Académique Documents
Professionnel Documents
Culture Documents
DOSSIER
Les relations de l’audit interne avec
les organes dirigeants
L’indépendance des auditeurs internes en question
N°004
4e trimestre 2015
SOMMAIRE
05 EDITO
Audit interne et gouvernance
Le DAI doit-il avoir une place à la table
des dirigeants ?
06 CHRONIQUE
Volkswagen / BNP Paribas
mêmes causes mêmes effets ?
08 VOIX DE LA FRANCOPHONIE
La Francophonie
vers un nouveau Sommet
17 DOSSIER
18 Les attentes des organes dirigeants
vis-à-vis de l’audit interne
21 Etre à la table de la gouvernance
c’est, avant tout, être respecté par
le Comité exécutif et le Conseil
23 Relations audit interne / direction générale
et comité d’audit à la Caisse de dépôt et
placement du Québec
27 ÉVÉNEMENTS
Sous les projecteurs
29 LIBRES PROPOS
L’internationalisation de la compliance 17 DOSSIER
Les relations de l’audit interne
à l’américaine avec les organes dirigeants
31 BONNES PRATIQUES
31 Un NOUVEAU référentiel pour
une NOUVELLE ère
34 Le jour où le directeur général a demandé :
« Sommes-nous confortables avec notre
Plan de Continuité d’Activité (PCA) ? »
37 ACTUALITÉ
L
es auditeurs internes ont, parmi leurs différentes missions, celle d’évaluer
les processus de gouvernement d’entreprise. Mais de quelle gouvernance
parle-t-on ? Jean-Louis Beffa, président d’honneur et administrateur de
Saint Gobain, nous présente dans l’interview qu’il a bien voulu nous accor-
der, les principaux modèles de gouvernance. Ils sont fondés soit sur le capitalisme
libéral financier britannique, soit sur le capitalisme industriel et commercial alle-
mand. La France présente, elle, un modèle hybride où les deux modèles précé-
audit, risques & contrôle dents coexistent en s’opposant avec, ces derniers temps, un large ralliement au
modèle anglo-saxon.
La revue internationale des auditeurs et des contrôleurs internes
n°004 - 4e trimestre 2015 Pour Jean-Louis Beffa, le directeur de l’audit interne (DAI) doit avoir une longue
EDITEUR expérience de l’entreprise et une expérience aguerrie dans le domaine financier,
Union Francophone de l’Audit Interne (UFAI) être hyper compétent et avoir la totale confiance de la direction générale à
Association Loi 1901 laquelle il est rattaché. Contrairement aux interventions développées dans le
98 bis, boulevard Haussmann - 75008 Paris (France) « Dossier » consacré aux relations de l’audit interne avec les organes dirigeants, il
Tél. : 01 40 08 48 00 - Mel : institut@ifaci.com insiste peu sur les contacts que doit avoir le DAI avec le Comité d’audit.
Internet : www.ufai.org Le DAI doit-il avoir une place à la « table des dirigeants » ? À Saint Gobain, nous
DIRECTEUR DE PUBLICATION dit Jean-Louis Beffa, il fait partie du Comité de direction générale qui se réunit
Mireille Harnois tous les mois et a un rang équivalent à un patron de métier. Pour Phyllis Campbell,
ancienne présidente du Comité d’audit de Nordstrom, importante compagnie
RESPONSABLE DE LA RÉDACTION américaine, le DAI doit être avant tout respecté par le Comité exécutif et le
Philippe Mocquard
Conseil d’administration et « il est à la table » car considéré comme l’un des leurs.
RÉDACTEUR EN CHEF Il est crucial, nous dit-elle, que « l’audit interne soit impliqué dans les cercles qui
Louis Vaurs influencent et les discussions majeures qui forgent le devenir de l’entreprise ».
COMITÉ RÉDACTIONNEL Vous lirez également, dans ce numéro, deux articles consacrés à l’internationali-
Louis Vaurs - Mireille Harnois - Eric Blanc - sation de la « compliance » américaine en prenant deux exemples d’actualité BNP
Antoine de Boissieu - Christian Lesné Paribas et Volkswagen où un lien même ténu avec les Etats-Unis amène la justice
américaine à s’estimer compétente.
SECRÉTARIAT GÉNÉRAL
Eric Blanc - Tél. : 06 15 04 56 32 - Mel : eblanc@ifaci.com La France est-elle en retard en matière de risque de conformité s’interroge
CORRESPONDANTS Antoine de Boissieu dans sa chronique. Analysant la situation des Etats-Unis, du
Amérique : Farid Al Mahsani Royaume Uni et du Brésil, il constate que la France brille par son absence dans la
Maghreb : Nourdine Khatal lutte contre la corruption, la justice française ne condamnant qu’exceptionnelle-
Afrique subsaharienne : Fassery Doumbia ment et à des amendes négligeables les faits de corruption.
RÉALISATION Votre organisation dispose-t-elle d’un bon plan de continuité d’activité ? Pour
EBZONE Communication vous en assurer, lisez l’article « Le jour où le directeur général a demandé
22, rue Rambuteau - 75003 Paris ”Sommes-nous « confortables » avec
Tél. : 01 40 09 24 32 - Mel : ebzone@ebzone.fr notre Plan de Continuité d’Activité” ».
IMPRESSION Nous avons eu à Paris, en septembre
Imprimerie de Champagne dernier, une magnifique conférence
Rue de l’Etoile de Langres - ZI Les Franchises européenne placée sous l’égide de
52200 Langres l’ECIIA (Confédération Européenne
des Instituts d’Audit Interne). Ce fut un
ABONNEMENT
Michèle Azulay - Tél. : 01 40 08 48 15
très grand succès, large participation,
Mel : mazulay@ifaci.com
intervenants de qualité, thèmes d’ac-
tualité. Sous le titre « Sous les projec-
Revue trimestrielle (4 numéros par an) teurs » vous prendrez connaissance
ISSN : 2427-3260 des messages clés présentés lors des
Dépôt légal : octobre 2015 sessions plénières.
Crédit photo couverture : © Laurent Villeret Je vous recommande enfin de faire
Prix de vente au numéro : 25 € TTC une lecture attentive de l’article
consacré au nouveau CRIPP qui déve-
Les articles sont présentés sous la responsabilité
loppe les 10 principes fondamentaux
de leurs auteurs. pour la pratique professionnelle de
l’audit interne, principes qui régissent
Toute représentation ou reproduction, intégrale ou partielle, à présent notre activité.
faite sans le consentement de l’auteur, ou de ses ayants droits,
ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1er de
Bonne lecture.
l’article 40). Cette représentation ou reproduction, par quelque
procédé que ce soit, constituerait une contrefaçon sanction-
née par les articles 425 et suivants du Code Pénal. Louis Vaurs - Rédacteur en chef
3. Tromper la justice 2005 par l'administration améri- parce que la loi prévoit déjà des Un exemple des
américaine caine, puis régulièrement dans les plafonds très élevés, soit parce autorités européennes ?
BNP Paribas et Volkswagen ont années suivantes par ces mêmes que la seule menace d'un
sans aucun doute aggravé leur cas autorités, par des avocats new- procès permet de négocier à 2) VAG va peut-être réussir à réveil-
en trompant délibérément la yorkais, et finalement par son l'amiable, dans une logique de ler les systèmes judiciaires euro-
justice américaine. BNP Paribas a inspection générale. Tous ces rapport de force. péens, jusqu'ici pour le moins
modifié les noms des contrepar- avertissements ont été ignorés, apathiques. VAG va vraisemblable-
ties sur les listings remis aux auto- alors que l'exposition au risque 50 milliards ment devoir s'acquitter de 20 à 30
rités, et a vraisemblablement augmentait dangereusement. Il plutôt que 30 milliards de dollars d'amende et
continué pendant des mois, voire semble que l'on retrouve le même de dommages et intérêts aux
des années, à transmettre des mode d'action dans le cas Dans ce contexte, il est probable Etats-Unis, pour 500 000 véhicules
informations biaisées ou partielles Volkswagen : des ONG spéciali- que le « dieselgate » coûte vrai- incriminés. Or, le nombre de véhi-
aux enquêteurs. Cette attitude a sées, les autorités européennes, ment très cher à VAG. Nous cules incriminés est près de 20 fois
eu un impact direct sur le des salariés en interne, avaient pensons que l'impact sera supé- plus élevé en Europe, où 8,5
montant de l'amende. tous tiré la sonnette l'alarme, sans rieur aux 30 milliards attendus, millions de voitures ont été équi-
Volkswagen semble avoir fait de que cela ne déclenche de réac- pour deux raisons supplémen- pées du logiciel frauduleux. Peut-
même : le logiciel installé était fait tion. Les autorités américaines taires en plus de celles citées ci- on imaginer que les justices
pour truquer les tests menés par avaient quant à elles alerté VAG il dessus. européennes se contentent d'une
les autorités réglementaires, en y a près d'un an. amende symbolique, en considé-
affichant des niveaux de pollution Une deuxième affaire rant que les mêmes faits coûtent
de 20 à 40 fois inférieurs aux Une justice américaine de chiffres truqués ? 50 à 100 fois moins en Europe
niveaux réels. Le constructeur alle- beaucoup plus qu'aux Etats-Unis ? Les autorités
mand a fait développer un logiciel puissante 1) VAG est en train d'être mis en allemandes ont déjà commencé à
dans le seul but de tromper les cause dans une autre affaire aux donner des éléments de réponse,
autorités américaines, ce qui ne va En regardant les choses cynique- Etats-Unis. Le constructeur est en en contraignant VAG à rappeler
certainement pas aider dans la ment, on pourrait dire que effet accusé de ne pas avoir tous les véhicules incriminés en
négociation de l'amende. Volkswagen aurait dû choisir une remonté des cas de litiges à la Allemagne (soit plus de 2
Volkswagen a même poussé l'im- autre zone géographique pour suite d'accidents aux autorités millions), avec obligation de
pudence jusqu'à gagner deux enfreindre les réglementations, compétentes (la NHTSA). Depuis remise aux normes. Or, pour
années de suite avec des modèles mais éviter à tout prix de le faire 2000, la loi américaine impose en certains modèles, la remise aux
diesel aujourd'hui incriminés le aux Etats-Unis. Cette attitude, effet aux constructeurs automo- normes impose d'ajouter un
titre de « green car of the year » aux comme dans le cas de BNP biles d'alimenter une base de système de dépollution à base
Etats-Unis. Paribas, résulte sans doute d'une données des accidents ayant d'urée, soit des modifications très
De plus, BNP Paribas et erreur d'appréciation des sociétés donné lieu à des litiges avec le lourdes. Les coûts à prévoir dans
Volkswagen ont toutes deux nié européennes quant au fonction- constructeur. Or, une étude toute ce cas peuvent faire s'envoler la
ou minimisé les faits pendant nement de la justice américaine. récente menée par des journa- facture, et ont comme autres
plusieurs mois après le lancement On sous-estime ainsi souvent les listes tend à démontrer que VAG conséquences négatives d'alour-
de l'enquête par les autorités réalités suivantes : n'aurait pas déclaré certains cas. dir le véhicule, d'augmenter sa
américaines. Ce n'est qu'après un 1. Les autorités judiciaires améri- Honda a déjà été condamné à consommation, de dégrader légè-
an d'enquête que ces dernières caines ont des moyens d'en- 70 M$ d'amende cette année rement les performances, et
sont parvenues à rassembler suffi- quête et de coercition sans pour cela. Les chiffres sont à véri- d'obliger le propriétaire à refaire le
samment d'éléments pour commune mesure avec les fier, mais il semblerait que sur la plein d'urée une ou deux fois par
contraindre BNP et VAG à recon- justices allemande et française. base des accidents déclarés, VAG an. Suffisamment donc pour
naître les faits. Et encore, lors d'une Là où ces dernières sont géné- affiche une moyenne de 34 acci- donner droit à un dédommage-
audition au Sénat début octobre, ralement incapables de prouver dents litigieux par million de véhi- ment pour les acheteurs trompés.
le CEO de VAG Etats-Unis a eu le quoi que ce soit, la justice cules vendus, alors que la
culot d'affirmer que d'après les américaine arrive générale- moyenne pour les autres * *
enquêtes internes en cours, le ment à obtenir des preuves, des constructeurs serait de 306... soit *
nombre de collaborateurs incrimi- reconnaissances de culpabilité près de dix fois plus. Soit les véhi-
nés était « supérieur à 2, mais ou, à défaut, à négocier un cules de VAG sont 10 fois plus Quelle que soit l'issue de cette
significativement inférieur à 10 ». accord à l'amiable. fiables que ceux des concurrents crise, elle peut être vue comme l'il-
Un mois plus tard, le constructeur 2. Les autorités judiciaires sont (japonais et coréens compris), soit lustration d'une tendance lourde :
parle plutôt de « plusieurs largement dirigées par des VAG a largement truqué ses chif- des faits qui, il y a 20 ans, auraient
douzaines » de collaborateurs mis juges et procureurs élus, dont fres. Si les chiffres sont avérés, il va été qualifiés de bénins et n'au-
en cause. Jouer au chat et à la certains ont clairement des être difficile pour VAG d'expliquer raient eu que des conséquences
souris avec les autorités améri- ambitions, donc des arrière- qu'il s'agit d'une erreur et que la limitées, suffisent aujourd'hui à
caines, pour perdre à la fin, n'est pensées, politiques, et ne sont direction n'était pas au courant. faire perdre 30 milliards à une
sans doute pas la meilleure façon donc pas forcément totale- Cette seconde affaire aura certai- société leader dans son secteur.
de minimiser l'amende. ment indépendants. nement un impact négatif sur les Ce qui assure aussi de beaux jours
3. La justice américaine n'est pas juges américains, et ne va pas les à la profession d'audit interne.
4. Ignorer les avertissements limitée dans le calcul des pousser à la clémence.
BNP Paribas avait été avertie dès indemnités et amendes, soit Antoine de Boissieu
La Francophonie
© vege - Fotolia.com
vers un nouveau
Sommet
dont le grand leader est naturel- nement. Il se réunit tous les deux
Pour ce numéro, j’ai prévu de faire, avec vous, le tour de la lement l’OIF. ans. Le XVe Sommet s’est déroulé
Francophonie, en présentant d’abord l’Organisation en 2014 au Sénégal et le XVIe se
Internationale de la Francophonie et ses instances de gouver- L’OIF, le cœur de tiendra à Madagascar en 2016.
nance, afin de bien saisir l’ampleur des activités dans le monde la Francophonie
francophone. Cette compréhension permet de mettre l’accent La Conférence ministérielle de
sur les nombreuses opportunités qui s’offrent aux auditeurs fran- En effet, l’OIF regroupe 80 États et la Francophonie (CMF) se réunit
cophones, dans la mutualisation des efforts pour faire évoluer gouvernements des pays ayant le chaque année et a pour mission
ensemble nos sociétés. Nous examinerons ensuite les activités français en partage et comprend de veiller à l’exécution des déci-
trois hautes instances de gouver- sions arrêtées lors d’un Sommet
du réseau UFAI.
nance consacrées par la Charte et de préparer le suivant. Elle se
de la Francophonie : le Sommet prononce sur les grands axes de
D
ans un numéro récent, nie (OIF), nous serions 274 de la Francophonie, la Confé- l’action multilatérale franco-
nous avons souligné la millions de femmes et d’hommes rence ministérielle de la phone. Les États et gouverne-
faible représentation partageant une langue com- Francophonie et le Conseil ments membres ou observateurs
des auditeurs internes mune, le français. Cela représente permanent de la Francophonie. du Sommet y sont représentés
francophones au sein de l’Institut une charge de travail considéra- par leur ministre des Affaires
des Auditeurs Internes (IIA) ; ble par auditeur interne franco- Le Sommet, l’instance suprême étrangères ou le ministre chargé
seulement cinq pour cent, parmi phone. de la Francophonie, représente la de la Francophonie. La 31e
l’ensemble des langues parlées. Conférence des chefs d’État et de session de la Conférence ministé-
Il y a donc des synergies à déve- gouvernement. Il définit les rielle de la Francophonie a eu lieu
D’autre part, selon l’Organisation lopper en collaborant avec d’au- orientations de la Francophonie en octobre dernier en Arménie.
internationale de la Francopho- tres organisations francophones de manière à assurer son rayon-
Le Conseil permanent de la
Francophonie (CPF) est l’ins-
tance chargée de la préparation
et du suivi du Sommet. Il est
présidé par le secrétaire général
de la Francophonie, actuellement
Madame S. E. Michaëlle Jean, et
est composé des représentants
personnels dûment accrédités
par les chefs d’État ou de gouver-
nement participant aux
Sommets. Il a notamment pour
missions de veiller à l’exécution
des décisions prises par la CMF,
d’examiner les propositions de
répartition du budget et d’exer-
cer un triple rôle d’animateur, de
coordonnateur et d’arbitre.
Quatre commissions spécialisées
composées des délégués des
États et gouvernements prépa-
rent les travaux du CPF : la
commission politique ; la com-
mission économique ; la commis-
sion de coopération et de
programmation ; la commission L’Organisation « s’appuiera sur la Intérêt manifesté de Ressources pour
administrative et financière. pratique de l’audit et du contrôle la part de partenaires les auditeurs internes
internes qui doivent améliorer et bailleurs de fonds
L’OIF dispose aussi d’une notre fonctionnement, et se En même temps, l’IIA déploie une
Direction d’audit interne et d’un doivent de nous accompagner, Le moment des initiatives est série d’initiatives et d’obligations
Comité d’audit. dans un dialogue franc et fécond, vraiment approprié, car l’intérêt pour les Instituts afin de s’assurer
Dans son intervention lors de la pour une gestion plus efficace, pour vis-à-vis de la profession et les que chaque auditeur interne,
31e Conférence ministérielle de la des risques identifiés, hiérarchisés et besoins d’instaurer des services quelle que soit sa langue ou la
Francophonie, en octobre der- anticipés ». 1 d’audit interne se manifestent de région où il œuvre, ait accès à un
nier, Monsieur Adama OUANE, plus en plus. L’UFAI est sollicitée minimum de services notam-
administrateur de l’OIF a Le ton donné par l’OIF au sein de pour proposer des projets d’ac- ment les normes, les activités de
mentionné « l’objectif prioritaire la Francophonie est stimulant compagnement et de promotion formation et de préparation à la
qui lui était confié, à savoir mettre pour l’Union Francophone de de l’audit interne. Donc, des certification, les événements
en place une véritable culture du l’Audit Interne (UFAI) et ses chantiers à explorer et à mettre locaux, les publications liées à
résultat, de l’évaluation et de l’audit, Instituts membres qui tentent en lien avec différentes organisa- l’audit interne et autres informa-
intégrée et partagée, au quotidien par leur contribution de faire tions, partenaires et bien tions de bases.
par toute l’Organisation et ce avec évoluer la profession et participer entendu avec l’IIA Global.
l'appui de toutes les parties à la valeur ajoutée des entreprises L’audit interne sur
prenantes à ce processus ». et de la société. le continent africain
Atelier Africain 1
http://www.francophonie.org/Discours-de-l-Administrateur-de-l-46366.html
Risques de
conformité
La France en retard ?
L
'OCDE a publié fin 2014 un rapport sur la corruption de
fonctionnaires étrangers. Le rapport analyse les 200 cas de
corruption ayant fait l'objet de poursuites depuis l'entrée
en vigueur de la convention OCDE de 1999. Il révèle
plusieurs faits intéressants :
Le nombre de cas est en forte augmentation depuis 2006,
passant de 10 à 40 par an.
Les Etats-Unis concentrent près des 2/3 des cas à eux seuls.
Dans 75 % des cas, le montage de corruption implique des
intermédiaires.
Les pots-de-vin représentent en moyenne 10 % des marchés
visés.
70 % des cas se terminent par un accord négocié (aux Etats-
Unis principalement).
FCPA
La loi américaine (le Foreign Corrupt Practices Act, cf. revue Audit,
Risques & Contrôle n°002) est la plus connue et la plus utilisée,
surtout contre des sociétés européennes d'ailleurs, qui se sont vu
infliger 8 des 10 principales amendes.
Anti-bribery Act
Evaluer les programmes de La morale de cette histoire semble donc être succursales en Suisse et aux Iles Cayman, par
conformité que les auditeurs ont une obligation de résul- où une partie des fonds transitait, et une
tats, pas de moyens, d'autant plus lorsqu'il kyrielle de fournisseurs accusés d'avoir payé
Pour évaluer ces efforts, les juges doivent s'agit de risques connus. des pots-de-vin, venant de différents secteurs
prendre en compte les 3 critères suivants : et zones géographiques, des chantiers navals
1. La société a-t-elle mis en place un Avon : pressions sur l'audit interne singapouriens au fabricant de moteurs anglais
programme de conformité, avec notam- La deuxième affaire intéressante, qui a été peu Rolls-Royce. L'affaire, si elle est instruite
ment des politiques de conformité, des médiatisée en Europe, est celle du groupe jusqu'au bout, risque donc d'entraîner des
procédures d'application, des processus de américain de cosmétiques Avon. Avon a réactions en chaîne. Certaines sociétés,
reporting, de formation et, enfin, une reconnu avoir payé 8 M$ de pots-de-vin à des comme Rolls-Royce, risquent même de se
évaluation périodique des risques ? officiels chinois, une partie sous la forme de retrouver poursuivies pour ces faits à la fois au
2. Ce programme couvre-t-il bien les risques cadeaux et de voyages gratuits. Le but de Brésil, au Royaume-Uni et aux Etats-Unis.
de conformité spécifiques à l'entreprise (liés l'opération était d'influencer, dans un sens
à son contexte, son secteur d'activité, sa favorable à ses intérêts, les fonctionnaires La France, un paradis juridique ?
structure juridique...) ? chargés de l'élaboration de la réglementation
3. Enfin, l'audit interne évalue-t-il régulière- en matière de vente directe au consomma- Force est de constater que la plupart des pays
ment l'efficacité du dispositif ? teur. L'affaire aura coûté 500 M$ au total à d’Europe continentale sont moins présents
Avon, les coûts liés à l'enquête étant supé- dans ce panorama de la lutte contre la
La loi brésilienne reconnaît donc le rôle que rieurs à l'amende infligée par les autorités corruption. Ainsi, la justice française brille par
doivent jouer les auditeurs internes en matière américaines dans le cadre du FCPA (cf. revue son absence dans ce panorama de la lutte
de conformité, une bonne couverture des Audit, Risques & Contrôle n°002). contre la corruption. La justice française ne
risques de conformité par l'audit interne pouvant condamne pas, ou très exceptionnellement,
devenir un argument face à un tribunal. Cette affaire est significative pour l'audit et à des amendes négligeables comparées à
interne car les pots-de-vin avaient été détec- celles infligées par les autorités américaines,
Trois affaires intéressantes pour tés par les auditeurs du groupe. Le directeur mais aussi chinoises, anglaises, italiennes et,
l'audit interne de l'audit interne de l'époque avait cependant vraisemblablement, brésiliennes. En fait, la
été poussé à étouffer l'affaire et à détruire les justice française est inoffensive dans la plupart
Les cas des Etats-Unis, du Royaume-Uni et du preuves recueillies par ses auditeurs. des domaines concernant la vie des entre-
Brésil sont représentatifs d'une tendance L'information n'est jamais remontée au prises, comme ses homologues européennes.
beaucoup plus générale à la lutte contre la Conseil d'administration, qui a été mis au Ainsi, dans le domaine financier, on a appris
corruption. L'article de la revue de l'IIA revient courant, trop tard, par un lanceur d'alerte en récemment que les autorités américaines (la
ainsi sur trois cas récents, intéressants pour interne. Le cas Avon illustre donc bien l'impor- SEC) avaient infligé 4 milliards de dollars
l'audit interne. tance du rattachement fonctionnel de l'audit d'amendes et sanctions en 2014, les autorités
interne au Comité d'audit. anglaises 1,2 milliards, et les françaises (l'AMF)
Glaxo SmithKline : les auditeurs ratent 35 millions... Le seul domaine où le système
le risque Petrobras : une réaction en chaîne judiciaire français fonctionne semble être le
En septembre 2014, la société pharmaceu- La troisième affaire significative est celle de la droit de la concurrence, où certaines ententes
tique GSK a été condamnée à près de 500 M$ compagnie pétrolière brésilienne Petrobras. sont régulièrement mises en évidence et
d'amende par les autorités chinoises pour Cette grosse affaire de corruption a déjà sanctionnées.
avoir payé des pots-de-vin à des fonction- poussé à la démission la directrice générale et L'adoption en Europe d'un système à l'améri-
naires hospitaliers et des autorités de santé, 5 administrateurs du groupe. L'ancien direc- caine, où le dénonciateur de l'entente est
afin de promouvoir les ventes de ses médica- teur de la branche Raffinage du groupe a exonéré d'amende, explique en partie cette
ments. Le montant de l'amende était censé reconnu que les budgets des projets étaient situation.
être équivalent au montant des pots-de-vin systématiquement gonflés de 3 % pour tenir
versés. Cette affaire est aussi riche d'enseigne- compte des rétro-commissions qui étaient La tranquillité dont disposent les sociétés en
ments pour l'audit interne, dans la mesure où : exigées des fournisseurs. Au total, le montant France ne doit pas cacher la hausse des
les faits reprochés à GSK sont parfaitement des commissions dépasse le milliard de risques liés à la conformité dans les autres
connus dans l'industrie pharmaceutique dollars, et est sans doute supérieur à 2 pays. Les sociétés internationales habituées à
depuis des dizaines d'années, et avaient milliards. Les implications de l'affaire semblent une situation « à la française » vont devoir faire
déjà fait l'objet d'une longue liste de infinies : la classe politique brésilienne est rapidement évoluer leur culture interne pour
condamnations dans différents pays ; largement concernée, une partie des rétro- prendre en compte ces risques, et les placer
GSK déployait des moyens importants en commissions terminant dans les caisses des au cœur du processus de prise de décision.
Chine pour la conformité ; seule la filiale partis politiques. Les auditeurs internes, comme le reconnaît la
américaine avait des effectifs supérieurs législation brésilienne, ont un rôle clef à jouer
dans les fonctions de conformité ; Sont aussi impliquées toutes les principales dans cette évolution.
GSK réalisait environ 20 missions d'audit sociétés de BTP présentes au Brésil (dont les 4
interne par an en Chine. majors locales), des banques ayant des
Antoine de Boissieu
En cette année anniversaire des 350 ans de Saint-Gobain, il était Louis Vaurs : Monsieur Beffa, Jean-Louis Beffa : La gouver-
naturel que notre revue s’intéresse à sa gouvernance et au rôle vous avez dirigé, pendant de nance d’entreprise est influencée
que l’audit interne y joue. Et qui mieux que son président d’hon- longues années Saint-Gobain. par le type d’environnement
Vous avez été ou êtes toujours dans lequel il s’exerce.
neur, Jean-Louis Beffa pouvait nous en parler, lui qui est resté
administrateur de sociétés fran- En Europe on distingue le capita-
plus de 20 ans président directeur général de ce très efficace et
çaises ou étrangères du monde lisme libéral financier, c’est le
attachant groupe. Partant du général au particulier, il évoque bancaire ou industriel, et britannique ; le capitalisme indus-
les grands modèles de la gouvernance et tous les sujets qui font membre de leurs comités spécia- triel et commercial, comme je
l’actualité tels que les trois lignes de maîtrise, la soft law, le Say lisés. Quel regard portez-vous sur l’appelle dans mes livres, c’est
on Pay, le whistleblowing, l’indépendance de l’audit interne et le gouvernement d’entreprise tel celui de l’Allemagne.
sa place à la table des dirigeants… et quelques autres sujets tout qu’il se pratique ici ou là ? Les gouvernances sont très diffé-
aussi intéressants. rentes dans les deux systèmes.
Dans la gouvernance britan- d’un point de vue stratégique ce nent de la même façon toutes les belles entreprises du CAC 40 :
nique : prééminence de l’assem- qui permet de maintenir une part entreprises. On est passé, depuis Alcatel, Lafarge et Alstom.
blée générale, volonté de mettre significative des emplois sur le sol l’émergence asiatique, à un autre Il doit y avoir maintenant une
un contre-pouvoir au manage- allemand. modèle défendu par le Japon et prise de conscience : si on ne
ment, essentiellement par le biais l’Allemagne modèle qui privilégie réagit pas, la France n’aura plus
d’une gouvernance avec disso- La dimension allemande est le la compétition entre pays dont d’entreprises championnes et la
ciation, c’est-à-dire un président long terme : maintien des valeurs les armées, dans cette bataille, France va s’affaiblir dangereuse-
non exécutif dont le but est avant historiques de l’entreprise, et sont les entreprises « champions ment.
tout de représenter l’intérêt des adaptation aux temps modernes. nationaux » de chaque pays.
actionnaires et un directeur Le modèle britannique est L. V. : Quel modèle avez-vous
général qui est subordonné aux souvent axé sur le court terme, En France, selon la sensibilité des privilégié quand vous étiez le
actionnaires. privilégiant la rentabilité finan- responsables politiques, les président directeur général de
cière immédiate. textes sont différents et influen- Saint-Gobain ?
Le modèle allemand a pour point cent de façon importante la
central le conseil d’administration La France est dans un modèle gouvernance de l’entreprise qui J.-L. B. : Chez Saint-Gobain, j’ai
avec un système de cogestion, la hybride qui évolue au fil du est allée d’un modèle assez favo- eu la chance, de mener une stra-
moitié des administrateurs étant temps et où les deux modèles rable au modèle industriel tégie industrielle commerciale
issue des syndicats, ceux de l’en- précédents coexistent en s’oppo- commercial avec le Général de dans un environnement libéral
treprise, mais aussi le syndicat de sant. Gaulle, MM. Balladur et Chirac, financier auquel j’ai résisté.
branche comme chez Siemens Le modèle libéral-financier est le par le biais des participations
avec IG Metall. Ce modèle a pour fruit de la domination du capita- croisées, à un modèle libéral L. V. : Juste un mot sur les Etats-
but de concilier les vues de l’ac- lisme américain, celui du level financier après la prise de Unis. Leur système se rapproche-
tionnaire et celles des syndicats, playing field dans lequel les règles contrôle de l’UAP par AXA et, t-il du modèle anglais ?
d’un point de vue social comme du jeu sont mondiales et concer- avec ce modèle-là, on a perdu de
© Laurent Villeret
corruption qui sont aussi de la
conformité. Le modèle bancaire J.-L. B. : Il faut qu’il vienne
ne s’applique pas aisément aux d’abord expliquer son travail
entreprises non financières. devant lui. Et y rendre compte de
son programme de travail.
Quand j’étais à la BNP, il y avait un
Comité des risques indépendant L. V. : Participe-t-il systématique- J.-L. B. : Il faut quelqu’un avec J.-L. B. : Oui, l’audit interne est
du Comité des comptes. Donc ment à tous les Comités d’audit ? une longue expérience de l’en- une fonction importante, dont
deux comités différents du treprise ; et une expérience les présidents directeurs géné-
Conseil. J.-L. B. : Non, contrairement au aguerrie dans le domaine finan- raux doivent se préoccuper pour
Chez Saint-Gobain, l’audit interne directeur financier qui, lui, parti- cier. Pour réussir, il faut être hyper la suivre eux-mêmes et je crois
est interrogé indépendamment cipe à tous. compétent et avoir la totale qu’il serait souhaitable qu’un
du management par le Comité confiance de la direction géné- président voie son directeur de
des comptes. L. V. : Mais le DAI a-t-il la possibi- rale. l’audit interne tous les 15 jours. Et
lité d’avoir un tête à tête avec le pour la crédibilité de la fonction,
L. V. : Dans le secteur bancaire, président du Comité d’audit ? L. V. : Doit-il siéger à la « table des l’équipe d’audit interne doit être
depuis l’arrêté du 3 novembre dirigeants » ? une équipe parfaitement aguer-
2014 relatif au contrôle interne J.-L. B. : Pour certains domaines, rie.
des entreprises du secteur de la le Comité d’audit peut vouloir J.-L. B. : Oui, chez Saint-Gobain,
banque, il n’est plus fait référence l’auditionner hors de la présence il fait partie du Comité de direc- L. V. : Merci beaucoup, Monsieur
au Comité d’audit mais au de la direction, cela me paraît tion générale qui se réunit tous le Président.
Comité des risques et c’est à ce normal. les mois. Il a un rang équivalent à
dernier que l’audit interne devra un patron de métier.
le plus souvent rendre des L. V. : A-t-il un rôle particulier
comptes. dans le domaine de l’éthique ? L. V. : Pour vous, le principal
champ de l’audit interne est-il le
J.-L. B. : Ce modèle peut se J.-L. B. : Oui, Il vérifie par exem- domaine comptable et finan- Jean-Louis Beffa, X Mines,
comprendre pour les banques et ple que la charte d’éthique du cier ? PDG de Saint- Gobain de
je doute qu’il soit bien approprié groupe est correctement mise en 1986 à 2007 ; aujourd’hui,
pour les entreprises du secteur œuvre ou que les acheteurs ne J.-L. B. : Pour moi, c’est le respect président d’honneur et admi-
industriel. sont pas en conflit d’intérêt ; il de la charte de comportement nistrateur de Saint-Gobain.
s’assure également que les du groupe mais aussi l’évaluation
L. V. : Peut-on parler d’indépen- commerciaux, quel que soit le de la gouvernance opération- Il est l’auteur de deux
dance de l’audit interne ? Il en est pays, respectent les valeurs du nelle. ouvrages récents : « La France
questions dans nos Normes groupe. doit Choisir » en 2012, et « Les
professionnelles, sachant très bien L. V. : Avez-vous un message Clés de la Puissance » en
qu’une indépendance est tou- L. V. : Quel doit être le profil d’un particulier à adresser à nos 2015.
jours relative. directeur d’audit interne ? lecteurs ?
LES RELATIONS
DE L’AUDIT INTERNE
AVEC LES ORGANES
DIRIGEANTS
L’indépendance des auditeurs
internes en question
L’audit interne a élargi son champ traditionnel respect des lois et des règlements, des direc-
de compétences au-delà de la fiabilité des tives de la direction générale et de la maîtrise
comptes et du reporting financier pour deve- des risques.
L
’IFACI donne de l’audit interne la défi- nir un rouage essentiel de la pertinence du
nition suivante : « L'audit interne est une « rendre compte » de son activité à tous les Dès lors que les risques devaient être maîtrisés
activité indépendante et objective qui niveaux de l’organisation et notamment et que les procédures de contrôle interne ont
donne à une organisation une assu- auprès de la direction générale, du Conseil été mises en œuvre à cette fin, l’audit interne
rance sur le degré de maîtrise de ses opérations, d’administration / Comité d’audit et de toutes a vu ses missions s’élargir à tous les processus
lui apporte ses conseils pour les améliorer, et les parties prenantes. En effet, d’une part la de l’entreprise. Cependant, selon le niveau de
contribue à créer de la valeur ajoutée. taille croissante des entreprises et leur risques, la nature des activités et l’avancement
Il aide cette organisation à atteindre ses objectifs mondialisation et, d’autre part, l’évolution des de la mise en place du contrôle interne, les
en évaluant par une approche systématique et rôles et responsabilités des dirigeants, ont attentes des dirigeants à l’égard de l’audit
méthodique, ses processus de management des rendu plus prépondérantes l’identification et interne demeurent hétérogènes même si
risques, de contrôle, de gouvernement d'entre- la gestion des risques. Dans ce contexte, l’au- elles sont globalement de plus en plus
prise, et en faisant des propositions pour renfor- dit interne a dû s’adapter à ces évolutions nombreuses et diverses.
cer leur efficacité. » pour continuer à assurer l’organisation du
Dans ce contexte, parmi les prérequis à un annuel. Pour ce faire, outre les échanges Les attentes de la direction générale vis-à-vis
bon fonctionnement entre l’audit interne et ouverts et réguliers avec la direction générale de l’audit interne résultent pour l’essentiel
les dirigeants, nous pouvons citer : l’indépen- et les directions opérationnelles métiers et/ou d’une meilleure connaissance des risques et
dance de l’audit interne au sein de l’organisa- géographiques pour identifier les zones d’une volonté forte de les maîtriser, notam-
tion, l’allocation de moyens adéquats, un devant faire l’objet d’audits, le directeur de ment, au travers de la mise en place étendue
partage d’informations et une bonne l’audit Interne doit aussi travailler en étroite de dispositifs de contrôle interne qui vont
communication entre les dirigeants et l’audit relation avec ses collègues des directions bien au-delà du contrôle interne comptable
interne, puis entre les directions en charge « support » : directeur des risques, directeur du et financier. Dans ce contexte, l’audit interne
des autres lignes de maîtrise et l’audit interne. contrôle interne, directeur des systèmes d’in- aura pour mission d’informer la direction
formation, directeur de la conformité. Selon générale et les patrons de branches des résul-
On comprend donc aisément que l’audit l’organisation mise en place au sein des tats des audits liés à l’analyse des processus
interne doit avant tout être indépendant au groupes (DARCI, DACI...), la maturité des opérationnels, financiers et la revue des
sein de l’organisation ; l’indépendance est dispositifs, l’existence ou non d’un outil de systèmes d’information. Il pourra faire état, par
renforcée par la charte d’audit interne qui gouvernance, gestion du risque et conformité exemple, des cas de non-respect des prin-
précise la mission, les pouvoirs et les respon- (GRC), la dynamique et le partage systéma- cipes et procédures, mais aussi des opportu-
sabilités de l’audit Interne et définit sa position tique d’informations sont, à ce jour, assez nités d’en améliorer l’efficacité à travers des
dans l'organisation y compris la nature du hétérogènes. propositions de points de recommandation,
rattachement hiérarchique au plus haut Du fait de la variété des domaines à couvrir et puis du suivi de leur mise en œuvre.
niveau de l’organisation (direction générale) des missions à conduire, l’audit interne doit
et la relation fonctionnelle entre le directeur disposer d’un budget adéquat lui permet- En complément du plan d’audit annuel, la
de l’audit interne (DAI) et le Conseil. « Les rela- tant d’enrichir la palette des compétences direction générale pourra aussi mandater l’au-
tions fonctionnelles impliquent, par exemple, et des outils nécessaires à la réalisation de dit interne lors d’opérations de fusions / acqui-
que le Conseil : son plan d’audit. Ainsi, le recrutement de sitions, pour revoir le dispositif de
approuve la charte d’audit interne ; profils diversifiés, la formation permanente management des risques, et/ou participer à
approuve le plan d’audit interne fondé sur des collaborateurs, l’intégration d’opération- une mission d’investigation. En effet, les direc-
l’approche par les risques ; nels dans les équipes d’audit, le recours à l’ex- tions générales confient de plus en plus de
approuve le budget et les ressources prévision- ternalisation de certaines missions auprès de missions spécifiques à l’audit interne à l’occa-
nels de l’audit interne ; consultants spécialisés ou encore la mise en sion de la survenance d’incidents tels que la
demande des informations pertinentes au place de nouveaux outils et méthodes de perte de contrôle d’une filiale, la révélation
management et au responsable de l’audit travail (data analytics, continuous auditing / d’un fait délictueux, ou de situations à risque
interne pour déterminer l’adéquation du péri- continuous monitoring, outils de GRC...), consti- tels une prise de contrôle et/ou des projets
mètre et des ressources de l’audit interne... ». tuent autant de facteurs clés de la perfor- majeurs de transformation qui pourraient
(Cadre de Référence International des mance de l’audit interne. mettre l’organisation en situation de risques.
Pratiques Professionnelles de l’audit interne –
CRIPP). L’audit interne, en tant que 3ème ligne de Les attentes de la gouvernance
Dans cette relation tripartite : audit interne / maîtrise, apporte aux dirigeants une assu- institutionnelle vis-à-vis de
management / Conseil – Comité d’audit, le rance quant à l’efficacité de la mise en œuvre l’audit interne
directeur de l’audit Interne devra faire preuve des dispositifs de contrôle interne et de
d’objectivité et d’indépendance, de pragma- gestion des risques. L’audit interne constitue L’actualité récente met en exergue l’impor-
tisme et parfois de « courage » pour rendre pour la direction générale, un outil de mana- tance des dispositifs destinés à protéger les
compte de ses travaux dont la finalité est bien gement et, pour les instances de gouver- organisations des risques qui les menacent et
de sécuriser les processus, faire progresser l’or- nance institutionnelle, Conseil et Comité à garantir au mieux leur performance dans un
ganisation et permettre de déployer la straté- d’audit, un outil de surveillance du bon fonc- environnement incertain. Dans ce contexte,
gie sur la base de l’appétence aux risques tionnement de l’organisation et de la mise en les Comités d’audit en particulier jouent un
définie par le Conseil. œuvre de la stratégie. rôle prépondérant à travers les points d’atten-
tion majeurs qu’ils sélectionnent et le degré
Il ressort de l’étude de l’Audit Committee Les attentes de la direction de questionnement qu’ils retiennent.
Institute (KPMG - mars 2015 - www.audit- générale vis-à-vis de l’audit
committee-institute.fr) portant sur « La interne La dernière édition de l’enquête internatio-
pratique des Comités d’audit en France et nale de l’Audit Committee Institute, réalisée en
dans le monde », que 56 % des membres de L’audit interne, compte tenu de la nature de 2015, apporte un éclairage pertinent sur les
Comité d’audit sont satisfaits quant à la sa mission et de son rattachement direct à la pratiques actuelles, les tendances attendues
valeur ajoutée apportée par la fonction direction générale (bonne pratique), constitue et fait notamment ressortir les principaux
audit interne (seuls 3 % se déclarent insatis- pour cette dernière un véritable outil de enjeux des Comités d’audit, qui impliqueront
faits). management. Par la connaissance étendue l’audit interne.
que l’audit interne a de l’organisation, alliée à
Concernant la question des moyens alloués, sa capacité à identifier, analyser et synthétiser A ce titre, les 5 points d’attention majeurs des
il convient tout d’abord de s’assurer que le ses travaux, puis à proposer des recomman- membres des Comités d’audit sont repris
directeur de l’audit interne dispose d’une dations pragmatiques, l’audit Interne apporte dans le tableau ci-après avec leurs impacts
bonne vision de la stratégie du groupe et des donc à la direction et à l’ensemble de l’orga- pour le management mais aussi pour l’audit
risques y afférents, afin d’être le plus pertinent nisation de la valeur ajoutée à chaque niveau interne.
possible dans l’élaboration de son plan d’audit de reporting.
Si le périmètre d’intervention de
4- expriment des attentes fortes en matière de supervision l’audit interne s’est élargi ces
de l’information financière. dernières années, il reste
L’évaluation de la performance du directeur financier et néanmoins fortement impliqué
les interactions avec le Comité d’audit sont généralement dans la revue des processus
considérées comme efficaces. De nombreux membres de d’élaboration de l’information
Comité d’audit souhaiteraient toutefois revoir certains comptable et financière tout en
sujets financiers plus en profondeur, tels l’organisation de mettant en œuvre de nouvelles
la fonction finance, la gestion des risques financiers, la techniques et outils (data
gestion de la dette et les impôts. analytics, continuous auditing /
continuous monitoring...).
L’intégralité de l’enquête réalisée par KPMG est consultable à l’adresse suivante www.audit-committee-institute.fr
La mission de l’audit interne et ses relations avec les dirigeants sont en amené demain à apporter une valeur ajoutée et des « conseils » liés
perpétuelle évolution pour répondre aux enjeux des organisations. Hier aux enjeux stratégiques des organisations. Cette évolution intensifiera
en apportant de l’assurance, aujourd’hui en travaillant de plus en plus les relations entre l’audit interne et les dirigeants et requerra de la part
sur les aspects de performance, l’audit interne sera certainement de celui-ci une agilité croissante.
Etre à la table
© Juice Images - Fotolia.com
de la gouvernance
c’est, avant tout, être respecté par
le Comité exécutif et le Conseil
Entretien avec Phyllis J. Campbell, Chairman, Pacific Northwest
actionnaires et autres parties prenantes (en aux risques technologiques. Ce comité exerce P. J. C. : A mon avis, le directeur de l’audit
particulier les instances de réglementation) une supervision non seulement sur la gestion interne (DAI) doit tout d’abord être une
attendent du Comité d’audit qu’il soit le des risques liés à la cyber sécurité, mais sur personne de caractère affirmé et indépen-
« régisseur» de l’organisation en leur nom. l’ensemble des risques technologiques de dante d’esprit. La contribution du Comité
l’entreprise (stratégie informatique, investisse- d’audit dépend entièrement de la capacité de
AR&C : La maîtrise des risques est un enjeu ments technologiques, etc.). cette personne à être un véritable leader.
capital pour les entreprises : S’est-il développé Deuxièmement, le DAI doit être à la fois un
aux Etats-Unis des Comités des risques AR&C : Trois grandes fonctions se sont forte- stratège et un tacticien. Il doit savoir quand et
émanation du Conseil d’administration ? ment développées ces dernières années : la comment apporter au Comité exécutif et au
conformité, la gestion des risques et l’audit Conseil d’administration des informations
P. J. C. : Il est clair que le sujet du manage- interne. Comment voyez-vous le rôle de pertinentes sur des sujets critiques. Enfin, les
ment des risques, sous toutes ses formes, s’est chacune d’entre-elles et plus particulièrement meilleurs professionnels de l’audit interne ont
propulsé à la première place de l’ordre du jour celui de l’audit interne ? un sens aigu du monde des affaires ; ils
des Conseils d’administration. Aux Etats-Unis, comprennent les rouages et conditions du
il n’est pas encore très commun d’avoir un P. J. C. : Pour répondre a cette question je succès et de la performance de leur organisa-
Comité des risques totalement dédié sauf vous dirai que je suis en parfait accord avec le tion et reconnaissent la nécessité de la prise
dans le secteur bancaire où la pratique s’est récent rapport publié par l’IIA qui rattache de risques pour toute entreprise.
généralisée. Dans ce cadre, la direction de formellement le tout dernier cadre COSO aux
l’audit interne et la direction de la gestion des trois lignes de défense et positionne l’audit AR&C : Un chapitre d’un livre récent publié
risques sont des participants actifs au sein des interne non seulement comme acteur unique par le président et CEO de l’IIA s’intitule :
deux Comités et doivent dans leur rôle de la troisième ligne défense mais aussi « Internal audit needs a seat at the table ».
respectif être capables de communiquer sans comme un interlocuteur majeur sur l’ensem- Quelles réflexions cette phrase vous inspire-t-
cesse sur les domaines et facteurs qui influen- ble du continuum : elle ?
cent le profil des risques de leur organisation. Interlocuteur majeur de la première ligne
de défense constituée des unités opéra- P. J. C. : Avoir sa place à la table de la gouver-
Pour les entreprises industrielles et commer- tionnelles qui identifient et gèrent les nance c’est, pour le directeur de l’audit
ciales, la fonction de supervision de manage- risques à la source. interne, être avant tout respecté par le Comité
ment des risques est encore une partie Interlocuteur majeur de la deuxième ligne exécutif et le Conseil d’administration. Il est à
intégrante de la responsabilité du Comité de défense qui voit le management s’assu- la table car il est considéré comme l’un des
d’audit. De même, les sujets relevant de la rer de l’efficacité des contrôles opération- leurs. Le rôle de l’audit interne évoluant et
conformité sont placés sous l’égide du Comité nels & financiers et de la maîtrise des devenant holistique (risques non seulement
d’audit. Dans ce contexte, l’audit interne joue risques. de conformité, opérationnels ou financiers
un rôle crucial de « sentinelle », en traquant, Acteur unique de la troisième ligne de mais aussi stratégiques), il est crucial que la
en contrôlant et en attirant l’attention du défense, l’audit interne fournit une opinion direction de l’audit interne soit impliquée
Comité exécutif et du Conseil d’administra- indépendante et objective de l’efficacité du dans les cercles qui influencent et les discus-
tion sur les problèmes les plus importants management des risques au bénéfice du sions majeures qui forgent le devenir de l’en-
dans tous ces domaines. Conseil d’administration et des parties treprise. Le Comité d’audit de mon point de
prenantes. vue, joue un rôle majeur (bien au-delà du
Je me permets enfin d’attirer votre attention simple rattachement fonctionnel de la direc-
sur une tendance prenant de l’ampleur et Ces trois niveaux sont importants et complé- tion de l’audit interne au Comité d’audit) en
allant de pair avec notre monde de plus en mentaires. parrainant fortement la fonction et en soute-
plus connecté et influencé par la perpétuelle nant la direction de l’audit interne pour que
révolution technologique. C’est la création AR&C : Quelles sont les qualités essentielles sa voix soit entendue et respectée au sein du
fréquente, au sein des Conseils d’administra- que doit avoir, selon vous, le directeur de l’au- Comité exécutif de l’entreprise.
tion, d’un comité dédié à la technologie et dit interne ?
© zhu difeng - Fotolia.com
1
Correspondant de la Revue AR&C pour la partie Amérique
F. A. : La MPA 100-1 des Normes internatio- permettent de faire valoir l’indépendance de mon avis, la valeur ajoutée est un concept
nales des pratiques professionnelles de l’audit notre fonction. Peu importe votre lien hiérar- bien plus subtil.
interne prévoit entre autres, les pouvoirs et les chique, je crois que ce qui est important est
responsabilités de l’audit interne. Pensez-vous que le chef de l’audit interne ait un ou des Ainsi, au-delà de la conformité, un des volets
que la charte d’audit de votre organisation véhicules pour communiquer ses messages propres à l’audit interne est de revoir les
fournit l’autorité suffisante pour que l’audit et observations à la fois au Comité de direc- processus d’affaires tout en recommandant,
interne assume ses responsabilités ? tion et au Conseil d’administration (CA). Ainsi, si requis, des changements afin d’améliorer
à la CDPQ, ces véhicules de communication l’efficience dudit processus et ainsi contribuer
F. M. : En ce qui me concerne, la charte est sont présents et me permettent d’atteindre à augmenter la performance de l’organisation.
l’outil primordial afin qu’une fonction d’audit l’audience désirée. Pour moi, la capacité d’agir en tant que cata-
interne puisse exercer ses responsabilités. En lyseur de changement est une valeur ajoutée
d’autres mots, c’est la pierre angulaire, la pièce F. A. : Est-ce que l’audit interne apporte de la fondamentalement propre à l’audit interne.
maitresse qui permet à l’audit interne d’exer- valeur ajoutée à votre organisation ? Si oui, de Au final, la valeur ajoutée apportée par l’audit
cer son rôle en toute indépendance. quelle manière ? interne passe essentiellement par la crédibilité
de la fonction ; donc par la qualité de son
Une charte dûment constituée et entérinée à F. M. : Au-delà de conduire des missions d’au- personnel et par une sélection des missions
la fois par le président directeur général et par dit interne, une des principales fonctions que d’audit interne basée sur une compréhension
le président du Comité d’audit permet non le chef de l’audit interne doit s’enquérir est des enjeux et sur une planification rigoureuse.
seulement un libre accès à l’information effectivement de communiquer le rôle et les
requise afin d’exécuter les missions d’audit, responsabilités propres à l’audit interne, qui F. A. : Si les recommandations du vérificateur
elle est aussi un outil de communication puis- trop souvent sont méconnues du reste de l’or- général ont généralement un suivi plus rigou-
sant afin de bien faire connaître les rôles et ganisation. reux au sein de l’organisation vérifiée, qu’en
responsabilités propres à l’audit interne. Ainsi, lors du mois de mai dernier, mois de est-il du suivi des recommandations de l’audit
Il est du rôle du chef de l’audit interne de s’as- l’audit interne selon l’IIA, nous avons fait une interne ? Et comment la direction générale et
surer que la charte d’audit interne est propre- campagne de sensibilisation et de communi- le Comité s’assurent-ils de ce suivi ?
ment communiquée et disponible sur cation au sein de notre fonction via une série
l’ensemble des médias propres à l’organisa- d’affiches et articles sur notre fonction et F. M. : Dans un premier temps, le suivi s’effec-
tion. notre personnel via l’intranet de l’organisation. tue davantage au niveau des plans d’action
«
À ce titre, la charte de l’audit interne de la
CDPQ a été présentée et adoptée par notre
Comité d’audit. Elle sera révisée au besoin et La charte est la pierre angulaire, la pièce
présentée pour fin d’approbation sur une maîtresse qui permet à l’audit interne d’exercer
base annuelle. Lorsque notre fonction émet
des lettres mandats, la charte de l’audit
interne y est toujours attachée. Ceci nous
permet de communiquer son existence au
son rôle en toute indépendance »
sein de notre organisation, tout en assurant la Cette campagne a non seulement démystifié rédigés par la direction concernée. Ainsi la
compréhension de notre mission. qui nous sommes, elle nous a permis de clari- direction à laquelle nous adressons nos obser-
fier notre positionnement au sein de l’organi- vations s’inspire effectivement de nos recom-
F. A. : Le responsable d’audit interne relève sation. mandations afin d’établir leur plans d’action.
généralement du Comité d’audit et adminis- Ainsi, notre reddition au Comité d’audit fait
trativement du PDG. Est-ce votre cas ? Et si Avant de parler de valeur ajoutée, j’aimerais état de l’avancement desdits plans d’action.
oui, pensez-vous que cette relation hiérar- avant tout rappeler que l’audit interne est l’un Bien que l’information présentée soit agrégée,
chique est efficace, et pourquoi ? des quatre piliers que requiert une saine les attentes du Comité d’audit sont qu’il est du
gouvernance au sein d’une organisation. Une ressort du chef de l’audit interne de faire état,
F. M. : Effectivement, je relève fonctionnelle- fois ce constat accepté de tous et si l’audit s’il y a lieu, d’enjeux particuliers reliés à l’avan-
ment du président du Comité d’audit de la interne désire être considérée comme un cement des plans d’action.
CDPQ et pour fins administratives du chef de partenaire d’affaires efficace et performant
la direction financière, et non du PDG. par l’organisation, il doit également se soucier Pour ce qui est de la direction générale, lors
En effet, selon une récente étude faite sur ce d’ajouter une valeur au reste de l’organisation. de la rencontre de clôture des diverses
sujet en 2014, 75 % des chefs d’audit interne Depuis mon arrivée à la CDPQ, nous avons missions d’audit, elle est automatiquement
relèvent fonctionnellement du président du instauré un sondage de satisfaction suite aux avisée de la reddition faite auprès du Comité
Comité d’audit et tout près de 50 %, du chef missions réalisées et capturons les commen- d’audit envers les plans d’actions soumis.
de la direction financière pour des considéra- taires de la direction. Nous suivons également
tions administratives. Selon cette même la réalisation des plans d’action et faisons F. A. : Est-ce que la performance de l’audit
étude, il n’y aurait que 30 % des chefs d’audit reddition au Comité de vérification de tous interne est évaluée par les deux organes de
interne qui relèvent du PDG pour fins admi- ces indicateurs. gouvernance ? Quels changements apporte-
nistratives. riez-vous à l’audit interne, le cas échéant ?
Cependant, je tiens à dire que la valeur ajou-
Or, dans l’état actuel des faits, j’estime que mes tée que peut apporter une fonction telle que F. M. : Avant mon arrivée, l’audit interne de la
liens hiérarchiques sont adéquats et me l’audit interne va au-delà des indicateurs. À CDPQ a fait l’objet d’une évaluation externe
de qualité. De cette revue, plusieurs recom- Finalement, cette analyse des principaux F. A. : À votre avis, quels sont les défis de l’au-
mandations furent mises en avant et nous risques est un apport capital pour notre plani- dit interne dans votre organisation afin de
sommes en train de les mettre en œuvre. fication annuelle. Bien que nous ayons maintenir sa position stratégique (indépen-
Depuis la dernière année, nous avons fait déposé un plan triennal l’an dernier, nous dance vis-à-vis des opérations et objectivité)
plusieurs changements au niveau de notre ferons une mise à niveau annuellement. et son rayonnement dans l’organisation (par
approche, structure organisationnelle, planifi- exemple, en menant des missions de
cation, reddition et coordination auprès des Cette collaboration avec la deuxième ligne de conseil) ?
autres fonctions de contrôle de deuxième défense n’affecte en rien notre indépendance.
niveau. Nous travaillons également sur des Tel que prévu en 2016, l’audit interne de la F. M. : Le métier de gestionnaire d’actifs est
opportunités d’amélioration telles que : mise CDPQ assumera son rôle de 3ème ligne de très particulier et spécifique. On référence
à jour des gabarits, formalisation d’un défense lors de la mission prévue sur la souvent ce métier comme étant un métier
programme de veille informationnelle, plan gouvernance des risques, tel que dicté par les d’experts.
de communication, revue de la méthodolo- normes de performance 2100. Or, pour une fonction telle que l’audit interne,
gie, et amélioration du programme reliés aux notre défi principal est davantage relié à l’in-
analyses de données (data analytics). F. A. : De nos jours, le cyber risque affecte fluence que nous pouvons avoir sur les opéra-
toutes les organisations à cause de la perfor- tions, étant donné le niveau de nos
F. A. : Le Conseil d'administration avec la mance grandissante des pirates informatiques connaissances propres au domaine audité,
direction générale sont chargés de détermi- qui exploitent toute défaillance des systèmes pour ainsi proposer des recommandations
ner la nature et l'ampleur des risques impor- des technologies de l’information et ciblent crédibles afin d’ajouter de la valeur à l’organi-
tants qu'ils sont prêts à prendre dans la les organisations les moins protégées. En plus sation. Comme ce domaine en est un de très
réalisation des objectifs stratégiques de la de causer des pertes financières, ces attaques spécialisé, nous faisons fréquemment appel à
Caisse de dépôt et de placement. Les deux infligent des dommages inestimables à la des experts externes pour fins d’assistance.
organes devraient maintenir une gestion réputation d’une organisation. Comment l’au- L’audit interne demeure en contrôle de la
saine des risques et des systèmes de contrôle dit interne aide votre organisation à se proté- mission d’audit, de la relation client jusqu’à
interne. Quel rôle joue l’audit interne dans le ger des cybers risques ? l’émission du rapport. Cependant il peut
processus de gestion des risques de la CDPQ ? compter sur une expérience externe qui sera
F. M. : Il est évident que le cyber risque en est profitable aux opérations.
F. M. : À la CDPQ, la gestion des risques est un de premier ordre et ce, pour la majorité des Afin d’assurer son rayonnement et sa position
assumée par la direction des risques, une organisations. Lorsque notre fonction a stratégique, l’audit interne doit être présent
fonction de deuxième ligne jouant un rôle présenté son plan d’audit interne au début de sur le terrain. IL doit se doter de moyens afin
déterminant. Elle a pris son envol lors de la
crise financière de 2008. À ce jour, cette
équipe compte environ 45 personnes et le
premier vice-président relève directement du
président et chef de la direction. La direction
« L’audit interne doit rester branché sur l’évolution
de l’organisation, sur les initiatives en cours…
des risques assume non seulement une
gouvernance de haut niveau mais elle est
également présente au sein des différentes
classes d’actifs et est partie prenante des déci-
et être à l’affût des tendances »
sions d’investissements. cette année, ce risque fut débattu par l’équipe de rester branchée sur l’évolution de l’organi-
de la haute direction. Il en est résulté une sation, sur les initiatives en cours, parler le
Elle est, entre autres, responsable de la carto- présentation des actions de mitigation entre- même langage et être à l’affut des tendances.
graphie des risques financiers et opération- prises par l’équipe TI et d’une présentation L’audit interne doit également servir d’agent
nels. À ce titre, il existe également deux faite au Comité de direction par un expert de formation et d’information auprès des
sous-comités de direction distincts qui externe dans ce domaine. Il est également administrateurs. Afin d’obtenir l’adhésion
chapeautent d’un côté les risques financiers prévu de faire appel à un consultant externe recherchée, l’audit interne doit également
et de l’autre, les risques opérationnels. afin de réaliser un mandat sur nos actions de faire preuve d’introspection et oser proposer
mitigation et maturité vis-à-vis de ce risque. de nouvelles missions pour ainsi se renouveler
La direction des risques est extrêmement Du côté de l’audit interne, concernant le et éviter de sombrer dans le statu quo.
sollicitée lors de la rédaction des plans straté- cyber risque, en plus de réaliser des tests sur
giques. Il est de sa responsabilité d’analyser les contrôles généraux en technologies de Finalement et ce, de façon globale, je crois
divers scénarios qui assureront le ratio rende- l’information (CGTI) pour fin d’attestation que l’audit interne atteindra son plein poten-
ment / risque espéré et attendu. financière, nous avons participé cette année tiel stratégique lorsque les organisations
Ainsi, lors de la revue annuelle de la cartogra- aux exercices de relève technologique. Nous seront moins sensibles aux cotations asso-
phie des risques, l’audit interne participe à participerons également aux tests d’intrusion ciées aux divers rapports émis par l’audit
une série d’entrevues coordonnées par la annuels planifiés par l’équipe TI et nous ferons interne et focaliseront davantage leur atten-
gestion des risques. Par la suite, l’audit interne une mission sur la gestion des certificats de tion sur les débats et les changements mis en
participe également à la rédaction et la prio- sécurité. D’autres activités similaires sont avant à la suite des diverses observations
risation des risques. planifiées en 2016 et 2017. soulevées.
m'est très utile […] Chaque rapport d'audit est dans la technologie ou la formation du person- déclaré que l'armée française avait élargi en
accompagné d'une lettre de ma part adressée à nel. JLBeffa a également souligné que la crise 2011 le rôle de l'audit interne pour répondre
l'unité responsable des plans d’actions. » Le financière avait érodé la confiance dans le aux enjeux des différentes évolutions qu'elle
modèle des trois lignes de maitrise est inesti- modèle anglo-saxon du capitalisme et qu'au- engageait. L'audit interne est ainsi devenu un
mable pour apporter à l'audit interne le niveau jourd'hui, des alternatives venant d'Allemagne, outil essentiel pour aider l’armée à atteindre ses
d'indépendance adéquat, a-t-il poursuivi. Les de Suède et de Suisse, qui reposent davantage objectifs stratégiques. Il a résumé les aspira-
conclusions de l'audit, ascendantes depuis les sur la participation du personnel au niveau du tions de nombreuses parties prenantes et des
entités opérationnelles, complètent ainsi la Conseil d’administration, attirent de plus en auditeurs internes lorsqu'il a conclu : « pour moi,
vision descendante de la direction générale. plus l'attention. l'audit interne est une assurance pour le présent et
une aide considérable pour l'avenir ».
Apprendre de son expérience Sur ce thème, José Angel Gurria, secrétaire
général de l'OCDE, a déclaré que la crise avait Au cours d’une table ronde, Yolaine de
« Au cours des cinq premières années de mon également entraîné une perte de confiance Courson, directrice de l'audit interne et des
mandat en tant que président-directeur général, croissante dans les institutions de la part d'un risques du Groupe La Poste, et Jonathan
je n'ai pas accordé suffisamment d'importance à public inquiet du niveau de corruption, réel ou Blackmore, associé Ernst & Young, ont souligné
l'audit interne », a déclaré Jean-Louis Beffa, prési- perçu, au sein des entreprises. Il a affirmé que, deux évolutions clés pour l’audit interne. D’une
dent d'honneur de Saint-Gobain et senior advi- bien que le renforcement du contrôle interne part « l’analyse de données, principale source d’in-
sor de Lazard Frères. « Mais j'ai appris de mon représentait l'un des outils clés dans la lutte novation pour faire progresser l’audit interne »,
expérience que l'audit interne est essentiel ». Il a contre la corruption dans les pays et les entre- d’autre part « l’élaboration d’un plan d’audit
précisé que pour qu'un audit interne soit effi- prises, l'audit interne jouait un rôle central pour pluriannuel, intégrant les services internes et
cace, il devait avoir une longueur d'avance sur éliminer ces pratiques. externes réalisant des missions d’assurance ».
le reste de la société pour ce qui est de la
compréhension de ses activités et des Une véritable révolution Prendre des risques
menaces auxquelles elle est confrontée.
« L'audit interne doit avoir un niveau très élevé de M Gurria a présenté les nouvelles règles sur la Ari Vatanen, champion du monde de rallye, a
confiance et d'influence », a-t-il affirmé. JL Beffa production de rapports « pays par pays » – insisté sur l’importance de la prise de risque
a expliqué qu'il était crucial que l'audit interne selon lesquelles les entreprises doivent stipuler pour avancer, tout en soulignant le « besoin
comprenne la nature changeante du monde expressément dans quel pays leurs profits sont d’un regard indépendant pour voir plus loin », un
des affaires, objectif qui doit évidemment générés – comme « une véritable révolution ». rôle pour l’audit interne ?
mobiliser le PDG. Le monde a déjà changé : « Cela obligera les multinationales à divulguer où En clôture, Farid Aractingi, président de l’IFACI,
après une domination des États-Unis et de elles déploient leurs actifs », a-t-il dit, ce qui vice-président de l’ECIIA, a fixé l’ambition de
l'Europe le capitalisme est devenu mondial. améliorera la transparence et ouvrira la voie aux l’audit interne pour une « performance dura-
D'autres modèles de capitalisme émergent entreprises pour regagner la confiance du ble ».
désormais de la Chine et du Japon et ces public.
visions gagnent du terrain partout dans le Pierre de Villiers, chef d’état-major des armées Source : Newsletter ECIIA – Octobre 2015 –
monde, en particulier lorsqu'il s'agit d’investir au Ministère de la Défense a d’autre part Arthur Piper
L’internationalisation
de la compliance
à l’américaine
© BillionPhotos.com - Fotolia.com
Ibrahim Warde, Consultant et professeur contrats. Parmi les entreprises qui de l’économie mondialisée. Dans
associé d’affaires internationales, Fletcher ont dû s’acquitter d’amendes un système qui a créé autant
School of Law and Diplomacy, Université conséquentes, citons Alstom d’opportunités que de zones
Tufts (Medford, Massachusetts) (772 millions de dollars en 2014) d’ombre, les Etats-Unis donnent
ou l’allemand Siemens (800 le « la », quitte à remettre en
millions de dollars en 2008). cause des principes établis du
droit international, comme ceux
Il suffit d’un lien, même ténu, de la souveraineté et de l’autono-
avec les Etats-Unis pour que la mie de l’état. Ainsi, au cours des
justice américaine s’estime années 1990, l’arsenal de sanc-
compétente. Dans l’affaire BNP tions mis en place durant la
De plus en plus souvent, la justice américaine entame des pour- Paribas, les transactions illicites guerre froide à l’encontre de pays
suites et sanctionne des entités étrangères pour des infractions étaient libellées en dollars. Il suffit et d’individus « ennemis des
commises hors du territoire américain. Dans cet article, Ibrahim également de détenir un compte Etats-Unis » – et dont le principe
Warde analyse avec clarté le cheminement habile mis en place aux Etats-Unis, voire même remonte au Trading With the
et conduisant à des pénalités très lourdes pour les entreprises. d’avoir des mails qui transitent Enemy Act de 1917 – s’est consi-
Une réorganisation radicale du système de compliance sera par un serveur basé aux Etats- dérablement enrichi.
Unis, pour tomber sous le coup L’extraterritorialité a franchi un
requise, à l’avenir.
de la justice américaine. Dès la fin pas en 1996, avec l’Iran-Libya
des années 1980, alors que le Sanctions Act (ILSA), qui permet-
débat sur le déclin américain – tait à Washington d’imposer des
face à la montée du Japon, en sanctions à des entreprises de
L
e feuilleton des irrégulari- verser 8,9 milliards de dollars au particulier – faisait rage, la polito- pays tiers en affaires avec l’Iran et
tés financières de la FIFA a Trésor américain pour avoir logue britannique Susan Strange la Libye.
mis en relief un phéno- enfreint, à travers sa filiale suisse, insistait sur le « pouvoir structu-
mène nouveau dans les les embargos imposés par les rel » des Etats-Unis, « ce pouvoir de Mais c’est surtout au lendemain
pratiques judiciaires internatio- Etats-Unis à Cuba, à l’Iran et au déterminer les cadres de l’économie du 11 septembre qu’un vaste
nales : c’est la justice américaine Soudan. De même, au cours des mondiale qui a permis de choisir et système de surveillance finan-
qui désormais entame les pour- dernières années, plusieurs multi- de modeler les structures au sein cière a vu le jour. La loi USA
suites et sanctionne des entités nationales européennes sont desquelles les autres pays, leurs PATRIOT (Uniting and Streng-
étrangères pour des infractions tombées dans les filets du Foreign institutions politiques, leurs entre- thening America by Providing
commises hors du territoire Corrupt Practices Act (FCPA), une prises et leurs professionnels Appropriate Tools Required to
américain. Quelques exemples loi de 1977 qui interdit de doivent opérer ». Intercept and Obstruct Terrorism),
récents : En juin 2014, la banque soudoyer des dirigeants de pays votée à la suite des attentats
BNP Paribas était condamnée à tiers en vue d’engranger des Ainsi fonctionne la gouvernance accordait à l’exécutif américain de
Un NOUVEAU référentiel
pour une NOUVELLE ère
Jane Seago, Rédactrice spécialiste du monde des affaires, Tulsa, Oklahoma
C
a y est. Voici le fondement, la mission qu'est l'audit interne, alors que la mission tion. Ainsi, Anton van Wyk, associé chez
de la profession d’audit interne reflète ce que la profession s'attache à accom- Pricewaterhouse Coopers LLP et président
récemment approuvée par l'IIA, clé plir. Et cette distinction, qui tient en quelques sortant du Conseil d’administration de l'IIA
de voûte de la toute nouvelle mots, sous-tend le projet de modification et Global, explique que « le rôle de l'audit interne et
mouture du Cadre de Référence International des d'amélioration du CRIPP. la nature des risques ont radicalement changé
Pratiques Professionnelles (CRIPP) d’audit interne. depuis la dernière révision du CRIPP en 1999. Nos
Pourquoi une refonte ? lignes directrices doivent répondre aux nouvelles
« J'apprécie la définition de l'audit interne de l'IIA ; exigences de la profession et aider les auditeurs à
elle est très évocatrice, bien formulée, et partie inté- L'impulsion de ce projet vient de différents diri- se montrer courageux et proactifs ».
grante du CRIPP – mais nous souhaitions ajouter geants de l'IIA qui constataient les nombreux
quelque chose d'un peu plus succinct » explique changements que les autorités de régulation Angela Witzany, responsable de l'audit interne
Bob Hirth, président du COSO (Committee of financière provoquaient dans l'activité des chez Sparkassen Versicherung AG, VIG, à
Sponsoring Organizations of the Treadway auditeurs internes. Ces changements, qui sont Vienne, et vice-présidente du Conseil d'admi-
Commission) et senior managing director chez loin de s’arrêter, révélaient une pression accrue nistration de l'IIA, partage le même avis. « Nous
Protiviti, qui a présidé le groupe de travail sur les Conseils les amenant à s'intéresser de le savions, pour que notre profession continue à
Relook Task Force (RTF). « Cela n'ôte rien à la défi- plus près au rôle significatif de l'audit interne rester pertinente, l'heure était venue de concrétiser
nition, tout en nous offrant un point d'ancrage dans la bonne gouvernance. ce projet. Les attentes accrues des parties
dans l'exercice quotidien de nos responsabilités ». prenantes, associées à l'évolution du rôle de l'audit
Si la prise de conscience de ces évolutions a interne, nous contraignaient à passer à l'action. »
La définition de la profession, composante de servi de déclencheur, d'autres facteurs plai-
longue date du CRIPP, met l'accent sur ce daient également en faveur d'une restructura- Les professionnels étaient également en faveur
tion des pratiques de gouvernement d’entre- de l'IIA, , convient que les professionnels ont doivent s'attendre à « la publication régulière de
prise; et la dernière section, relative à la confor- longtemps cherché à définir l'audit interne et nouvelles normes ou de normes révisées pour
mité aux Normes, décrit les différents moyens à décrire son apport de façon succincte. Les étayer les principes, ainsi qu'à la parution trimes-
de démontrer cette conformité. éléments du nouveau CRIPP que sont la trielle de nouveaux guides de mise en œuvre pour
mission et les principes contribueront à clarifier remplacer les modalités pratiques d'application
Lignes directrices complémentaires le rôle de l'audit interne auprès des membres existantes. » Les modalités pratiques d'applica-
Les guides pratiques et GTAG (Guides pratiques de Conseils d’administration, des cadres diri- tion actuelles demeurent valides et applicables
d’audit des systèmes d’information) devien- geants et des opérationnels. jusqu'à la publication d'un guide de mise en
nent des lignes directrices complémentaires. œuvre les remplaçant. Autres nouveautés
Ces dernières ont une vocation par essence Richard Chambers, président et CEO de l'IIA, annoncées : des guides dédiés, aux systèmes
plus spécifique que les autres composantes. décrit les bénéfices obtenus en termes d’exé- d'information et aux services financiers.
Elles traitent de thèmes d'actualité et de ques- cution et de perception des missions. « Pour
tions sectorielles, et proposent également des exercer avec efficacité leurs responsabilités, les Bob Hirth se félicite du travail accompli
processus et des procédures détaillés. « Ces auditeurs internes doivent s'appuyer sur les jusqu'ici, tout en soulignant l'état d'esprit qui a
lignes directrices vont contribuer à renforcer la normes qui encadrent la profession et être sûrs animé les acteurs du projet. « Ce qui est fonda-
confiance dans l'audit interne », estime Béatrice qu'elles reflètent les pratiques existantes », mentalement important dans cette amélioration
Ki-Zerbo. Pour illustrer leur importance, elle explique-t-il. « Les améliorations apportées au du CRIPP, c'est que l'IIA a demandé au groupe de
compare l'entreprise à un navire aux prises CRIPP visent à renforcer la position de l'audit travail de bousculer le statu quo, et ce sans fixer de
avec une mer agitée : « Les décideurs sont interne comme partenaire clé du succès de l'orga- limites », explique-t-il. Toute profession dési-
comme des capitaines pris dans une tempête. Ils nisation. » reuse de perdurer doit être prête à se remettre
ont besoin d'informations fiables et précises. Les en question et à évoluer. Elle ne peut soustraire
approches globales sont utiles pour acquérir de Prochaines étapes ses principes les plus fondamentaux à un
bons réflexes, mais seule une analyse approfondie examen régulier ; ni hésiter à évoluer le cas
apporte un éclairage concret – ce que permet- La mission et les principes sont entrés en échéant. Le nouveau CRIPP vise à offrir aux
tront les lignes directrices complémentaires. » vigueur au mois de juillet 2015, et deux professionnels de l'audit interne les outils dont
nouveaux guides de mise en œuvre – Guide ils ont besoin pour «accroître et préserver la
Prises de position de mise en œuvre 1000 : Mission, pouvoirs et valeur de l'organisation » dans un contexte en
L'IIA continuera à publier des prises de position responsabilités ; et Guide de mise en œuvre perpétuelle mutation.
– qui facilitent l'appréhension des enjeux de 2110 : Gouvernement d’entreprise – ont été
gouvernement d’entreprise, de gestion des publiés. Les membres de l'IIA peuvent les
risques ou de contrôle interne par l'audit consulter gratuitement via le site Web de Cet article est extrait de l'édition d'août 2015
interne –, mais elles ne feront plus partie du l'Institut. du magazine Internal Auditor publié par
CRIPP. Cette décision s'explique par le fait que l'Institute of Internal Auditors, Inc., qui en a
les prises de position s'adressent davantage Progressivement, de nouvelles publications et autorisé la traduction et la réédition.
aux parties prenantes qu'aux professionnels de modifications paraîtront à intervalles réguliers. www.theiia.org
l'audit interne – d'où leur suppression du CRIPP. Hal Garyn explique que les professionnels
Les prises de position existantes seront revues
afin d’en extraire des éléments qui viendront
enrichir les lignes directrices ou de promouvoir
la profession avec des documents hors CRIPP.
Un outil optimisé
Le jour où le directeur
U
n beau matin, le directeur général entre dans votre bureau et Pour autant, de quoi s’agit-il ? Le dispositif de continuité constitue, pour
pose la question fatidique : « Dites-moi, sommes-nous confor- reprendre la définition parue au Journal Officiel n°0256 du 5 novembre
tables avec notre PCA » ? 2014, un « ensemble de mesures visant à assurer, selon divers scénarios de
Pourquoi tout à coup cette préoccupation ? Il est vrai que depuis des crise, y compris face à des chocs extrêmes, le maintien, le cas échéant, de
années, la cartographie des risques de l’entreprise mettait en exergue façon temporaire selon un mode dégradé, des prestations de services ou
l’absence de maîtrise associée à ces événements à très faible proba- d'autres tâches opérationnelles essentielles ou importantes de l'entreprise
bilité mais aux impacts dévastateurs. assujettie, puis la reprise planifiée des activités ».
Pour autant et malgré les recommandations réitérées de l’audit
interne, les dirigeants rappelaient que l’entreprise avait parfaitement Et c’est sans doute dans cette notion de « choc extrême » que réside
su, du moins jusqu’à présent, éviter les catastrophes naturelles et toute la difficulté de bien appréhender le dispositif. Le PCA n’a pas
autres crises technologiques. Et qu’il sera toujours temps d’organiser vocation à gérer les incidents du quotidien ou la « bobologie » que
« Je ne suis pas confortable… car maintenance en conditions opérationnelles « Je ne suis pas confortable…
il me semble que notre PCA n’est pilotées par le Corporate au niveau des direc- car je doute du caractère
pas abouti » tions et de ses filiales. Le plan présentait donc opérationnel du PCA dans la
tout un ensemble de garanties : de la docu- crise »
En corollaire de son absence de visibilité, le mentation fournie, des tests successifs… Or
directeur général peut également exprimer ici des investigations plus approfondies ont Dernières illustrations des possibles réserves
ses réserves à l’encontre de la maturité du démontré que la maturité affichée ne coïnci- du directeur général. Celui-ci n’a jamais vu le
PCA. La documentation est-elle complète ? En dait pas avec le niveau réel d’avancement du PCA activé en situation d’urgence. Il se perd
quoi le dispositif est-il finalisé ? Sur quoi repo- dispositif. Parce que les solutions de conti- dans la documentation opérationnelle. Il ne
sent ces procédures ? Faut-il intégrer la nuité n’avaient jamais été mises en œuvre, voit pas le lien entre les différentes procé-
conduite du changement ? On a franchi ici un parce que les procédures n’étaient pas forma- dures. Il ne comprend pas l’attribution des
nouveau seuil. Dans cette situation, il est lisées partout ni selon les mêmes niveaux de rôles.
probable que le management a pris granularité. Et aussi parce qu’un test d’évacua- Le directeur de l’audit interne peut là encore
conscience de la faible maturité du dispositif tion incendie ne peut en aucun cas constituer apporter des réponses suite aux tests ponc-
au regard d’un « PCA type », souvent externe. un test de repli utilisateurs PCA. tuels menés dans le cadre des investigations
Dès lors, il attend une mise à niveau du dispo- La bonne pratique consiste donc à définir les de l’audit : s’assurer que l’annuaire de crise est
sitif de l’entreprise par rapport à ce fameux exigences d’un PCA cible pour l’ensemble des à jour, que les équipements de la salle de crise
PCA cible. entités d’une entreprise. Faire appel aux sont bien en état de fonctionnement, que le
normes ISO (voir encadré) est un moyen de se volume des places réservées au site sinistré
Dans ce cas de figure, le directeur de l’audit donner des ambitions fortes dans la est bien adapté à la capacité d’accueil du site
interne est fondé à diligenter un audit de démarche et dans la pérennisation du dispo- de repli…
maturité en veillant à bien définir le niveau de sitif. Cela permet également de limiter les Pour autant, seule une simulation globale et
sensibilité du référentiel d’audit mis en œuvre. écueils des disparités géographiques, grâce à grandeur réelle permettra d’éprouver concrè-
Par le passé, nous avons eu à auditer un PCA un référentiel reconnu universel. tement les délais de reprise et la capacité du
finalisé et faisant l’objet d’actions répétées de management à gérer l’évènement. Cela signi-
fie pouvoir tester le dispositif d’alerte, la coor-
dination des directions métier et support, la
ISO 22301 – SYSTÈME DE MANAGEMENT DE LA CONTINUITÉ D’ACTIVITÉ : capacité des utilisateurs à retravailler dans un
UN DISPOSITIF CIBLE ? nouvel environnement… Pour être efficace,
l’exercice devra être joué dans des conditions
ISO 22301 est une norme de système de management de la continuité d’activité qui peut proches de la réalité. Il est associé à un retour
être utilisée par des organisations de toutes tailles et de tous types. Le plan de continuité d’expérience dont les conclusions, sous forme
s’inscrit dans un cycle d’amélioration continue, caractérisé par des revues, des tests mais de recommandations, précisent les actions
également des audits. Son ambition lui permet d’assurer l’intégration avec différentes d’amélioration.
normes préexistantes telles que, par exemple, ISO 9001 (qualité), ISO 14001 (environnement) Cette mise en situation du « pire cauchemar »
et ISO/CEI 27001 (sécurité de l’information). Son article 5 « Leadership » vise plus spécifique- de votre directeur général permettra de le
réconcilier définitivement avec le PCA de l’en-
treprise.
ment le rôle de la gouvernance en matière de continuité d’activité.
EN BREF
L'audit des grands projets : quelles évolutions ? la compréhension approfondie et la conformité aux Normes ;
la capacité à analyser et à créer des opportunités ;
L’IIA Netherlands vient de publier les résultats d’une enquête sur l’obtention de certifications professionnelles ;
l’audit des grands projets réalisée à travers 43 pays et impliquant l’engagement dans des activités de recherche et d’enseignement ;
plus de 2000 projets. le développement de son réseau professionnel et la participation
Ces résultats s’articulent autour de 4 grands thèmes :
L’univers d’audit qui se doit de s’adapter à l’augmentation du
à des conférences ;
des interventions sur la valeur de l’audit interne ;
nombre de projets et à leur complexité accrue. l’implication dans la vie de son association professionnelle ;
La planification des missions qui doit intervenir au bon moment. des donations à des programmes de formation et de recherche.
Le rôle des auditeurs aux différentes phases d’un projet.
Les compétences et les méthodes nécessaires à l’audit de projet. Pour plus d’information :
http://www.ifaci.com/bibliotheque/bibliotheque-en-ligne-telechar-
Pour plus d’information :
http://www.iia.nl/actualiteit/nieuws?Lang=nl-NL&newsId
ger-la-documentation-professionnelle/enquetes-154.html
https://iaonline.theiia.org
=1809.html
Le « mardi noir » de Volkswagen : Le péché
Conférence ECIIA 2015 : Danièle Nouy se par ignorance est-il encore audible ?
prononce sur le rôle clé et les enjeux de l'audit L’integrated reporting n’est évidemment ni la panacée ni la solution
interne miracle qui permettrait aux entreprises de vivre dans le monde
Lors de la conférence européenne d’audit interne, organisée à Paris imaginaire du zéro risque. Tout de même la revue du séisme qui
les 21 et 22 septembre derniers par l’IFACI et l’ECIIA (European touche le constructeur automobile, à l’aune des concepts et des
Confederation of Institutes of Internal Auditing), Danièle Nouy (prési- principes proposés par l’IIRC, interpelle. N’est-ce pas la preuve que
dente du Comité de supervision du mécanisme de supervision l’ère où l’on pouvait prendre à la légère les parties prenantes, détour-
unique à la Banque centrale européenne) a présenté les change- ner les dispositifs de contrôle, ignorer les principes élémentaires de
ments intervenus avec le Mécanisme de Supervision Unique, les bonne gouvernance et de transparence est derrière nous ?
modifications à venir et l’impact pour l’audit interne. Elle a notam- Au-delà de l’impact d’image c’est bien la valeur boursière et la
ment évoqué des enjeux tels que : confiance des investisseurs qui en jeu. C’est dans ce type de circons-
l’indépendance au sein de l’organisation ; tances que l’approche holistique et intégrée de la gestion des
les ressources et les compétences ; risques prend tout son intérêt.
le suivi des recommandations ;
le dialogue avec les organes de supervision.
Pour plus d’information :
http://www.lesechos.fr/industrie-services/automobile/021347008594
Pour plus d’information : -le-mardi-noir-de-volkswagen-symbole-du-made-in-germany-
https://www.bankingsupervision.europa.eu/press/speeches/date 1158336.php
/2015/html/se150922.en.html http://www.ifaci.com/recherche/les-productions-de-la-recherche/
reporting-integre-388.html
Enquête mondiale CBOK 2015 auprès des parties La FCA - Financial Conduct Authority
prenantes de l'audit interne britannique souhaite encourager le
Une enquête d’envergure mondiale a été lancée par l’IIA (Institute of développement du whistleblowing
Internal Auditors) par le biais de sa fondation de la recherche dans le
La FCA fixe de nouvelles règles en matière de whistleblowing dans
but de recueillir les attentes des parties prenantes de l’audit interne
le secteur financier. Selon le régulateur, ces règles ont pour but d'en-
(administrateurs, directions générales, directions financières…).
courager une culture dans laquelle les comportement inadéquats
Les résultats de ce volet du CBOK (Common Body Of Knowledge)
seront publiés en juillet 2016, et visent à renforcer l’efficacité et la peuvent être dénoncés. La FCA et la Réglementation Prudentielle
valeur ajoutée de l’audit interne, en phase avec les besoins des de la Banque d'Angleterre ont aussi proposé des normes renforçant
instances de gouvernance et les objectifs des organisations. les contrôles pour les banques lors des recrutements.
Pour plus d’information :
Investissez dans votre excellence http://www.bbc.com/news/business-34452197
Larry Harrington, président de l’IIA, invite les auditeurs internes à http://www.reuters.com/article/2015/10/06/britain-banks-regula-
investir dans leurs compétences pour renforcer leur crédibilité et tions-idUSL8N12613020151006
accroitre leur valeur. Il cite 8 compétences incontournables :
01/07
simultanément à 4 formations
IFACI Formation - Tél. : 01 40 08 48 08 - Mel : formation@ifaci.com - Retrouvez également le programme complet sur le site internet www.ifaci.com