Revue N°210 PDF

la revue des professionnels de l’audit, du contrôle et des risques
Dans l’actualité
Puma, Reebook, Carrefour :
comment prévenir les fraudes
organisées par les filiales ?
Idées et débats
 La mise en œuvre du contrôle
interne impulsée au sein des
OPCA
 La communication de l’audit
interne vers les organes de
gouvernance
Les audits métiers

L’audit de gouvernance :
un outil d’évaluation et
d’amélioration de la gouvernance
d’une organisation
Mémoire d’étudiant
Maîtriser les risques spécifiques
aux activités de services
La profession en
mouvement ...
CONTRIBUER
Fiche technique
À LA VALEUR AJOUTÉE
>> Indépendance et objectivité,
deux conditions pour un audit
interne reconnu et performant DES ORGANISATIONS
Une finalité pour l’audit
et le contrôle internes
N°210
Juin - Juillet 2012
Marquez des points ...
avec la nouvelle certification
professionnelle
Professionnels de l’audit et du contrôle internes, cette nouvelle certification vous permettra de dé-
montrer votre professionnalisme dans le domaine de l’évaluation de la gestion des risques, et plus
particulièrement votre capacité à :
 évaluer la maîtrise des risques et la gouvernance des processus métiers de votre organisation ;
 sensibiliser la direction et le comité d’audit aux concepts liés aux risques et à la maîtrise des
risques ;
 vous centrer sur les risques stratégiques de l’organisation ;
 apporter encore plus de valeur ajoutée à votre organisation.
Disponible, à la fin du premier semestre 2013, sous la forme d’un examen, le CRMA™ est ac-
cessible dès aujourd’hui via un processus de Reconnaissance de l’Expérience Profes-
sionnelle (REP). Ainsi, toute personne justifiant d’une expérience professionnelle
dans les cinq domaines couverts par la certification CRMA™, et titulaire de di-
plômes et/ou de tout autre certificat dans le domaine de l’audit, sera en mesure
de faire une demande de REP en vue d’obtenir la certification CRMA™.
Conception : ebzone communication - Photo : © Paty Wingrove - Fotolia.com
POUR EN SAVOIR PLUS ...

Rendez-vous sur le site internet de l’IFACI (www.ifaci.com)
à la rubrique « Carrière + Diplômes ».
La revue des professionnels de l’audit,
du contrôle et des risques
n°210 - juin-juillet 2012 Contribuer à
EDITEUR
Institut Français de l’Audit et
du Contrôle Internes (IFACI)
la valeur ajoutée
Association Loi 1901
98 bis, boulevard Haussmann
75008 Paris (France)
Tél. : 01 40 08 48 00
des organisations
Mel : institut@ifaci.com
Internet : www.ifaci.com
D
DIRECTEUR DE PUBLICATION e la lecture du dossier du présent numéro et
Farid Aractingi des meilleures pratiques, quelques grandes
RESPONSABLE DE LA RÉDACTION conditions, pour que le contrôle interne et
Philippe Mocquard l’audit interne contribuent à la valeur ajoutée des
RÉDACTEUR EN CHEF organisations, peuvent être mises en avant.
Louis Vaurs
RÉDACTION - RÉVISION Concernant le contrôle interne il paraît impératif
Jean-Loup Rouff - Béatrice Ki-Zerbo 1) que la direction générale se l’approprie comme un
SECRÉTARIAT GÉNÉRAL élément essentiel du succès de l’organisation, ait un
Eric Blanc - Tél. : 01 40 08 48 02
Mel : eblanc@ifaci.com discours et une attitude dénués d’ambigüités sur l’importance qu’elle lui accorde,
et définisse une politique qui responsabilise les lignes managériales ; 2) que le
RÉALISATION Comité d’audit soit parfaitement au courant du dispositif mis en place et des
EBZONE Communication
32, avenue de Beauregard responsabilité de ses principaux acteurs, et qu’il prenne toutes dispositions pour en
94500 Champigny-sur-Marne surveiller l’efficacité.
Tél. : 01 48 80 00 56
Mel : ebzone@ebzone.fr
Pour ce qui est de l’audit interne, sept conditions peuvent être notées :
IMPRESSION • Etre ambitieux tout en étant réaliste. Agir selon la maturité du service. Ne pas
Imprimerie de Champagne bruler les étapes pour ne pas se bruler les ailes.
Rue de l’Etoile de Langres - ZI Les Franchises
52200 Langres • Mériter la confiance de la direction générale à laquelle il est rattaché : bien
connaître les objectifs de l’organisation ; bien appréhender ses différentes acti-
ABONNEMENT
vités ; être efficace et compétent.
Elsa Sarda - Tél. : 01 40 08 47 84
Mel : esarda@ifaci.com • Etre crédible à l’égard du Comité d’audit avec lequel il a des relations étroites et
suivies : il doit lui apporter une information synthétique, organisée, hiérarchisée,
Revue bimestrielle (5 numéros par an)
ISSN : 2117-1661 non biaisée. « Il ne peut y avoir d’informations significatives réservées à la direction
CPPAP : 0513 G 83150 générale, c’est-à-dire volontairement soustraites aux administrateurs ».
Dépôt légal : mai 2012
Crédit photos : © Getty Images • Etre légitime au sein de son organisation : le directeur de l’audit interne doit
inspirer le respect par son sens de l’éthique, son indépendance d’esprit et son
courage. Dans le même temps, la compétence du service doit être reconnue par
la pertinence de ses diagnostics et de ses recommandations, et par sa capacité
Prix de vente au numéro : 22 € TTC
à s’assurer de la mise en place des plans d’action.
Ce document est imprimé avec des encres végétales • Eviter de se complaire dans une solitude pernicieuse et des certitudes de
sur du papier issu de forêts gérées dans le cadre
d’une démarche de développement durable. mauvais aloi : c’est en travaillant de manière coordonnée avec des fonctions
proches que l’on évite redondances coûteuses et « trous dans la raquette ».
• S’attacher à être connu et reconnu au sein de l’organisation : cela implique une
capacité à bien communiquer.
• Convaincre la direction générale que l’audit interne doit bénéficier d’une réelle
indépendance : « un auditeur interne muet est un auditeur inutile ; un auditeur
interne complaisant est un auditeur dangereux ». 
Les articles sont présentés sous
la responsabilité de leurs auteurs.
Louis Vaurs - Rédacteur en chef
Toute représentation ou reproduction, intégrale ou partielle, faite
sans le consentement de l’auteur, ou de ses ayants droits, ou ayants
cause, est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40).
Cette représentation ou reproduction, par quelque procédé que ce juin-juillet 2012 - Audit & Contrôle internes n°210 3
soit, constituerait une contrefaçon sanctionnée par les articles 425
et suivants du Code Pénal.
Progressez sur
des bases solides
Votre engagement pour

+ de bonnes pratiques
+ de performance
+ de légitimité
+ de sécurité
Conception : ebzone communication - Photo : © Jakub Cejpek - Fotolia.com
Le label de qualité et de performance Certification

IFACI est délivré aux services d'audit interne qui Contactez-nous :
appliquent de façon pérenne les trente exigences Tél. : 01 44 70 63 00
pragmatiques du Référentiel Professionnel de E-mail : certification@ifaci.com
l'Audit Interne.
SOMMAIRE
DANS L’ACTUALITÉ
DOSSIER
6 Puma, Reebook, Carrefour : comment
prévenir les fraudes organisées par les
filiales ?
Antoine de Boissieu Contribuer à la valeur ajoutée
IDÉES ET DÉBATS
des organisations
Une finalité pour l’audit et
8 La mise en œuvre du contrôle interne
impulsée au sein des OPCA le contrôle internes p. 15 à 27
Nathalie Cretel
12 La communication de l’audit interne

vers les organes de gouvernance 16 Développer l’usage managérial du contrôle interne
Michel Caty pour un dispositif à valeur ajoutée
Jean-Christophe Kypriotis et Michel Tudrej
LES AUDITS MÉTIERS
19 Sécuriser les risques, mission première de l’audit
29 L’audit de gouvernance : un outil interne
d’évaluation et d’amélioration de la Benoît Derville
gouvernance d’une organisation
Sylvie Le Damany
21 Comment le contrôle et l’audit internes peuvent-ils
contribuer à la valeur ajoutée des organisations ?
MÉMOIRE D’ÉTUDIANT
Brigitte Charton et Patrick Garnier
33 Maîtriser les risques spécifiques aux

activités de services
24 Quelle place et quelle valeur ajoutée pour le contrôle
Flavien Palliès interne dans un grand groupe industriel ?
Michel Tudrej
LA PROFESSION EN MOUVEMENT
35 Evénements - Lu pour vous
FICHE TECHNIQUE N°40
>> Indépendance et objectivité, deux conditions

pour un audit interne reconnu et performant
Béatrice Ki-Zerbo
juin-juillet 2012 - Audit & Contrôle internes n°210 5

DANS L’ACTUALITÉ
Puma, Reebook, Carrefour :

comment prévenir les fraudes
organisées par les filiales ?
Antoine de Boissieu - Associé-gérant, OSC Solutions
C
ertains services d'au- direction locale. Les diri- les dirigeants étaient en locale : elles achetaient
dit interne attachent geants sont accusés d'avoir place depuis longtemps : ils apparemment des marchan-
beaucoup d'impor- détourné des marchandises, avaient recruté eux-mêmes dises à un prix anormale-
tance aux risques de fraude ; notamment via deux entre- leurs principaux collabora- ment bas, ou ne payaient pas
leurs équipes passent un pôts secrets, et maquillé les teurs, ils jouissaient d'une leurs factures. Les marchan-
temps significatif en mission comptes de la société. forte légitimité en interne, et dises ainsi détournées
à auditer les mécanismes de Cette fraude en rappelle une ils connaissaient très bien le étaient ensuite revendues
fraude les plus courants : autre, révélée en 2010 dans tissu des partenaires locaux. aux clients finaux, soit au
décaissements non autori- la filiale grecque de son Le siège, à distance, ne prix du marché, soit à un prix
sés, vols de stocks, notes de concurrent Puma (filiale de connaissait ni les collabora- légèrement inférieur.
frais indues, surfacturations, PPR). Puma avait ainsi dû teurs, ni les clients et four- Dans le cas de Carrefour, le
favoritisme dans le choix constater une perte de nisseurs locaux. Les diri- mécanisme est différent
d'un fournisseur... 115 M€ après une série de geants avaient donc toute puisqu'il n'est pas reproché
Toutes ces fraudes sont fraudes organisées par les latitude pour agir, les action- aux dirigeants un enrichisse-
généralement faites en dirigeants de sa filiale. Là naires du groupe n'exerçant ment personnel. La filiale
infraction à des procédures aussi, les dirigeants sont qu'un contrôle très lointain, brésilienne avait, entre
de contrôle interne accusés d'avoir détourné des sans contacts locaux. autres, mis en place un sys-
connues : rapprochements marchandises et maquillé les tème de « cavalerie » comp-
bancaires, inventaires des comptes. Une absence de table, permettant de décaler
stocks, restriction des profils Entre-temps, fin 2010, contre-pouvoir des charges. Elle négociait
utilisateurs, ségrégation des Carrefour a annoncé avoir Le deuxième point commun auprès de fournisseurs
tâches, etc. Ces procédures mis au jour une perte de venait du fait qu'il n'y avait locaux des remises condi-
sont parfois compliquées et 550 M€ dans sa filiale brési- pas vraiment de contre-pou- tionnées à des objectifs de
longues à évaluer par un lienne, dissimulée par la voir en interne. Les princi- vente ambitieux. Si ces
audit interne. Valider la direction locale. paux directeurs étaient ainsi objectifs n'étaient pas
bonne ségrégation des A chaque fois, les fraudes recrutés et nommés par le atteints en fin d'année, la
tâches dans un système représentaient plusieurs directeur de la filiale. Ils filiale ne remboursait pas les
d'information peut ainsi années de résultat des reportaient et étaient éva- remises mais, en compensa-
prendre plusieurs jours ou filiales concernées, et l'im- lués par ce même directeur tion, s'engageait sur de nou-
semaines à un auditeur. pact sur le résultat du de filiale. Il n'y avait pas de veaux objectifs encore plus
Or, ces fraudes ne mettent groupe a été significatif. fonction réellement indé- ambitieux auprès des
que rarement en danger la Dans les cas de Puma et de pendante, garante des inté- mêmes fournisseurs. Ce
société ou ses filiales ; les Carrefour, elles sont interve- rêts du siège. Il s'agissait de mécanisme n'était possible
vols de stocks, les factures nues dans les mois qui ont plus de filiales relativement que grâce à un contact privi-
fictives, les notes de frais précédé l'annonce du départ lointaines, pour des sièges légié avec les fournisseurs
indues constituent souvent des directeurs généraux du situés en France et en Alle- locaux, contact exclusive-
de « petites » fraudes. L'ac- groupe, dont elles ont sans magne. ment assuré par la filiale.
tualité récente du secteur de doute fragilisé la position.
la distribution a montré à Des conflits d'intérêt Un marché
l'inverse que certains méca- Analysons ces exemples, et Un troisième point, com- intermédié
nismes de fraude, certes plus notamment leurs points mun au moins à Reebook et Dans les exemples de Puma
rares, peuvent coûter beau- communs. Puma, a consisté dans l'exis- et Reebook, les dirigeants
coup plus cher. tence de conflits d'intérêts avaient réussi à placer leur
Le dernier en date est l'an- L'ancienneté des cachés. Dans ces deux cas en société dans une structure
nonce faite par Reebook dirigeants effet, la direction générale a de marché intermédié. La
(filiale d'Adidas) concernant Le premier point commun créé des sociétés-écran qui fraude a été rendue possible
sa filiale indienne. Reebook de ces fraudes est qu'elles ont réalisé des transactions en passant par des sociétés-
a reconnu une perte estimée ont toutes été organisées par avec la société. Il semblerait écran, qui jouaient en appa-
à 200 MUSD, résultant la direction des filiales que ces sociétés-écran aient rence le rôle d'intermédiaire
d'une fraude commise par la concernées. A chaque fois, été clientes de la filiale entre la société et ses clients
6 Audit & Contrôle internes n°210 - juin-juillet 2012

ou fournisseurs. Le seul minoritaires dans une filiale siège. La rotation à ces la question des conflits d'in-
objet de la société écran était doit, à cet égard, être un postes est souvent rapide térêt du management, par
de détourner une partie de signal d'alerte supplémen- (tous les 3 à 5 ans suivant les exemple en recherchant les
la valeur ajoutée. taire. Ainsi, dans le cas de la pays). Cela permet de créer actionnaires et dirigeants
filiale grecque de Puma, les un contre-pouvoir dans les des principaux clients, four-
Il est frappant de constater dirigeants étaient également filiales, indépendant de la nisseurs, partenaires locaux.
que ces quatre éléments se actionnaires minoritaires. Ce direction générale, rendant Enfin, les auditeurs internes
retrouvent dans d'autres très sont eux qui ont engagé la des comptes directement au ne devraient pas hésiter,
grosses fraudes, dont les filiale dans des relations siège et garant de la mise en dans le cadre de leur audit, à
montants dépassent le mil- commerciales avec des œuvre des règles et procé- rencontrer les commissaires
liard d'euros : Enron, Parma- sociétés qu'ils avaient créées. dures décidées par le aux comptes.
lat, Olympus... Ce sont donc Les auditeurs internes ne groupe.
manifestement des éléments devraient donc pas hésiter à • A-t-on créé un Comité
que doit rechercher l'audi- se renseigner sur les autres • Les comptes sont-ils d'audit ? Sinon, le Conseil
teur interne et qui doivent mandats ou participations certifiés par un commis- d'administration joue-t-il
l'alerter. que détiennent les action- saire aux comptes indé- bien ce rôle ?
naires minoritaires des pendant ? Une bonne pratique qui
Quelle devrait être l'attitude filiales, a fortiori si ces La présence d'un commis- peut également être vérifiée
de l'auditeur pour évaluer, actionnaires sont impliqués saire aux comptes indépen- par les auditeurs est l'exis-
ou écarter, ce type de dans la gestion de la filiale. dant n'est pas une condition tence d'un Comité d'audit
risque ? Comme pour tous suffisante pour éviter les local, comprenant des mem-
les risques de fraude, l'audi- • Est-on certain que l'on a fraudes. Ainsi, dans les trois bres du siège. Le Comité
teur interne doit être attentif besoin de passer par des exemples ci-dessus, les com- d'audit devrait choisir les
aux signaux d'alerte. Pour intermédiaires (avec les missaires aux comptes n'ont commissaires aux comptes,
cela, il peut notamment fournisseurs ou avec les pas su détecter les fraudes décider de leur périmètre
répondre aux questions sui- clients) ? A-t-on envisagé commises par les directions d'action et de leur budget, et
vantes : de gérer directement les locales. Les autorités de les rencontrer périodique-
relations avec les clients ? tutelle brésiliennes et ment. Le Comité d'audit
• L'équipe dirigeante est- Le passage par des intermé- indiennes ont d'ailleurs devrait aussi établir une rela-
elle ancienne à son poste ? diaires peut être tout à fait lancé des enquêtes pour tion directe et régulière avec
Des dirigeants nommés justifié, mais l'auditeur doit évaluer leur responsabilité. la direction financière
depuis peu, connaissant mal justement s'assurer qu'il La certification des comptes locale ; cela permet d'avoir
leurs collaborateurs, et sus- s'agit d'une stratégie délibé- de la filiale reste cependant un effet dissuasif certain, car
ceptibles d'être mutés dans rée, validée par les action- une condition sine qua non il est plus risqué pour un
quelques années, seront en naires et par le siège. Il fau- pour empêcher ce type de directeur général de deman-
effet moins enclins à élabo- drait donc vérifier si la filiale fraude massive. Les audi- der à sa direction financière
rer des schémas de fraude a effectivement envisagé teurs internes devraient de maquiller les comptes si
compliqués. d'autres options, et si ce donc être particulièrement cette dernière rencontre
choix a été validé par une vigilants en cas de réserve régulièrement le Comité
• A-t-on des relations analyse indépendante, par émise par les commissaires d'audit.
anciennes avec des clients, exemple d'une étude de aux comptes ; ils doivent
fournisseurs, investisseurs marché ou d'un conseil en aussi s'interroger s'ils Les auditeurs internes ne
locaux ? stratégie. constatent que les commis- doivent donc pas seulement
Ces relations sont en effet Dans le cas où les filiales saires aux comptes locaux aborder les risques de
plus difficiles à contrôler, car passent par des grossistes ou n'ont pas été choisis par le « petites fraudes », com-
elles sont souvent plus per- des distributeurs, les audi- siège, et ne sont pas les mises par des employés
sonnalisées. Dans beaucoup teurs devraient au moins auditeurs du groupe. De indélicats. L'actualité
de fraudes, l'ancienneté de vérifier si l'on connaît les même, la présence d'une récente montre que les plus
la relation client / fournis- prix de vente au client final, structure juridique complexe grosses fraudes partent d'en
seur a ainsi été décisive. et si les marges des distribu- (présence de sous-filiales, haut, et sont organisées par
C'est, par exemple, ce qui teurs semblent cohérentes participations minori- les directions générales
s'est passé pour Ahold (à avec leur prestation. taires...) doit constituer un elles-mêmes. Il est donc
l'époque numéro deux de la élément d'alerte pour l'audi- nécessaire, lors d'un audit,
grande distribution, derrière • Y a-t-il au sein de la teur, qui doit, dans ce cas, d'évaluer si le contexte est à
Wal-Mart et devant Carre- filiale un contre-pouvoir s'assurer qu'un même com- risque (direction générale
four), qui avait, avec la com- indépendant du manage- missaire aux comptes a bien ancienne, marché intermé-
plicité de ses fournisseurs, ment local ? un mandat unique sur dié...) et si les bonnes pra-
gonflé son résultat d'un mil- Une pratique courante dans toutes les filiales, et a donc tiques pour empêcher ces
liard de dollars. beaucoup de groupes inter- une vue d'ensemble de l'ac- fraudes sont bien en place
nationaux consiste à nom- tivité locale. En cas de doute, (rotation aux postes clef,
• Connaît-on les action- mer des directeurs financiers il est envisageable de indépendance de fait du
naires et dirigeants de ces ou contrôleurs de gestion demander au commissaire DAF, Comité d'audit...). 
partenaires locaux ? qui ne dépendent pas de la aux comptes de réaliser des
La présence d'actionnaires filiale, mais directement du travaux complémentaires sur

IDÉES ET DÉBATS
La mise en œuvre
du contrôle interne
impulsée au sein des OPCA
Les organismes paritaires de la vie, et le décret n°2010-116 du 22

collecteurs agréés au cœur de septembre 2010, relatif aux organismes
la réforme de la formation collecteurs paritaires agréés des fonds de
professionnelle la formation professionnelle continue,
étoffent le champ d’action des OPCA,
Les organismes paritaires collecteurs déterminent de nouvelles conditions
agréés (OPCA) sont des institutions à d’agrément des OPCA au 1 er janvier
gestion paritaire dotée de la personna- 2012, notamment en fixant le niveau
lité morale de droit privé. Principale- minimum de collecte à 100 millions
ment réglementés par le code du travail d’euros et créent un mécanisme de
sous l’autorité de la DGEFP (Délégation conventionnement entre l’Etat et
Générale à l’emploi et à la formation chaque OPCA sur les objectifs et les
professionnelle) et régis par des accords moyens des services rendus par l’OPCA
collectifs, ils sont agréés par l’Etat afin distinguant les frais de missions consa-
de collecter les contributions financières crés à l’accompagnement, au conseil,
des entreprises qui relèvent de leur aux services de proximité et à l’ingénie-
champ d’application, dans le cadre de la rie de formation, des frais de collecte, de
formation professionnelle continue. Les gestion administrative et de frais de
OPCA mutualisent les contributions paritarisme.
Nathalie Cretel financières versées par les entreprises,
Directeur du contrôle interne, soit dans le cadre de leur obligation à En conséquence de ces nouvelles dispo-
OPCA PL caractère fiscal, soit au titre d’une obli- sitions, le paysage des OPCA s’est
gation conventionnelle prévue dans un modifié au début de cette année avec
accord collectif étendu, soit au titre d’un leur réorganisation et leur rapproche-
versement volontaire pour prendre en ment réduisant de moitié le nombre des
charge, selon les priorités de branche, les OPCA mais augmentant leur surface
formations ou les stages au titre du plan financière.
Diplômée en droit, Nathalie Cretel de formation, de la professionnalisation
a assuré dans le secteur bancaire, et du droit individuel à la formation, Un nouveau paysage
les fonctions de responsable recou- voire selon leur agrément, des congés privilégiant le contrôle
vrement, qualité des processus, individuels de formation. Les OPCA économique et financier,
contrôle interne, de directeur de sont constitués par un accord fondateur la transparence et
l’audit et des contrôles, puis de res-
conclu entre les organisations syndicales la performance de
d’employeurs et de salariés, représenta- fonctionnement des OPCA
ponsable conformité groupe, avant
tives dans le champ de l’accord.
d’intégrer le secteur de la forma- La réforme a plusieurs objectifs : renfor-
tion professionnelle continue en Dans le cadre de la réforme de la forma- cer la transparence dans la gestion et la
tant que directeur du contrôle tion professionnelle, la loi du 24 novem- gouvernance des organismes, renforcer
interne à l’OPCA PL. bre 2009, relative à l’orientation et à la la péréquation des fonds, accroître l’offre
formation professionnelle tout au long et la qualité des services des OPCA,

notamment en mettant en place un ser- Le rapport de gestion de l’OPCA certifié niser dès 2011 le pilotage interne des
vice de proximité particulièrement des- par les commissaires aux comptes, joint risques et de mettre en exergue les
tiné aux besoins en formation des TPE- à l’état statistique et financier (l’ESF) contrôles contribuant à la fiabilisation
PME, la mutualisation de l’ingénierie. communiqué à la DGEFP avant le 31 des procédures.
Ces enjeux se concrétisent par l’organi- mai de chaque année, est complété et
sation de nouveaux acteurs de place et doit désormais détailler l’évolution des Les objectifs du contrôle interne sont
du contrôle des OPCA, la mise en place charges par nature et par destination, principalement de s’assurer du respect
de bonnes pratiques, l’introduction de ainsi que l’organisation et la mise en des règles de fonctionnement, des pro-
nouvelles obligations ou interdictions œuvre du contrôle interne et les diffé- cédures et des décisions du Conseil
pour les OPCA. rentes procédures permettant de fiabili- d’administration, vérifier la conformité
ser l’usage des fonds (article R6332-1 du des activités avec le corpus réglemen-
Le dépassement des frais de gestion code du travail). taire, sécuriser les flux financiers. Autant
négociés dans la convention triennale de garanties indispensables pour les
conclue avec l’Etat, peut entraîner des L’autorité des services de contrôle de la administrateurs et les équipes tech-
sanctions pour l’OPCA. DGEFP a été confirmée et renforcée. Par niques de l’OPCA PL, l’Etat et les entre-
arrêté du 25 novembre 2011du ministre prises adhérentes dans une vision opé-
Il est créé un fonds paritaire de sécuri- de l'Économie, des Finances et de l'In- rationnelle de réduction des risques.
sation des parcours professionnels dustrie et de la ministre du Budget, des
auquel les OPCA doivent reverser un Comptes publics et de la Réforme de La fonction contrôle interne, pourvue
pourcentage de leur collecte fixé annuel- l'État, la mission du service du contrôle dès septembre 2010 par le recrutement
lement par arrêté ministériel. Le FPSPP général économique et financier des d’un directeur contrôle interne, est rat-
contribue au financement d’actions de organismes chargés de l'emploi et de la tachée hiérarchiquement à la présidence
formation professionnelle sur la base formation professionnelle est désignée paritaire et rend compte fonctionnelle-
d’appels à projet et assure des verse- pour exercer le contrôle économique et ment au directeur général. Les adminis-
ments complémentaires aux OPCA au financier de l'État sur les OPCA. trateurs tiennent à préserver l’indépen-
titre de la professionnalisation et du dance de la fonction tout en privilégiant
congé individuel de formation. L’engagement fort de l’OPCA une gestion intégrée des risques et des
PL dans la mise en place de contrôles.
Par ailleurs, le nouvel article L6332-1-2 la fonction contrôle interne Au regard de la taille de l’organisme
du code du travail prévoit que le FPSPP (134 salariés au 01/01/2012), la fonction
établit et publie une charte de bonnes L’OPCA PL, organisme paritaire collec- coordonne 4 métiers : la gestion risques,
pratiques pour les OPCA et les entre- teur agréé des professions libérales le contrôle permanent, la conformité et
prises. représentant 17 branches profession- l’audit interne. Toutes personnes exer-
nelles (sections cadre de vie, juridique et çant au sein de la fonction contrôle
Des principes en matière d’incompati- judiciaire, officier public ministériel, interne est tenue au respect de règles
bilités de mandats sont introduits au santé et experts en automobile) a élargi éthiques définies dans une charte des
sein de l’article L6332-2-1 du code du son champ d’action en intégrant depuis droits et devoirs : intégrité, confidentia-
travail et visent à réduire les risques de le 1er janvier 2012, les activités de lité, impartialité, professionnalisme,
conflit d’intérêt d’une personne exerçant l’OPCA collecteur des contributions des indépendance.
une fonction de salarié ou d’administra- entreprises relevant de l’hospitalisation
teur au sein d’un OPCA. privée (ex FORMAHP). Une démarche contrôle
Les obligations de publicité sont renfor- interne encadrée
cées dans le sens d’une meilleure infor- L’OPCA PL s’est fortement engagé dans
mation et lisibilité par l’ensemble des la mise en place d’une fonction contrôle Des normes et cadres de références
acteurs : les OPCA ont l’obligation de interne avec pour objectif d’améliorer la en contrôle interne transposés à
publier sur leur site internet, dans une transparence et l’efficacité de l’ensemble l’OPCA PL
rubrique dédiée et identifiable, la liste de ses activités. La création de cette
des priorités, des critères et des condi- fonction a été décidée par le Conseil En l’absence de dispositions légales,
tions de prise en charge, la liste des d’administration dès décembre 2009, réglementaires ou de normes profes-
organismes de formation bénéficiaires alors que la réforme de l’agrément des sionnelles propres à l’organisation et
des fonds de l’organisme collecteur, les OPCA venait de paraître, dans la conti- aux modalités de mise en œuvre du
comptes annuels, ainsi que le rapport du nuité d’une démarche qualité qui avait contrôle interne des organismes pari-
commissaire aux comptes. La rubrique été initiée en 2009, permettant ainsi à taires collecteurs agréés, l’OPCA PL a
doit être actualisée dans les 15 jours sui- l’OPCA PL de disposer d’un premier conçu son propre modèle en s’inspirant
vant la modification de l’une de ces niveau de cartographie des processus et des cadres de référence de place, tels
informations. d’activités métiers. L’enjeu était d’orga- que la « mise en œuvre des dispositifs de

IDÉES ET DÉBATS
gestion des risques et de contrôle sont organisées de manière à disposer qui ne sont pas nécessairement ceux
interne » de l’AMF, COSO II et, notam- d’un système de contrôle efficace et per- dans l’état d’esprit des textes applicables
ment en raison de la similitude de cer- tinent, à développer une synergie entre à d’autres sociétés privées, tels que la
tains de ses processus avec ceux du sec- dispositifs de chaque métier, ainsi qu’à 8ème directive européenne, les articles
teur bancaire, du CCLRF n°97-02 relatif faciliter la séparation des fonctions si la L225-37 et L225-68 du code de com-
au contrôle interne des établissements taille de l’OPCA PL évoluait dans le merce ou encore les dispositions du titre
de crédit et des entreprises d’investisse- futur. VI du CCLRF n° 97-02 déterminant le
ment . rôle des organes exécutifs et délibérants.
Concernant le respect des règles déon-
Le contrôle interne s’applique à l’en- tologiques de l’audit interne, une règle La mission en contrôle interne du
semble des activités de l’OPCA PL, y est fixée : tout audit du dispositif Conseil d’administration a été introduite
compris aux activités externalisées contrôle interne devra être réalisé par un dans les statuts de l’OPCA PL à l’occa-
auprès de prestataires, de mandataires audit externe, tant que l’audit interne sion de son renouvellement d’agrément.
de collecte et de tout autre intermé- n’est pas séparé de la gestion des risques Il nomme un Comité des risques et
diaire, ainsi que des contreparties signa- et du contrôle permanent. Quant aux d’audit dont la composition est définie
taires d’éventuelles conventions audits internes de processus, de confor- dans la charte de gouvernance et de
conclues avec l’OPCA PL dans le cadre mité ou organisationnels, l’existence de pilotage en contrôle interne. Le Comité
d’un partenariat avec, par exemple, une procédures distinctes et de méthodes des risques et d’audit porte notamment
collectivité territoriale ou une institution appropriées à la réalisation de ce type de une appréciation sur la qualité du
publique comme Pôle emploi. missions permet de garantir le principe contrôle interne, la cohérence des sys-
d’objectivité. Par ailleurs, les constats et tèmes de mesure, de surveillance et de
Un standard interne de règles a été for- recommandations issus de ces audits maîtrise des risques.
malisé puis approuvé par les adminis- constituent des informations utiles et
trateurs afin d’encadrer le dispositif nécessaires pour la gestion des risques Un déploiement du contrôle
contrôle interne à déployer à moyen et améliorent le dispositif de contrôle interne progressif et maîtrisé
terme : permanent.
• Un référentiel de contrôle interne Un incontournable : la fédération des
définit les objectifs, les principes et les Organisation de la gouvernance du salariés et des administrateurs au
dispositifs de contrôle interne propres contrôle interne contrôle interne
aux activités de l’OPCA PL, et orga-
nise de manière anticipée le contrôle L’organisation de la gouvernance du Un plan de communication et de sensi-
interne dans le cadre d’un rapproche- contrôle interne a plusieurs enjeux : bilisation au contrôle interne est mis en
ment avec un autre organisme pari- • intégrer le contrôle interne dans les œuvre. Dès le début de la démarche, une
taire. processus de pilotage de l’OPCA PL présentation détaillée du contrôle
• Une charte des droits et devoirs orga- et dans le processus de gestion de interne a été animée auprès des admi-
nise le rôle, les responsabilités et les projets ; nistrateurs. L’ensemble des salariés a
droits des collaborateurs, des respon- • partager l’appétence au contrôle bénéficié d’une présentation générale
sables d’activités, des membres du interne au sein de l’organisme ; du dispositif dès le 1er semestre 2011.
Comité de direction, du directeur • assurer que l’attitude des collabora- Cette même présentation est planifiée
administratif et financier, du directeur teurs est cohérente avec celle du au 1er trimestre 2012 auprès des nou-
général, de la présidence et des tréso- management et des dirigeants ; veaux salariés issus de l’organisme ayant
riers dans la mise en œuvre du • veiller à ce que les équipes de la fonc- fusionné avec l’OPCA PL, dans l’objectif
contrôle interne. tion contrôle interne aient les compé- d’assurer un même niveau de sensibili-
• Une charte de gouvernance et de tences et la légitimité nécessaires à sation des collaborateurs avant même
pilotage précise les principes de l’exercice de leurs responsabilités. leur intégration au sein des locaux.
conflit d’intérêt, de transparence, de
surveillance de l’efficacité et de l’effi- La gouvernance du contrôle interne doit Une filière fonctionnelle contrôle
cience du contrôle interne. Le rôle des être adaptée à l’organisation de l’OPCA interne est mise en place afin de dispo-
instances internes de gouvernance en PL qui est notamment caractérisée par ser d’une « force motrice » pour le
matière de gestion des risques et les règles du paritarisme et les règles de déploiement du dispositif. La fonction
contrôle interne y est présenté. fonctionnement propres aux OPCA. Les contrôle interne s’appuie sur un réseau
administrateurs sont des élus d’organi- de correspondants opérationnels dési-
Les 4 métiers coordonnés par la fonction sations syndicales et patronales dont gnés au sein des activités, formés
contrôle interne sont présentés dans le l’intérêt à protéger est politique avant notamment à l’élaboration de cartogra-
référentiel. Leurs missions et procédures d’être financier. Autant de paramètres phie des risques.

Un Comité opérationnel du contrôle Une démarche de cartographie des sidence, portait sur les risques inhérents
interne, ad hoc, est prévu pour suivre les risques des processus se poursuit en aux processus ressources humaines en
risques et l’avancement des plans d’ac- 2012. Il est nécessaire d’effectuer une vue de la fusion éventuelle avec d’autres
tion, informer sur les incidents et leur revue des processus pratiqués avant la organismes. Une première évaluation
correction, observer l’efficacité des fusion, d’une part, et ceux intégrés après des risques a été réalisée avec la respon-
contrôles permanents, partager les pra- la fusion, d’autre part, afin de définir des sable des ressources humaines avant le
tiques entre correspondants. axes d’harmonisation, de fiabilisation ou rapprochement effectif. Après la fusion,
d’optimisation d’activités dans le cadre une revue complète de la cartographie
Un logo propre au contrôle interne a été de l’accompagnement au changement. des processus RH et des risques a été
conçu et représente les 4 métiers et leurs La centralisation des incidents devrait effectuée par les responsables d’activités
dispositifs à déployer. Toute documenta- être organisée après l’aboutissement de RH représentant respectivement les
tion et communication relatives au cette cartographie des risques. activités de l’OPCA PL et les activités de
contrôle interne comportent ce logo, l’organisme absorbé. Des plans d’ac-
permettant ainsi aux salariés d’identifier Un standard des risques formalisé préa- tions préventifs ont été préconisés sur
et d’être attentifs aux informations de la lablement dans le référentiel contrôle les risques majeurs. La cartographie des
« marque » contrôle interne. Ce logo est interne de l’OPCA PL définit des caté- risques et les plans d’actions définis
également l’image fédératrice autour gories de risques représentant les grands pour les risques majeurs sont validés par
d’un projet d’entreprise. risques inhérents aux activités de la présidence et la direction. Des respon-
l’OPCA PL : risque opérationnel, risque sables de plan d’action, membres de la
de non-conformité, risque juridique, direction, sont désignés. Les résultats
risque de contrepartie, risque financier. sont présentés au Comité des risques et
Des typologies de causes de risques sont d’audit.
déclinées pour chaque catégorie, ainsi
que des typologies d’impacts. Chaque En prenant connaissance des risques
événement de risque identifié au sein significatifs, la présidence a pu planifier,
des processus est rattaché à une cause et engager certaines actions préventives et
un impact définis au sein d’une même attribuer des directives auprès des mem-
catégorie de risques. bres de la direction transitoirement
organisée.
Ce référentiel inspiré de la classification
Bâloise, permet d’encadrer l’analyse des Les responsables d’activités en res-
risques et d’aider les correspondants à sources humaines ont trouvé l’intérêt à
assimiler la méthodologie. Des analyses cette démarche : la cartographie des
Une démarche initiée par la gestion simples des risques évalués peuvent risques est à la fois un outil d’anticipa-
des risques également être réalisées, sans qu’il soit tion dans la gestion de projet permettant
besoin d’un logiciel spécifique, pour res- de réagir et d’être proactif, ainsi qu’un
L’OPCA PL a choisi d’initier la mise en tituer graphiquement un état mettant en support de référence des actions à pla-
œuvre de son contrôle interne par la exergue les principales causes et consé- nifier, à consulter en tant que de besoin
gestion des risques en raison des avan- quences dans chaque cartographie des au cours du projet. L’objectivité de l’ana-
tages qu’une telle démarche peut pro- risques. lyse des risques, la justification de l’éva-
curer dans une organisation dont les Les contrôles permanents pratiqués au luation, la vision globale et transverse
collaborateurs ne sont pas initiés à une sein des activités sont recensés en partie des risques synthétisée au sein d’un
culture ni à un jargon « contrôles ». Les à l’occasion de la modélisation des pro- support normalisé fait de cette cartogra-
enjeux consistent à décloisonner les cessus et de l’évaluation des risques. phie des risques un véritable outil de
activités métiers, favoriser le partage L’évaluation de ces contrôles sera communication pour la fonction RH.
d’informations et de connaissances déployée après la stabilisation des dis- Pour la direction et la présidence, la car-
entre les services, impliquer tous les positifs de gestion des risques, au même tographie des risques est un outil de
acteurs de l’organisme afin de proscrire titre que l’organisation des contrôles de pilotage et d’aide à la décision contri-
les préjugés sur le contrôle interne et 2 e niveau. buant à la réussite de la fusion de
anticiper les risques inhérents à la réor- l’OPCA PL sur le plan social. 
ganisation de l’OPCA. Initier le contrôle Le pilotage des risques RH dans le
interne par la mise en œuvre de l’audit cadre de la fusion de l’OPCA PL
interne aurait eu pour effet de renforcer
la perception qu’avaient les collabora- La première cartographie des risques
teurs d’une fonction « policière ». réalisée en 2011, sur demande de la pré-

IDÉES ET DÉBATS
La communication
de l’audit interne vers
les organes de gouvernance
La communication sur l’activité de l’audit interne de GDF SUEZ est organisée autour
d’un rapport d’activité mensuel destiné au Comité exécutif du groupe et d’un rapport
trimestriel présenté par le directeur de l’audit interne au Comité d’audit de GDF SUEZ.
Le rapport mensuel présente une synthèse des principaux constats identifiés au
cours des missions d’audit interne et des recommandations émises. Le rapport tri-
mestriel traite de l’efficacité du système de contrôle interne et de gestion des risques.
L
’audit interne de GDF SUEZ est concise, constructive, complète et émise
structuré autour de 7 équipes en temps utile.
d’auditeurs établies au siège et au
sein de chacune des 6 branches du Alerter le management,
Groupe. Des équipes plus restreintes informer le Comité d’audit sur
sont localisées dans certaines entités de l’efficacité du système de
taille réduite pour des raisons de gou- contrôle interne et de gestion
vernance locale. des risques
Plusieurs centaines de missions d’audit
Michel Caty
sont réalisées chaque année par les Le rapport d’activité mensuel vise à pré-
Responsable de portefeuille de auditeurs du groupe et un processus senter au Comité exécutif du groupe une
missions, structuré a été mis en place au sein de la synthèse des principaux constats iden-
GDF SUEZ direction de l’audit interne pour assurer tifiés au sein du groupe au cours des
une communication efficace auprès de missions d’audit interne, et des recom-
la direction générale de GDF SUEZ et mandations émises. Les membres de la
du Comité d’audit. direction générale peuvent ainsi être
alertés sur des dysfonctionnements
Responsable de portefeuille de mis- La communication sur l’activité de l’au- intervenus hors de leur périmètre, mais
sions depuis 3 ans au sein de la dit interne est organisée autour d’un dont le retour d’expérience peut être
direction de l’audit interne de GDF rapport d’activité mensuel destiné au bénéfique pour leurs fonctions ou enti-
SUEZ, Michel Caty a entamé sa Comité exécutif du groupe et d’un rap- tés. Les directeurs fonctionnels peuvent
carrière au sein de la direction port trimestriel présenté par le directeur aussi identifier, à partir des travaux réa-
financière du Groupe, dans les acti- de l’audit interne au Comité d’audit de lisés sur le terrain par les auditeurs, des
GDF SUEZ. signaux diffus concernant les processus
vités de marché, les fusions-acqui-
Ces productions s’inscrivent dans les dont ils sont en charge.
sitions et le contrôle de gestion.
exigences des normes de l’audit interne Le rapport d’activité trimestriel vise à
Ingénieur diplômé de l’Ecole Cen- (MPA 2420-1) qui stipulent que l’audit informer le Comité d’audit dans le cadre
trale de Lille, il est aussi titulaire interne a le devoir d’assurer une com- des responsabilités reconnues par la 8ème
d’un DEA de Sciences de Gestion. munication exacte, objective, claire, Directive, à savoir le suivi de l’efficacité

du système de contrôle interne et de présenter : tent leur connaissance « terrain » et leur
gestion des risques. • les déficiences critiques susceptibles appréciation du contexte. Si nécessaire,
d’affecter le groupe ; l’auditeur responsable de la mission
Une information concise et • les déficiences présentant un niveau peut aussi être consulté.
émise en temps utile de criticité local et méritant néan-
moins de figurer dans le rapport d’ac- Une information objective
Le rapport d’activité mensuel, volontai- tivité global.
rement limité à une seule page, est dif- Le directeur d’audit interne du groupe
fusé au Comité exécutif quelques jours Le principal critère retenu pour effectuer arbitre, le cas échéant, certaines options,
après la fin du mois. la sélection des missions présentées est adapte la tonalité des synthèses, assure
En fonction de l’actualité, le rapport pré- le niveau de risque évalué par la mission la cohérence du message et la bonne
sente environ 8 missions sous la en termes financier, de réputation hiérarchisation des enjeux. Il est, en par-
forme d’un texte de ou de sécurité des per- ticulier, le garant final de l’objectivité et
quelques lignes indi- « Le dispositif de sonnes. D’autres para- de l’indépendance de la communica-
quant systématique- communication mensuel – concis mètres sont aussi pris tion.
ment : et rapide – favorise une information en compte :
• les éléments de • les missions Le rapport d’activité mensuel de l’au-
immédiate et une action rapide du
contexte (chif- n’ayant pas dit interne donne lieu à des ques-
fre d’affaires
management. identifié de défi- tions ou échanges au sein du Comité
de l’entité, Les auditeurs internes font ainsi la ciences cri- exécutif de GDF SUEZ.
objet de la démonstration qu’ils sont dans l’actualité tiques, mais Suite à sa diffusion, les membres de
mission, éten- du business. » concernant des la direction sollicitent l’audit interne
due des tra- enjeux ou entités pour obtenir certains rapports de
missions ou pour organiser une pré-
vaux...) ; Xavier Bedoret, directeur de significatifs pour le
sentation ad hoc.
• l’opinion d’audit l’audit interne de GDF SUEZ groupe ; L’intérêt qu’il suscite est une preuve
interne ; • les thèmes d’actualité ou de l’utilité et du caractère clé de ce
• les principaux constats et ayant fait l’objet de questionne- vecteur de communication pour l’im-
risques identifiés ; ment de la part du management ; pact de l’audit interne au sein du
• les principales recommandations des • les missions portant sur un thème groupe.
auditeurs. rarement abordé et permettant un
retour d’expérience applicable à un
Une information claire et périmètre plus large. Une relation régulière et
constructive étroite avec le Comité d’audit
Un échange est organisé avec chaque
Afin que les membres du Comité exécu- directeur d’audit de branche, lors de la Les activités de l’audit sont présentées
tif puissent évaluer rapidement les phase de préparation du rapport, afin de trimestriellement par le directeur de
enjeux, une grande attention est portée vérifier que les missions citées illustrent l’audit interne lors des séances du
à la présentation du contexte (le groupe adéquatement la nature et l’étendue des Comité. Ces séances régulières sont
est actif sur tous les continents et exerce travaux d’audit effectués pendant le complétées par des entretiens moins
de nombreux métiers au sein de plus mois écoulé. formels réunissant le président du
d’un millier d’entités juridiques) en évi- Comité d’audit et le directeur de l’audit
tant les acronymes et les termes tech- Une information exacte interne du groupe.
niques. Des faits identifiés concrets illus-
trent l’analyse des risques et étayent les La synthèse en quelques lignes d’un L’information apportée au Comité d’au-
recommandations des auditeurs. Le ton rapport abordant parfois des probléma- dit doit lui permettre d’exercer les res-
est par ailleurs direct, mais mesuré. tiques complexes est un exercice difficile. ponsabilités attribuées par la 8ème Direc-
Afin d’éviter toute dilution ou déforma- tive, à savoir le suivi de l’efficacité du
Une information complète tion de l’information, la source utilisée système de contrôle interne et de ges-
pour établir le rapport d’activité est le tion des risques.
Les rapports de missions émis par tous rapport d’audit.
les auditeurs, quelle que soit leur locali- Pour assurer la correcte transcription des Une activité d’audit proche du
sation dans le monde, sont systémati- enjeux de la mission et toutes les terrain et couvrant les enjeux
quement transmis au directeur de l’audit nuances du rapport dans la synthèse, le
interne du groupe. projet de rédaction est validé avec les Les rapports d’activité présentent systé-
Ces documents sont analysés afin de directeurs d’audit de branche qui appor- matiquement une vision globale des

IDÉES ET DÉBATS
activités menées par l’audit interne avec tions de l’audit interne sont complétés principales missions venant couvrir des
une approche géographique, par métier, par les plans d’actions du management risques et enjeux du groupe, et produit
par processus et par risques. qui permettent d’assurer que les dys- des éléments quantitatifs sur les autres
Le Comité d’audit peut constater la fonctionnements sont traités dans un missions (approche par pays, processus,
proximité de l’audit interne du groupe délai raisonnable. type de mission).
avec les opérationnels (les auditeurs Annuellement, un bilan de la revue du
sont sur le terrain, là où le groupe exerce contrôle interne du groupe est accom- Une évaluation régulière
son activité) ainsi que la couverture des pagné d’une conclusion du directeur de de la satisfaction des parties
principaux processus et des risques l’audit interne sur la conformité, la maî- prenantes
majeurs du groupe. Il est aussi informé trise des enjeux et la performance glo-
de l’avancement du plan annuel d’audit bale des opérations ainsi que de la syn- Le directeur de l’audit interne du groupe
ainsi que des principaux arbitrages thèse des missions destinées à apprécier s’assure périodiquement que les formats
apportés au plan en cours d’année. l’efficacité du contrôle interne à l’échelle de communication donnent satisfaction
du groupe. aux parties prenantes : ce point fait par-
Présentation des constats tie du programme d’amélioration de la
les plus significatifs pour Une identification rapide qualité qui est une exigence de l’audit
le groupe et des missions des cas de non-conformité interne.
typiques éthique, de leur traitement Ainsi, lors de rencontres avec le mana-
et des recommandations gement du groupe et le président du
Un focus sur quelques missions (présen- en termes d’amélioration Comité d’audit, il recueille périodique-
tation sur une à deux pages) permet de du contrôle interne ment leurs attentes. Des contacts régu-
couvrir : liers avec des personnes assistant au
• les constats portant sur des sujets Les cas de non-conformité éthique Comité d’audit (directeur financier,
importants ou sensibles ; identifiés au sein du groupe et le suivi auditeurs externes) permettent aussi de
• certaines missions n’ayant pas identi- des actions de traitement menées par le valider l’impact des présentations
fié de déficience critique, mais faisant management sont présentés de manière menées par l’audit interne et complètent
suite à une demande du Comité d’au- complète. Afin d’assurer le respect des ainsi la boucle d’amélioration. 
dit, couvrant un sujet d’actualité, ou lois et règlementations (secret judiciaire
permettant de donner une assurance si des procédures sont en cours, prin-
raisonnable sur un processus majeur cipes éthiques sur l’intégrité et la dignité
où un thème à enjeu du groupe. des personnes), la liste des cas est pré-
GDF SUEZ
sentée de manière anonyme. Ce sujet
GDF SUEZ inscrit la croissance res-
Pour ces missions, des éléments de est traité de manière coordonnée avec la ponsable au cœur de ses métiers
contexte permettent de présenter l’en- direction éthique et la direction juri- (électricité, gaz naturel, services à
vironnement et les objectifs de la mis- dique de GDF SUEZ. l’énergie et à l’environnement) pour
sion. Les constats et les recommanda- relever les grands enjeux : répondre
Un bilan régulier aux besoins en énergie, assurer la
de l’avancement des actions sécurité d’approvisionnement, lutter
Un point de vigilance : L’organisa- de progrès contre les changements climatiques
tion du groupe est complexe. Plu- et optimiser l’utilisation des res-
sieurs entités significatives disposent sources.
d’un Comité d’audit ou sont cotées Un bilan de la mise en œuvre des plans
Le groupe propose des solutions per-
sur les marchés financiers (Suez Envi- d’actions par le management est pré- formantes et innovantes aux particu-
ronnement, Tractebel Energia…). senté sous forme d’indicateurs par liers, aux villes et aux entreprises en
L’audit interne de GDF SUEZ doit veil- branche. Des informations qualitatives s’appuyant sur un portefeuille d’ap-
ler à ce que l’information soit diffusée détaillées décrivent l’avancement des provisionnement gazier diversifié, un
de manière organisée au sein du principaux plans d’actions lorsqu’ils parc de production électrique flexi-
management et des différents portent sur des sujets à enjeu pour le ble et peu émetteur de CO2 et une
niveaux d’organes de gouvernance. groupe. expertise unique dans quatre sec-
Ainsi, il tient compte des calendriers teurs clés : le gaz naturel liquéfié, les
des différents comités, de leurs règles services à l’efficacité énergétique, la
de fonctionnement et des normes Une étape clé : la présentation production indépendante d’électri-
professionnelles de l’audit interne. du plan d’audit annuel cité et les services à l’environnement.
Une relation étroite avec les direc- GDF SUEZ compte 218 900 collabo-
teurs de l’audit interne des branches La présentation du plan annuel d’audit rateurs dans le monde pour un chif-
permet d’identifier et d’intégrer ces donne lieu à un échange riche. L’audit fre d’affaires en 2011 de 90,7 milliards
quelques contraintes. interne présente une vision détaillée des d’euros.

DOSSIER
Contribuer à la valeur
ajoutée des organisations
Une finalité pour l'audit et le contrôle internes
16 Développer l’usage managérial du contrôle interne

pour un dispositif à valeur ajoutée
Jean-Christophe Kypriotis et Michel Tudrej
19 Sécuriser les risques, mission première de l’audit

interne
Benoît Derville
21 Comment le contrôle et l’audit internes peuvent-ils

contribuer à la valeur ajoutée des organisations ?
Brigitte Charton et Patrick Garnier
24 Quelle place et quelle valeur ajoutée pour le contrôle

interne dans un grand groupe industriel ?
Michel Tudrej

DOSSIER
Développer l’usage managérial

du contrôle interne pour un
dispositif à valeur ajoutée
Jean-Christophe Kypriotis - Directeur du contrôle interne, GDF SUEZ - Co-pilote de l’unité de
recherche « La création de valeur par le contrôle interne » de l’IFACI
Michel Tudrej - Directeur de mission, responsable de l’animation du contrôle interne, Groupe EDF - Co-
pilote de l’unité de recherche « La création de valeur par le contrôle interne » de l’IFACI
L
e groupe professionnel « Contrôle interne » de l’IFACI
a produit un cahier de la recherche sur « La création de
valeur par le contrôle interne ». Le développement de
la valeur d’usage managérial du contrôle interne y est présenté
comme un des indicateurs clés de cette création de valeur.
Ces dernières années, les obligations réglementaires ont rendu

incontournable la formalisation du contrôle interne dans les
entreprises (loi Sarbanes Oxley aux USA, Loi de Sécurité Finan-
cière et réglementations sectorielles en France, directives euro-
péennes), par contre ces exigences de conformité masquent
parfois la réalité de la valeur d’usage managérial qui est un
atout majeur du contrôle interne.
Il est vrai aussi que la première compréhension du mot
« contrôle » en français réduit le sens de « maîtrise et pilotage
des activités » exprimé dans le langage anglo-saxon à une sim-
ple notion de contrôle de conformité.
Pourtant, l’amélioration des processus, la sécurisation des actifs
et la fiabilisation des flux d’information représentent autant
d’objectifs susceptibles d’illustrer cette valeur d’usage.
Aussi, pour développer cette valeur d’usage managérial du dis-

positif de contrôle interne au sein d’une organisation, il
convient tout d’abord d’obtenir le soutien de quelques acteurs
majeurs de l’organisation. Majeure entre toutes, la direction
générale joue un rôle central, particulièrement moteur, car c’est
toujours elle qui se doit de définir les grandes lignes directrices
du dispositif de contrôle interne et de s’assurer périodiquement fonctionnelles (par exemple, une direction des systèmes d’in-
de son efficacité. formation qui assure la bonne intégration des points de
D’autres acteurs peuvent aussi jouer un rôle important de contrôle clés dans les applications métiers ou qui maîtrise les
sponsor : les organes de gouvernance ou encore des directions risques d’indisponibilité des ressources informatiques).

Contribuer à la valeur ajoutée des organisations
Afin de prendre en compte les parties être sur les « vrais » risques / oppor- clients internes (organes de gouver-
prenantes d’un dispositif de contrôle tunités de l’entreprise et à améliorer nance, direction générale, direction
interne dans une organisation, le cahier leur niveau de maîtrise ; financière …) et externes (commissaires
de la recherche propose d’adopter une • mesure de la qualité et de l’adéqua- aux comptes, autorités de régulation,
démarche structurée pour : tion des prestations liées à l’animation clients …).
• cartographier les parties prenantes ; du dispositif ;
• identifier et hiérarchiser leurs • mesure de la satisfaction des parties De plus, la démarche doit prendre en
attentes ; prenantes internes et externes. compte et être en totale adéquation avec
• déterminer des critères de mesure de la culture de l’organisation et des diri-
leur satisfaction ; Ainsi, toute action d’intégration ou de geants (éthiques, valeurs …) et l’appé-
• adapter les moyens d’atteinte de leurs convergence de démarches, telles que tence forte qui est affichée ou encore
objectifs ; contrôle interne, la qualité ou la sécurité, naissante pour mettre en place une
• les informer sur la valeur ajoutée du renforce l’efficacité globale des disposi- démarche structurée. A cet effet, les
contrôle interne dans leur périmètre. tifs et facilite leur appropriation par le conclusions du cahier de la recherche
management opérationnel. sur les variables culturelles du contrôle
Dans certaines entre- peuvent être utiles à prendre en consi-
prises, le dispositif de dération.
(5)
Les informer sur la contrôle peut aussi
(1)
valeur ajoutée du Cartographier être un vecteur d’har- b) Un dispositif flexible
contrôle interne dans les parties
leur périmètre monisation et de par- proactif et ouvert
prenantes
tage des bonnes pra-
tiques. Pour cela, il Les éléments clés ayant un impact sur
s’appuie souvent sur les dispositifs de maîtrise des activités
la mise à disposition qui sont en évolution permanente (envi-
de référentiels de ronnement externe, lois et règlements,
(4) contrôle interne par- organisation interne, etc.), il est primor-
Adapter les (2)
moyens d'atteinte Identifier et tagés au sein de l’or- dial que tout dispositif soit dès l’origine
de leurs objectifs hiérarchiser
ganisation et la mise conçu afin de pouvoir assurer un degré
leurs attentes
en place de filières de flexibilité suffisant pour être adapta-
d’animateurs du dis- ble et adapté en tant que de besoin.
(3)
Déterminer des positif de contrôle
critères de mesure interne. De plus, il ne doit pas être l’apanage
de leur
satisfaction
d’une communauté d’experts du
Au-delà de ces élé- contrôle interne, mais il doit absolument
ments caractéris- impliquer tous les acteurs concernés, et
L’information des parties prenantes sur tiques de l’usage managérial, l’unité de ceci aux différentes étapes de vie de ce
la valeur ajoutée est fondamentale car recherche a identifié quelles sont les clés dispositif (élaboration, déploiement, uti-
elle permet de s’assurer que le dispositif de réussite majeures lors des phases lisation et évolution).
de contrôle interne répond bien aux d’élaboration et de déploiement d’un
besoins et d’identifier éventuellement dispositif de gestion des risques et de c) Un dispositif connu de tous
les ajustements nécessaires. contrôle interne.
Parmi celles-ci, on peut retenir : Au-delà de la mise en œuvre d’un dis-
Le cahier de la recherche propose des positif répondant aux besoins des diffé-
pistes pour structurer ce retour d’infor- a) Une approche réaliste, rentes parties prenantes, il est indispen-
mation sur la valeur ajoutée du dispositif adaptée et en phase avec les sable d’accompagner le déploiement par
de contrôle interne et les conditions de besoins opérationnels les actions de communication ad hoc
cette création de valeur : afin de permettre son ancrage et sa
• indicateurs sur la capacité de l’organi- En effet, il est primordial que la bonne appropriation dans la durée.
sation à disposer d’une structure et démarche se mette en place à un rythme
d’une gouvernance adaptée ; en ligne avec la maturité des processus, Cette communication doit être continue,
• mesure de la capacité du dispositif à et en adéquation avec les attentes des ciblée en fonction des objectifs de cha-

DOSSIER
cun (car ces objectifs peuvent être diffé- ponsabilités au sein d’un cercle d’ex- de mettre en lumière la valeur ajoutée
rents entre les lignes managériales, les perts qui ne permettront pas l’adhésion d’un dispositif de contrôle interne reste
fonctions financières et les autres fonc- de l’ensemble des personnels, qui sont un challenge à relever. En effet, s’il existe
tions transverses parties prenantes pourtant au cœur des activités et des aujourd’hui un nombre important d’in-
comme RH, SI, communication, juri- risques, et par conséquent les premiers dicateurs, la notion d’efficacité du
dique …, les opérationnels sans compter concernés par la nécessité d’un niveau contrôle interne réside plus dans le suivi
bien sûr les personnels directement en de maîtrise adapté. de cette efficacité, par la mise en évi-
charge de l’animation de la démarche), dence des faiblesses et des plans d’ac-
et elle doit utiliser des canaux de com- Si l’existence d’un noyau corporate est tion ad hoc correspondants, que par la
munication efficaces. incontournable, rien que pour définir la mesure intrinsèque de cette efficacité.
politique du groupe et assurer un pilo-
Cette communication doit d’abord être tage pour la direction générale, il paraît
centrée sur la plus value réelle pour sus- important de mettre en œuvre un réseau
citer l’intérêt des acteurs impliqués dans de responsables de contrôle interne au
la démarche et démontrer qu’elle n’est plus près des top managers opérationnels
pas uniquement liée à des aspects obli- et fonctionnels de chaque société. En
gatoires et réglementaires. Il est donc effet tout manager qui porte une activité
primordial de trouver le bon axe de jugée importante est inévitablement
communication qui varie d’une entre- soumis à des risques associés (de non
prise à l’autre pour lever l’obstacle évo- atteinte de ses objectifs), aussi il se doit
qué ci-dessus de la mauvaise compré- de mettre en place un dispositif de maî-
hension et interprétation du terme trise de ces risques et donc de définir les
« contrôle interne ». Le cahier de la ressources utiles pour mener cette
recherche donne des éléments et des action (cf. exemples dans le cahier de la
exemples intéressants sur ces différents recherche).
points.
f) Des démarches
d) Un dispositif piloté à partir coordonnées
d’un système de reporting
fiable Comme déjà évoqué ci-dessus, diffé-
rents acteurs contribuent à la bonne
le dispositif de reporting doit être pensé marche du contrôle interne et il est pri-
et mis en place dès les premières phases mordial que des synergies et des cohé-
de déploiement et doit être destiné évi- rences soient identifiées et mises en
demment en premier lieu à la direction œuvre pour optimiser l’ensemble des
générale et au Comité d’audit. Il appar- démarches pouvant exister dans une Ceci est dû au fait que le contrôle
tient à l’entité corporate en charge de ce société (d’autant que certaines existent interne, comme la majorité des fonc-
pilotage de bien identifier les acteurs et depuis longtemps car liées aux proces- tions transverses, ne peut se décliner par
le périmètre qui doit être intégré dans ce sus ou modes de management). L’inté- un simple ratio coût / bénéfice, car si le
reporting et le cas échéant d’en identifier gration de ces démarches (CI, risques, coût peut éventuellement être calculé,
les zones d’exclusion, afin de vérifier que assurance qualité, EFQM, fonctionne- les bénéfices sont souvent des éléments
cela est acceptable (cas des filiales iso- ment par processus ...) et des acteurs liés à des coûts évités ou des probabilités
lées ou non majoritairement contrôlées). clés (animateurs de CI, animateurs de d’occurrence. Toutefois, l’histoire récente
gestion des risques, contrôleurs de ges- montre combien des lacunes de contrôle
e) Un programme d’entreprise tion, responsables SI, responsables qua- peuvent avoir des conséquences graves
impliquant un réseau de lité, conformité, etc.) dans un système voire … fatales pour les organisations,
contrôle interne de management intégré structuré est de qu’elle doit nous encourager à poursui-
plus en plus la solution recherchée et la vre le développement de dispositifs de
Un risque important de non succès est réponse adaptée. contrôle interne de plus en plus adaptés,
lié à un pilotage avec une centralisation La définition d’indicateurs fiables et performants et efficients avec conviction
excessive ou une concentration des res- incontournables permettant de suivre et et sans état d’âme. 

Sécuriser les risques,

mission première de l’audit
interne
Entretien avec ...
Benoît Derville - Directeur de l’audit interne, Groupe Banque Accord
L’audit et le contrôle internes doivent contribuer à la valeur ajoutée des organisa-

tions. Pour cela, ils doivent s’assurer que les risques de tous ordres, et pas seulement
financiers, sont maîtrisés. La valeur ajoutée implique notamment une adhésion
sans réserve des audités aux recommandations, et une relation forte de l’audit avec
le top management et le Comité d’audit.
ajoutée précieuse pour l’entreprise en risques, par activité et par processus,

donnant un éclairage précis sur la qua- avec la reprise des points de contrôle sur
lité des processus et sur le niveau de ces activités et ces processus, est essen-
maîtrise des activités… parfois sous tiel. Identifier l’ensemble des risques,
l’angle habituel de l’analyse qui est faite que ce soit à l’intérieur d’une business
en interne, mais parfois également sous unit ou sur un métier, et identifier les
un angle d’analyse différent. contrôles positionnés sur chaque risque,
Valeur précieuse également, en mettant cela donne beaucoup de sens à la
en évidence les insuffisances ou les démarche.
sources de progrès pour se conformer En outre, nous effectuons une démarche
Jean-Loup Rouff : L’audit et le contrôle aux axes stratégiques en termes de per- d’identification, de dénombrement, de
internes contribuent à la valeur ajoutée des formance financière, de seuil de qualité, valorisation de l’ensemble des incidents
organisations dans la mesure où ils sont d’organisation interne. opérationnels qui se produisent dans
efficients. Comment, et avec quels outils, Un troisième aspect de valeur ajoutée l’entreprise. Il peut s’agir d’incidents
mesurez-vous cette efficience ? est la mise en place de plans d’action opérationnels sur le système d’informa-
adéquats, en ayant à l’esprit en perma- tion, ayant un impact sur toute la vie de
Benoît Derville : Les meilleures pra- nence l’efficacité du couple : efficacité l’entreprise ; il peut s’agir du non-res-
tiques recommandent que les contrôles attendue de la recommandation et pect des réglementations ; il peut s’agir
internes et les audits soient réalisés sur impact de sa mise en œuvre. Echappent également d’incidents ayant un impact
les activités et sur les processus sensi- à cette règle certains aspects liés aux sur les aspects comptables et financiers.
bles, afin de sécuriser les risques : obligations réglementaire et légaux, Nous avons donc un suivi de la réparti-
risques financiers, opérationnels, infor- voire parfois d’autres aspects. tion des incidents par nature d’incident,
matiques, juridiques, humains, légaux, Sur les outils, pour avoir une efficience par filiale ou par business unit, et une
réglementaires, voire risques de réputa- optimale sur les fonctions de contrôle, il valorisation monétaire des incidents
tion et il y en a sans doute d’autres. est indispensable d’avoir une bonne avec le manque à gagner et le coût de la
Dès lors que les contrôles et les missions connaissance de l’entreprise, de ses pro- résolution de l’incident. On établit
portent bien sur les activités et les processus, de ses risques. Et le déploiement ensuite un ratio de coût d’incident sur
cessus fondamentaux, ils ont une valeur d’outils comme la cartographie des notre produit net bancaire.

DOSSIER
Un dernier suivi porte sur les taux tion qui prend en compte les risques les plus Quant aux relations fortes avec le CEO
d’avancement des plans d’action sur les importants ; une relation forte avec le CEO et le Comité d’audit, elles sont une
incidents avérés et sur les risques poten- et le Comité d’audit ? En voyez-vous d’au- condition indispensable. Mais j’insisterai
tiels les plus importants. tres ? sur le fait que le rôle essentiel revient à
la fonction audit qui doit être à l’écoute
J. L. R. : Quelles sont les difficultés rencon- B. D. : Le professionnalisme des audi- du CEO et du Comité d’audit, afin de
trées par les auditeurs et les contrôleurs teurs et des contrôleurs internes est, répondre à leurs attentes.
internes pour contribuer efficacement à la bien évidemment, indispensable, et
valeur ajoutée ? Quels sont leurs atouts ? La s’apprécie au travers de la technicité et J.-L. R. : Les fraudes les plus importantes
valeur ajoutée s’évalue-t-elle exclusivement de la maîtrise des domaines audités. sont rarement mises au jour par l’audit ou
en termes financiers ? Mais ce n’est pas suffisant. La capacité le contrôle interne et ce, malgré le dévelop-
des auditeurs à mener leurs investiga- pement régulier de ces deux fonctions. Ne
B. D. : Tout n’est pas valorisable en tions doit être avérée ; c’est le doigté de pensez-vous pas que cela donne raison à
termes financiers. l’auditeur dans sa démarche, sa persé- ceux qui prétendent que le coût de la valeur
Chaque audit débouche sur une recom- vérance, son intelligence et son discer- ajoutée est disproportionné par rapport au
mandation et toute mise en œuvre nement, voire sa fermeté, si cela est bénéfice retiré ?
d’une recommandation génère un coût, nécessaire. C’est un point essentiel.
parfois élevé. Et si l’on perçoit immédia- Le dernier point qui, pour moi, est fon- B. D. : En France, on a du mal à parler
tement le coût de la mise en œuvre, on damental, est la capacité de l’auditeur à de fraude. C’est faire preuve de défiance
a du mal à valoriser dans le long terme faire adhérer l’entreprise – quand je à l’égard des organisations et des
le bénéfice de cette recommandation. Il parle de l’entreprise, ce sont les audités, hommes en place. Et pourtant, on
n’est donc pas facile de répondre à votre mais aussi le reste de l’entreprise, la hié- observe, dans le monde, que les cas de
question. rarchie – à ses recommandations. Et je fraude se multiplient, qu’ils sont parfois
Néanmoins, un bon critère de mesure dis bien « adhérer », parce que la mise fort coûteux, et qu’ils concernent tous
de valeur ajoutée, c’est le taux d’adhé- en œuvre d’une recommandation est les métiers, toutes les régions, tous les
sion des audités aux recommandations, d’autant plus acquise que l’adhésion est pays.
parce qu’on n’imagine pas qu’un audité là. Il est donc également très important Cela nous oblige donc à garder les yeux
acceptera une recommandation qui n’a de sensibiliser la direction générale sur ouverts et à intégrer cette démarche
pas de sens à ses yeux. certains points essentiels de la mission. dans l’entreprise.
Parfois, des critères très précis peuvent La planification prend en compte les Pour être efficace, il y a au moins deux
montrer que l’optimisation d’un proces- risques les plus importants, d’où la choses à faire. La première, c’est sensi-
sus permet d’éviter une perte. Mais il est nécessité de disposer de cartographies biliser les strates de l’entreprise à la
difficile de l’évaluer tant que cette perte actualisées des processus et des risques. fraude potentielle, à l’environnement
n’est pas concrétisée. De la même manière, il faut avoir une externe dans lequel l’entreprise évolue.
Les missions d’audit ou les fonctions de bonne visibilité sur les contrôles Pour moi, je pense que réussir cette
contrôle doivent mettre en valeur le internes déployés et sur leurs résultats. étape de sensibilisation, c’est déjà beau-
bénéfice apporté par les recommanda- Des contrôles sont exercés : que mon- coup, et cela doit constituer un effet
tions : optimisation d’un processus, gain trent-ils ? Cela sous-entend donc un déclencheur majeur qui permettra la
financier, sécurisation d’un risque, et si reporting de qualité qui met en évidence mise en place de moyens de lutte contre
possible le valoriser. Quand on peut les évolutions des résultats de contrôle. la fraude, et la fixation d’un plan avec
prouver l’intérêt d’une recommanda- Ce reporting doit être synthétique et des premiers objectifs.
tion, on fait parfois apparaître une détaillé. La deuxième étape consiste à intégrer
notion de valeur ajoutée potentielle. Concernant les évolutions des résultats une organisation de suivi, avec détection
C’est le cas avec les recommandations de contrôle : est-on dans une démarche de la fraude. Il s’agit de mettre en œuvre
sur les optimisations de processus, les d’amélioration de la maîtrise du proces- des mesures préventives, comme la
fusions d’équipes, la suppression de sus, ou dans une phase de régression ? sécurisation de certains processus, de
tâches redondantes… Pour bien planifier, je le rappelle, il faut certaines activités soit au travers du ren-
bien connaître les risques et savoir com- forcement de l’audit , soit encore avec la
J.-L. R. : Les points suivants vous parais- ment évoluent les contrôles sur les pro- mise en service d’outils d’analyse ou de
sent-ils être de bons indicateurs de valeur cessus, sur les organisations, et sur les détection... C’est un sujet très vaste. 
ajoutée : le professionnalisme des auditeurs risques qui sont identifiés dans les car-
et des contrôleurs internes ; une planifica- tographies.

Comment le contrôle et l’audit

internes peuvent-ils contribuer
à la valeur ajoutée des
organisations ?
Brigitte Charton - Directrice de l’audit interne, Groupama Gan Vie
Patrick Garnier - Responsable audit, contrôle, gestion des risques, Groupama Gan Vie
L’audit interne contribue à la valeur ajoutée de l’entreprise, par ses recommanda-
C
onstituée au 1er janvier 2010,
Groupama Gan Vie regroupe tions majeures et les plans d’action qui s’ensuivent.
l’ensemble des portefeuilles Le contrôle interne permanent met en place des contrôles clés permettant de couvrir
d’assurance-vie du groupe Groupama les risques majeurs.
en France et assure la gestion de 175 000 La valeur ajoutée ne s’évalue pas exclusivement en termes financiers, mais aussi en
contrats en collectives et plus de 3,2 mil- termes de professionnalisme des auditeurs et contrôleurs, et requiert une forte impli-
lions de contrats en vie individuelle. cation de la direction.
La création de l’entreprise Groupama

Gan Vie en 2010 s’est très vite accompa- ment à Groupama Gan Vie s’appuient Ainsi, concernant les processus métiers,
gnée de la mise en place d’une direction ainsi sur l’implication des opérationnels, notre fonction contrôle permanent a
contrôles / conformité / risques et d’une et constituent une démarche structurée identifié les contrôles « clés » permettant
direction de l’audit interne, toutes deux d’amélioration continue (cf. schéma). de couvrir des risques majeurs (par
indépendantes et rattachées directe- exemple : lutte contre le blanchiment
ment au directeur général. L’efficience de l’audit et des capitaux, devoir de conseil ...). Un
Les fonctions de contrôle interne et du contrôle internes reporting des résultats de contrôle a été
d’audit interne agissent dans le cadre contribuent à la valeur ajoutée mis en place ce qui permettra de suivre
d’une animation fonctionnelle au la diminution des taux de non confor-
niveau du groupe, qui intègre notam- L'efficience implique une optimisation mité, et mesurer les effets des actions
ment la prise en compte des nouvelles des moyens engagés au regard de l’ob- correctives. La capacité à détecter les
obligations Solvabilité 2. jectif à atteindre. Autrement dit, le rap- opérations atypiques / anormales est un
port coût / valeur ajoutée de l’audit et indicateur important d’efficience de la
Le groupe Groupama considère que du contrôle internes doit être un élé- fonction.
la maîtrise des risques opérationnels ment de questionnement permanent,
est un facteur d’efficience opération- tant dans une démarche d’élabora- La fonction d’audit interne a défini un
nelle et de satisfaction client. Les tration du plan de contrôle permanent cadre méthodologique visant à organi-
vaux de cartographie des processus, que d’une mission d’audit. ser la planification des étapes d’une
risques et contrôles en cours de déploie- mission en limitant sa durée à 3 mois

DOSSIER
flux financiers générés par
4- Mise en
un processus et ainsi
application et suivi apprécier l’impact de ses
3- Rédaction des
fiches de contrôle recommandations. En
2- Identification du - Approbation par les
plan de contrôle acteurs des contrôles outre, l’audit s’attache à
1- Cartographie du - L’objet
- Information sur : vérifier l’utilisation effi-
processus Pour chaque risque - Le responsable / les • Le suivi des résultats ciente des ressources, le
opérationnel, identifier : acteurs des contrôles
- Les spécificités métier coût de réalisation des
• Les actions
- Les contrôles - Les modalités de correctrices en cas
- Les risques contrôle d’incidents et
activités, et peut être
opérationnels - Leur responsables anomalies amené à identifier les axes
- La fréquence
- Les autres dispositifs de d’amélioration de la per-
maîtrise des risques : - Le stockage, etc.
sécurité des systèmes formance, ayant un impact
d’information, etc. financier.
Au-delà de l’impact
Amélioration
continue financier, la contribution
de l’audit et du contrôle
internes s’apprécie sous
Démarche structurée pour prendre en compte les retours sur la pertinence des plusieurs aspects :
contrôles, sur les modalités de suivi et les préconisations sur les activités contrôlées
• la protection du patri-
moine, c'est-à-dire la
sécurité des actifs et la
entre la date de la réunion d’ouverture initier) est suivi mensuellement, et res- conformité aux lois et réglementa-
et de clôture et se concentrer ainsi sur titué trimestriellement au Comité de tions ;
les enjeux majeurs. La durée et la charge direction de Groupama Gan Vie. Ces • l’amélioration des processus et la dif-
j/h consacrées à une mission d’audit indicateurs sont également restitués fusion des bonnes pratiques ;
sont à ce titre des indicateurs. auprès de la direction audit général • la qualité des données et l’améliora-
Le nombre des recommandations (sans groupe. tion des systèmes d’aide à la décision.
être excessif) doit permettre de traiter les
problématiques majeures. Pour cela, La valeur ajoutée ne s’évalue Le contrôle de la conformité aux lois
nous attachons beaucoup d’importance pas exclusivement en termes et réglementations s’est fortement
au caractère opérationnel des recom- financiers développé et a pris toute sa place dans
mandations et à leur rédaction de les plans de contrôle et dans le plan
manière à faciliter leur traduction en En tout premier lieu, la démarche d’éva- d’audit, en particulier le contrôle des
plan d’action. Les échéances des actions luation des risques opérationnels, en règles de protection de la clientèle. Les
identifiées par les audités ne dépassent cours de déploiement actuellement, per- actions et recommandations issues de
pas un an et demi, délai au delà duquel, mettra d’améliorer notre mesure des ces constats ne peuvent être chiffrées en
les recommandations risquent d’être risques sur la base d’un cadre partagé tant que telles, mais sont porteuses d’un
périmées. (avec les propriétaires de risques) et par enjeu significatif en termes de confor-
conséquent, le suivi de l’efficacité des mité, vis-à-vis de l’Autorité de Contrôle
Enfin, l’avancement des actions résulte dispositifs de maîtrise des risques. L’ob- Prudentielle (ACP), et d’image.
d’un dialogue continu entre l’auditeur et jectif étant de réduire la fréquence de
les audités permettant d’accompagner survenance des incidents et minimiser L’amélioration des processus et la dif-
les directions dans la mise en œuvre des les impacts de ces derniers. fusion des bonnes pratiques sont éga-
actions et rester centré sur les objectifs lement porteuses de valeur ajoutée. Pour
majeurs. Le taux d’avancement des Plus spécifiquement, l’audit interne doit cela, l’audit et le contrôle interne doi-
actions par statut (clôturée, en cours, à pouvoir situer lors de chaque mission les vent tenir compte des projets de ratio-

nalisation des activités et d’amélioration doit pas être trop large, au risque de per- positifs de contrôle. A la suite de
de la performance opérationnelle tout dre de vue les enjeux majeurs, d’allonger chaque mission, un retour sur les pro-
en veillant à maintenir un niveau de la durée des missions et ainsi réduire la cessus audités est effectué auprès de
contrôle approprié. pertinence des recommandations. la fonction gestion des risques de
La diffusion des bonnes pratiques manière à partager l’évaluation des
apporte une plus value qui est appréciée Par ailleurs, une approche sans différen- risques et contribuer à la mise à jour
par les directions auditées (par exemple, ciation du coût développé au regard des du dispositif de contrôle.
partage des outils attachés, dispositif de bénéfices attendus reste un écueil
contrôle). auquel il convient de veiller continuel- Les autres facteurs
lement tant dans une démarche de déterminants de valeur
Enfin, la qualité des données devient contrôle que d’audit. ajoutée
un enjeu de plus en plus fort notam- Aussi, nous estimons que l’efficience des
ment du fait des exigences de Solvabi- fonctions d’audit et de contrôle interne Bien au delà des point évoqués précé-
lité 2, les données devant être fiables, nécessite : demment, les leviers essentiels permet-
traçables, historisées et • une connaissance appro- tant de favoriser et développer la valeur
accessibles. fondie des activités, de ajoutée de ces fonctions d’audit et de
Chaque mission l’organisation et des contrôle internes sont les suivants :
d’audit conduit à
« Le rapport risques de l’en- • Le professionnalisme des auditeurs
s’interroger sur coût / valeur ajoutée de treprise, préala- et contrôleurs : les parcours de for-
le degré de qua-
l’audit et du contrôle ble indispensable mation sont bien sûr un préalable. Les
lité des données permettant d’ac- auditeurs se doivent d’être en situa-
auditées, du internes doit être un quérir une vision tion de veille permanente quant à
traitement initial élément de questionnement globale de l’évolution de la règlementation, de
de l’opération manière à appré- notre métier d’assureur. L’équipe
jusqu’à la restitution
permanent » hender les enjeux d’auditeurs doit posséder collégiale-
dans les systèmes de majeurs de l’entreprise, ment les connaissances, le savoir-faire
pilotage, et à la mise en et comprendre les interactions et les compétences. Enfin, il est essen-
œuvre des contrôles. La gestion de la entre les parties prenantes ; tiel que les contrôleurs et auditeurs
qualité des données impacte souvent un • des démarches orientées vers les puissent comprendre l’impact des
grand nombre d’acteurs, le processus de métiers, qui nécessitent la prise en risques sur le résultat.
commercialisation en est une illustra- compte des contraintes spécifiques • Une implication des opérationnels
tion. des métiers et des projets d’évolution. dans la gestion des risques (les pro-
Ainsi, les attentes des directions priétaires de risques sont au sein des
Les difficultés rencontrées par concernées sont prises en compte dès métiers) et un partage au sein du
les auditeurs et les contrôleurs le lancement d’une mission d’audit ; Comité des risques.
internes pour contribuer • l’utilisation de méthodes et outils • Le plan d’audit, comme les plans de
efficacement à la valeur adaptés pour gagner en efficacité. A contrôle, doivent être discutés avec les
ajoutée ce titre, les outils d’analyse de don- directeurs et prendre en compte le
nées permettent notamment d’amé- traitement des risques les plus
Les difficultés rencontrées par les liorer la constitution des échantillon- importants.
contrôleurs et auditeurs internes nages par des approches multi critères • Enfin, l’implication forte de la direc-
tiennent souvent à la nécessité de beaucoup plus ciblées ; tion par une volonté de soutenir la
développer une approche globale • enfin, une articulation entre les mise en place des actions est un élé-
tout en se concentrant sur les enjeux fonctions gestion des risques, ment déterminant de la réelle effica-
majeurs d’un processus : « Qui trop contrôle permanent et audit cité du dispositif d’amélioration de la
embrasse mal étreint ». interne de manière à partager une maîtrise des risques, tant au niveau de
Le périmètre des missions d’audit ne vision commune des risques, des dis- l’audit que du contrôle interne. 

DOSSIER
Quelle place et quelle valeur

ajoutée pour le contrôle interne
dans un grand groupe
industriel ?
Responsabiliser les lignes managériales, apporter une cohérence et une complé-
mentarité dans les démarches audit interne/risques/contrôle interne, permettent
de donner une assurance raisonnable de la maîtrise globale des risques au président
et au Comité d’audit, tout en fournissant une aide aux managers opérationnels et
fonctionnels pour améliorer leurs dispositifs.
posent à EDF depuis qu’elle est une domaines subdélégués,

entreprise cotée a amené le groupe à • adosser et proportionner ses disposi-
structurer, depuis 2006, une démarche tifs et activités de contrôle aux risques
volontariste de maîtrise de ses risques identifiés,
dans l’ensemble de ses entités et sur • auto-évaluer les dispositifs de
l’ensemble de son périmètre d’activités. contrôle ainsi mis en œuvre, et en
Michel Tudrej
rendre compte de façon formelle et
Directeur de mission, responsable du Une politique de contrôle régulière à son autorité de rattache-
contrôle interne, groupe EDF
interne qui responsabilise ment,
les lignes managériales …
… et une direction des risques
et de l’audit en charge du
C
omment penser que la logique Ainsi, une première politique a été
ou la culture du contrôle ne signée par le président Pierre Gadon- pilotage et du contrôle pour
puisse pas exister dans un neix en mars 2006 et a été confirmée par la tête de groupe
groupe comme Electricité de France qui une nouvelle décision du président
exploite les outils industriels comme des Henri Proglio en septembre 2010. Cette  Un dispositif d’audit unique, rappor-
barrages ou des centrales nucléaires ? dernière prenait notamment en compte tant au PDG du groupe permet de :
Evidemment que cela a toujours existé les nouvelles directives européennes et • vérifier périodiquement la pertinence
et est profondément ancré dans toutes leur transposition en droit français. de ces dispositifs et la sincérité des
les strates du management opérationnel Cette décision affirme les points clés auto-évaluations,
et ceci avant même que l’AMF ne pro- suivants : • apporter aux dirigeants une « assu-
duise des cadres de référence ou que le  Pour les activités qui lui sont délé- rance raisonnable » quant à la couver-
terme COSO ne soit connu par les guées, chacun des managers du groupe ture des principaux risques.
exploitants de terrain. est responsable de :
Toutefois, l’évolution de l’environne- • maîtriser les risques, Le directeur des risques et de l’audit a
ment externe et des exigences qui s’im- • vérifier cette maîtrise pour chacun des été mandaté en tant que pilote straté-

gique de ce processus et a précisé, dans Le processus mis en place donne à la Une cohérence et une
une note d’application, les rôles et res- direction des risques et de l’audit complémentarité dans les
ponsabilités des différentes entités du groupe, en lien et avec l’appui des démarches « audit interne –
groupe. filières transverses du groupe, la res- risques – contrôle interne » …
ponsabilité de définir le « quoi », celle
Un « guide de contrôle du « comment » étant de la responsa- Au-delà de ce processus annuel qui
interne » basé sur les 5 bilité des lignes managériales dans répond au premier volet de la décision
chapitres du COSO et une logique totale de subsidiarité en du président évoquée ci-dessus, la
comportant 250 « objets de fonction des risques et enjeux particu- direction de l’audit groupe mène des
maîtrise » à l’attention des liers. Cette exigence de subsidiarité audits réguliers pour chacune des enti-
entités opérationnelles et est liée au caractère fortement intégré tés impliquées dans le dispositif de
fonctionnelles dans une et muti-disciplinaire du groupe qui contrôle interne groupe, en vérifiant,
logique de subsidiarité comporte des métiers et des activités notamment lors de ces audits, l’exis-
très différentes et nécessitant des tence des fondamentaux indispensables
Le directeur de mission responsable du approches différentes en termes d’or- (domaines de l’environnement de
contrôle interne groupe est chargé ganisation et de maîtrise des risques contrôle), la gestion des risques majeurs
d’élaborer « un guide de contrôle et des activités. (identification, évaluation et maîtrise des
interne » à l’attention des managers du risques de l’entité), et la maîtrise des
groupe, afin d’aider ces derniers à Une auto-évaluation annuelle activités et processus majeurs. En com-
déployer un dispositif de contrôle qui responsabilise les lignes plément, la fiabilité de l’auto-évaluation
interne pertinent et efficace en tenant managériales est vérifiée sur la base des éléments
compte de leurs propres risques et récoltés lors de la mission d’audit.
enjeux. Ce guide est structuré suivant les Une fois par an, la cinquantaine d’enti-
5 chapitres du COSO et subdivisé en tés, regroupant les dirigeants de l’en- De plus, les autres audits de grands
une trentaine de domaines spécifiques semble du périmètre contrôlé du groupe risques, de projets ou de processus
qui correspondent aux activités clés et élabore et envoie un rapport d’auto-éva- transverses de niveau groupe contri-
enjeux du groupe. luation (avec un descriptif complet des buent à l’analyse globale de la maîtrise
Pour chacun de ces domaines, il propose actions de maîtrise mis en place par des activités groupe au-delà de la vision
des « objets de maîtrise (OMD) » que le OMD et une évaluation cotée par limitée à celle d’une seule entité dans le
management devra prendre en compte domaine) au directeur responsable du cas des « audits dits de contrôle
et dans une logique de « comply or contrôle interne du groupe. Ce dernier interne ».
explain » proposer les plans de maîtrise produit une synthèse de cette matière à
ad hoc au vu de ses propres risques et l’attention du président et du Comité
enjeux. Ces « objets de maîtrise » trans- d’audit. Cette synthèse présente notam- Ingénieur de formation, Michel
verses, au nombre de 250 environ, sont ment les entités et les domaines qui Tudrej a intégré EDF en 1980. Il a
de trois ordres, à savoir : semblent les plus en retrait et qui appel- occupé différentes fonctions d'ex-
• directement liés aux préconisations lent des actions spécifiques. Elle permet pertise et de management au sein
du cadre de référence de l’AMF afin également d’aider les filières transverses du groupe et notamment à la R&D,
de garantir la mise en œuvre d’un dis- (RH, juridique, SI, communication, au service du transport d'énergie, à
positif de contrôle interne robuste comptabilité finance, etc.) dans le pilo- la production (directeurs des cen-
(principalement les domaines concer- tage de leurs activités en leur apportant tres de production thermique de
nant l’environnement de contrôle et une vision de la prise en compte des Montereau puis du Havre), aux
la gestion des risques majeurs), politiques groupe dont elles sont res- affaires internationales, à la direc-
• en lien avec les politiques et décisions ponsables. tion financière. Il a été administra-
majeures du groupe guidant les acti- teur de filiales internationales à
vités de contrôle des processus et acti- Les figures, en page suivante, corres- plusieurs reprises (Pologne et Cote
vités transverses, pondent à des extraits d’un rapport d'Ivoire). Il a rejoint la direction de
• liés aux processus de maîtrise des acti- d’auto-évaluation correspondant au l'audit corporate en 2006 en qua-
vités « métier » propres à chaque domaine « mobilisation des compé- lité de directeur de mission, et est
entité. tences », et d’un type de synthèse en charge du contrôle interne pour
groupe qui peut en être faite. le groupe EDF depuis 2008.

DOSSIER
Extrait de rapport d’auto-évaluation
Les actions de maî-

trise ne sont pas Risques Objets de maîtrise de domaine Mise en œuvre
décrites pour tous les
0
OMD du domaine. Domaine 1.2 - Mobilisation des compétences
Les actions de maî- Stratégie Responsabilités managériales

trise sont décrites
mais pas toutes
1 Risques opérationnels Les besoins quantitatifs et qualitatifs Chaque service établit annuellement
déployées en compétences sont-ils régulière- une analyse des besoins [...] qui a
ment recensés et évalués ? donné lieu à un partage en CODIR.
Les actions de maî-
trise sont décrites et 2 Risques social L’entité vérifie-t-elle régulièrement Les volets professionnalisme et for-
déployées que ses salariés disposent des com- mation sont abordés dans les entre-
pétences requises pour exercer leur tiens annuels [...] dans 75 % des
emploi dans l’organisation ? entretiens.
Une boucle d’amélio-
ration est en place
3 Risque juridique Dans le cadre du Plan de Formation
de l’entité, chaque salarié bénéficie- Le Plan de Formation de l’entité est
t-il d’un Plan Individuel de Forma- construit sur la base [...] à un premier
La boucle d’améliora- tion actualisé annuellement ? échange en CODIR en 2011.
tion est en place et 4 Les OMD sont déployés et une boucle d’amélioration vient d’être mise
efficace 3 en place mais n’a pas encore démontré son efficacité.
Exemples de synthèse groupe du bilan des auto-évaluations
100% % de domaines notés 0

% de domaines notés 1
75% % de domaines notés 2

50%
25%
0%
té 4
té 5
té 1
té 2
té 3
té N
9
0
6
7
8
té 5
té 4
té 4
té 4
té 4
En
En
En
En
En
En
En
En
En
En
En
Niveau de déploiement des dispositifs de maîtrise dans les entités, sur base auto-évaluation.
(consolidation sur les 29 domaines)
Par ailleurs, le programme annuel d’au- impliquées dans le dispositif et qui sou- … qui apporte une assurance
dits proposé au Comité d’audit est basé mettent leur rapport d’auto-évaluation raisonnable de la maîtrise
sur la cartographie des 90 risques de contrôle interne en plus de leur car- globale des risques à la tête de
majeurs qui est élaborée notamment à tographie des risques. groupe …
partir des 900 risques issus des entités

Audit
interne
ue ues
Ré
isq sq
su
s
s r ri
lta de
de aux
Be zo
ts ma
it
ise ve
on ud
so n e
d’a îtr
îtr ou
i ns s
ssi d’a
ud ise
ma e n
d’a sen
s
it – de
mi e
de on d
es mm
u d si b
Ev s ac
it – les
d a
gré c
alu v
de éte
on rogr
a ité
du – d
ide à ex
ar u p
on s
n am
on it
a aud
du
fic ine
Pr on
a
alu d’
de
a
Ev tats
gré
ra
on r
ép
bo
l
su
de
El a
Ré
s
Mise sous contrôle des risques majeurs Prioriser les acons de
Se réinterroger Cartographie des Contrôle maîtrise des acvités
régulièrement sur Aide à l’iden fica on
les risques
risques interne selon les risques
des risques majeurs
majeurs (méer & « compliance »)
Geson des risques

Mise en œuvre par les méers, entés fonconnelles, filiales
L’ensemble du dispositif mis en place apporte désormais une plus value aux devenu « LE vecteur de communica-
donne une assurance raisonnable au différentes lignes managériales, car ce tion descendant » de la tête de groupe
président et au Comité d’audit sur la dispositif leur : vers le management pour les déci-
maîtrise des risques majeurs identifiés • fournit les éléments clés à prendre en sions et politiques, et « l’outil de repor-
dans la cinquantaine d’entités clés du compte pour donner corps à leur dis- ting ascendant » le plus approprié
groupe via le dispositif de contrôle positif de maîtrise, et notamment ceux pour ce qui concerne la vérification de
interne groupe qui a pour objectif : liés aux décisions et politiques incon- la bonne appropriation et mise en
• la mise en œuvre du contrôle interne tournables ; œuvre de ces décisions et politiques.
et auto-évaluation par le manage- • permet de faire un point et un diag-
ment (1ère ligne de défense sur les 900 nostic, a minima annuel, au moment Il reste cependant encore des voies de
risques majeurs), de l’auto-évaluation sur l’ensemble progrès afin de réussir à faire adhérer
• le pilotage de la démarche de contrôle des domaines qui leur incombe et qui tout le personnel et d’améliorer encore
interne par l’entité contrôle interne sont porteurs de risques ; l’efficacité de ce dispositif et créer ainsi
groupe avec l’aide des filières trans- • apporte un éclairage et des recom- un lien mieux identifié avec la perfor-
verses en appui du management (2ème mandations clés pour améliorer leurs mance opérationnelle. Ceci passe
ligne de défense), dispositifs suite à l’audit ciblé sur le notamment par la capacité à développer
• le contrôle du contrôle par l’audit contrôle interne qui est réalisé pour des systèmes de management intégrés
interne des dispositifs de contrôle chaque entité tous les 3 à 5 ans ; où le contrôle interne et la gestion des
interne des entités (et donc des 900 • fournit des éléments de communica- risques trouvent leur place d’intégrateur
risques à leur maille) et la réalisation tion ciblés sur les thèmes à enjeux ou des différentes démarches existantes
des audits de niveau groupe des 90 des recueils de bonnes pratiques qui (EFQM, assurance qualité, management
macro-risques et processus transverses sont élaborés et partagés par le réseau par les processus …).
du groupe (3ème ligne de défense). des animateurs de contrôle interne Il nous reste donc encore quelques
sous le pilotage du responsable du beaux et difficiles challenges à rele-
… et une aide aux managers contrôle interne groupe ; ver… 
opérationnels et fonctionnels • apporte une cohérence des
démarches par l’intégration progres-
Le dispositif décrit, ci-dessus, qui est mis sive des activités des filières trans-
en œuvre depuis près de six années, verses dans ce processus qui est

Publications IFACI Bon de
commande
Le contrôle interne est de plus en plus admis, à chaque niveau de l’organisation,

comme un dispositif qui contribue à la performance de l’entreprise. Toutefois,
les questions légitimes de son coût et de sa valeur ajoutée sont de plus en plus
souvent posées par la direction générale et le Conseil.
La valeur ajoutée du contrôle interne est donc une question d'actualité qu’il
convient de cerner, d'autant que son appréciation (compréhension, indicateurs,
etc.) peut différer fortement d’une organisation à une autre, selon leurs métiers,
leurs risques et leurs obligations particulières (législateurs, régulateurs, etc.).
La finalité de ce Cahier de la Recherche est de donner des clés de lecture sur
cette question, en cherchant à répondre notamment aux questions suivantes :
• Quels sont les enjeux liés à la définition de la valeur ajoutée du contrôle
interne ?
• Comment prendre en compte les attentes des différentes parties prenantes
du dispositif ?
• Quels sont les acteurs clés d’un dispositif créateur de valeur ? Comment les
coordonner pour plus d’efficacité ?
• Pourquoi faut-il développer la valeur d’usage managérial du contrôle
interne ?
• Comment contribuer à la maîtrise des risques?
• Quelles sont les clés de réussite d’un dispositif qui apporte de la valeur dans
la durée ?
Ce document vous propose également une série d’annexes très précises pour
mettre en œuvre un dispositif de contrôle interne créateur de valeur et en rendre
compte.
AUTEUR : Groupe professionnel « Contrôle interne » IFACI - Prix HT : 50 € (53,50 € TTC)

Septembre 2010 - Format : 16,5 x 23 cm - ISBN : 978-2-915042-29-0
BON DE COM M A N D E
Société : ...................................................................................................................................................................................................................................................................................
Nom : ............................................................................................................................................. Prénom : ......................................................................................................................
Adresse : ..................................................................................................................................................................................................................................................................................
Code postal : ......................................... Ville : ........................................................................................................................... Pays : .........................................................................
Tél. : ........................................................... Fax : ......................................................... Mél : ...............................................................................................................................................
TITRE PRIX HT QUANTITÉ TOTAL
La création de valeur par le contrôle interne 50,00 €
Total HT
TVA 7,0 %
Net à payer TTC*
Bon de commande à retourner à :

Marie-Thérèse Tran - IFACI
98 bis, bd Haussmann - 75008 Paris PAIEMENT PAR : Chèque bancaire ou postal (à l’ordre de l’IFACI)
Tél. : 01 40 08 48 16 - Fax : 01 40 08 48 20 Virement à la banque HSBC agence centrale
Mel : mtran@ifaci.com - Internet : www.ifaci.com Compte IFACI n°30056-00148-01485415521-72
Carte de crédit :
Règlements :
Une facture pro forma vous sera adressée par N° ....................................................................................................................................................
courriel dès réception de votre commande. Date d’expiration : ....................................................................................................................
Chèque : libellé en euros tiré sur une banque
française.
Virement : les virements émis à partir d’une DATE : ............................................... SIGNATURE :
banque hors de France doivent être nets de tous
frais bancaires pour l’IFACI.
(*) Hors frais de port et d’emballage.
LES AUDITS MÉTIERS
L'audit de gouvernance :
un outil d'évaluation et
d'amélioration de la
gouvernance d'une
organisation
Toutes les organisations ont l’obligation de mettre en place une gouvernance adap-
tée et conforme aux lois applicables et aux bonnes pratiques en la matière, et de
veiller à son bon fonctionnement. Une bonne gouvernance est une clé de voûte de
l’organisation.
L’audit de gouvernance permet d’identifier les dysfonctionnements potentiels au
sein des organes de direction, d’administration et de contrôle.
Pour disposer d’une gouvernance de qualité, il faut pouvoir démontrer que l’orga-
nisation mise en place est efficace en termes de contrôle interne et de gestion des
risques.
d'une entreprise familiale, d'un club Une gouvernance d'entreprise défail-

de football, d'une fédération sportive, lante porte atteinte à l'environnement
d'une école de commerce, d'une fon- de contrôle. C'est un facteur de risque
dation … ? majeur. Une bonne gouvernance est une
Sylvie Le Damany
clé de voûte de l'organisation.
Avocat et associée, cabinet
Toutes ces organisations – qu'elles Décrire sommairement la gouvernance
JeantetAssociés (Contentieux et
Arbitrage, Gouvernance, Risques et soient rattachées au secteur privé com- d'une société cotée dans un document
Conformité) mercial, public ou de l'économie sociale de référence est un exercice facile. Expli-
et solidaire – ont l'obligation de mettre quer un changement de gouvernance
en place une gouvernance adaptée et peut être plus délicat. Un président
De l'intérêt d'évaluer conforme aux lois applicables et aux directeur général reprend les rênes du
le fonctionnement de bonnes pratiques en la matière, outre de conseil d'administration et de la direc-
la gouvernance d'une veiller à son bon fonctionnement. tion générale. Pourquoi abandonner le
organisation régime dualiste pour revenir au régime
Dire ce que l'on fait et faire ce que moniste qui vient d'être écarté ? Le pré-
Comment évaluer la qualité de la l'on dit ... sident, aux termes de son rapport
gouvernance d'une société cotée, annuel présenté à l'assemblée des

LES AUDITS MÉTIERS
actionnaires, doit pouvoir expliquer ce comités ? Une belle gouvernance affi- référentiel adapté à l'organisation. De ce
changement qui peut paraître intempes- chée mais pas respectée. Rien de pire point de vue, le Code Middlenext fut le
tif. que d'annoncer des bonnes pratiques bienvenu afin d'offrir de bonnes pra-
que l'on ne va pas appliquer notamment tiques adaptées aux entreprises cotées
Evaluer l'efficacité et la qualité de la par certains dirigeants et managers. de plus petite taille, appelées Valeurs
gouvernance d'entreprise est plus C’est une affaire de comportements. moyennes et petites (Vamps).
difficile et plus rare mais le besoin
devient grandissant. Les comportements sont-ils en adéqua- S'agissant des sociétés non cotées ou
tion avec les règles édictées ? Comment des organisations sous forme associative
L'auto-évaluation ou l'évaluation par un aller au-delà du descriptif et du déclara- par exemple, celles-ci peuvent s'imposer
tiers des travaux du conseil d'adminis- tif ? Comment aller au-delà des le respect d'un Code de gouvernement
tration et de ses comités est un bon contraintes afin de transformer celles-ci d'entreprise ou se référer à d'autres
exercice qui est de plus en plus encou- en opportunités ? Veiller à ne pas trop en sources connues et reconnues en
ragé et un point de passage obligé pour faire mais trouver le bon équilibre entre matière de gouvernance et de gouver-
les sociétés cotées. C'est le minimum une formalisation a minima et un pro- nement d'entreprise1. Nombreuses sont
requis, dirons-nous. cessus qui soit auditable. les organisations qui ont rédigé des
Evaluer la gouvernance d'une organisa- recommandations, guides et livres verts
tion dans son ensemble et de manière Se définir par rapport à un ou des et blancs préconisant des bonnes pra-
approfondie est une pratique moins référentiels reconnus. tiques et comportements recommandés
courante et cependant elle s'avère très sur certains sujets2.
vertueuse. En matière de gouvernance, la tâche
n'est pas aisée pour les entreprises. Ne pas oublier la dimension
Faire un état des lieux en vue de pro- Comment être conforme aux lois et « groupe ».
gresser lors d'un changement de règlements (Hard law) et au droit
contrôle, de dirigeants, une crise de « mou » (Soft law) qui est venu nourrir La gouvernance de telle ou telle filiale
gouvernance, autant d'occasions de notre droit positif tant en France qu'au est-elle conforme à la gouvernance du
faire un bilan. sein de l'Union Européenne ? Qu'est-ce groupe – si celle-ci a été définie et for-
qu'une « bonne gouvernance » pour une malisée – et surtout est-elle en confor-
Pourquoi attendre si l'on n'a pas une société cotée, une entreprise familiale mité, dans le pays concerné, avec la
vision claire sur le fonctionnement réel non cotée ou une association ? Quels réglementation en vigueur et les bonnes
de la gouvernance d'une organisation ? sont les référentiels qui vont permettre pratiques ? Comment l'apprécier ?
Finalement, la gouvernance est-elle de se comparer en vue de progresser ?
celle décrite aux parties prenantes et aux La société mère intervient-elle trop au
tiers dans les documents de référence, Comply or Explain ? Nouveau concept, sein de ses filiales en « plaçant » notam-
dans les guides de procédures ... ? Les issu du droit anglo-saxon, introduit dans ment des dirigeants à leur tête qui pren-
règles édictées, déclarées, sont-elles notre droit français qui oblige depuis nent leurs directives auprès de la société
connues et respectées ? Il n'est pas rare 2008 les sociétés cotées à déclarer le mère ? Autant de questions fondées à se
que les procédures internes de l'entre- Code de gouvernement d'entreprise poser.
prise soient, pour un grand nombre qu'elles appliquent, et à expliquer pour Si la personnalité juridique d'un groupe
d'acteurs au sein de l'organisation, quelles raisons certaines dispositions ne de sociétés n'est pas reconnue en droit
inconnues, mal maîtrisées ou connues sont pas respectées. L'AMF suit de près français, son existence est néanmoins
mais non respectées. ces nouvelles déclarations. Respect du reconnue dans certains domaines
Code AFEP/MEDEF ou du Code Mid- (comptable, fiscal, social, pénal, écono-
ENRON n'était-elle pas l'entreprise dlenext ? mique ...).
donnée en exemple, avant 2002, pour
son excellente formalisation de la gou- Déclarer c'est l'adopter. En bloc ou par- En matière de gouvernance d'entreprise,
vernance en termes de procédures et de tiellement ? Il convient de trouver le les entités juridiques d'un groupe

demeurent juridiquement autonomes et (RH, finance, juridique, système d'infor- nance. Les sociétés cotées ne sont pas
leurs dirigeants sont responsables au mation, conformité …) risque d'engen- les seules concernées. De plus en plus
premier chef des activités de la filiale drer une immixtion de la société mère d'organisations du secteur de l'écono-
qu'ils dirigent. Néanmoins, la filiale, qui dans la gestion de ses filiales. En cas de mie sociale et solidaire prennent à bras
a sa propre gouvernance, va le plus sou- difficultés financières de la filiale, les le corps le sujet notamment dans le sec-
vent devoir s'inscrire dans une gouver- indices d'une direction de fait permet- teur associatif où il est difficile de conci-
nance groupe définie aux termes de pro- tront de remonter auprès de la société lier bénévolat et professionnalisation
cédures et chartes internes. Dans le sec- mère (« deep pocket »). des pratiques de gouvernance.
teur financier, les entreprises se voient
imposer cette organisation groupe en Les conseils en organisation qui sont Faire appel aux acteurs clés qui font
application d'une réglementation qui sollicités par les entreprises, dans le partie du dispositif de gouvernance
exige une centralisation et une formali- cadre notamment de restructurations, et aux experts externes.
sation très forte du contrôle interne. devraient travailler de plus en plus étroi-
C'est le cas des institutions financières tement avec les juristes internes et Nous assistons à une intervention pro-
qui doivent notamment répondre de ce externes afin de mieux appréhender les gressive des auditeurs internes sur la
contrôle centralisé et maîtrisé auprès de conséquences juridiques de telle ou telle gouvernance de l'entreprise3. Il est vrai
l'AMF et de l'Autorité de Contrôle Pru- organisation. Les enjeux sont impor- qu'ils sont en soi un dispositif efficace de
dentiel (ACP). tants en termes de gouvernance et, par gouvernance4 tout comme le sont le
conséquent, de responsabilités des enti- comité d'audit et l'auditeur externe
Hors ces contraintes réglementaires qui tés juridiques et des dirigeants et admi- indépendant.
se font de plus en plus fortes pour une nistrateurs de ces structures.
meilleure maîtrise des activités et de la « L'audit interne aide l'organisation à
gestion des risques des institutions Un outil efficace : atteindre ses objectifs en évaluant, par une
financières, la gouvernance groupe est l'audit de gouvernance approche systématique et méthodique, ses
rarement formalisée comme il se devrait. processus de management des risques, de
Indépendamment de la formalisation L'audit de gouvernance peut se prati- contrôle et de gouvernement d'entreprise, et
des procédures groupe, la mise en place quer à titre préventif, en pleine crise ou en faisant des propositions pour renforcer
de bonnes pratiques de gouvernance au à son issue afin d'identifier les dysfonc- leur efficacité »5.
niveau global est un exercice difficile, et tionnements potentiels au sein des
ce d'autant plus en présence d'une forte organes de direction, d'administration et En matière d'audit de gouvernance, les
implantation hors de France. Les règles de contrôle. auditeurs internes sont amenés à solli-
et pratiques locales peuvent être très Il s'agit d'un outil très efficace mais citer, du fait de la matière concernée qui
éloignées de celles souhaitées et prati- encore peu connu pour identifier les est essentiellement juridique, l'assis-
quées au sein de la société mère. non-conformités réglementaires et les tance de juristes internes et externes, le
mauvaises pratiques pouvant générer plus souvent des cabinets d'avocats qui
L'articulation entre les règles de gouver- des risques juridiques et judiciaires. sont spécialisés en matière de gouver-
nance édictées au niveau du groupe et nance et de conformité.
celles appliquées au sein de chaque Mettre en place une démarche
filiale est un sujet de préoccupation, et d'audit. Le risque de non conformité aux lois et
ce y compris pour les banques, les socié- règlements, que l'on traite au sein des
tés d'assurance et les mutuelles. Com- L'audit de gouvernance commence à dispositifs de Compliance, amène les
ment centraliser les procédures de être sollicité par les conseils d'adminis- organisations à solliciter tant les audi-
contrôle tout en ne s’immisçant pas tration au travers de leur comité d'audit. teurs internes, lorsque la structure en
dans la gestion de ses filiales ? La direc- Quant aux directions générales qui le dispose, que des conseils externes qui
tion de fait est la ligne blanche qu'il ne sollicitent, elles le font le plus souvent sont sollicités du fait de leur expertise au
faut pas franchir. A titre d'exemple, la en cas de changement de dirigeants, de regard des risques juridiques pouvant
mise en place de chartes filières groupe réorganisation ou de crise de la gouver- être générés par une gouvernance

LES AUDITS MÉTIERS
défaillante ou inappropriée. Le juriste va au-delà de la conformité aux lois et

1OCDE, Parlement européen, commission euro-
praticien en matière de gouvernance règlements et bonnes pratiques. péenne, AMF, AFEP, MEDEF, Institut Français des
d'entreprise pourra assister les auditeurs L’audit de gouvernance peut parfois être Administrateurs (IFA)...
internes à bâtir leur matrice d'analyse et limité à l’analyse des pouvoirs et res- 2Évaluation du conseil d'administration et de ses
leur programme d'intervention tout en ponsabilités au sein de l’organisation comités, critères de l'administrateur indépendant,
compétence et indépendance, disponibilité des
les accompagnant dans l'analyse des notamment avec pour objectif une administrateurs, rémunération des dirigeants, rôle
documents (statuts, règlements inté- refonte du système de délégations de et fonctionnement du conseil et de son comité
d'audit, comité des rémunérations, procédures de
rieurs, chartes, procès verbaux de conseil pouvoirs et de signature6. contrôle interne et de gestion des risques...
d’administration, comptes-rendus de 3 Cf. Conférence IFACI du 26 mars 2012 – interven-
comités, délégations de pouvoirs et de Il ne suffit pas de créer des comités et tion SAFRAN, direction de l’audit interne.
signature, définition de fonctions …) et de rédiger des procédures internes 4
Cf. « Interactions entre les acteurs du processus
interviews à mener (direction générale, pour disposer d'une gouvernance de global d'audit et gouvernance de l'entreprise : une
étude exploratoire » de Elisabeth Bertin et
administrateurs, direction opération- qualité ; ni de déclarer l'existence de
Christophe Godowski, maîtres de conférences à
nelles, fonctions supports …). règles et de procédures, mais il faut l'IAE de Bordeaux et de Toulouse (2010).
être en mesure de pouvoir démontrer 5
Extrait de la définition de l'audit interne approu-
En l'absence d'une fonction d'audit que l'organisation mise en place est vée par l'Institute of Internal Auditors IIA et par
l'IFACI en 2000.
interne au sein de l'organisation concer- efficace en termes de contrôle interne
6 Cf. conférence IFACI du 26 mars 2012 – Interven-
née, le juriste externe qui sera sollicité, et de gestion des risques.
tion de NATIXIS secrétariat général / gouvernance
au même titre qu'un auditeur externe, et vie sociale de l’entreprise.
procédera lui-même à l'audit de gouver- Qui dirige, qui contrôle, qui fait quoi,
nance avec, le cas échéant, un expert en qui est responsable pénale-
stratégie et organisation lorsque l'audit ment … ? 

Maîtriser les risques

spécifiques aux activités
de services
Flavien Palliès - Auditeur interne, groupe Elior
Le Prix Olivier Lemant est destiné à récompenser le meilleur mémoire de Master(e) consacré au contrôle interne ou à l’audit
interne réalisé dans une Université ou Grande Ecole partenaire.
En 2012, un jury de professionnels, constitué de Béatrice Beaulieu (AG2R La Mondiale), Hervé Claudin (La Mutuelle Générale) et
Cathy Pernod (Groupe ATAC), ont ainsi primé les mémoires suivants :
• 1er prix - Maîtriser les risques spécifiques aux activités de services, par Flavien Palliès (ESCP Europe)
• 2ème prix - L’impact du pilier 2 de Solvabilité II (« gouvernance des risques ») sur les fonctions audit interne, contrôle interne et
risk management, par Aurélien Lerda (IAE Aix-en-Provence)
• 3ème prix - La formalisation du processus de management des risques à travers l’élaboration d’une cartographie des risques,
par Mathieu Gireme (IAE Bordeaux)
Vous pouvez consulter ces mémoires sur le site internet de l’IFACI (rubrique IFACI>Universités et Grandes écoles> Prix Olivier
Lemant).
L
a place primordiale du secteur mité. La discipline du contrôle interne Ces « micro-usines » sont animées par
tertiaire dans l’économie fran- tend donc à être positionnée comme un du personnel en contact avec les clients.
çaise n’est plus à prouver : il outil au service de l’organisation qui La satisfaction des clients est donc direc-
représente en 2010, 78 % des emplois1, contribue à la maîtrise de ses risques tement influencée par le comportement
c’est 30 % de plus qu’en 1990. Ce même majeurs. Atteindre un tel objectif sup- de ces équipes. A ce titre, un dispositif
secteur contribuait à 65,7 % de la propose donc de donner aux organisations adapté de maîtrise des risques doit pla-
duction2 et à 79,7 % de la valeur ajou- des réponses très concrètes et adaptées cer le personnel en contact au cœur de
tée3. Et pourtant, rares sont les disci- à leurs activités. A ce sujet, un cahier de toutes les préoccupations. Par ailleurs,
plines du management qui, hormis les recherche de l’IFACI intitulé « Des clés ces mêmes « micro-usines » constituent
opérations et le marketing, ont pris pour la mise en œuvre du contrôle souvent un réseau plus large d’unités du
conscience de la nécessité d’investiguer interne » apporte des éléments de même type qui maillent un territoire
les particularités des services. réponses très pratiques. Il n’explore géographique plus ou moins important.
cependant pas les particularités des acti- Les problématiques liées à leur pilotage
Parallèlement, les exigences en matière vités de services. Le sujet de la maîtrise et à leur adhésion aux valeurs com-
de contrôle interne se sont renforcées des risques spécifiques aux activités de munes de l’entreprise résonnent alors
ces dernières années. Ces exigences ne services reste donc encore inexploré. comme un défi pour leur siège.
sont plus seulement réglementaires : la
8ème Directive, sur le suivi de l’efficacité La réflexion qui va suivre part du terrain, L’urgence du terrain
d’un système de contrôle interne, mon- c’est-à-dire de l’observation de la
tre que ce dispositif ne doit pas être res- manière dont fonctionne une unité de La place du client est ce qui distingue le
treint à une stricte question de confor- service dans ce qu’elle a de plus concret. plus le modèle de fabrication d’un ser-

vice de celui d’un produit. Ce dernier est l’appréciation de chacun. Cela est fina-
totalement absent de la fabrication d’un lement grave dans la mesure où une des Flavien Palliès a contribué, à plu-
produit. A l’inverse, il est au cœur de la demandes les plus permanentes du sieurs reprises, au déploiement de
fabrication d’un service, il est partie pre- public est d’être traité comme une per- dispositifs de gestion du crédit
nante du processus et sa présence est sonne par une personne. Un dispositif
même une des conditions de l’existence efficace de maîtrise des risques doit
client d’abord au sein d’Ernst &
du service. Les exemples en la matière donc veiller à ce que les formations dis- Young (2005 à 2007) puis au sein
abondent : s’il n’y a pas de passager pensées soient suffisamment encrées d’Elior Restauration Enseignement
dans un avion, il n’y a pas de service de dans l’environnement opérationnel : (2007 à 2011). Après une formation
transport et que dire de vos vacances si une entreprise de services se vit avant de quinze mois à ESCP Europe en
vous n’y êtes pas ? tout sur le terrain !
« Risk management, audit et
Dès lors, le responsable d’unité et son Par ailleurs, le recrutement est un contrôle interne », il occupe à pré-
équipe vont devoir faire en sorte que le moment important : il doit prendre en sent la fonction d’auditeur interne
client exécute correctement les tâches compte l’apparence du personnel et sa au sein du groupe Elior.
qu’il doit accomplir tout en ne perdant personnalité. Les méthodes employées
pas de vue qu’il reste le client bénéfi- en la matière doivent sortir des
ciaire du service. Cet exercice est parti- méthodes traditionnelles en laissant Le second risque identifié porte sur
culièrement difficile dans la mesure où plus de place à des mises en situation l’adhésion des unités à des valeurs com-
le client est avant tout une personne des candidats. Cela révèlera plus facile- munes. Si ce risque est l’enjeu d’un
humaine qui arrive dans l’unité de ser- ment leur aptitude à travailler en équipe environnement de contrôle robuste, il se
vice avec un besoin mais également avec ou à gérer les incidents. trouve renforcé dans une entreprise de
tout son affect. service du fait même de l’existence d’un
Enfin, le personnel en contact doit sentir réseau d’unités. Le personnel des unités
La présence du client et sa nécessaire que l’entreprise est là pour l’aider à déli- est en effet disséminé et l’entreprise se
participation constituent donc un vrer au client un bon service. Il est donc retrouve incarnée par son environne-
mélange souvent imprévisible pour le important que le Back-Office soit au ser- ment de travail immédiat et non par la
responsable d’unité. Ce dernier va donc vice du Front-Office favorisant ainsi la globalité de l’entreprise de services qui
devoir gérer dans l’urgence un certain diffusion d’une culture d’entreprise reste une entité très abstraite. Dans ces
nombre de situations telles que les inci- dédiée au service, à sa qualité et à la conditions, le directeur des opérations
dents, sous peine de ne pas satisfaire le satisfaction du client. Cela garantira une doit trouver un ciment particulier qui
client. Le terrain est donc particulière- forte cohérence des objectifs et des pra- puisse pallier cet éparpillement. Les
ment fertile aux décisions précipitées et tiques de l’ensemble de l’entreprise. solutions sont connues : accueil des
aux pratiques non conformes à un cer- nouveaux collaborateurs, développe-
tain nombre de règles internes ou La gestion d’un réseau ment de processus originaux qui devien-
externes à l’entreprise. d’unités nent en quelque sorte la marque de
fabrique, réunions des unités et de leur
Le personnel en contact Chaque entreprise de services de taille responsable, développement de publi-
significative dispose d’un réseau d’uni- cations internes, etc. Cet ensemble doit
Maîtriser les risques liés à l’urgence du tés gérées à partir d’un siège. être complété par le rôle des dirigeants
terrain passe avant tout par l’application Dans ce domaine, le premier risque de l’entreprise de services, qui, encore
de pratiques adaptées en matière de identifié porte sur la qualité et la fiabilité plus que pour une entreprise indus-
gestion des ressources humaines. Le des informations circulantes entre le trielle, doivent faire passer un message
personnel en contact avec le client se siège et ses unités. La qualité des infor- et véhiculer du sens à l’intérieur de l’or-
trouve en effet dans une situation parti- mations dépend du système de contrôle ganisation.
culière avec des stress, des conflits. Son de gestion qui, par la nature des infor-
comportement a un impact fort sur la mations et le rythme auquel elles sont Les propositions faites dans le mémoire
qualité du service tel que le perçoit le fournies, conditionne et structure pro- constituent donc une approche globale
client. Le lien entre la satisfaction du fondément la façon dont le réseau et de la problématique de la gestion des
personnel et celle du client impose de notamment les unités sont gérées. La risques dans une entreprise de services.
maîtriser ce risque le mieux possible. fiabilité des données fournies est le talon Naturellement, elles doivent être adap-
d’Achille des entreprises de services tées à chaque organisation afin de bâtir
L’attitude du personnel en contact est dans la mesure où l’on ne peut pas met- des réponses sur mesure. Elles souli-
déterminante. Celui-ci assure en effet tre un contrôleur derrière chaque direc- gnent néanmoins les lacunes qui exis-
des tâches répétitives tout en gérant teur d’unité et chaque personnel en tent en matière de gestion des risques
quand on se confronte à la probléma-
tique des services au sens large. 
simultanément la relation avec le client contact. De ce point de vue, les systèmes
et la prestation opérationnelle. Malheu- d’informations occupent un rôle pré-
reusement, force est de constater que si pondérant. Leur fiabilité, leur sécurité,
le personnel est généralement correcte- de même qu’une formation au sujet de 1 INSEE, Estimations d’emplois en France métro-
ment formé à l’opérationnel, il l’est peu leur utilisation doivent être au cœur des politaine
ou pas au relationnel qui est laissé à préoccupations. 2 INSEE, Production par branche d’activité
3 INSEE, Valeur ajoutée par branche d’activité

Evénements
sion. Une certaine liberté en matière d’audit et de risk formalisation des travaux.
doit être laissée aux audi- management, d’être un par- Les atouts majeurs de ces
teurs, notamment pour les tenaire à valeur ajoutée, fiches : un outil d’harmoni-
documents intermédiaires d’être un vivier de futurs sation des pratiques, gage
permettant de valider les cadres managériaux. d’efficacité de l’audit
Structure et constats avec les audités. La mission de l’audit interne ; un outil pédago-
rédaction du rapport interne est d’épauler le gique qui aide à la prépara-
d’audit – AXA France comité d’audit et la direction aux examens d’audit
Communication sur Il a été conçu un nouveau tion générale dans l’exer- interne et à la certification
les conclusions modèle de rapport commun cice de leurs responsabilités des services d’audit.
à toutes les entités, plus pour ce qui concerne le
Réunion mensuelle synthétique et centré sur les contrôle interne, le risk
du 31 mai 2012 problématiques, celles-ci management et la corporate Le dispositif de
étant elles-mêmes centrées governance, en apportant de contrôle des activités
Aéroports de Paris sur les risques majeurs. Les la valeur ajoutée et de façon externalisées :
Le rapport d’audit com- recommandations sont indépendante et objective. approche
prend : une note de syn- classifiées par ordre d’im- Le rapport d’audit est le méthodologique et
thèse (une à deux pages) portance. fruit d’un processus struc- témoignages
destinée à la direction Les nouveaux enjeux : trai- turé : processus de valida-
générale ; une synthèse lit- ter les risques clés ; fournir tion de différentes versions, Réunion mensuelle
téraire (dix à vingt pages) des analyses et recomman- avant de délivrer la version du 13 juin 2012
destinée au management dations plus approfondies ; finale à l’issue de la réunion
concerné par la mission et communiquer l’essentiel. de clôture. Les lecteurs du L’assurance : Audiens et
au président du comité Parmi les attributs d’excel- rapport d’audit constituent Allianz France
d’audit ; un rapport détaillé lence de l’audit interne, un public très varié, compte L’assurance, comme la
(venant à l’appui du plan outre le fait de se concen- tenu de la variété des banque, évolue dans un
d’action) destiné aux audi- trer sur les risques et pro- sujets : industriels, finan- environnement très enca-
tés. blématiques cruciaux : ali- ciers… La culture d’audit dré. La délégation de ges-
Des axes d’amélioration, gner la mission sur les doit être prise en compte. tion est soumise à la régle-
proposés par l’IFACI, ont attentes des parties pre- La valorisation des points mentation Solvabilité 2, les
été mis en œuvre : une mise nantes ; adapter les compé- d’audit est essentielle et objectifs poursuivis étant la
en évidence de l’analyse tences afin de fournir de la implique une grande protection des assurés et
causale ; une hiérarchisa- valeur ajoutée ; favoriser un rigueur dans la rédaction des allocations de fonds
tion des recommandations ; service orienté client ; favo- du rapport. propres par la maîtrise des
l’homogénéisation des rap- riser l’amélioration de la risques techniques, finan-
ports, d’un format plus qualité et l’innovation… Les fiches ciers et opérationnels. Les
concis. Mais le rapport n’est pas le méthodologiques de moyens mis en œuvre repo-
Tout en étant la priorité seul livrable d’une mission. l’IFACI sent sur trois piliers : exi-
absolue, le respect des Rien ne remplace le face à Elles ont été conçues pour gences quantitatives ; exi-
Normes doit prendre en face et le debriefing pour faciliter le travail des audi- gences qualitatives et de
compte la culture d’entre- convaincre les audités. teurs en accompagnant un bonne gouvernance ; infor-
prise. La standardisation déploiement rigoureux de mation du public et de
des rapports doit laisser des ArcelorMittal la démarche d’audit, en l’ACP.
possibilités d’adaptation en L’objectif de l’audit interne aidant à la mise en œuvre L’assureur reste responsable
fonction du type de mis- est de proposer des services des outils et en facilitant la des risques lorsqu’il sous-

traite des activités d’assu- positif ad hoc ; celui-ci ne cacité du dispositif de cou- identifiés et couverts.
rance, et les autorités de doit pas être trop lourd verture de ces risques, Un projet de sous-traitance
contrôle doivent pouvoir pour ne pas remettre en notamment au regard de la des systèmes d’information
avoir accès aux locaux du cause l’intérêt de la déléga- loi Sarbanes-Oxley. doit conduire à réfléchir sur
prestataire de service. tion. Un premier niveau de Une démarche pour une les processus plus globale-
La création d’un environ- contrôle est assuré par des externalisation exige qu’une ment et sur l’intérêt d’éten-
nement interne favorable à opérationnels ; un vigilance forte soit portée dre le projet aux processus
la mise en place de déléga- deuxième niveau de par les parties prenantes métiers.
tions de gestion nécessite contrôle est assuré par des aux clauses de contractuali- Globalement il est néces-
une politique formalisée et personnes dédiées à ces sation, et en particulier sur saire d’avoir des suivis
une gestion claire des contrôles ; troisième ligne les éléments suivants : réguliers avec le sous-trai-
conflits d’intérêts. L’initiali- de défense, l’audit interne organisation de la sécurité tant pour s’assurer du pilo-
sation de la délégation ne s’assure du degré de maî- de l’information, politique tage avec un plan de
peut se faire sans une trise du processus d’exter- de sécurité, confidentialité contrôle annuel (il faut un
connaissance approfondie nalisation et de la qualité et archivage des données, correspondant sécurité et
de son futur partenaire, afin du dispositif de contrôle. sauvegarde et restauration, contrôle interne chez le
de garantir une qualité de plan de reprise d’activité, sous-traitant). La coordina-
service, s’assurer de la qua- L’opérateur de plan de crise, gestion des tion avec les fonctions de
lité de gestion et de la qua- télécommunications : biens, gestion de l’exploita- contrôle interne est impor-
lité d’information néces- Orange France Télécom tion, contrôle d’accès, ges- tante pour bien identifier
saire au pilotage technique, Le groupe externalise des tion des incidents de sécu- les processus du périmètre,
se prémunir contre les processus qui contribuent à rité, audit de conformité. les risques à considérer et
risques liés à cette externa- la production des comptes. Chaque année la fonction leur couverture. Le respon-
lisation. Des risques de contrôle de contrôle interne doit sable du processus reste
Le suivi régulier de la délé- interne financier peuvent s’assurer que les clauses responsable de la maîtrise
gation de gestion passe par affecter cette démarche ; il sont respectées, et que les globale de son contrôle
la mise en place d’un dis- faut donc s’assurer de l’effi- risques sont correctement interne. 
Lu pour vous
Strategies for small audit shops
Auteurs : David O’Regan

Editeur : The IIA Research Foundation
Voici la deuxième édition (en anglais) d’un ouvrage paru en 2002. Elle ne remet pas en
cause les principes décrits dans la première édition, mais prend en compte les nou-
velles dispositions adoptées depuis les dix dernières années.
Ce manuel a pour principal objectif de fournir des informations et des enseignements,
et d’aider les petites unités d’audit à « coller » au plus près aux normes professionnelles.
Il n’a pas de caractère légal.
Au cours des six chapitres, on apprendra, entre autres, ce qu’est une petite entité d’audit, quels sont les défis à relever
pour ce type de structure, la façon d’aborder le champ de ses activités, l’optimisation des performances, etc.
Vous pouvez consulter cet ouvrage à la bibliothèque de l’IFACI.

Lu pour vous
Audit, contrôle et performance
Auteurs : Laurent Cappelletti

Editeur : CNDP
L’ouvrage est le dernier numéro de la revue pédagogique Eco-

nomie et management, qui se veut un support didactique,
informatique et scientifique.
Ce numéro comporte deux parties : Audit, contrôle et perfor-
mance, des armes anti-crise ? Méthodes innovantes d’audit et
de contrôle de la performance.
Audit, contrôle et performance, des armes anti-crise ? La
performance n’a de sens que si elle est durable, ce qui suppose
sa pluralité, sa relativité, son lien avec l’éthique et son applica-
tion généralisée. L’audit et le contrôle sont devenus des piliers
de la responsabilité sociale de l’entreprise et de sa gouver-
nance, utilisés notamment dans des secteurs hautement
éthiques comme le secteur médico-social. L’audit et le contrôle
ne sont pas des remèdes miracles. Aussi, pour contribuer à la
performance durable, doivent-ils être conduits selon des prin-
cipes adaptés aux entreprises. A noter que ces dernières
années, l’audit et le contrôle ont pénétré de nouveaux
domaines ou se sont renforcés dans des secteurs dans lesquels ils étaient déjà très présents, comme la banque, mais
aussi les collectivités territoriales, les systèmes d’information et les PME.
Méthodes innovantes d’audit et de contrôle de la performance. L’audit, le contrôle et la performance représentent
des champs très vastes d’investigation qui recouvrent toutes les disciplines du management et de la gestion. La per-
formance durable a trois dimensions principales : économique et financière, sociale, environnementale et sociétale.
Ces trois dimensions contribuent au développement de l’entreprise à court, moyen et long terme. La mesure de la
performance doit se faire au regard de ces dimensions, ce qui pose deux questions : quels indicateurs permettent de
mesurer la performance durable ? Comment construire un tableau de bord adapté pour la piloter ? Parmi les zones
sensibles de l’audit, du contrôle et de la performance, figurent les compétences et les comportements professionnels,
sujet délicat, mais qui doit être traité. Cette évaluation doit être menée avec doigté mais, in fine, doit être utile à l’or-
ganisation.
Au-delà des concepts et des outils, l’audit, le contrôle et la performance offrent l’opportunité de provoquer des dis-
cussions entre les acteurs, de stimuler le dialogue professionnel et de susciter des concertations. L’histoire écono-
mique récente montre, en effet, que les grandes faillites de l’audit, du contrôle et de la performance, illustrées par
les affaires des subprimes, Kerviel, Madoff, etc., résultent fondamentalement d’un manque de concertation et de
communication entre les acteurs, source d’opacité sur les situations de gestion.
L’ouvrage Audit, contrôle et performance s’adresse aux enseignants et formateurs des établissements professionnels
et technologiques, aux étudiants et aux professionnels.
Vous pouvez consulter cet ouvrage à la bibliothèque de l’IFACI.

épuisé
Numéro
n° 199 n° 200 n° 201 n° 202 n° 203
n° 204 n° 205 n° 206 n° 207 n° 208
liste des
Retrouvez la
dans la revue
articles parus »
trôle internes
« Audit & Con l’IFAC I
rnet de
OUI, je désire recevoir le(s) numéro(s) : sur le site Inte
www.ifaci.com
199
200
201
OUI, je souhaite m’abonner à la revue
202
« Audit & Contrôle internes » pour l’année
203 2012 (du n° 208 au n° 212)(*) au prix de :
au prix unitaire de
204
22 € TTC adhérents IFACI : 65 € TTC
205
206 non adhérents IFACI : 105 € TTC
207
208
* Si vous souscrivez un abonnement en cours d’année, le
( )
tarif d’abonnement sera recalculé en fonction du nombre
n° 209 209 de numéros restant à paraitre jusqu’en fin d’année. Seuls

ces numéros vous seront envoyés.
Nom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Prénom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . N° adhérent IFACI . . . . . . . . . . . . . .

Organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adresse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. ............................................................................................................
Code Postal . . . . . . . . . . . . . . . . . . . . . . . . . . . Ville . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pays . . . . . . . . . . . . . . . . . . . . . . . .
Date Signature
Paiement par : chèque bancaire ou postal (à l’ordre de l’IFACI)

virement au HSBC Paris Champs-Elysées - Compte IFACI n° 30056-00148-01485415521-72
carte de crédit - n° . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Date d’expiration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Signature autorisée
Commande à retourner à :
I F A C I - 98 bis, boulevard Haussmann - 75008 Paris - Tél. : 01 40 08 48 00 - Fax : 01 40 08 48 20 - Mel : institut@ifaci.com
Vous pouvez également commander ou vous abonner à la revue « Audit & Contrôle internes » sur le site Internet www.ifaci.com
Calendrier 2012
Tarifs Tarifs non
S ES SIO N S Durée
adhérents adhérents
janvier février mars avril mai juin juillet sept. octobre nov. déc.
SE FORMER AU CONTRÔLE INTERNE

S’initier au contrôle interne 2j 950 € 1 125 € 5-6 2-3 8-9 2-3 2-3 11-12 2-3 5-6 8-9
Cartographie et management des risques 3j 1 675 € 1 875 € 11-13 6-8 12-14 4-6 9-11 13-15 10-12 8-10 3-5
Mettre en œuvre le dispositif de contrôle interne 2j 1 200 € 1 350 € 16-17 9-10 15-16 14-15 19-20 4-5 13-14 15-16
Piloter et faire vivre le dispositif de contrôle interne 2j 1 200 € 1 350 € 19-20 15-16 19-20 23-24 21-22 18-19 22-23
Le contrôle interne des systèmes d’information 2j 1 200 € 1 350 € 24-25 22-23 27-28 3-4
SE FORMER À L’AUDIT INTERNE
Les fondamentaux de l’audit interne
8-9
S’initier à l’audit interne 2j 950 € 1 125 € 5-6 1-2 29-30 15-16 7-8 2-3 6-7 4-5 8-9 6-7
Conduire une mission d’audit interne : la méthodologie 4j 1 950 € 2 150 € 10-13 6-9 12-15 3-6 21-24 11-14 2-5 10-13 9-12 12-15 10-13
Maîtriser les outils et les techniques de l’audit 3j 1 625 € 1 775 € 16-18 13-15 19-21 10-12 29-31 18-20 9-11 17-19 15-17 19-21 17-19
D PA I
Maîtriser les situations de communication orale de 2j 1 050 € 1 150 € 19-20 13-14 22-23 10-11 21-22 21-22 12-13 20-21 18-19 22-23 20-21
l’auditeur
Réussir les écrits de la mission d’audit 2j 1 050 € 1 150 € 23-24 16-17 26-27 12-13 23-24 25-26 12-13 24-25 22-23 26-27 20-21
Exploiter les états financiers pour préparer une mission 3j 1 525 € 1 675 € 25-27 26-28 29-31 26-28 3-5
d’audit
Désacraliser les systèmes d’information 3j 1 525 € 1 675 € 28-30 4-6 26-28 12-14
Détecter et prévenir les fraudes 2j 1 050 € 1 150 € 29-30 28-29 24-25 24-25 6-7
Le management
Piloter un service d’audit interne 2j 1 300 € 1 450 € 30,31 10-11 11-12
Manager une équipe d’auditeurs au cours d’une mission 1j 685 € 770 € 21 4 14
L’audit interne dans les petites structures 1j 685 € 770 € 7 29 19
Balanced Scorecard du service d’audit interne 1j 685 € 770 € 10 25 28
Le suivi des recommandations 1j 685 € 770 € 6 11 26 7 21
Préparer l’évaluation externe du service d’audit interne 2j 1 300 € 1 450 € 13-14 15-16 29-30
L’audit interne, acteur de la gouvernance 1j 685 € 770 € 12 26
Audit interne, contrôle interne et qualité : les synergies 1j 685 € 770 € 15 25 5
Les audits spécifiques
Audit du Plan de Continuité d’Activité - PCA 2j 1 300 € 1 450 € 8-9 27-28 26-27
Audit de la fonction Comptable 2j 1 300 € 1 450 € 5-6 8-9
Audit de performance de la gestion des Ressources 3j 1 525 € 1 675 € 11-13 21-23
Humaines
Audit de la fonction Achats 2j 1 300 € 1 450 € 16-17 27-28
Audit des Contrats 1j 685 € 770 € 16 1
Audit de la fonction Contrôle de Gestion 2j 1 300 € 1 450 € 5-6 29-30
Audit de la Sécurité des Systèmes d’Information 2j 1 300 € 1 450 € 22-23 12-13
Audit des Processus Informatisés 2j 1 300 € 1 450 € 27-28 19-20
Audit de la Législation Sociale 2j 1 300 € 1 450 € 13-14 17-18
Audit du développement durable 2j 1 300 € 1 450 € 7-8 15-16
SE FORMER DANS LE SECTEUR PUBLIC
Le contrôle interne dans le secteur public 2j 1 300 € 1 450 € 2-3 21-22 6-7 12-13
Pratiquer l’audit interne dans le secteur public 4j 1 950 € 2 150 € 26-29 4-7 22-25 17-20
SE FORMER DANS LE SECTEUR BANCAIRE ET FINANCIER
Le contrôle interne dans le secteur bancaire et financier 3j 1 525 € 1 675 € 6-8 19-21 5-7
Pratiquer l’audit interne dans le secteur bancaire et 4j 1 950 € 2 150 € 11-14 24-27 10-13
financier
SE FORMER DANS LE SECTEUR DES ASSURANCES
Le contrôle interne dans le secteur des assurances 2j 1 300 € 1 450 € 8-9 2-3 4-5 8-9
Pratiquer l’audit interne dans le secteur des assurances 4j 1 950 € 2 150 € 13-16 26-29 8-11 17-20
SE FORMER DANS LES SECTEURS INDUSTRIE ET COMMERCE
Audit des processus clés des activités industrielles et 4j 1 950 € 2 150 € 23-26 2-5 18-21 15-18 4-7
commerciales
ACQUÉRIR UNE CERTIFICATION
Le DPAI
Préparation au DPAI 2j 950 € 1 125 € 29-30 11-12 15-16 13-14
Le CIA
Préparation au CIA - partie I 1,5 j 850 € 1 050 € 16pm-17 12pm-13 12pm-13 10pm-11 3pm-4
Préparation au CIA - partie II 1,5 j 850 € 1 050 € 19pm-20 15pm-16 14pm-15 13pm-14 6pm-7
Préparation au CIA - partie III 1,5 j 850 € 1 050 € 23pm-24 19pm-20 18pm-19 17pm-18 10pm-11
Préparation au CIA - partie IV 1,5 j 850 € 1 050 € 26pm-27 22pm-23 21pm-22 20pm-21 13pm-14
IFACI Formation - Tél. : 01 40 08 48 08 - Mel : formation@ifaci.com - Retrouvez également le programme complet sur le site internet www.ifaci.com
FICHE TECHNIQUE
Indépendance et objectivité,
deux conditions pour un audit
interne reconnu et performant
Béatrice Ki-Zerbo - Directeur de la Recherche, IFACI
C
es deux concepts sont au cœur de la quatre principes clé du Code de Déontologie de
définition de l’audit interne : « […] acti- l’IIA.
vité indépendante et objective qui donne
à une organisation une assurance sur le degré de Mais ce n’est pas parce qu’ils sont inscrits dans
maîtrise de ses opérations, lui apporte ses conseils ces textes fondateurs de la profession qu’ils sont
pour les améliorer, et contribue à créer de la valeur compris et mis en œuvre. En particulier il
ajoutée. […]». L’objectivité est également l’un des convient de lever toute ambiguïté quant à l’in-
dépendance de l’audit interne. En effet, elle se
définit par des critères spécifiques qui ne sont
L’objectivité un principe déontologique pas ceux de l’audit externe. Quant à leur mise en
pour les auditeurs internes œuvre, elle ne vise pas seulement à se conformer
aux meilleures pratiques professionnelles, mais
« Les auditeurs internes montrent le plus haut elle sert surtout à mieux répondre aux attentes
degré d’objectivité professionnelle en collectant, des parties prenantes internes et externes. Ainsi,
évaluant et communiquant les informations les organes dirigeants (direction générale et
relatives à l’activité ou au processus examiné. Conseil) sont à même d’obtenir une assurance
Les auditeurs internes évaluent de manière équi- raisonnable sur le niveau global de maîtrise des
table tous les éléments pertinents et ne se lais- activités. De même, les auditeurs externes et les
sent pas influencer dans leur jugement par leurs superviseurs peuvent avoir une confiance accrue
propres intérêts ou par autrui. » dans les dispositifs de contrôle interne s’ils
savent qu’une fonction d’audit interne efficace
Code de Déontologie de l’IIA les évalue.
juin-juillet 2012 - FICHE TECHNIQUE N°40 - Audit & Contrôle internes 1

FICHE TECHNIQUE
Cet article s'appuie sur le guide pratique de l'IIA techniques d’échantillonnage statistiques peuvent
("Independance and objectivity: IPPF – Practice être utilisées pour obtenir un échantillon impartial à
guide" – The IIA, 2011) que l'IFACI a traduit tester, mais il appartient toujours à l'auditeur interne
(Guide Pratique « Indépendance et objectivité : d’appliquer les critères ou procédures de tests et, d’in-
CRIPP », IFACI/ IIA, 2012). Il en suit la trame terpréter les résultats de manière impartiale ».
pour mettre en évidence les risques d’atteinte à Tandis que l’indépendance concerne plus la
l’indépendance et à l’objectivité ainsi que les fonction d’audit interne et s'exprime générale-
dispositifs de gestion de ces risques. ment de manière factuelle (par exemple, en
fonction de la position de l'audit interne dans
Des concepts différents qui se recoupent l’organisation, des relations avec les organes de
gouvernance, ou des pouvoirs d’accès à l'infor-
Le glossaire des Normes fournit les définitions mation, aux personnes, aux documents).
suivantes :
Des menaces réelles ou supposées
Indépendance
Différentes situations peuvent porter atteinte à
« L’indépendance c’est la capacité de l’audit
l’indépendance de l’audit interne et à l’objecti-
interne à assumer, de manière impartiale, ses
vité de l’auditeur. Ces risques inhérents sont, par
responsabilités. »
exemple :
 L’auditeur interne salarié de l’organisation

Objectivité
« L’objectivité est une attitude impartiale qui
La majorité des acteurs de l’audit interne en
permet aux auditeurs internes d’accomplir leurs
France sont des salariés de leur organisation.
missions de telle sorte qu’ils soient certains de la
Cette dépendance de fait pourrait laisser
qualité de leurs travaux, menés sans compro-
mis. L’objectivité implique que les auditeurs penser que l’audit interne ne peut pas être
internes ne subordonnent pas leur propre impartial. En tout état de cause le recours à
jugement à celui d’autres personnes. » un prestataire externe ne résout pas ce
préjugé.
Glossaire des normes version du 1er janvier 2012
 Un spectre d’activités qui s’étend
L’audit interne offre des services de plus en
Les mots mis en exergue dans cet encart plus diversifiés qui vont de l’assurance sur la
montrent que ces deux concepts ont en commun conformité d’une activité à des conseils en
l’exigence d’impartialité. De plus, mener des phase de lancement d’un projet. La prise de
travaux « sans compromis » ni subordination de position de l’IIA sur « Le Rôle de l’audit
son jugement c’est tout simplement être indé- interne dans le management des risques de
pendant. On pourrait donc se poser la question l’entreprise » illustre bien le panel d’activités
de l’intérêt d’avoir deux termes si proches pour qui peut être confié à l’audit interne et iden-
définir la même activité. tifie celles qui risquent de porter atteinte à
l’indépendance et à l’objectivité.
Selon le guide pratique, l’objectivité renvoie
plutôt à un état d’esprit, au jugement personnel  Les préjugés sociaux ou cognitifs
de l’auditeur interne, aux préjugés, aux relations Qu’il s’agisse d’intimidations ou de préjugés
et aux comportements. Un exemple est cité : « les inconscients, l’auditeur interne peut perdre
2 Audit & Contrôle internes - FICHE TECHNIQUE N°40 - juin-juillet 2012

son objectivité en sur-interprétant (positive- geants. En privilégiant le rattachement
ment ou négativement) une information en hiérarchique au plus haut niveau de l’orga-
fonction du rôle ou du profil de son interlo- nisation et un accès non restreint au Conseil.
cuteur. Ce modèle favorise l’indépendance au sein
de l’organisation (liberté dans l’élaboration
 L’audit récurrent d’un département, d’une du plan d’audit, accès aux ressources de l’or-
activité ganisation, mise en œuvre du programme de
La familiarité avec le sujet audité peut égale- travail et communication sur les constats sans
ment mettre à mal l’objectivité de l’auditeur interférence du management). Plus son ratta-
et l’aveugler dans ses investigations puisqu’il chement hiérarchique est élevé, plus le péri-
peut penser connaître a priori les faiblesses. mètre potentiel de l’audit interne est étendu
Ce n’est pas seulement une problématique et plus il est indépendant de l'entité auditée.
de petite structure d’audit interne qui n’aurait Les relations étroites avec le Conseil permet-
pas les moyens d’assurer la rotation des audi- tent de conforter cette indépendance organi-
teurs sur différentes missions. Des sationnelle, tout en donnant à l’audit interne
programmes de travail appliqués de manière la possibilité de contribuer à l’atteinte des
trop mécanique peuvent induire le même objectifs du Conseil en matière de suivi de
biais. l’efficacité des systèmes de gestion des
risques et de contrôle interne. Ainsi, l’accès
Une responsabilité collective et direct et sans restriction à cet organe (ou au
individuelle pour maîtriser ces menaces Comité d’audit) préconisé par la Norme 1111
à tous les niveaux devrait se traduire par une participation régu-
lière du responsable de l’audit interne (RAI)
Le guide pratique propose un référentiel de aux réunions du Comité d’audit ainsi que des
gestion des menaces inhérentes et résiduelles à
déployer à différents niveaux :
Rattachement du RAI et relations avec le
 Au niveau de la profession Comité d’audit
Les associations professionnelles comme
l’IIA et l’IFACI doivent continuer à mener des Selon la dernière enquête réalisée par l’IFACI sur
les pratiques de l’audit interne en France :
 77 % des répondants sont rattachés au direc-
recherches pour mieux définir ces concepts,
les conditions de leur exercice et leur intérêt
teur général ou au président ;
 41 % des RAI rencontrent le président du
pour l’efficacité de la fonction.
 Au niveau de chaque organisation

Comité d’audit en tête-à-tête ;
 la thématique des « missions et responsabili-
Il revient aux organes dirigeants de s’infor-
tés » vient en tête des sujets abordés avec le
mer des conditions de succès d’une fonction
Comité d’audit ;
 le Comité d’audit est également informé de la
d’audit interne et de lui en donner les
moyens notamment en termes de rattache-
révocation du RAI dans 63 % des cas
ment et de professionnalisme.
(consulté dans 21 % des cas, approbateur
Dans sa réponse à la consultation publique
dans 16 %) et de la rémunération de celui-ci
du Comité de Bâle sur l’audit interne, l’IFACI
dans 76 % des cas (consulté dans 19 % des
a réitéré sa position qui consiste à instaurer
cas et approbateur dans 5 %).
une relation équilibrée avec les organes diri-

réunions en-tête, en-dehors de la présence avec les organes dirigeants. Pour ce faire, il
de la direction générale, avec le Comité d’au- est au fait des meilleures pratiques profes-
dit ou son président. L’interprétation de la sionnelles et échange avec ses pairs.
norme 1110 – Indépendance dans l'organi- Il met en œuvre un véritable dispositif de
sation, ainsi que la modalité pratique d’ap- gestion des risques d’atteinte à l’indépen-
plication associée, fournissent des dance et à l’objectivité dont la schématisa-
illustrations sur la nature des relations fonction, ci-dessous, ne surprendra pas ceux qui
tionnelles et hiérarchiques. sont familiers des référentiels de risk mana-
gement.
La charte d’audit interne formalise l’engage-
ment que l’organisation prend vis-à-vis des Le guide pratique propose des facteurs d’at-
pouvoirs et responsabilités de l’audit interne. ténuation. Le groupe de travail chargé de
Son application doit être soutenue et suivie l’adaptation en français a souhaité attirer l’at-
par les organes dirigeants. tention sur certaines d’entre elles, telle que
l’instauration d’un système de récompenses /
 Le RAI, acteur clé pour asseoir l’indépen- sanctions. Dans certains environnements, il
dance de son service et développer l’objec- peut être malsain d’associer un tel système
tivité des auditeurs internes au maintien de l’objectivité. De plus, les sanc-
tions doivent s’appuyer sur des preuves
Le responsable de l’audit interne doit utiliser factuelles démontrant que l’auditeur a
au mieux son positionnement et ses relations exprimé des constats en se fondant unique-
Identifier la menace
Réviser et surveiller
les menaces Evaluer l’importance
de la menace
Définir les implications

en termes de
Identifier les facteurs
communications aux
d’atténuation
parties prenantes
Evaluer la présence
de menaces non Evaluer la menace
résolues résiduelle
Gérer de manière
proactive la menace
résiduelle

FICHE TECHNIQUE
ment sur des partis pris ou des préjugés.  Une responsabilité individuelle
Enfin, il serait dangereux de prescrire, en Une gouvernance adaptée et l’engagement
voulant la favoriser, ce que doit être l’objec- du RAI ne sont pas suffisants. Ils constituent
tivité. Le RAI dispose de toute une panoplie un environnement favorable pour l’expres-
de mesures préventives ou d’accompagne- sion de l’objectivité, mais celle-ci dépendra
ment telles que : surtout de l’auditeur interne. Il doit en
• la sensibilisation au Code de déontologie comprendre les enjeux à travers des forma-
et des entretiens réguliers avec les audi- tions et l’adoption du code de déontologie.
teurs internes ; Chaque auditeur interne devrait régulière-
• une politique de gestion des cadeaux de la ment auto-évaluer son objectivité (dans le
part des employés, de clients, fournisseurs, cadre de l’entretien annuel, avant et après
partenaires ; chaque mission) et discuter avec le RAI en
• les pratiques de recrutement et de rému- cas de doute ou de risque avéré.
nération. Il s’agit ici de déterminer si les
candidats sont en situation de conflits d’in- Il serait dommage que les travaux initiés par l’IIA
térêts (actionnaires, relations personnelles pour réviser la définition de l’audit interne abou-
ou d’affaires) ou d’éviter des critères de tissent à la suppression de la notion d’indépen-
rémunération qui dépendent de la perfor- dance au motif que l’audit interne est une
mance de l'unité opérationnelle auditée ; fonction de l’organisation. L’indépendance abso-
• la formation professionnelle socle de l’ob- lue n’existe pas et n’est pas souhaitable pour
jectivité ; l’audit interne qui doit rester un outil au service
• la maîtrise de la mobilité interne vers et en de la performance de l’organisation.
dehors de l’audit interne en respectant une Les deux concepts se nourrissent, l’indépen-
période de latence entre fonctions opéra- dance contribue à l’instauration d’un contexte
tionnelles occupées (ou à venir) et les favorable à l’objectivité. De même, cette objecti-
missions d’audit réalisées ; vité contribue à conforter l’indépendance. En
• la constitution des équipes pour maîtriser effet, l’indépendance n’est pas un droit acquis
le risque de familiarité ; immuablement gravé dans le marbre d’une
• un programme d’assurance et d’améliora- charte d’audit interne ou lié à une place en haut
tion qualité conforme comprenant une de l’organigramme. Elle s’acquière et se mérite.
supervision en fonction du risque d’atteinte Autant dire que c’est aussi une question
à l’objectivité et une évaluation externe d’homme ou de femme. C’est au RAI de donner
donnant l’assurance d’une bonne gestion toute la dimension de cette indépendance en la
des menaces. mettant en œuvre à bon escient non pas comme
un mercenaire va-t-en-guerre mais dans le
La Norme 1110 indiquant que le RAI doit respect de ses interlocuteurs et avec des convic-
confirmer au moins une fois par an l’indé- tions ancrées sur son expérience et le profession-
pendance organisationnelle de son service au nalisme de son équipe. Il instaure une saine
Conseil, ne devrait donc pas être considérée collégialité avec des espaces d’expression favo-
comme une activité routinière mais s’appuyer risant l’identification des menaces et limitant des
sur un contrôle permanent de l’activité. biais cognitifs tel que l’aveuglement collectif face
à une difficulté bien réelle. 
5 Audit & Contrôle internes - FICHE TECHNIQUE N°40 - juin-juillet 2012

Bibliographie
 Independance and objectivity: IPPF - Practice guide / Steven E. JAMESON, et al. – The IIA, 2011.
 Guide Pratique – Indépendance et objectivité : CRIPP, IFACI/ IIA, 2012.
 Assisting small internal audit activities in implementing the International standards for the professio-
nal practice of internal auditing: IPPF – practice. – The IIA, 2011.
 CBOK - Common Body of Knowledge: vos pratiques au regard des tendances européennes et
mondiales. – IFACI, 2011.
 Characteristics of an internal audit activity : The IIA's global internal audit survey, report I. – The IIA,
2010.
 Core competencies for today's internal auditor : The IIA's global internal audit survey, report II. / James
A. BAILEY. – The IIA, 2010.
 Measuring internal auditing's value: The IIA's global internal audit survey, report III / Jiin-Feng CHEN,
Wan-Ying LIN. – The IIA, 2011.
 What's next for internal auditing?: The IIA's global internal audit survey, report IV. – The IIA, 2011.
 Imperatives for change: the IIA's global internal audit survey in action: The IIA's global internal audit
survey, report V / Richard J. ANDERSON, J. Christopher SVARE. – The IIA, 2011.
 Les Pratiques de l'audit et du contrôle internes en France en 2009 : Enquête 2009. – IFACI, 2010.
 Prise de position IFA / IFACI sur le rôle de l'audit interne dans le gouvernement d'entreprise : Mai 2009.
– IFACI, 2009.
 Independence and objectivity: A framework for internal auditors. / sous la resp. de Jane MUTCHLER. -
The IIA research Foundation, 2001.
 Les Normes et MPA associées :
- Norme 1000 – Mission, pouvoirs et responsabilités
- MPA 1000-1 – Charte d’audit interne
- Norme 1010 – Reconnaissance de la Définition de l’Audit Interne, du Code de Déontologie et des
Normes dans la charte d’audit interne
- Norme 1100 – Indépendance et objectivité
- MPA 1110-1 – Indépendance dans l’organisation
- Norme 1110.A1 – Indépendance dans la délimitation des travaux et la communication des résul-
tats
- MPA 1111-1 – Relation avec le Conseil
- MPA 1120-1 – Objectivité individuelle
- MPA 1130-1 – Atteintes à l’indépendance et à l’objectivité
- Norme 1130.A1 - Altération de l’objectivité de l’auditeur interne
- MPA 1130.A1-1 – Audit des opérations dont les auditeurs internes ont été auparavant responsables
- Norme 1130.A2 – Missions d’assurance sur des fonctions dont le responsable d’audit interne a la
charge
- Norme 1130.A2-1 – Responsabilités exercées par l’auditeur interne au titre d’autres fonctions
- Norme 1130.C1 – Missions de conseils sur des opérations dont les auditeurs internes ont été aupa-
ravant responsables
- Norme 1130.C2 – Information sur les risques d’atteinte à l’indépendance et l’objectivité des audi-
teurs internes
- MPA 2060-1 – Rapports à la Direction Générale et au Conseil
- Norme 2070 – Responsabilités de l’organisation en cas de recours à un prestataire externe pour ses
activités d’audit interne
- MPA 2120-2 – Gestion du risque lié à l’activité d’audit interne

Revue N°210 PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Revue N°210 PDF

Transféré par

Droits d'auteur :

Formats disponibles

la revue des professionnels de l’audit, du contrôle et des risques

Les audits métiers

Conception : ebzone communication - Photo : © Paty Wingrove - Fotolia.com

POUR EN SAVOIR PLUS ...

Votre engagement pour

Conception : ebzone communication - Photo : © Jakub Cejpek - Fotolia.com

Le label de qualité et de performance Certiﬁcation

12 La communication de l’audit interne

33 Maîtriser les risques spécifiques aux

35 Evénements - Lu pour vous

FICHE TECHNIQUE N°40

>> Indépendance et objectivité, deux conditions

juin-juillet 2012 - Audit & Contrôle internes n°210 5

Puma, Reebook, Carrefour :

6 Audit & Contrôle internes n°210 - juin-juillet 2012

juin-juillet 2012 - Audit & Contrôle internes n°210 7

Les organismes paritaires de la vie, et le décret n°2010-116 du 22

8 Audit & Contrôle internes n°210 - juin-juillet 2012

juin-juillet 2012 - Audit & Contrôle internes n°210 9

10 Audit & Contrôle internes n°210 - juin-juillet 2012

juin-juillet 2012 - Audit & Contrôle internes n°210 11

12 Audit & Contrôle internes n°210 - juin-juillet 2012

juin-juillet 2012 - Audit & Contrôle internes n°210 13

14 Audit & Contrôle internes n°210 - juin-juillet 2012

16 Développer l’usage managérial du contrôle interne

19 Sécuriser les risques, mission première de l’audit

21 Comment le contrôle et l’audit internes peuvent-ils

24 Quelle place et quelle valeur ajoutée pour le contrôle

juin-juillet 2012 - Audit & Contrôle internes n°210 15

Développer l’usage managérial

Ces dernières années, les obligations réglementaires ont rendu

Aussi, pour développer cette valeur d’usage managérial du dis-

16 Audit & Contrôle internes n°210 - juin-juillet 2012

juin-juillet 2012 - Audit & Contrôle internes n°210 17

18 Audit & Contrôle internes n°210 - juin-juillet 2012

Sécuriser les risques,

L’audit et le contrôle internes doivent contribuer à la valeur ajoutée des organisa-

ajoutée précieuse pour l’entreprise en risques, par activité et par processus,

juin-juillet 2012 - Audit & Contrôle internes n°210 19

20 Audit & Contrôle internes n°210 - juin-juillet 2012

Comment le contrôle et l’audit

L’audit interne contribue à la valeur ajoutée de l’entreprise, par ses recommanda-

La création de l’entreprise Groupama

juin-juillet 2012 - Audit & Contrôle internes n°210 21

flux financiers générés par

22 Audit & Contrôle internes n°210 - juin-juillet 2012

juin-juillet 2012 - Audit & Contrôle internes n°210 23

Quelle place et quelle valeur

posent à EDF depuis qu’elle est une domaines subdélégués,

24 Audit & Contrôle internes n°210 - juin-juillet 2012

juin-juillet 2012 - Audit & Contrôle internes n°210 25

Extrait de rapport d’auto-évaluation

Les actions de maî-

Les actions de maî- Stratégie Responsabilités managériales

Exemples de synthèse groupe du bilan des auto-évaluations

100% % de domaines notés 0

75% % de domaines notés 2

26 Audit & Contrôle internes n°210 - juin-juillet 2012

Geson des risques

juin-juillet 2012 - Audit & Contrôle internes n°210 27

Le contrôle interne est de plus en plus admis, à chaque niveau de l’organisation,

AUTEUR : Groupe professionnel « Contrôle interne » IFACI - Prix HT : 50 € (53,50 € TTC)

Nom : ............................................................................................................................................. Prénom : ......................................................................................................................

Geson des risques