipes d’audit de GDF
L'audit interne est une activité indépen- rôles : SUEZ font fréquemment appel aux
dante au sein du groupe. La direction de • elles conduisent des missions d’audit « business experts ». Les business experts
l'audit interne groupe rapporte au pré- transversales (i.e. concernant plu- sont des managers de terrain, des spé-
sident-directeur général et au Comité sieurs branches du groupe) sur leur cialistes reconnus dans leur domaine et
exécutif ainsi qu’au Comité d’audit. thème d’expertise. Ainsi, par exemple, disposés à mettre leur expertise pendant
Chaque trimestre, le directeur de l'audit la filière « systèmes d’information » quelques semaines par an au profit du
interne présente un rapport d’activité mène des missions transversales sur groupe. Ils sont détachés de leurs activi-
succinct couvrant les travaux conduits la gouvernance informatique et la tés pour la durée d’une mission.
par l’ensemble de la communauté des sécurité d’accès aux systèmes ; la
auditeurs internes, les points d’attention filière « santé, sécurité & gestion envi-
et les actions d’amélioration menées par ronnementale » conduit des missions
le management. Le plan d’audit annuel thématiques sur les sujets de sécurité
est analysé et validé par le Comité exé- technique et de reporting environne- GDF SUEZ en un clin d'œil
cutif et le Comité d’audit du groupe. mental, etc. ; 220 000 collaborateurs
• les filières identifient les référentiels Chiffre d’affaires supérieur à 85
Cette organisation à double rattache- d’audit (normes techniques, stan- milliards €
ment permet de garantir l’indépendance dards ISO, directives européennes, Plus de 150 auditeurs internes :
de l’audit interne, tout en maintenant la etc.) ; - de 24 nationalités
- répartis en 41 équipes
proximité avec les décideurs au niveau • elles entretiennent une relation per-
- ayant réalisé plus de 400
des branches et des principales filiales. manente avec les directions fonction-
missions en 2011
L’auditeur présente ainsi les qualités de nelles concernées ;
Vérification de la bonne mise en œuvre des contrôles définis par le contrôle interne.
Elaboration d’un programme d’audit fondé sur les risques majeurs.
Audit Observations complétant les risques identifiés et leur évaluation.
interne Recommandations en vue d’une meilleure maîtrise des risques.
Schéma 1
L’intérêt est triple : l’audité bénéficie de étage de la tour GDF SUEZ à La • la cartographie des processus du
l’intervention d’un expert technique Défense. Cette proximité physique per- groupe est définie par la direction du
interne qui comprend les enjeux et la met une coordination efficace des pro- contrôle interne et adoptée par l’audit
culture de l’entreprise ; le business expert grammes et des actions menées par ces et l’ERM ;
découvre une entité du groupe auprès trois fonctions (Cf. schéma 1). • les dispositifs de contrôle interne défi-
de laquelle il peut comparer ses pra- L’action de l’audit interne est étroite- nis par la direction du contrôle interne
tiques et créer une relation profession- ment liée à celle de la direction des sont testés par l’audit interne ; c’est
nelle enrichissante ; l’auditeur présente risques (ERM) et du contrôle interne : l’audit interne qui évalue l’efficacité et
une équipe avec fort impact combinant • le programme d’audit est bâti de la bonne mise en œuvre des contrôles
la rigueur méthodologique et la compé- façon à couvrir les risques majeurs internes.
tence technique. Pour éviter tout conflit identifiés dans la cartographie des
d’intérêt, les business experts sont sys- risques (faite par l’ERM) ;
tématiquement affectés à des missions
d’audit en dehors du périmètre des acti-
Les autres acteurs du contrôle et de la gestion des risques
vités dans lesquelles ils sont générale-
ment actifs. Dans certains domaines, il existe des services de contrôle, d’inspection et d’au-
dit, même s’ils n’en portent pas toujours le nom. C’est notamment le cas des
activités d’exploration, de production, de gestion environnementale, de ser-
La proximité avec les autres
vices commerciaux et financiers, etc.
fonctions de gestion des
Dans ces domaines, les autorités nationales, européennes ou sectorielles ont
risques défini des standards de sécurité, de contrôle ou de qualité ainsi que les organes
chargés de la vérification périodique du respect de ces normes. Ces dispositions
La direction de l’audit interne, celle du s’imposent aux auditeurs internes de GDF SUEZ et les interventions d’audit doi-
contrôle interne et celle du management vent, dès lors, être coordonnées avec ces organes.
des risques (l’« ERM») sont très proches L’audit interne intervient, dans ce cas, comme véritable troisième ligne de
l’une de l’autre et se réunissent tous les défense, en évaluant les dispositifs de gestion des risques et de contrôle perma-
quinze jours. Elles sont situées au même nent mis en place par le management.
commune respectueuse des pratiques Elle vise l’ensemble des activités exer-
La démarche de maîtrise des risques à
déjà existantes au sein des deux cées y compris les missions dites sup-
la DGFiP doit permettre aux acteurs du
anciennes directions. port (ressources humaines, informatique
réseau de mettre en œuvre des outils et
…).
un savoir-faire sécurisant l’exercice des
La démarche de maîtrise des risques,
métiers par la maîtrise des processus
pour le moment centrée essentiellement Il s’agit d’un dispositif permanent dont
de travail et des risques principaux qui
sur les activités des directions départe- tous les agents de la DGFiP ont vocation
y sont associés.
mentales et régionales des finances à être les acteurs, chacun au regard des
Les outils de la maîtrise des risques
publiques, est de permettre aux acteurs tâches et des responsabilités qui lui sont
sont, d’une part les outils support : car-
du réseau de mettre en œuvre des outils confiées : les équipes de direction, char-
tographie des processus et cartogra-
et un savoir-faire sécurisant l’exercice gées du pilotage du réseau qui doivent
phie des risques opérationnels ; d’autre
des métiers par la maîtrise des processus répondre des résultats du département,
part, les outils opérationnels : organi-
de travail et des risques principaux qui y les responsables d’unité en tant que res-
grammes fonctionnels, guides de pro-
sont associés. En cela, elle s’inscrit plei- ponsables du bon fonctionnement de
cédures, référentiels de contrôle
nement dans le cadre des engagements leur service et les agents en tant qu’opé-
interne.
de professionnalisme et d’exemplarité rationnels de la mise en œuvre des pro-
La maîtrise des risques suppose, préa-
dans l’exercice des missions de service cessus de travail.
lablement à sa mise en œuvre, un
public de la DGFiP.
important effort de communication
Le dispositif s’appuie sur les acquis des
afin d’en expliquer les objectifs et les
La démarche de maîtrise des deux ex réseaux pour structurer, homo-
modalités.
risques à la DGFiP généiser et professionnaliser la
démarche à l’ensemble des activités et
Présentation générale de la démarche risques opérationnels de la DGFiP.
A
dministration de réseau définie comme la mise en place d’un répondent tout d’abord à deux risques
employant 120 000 personnes, dispositif administratif s’assurant que qui peuvent être qualifiés de génériques,
la Direction Générale des dans chaque entité de travail, il existe puisqu’ils sont communs à toutes les
Finances Publiques (DGFiP) est née, en une description précise de l’organisation activités : l’organisation insuffisante et
2008, de la fusion de la Direction Géné- des processus de travail et des types de non sécurisée des travaux et des services
rale de la Comptabilité Publique et de la contrôle permettant, si les prescriptions et la qualité insuffisante du contenu, de
Direction Générale des Impôts. Dès sont respectées, d’assurer la couverture la diffusion et de l’accès à la documen-
2009, le directeur général a décidé de des risques et de donner une assurance tation.
mettre en place un dispositif de maîtrise raisonnable de la maîtrise du fonction- Parallèlement à la couverture de ces
des risques qui participe d’une culture nement des services et des activités. risques génériques, il convient d’identi-
fier et de couvrir les risques spécifiques dans la mise en œuvre du dispositif et très précis des activités exercées au
associés aux processus de travail. Il s’agit relève des différents pôles métier, qui sein des différents services de la DGFiP
de l’ensemble des dysfonctionnements, sont notamment responsables du (services des directions départemen-
erreurs, anomalies ou fautes qui peuvent contenu des outils de la maîtrise des tales, services des impôts des particu-
altérer le bon exercice des missions et la risques. liers, services des impôts des entreprises,
bonne organisation des services. La réa- Le fait pour la MNMR de pouvoir s’ap- conservation des hypothèques, trésore-
lisation de ces risques peut se traduire puyer sur le réseau des responsables ries …).
par des impacts de diverse nature : départementaux de maîtrise des risques
financiers, d’image, qualité de service, et pour les N°1 départementaux d’avoir L’approche processus adoptée se fonde
qualité comptable, qualité des condi- à leur disposition une « tour de sur une identification méthodique des
tions de vie au travail … contrôle » du dispositif de maîtrise des activités telles qu’elles doivent être réa-
risques constitue un des points forts de lisées. Elle identifie en particulier :
La maîtrise des risques ne se réduit donc l’organisation mise en place à la DRFIP. • leur nature (activité de pilotage, sup-
pas à une activité de contrôle, mais Elle a permis de diffuser de façon pro- port ou opérationnelle) ;
constitue un dispositif permanent inté- gressive une culture commune de la • leur contenu (descriptif détaillé des
gré aux processus de travail et d’organi- maîtrise des risques, respectueuse des activités) ;
sation qui doit faciliter et sécuriser acquis des deux anciens réseaux, en • les interactions et articulations entre
l’exercice des missions. même temps que des outils d’aide à la chacun d’eux mais aussi à l’intérieur
maîtrise de l’activité. d’un processus.
Les acteurs de la démarche
L’audit, défini comme une activité per- La cartographie des processus de la
Le dispositif de gouvernance arrêté par mettant de s’assurer que le fonctionne- DGFiP a adopté un maillage en 5
la DGFiP prévoit que la politique natio- ment d’une organisation est conforme niveaux :
nale de maîtrise des risques est définie aux prescriptions et réglementations, • les cycles d’activité, au nombre de 18,
par le directeur général, assisté du s’appuie sur une organisation compara- qui identifient les grandes missions
comité national de maîtrise des risques ble à celle de la maîtrise des risques confiées à la DGFiP ;
(CNMR) composé de membres du (mission nationale rattachée au direc- • les processus, au nombre de 300,
Comité de direction. teur général et missions départemen- constituent la déclinaison opération-
La mission nationale de maîtrise des tales) mais indépendante. nelle de ces missions. Ils constituent
risques (MNMR), directement rattachée L’audit permet de s’assurer de la mise en un ensemble de travaux liés relevant
au directeur général, est chargée de met- œuvre effective des outils de la maîtrise d’une même activité, généralement
tre en œuvre cette politique. des risques. caractérisés par des normes juridiques
Ainsi les deux démarches, complémen- spécifiques en vue de la production
Ce schéma est reproduit au niveau des taires, sont clairement distinguées tant d’un résultat. Le processus recouvre
départements : le directeur assisté du au plan organisationnel que fonctionnel. une dimension transversale et peut
comité départemental de maîtrise des faire intervenir plusieurs services col-
risques, s’appuie sur le responsable de la Les outils de la maîtrise des laborant successivement ;
mission maîtrise des risques qui est le risques de la DGFiP • les procédures, au nombre de 1 100,
garant de la mise en œuvre du dispositif constituent les enchaînements, selon
au plan local et apporte le soutien Les outils support de la maîtrise des des normes prédéfinies d’un proces-
nécessaire aux services. risques à la DGFiP sus ;
La création de structures dédiées au • les tâches s’intègrent dans une procé-
niveau national et local n’entraîne La cartographie des processus de la dure. Chaque tâche est composée
cependant pas le transfert de la pro- DGFiP d’un ensemble d’opérations indivisi-
priété des risques au profit de ces struc- La première pierre de l’édifice est bles, fréquemment exécutées par un
tures ; la responsabilité opérationnelle constituée par un recensement exhaustif même opérationnel ;
• les opérations, au nombre de 11 000, compte notamment des éléments Les organigrammes fonctionnels
sont les composantes d’une tâche. Ce d‘information suivants : Afin de maîtriser le risque lié à l’organi-
sont des actions élémentaires qui ne • création de nouvelles procédures ; sation, il convient en pratique de pou-
peuvent être séparées dans le temps. • modifications substantielles de procé- voir répondre aux deux questions sui-
dures susceptibles d’avoir un impact vantes :
La cartographie des processus sert de sur leur niveau de classification ; • Quelles tâches doivent être réalisées
socle aux autres outils de la maîtrise des • résultats des contrôles internes réali- au sein d’un service donné ?
risques. sés par les chefs de service ; • Quel(s) opérationnel(s) au sein du
• dispositif de veille associant les res- service est (sont) chargé(s) de leur
La cartographie des risques opéra- ponsables des missions départemen- accomplissement ?
tionnels tales de maîtrise des risques ;
La cartographie des risques opération- • constats opérés par l’audit interne Les organigrammes fonctionnels (OF)
nels de la DGFiP prend la forme d’une dans le cadre de ses travaux ; ont pour objet de décrire le rôle et les
classification des procédures en quatre • observations des corps de contrôle attributions des agents au sein d’un ser-
niveaux de sensibilité (faible, moyen, externes. vice (cela par tâche décrite de façon syn-
élevé, très élevé). thétique), d’indiquer la documentation
Cette revue annuelle permet de faire disponible, de faire état des contrôles à
Cette classification, opérée dans un pre- vivre le dispositif de maîtrise des risques effectuer tels qu’ils sont décrits par ail-
mier temps à dire d’experts, fait l’objet et de s’assurer de son adéquation aux leurs dans les référentiels de contrôle
d’une actualisation annuelle tenant évolutions de la DGFiP. interne.
fondie d’une activité et sa décomposi- Les référentiels de contrôle interne grammes fonctionnels, des guides de
tion en tâches opérationnelles. Les référentiels de contrôle interne procédure et des référentiels de contrôle
identifient les principaux risques pou- interne va être prochainement déployé ;
Ces guides se présentent sous forme de vant affecter le bon déroulement des par ailleurs, un outil informatique dédié
fiches de procédure détaillant les opéra- processus à n’importe quelle étape de au reporting et à l’analyse des résultats
tions et les points de vigilance sur les leur exécution. Plus particulièrement du contrôle interne est en cours de réa-
plans fonctionnel et informatique et destinés à l’encadrement intermédiaire, lisation.
récapitulent la documentation déjà dis- ils présentent pour les risques ainsi
ponible (notes, instructions et guides identifiés les mesures de contrôle Démarche récente dans la sphère admi-
utilisateurs divers …). interne les plus adaptées pour sécuriser nistrative, la maîtrise des risques sup-
le fonctionnement des services. pose préalablement à sa mise en œuvre
Les guides de procédure permettent un important effort de communication
ainsi aux agents de maîtriser le déroule- A chaque référentiel de contrôle interne afin d’en expliquer les objectifs et les
ment des opérations qu’ils ont à mettre est associée une grille de diagnostic qui modalités.
en œuvre de façon très concrète et pré- permet au chef de service, dans le cadre
cise. du contrôle interne de supervision a Au service de tous les membres de l’or-
posteriori, de formaliser l’analyse de la ganisation, c’est avant tout une
Ils constituent également le mode opé- mise en œuvre des mesures de couver- démarche pragmatique fondée sur la
ratoire de référence permettant d’homo- ture des risques prévues dans le RCI. volonté de faciliter le travail des
généiser les procédures, de diffuser les Un outil informatique, support de la car- agents.
bonnes pratiques. tographie des processus, des organi-
Diplôme Professionnel
de l’Audit Interne
FORMATION
INFORMATIONS PRATIQUES
Notre offre de formations vous permet de :
A qui s’adresse-t-il ? développer vos compétences en suivant les formations sur les
« Fondamentaux de l’audit interne ».
se mettre dans les conditions de l’examen en suivant la
A tous les auditeurs internes souhaitant
valoriser leur expérience en audit
interne. formation de préparation au DPAI.
Durée
L’examen du DPAI se déroule sur une POUR EN SAVOIR PLUS ...
journée. Site Internet (www.ifaci.com)
Tarif consulter le programme détaillé de l’examen ;
télécharger le modèle d’examen et les annales.
60 € HT (droits d’inscription)
De nouvelles ambitions
pour l’IFACI
Entretien avec Philippe Mocquard - Délégué général, IFACI
Revue « Audit & Contrôle internes » : interne opérant sous la supervision d'un tion (veille réglementaire, actualités de
Philippe Mocquard, vous avez pris depuis comité d'audit. la profession), de documentation
janvier 2011 la direction opérationnelle de Ces trois leviers restent des facteurs de (guides et manuels pratiques) et
l’IFACI qui, en quelques années, est devenu développement essentiels de l'associa- d'échanges visant à faciliter la création
l’organisme de référence dans les domaines tion pour les prochaines années. de réseaux et à faire croître la commu-
de la formation en contrôle et audit Dans ce contexte porteur, le rôle de nauté des auditeurs et des contrôleurs
internes, ainsi qu’en matière d’évaluation notre institut est d'anticiper et d'accom- internes (réunions, colloques...).
des services d’audit interne. Et vous-même, pagner le développement de nos Notre premier axe de travail consiste à
à la tête de la formation, vous y avez gran- métiers. Il le fait en investissant dans la améliorer la connaissance et l'accès à la
dement contribué. A présent, en tant que recherche, pour en approfondir et en documentation existante. En effet, les
délégué général, quelles sont vos nouvelles développer les pratiques, et pour en adhérents ne sont pas toujours bien
ambitions pour l’Institut ? identifier les orientations futures. informés de l'existence de documents
Accompagner les auditeurs et les susceptibles de les aider très concrète-
Philippe Mocquard : L'IFACI s'est contrôleurs internes, c'est également ment. Nous avons avancé dans ce
effectivement développé de façon très développer les services que l'Institut domaine avec notamment la mise en
importante au cours de la dernière fournit à ses adhérents : services d'infor- ligne d'un nouveau site internet, ou
décennie, à l'instar des grands instituts mation, de documentation, de forma- encore avec la capacité de converser
de l'IIA. Cette croissance est le reflet de tion professionnelle, d'évaluation indi- directement et régulièrement avec les
la montée en puissance de la profession, viduelle ou collective. De nombreux adhérents par e-mail. Beaucoup reste à
portée par l'augmentation de la taille projets sont actuellement en cours, sous faire cependant.
des entreprises et l'évolution concomi- l'impulsion du conseil d'administration,
tante de la régulation et de la réglemen- pour accroître la valeur ajoutée des ser-
tation. vices de l'IFACI. Philippe Mocquard est ingénieur
Par ailleurs, l'audit interne est un métier Enfin, ces développements se réalisent et certifié DPAI et CIA. Contrôleur
de passage, notamment en Europe, ce dans un contexte d'intégration crois- de gestion pour Rhône-Poulenc, en
qui implique un investissement impor- sante de l'activité des instituts du réseau Grande-Bretagne, aux Etats-Unis
tant dans la formation des auditeurs. de l'IIA. puis au siège, il intègre l'audit
L'IFACI a répondu à cette demande en interne central en 1997. Au sein
développant une offre de formation pro- A&CI : Nos adhérents attendent beaucoup d'Aventis, en 2000, il suit les projets
fessionnelle forte de 45 séminaires à ce de l’IFACI. Ils souhaitent toujours plus d’in- liés à la fusion des groupes Rhône-
jour, s'adressant à l'ensemble des popu- formations, de benchmark, de services gra- Poulenc et Hoechst. Il rejoint l'IFACI
lations de l'audit et du contrôle internes. tuits ou payants. Quels sont vos projets en 2004 où il devient directeur de la
Enfin, nos métiers se sont diffusés dans dans ce domaine ? Formation avant de prendre, en
tous les secteurs d'activité et dans les 2009, la responsabilité des projets
organisations de toutes tailles. Au Ph. M. : Les auditeurs et les contrôleurs stratégiques de l'Institut en tant
niveau de l'administration centrale de internes attendent en premier lieu de qu'adjoint au délégué général. Il
l'État, par exemple, et ce depuis le décret leur association qu'elle les aide à être est nommé, en janvier 2011, secré-
de 2011, chaque ministère organise et plus efficaces dans leurs travaux quoti- taire général de l’Institut avant d’en
formalise son contrôle interne puis diens. Pour ce faire, notre association devenir le délégué général en jan-
l'évalue périodiquement par un audit développe différents services d'informa- vier 2012
Evénements
conformité avec les stan- management sur les travaux Caisse d’Epargne Ile-de-
dards professionnels, etc. des auditeurs ; elle traduit France
un lien hiérarchique.
Il existe des spécialisations L’effectif de la direction de
La supervision des fonctionnelles et techniques Pourquoi superviser ? Pour l’audit est de 34 personnes
missions d’audit : par directeur de mission : assurer la qualité des pro- dont un directeur, deux
organisation et méthodologie, finance, duits finis et faire bénéficier superviseurs, cinq chefs de
responsabilités risques, planning… les opérationnels de l’avis missions, treize auditeurs
d’un expert ayant suffisam- experts et onze auditeurs,
Réunion mensuelle En matière de supervision, ment de recul pour ne pas chacun œuvrant dans un
du 20 janvier 2012 les responsabilités clés du être absorbé par la dyna- périmètre bien défini.
directeur de mission sont mique du groupe.
Groupe Lafarge de réaliser l’analyse des Les spécificités de supervi-
risques, de préparer la lettre Comment superviser ? En sion sont liées à différents
L’équipe d’audit (40 per- de mission, de valider les fixant des étapes et des facteurs. Au premier chef à
sonnes) est fortement programmes de travail, de niveaux. Tout d’abord, s’as- l’activité bancaire fortement
structurée, comprenant : un superviser à distance surer de la pertinence des réglementée (CRBF 97-02).
senior vice president qui rap- (points formels), de rédiger risques identifiés, du péri- Ensuite au nombre impor-
porte au CEO ; six direc- le rapport et l’executive sum- mètre de l’audit proposé et tant d’unités auditables. A
teurs de mission ; huit mary letter, de suivre l’avan- du timing envisagé. Valider une typologie de missions
managers ; vingt-deux cée des plans d’action. Les la bonne tenue de la réu- très diversifiée (audits d’en-
auditeurs seniors. responsabilités clés du nion d’ouverture et la qua- tités, de processus, de por-
manager, sont de superviser lité des informations four- tefeuilles, thématiques, de
Une supervision collégiale la préparation des pro- nies à l’audité. S’assurer prestations externalisées,
est exercée par le Comité grammes de travail, d’orga- que les travaux envisagés etc.). Aux spécialisations
des directeurs de l’audit niser les aspects logistiques sont pertinents au regard par banque, par domaine
composé du senior vice pre- de la mission, de proposer des objectifs. En cours de de compétence…
sident et de six directeurs de une répartition des travaux, mission, débriefer au fur et
mission. Elle porte sur la d’encadrer l’équipe sur le à mesure les problèmes Il existe des écueils à éviter
préparation du plan d’au- terrain, de revoir les papiers rencontrés, et valider avant dans l’organisation de la
dit ; la préparation des de travail, d’organiser la communication aux audi- supervision. Ainsi des
reportings au Comité rédaction du rapport de tés. Avant la communica- objectifs insuffisamment
d’audit ; la définition des mission, etc. tion finale qui doit être détaillés et formalisés pour
plannings et des affecta- claire et concise, faire une les différents clients de la
tions de missions ; le suivi Alcatel-Lucent revue intégrale des docu- mission. Une analyse des
de l’activité et de la perfor- ments pour s’assurer que risques validée trop tardive-
mance du département ; le La supervision consiste en les points relevés sont justi- ment. Des arbitrages tardifs
suivi de la qualité et de la une revue effectuée par le fiés. des moyens. Une mauvaise
répartition des rôles créant œuvre du contrôle interne » communication doit être évaluations et des plans
des redondances et des a fait l’objet d’une révision, permanente, les responsa- d’actions : dispositifs de
allers et retours multiples. en raison de la mise à jour bilités fixées et connues. La gestion des risques clés du
Des dérapages sur les du référentiel AMF en juil- formation continue est groupe et contrôle interne
délais : ils pénalisent l’orga- let 2010, du rôle renforcé du indispensable. Les clés de la financier. D’autre part des
nisation des missions et comité d’audit, d’une prise réussite sont l’implication principaux leviers : une car-
leur enchaînement dans la de recul sur les projets de l’équipe dirigeante, la tographie des risques
réalisation du plan. visant la mise en place, la sensibilisation du manage- groupe (évaluation en cen-
structuration ou l’optimisa- ment, l’adhésion de l’en- tral et dans chaque entité) ;
Mais il existe heureusement tion du dispositif de semble du personnel, un un questionnaire de
des facteurs clés de succès contrôle interne, tout cela objectif d’efficacité voire contrôle interne financier ;
pour une supervision effi- avec pour objectif la mise à d’efficience, une démarche un formulaire de reporting
cace. En numéro un la com- disposition d’un outil sim- d’amélioration continue. annuel. Les pistes d’amé-
pétence (ce qui ne va pas ple et pratique, s’appuyant lioration concernent les
toujours de soi). La formali- sur des exemples concrets. L’Agefiph a mis en place outils de suivi d’incident ;
sation des constats et un dispositif de gestion des l’optimisation du dispositif
recommandations. L’impor- Les éléments constitutifs du risques dans un contexte pour limiter les redon-
tance de la réunion de fin dispositif de gestion des particulier caractérisé par dances et fluidifier les
de mission : le chef de mis- risques sont le cadre orga- une absence d’obligations échanges entre acteurs :
sion doit s’impliquer dans nisationnel, l’identification réglementaires. Une audit interne, qualité,
la présentation des conclu- et le recensement des démarche proactive pour contrôle interne, gestion
sions. La capacité de répon- risques, l’analyse et le trai- anticiper les exigences des des risques, etc. ; la gestion
dre aux attentes, formulées tement des risques, le pilo- instances de contrôle de crise.
ou non, des destinataires tage en continu du disposi- externe, et le contexte de
du rapport, etc. tif de gestion des risques. crise, aboutissent à la mise Allianz France considère
La valeur ajoutée du super- Les difficultés liées à la en place d’une cartographie que Solvency 2, en dépit des
viseur est fonction de sa mise en pratique tiennent des risques et d’un comité contraintes, est une réelle
capacité de prise de recul et aux différents acteurs et aux d’audit. Aujourd’hui, le opportunité pour améliorer
de sa capacité à formuler points de connexion entre besoin de renforcement de le contrôle interne. A com-
une problématique argu- eux : confusion des rôles et la maîtrise passe par une mencer par la mise en
mentée. des responsabilités ; procé- approche par processus, par œuvre d’une cartographie,
dures en décalage avec la une formalisation du dispo- vraie approche globale inté-
culture de l’organisation ; sitif de contrôle interne, par grée. Le contrôle des
Mettre en œuvre et gestion des informations une introduction de réfé- risques joue un rôle impor-
optimiser un relatives aux risques, etc. rentiels de contrôle interne. tant dans chacun des trois
dispositif de contrôle piliers (exigence, gouver-
interne Pour faire vivre et optimiser Thales a défini d’une part nance, transparence), au
le contrôle interne, il faut des principes clés : respon- travers de l’environnement
Réunion mensuelle mettre en place un disposi- sabilisation et engagement de contrôle, de l’évaluation
du 13 février 2012 tif général intégré avec une des mandataires sociaux des risques et des rapports
équipe centrale en charge des filiales ; boucle d’amé- de contrôle interne.
Le cahier de la recherche d’assurer la cohérence des lioration dans les entités
« Des clés pour la mise en dispositifs particuliers. La légales basée sur des auto-
Maîtriser les situations de communication orale de 2j 1 050 € 1 150 € 19-20 13-14 22-23 10-11 21-22 21-22 12-13 20-21 18-19 22-23 20-21
l’auditeur
Réussir les écrits de la mission d’audit 2j 1 050 € 1 150 € 23-24 16-17 26-27 12-13 23-24 25-26 12-13 24-25 22-23 26-27 20-21
Exploiter les états financiers pour préparer une mission 3j 1 525 € 1 675 € 25-27 26-28 29-31 26-28 3-5
d’audit
Désacraliser les systèmes d’information 3j 1 525 € 1 675 € 28-30 4-6 26-28 12-14
Détecter et prévenir les fraudes 2j 1 050 € 1 150 € 29-30 28-29 24-25 24-25 6-7
Le management
Piloter un service d’audit interne 2j 1 300 € 1 450 € 30,31 10-11 11-12
Manager une équipe d’auditeurs au cours d’une mission 1j 685 € 770 € 21 4 14
L’audit interne dans les petites structures 1j 685 € 770 € 7 29 19
Balanced Scorecard du service d’audit interne 1j 685 € 770 € 10 25 28
Le suivi des recommandations 1j 685 € 770 € 6 11 26 7 21
Préparer l’évaluation externe du service d’audit interne 2j 1 300 € 1 450 € 13-14 15-16 29-30
L’audit interne, acteur de la gouvernance 1j 685 € 770 € 12 26
Audit interne, contrôle interne et qualité : les synergies 1j 685 € 770 € 15 25 5
Les audits spécifiques
Audit du Plan de Continuité d’Activité - PCA 2j 1 300 € 1 450 € 8-9 27-28 26-27
Audit de la fonction Comptable 2j 1 300 € 1 450 € 5-6 8-9
Audit de performance de la gestion des Ressources 3j 1 525 € 1 675 € 11-13 21-23
Humaines
Audit de la fonction Achats 2j 1 300 € 1 450 € 16-17 27-28
Audit des Contrats 1j 685 € 770 € 16 1
Audit de la fonction Contrôle de Gestion 2j 1 300 € 1 450 € 5-6 29-30
Audit de la Sécurité des Systèmes d’Information 2j 1 300 € 1 450 € 22-23 12-13
Audit des Processus Informatisés 2j 1 300 € 1 450 € 27-28 19-20
Audit de la Législation Sociale 2j 1 300 € 1 450 € 13-14 17-18
Audit du développement durable 2j 1 300 € 1 450 € 7-8 15-16
SE FORMER DANS LE SECTEUR PUBLIC
Le contrôle interne dans le secteur public 2j 1 300 € 1 450 € 2-3 21-22 6-7 12-13
Pratiquer l’audit interne dans le secteur public 4j 1 950 € 2 150 € 26-29 4-7 22-25 17-20
SE FORMER DANS LE SECTEUR BANCAIRE ET FINANCIER
Le contrôle interne dans le secteur bancaire et financier 3j 1 525 € 1 675 € 6-8 19-21 5-7
Pratiquer l’audit interne dans le secteur bancaire et 4j 1 950 € 2 150 € 11-14 24-27 10-13
financier
SE FORMER DANS LE SECTEUR DES ASSURANCES
Le contrôle interne dans le secteur des assurances 2j 1 300 € 1 450 € 8-9 2-3 4-5 8-9
Pratiquer l’audit interne dans le secteur des assurances 4j 1 950 € 2 150 € 13-16 26-29 8-11 17-20
SE FORMER DANS LES SECTEURS INDUSTRIE ET COMMERCE
Audit des processus clés des activités industrielles et 4j 1 950 € 2 150 € 23-26 2-5 18-21 15-18 4-7
commerciales
ACQUÉRIR UNE CERTIFICATION
Le DPAI
Préparation au DPAI 2j 950 € 1 125 € 29-30 11-12 15-16 13-14
Le CIA
Préparation au CIA - partie I 1,5 j 850 € 1 050 € 16pm-17 12pm-13 12pm-13 10pm-11 3pm-4
Préparation au CIA - partie II 1,5 j 850 € 1 050 € 19pm-20 15pm-16 14pm-15 13pm-14 6pm-7
Préparation au CIA - partie III 1,5 j 850 € 1 050 € 23pm-24 19pm-20 18pm-19 17pm-18 10pm-11
Préparation au CIA - partie IV 1,5 j 850 € 1 050 € 26pm-27 22pm-23 21pm-22 20pm-21 13pm-14
IFACI Formation - Tél. : 01 40 08 48 08 - Mel : formation@ifaci.com - Retrouvez également le programme complet sur le site internet www.ifaci.com
FICHE TECHNIQUE
La conscience professionnelle :
une qualité fondamentale
de l’auditeur
Norme 1220-A3
Les auditeurs internes doivent exercer une vigilance particulière à l’égard des risques significatifs susceptibles
d’affecter les objectifs, les opérations ou les ressources. Toutefois, les procédures d’audit seules, même
lorsqu’elles sont menées avec la conscience professionnelle requise, ne garantissent pas que tous les risques
significatifs seront détectés.
• les précédentes évaluations de contrôle interne rialité sont des exigences fondamentales liées
ou les informations issues de missions de au métier et deviennent, j’en témoigne, des
nature différente, qui sont des inputs intéres- réflexes à vie pour ceux qui exercent ces
sants, mais qui, en aucun cas, ne dispensent métiers durablement… Mais le doute doit
l’auditeur de recouper ou corroborer les infor- rester un outil, il n’est pas une raison d’être…
mations obtenues ; Ces exigences n’autorisent donc pas l’auditeur,
• les zones de risques où s’exercent les métiers pendant qu’il les exerce, à être lourd, désagréa-
audités ; ble, peu pertinent. Il doit savoir ou apprendre
• les risques de fraudes potentiels. à asseoir son opinion en développant des
questions judicieuses, savoir contourner s’il
A&CI : Une conscience professionnelle « hyper- faut faire tomber des résistances chez les audi-
développée » ne risque-t-elle pas de transformer les tés, ne pas se laisser embarquer sur des
missions d’audit en des évaluations trop tatillonnes ? terrains non pertinents par des audités rompus
Comment être attentifs aux « risques significatifs à nos méthodologies, apprendre à s’en tenir,
susceptibles d’affecter les objectifs, les opérations ou voire à revenir à son programme de travail tout
les ressources » tout en étant efficace ? en donnant l’impression de développer un
entretien informel avec l’audité. Là aussi, l’ex-
V. B. : Dans la réalisation de sa mission, l’équipe périence s’acquiert à chaque mission un peu
d’audit devra actionner son sens inné plus, et c’est bien sûr au responsable de
de l’objectivité, mû par un degré l’entité d’audit de déceler, puis
élevé de ce fameux « scepti- tester les niveaux de robustesse
cisme professionnel » selon de ses auditeurs en la matière
le terme consacré, c'est-à- « C’est sur le terrain que : c’est ce à quoi sert l’enca-
dire montrer sa capacité à l’évaluation réelle de la drement intermédiaire
évaluer avec un esprit d’auditeurs plus expéri-
critique les preuves et les
rigueur et du bon sens de mentés.
données qu’elle recueille. l’auditeur se fera »
On arrive alors dans un L’audit interne repose vérita-
domaine où les qualités et les blement sur une logique, donc
compétences personnelles de l’au- sur un raisonnement et des déduc-
diteur sont plus ou moins développées tions. Les conclusions rendues se
de façon naturelle. Donc, l’élément différenciant fondent largement sur le jugement de profes-
entre les auditeurs résultera véritablement de sionnels, jeunes certes en ce qui concerne mes
l’art avec lequel chacun apprend à mettre en auditeurs, mais encadrés, et s’appuyant sur une
œuvre : méthodologie éprouvée. La qualité de leurs
• en premier lieu, une démarche ciblée d’entre- conclusions dépend de la capacité à rassembler
tiens et de recueil de preuves auprès des colla- et évaluer correctement des éléments probants
borateurs audités ; suffisants et adéquats. Cette collecte passe par
• en second lieu, le degré de « doute » qui doit un degré élevé d’écoute, de reformulation, d’in-
être dans sa compétence et qu’il doit distiller teraction et de communication tout au long de
intelligemment pour se concentrer sur les la mission, tant avec les interlocuteurs rencontrés
zones à enjeux de la mission. Douter, remettre qu’au sein même de l’équipe d’audit.
en cause, justifier, tracer, rechercher la maté-