Académique Documents
Professionnel Documents
Culture Documents
Dans l’actualité
Puma, Reebook, Carrefour :
comment prévenir les fraudes
organisées par les filiales ?
Idées et débats
La mise en œuvre du contrôle
interne impulsée au sein des
OPCA
La communication de l’audit
interne vers les organes de
gouvernance
Mémoire d’étudiant
Maîtriser les risques spécifiques
aux activités de services
La profession en
mouvement ...
CONTRIBUER
Fiche technique
À LA VALEUR AJOUTÉE
>> Indépendance et objectivité,
deux conditions pour un audit
interne reconnu et performant DES ORGANISATIONS
Une finalité pour l’audit
et le contrôle internes
N°210
Juin - Juillet 2012
Marquez des points ...
avec la nouvelle certification
professionnelle
Professionnels de l’audit et du contrôle internes, cette nouvelle certification vous permettra de dé-
montrer votre professionnalisme dans le domaine de l’évaluation de la gestion des risques, et plus
particulièrement votre capacité à :
évaluer la maîtrise des risques et la gouvernance des processus métiers de votre organisation ;
sensibiliser la direction et le comité d’audit aux concepts liés aux risques et à la maîtrise des
risques ;
vous centrer sur les risques stratégiques de l’organisation ;
apporter encore plus de valeur ajoutée à votre organisation.
Disponible, à la fin du premier semestre 2013, sous la forme d’un examen, le CRMA™ est ac-
cessible dès aujourd’hui via un processus de Reconnaissance de l’Expérience Profes-
sionnelle (REP). Ainsi, toute personne justifiant d’une expérience professionnelle
dans les cinq domaines couverts par la certification CRMA™, et titulaire de di-
plômes et/ou de tout autre certificat dans le domaine de l’audit, sera en mesure
de faire une demande de REP en vue d’obtenir la certification CRMA™.
D
DIRECTEUR DE PUBLICATION e la lecture du dossier du présent numéro et
Farid Aractingi des meilleures pratiques, quelques grandes
RESPONSABLE DE LA RÉDACTION conditions, pour que le contrôle interne et
Philippe Mocquard l’audit interne contribuent à la valeur ajoutée des
RÉDACTEUR EN CHEF organisations, peuvent être mises en avant.
Louis Vaurs
RÉDACTION - RÉVISION Concernant le contrôle interne il paraît impératif
Jean-Loup Rouff - Béatrice Ki-Zerbo 1) que la direction générale se l’approprie comme un
SECRÉTARIAT GÉNÉRAL élément essentiel du succès de l’organisation, ait un
Eric Blanc - Tél. : 01 40 08 48 02
Mel : eblanc@ifaci.com discours et une attitude dénués d’ambigüités sur l’importance qu’elle lui accorde,
et définisse une politique qui responsabilise les lignes managériales ; 2) que le
RÉALISATION Comité d’audit soit parfaitement au courant du dispositif mis en place et des
EBZONE Communication
32, avenue de Beauregard responsabilité de ses principaux acteurs, et qu’il prenne toutes dispositions pour en
94500 Champigny-sur-Marne surveiller l’efficacité.
Tél. : 01 48 80 00 56
Mel : ebzone@ebzone.fr
Pour ce qui est de l’audit interne, sept conditions peuvent être notées :
IMPRESSION • Etre ambitieux tout en étant réaliste. Agir selon la maturité du service. Ne pas
Imprimerie de Champagne bruler les étapes pour ne pas se bruler les ailes.
Rue de l’Etoile de Langres - ZI Les Franchises
52200 Langres • Mériter la confiance de la direction générale à laquelle il est rattaché : bien
connaître les objectifs de l’organisation ; bien appréhender ses différentes acti-
ABONNEMENT
vités ; être efficace et compétent.
Elsa Sarda - Tél. : 01 40 08 47 84
Mel : esarda@ifaci.com • Etre crédible à l’égard du Comité d’audit avec lequel il a des relations étroites et
suivies : il doit lui apporter une information synthétique, organisée, hiérarchisée,
Revue bimestrielle (5 numéros par an)
ISSN : 2117-1661 non biaisée. « Il ne peut y avoir d’informations significatives réservées à la direction
CPPAP : 0513 G 83150 générale, c’est-à-dire volontairement soustraites aux administrateurs ».
Dépôt légal : mai 2012
Crédit photos : © Getty Images • Etre légitime au sein de son organisation : le directeur de l’audit interne doit
inspirer le respect par son sens de l’éthique, son indépendance d’esprit et son
courage. Dans le même temps, la compétence du service doit être reconnue par
la pertinence de ses diagnostics et de ses recommandations, et par sa capacité
Prix de vente au numéro : 22 € TTC
à s’assurer de la mise en place des plans d’action.
Ce document est imprimé avec des encres végétales • Eviter de se complaire dans une solitude pernicieuse et des certitudes de
sur du papier issu de forêts gérées dans le cadre
d’une démarche de développement durable. mauvais aloi : c’est en travaillant de manière coordonnée avec des fonctions
proches que l’on évite redondances coûteuses et « trous dans la raquette ».
• S’attacher à être connu et reconnu au sein de l’organisation : cela implique une
capacité à bien communiquer.
• Convaincre la direction générale que l’audit interne doit bénéficier d’une réelle
indépendance : « un auditeur interne muet est un auditeur inutile ; un auditeur
interne complaisant est un auditeur dangereux ».
Les articles sont présentés sous
la responsabilité de leurs auteurs.
Louis Vaurs - Rédacteur en chef
Toute représentation ou reproduction, intégrale ou partielle, faite
sans le consentement de l’auteur, ou de ses ayants droits, ou ayants
cause, est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40).
Cette représentation ou reproduction, par quelque procédé que ce juin-juillet 2012 - Audit & Contrôle internes n°210 3
soit, constituerait une contrefaçon sanctionnée par les articles 425
et suivants du Code Pénal.
Progressez sur
des bases solides
DANS L’ACTUALITÉ
DOSSIER
6 Puma, Reebook, Carrefour : comment
prévenir les fraudes organisées par les
filiales ?
Antoine de Boissieu Contribuer à la valeur ajoutée
IDÉES ET DÉBATS
des organisations
Une finalité pour l’audit et
8 La mise en œuvre du contrôle interne
impulsée au sein des OPCA le contrôle internes p. 15 à 27
Nathalie Cretel
LA PROFESSION EN MOUVEMENT
C
ertains services d'au- direction locale. Les diri- les dirigeants étaient en locale : elles achetaient
dit interne attachent geants sont accusés d'avoir place depuis longtemps : ils apparemment des marchan-
beaucoup d'impor- détourné des marchandises, avaient recruté eux-mêmes dises à un prix anormale-
tance aux risques de fraude ; notamment via deux entre- leurs principaux collabora- ment bas, ou ne payaient pas
leurs équipes passent un pôts secrets, et maquillé les teurs, ils jouissaient d'une leurs factures. Les marchan-
temps significatif en mission comptes de la société. forte légitimité en interne, et dises ainsi détournées
à auditer les mécanismes de Cette fraude en rappelle une ils connaissaient très bien le étaient ensuite revendues
fraude les plus courants : autre, révélée en 2010 dans tissu des partenaires locaux. aux clients finaux, soit au
décaissements non autori- la filiale grecque de son Le siège, à distance, ne prix du marché, soit à un prix
sés, vols de stocks, notes de concurrent Puma (filiale de connaissait ni les collabora- légèrement inférieur.
frais indues, surfacturations, PPR). Puma avait ainsi dû teurs, ni les clients et four- Dans le cas de Carrefour, le
favoritisme dans le choix constater une perte de nisseurs locaux. Les diri- mécanisme est différent
d'un fournisseur... 115 M€ après une série de geants avaient donc toute puisqu'il n'est pas reproché
Toutes ces fraudes sont fraudes organisées par les latitude pour agir, les action- aux dirigeants un enrichisse-
généralement faites en dirigeants de sa filiale. Là naires du groupe n'exerçant ment personnel. La filiale
infraction à des procédures aussi, les dirigeants sont qu'un contrôle très lointain, brésilienne avait, entre
de contrôle interne accusés d'avoir détourné des sans contacts locaux. autres, mis en place un sys-
connues : rapprochements marchandises et maquillé les tème de « cavalerie » comp-
bancaires, inventaires des comptes. Une absence de table, permettant de décaler
stocks, restriction des profils Entre-temps, fin 2010, contre-pouvoir des charges. Elle négociait
utilisateurs, ségrégation des Carrefour a annoncé avoir Le deuxième point commun auprès de fournisseurs
tâches, etc. Ces procédures mis au jour une perte de venait du fait qu'il n'y avait locaux des remises condi-
sont parfois compliquées et 550 M€ dans sa filiale brési- pas vraiment de contre-pou- tionnées à des objectifs de
longues à évaluer par un lienne, dissimulée par la voir en interne. Les princi- vente ambitieux. Si ces
audit interne. Valider la direction locale. paux directeurs étaient ainsi objectifs n'étaient pas
bonne ségrégation des A chaque fois, les fraudes recrutés et nommés par le atteints en fin d'année, la
tâches dans un système représentaient plusieurs directeur de la filiale. Ils filiale ne remboursait pas les
d'information peut ainsi années de résultat des reportaient et étaient éva- remises mais, en compensa-
prendre plusieurs jours ou filiales concernées, et l'im- lués par ce même directeur tion, s'engageait sur de nou-
semaines à un auditeur. pact sur le résultat du de filiale. Il n'y avait pas de veaux objectifs encore plus
Or, ces fraudes ne mettent groupe a été significatif. fonction réellement indé- ambitieux auprès des
que rarement en danger la Dans les cas de Puma et de pendante, garante des inté- mêmes fournisseurs. Ce
société ou ses filiales ; les Carrefour, elles sont interve- rêts du siège. Il s'agissait de mécanisme n'était possible
vols de stocks, les factures nues dans les mois qui ont plus de filiales relativement que grâce à un contact privi-
fictives, les notes de frais précédé l'annonce du départ lointaines, pour des sièges légié avec les fournisseurs
indues constituent souvent des directeurs généraux du situés en France et en Alle- locaux, contact exclusive-
de « petites » fraudes. L'ac- groupe, dont elles ont sans magne. ment assuré par la filiale.
tualité récente du secteur de doute fragilisé la position.
la distribution a montré à Des conflits d'intérêt Un marché
l'inverse que certains méca- Analysons ces exemples, et Un troisième point, com- intermédié
nismes de fraude, certes plus notamment leurs points mun au moins à Reebook et Dans les exemples de Puma
rares, peuvent coûter beau- communs. Puma, a consisté dans l'exis- et Reebook, les dirigeants
coup plus cher. tence de conflits d'intérêts avaient réussi à placer leur
Le dernier en date est l'an- L'ancienneté des cachés. Dans ces deux cas en société dans une structure
nonce faite par Reebook dirigeants effet, la direction générale a de marché intermédié. La
(filiale d'Adidas) concernant Le premier point commun créé des sociétés-écran qui fraude a été rendue possible
sa filiale indienne. Reebook de ces fraudes est qu'elles ont réalisé des transactions en passant par des sociétés-
a reconnu une perte estimée ont toutes été organisées par avec la société. Il semblerait écran, qui jouaient en appa-
à 200 MUSD, résultant la direction des filiales que ces sociétés-écran aient rence le rôle d'intermédiaire
d'une fraude commise par la concernées. A chaque fois, été clientes de la filiale entre la société et ses clients
La mise en œuvre
du contrôle interne
impulsée au sein des OPCA
gestion des risques et de contrôle sont organisées de manière à disposer qui ne sont pas nécessairement ceux
interne » de l’AMF, COSO II et, notam- d’un système de contrôle efficace et per- dans l’état d’esprit des textes applicables
ment en raison de la similitude de cer- tinent, à développer une synergie entre à d’autres sociétés privées, tels que la
tains de ses processus avec ceux du sec- dispositifs de chaque métier, ainsi qu’à 8ème directive européenne, les articles
teur bancaire, du CCLRF n°97-02 relatif faciliter la séparation des fonctions si la L225-37 et L225-68 du code de com-
au contrôle interne des établissements taille de l’OPCA PL évoluait dans le merce ou encore les dispositions du titre
de crédit et des entreprises d’investisse- futur. VI du CCLRF n° 97-02 déterminant le
ment . rôle des organes exécutifs et délibérants.
Concernant le respect des règles déon-
Le contrôle interne s’applique à l’en- tologiques de l’audit interne, une règle La mission en contrôle interne du
semble des activités de l’OPCA PL, y est fixée : tout audit du dispositif Conseil d’administration a été introduite
compris aux activités externalisées contrôle interne devra être réalisé par un dans les statuts de l’OPCA PL à l’occa-
auprès de prestataires, de mandataires audit externe, tant que l’audit interne sion de son renouvellement d’agrément.
de collecte et de tout autre intermé- n’est pas séparé de la gestion des risques Il nomme un Comité des risques et
diaire, ainsi que des contreparties signa- et du contrôle permanent. Quant aux d’audit dont la composition est définie
taires d’éventuelles conventions audits internes de processus, de confor- dans la charte de gouvernance et de
conclues avec l’OPCA PL dans le cadre mité ou organisationnels, l’existence de pilotage en contrôle interne. Le Comité
d’un partenariat avec, par exemple, une procédures distinctes et de méthodes des risques et d’audit porte notamment
collectivité territoriale ou une institution appropriées à la réalisation de ce type de une appréciation sur la qualité du
publique comme Pôle emploi. missions permet de garantir le principe contrôle interne, la cohérence des sys-
d’objectivité. Par ailleurs, les constats et tèmes de mesure, de surveillance et de
Un standard interne de règles a été for- recommandations issus de ces audits maîtrise des risques.
malisé puis approuvé par les adminis- constituent des informations utiles et
trateurs afin d’encadrer le dispositif nécessaires pour la gestion des risques Un déploiement du contrôle
contrôle interne à déployer à moyen et améliorent le dispositif de contrôle interne progressif et maîtrisé
terme : permanent.
• Un référentiel de contrôle interne Un incontournable : la fédération des
définit les objectifs, les principes et les Organisation de la gouvernance du salariés et des administrateurs au
dispositifs de contrôle interne propres contrôle interne contrôle interne
aux activités de l’OPCA PL, et orga-
nise de manière anticipée le contrôle L’organisation de la gouvernance du Un plan de communication et de sensi-
interne dans le cadre d’un rapproche- contrôle interne a plusieurs enjeux : bilisation au contrôle interne est mis en
ment avec un autre organisme pari- • intégrer le contrôle interne dans les œuvre. Dès le début de la démarche, une
taire. processus de pilotage de l’OPCA PL présentation détaillée du contrôle
• Une charte des droits et devoirs orga- et dans le processus de gestion de interne a été animée auprès des admi-
nise le rôle, les responsabilités et les projets ; nistrateurs. L’ensemble des salariés a
droits des collaborateurs, des respon- • partager l’appétence au contrôle bénéficié d’une présentation générale
sables d’activités, des membres du interne au sein de l’organisme ; du dispositif dès le 1er semestre 2011.
Comité de direction, du directeur • assurer que l’attitude des collabora- Cette même présentation est planifiée
administratif et financier, du directeur teurs est cohérente avec celle du au 1er trimestre 2012 auprès des nou-
général, de la présidence et des tréso- management et des dirigeants ; veaux salariés issus de l’organisme ayant
riers dans la mise en œuvre du • veiller à ce que les équipes de la fonc- fusionné avec l’OPCA PL, dans l’objectif
contrôle interne. tion contrôle interne aient les compé- d’assurer un même niveau de sensibili-
• Une charte de gouvernance et de tences et la légitimité nécessaires à sation des collaborateurs avant même
pilotage précise les principes de l’exercice de leurs responsabilités. leur intégration au sein des locaux.
conflit d’intérêt, de transparence, de
surveillance de l’efficacité et de l’effi- La gouvernance du contrôle interne doit Une filière fonctionnelle contrôle
cience du contrôle interne. Le rôle des être adaptée à l’organisation de l’OPCA interne est mise en place afin de dispo-
instances internes de gouvernance en PL qui est notamment caractérisée par ser d’une « force motrice » pour le
matière de gestion des risques et les règles du paritarisme et les règles de déploiement du dispositif. La fonction
contrôle interne y est présenté. fonctionnement propres aux OPCA. Les contrôle interne s’appuie sur un réseau
administrateurs sont des élus d’organi- de correspondants opérationnels dési-
Les 4 métiers coordonnés par la fonction sations syndicales et patronales dont gnés au sein des activités, formés
contrôle interne sont présentés dans le l’intérêt à protéger est politique avant notamment à l’élaboration de cartogra-
référentiel. Leurs missions et procédures d’être financier. Autant de paramètres phie des risques.
La communication
de l’audit interne vers
les organes de gouvernance
La communication sur l’activité de l’audit interne de GDF SUEZ est organisée autour
d’un rapport d’activité mensuel destiné au Comité exécutif du groupe et d’un rapport
trimestriel présenté par le directeur de l’audit interne au Comité d’audit de GDF SUEZ.
Le rapport mensuel présente une synthèse des principaux constats identifiés au
cours des missions d’audit interne et des recommandations émises. Le rapport tri-
mestriel traite de l’efficacité du système de contrôle interne et de gestion des risques.
L
’audit interne de GDF SUEZ est concise, constructive, complète et émise
structuré autour de 7 équipes en temps utile.
d’auditeurs établies au siège et au
sein de chacune des 6 branches du Alerter le management,
Groupe. Des équipes plus restreintes informer le Comité d’audit sur
sont localisées dans certaines entités de l’efficacité du système de
taille réduite pour des raisons de gou- contrôle interne et de gestion
vernance locale. des risques
Plusieurs centaines de missions d’audit
Michel Caty
sont réalisées chaque année par les Le rapport d’activité mensuel vise à pré-
Responsable de portefeuille de auditeurs du groupe et un processus senter au Comité exécutif du groupe une
missions, structuré a été mis en place au sein de la synthèse des principaux constats iden-
GDF SUEZ direction de l’audit interne pour assurer tifiés au sein du groupe au cours des
une communication efficace auprès de missions d’audit interne, et des recom-
la direction générale de GDF SUEZ et mandations émises. Les membres de la
du Comité d’audit. direction générale peuvent ainsi être
alertés sur des dysfonctionnements
Responsable de portefeuille de mis- La communication sur l’activité de l’au- intervenus hors de leur périmètre, mais
sions depuis 3 ans au sein de la dit interne est organisée autour d’un dont le retour d’expérience peut être
direction de l’audit interne de GDF rapport d’activité mensuel destiné au bénéfique pour leurs fonctions ou enti-
SUEZ, Michel Caty a entamé sa Comité exécutif du groupe et d’un rap- tés. Les directeurs fonctionnels peuvent
carrière au sein de la direction port trimestriel présenté par le directeur aussi identifier, à partir des travaux réa-
financière du Groupe, dans les acti- de l’audit interne au Comité d’audit de lisés sur le terrain par les auditeurs, des
GDF SUEZ. signaux diffus concernant les processus
vités de marché, les fusions-acqui-
Ces productions s’inscrivent dans les dont ils sont en charge.
sitions et le contrôle de gestion.
exigences des normes de l’audit interne Le rapport d’activité trimestriel vise à
Ingénieur diplômé de l’Ecole Cen- (MPA 2420-1) qui stipulent que l’audit informer le Comité d’audit dans le cadre
trale de Lille, il est aussi titulaire interne a le devoir d’assurer une com- des responsabilités reconnues par la 8ème
d’un DEA de Sciences de Gestion. munication exacte, objective, claire, Directive, à savoir le suivi de l’efficacité
activités menées par l’audit interne avec tions de l’audit interne sont complétés principales missions venant couvrir des
une approche géographique, par métier, par les plans d’actions du management risques et enjeux du groupe, et produit
par processus et par risques. qui permettent d’assurer que les dys- des éléments quantitatifs sur les autres
Le Comité d’audit peut constater la fonctionnements sont traités dans un missions (approche par pays, processus,
proximité de l’audit interne du groupe délai raisonnable. type de mission).
avec les opérationnels (les auditeurs Annuellement, un bilan de la revue du
sont sur le terrain, là où le groupe exerce contrôle interne du groupe est accom- Une évaluation régulière
son activité) ainsi que la couverture des pagné d’une conclusion du directeur de de la satisfaction des parties
principaux processus et des risques l’audit interne sur la conformité, la maî- prenantes
majeurs du groupe. Il est aussi informé trise des enjeux et la performance glo-
de l’avancement du plan annuel d’audit bale des opérations ainsi que de la syn- Le directeur de l’audit interne du groupe
ainsi que des principaux arbitrages thèse des missions destinées à apprécier s’assure périodiquement que les formats
apportés au plan en cours d’année. l’efficacité du contrôle interne à l’échelle de communication donnent satisfaction
du groupe. aux parties prenantes : ce point fait par-
Présentation des constats tie du programme d’amélioration de la
les plus significatifs pour Une identification rapide qualité qui est une exigence de l’audit
le groupe et des missions des cas de non-conformité interne.
typiques éthique, de leur traitement Ainsi, lors de rencontres avec le mana-
et des recommandations gement du groupe et le président du
Un focus sur quelques missions (présen- en termes d’amélioration Comité d’audit, il recueille périodique-
tation sur une à deux pages) permet de du contrôle interne ment leurs attentes. Des contacts régu-
couvrir : liers avec des personnes assistant au
• les constats portant sur des sujets Les cas de non-conformité éthique Comité d’audit (directeur financier,
importants ou sensibles ; identifiés au sein du groupe et le suivi auditeurs externes) permettent aussi de
• certaines missions n’ayant pas identi- des actions de traitement menées par le valider l’impact des présentations
fié de déficience critique, mais faisant management sont présentés de manière menées par l’audit interne et complètent
suite à une demande du Comité d’au- complète. Afin d’assurer le respect des ainsi la boucle d’amélioration.
dit, couvrant un sujet d’actualité, ou lois et règlementations (secret judiciaire
permettant de donner une assurance si des procédures sont en cours, prin-
raisonnable sur un processus majeur cipes éthiques sur l’intégrité et la dignité
où un thème à enjeu du groupe. des personnes), la liste des cas est pré-
GDF SUEZ
sentée de manière anonyme. Ce sujet
GDF SUEZ inscrit la croissance res-
Pour ces missions, des éléments de est traité de manière coordonnée avec la ponsable au cœur de ses métiers
contexte permettent de présenter l’en- direction éthique et la direction juri- (électricité, gaz naturel, services à
vironnement et les objectifs de la mis- dique de GDF SUEZ. l’énergie et à l’environnement) pour
sion. Les constats et les recommanda- relever les grands enjeux : répondre
Un bilan régulier aux besoins en énergie, assurer la
de l’avancement des actions sécurité d’approvisionnement, lutter
Un point de vigilance : L’organisa- de progrès contre les changements climatiques
tion du groupe est complexe. Plu- et optimiser l’utilisation des res-
sieurs entités significatives disposent sources.
d’un Comité d’audit ou sont cotées Un bilan de la mise en œuvre des plans
Le groupe propose des solutions per-
sur les marchés financiers (Suez Envi- d’actions par le management est pré- formantes et innovantes aux particu-
ronnement, Tractebel Energia…). senté sous forme d’indicateurs par liers, aux villes et aux entreprises en
L’audit interne de GDF SUEZ doit veil- branche. Des informations qualitatives s’appuyant sur un portefeuille d’ap-
ler à ce que l’information soit diffusée détaillées décrivent l’avancement des provisionnement gazier diversifié, un
de manière organisée au sein du principaux plans d’actions lorsqu’ils parc de production électrique flexi-
management et des différents portent sur des sujets à enjeu pour le ble et peu émetteur de CO2 et une
niveaux d’organes de gouvernance. groupe. expertise unique dans quatre sec-
Ainsi, il tient compte des calendriers teurs clés : le gaz naturel liquéfié, les
des différents comités, de leurs règles services à l’efficacité énergétique, la
de fonctionnement et des normes Une étape clé : la présentation production indépendante d’électri-
professionnelles de l’audit interne. du plan d’audit annuel cité et les services à l’environnement.
Une relation étroite avec les direc- GDF SUEZ compte 218 900 collabo-
teurs de l’audit interne des branches La présentation du plan annuel d’audit rateurs dans le monde pour un chif-
permet d’identifier et d’intégrer ces donne lieu à un échange riche. L’audit fre d’affaires en 2011 de 90,7 milliards
quelques contraintes. interne présente une vision détaillée des d’euros.
Contribuer à la valeur
ajoutée des organisations
Une finalité pour l'audit et le contrôle internes
Michel Tudrej - Directeur de mission, responsable de l’animation du contrôle interne, Groupe EDF - Co-
pilote de l’unité de recherche « La création de valeur par le contrôle interne » de l’IFACI
L
e groupe professionnel « Contrôle interne » de l’IFACI
a produit un cahier de la recherche sur « La création de
valeur par le contrôle interne ». Le développement de
la valeur d’usage managérial du contrôle interne y est présenté
comme un des indicateurs clés de cette création de valeur.
Afin de prendre en compte les parties être sur les « vrais » risques / oppor- clients internes (organes de gouver-
prenantes d’un dispositif de contrôle tunités de l’entreprise et à améliorer nance, direction générale, direction
interne dans une organisation, le cahier leur niveau de maîtrise ; financière …) et externes (commissaires
de la recherche propose d’adopter une • mesure de la qualité et de l’adéqua- aux comptes, autorités de régulation,
démarche structurée pour : tion des prestations liées à l’animation clients …).
• cartographier les parties prenantes ; du dispositif ;
• identifier et hiérarchiser leurs • mesure de la satisfaction des parties De plus, la démarche doit prendre en
attentes ; prenantes internes et externes. compte et être en totale adéquation avec
• déterminer des critères de mesure de la culture de l’organisation et des diri-
leur satisfaction ; Ainsi, toute action d’intégration ou de geants (éthiques, valeurs …) et l’appé-
• adapter les moyens d’atteinte de leurs convergence de démarches, telles que tence forte qui est affichée ou encore
objectifs ; contrôle interne, la qualité ou la sécurité, naissante pour mettre en place une
• les informer sur la valeur ajoutée du renforce l’efficacité globale des disposi- démarche structurée. A cet effet, les
contrôle interne dans leur périmètre. tifs et facilite leur appropriation par le conclusions du cahier de la recherche
management opérationnel. sur les variables culturelles du contrôle
Dans certaines entre- peuvent être utiles à prendre en consi-
prises, le dispositif de dération.
(5)
Les informer sur la contrôle peut aussi
(1)
valeur ajoutée du Cartographier être un vecteur d’har- b) Un dispositif flexible
contrôle interne dans les parties
leur périmètre monisation et de par- proactif et ouvert
prenantes
tage des bonnes pra-
tiques. Pour cela, il Les éléments clés ayant un impact sur
s’appuie souvent sur les dispositifs de maîtrise des activités
la mise à disposition qui sont en évolution permanente (envi-
de référentiels de ronnement externe, lois et règlements,
(4) contrôle interne par- organisation interne, etc.), il est primor-
Adapter les (2)
moyens d'atteinte Identifier et tagés au sein de l’or- dial que tout dispositif soit dès l’origine
de leurs objectifs hiérarchiser
ganisation et la mise conçu afin de pouvoir assurer un degré
leurs attentes
en place de filières de flexibilité suffisant pour être adapta-
d’animateurs du dis- ble et adapté en tant que de besoin.
(3)
Déterminer des positif de contrôle
critères de mesure interne. De plus, il ne doit pas être l’apanage
de leur
satisfaction
d’une communauté d’experts du
Au-delà de ces élé- contrôle interne, mais il doit absolument
ments caractéris- impliquer tous les acteurs concernés, et
L’information des parties prenantes sur tiques de l’usage managérial, l’unité de ceci aux différentes étapes de vie de ce
la valeur ajoutée est fondamentale car recherche a identifié quelles sont les clés dispositif (élaboration, déploiement, uti-
elle permet de s’assurer que le dispositif de réussite majeures lors des phases lisation et évolution).
de contrôle interne répond bien aux d’élaboration et de déploiement d’un
besoins et d’identifier éventuellement dispositif de gestion des risques et de c) Un dispositif connu de tous
les ajustements nécessaires. contrôle interne.
Parmi celles-ci, on peut retenir : Au-delà de la mise en œuvre d’un dis-
Le cahier de la recherche propose des positif répondant aux besoins des diffé-
pistes pour structurer ce retour d’infor- a) Une approche réaliste, rentes parties prenantes, il est indispen-
mation sur la valeur ajoutée du dispositif adaptée et en phase avec les sable d’accompagner le déploiement par
de contrôle interne et les conditions de besoins opérationnels les actions de communication ad hoc
cette création de valeur : afin de permettre son ancrage et sa
• indicateurs sur la capacité de l’organi- En effet, il est primordial que la bonne appropriation dans la durée.
sation à disposer d’une structure et démarche se mette en place à un rythme
d’une gouvernance adaptée ; en ligne avec la maturité des processus, Cette communication doit être continue,
• mesure de la capacité du dispositif à et en adéquation avec les attentes des ciblée en fonction des objectifs de cha-
cun (car ces objectifs peuvent être diffé- ponsabilités au sein d’un cercle d’ex- de mettre en lumière la valeur ajoutée
rents entre les lignes managériales, les perts qui ne permettront pas l’adhésion d’un dispositif de contrôle interne reste
fonctions financières et les autres fonc- de l’ensemble des personnels, qui sont un challenge à relever. En effet, s’il existe
tions transverses parties prenantes pourtant au cœur des activités et des aujourd’hui un nombre important d’in-
comme RH, SI, communication, juri- risques, et par conséquent les premiers dicateurs, la notion d’efficacité du
dique …, les opérationnels sans compter concernés par la nécessité d’un niveau contrôle interne réside plus dans le suivi
bien sûr les personnels directement en de maîtrise adapté. de cette efficacité, par la mise en évi-
charge de l’animation de la démarche), dence des faiblesses et des plans d’ac-
et elle doit utiliser des canaux de com- Si l’existence d’un noyau corporate est tion ad hoc correspondants, que par la
munication efficaces. incontournable, rien que pour définir la mesure intrinsèque de cette efficacité.
politique du groupe et assurer un pilo-
Cette communication doit d’abord être tage pour la direction générale, il paraît
centrée sur la plus value réelle pour sus- important de mettre en œuvre un réseau
citer l’intérêt des acteurs impliqués dans de responsables de contrôle interne au
la démarche et démontrer qu’elle n’est plus près des top managers opérationnels
pas uniquement liée à des aspects obli- et fonctionnels de chaque société. En
gatoires et réglementaires. Il est donc effet tout manager qui porte une activité
primordial de trouver le bon axe de jugée importante est inévitablement
communication qui varie d’une entre- soumis à des risques associés (de non
prise à l’autre pour lever l’obstacle évo- atteinte de ses objectifs), aussi il se doit
qué ci-dessus de la mauvaise compré- de mettre en place un dispositif de maî-
hension et interprétation du terme trise de ces risques et donc de définir les
« contrôle interne ». Le cahier de la ressources utiles pour mener cette
recherche donne des éléments et des action (cf. exemples dans le cahier de la
exemples intéressants sur ces différents recherche).
points.
f) Des démarches
d) Un dispositif piloté à partir coordonnées
d’un système de reporting
fiable Comme déjà évoqué ci-dessus, diffé-
rents acteurs contribuent à la bonne
le dispositif de reporting doit être pensé marche du contrôle interne et il est pri-
et mis en place dès les premières phases mordial que des synergies et des cohé-
de déploiement et doit être destiné évi- rences soient identifiées et mises en
demment en premier lieu à la direction œuvre pour optimiser l’ensemble des
générale et au Comité d’audit. Il appar- démarches pouvant exister dans une Ceci est dû au fait que le contrôle
tient à l’entité corporate en charge de ce société (d’autant que certaines existent interne, comme la majorité des fonc-
pilotage de bien identifier les acteurs et depuis longtemps car liées aux proces- tions transverses, ne peut se décliner par
le périmètre qui doit être intégré dans ce sus ou modes de management). L’inté- un simple ratio coût / bénéfice, car si le
reporting et le cas échéant d’en identifier gration de ces démarches (CI, risques, coût peut éventuellement être calculé,
les zones d’exclusion, afin de vérifier que assurance qualité, EFQM, fonctionne- les bénéfices sont souvent des éléments
cela est acceptable (cas des filiales iso- ment par processus ...) et des acteurs liés à des coûts évités ou des probabilités
lées ou non majoritairement contrôlées). clés (animateurs de CI, animateurs de d’occurrence. Toutefois, l’histoire récente
gestion des risques, contrôleurs de ges- montre combien des lacunes de contrôle
e) Un programme d’entreprise tion, responsables SI, responsables qua- peuvent avoir des conséquences graves
impliquant un réseau de lité, conformité, etc.) dans un système voire … fatales pour les organisations,
contrôle interne de management intégré structuré est de qu’elle doit nous encourager à poursui-
plus en plus la solution recherchée et la vre le développement de dispositifs de
Un risque important de non succès est réponse adaptée. contrôle interne de plus en plus adaptés,
lié à un pilotage avec une centralisation La définition d’indicateurs fiables et performants et efficients avec conviction
excessive ou une concentration des res- incontournables permettant de suivre et et sans état d’âme.
Un dernier suivi porte sur les taux tion qui prend en compte les risques les plus Quant aux relations fortes avec le CEO
d’avancement des plans d’action sur les importants ; une relation forte avec le CEO et le Comité d’audit, elles sont une
incidents avérés et sur les risques poten- et le Comité d’audit ? En voyez-vous d’au- condition indispensable. Mais j’insisterai
tiels les plus importants. tres ? sur le fait que le rôle essentiel revient à
la fonction audit qui doit être à l’écoute
J. L. R. : Quelles sont les difficultés rencon- B. D. : Le professionnalisme des audi- du CEO et du Comité d’audit, afin de
trées par les auditeurs et les contrôleurs teurs et des contrôleurs internes est, répondre à leurs attentes.
internes pour contribuer efficacement à la bien évidemment, indispensable, et
valeur ajoutée ? Quels sont leurs atouts ? La s’apprécie au travers de la technicité et J.-L. R. : Les fraudes les plus importantes
valeur ajoutée s’évalue-t-elle exclusivement de la maîtrise des domaines audités. sont rarement mises au jour par l’audit ou
en termes financiers ? Mais ce n’est pas suffisant. La capacité le contrôle interne et ce, malgré le dévelop-
des auditeurs à mener leurs investiga- pement régulier de ces deux fonctions. Ne
B. D. : Tout n’est pas valorisable en tions doit être avérée ; c’est le doigté de pensez-vous pas que cela donne raison à
termes financiers. l’auditeur dans sa démarche, sa persé- ceux qui prétendent que le coût de la valeur
Chaque audit débouche sur une recom- vérance, son intelligence et son discer- ajoutée est disproportionné par rapport au
mandation et toute mise en œuvre nement, voire sa fermeté, si cela est bénéfice retiré ?
d’une recommandation génère un coût, nécessaire. C’est un point essentiel.
parfois élevé. Et si l’on perçoit immédia- Le dernier point qui, pour moi, est fon- B. D. : En France, on a du mal à parler
tement le coût de la mise en œuvre, on damental, est la capacité de l’auditeur à de fraude. C’est faire preuve de défiance
a du mal à valoriser dans le long terme faire adhérer l’entreprise – quand je à l’égard des organisations et des
le bénéfice de cette recommandation. Il parle de l’entreprise, ce sont les audités, hommes en place. Et pourtant, on
n’est donc pas facile de répondre à votre mais aussi le reste de l’entreprise, la hié- observe, dans le monde, que les cas de
question. rarchie – à ses recommandations. Et je fraude se multiplient, qu’ils sont parfois
Néanmoins, un bon critère de mesure dis bien « adhérer », parce que la mise fort coûteux, et qu’ils concernent tous
de valeur ajoutée, c’est le taux d’adhé- en œuvre d’une recommandation est les métiers, toutes les régions, tous les
sion des audités aux recommandations, d’autant plus acquise que l’adhésion est pays.
parce qu’on n’imagine pas qu’un audité là. Il est donc également très important Cela nous oblige donc à garder les yeux
acceptera une recommandation qui n’a de sensibiliser la direction générale sur ouverts et à intégrer cette démarche
pas de sens à ses yeux. certains points essentiels de la mission. dans l’entreprise.
Parfois, des critères très précis peuvent La planification prend en compte les Pour être efficace, il y a au moins deux
montrer que l’optimisation d’un proces- risques les plus importants, d’où la choses à faire. La première, c’est sensi-
sus permet d’éviter une perte. Mais il est nécessité de disposer de cartographies biliser les strates de l’entreprise à la
difficile de l’évaluer tant que cette perte actualisées des processus et des risques. fraude potentielle, à l’environnement
n’est pas concrétisée. De la même manière, il faut avoir une externe dans lequel l’entreprise évolue.
Les missions d’audit ou les fonctions de bonne visibilité sur les contrôles Pour moi, je pense que réussir cette
contrôle doivent mettre en valeur le internes déployés et sur leurs résultats. étape de sensibilisation, c’est déjà beau-
bénéfice apporté par les recommanda- Des contrôles sont exercés : que mon- coup, et cela doit constituer un effet
tions : optimisation d’un processus, gain trent-ils ? Cela sous-entend donc un déclencheur majeur qui permettra la
financier, sécurisation d’un risque, et si reporting de qualité qui met en évidence mise en place de moyens de lutte contre
possible le valoriser. Quand on peut les évolutions des résultats de contrôle. la fraude, et la fixation d’un plan avec
prouver l’intérêt d’une recommanda- Ce reporting doit être synthétique et des premiers objectifs.
tion, on fait parfois apparaître une détaillé. La deuxième étape consiste à intégrer
notion de valeur ajoutée potentielle. Concernant les évolutions des résultats une organisation de suivi, avec détection
C’est le cas avec les recommandations de contrôle : est-on dans une démarche de la fraude. Il s’agit de mettre en œuvre
sur les optimisations de processus, les d’amélioration de la maîtrise du proces- des mesures préventives, comme la
fusions d’équipes, la suppression de sus, ou dans une phase de régression ? sécurisation de certains processus, de
tâches redondantes… Pour bien planifier, je le rappelle, il faut certaines activités soit au travers du ren-
bien connaître les risques et savoir com- forcement de l’audit , soit encore avec la
J.-L. R. : Les points suivants vous parais- ment évoluent les contrôles sur les pro- mise en service d’outils d’analyse ou de
sent-ils être de bons indicateurs de valeur cessus, sur les organisations, et sur les détection... C’est un sujet très vaste.
ajoutée : le professionnalisme des auditeurs risques qui sont identifiés dans les car-
et des contrôleurs internes ; une planifica- tographies.
C
onstituée au 1er janvier 2010,
Groupama Gan Vie regroupe tions majeures et les plans d’action qui s’ensuivent.
l’ensemble des portefeuilles Le contrôle interne permanent met en place des contrôles clés permettant de couvrir
d’assurance-vie du groupe Groupama les risques majeurs.
en France et assure la gestion de 175 000 La valeur ajoutée ne s’évalue pas exclusivement en termes financiers, mais aussi en
contrats en collectives et plus de 3,2 mil- termes de professionnalisme des auditeurs et contrôleurs, et requiert une forte impli-
lions de contrats en vie individuelle. cation de la direction.
4- Mise en
un processus et ainsi
application et suivi apprécier l’impact de ses
3- Rédaction des
fiches de contrôle recommandations. En
2- Identification du - Approbation par les
plan de contrôle acteurs des contrôles outre, l’audit s’attache à
1- Cartographie du - L’objet
- Information sur : vérifier l’utilisation effi-
processus Pour chaque risque - Le responsable / les • Le suivi des résultats ciente des ressources, le
opérationnel, identifier : acteurs des contrôles
- Les spécificités métier coût de réalisation des
• Les actions
- Les contrôles - Les modalités de correctrices en cas
- Les risques contrôle d’incidents et
activités, et peut être
opérationnels - Leur responsables anomalies amené à identifier les axes
- La fréquence
- Les autres dispositifs de d’amélioration de la per-
maîtrise des risques : - Le stockage, etc.
sécurité des systèmes formance, ayant un impact
d’information, etc. financier.
Au-delà de l’impact
Amélioration
continue financier, la contribution
de l’audit et du contrôle
internes s’apprécie sous
Démarche structurée pour prendre en compte les retours sur la pertinence des plusieurs aspects :
contrôles, sur les modalités de suivi et les préconisations sur les activités contrôlées
• la protection du patri-
moine, c'est-à-dire la
sécurité des actifs et la
entre la date de la réunion d’ouverture initier) est suivi mensuellement, et res- conformité aux lois et réglementa-
et de clôture et se concentrer ainsi sur titué trimestriellement au Comité de tions ;
les enjeux majeurs. La durée et la charge direction de Groupama Gan Vie. Ces • l’amélioration des processus et la dif-
j/h consacrées à une mission d’audit indicateurs sont également restitués fusion des bonnes pratiques ;
sont à ce titre des indicateurs. auprès de la direction audit général • la qualité des données et l’améliora-
Le nombre des recommandations (sans groupe. tion des systèmes d’aide à la décision.
être excessif) doit permettre de traiter les
problématiques majeures. Pour cela, La valeur ajoutée ne s’évalue Le contrôle de la conformité aux lois
nous attachons beaucoup d’importance pas exclusivement en termes et réglementations s’est fortement
au caractère opérationnel des recom- financiers développé et a pris toute sa place dans
mandations et à leur rédaction de les plans de contrôle et dans le plan
manière à faciliter leur traduction en En tout premier lieu, la démarche d’éva- d’audit, en particulier le contrôle des
plan d’action. Les échéances des actions luation des risques opérationnels, en règles de protection de la clientèle. Les
identifiées par les audités ne dépassent cours de déploiement actuellement, per- actions et recommandations issues de
pas un an et demi, délai au delà duquel, mettra d’améliorer notre mesure des ces constats ne peuvent être chiffrées en
les recommandations risquent d’être risques sur la base d’un cadre partagé tant que telles, mais sont porteuses d’un
périmées. (avec les propriétaires de risques) et par enjeu significatif en termes de confor-
conséquent, le suivi de l’efficacité des mité, vis-à-vis de l’Autorité de Contrôle
Enfin, l’avancement des actions résulte dispositifs de maîtrise des risques. L’ob- Prudentielle (ACP), et d’image.
d’un dialogue continu entre l’auditeur et jectif étant de réduire la fréquence de
les audités permettant d’accompagner survenance des incidents et minimiser L’amélioration des processus et la dif-
les directions dans la mise en œuvre des les impacts de ces derniers. fusion des bonnes pratiques sont éga-
actions et rester centré sur les objectifs lement porteuses de valeur ajoutée. Pour
majeurs. Le taux d’avancement des Plus spécifiquement, l’audit interne doit cela, l’audit et le contrôle interne doi-
actions par statut (clôturée, en cours, à pouvoir situer lors de chaque mission les vent tenir compte des projets de ratio-
nalisation des activités et d’amélioration doit pas être trop large, au risque de per- positifs de contrôle. A la suite de
de la performance opérationnelle tout dre de vue les enjeux majeurs, d’allonger chaque mission, un retour sur les pro-
en veillant à maintenir un niveau de la durée des missions et ainsi réduire la cessus audités est effectué auprès de
contrôle approprié. pertinence des recommandations. la fonction gestion des risques de
La diffusion des bonnes pratiques manière à partager l’évaluation des
apporte une plus value qui est appréciée Par ailleurs, une approche sans différen- risques et contribuer à la mise à jour
par les directions auditées (par exemple, ciation du coût développé au regard des du dispositif de contrôle.
partage des outils attachés, dispositif de bénéfices attendus reste un écueil
contrôle). auquel il convient de veiller continuel- Les autres facteurs
lement tant dans une démarche de déterminants de valeur
Enfin, la qualité des données devient contrôle que d’audit. ajoutée
un enjeu de plus en plus fort notam- Aussi, nous estimons que l’efficience des
ment du fait des exigences de Solvabi- fonctions d’audit et de contrôle interne Bien au delà des point évoqués précé-
lité 2, les données devant être fiables, nécessite : demment, les leviers essentiels permet-
traçables, historisées et • une connaissance appro- tant de favoriser et développer la valeur
accessibles. fondie des activités, de ajoutée de ces fonctions d’audit et de
Chaque mission l’organisation et des contrôle internes sont les suivants :
d’audit conduit à
« Le rapport risques de l’en- • Le professionnalisme des auditeurs
s’interroger sur coût / valeur ajoutée de treprise, préala- et contrôleurs : les parcours de for-
le degré de qua-
l’audit et du contrôle ble indispensable mation sont bien sûr un préalable. Les
lité des données permettant d’ac- auditeurs se doivent d’être en situa-
auditées, du internes doit être un quérir une vision tion de veille permanente quant à
traitement initial élément de questionnement globale de l’évolution de la règlementation, de
de l’opération manière à appré- notre métier d’assureur. L’équipe
jusqu’à la restitution
permanent » hender les enjeux d’auditeurs doit posséder collégiale-
dans les systèmes de majeurs de l’entreprise, ment les connaissances, le savoir-faire
pilotage, et à la mise en et comprendre les interactions et les compétences. Enfin, il est essen-
œuvre des contrôles. La gestion de la entre les parties prenantes ; tiel que les contrôleurs et auditeurs
qualité des données impacte souvent un • des démarches orientées vers les puissent comprendre l’impact des
grand nombre d’acteurs, le processus de métiers, qui nécessitent la prise en risques sur le résultat.
commercialisation en est une illustra- compte des contraintes spécifiques • Une implication des opérationnels
tion. des métiers et des projets d’évolution. dans la gestion des risques (les pro-
Ainsi, les attentes des directions priétaires de risques sont au sein des
Les difficultés rencontrées par concernées sont prises en compte dès métiers) et un partage au sein du
les auditeurs et les contrôleurs le lancement d’une mission d’audit ; Comité des risques.
internes pour contribuer • l’utilisation de méthodes et outils • Le plan d’audit, comme les plans de
efficacement à la valeur adaptés pour gagner en efficacité. A contrôle, doivent être discutés avec les
ajoutée ce titre, les outils d’analyse de don- directeurs et prendre en compte le
nées permettent notamment d’amé- traitement des risques les plus
Les difficultés rencontrées par les liorer la constitution des échantillon- importants.
contrôleurs et auditeurs internes nages par des approches multi critères • Enfin, l’implication forte de la direc-
tiennent souvent à la nécessité de beaucoup plus ciblées ; tion par une volonté de soutenir la
développer une approche globale • enfin, une articulation entre les mise en place des actions est un élé-
tout en se concentrant sur les enjeux fonctions gestion des risques, ment déterminant de la réelle effica-
majeurs d’un processus : « Qui trop contrôle permanent et audit cité du dispositif d’amélioration de la
embrasse mal étreint ». interne de manière à partager une maîtrise des risques, tant au niveau de
Le périmètre des missions d’audit ne vision commune des risques, des dis- l’audit que du contrôle interne.
C
omment penser que la logique Ainsi, une première politique a été
ou la culture du contrôle ne signée par le président Pierre Gadon- pilotage et du contrôle pour
puisse pas exister dans un neix en mars 2006 et a été confirmée par la tête de groupe
groupe comme Electricité de France qui une nouvelle décision du président
exploite les outils industriels comme des Henri Proglio en septembre 2010. Cette Un dispositif d’audit unique, rappor-
barrages ou des centrales nucléaires ? dernière prenait notamment en compte tant au PDG du groupe permet de :
Evidemment que cela a toujours existé les nouvelles directives européennes et • vérifier périodiquement la pertinence
et est profondément ancré dans toutes leur transposition en droit français. de ces dispositifs et la sincérité des
les strates du management opérationnel Cette décision affirme les points clés auto-évaluations,
et ceci avant même que l’AMF ne pro- suivants : • apporter aux dirigeants une « assu-
duise des cadres de référence ou que le Pour les activités qui lui sont délé- rance raisonnable » quant à la couver-
terme COSO ne soit connu par les guées, chacun des managers du groupe ture des principaux risques.
exploitants de terrain. est responsable de :
Toutefois, l’évolution de l’environne- • maîtriser les risques, Le directeur des risques et de l’audit a
ment externe et des exigences qui s’im- • vérifier cette maîtrise pour chacun des été mandaté en tant que pilote straté-
gique de ce processus et a précisé, dans Le processus mis en place donne à la Une cohérence et une
une note d’application, les rôles et res- direction des risques et de l’audit complémentarité dans les
ponsabilités des différentes entités du groupe, en lien et avec l’appui des démarches « audit interne –
groupe. filières transverses du groupe, la res- risques – contrôle interne » …
ponsabilité de définir le « quoi », celle
Un « guide de contrôle du « comment » étant de la responsa- Au-delà de ce processus annuel qui
interne » basé sur les 5 bilité des lignes managériales dans répond au premier volet de la décision
chapitres du COSO et une logique totale de subsidiarité en du président évoquée ci-dessus, la
comportant 250 « objets de fonction des risques et enjeux particu- direction de l’audit groupe mène des
maîtrise » à l’attention des liers. Cette exigence de subsidiarité audits réguliers pour chacune des enti-
entités opérationnelles et est liée au caractère fortement intégré tés impliquées dans le dispositif de
fonctionnelles dans une et muti-disciplinaire du groupe qui contrôle interne groupe, en vérifiant,
logique de subsidiarité comporte des métiers et des activités notamment lors de ces audits, l’exis-
très différentes et nécessitant des tence des fondamentaux indispensables
Le directeur de mission responsable du approches différentes en termes d’or- (domaines de l’environnement de
contrôle interne groupe est chargé ganisation et de maîtrise des risques contrôle), la gestion des risques majeurs
d’élaborer « un guide de contrôle et des activités. (identification, évaluation et maîtrise des
interne » à l’attention des managers du risques de l’entité), et la maîtrise des
groupe, afin d’aider ces derniers à Une auto-évaluation annuelle activités et processus majeurs. En com-
déployer un dispositif de contrôle qui responsabilise les lignes plément, la fiabilité de l’auto-évaluation
interne pertinent et efficace en tenant managériales est vérifiée sur la base des éléments
compte de leurs propres risques et récoltés lors de la mission d’audit.
enjeux. Ce guide est structuré suivant les Une fois par an, la cinquantaine d’enti-
5 chapitres du COSO et subdivisé en tés, regroupant les dirigeants de l’en- De plus, les autres audits de grands
une trentaine de domaines spécifiques semble du périmètre contrôlé du groupe risques, de projets ou de processus
qui correspondent aux activités clés et élabore et envoie un rapport d’auto-éva- transverses de niveau groupe contri-
enjeux du groupe. luation (avec un descriptif complet des buent à l’analyse globale de la maîtrise
Pour chacun de ces domaines, il propose actions de maîtrise mis en place par des activités groupe au-delà de la vision
des « objets de maîtrise (OMD) » que le OMD et une évaluation cotée par limitée à celle d’une seule entité dans le
management devra prendre en compte domaine) au directeur responsable du cas des « audits dits de contrôle
et dans une logique de « comply or contrôle interne du groupe. Ce dernier interne ».
explain » proposer les plans de maîtrise produit une synthèse de cette matière à
ad hoc au vu de ses propres risques et l’attention du président et du Comité
enjeux. Ces « objets de maîtrise » trans- d’audit. Cette synthèse présente notam- Ingénieur de formation, Michel
verses, au nombre de 250 environ, sont ment les entités et les domaines qui Tudrej a intégré EDF en 1980. Il a
de trois ordres, à savoir : semblent les plus en retrait et qui appel- occupé différentes fonctions d'ex-
• directement liés aux préconisations lent des actions spécifiques. Elle permet pertise et de management au sein
du cadre de référence de l’AMF afin également d’aider les filières transverses du groupe et notamment à la R&D,
de garantir la mise en œuvre d’un dis- (RH, juridique, SI, communication, au service du transport d'énergie, à
positif de contrôle interne robuste comptabilité finance, etc.) dans le pilo- la production (directeurs des cen-
(principalement les domaines concer- tage de leurs activités en leur apportant tres de production thermique de
nant l’environnement de contrôle et une vision de la prise en compte des Montereau puis du Havre), aux
la gestion des risques majeurs), politiques groupe dont elles sont res- affaires internationales, à la direc-
• en lien avec les politiques et décisions ponsables. tion financière. Il a été administra-
majeures du groupe guidant les acti- teur de filiales internationales à
vités de contrôle des processus et acti- Les figures, en page suivante, corres- plusieurs reprises (Pologne et Cote
vités transverses, pondent à des extraits d’un rapport d'Ivoire). Il a rejoint la direction de
• liés aux processus de maîtrise des acti- d’auto-évaluation correspondant au l'audit corporate en 2006 en qua-
vités « métier » propres à chaque domaine « mobilisation des compé- lité de directeur de mission, et est
entité. tences », et d’un type de synthèse en charge du contrôle interne pour
groupe qui peut en être faite. le groupe EDF depuis 2008.
25%
0%
té 4
té 5
té 1
té 2
té 3
té N
9
0
6
7
8
té 5
té 4
té 4
té 4
té 4
En
En
En
En
En
En
En
En
En
En
En
Niveau de déploiement des dispositifs de maîtrise dans les entités, sur base auto-évaluation.
(consolidation sur les 29 domaines)
Par ailleurs, le programme annuel d’au- impliquées dans le dispositif et qui sou- … qui apporte une assurance
dits proposé au Comité d’audit est basé mettent leur rapport d’auto-évaluation raisonnable de la maîtrise
sur la cartographie des 90 risques de contrôle interne en plus de leur car- globale des risques à la tête de
majeurs qui est élaborée notamment à tographie des risques. groupe …
partir des 900 risques issus des entités
Audit
interne
ue ues
Ré
isq sq
su
s
s r ri
lta de
de aux
Be zo
ts ma
it
ise ve
on ud
so n e
d’a îtr
îtr ou
i ns s
ssi d’a
ud ise
ma e n
d’a sen
s
it – de
mi e
de on d
es mm
u d si b
Ev s ac
it – les
d a
gré c
alu v
de éte
on rogr
a ité
du – d
ide à ex
ar u p
on s
n am
on it
a aud
du
fic ine
Pr on
a
alu d’
de
a
Ev tats
gré
ra
on r
ép
bo
l
su
de
El a
Ré
s
Mise sous contrôle des risques majeurs Prioriser les acons de
Se réinterroger Cartographie des Contrôle maîtrise des acvités
régulièrement sur Aide à l’iden fica on
les risques
risques interne selon les risques
des risques majeurs
majeurs (méer & « compliance »)
L’ensemble du dispositif mis en place apporte désormais une plus value aux devenu « LE vecteur de communica-
donne une assurance raisonnable au différentes lignes managériales, car ce tion descendant » de la tête de groupe
président et au Comité d’audit sur la dispositif leur : vers le management pour les déci-
maîtrise des risques majeurs identifiés • fournit les éléments clés à prendre en sions et politiques, et « l’outil de repor-
dans la cinquantaine d’entités clés du compte pour donner corps à leur dis- ting ascendant » le plus approprié
groupe via le dispositif de contrôle positif de maîtrise, et notamment ceux pour ce qui concerne la vérification de
interne groupe qui a pour objectif : liés aux décisions et politiques incon- la bonne appropriation et mise en
• la mise en œuvre du contrôle interne tournables ; œuvre de ces décisions et politiques.
et auto-évaluation par le manage- • permet de faire un point et un diag-
ment (1ère ligne de défense sur les 900 nostic, a minima annuel, au moment Il reste cependant encore des voies de
risques majeurs), de l’auto-évaluation sur l’ensemble progrès afin de réussir à faire adhérer
• le pilotage de la démarche de contrôle des domaines qui leur incombe et qui tout le personnel et d’améliorer encore
interne par l’entité contrôle interne sont porteurs de risques ; l’efficacité de ce dispositif et créer ainsi
groupe avec l’aide des filières trans- • apporte un éclairage et des recom- un lien mieux identifié avec la perfor-
verses en appui du management (2ème mandations clés pour améliorer leurs mance opérationnelle. Ceci passe
ligne de défense), dispositifs suite à l’audit ciblé sur le notamment par la capacité à développer
• le contrôle du contrôle par l’audit contrôle interne qui est réalisé pour des systèmes de management intégrés
interne des dispositifs de contrôle chaque entité tous les 3 à 5 ans ; où le contrôle interne et la gestion des
interne des entités (et donc des 900 • fournit des éléments de communica- risques trouvent leur place d’intégrateur
risques à leur maille) et la réalisation tion ciblés sur les thèmes à enjeux ou des différentes démarches existantes
des audits de niveau groupe des 90 des recueils de bonnes pratiques qui (EFQM, assurance qualité, management
macro-risques et processus transverses sont élaborés et partagés par le réseau par les processus …).
du groupe (3ème ligne de défense). des animateurs de contrôle interne Il nous reste donc encore quelques
sous le pilotage du responsable du beaux et difficiles challenges à rele-
… et une aide aux managers contrôle interne groupe ; ver…
opérationnels et fonctionnels • apporte une cohérence des
démarches par l’intégration progres-
Le dispositif décrit, ci-dessus, qui est mis sive des activités des filières trans-
en œuvre depuis près de six années, verses dans ce processus qui est
BON DE COM M A N D E
Société : ...................................................................................................................................................................................................................................................................................
Adresse : ..................................................................................................................................................................................................................................................................................
Total HT
TVA 7,0 %
Net à payer TTC*
L'audit de gouvernance :
un outil d'évaluation et
d'amélioration de la
gouvernance d'une
organisation
Toutes les organisations ont l’obligation de mettre en place une gouvernance adap-
tée et conforme aux lois applicables et aux bonnes pratiques en la matière, et de
veiller à son bon fonctionnement. Une bonne gouvernance est une clé de voûte de
l’organisation.
L’audit de gouvernance permet d’identifier les dysfonctionnements potentiels au
sein des organes de direction, d’administration et de contrôle.
Pour disposer d’une gouvernance de qualité, il faut pouvoir démontrer que l’orga-
nisation mise en place est efficace en termes de contrôle interne et de gestion des
risques.
actionnaires, doit pouvoir expliquer ce comités ? Une belle gouvernance affi- référentiel adapté à l'organisation. De ce
changement qui peut paraître intempes- chée mais pas respectée. Rien de pire point de vue, le Code Middlenext fut le
tif. que d'annoncer des bonnes pratiques bienvenu afin d'offrir de bonnes pra-
que l'on ne va pas appliquer notamment tiques adaptées aux entreprises cotées
Evaluer l'efficacité et la qualité de la par certains dirigeants et managers. de plus petite taille, appelées Valeurs
gouvernance d'entreprise est plus C’est une affaire de comportements. moyennes et petites (Vamps).
difficile et plus rare mais le besoin
devient grandissant. Les comportements sont-ils en adéqua- S'agissant des sociétés non cotées ou
tion avec les règles édictées ? Comment des organisations sous forme associative
L'auto-évaluation ou l'évaluation par un aller au-delà du descriptif et du déclara- par exemple, celles-ci peuvent s'imposer
tiers des travaux du conseil d'adminis- tif ? Comment aller au-delà des le respect d'un Code de gouvernement
tration et de ses comités est un bon contraintes afin de transformer celles-ci d'entreprise ou se référer à d'autres
exercice qui est de plus en plus encou- en opportunités ? Veiller à ne pas trop en sources connues et reconnues en
ragé et un point de passage obligé pour faire mais trouver le bon équilibre entre matière de gouvernance et de gouver-
les sociétés cotées. C'est le minimum une formalisation a minima et un pro- nement d'entreprise1. Nombreuses sont
requis, dirons-nous. cessus qui soit auditable. les organisations qui ont rédigé des
Evaluer la gouvernance d'une organisa- recommandations, guides et livres verts
tion dans son ensemble et de manière Se définir par rapport à un ou des et blancs préconisant des bonnes pra-
approfondie est une pratique moins référentiels reconnus. tiques et comportements recommandés
courante et cependant elle s'avère très sur certains sujets2.
vertueuse. En matière de gouvernance, la tâche
n'est pas aisée pour les entreprises. Ne pas oublier la dimension
Faire un état des lieux en vue de pro- Comment être conforme aux lois et « groupe ».
gresser lors d'un changement de règlements (Hard law) et au droit
contrôle, de dirigeants, une crise de « mou » (Soft law) qui est venu nourrir La gouvernance de telle ou telle filiale
gouvernance, autant d'occasions de notre droit positif tant en France qu'au est-elle conforme à la gouvernance du
faire un bilan. sein de l'Union Européenne ? Qu'est-ce groupe – si celle-ci a été définie et for-
qu'une « bonne gouvernance » pour une malisée – et surtout est-elle en confor-
Pourquoi attendre si l'on n'a pas une société cotée, une entreprise familiale mité, dans le pays concerné, avec la
vision claire sur le fonctionnement réel non cotée ou une association ? Quels réglementation en vigueur et les bonnes
de la gouvernance d'une organisation ? sont les référentiels qui vont permettre pratiques ? Comment l'apprécier ?
Finalement, la gouvernance est-elle de se comparer en vue de progresser ?
celle décrite aux parties prenantes et aux La société mère intervient-elle trop au
tiers dans les documents de référence, Comply or Explain ? Nouveau concept, sein de ses filiales en « plaçant » notam-
dans les guides de procédures ... ? Les issu du droit anglo-saxon, introduit dans ment des dirigeants à leur tête qui pren-
règles édictées, déclarées, sont-elles notre droit français qui oblige depuis nent leurs directives auprès de la société
connues et respectées ? Il n'est pas rare 2008 les sociétés cotées à déclarer le mère ? Autant de questions fondées à se
que les procédures internes de l'entre- Code de gouvernement d'entreprise poser.
prise soient, pour un grand nombre qu'elles appliquent, et à expliquer pour Si la personnalité juridique d'un groupe
d'acteurs au sein de l'organisation, quelles raisons certaines dispositions ne de sociétés n'est pas reconnue en droit
inconnues, mal maîtrisées ou connues sont pas respectées. L'AMF suit de près français, son existence est néanmoins
mais non respectées. ces nouvelles déclarations. Respect du reconnue dans certains domaines
Code AFEP/MEDEF ou du Code Mid- (comptable, fiscal, social, pénal, écono-
ENRON n'était-elle pas l'entreprise dlenext ? mique ...).
donnée en exemple, avant 2002, pour
son excellente formalisation de la gou- Déclarer c'est l'adopter. En bloc ou par- En matière de gouvernance d'entreprise,
vernance en termes de procédures et de tiellement ? Il convient de trouver le les entités juridiques d'un groupe
Le Prix Olivier Lemant est destiné à récompenser le meilleur mémoire de Master(e) consacré au contrôle interne ou à l’audit
interne réalisé dans une Université ou Grande Ecole partenaire.
En 2012, un jury de professionnels, constitué de Béatrice Beaulieu (AG2R La Mondiale), Hervé Claudin (La Mutuelle Générale) et
Cathy Pernod (Groupe ATAC), ont ainsi primé les mémoires suivants :
• 1er prix - Maîtriser les risques spécifiques aux activités de services, par Flavien Palliès (ESCP Europe)
• 2ème prix - L’impact du pilier 2 de Solvabilité II (« gouvernance des risques ») sur les fonctions audit interne, contrôle interne et
risk management, par Aurélien Lerda (IAE Aix-en-Provence)
• 3ème prix - La formalisation du processus de management des risques à travers l’élaboration d’une cartographie des risques,
par Mathieu Gireme (IAE Bordeaux)
Vous pouvez consulter ces mémoires sur le site internet de l’IFACI (rubrique IFACI>Universités et Grandes écoles> Prix Olivier
Lemant).
L
a place primordiale du secteur mité. La discipline du contrôle interne Ces « micro-usines » sont animées par
tertiaire dans l’économie fran- tend donc à être positionnée comme un du personnel en contact avec les clients.
çaise n’est plus à prouver : il outil au service de l’organisation qui La satisfaction des clients est donc direc-
représente en 2010, 78 % des emplois1, contribue à la maîtrise de ses risques tement influencée par le comportement
c’est 30 % de plus qu’en 1990. Ce même majeurs. Atteindre un tel objectif sup- de ces équipes. A ce titre, un dispositif
secteur contribuait à 65,7 % de la pro- pose donc de donner aux organisations adapté de maîtrise des risques doit pla-
duction2 et à 79,7 % de la valeur ajou- des réponses très concrètes et adaptées cer le personnel en contact au cœur de
tée3. Et pourtant, rares sont les disci- à leurs activités. A ce sujet, un cahier de toutes les préoccupations. Par ailleurs,
plines du management qui, hormis les recherche de l’IFACI intitulé « Des clés ces mêmes « micro-usines » constituent
opérations et le marketing, ont pris pour la mise en œuvre du contrôle souvent un réseau plus large d’unités du
conscience de la nécessité d’investiguer interne » apporte des éléments de même type qui maillent un territoire
les particularités des services. réponses très pratiques. Il n’explore géographique plus ou moins important.
cependant pas les particularités des acti- Les problématiques liées à leur pilotage
Parallèlement, les exigences en matière vités de services. Le sujet de la maîtrise et à leur adhésion aux valeurs com-
de contrôle interne se sont renforcées des risques spécifiques aux activités de munes de l’entreprise résonnent alors
ces dernières années. Ces exigences ne services reste donc encore inexploré. comme un défi pour leur siège.
sont plus seulement réglementaires : la
8ème Directive, sur le suivi de l’efficacité La réflexion qui va suivre part du terrain, L’urgence du terrain
d’un système de contrôle interne, mon- c’est-à-dire de l’observation de la
tre que ce dispositif ne doit pas être res- manière dont fonctionne une unité de La place du client est ce qui distingue le
treint à une stricte question de confor- service dans ce qu’elle a de plus concret. plus le modèle de fabrication d’un ser-
vice de celui d’un produit. Ce dernier est l’appréciation de chacun. Cela est fina-
totalement absent de la fabrication d’un lement grave dans la mesure où une des Flavien Palliès a contribué, à plu-
produit. A l’inverse, il est au cœur de la demandes les plus permanentes du sieurs reprises, au déploiement de
fabrication d’un service, il est partie pre- public est d’être traité comme une per- dispositifs de gestion du crédit
nante du processus et sa présence est sonne par une personne. Un dispositif
même une des conditions de l’existence efficace de maîtrise des risques doit
client d’abord au sein d’Ernst &
du service. Les exemples en la matière donc veiller à ce que les formations dis- Young (2005 à 2007) puis au sein
abondent : s’il n’y a pas de passager pensées soient suffisamment encrées d’Elior Restauration Enseignement
dans un avion, il n’y a pas de service de dans l’environnement opérationnel : (2007 à 2011). Après une formation
transport et que dire de vos vacances si une entreprise de services se vit avant de quinze mois à ESCP Europe en
vous n’y êtes pas ? tout sur le terrain !
« Risk management, audit et
Dès lors, le responsable d’unité et son Par ailleurs, le recrutement est un contrôle interne », il occupe à pré-
équipe vont devoir faire en sorte que le moment important : il doit prendre en sent la fonction d’auditeur interne
client exécute correctement les tâches compte l’apparence du personnel et sa au sein du groupe Elior.
qu’il doit accomplir tout en ne perdant personnalité. Les méthodes employées
pas de vue qu’il reste le client bénéfi- en la matière doivent sortir des
ciaire du service. Cet exercice est parti- méthodes traditionnelles en laissant Le second risque identifié porte sur
culièrement difficile dans la mesure où plus de place à des mises en situation l’adhésion des unités à des valeurs com-
le client est avant tout une personne des candidats. Cela révèlera plus facile- munes. Si ce risque est l’enjeu d’un
humaine qui arrive dans l’unité de ser- ment leur aptitude à travailler en équipe environnement de contrôle robuste, il se
vice avec un besoin mais également avec ou à gérer les incidents. trouve renforcé dans une entreprise de
tout son affect. service du fait même de l’existence d’un
Enfin, le personnel en contact doit sentir réseau d’unités. Le personnel des unités
La présence du client et sa nécessaire que l’entreprise est là pour l’aider à déli- est en effet disséminé et l’entreprise se
participation constituent donc un vrer au client un bon service. Il est donc retrouve incarnée par son environne-
mélange souvent imprévisible pour le important que le Back-Office soit au ser- ment de travail immédiat et non par la
responsable d’unité. Ce dernier va donc vice du Front-Office favorisant ainsi la globalité de l’entreprise de services qui
devoir gérer dans l’urgence un certain diffusion d’une culture d’entreprise reste une entité très abstraite. Dans ces
nombre de situations telles que les inci- dédiée au service, à sa qualité et à la conditions, le directeur des opérations
dents, sous peine de ne pas satisfaire le satisfaction du client. Cela garantira une doit trouver un ciment particulier qui
client. Le terrain est donc particulière- forte cohérence des objectifs et des pra- puisse pallier cet éparpillement. Les
ment fertile aux décisions précipitées et tiques de l’ensemble de l’entreprise. solutions sont connues : accueil des
aux pratiques non conformes à un cer- nouveaux collaborateurs, développe-
tain nombre de règles internes ou La gestion d’un réseau ment de processus originaux qui devien-
externes à l’entreprise. d’unités nent en quelque sorte la marque de
fabrique, réunions des unités et de leur
Le personnel en contact Chaque entreprise de services de taille responsable, développement de publi-
significative dispose d’un réseau d’uni- cations internes, etc. Cet ensemble doit
Maîtriser les risques liés à l’urgence du tés gérées à partir d’un siège. être complété par le rôle des dirigeants
terrain passe avant tout par l’application Dans ce domaine, le premier risque de l’entreprise de services, qui, encore
de pratiques adaptées en matière de identifié porte sur la qualité et la fiabilité plus que pour une entreprise indus-
gestion des ressources humaines. Le des informations circulantes entre le trielle, doivent faire passer un message
personnel en contact avec le client se siège et ses unités. La qualité des infor- et véhiculer du sens à l’intérieur de l’or-
trouve en effet dans une situation parti- mations dépend du système de contrôle ganisation.
culière avec des stress, des conflits. Son de gestion qui, par la nature des infor-
comportement a un impact fort sur la mations et le rythme auquel elles sont Les propositions faites dans le mémoire
qualité du service tel que le perçoit le fournies, conditionne et structure pro- constituent donc une approche globale
client. Le lien entre la satisfaction du fondément la façon dont le réseau et de la problématique de la gestion des
personnel et celle du client impose de notamment les unités sont gérées. La risques dans une entreprise de services.
maîtriser ce risque le mieux possible. fiabilité des données fournies est le talon Naturellement, elles doivent être adap-
d’Achille des entreprises de services tées à chaque organisation afin de bâtir
L’attitude du personnel en contact est dans la mesure où l’on ne peut pas met- des réponses sur mesure. Elles souli-
déterminante. Celui-ci assure en effet tre un contrôleur derrière chaque direc- gnent néanmoins les lacunes qui exis-
des tâches répétitives tout en gérant teur d’unité et chaque personnel en tent en matière de gestion des risques
quand on se confronte à la probléma-
tique des services au sens large.
simultanément la relation avec le client contact. De ce point de vue, les systèmes
et la prestation opérationnelle. Malheu- d’informations occupent un rôle pré-
reusement, force est de constater que si pondérant. Leur fiabilité, leur sécurité,
le personnel est généralement correcte- de même qu’une formation au sujet de 1 INSEE, Estimations d’emplois en France métro-
ment formé à l’opérationnel, il l’est peu leur utilisation doivent être au cœur des politaine
ou pas au relationnel qui est laissé à préoccupations. 2 INSEE, Production par branche d’activité
3 INSEE, Valeur ajoutée par branche d’activité
Evénements
sion. Une certaine liberté en matière d’audit et de risk formalisation des travaux.
doit être laissée aux audi- management, d’être un par- Les atouts majeurs de ces
teurs, notamment pour les tenaire à valeur ajoutée, fiches : un outil d’harmoni-
documents intermédiaires d’être un vivier de futurs sation des pratiques, gage
permettant de valider les cadres managériaux. d’efficacité de l’audit
Structure et constats avec les audités. La mission de l’audit interne ; un outil pédago-
rédaction du rapport interne est d’épauler le gique qui aide à la prépara-
d’audit – AXA France comité d’audit et la direc- tion aux examens d’audit
Communication sur Il a été conçu un nouveau tion générale dans l’exer- interne et à la certification
les conclusions modèle de rapport commun cice de leurs responsabilités des services d’audit.
à toutes les entités, plus pour ce qui concerne le
Réunion mensuelle synthétique et centré sur les contrôle interne, le risk
du 31 mai 2012 problématiques, celles-ci management et la corporate Le dispositif de
étant elles-mêmes centrées governance, en apportant de contrôle des activités
Aéroports de Paris sur les risques majeurs. Les la valeur ajoutée et de façon externalisées :
Le rapport d’audit com- recommandations sont indépendante et objective. approche
prend : une note de syn- classifiées par ordre d’im- Le rapport d’audit est le méthodologique et
thèse (une à deux pages) portance. fruit d’un processus struc- témoignages
destinée à la direction Les nouveaux enjeux : trai- turé : processus de valida-
générale ; une synthèse lit- ter les risques clés ; fournir tion de différentes versions, Réunion mensuelle
téraire (dix à vingt pages) des analyses et recomman- avant de délivrer la version du 13 juin 2012
destinée au management dations plus approfondies ; finale à l’issue de la réunion
concerné par la mission et communiquer l’essentiel. de clôture. Les lecteurs du L’assurance : Audiens et
au président du comité Parmi les attributs d’excel- rapport d’audit constituent Allianz France
d’audit ; un rapport détaillé lence de l’audit interne, un public très varié, compte L’assurance, comme la
(venant à l’appui du plan outre le fait de se concen- tenu de la variété des banque, évolue dans un
d’action) destiné aux audi- trer sur les risques et pro- sujets : industriels, finan- environnement très enca-
tés. blématiques cruciaux : ali- ciers… La culture d’audit dré. La délégation de ges-
Des axes d’amélioration, gner la mission sur les doit être prise en compte. tion est soumise à la régle-
proposés par l’IFACI, ont attentes des parties pre- La valorisation des points mentation Solvabilité 2, les
été mis en œuvre : une mise nantes ; adapter les compé- d’audit est essentielle et objectifs poursuivis étant la
en évidence de l’analyse tences afin de fournir de la implique une grande protection des assurés et
causale ; une hiérarchisa- valeur ajoutée ; favoriser un rigueur dans la rédaction des allocations de fonds
tion des recommandations ; service orienté client ; favo- du rapport. propres par la maîtrise des
l’homogénéisation des rap- riser l’amélioration de la risques techniques, finan-
ports, d’un format plus qualité et l’innovation… Les fiches ciers et opérationnels. Les
concis. Mais le rapport n’est pas le méthodologiques de moyens mis en œuvre repo-
Tout en étant la priorité seul livrable d’une mission. l’IFACI sent sur trois piliers : exi-
absolue, le respect des Rien ne remplace le face à Elles ont été conçues pour gences quantitatives ; exi-
Normes doit prendre en face et le debriefing pour faciliter le travail des audi- gences qualitatives et de
compte la culture d’entre- convaincre les audités. teurs en accompagnant un bonne gouvernance ; infor-
prise. La standardisation déploiement rigoureux de mation du public et de
des rapports doit laisser des ArcelorMittal la démarche d’audit, en l’ACP.
possibilités d’adaptation en L’objectif de l’audit interne aidant à la mise en œuvre L’assureur reste responsable
fonction du type de mis- est de proposer des services des outils et en facilitant la des risques lorsqu’il sous-
traite des activités d’assu- positif ad hoc ; celui-ci ne cacité du dispositif de cou- identifiés et couverts.
rance, et les autorités de doit pas être trop lourd verture de ces risques, Un projet de sous-traitance
contrôle doivent pouvoir pour ne pas remettre en notamment au regard de la des systèmes d’information
avoir accès aux locaux du cause l’intérêt de la déléga- loi Sarbanes-Oxley. doit conduire à réfléchir sur
prestataire de service. tion. Un premier niveau de Une démarche pour une les processus plus globale-
La création d’un environ- contrôle est assuré par des externalisation exige qu’une ment et sur l’intérêt d’éten-
nement interne favorable à opérationnels ; un vigilance forte soit portée dre le projet aux processus
la mise en place de déléga- deuxième niveau de par les parties prenantes métiers.
tions de gestion nécessite contrôle est assuré par des aux clauses de contractuali- Globalement il est néces-
une politique formalisée et personnes dédiées à ces sation, et en particulier sur saire d’avoir des suivis
une gestion claire des contrôles ; troisième ligne les éléments suivants : réguliers avec le sous-trai-
conflits d’intérêts. L’initiali- de défense, l’audit interne organisation de la sécurité tant pour s’assurer du pilo-
sation de la délégation ne s’assure du degré de maî- de l’information, politique tage avec un plan de
peut se faire sans une trise du processus d’exter- de sécurité, confidentialité contrôle annuel (il faut un
connaissance approfondie nalisation et de la qualité et archivage des données, correspondant sécurité et
de son futur partenaire, afin du dispositif de contrôle. sauvegarde et restauration, contrôle interne chez le
de garantir une qualité de plan de reprise d’activité, sous-traitant). La coordina-
service, s’assurer de la qua- L’opérateur de plan de crise, gestion des tion avec les fonctions de
lité de gestion et de la qua- télécommunications : biens, gestion de l’exploita- contrôle interne est impor-
lité d’information néces- Orange France Télécom tion, contrôle d’accès, ges- tante pour bien identifier
saire au pilotage technique, Le groupe externalise des tion des incidents de sécu- les processus du périmètre,
se prémunir contre les processus qui contribuent à rité, audit de conformité. les risques à considérer et
risques liés à cette externa- la production des comptes. Chaque année la fonction leur couverture. Le respon-
lisation. Des risques de contrôle de contrôle interne doit sable du processus reste
Le suivi régulier de la délé- interne financier peuvent s’assurer que les clauses responsable de la maîtrise
gation de gestion passe par affecter cette démarche ; il sont respectées, et que les globale de son contrôle
la mise en place d’un dis- faut donc s’assurer de l’effi- risques sont correctement interne.
Lu pour vous
Strategies for small audit shops
Voici la deuxième édition (en anglais) d’un ouvrage paru en 2002. Elle ne remet pas en
cause les principes décrits dans la première édition, mais prend en compte les nou-
velles dispositions adoptées depuis les dix dernières années.
Ce manuel a pour principal objectif de fournir des informations et des enseignements,
et d’aider les petites unités d’audit à « coller » au plus près aux normes professionnelles.
Il n’a pas de caractère légal.
Au cours des six chapitres, on apprendra, entre autres, ce qu’est une petite entité d’audit, quels sont les défis à relever
pour ce type de structure, la façon d’aborder le champ de ses activités, l’optimisation des performances, etc.
Vous pouvez consulter cet ouvrage à la bibliothèque de l’IFACI.
liste des
Retrouvez la
dans la revue
articles parus »
trôle internes
« Audit & Con l’IFAC I
rnet de
OUI, je désire recevoir le(s) numéro(s) : sur le site Inte
www.ifaci.com
199
200
201
OUI, je souhaite m’abonner à la revue
202
« Audit & Contrôle internes » pour l’année
203 2012 (du n° 208 au n° 212)(*) au prix de :
au prix unitaire de
204
22 € TTC adhérents IFACI : 65 € TTC
205
206 non adhérents IFACI : 105 € TTC
207
208
* Si vous souscrivez un abonnement en cours d’année, le
( )
Commande à retourner à :
I F A C I - 98 bis, boulevard Haussmann - 75008 Paris - Tél. : 01 40 08 48 00 - Fax : 01 40 08 48 20 - Mel : institut@ifaci.com
Vous pouvez également commander ou vous abonner à la revue « Audit & Contrôle internes » sur le site Internet www.ifaci.com
Calendrier 2012
Tarifs Tarifs non
S ES SIO N S Durée
adhérents adhérents
janvier février mars avril mai juin juillet sept. octobre nov. déc.
Conduire une mission d’audit interne : la méthodologie 4j 1 950 € 2 150 € 10-13 6-9 12-15 3-6 21-24 11-14 2-5 10-13 9-12 12-15 10-13
Maîtriser les outils et les techniques de l’audit 3j 1 625 € 1 775 € 16-18 13-15 19-21 10-12 29-31 18-20 9-11 17-19 15-17 19-21 17-19
D PA I
Maîtriser les situations de communication orale de 2j 1 050 € 1 150 € 19-20 13-14 22-23 10-11 21-22 21-22 12-13 20-21 18-19 22-23 20-21
l’auditeur
Réussir les écrits de la mission d’audit 2j 1 050 € 1 150 € 23-24 16-17 26-27 12-13 23-24 25-26 12-13 24-25 22-23 26-27 20-21
Exploiter les états financiers pour préparer une mission 3j 1 525 € 1 675 € 25-27 26-28 29-31 26-28 3-5
d’audit
Désacraliser les systèmes d’information 3j 1 525 € 1 675 € 28-30 4-6 26-28 12-14
Détecter et prévenir les fraudes 2j 1 050 € 1 150 € 29-30 28-29 24-25 24-25 6-7
Le management
Piloter un service d’audit interne 2j 1 300 € 1 450 € 30,31 10-11 11-12
Manager une équipe d’auditeurs au cours d’une mission 1j 685 € 770 € 21 4 14
L’audit interne dans les petites structures 1j 685 € 770 € 7 29 19
Balanced Scorecard du service d’audit interne 1j 685 € 770 € 10 25 28
Le suivi des recommandations 1j 685 € 770 € 6 11 26 7 21
Préparer l’évaluation externe du service d’audit interne 2j 1 300 € 1 450 € 13-14 15-16 29-30
L’audit interne, acteur de la gouvernance 1j 685 € 770 € 12 26
Audit interne, contrôle interne et qualité : les synergies 1j 685 € 770 € 15 25 5
Les audits spécifiques
Audit du Plan de Continuité d’Activité - PCA 2j 1 300 € 1 450 € 8-9 27-28 26-27
Audit de la fonction Comptable 2j 1 300 € 1 450 € 5-6 8-9
Audit de performance de la gestion des Ressources 3j 1 525 € 1 675 € 11-13 21-23
Humaines
Audit de la fonction Achats 2j 1 300 € 1 450 € 16-17 27-28
Audit des Contrats 1j 685 € 770 € 16 1
Audit de la fonction Contrôle de Gestion 2j 1 300 € 1 450 € 5-6 29-30
Audit de la Sécurité des Systèmes d’Information 2j 1 300 € 1 450 € 22-23 12-13
Audit des Processus Informatisés 2j 1 300 € 1 450 € 27-28 19-20
Audit de la Législation Sociale 2j 1 300 € 1 450 € 13-14 17-18
Audit du développement durable 2j 1 300 € 1 450 € 7-8 15-16
SE FORMER DANS LE SECTEUR PUBLIC
Le contrôle interne dans le secteur public 2j 1 300 € 1 450 € 2-3 21-22 6-7 12-13
Pratiquer l’audit interne dans le secteur public 4j 1 950 € 2 150 € 26-29 4-7 22-25 17-20
SE FORMER DANS LE SECTEUR BANCAIRE ET FINANCIER
Le contrôle interne dans le secteur bancaire et financier 3j 1 525 € 1 675 € 6-8 19-21 5-7
Pratiquer l’audit interne dans le secteur bancaire et 4j 1 950 € 2 150 € 11-14 24-27 10-13
financier
SE FORMER DANS LE SECTEUR DES ASSURANCES
Le contrôle interne dans le secteur des assurances 2j 1 300 € 1 450 € 8-9 2-3 4-5 8-9
Pratiquer l’audit interne dans le secteur des assurances 4j 1 950 € 2 150 € 13-16 26-29 8-11 17-20
SE FORMER DANS LES SECTEURS INDUSTRIE ET COMMERCE
Audit des processus clés des activités industrielles et 4j 1 950 € 2 150 € 23-26 2-5 18-21 15-18 4-7
commerciales
ACQUÉRIR UNE CERTIFICATION
Le DPAI
Préparation au DPAI 2j 950 € 1 125 € 29-30 11-12 15-16 13-14
Le CIA
Préparation au CIA - partie I 1,5 j 850 € 1 050 € 16pm-17 12pm-13 12pm-13 10pm-11 3pm-4
Préparation au CIA - partie II 1,5 j 850 € 1 050 € 19pm-20 15pm-16 14pm-15 13pm-14 6pm-7
Préparation au CIA - partie III 1,5 j 850 € 1 050 € 23pm-24 19pm-20 18pm-19 17pm-18 10pm-11
Préparation au CIA - partie IV 1,5 j 850 € 1 050 € 26pm-27 22pm-23 21pm-22 20pm-21 13pm-14
IFACI Formation - Tél. : 01 40 08 48 08 - Mel : formation@ifaci.com - Retrouvez également le programme complet sur le site internet www.ifaci.com
FICHE TECHNIQUE
Indépendance et objectivité,
deux conditions pour un audit
interne reconnu et performant
Béatrice Ki-Zerbo - Directeur de la Recherche, IFACI
C
es deux concepts sont au cœur de la quatre principes clé du Code de Déontologie de
définition de l’audit interne : « […] acti- l’IIA.
vité indépendante et objective qui donne
à une organisation une assurance sur le degré de Mais ce n’est pas parce qu’ils sont inscrits dans
maîtrise de ses opérations, lui apporte ses conseils ces textes fondateurs de la profession qu’ils sont
pour les améliorer, et contribue à créer de la valeur compris et mis en œuvre. En particulier il
ajoutée. […]». L’objectivité est également l’un des convient de lever toute ambiguïté quant à l’in-
dépendance de l’audit interne. En effet, elle se
définit par des critères spécifiques qui ne sont
L’objectivité un principe déontologique pas ceux de l’audit externe. Quant à leur mise en
pour les auditeurs internes œuvre, elle ne vise pas seulement à se conformer
aux meilleures pratiques professionnelles, mais
« Les auditeurs internes montrent le plus haut elle sert surtout à mieux répondre aux attentes
degré d’objectivité professionnelle en collectant, des parties prenantes internes et externes. Ainsi,
évaluant et communiquant les informations les organes dirigeants (direction générale et
relatives à l’activité ou au processus examiné. Conseil) sont à même d’obtenir une assurance
Les auditeurs internes évaluent de manière équi- raisonnable sur le niveau global de maîtrise des
table tous les éléments pertinents et ne se lais- activités. De même, les auditeurs externes et les
sent pas influencer dans leur jugement par leurs superviseurs peuvent avoir une confiance accrue
propres intérêts ou par autrui. » dans les dispositifs de contrôle interne s’ils
savent qu’une fonction d’audit interne efficace
Code de Déontologie de l’IIA les évalue.
Cet article s'appuie sur le guide pratique de l'IIA techniques d’échantillonnage statistiques peuvent
("Independance and objectivity: IPPF – Practice être utilisées pour obtenir un échantillon impartial à
guide" – The IIA, 2011) que l'IFACI a traduit tester, mais il appartient toujours à l'auditeur interne
(Guide Pratique « Indépendance et objectivité : d’appliquer les critères ou procédures de tests et, d’in-
CRIPP », IFACI/ IIA, 2012). Il en suit la trame terpréter les résultats de manière impartiale ».
pour mettre en évidence les risques d’atteinte à Tandis que l’indépendance concerne plus la
l’indépendance et à l’objectivité ainsi que les fonction d’audit interne et s'exprime générale-
dispositifs de gestion de ces risques. ment de manière factuelle (par exemple, en
fonction de la position de l'audit interne dans
Des concepts différents qui se recoupent l’organisation, des relations avec les organes de
gouvernance, ou des pouvoirs d’accès à l'infor-
Le glossaire des Normes fournit les définitions mation, aux personnes, aux documents).
suivantes :
Des menaces réelles ou supposées
Indépendance
Différentes situations peuvent porter atteinte à
« L’indépendance c’est la capacité de l’audit
l’indépendance de l’audit interne et à l’objecti-
interne à assumer, de manière impartiale, ses
vité de l’auditeur. Ces risques inhérents sont, par
responsabilités. »
exemple :
Identifier la menace
Réviser et surveiller
les menaces Evaluer l’importance
de la menace
Evaluer la présence
de menaces non Evaluer la menace
résolues résiduelle
Gérer de manière
proactive la menace
résiduelle
ment sur des partis pris ou des préjugés. Une responsabilité individuelle
Enfin, il serait dangereux de prescrire, en Une gouvernance adaptée et l’engagement
voulant la favoriser, ce que doit être l’objec- du RAI ne sont pas suffisants. Ils constituent
tivité. Le RAI dispose de toute une panoplie un environnement favorable pour l’expres-
de mesures préventives ou d’accompagne- sion de l’objectivité, mais celle-ci dépendra
ment telles que : surtout de l’auditeur interne. Il doit en
• la sensibilisation au Code de déontologie comprendre les enjeux à travers des forma-
et des entretiens réguliers avec les audi- tions et l’adoption du code de déontologie.
teurs internes ; Chaque auditeur interne devrait régulière-
• une politique de gestion des cadeaux de la ment auto-évaluer son objectivité (dans le
part des employés, de clients, fournisseurs, cadre de l’entretien annuel, avant et après
partenaires ; chaque mission) et discuter avec le RAI en
• les pratiques de recrutement et de rému- cas de doute ou de risque avéré.
nération. Il s’agit ici de déterminer si les
candidats sont en situation de conflits d’in- Il serait dommage que les travaux initiés par l’IIA
térêts (actionnaires, relations personnelles pour réviser la définition de l’audit interne abou-
ou d’affaires) ou d’éviter des critères de tissent à la suppression de la notion d’indépen-
rémunération qui dépendent de la perfor- dance au motif que l’audit interne est une
mance de l'unité opérationnelle auditée ; fonction de l’organisation. L’indépendance abso-
• la formation professionnelle socle de l’ob- lue n’existe pas et n’est pas souhaitable pour
jectivité ; l’audit interne qui doit rester un outil au service
• la maîtrise de la mobilité interne vers et en de la performance de l’organisation.
dehors de l’audit interne en respectant une Les deux concepts se nourrissent, l’indépen-
période de latence entre fonctions opéra- dance contribue à l’instauration d’un contexte
tionnelles occupées (ou à venir) et les favorable à l’objectivité. De même, cette objecti-
missions d’audit réalisées ; vité contribue à conforter l’indépendance. En
• la constitution des équipes pour maîtriser effet, l’indépendance n’est pas un droit acquis
le risque de familiarité ; immuablement gravé dans le marbre d’une
• un programme d’assurance et d’améliora- charte d’audit interne ou lié à une place en haut
tion qualité conforme comprenant une de l’organigramme. Elle s’acquière et se mérite.
supervision en fonction du risque d’atteinte Autant dire que c’est aussi une question
à l’objectivité et une évaluation externe d’homme ou de femme. C’est au RAI de donner
donnant l’assurance d’une bonne gestion toute la dimension de cette indépendance en la
des menaces. mettant en œuvre à bon escient non pas comme
un mercenaire va-t-en-guerre mais dans le
La Norme 1110 indiquant que le RAI doit respect de ses interlocuteurs et avec des convic-
confirmer au moins une fois par an l’indé- tions ancrées sur son expérience et le profession-
pendance organisationnelle de son service au nalisme de son équipe. Il instaure une saine
Conseil, ne devrait donc pas être considérée collégialité avec des espaces d’expression favo-
comme une activité routinière mais s’appuyer risant l’identification des menaces et limitant des
sur un contrôle permanent de l’activité. biais cognitifs tel que l’aveuglement collectif face
à une difficulté bien réelle.
Independance and objectivity: IPPF - Practice guide / Steven E. JAMESON, et al. – The IIA, 2011.
Guide Pratique – Indépendance et objectivité : CRIPP, IFACI/ IIA, 2012.
Assisting small internal audit activities in implementing the International standards for the professio-
nal practice of internal auditing: IPPF – practice. – The IIA, 2011.
CBOK - Common Body of Knowledge: vos pratiques au regard des tendances européennes et
mondiales. – IFACI, 2011.
Characteristics of an internal audit activity : The IIA's global internal audit survey, report I. – The IIA,
2010.
Core competencies for today's internal auditor : The IIA's global internal audit survey, report II. / James
A. BAILEY. – The IIA, 2010.
Measuring internal auditing's value: The IIA's global internal audit survey, report III / Jiin-Feng CHEN,
Wan-Ying LIN. – The IIA, 2011.
What's next for internal auditing?: The IIA's global internal audit survey, report IV. – The IIA, 2011.
Imperatives for change: the IIA's global internal audit survey in action: The IIA's global internal audit
survey, report V / Richard J. ANDERSON, J. Christopher SVARE. – The IIA, 2011.
Les Pratiques de l'audit et du contrôle internes en France en 2009 : Enquête 2009. – IFACI, 2010.
Prise de position IFA / IFACI sur le rôle de l'audit interne dans le gouvernement d'entreprise : Mai 2009.
– IFACI, 2009.
Independence and objectivity: A framework for internal auditors. / sous la resp. de Jane MUTCHLER. -
The IIA research Foundation, 2001.
Les Normes et MPA associées :
- Norme 1000 – Mission, pouvoirs et responsabilités
- MPA 1000-1 – Charte d’audit interne
- Norme 1010 – Reconnaissance de la Définition de l’Audit Interne, du Code de Déontologie et des
Normes dans la charte d’audit interne
- Norme 1100 – Indépendance et objectivité
- MPA 1110-1 – Indépendance dans l’organisation
- Norme 1110.A1 – Indépendance dans la délimitation des travaux et la communication des résul-
tats
- MPA 1111-1 – Relation avec le Conseil
- MPA 1120-1 – Objectivité individuelle
- MPA 1130-1 – Atteintes à l’indépendance et à l’objectivité
- Norme 1130.A1 - Altération de l’objectivité de l’auditeur interne
- MPA 1130.A1-1 – Audit des opérations dont les auditeurs internes ont été auparavant responsables
- Norme 1130.A2 – Missions d’assurance sur des fonctions dont le responsable d’audit interne a la
charge
- Norme 1130.A2-1 – Responsabilités exercées par l’auditeur interne au titre d’autres fonctions
- Norme 1130.C1 – Missions de conseils sur des opérations dont les auditeurs internes ont été aupa-
ravant responsables
- Norme 1130.C2 – Information sur les risques d’atteinte à l’indépendance et l’objectivité des audi-
teurs internes
- MPA 2060-1 – Rapports à la Direction Générale et au Conseil
- Norme 2070 – Responsabilités de l’organisation en cas de recours à un prestataire externe pour ses
activités d’audit interne
- MPA 2120-2 – Gestion du risque lié à l’activité d’audit interne