Vous êtes sur la page 1sur 46

la revue des professionnels de l’audit, du contrôle et des risques

Dans l’actualité
WAL-MART : Une corruption
évitable ?

Idées et débats
Contrôle interne et management
des risques aux Aéroports de Paris
DES RELATIONS CLIENTS
Les audits métiers
ET DES PRATIQUES
 Etat des lieux de la réflexion sur
les plans de continuité des
COMMERCIALES
activités dans les entreprises
françaises
ENCADRÉES
 L’audit du contrôle de gestion
Quel rôle pour l’audit
Les avancées de la et le contrôle internes ?
recherche
Groupe professionnel « Immobilier
locatif »

La profession en
mouvement ...

Fiche technique
> Comprendre la source première
des dysfonctionnements : une
seconde nature chez l’auditeur
interne

N°209
Avril - Mai 2012
Marquez des points ...
avec la nouvelle certification
professionnelle

Professionnels de l’audit et du contrôle internes, cette nouvelle certification vous permettra de dé-
montrer votre professionnalisme dans le domaine de l’évaluation de la gestion des risques, et plus
particulièrement votre capacité à :
 évaluer la maîtrise des risques et la gouvernance des processus métiers de votre organisation ;
 sensibiliser la direction et le comité d’audit aux concepts liés aux risques et à la maîtrise des
risques ;
 vous centrer sur les risques stratégiques de l’organisation ;
 apporter encore plus de valeur ajoutée à votre organisation.

Disponible, à la fin du premier semestre 2013, sous la forme d’un examen, le CRMA™ est ac-
cessible dès aujourd’hui via un processus de Reconnaissance de l’Expérience Profes-
sionnelle (REP). Ainsi, toute personne justifiant d’une expérience professionnelle
dans les cinq domaines couverts par la certification CRMA™, et titulaire de di-
plômes et/ou de tout autre certificat dans le domaine de l’audit, sera en mesure
de faire une demande de REP en vue d’obtenir la certification CRMA™.

Conception : ebzone communication - Photo : © Paty Wingrove - Fotolia.com

POUR EN SAVOIR PLUS ...


Rendez-vous sur le site internet de l’IFACI (www.ifaci.com)
à la rubrique « Carrière + Diplômes ».
La revue des professionnels de l’audit,
du contrôle et des risques
n°209 - avril-mai 2012

EDITEUR
L’universalisme de
Institut Français de l’Audit et
du Contrôle Internes (IFACI)
Association Loi 1901
98 bis, boulevard Haussmann
l’audit interne
75008 Paris (France)
Tél. : 01 40 08 48 00
Mel : institut@ifaci.com
Internet : www.ifaci.com

L
DIRECTEUR DE PUBLICATION e champ d’intervention de l’audit interne est
Farid Aractingi immense et ne cesse de croître, ce numéro en
RESPONSABLE DE LA RÉDACTION
témoigne tout particulièrement.
Philippe Mocquard
RÉDACTEUR EN CHEF
Louis Vaurs
Tout d’abord, par le « Dossier » qui traite du rôle de
RÉDACTION - RÉVISION
Jean-Loup Rouff - Béatrice Ki-Zerbo l’audit interne dans le contrôle des pratiques commer-

SECRÉTARIAT GÉNÉRAL ciales dans la banque, l’assurance et les services. On a


Eric Blanc - Tél. : 01 40 08 48 02
d’ailleurs parfois le sentiment, en lisant les différents articles qui le composent qu’on
Mel : eblanc@ifaci.com
se montre de plus en plus exigeant à son égard avec le risque sous-jacent de passer
RÉALISATION / PUBLICITÉ
EBZONE Communication d’une fonction normée à une fonction réglementée, ce qui n’est pas du tout souhai-
32, avenue de Beauregard
94500 Champigny-sur-Marne table.
Tél. : 01 48 80 00 56
Mel : ebzone@ebzone.fr
Ensuite, par les deux audits métiers présentés ici qui élargissent l’éventail de ses
IMPRESSION
Imprimerie de Champagne missions habituelles : audit des plans de continuité des activités et audit du contrôle
Rue de l’Etoile de Langres - ZI Les Franchises
de gestion. Concernant cette dernière mission, je recommande aux auditeurs
52200 Langres
internes intéressés de se reporter à la rubrique « lu pour vous » qui présente l’ou-
ABONNEMENT
Elsa Sarda - Tél. : 01 40 08 48 04 vrage récent de Jacques Renard et Sophie Nussbaumer « Audit interne et contrôle
Mel : esarda@ifaci.com
de gestion, pour une meilleure collaboration ».
Revue bimestrielle (5 numéros par an)
ISSN : 2117-1661
CPPAP : 0513 G 83150 Vous pourrez lire également dans ce numéro, une affaire de corruption à grande
Dépôt légal : mai 2012
Crédit photos : © Fotosearch échelle perpétrée par Wal-Mart, le n° 1 de la grande distribution, et prendre connais-
sance des avancées de la Recherche avec le Groupe professionnel « Immobilier
Collectif ».
Prix de vente au numéro : 22 € TTC

Ce document est imprimé avec des encres végétales Je voudrais enfin attirer votre attention sur la fiche technique qui traite de l’analyse
sur du papier issu de forêts gérées dans le cadre
d’une démarche de développement durable.
causale, analyse indispensable pour connaître les causes réelles des dysfonctionne-
ments et introduire en toute connaissance la recommandation idoine, mais analyse
bien trop souvent escamotée.

Bonne lecture. 

Les articles sont présentés sous


la responsabilité de leurs auteurs. Louis Vaurs - Rédacteur en chef
Toute représentation ou reproduction, intégrale ou partielle, faite
sans le consentement de l’auteur, ou de ses ayants droits, ou ayants
cause, est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40).
Cette représentation ou reproduction, par quelque procédé que ce avril-mai 2012 - Audit & Contrôle internes n°209 3
soit, constituerait une contrefaçon sanctionnée par les articles 425
et suivants du Code Pénal.
Progressez sur
des bases solides

Votre engagement pour


+ de bonnes pratiques
+ de performance
+ de légitimité
+ de sécurité

Conception : ebzone communication - Photo : © Jakub Cejpek - Fotolia.com

Le label de qualité et de performance Certification


IFACI est délivré aux services d'audit interne qui Contactez-nous :
appliquent de façon pérenne les trente exigences Tél. : 01 44 70 63 00
pragmatiques du Référentiel Professionnel de E-mail : certification@ifaci.com
l'Audit Interne.
SOMMAIRE

DANS L’ACTUALITÉ
DOSSIER
6 WAL-MART : Une corruption évitable ?
Antoine de Boissieu
Des relations clients et des
IDÉES ET DÉBATS
pratiques commerciales encadrées
Quel rôle pour l’audit et
8 Contrôle interne et management des
risques aux Aéroports de Paris
le contrôle internes ? p. 12 à 26
Véronique Franceschini

13 Audit interne des pratiques commerciales :


LES AUDITS MÉTIERS quelles méthodes, quel périmètre pour quels
objectifs ?
27 Etat des lieux de la réflexion sur les
plans de continuité des activités dans Marie-Agnès Nicolet
les entreprises françaises
Véronique Demachy 16 Contrôle de la relation client et des pratiques
commerciales : comment cela se passe-t-il dans
L’audit du contrôle de gestion la banque ?
31
Raphaël Verwilghen Olivier Guilhamon et Michel Le Masson

21 La protection de la clientèle dans le monde


LES AVANCÉES DE LA RECHERCHE de l’assurance
Les avancées du groupe professionnel Anne Savey
35 « Immobilier locatif »
Miguel Bedet et Eric Casper Le rôle de l’audit interne dans les activités
24 commerciales d’EDF
Christine Lagorce

LA PROFESSION EN MOUVEMENT

37 Evénements - Lu pour vous

FICHE TECHNIQUE N°39

MPA 2320-2 : Analyse causale


>> Comprendre la source première des
dysfonctionnements : une seconde nature
chez l’auditeur interne
Edouard Bucaille

avril-mai 2012 - Audit & Contrôle internes n°209 5


DANS L’ACTUALITÉ

WAL-MART :
Une corruption évitable ?
Antoine de Boissieu - Associé-gérant, OSC Solutions

L
e groupe Wal-Mart en jeu sont toutefois très loin de l'Est à la fin des années 1) Comment l'affaire a-t-
est encore méconnu des records en la matière : 90 et au début des années elle été révélée ?
en France ; la société BAE et Siemens ont, par 2000. Wal-Mart a été pris un peu
est, de loin, le n°1 mondial exemple, été impliquées par hasard ; c'est la dénon-
de la grande distribution (cf. dans des affaires dépassant Pour une société comme ciation d'un ancien cadre
encadré 1). Il est 3 fois plus le milliard de dollars de Wal-Mart, le principal obsta- mexicain qui a permis de
gros que Carrefour, le pots-de-vin versés. cle à un développement mettre au jour cette affaire
numéro 2 du secteur. C'est le rapide de son réseau dans fin 2011. Les faits visés
plus gros employeur privé Une stratégique les pays en croissance était remontent eux à 2005 et aux
aux Etats-Unis et au classique et reste d'ordre réglemen- années précédentes. La
Mexique. Sa croissance est taire : il s'agit d'obtenir les direction américaine du
régulière et élevée, tirée autorisations d'ouverture (et groupe avait déjà été alertée,
notamment par les pays Wal-Mart a suivi une straté- les permis de construire qui en interne. Elle avait dili-
émergents d'Amérique gie classique dans beaucoup vont avec). Une fois ce genté une mission d’inspec-
Latine et d'Asie. d'activités de distribution : sésame obtenu, l'enseigne, tion, qui avait mis en évi-
après avoir acquis une posi- avec ses 25 milliards USD de dence les 24 millions de dol-
Wal-Mart est actuellement tion très forte sur ses mar- résultat opérationnel en lars de « paiements inap-
mis en cause pour une chés domestiques (Etats- 2011, a les ressources suffi- propriés ». La direction
affaire de corruption de Unis, puis Royaume-Uni santes pour mener rapide- aurait alors dissimulé l'af-
fonctionnaires mexicains. après le rachat d'ASDA), la ment les projets d'ouverture faire, au lieu de la dénoncer
La société est accusée société a cherché des relais et mettre en place les struc- aux autorités mexicaines et
d'avoir versé des pots-de- de croissance dans des pays tures de support nécessaires américaines (ces dernières
vin afin d'obtenir des auto- à fort potentiel (Amérique (siège social, bases logis- au titre du Foreign Corrupt
risations d'ouverture de latine, Chine, Inde), dans tiques, centrale d'achat...). Practices Act, interdisant la
magasins. Le montant, lesquels les réseaux de dis- corruption de fonctionnaires
implicitement reconnu par tribution n'étaient pas La stratégie menée par Wal- étrangers). L'enquête
l'enseigne, est de 24 MUSD. encore structurés. La straté- Mart au Mexique a été cou- actuelle ne porte donc pas
Pour cette somme, vu le gie a été de s'y développer le ronnée de succès, puisque le seulement sur les faits de
nombre de magasins ouverts plus vite possible, pour éri- groupe y a compté 2 000 corruption, mais aussi sur la
et le caractère fédéral du sys- ger une barrière à l'entrée magasins, et y est devenu tentative délibérée de dissi-
tème politique mexicain, il dissuasive pour les concur- largement numéro 1 (cf. mulation de la part de la
est fort probable que le rents ; le but était de encadré 2). Les concurrents, direction générale du
nombre de fonctionnaires conquérir la place de français notamment, tentés groupe.
corrompus se compte par numéro 1, en saturant le par une expansion interna- Il est à noter que la législa-
centaines ; les investigations marché, et en investissant ce tionale, ont préféré se tour- tion américaine incite à la
internes auraient permis qu'il faut pour cela. La ner vers le Brésil. La filiale dénonciation de pratiques
d'identifier 440 « paiements même stratégie a été suivie mexicaine, en l'absence de frauduleuses par les salariés
inappropriés ». Les sommes par les banques en Europe concurrence significative, est ou les parties prenantes en
devenue très rentable, avec ayant connaissance. La SEC
Wal-Mart en 2011 : un taux de retour sur inves- (Securities and Exchange
 N°1 de la grande distribution tissement très élevé. Commission) a ainsi récem-
 420 Mrd USD de chiffre d'affaires
ment confirmé son dispositif

 2,2 millions d'employés


Cette affaire pose plusieurs prévoyant de reverser aux

 présent dans 16 pays (Amérique, Asie, Royaume-Uni)


questions : informateurs jusqu'à 10 %
des amendes qu'elle inflige.

Encadré 1

6 Audit & Contrôle internes n°209 - avril-mai 2012


2) Wal-Mart a-t-il fait un nité est aussi incitatif, qu'est- Wal-Mart de Mexico :
bon calcul ? ce qui pourrait empêcher les  Numéro 1 du secteur
En moins de 20 ans, Wal- sociétés placées dans des  4 fois plus gros que le numéro 2
Mart a réussi à développer situations similaires d'avoir  210 000 employés (premier employeur privé au
une filiale d'une valeur de 50 recours à des pratiques Mexique)
milliards d'USD, dans un interdites ? Pour répondre à  27 Mrd USD de chiffre d'affaires
marché en croissance, avec cette question, il faut étudier  Résultat net : 1,5 mrd d'USD
une très forte position de les autres conséquences que  Rentabilité des capitaux propres : 20 %
leader. Certains des moyens cette affaire pourrait avoir  Valeur (capitalisation) : 50 milliards USD
utilisés (la corruption de pour Wal-Mart.
fonctionnaires locaux) Encadré 2
étaient interdits, et répré- Tout d’abord, il y aura certai-
hensibles. Mais les bénéfices nement un impact négatif des objectifs stratégiques beaucoup plus répressive
attendus n’étaient-ils pas sur l'image de marque. dans certains pays. Cela ne que la législation euro-
largement supérieurs au Mais l'image de marque de suffit sans doute pas à inver- péenne.
risque encouru ? Quelle Wal-Mart est déjà bien ser le rapport risque/oppor-
amende risque en effet Wal- dégradée par d'autres accu- tunité : le risque reste très Une quatrième consé-
Mart pour ces 24 MUSD de sations (cf. encadré 3), et il improbable (il faut en effet quence, relativement nou-
pots-de-vin ? Quelques cen- est peu probable que cette que la corruption soit mise velle, pourrait venir des
taines de millions de dollars, affaire suffise à impacter en évidence et qu'elle ait employés eux-mêmes. Une
au maximum ? C’est à dire durablement la fréquenta- effectivement un impact pétition a en effet été lancée
l'équivalent d'un ou deux tion et le chiffre d'affaires négatif dans d'autres pays), par des employés de Wal-
trimestres de bénéfice de la des différentes enseignes du il se situe à un horizon loin- Mart réclamant le départ de
filiale mexicaine. A ce prix, groupe. A très court terme, la tain, et il est difficilement la direction générale du
Wal-Mart n'avait-il pas inté- capitalisation du groupe a évaluable. groupe et des cadres impli-
rêt à faire ce qu'il faut pour bien reculé de 10 milliards qués dans cette affaire de
grossir très vite au Mexique de dollars (soit 5 % de la En troisième point, les corruption. Elle a déjà
et empêcher l'entrée d'un valeur du groupe), mais il est conséquences les plus recueilli plusieurs milliers de
concurrent étranger ? La probable que cette baisse ne gênantes risquent d'être signatures. Ce mouvement
seule sanction dissuasive sera que passagère. pour les dirigeants : ceux qui constitue une pression sup-
serait un démantèlement seront accusés d'avoir orga- plémentaire sur la direction.
forcé de Wal-Mart de Une deuxième conséquence nisé, permis ou couvert les Combiné aux sanctions
Mexico, ce qui semble hau- pourrait être une difficulté faits incriminés sont en effet pénales visant les dirigeants,
tement improbable sur la accrue à obtenir des autori- passibles de sanctions et à un système déjà incitatif
seule base des faits repro- sations d'ouverture dans les pénales. Cela constitue sans de dénonciation des pra-
chés. autres pays en croissance. doute le frein le plus sérieux tiques illégales, il constitue
Cette conséquence, si elle aux velléités d'avoir recours peut-être le frein le plus effi-
3) Qu'est-ce qui empêche était avérée, pourrait être à des pratiques illégales. Là cace à la répétition de ce
de récidiver ? gênante, car cela pourrait encore, il est à noter que la type d’affaires. 
Si le rapport risque/opportu- remettre en cause l'atteinte législation américaine est

Une image écornée


Depuis 2000, Wal-Mart a été souvent décrié pour ses méthodes de gestion du personnel. Trois grandes accusations ont été
portées contre le groupe :
1. des entraves au droit syndical ; le groupe compte ainsi plus d'un million d'employés au Etats-Unis, mais il n'y a toujours
pas de syndicats.
2. des discriminations envers les femmes et les minorités. Le groupe a échappé l'an dernier à une gigantesque action en
nom collectif (« class-action ») (Dukes vs Wal-Mart), qui aurait pu réunir jusqu'à un million et demi d'employées actuelles
ou passées. La Cour Suprême a cassé les jugements de première instance qui rendaient la « class action » recevable, en
estimant que les cas invoqués étaient trop différents. Une quinzaine d'actions en nom collectif, réunissant chacune
quelques dizaines de milliers de plaignantes, devraient cependant être intentées cette année.
3. des violations du droit du travail. Deux grands mécanismes ont été mis en cause :
 le non-respect des horaires limite de travail ;
 l'emploi, surtout via des sous-traitants, de travailleurs immigrés illégaux, dont le temps de travail et les conditions de
rémunération étaient difficiles à contrôler.
Le turnover (taux de rotation du personnel sur un an) est de 70% dans les enseignes du groupe aux Etats-Unis.

Encadré 3
avril-mai 2012 - Audit & Contrôle internes n°209 7
IDÉES ET DÉBATS

Contrôle interne et
management des risques
aux Aéroports de Paris
Comment penser une articulation
organisationnelle équilibrée ?

Trois fonctions essentielles : l’audit interne, le contrôle interne – lequel aujourd’hui


n’est plus seulement un dispositif mais une fonction à part entière – et le manage-
ment des risques, contribuent au bon fonctionnement de l’entreprise. Comment,
chacune d’entre elles ayant sa propre autonomie, s’articulent-elles pour éviter les
doublons et inversement ne pas laisser subsister des zones d’ombre ? Chez Aéroports
de Paris, la fonction contrôle interne est assurée depuis 2009 par le département
contrôle interne au sein de la direction de l’audit et du contrôle interne, et la fonction
management des risques est assurée depuis 2008 par le département management
des risques et préventions. De nombreux facteurs contribuent à améliorer l’articu-
© Frédéric Alidor - Aéroports de Paris

lation entre management des risques et contrôle interne.

pris en charge par l'ensemble de l'entre- le savoir tout au long de la chaîne hié-
prise, il relève de la responsabilité de la rarchique dès lors qu’il s’assure de façon
chaîne hiérarchique et de gouvernance, régulière du bon fonctionnement de son
depuis le Conseil d'administration activité, ce qui est nouveau c'est d’en
Véronique Franceschini jusqu'au collaborateur de base. faire un sujet en soi et une fonction.
Chargée de mission à la direction de Or, si cette approche correspond à un Dans ce cadre, quelles relations entre-
l'audit et du contrôle interne,
niveau de maturité optimal du contrôle tiennent les trois fonctions et plus par-
Aéroports de Paris
interne, elle suppose que ce dispositif ticulièrement le contrôle interne et le
s'autorégule dans le cadre du fonction- management des risques ? Quels sont

A
lors que l’audit interne est nement normal de l'entreprise. Dans la leurs rôles, responsabilités et position-
depuis longtemps une « fonc- réalité, une entité organisationnelle est nement réciproque, qui intéressent aussi
tion », clairement identifiée et fréquemment chargée, en tant que les autres acteurs de l’entreprise ? Com-
organisée autour de pratiques profes- « fonction », de l'animation et du suivi ment s’articulent-elles1 ? Quelles répon-
sionnelles, et que le management des de l'efficacité du dispositif de contrôle ses apportent à ces questions quelques
risques a progressivement acquis ce sta- interne. grandes entreprises, sachant que chez
tut, notamment depuis la publication du Aéroports de Paris la fonction contrôle
COSO II, le contrôle interne est encore Si le contrôle interne n’est pas une acti- interne est assurée depuis 2009 par le
considéré non comme une fonction vité nouvelle pour les entreprises, car département contrôle interne au sein de
mais comme un dispositif. Entièrement chacun « fait du contrôle interne » sans la direction de l'audit et du contrôle

8 Audit & Contrôle internes n°209 - avril-mai 2012


interne, ce département étant distinct de sation, en raison probablement de l’im- tances de gouvernance managériales
l'audit interne, et que la fonction mana- plantation récente de la fonction (Comité de direction …) et/ou institu-
gement des risques est assurée depuis contrôle interne, voire du management tionnelles (Conseil d’administration,
2008 par le département management des risques. Comité d’audit …) ; en contrôle interne
des risques et préventions au sein de la l'effectif est de un à une petite dizaine et
direction de la sûreté et du management Certains groupes n’ont pas de structure en management des risques de un à six.
des risques ; ces deux directions sont affichée de management des risques ou Les réseaux sont de dimension variable,
directement rattachées à la direction de contrôle interne bien qu’une entité d'une centaine de personnes en
générale. organisationnelle soit chargée de ces moyenne ; il s'agit en général de relais
Pour mieux connaître les pratiques en fonctions. intégrés aux unités et rattachés aux
vigueur dans ce domaine, la direction de managers ; leur nombre varie en fonc-
l’audit et du contrôle interne d’Aéro- Dans le cadre du benchmark, les entre- tion du niveau de responsabilité retenu
ports de Paris a conduit durant l’été prises publiques sollicitées ou ayant comme significatif par le groupe. Les
2010, avec l’aide d’un étudiant du mas- dans le passé appartenu à la sphère membres des réseaux sont générale-
ter Audit de l'IAE d'Aix-en-Provence, publique (soit environ la moitié du ment rattachés hiérarchiquement aux
un benchmark auprès de quatorze benchmark) ont souvent placé sous une responsables d'activités mais fonction-
2
groupes internationaux . Il s'agissait unique autorité des structures de mana- nellement aux fonctions centrales.
d'appréhender la manière dont concrè- gement des risques, de contrôle interne
tement, selon leur histoire, leur culture et d’audit interne, qui restent néan- La maturité des dispositifs :
et les contraintes de leur activité moins indépendantes les unes des le poids de l'histoire et
quelques grands groupes abordent cette autres. Trois groupes, soit 20 % du bench- de la culture d'entreprise
question et y répondent, en particulier mark, assurent les fonctions de contrôle
au travers de leur organisation .3 interne et audit interne dans une même Le niveau de maturité est plus ou moins
direction. Dans les groupes dont ces élevé selon les groupes, de toute évi-
Le benchmark a permis de révéler plus structures sont strictement séparées, le dence inégal selon les fonctions et très
nettement ce qui pouvait être intuitif, à contrôle interne est souvent rattaché à lié :
savoir que face à un corpus théorique la direction financière et est orienté vers • à la chronologie de l’implantation des
riche et régulièrement augmenté par la un contrôle comptable et financier ; ces fonctions ;
parution et la mise à jour de référentiels groupes, ayant des implantations aux
et l'élaboration de bonnes pratiques, les Etats-Unis, sont généralement soumis à
entreprises adoptent une approche la loi Sarbanes-Oxley ou l'ont été, ce qui Diplômée d’un DEA d’Economie
empirique, dictée par leur expérience, le a fortement structuré l'organisation de Mathématique (Paris I), de Sciences-Po
poids de leur histoire et leur culture pro- leur dispositif de contrôle interne. Paris (Economie / Finance), et d’un Exe-
pre, en particulier selon qu'elles appar- cutive Mastère Spécialisé ESCP Europe -
tiennent à un secteur fortement régle- Les acteurs : une structure en IFACI « Contrôle interne et maîtrise des
menté ou non. réseau risques », Véronique Franceschini est
Il en résulte des démarches et la mise en entrée chez Aéroports de Paris en 1984
place de dispositifs à des stades de En général, le schéma retenu pour le à la direction du développement et des
finances, dans un premier temps, avant
maturité différents entre les groupes et, contrôle interne et le management des
d’intégrer la direction commerciale.
au sein d'un même groupe, entre les risques est celui d’une structure centrale
Elle assurera, par la suite, les fonctions
dispositifs eux-mêmes. et d’un réseau.
de directrice marketing au sein de SDA,
joint-venture créée par Aéroports de
La typologie des organisa- Les effectifs de la fonction centrale sont Paris et Aelia (groupe Lagardère) sur le
tions : une variété de modèles le plus souvent très restreints, chargés commerce aéroportuaire. Depuis 2007,
d’assurer une diffusion homogène de la elle est chargée de mission contrôle
Le principal constat, très général, est méthodologie au sein du groupe et interne à la direction de l'audit et du
l'absence d’un modèle unique d'organi- d’élaborer le reporting auprès des ins- contrôle internes d’Aéroports de Paris.

avril-mai 2012 - Audit & Contrôle internes n°209 9


IDÉES ET DÉBATS

• à la soumission actuelle ou passée à la tains groupes retiennent les deux réfé- quand le top-down est trop général pour
loi Sarbanes-Oxley (avec en général rentiels. En matière de management des faire émerger les « vrais » thèmes d’au-
dans ce cas maintien voire extension risques, peu de groupes ont fait mention dit. Les cartographies de risques locales,
du dispositif) ; d'un référentiel externe. consolidées par étapes successives
• à la culture du groupe, et notamment jusqu’au niveau groupe, exposent l’en-
à sa culture risques plus ou moins Cadre normatif interne semble des risques et domaines à audi-
prononcée selon que le secteur d'ac- L'existence de chartes ou de référentiels ter.
tivité est soumis ou non à une forte internes de contrôle interne est relative-
réglementation ; ment rare et encore davantage concer- Dans près de la moitié des groupes ren-
• à l'existence d’un dispositif qualité, de nant le management des risques ; s'y contrés, l'analyse des risques porte sur
systèmes de management, etc. sur substituent des notes de « politique », les risques bruts recensés à partir d'en-
lesquels peuvent s’appuyer les dispo- guides méthodologiques, descriptifs de tretiens avec les responsables, puis sur
sitifs ; processus, etc. largement diffusés. les risques nets évalués après prise en
• à l’histoire du groupe (démantèle- compte des dispositifs de maîtrise des
ment, fusion, changement de statut Questionnaire d'auto-évaluation risques existants. Les bases de données
ou d’actionnariat, etc.). Le questionnaire d'auto-évaluation est des risques avérés sont rarement consti-
un outil très fréquemment utilisé pour tuées, hormis pour les risques très opé-
La fonction du management des risques apprécier le niveau de contrôle interne ; rationnels enregistrés en temps réel
couvre à la fois la désignation d'un res- il est généralement conçu et administré dans une base incidents.
ponsable, parfois d'un réseau, et d'un par la fonction centrale de contrôle La valorisation des risques en vue de
dispositif, mais sans mise en œuvre sys- interne, sauf dans deux groupes où ce leur assurance est facilitée en cas de
tématique d'un processus complet de rôle est assuré par l'audit interne. Pour regroupement au sein d'une même
gestion des risques. Ce dernier se limite les groupes qui ont été soumis à la loi direction des entités en charge du
parfois à l'élaboration d'une cartogra- Sarbanes-Oxley mais qui se sont délis- management des risques et en charge
phie des risques groupe, déclinée ou tés de la Bourse de New-York, la pra- des assurances.
non en cartographies locales. tique du questionnaire a été conservée
car elle constitue un facteur très structu- Les facteurs de coordination
Quant au contrôle interne, hormis les rant de l'information.
cas où il s'agit d'un contrôle interne Parmi les facteurs contribuant à une
comptable et financier, de périmètre et Cartographie des risques meilleure articulation entre manage-
de structure bien définis, il est plus dif- L'élaboration de la première cartogra- ment des risques et contrôle interne
ficile de connaître son étendue. Son phie des risques groupe est souvent très figurent :
déploiement est relativement récent, ne récente et relève généralement de la • les organes managériaux et institu-
couvre pas tous les domaines d'activité direction des risques, exceptionnelle- tionnels, lieux d'échanges, voire de
au même degré mais privilégie des acti- ment de la direction de l'audit interne, confrontation ; peu de groupes dispo-
vités jugées prioritaires, comme les acti- et sa réévaluation n'est pas systéma- sent d'un Comité des risques en tant
vités opérationnelles faisant partie du tique. Les cartographies des entités, plus qu'émanation du Conseil d’adminis-
cœur de métier. détaillées et centrées sur leurs modes de tration alors qu’il est plus fréquent
fonctionnement, sont généralement comme organe managérial ;
La « boîte à outils » construites avec l'appui de la fonction • le reporting auprès de ces organes, le
centrale de contrôle interne. plus souvent porté par l’audit interne
Référentiel externe et le contrôle interne, plus rarement
Pour le contrôle interne, le référentiel le Méthodologie par le management des risques ;
plus fréquemment mentionné est le • les réunions régulières de coordina-
COSO, ce qui s'explique par son ancien- Pour établir la cartographie des risques, tion au niveau groupe ;
neté par rapport au cadre de référence la démarche top-down prévaut, complé- • l'utilisation d'un vocabulaire unique
de l'AMF de 2007, revu en 2010 ; cer- tée ensuite par une démarche bottom-up et commun au management des

10 Audit & Contrôle internes n°209 - avril-mai 2012


risques, au contrôle interne et à l'audit d'un dispositif structuré et permanent fiques des entreprises, par les personna-
interne ; de surveillance des modes de fonction- lités en place au moment de l'implanta-
• la diffusion à tous les niveaux de nement de l'entreprise et le traitement tion de ces fonctions, et par le contexte
documentations très structurées des événements de toute nature tant économique et financier. 
(guides, manuels, etc.) constituant un internes qu'externes pouvant affecter
corpus de règles internes ; ses activités. Dans cette perspective, le
• les études, colloques et publications benchmark a permis de constater une
des groupes professionnels, qui prise en charge accrue du management
contribuent à diffuser auprès des des risques et du contrôle interne par les 1. Cette question était apparue comme une
préoccupation commune à nombre d'entre-
entreprises un vocabulaire normé, lui- entités, et le renforcement de leur pilo- prises dans l'enquête réalisée fin 2009 par
même inspiré du vocabulaire du tage par une fonction centrale dans le l'IFACI auprès de professionnels de l'audit
interne et du contrôle interne.
domaine bancaire (niveaux de souci d'allier sécurité et performance.
2. Pour moitié ces groupes, essentiellement fran-
contrôle, contrôle permanent, Face aux réglementations, normes et çais, font partie du CAC 40, environ un quart
contrôle périodique) ; référentiels divers, les entreprises met- sont inscrits au compartiment A d'Euronext et
un quart environ sont dans une relation forte
• le déroulement du processus de pla- tent en place des dispositifs adaptés à avec l'actionnariat public ; environ un quart
nification opérationnelle et du proces- leurs propres enjeux, et non des struc- sont encore cotés à la Bourse de New-York. En
2009, leur chiffre d’affaires s'étendait de 4 à 80
sus budgétaire, nœuds d'articulation tures standardisées. Il n'existe pas de milliards d’euros, leurs effectifs de 8 500 à
entre les trois dispositifs, favorisant la modèle idéal d'organisation entre 316 000 salariés et leur périmètre de quelques
filiales à plus de 2 500.
cohérence des décisions dans la management des risques et contrôle
3. Le secteur bancaire et des assurances dont les
durée ; dans certains groupes la car- interne : les dispositifs observés dans ce cadres réglementaires sont spécifiques ainsi
tographie des risques d’une entité est benchmark se sont construits progressi- que les VaMPs ont été volontairement exclus
du champ du benchmark.
systématiquement revue avant l’éta- vement, marqués par les cultures spéci-
blissement du budget ou du plan opé-
rationnel triennal.

Des granularités différentes Le contrôle interne et le management des risques chez Aéroports de Paris
Du fait de sa mission principale – construction, aménagement, exploitation et dévelop-
Les risques retenus sur la cartographie pement des aéroports civils parisiens – Aéroports de Paris a depuis son origine comme
groupe et ceux qui font l’objet d’un dis- préoccupation centrale la maîtrise de ses risques, en particulier opérationnels, et le
contrôle de ses activités. Dans un domaine fortement réglementé (sécurité aéropor-
positif de contrôle interne ne sont pas tuaire, sûreté, environnement…), surveillé en interne mais également par des instances
de même granularité : la cartographie externes, administratives ou normatives, françaises, européennes et internationales,
renvoie aux risques majeurs alors que le l'entreprise a déployé des systèmes de contrôle ancrés dans le quotidien opérationnel
des unités.
contrôle interne couvre le périmètre plus
large des risques pesant sur les proces- En 2008, Aéroports de Paris a souhaité consolider l'architecture du dispositif de maîtrise
de ses activités avec la création du département management des risques au sein de la
sus et modes de fonctionnement. direction de la sûreté et du management des risques, puis du département contrôle
Par conséquent, la cartographie des interne au sein de la direction de l'audit et du contrôle internes en 2009.
risques groupe n'est pas toujours articu- Ces deux départements travaillent en étroite collaboration et ont renforcé progressive-
ment le pilotage en commun de la démarche : unification du réseau des coordinateurs,
lée avec le contrôle interne, ni alimentée
management des risques et contrôle interne, création d'un Comité des risques et du
par les audits, qui traitent aussi de contrôle interne, formation des acteurs, mise en place d'un outil d'information partagée
risques d’un niveau de granularité et de formalismes unifiés …
moindre. Pour mieux couvrir l'ensemble des domaines d'activité de l'entreprise, le déploiement de
la démarche nécessite, tant dans l'élaboration et la mise à jour des cartographies des
risques que dans la mise en forme du dispositif de contrôle interne, un fort accompa-
* *
gnement auprès des entités dans le souci de s'appuyer sur les travaux et dispositifs déjà
* existants, issus par exemple des certifications ISO.
Le fait que le contrôle interne et le management des risques se situent dans des direc-
En conclusion, la tendance observée est, tions différentes n'empêche pas la convergence des dispositifs et leur articulation dans
sans retour possible, à un renforcement une démarche cohérente et lisible pour tous les acteurs du groupe.

avril-mai 2012 - Audit & Contrôle internes n°209 11


DOSSIER

Des relations clients et


des pratiques commerciales
encadrées
Quel rôle pour l'audit et le contrôle internes ?

13 Audit interne des pratiques commerciales :


quelles méthodes, quel périmètre pour quels
objectifs ?
Marie-Agnès Nicolet

16 Contrôle de la relation client et des pratiques


commerciales : comment cela se passe-t-il dans
la banque ?
Olivier Guilhamon et Michel Le Masson

21 La protection de la clientèle dans le monde


de l’assurance
Anne Savey

24 Le rôle de l’audit interne dans les activités


commerciales d’EDF
Christine Lagorce

12 Audit & Contrôle internes n°209 - avril-mai 2012


Des relations clients et des pratiques commerciales encadrées

Audit interne des pratiques


commerciales :
quelles méthodes, quel
périmètre pour quels objectifs ?

Depuis 2007, date d’entrée en vigueur de la MIF, des dispositions réglementaires


donnent à l’investisseur peu au fait du fonctionnement des marchés financiers, la
garantie de recevoir une information claire et aussi simple que possible, et de se voir
proposer des produits adaptés à ses besoins. L’AMF a œuvré en ce sens en diffusant
un guide des bonnes pratiques pour la rédaction des documents commerciaux et
la commercialisation des OPC (Organismes de placement collectif).
Désormais l’audit interne devra s’assurer que l’investisseur reçoit les informations
majeures, et que les informations communiquées sont cohérentes pour l’ensemble
de la documentation. En s’intéressant aux pratiques commerciales des produits ban-
caires, l’audit interne élargit considérablement son champ d’action et de contrôle.

Marie-Agnès Nicolet, Présidente, Regulation Partners

Le contrôle de la distribution bonne adaptabilité des produits à la vendre des produits plus adaptés,
des produits financiers catégorie et aux besoins des clients. constitue d’ailleurs l’un des rares effets
positifs de cette directive MIF, par ail-
Depuis la mise en place de la MIF Ces dispositions qui nécessitent depuis leurs fortement décriée en raison de ses
(transposition française de la directive 2007 de classer la clientèle en différentes conséquences néfastes sur l’opacité des
européenne sur les instruments finan- catégories mettait en exergue la néces- transactions et la fragmentation de la
ciers), applicable en 2007, les plans de sité de mieux protéger l’investisseur dit liquidité des marchés.
contrôle périodique ont dû élargir leurs « non professionnel des marchés finan-
thèmes d’audit au contrôle des pra- ciers » pour qui le degré d’information Dans la ligne de ces préconisations,
tiques de distribution des produits qui lui est donnée doit lui permettre de l’AMF a diffusé, en décembre 2011, un
financiers. En effet, depuis cette date, les mieux appréhender les risques qu’il guide de bonnes pratiques pour la
établissements distribuant des instru- prend, charge au conseiller de clientèle, rédaction des documents commer-
ments financiers et exerçant notamment dans le cadre des prestations de conseil ciaux et la commercialisation des
les services d’investissement de récep- ou gestion de portefeuille, de lui propo- OPC (Organismes de placement col-
tion-transmission d’ordres, conseil en ser des produits adaptés à ses besoins lectif). Ce guide a pour objectif de pré-
instruments financiers, gestion de por- (notamment en termes de durée d’in- ciser comment interpréter la réglemen-
tefeuille ont dû mieux appréhender les vestissement). Cette meilleure formali- tation pour l’ensemble des produits de
besoins de leur clientèle et formaliser la sation des besoins du client, afin de lui gestion collective agréés commercialisés

avril-mai 2012 - Audit & Contrôle internes n°209 13


DOSSIER

en France, qu’ils soient de droit français cautionne les produits ou services du nant ou la mention du type « OPCVM
ou européen. prestataire de services d'investissement, non garanti en capital » au lieu de men-
excepté dans les cas d’affichages de tionner clairement que « le produit pré-
Ce document est particulièrement mentions obligatoires. Ainsi, par exem- sente un risque de perte en capital ».
précieux pour l’audit interne des éta- ple, une accroche commerciale de type
blissements prestataires de services « Produit conforme aux exigences de Sur le caractère trompeur de l’informa-
d’investissement, car il permet de l’AMF en matière de gestion » ne pourra tion, l’AMF cite également de nombreux
donner des pistes précises permet- pas être retenue. exemples, comme « l’échelle rendement /
tant de distinguer les bonnes pra- risque affichée dans le document commer-
tiques commerciales des pratiques Les principes généraux en matière cial différente de celle affichée dans le docu-
insatisfaisantes. d’élaboration d’un document promo- ment d’informations clés pour l’investis-
tionnel ont également été rappelés et seur ».
Sont ainsi répertoriées les pratiques ren- lorsque la présentation du produit
contrées considérées comme incompa- financier se fait par le biais de plusieurs Rappelons que le document d’informa-
tibles avec la réglementation et celles documents, l’un d’entre eux ne doit pas tions clés pour l’investisseur (DICI) rem-
qui participent à une amélioration de la présenter plus particulièrement les place le prospectus simplifié, le contenu
qualité de l’information. avantages et renvoyer l’investisseur à un et la forme en ayant été normés par un
Il est ainsi rappelé que la commercia- autre document pour les inconvénients. règlement de la Commission Euro-
lisation d’un OPC avant délivrance péenne de juillet 2010.
de son agrément (ou de son visa) ou Les recommandations en matière
de son autorisation de commerciali- d’équilibre de l’information s’adres- L’auditeur interne devra donc s’assurer
sation est interdite. sent plus particulièrement aux clients que les prospectus des OPCVM ont été
de retail « non professionnels des progressivement remplacés par le DICI
L'information diffusée aux clients ne marchés financiers ». Sur ce thème, selon le calendrier figurant dans le guide
doit pas utiliser le nom d'une autorité l’AMF piste de nombreux exemples de passage au DICI publié en 2010 par
compétente, quelle qu'elle soit, d'une de communication insatisfaisante du l’AMF.
manière qui puisse indiquer ou laisser point de vue de cet équilibre de l’in- L’audit interne pourra également s’assu-
entendre que cette autorité approuve ou formation. rer que le DICI indique les informations
majeures pour l’investisseur en deux
• « La présentation des risques du produit pages de format A4 et que les informa-
Diplômée d’HEC en 1989, Marie- financier est insérée dans une note de bas tions données ne sont pas incohérentes
Agnès Nicolet a commencé sa car- de page alors que les avantages sont pré- avec celles figurant dans d’autres docu-
rière dans l’audit externe (Mazars) sents dans le corps du document ; ments commerciaux.
avant d’être responsable du • les accroches commerciales sont simpli- Il pourra également s’assurer que les
contrôle interne de la BIMP de 1991 fiées et ne mentionnent qu’une caracté- informations sur les performances ne
à 1998. ristique du produit, telle que, par exemple constituent pas le thème central de l’in-
Senior manager puis directeur de pour un fonds à formule une accroche du formation donnée aux investisseurs et
la ligne de services risk manage- type « Bénéficier de la performance des pistera les documents sur lesquels « la
ment et regulatory consulting de marchés actions » alors que la perfor- taille de la police de caractère utilisée pour
Deloitte de 1998 à 2003. mance offerte est une moyenne des per- la présentation des données relatives à la
De 2003 à 2011, elle a été associée, formances des marchés sur plusieurs performance est disproportionnée par rap-
directrice générale puis présidente années ; port à celle utilisée pour présenter les autres
de Audisoft Consultants. • un encart publicitaire dans un journal caractéristiques du produit ».
Elle est Présidente fondatrice de financier met en avant le potentiel de ren-
Regulation Partners, depuis sep- dement élevé et quantifié d'un fonds à Les recommandations de ce type sont
tembre 2011, cabinet de conseil formule et la mention de l'existence d'un donc très utiles dans le cadre d’une mis-
spécialisé en gestion des risques et risque en capital à l'échéance est présente sion d’audit car elles intègrent des
conseil réglementaire. mais en second plan. » exemples précis qui constituent autant
Elle préside également le club des de référentiels permettant d’apprécier la
marchés financiers (association du Sur le thème de la clarté de l’informa- bonne application par un établissement
centre des professions financières tion, là encore, les recommandations de des éléments réglementaires.
qui fédère les acteurs des marchés l’AMF mettent en exergue des pratiques Toutefois, la difficulté d’appréciation
autour des problématiques du non conformes à cet objectif, comme réside dans l’interprétation de ce que
financement de l’économie et de une présentation du produit utilisant un doit être une information adaptée à un
l’évolution des marchés financiers). vocabulaire trop technique ou jargon- client non professionnel des marchés

14 Audit & Contrôle internes n°209 - avril-mai 2012


Des relations clients et des pratiques commerciales encadrées

financiers. A quel moment peut-on


considérer que le « jargon » utilisé n’est Extrait de l’interview de Robert Ophèle,
pas compréhensible pour le grand second sous-gouverneur de la Banque de France,
public ?
Pour ce faire, l’auditeur devra non seu-
parue dans la revue de l’Autorité de Contrôle Prudentiel
lement analyser les documents donnés
(mars-avril 2012)
aux clients lors de ses visites en agence,
mais également tout complément d’in- « [...] Le contexte d’une imbrication croissante entre les produits bancaires et les
formation ou réponses aux questions produits d’investissement (contrats d’assurance vie en unités de compte
qui pourraient avoir été transmises par notamment) et du développement d’acteurs à même de distribuer toute la
d’autres moyens, par courriel par exem- gamme des produits d’assurance, de banque et d’épargne ont amené le législa-
ple. teur à prévoir un dispositif de coordination des actions conduites par l’ACP et
Enfin, pour s’assurer que l’information l’AMF : le pôle commun. Les services financiers ne sont pas des services comme
diffusée oralement au client est claire, les autres, car ils se caractérisent notamment par une forte asymétrie d’infor-
adaptée et non trompeuse, rien ne vaut mation entre le consommateur et le vendeur, liée à la complexité toujours
la « visite mystère » qui commence éga- croissante des produits et à une innovation financière permanente. C’est pour-
lement à être utilisée par les supervi- quoi, tant au niveau européen qu’au niveau national, il est apparu nécessaire
seurs eux-mêmes. de créer et de développer un certain nombre de règles spécifiques protectrices
des consommateurs. C’est pourquoi la direction dédiée à ce contrôle s’est écar-
Auditer les pratiques tée du modèle d’autorégulation et a développé une action importante de
de commercialisation contrôle direct, qui est le cœur même de sa mission. Il est donc nécessaire de
des produits bancaires veiller à ce qu’il n’y ait ni vide ni chevauchement en matière de contrôle ; la
coordination avec l’AMF est essentielle même si les deux autorités conservent
Cependant, l’audit interne d’un réseau leurs champs d’action et leur positionnement propre. »
bancaire, lorsqu’il définit les thèmes à
couvrir dans le cadre du contrôle des
pratiques commerciales, ne peut pas se Quels contrôles des IOBSP ? a bien été immatriculé à l’ORIAS (Orga-
contenter d’aller vérifier la distribution nisme pour le registre des intermé-
des produits financiers. Il devra égale- Enfin, l’audit interne ne pourra pas diaires en assurance), qu’il dispose de
ment s’intéresser aux pratiques com- ignorer que les décrets du 26 janvier procédures indiquant à ses salariés ou
merciales des produits bancaires, ce qui 2012 ont redéfini les différentes catégo- franchisés les bonnes pratiques com-
élargit considérablement son champ ries d’intermédiaires en opérations de merciales à respecter selon le type de
d’action et de contrôle. En effet, il faudra banque et de services de paiement. Il crédit dont il concourt à la distribution.
s’assurer par exemple que le réseau ban- faudra notamment qu’il vérifie que pour Le contrôle permanent devant égale-
caire qui distribue des crédits à la les IOBSP (Intermédiaires en opérations ment analyser de manière régulière les
consommation a été formé aux problé- de banque et en services de paiement) sites internet des intermédiaires et les
matiques du surendettement ; cela sup- qui se sont déclarés courtiers, l’établis- documents qu’ils diffusent à la clientèle,
pose d’aller en agences interviewer des sement n’a pas signé de mandat avec l’audit interne pourra ainsi d’une part
chargés de clientèle et de s’assurer que ces derniers, bien qu’il puisse signer des vérifier la pertinence et la qualité des
des formations leur ont bien été dispen- conventions permettant notamment de contrôles permanents réalisés sur les
sées. les rémunérer. IOBSP et, le cas échéant, effectuer des
L’audit interne devra également vérifier visites sur site de ces intermédiaires ou
que l’ensemble des dispositions prévues Pour les banques ayant en revanche, analyser les rapports de contrôle que ces
par la loi Lagarde et ses décrets sont res- signé des mandats avec des IOBSP derniers auront pu faire diligenter.
pectées, par exemple le délai légal de mandataires exclusifs ou non exclusifs,
rétractation passant de 7 à 14 jours, sans le régulateur demandant que l’établis- Comme on le voit, les pratiques com-
motif à fournir ni pénalités à payer par sement effectue des contrôles sur les merciales sont un thème à part entière
le client, l’interdiction de demander des tâches déléguées à l’IOBSP, le contrôle des programmes d’audit interne et en
indemnités de remboursement anticipé périodique devra s’assurer que ces constante évolution depuis plusieurs
à l'emprunteur pour des rembourse- contrôles sont bien effectués sur pièces, années. L’importance de ces contrôles
ments anticipés de moins de 10 000 € ou sur place soit par les instances de n’est plus à démontrer, non seulement
sur une période de 12 mois, la taille de contrôle permanent, soit dans ses ser- pour se préparer à des visites des auto-
caractère de la mention du Taux Annuel vices. rités de supervision mais également
Effectif Global qui doit être supérieure à Il serait, en effet, pertinent que le limiter les risques de réputation des éta-
celle des taux promotionnels … contrôle permanent vérifie que l’IOBSP blissements. 

avril-mai 2012 - Audit & Contrôle internes n°209 15


DOSSIER

Contrôle de la relation client


et des pratiques commerciales :
comment cela se passe-t-il
dans la banque ?
Entretien avec ...
Olivier Guilhamon - Directeur de la conformité, Crédit Agricole
Michel Le Masson - Inspecteur général, Crédit Agricole

Olivier Guilhamon : Les pratiques


commerciales recouvrent l’essentiel de
ce qui noue la relation entre un client et
son conseiller. Le plus simple est de
partir d’un rendez-vous en agence
entre ces deux personnes. Tout com-
mence par une bonne actualisation de
notre connaissance de la situation per-
sonnelle et patrimoniale du client afin
d’écouter ses attentes et besoins ayant
motivé la prise du rendez-vous. Un élé-
ment essentiel, en particulier pour un
entretien épargne ou assurance, est de
bien partager avec notre client sa capa-
cité, sur un horizon de temps déter-
miné, à prendre ou pas du risque sur ses
placements (afin d’accroître l’espérance
Michel Le Masson et Olivier Guilhamon de leur rendement).

Louis Vaurs : Comment définissez-vous les 2014 » met en avant le modèle d’une Cette approche par le questionnement
pratiques commerciales au sein du groupe banque relationnelle centrée sur le et le conseil est essentielle pour permet-
Crédit Agricole et quel en est le périmètre ? client, qui vise à « se différencier par la tre une première préconisation de
relation avec le client, en répondant à ses réponse au besoin par une offre de pro-
Michel Le Masson : En préambule, il besoins de manière loyale, transparente et duits adaptée. Cela nous conduit sou-
convient de rappeler que le projet de en lui apportant les conseils les plus perti- vent à avoir des messages et des illustra-
Groupe du Crédit Agricole décliné dans nents, facturés au juste prix ». tions simples, y compris dans la docu-
le plan moyen terme « Engagement mentation commerciale remise, pour

16 Audit & Contrôle internes n°209 - avril-mai 2012


Des relations clients et des pratiques commerciales encadrées

s’assurer d’une bonne compréhension ler attestant de sa compétence en étapes. La première a été de décliner les
et conduire à un choix le plus explicite matière de conformité avec des rappels attentes complémentaires du régulateur
possible par le client. Cela est d’autant réguliers et un suivi strict des formations par familles de produits d’épargne
plus essentiel que notre environnement reçues, dans un contexte de fort renou- financière et d’assurance et de manière
est marqué par des changements règle- vellement de nos effectifs (un tiers en pédagogique pour nos clients et conseil-
mentaires fréquents et, depuis 2008, par moyenne dans le réseau d’une caisse lers. Comparée à nos pratiques exis-
un contexte de crise financière qui a for- régionale depuis 5 ans). Cette certifica- tantes, cela a conduit à beaucoup plus
tement accru l’aversion au risque et le tion est un atout pour les nouveaux col- formaliser les phases de qualification
besoin d’expliquer. laborateurs, et l’assurance pour nos des compétences du client et de l’adé-
clients d’une réponse homogène et de quation des produits proposés à ses
Peut alors s’engager la phase contrac- qualité de la part de ses interlocuteurs besoins.
tuelle où les signatures du client et du sur ces domaines et obligations.
conseiller marquent l’engagement des A cela s’ajoute un coaching régulier par L’adaptation importante des outils n’a
deux parties, avec la précision des délais le manager du point de vente fondé pu se faire, vu côté client, qu’au prix
de rétractation propres à chaque famille d’abord sur le partage de bonnes pra- d’une certaine normalisation et un
d’offres ainsi que des principaux évène- tiques et le rappel de nos obligations.
ments à venir sur la vie du produit.
L. V. : En termes d’outils ?
L. V. : Votre approche concerne donc un
large éventail de produits ? M. le M. : Là aussi d’importants inves-
tissements ont été réalisés sur notre
M. le M. : Effectivement quasiment poste de travail pour aider à la réalisa-
tous ! Cela commence dès l’ouverture tion des entretiens commerciaux en veil-
du compte, son équipement avec les ser- lant à la bonne articulation entre la pré-
vices de la banque au quotidien (carte sence d’informations et d’écrans obliga-
bancaire, découvert autorisé …), le cré- toires et la nécessité de maintenir
dit, l’épargne de précaution, une assu- l’aptitude du conseiller à avoir une
rance automobile … écoute active de son client. La phase
Tous ces produits nous engagent en contractuelle a fait l’objet aussi d’une
termes de devoir de conseil, le domaine grande attention pour améliorer le pro-
des produits financiers constituant un cessus et sécuriser en particulier la phase
cas particulier en raison de leur com- de signature du client et d’archivage
Olivier Guilhamon
plexité et de la nécessité de bien identi- pour la banque. Le caractère très règle-
fier le niveau de compréhension du menté de notre profession conduit à alourdissement du processus de com-
client et son appétence aux risques. enchaîner souvent la signature de plu- mercialisation, notamment dans la
sieurs dizaines de pages et à devoir phase de signatures.
L. V. : Tout cela s’organise comment avec les conserver la preuve du consentement du
équipes en agence ? client et de l’adaptation de notre offre à Un important effort de formation a aussi
notre conseil. été réalisé avec le besoin de partager des
O. G. : L’essentiel se joue avec des bonnes pratiques et de rendre plus pré-
conseillers compétents et à l’écoute. L. V. : Plus spécifiquement, comment s’est cis les points de contrôle attendus des
D’importants efforts de formation ont passée la mise en place de la Directive MIF conseillers.
été engagés depuis plusieurs années dans les Caisses Régionales de Crédit Agri-
tant à LCL que dans chaque Caisse cole et à LCL ? L. V. : Au-delà de ce qui se passe dans
Régionale de Crédit Agricole. En parti- l’agence, comment décidez-vous au CA la
culier a été mise en place une certifica- O. G. : L’ampleur d’un tel projet à partir mise en marché d’un produit ?
tion professionnelle de chaque conseil- de 2007 a nécessité de procéder par

avril-mai 2012 - Audit & Contrôle internes n°209 17


DOSSIER

Extrait du discours prononcé par Jean-Pierre Jouyet, veaux produits/services ou des nouvelles
activités proposés. Cet avis précise par
Président de l’AMF, lors des vœux 2012 à la Place
exemple à quel segment de clientèle est
destiné le produit, quel est le degré de
« [...] En 2011, l’AMF a résolument poursuivi ses actions en faveur d’une risque associé, quelles précautions pren-
amélioration des conditions de commercialisation des produits finan- dre lors de la commercialisation (ne pas
ciers. excéder tel seuil, demander l’accord
• Tout d’abord, en renforçant ses actions d’information à l’égard des épar- parental, etc.).
gnants, qui ont atteint cette année leur rythme de croisière. A titre d’exem- Présidé par le membre du comité exécu-
ple, nous avons traité plus de 10 000 demandes de renseignement via la
tif en charge de ces activités, il se réunit
plateforme AMF info service, et formé, à Paris et dans 6 régions, plus de 200
deux fois par mois et dispose d’un droit
responsables d’associations de consommateurs.
de veto sur les dossiers qui lui sont pré-
• Mais nous avons aussi poursuivi notre effort en vue d’une meilleure sentés. Pour rendre son avis, le comité
connaissance des pratiques de vente : les trois vagues de visites mystères étudie l’offre au vu des documents tels
organisées par la DREP ont mis en évidence des progrès encourageants en que les contrats-client, les supports de
matière de conformité réglementaire du conseil en investissement distribution fournis aux Caisses régio-
financier ; elles ont également mis en lumière des faiblesses, sur la connais- nales et les éléments de communication
sance du profil de clientèle, la traçabilité du conseil fourni ou encore la proposés (dépliants en agence par
transparence des frais.
exemple).

En 2012, nous amplifierons ces actions, avec notamment la création de l’Ob-


En aval, chaque distributeur (Caisse
servatoire de l’Epargne. Fort de la connaissance accumulée dans les derniers
mois, nous clarifierons également la doctrine applicable au service de conseil régionale ou LCL) valide, dans son pro-
en investissement, par exemple sur la formation des vendeurs ou la traçabilité pre comité NAP, les conditions effectives
du conseil. Cette doctrine sera élaborée de façon concertée avec l’Autorité de de mise en marché des nouvelles offres
Contrôle Prudentiel au sein du pôle commun, dont Natalie Lemaire assume groupe et réalise le suivi de leur com-
depuis le début d’année la coordination. mercialisation.
Une fois ces règles clarifiées, il s’agira de les faire appliquer rigoureusement.
Plus de quatre ans après l’entrée en vigueur de la première version de la Direc- Au final, nous avons au service du client
tive sur les Marchés d’Instruments Financiers, il ne serait pas acceptable que les
une chaîne assez structurante entre les
conditions de commercialisation des produits financiers ne soient pas parfaite-
précautions prises pour « sortir » un
ment conformes aux exigences réglementaires. L’AMF y veillera avec fermeté,
les écarts relevés ne pouvant plus être tolérés. » produit, la qualification exigée du
conseiller (« certification »), et le ques-
tionnement obligatoire du client sur son
M. le M. : La structure du groupe Crédit filiale productrice) et d’autre part par le projet mais également sur sa compré-
Agricole est un point d’appui important comité NAP Distributeur nouveaux pro- hension du produit.
avec une claire distinction entre les dis- duits de Crédit Agricole SA.
tributeurs que sont les Caisses régio- L. V. : En termes de contrôles, quel est le dis-
nales et LCL et les producteurs, filiales Alors que le comité « producteur » positif mis en œuvre spécifiquement sur les
du groupe Crédit Agricole SA (notam- valide le fait que le produit est commer- pratiques commerciales et la protection de
ment pour les crédits à la consomma- cialisable (conforme, disposant des la clientèle ?
tion, les OPCVM et l’assurance vie). agréments nécessaires, supporté par les
éléments d’information commerciale O. G. : Tout d’abord un commentaire
La mise en marché des produits est exa- essentiels), le comité « distributeur » a pour indiquer que la protection de la
minée d’une part par un comité Nou- pour mission de formuler un avis de clientèle nous paraît être un thème de
velles Activités – Nouveaux produits (dit conformité sur les conditions de distri- communication important et porteur à
comité NAP) Producteur (relevant d’une bution en Caisse Régionale des nou- un moment où les banques souhaitent

18 Audit & Contrôle internes n°209 - avril-mai 2012


Des relations clients et des pratiques commerciales encadrées

renforcer le lien avec leurs clients. Ce exposition sur ces risques, et en fonc- thèmes d’investigation des missions
thème est régulièrement repris dans tion, établir les plans d’action adéquats. « monographiques » effectuées par
notre gouvernance de contrôle interne l’Inspection Générale du groupe dans
pour attirer l’attention sur les sujets opé- Le référentiel des contrôles permanents les Caisses régionales de Crédit Agri-
rationnels concernés et faire le lien avec consolidé de niveau groupe comprend cole, notamment s’agissant des proces-
les déploiements commerciaux en cours. par exemple des contrôles spécifiques sus de qualification clients, de validation
C’est le type même de préoccupation sur le dispositif de traitement des récla- produits, et de l’adéquation des offres.
sur laquelle conformité et commercial se mations de la clientèle ainsi que sur les Plusieurs missions thématiques ont été
complètent. comités NAP, l’adéquation du produit aussi pilotées par l’inspection générale
ou service aux besoins du client ou le en collaboration étroite avec les audits
respect de la règlementation CNIL. Les locaux de chacune des Caisses régio-
résultats de ces contrôles font l’objet nales : dès 2008 sur le respect des obli-
d’une consolidation trimestrielle par la gations règlementaires en matière de
direction des risques Groupe sur le consumérisme, en 2009 avec un premier
périmètre du groupe Crédit Agricole. bilan sur l’usage de la Directive MIF. De
Depuis fin 2011, une synthèse est pré- plus, en 2011, une mission transverse
sentée au Comité de contrôle interne intitulée « commercialisation de pro-
Groupe pour un examen ciblé des plans duits financiers » a couvert 11 entités du
d’actions prioritaires. groupe : des producteurs (Amundi et
CAA), des distributeurs ainsi que Crédit
L. V. : Et en termes d’audit ? Agricole SA au titre d’organe central et
normatif du Groupe.
M. le M. : Tout d’abord, et pour conti-
nuer sur le volet des contrôles, nous L. V. : Comment s’effectue dans votre
observons la mise en place de processus groupe l’analyse et le traitement des récla-
pour sécuriser la commercialisation des mations ?
Michel Le Masson
produits financiers dont les exigences
pour les équipes en termes de contrôles M. le M. : Les Caisses régionales et LCL
En ce qui concerne les risques opéra- deviennent progressivement compara- sont organisées de manière à recevoir et
tionnels, la cartographie déployée au bles à celles qui ont été mises en place traiter les réclamations de la clientèle
sein du groupe Crédit Agricole intègre sur la connaissance des clients en selon un modèle classique à trois
depuis 2005 le risque de non-confor- matière de sécurité financière. Les élé- étages : agence, service client de la
mité, à travers un référentiel commun ments de reportings et de comparaisons CRCA ou de LCL, médiateur de la
des événements de risques. entre agences pour développer l’anima- CRCA ou de LCL. Lors de nos missions
tion se sont également développés. d’inspection, nous observons que l’im-
En 2011, des travaux ont été menés afin portance d’un bon traitement des récla-
d’identifier les évènements de risques S’agissant du contrôle périodique, les mations clients est déjà bien intégrée
liés à la protection de la clientèle au sein audits locaux des Caisses régionales ont par les distributeurs : tous disposent
du référentiel des risques spécifiques de renforcé les points de contrôles confor- d’un service dédié et les délais de
non-conformité. Parmi les événements mité dans les audits réguliers réalisés en réponse sont suivis avec précision ;
de risque de non-conformité ainsi agences, ce qui permet de mesurer régu- l’animation des agences est en place
recensés, certains relèvent du thème lièrement les évolutions car environ 25 mais est encore à renforcer pour pour-
relation commerciale, de la conformité à 30% des agences sont couvertes par suivre l’homogénéisation des pratiques.
NAP, des conflits d’intérêts et des dispo- chaque plan d’audit annuel.
sitions législatives et réglementaires. La mise en œuvre des règles de protec- O. G. : Crédit Agricole SA, quant à elle,
Ainsi, les entités peuvent identifier leur tion de la clientèle fait aussi partie des dispose d’une unité chargée de traiter

avril-mai 2012 - Audit & Contrôle internes n°209 19


DOSSIER

les réclamations effectuées par des élaborées conformément aux dispositions mun AMF-ACP et développons avec lui
clients des entités du Groupe, qui législatives, réglementaires, codes de un niveau d’échange qui progressive-
s’adressent à l’organe central, soit en conduite et procédures internes propres à ment rejoint celui obtenu séparément
dernier ressort, soit concomitamment à l'activité bancaire et financière (…) ». Il avec l’ACP et avec l’AMF.
leur demande en local. Cette unité, rat- rappelle que « chaque entité a également N’oublions toutefois pas que le traite-
tachée au secrétaire général, contribue à mis en œuvre des méthodes adaptées à ses ment des réclamations ou le suivi de la
organiser la collecte d’informations sta- métiers afin d’optimiser le processus de mise en marché d’un produit ne datent
tistiques dans le cadre du projet intitulé suivi et de traitement des réclamations des pas – et heureusement – de la mise en
FIR (« fédération des informations sur clients », et fixe des engagements rela- œuvre de ces mesures récentes, et font
les réclamations », auquel participent 25 tionnels pour les CRCA (cf. supra). partie des activités récurrentes de nos
Caisses Régionales de Crédit Agricole organisations.
volontaires) et, avec d’autres directions L. V. : Comment évaluez-vous l’importance Nous sommes donc attentifs, avec les
du Groupe (direction de la conformité, qu’accordent les régulateurs au sujet de la autres fonctions de contrôle de notre
direction juridique, direction de la distri- commercialisation des produits financiers ? groupe, au respect des exigences règle-
bution), à faire évoluer et partager les mentaires mais en même temps au
bonnes pratiques. M. le M. : Il est normal que la montée maintien d’une relation de confiance
du mouvement consumériste s’accom- avec chacun de nos clients qu’une
M. le M. : Le projet de Groupe du Crédit pagne d’une règlementation plus com- approche trop juridique de notre conseil
Agricole « Engagements 2014 » fixe plète et précise, dans le monde de la peut déjà parfois interpeller.
pour ambition le développement d’une banque comme dans les autres secteurs
relation équilibrée avec la clientèle : d’activité. L. V. : Nous vous remercions de nous avoir
« Nous veillons scrupuleusement à ce que Nous percevons avec beaucoup d’intérêt accordé cet entretien. 
nos offres de produits et de services soient la montée en puissance du service com-

20 Audit & Contrôle internes n°209 - avril-mai 2012


Des relations clients et des pratiques commerciales encadrées

La protection de la clientèle
dans le monde de l’assurance
Entretien avec ...
Anne Savey - Responsable du Contrôle Général, MMA - Présidente du Groupe professionnel
« Assurance » de l’IFACI

La protection de la clientèle vient au premier rang des préoccupations des assureurs en


terme de conformité.
Dans le monde de l’assurance, l’ACP, Autorité de Contrôle Prudentiel, est très vigilante
quant à la protection des consommateurs qui entre dans son champ de contrôle : textes
réglementaires, mais aussi recommandations et soft law.
Dans les groupes d’assurance, les acteurs de la fonction conformité jouent un rôle de tout
premier plan dans le respect des règles de protection de la clientèle. Bien entendu l’audit
interne évalue également périodiquement l’efficacité des dispositifs en place.

Jean-Loup Rouff : Quels sont, selon vous, annuelle ACP-IFACI en novembre der- térêt et la protection du client, sachant
les principaux risques associés à la gestion nier, à laquelle participaient les groupes que le client n’est pas exclusivement
de la relation client et aux pratiques com- professionnels « Banque » et « Assu- celui qui souscrit le contrat : c’est à la
merciales ? Quels dispositifs ont-ils été mis rance » de l’IFACI. L’un des messages fois l’assuré, les adhérents, des souscrip-
en place pour l’identification de ces forts qu’ont passé Danièle Nouy et teurs ou des bénéficiaires.
risques ? Fabrice Pesin aux assureurs consistait
justement à attirer leur attention sur L’ACP a demandé, fin 2011, aux sociétés
Anne Savey : C’est un point sur lequel l’importance qu’ils doivent accorder au d’assurance de remplir une annexe spé-
il n’y a pas de réponse immédiate dans respect des règles de protection de la cifique au sein du rapport de contrôle
le monde de l’assurance. Nous parlons clientèle. interne, qui doit lui être transmis tous les
plutôt maintenant de protection de la ans avant le 30 juin. Cette annexe prend
clientèle. Pourquoi cette terminologie ? J. L. R. : Et ces règles de protection, en quoi la forme d’un questionnaire qui com-
Parce que c’est celle que notre autorité consistent-elles exactement ? porte une centaine de questions, très
de contrôle, l’ACP, utilise. C’est une thé- précises, sur les règles de protection de
matique sur laquelle elle insiste beau- A. S. : Il n’y a pas de texte spécifique la clientèle, et sur les dispositifs de
coup depuis la mise en place dans son fixant exhaustivement ce que recouvrent contrôle mis en place au sein de nos
organisation d’une direction du contrôle les règles de protection de la clientèle. groupes.
des pratiques commerciales ; elle y a L’ACP indique que cela doit couvrir tout Par le biais de ce questionnaire, notam-
même fait allusion lors de la rencontre texte, toute obligation, qui va dans l’in- ment, il est possible de cerner le périmè-

avril-mai 2012 - Audit & Contrôle internes n°209 21


DOSSIER

tre intégrant ces règles, et donc, les La phase de commercialisation, elle- En assurance vie, le contrat peut se
risques que l’on doit couvrir. Ce sont à même, peut être soumise à diverses dénouer au décès de l’assuré. Dans ce
la fois des enjeux touchant à la concep- obligations et à des vigilances à respec- cas-là, les assureurs sont tenus de
tion des produits, à la commercialisa- ter, notamment pour tout ce qui est rechercher les bénéficiaires, qui, ne
tion, et à des éléments au cours de la vie communication à caractère publicitaire. sachant pas forcément qu’ils sont décla-
et de la fin du contrat ; avec aussi un cer- Si je reviens sur l’assurance vie, il n’est rés sur des contrats d’assurance vie, ne
tain nombre de thèmes transverses sur pas possible, par exemple, d’afficher des réclament pas spontanément leur dû.
ces trois éléments du cycle de vie. taux de rendement qui ne seraient pas
clairement compréhensibles pour le Le domaine est donc très vaste pour
Un des éléments importants, et le pre- client : taux brut, taux net de frais de tout ce qui touche à la protection de la
mier auquel on peut penser en termes gestion ; il convient d’être extrêmement clientèle.
de relation client, c’est le traitement des précis sur tout cela.
réclamations. C’est un thème transverse J. L. R. : Les pratiques commerciales doi-
qui a fait l’objet d’une recommandation D’autres éléments sont à prendre en vent être en conformité avec les réglemen-
par l’ACP en fin d’année dernière. compte. Par exemple, en assurance vie, tations externes et les règles internes (com-
on sait qu’il peut y avoir des clients plus pliance). Comment appréhendez-vous les
En effet, à côté des textes réglementaires fragiles : des personnes âgées ou des risques de non-conformité ? Quels disposi-
qui imposent des obligations, il y a aussi personnes protégées. Les pratiques tifs spécifiques avez-vous mis en place pour
d’autres obligations auxquelles il faut commerciales doivent être adaptées les maîtriser ?
répondre, même si ce ne sont pas à pro- pour veiller à ce que nos forces commer-
prement parler des réglementations – ciales ne leur « forcent pas la main » A. S. : Les normes prudentielles édictées
on appelle cela la soft law –. L’ACP elle- pour souscrire des affaires. par Solvabilité 2 sont des textes euro-
même émet des bonnes pratiques ou péens qui devraient entrer en vigueur
des recommandations auxquelles on Les forces commerciales, elles-mêmes, pleinement en 2014.
doit se conformer. Cela a donc force doivent respecter un certain nombre
d’obligation pour nous, tout autant que d’obligations en termes de connaissance L’article 46 porte sur le contrôle interne,
la réglementation. du client : bien analyser ses besoins. On et en particulier sur la fonction de
doit veiller également à ce que leur conformité, qui prend maintenant toute
Ensuite, il y a plusieurs éléments en lien rémunération ne les pousse pas à orien- sa place.
avec la conception des produits et qui ter le choix du client au détriment des
visent à protéger le client, et nécessitent besoins de ce dernier. Ce sont des points Il oblige à créer une fonction de vérifi-
un dispositif de contrôle adapté. Par sur lesquels il faut être vigilant. cation de la conformité au sein des
exemple, un processus au sein des socié- sociétés d’assurance. Pour certaines,
tés d’assurance doit être en place pour Dans le cas où la distribution des pro- comme les grands groupes qui faisaient
s’assurer que l’élaboration des produits duits, la commercialisation s’effectue par notamment l’objet d’obligations liées
est maîtrisée, que les nouveaux produits le biais d’intermédiaires – c’est le cas aux marchés financiers, elles disposaient
font l’objet d’une approbation par un chez MMA, puisque l’on distribue à la déjà de ce type de fonction, mais pour la
certain nombre de personnes incontour- fois par des réseaux d’agents généraux, plupart des autres, ce sont des organisa-
nables au sein des groupes, notamment mais aussi par des courtiers – un ensem- tions qui se mettent en place progressi-
la fonction Conformité, la direction ble de textes encadrent cette intermé- vement.
générale, etc. diation, notamment sur le devoir de
Il y a également des éléments qui doi- conseil que l’on a vis-à-vis du client. C’est une réflexion en cours chez MMA,
vent figurer dans les contrats : des et un dispositif qui est en train de s’affi-
clauses, en particulier dans le domaine Enfin, au cours de la vie du contrat et en ner. Quel est le rôle des fonctions de
de l’assurance vie, avec des mentions fin de vie du contrat, des points doivent contrôle interne permanent, dans ce
obligatoires. Tout cela doit faire l’objet de faire l’objet d’une vigilance particulière, domaine ? Est-ce que la fonction
points de contrôle. notamment au moment de la résiliation. conformité est distincte ou intégrée ?

22 Audit & Contrôle internes n°209 - avril-mai 2012


Des relations clients et des pratiques commerciales encadrées

Quels sont ses modes de fonctionne- A. S. : L’audit interne, dans le cadre de A. S. : Je ne pense pas que cette équa-
ment avec les acteurs traditionnels de la ses contrôles, est amené à porter un tion, difficile, soit résolue… En tout cas,
conformité que sont les services juri- regard périodique sur tous ces aspects. les opérationnels, les forces commer-
diques ? Et avec les acteurs opération- ciales, notamment, qui sont sur le ter-
nels, qui doivent veiller à la conformité Chez MMA, un audit interne sur les rain, ont le sentiment que tous les textes,
au quotidien ? règles de protection de la clientèle a été toutes les obligations qui se cumulent (la
e
mené au 2 semestre 2011. Effective- lutte anti-blanchiment par exemple),
J. L. R. : Quelles sont les fonctions plus par- ment, nous avons été amenés à formuler obligent à avoir une connaissance du
ticulièrement chargées des contrôles perma- des recommandations concernant les client et une relation au client qui pren-
nents ? dispositifs en place, principalement pour nent en compte des points de passage
renforcer l’organisation de la fonction obligés. Et les forces commerciales peu-
A. S. : La protection de la clientèle entre Conformité. vent effectivement avoir le sentiment
bien dans la fonction générique confor- que tout cela est un frein au business. Ce
mité, intégrée dans le dispositif de L’environnement réglementaire s’étant sont donc des objections que l’on nous
contrôle interne permanent. beaucoup durci en l’espace de deux ans, fait en permanence : le temps consacré
nous avons jugé nécessaire, dans le à répondre aux obligations est autant de
Les équipes en charge de la conformité cadre du plan d’audit, de positionner temps en moins pour conquérir le client.
sont en général des équipes centrales, une première mission visant à dresser
qui ont une vision transverse sur les un panorama général des obligations et Il existe une réponse qui consiste à dire :
sociétés ou sur les groupes ; elles fonc- un état général du dispositif en place de toute façon, il faut répondre aux obli-
tionnent avec des liens privilégiés avec pour les maîtriser au sein du groupe. gations. Mais cela ne se fait pas complè-
les services juridiques et avec des relais Nous avons prévu, par la suite, de tement au détriment de la performance
de contrôle interne et de conformité déclencher périodiquement des audits puisque l’on va dans le sens d’une meil-
dans l’ensemble des entités du groupe. thématiques plus ciblés sur chacun des leure écoute du client, d’une meilleure
Par exemple, chez MMA, il y a ce que thèmes que je vous ai cités, qui, en soi, analyse de ses besoins.
l’on appelle un réseau d’une cinquan- méritent un regard particulier.
taine de référents risques et contrôle Tout cela va ensuite s’intégrer dans le Il faut donc dépasser ce qui peut appa-
interne, qui ont également leur rôle à rythme du plan d’audit pluriannuel du raître comme une contrainte, et essayer
jouer sur les thématiques de protection groupe. d’y voir également une source d’oppor-
de la clientèle. tunités. Mais ce message est encore par-
J. L. R. : Comment résolvez-vous l’équation fois difficile à faire passer. 
J. L. R. : L’audit interne a-t-il été amené à entre la recherche de la performance et la
formuler des recommandations concernant régularité des pratiques ? Entre la volonté
les dispositifs mis en place et, si oui, les- de satisfaire le client et la volonté de renta-
quelles ? bilité ? Comment appréhendez-vous les
risques liés à cette dualité ?

En avril 2012, plus de 150 CV en ligne

Vous êtes à la recherche de collaborateurs ...


Rendez-vous dans l’espace emploi du site internet de l’IFACI (www.ifaci.com),
consultez les CV en ligne et postez vos offres d’emplois et de stages.

CIBLÉ / SIMPLE / G R AT U I T

avril-mai 2012 - Audit & Contrôle internes n°209 23


DOSSIER

Le rôle de l’audit interne dans


les activités commerciales
d’EDF
Entretien avec ...
Christine Lagorce - Directeur de l’Audit de la Direction Commerce, EDF SA

Jean-Loup Rouff : Quels sont, selon vous, fiabilité et la sécurité des systèmes d’in-
les principaux risques associés à la gestion formation.
de la relation client et aux pratiques com-
merciales ? J. L. R. : Quels dispositifs ont-ils été mis en
place pour l’identification de ces risques ?
Christine Lagorce : Il existe plusieurs
domaines de risques : la maîtrise de la Ch. L. : Nous disposons d’un processus
satisfaction client ; les risques d’altéra- d’identification des risques à deux
tion de l’image et les impacts média- niveaux.
tiques associés ; les risques afférents au Un processus d’identification de premier
respect du droit de la concurrence, du niveau, pour les risques majeurs ou stra-
code des marchés publics, notamment ; tégiques, qui pèsent sur l’ambition et les
dans le même registre, il existe un risque grands projets de transformation ou de
concernant la mise en œuvre des obli- préparation de l’avenir d’EDF Com-
gations réglementaires : on peut citer, à merce. Ces risques sont identifiés et
EDF n’est pas un fournisseur ordinaire titre d’exemple, le code de la consom- actualisés deux fois par an, en mars et en
et les risques encourus sont en rapport mation, bien sûr ; la réglementation octobre. Il y en a une trentaine. Quinze
avec les exigences des millions de concernant la précarité et les clients d’entre eux sont remontés au niveau du
consommateurs et des nombreux démunis, avec les tarifs sociaux et le Groupe, dans la mesure où les impacts
superviseurs. décret « Impayés ». médiatiques ou financiers sont tels qu’ils
Aussi, le dispositif d’identification des Ensuite, nous avons, comme toute ne sont pas du seul ressort d’une direc-
risques, notamment majeurs ou stra- entreprise, des risques de fraude : tion opérationnelle.
tégiques, requiert-il une vigilance détournement d’actifs, corruption, falsi- Le deuxième niveau d’identification des
continue. fication des résultats, etc. Nous avons risques porte sur la sécurisation et la
Sans pouvoir prétendre à des contrôles également des risques directement liés maîtrise des activités : les objectifs et les
exhaustifs, compte tenu de la charge à notre activité : développement du chif- activités des entités opérationnelles
opérationnelle, un difficile arbitrage fre d’affaires et des marges, fiabilité de d’EDF Commerce sur le territoire (il y en
doit être trouvé entre les différents la facturation et du recouvrement, et des a dix), les processus métier : la vente, la
enjeux, notamment financiers, et le risques financiers associés à tout cela. facturation, le recouvrement … ou sur la
poids du risque. Enfin, nous identifions des enjeux conduite opérationnelle des projets.
autour de la sécurité du patrimoine, la

24 Audit & Contrôle internes n°209 - avril-mai 2012


Des relations clients et des pratiques commerciales encadrées

J. L. R. : Les pratiques commerciales doi- liers (code de la consommation notam- Ch. L. : Avec un programme d’une
vent être en conformité avec les réglemen- ment) ; le processus de recouvrement et quinzaine d’audits par an, nous émet-
tations externes et les règles internes, c’est le respect des obligations du décret tons un certain nombre de recomman-
la compliance. Comment appréhendez-vous impayés ; le processus achats ; les pro- dations concernant la maîtrise des
les risques de non-conformité et quels dis- cessus de facturation et de recouvre- risques.
positifs spécifiques avez-vous mis en place ment ; le respect des référentiels de Dans l’ensemble, sur les thèmes audités
pour les maîtriser ? sécurité financière du Groupe ; ainsi que – activités métiers, processus transverses
des audits d’entités et des audits sur la ou projets – il existe des cartographies
Ch. L. : Les processus métiers intègrent maîtrise des risques de fraude. des risques. Les axes d’amélioration
les obligations réglementaires et les portent essentiellement sur le pilotage
règles internes à respecter. Des contrôles J. L. R. : Quelles sont les fonctions plus par- des plans d’action de maîtrise des
sont décrits et mis en œuvre dans le ticulièrement chargées des contrôles perma- risques, la mesure de l’efficacité de ces
cadre de ces processus : des indicateurs, nents ? actions, et l’analyse de la performance
procédures, modes opératoires, et des des dispositifs de contrôle.
contrôles internes, pilotés dans un plan Ch. L. : Le management est l’acteur Par ailleurs, plusieurs recommandations
de contrôle interne annuel, permettent majeur des contrôles permanents ; il est ont trait à la définition des indicateurs
de s’assurer du respect de ces exigences. accompagné par des équipes dédiées au de surveillance des activités. La maîtrise
En outre, nous disposons, dans le réfé- pilotage de la performance au sein des de l’activité repose notamment sur la
rentiel de contrôle interne du Groupe, entités opérationnelles. cartographie des processus du système
d’un certain nombre d’objets de maîtrise Un plan de contrôle interne est prescrit de management commerce : les objectifs
pour les domaines « support » et fonc- au niveau national. Les acteurs majeurs de performance des processus sont
tionnels : sur les domaines RH, finan- en sont les porteurs des processus volontairement définis de telle sorte à
cier, comptable, sur les systèmes d’infor- métier et support – le processus achats, être les plus proches possible des
mation, etc. Chacune des entités doit se le processus RH, le processus SI, le pro- contrats d’objectifs annuels, ceci afin
poser un certain nombre de questions cessus communication, etc. – l’ensemble
très précises, s’auto-évaluer pour se du plan de contrôle interne annuel étant
Universitaire, diplômée en Sciences de Ges-
positionner dans son niveau de maîtrise orchestré par l’équipe nationale « sys-
tion (Paris I Panthéon Sorbonne 1983),
de ses activités et de respect de toutes tème de management contrôle
Christine Lagorce est entrée à EDF en
ces obligations. Les dispositifs de interne ».
1984. Son parcours professionnel est
contrôle et la fiabilité de ces auto-éva- Ensuite, ces contrôles sont déployés au essentiellement centré sur les domaines
luations sont audités régulièrement. niveau des entités, au sein desquelles marketing et commercial, au sein desquels
Pour appréhender les risques de com- chacun est acteur du contrôle interne. Il elle a successivement exercé des responsa-
pliance vis-à-vis des règles externes, un est en effet de la responsabilité des enti- bilités d’analyste marketing et de manager
partage des analyses de risques avec le tés d’identifier si les processus sont cor- des ventes. Entre 1997 et 2006, dans la
service juridique est réalisé pour chacun rectement mis en œuvre, s’ils sont per- perspective de l’ouverture du marché de
des marchés : particuliers, entreprises, formants et sous contrôle, d’identifier et l’électricité à la concurrence, elle a parti-
professionnels, collectivités territoriales, de réaliser les contrôles internes associés cipé aux projets de transformation du
lesquels sont soumis à des réglementa- à leurs risques opérationnels. Mais elles
commercialisateur d’EDF, et enfin, dirigé,
au plan national, le département Marke-
tions externes différentes. Ce partage doivent aussi respecter et mettre en
ting PME PMI.
vise à nous assurer de l’exhaustivité de œuvre le plan de contrôle interne pres-
En 2007, elle a rejoint la direction de l’audit
ces risques, et également à déterminer crit.
corporate et piloté une dizaine de missions,
la façon de les couvrir.
sur l’ensemble des grands enjeux du
Enfin, nous réalisons des audits. Citons J. L. R. : L’audit interne a-t-il été amené à Groupe.
quelques thèmes : la maîtrise des risques formuler des recommandations concernant Depuis juin 2009, elle dirige l’audit de la
juridiques (offres, communication, par- les dispositifs mis en place ? Si oui, les- direction Commerce, entité d’audit métier,
tenariat, prix) ; la maîtrise des règles quelles ? qui intervient sur le périmètre des activités
applicables sur le marché des particu- commerciales d’EDF SA.

avril-mai 2012 - Audit & Contrôle internes n°209 25


DOSSIER

d’intégrer le management de la perfor- médiatique. Ch. L. : Il y a deux types de formation.


mance dans son ensemble (résultats De fait, nous faisons de nombreux La formation aux gestes métier, aux
opérationnels et processus). contrôles sur les factures impayées et le modes opératoires « pas-à-pas » qui
De fait, nous constatons, au cours des recouvrement, pour s’assurer qu’il n’y a intègre, par définition, le respect de
audits, que les activités à risques et les pas de fraude, que le processus de toutes les règles. Nous sensibilisons nos
indicateurs de surveillance associés, ou relance est bien mis en œuvre, que le acteurs, et notamment nos conseillers
les actions de maîtrise pour chacune des processus de traitement des clients clients au téléphone, ou encore les char-
activités stratégiques des processus ne démunis est conforme à la règlementa- gés de relation partenaires, à tous les
sont pas toujours, soit identifiés, soit tion. risques et aux raisons pour lesquelles le
pertinents. Nous faisons souvent des Autre exemple, les contrôles sur les geste métier doit être réalisé selon telle
recommandations dans ce domaine. achats : ils sont définis et calibrés au modalité et aucune autre.
Nous en formulons également sur la regard des exigences de sécurité finan-
protection des données et la sécurité du cière (délégations, habilitations, sépara- Le second type de formation concerne
patrimoine. tion des tâches notamment), des règles des cibles spécifiques (commerciaux,
en vigueur au niveau du Groupe et des management notamment) et porte sur
J. L. R. : Comment résolvez-vous l’équation volumes financiers annuels concernés, les risques juridiques – droit de la
entre la recherche de la performance et la la direction Commerce ne représentant concurrence, risque pénal des diri-
régularité des pratiques ? Entre la volonté qu’un faible pourcentage des achats du geants, code des marchés publics, etc.
de satisfaire le client et la volonté de renta- Groupe. Ce sont des programmes très structurés,
bilité ? Comment appréhendez-vous les élaborés au niveau du groupe EDF et,
risques liés à cette dualité ? J. L. R. : Les personnes chargées des rela- évidemment, la direction Commerce est
tions clients suivent-elles des formations particulièrement concernée. 
Ch. L. : Je prendrai comme exemple la spécifiques régulières ?
conformité au code de la consommation
et aux règles applicables sur le marché
Fournisseur d’électricité et de gaz des clients finaux en France, EDF COMMERCE a la
des particuliers. Avec 27 millions de
responsabilité de la relation client, de la facturation et du recouvrement.
clients particuliers et 5 000 conseillers A ce titre, EDF COMMERCE :
clients, nous pourrions consacrer des • gère les demandes de ses clients (ouverture d’un nouveau contrat ou sa modifica-
journées entières à faire du contrôle tion, information sur les offres et services, la facture et son paiement, réclamation) ;
• assure la relation avec le distributeur ERDF, concernant les interventions sur le
pour s’assurer que les gestes métier sont
compteur, le raccordement, la relève, l’ouverture et la résiliation des contrats.
respectés, qu’il n’y a pas d’erreur ou de
L’ambition première d’EDF COMMERCE est de gagner durablement la confiance des
contournement de la réglementation. Et clients en consolidant leur satisfaction par :
il est vrai que nous avons identifié, dans • l’excellence dans la relation clientèle et une gamme d’offres adaptée (électricité et
nos audits, un certain nombre d’activités gaz / maîtrise de la demande d’énergies) ;
• un accompagnement des clients dans leurs actions et investissements d’efficacité
sur lesquelles il n’y avait pas de contrôle énergétique ;
systématique, sur la vente de services • un engagement fort auprès des clients en situation de précarité énergétique.
associés à la fourniture d’énergie, par EDF COMMERCE est organisé autour de 8 directions commerce régionales, proches de
exemple. leurs clients et des territoires, qui ont la responsabilité d’un portefeuille régional de
clients entreprises, professionnels, collectivités territoriales, ainsi que les activités de
Alors, comment calibre-t-on l’équilibre proximité et solidarité pour les clients particuliers.
entre « je mets des contrôles internes sur Concernant les clients grands comptes à la maille nationale et les centres de relations
tous les risques de cet ordre-là » et « je mets clients particuliers (téléphone, internet, courrier) la gestion des activités est nationale.
Trois directions de marché sont en charge, au plan national, de cadrer et de piloter cha-
des contrôles internes sur les risques assez
cun des segments : collectivités et territoires, entreprises et professionnels, particuliers.
classiques et traditionnels : fraude, déléga-
tion, achat, geste métier, facturation, etc. » ? Chiffres-clés :
L’équilibre est réalisé sous la responsa- • 29 400 M€ de CA
• 370,2 TWh d’électricité et 18 TWh de gaz vendus
bilité du management. C’est un arbi- • 26 millions de clients et 32 millions de contrats
trage au regard du poids du risque, des • 11 500 salariés
volumes financiers en jeu et du risque • 67 centres de relations clients et 100 boutiques : 5 000 conseillers clients

26 Audit & Contrôle internes n°209 - avril-mai 2012


LES AUDITS MÉTIERS

Etat des lieux de la réflexion


sur les plans de continuité
des activités dans les
entreprises françaises
La mise en place d’un plan de continuité des activités (PCA) a débuté il y a une quin-
zaine d’années dans le secteur bancaire. Aujourd’hui, rares sont les entreprises qui
ont un niveau de maturité suffisant et qui possèdent des PCA testés et opérationnels
qui leur permettraient d’assurer la continuité de leurs activités critiques en cas d’évé-
nement les privant de leur environnement de travail.
Les directions étant elles-mêmes peu sensibilisées sur le sujet, il appartient à l’audit
de définir clairement le PCA, le modus operandi de sa mise en œuvre, et les moyens
de s’assurer de son efficacité.

des initiés, parle aujourd’hui à un plus maturité suffisant et qui possèdent des
grand nombre de personnes dans l’en- PCA testés et opérationnels qui leur per-
treprise. Cependant, les plans « grippe » mettraient d’assurer la continuité de
Véronique Demachy sont forts spécifiques et reposent à la leurs activités critiques en cas d’évène-
fois sur un contexte de crise majeure, ment les privant de leur environnement
Directrice associée, Mica
dans une zone géographique, et sur de de travail.
multiples inconnues (Quel personnel
disponible ? Quelle capacité pour le per- Entre gestion des risques et

L
a démarche qui consiste à déve- sonnel de travailler à domicile et pen- gestion de crise, où situer le
lopper un plan de continuité des dant combien de temps ? Quelles direc- plan de continuité des
activités (PCA) a débuté il y a tives de l’Etat ?). activités ?
une quinzaine d’années dans le secteur
bancaire. Aujourd’hui, le développe- Les entreprises, qui ont débuté leur Le premier constat que l’on fait en inter-
ment des PCA est un processus qui est démarche PCA avec une réflexion sur les rogeant des auditeurs, c’est que leur
loin d’être suivi par la majorité des plans « grippe », ont certes mobilisé des définition du PCA varie en fonction du
entreprises françaises. Le PCA ne fait moyens ponctuels, mais la grande majo- milieu dans lequel ils travaillent et que
pas encore partie de leur culture. La rité d’entre elles n’a pas su transformer les frontières entre le PCA, la gestion de
mise en œuvre des plans relatifs à la l’effort pour bâtir des PCA « clas- crise, les plans de secours informatiques,
grippe H1N1, en 2009, a pourtant eu siques », à savoir pour faire face à une et la gestion des risques, sont en général
pour effet la vulgarisation du terme indisponibilité de leur environnement globalement plus ou moins mal appré-
« PCA ». En effet, ce terme qui n’évo- de travail habituel. Aujourd’hui, rares hendées. Il est donc difficile de démarrer
quait jusque là quelque chose que pour sont les entreprises qui ont un niveau de un audit dans ces conditions.

avril-mai 2012 - Audit & Contrôle internes n°209 27


LES AUDITS MÉTIERS

Les différences entre le PCA et le PSI Scénario couvert par le PCA


(plan de secours informatique) sont en
L’auditeur doit s’assurer que le PCA répond à l’indisponibilité partielle ou totale
général mieux appréhendées par les
de l’environnement de travail. Si l’auditeur découvre des documents intitulés
auditeurs du milieu bancaire. En effet, la
PCA qui couvrent, par exemple, des risques de défaillance fournisseurs ou des
réglementation qui impose la mise en
pertes de personnages clés, il pourra aider son entreprise à les « reclasser » en
place de PSI depuis 1994, et du PCA
gestion des risques.
depuis 2006, a déjà permis de faire un
distinguo entre ces deux projets qui sont PCA sans personnel
gérés, particulièrement dans ce secteur,
Les PCA dont le scénario repose sur l’indisponibilité du personnel sont, en géné-
par des acteurs distincts. Il est cepen-
ral, difficilement opérationnels. Néanmoins, certaines directions, conscientes
dant rare que les auditeurs, ou inspec-
du risque social, ou préoccupées par les problématiques de pandémie, ont
teurs des banques, aient suffisamment décidé d’étudier des PCA qui ne reposent pas sur leur personnel. Ces PCA sont
de connaissances et d’outils à leur dis- souvent très théoriques et impossibles à mettre en œuvre. Le risque social,
position pour auditer les PCA efficace- éventuellement révélé par la cartographie des risques, est un risque qui doit
ment. Les auditeurs, tous secteurs d’ac- être géré à part entière et pas par un PCA.
tivité confondus, sont souvent démunis Par exemple, sur les 600 PCA développés par MICA, aucun ne peut être déployé
et perplexes lorsqu’il s’agit de débuter sans faire appel, plus ou moins, au personnel de l’entreprise (le personnel d’un
un audit PCA. En manque de littérature, autre site inclus).
sans outils pragmatiques, sans norme
française détaillée, ils ont peu de bases Comment mesurer les résultats d’un à la frontière de la gestion des risques et
solides à leur disposition. test ? de la gestion de crise, on peut l’aborder
Qu’est ce qu’un PCA, quel est son à partir des résultats de la cartographie
périmètre, quels scénarios couvre-t- Les directions étant elles même peu des risques.
il ? Comment analyser la qualité de la sensibilisées sur le sujet, le rôle de l’au-
démarche suivie ? Quelle est la perti- diteur peut consister, dans un premier Les risques d’indisponibilité à l’environ-
nence des procédures rédigées ? temps, à définir clairement le PCA. Etant nement de travail, s’ils sont bien définis

Risque Développement
d’indisponibilité du plan de
du système secours
d’information informatique

Analyse et Risque Développement


mesure des d’indisponibilité du plan de
Recensement de l’environnement
risques / continuité des
des risques de travail activités (PCA)
cartographie (bâtiments)
des risques

Risque Mise en place d’un


de défaillance dispositif de
d’un fournisseur traitement
critique du risque

Schéma 1

28 Audit & Contrôle internes n°209 - avril-mai 2012


par la cartographie des risques, peuvent des plans de secours indépendamment clients, les engagements contractuels,
constituer le point de départ du projet de celui du PCA pour éviter tout type de l’impact sur l’image et les pertes finan-
PCA. La cartographie des risques est confusion. cières liées à l’interruption sont des élé-
réalisée par le risk management dans le ments que l’auditeur devra retrouver
cadre de la gestion des risques. Quant à la gestion de crise, c’est un dans cette analyse.
Il convient ici de préciser que tous les autre sujet à part entière qui, lui aussi,
autres risques mis en lumière par cette doit faire l’objet d’un audit spécifique. La stratégie de continuité définit la liste
cartographie ne sont pas traités par le Certes, activer un PCA s’apparente à la des activités critiques et introduit la
PCA. Par exemple, le PCA ne prend pas gestion d’une crise mais c’est une crise notion de durée maximum d’interrup-
en compte le risque de défaillance d’un parmi d’autres. La mort d’un employé tion, période au delà de laquelle une
fournisseur (d’énergie ou autre). La sur un chantier ou le rappel d’un produit activité critique doit reprendre pour évi-
démarche peut être de demander à un défectueux sont des évènements qui ter que l’interruption n’affecte fortement
fournisseur unique et critique de mettre relèvent de la capacité de l’entreprise à l’entreprise. Elle définit également les
en place un PCA auquel l’entreprise gérer une crise en général et pas du besoins humains et matériels minimum
pourra être liée, mais il s’agit du PCA du PCA. exigés pour reprendre l’activité. Elle
fournisseur, pas de celui de l’entreprise. Le PCA intègre sa propre procédure de inclut aussi la notion de site de repli
L’auditeur pourra vérifier l’existence de gestion de crise qui lui permet de (locaux administratifs, sites de produc-
ces PCA lors d’un audit sur le risque déclencher et de piloter le recouvrement tion ou logistique). Les sites de repli
fournisseur. des activités depuis d’autres environne- peuvent être de différentes natures
ments de travail (l’environnement habi- (internes ou externes à l’entreprise :
Le risque de perte du système d’infor- tuel étant indisponible) - (Cf. Schéma filiales, prestataires, fournisseurs, parte-
mation est couvert par le plan de 1). naires...).
secours informatique, pas par le PCA.
Cette distinction est, aujourd’hui, beau- Les actions qui peuvent être L’auditeur doit s’assurer que la direction
coup mieux perçue par les auditeurs menées par l’auditeur selon le a bien validé la stratégie de continuité
qu’il y a quelques années. Il est recom- processus de développement du PCA avant de s’engager dans la
mandé que les auditeurs réalisent l’audit du PCA recherche et l’analyse des possibles sites
de repli.
La cartographie des risques peut être le Le choix des sites de repli doit être le
Véronique Demachy a été audi-
trice chez Mazars pendant 4 ans point de départ de la démarche PCA. résultat d’une analyse détaillée tenant
avant de rejoindre Safetynet en Néanmoins, il n’est pas nécessaire compte des contraintes techniques,
1995 (aujourd’hui Sungard) où elle d’avoir réalisé une cartographie pour humaines et organisationnelles. Le coût
a appris à Londres à développer débuter un PCA. Il suffit de se focaliser du site de repli représente un investis-
des plans de continuité avec des sur les risques d’indisponibilité à l’envi- sement initial associé à un coût récur-
experts anglais. En 1998, elle crée ronnement de travail. rent annuel.
MICA, cabinet de conseil dédié aux
problématiques de continuité d’ac-
Pour les sites où il existe un risque d’in- L’auditeur devra s’assurer que la forma-
tivité (www.mica.fr). En 17 ans, elle
disponibilité, il faut réaliser une analyse lisation du PCA est suffisamment
a développé et testé en réel plus de
de l’impact des interruptions des activi- concrète. Les procédures doivent être
600 PCA en France et à l’étranger
dans divers secteurs d’activité. A tés hébergées à cet endroit (locaux succinctes et le personnel impliqué sur
partir d’une méthodologie prag- administratifs ou site de production), le site de repli doit être nommé. L’objec-
matique, elle a également formé analyse connue sous son nom anglais de tif principal des procédures est de redé-
quelques centaines de responsa- BIA (business impact analysis). Face aux marrer efficacement les activités après
bles PCA aujourd’hui autonomes enjeux, l’entreprise peut-elle interrom- une interruption. L’ensemble du person-
dans la gestion de leurs probléma- pre ses activités sur ce site et se passer nel doit être sensibilisé au PCA. L’audi-
tiques de continuité d’activité.
de PCA ? La notion de service aux teur doit s’assurer qu’en cas de déclen-

avril-mai 2012 - Audit & Contrôle internes n°209 29


LES AUDITS MÉTIERS

chement du PCA, l’entreprise a prévu de l’entreprise à redémarrer en cas prise a des difficultés à maintenir et à
des outils pour communiquer aisément d’inaccessibilité prolongée d’un site sen- tester régulièrement son PCA, il pourra
avec son personnel. Enfin, l’auditeur sible. La souscription de contrats d’as- s’interroger quant à la suffisance des
doit s’assurer que le PCA est bien testé surance fait partie de la culture des moyens engagés. En effet, le PCA est
régulièrement, chaque année, dans des entreprises sans être remise en cause. La « un projet à vie » et il s’agit de lui attri-
conditions de plus en plus proches de logique d’investissement dans un PCA buer, chaque année, les moyens finan-
celles d’un sinistre majeur (Cf. schéma est beaucoup plus rare alors que, com- ciers suffisants pour le maintenir opéra-
2). paré à une assurance d’exploitation par tionnel, ce qui est loin d’être le cas dans
exemple, le PCA permettra à l’entreprise la majorité des entreprises. Ainsi, le PCA
L’auditeur, un interlocuteur de bien mieux se maintenir sur son mar- ne nécessite pas que des investisse-
privilégié pour s’assurer de ché et d’assurer sa pérennité. L’auditeur ments uniquement l’année de son déve-
l’efficacité du PCA peut avoir un rôle de conseil et de sen- loppement mais également un budget
sibilisation sur les problématiques de récurrent suffisant. Les personnes en
L’auditeur est un interlocuteur privilégié continuité d’activité en amont du PCA. charge des PCA doivent également pos-
pour sensibiliser la direction, quel que séder des compétences suffisantes et
soit l’état d’avancement du PCA. En Le PCA existant, il devra s’assurer que la avoir été formées par des experts leur
l’absence de PCA, il peut attirer l’atten- stratégie de continuité des activités a été ayant fourni une méthodologie et des
tion du comité de direction quant aux bien définie et validée par la direction et outils concrets et pragmatiques. Autant
risques d’indisponibilité des sites les que les moyens de secours prévus sont de thèmes que l’auditeur pourra analy-
plus sensibles. Il peut ainsi rappeler les suffisants et opérationnels en perma- ser avant de rédiger sa synthèse et
engagements contractuels et la difficulté nence. Enfin, s’il découvre que l’entre- d’émettre ses recommandations. 

Approche
Analyse des risques d’indisponibilité de l’environnement de travail
globale
1 Réalisation de l’analyse des impacts des interruptions pour les sites soumis au risque d’indisponibilité pour
Définition des sites critiques à couvrir par un PCA l’entreprise

Définition de la stratégie de continuité pour chaque site critique


2 Définition des délais maximum d’interruption par activité
Définition des besoins nécessaires (humains et matériels pour assurer la continuité)

Recherche, analyse et chiffrage des solutions pour assurer la continuité des activités
3
Arbitrage et choix des solutions (site de repli)

Formalisation des PCA


Procédures métiers et fonctions Approche
Implémentation des PCA
Procédures techniques par site
Tests techniques
Procédures organisationnelles
Procédures pour la cellule de crise
4

Sensibilisation du personnel au PCA


Premier test du PCA impliquant les métiers et les fonctions critiques

5
Maintenance et test(s) annuel(s) du PCA
récurrente

Schéma 2

30 Audit & Contrôle internes n°209 - avril-mai 2012


L’audit du contrôle de gestion

Pourquoi, le contrôle de gestion doit-il être impérativement audité ? Parce qu’il per-
met de coordonner les prévisions et les prises de décision dans les différentes entités ;
parce qu’il contribue à la réalisation des objectifs ; parce qu’il formalise un contrat
de moyens et d’objectifs entre la direction et les entités. Le contrôle de gestion est
un outil privilégié d’aide à la décision et doit, de ce fait, être un élément prioritaire
d’audit.

« Si je ne devais faire que deux audits, j’auditerais les ressources humaines et le


contrôle de gestion. Car une organisation qui dispose des ressources humaines
adaptées avec les bons outils d’aide à la prise de décision ne peut que réussir. »

Raphaël Verwilghen
Direction Financière Europe, Sanofi
l’autre les opérations industrielles pré- sans suivi budgétaire, sans indicateurs
sentent leur budget. Sans processus de l’activité, les multinationales se
d’élaboration budgétaire il est peu pro- seraient-elles autant développées ?
Qu’est-ce que le contrôle bable que les volumes à vendre de
de gestion ? chaque produit correspondent aux Pourquoi auditer le contrôle
volumes prévus par la production. de gestion ?
Le contrôle de gestion est un processus
de collecte et de transformation de don- Le contrôle de gestion contribue à la Puis-je réaliser ce nouvel investisse-
nées en informations pouvant aider à la réalisation des objectifs d’abord en com- ment, ouvrir un poste supplémentaire, à
prise de décision. L’information peut muniquant ces objectifs au sein de l’or- quel prix puis-je vendre mon produit ?
prendre différentes formes : reporting, ganisation, puis à travers le suivi budgé- Pour répondre à ces questions, le
suivi budgétaire, tableau de bord, indi- taire qui mesure régulièrement les écarts contrôle de gestion est un outil privilégié
cateurs. L’information ne se limite pas entre le réel et l’objectif en identifiant les d’aide à la décision.
aux données financières mais peut causes des écarts afin de permettre la Le contrôle de gestion est au cœur de
inclure les volumes d’activités, les effec- mise en place d’actions correctives. la prise de décision et doit donc être
tifs ou les plans d’actions. un élément prioritaire d’audit.
Le contrôle de gestion permet de délé-
Il permet de coordonner les prévisions guer en formalisant, à travers l’exercice Quel auditeur ne voudrait pas couvrir le
et les prises de décisions dans les diffé- budgétaire, un contrat de moyens et risque que l’organisation prenne une
rentes sections de l’organisation. D’un d’objectifs entre la direction et les sec- décision sur la base de mauvaises infor-
côté les opérations commerciales et de tions de l’organisation. Sans budget, mations ?

avril-mai 2012 - Audit & Contrôle internes n°209 31


LES AUDITS MÉTIERS

Pourquoi le contrôle de contrôle interne n’est-il pas d’apporter sur l’existence dans les organisations
gestion est-il l’un des une assurance raisonnable quant à la publiques.
processus les plus souvent fiabilité des informations financières
audités ? (COSO I)? Le contrôle de gestion dépend égale-
ment du client qu’il sert. La direction
Le contrôle de gestion avant d’être une Quelles formes le contrôle de générale qui cherche à s’assurer que les
fonction est un processus. De nom- gestion peut-il prendre ? objectifs vont être atteints avec les res-
breuses personnes font du contrôle de sources mise à disposition. Les direc-
gestion sans porter le titre de contrôleur Le contrôle de gestion, n’est pas une tions opérationnelles qui cherchent à
de gestion. activité normée comme peut l’être la savoir si les actions menées portent leurs
comptabilité, il dépend des objectifs, fruits. Les directions fonctionnelles qui
Le responsable des ressources des modèles économiques et de l’or- cherchent à comprendre de quoi dépend
humaines, par exemple, va suivre le taux ganisation des ressources. la réalisation de leurs objectifs pour défi-
de rotation du personnel dans chaque Il s’est développé d’abord dans l’indus- nir les plans d’actions à mettre en
partie de l’organisation, il va identifier trie, puis dans les services et maintenant œuvre. En fonction, les attentes ne sont
les causes d’écarts par rapport aux il pénètre les organisations publiques. pas les mêmes, par exemple une direc-
années passées et d’un département à Dans une entreprise industrielle, le tion opérationnelle cherchera à avoir un
l’autre. Il va en tirer des conséquences contrôle de gestion est souvent « procé- indicateur disponible rapidement et fré-
en termes d’augmentations salariales, duré » à un grand niveau de détail, il quemment.
de formation, de gestion du temps de s’appuie sur des processus standards
travail, d’évaluation de l’encadrement, avec une comptabilité analytique qui Le contrôle de gestion se définit égale-
de profil à recruter. Ce responsable des permet de refléter l’activité et de mesu- ment sur trois horizons :
ressources humaines fait du contrôle de rer l’impact de chaque inducteur de • stratégique sur 3 à 5 ans, qui permet à
gestion. Il en va de même pour les coûts. Dans les entreprises de services, la direction générale de définir les
achats, les ventes, la supply chain, la pro- surtout lorsque les processus ne sont pas grandes orientations ;
duction, ou la recherche et développe- standardisés, le contrôle de gestion per- • contractuel sur un an, qui permet à la
ment. met souvent d’identifier les écarts et de direction générale de convenir avec
Mais chaque processus a ses propres les expliquer mais pas toujours de les directions régionales ou fonction-
objectifs et donc ses propres besoins mesurer avec précision la contribution nelles des objectifs et moyens mis à
d’informations. Combien d’économies de chaque inducteur dans les écarts. disposition ;
les acheteurs ont-ils gérées, ai-je opti- Dans les organisations
misé mes prix de vente, ai-je eu le retour publiques, on en est par-
sur investissement souhaité de mes pro- fois à la mise en place et
Clients
motions pour les processus commer- au développement des
ciaux, tous mes clients ont-ils été livrés processus de contrôle de
dans les temps au meilleur coût pour la gestion. Les objectifs des
supply chain, ai-je produit au meilleur missions seront profon-
coût, mes objectifs de développement dément différents en
ont-il été atteints avec l’enveloppe mise fonction du niveau de Progresser Prévoir
à ma disposition pour la recherche et « maturité » du contrôle
développement ? de gestion. En générali-
sant, la mission portera
Ainsi, dans chaque mission d’audit, davantage sur l’exacti-
quel que soit le processus audité, le tude dans les entreprises
contrôle de gestion doit être une par- industrielles, sur
Réagir Mesurer
tie prépondérante du programme de l’exhaustivité dans les
travail. D’ailleurs, un des objectifs du entreprises de services et
Schéma 1

32 Audit & Contrôle internes n°209 - avril-mai 2012


• d’exécution sur un horizon mensuel, confidentialité Caractéristique de l’information
voire plus court, permettant de suivre ou bien trop res-
l’atteinte des objectifs et la mise en treinte, n’in- Existe
œuvre des actions convenues. cluant pas les
personnes qui Exhaustif Exacte
Quels risques couvrir doivent agir par
prioritairement dans un audit rapport à ces
Pertinent
du contrôle de gestion ? informations ;
A temps Condensé
• ne comprend
Le contrôle de gestion repose sur un que des infor-
processus en 5 étapes qui débute par mations perti-
l’identification des besoins des clients, nentes afin de Compréhensible Ciblé
pour continuer par la mise en place de ne pas noyer les
prévisions, puis de mesures du réalisé, destinataires Schéma 2

de mise en place d’actions correctives, dans une quantité d’informations les caces. Pour ce faire il faut essentielle-
pour finir par un apprentissage qui vient empêchant de se concentrer sur l’es- ment vérifier que pour chaque écart un
améliorer le processus précédent (cf. sentiel pour la prise de décision. Avec plan d’action est défini, que ce plan une
schéma 1). le développement des systèmes d’in- fois mis en œuvre l’écart ne subsiste plus
formations, la tentation est forte de et que les indicateurs ont bien été mis à
A chaque étape le contrôle de gestion fournir une batterie de données jour en fonction.
travaille avec comme matière première « presse boutons ».
des données qu’il faut transformer en Par exemple, un tableau de bord des
informations pertinentes, c’est-à-dire Comment auditer ces risques ? coûts de transport doit permettre de
qui permettent à son client de prendre quantifier dans la variation des coûts la
des décisions. Il faut utiliser l’ensemble des procédures part liée au changement de prix d’achat
d’audit : des prestations, de mode de transport,
Les principaux risques à couvrir sont • piste d’audit descendante, réexécution de destinations, de produits, d’embal-
donc que l’information fournie (cf. de calculs, circularisation ou confir- lages utilisés, du délai de livraison
schéma 2) : mation, procédure analytique pour demandé, du taux de remplissage des
• n’est pas disponible, empêchant les s’assurer que l’information est fiable ; camions ou des containers, de la fré-
responsables de savoir si leurs actions • piste d’audit ascendante pour s’assu- quence de livraison, du délai de mise en
permettent d’atteindre les objectifs rer que l’information est exhaustive ; œuvre de plan d’actions (changement
fixés ; • inspection pour s’assurer que l’infor- de colisage, ouverture d’une voie mari-
• est erronée ce qui peut amener à mation existe et est fournie dans les time, etc.). La définition d’actions cor-
prendre des décisions contre-produc- temps. rectives sera alors facilitée par un diag-
tives ; nostic précis avec un impact mesurable.
• arrive tardivement amenant à prendre Le risque le plus difficile à couvrir est
des décisions à contre-temps ; probablement l’exhaustivité du disposi- Jusqu’où aller dans le champ
• est incomplète, ne permettant pas de tif de contrôle de gestion. A-t-on l’en- d’investigation ?
prendre de décision (cf. tableau page semble des informations nécessaires
suivante) ; non seulement pour identifier les écarts Le processus du contrôle de gestion est
• est incomprise du fait de l’utilisation aux prévisions mais aussi pour en com- un processus idéal pour cumuler les trois
soit d’un jargon technique, soit d’in- prendre, en identifier et en mesurer les objectifs d’interventions.
dicateurs dont la définition n’est pas causes ? C’est à ce prix que le contrôleur • L’audit de conformité où l’on se
précisée ; de gestion pourra proposer les actions demande si les procédures sont res-
• est diffusée à une population trop correctives pertinentes qui permettront pectées en termes de délais, fré-
large risquant de mettre en cause la de prendre les actions correctives effi- quence, destinataires et définitions de

avril-mai 2012 - Audit & Contrôle internes n°209 33


LES AUDITS MÉTIERS

l’information à fournir. demande si le client dispose des infor- surer que les causes des écarts au réfé-
• L’audit d’efficacité où l’on se demande mations nécessaires à sa prise de déci- rentiel ont bien été identifiées afin de
si l’information fournie est opportune sion quant aux objectifs qui lui ont été permettre de définir le plan d’action
ou bien superflue, incomplète, inuti- attribués. Cet audit nécessite une approprié. 
lement compliquée, ou inexistante. bonne connaissance de l’activité audi-
• L’audit de management où l’on se tée, car il s’agit par exemple de s’as-

Référentiels Budget, Plan, périodes précédentes, concurrents internes ou externes

Taux d’inflation, de croissance de notre marché, arrivée d’un nouveau concurrent, produit, d’une
Environnement nouvelle réglementation. Faire croître ces ventes de 10% n’est pas la même chose si le marché
croît de 5 ou 20%.

Changements en interne Nouveaux produits, mode de distribution, campagne promotionnelle, distributeurs.

Effets prix, volumes, impact des inducteurs de coûts.


Par exemple, les coûts de transport ont augmenté de 0,2 point de ventes dont +0,2 point lié à
l’augmentation des prix d’achat des prestations, +0,1 point du fait du développement des
Causes des écarts ventes à l’international, +0,1 point du fait du changement de colis plus volumineux et lourds,
utilisés pour transporter les produits, +0,1 point du fait de la croissance des volumes vendus,
-0,2 point du fait de l’ouverture d’une voie de transport maritime vers la Chine et le Mexique,
-0,1 point du fait de la réduction des stocks dans les pays où les produits sont vendus.

Liste des actions prévues, de leur état d’avancement et de leur impact.


Par exemple, le projet d’ouverture d’une voie maritime vers la Chine a été mis en œuvre mais a
Plan d’actions
moins réduit les coûts que prévu car certaines commandes sont toujours expédiées en avion et
il a fallu mettre en œuvre un colisage spécifique pour protéger les produits.

Les prochains rendez-vous de l’IFACI

Antenne régionale EST


>> jeudi 24 mai 2012
Réunion - Les cybermenaces

PARIS
>> jeudi 31 mai 2012
Réunion mensuelle - Structure et rédaction du rapport d’audit interne - Communication sur les
conclusions
>> mardi 19 juin 2012
Colloque - Dispositifs de lutte contre la corruption, contre le blanchiment de capitaux et le
financement du terrorisme : comment concilier sécurité des organisations et liberté des
personnes ?*

* Attention : nouveau lieu pour cet événement : Les salons de l’Aéro-Club de France, 6 rue Galilée, 75116 PARIS

Renseignements complémentaires et inscription : www.ifaci.com

34 Audit & Contrôle internes n°209 - avril-mai 2012


LES AVANCÉES DE LA RECHERCHE

Les avancées du groupe professionnel


« Immobilier locatif »
L’auditeur interne et les démarches risques

Miguel Bedet - Directeur des Risques, Pas-de-Calais habitat


Eric Casper - Directeur adjoint Stratégie Financière Groupe, Audit, Comptabilité, Risques, Vilogia

Présentation du groupe internes, créent un lieu privilégié de et 2007, à l’élaboration de question-


benchmark permanent et entretiennent naires d’auto-contrôle axés sur les zones
A la fin des années 1990, la naissance de la veille professionnelle. essentielles de risques.
fonctions d’audit interne au sein d’orga- Depuis sa constitution, ses membres
nismes du logement social a été à l’ori- sont animés avant tout par le libre Le groupe se réunit trois fois par an et
gine de la création du groupe profes- échange et la mise en commun des pra- produit des fiches thématiques issues de
sionnel. tiques des différents métiers de maîtrise ses réflexions partagées.
Les auditeurs ont alors pu partager leurs de son secteur. Voici, quelques thèmes illustrant les
expériences dans un secteur où la cul- Cette nécessité d’échanger va se tra- débats :
ture du contrôle interne était à duire, entre 2000 et 2005, par la réalisa- • l’audit interne et l’audit qualité,
construire et où leur métier ne s’impo- tion d’un projet collectif. • les missions d’audit à forte valeur
sait pas par voie règlementaire, comme Il s’agit de la réalisation d’une cartogra- ajoutée,
c’est le cas pour les secteurs où le phie à partir des processus communs au • le contrôle interne et les délégations,
contrôle interne est administré groupe où va être réalisé un inventaire • l’audit des systèmes d’information,
(banques, assurances…). des activités, des métiers et des risques • l’audit des assurances,
associés ainsi que les pistes d’audits ou • la huitième directive européenne…
Le groupe s’est, tout d’abord, intitulé de contrôles clés correspondants. Les rapports de l’audit interne à la
« immobilier social » avant de vite s’élar- Le résultat de ces travaux est, encore fraude, et aux modèles respectifs de
gir et accueillir de nouveaux membres aujourd’hui, la référence commune aux gouvernance sont les thèmes régulière-
issus du secteur locatif privé, en particu- réflexions et a servi, notamment en 2006 ment revisités.
lier les sociétés foncières dont la cotation
en bourse a offert aux participants une
approche plus structurée autour des
risques financiers, des outils d’identifi-
cation et de communication des risques.
L’immobilier locatif est le cœur de
métier commun au groupe mais le regis-
tre des activités exercées est bien plus
large1. La diversité de ses membres,
acteurs importants du marché immobi-
lier, permet de croiser des sensibilités
très différentes en matière de stratégies
et d’organisations et contribue à appré-
hender les variables d’environnements
qui affectent l’immobilier locatif.
Globalement, les mêmes contraintes en
matière de conformités et de risques
immobiliers y sont rencontrées.
Ces rencontres directes, où est confronté
l’exercice de l’audit et du contrôle

avril-mai 2012 - Audit & Contrôle internes n°209 35


LES AVANCÉES DE LA RECHERCHE

Le développement durable valeurs d’actifs. Il nécessite des straté- Sur le plan du métier d’audit interne,
et les risques gies patrimoniales plus fines en matière cette réflexion a permis d’appréhender
d’arbitrages. Il oblige aussi à concilier, le processus de management des
En 2009 et 2010 le groupe s’est inté- normes environnementales et coûts de risques, en tant qu’objet d’audit mais
ressé au développement durable et construction, par la recherche et l’inno- aussi de réaffirmer que la conduite de ce
aux démarches risques dans leurs vation d’autres modes constructifs. processus est une animation visant
organismes. avant tout à mobiliser, sensibiliser les
Pour l’audit interne, le groupe tire deux collaborateurs « propriétaires de
Du fait du Grenelle de l’environnement axes essentiels sur les pratiques d’audit. risques » de sorte que leurs décisions
et de certaines contraintes de marché, le Le premier, où l’auditeur s’intéressera au soient prises en conscience des risques
développement durable devient un processus de gouvernance de façon à inhérents à leurs activités et des dispo-
enjeu majeur pour les organismes en s’imprégner des politiques et stratégies. sitifs de contrôle interne mis en place.
raison du poids « énergivore » du sec- Et, dans la mesure où le processus de Cela a été l’occasion de s’interroger sur
teur du bâtiment. Il est estimé à plus de gouvernance est dans le périmètre de les limites imposées par ce cumul de
40 %. Est donc en cause, la performance l’audit interne, l’auditeur sera notam- « mandat » audit/gestion des risques.
des bâtiments qui devient un enjeu de ment amené à examiner les référentiels
société. Les objectifs du Grenelle, de retenus, le cadre d’organisation mis en Le groupe, constitué en majorité de
réduire les consommations d’énergie de place (management et pilotage de per- petites structures d’audit interne, est
38 % et les émissions de gaz à effet de formances…) ainsi que les obligations conscient de représenter pour les orga-
serre de 50 % d’ici 2020, affectent ainsi nouvelles qui en découlent. nismes une compétence à mobiliser sur
l’ensemble de nos activités. la gestion des risques mais cet emploi ne
Les nouvelles contraintes réglemen- Le second, où dans le courant des mis- doit pas pour autant aboutir à l’exercice
taires d’efficacité énergétique condui- sions d’audit, l’auditeur intégrera, s’il y d’une fonction de management qui
sent les acteurs du secteur à évoluer en a lieu, dans son évaluation et ses recom- viendrait alors en contradiction avec les
modifiant leurs organisations ou leurs mandations, des activités auditées, les normes professionnelles de l’audit
modes de gestions. Par exemple, certains déclinaisons et contributions au déve- interne.
constituent des directions dédiées au loppement durable.
développement durable ou encore ont En juin 2011, les premiers rangs des
recours aux labels ou aux certifications Concernant l’audit interne risques majeurs du groupe apparais-
sur leur patrimoine. D’autres, réalisent et les risques saient comme suit :
des projets immobiliers exemplaires, • le dérapage des coûts de production
expérimentent des solutions ou tentent En 2011, le groupe est parti du constat sur les équilibres financiers d’opéra-
d’agir sur les comportements des usa- de la tendance des organisations de tion,
gers. s’adresser à leur audit interne, en qualité • la santé et la sécurité des personnes :
Le volet social du développement dura- d’expert des risques, afin d’assurer, en des personnels, des résidents, ou des
ble met en jeu la responsabilité socié- sus de leur mission, le management des chantiers,
tale. Elle consiste à prendre des engage- risques ou l’élaboration des cartogra- • le resserrement des financements,
ments formulés à l’externe visant à phies des risques majeurs. crise des crédits bancaires,
allier, approche globale de la perfor- Les membres ont recensé les pratiques • l’exposition aux variations des taux
mance et responsabilité, et elle a pour et les cultures risques développées au d’intérêts notamment le livret A pour
cadre de management, celui de la RSE. sein de leurs organismes et ont mis en le logement social,
Dès lors, la pérennité ne dépend plus du commun leurs propres risques majeurs. • la sécurité des systèmes d’informa-
seul aspect financier mais aussi de la La conduite d’une cartographie a ainsi tion. 
manière dont les organisations se été menée à l’échelle du groupe.
conduisent à l’égard de leurs parties Quelques aspects pratiques et limites
prenantes. La RSE amplifie les poli- méthodologiques ont fait débat au sein 1. Une représentation sectorielle du « groupe
tiques partenariales avec les différents du groupe. Ces échanges ont porté sur : immobilier locatif » étendue :
acteurs et invite à une plus grande trans- • le travail avec les managers du sens Par leurs différents statuts publics et privés :
parence sur les résultats. commun à attribuer aux expressions Association, Entreprises sociales de l’habitat,
de risques avant leurs cotations, Foncières logement, Foncières tertiaires ou rési-
dentielles, Offices publics de l’habitat, Coopéra-
Ces nombreuses adaptations et actions • la difficulté de perception des collabo-
tives Hlm, Action Logement (ex 1% Logement),
entreprises des organismes ont été rateurs entre risques bruts et risques Sas, Sociétés immobilières cotées,
observées par le groupe. L’intérêt était résiduels, Par les types d’activités : l’aménagement fon-
aussi d’examiner les risques émergents • la pesée des risques où l’objectivation cier et urbain, la maîtrise d’œuvre, la maîtrise
et de dégager les évolutions en matière de cotation demanderait d’établir d’ouvrage, la gestion de syndics, les activités de
d’audit interne. pour chaque contexte d’organisation ventes patrimoniales en promotion immobi-
l’étalonnage des gravités et des fré- lière ou non, les activités locatives de bailleurs
dans le logement tels l’hébergement d’urgence,
En matière de risques, le développement quences.
les logements sociaux (hlm, Cil), le résidentiel et
durable a des répercussions sur les pour le tertiaire tels : les baux commerciaux, la
gestion patrimoniale de portefeuille, la gestion
de parcs tertiaires , d’équipements publics ou
Pour aller plus loin… privés, property management…

Retrouvez les cahiers de la recherche « Cartographie des risques du groupe Immo-


36 bilier Locatif » et le « guide d’audit du développement durable » - www.ifaci.com
Audit & Contrôle internes n°209 - avril-mai 2012
LA PROFESSION EN MOUVEMENT

Evénements
une cohérence des respon- dit a été élaboré. La mission cun au sein de Natixis, et en
sabilités : cohérence entre d’audit a pour objectif de cohérence avec les prin-
les responsabilités opéra- donner une assurance sur la cipes de gouvernance de
tionnelles et juridiques ; un performance du processus l’entreprise. Les enjeux sont
système de délégations de de gouvernement d’entre- la sécurité juridique et opé-
Responsabilités
pouvoirs et de signatures prise d’une filiale donnée et rationnelle, la gouvernance
civiles et pénales des
construit et revu au regard de contribuer à son amélio- et l’efficacité opération-
dirigeants et des
d’une organisation déter- ration. nelle.
entreprises :
minée et à jour ; la mise en
Quels risques
œuvre d’un système effi- Grâce à une approche La démarche a nécessité la
majeurs ? Comment
cace et documenté de délé- méthodique de l’audit mise en place de différents
les auditer ?
gations de pouvoirs au sens interne, la gouvernance outils : délégations de pou-
Comment maîtriser
pénal ; la sensibilisation du devient factuelle et mesura- voirs, délégations de direc-
les délégations de
management et des délé- ble. Les audits ont permis tion générale, délégations
pouvoirs ?
gataires sur leur rôle et les la diffusion des enjeux gou- de signature (gestion des
risques attachés aux activi- vernance au sein du groupe signatures autorisées).
Réunion mensuelle
tés dont ils ont la charge, et du risque porté par les
du 26 mars 2012
etc. administrateurs (sensibili- La maintenance du disposi-
sation au besoin de forma- tif de délégations de pou-
Le point de vue de l’avocat
Des outils de prévention tion, nécessité d’expliciter le voirs et de signatures est
(Sylvie Le Damany)
doivent être mis en place risque pénal, renforcement indispensable afin de s’as-
pour identifier les risques du rôle stratégique du surer de sa pérennité et de
On note aujourd’hui une
pénaux majeurs, identifier comité des risques). Ces son efficacité juridique.
responsabilité accrue des
les responsables et les per- audits, particulièrement La refonte du dispositif a
dirigeants et des adminis-
sonnes à impliquer. Ces appropriés après acquisi- permis de structurer la gou-
trateurs. Ils doivent se for-
outils sont les délégations tion/intégration, nécessitent vernance, de responsabili-
mer, s’informer et agir ;
de pouvoirs (au sens pénal), du « savoir-être » de la part ser les personnels délégants
organiser la transmission de
les codes de conduite et les de l’équipe d’audit. et délégataires, tout en
l’information au sein de
chartes spécifiques, les sys- uniformisant les pratiques
l’entreprise ; prendre des
tèmes d’alerte profession- Un cas concret dans la et les procédures dans les
différents départements. 
mesures adaptées de pré-
nelle, les compliance pro- banque : la refonte du
vention des risques ; rendre
grammes. dispositif de délégations
compte des procédures de
de pouvoirs et de
contrôle interne mises en
Le point de vue d’un signatures chez Natixis
place ; évaluer l’efficacité
groupe international de
des procédures mises en
haute technologie : Safran L’objectif : mettre en place
place. L’entreprise est tenue
un dispositif de délégations
d’améliorer sa gouvernance
Un cycle d’audit de gouver- de pouvoirs et signatures
et son contrôle interne.
nance a été mis en place en en adéquation avec les
Cela passe notamment par
2010 et un référentiel d’au- fonctions exercées par cha-

avril-mai 2012 - Audit & Contrôle internes n°209 37


LA PROFESSION EN MOUVEMENT

Lu pour vous
Audit interne et contrôle de
gestion : pour une meilleure
collaboration

Auteurs : Jacques Renard et Sophie Nussbaumer - Préface de


Daniel Lebègue
Editeur : Les éditions d’organisation

L’audit interne et le contrôle de gestion sont à des titres divers


des fonctions de conseil dans l’entreprise. Mais l’un est tourné
vers l’amont et participe à la détection des risques et à l’amé-
lioration du contrôle interne, et l’autre regarde vers l’aval et
mesure les performances en contribuant à l’élaboration des
prévisions et à la définition de la stratégie.

Or, ils utilisent tous deux les mêmes données, analysent les
mêmes problèmes, dialoguent avec les mêmes personnes.
L’audit interne se rapproche de plus en plus des préoccupa-
tions stratégiques de la direction, et le contrôle de gestion utilise de plus en plus des indicateurs opérationnels pour
nourrir sa réflexion.

L’intérêt à plus d’échanges et plus de concertation est évident.

D’une simple synergie relationnelle par le développement et l’organisation d’échanges et de contacts jusqu’à une
véritable synergie organisationnelle par une adaptation des structures, les perspectives sont nombreuses qui ouvri-
raient les voies d’une gouvernance améliorée.

Ce livre écrit à quatre mains est d’un incontestable intérêt. Beaucoup de lecteurs de la revue connaissent Jacques
Renard, auteur d’un livre à succès « Théorie et Pratique de l’Audit Interne » (plusieurs dizaines de milliers d’exemplaires
vendus). Ils feront connaissance avec Sophie Nussbaumer, contrôleur de gestion et enseignante vacataire à l’ESC
Toulouse. Ensemble, ils démontrent fort bien, comme le souligne le président de l’Institut Français des Administra-
teurs, dans sa préface, que « les progrès de la gestion et de la gouvernance résultent moins de l’empilement de règles que
de bonnes pratiques et de bons comportements clairement identifiés et partagés entre tous les acteurs de l’entreprise ».

38 Audit & Contrôle internes n°209 - avril-mai 2012


FICHE TECHNIQUE

Comprendre la source première


des dysfonctionnements :
une seconde nature chez
l’auditeur interne
MPA 2320-2 : Analyse causale
Les auditeurs internes doivent fonder leurs conclusions et les résultats de leur mission sur des analyses et
évaluations appropriées.

Entretien avec ...


Edouard Bucaille - Responsable de portefeuille de missions audit interne groupe, GDF SUEZ

La revue A&CI : La qualité des analyses et évalua- réalisation des travaux, programmes de travail
tions effectuées au cours d’une mission d’audit déter- qui garantissent que le champ d’application et
mine son efficacité et la crédibilité du service d’audit les objectifs de la mission sont correctement
interne. Quelles sont les procédures communément couverts, etc. Toutes ces procédures sont explici-
utilisées dans votre service pour des constats utiles ? tées dans notre manuel de l’audit interne, distri-
bué aux quelque 160 auditeurs internes du
Edouard Bucaille : La qualité de la performance Groupe. Je souhaite cependant souligner trois
de la fonction d’audit interne du Groupe GDF étapes qui sécurisent en particulier l’adéquation
SUEZ est le résultat de la composante de l’en- et l’efficacité de nos constats et recommanda-
semble des procédures mises en place en confor- tions :
mité avec les normes professionnelles de l’IIA : • Le référentiel de la mission d’audit. Lors de
planning qui permet d’allouer les compétences la phase de préparation de la mission d’audit,
adéquates aux missions d’audit, modèle de lettre nous préparons le référentiel qui définit
de mission qui définit l’étendue et le mode de notamment les obligations à respecter par

avril-mai 2012 - FICHE TECHNIQUE N°39 - Audit & Contrôle internes 1


FICHE TECHNIQUE

• La feuille de révélation et d’analyse de


problème. Afin de nous assurer qu’une
analyse approfondie des causes des dysfonc-
tionnements est réalisée et que les recomman-
dations de la mission d’audit y remédient,
nous demandons qu’une feuille de révélation
et d’analyse des problèmes soit réalisée en
synthèse des travaux d’audit. Cette feuille doit
reprendre pour chaque point d’audit les
éléments suivants : problèmes, constats,
causes, conséquences, et recommandations.
Elle peut être réalisée selon les diverses tech-
niques d’analyse causale existantes :
diagramme d’Ishikawa, analyse de la chaîne de
valeur, diagramme spaghetti, analyse de corré-
lation, etc.
• La fiche de supervision. A chaque mission
Après 15 ans passés en commissariat aux d’audit, nous nommons un superviseur n’in-
comptes de groupes industriels multinationaux tervenant pas sur les travaux de terrain, qui a
au sein d’un Big Four, Edouard Bucaille, pour responsabilité de veiller à la qualité de la
diplômé de Rouen Business School, d’expertise mission. Il complète obligatoirement une fiche
comptable et du CEDEP-INSEAD, est depuis de supervision avant émission du rapport
septembre 2008 responsable de portefeuille de
d’audit. Cette fiche l’amène à vérifier que le
missions, attaché au directeur de l’audit interne
rapport d’audit comprend la description des
du Groupe GDF SUEZ. Il est notamment respon-
causes et conséquences des constats identifiés,
sable de la gestion des ressources humaines et
ainsi que des risques correspondants et de
du développement professionnel des 160 audi-
l’adhésion des audités aux conclusions. Aussi,
teurs internes du Groupe, ainsi que de la coordi-
le superviseur doit s’assurer au travers de cette
nation de l’activité de l’audit interne avec les
fiche que les constats sont factuels et appro-
parties prenantes internes et externes.
priés.

l’entité ou les processus à mettre en œuvre, les Nous nous assurons ainsi que nous répondons
normes et recommandations internationales au mieux aux exigences professionnelles de
professionnelles, et les politiques et instruc- qualité.
tions utilisées à l’intérieur du Groupe. Ce réfé-
rentiel peut être enrichi par le recensement de R A&CI : L’IIA vient de publier une MPA sur l’ana-
bonnes pratiques à l’intérieur ou à l’extérieur lyse causale. Comment se situe cette approche dans
du Groupe ; il s’attache également à lever les démarches que vous venez de nous citer ?
toute ambigüité quant aux notions et réfé-
rences utilisées lors de la mission d’audit. Le E. B. : Lorsque la Modalité Pratique d’Applica-
référentiel de la mission est ainsi un des livra- tion 2320-2 a été publiée en décembre dernier,
bles clés de la mission qui sert à préparer un cette démarche nous est apparue naturelle. En
programme de travail détaillé. effet, en conformité avec les normes profession-

2 Audit & Contrôle internes - FICHE TECHNIQUE N°39 - avril-mai 2012


nelles édictées par l’IFACI, nous avons toujours Or, nous réalisons très peu de missions de
demandé aux auditeurs internes du Groupe de conseil et notre plan d’audit se compose presque
justifier la pertinence et l’utilité des constats et exclusivement de missions d’assurance. Aussi,
recommandations que nous émettons par une les missions d’audit interne que nous réalisons
analyse faits-causes-conséquences. Cette portent principalement sur l’analyse de proces-
analyse est notamment formalisée dans le sus opérationnels, la revue de projets, la confor-
rapport d’audit où les auditeurs doivent décrire mité avec des normes (comptables,
les faits, l’origine de ses constats et les risques environnementales, santé-sécurité, etc.) ou
liés. Un contrôle complémentaire est réalisé sur encore l’efficacité du contrôle interne.
ce point lors de la supervision, au cours de
laquelle le superviseur doit s’assurer que tous les Ceci nous conduit à privilégier l’analyse causale.
constats remontés dans le rapport d’audit sont En effet, si nous ne recherchions pas la ou les
supportés par une analyse causale. véritable(s) cause(s) des dysfonctionnements
que nous identifions, nous manquerions à notre
La MPA 2320-2 nous est utile car elle nous mission d’apport de valeur et de contribution à
permet désormais de travailler selon un cadre la performance du Groupe ; ne sachant pas
référentiel précis et explicite, compris de tous et pourquoi des problèmes se sont avérés, le mana-
applicable à tous. En effet, elle définit ce que gement ne serait pas en mesure de prendre les
l’IFACI entend par « fonder les conclusions et les meilleures mesures pour y remédier et prévenir
résultats […] sur des analyses et des évaluations que ceux-ci ne se répètent.
appropriées ». Elle expose par ailleurs le bénéfice
de réaliser une analyse causale, tant pour l’audi- Pour nous, les auditeurs internes ont avant tout
teur que pour ses clients. Pour nous, elle permet un profil polyvalent. Ils sont susceptibles d’inter-
de plus facilement justifier nos diligences auprès venir sur tout type de mission inscrite à notre
de nos interlocuteurs. plan d’audit. Bien sûr chaque auditeur interne a
un domaine d’excellence particulier que nous
R A&CI : L’analyse causale est-elle systématique- valorisons, voire une expertise qui le conduit à
ment réalisée ? Y a-t-il des missions qui s’y prêtent réaliser des missions dans des domaines spéci-
plus facilement ? Diriez-vous qu’il y a un profil type fiques : systèmes d’information, trading et
d’auditeurs internes pour ce type de démarches ? gestion des commodités, fraude et investiga-
tions, santé-sécurité et gestion environnemen-
E. B. : Notre objectif est de systématiquement tale, finance et comptabilité, gouvernance.
comprendre l’origine première de dysfonction- Cependant j’estime que quelle que soit la
nements. En conséquence, nous privilégions mission sur laquelle nous intervenons, il est
l’analyse causale dans toutes nos missions. Il est nécessaire d’avoir à l’esprit une démarche d’ana-
vrai que certaines missions se prêtent plus faci- lyse causale, pour la raison de contribution à la
lement à une approche par analyse causale : par performance du Groupe que je viens d’évoquer.
exemple, les missions d’assurance, pour Adopter une approche d’audit par analyse
lesquelles il nous est demandé d’identifier et causale ne requiert pas pour l’auditeur interne
d’analyser les problèmes, requièrent d’aller plus d’avoir un profil type.
en profondeur sur la source de ceux-ci que les
missions de conseil, qui ont généralement pour R A&CI : Le fait d’être dans le monde industriel
optique d’aider à la mise en œuvre de processus. facilite-t-il ce type d’approche ?

avril-mai 2012 - FICHE TECHNIQUE N°39 - Audit & Contrôle internes 3


E. B. : De par la structure organisationnelle de R A&CI : Pouvez-vous nous résumer un cas où vous
l’audit interne chez GDF SUEZ, autant que du avez eu à utiliser cette démarche et en quoi cela a
fait de notre appartenance à un groupe indus- conduit à des recommandations plus efficaces ?
triel, nous avons une certaine facilité à mettre en
œuvre l’approche par analyse causale : E. B. : Typiquement, j’ai en tête une mission au
a) L’équipe d’audit interne du Groupe est en cours de laquelle la direction générale du
grande partie constituée de personnes ayant Groupe a demandé à l’audit interne de
déjà une forte expérience opérationnelle au comprendre pourquoi un projet industriel
sein des entités du Groupe, avec souvent une connaissait des difficultés d’exécution. Les
formation d’ingénieurs et de techniciens et responsables du projet avaient eux-mêmes des
une connaissance approfondie des activités et difficultés à en identifier les origines, dont ils se
processus. En conséquence, les auditeurs sont demandaient si elles étaient liées à l’acceptation
familiers des analyses de flux et systèmes de du projet par les tiers ou dues à une mauvaise
données et utilisent logiquement les outils les gestion des hommes. Notre analyse causale – qui
plus appropriés à l’analyse causale lors de la nous a amenés à conjuguer les différentes
réalisation de leurs travaux d’audit : statis- méthodes préconisées par la MPA 2320-2 – a
tiques, diagrammes, approches par analyses démontré que si la gestion des ressources
de flux, mesure de la qualité, etc. De facto, humaines et la démarche sociétale sur le projet
l’analyse causale est intégrée dans la métho- étaient perfectibles, la source essentielle du
dologie de travail des auditeurs internes du problème était organisationnelle : la répartition
Groupe GDF SUEZ. des responsabilités sur le projet était floue, le
b) Compte tenu du caractère industriel du niveau d’information différait au sein de l’équipe
Groupe GDF SUEZ, les « problèmes » (au projet alors que chacun de ses membres avait
sens de la MPA 2320-2, c’est-à-dire les diffi- une confiance exagérée en sa capacité à gérer les
cultés, erreurs, non-conformités et occasions événements et difficultés par soi-même, et le
manquées) liés à l’activité de l’entreprise sont processus de reporting et de communication
principalement connectés à des processus entre l’équipe projet et la direction était défail-
opérationnels identifiables, dont l’origine est lant.
généralement physique ou matérielle. L’ap- Nos constats et recommandations sur cette
proche par le biais de l’analyse causale en est mission ont permis à nos interlocuteurs de
facilitée. mettre en place des plans d’actions appropriés
pour améliorer la conduite du projet. En parti-
Par ailleurs, ainsi que je l’ai indiqué précédem- culier, l’équipe projet a redéfini son organisation
ment, la grande majorité des missions d’audit pour répartir clairement les responsabilités de
interne qui sont réalisées au sein du Groupe sont chacun. Aussi la direction du Groupe a délégué
des missions d’audits opérationnels ou de sur place une personne en charge de centraliser
processus. En conséquence, le Comité d’Audit et l’ensemble de l’information et la diffuser de
la direction du Groupe reconnaissent l’expé- manière coordonnée auprès des membres de
rience de l’audit interne en matière d’analyse l’équipe. Enfin, ce responsable a depuis pour
causale et lui demandent régulièrement de réali- tâche de remonter l’information vers le Groupe
ser des missions de recherche des causes en temps réel pour l’alerter sur toute difficulté et
premières de dysfonctionnements. prendre les mesures préventives et correctives
appropriées.

avril-mai 2012 - FICHE TECHNIQUE N°39 - Audit & Contrôle internes 4


FICHE TECHNIQUE

Lors de notre intervention de suivi quelques défense de son positionnement indépendant et


mois plus tard, nous avons noté une nette libre de conflits d’intérêt. Cette particularité lui
amélioration dans les processus de conduite du permet d’afficher une efficacité sensiblement
projet, ainsi que dans la réussite du projet en tant plus importante dans la réalisation de ses
que tel. travaux, dans l’analyse causale des constats et
dans la pertinence de ses recommandations. En
R A&CI : Dans ce cas précis, l’analyse causale n’au- effet, en demandant au management de prendre
rait-elle pas pu être réalisée par une autre fonction ? la responsabilité de la définition et des plans
Quelle a été la valeur ajoutée de l’audit interne ? d’actions et en ne prenant pas part à leur mise
en œuvre, les auditeurs internes bénéficient d’un
E. B. : Dans une entreprise, nous pouvons distin- regard externe par rapport aux processus et
guer trois lignes de défense : le management, qui gardent un esprit critique vierge. Les fonctions
réalise son propre autocontrôle et donne le ton ; de contrôle de la seconde ligne de défense sont
les organes de contrôle reportant au manage- confrontées a contrario à la double difficulté de
ment (contrôle de gestion, back-office, comité devoir se prononcer sur l’efficacité des processus
éthique, etc.) qui fournissent une vision globale définis par la hiérarchie à laquelle ils rapportent
du fonctionnement de l’environnement de et de faire une analyse critique de démarches
contrôle interne ; et les fonctions d’audit, qui qu’elles ont elles-mêmes contribué à mettre en
donnent une assurance raisonnable et indépen- œuvre. De plus, en intervenant auprès de diffé-
dante sur l’efficacité de l’environnement de rentes entités du Groupe, nous avons une vision
contrôle interne. plus large et une base de comparaison sur la
base d’exemples diversifiés. L’audit interne est
Il est vrai que dans de nombreuses entreprises, donc en mesure de faire bénéficier ses interlocu-
certaines fonctions de la seconde ligne de teurs des meilleures pratiques connues, ce qu’un
défense se prévalent de pouvoir réaliser des service propre à l’entité auditée est moins
missions d’ « audit » en lieu et place de l’audit susceptible d’identifier.
interne. C’est notamment le cas des fonctions
sécurité, performance ou contrôle au sein des Si je reprends le projet industriel dont je vous ai
différents départements opérationnels et fonc- parlé précédemment, il n’était pas possible pour
tionnels. En effet, à la demande du management les équipes au sein de l’entité d’avoir une vision
– la première ligne de défense – et en fonction objective sur la qualité de l’organisation qu’elles
de l’appétence au risque de celui-ci, ces fonc- avaient elles-mêmes mise en place. En effet,
tions revoient la gestion des risques et s’assurent cette organisation était celle qu’elles avaient esti-
de mettre en place les contrôles managériaux et mée comme étant la plus appropriée lorsqu’elles
opérationnels appropriés pour prévenir les l’avaient décidée, celle à laquelle elles étaient
risques potentiels et traiter les risques avérés. habituées, donc qui leur apportait un certain
Ces fonctions, comme l’audit interne, procèdent confort, et celle qui demeurait leur principal réfé-
à des analyses en profondeur des éléments rentiel connu. En tant qu’auditeurs internes,
générateurs des risques pour pouvoir les gérer à nous avons pu expliquer à nos interlocuteurs la
la source. raison essentielle – une organisation inefficace –
des difficultés qu’ils rencontraient, leur expliquer
L’audit interne se distingue cependant par pourquoi, et leur présenter des recommanda-
rapport aux organes de la seconde ligne de tions fondées sur les exemples d’autres entités

5 Audit & Contrôle internes - FICHE TECHNIQUE N°39 - avril-mai 2012


qui s’étaient avérés efficaces. Le management a la base de l’analyse des causes des dysfonc-
ainsi trouvé dans l’audit interne une réponse tionnements constatés, mais qu’il appartient
immédiate et efficace à la problématique qu’il au management de retenir ces recommanda-
rencontrait et a pu rapidement identifier et tions ou non et de définir les plans d’actions,
mettre en œuvre les actions correctrices les responsables de la conduite de ceux-ci et
adéquates. leur échéance. Ce principe est notamment
exposé dans le manuel de l’audit interne du
R A&CI : Comment gérer la relation avec les opéra- Groupe.
tionnels ? Comment gérer la limite mission d’assu-
rance / conseil ? Répondre efficacement à la mission qui nous
incombe en tant qu’auditeurs internes requiert
E. B. : En tant qu’auditeurs internes, nous donc de notre part l’instauration d’un climat de
rencontrons régulièrement le risque, lorsque confiance et de relations saines avec les opéra-
nous réalisons des missions de conseil, de nous tionnels. Il est de notre responsabilité d’expliciter
immiscer dans la gestion du management et de le rôle de chacun lors du déroulement d’une
nous trouver par la suite en situation de conflit mission d’audit, et notamment le bénéfice que
d’intérêt. Aussi, la limite entre assurance et peuvent trouver les opérationnels dans nos
conseil est toujours sujette à appréciation, car travaux d’analyse des causes des dysfonctionne-
nous nous demandons jusqu’à quel point nous ments et de recherche à améliorer les processus.
pouvons émettre des recommandations sans Aussi, il importe de faire comprendre à nos
qu’elles soient comprises comme des proposi- interlocuteurs qu’ils demeurent maîtres de leur
tions de plans d’actions. Afin de maintenir notre gestion et que nous n’avons pas vocation à nous
indépendance, nous suivons chez GDF SUEZ substituer à eux dans leur pouvoir de décision.
deux principes : Chez GDF SUEZ, l’audit interne intègre cet
• Tout d’abord les travaux de l’audit interne se aspect relationnel et adopte une optique de
limitent aux missions d’assurance. A ce titre, la « service client » dans un rôle de coach à l’amé-
charte de l’audit interne du Groupe rappelle la lioration de la performance dans lequel chacun
mission de la fonction comme apportant une trouve son bénéfice : aujourd’hui, à tous les
assurance raisonnable sur le degré de maîtrise niveaux de management, de la direction géné-
des activités des opérations. En conséquence, rale aux opérationnels locaux, l’audit interne est
les missions de conseil sont exclues du péri- perçu comme moteur de la dynamique de
mètre de l’audit interne lors de l’élaboration recherche de l’efficacité et d’amélioration conti-
de notre plan annuel d’audit. nue du Groupe. 
• Ensuite, lors de chaque mission, les auditeurs
internes rappellent aux opérationnels la
responsabilité qui incombe à ces derniers de
définir les plans d’actions et de les mettre en
œuvre. En particulier, les auditeurs internes
précisent lors de la réunion de clôture de leur
mission, que les recommandations émises
correspondent à des propositions d’actions à
partir de constats, évaluations et diagnostics,
et destinées à apporter des améliorations sur

avril-mai 2012 - FICHE TECHNIQUE N°39 - Audit & Contrôle internes 6

Vous aimerez peut-être aussi