Vous êtes sur la page 1sur 46

la revue des professionnels de l’audit, du contrôle et des risques

Dans l’actualité
Exemplarité du management :
contre-exemples récents

Idées et débats
Gouvernance et éthique

La profession en
mouvement ...

Fiche technique CIAL


NUMÉRO SPÉ
>> Nouvelles Normes : une
évolution sous le double sceau
de la clarification des LES OUTILS INFORMATIQUES
responsabilités et de la prise en
compte de nouvelles pratiques
professionnelles
AU SERVICE DES AUDITEURS ET
DES CONTRÔLEURS INTERNES
Leurs fonctionnalités et leurs atouts

N°212
Novembre - Décembre 2012
Marquez des points ...
avec la nouvelle certification
professionnelle

Professionnels de l’audit et du contrôle internes, cette nouvelle certification vous permettra de dé-
montrer votre professionnalisme dans le domaine de l’évaluation de la gestion des risques, et plus
particulièrement votre capacité à :
 évaluer la maîtrise des risques et la gouvernance des processus métiers de votre organisation ;
 sensibiliser la direction et le comité d’audit aux concepts liés aux risques et à la maîtrise des
risques ;
 vous centrer sur les risques stratégiques de l’organisation ;
 apporter encore plus de valeur ajoutée à votre organisation.

Disponible, à la fin du premier semestre 2013, sous la forme d’un examen, le CRMA™ est ac-
cessible dès aujourd’hui via un processus de Reconnaissance de l’Expérience Profes-
sionnelle (REP). Ainsi, toute personne justifiant d’une expérience professionnelle
dans les cinq domaines couverts par la certification CRMA™, et titulaire de di-
plômes et/ou de tout autre certificat dans le domaine de l’audit, sera en mesure
de faire une demande de REP en vue d’obtenir la certification CRMA™.

Conception : ebzone communication - Photo : © Paty Wingrove - Fotolia.com

POUR EN SAVOIR PLUS ...


Rendez-vous sur le site internet de l’IFACI (www.ifaci.com)
à la rubrique « Carrière + Diplômes ».
La revue des professionnels de l’audit,
du contrôle et des risques
n°212 - novembre-décembre 2012
Les outils informatiques
EDITEUR
Institut Français de l’Audit et
du Contrôle Internes (IFACI)
au service des auditeurs
Association Loi 1901
98 bis, boulevard Haussmann
75008 Paris (France)
Tél. : 01 40 08 48 00
et contrôleurs internes
Mel : institut@ifaci.com
Internet : www.ifaci.com

T
DIRECTEUR DE PUBLICATION out le monde s’accorde à dire que le profes-
Farid Aractingi sionnalisme des auditeurs internes est essen-
RESPONSABLE DE LA RÉDACTION tiel pour la crédibilité et la légitimité de leur
Philippe Mocquard
fonction. Une formation continue et adaptée aux
RÉDACTEUR EN CHEF
Louis Vaurs besoins de chacun, couronnée ou non par une certifi-
RÉDACTION - RÉVISION cation individuelle (CPAI ou CIA) s’avère de ce point
Jean-Loup Rouff - Béatrice Ki-Zerbo
de vue indispensable.
SECRÉTARIAT GÉNÉRAL
Eric Blanc - Tél. : 01 40 08 48 02
Mel : eblanc@ifaci.com
Tout aussi nécessaire apparaît aujourd’hui l’utilisation, par les services d’audit et de
RÉALISATION contrôle internes, d’outils informatiques appropriés. Afin de vous permettre de faire
EBZONE Communication
32, avenue de Beauregard
le bon choix, nous présentons, dans le dossier de ce numéro, un tableau des prin-
94500 Champigny-sur-Marne cipaux outils que l’on trouve actuellement sur le marché, accompagné des témoi-
Tél. : 01 48 80 00 56
Mel : ebzone@ebzone.fr gnages précieux d’utilisateurs de certains d’entre eux. Pour un complément
d’information, je vous invite à vous reporter sur notre nouveau cahier de la
IMPRESSION
Imprimerie de Champagne recherche « Sélectionner un outil informatique pour les services d’audit et de contrôle
Rue de l’Etoile de Langres - ZI Les Franchises
52200 Langres internes : un véritable projet » qui sera sur le site internet de l’IFACI dès ce mois-ci.

ABONNEMENT
Elsa Sarda - Tél. : 01 40 08 47 84 Dans la rubrique « Dans l’actualité », en partant de nombreux exemples de diri-
Mel : esarda@ifaci.com
geants forcés de démissionner pour comportements condamnables, il est mis en
Revue bimestrielle (5 numéros par an) avant que le « tone at the top » n’est pas qu’une notion théorique mais une compo-
ISSN : 2117-1661
CPPAP : 0513 G 83150 sante importante de l’environnement de contrôle, qui doit être auditée et évaluée
Dépôt légal : décembre 2012 par l’audit interne. Parmi ces comportements condamnables, il y a la question des
Crédit photos : © Sergey Nivens - Fotolia.com
conflits d’intérêts dont on lira avec le plus grand intérêt l’article qui lui est consa-
cré.

Prix de vente au numéro : 22 € TTC


J’attire également votre attention sur les principales évolutions, en 2013, des Normes
Ce document est imprimé avec des encres végétales
sur du papier issu de forêts gérées dans le cadre de l’IIA ainsi que sur la présentation du nouvel ouvrage de Jacques Renard
d’une démarche de développement durable.

« Comprendre et mettre en œuvre le Contrôle Interne », vaste sujet toujours d’actualité.

A vous tous, lecteurs de la revue « Audit & Contrôle internes », je souhaite ainsi
qu’à ceux qui vous sont chers de très bonnes fêtes de fin d’année. 

Les articles sont présentés sous Louis Vaurs - Rédacteur en chef


la responsabilité de leurs auteurs.

Toute représentation ou reproduction, intégrale ou partielle, faite


sans le consentement de l’auteur, ou de ses ayants droits, ou ayants
cause, est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40).
Cette représentation ou reproduction, par quelque procédé que ce nov.-déc. 2012 - Audit & Contrôle internes n°212 3
soit, constituerait une contrefaçon sanctionnée par les articles 425
et suivants du Code Pénal.
Progressez sur
des bases solides

Votre engagement pour


+ de bonnes pratiques
+ de performance
+ de légitimité
+ de sécurité

Conception : ebzone communication - Photo : © Jakub Cejpek - Fotolia.com

Le label de qualité et de performance Certification


IFACI est délivré aux services d'audit interne qui Contactez-nous :
appliquent de façon pérenne les trente exigences Tél. : 01 44 70 63 00
pragmatiques du Référentiel Professionnel de E-mail : certification@ifaci.com
l'Audit Interne.
SOMMAIRE

DANS L’ACTUALITÉ
DOSSIER
6 Exemplarité du management :
contre-exemples récents
Antoine de Boissieu Les outils informatiques
au service des auditeurs
IDÉES ET DÉBATS et contrôleurs internes
8 Gouvernance et éthique Leurs fonctionnalités et leurs atouts p. 11 à 36
Sylvie Le Damany

12 Les outils informatiques au service des auditeurs et


LA PROFESSION EN MOUVEMENT contrôleurs internes
Yohann Vermeren
37 Evénements - Lu pour vous
Liste des outils informatiques à disposition des
14 auditeurs et des contrôleurs internes

FICHE TECHNIQUE N°42 Siemens mène ses audits plus rapidement et à


26 moindre coût
>> Nouvelles Normes : une évolution Sandeep Bhatkhande
sous le double sceau de la
clarification des responsabilités et 27 Un outil au service de la gestion des risques et de
de la prise en compte de nouvelles l’audit interne chez AG2R La Mondiale
pratiques professionnelles Patrick Saint-Maxent
Béatrice Ki-Zerbo Une assurance élevée et appréciée
28
Jean-Luc Meurisse

29 L’évaluation du contrôle interne dans le groupe


Bouygues
Renaud Vorms

30 La gestion des risques et de l’audit interne de la MAIF


Vianney Dumont et Armand Forgerit

31 Disposer d’une vue agrégée du risque d’entreprise


Marshall Toburen

32 Comment Provimi a mis en œuvre sa stratégie GRC en


optimisant ses processus métier et IT

33 Un outil d’amélioration de l’efficacité des missions


d’audit de Zodiac Aérospace
Arnaud Dubant

34 Pour une sélection judicieuse et une utilisation


optimale d’un logiciel
Unité de Recherche Informatique

nov.-déc. 2012 - Audit & Contrôle internes n°212 5


DANS L’ACTUALITÉ

Exemplarité du management :
contre-exemples récents
Antoine de Boissieu - Associé-gérant, OSC Solutions

L
'actualité récente a ministre des transports chi- Petraeus, en tant que direc- défense, A. Serdioukov a en
fourni une longue nois pour « conduite inap- teur de la CIA, l'exigeait de effet beaucoup lutté contre
liste de cas de diri- propriée » (c'est à dire cor- ses collaborateurs. Il lui a la corruption qui régnait au
geants forcés de démission- ruption), et du ministre des donc été reproché d'être le sein du ministère ; il donnait
ner de manière brutale, dans télécommunications premier à ne pas respecter l'image de vouloir améliorer
des secteurs et des pays très indiens, là aussi pour cor- les règles contraignantes le quotidien des soldats
différents. Les derniers ruption. Les deux sont qu'il imposait à ses agents. russes en mettant un terme
exemples en date, presque actuellement en prison. au pillage en règle des res-
simultanés, datent du mois La situation est similaire sources et matériels de l'ar-
de novembre : le directeur Des points communs pour l'ex-futur DG de mée. Or, il lui est officielle-
de la CIA, le général malgré des Lockheed-Martin. Lockheed ment reproché d'avoir
Petraeus, a ainsi dû quitter différences -Martin est l'une des pre- détourné 80 millions d'eu-
son poste après la révélation mières industries de défense ros, et d'avoir fait traîner des
d'une liaison extra-conju- Ces différents cas, s'ils sont au monde. Ce secteur a travaux de construction de
gale. Au même moment, très différents, ont tous un connu ces dernières années logement pour le personnel
Christopher Kubasik, le point commun : dans tous de nombreuses affaires de du ministère : ce sont préci-
futur DG de Lockheed-Mar- les cas, les dirigeants se sont corruption et d'espionnage sément les deux points sur
tin, quittait la société, là vus reprocher leur manque industriel et commercial. En lesquels il se devait d'être
encore pour des relations d'exemplarité, en étant pris tant que DG d'une des deux exemplaire.
« inappropriées » avec l'une en défaut sur des points où premières entreprises du
de ses collègues. Aupara- ils auraient dû être exem- secteur, C. Kubasik se devait La chute du ministre des
vant, toujours début novem- plaires. Analysons les rapi- donc d'être exemplaire, en transports chinois résulte du
bre, l'on avait appris le dement. prouvant qu'il ne tolérait pas même mécanisme. Les
départ du ministre russe de de comportements contraires réseaux de transport,
la Défense, Anatoli Serdiou- Si la liaison extra-conjugale à la charte d'éthique et au notamment ferroviaires,
kov, officiellement pour cor- du général Petraeus a été code de bonne conduite de sont en effet vus comme une
ruption lors de l'attribution prise si au sérieux, ce n'est la société. Le fait d'enfrein- vitrine de la réussite du
de marchés. Officieusement, pas par pudibonderie ou dre le code de conduite modèle économique chinois,
d'autres explications ont cir- excès de morale : c'est parce avant même d'être nommé tant en interne que vis-à-vis
culé sur les motifs de ce qu'il est demandé aux directeur général l'a décon- de l'étranger. La corruption
départ1. Ces trois départs agents de la CIA de ne pas sidéré. dont est accusé Liu Zhijun
font écho à ceux de ministres avoir de liaison extra-conju- (qui semble avérée) est
chinois et indiens survenus gale pour ne pas risquer Le cas d'A. Serdioukov peut aggravée par les circons-
ces derniers mois, les plus d'être victimes de pressions s'analyser de la même façon. tances dans lesquelles elle
marquants étant ceux du ou de chantage. Le général En tant que ministre de la est intervenue. Liu Zhijun

6 Audit & Contrôle internes n°212 - nov.-déc. 2012


est en effet accusé d'avoir licences de téléphonie était points peuvent cependant ces audits sont réalisés soit
bénéficié de pots-de-vin un projet emblématique du être systématiquement audi- par l'audit interne, mandaté
d'entreprises attributaires de gouvernement indien, tés par les auditeurs internes par le Conseil ou le Comité
marchés publics. L'une des contrôlé par le parti popu- pour apprécier l'exemplarité d'audit, soit par des audi-
contreparties de ces pots- liste BJP : elle était censée du management : la poli- teurs extérieurs. De même,
de-vin aurait été un assou- montrer que l'Etat cédait au tique de rémunération, le certains groupes internatio-
plissement des contrôles prix fort certaines ressources contrôle des frais profes- naux font auditer tous les
qualité, permettant aux de la nation, afin de financer sionnels, le respect des pro- ans les achats du siège
sociétés attributaires des des projets de développe- cédures d'achats, l'existence social : les enjeux sont limi-
marchés de livrer des maté- ment en faveur du plus de parties liées… Même s'ils tés en termes financiers,
riels (notamment ferro- grand nombre. Le vrai sont parfois vus comme des mais ces audits visent à
viaires) qui ne respectaient reproche fait au ministre contrôles de conformité, garantir que les achats réali-
pas les exigences fixées par n'était donc pas d'avoir tous ces domaines ont une sés à haut niveau, par la
les cahiers des charges. empoché au passage importance particulière dans direction du groupe, sont
L'une des conséquences de quelques dizaines de mil- la mesure où ils peuvent bien exemplaires. Des audits
cette corruption aurait été lions de dollars, mais de révéler une faille dans l'en- similaires peuvent être orga-
un nombre élevé d'accidents l'avoir fait en faisant perdre vironnement général de nisés sur la politique de
sur le réseau ferré, le plus au budget de l'Etat plusieurs contrôle. recrutement, de promotion
emblématique étant celui du dizaines de milliards de dol- et d'évaluation des cadres.
TGV survenu en 2011. Ce lars, au profit de sociétés Le deuxième enseignement
qui est reproché au ministre étrangères ou de magnats est que l'exemplarité du De façon plus générale, ces
n'est donc pas tant le fait locaux. Pour un gouverne- management est une notion affaires viennent valider les
d'avoir touché des pots-de- ment populiste, se voulant qui peut varier selon les orientations données par les
vin, que d'avoir consenti à au service des masses et fai- contextes, les mêmes faits législations récentes, qu'il
une baisse du niveau de sant de la justice sociale et pouvant être considérés s'agisse de la 8ème directive
sécurité et de qualité du du développement écono- comme acceptables ou européenne, de la loi améri-
réseau de transport, et mique ses priorités, il s'agit bénins dans un contexte caine Sarbanes-Oxley ou de
d'avoir ainsi mis en péril la là d'un crime impardonna- donné, et graves dans un ses déclinaisons locales au
sécurité des passagers et ble. autre. L'auditeur doit donc Japon, en Corée, en
l'image de marque du analyser avant sa mission les Suisse... : toutes ces législa-
régime. Quels enseignements points sur lesquels on attend tions insistent en effet sur
en tirer pour l'audit et du management qu'il soit l'importance pour le Comité
On retrouve la même le contrôle internes ? exemplaire, et les auditer. d'audit d'orienter et de sui-
logique dans l'affaire de l'at- vre l'activité de l'audit
tribution des licences de Ces affaires rappellent tout Enfin, le troisième enseigne- interne, qui doit pouvoir être
téléphonie mobile en Inde. d'abord que l'exemplarité du ment de ces affaires est que un outil donnant au Conseil
Le gouvernement indien a management, le « tone at the la meilleure garantie de d'administration l'assurance
attribué en 2010 des licences top », n'est pas qu'une l'exemplarité du manage- de l'exemplarité de la direc-
de téléphonie mobile à des notion théorique. Il s'agit au ment est sans doute le fait tion générale qu'il a nom-
opérateurs, essentiellement contraire d'une composante de le soumettre à des mée. 
étrangers. Le ministre des essentielle de l'environne- contrôles indépendants
télécommunications de ment général de contrôle, réguliers. Ainsi, à la
l'époque est accusé d'avoir qui doit donc être auditée et demande de leur Conseil
1
grossièrement sous-évalué évaluée par les auditeurs d'administration, certaines M. Serdioukov est le gendre de
M. Zoubkov, ancien premier minis-
la valeur de ces licences, en internes. Cette évaluation sociétés (souvent améri- tre et proche très influent de
percevant au passage est parfois délicate, notam- caines) décident de faire V. Poutine. La presse spécialisée a
suggéré que les vraies raisons de
quelques dizaines de mil- ment lorsque l'audit interne auditer tous les ans la rému-
son départ seraient d'ordre pure-
lions de dollars. Or, cette ne dispose pas de l'indépen- nération et les frais profes- ment privé.
mise aux enchères des dance nécessaire. Certains sionnels de leurs dirigeants ;

nov.-déc. 2012 - Audit & Contrôle internes n°212 7


IDÉES ET DÉBATS

Gouvernance et éthique
Comment prévenir les conflits d’intérêts
dans la vie publique ?

Les entreprises de dimension internationale connaissent bien le sujet des conflits d’in-
térêts, notamment dans le cadre de la lutte contre la corruption. Des programmes
de sensibilisation sont mis en place sur une grande échelle (diffusion de chartes
éthiques, codes de conduite, référentiels de déontologie…). On peut regretter que
dans la sphère de la vie publique, en France, les mesures préventives préconisées tar-
dent à voir le jour. Des projets de loi devraient être soumis au Parlement en 2013,
particulièrement en matière de prévention des conflits d’intérêts dans la vie publique.

prenantes des entreprises sur ces ques- publiques des agents publics ne sont pas
tions sensibles qui sont loin d’être théo- convenablement gérés, il peut y avoir
Sylvie Le Damany riques. Le rappel des textes réglemen- corruption1.
Avocat et associée, cabinet taires applicables aux activités (Foreign
JeantetAssociés (Contentieux, Corrupt Practices Act, UK Bribery Si l’on constate que la prévention des
Gouvernance, Risques et Conformité)
Act... ), des règles et procédures internes situations de conflits d’intérêts fait bien
est le minimum requis pour alerter et partie intégrante des politiques anti-cor-
La question des conflits informer les personnes les plus exposées ruption des entreprises internationales,
d'intérêts tant dans le secteur dans leurs activités professionnelles. Les il faut regretter que dans la sphère de la
privé que public est une procédures d’alerte et les programmes vie publique, les mesures préventives
préoccupation majeure dans de formation elearning deviennent pra- préconisées tardent à voir le jour en
le monde entier tiques courantes au sein des entreprises, France.
tous secteurs confondus, alors que ces
Les entreprises de dimension interna- sujets continuent d'alimenter l'actualité. Qu’est-ce qu’un conflit
tionale connaissent bien le sujet des d’intérêts ?
conflits d’intérêts notamment dans le Conflit d’intérêts et corruption
cadre de la lutte contre la corruption. En Nous pouvons nous référer à la défini-
la matière, des programmes de sensibi- Le lien entre le conflit d’intérêts et la tion suivante :
lisation sont mis en place au moyen de corruption est un sujet en soi. Il peut
la diffusion de chartes éthiques, codes exister un conflit d’intérêts sans pour « Un conflit d'intérêts naît d'une situation
de conduite, référentiels de déontologie, autant que le délit de corruption soit dans laquelle un agent public a un intérêt
voire de vastes compliance programmes commis. Cela étant, si les conflits entre personnel de nature à influer ou paraître
destinés aux collaborateurs et parties les intérêts privés et les missions influer sur l'exercice impartial et objectif de

8 Audit & Contrôle internes n°212 - nov.-déc. 2012


ses fonctions officielles. L'intérêt personnel intérêt particulier suspect n’a pu être obligations aux élus, membres du gou-
de l'agent public englobe tout avantage pour prouvé, il n’est que « possible ». Une vernement et fonctionnaires d’autorité :
lui-même ou elle-même ou en faveur de sa analyse de la situation devra être • obligation d’établir une déclaration
famille, de parents, d'amis ou de personnes menée pour écarter tout doute sur la préalable d’intérêts, mise à jour
proches, ou de personnes ou organisations probité de la personne suspectée. annuellement et rendue publique, qui
avec lesquelles il ou elle a ou a eu des rela- • Le conflit réel : lorsqu’il est « avéré » indiquerait l’ensemble des fonctions
tions d'affaires ou politiques. Il englobe éga- qu’un intérêt personnel peut venir et mandats, rémunérés ou non, occu-
lement toute obligation financière ou civile « influencer » le comportement de la pés actuellement ou au cours des cinq
à laquelle l'agent public est assujetti » .
2 personne exerçant ses fonctions pro- années écoulées, les revenus et avan-
fessionnelles. tages en nature tirés de ces activités
Toutefois, cette notion de conflit d'inté- ainsi que les activités des conjoints ;
rêts ne doit pas être limitée au secteur En France, les commissions, • obligation de déclarer tout risque
public. Le Service central de prévention les rapports et les de conflit d’intérêts avant toute déli-
de la corruption (SCPC), placé auprès recommandations se bération ou décision sur un sujet pour
du ministre de la Justice, donne une succèdent… lequel l’intéressé a – ou semble avoir
définition qui peut s'étendre au secteur – des intérêts personnels ;
privé : Il est intéressant de relever que le SCPC • obligation de s’abstenir de partici-
a développé des actions de formation et per à la délibération et à la déci-
« Un conflit d'intérêts naît d'une situation de sensibilisation destinées aux secteurs sion.
dans laquelle une personne employée par un public et privé3. Cela ne suffit pas néan-
organisme public ou privé possède, à titre moins. TI France a proposé la création d’un
privé, des intérêts qui pourraient influer ou code de déontologie et une fonction de
paraître influer sur la manière dont elle Transparency International France (TI déontologue pour chaque catégorie
s'acquitte de ses fonctions et des responsa- France), présidé par Daniel d’acteurs publics (membres du
bilités qui lui ont été confiées par cet orga- Lebègue, a émis des gouvernement, parlemen-
nisme ». recommandations taires, élus locaux,
destinées à prévenir fonctionnaires) qui
L’intérêt personnel est compris de façon les conflits d’inté- « Il peut exister serait un sage
très large. Il peut être direct ou indirect, rêts dans la vie un conflit d’intérêts indépendant
concerner la personne et elle seule (inté- publique fran- (par exemple, un
rêt propre) ou ses proches. L’intérêt peut çaise . A l’issue
4 sans pour autant que ancien magis-
être de nature économique, financière, de l’année 2010, le délit de corruption trat) pouvant
politique, professionnelle, confession- les recommanda- être saisi par les
soit commis. »
nelle ou sexuelle. tions ont été pré- intéressés, donner
sentées au groupe de des conseils et avis sur
Le SCPC identifie : travail de l’Assemblée la mise en œuvre des
• Le conflit potentiel : il n’existe pas nationale alors en charge du règles.
encore de conflit proprement dit, dans sujet, puis début 2011 à la Commission
la mesure où il n’existe pas à ce des lois du Sénat. Le rapport plaide pour Certaines propositions émises par TI
moment de lien direct entre les inté- une déontologie renforcée avec l’instau- France ont été reprises dans le très
rêts de la personne et sa fonction. ration de sanctions pénales qui s’appli- remarqué rapport Sauvé rendu public le
Néanmoins, un changement dans sa queraient en cas de violation des règles 26 janvier 2011 qui ne fut malheureuse-
situation (prise de fonctions, promo- édictées. ment pas suivi d'actions immédiates5.
tion, mutation) pourrait créer ce
conflit. Le point principal est l’adoption d’une Le conflit d’intérêts dans la vie publique
• Le conflit apparent : les faits en loi qui définit la notion de conflit d’inté- est un sujet qui fait couler beaucoup
cause ne sont pas certains : aucun rêts dans la vie publique et impose des d’encre.

nov.-déc. 2012 - Audit & Contrôle internes n°212 9


IDÉES ET DÉBATS

La Commission de rénovation cumul des mandats, de prévention des d’actes illicites ou qui identifierait un
et de déontologie de la vie conflits d’intérêts dans la vie publique et risque avéré ou potentiel de conflit d’in-
publique a rendu son rapport de contrôle citoyen. térêts. Il ne s’agirait pas d’une procédure
le 9 novembre 2012 à connotation pénale telle que celle pré-
En matière de prévention des conflits vue à l’article 40 du code de procédure
L’Assemblée nationale et le Sénat ont d’intérêts, la Commission Jospin rejoint, pénale. La Commission estime qu’un tel
créé fin 2010 des groupes de travail sur pour l’essentiel les recommandations de dispositif d’alerte pourrait contribuer
la prévention des conflits d’intérêts. Des TI France ainsi que celles formulées par utilement à la rénovation de la vie
rapports ont été émis en 2011 suivi de la Commission du Président Jean-Marc publique.
recommandations. Sauvé en janvier 2011. Les parlemen-
taires ainsi que les titulaires de certains Rapport à suivre … 
Aucune loi n'a été adoptée pour mettre emplois publics supérieurs de l’Etat et
en œuvre toutes ces propositions mais les membres et principaux responsables
le rapport Sauvé sert néanmoins de fon- d’autorités administratives indépen-
dement aux travaux en cours. dantes sont également concernés par les
mesures proposées : adoption d’une loi
Le Président de la République a sur la prévention des conflits
créé en juillet 2012 un d’intérêts, et nécessité de
nouveau groupe de promouvoir le déve-
travail : « la Com- loppement des
mission de réno- « Le conflit d’intérêts bonnes pratiques,
vation et de dans la vie publique en d’autres
déontologie de termes, nou-
la vie publique »
est un sujet qui fait velles obliga-
(dite Commis- couler beaucoup tions, nouvelles
sion Jospin) et a
d’encre. » sanctions et mise
demandé à cette en place de règles 1
Cf. Recommandation du Conseil OCDE du 28
commission de « faire déontologiques. mai 2003 – n° C(2003)107 sur les lignes directrices
pour la gestion des conflits d'intérêts dans le ser-
des propositions relatives à la vice public Annexe § 4.
prévention des conflits d'intérêts, tant « Les différentes approches adoptées 2 Recommandation du 11 mai 2000 n° R (2000)10
à l'égard des parlementaires et des membres par les pays membres [de l'OCDE] pour du Comité des ministres du Conseil de l'Europe sur
du Gouvernement que des titulaires de cer- gérer les situations de conflits d'intérêts sont les codes de conduite pour les agents publics.

tains emplois supérieurs de l'Etat, de le reflet de leurs traditions historiques, juri- 3Cf. Rapport du SCPC 2004 et son Rapport 2010
manière à garantir, par la définition de diques et administratives. Des mesures ins- notamment sur le conflit d’intérêts ou l'émer-
gence progressive d'une nouvelle norme juridique
règles déontologiques, la transparence de la titutionnelles telles que les audits et vérifi- (Chapitre V).
vie publique ».6 cations externes à caractère constructif ou 4Rapport 2010 TI France Prévenir les conflits d’in-
les autres méthodes de contrôle interne ont térêts dans la vie publique.
Le 9 novembre 2012, la Commission a tout à fait leur place dans la gestion des 5
Rapport au Président de la République de la
présenté au Président de la République situations de conflits ».8 Commission de réflexion pour la prévention des
son rapport contenant 35 propositions7. conflits d’intérêts dans la vie publique présidée
par Monsieur Jean-Marc Sauvé vice-président du
L'un des chapitres de ce rapport est Il convient de souligner que le rapport Conseil d’Etat.
consacré à la mise en œuvre d'une de la Commission de rénovation et de 6
Extrait de lettre du Président de la République.
« stratégie globale de prévention des déontologie de la vie publique propose
7 Cf. : www.vie-publique.fr
conflits d’intérêts ». Suite à ces proposi- de mettre en place un dispositif ouvert
tions, plusieurs projets de loi devraient d’alerte éthique tel qu’il existe dans plu- 8Cf. Recommandation du Conseil OCDE du 28
être soumis au Parlement au début de sieurs pays de l’OCDE. Ce dispositif mai 2003 – n° C(2003)107 sur les lignes directrices
pour la gestion des conflits d'intérêts dans le ser-
l'année 2013 notamment en matière de serait ouvert à tout citoyen témoin vice public Annexe § 6.

10 Audit & Contrôle internes n°212 - nov.-déc. 2012


DOSSIER

Les outils informatiques


au service des auditeurs
et des contrôleurs internes
Leurs fonctionnalités et leurs atouts

12 Les outils informatiques au service des auditeurs et


contrôleurs internes
Yohann Vermeren

14 Liste des outils informatiques à disposition des


auditeurs et des contrôleurs internes

26 Siemens mène ses audits plus rapidement et à


moindre coût
Sandeep Bhatkhande

27 Un outil au service de la gestion des risques et de


l’audit interne chez AG2R La Mondiale
Patrick Saint-Maxent

28 Une assurance élevée et appréciée


Jean-Luc Meurisse

29 L’évaluation du contrôle interne dans le groupe


Bouygues
Renaud Vorms

30 La gestion des risques et de l’audit interne de la MAIF


Vianney Dumont et Armand Forgerit

31 Disposer d’une vue agrégée du risque d’entreprise


Marshall Toburen

32 Comment Provimi a mis en œuvre sa stratégie GRC en


optimisant ses processus métier et IT

33 Un outil d’amélioration de l’efficacité des missions


d’audit de Zodiac Aérospace
Arnaud Dubant

34 Pour une sélection judicieuse et une utilisation


optimale d’un logiciel
Unité de Recherche Informatique

nov.-déc. 2012 - Audit & Contrôle internes n°212 11


DOSSIER

Les outils informatiques


au service des auditeurs
et contrôleurs internes
Yohann Vermeren - Directeur, KPMG Advisory - Membre de l'Unité de Recherche Informatique
de l'IFACI

L
orsqu’on se pose la question tests, et d’en faire un suivi régulier. De interne), la gestion des risques, la ges-
« quels sont les outils informa- la même manière, quelques directions tion de l’audit et la gestion des poli-
tiques mis au service des direc- d’audit ont déployé des outils spécialisés tiques et procédures.
tions d’audit et du contrôle internes ? », dans la fonction « audit interne ». Il en Il n’en reste pas moins que de nom-
on s’imagine que ces directions utilisent est de même pour la fonction « gestion breuses entreprises, n’étant pas
l’ensemble des outils mis à disposition des risques ». convaincues par l’apport d’une solution
de l’ensemble de la société, c'est-à-dire, intégrée, choisissent une approche
la messagerie, les applications bureau- Depuis maintenant plusieurs années, on modulaire en fonction de leur besoin
tiques et éventuellement les solutions constate une tendance forte vers la précis, c'est-à-dire en déployant seule-
intranet et portails collaboratifs, ce qui convergence des processus de gouver- ment les fonctionnalités d’audit interne
est effectivement le cas en tout premier nance, risques, contrôle et conformité1. ou de contrôle interne d’un outil par
lieu. Néanmoins, bon nombre de socié- « GRC (Governance, Risk and Com- exemple.
tés ont déjà mis en place tout ou partie pliance) » est une approche orientée pro-
de solutions plus poussées et dédiées à cessus permettant d’identifier les risques Les analyses considèrent que les solu-
l’amélioration de l’efficacité, de la qua- au sein d’un processus, d’évaluer les tions proposées sur le marché ont
lité et de la communication des métiers contrôles en place pour s’assurer de la atteint une maturité en termes de cou-
d’auditeurs, de contrôleurs et de ges- mise sous contrôle de ces risques. Les verture fonctionnelle ; la différenciation
tionnaires des risques. éditeurs des différents domaines se joue désormais sur les fonctionnalités
(risques, contrôle interne, audit, proces- de gestion de risques et de la prise en
Les outils supports sus) ont fait évoluer leurs solutions pour compte des impacts de ces risques sur la
des processus « métier » couvrir tout ou partie du spectre complet performance de l’entreprise. La ten-
de la « GRC » (Bwise, Enablon, eFront, dance du marché va aussi clairement
On observe durant l’ère Sarbanes Oxley RVR, etc.). On note aussi l’arrivée des vers une plus forte intégration avec les
(2003 - 2004) puis LSF (Loi de Sécurité éditeurs d’ERP sur une partie des fonc- outils de type CACM (présentés ci-des-
Financière) une vague importante de tionnalités couvertes par la « GRC » sous), de Business Intelligence, pour amé-
déploiement d’outils permettant de (Oracle ou SAP). Les fonctionnalités liorer le pilotage global de l’entreprise,
documenter les processus de « contrôle couvertes par de tels outils sont la voire même avec les ERP pour une inté-
interne », d’évaluer les contrôles et les conformité (évaluation du contrôle gration encore plus complète.

12 Audit & Contrôle internes n°212 - nov.-déc. 2012


Les outils informatiques au service des auditeurs et des contrôleurs internes

Les outils de contrôle • optimiser la réalisation de tests d’effi- afin :


et audit continus cacité des contrôles et des opérations • de définir et de sélectionner des
grâce à l’automatisation ; échantillons de tests ;
L'audit continu (CA pour Continuous • communiquer des indicateurs d’acti- • d’évaluer l’efficacité d’une chaîne de
Auditing) et le contrôle continu (CM vité pertinents au Comité de direc- contrôles ;
pour Continuous Monitoring) ont pour tion. • d’analyser des transactions spéci-
objectif d’offrir une meilleure transpa- fiques et/ou significatives au sein d’un
rence des opérations et d’assurer la On retrouve sur ce type de solutions des système d’information ;
régularité de la production du reporting, acteurs différents : • de revoir le paramétrage d’un système
et ce au plus près du temps des activités • les éditeurs d’ERP (Oracle, SAP) qui d’information ;
opérationnelles, grâce à des outils de ont accès facilement aux données de • de quantifier l’impact d’un contrôle
détection et de pilotage. leurs propres solutions ; défectueux.
Le contrôle continu est un mécanisme • les éditeurs d’outils d’analyse de don-
automatisé permettant au management nées (ACL) qui facilitent le traitement On ne peut plus parler d’outils d’analyse
de s’assurer que les systèmes et les et la restitution des données pour les de données sans parler de contrôle et
contrôles fonctionnent conformément contrôleurs et auditeurs ; d’audit continus (CACM), l’analyse de
aux dispositions établies lors de leur • les éditeurs de GRC (Bwise) propo- données systématique et industrialisée
conception, et que le traitement des sent des fonctionnalités permettant étant la première brique à la mise en
opérations est régulier. L’audit continu d’intégrer le CACM au sein de leur place d’un contrôle permanent récur-
consiste à assurer la collecte automati- plateforme. rent. Ces outils permettent effective-
sée, régulière ou continue, de preuves ment l’automatisation des requêtes de
d’audit et d'indicateurs. Les outils d’analyse contrôles, des tableaux de bord d’alertes.
de données
Les bénéfices attendus de telles solu- * *
tions sont les suivants : Ce dossier présente un dernier type *
• accroître les capacités de surveillance d’outil utilisé par les directions d’audit
des risques et des contrôles à l’aide et du contrôle internes que sont les Il existe de nombreux autres outils spé-
d’outils de pilotage et d’identification outils d’analyse de données. Ces outils cialisés, pouvant éventuellement faciliter
anticipée des risques (notamment liés sont très largement répandus au sein la réalisation de missions d’audit ou
à la fraude) ; des directions (notamment ACL ou l’évaluation du contrôle interne, qui ne
IDEA), sans être utilisés de manière sys- sont volontairement pas mentionnés ici.
tématique et sans tirer profit de l’ensem- La liste en serait trop longue et compor-
ble des fonctionnalités qui sont propo- terait des outils trop spécifiques (détec-
sées. tion du risque de blanchiment, assu-
Selon le GTAG 16 , l’utilisation des
3 rance, intrusions réseaux informatique,
technologies d’analyse de données est etc.). 
de nos jours un atout majeur qui permet
aux auditeurs d’accroître la couverture
de leurs audits, d’être plus efficaces et 1Etude KPMG international « The convergence
d’avoir un degré d’assurance plus challenge » 2010, 64 % des répondants considè-
rent la mise en place d’une organisation GRC inté-
important. grée comme une priorité.
Ces solutions permettent de réaliser une 2Global technology audit guide 16: data analysis
analyse approfondie du contrôle interne technologies / Altus J. Lambrechts, et al. – IIA,
2011.

nov.-déc. 2012 - Audit & Contrôle internes n°212 13


DOSSIER

Liste des outils informatiques à disposition des auditeurs


et contrôleurs internes

Nombre Coût
moyen moyen
Editeurs Progiciel Fonctionnalités / spécificités Architecture
d'utilisa- des
teurs licences

Plateforme d'audit et de contrôle continu centralisant 3 à plus de


Mode Client/Serveur avec des mécanismes de
ACL AuditExchange l'ensemble des contrôles metiers et leurs diffusion via 100 de 13 à 30 k€
diffusion via intranet.
des interfaces web. utilisateurs

de 3 à plus de 1 100 € par Web et Client/Serveur avec le module


AX Dashboard Solution Tableaux de bord pour ACL AuditExchange 3.0
100 utilisateur AX™Exception.

1 300 € à
Solution de gestion des alertes et workflow pour leur de 3 à plus de Architecture Web avec la plateforme ACL
AX Exception 500 € par
suivi. 100 AuditExchange 3.0
utilisateur

Locatif à partir
Cloud technology avec rapatriement de vos
ACL Workpapers Référentiel d'audit pour la gestion des missions d'audit. Illimités de 90 € par
ACL données.
mois

Solution d'analyse et de création de contrôles de 1 à plus de 2 200 € par


ACL Desktop Client installé sur un PC portable ou local.
autonomes. 100 utilisateur

Solution Add-on basé sur Monarch pour extraire les Utilisateur Client installé sur un PC portable ou local avec
ACL Importer 895 €
données complexes. Desktop ACL Desktop.

Solution add-on d'excel pour analyser des données avec de 1 à plus de 250 € par
ACL Acerno Add-on excel.
des fonctions d'audit. 100 utilisateur

Solution pour sélectionner et extraire des données SAP


9 000 € par Connecteur pour le client ACL™ Desktop ou la
ACL Direct Link et les charger au format ACL soit pour le contrôle
paysage SAP solution serveur AX™Core.
périodique ou continu.

Prévention de la fraude, gestion du risque (secteur


financier). Actimize est une plateforme de gestion des
risques financiers.
Les 4 piliers de la solution sont les suivants : détection
Actimize Actimize de la fraude ; lutte anti-blanchiment ; compliance ; NC NC NC
enterprise risk management.
La solution est utilisée par plus de 250 banques,
organismes financiers et autorités de régulation dans le
monde.

GRC Cloud est un référentiel et une application de


GRC Cloud est une application basée sur le
rapports de la performance des gestion de risques, de la
Web.
conformité, de l'audit et de la performance de
Nos applications peuvent être déployées à
l'entreprise.
travers l'i-cloud ou sur l'infrastructure propre
Liste des fonctions d'audit et de contrôle internes :
BPS Resolver GRC Cloud NC NC client. L'interface est basée sur un navigateur
planification basée sur les risques ; Issue and Action
et ne nécessite donc pas d'être installé sur
Tracking ; Workflow configurable ; Scoping ; rapports
l'ordinateur de l'utilisateur. Pour les utilisateurs
flexibles ; tableaux de bord ; planification automatisée ;
ayant un accès limité à internet, des options
écrans simplifiés pour les utilisateurs ; Library
en mode hors connexion sont déployées.
Management ; plusieurs niveaux d'approbation.

BWise offre des solutions pour : l’audit interne, le


contrôle interne, la gestion de risques, la gestion de la
conformité, et les sujets de développement durable et la tarification
de responsabilité sociale. Chacune de ces solutions, des licences
basée sur un savoir-faire métier, fait partie de la plate- de quelques est basée sur BWise est proposé en mode acquisition,
forme de GRC standard et intégrée. dizaines à les rôles hébergement ou SaaS.
BWise
BWise 4.1 SP3.5 BWise permet une description structurée de votre plusieurs utilisateurs Application n-tiers entièrement web
(Nasdaq OMX)
organisation et de vos cadres d'architecture (processus, dizaines de (auditeur, accessible par les navigateurs internet du
risques, contrôles) ainsi qu'une mise en mouvement de milliers contrôleur marché. Compatibilité Oracle ou SQL Server.
cette description via la gestion des évaluations ou des interne, risk
programmes de travail, et des actions de remédiations. manager…)
Un reporting complet permet le suivi et l'analyse de
l'activité.

14 Audit & Contrôle internes n°212 - nov.-déc. 2012


Les outils informatiques au service des auditeurs et des contrôleurs internes

Champs d'application

(Sarbanes Oxley)
Audit et contrôle

Auto-évaluation

contrôle interne
Automatisation

prévention de

Evaluation du
des contrôles

Extraction et

Site internet Contact et coordonnées


analyse des

analyse des
des papiers

Conformité

spécifiques
Détection /

Gestion et

Solutions
de travail
de l'audit

la fraude
continus

données
Gestion

risques
www.acl.com/solutions/pr
X X X oducts/acl-auditexchange/

www.acl.com/solutions/pr
X X oducts/acl-auditexchange/

www.acl.com/solutions/pr ACL Europe Ltd


X X oducts/acl-auditexchange/ Atlantic House
Imperial Way
Reading, Berkshire
www.acl.com/solutions/pr RG2 0TD
X X X oducts/acl-workpapers/ United Kingdom

www.acl.com/solutions/pr Contact : Pascal Gadea


X X oducts/acl-desktop/ Tél: +33(1) 61381503
ou 33 6 62 40 32 93
www.acl.com/solutions/pr pascal_gadea@acl.com
X oducts/acl-desktop/

www.acl.com/solutions/pr
X oducts/acl-acerno/

www.acl.com/solutions/ho
X t-topics/sap-erp/

EMEA
176 Avenue Charles de Gaulle
X X www.niceactimize.com 92200 Neuilly-sur-Seine

Tél. : + 33 (0) 01 4138 5000

BPS Resolver
703 Evans Avenue, Suite 107
Toronto, ON, Canada
M9C 5E9
X X X X X X X www.bpsresolver.com
Contact : Peter Trinz
Tél. : +1 416 622 2299 (Ext 229)
peter.trinz@bpsresolver.com

BWise France
19 Boulevard Malesherbes
75008 Paris
X X X X X X X X X www.bwise-grc.fr
Contact : Stéphane Dorchin
Tél. : 01 55 27 37 28
stephane.dorchin@bwise.com

nov.-déc. 2012 - Audit & Contrôle internes n°212 15


DOSSIER

Nombre Coût
moyen moyen
Editeurs Progiciel Fonctionnalités / spécificités Architecture
d'utilisa- des
teurs licences

IDEA est reconnu pour sa simplicité d'utilisation.


Les principales fonctions sont :
• le croisement de différentes tables ;
• la recherche de transactions suspectes ; 2 500 €/HT
IDEA Version 8.5 plus de
CaseWare-IDEA • la vérification des calculs ; (Version Monoposte, Réseau, Client-Serveur.
(prochainement V. 9) 250 000
• la vérification du respect des seuils d'autorisation ; Monoposte)
• les doublons, les ruptures de séquences ;
• les analyses de saisonnalité et tendance ;
• les échantillonnages.

La suite Cura GRC permet de gérer :


• les risques de l'entreprise : gestion des risques
financiers, opérationnels, de l'information et risques
liés à des projets clés ;
• la modélisation des risques quantitatifs ;
Cura Software Cura Enterprise GRC
• la gestion des incidents ; NC NC NC
solutions platform
• la conformité aux normes, lois et réglements ;
• l'audit interne : élaboration du plan d'audit, gestion
des ressources, suivi de la mission et des
recommandations ;
• les plans de continuité d'activité.

Cogis Software (Groupe Alpha Centauri) propose une


solution GRC axée autour de 3 piliers :
• le contrôle interne : pilotage de campagnes de contrôle
interne, suivi de la mise en place de plans d'actions,
Cogis Software Cogis Software etc. ; NC NC NC
• l'audit interne : planification, réalisation et suivi des
missions d'audit, suivi des recommandations, etc. ;
• la gestion des risques : élaboration de fiches de risque,
de cartographie des risques, etc.

Monarch est un outil d'extraction de données. La


Monarch Report solution est capable d'extraire des données depuis des
Datawatch NC NC NC
Analytics factures papiers, des fichiers textes ou PDF et de les
exporter sous Excel, Access, etc.

La solution RVR est une application full-web


La solution RVR est une plateforme GRC intégrée, développée sur une plateforme technique
innovante, spécialisée sur la gestion des risques, le Java/J2EE, fonctionnant sur les grands
contrôle interne et l’audit. standards du marché de : bases de données
RVR permet en particulier de gérer : (Oracle, SQL Server) ; serveurs d’application
de quelques
• le processus d’audit : plan d’audit, planification et (Websphere, Tomcat) ; systèmes d’exploitation
dizaines à
RVR Risque, réalisation des missions, papiers de travail, rapport nous (Windows Server, Linux, AIX).
Devoteam plusieurs
Contrôle, Audit d’audit, suivi des recommandations ; consulter L’application apporte un haut niveau de
milliers
• le contrôle interne : gestion des référentiels, sécurité et d’interopérabilité. Sa
d'utilisateurs
campagnes d’évaluation, testing, suivi de plans configurabilité permet de concilier flexibilité
d’actions. d’adaptation à la méthodologie du client,
RVR offre des capacités multiples d’analyse et de rapidité d’intégration et évolutivité.
reporting à chaque niveau de l’organisation. Devoteam offre ses solutions en mode licence
classique ou en mode SaaS.

eFront est spécialisé dans les métiers de Gouvernance,


eFront s’appuie sur une plateforme technique
de gestion des risques et de la conformité. FrontGRC Contrôleur =
(WebEdge 5 .NET), une technologie Microsoft
présente une large couverture fonctionnelle : risques, 200
Small deal = qui garantit : interopérabilité ; reporting &
contrôle interne, contrôle permanent, conformité, audit
50 K€ analyse multidimensionnelle (FrontAnalytics) ;
interne, plans de continuité d’activité, Corporate Utilisateurs =
support de Multi-device ; performance ;
Governance, Continuous Control Monitoring avec ACL. 5 000
Large Deal = sécurité, traçabilité, Workflow, GED,
eFront Front GRC eFront propose une offre sectorielle s’appuyant sur ces
500 K€ administration, multilinguisme / Devise ;
solutions métier tout en intégrant les spécificités en Audit = 40
“Google-like” search engine ; gestion des
terme de contenu et de processus des secteurs
Average = droits multidimensionnelle.
d’activités qu’il s’adresse. Total (incluant
150 K€ WebEdge 5 .NET supporte : plusieurs
eFront est le seul acteur spécialisé de la GRC à avoir les audités) =
navigateurs ; IE10 support ; HTML5.
développé (Intégration native) une solution d’analyse et 500
Authentification and SSO
de reporting multidimensionnelle.

16 Audit & Contrôle internes n°212 - nov.-déc. 2012


Les outils informatiques au service des auditeurs et des contrôleurs internes

Champs d'application

(Sarbanes Oxley)
Audit et contrôle

Auto-évaluation

contrôle interne
Automatisation

Evaluation du
des contrôles

Extraction et
Site internet Contact et coordonnées

de la fraude
analyse des

analyse des
des papiers

Conformité

spécifiques
Détection /
prévention

Gestion et

Solutions
de travail
de l'audit

continus

données
Gestion

risques
Caseware IDEA
12 Place St Hubert
59000 Lille
X X X www.caseware-idea.fr
Contact : François Lienart
Tél : 03 59 56 06 80
francois.lienart@caseware.com

Cura Europe
Suite 125, Berkeley Square House
Berkeley Square, London,
X X X X X X X www.curasoftware.com W1J 6BD
United Kingdom

Tél. : +44 (0) 20 7887 1584

COGIS SOFTWARE FRANCE


1-3 Bd Charles de Gaulle
92700 Colombes
X X X X www.cogis-software.com
Contact : Philippe Donguy
Tél. : + 33 1 47 82 40 59

Datawatch Corporation
Quorum Office Park
X X www.datawatch.com 271 Mill Road
Chelmsford, MA 01824
USA

Devoteam
73 rue Anatole France
92300 Levallois Perret

Contact : Paul Chegaray


X X X X X X X www.devoteam.com
Tél. : 06 71 05 28 44
paul.chegaray@devoteam.com
Contact : Agnès Poyard
Tél. : 06 59 91 35 10
agnes.poyard@devoteam.com

EFRONT
2-4, rue Louis David
75116 Paris
X X X X X X X X X X www.efront.com
Contact : Birame Fall
Tél. : +33 1 49 96 94 31
Mobile : +33 7 78 69 52 21
bfall@efront.com

nov.-déc. 2012 - Audit & Contrôle internes n°212 17


DOSSIER

Nombre Coût
moyen moyen
Editeurs Progiciel Fonctionnalités / spécificités Architecture
d'utilisa- des
teurs licences

La solution RSA eGRC Archer est une


La solution RSA eGRC Archer comprend différents application Web dont l'architecture est
modules nativement interconnectés permettant de scindée en un bloc "Applicatif" et un bloc
gérer les processus liés aux audits, aux contrôles "Base de données".
internes et à la gestion des risques. Le bloc "Applicatif" est installé sur un serveur
Le module "Audit Management" permet d'avoir une vue Windows sur lequel sont installés Microsoft IIS
consolidée de votre programme d'audit. et le Framework .NET.
Le module "Risk Management" permet de gérer les La base de données (qui stocke les données
EMC (Archer) RSA Archer eGRC NC NC
risques et de piloter les différents plans de traitements de configuration et les datas) est une base de
mis en œuvre. données MS SQL.
Le module "Policy Management" permet de gérer les Chacun des composants peut être installé sur
différentes politiques, standard, procédures ou un serveur physique ou un serveur virtualisé.
régulations liées à votre activité. En fonction des spécificités de nos clients des
Le module "Compliance" permet d'automatiser les architectures "Single-Host" (un seul serveur)
contrôles et de gérer les écarts de conformité constatés. ou "Multi-Host" (plusieurs serveurs) sont
proposées.

Les solutions Enablon sont conçues sur


l’infrastructure Technologique full Web
Enablon Operations permettant une
Enablon propose une offre complète et intégrée de utilisation des solutions partout et à tout
solutions logicielles couvrant l’ensemble des moment sans installation sur le poste client.
problématiques de gestion des risques, contrôle et audit Cette technologie supporte aisément des
Interne. Les solutions Enablon permettent aux 10 à 40 000 déploiements auprès de plusieurs milliers
entreprises d’identifier et gérer leurs risques, améliorer utilisateurs d’utilisateurs. Souple et flexible, elle possède
Enablon Suite Enablon ERM leurs dispositifs de contrôle, faciliter leurs audits de selon les NC un environnement de paramétrage intégré
performance et assurer la continuité de leurs activités. solutions et pour une personnalisation précise et rapide et
les projets une gestion facilitée des profils et droits
Les solutions Enablon sont utilisées par plus de 1 000 d’accès.
grandes entreprises, 300 000 utilisateurs et des dizaines L’infrastructure technologique Enablon
de milliers de PME dans tous les secteurs d’activité. comprend le serveur applicatif,
l'environnement de développement
Application Builder, les Modules
Administration, les Connecteurs et l'API.

Audit Analytics est un outil de contrôle continu de


transactions et d'activités d'utilisateurs en lien avec des
processus clés (paye,notes de frais, clôture, etc.). La
Greenlight
Audit Analytics solution permet d'améliorer l'efficacité des processus de NC NC NC
technologies
l'entreprise à travers le suivi d'indicateurs clés de
performance, la remontée d'incidents et les
propositions d'améliorations formulées par l'outil.

IBM OpenPages GRC Platform est une plateforme


intégrée de gestion de la gouvernance, du risque et de
la conformité.
La plateforme de base permet de suivre les thématiques
suivantes : gestion des risques financiers et
OpenPages GRC NC NC NC
opérationnels ; gouvernance informatique ; audit
interne ; compliance.
Une plateforme étendue permet également de gérer le
risque vendeur et fournisseur, le plan de continuité
IBM
d'activité, etc.

IBM Cognos est une solution de business intelligence et


de pilotage de la performance. Elle propose des outils
de reporting, de tableaux de bord, d'analyse, de
Cognos planification budgétaire et d'intelligence collaborative NC NC NC
pour faciliter la prise de décision.
Ces outils sont également accessibles depuis un
terminal mobile.

Approva propose une solution d'audit et de contrôle


continu.
Approva Plusieurs modules sont disponibles : audit continu ;
Lawson NC NC NC
Corporation prévention de la fraude ; compliance ; rationalisation
des contrôles ; gestion des accès ; environnement de
contrôle de l'entreprise.

18 Audit & Contrôle internes n°212 - nov.-déc. 2012


Les outils informatiques au service des auditeurs et des contrôleurs internes

Champs d'application

(Sarbanes Oxley)
Audit et contrôle

Auto-évaluation

contrôle interne
Automatisation

Evaluation du
des contrôles

Extraction et
Site internet Contact et coordonnées

de la fraude
analyse des

analyse des
des papiers

Conformité

spécifiques
Détection /
prévention

Gestion et

Solutions
de travail
de l'audit

continus

données
Gestion

risques
EMC Corporation
80 Quai Voltaire
X X X X X X X www.emc.com
CS 21002
95876 Bezons Cedex

Enablon
X X X X X X X X www.enablon.fr Tél.: 01 47 33 64 65
info@enablon.net

Green light Corp.


Europe Operations - Headquarters
London UK
X www.greenlightcorp.net Knyvett House
Watermans Business Park
The Causeway - Staines
Middlesex - TW18 3BA

X X X X X X X

Tél. : 01 58 75 39 92
www.ibm.com
Code prioritaire : 101KR29W

Consider Solutions, Ltd.


16-20 Ely Place
London
X X X X X www.approva.net
EC1N 6SN
United Kingdom
Tél. : +44 (0) 870 163 0850

nov.-déc. 2012 - Audit & Contrôle internes n°212 19


DOSSIER

Nombre Coût
moyen moyen
Editeurs Progiciel Fonctionnalités / spécificités Architecture
d'utilisa- des
teurs licences

Kairos est une solution GRC tournée vers le secteur


financier, présente surtout dans les pays anglo-saxons.
Son offre est axée autour de :
• la gestion des risques : risques financiers et
opérationnels, risque fournisseur/client, gestion des
MethodWare
ERA Kairos 8.1 incidents, plan de continuité d'activité, etc. ; NC NC NC
(Jade software)
• la compliance avec les lois et réglements
internationaux : SOX, Bâle II et III, Solvency II, etc.
• l'audit interne : planification et suivi des missions,
gestion électronique des documents, suivi des
recommandations, etc.

Magique est une solution présente surtout dans les pays


anglo-saxons. En plus d'une offre de base centrée sur la
gestion des risques (cartographie, risk scoring, etc.),
l'outil propose en option une offre dans les domaines
Risk and Audit suivants : un système de suivi et d'évaluation des
Magique
Management incidents ; problématiques de contrôle interne : NC NC NC
Galileo
Software questionnaires d'auto-évaluation, gestion de
campagnes de contrôle interne ; compliance.
Galileo est un outil associé qui permet de gérer
entièrement le plan, les ressources et les missions
d'audit interne.

MEGA GRC se compose de trois modules : gestion des


risques, contrôle interne et audit interne.
Le module d'audit interne couvre l'ensemble du
processus d'audit :
• créer un plan d’audit orienté risque, qui assure la
couverture régulière des entités et processus, et qui
MEGA GRC peut être installée localement ou
intègre des missions de suivi ;
MEGA GRC de 2 à + 200 accédée via le Cloud. Elle repose sur une
MEGA • planifier et staffer les missions en fonction de la NC
(version 4) utilisateurs architecture 3 tiers : Base de données, Server
disponibilité et des compétences des auditeurs ;
Web et application.
• préparer chaque mission et automatiser la génération
du programme de travail ;
• réaliser les tests, superviser l’équipe et générer le
rapport final ;
• suivre les recommandations par workflow ;
• automatiser les rapports de synthèse pour la direction.

La solution GRC permet de gérer : l'audit interne


(gestion du plan, des ressources et des missions d'audit,
archivage des documents) ; les risques financiers,
Audit Management opérationnels, informatiques et environnementaux ; la
MetricStream Solution and GRC compliance ; le contrôle interne. NC NC NC
Platform 6.0 La plateforme GRC peut s'interfacer avec d'autres
solutions de MetricStream couvrant la gestion
électronique des documents, la gestion du changement,
des formations, etc.

Mkinsight a des clients principalement dans le secteur


financier et dans les pays anglo-saxons.
Audit & risk
La solution permet de piloter l'audit interne
Mkinsight management NC NC NC
(planification, déroulement des missions, suivi des
solutions
recommandations, etc.) et la gestion des risques de
l'entreprise.

Oracle GRC est une application Internet (pas


de composants sur la station de travail) et
Oracle GRC est une solution modulaire et intégrée
utilise :
servant à gérer la gouvernance, la mise en conformité, Le prix moyen
de moins de • Base de données : Oracle 11.2x
les risques, et la mise en place de contrôles continus. d'une vente
10 utilisateurs • Développement et maintenance : Oracle
EGRCM permet de gérer la stratégie d'une entreprise, peut aller
pour les PME, JDK 1.6
ses risques, et ses exigences réglementaires/corporate. quelques
Oracle Enterprise à plusieurs • Serveurs & Middleware : Apache Tomcat
Vous définissez les risques de l'entreprise, les contrôles dizaines de
Governance, Risks, milliers. 6.0.24 ou Weblogic Server 10.3.5
Oracle destinés à les diminuer, et d'autres objets (organisations, milliers
and Compliance - • Autre Middleware : Oracle BI EE 11.1.1.5 et
projets, etc.) où les risques interviennent et les contrôles d'euros à
Version 8.4.3.300 La moyenne Oracle Identity Directory 11.1.1.6
doivent être appliqués. quelques
des • OS Serveur d'application : Linux x86‐64,
EGRCC permet d'automatiser les contrôles centaines de
utilisateurs se Oracle Linux 5.6, Red Hat Enterprise Linux 6.0
(transactionnels, séparation des tâches, configuration milliers
situe vers 80.
des applications et préventifs). d'euros.
Notre solution peut aussi fonctionner en
GRCI apporte une couche BI à l'ensemble.
environnement virtialisé avec Oracle VM
Server : 2.2.1

20 Audit & Contrôle internes n°212 - nov.-déc. 2012


Les outils informatiques au service des auditeurs et des contrôleurs internes

Champs d'application

(Sarbanes Oxley)
Audit et contrôle

Auto-évaluation

contrôle interne
Automatisation

Evaluation du
des contrôles

Extraction et
Site internet Contact et coordonnées

de la fraude
analyse des

analyse des
des papiers

Conformité

spécifiques
Détection /
prévention

Gestion et

Solutions
de travail
de l'audit

continus

données
Gestion

risques
EMEA
4th Floor
4-6 Throgmorton Avenue
London
X X X X X www.methodware.com EC2N 2DL
United Kingdom

Tél. : +44 (0) 20 7151 5050


london@methodware.com

Magique Galileo Software Ltd


60 Cannon Street
London EC4N 6NP
X X X X X www.magiquegalileo.com United Kingdom

Tél. : +44 (0) 20 7002-1370


info@magiquegalileo.com

MEGA International
9 avenue René Coty
75014 Paris
X X X X X X X www.mega.com/fr
Contact : Christophe Gontier
Tél. : 01 42 75 40 00
mega.fr@mega.com

MetricStream, Inc.
Immeuble LE SIRIUS
124, rue de Verdun
X X X X X X www.metricstream.com 92800 Puteaux

Tél. : +33-(0)180048557
info@metricstream.com

Morgan Kai Group Limited


West One
Wellington Street
X X X X www.mkinsight.com
Leeds - LS1 1BA
United Kingdom
Tél. : +44 (0)113 245 5558

Oracle
Portes de la Défense
15, boulevard Charles de Gaulle
www.oracle.com/fr/solutio 92715 Colombes
X X X X X X X X X ns/corporate-
governance/index.html Contact : Christian Meyer
Tél. : +33 1 57 60 23 86
Mobile : +33 6 08 41 84 32
christian.meyer@oracle.com

nov.-déc. 2012 - Audit & Contrôle internes n°212 21


DOSSIER

Nombre Coût
moyen moyen
Editeurs Progiciel Fonctionnalités / spécificités Architecture
d'utilisa- des
teurs licences

La solution BlueSuite d'Oxial s'articule autour de 3 axes :


• BlueRisk, gestion des risques : élaboration et gestion
de la cartographie des risques, remontée et suivi des
incidents, etc. ;
• BlueControl, contrôle interne : gestion des référentiels
Risk Management
Oxial et des campagnes de contrôle interne ; NC NC NC
Solution
• BlueAudit : gestion du plan, des ressources et des
missions d'audit interne.
BlueSuite propose également des modules de
développement durable, gouvernance IT et gestion des
réclamations clients.

Pentana est un éditeur anglo saxon qui développe la


PAWS Audit & Risk
solution PAWS (Pentana Audit Work Solutions), articulée
Pentana Management NC NC NC
autour de 3 axes : audit interne, contrôle interne,
Software
gestion des risques.

Audit interne : plan d'audit, réalisation de missions,


Plateforme technologique intégrée, sans
rapports d'audit, suivi des recommandations. Gestion
nécessité de synchronisation entre les
des auditeurs, des plannings et des notes de frais. Mode
différents modules. PGP est accessible en
"offline" pour travailler déconnecté.
mode SaaS. L’authentification unique SSO et la
Gestion des risques et contrôle interne : gestion du
Variable en connexion au LDAP sont disponibles,
référentiel processus et SI, risques et contrôles.
Portail de GRC et fonction du permettant une intégration de l’application
Protiviti Cartographie des risques, campagnes d'auto-évaluation, 20 à 1 000 +
Audit Interne : PGP nombre dans des contextes intranet ou extranet. Cette
gestion des plans d'action.
d'utilisateurs solution couvre l’ensemble des besoins
Autres fonctionnalités : gestion des incidents, workflow
fonctionnels et est aisément paramétrable,
et emails, reporting, attachement de documentation,
sans besoin de développement spécifique. Un
export-import de données, base multillangues...
mode offline est disponible pour le module
Intégration de référentiels (COSO, AMF) et
Audit Interne.
méthodologie d'audit conforme aux normes IIA.

Qlikview est une solution de business intelligence


destinée à partager l'information et à faciliter la prise de
décision, facilement utilisable par une équipe d'audit
interne. QlikView permet d'appréhender l'activité en
consolidant des données pertinentes issues de :
• différentes sources dans une seule et même
Qlikview Qlickview NC NC NC
application ;
• explorant les associations entre les données ;
• visualisant les données à l'aide de graphiques soignés
et performants ;
• utilisant des applications, des tableaux de bord et des
analyses dynamiques.

ROK est une startup francaise très dynamique qui a bâti


une plateforme visant à intégrer les différents progiciels
ROK ROK solution utilisés par l'entreprise (comptabilité, business process NC NC NC
management, risques, etc.) au sien d'une seule interface
pour simplifier le pilotage de l'entreprise.

La plateforme RunbookOne permet de relier les outils


RunBook Internal Control de GRC de l'entreprise avec l'ERP afin d'automatiser les NC NC NC
contrôles et de développer le continuous monitoring.

La Suite SAP GRC 10.0 repose sur une


architecture n-tiers centralisée avec une base
La suite SAP GRC 10.0 est une suite unifiée et intégrée
unique, s’appuyant sur la plate-forme
d'applications :
technique SAP Netweaver.
• SAP Access Control pour la gestion des risques liées
La solution GRC 10.0 s’appuyant sur SAP
aux autorisations et aux accès aux systèmes SAP et
Netweaver tire parti des fonctionnalités de ce
non-SAP et permettant ainsi de garantir la séparation
socle. En particulier, SAP Netweaver fournit le
de tâches ;
mécanisme de transport qui permet
• SAP Risk Management pour la gestion des risques
d’échanger données et éléments de
SAP SAP GRC 10.0 d'entreprise de tous types (stratégiques, financiers, NC NC
paramétrages entre environnement. SAP
opérationnels, IT ...) ;
NetWeaver mise sur des standards Internet
• SAP Process Control pour évaluer le contrôle interne,
tels que HTTP, XML et Web services. Il sert en
garantir la conformité des contrôles par rapports aux
outre de base à une architecture orientée
politiques internes et aux réglementations et
services (SOA).
optimiser les processus ;
Le déploiement de la solution GRC 10.0
• SAP Audit Management pour l'audit interne dont les
22 plans d'audit peuvent être basés sur les risques.
s'effectue par un client Web. Il suffit d’un
navigateur supporté par Netweaver : IE,
Firefox, Safari.
Les outils informatiques au service des auditeurs et des contrôleurs internes

Champs d'application

(Sarbanes Oxley)
Audit et contrôle

Auto-évaluation

contrôle interne
Automatisation

Evaluation du
des contrôles

Extraction et
Site internet Contact et coordonnées

de la fraude
analyse des

analyse des
des papiers

Conformité

spécifiques
Détection /
prévention

Gestion et

Solutions
de travail
de l'audit

continus

données
Gestion

risques
Oxial - France
15 rue Taitbout
75009 Paris
X X X X www.oxial.com
Tél. : +33 (0)1 73 02 15 71
contact@oxial.com

Pentana Ltd.
Gate House, Fretherne Road
Welwyn Garden City
X X X X X www.pentana.com Hertfordshire - AL8 6RD
United Kingdom
Tél. : +44 (0) 1707 373335
info@pentana.com

Protiviti
21, Boulevard Haussmann
75009 Paris
www.protiviti.com/grc-
X X X X X X X software
Contact : Vincent Clostre
Tél. : 01.42.96.22.77
vincent.clostre@protiviti.fr

Qlik Technologies
93, avenue Charles de Gaulle
X www.qlikview.com 92200 Neuilly sur Seine
Tél. : +33 (0)1 55 62 06 90
infofr@qliktech.com

ROK
94, rue Saint Lazare
X X www.rok-solution.com
75009 PARIS
Tél. : 01 42 81 51 98

Runbook Company Inc.


163 Madison Ave.
Suite 220-026
X X X X X www.runbook.com
Morristown, NJ 07960 - USA
Tél. : +1 973 867 7020
info@runbook.com

SAP BusinessObjects France


Immeuble Capital 8
32 rue de Monceau
X X X X X X X X X X www.sap.com
75008 Paris Cedex

Tél. : 01 44 45 20 00

23
DOSSIER

Nombre Coût
moyen moyen
Editeurs Progiciel Fonctionnalités / spécificités Architecture
d'utilisa- des
teurs licences

La plateforme Aris Risk & Compliance Manager est une


plateforme intégrée permettant de piloter :
• la gestion des risques : cartographie des risques,
gestion des incidents ;
Aris R&C Manager
Software AG • le contrôle interne : gestion des référentiels et des NC NC NC
4.0
campagnes de contrôle interne ;
• l’audit interne : gestion du planning, des ressources et
des missions d'audit interne ;
• la gestion des procédures et des processus.

Sword Achiever est une plateforme intégrée de gestion


des risques orientée autour de 4 axes :
• enterprise risk management : gestion des risques,
contrôle interne et audit interne ;
Sword Achiever Sword Achiever 5 NC NC NC
• gestion de la performance : suivi de KPI et KRI, outils
de reporting, tableaux de bords ;
• compliance avec les lois et réglementations ;
• plan de continuité d'activité.

La suite Symbiant Risk s'articule autour de la gestion des


risques et du contrôle interne.
Symbiant Risk Suite
Symbiant Tracker est un outil complémentaire
Symbiant and Symbiant NC NC NC
permettant de piloter le suivi et la gestion des incidents
Tracker
ainsi que le suivi des recommandations issues des
missions d'audit interne.

Tableau Desktop est une solution de business


intelligence issue d'une technologie de l'université de
Stanford, qui permet d'utiliser les données provenant de
Tableau Tableau desktop NC NC NC
différents sytèmes pour les restituer dans une interface
unique et personnalisable afin de faciliter l'analyse et la
décision.

Promotion de l’efficience et de l’efficacité :


• Favorise la cohérence – Met à profit une vaste
• Licence perpétuelle sur site – Mise en
bibliothèque de modèles, de listes de contrôles et de
oeuvre des logiciels dans votre
cadres standards qui favorisent le respect des
environnement ; gestion des mises à niveau
procédures et des pratiques professionnelles
d’infrastructure et de logiciel.
approuvées par la direction.
Thomson Reuters • Sur demande – Accès au logiciel via un
Thomson • Collaboration.
GRC (GRC -Formally 5 - 1 000 $2,000 navigateur Web. Thomson Reuters gère
Reuters • Une seule source de référence.
Paisley) l’infrastructure GRC et les mises à niveau de
logiciels.
Visibilité en temps réel des audits :
• Licence perpétuelle hébergée – Accès au
• Visibilité – Une base de données sécurisée.
logiciel via un navigateur Web, gestion de
• Rapports – La génération de rapport automatisée
vos propres mises à jour.
offre des informations en temps réel aux principaux
intervenants.

Data Mining Tools Wizsoft est un outil de data mining et d'analyse de


Wizsoft NC NC NC
for Internal Audits données applicable à des activités d'audit interne.

TeamMate a été conçu comme un outil capable Un serveur de base de données est nécessaire
d’augmenter l’efficacité et la productivité de l’ensemble pour les applications Web de TeamMate et
du processus d’audit, permettant aux utilisateurs de recommandé pour les applications de bureau.
consacrer plus de temps aux tâches et services à forte Tarifs Les spécifications du serveur de base de
nombre
valeur ajoutée. TeamMate est utilisé dans tous les applicables données varient selon les besoins et le
TeamMate suite, moyen de 40
secteurs d'activités et dans les services d’audit de toute par tranche nombre d’utilisateurs dans une organisation.
Audit Management utilisateurs
taille. TeamMate permet de gérer l’intégralité du cycle d'utilisateurs Les bases de données prises en charge sont
System (AM) par
de vie de la mission d'audit avec notamment : et disponibles Microsoft SQL Server 2005 SP1/ SP2/SP3,
organisation
évaluation des risques, programmation des missions, à la demande. Microsoft SQL Server 2008 SP1/SP2, Microsoft
préparation et documentation des missions, suivi des SQL Server 2008 R2, ainsi que MS SQL Express
durées et dépenses, création de rapports d'audit, suivi 2005 et 2008. L’option cloud hosting est
des recommandations et reporting. disponible.
Wolters Kluwer
TeamMate CM a été conçu pour SOX et autres
(AS-123,...) pour aider à gérer facilement les activités de
gestion de conformité où l'identification, l'évaluation, la
vérification et les rapports de certifications sont
nécessaires. TeamMate CM fournit une relation souple
TeamMate suite,
entre les entités, processus, comptes des états financiers Interface web. Version tablette disponible.
Control NC NC
et structures hiérarchiques. TeamMate CM permet de Disponible Q1 2013
Management (CM)
basculer entre les vues afin de visualiser les risques et
contrôles de différentes hiérarchies. L’outil permet de
mettre à jour les informations de contrôle et d'appliquer
les modifications aux instances actives de ce contrôle
24 dans les évaluations.
Les outils informatiques au service des auditeurs et des contrôleurs internes

Champs d'application

(Sarbanes Oxley)
Audit et contrôle

Auto-évaluation

contrôle interne
Automatisation

Evaluation du
des contrôles

Extraction et
Site internet Contact et coordonnées

de la fraude
analyse des

analyse des
des papiers

Conformité

spécifiques
Détection /
prévention

Gestion et

Solutions
de travail
de l'audit

continus

données
Gestion

risques
Software AG
Uhlandstr. 12
D-64297 Darmstadt
X X X X X X www.softwareag.com Germany

Tél. : +49 6151 92-0


webinfo@softwareag.com

Sword Achiever
X X X X X X www.sword-achiever.com
Tél. : +44 208 232 2555
info@sword-achiever.com

Symbiant
Westgate House
100 Wellington Street
X X X X www.symbiant.co.uk
Leeds. LS1 4LT
United Kingdom
Tél. : +44 113 237 3954

Tableau Software
X www.tableausoftware.com
Tél. : 33 (0) 970 444 196

Thomson Reuters
6 boulevard Haussmann
www.accelus.thomsonreut 75009 Paris
X X X X X X X X ers.com/solutions/internal-
audit Contact : Alexandre Lyons
Tél. : 00 33 01 495190
alex.lyons@thomsonreuters.com

X X X www.wizsoft.com NC

Wolters Kluwer Audit


Risk and Compliance
1 rue Eugène et Armand Peugeot
92500 Rueil Malmaison
www.teammatesolutions.
X X X X X* X X* com
Contact : Farid Boukhlifa
Tél. : +33 (0)1 76 73 33 87
Mobile : +33 (0)6 14 80 28 34
fboukhlifa@wolters-kluwer.fr

25
* Disponible Q1 2013
DOSSIER

Siemens mène ses audits plus rapidement


et à moindre coût
ACL
Sandeep Bhatkhande - Directeur du Service d’analyse des données, Siemens

«
E
n automatisant les processus d’au- Disposer impérativement des sans que cela fasse l’objet d’un appren-
dit avec ACL, notre entreprise a fonctionnalités étendues tissage dissuasif ni qu’il faille recourir à
bénéficié d’améliorations dans plu- d’analyse de données des technologies complexes impliquant
sieurs domaines. Nous avons pu notam- un support informatique conséquent.
ment réduire de 70 % la durée et le coût de Le département Finances et Audit
nos analyses. » financier du groupe devait disposer Plateforme standardisée
impérativement d’une solution perfor- d’analyse de données
Basé à Berlin et à Munich, Siemens mante, capable de standardiser les ana-
exerce des activités très diversifiées dans lyses de données et le reporting des Le siège social international de Siemens
le monde entier. Le groupe devait donc exceptions, tout en limitant l’échan- a porté son choix sur les solutions ACL,
impérativement disposer d’une techno- tillonnage afin de minimiser les failles dans le but de standardiser et d’automa-
logie d’analyse de données économique, dans les contrôles, les risques, les tiser un ensemble de tâches variées, et a
standardisée et automatisée. Son dépar- fraudes et les pertes de revenu. institué un service d’analyse des don-
tement financier a créé un service d’ana- Il souhaitait également automatiser les nées chargé de piloter cette mission. 
lyse des données, avec pour objectif processus manuels et améliorer la ren-
l’automatisation des tests et de l’analyse tabilité des projets d’analyse de données
des données d’environ 60 sociétés Sie-
mens réparties dans 20 pays de la zone
Asie-Pacifique.

Avec ACL, ces opérations sont à présent


centralisées et traitées depuis un serveur
commun. En automatisant ses activités
d’analyse de données, l’équipe d’audit a
réalisé 70 % d’économie en temps et en
coût et elle bénéficie d’une visibilité
totale sur ses transactions de paiement.
La technologie ACL a permis à Siemens
de détecter les transactions anormales,
d’améliorer la planification de ses audits
et d’atteindre ses objectifs d’excellence
en matière de contrôle des processus de
gestion, tout en réduisant ses coûts.

ACL Europe Ltd


Atlantic House - Imperial Way - Reading, Berkshire - RG2 0TD
United Kingdom
Contact : Pascal Gadea - Tél: +33(1) 61381503 ou 33 6 62 40 32 93 - pascal_gadea@acl.com
www.acl.com

26 Audit & Contrôle internes n°212 - nov.-déc. 2012


Les outils informatiques au service des auditeurs et des contrôleurs internes

Un outil au service de la gestion des risques


et de l’audit interne chez AG2R La Mondiale
BWise
Patrick Saint-Maxent - Responsable du département Pilotage des risques opérationnels et de la
qualité, AG2R LA MONDIALE

AG2R La Mondiale est le 1er groupe de pro- Ce que l’outil m’a apporté par l’IFACI, démarche facilitée par la
tection sociale en France. Il allie perfor- mise en place du suivi des recomman-
mance économique et engagement social au BWise nous a accompagnés dans le dations et plans d’actions associés au
travers des valeurs portées par le parita- déploiement opérationnel de notre sein de BWise.
risme et le mutualisme. En 2011, il a géré démarche de contrôle interne et de ges-
15,5 Md€ de collecte pour 8 millions d’as- tion des risques au sein du groupe. La Les avantages et les limites de
surés. solution et les experts BWise nous ont l’outil
AG2R La Mondiale dispose de toutes les permis d’industrialiser le processus de
expertises en assurance de personnes. Le suivi des risques et d’assurer le cycle L’ergonomie de la plate-forme logicielle
Groupe couvre l’ensemble des besoins de complet de gestion des risques : carto- a été un élément déterminant dans la
protection sociale et patrimoniale tout au graphies des risques, actions de maîtrise, sélection de BWise, ce qui a contribué à
long de la vie de ses assurés. Il apporte des plans de contrôles, suivi des plans d’ac- la bonne acceptation de l’outil par les
réponses individuelles et collectives, aussi tions. Grâce à BWise, nous avons à notre utilisateurs. Sa grande adaptabilité a
bien en prévoyance qu’en santé, en épargne disposition une base des incidents également été un élément-clé car nous
comme en retraite complémentaire et sup- majeurs du Groupe. De plus, nous voulions un logiciel capable d’accompa-
plémentaire, quels que soient l’âge, le statut sommes en mesure de communiquer gner la méthodologie que nous avions
social et le secteur professionnel. sur les risques à travers du reporting et développée. BWise est un outil très
de partager l’information en temps réel. complet et évolutif qui est donc capable
La problématique BWise nous permet également de pré- de répondre aussi bien à nos besoins
parer sereinement notre conformité à la actuels qu’à nos défis futurs. La dispo-
La sélection d’un outil a été initialement norme Solvabilité II. Récemment, nous nibilité et l’expertise des consultants
motivée par trois objectifs principaux. avons étendu l’usage de BWise à l’audit BWise sont des atouts supplémentaires
Compte tenu des enjeux croissants pour interne. En effet, nous nous sommes qui nous permettent de réfléchir ensem-
les sociétés d’assurance en matière de engagés dans le processus de certifica- ble à notre développement. 
gestion des risques et face à une régle- tion de notre direction d’audit interne
mentation de plus en plus contrai-
gnante, il était important de diffuser une
culture « risques » et une culture de vigi-
lance à l’égard de ces risques au sein du
Groupe. Le deuxième enjeu était de
centraliser et structurer l’ensemble des
données relatives aux risques pour pou-
voir disposer d’informations immédia-
tement accessibles et homogènes. Enfin,
nous souhaitions pouvoir effectuer un
reporting fiable et pertinent de la gestion
des risques. Nous avons complété
récemment ces objectifs pour répondre
à un nouveau défi : l’accompagnement
du travail de l’équipe d’audit interne, en
particulier dans le cadre du suivi des
recommandations et du processus de
certification IFACI en cours.

BWise France
19 Boulevard Malesherbes - 75008 Paris
Contact : Stéphane Dorchin - Tél. : 01 55 27 37 28 - stephane.dorchin@bwise.com
www.bwise-grc.fr

nov.-déc. 2012 - Audit & Contrôle internes n°212 27


DOSSIER

Une assurance élevée et appréciée


IDEA

Jean-Luc Meurisse - Directeur de l’audit interne, Sonepar

S
onepar est un distributeur de solu- apporte: l’outil, si possible à chaque audit ;
tions techniques aux professionnels de • productivité : nombreuses fonctions • décrire clairement chaque test : quel
l'électricité, avec un chiffre d’affaires intégrées, traçabilité et reproduction est l’objectif recherché ?
2011 de 14,7 milliards d’€ réalisé dans 35 des tests (modélisation et scripts) ; • définir précisément les données :
pays avec 160 filiales et 33 000 collabora- • universalité et exhaustivité : importa- qu’est-ce que je demande, sous quelle
teurs. Nous avons une équipe d’une ving- tion des principaux formats de forme ?
taine d’auditeurs internes basés au siège du fichiers, 100% des données sont ana- • qualifier les données obtenues, par
groupe à Paris, ou à l’étranger, notamment lysées. exemple à partir d’états financiers ou
en Amérique du Nord. statistiques de la période ;
Ainsi, nous nous sommes plusieurs fois • gérer le savoir dans les équipes et
La problématique assurés de l’absence de doubles paie- d’une mission à l’autre.
ments ou du respect complet d’une
Dans notre métier, la distribution pro- règle de gestion, et ce sur des périodes Nous documentons nos tests standards
fessionnelle, le volume des flux et le supérieures à un an. Cette assurance est et leurs demandes de données asso-
nombre de transactions sont très élevés. très appréciée des auditeurs et du mana- ciées, avec l’aide ponctuelle d’un utilisa-
Les fichiers sont souvent de grande taille gement. teur chevronné, auditeur « expert » de
et de formats divers ; leur analyse néces- l’équipe locale ou consultant, toujours
site un outil à la fois plus rigoureux et Que faire pour réussir la mise sur un cas réel, en mission. 
plus puissant qu’un tableur, et tout aussi en place et l’utilisation ?
accessible. L’objectif de Sonepar en
acquérant IDEA était de faciliter les tests • utiliser et faire utiliser fréquemment
d’audit et de les systématiser, pour éle-
ver le niveau d’assurance obtenu.

Ce que l’outil nous apporte

Nous utilisons IDEA depuis deux ans et


demi, d’abord au siège, puis aux Etats-
Unis, et depuis un an au Mexique. Les
principales applications chez Sonepar,
avant et pendant une mission, sont
l’échantillonnage statistique, notam-
ment pour mesurer la fiabilité des
stocks, l’analyse des données d’un pro-
cessus ou d’un type de transaction, le
rapprochement par « jointure » de
fichiers d’origines différentes et la
recherche d’exceptions, non conformités
ou fraudes.
Outre sa puissance, sa capacité volumé-
trique et sa facilité d’utilisation après
deux jours de formation, l’outil nous

Caseware IDEA
12 Place St Hubert - 59000 Lille
Contact : François Lienart - Tél : 03 59 56 06 80 - francois.lienart@caseware.com
www.caseware-idea.fr

28 Audit & Contrôle internes n°212 - nov.-déc. 2012


Les outils informatiques au service des auditeurs et des contrôleurs internes

L’évaluation du contrôle interne


dans le groupe Bouygues
Solution RVR de Devoteam
Renaud Vorms - Directeur du contrôle interne, Bouygues

B
ouygues est un groupe industriel La mise en commun des repose sur une affectation nominative
diversifié, dont les métiers s'organi- besoins des principes aux répondants et vali-
sent autour de deux pôles : la dants de chaque entité, et sur un work-
construction avec Bouygues Construction, La solution déployée sur les cinq métiers flow précis de validation.
Bouygues Immobilier et Colas, et les télé- du Groupe et sur la holding, compte plus
coms-médias avec TF1 et Bouygues Tele- de 2 000 utilisateurs qui participent aux Les apports de l’outil
com. évaluations tout au long de l’année.
Présent dans 80 pays, le groupe a réalisé un Un effort important a été réalisé pour
chiffre d’affaires de plus de 32 milliards Afin de répondre, dans un même outil, proposer un bon niveau d’ergonomie
d’euros en 2011 avec plus de 130 000 col- aux besoins fonctionnels des cinq afin de minimiser les efforts de forma-
laborateurs. métiers, il a fallu tenir compte des spé- tion et faciliter la prise en main de l’outil
cificités de chacun (en particulier en par l’ensemble des utilisateurs.
Les objectifs du projet termes de principes métiers, d’organisa-
tion et de workflow) en les intégrant à un La solution donne la possibilité pour les
Le groupe Bouygues a construit un réfé- cadre structuré et commun. Nous avons utilisateurs d’éditer des états de restitu-
rentiel de contrôle interne Groupe, affiné ensemble l’ergonomie de l’appli- tion et d’analyse prédéfinis et propose
applicable à tous ses métiers, et a défini cation et les états de restitution. également des fonctionnalités d’analyse
une méthode d’auto-évaluation des croisée des données.
principes de contrôle interne. Chaque métier du Groupe étant orga-
nisé de manière autonome, nous avons L’outil permet aussi un suivi simple de
Le Groupe a souhaité se doter d’un outil choisi de décentraliser la gestion des l’avancement des plans d’actions définis
informatique afin de faciliter le déploie- campagnes et l’administration fonction- dans le cadre des campagnes d’évalua-
ment de l’évaluation des principes de nelle. Notre méthode d’évaluation tion. 
contrôle interne, et en particulier de :
• rendre plus fluide, plus fiable et plus
rapide le déploiement des campagnes
d’évaluation dans chacun des métiers,
et suivre leur avancement ;
• automatiser les remontées des éva-
luations ;
• faciliter la production d’états de resti-
tution des résultats de l’évaluation ;
• stocker de manière fiable et centrali-
sée les données historiques.

La solution RVR a été choisie par


Bouygues après la consultation de cinq
éditeurs.
Le projet s’est déroulé en 2011 ; les pre-
mières campagnes d’évaluation ont été
lancées en juillet 2011.

Devoteam
73 rue Anatole France - 92300 Levallois Perret
Contact : Paul Chegaray - Tél. : 06 71 05 28 44 - paul.chegaray@devoteam.com
www.devoteam.com

nov.-déc. 2012 - Audit & Contrôle internes n°212 29


DOSSIER

La gestion des risques et de l’audit interne


de la MAIF
FrontGRC Risk, FrontGRC Control et FrontGRC Audit
Vianney Dumont - Directeur de l’audit interne, MAIF
Armand Forgerit - Responsable de projet maîtrise des risques contrôle interne, MAIF

6
ème assureur dommages des particu- Les avantages et les limites de Dumont, directeur de l’audit interne,
liers et 1er assureur du secteur asso- précise : « Aujourd'hui, nous l'utilisons
l’outil
ciatif, la MAIF couvre l’ensemble des pour nos audits d'entités commerciales et de
besoins de ses 2,7 millions de sociétaires gestion de sinistres pour lesquels nous
M. Forgerit confirme : « La solution
(assurances de biens, prévoyance, santé, avons conçu un référentiel d'une centaine
eFront nous permet de créer et d’automati-
assistance, épargne, crédit…). En 2011, le de contrôles par entité que nous avons
ser l’ensemble des reportings afin de répon-
groupe MAIF a réalisé un chiffre d’affaires implémentés dans le progiciel eFront. Cela
dre aux besoins du législateur et des
de plus de 3 milliards d’euros. nous permet de mener chaque mission en 15
métiers, notamment du contrôle permanent.
à 20 j/h, de l'analyse des données initiales
Nous avons en outre développé un outil spé-
La problématique jusqu'à la production du rapport, en pas-
cifique d’auto-contrôle adapté aux respon-
sant par le séjour sur site. Nous pensons
sables des entités commerciales et des cen-
Le département de gestion des risques qu'il nous reste encore une marge d'optimi-
tres de gestion des sinistres. »
a été créé en 2007. Jusqu’alors, Excel sation en perfectionnant les paramétrages.
était l’outil utilisé et a rapidement mon- Notre enjeu va être maintenant de transpo-
La MAIF étant satisfaite de l’outil eFront
tré ses limites. La MAIF avait donc ser dans l'outil notre méthodologie de mis-
retenu pour sa cartographie des risques
besoin d’un outil spécifique pour gérer sions longues d'audit de processus puis la
et l'animation de son contrôle perma-
les risques et le contrôle permanent ; gestion du plan d'audit lui-même. L'outil
nent, il était logique que l'audit interne
eFront correspondait parfaitement aux est fiable, son adaptabilité est grande avec
s'intéresse en priorité à FrontAudit au
pour corollaire le besoin d'une charge signi-
ficative de paramétrage. » 
besoins de la MAIF, notamment grâce à moment de choisir un outil pour faciliter
l’évolutivité de ses paramétrages. la réalisation de ses missions. Vianney

Ce que l’outil m’a apporté

« Cinq ans après, nous ne regrettons pas


d’avoir fait ce choix », explique Armand
Forgerit, responsable de projet maîtrise
des risques contrôle interne à la MAIF.
« Une fois la solution eFront sélectionnée,
la mise en production s’est faite en moins
de 7 mois. Entre-temps, 8 séquences de tra-
vail ont été mises en place entre les deux
entités afin de définir le paramétrage de
l’outil. » Armand Forgerit poursuit : « Ces
ateliers ont été menés de main de maître
avec un cadencement bien défini sur l’ate-
lier paramétrage d’administration de l’outil
ainsi que sur les paramétrages d’écrans spé-
cifiques. »

EFRONT
2-4, rue Louis David - 75116 Paris
Contact : Birame Fall - Tél. : +33 1 49 96 94 31 - Mobile : +33 7 78 69 52 21 -
bfall@efront.com - www.efront.com

30 Audit & Contrôle internes n°212 - nov.-déc. 2012


Les outils informatiques au service des auditeurs et des contrôleurs internes

Disposer d'une vue agrégée du risque


d'entreprise
RSA Archer
Marshall Toburen - Vice President and Operations Risk Manager, UMB Financial Corp.

La problématique UMB a donc choisi RSA Archer afin de l'efficacité au sein de l'entreprise tout en
gérer l'agrégation de données provenant renforçant la confiance dans les efforts
UMB Financial est l'une des plus des différents silos et nécessaires à la entrepris pour garantir la conformité.
grandes banques indépendantes aux gestion du risque, le contrôle de proces-
États-Unis et fournit une large gamme sus et le reporting multi-niveaux, en plus Un des principaux avantages que nous
de produits et de services à ses clients. du suivi des incidents, de la gestion des avons vu depuis la mise en œuvre de
De ce fait, UMB se doit de protéger les biens, l'audit et la conformité auprès des RSA Archer est une plus grande trans-
données de ses clients et de se confor- organismes de régulation. parence de l'information. Nous pouvons
mer de manière précise aux exigences La solution RSA Archer est utilisée par organiser les résultats des enquêtes et le
du reporting financier. près de 500 employés au sein d'UMB, contenu de notre base de données de
La direction des Opérations et la direc- dont les membres du Conseil d'admi- contrôle des risques au sein de différents
tion des Risques se sont échinées pen- nistration, la direction, les responsables tableaux de bord.
dant des années avec un outil ERM métier et l'équipe IT. Un tableau de bord
(Enterprise Risk Management) non inté- des risques de l'entreprise fournit aux En outre, la plate-forme RSA Archer
gré et inefficace, reposant principale- managers et aux régulateurs la bonne permet à UMB de modéliser ses propres
ment sur des feuilles de calcul et des information en temps et heure. processus métier sans faire appel à des
emails provenant des managers afin de développements de services tiers. Nous
disposer d'un état du niveau de risque Les avantages et les limites de pouvons apporter des modifications « à
encouru par la société. Il leur manquait l'outil la volée » afin d'adapter le système à nos
une vue agrégée, prenant en compte les besoins. 
informations provenant des différents RSA Archer permet à UMB de minimi-
silos de données de l'entreprise, ainsi ser le risque d'entreprise et d'améliorer
qu'un système accessible via l'intranet,
supportant les workflows, et qu'elles
pourraient complètement adapter à
leurs processus métier.

Ce que l'outil nous a apporté

Quand la direction des Opérations et la


direction des Risques ont appris que la
solution RSA Archer était implémentée
par la DSI d'UMB afin de gérer ses
besoins de pilotage de la sécurité, la
flexibilité et l'ouverture de RSA Archer
les ont décidées à construire le système
ERM dont elles avaient besoin.

EMC Corporation
80 Quai Voltaire - CS 21002
95876 Bezons Cedex
www.emc.com

nov.-déc. 2012 - Audit & Contrôle internes n°212 31


DOSSIER

Comment Provimi a mis en œuvre sa stratégie


GRC en optimisant ses processus métier et IT
SAP GRC Process Control & SAP Access Control 10.0

B
asée aux Pays-Bas, Provimi Holding contrôles et la conformité par rapport propagation de nouveaux conflits lors de
est l'une des trois plus importantes aux réglementations en vigueur (UK la création d’une nouvelle demande
sociétés d'aliments pour animaux en Bribery Act, US Foreign Corrupt Prac- d’accès et lors de la maintenance des
Europe occidentale. Provimi a mis en œuvre tices Act - FCPA). rôles. SAP Process Control permet de
la suite SAP GRC pour augmenter la valeur SAP Access Control a permis de réduire définir des cadres de contrôle multiples,
de l'entreprise en déployant un dispositif de les risques d'accès et de séparation de à tous les niveaux (groupe, division,
maîtrise des risques et de contrôle interne. tâches liés aux autorisations affectées filiale, entité).
aux utilisateurs. SAP Access Control et SAP Process
La problématique SAP Process Control a permis de sur- Control peuvent être associés à SAP
veiller de manière continue les contrôles Audit Management pour la gestion des
Avant le projet, Provimi avait toutes les dans les processus opérationnels, d’at- audits internes et externes et à SAP Risk
caractéristiques d'une organisation tester la réalité des contrôles, de réduire Management pour le pilotage des
décentralisée, avec une holding très les temps passés par les parties pre- risques.
réduite (25 employés), un modèle orga- nantes (contrôleurs, auditeurs internes
nisationnel basé sur des centres de pro- et externes) en remplaçant les contrôles « Les Solutions SAP GRC nous ont permis
fit, une culture du risque peu dévelop- manuels par des contrôles automatisés. de faire la preuve que nous contrôlons nos
pée, un nombre important de systèmes risques de manière effective. Être en mesure
ERP hétérogènes (7 fournisseurs différents). Les avantages et les limites de de le démontrer a valorisé considérablement
La décision a été prise de transformer l’outil notre entreprise ». Louis van Vliet, Group
Provimi en une holding (75 personnes) Internal Audit Manager, Provimi Holding
avec une organisation déclinée en clus- Access Control permet la gestion pré- B.V. 
ter s’appuyant sur un nouveau modèle ventive des risques d’accès pour éviter la
de gouvernance et de maîtrise des
risques, une direction informatique cen-
tralisée s’appuyant sur un ERP SAP
unique et une plate-forme GRC associée.
Les objectifs du projet GRC consistent à
ancrer une culture d’entreprise en ali-
gnant l’organisation sur les directives du
top management, à déployer un code de
conduite, des normes et des procédures
partagées par tous, une procédure
d’alertes (whistle blowing).

Ce que l’outil m’a apporté

La mise en place de SAP GRC a permis


la mise en œuvre d'un cadre de contrôle
global et de surveillance continue avec
une attention accrue pour la GRC par la
direction et les actionnaires, une meil-
leure transparence et efficience des

SAP BusinessObjects France


Immeuble Capital 8 - 32 rue de Monceau - 75008 Paris Cedex
Tél. : 01 44 45 20 00
www.sap.com

32 Audit & Contrôle internes n°212 - nov.-déc. 2012


Les outils informatiques au service des auditeurs et des contrôleurs internes

Un outil d’amélioration de l’efficacité


des missions d’audit de Zodiac Aérospace
TeamMate Audit Management System (AM)
Arnaud Dubant - Responsable de l’audit interne Groupe, ZODIAC AÉROSPACE

L
ors de mon arrivée chez Zodiac régulièrement, permettant ainsi au res- permis d’améliorer notre processus de
Aérospace en tant que directeur ponsable de mission de suivre l’avance- gestion des risques (le module TeamRisk
de l’audit et du contrôle internes ment de la mission. Ils génèrent auto- est utilisé depuis début 2012 pour réali-
Groupe en 2009, j’ai mené une réflexion matiquement le rapport d’audit interne ser des campagnes d’auto-évaluations
pour améliorer l’efficacité des missions à partir de l’outil ce qui permet un pre- de toutes les BU du Groupe).
d’audit. mier débriefing structuré avec les audi- Le fait d’avoir chargé notre programme
tés sur les écarts majeurs avant la fin de d’audit standard dans la bibliothèque
Problématique la mission. TeamStore nous a également aidé à uni-
Enfin, les audités utilisent le rapport formiser la démarche de chaque audi-
Jusqu’à mi 2011, les missions d’audits généré par l’outil pour nous faire part de teur, à mieux documenter chaque point
internes locales étaient gérées via un leurs remarques, ces dernières étant de contrôle et à lier des procédures ainsi
outil interne permettant un suivi de la automatiquement réintégrées dans l’ou- que des outils Groupe.
couverture du plan d’audit pluriannuel til pour la version finale. Une fois la mis- Concernant les limites de l’outil, nous
ainsi qu’un état d’avancement des sion finalisée, via la solution web, les ne disposons pas aujourd’hui de fonc-
recommandations. Cet outil bien qu’ef- audités mettent à jour le suivi des plans tionnalité de questionnaire de contrôle
ficace nécessitait néanmoins beaucoup d’actions. interne sur le site web partagé avec les
de temps de mise à jour et de nom- Business Units du Groupe (fonctionnalité
breuses opérations manuelles. Un projet Les avantages et les limites de livrée sur la dernière version) et nous
Groupe a été initié afin de sélectionner l’outil aimerions voir apparaître quelques évo-
un outil reconnu sur le marché permet- lutions par rapport aux fonctionnalités
tant la réduction du temps de gestion Outre la réduction du temps adminis- du rapport automatique de l’outil. 
administrative des missions, l’automati- tratif des missions d’audit, l’outil nous a
sation de la production des rapports
d’audits, l’échange avec les audités et le
suivi des plans d’action.

Ce que l’outil m’a apporté

Le logiciel TeamMate a parfaitement


répondu à nos attentes. Après un
déploiement rapide, il est aujourd’hui
utilisé par tous les auditeurs ainsi que
par toutes les Business Units du Groupe
via un portail web (TeamCentral).
Les auditeurs utilisent l’outil en mode
déconnecté lors des missions terrains,
synchronisent avec la base de données

Wolters Kluwer Audit - Risk and Compliance


1 rue Eugène et Armand Peugeot - 92500 Rueil Malmaison
Contact : Farid Boukhlifa - Tél. : +33 (0)1 76 73 33 87 - Mobile : +33 (0)6 14 80 28 34
fboukhlifa@wolters-kluwer.fr - www.teammatesolutions.com

nov.-déc. 2012 - Audit & Contrôle internes n°212 33


DOSSIER

Pour une sélection judicieuse


et une utilisation optimale
d’un logiciel
Unité de Recherche Informatique

L
a professionnalisation croissante
L’Unité de Recherche Informatique de l’IFACI vient de finaliser une publication
des services d’audit et de
concernant la sélection d’outils pour les services d’audit ou de contrôle internes. Elle
contrôle internes, leur insertion
préconise une expression claire des besoins et donne les clés permettant d’apprécier
dans des environnements de plus en
les « coûts » du déploiement en termes financiers, de temps, ou d’insertion dans les
plus complexes justifient l’usage crois-
processus existants. La démarche de gestion de projet proposée permet de gérer ces
sant des outils informatiques.
risques et de tirer vraiment partie des fonctionnalités retenues.
Le contexte
• illustrant la démarche par des bonnes logiciel, développement, réorganisa-
Les avantages les plus couramment pratiques et des retours d’expériences tion, évolution, etc.) ;
attendus de solution informatique visent de professionnels de l’audit et du • concevoir une stratégie de test cohé-
à: contrôle internes qui ont été confron- rente avec les besoins ;
• l’amélioration des performances (pro- tés à cette problématique de sélection • évaluer les logiciels et les faire fonc-
ductivité, knowledge management, et de déploiement d’outils. tionner (proof of concept) ;
etc.) ; • choisir le logiciel à déployer ;
• la maîtrise des activités (planification Le leitmotiv de l’Unité de Recherche est • maquetter, développer ;
supervision, communication, suivi) ; qu’il faut continuellement apprécier les • tester ;
• la qualité (adoption des bonnes pra- « coûts » en termes financier, de temps, • mettre en place (reprise de l’existant,
tiques, amélioration continue). de pertinence des analyses ou encore de formation des utilisateurs…) ;
production d’indicateurs à la mesure des • administrer et maintenir.
Les avantages sont indéniables, mais il bénéfices attendus. En effet, toute utili-
n’est pas rare de voir des services d’audit sation de logiciel présente des risques et Les rôles et responsabilités doivent être
et de contrôle internes ne pas pouvoir peut donc poser plus de problèmes qu’il clairement définis avant le lancement du
profiter de toutes les opportunités que n’en résout. projet. Il est préconisé de formaliser les
permet une solution logicielle, faute de affectations de chaque personne impli-
ne s’être pas posé les bonnes questions. La démarche proposée quée, la charge estimée de travail sur le
Les travaux de l’URI (Unité de projet, la fréquence des réunions de tra-
Recherche Informatique de l’IFACI) L’URI propose un système de gestion vail et d’avancement, ainsi que les
cherchent à lever cet écueil en : des risques à chaque étape du choix et contributions attendues.
• proposant une démarche de gestion de la mise en œuvre d’un outil.
d’un tel projet ; Mettre en place un outil passe par les La structure de projet est à ajuster en
• rappelant les risques principaux à étapes suivantes : fonction de l’ampleur de votre équipe.
chaque étape de ce processus (à savoir • tenir compte de l'environnement ; Elle comporte généralement :
les questions à se poser pour les évaluer • exprimer les besoins et les prioriser ; • un sponsor ayant la responsabilité
et les dispositifs de maîtrise adéquats) ; • étudier les options (acquisition d’un d’arbitrer les décisions clés,

34 Audit & Contrôle internes n°212 - nov.-déc. 2012


Les outils informatiques au service des auditeurs et des contrôleurs internes

• un comité de pilotage, logiciel, de facilité d’apprentissage ou regard des critères préalablement défi-
• un comité de projet. encore de facilité de maintenance. nis. Un nombre restreint d’éditeurs sont
Le responsable du service doit s’assurer invités à préciser leur offre lors d’entre-
La désignation du chef de projet est un de la classification de ces besoins. tiens oraux, voire de tests.
point critique pour le succès de la
démarche. Il convient de s’assurer que Choisir une solution Mener le projet
l’ensemble des directions impactées par
le déploiement de l’outil informatique Un outil logiciel n’est pas, dans notre La notion de jalon est rappelée comme un
soit partie prenante du comité de pilo- contexte, un objectif, mais un moyen, élément essentiel de maîtrise de la dérive
tage. Il faut également inclure les bons une solution possible (Cf. Schéma). du projet. Il n’y a pas de « petit projet »
acteurs. De même, le prestataire infor- Il convient donc d’analyser des options qui justifierait de s’affranchir de ces étapes
matique interne doit être associé en au regard des besoins identifiés. clés, où l’on s’interroge toujours et encore
amont du projet (pour une meilleure sur la pertinence des options choisies. La
performance et plus de sécurité, etc.) Lorsque l’option retenue est « acquérir conduite de projet est de savoir détermi-
même lors d’une acquisition d’un pro- un logiciel », l’étape suivante consiste à ner son état d’avancement. Comme les
giciel du marché. analyser les différentes solutions. Pour Romains l’avaient compris, il n’y a qu’un
ce faire, un cahier des charges définis- bon moyen de savoir où on en est, c’est
Partir des besoins pour sant les critères de consultation et de de placer des jalons le long de sa route.
orienter les choix sélection devrait être établi. Ces critères
vont au-delà de l’aspect fonctionnel et Maquetter / développer / paramétrer
S’il est tentant pour les responsables de permettent notamment de : Compte tenu des besoins spécifiques à
service de croire que l’achat d’un logiciel • préciser le périmètre de la consulta- chaque organisation, tout progiciel
résoudra leurs problèmes, en pratique le tion. Inclut-il, par exemple, les plate- nécessite une personnalisation qui peut
bilan peut être plus mitigé lorsque l’outil formes techniques (serveurs, base de aller du plus simple (quelques informa-
choisi ne convient ni aux objectifs, ni au données et applications) ? Tient-il tions tapées sur l’écran) au plus compli-
périmètre, ni à l’organi-
sation du système d’audit
et de contrôle internes.
Etudier les options

L’URI préconise une ana-


lyse du besoin selon la
règle des « 3 pourquoi ».
Ces besoins peuvent être Utiliser les
Logiciels Progiciels Développement
d’ordre fonctionnel. L’ou- logiciels de
bureautiques spécialisés spécifique
til vient alors supporter le l’organisation

pilotage du service (ges-


tion des ressources), sa
communication (ex. : Outil Intégrés
collaboratifs Dédiés
production d’indicateurs (GRC)

de performance et
tableaux de bord), ou des
activités (ex. : feuilles de travail, analyse compte des synergies avec d’autres qué (développement de fonctionnalités
de données). Mais les besoins peuvent services potentiellement utilisateurs spécifiques par exemple). Cette phase
également répondre à des exigences non (AI / CI / Risques, notamment) ? peut, bien souvent, engendrer des sur-
fonctionnelles, sur le modèle de l’ISO • définir les modalités de consultation prises tant sur les délais que sur les
9126-1:2001 Génie du logiciel – Qualité au regard des contraintes de planning coûts. Plus l’expression des besoins aura
des produits. du service et des procédures d’achat. été claire, plus des ajustements pourront
Par exemple, on pourra préciser ses exi- être effectués en amont et gérés en
gences en termes de lisibilité de la docu- Enfin, l’éditeur à même de déployer la connaissance de cause.
mentation utilisateur, d’ergonomie du solution souhaitée est sélectionné, au

nov.-déc. 2012 - Audit & Contrôle internes n°212 35


DOSSIER

Développer les stratégies de tests et démarche : d’audit et de contrôle internes : un véri-


de déploiement • l’évolution répond-t-elle à une table projet » sera mis à disposition sur
La conception des tests devrait être une demande des utilisateurs ? le site internet de l’IFACI à partir de
étape de l’expression des besoins, sur- • l’évolution facilite-t-elle le travail des décembre 2012. Il sera maintenu à jour
tout si l’analyse des risques a permis une utilisateurs ? par l’URI grâce à une veille sur les
sensibilité importante du service voire • l’évolution enrichit-elle le travail des besoins et les offres.
de l’entreprise, à la bonne mise en utilisateurs ? Vous pourrez y trouver différents élé-
œuvre du projet. Il est nécessaire de bien • les utilisateurs sont-ils acteurs de ments pour guider votre démarche :
dérouler et suivre les plans de tests afin toutes les étapes du projet ? • références bibliographiques,
de n’oublier aucun point important au • bonnes pratiques,
moment de la recette de la solution. Par ailleurs, plusieurs axes d’administra- • points de vigilance,
tion peuvent être dégagés : • exemples,
Par ailleurs, il peut être intéressant de • l’administration des données (ex. ges- • témoignages.
définir un certain nombre d’indicateurs tion des accès),
de performance qui permettront de sui- • le contrôle de conformité aux procé- En vous y référant ne cherchez pas à
vre et mesurer en temps réel la résolu- dures (utilisation des bons formu- trouver LA solution toute faite. C’est, en
tion par l’éditeur ou par l’intégrateur des laires), effet, au futur utilisateur d’identifier le
écarts constatés : • le contrôle de la fiabilité des données, logiciel qui convient à ses besoins pro-
• nombre de défaillances résolues entre • le support aux utilisateurs, trop sou- pres et c’est l’ambition de ce cahier de la
deux phases de tests, vent négligé et mal dimensionné dans recherche de lui fournir les éléments
• temps de traitement / résolution des ce type de projet, suffisants pour faire les choix les mieux
problèmes constatés. • la formation des nouveaux arrivants adaptés. D’ailleurs, même si le cahier
dans le service, propose une caractérisation des outils
La phase pilote va permettre de s’assu- • la gestion des modifications du progi- du marché et peut citer des outils à titre
rer que les fonctionnalités de l’outil ciel (ex. planification du changement d’exemple, nous nous sommes interdits
« s’emboîtent » correctement et que de version). toute préconisation sur ce sujet.
l’outil gère les cas particuliers.
Il est important que le périmètre fonc- Il ne faut pas sous-estimer le poids en Enfin, au-delà des opportunités offertes,
tionnel et organisationnel de la phase temps passé consacré aux tâches d’ad- l’URI rappelle que l’outil ne règle pas
pilote soit suffisamment large pour cou- ministration qu’implique le recours à tout. Il est donc nécessaire de clarifier
vrir les principales fonctionnalités. De des logiciels « intégrés », notamment ses objectifs et de s’être d’abord posé la
même, dans le cadre d’un questionnaire lorsque l’équipe d’audit interne est d’un question de l’organisation, de la qualité
d’auto-évaluation du contrôle interne, effectif inférieur ou égal à 10 personnes. des procédures, de la formation, avant
inclure une filiale à l’étranger peut aider Il convient d’identifier la ou les per- de se lancer sur un chantier d’informa-
à anticiper d’éventuels problèmes tech- sonne(s) en charge de l’administration tisation. L’outil ne crée pas la compé-
niques (type connexion à distance) et de la ou les former en conséquence. tence, en d’autres termes, l’organe (le
avant le lancement de la campagne Un outil ne permet pas de s’exonérer du logiciel) ne crée pas la fonction.
« classique ». La phase pilote doit faire travail préalable de compréhension des
l’objet d’un retour d’expérience et, éven- données à traiter : que signifient-elles Enfin, attention aux biais induits par
tuellement, d’un questionnaire de satis- (quel est leur sens), couvrent-elles nos l’outil. La généralisation de listes de
faction de la part des utilisateurs pilotes. besoins d’audit, sont-elles fiables et uti- contrôle, bien utiles lors de missions
lisables ? récurrentes ou de conformité, peut
Gérer le changement et générer une démobilisation de l’intelli-
administrer l’outil * * gence au profit d’une routine tenant lieu
* de méthode. 
Le changement se gère de l’expression
des besoins jusqu’à la mise en œuvre, en Le cahier de la recherche « Sélectionner
mettant les utilisateurs au cœur de la un outil informatique pour les services

36 Audit & Contrôle internes n°212 - nov.-déc. 2012


LA PROFESSION EN MOUVEMENT

Evénements
son entité. chaque point de contrôle aider à structurer et mainte-
Un dispositif d’audit clé, les bonnes pratiques et nir un dispositif de contrôle
unique, rapportant au PDG modes opératoires de interne efficace. Elles sont
du groupe, permet de véri- contrôle associés. en charge de l’application
fier périodiquement la per- de la méthodologie, de la
Rôles et tinence des dispositifs et la Les directions fonction- formation et du soutien aux
responsabilités des sincérité des auto-évalua- nelles sont en responsabi- opérationnels.
directions tions, et d’apporter aux diri- lité directe sur leurs opéra-
fonctionnelles au geants une assurance rai- tions et donc sur leur SOX est le vecteur princi-
sein d’un dispositif sonnable sur la couverture contrôle interne ; elles sont pal du contrôle interne.
de contrôle interne des principaux risques. en responsabilité indirecte Les activités de contrôle du
sur la partie des processus dispositif SOX sont implan-
Réunion mensuelle Les acteurs clés dans le assurée par d’autres acteurs tées au plus près des
du 17 octobre 2012 contrôle interne groupe. qui ne leur sont pas ratta- métiers et des processus, et
Les animateurs de contrôle chés hiérarchiquement, et les responsables de ces acti-
Le bon fonctionnement interne, nommés et manda- interviennent alors en tant vités de contrôle sont choi-
d’un dispositif de contrôle tés par les managers, sont que propriétaires de proces- sis au sein des directions
interne est fonction de l’im- chargés de piloter la mise sus. fonctionnelles : contrôleurs
plication de l’ensemble du en œuvre du dispositif de de gestion, comptables,
personnel de l’organisation. contrôle interne au sein de Comment impliquer les qualiticiens, responsables
l’entité. directions fonctionnelles des SI… Il y a de fortes
EDF en tant que propriétaires interactions entre le
Responsabilité des enti- de processus ? En les asso- contrôle interne, SOX et les
Principes clés de la poli- tés. Chaque entité est res- ciant à tous les travaux de directions fonctionnelles.
tique de contrôle interne. ponsable de sa comptabi- contrôle interne concernant
Pour les activités qui lui lité. Elle met en œuvre un le processus (ateliers, sémi-
sont déléguées, chacun des plan de contrôle interne naires, auto-évaluations...) ; Mobilité, « Bring your
managers du groupe est dans lequel figure un volet en ne les sollicitant que sur own device » et
responsable de : maîtriser comptable et financier. Le les points de contrôle cor- cybercriminalité :
les risques ; vérifier cette directeur d’entité signe une respondant au périmètre faire évoluer ses
maîtrise pour chacun des lettre d’engagement. sur lequel ils sont en res- pratiques face à la
domaines subdélégués ; ponsabilité directe ; en ne réalité des menaces
adosser et proportionner SNCF recherchant pas formelle- dans le cyberespace
ses dispositifs et activités de ment leur responsabilité
contrôle aux risques identi- Quelques principes de indirecte. Réunion mensuelle
fiés ; auto-évaluer les dis- base. Les branches, du 21 novembre 2012
positifs de contrôle ainsi domaines et directions Orange Business Services
mis en œuvre, et en rendre fonctionnelles sont respon- Le BYOD est une stratégie
compte de façon formelle et sables de leur contrôle La direction du contrôle d’entreprise : des employés
régulière à son autorité de interne, sur le périmètre du interne groupe pilote le apportent sur leur lieu de
rattachement. groupe. La direction de dispositif de contrôle travail leurs propres équi-
Soixante entités environ, l’audit et des risques assure interne du groupe. Dans ce pements qu’ils utilisent
opérationnelles et fonction- le pilotage et l’animation, cadre, elle doit notamment pour accéder aux ressources
nelles, élaborent un rapport en lien avec la direction s’assurer de la mise en de l’entreprise, comme le
d’auto-évaluation annuel financière du groupe. Pour œuvre et du suivi, par les courrier électronique, les
transmis à la direction de chaque branche, domaine fonctions opérationnelles, serveurs de fichiers…
l’audit interne. Chaque et direction fonctionnelle, des plans d’action jugés
manager de ces entités une feuille de route précise nécessaires. Pourquoi le BYOD ?
nomme et mandate un ani- les périmètres et processus
mateur de contrôle interne d’intervention ; des guides Les directions de contrôle Pour le iWorker, le matériel
pour piloter la mise en de contrôle interne mettent interne local ont pour mis- utilisé est plus ergono-
œuvre du dispositif de à disposition des entités sion d’assister les managers mique, plus ludique. Il
contrôle interne au sein de opérationnelles, pour opérationnels, afin de les bénéficie, en outre, d’une

nov.-déc. 2012 - Audit & Contrôle internes n°212 37


LA PROFESSION EN MOUVEMENT

meilleure connectivité. Pour fuite de données ; accès à entreprise ? Sous quelle permettent de transformer
la DSI, il permet de répon- des informations confiden- forme (avantages en un simple téléphone porta-
dre à la pression des utilisa- tielles ; usurpation d’iden- nature) ? Quel impact en ble en téléphone « espion ».
teurs, et assure un déploie- tité ; destruction du SI. La cas de dépassement ? Un exemple : la manipula-
ment plus rapide des nou- criticité de ces risques est tion peut être réalisée sur
velles technologies. Pour toujours importante et par- Comment limiter les n’importe quel téléphone
l’entreprise, il garantit un fois majeure. risques ? de dernière génération
meilleur engagement des Les risques organisation- IPhone, Symbian, Black
employés, ainsi qu’une pro- nels : d’un point de vue En plaçant l’identité au Berry. L’installation du logi-
ductivité et une motivation réglementaire, comment cœur des préoccupations : ciel sur le téléphone
améliorées. 65% des sont assurées la gestion des qui doit accéder aux sys- demande trois minutes. Il
iWorkers français s’estiment licences, la supervision tèmes d’information ? En est alors possible, par l’in-
plus productifs avec leurs réglementaire des commu- sécurisant les données termédiaire d’un simple
propres outils qu’avec ceux nications, la traçabilité des confidentielles plutôt que navigateur Web, de connaî-
de leurs employeurs ; 46% opérations ? Du point de les accès ou applications. tre le contenu du répertoire,
des iWorkers en France vue des RH, à quelles En se focalisant sur les des SMS, des emails, de
résolvent des problèmes populations l’accessibilité usages plutôt que sur les géolocaliser le téléphone,
qu’ils ne peuvent pas est-elle réservée ? Com- droits (habilitations). d’émettre des appels, d’en-
résoudre avec les outils mis ment le contrôle du temps voyer des SMS, de lire les
à disposition par la DSI. de travail pour les collabo- Les menaces fichiers, etc., sans que l’uti-
rateurs non autonomes est- lisateur ne détecte quoi que
Quels sont les risques ? il organisé ? Concernant les Il existe des menaces logi- ce soit. 
coûts, comment se fait la cielles relatives à la mobilité
Les risques techniques : répartition collaborateur/ et au BYOD. Des logiciels

Lu pour vous
Comprendre et mettre en œuvre le contrôle interne
Auteur : Jacques Renard
Editeur : Editions Eyrolles

On a beaucoup dit, beaucoup écrit et beaucoup glosé sur le contrôle interne. Et


l’IFACI a largement pris sa part dans ce débat d’idées par les travaux et publications
de la Direction Recherche, les colloques, les réunions mensuelles… Il n’est donc pas
inutile qu’un auteur se saisisse du sujet pour tenter d’en faire le tour et la synthèse
dès l’instant que significativement tous convergent dans une même direction et que
les contradictions et les divergences de fond restent exceptionnelles.
C’est ce travail qu’a voulu réaliser Jacques Renard dans son nouvel ouvrage : « Com-
prendre et mettre en œuvre le contrôle interne ». Ouvrage essentiellement didac-
tique et pédagogique et qui rendra à n’en pas douter de nombreux services à ceux
qui veulent aller à l’essentiel et bien assimiler les notions fondamentales.
L’ouvrage se découpe en quatre parties. Dans la première partie, Jacques Renard, conformément à son habitude, s’at-
tache au sens des mots, au langage et à la compréhension des concepts, préalables indispensables pour une bonne
appréhension du sujet. La seconde partie est une présentation raisonnée des référentiels, textes législatifs et régle-
mentaires qui ont jalonné ces dernières années. Et l’auteur s’attache à en montrer le fil directeur, tous procédant d’un
mouvement général vers une plus grande clarification et une plus grande universalité. La troisième partie, très péda-
gogique, décline de façon pratique le concept de dispositif de contrôle interne. Quant à la dernière partie, elle est
consacrée à une méthodologie de mise en œuvre du contrôle interne dans une organisation.
L’ensemble de l’ouvrage est balisé par des « illustrations » qui sont autant d’exemples tirés de l’expérience de l’au-
teur.
Soulignons que la préface est signée Patrick Kron, PDG d’Alstom, et on se souviendra qu’Alstom a reçu en 2010 le
Grand Prix du jury du Trophée du Contrôle interne de l’IFACI : ceci peut expliquer cela.

Vous pouvez consulter cet ouvrage à la bibliothèque de l’IFACI.

38 Audit & Contrôle internes n°212 - nov.-déc. 2012


Calendrier 2013
Tarifs Tarifs non
S ESS I ON S Durée
adhérents adhérents
janv. févr. mars avril mai juin juil. sept. oct. nov. déc.
SE FORMER AU CONTRÔLE INTERNE
S’initier à la maîtrise des activités et au contrôle interne 2j 950 € 1 125 € 10-11 11-12 14-15 8-9 13-14 10-11 3-4 9-10 3-4 14-15 2-3
Réaliser une cartographie des risques 3j 1 675 € 1 875 € 14-16 13-15 18-20 10-12 15-17 12-14 11-13 7-9 4-6
Elaborer un référentiel de contrôle interne 2j 1 200 € 1 350 € 21-22 19-20 21-22 21-22 17-18 8-9 16-17 10-11 18-19
Piloter un dispositif de maîtrise des activités et de contrôle interne 2j 1 200 € 1 350 € 23-24 21-22 25-26 23-24 20-21 19-20 20-21 10-11
Le contrôle interne des systèmes d’information 2j 1 200 € 1 350 € 29-30 27-28 24-25 14-15
Maîtrise des activités, contrôle interne et communication Nouveau 2j 1 200 € 1 350 € 25-26 27-28 23-24 12-13
SE FORMER À L’AUDIT INTERNE
Les fondamentaux de l’audit interne
- 20% pour un participant inscrit
simultanément à 4 formations

S’initier à l’audit interne 2j 950 € 1 125 € 10-11 5-6 14-15 4-5 16-17 6-7 1-2 5-6 3-4 7-8 2-3
Conduire une mission d’audit interne : la méthodologie 4j 1 950 € 2 150 € 14-17 11-14 18-21 8-11 21-24 10-13 1-4 9-12 7-10 12-15 9-12
Maîtriser les outils et les techniques de l’audit 3j 1 625 € 1 775 € 21-23 18-20 25-27 15-17 27-29 17-19 8-10 16-18 14-16 18-20 16-18
Maîtriser les situations de communication orale de l’auditeur 2j 1 050 € 1 150 € 24-25 21-22 28-29 18-19 30-31 20-21 11-12 19-20 17-18 21-22 19-20
Réussir les écrits de la mission d’audit 2j 1 050 € 1 150 € 28-29 25-26 25-26 22-23 30-31 24-25 11-12 23-24 21-22 25-26 19-20
Exploiter les états financiers pour préparer une mission d’audit 3j 1 525 € 30-
1 675 € 01/02 20-22 15-17 25-27 4-6
Désacraliser les systèmes d’information 3j 1 525 € 1 675 € 27-29 3-5 25-27 16-18
Détecter et prévenir les fraudes 2j 1 050 € 1 150 € 27-28 24-25 26-27 23-24 23-24 2-3
Le management
Piloter un service d’audit interne 2j 1 300 € 1 450 € 16-17 23-24 15-16
Manager une équipe d’auditeurs au cours d’une mission 1j 685 € 770 € 25 4 29
L’audit interne dans les petites structures 1j 685 € 770 € 18 28 1
Balanced Scorecard du service d’audit interne 1j 685 € 770 € 22 19 15
Le suivi des recommandations 1j 685 € 770 € 18 11 14 30 18
Préparer l’évaluation externe du service d’audit interne 2j 1 300 € 1 450 € 20-21 13-14 25-26
L’audit interne, acteur de la gouvernance 1j 685 € 770 € 12 14
Audit interne, contrôle interne et qualité : les synergies 1j 685 € 770 € 19 17 7
Les audits spécifiques
Audit du Plan de Continuité d’Activités - PCA 2j 1 300 € 1 450 € 26-27 25-26 19-20
Audit de la fonction Comptable 2j 1 300 € 1 450 € 15-16 17-18
Audit de performance de la gestion des Ressources Humaines 3j 1 525 € 1 675 € 23-25 27-29
Audit de la fonction Achats 2j 1 300 € 1 450 € 12-13 13-14 23-24
Audit des Contrats 1j 685 € 770 € 1 3 14
Audit de la fonction Contrôle de Gestion 2j 1 300 € 1 450 € 28-29 25-26
Audit de la Sécurité des Systèmes d’Information 2j 1 300 € 1 450 € 20-21 26-27
Audit des Processus Informatisés 2j 1 300 € 1 450 € 17-18 11-12
Audit de la Conformité à la Législation Sociale 2j 1 300 € 1 450 € 25-26 21-22
Audit du Développement Durable 2j 1 300 € 1 450 € 29-30 3-4
Audit des Projets et Investissements Nouveau 2j 1 300 € 1 450 € 9-10 27-28
SE FORMER DANS LE SECTEUR PUBLIC
Le contrôle interne dans le secteur public 2j 1 300 € 1 450 € 14-15 15-16 9-10 14-15
Pratiquer l’audit interne dans le secteur public 4j 1 950 € 2 150 € 26-29 17-20 8-11 10-13
SE FORMER DANS LE SECTEUR BANCAIRE ET FINANCIER
Le contrôle permanent et la conformité dans le secteur 3j 1 525 € 1 675 € 5-7 18-20 11-13
bancaire et financier
Pratiquer l’audit interne dans une banque ou un établissement 4j 1 950 € 2 150 € 10-13 23-26 16-19
financier
SE FORMER DANS LE SECTEUR DES ASSURANCES
Le contrôle interne dans le secteur des assurances 2j 1 300 € 1 450 € 7-8 21-22 5-6 21-22
Pratiquer l’audit interne dans le secteur des assurances 4j 1 950 € 2 150 € 19-22 24-27 15-18 3-6
SE FORMER DANS LES SECTEURS INDUSTRIE ET COMMERCE
Audit de la gestion des stocks et de la logistique Nouveau 2j 1 300 € 1 450 € 30-31 1-2
Audit du processus de ventes Nouveau 2j 1 300 € 1 450 € 3-4 24-25
ACQUÉRIR UNE CERTIFICATION Voir notre site internet : www.ifaci.com

IFACI Formation - Tél. : 01 40 08 48 08 - Mel : formation@ifaci.com - Retrouvez également le programme complet sur le site internet www.ifaci.com
FICHE TECHNIQUE

Nouvelles Normes : une évolution


sous le double sceau de la
clarification des responsabilités et
de la prise en compte de nouvelles
pratiques professionnelles
Béatrice Ki-Zerbo - Directeur de la Recherche, IFACI

C
onformément aux dispositions prises applicables au 1er janvier 2013. Il fait le lien avec
avec l’adoption du CRIPP (Cadre de les précédentes évolutions et avec les principes
référence international des pratiques qui sous-tendent l’évolution du CRIPP.
professionnelles de l’audit interne - IPPF) en
2009, l’IIA s’est engagé à assurer un suivi continu Quelles sont les principales évolutions
des Normes qui doivent être entièrement revues des Normes 2013 ?
au moins tous les trois ans. Ce suivi, assuré par
le Standards Board, peut aboutir à des mises à Les récentes modifications des Normes peuvent
jour, comme cela a été le cas en janvier 2009 et être schématiquement reliées à deux types d’ob-
en 2011. Cet article concerne les mises à jour jectifs :

La clarification des responsabilités  Responsabilité individuelle / collective (Introduction)


de l’auditeur interne, du responsable  Définition et rôle du Conseil (Glossaire, Normes 1110, 2210.A3)
de l’audit interne (RAI), du Conseil  Rôle du RAI dans la communication des résultats et des niveaux de
risques inacceptables (2440, 2600)

La prise en compte de nouvelles  Evaluations externes (1312)


pratiques professionnelles  Plan d’audit agile (2010)
 Prise en compte des objectifs stratégiques (2120.A1 et 2130.A1) et
des processus de gouvernement d’entreprise (2201)
 Processus de contrôle
 Opinions au niveau d’une mission
 Opinion globale

nov.-déc. 2012 - FICHE TECHNIQUE N°42 - Audit & Contrôle internes 1


FICHE TECHNIQUE

Ces évolutions s’intègrent dans la stratégie de par un paragraphe spécifiant les responsabi-
maintenance du CRIPP qui s’articule autour de lités en ce qui concerne la conformité aux
3 axes : Normes. Il était effectivement nécessaire d’in-
sister sur les exigences professionnelles indi-
1. Clarification : viduelles et le respect du code de déontologie
Des interprétations ont été ajoutées ou préci- qui s’impose à chaque auditeur interne.
sées. Rappelons qu’elles ont la même valeur Notons néanmoins que la conformité aux
obligatoire que l’énoncé principal de la Norme. Normes ne dépend pas uniquement de la
Le glossaire a également été révisé. volonté et du professionnalisme de chaque
auditeur interne. Des éléments, tels que la
2. Transparence du processus : maturité de l’organisation, l’implication des
Les Normes 2013 ont été élaborées selon un organes dirigeants (notamment en ce qui
processus accessible sur le site internet de l’IIA concerne les Normes de qualification), les
pour toutes les parties intéressées. Elles ont en ressources effectivement allouées à l’audit
particulier fait l’objet d’une consultation interne (notamment en termes d’accès à l’in-
publique. Le suivi de la conformité du processus formation) entrent également en ligne de
étant assuré par un Oversight Council constitué compte. C’est pourquoi les responsables de
de parties prenantes externes indépendantes du l’audit interne doivent s’assurer que les condi-
Standard Board. tions de cette conformité sont réunies et en
rendre compte. Bien entendu leur action sera
3. Evolutivité : facilitée par les différentes initiatives au
C’est l’objet même de cet article. Chaque norme niveau de l’IIA et des instituts locaux pour
doit être revue au moins tous les 3 ans. En réalité sensibiliser les parties prenantes de l’audit
le Standard Board est constitué de groupes de interne sur l’importance des Normes et la
travail qui assurent une surveillance régulière de nécessité de donner aux auditeurs internes les
chaque série de normes. Ce suivi permet d’inté- moyens de leur professionnalisme.
grer l’évolution des pratiques professionnelles
voire de les anticiper. Il prend également en  Définition et rôle du Conseil (Glossaire,
considération l’évolution des autres compo- Normes 1110 et 2210.A3)
santes du CRIPP. Une nouvelle définition du Conseil est propo-
sée dans le glossaire. Elle prend en compte les
Des modifications qui s’inscrivent dans la bonnes pratiques de gouvernance (notam-
continuité de celles de 2009 et 2011 ment la notion d’administrateur indépendant)
et explicite le fait que le rôle assigné au
Il n’y a pas de nouvelles Normes en 2013. Toutes Conseil dans les Normes peut être assumé
les modifications apportées concernent des par un Comité d’audit « auquel l’organe de
normes préexistantes. Les éléments ci-après gouvernance a délégué certaines fonctions ».
s’inspirent des travaux menés dans le cadre de L’interprétation de la Norme 1110 a été
l’unité de recherche de l’IFACI qui assure la complétée pour préciser la relation fonction-
traduction et l’adaptation du CRIPP. nelle de l’audit interne avec le Conseil. Ainsi,
le budget prévisionnel de l’audit interne et la
 Responsabilité individuelle / collective (Intro- rémunération du responsable de l’audit
duction) interne pourront faire l’objet d’une discussion
L’introduction des Normes a été complétée avec le Conseil. Ils viennent compléter d’au-

2 Audit & Contrôle internes - FICHE TECHNIQUE N°42 - nov.-déc. 2012


tres éléments permettant au Conseil de  Rôle du RAI dans la communication des résul-
conforter l’indépendance de l’audit interne. tats et des niveaux de risques inacceptables
Dans une prise de position commune avec (2440, 2600)
l’IFA, l’IFACI avait également donné des Le rôle du RAI en matière de revue, d’appro-
pistes pour entretenir des relations étroites bation et de diffusion des résultats est réaf-
avec le Conseil. Au niveau européen, une firmé (2440) : « Lorsque le responsable de l’audit
prise de position commune ECODA (associa- interne délègue ces fonctions, il/elle en garde l’en-
tion européenne des administrateurs) ECIIA tière responsabilité ». C’est pourquoi l’unité de
(réseau d’instituts d’audit interne) est en recherche recommande que le RAI définisse,
cours d’élaboration. a priori, des règles homogènes de diffusion et
les modalités d’accès aux rapports d’audit. Ces
Dans les commentaires des modifications règles préétablies pourront tenir compte de la
apportées à la Norme 1110, le groupe de travail complexité et de la sensibilité de la mission.
de l’IFACI a souhaité attirer l’attention sur le fait Pour chaque catégorie de mission, des desti-
que : nataires habituels pourront être identifiés de
• l’approbation du budget doit s’appuyer sur même que les modalités de gestion des diffu-
l’analyse des critères objectifs, notamment au sions ou des demandes d’accès exception-
regard du plan d’audit à réaliser ; nelles.
• la discussion sur la rémunération doit être La Norme 2600 a été revue pour clarifier le
reliée à une évaluation de la performance du rôle du RAI lorsque le niveau de risque
responsable de l’audit interne, notamment sur constaté est jugé inacceptable. Dans la
la base de la qualité des informations adres- pratique, le RAI devra se forger une opinion
sées au Conseil. en fonction de l’appétence au risque et des
seuils de tolérance définis par l’organisation,
En outre, les échanges avec le Conseil pourront ou de sa perception de la qualité des disposi-
porter sur des points significatifs de désaccord tifs de traitement des risques en place.
avec le management conformément au proces-
sus décrit dans la Norme 2600.  Evaluations externes (1312)
Une nouvelle interprétation a été ajoutée à la
Enfin, la Norme 2210.A3 concernant les objectifs Norme 1312 pour préciser les modalités
de la mission précise désormais le rôle du d’évaluation externe et de l’implication du
Conseil dans la définition de critères adéquats Conseil.
servant à apprécier si les objectifs et les buts ont Par ailleurs, l’unité de recherche de l’IFACI
été atteints. Dans la pratique, le Conseil délègue considère que la direction générale devrait
à la direction générale la responsabilité de définir être préalablement informée des modalités
ces critères et d’en rendre compte. Dans l’esprit d’implication du Conseil et plus particulière-
de la Norme 2600, lorsque les critères d’évalua- ment des éléments qui lui seront communi-
tion sont inadéquats, il y a un risque de non qués.
maîtrise des processus qu’il convient de discuter La discussion que le RAI doit avoir avec le
avec les managers concernés puis avec la direc- Conseil sur la fréquence de l’évaluation
tion générale et enfin avec le Conseil, lequel externe devra tenir compte de l’évolution de
intervient en dernier ressort pour les écarts signi- l’environnement, du profil de risque de l’or-
ficatifs. ganisation, de la sensibilité des parties
prenantes, de la nature des travaux de l’audit
interne et de son organisation.

nov.-déc. 2012 - FICHE TECHNIQUE N°42 - Audit & Contrôle internes 3


 Plan d’audit agile (2010) automatisés et la notion d’appétit pour le
L’interprétation de la Norme 2010 a été risque de l’organisation.
complétée pour inciter les responsables d’au-
dit interne à réviser, dès qu’ils le jugent néces-  Opinions au niveau d’une mission et
saire, le plan d’audit (et pas uniquement à opinion globale
l’échéance annuelle habituelle). Néanmoins Les opinions d’audit introduites dans la
l’unité de recherche insiste sur la qualité de la version de 2011 sont expliquées dans le glos-
préparation du plan initial qui est un saire. Notons qu’un guide pratique a été
« contrat » passé avec les organes dirigeants. publié sur ces modalités de communication
Il convient de limiter leur sollicitation. Ce des résultats de l’audit interne.
serait donner un mauvais signal quant au Toutes ces modifications s’inscrivent dans la
professionnalisme de l’audit interne si ces continuité par rapport aux précédentes évolu-
modifications étaient prévisibles. tions. Ainsi, en 2009 six nouvelles normes
avaient été ajoutées selon 3 axes :
 Prise en compte des objectifs stratégiques • Une réaffirmation du professionnalisme
(2120.A1 et 2130.A1) et des processus de de l’audit interne en rappelant les disposi-
gouvernement d’entreprise (2201, 2210.A3) tions obligatoires dans la charte et l’utilisa-
Désormais l’évaluation des processus de tion de la mention de conformité aux
contrôle et de management des risques Normes. Cette orientation se retrouve dans
doivent prendre en compte les objectifs stra- l’évolution de l’introduction des Normes
tégiques en plus des quatre objectifs clas- 2013.
siques que sont : • L’importance de l’objectivité et de l’indé-
• la fiabilité et l'intégrité des informations pendance qui passe par la relation avec le
financières et opérationnelles ; Conseil ou la vigilance sur l’implication
• l'efficacité et l'efficience des opérations et des audits internes dans les processus de
des programmes ; management des risques. Les relations
• la protection des actifs ; fonctionnelles avec le Conseil (dont la
• le respect des lois, règlements, règles, procé- nouvelle définition évite la confusion avec
dures et contrats. d’autres types d’instances), gage de l’indé-
pendance de l’audit interne sont précisées
Les critères d’évaluation à prendre en consi- dans l’interprétation de la Norme 1110.
dération lors de la définition des objectifs de L’implication de l’audit interne dans la
la mission ne concernent plus uniquement les gestion des risques est de nouveau abordée
processus de contrôle ; la Norme 2210.A3 à travers la Norme 2600.
intègre désormais les processus de manage- • De nouvelles thématiques prenant en
ment des risques et de gouvernement d’en- compte l’évolution des pratiques des
treprise. Ce dernier a également été rajouté auditeurs internes et du niveau de matu-
dans la Norme 2201 « considérations relatives rité des organisations (audit de la gouver-
à la planification ». nance des SI, risque de fraude). En 2013,
l’accent est mis sur la flexibilité du plan
 Processus de contrôle d’audit annuel ainsi que sur la prise en
La définition du processus de contrôle est compte des objectifs stratégiques.
précisée pour prendre en compte les contrôles

nov.-déc. 2012 - FICHE TECHNIQUE N°42 - Audit & Contrôle internes 4


FICHE TECHNIQUE

En 2011, deux nouvelles normes prenaient en Les dispositions recommandées évoluent à leur
compte l’évolution des pratiques des auditeurs propre rythme. Ainsi, début novembre, un
internes à travers les opinions de l’audit interne. inventaire des parutions 2012 des guides
La formulation de ces normes est d’ailleurs assez pratiques permettait de dénombrer 11 nouvelles
intéressante puisqu’elle n’oblige pas l’audit publications. Pour mémoire, il s’agit de :
interne à émettre de telles opinions mais plutôt • Assessing Organizational Governance in the
à s’interroger sur les attentes des organes diri- Private Sector
geants en la matière et le cas échéant le format • Developing the Internal Audit Strategic Plan
de telles opinions. Le glossaire 2013 précise la • GTAG - Auditing IT governance
distinction entre « opinion au niveau d’une • GTAG - Information technology outsourcing
mission » et « opinion globale ». De même, le cru (2nd edition)
2011 avait permis de développer des théma- • GTAG - Change and patch management
tiques liées à l’indépendance de l’audit interne controls (2nd edition)
et l’évaluation du processus de management des • GTAG - Information technology risk and
risques. controls (2nd edition)
• Auditing Privacy Risks, 2nd Edition (remplace
Au-delà des Normes, une maintenance le GTAG 5)
en continu de chaque composante du • Integrated Auditing
CRIPP • Evaluating Ethics-related Programs and Acti-
vities
L’évolution des Normes est d’autant plus impor- • Quality assurance and improvement program
tante que ce sont des composantes clés du • Coordinating Risk Management and Assu-
CRIPP. En effet, au cœur des dispositions obli- rance
gatoires, les Normes prescrivent des principes
qui sont directement liés à l’énoncé de la Défi- Au-delà des Normes, il est donc important de se
nition et du Code de déontologie. En outre, tenir régulièrement informé de la parution de ces
chaque disposition fortement recommandée documents.
peut être reliée à une norme. En outre, un processus de révision de la Défini-
tion adoptée en 1999 est en cours. Nous aurons
plus d’informations début 2013 sur l’option rete-
ITIONS OBLIGATO nue par l’IIA : soit un maintien de la définition
POS I RE
DIS S
actuelle, soit une nouvelle définition. Au-delà
NORMES
INTERNATIONALES
des résultats de ces différentes évolutions qui
aboutissent à des lignes directrices et à des
CODE DE propositions pratiques lesquelles ont une inci-
DÉFINITION DÉONTOLOGIE dence directe sur la pratique de l’audit interne, il
est intéressant de noter à quel point l’IIA tient à
PRISES DE GUIDES PRATIQUES s’appliquer le principe de l’amélioration conti-
POSITION (GTAG...)
nue. En effet, toutes les composantes sont régu-
MODALITÉS lièrement révisées et un processus d’élaboration
PRATIQUES
D'APPLICATION et de validation a été formalisé. En d’autres
ÉES
termes le CRIPP a son dispositif de contrôle
interne. 
DIS
POS ND
ITIONS RECOMMA

5 Audit & Contrôle internes - FICHE TECHNIQUE N°42 - nov.-déc. 2012


nov.-déc. 2012 - FICHE TECHNIQUE N°42 - Audit & Contrôle internes 6

Vous aimerez peut-être aussi