Vous êtes sur la page 1sur 40

revue internationale des auditeurs et des contrôleurs internes

« Le DAI doit avoir


la totale confiance
de la direction
générale »
Jean-Louis Beffa
Président d’honneur
et administrateur
de Saint-Gobain

DOSSIER
Les relations de l’audit interne avec
les organes dirigeants
L’indépendance des auditeurs internes en question

N°004
4e trimestre 2015
SOMMAIRE

05 EDITO
Audit interne et gouvernance
Le DAI doit-il avoir une place à la table
des dirigeants ?

06 CHRONIQUE
Volkswagen / BNP Paribas
mêmes causes mêmes effets ?

08 VOIX DE LA FRANCOPHONIE
La Francophonie
vers un nouveau Sommet

11 OUVERTURE SUR LE MONDE


Risques de conformité
La France en retard ?

13 RENCONTRE AVEC ...


Jean-Louis Beffa, Président d’honneur et
administrateur de Saint-Gobain

17 DOSSIER
18 Les attentes des organes dirigeants
vis-à-vis de l’audit interne
21 Etre à la table de la gouvernance
c’est, avant tout, être respecté par
le Comité exécutif et le Conseil
23 Relations audit interne / direction générale
et comité d’audit à la Caisse de dépôt et
placement du Québec

27 ÉVÉNEMENTS
Sous les projecteurs

29 LIBRES PROPOS
L’internationalisation de la compliance 17 DOSSIER
Les relations de l’audit interne
à l’américaine avec les organes dirigeants

31 BONNES PRATIQUES
31 Un NOUVEAU référentiel pour
une NOUVELLE ère
34 Le jour où le directeur général a demandé :
« Sommes-nous confortables avec notre
Plan de Continuité d’Activité (PCA) ? »

37 ACTUALITÉ

n° 004 — audit, risques & contrôle — 4e trimestre 2015 03


Cadre de référence
pour un audit
interne efficace Cadre de Référence International

Le nouveau CRIPP des Pratiques Professionnelles


de l’audit interne

Des évolutions dans l’environnement


économique et des risques associés en
perpétuelle accélération
L’exercice de l’audit interne engage des responsabilités.
D’où la nécessité d’un cadre de référence avec des
principes clairement énoncés, des normes reflétant des Principes fondamentaux
pratiques exemplaires et des lignes directrices publiées en
temps opportun qui ne se contentent pas de prendre en Code de
Définition
compte les changements mais les anticipent. déontologie
Normes

Afin que l’audit interne puisse garder le cap dans un


environnement en constante évolution, le Cadre de
Lignes directrices de mise en œuvre
Référence International des Pratiques Professionnelles
(CRIPP) doit également évoluer pour accompagner Lignes directrices
complémentaires
efficacement la profession et répondre aux futurs défis
(instabilité du profil de risque, modification des attentes
des parties prenantes, exigences légales et réglementaires
concernant l’amélioration de la gouvernance, de la gestion
des risques et du contrôle interne).

En savoir plus sur le nouveau CRIPP, la mission


de l’audit interne, les principes fondamentaux
pour la pratique professionnelle de l’audit interne
ainsi que les améliorations à venir.
www.theiia.org/goto/IPPF
EDITO
Audit interne et gouvernance
Le DAI doit-il avoir une place à la table
des dirigeants ?

L
es auditeurs internes ont, parmi leurs différentes missions, celle d’évaluer
les processus de gouvernement d’entreprise. Mais de quelle gouvernance
parle-t-on ? Jean-Louis Beffa, président d’honneur et administrateur de
Saint Gobain, nous présente dans l’interview qu’il a bien voulu nous accor-
der, les principaux modèles de gouvernance. Ils sont fondés soit sur le capitalisme
libéral financier britannique, soit sur le capitalisme industriel et commercial alle-
mand. La France présente, elle, un modèle hybride où les deux modèles précé-
audit, risques & contrôle dents coexistent en s’opposant avec, ces derniers temps, un large ralliement au
modèle anglo-saxon.
La revue internationale des auditeurs et des contrôleurs internes
n°004 - 4e trimestre 2015 Pour Jean-Louis Beffa, le directeur de l’audit interne (DAI) doit avoir une longue
EDITEUR expérience de l’entreprise et une expérience aguerrie dans le domaine financier,
Union Francophone de l’Audit Interne (UFAI) être hyper compétent et avoir la totale confiance de la direction générale à
Association Loi 1901 laquelle il est rattaché. Contrairement aux interventions développées dans le
98 bis, boulevard Haussmann - 75008 Paris (France) « Dossier » consacré aux relations de l’audit interne avec les organes dirigeants, il
Tél. : 01 40 08 48 00 - Mel : institut@ifaci.com insiste peu sur les contacts que doit avoir le DAI avec le Comité d’audit.
Internet : www.ufai.org Le DAI doit-il avoir une place à la « table des dirigeants » ? À Saint Gobain, nous
DIRECTEUR DE PUBLICATION dit Jean-Louis Beffa, il fait partie du Comité de direction générale qui se réunit
Mireille Harnois tous les mois et a un rang équivalent à un patron de métier. Pour Phyllis Campbell,
ancienne présidente du Comité d’audit de Nordstrom, importante compagnie
RESPONSABLE DE LA RÉDACTION américaine, le DAI doit être avant tout respecté par le Comité exécutif et le
Philippe Mocquard
Conseil d’administration et « il est à la table » car considéré comme l’un des leurs.
RÉDACTEUR EN CHEF Il est crucial, nous dit-elle, que « l’audit interne soit impliqué dans les cercles qui
Louis Vaurs influencent et les discussions majeures qui forgent le devenir de l’entreprise ».
COMITÉ RÉDACTIONNEL Vous lirez également, dans ce numéro, deux articles consacrés à l’internationali-
Louis Vaurs - Mireille Harnois - Eric Blanc - sation de la « compliance » américaine en prenant deux exemples d’actualité BNP
Antoine de Boissieu - Christian Lesné Paribas et Volkswagen où un lien même ténu avec les Etats-Unis amène la justice
américaine à s’estimer compétente.
SECRÉTARIAT GÉNÉRAL
Eric Blanc - Tél. : 06 15 04 56 32 - Mel : eblanc@ifaci.com La France est-elle en retard en matière de risque de conformité s’interroge
CORRESPONDANTS Antoine de Boissieu dans sa chronique. Analysant la situation des Etats-Unis, du
Amérique : Farid Al Mahsani Royaume Uni et du Brésil, il constate que la France brille par son absence dans la
Maghreb : Nourdine Khatal lutte contre la corruption, la justice française ne condamnant qu’exceptionnelle-
Afrique subsaharienne : Fassery Doumbia ment et à des amendes négligeables les faits de corruption.

RÉALISATION Votre organisation dispose-t-elle d’un bon plan de continuité d’activité ? Pour
EBZONE Communication vous en assurer, lisez l’article « Le jour où le directeur général a demandé
22, rue Rambuteau - 75003 Paris ”Sommes-nous « confortables » avec
Tél. : 01 40 09 24 32 - Mel : ebzone@ebzone.fr notre Plan de Continuité d’Activité” ».
IMPRESSION Nous avons eu à Paris, en septembre
Imprimerie de Champagne dernier, une magnifique conférence
Rue de l’Etoile de Langres - ZI Les Franchises européenne placée sous l’égide de
52200 Langres l’ECIIA (Confédération Européenne
des Instituts d’Audit Interne). Ce fut un
ABONNEMENT
Michèle Azulay - Tél. : 01 40 08 48 15
très grand succès, large participation,
Mel : mazulay@ifaci.com
intervenants de qualité, thèmes d’ac-
tualité. Sous le titre « Sous les projec-
Revue trimestrielle (4 numéros par an) teurs » vous prendrez connaissance
ISSN : 2427-3260 des messages clés présentés lors des
Dépôt légal : octobre 2015 sessions plénières.
Crédit photo couverture : © Laurent Villeret Je vous recommande enfin de faire
Prix de vente au numéro : 25 € TTC une lecture attentive de l’article
consacré au nouveau CRIPP qui déve-
Les articles sont présentés sous la responsabilité
loppe les 10 principes fondamentaux
de leurs auteurs. pour la pratique professionnelle de
l’audit interne, principes qui régissent
Toute représentation ou reproduction, intégrale ou partielle, à présent notre activité.
faite sans le consentement de l’auteur, ou de ses ayants droits,
ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1er de
Bonne lecture. 
l’article 40). Cette représentation ou reproduction, par quelque
procédé que ce soit, constituerait une contrefaçon sanction-
née par les articles 425 et suivants du Code Pénal. Louis Vaurs - Rédacteur en chef

Cette revue est imprimée


avec des encres végétales.
n° 004 — audit, risques & contrôle — 4e trimestre 2015 05
CHRONIQUE

© Sven Krautwald- Fotolia.com


Volkswagen / BNP Paribas
mêmes causes mêmes effets ?
L
'affaire Volkswagen s'an- tement la même pour tout dire leurs activités aux Etats-Unis (en raison que les normes sur le diesel
nonce comme l'un des que celle qui a coûté 9 milliards de prenant des parts de marchés aux sont plus strictes aux Etats-Unis
plus gros désastres indus- dollars à BNP Paribas un an plus sociétés locales), et menacer, a qu'en Europe, car le gouverne-
triels de l'histoire. Les tôt. Si l'on revient rapidement sur priori de façon légale, des intérêts ment américain n'a aucun intérêt
analystes s'accordent autour l'affaire BNP Paribas, on peut en américains. au développement de cette tech-
d'un coût de 30 milliards d'euros. effet pointer 4 facteurs de risque L'un des axes stratégiques majeurs nologie aux mains des construc-
qui expliquent le montant astro- de BNP Paribas était en effet le teurs européens.
Cela correspond à peu près à la nomique de l'amende : développement de ses activités
perte de valeur en bourse depuis 1. Etre une société étrangère aux Etats-Unis. Or, dans le même 2. Ne pas respecter une
que l'affaire a éclaté. L'incertitude ambitieuse aux Etats-Unis, mais temps, les activités de finance- réglementation américaine
est encore grande cependant, qui menace directement des ment au bénéfice de pays sous Dans cette position déjà risquée a
puisque les estimations se situent intérêts américains. embargo américain (Iran, Soudan, priori, BNP Paribas et Volkswagen
dans une fourchette de 20 à 80 2. Ne pas respecter une régle- Cuba) allaient directement à l'en- ont toutes deux enfreint la régle-
milliards. mentation américaine. contre des intérêts politiques des mentation américaine : BNP
Nous ne reviendrons pas sur les 3. Tromper la justice américaine : Etats-Unis. Paribas en faisant compenser aux
faits eux-mêmes, abondamment dissimuler des informations et Dans le cas de Volkswagen, le Etats-Unis des opérations en
détaillés dans les médias, mais ne pas reconnaître les faits. développement de la filiale nord- devises réalisées pour des contre-
plutôt sur la façon dont le 4. Ignorer les avertissements : américaine constitue également parties sous embargo, ce qui était
constructeur a choisi de gérer son continuer après avoir été averti. l'une des priorités stratégiques. bien interdit depuis 2006.
risque. Une seconde usine de grande Volkswagen en falsifiant les chif-
1. Une société étrangère capacité y est d'ailleurs en projet. fres d'émissions polluantes grâce
Les mêmes erreurs menaçant des intérêts Volkswagen menaçait cependant à un logiciel installé à cet effet.
que BNP Paribas ? américains directement les intérêts écono- Autrement dit, les deux sociétés
BNP Paribas et Volkswagen se sont miques américains en promou- ont sciemment franchi la ligne
Ce qui frappe jusqu'ici c'est l'im- toutes deux placées dans une vant le diesel, secteur dont sont rouge alors qu'elles se savaient
pression que Volkswagen a choisi situation à risque, dans laquelle absents les constructeurs améri- particulièrement exposées.
une approche très risquée, exac- elles voulaient à la fois développer cains. C'est d'ailleurs pour cette

06 4e trimestre 2015 — audit, risques & contrôle - n° 004


CHRONIQUE

3. Tromper la justice 2005 par l'administration améri- parce que la loi prévoit déjà des Un exemple des
américaine caine, puis régulièrement dans les plafonds très élevés, soit parce autorités européennes ?
BNP Paribas et Volkswagen ont années suivantes par ces mêmes que la seule menace d'un
sans aucun doute aggravé leur cas autorités, par des avocats new- procès permet de négocier à 2) VAG va peut-être réussir à réveil-
en trompant délibérément la yorkais, et finalement par son l'amiable, dans une logique de ler les systèmes judiciaires euro-
justice américaine. BNP Paribas a inspection générale. Tous ces rapport de force. péens, jusqu'ici pour le moins
modifié les noms des contrepar- avertissements ont été ignorés, apathiques. VAG va vraisemblable-
ties sur les listings remis aux auto- alors que l'exposition au risque 50 milliards ment devoir s'acquitter de 20 à 30
rités, et a vraisemblablement augmentait dangereusement. Il plutôt que 30 milliards de dollars d'amende et
continué pendant des mois, voire semble que l'on retrouve le même de dommages et intérêts aux
des années, à transmettre des mode d'action dans le cas Dans ce contexte, il est probable Etats-Unis, pour 500 000 véhicules
informations biaisées ou partielles Volkswagen : des ONG spéciali- que le « dieselgate » coûte vrai- incriminés. Or, le nombre de véhi-
aux enquêteurs. Cette attitude a sées, les autorités européennes, ment très cher à VAG. Nous cules incriminés est près de 20 fois
eu un impact direct sur le des salariés en interne, avaient pensons que l'impact sera supé- plus élevé en Europe, où 8,5
montant de l'amende. tous tiré la sonnette l'alarme, sans rieur aux 30 milliards attendus, millions de voitures ont été équi-
Volkswagen semble avoir fait de que cela ne déclenche de réac- pour deux raisons supplémen- pées du logiciel frauduleux. Peut-
même : le logiciel installé était fait tion. Les autorités américaines taires en plus de celles citées ci- on imaginer que les justices
pour truquer les tests menés par avaient quant à elles alerté VAG il dessus. européennes se contentent d'une
les autorités réglementaires, en y a près d'un an. amende symbolique, en considé-
affichant des niveaux de pollution Une deuxième affaire rant que les mêmes faits coûtent
de 20 à 40 fois inférieurs aux Une justice américaine de chiffres truqués ? 50 à 100 fois moins en Europe
niveaux réels. Le constructeur alle- beaucoup plus qu'aux Etats-Unis ? Les autorités
mand a fait développer un logiciel puissante 1) VAG est en train d'être mis en allemandes ont déjà commencé à
dans le seul but de tromper les cause dans une autre affaire aux donner des éléments de réponse,
autorités américaines, ce qui ne va En regardant les choses cynique- Etats-Unis. Le constructeur est en en contraignant VAG à rappeler
certainement pas aider dans la ment, on pourrait dire que effet accusé de ne pas avoir tous les véhicules incriminés en
négociation de l'amende. Volkswagen aurait dû choisir une remonté des cas de litiges à la Allemagne (soit plus de 2
Volkswagen a même poussé l'im- autre zone géographique pour suite d'accidents aux autorités millions), avec obligation de
pudence jusqu'à gagner deux enfreindre les réglementations, compétentes (la NHTSA). Depuis remise aux normes. Or, pour
années de suite avec des modèles mais éviter à tout prix de le faire 2000, la loi américaine impose en certains modèles, la remise aux
diesel aujourd'hui incriminés le aux Etats-Unis. Cette attitude, effet aux constructeurs automo- normes impose d'ajouter un
titre de « green car of the year » aux comme dans le cas de BNP biles d'alimenter une base de système de dépollution à base
Etats-Unis. Paribas, résulte sans doute d'une données des accidents ayant d'urée, soit des modifications très
De plus, BNP Paribas et erreur d'appréciation des sociétés donné lieu à des litiges avec le lourdes. Les coûts à prévoir dans
Volkswagen ont toutes deux nié européennes quant au fonction- constructeur. Or, une étude toute ce cas peuvent faire s'envoler la
ou minimisé les faits pendant nement de la justice américaine. récente menée par des journa- facture, et ont comme autres
plusieurs mois après le lancement On sous-estime ainsi souvent les listes tend à démontrer que VAG conséquences négatives d'alour-
de l'enquête par les autorités réalités suivantes : n'aurait pas déclaré certains cas. dir le véhicule, d'augmenter sa
américaines. Ce n'est qu'après un 1. Les autorités judiciaires améri- Honda a déjà été condamné à consommation, de dégrader légè-
an d'enquête que ces dernières caines ont des moyens d'en- 70 M$ d'amende cette année rement les performances, et
sont parvenues à rassembler suffi- quête et de coercition sans pour cela. Les chiffres sont à véri- d'obliger le propriétaire à refaire le
samment d'éléments pour commune mesure avec les fier, mais il semblerait que sur la plein d'urée une ou deux fois par
contraindre BNP et VAG à recon- justices allemande et française. base des accidents déclarés, VAG an. Suffisamment donc pour
naître les faits. Et encore, lors d'une Là où ces dernières sont géné- affiche une moyenne de 34 acci- donner droit à un dédommage-
audition au Sénat début octobre, ralement incapables de prouver dents litigieux par million de véhi- ment pour les acheteurs trompés.
le CEO de VAG Etats-Unis a eu le quoi que ce soit, la justice cules vendus, alors que la
culot d'affirmer que d'après les américaine arrive générale- moyenne pour les autres * *
enquêtes internes en cours, le ment à obtenir des preuves, des constructeurs serait de 306... soit *
nombre de collaborateurs incrimi- reconnaissances de culpabilité près de dix fois plus. Soit les véhi-
nés était « supérieur à 2, mais ou, à défaut, à négocier un cules de VAG sont 10 fois plus Quelle que soit l'issue de cette
significativement inférieur à 10 ». accord à l'amiable. fiables que ceux des concurrents crise, elle peut être vue comme l'il-
Un mois plus tard, le constructeur 2. Les autorités judiciaires sont (japonais et coréens compris), soit lustration d'une tendance lourde :
parle plutôt de « plusieurs largement dirigées par des VAG a largement truqué ses chif- des faits qui, il y a 20 ans, auraient
douzaines » de collaborateurs mis juges et procureurs élus, dont fres. Si les chiffres sont avérés, il va été qualifiés de bénins et n'au-
en cause. Jouer au chat et à la certains ont clairement des être difficile pour VAG d'expliquer raient eu que des conséquences
souris avec les autorités améri- ambitions, donc des arrière- qu'il s'agit d'une erreur et que la limitées, suffisent aujourd'hui à
caines, pour perdre à la fin, n'est pensées, politiques, et ne sont direction n'était pas au courant. faire perdre 30 milliards à une
sans doute pas la meilleure façon donc pas forcément totale- Cette seconde affaire aura certai- société leader dans son secteur.
de minimiser l'amende. ment indépendants. nement un impact négatif sur les Ce qui assure aussi de beaux jours
3. La justice américaine n'est pas juges américains, et ne va pas les à la profession d'audit interne. 
4. Ignorer les avertissements limitée dans le calcul des pousser à la clémence.
BNP Paribas avait été avertie dès indemnités et amendes, soit Antoine de Boissieu

n° 004 — audit, risques & contrôle — 4e trimestre 2015 07


VOIX DE LA FRANCOPHONIE

La Francophonie

© vege - Fotolia.com
vers un nouveau
Sommet
dont le grand leader est naturel- nement. Il se réunit tous les deux
Pour ce numéro, j’ai prévu de faire, avec vous, le tour de la lement l’OIF. ans. Le XVe Sommet s’est déroulé
Francophonie, en présentant d’abord l’Organisation en 2014 au Sénégal et le XVIe se
Internationale de la Francophonie et ses instances de gouver- L’OIF, le cœur de tiendra à Madagascar en 2016.
nance, afin de bien saisir l’ampleur des activités dans le monde la Francophonie
francophone. Cette compréhension permet de mettre l’accent La Conférence ministérielle de
sur les nombreuses opportunités qui s’offrent aux auditeurs fran- En effet, l’OIF regroupe 80 États et la Francophonie (CMF) se réunit
cophones, dans la mutualisation des efforts pour faire évoluer gouvernements des pays ayant le chaque année et a pour mission
ensemble nos sociétés. Nous examinerons ensuite les activités français en partage et comprend de veiller à l’exécution des déci-
trois hautes instances de gouver- sions arrêtées lors d’un Sommet
du réseau UFAI.
nance consacrées par la Charte et de préparer le suivant. Elle se
de la Francophonie : le Sommet prononce sur les grands axes de

D
ans un numéro récent, nie (OIF), nous serions 274 de la Francophonie, la Confé- l’action multilatérale franco-
nous avons souligné la millions de femmes et d’hommes rence ministérielle de la phone. Les États et gouverne-
faible représentation partageant une langue com- Francophonie et le Conseil ments membres ou observateurs
des auditeurs internes mune, le français. Cela représente permanent de la Francophonie. du Sommet y sont représentés
francophones au sein de l’Institut une charge de travail considéra- par leur ministre des Affaires
des Auditeurs Internes (IIA) ; ble par auditeur interne franco- Le Sommet, l’instance suprême étrangères ou le ministre chargé
seulement cinq pour cent, parmi phone. de la Francophonie, représente la de la Francophonie. La 31e
l’ensemble des langues parlées. Conférence des chefs d’État et de session de la Conférence ministé-
Il y a donc des synergies à déve- gouvernement. Il définit les rielle de la Francophonie a eu lieu
D’autre part, selon l’Organisation lopper en collaborant avec d’au- orientations de la Francophonie en octobre dernier en Arménie.
internationale de la Francopho- tres organisations francophones de manière à assurer son rayon-

08 4e trimestre 2015 — audit, risques & contrôle - n° 004


VOIX DE LA FRANCOPHONIE

Le Conseil permanent de la
Francophonie (CPF) est l’ins-
tance chargée de la préparation
et du suivi du Sommet. Il est
présidé par le secrétaire général
de la Francophonie, actuellement
Madame S. E. Michaëlle Jean, et
est composé des représentants
personnels dûment accrédités
par les chefs d’État ou de gouver-
nement participant aux
Sommets. Il a notamment pour
missions de veiller à l’exécution
des décisions prises par la CMF,
d’examiner les propositions de
répartition du budget et d’exer-
cer un triple rôle d’animateur, de
coordonnateur et d’arbitre.
Quatre commissions spécialisées
composées des délégués des
États et gouvernements prépa-
rent les travaux du CPF : la
commission politique ; la com-
mission économique ; la commis-
sion de coopération et de
programmation ; la commission L’Organisation « s’appuiera sur la Intérêt manifesté de Ressources pour
administrative et financière. pratique de l’audit et du contrôle la part de partenaires les auditeurs internes
internes qui doivent améliorer et bailleurs de fonds
L’OIF dispose aussi d’une notre fonctionnement, et se En même temps, l’IIA déploie une
Direction d’audit interne et d’un doivent de nous accompagner, Le moment des initiatives est série d’initiatives et d’obligations
Comité d’audit. dans un dialogue franc et fécond, vraiment approprié, car l’intérêt pour les Instituts afin de s’assurer
Dans son intervention lors de la pour une gestion plus efficace, pour vis-à-vis de la profession et les que chaque auditeur interne,
31e Conférence ministérielle de la des risques identifiés, hiérarchisés et besoins d’instaurer des services quelle que soit sa langue ou la
Francophonie, en octobre der- anticipés ». 1 d’audit interne se manifestent de région où il œuvre, ait accès à un
nier, Monsieur Adama OUANE, plus en plus. L’UFAI est sollicitée minimum de services notam-
administrateur de l’OIF a Le ton donné par l’OIF au sein de pour proposer des projets d’ac- ment les normes, les activités de
mentionné « l’objectif prioritaire la Francophonie est stimulant compagnement et de promotion formation et de préparation à la
qui lui était confié, à savoir mettre pour l’Union Francophone de de l’audit interne. Donc, des certification, les événements
en place une véritable culture du l’Audit Interne (UFAI) et ses chantiers à explorer et à mettre locaux, les publications liées à
résultat, de l’évaluation et de l’audit, Instituts membres qui tentent en lien avec différentes organisa- l’audit interne et autres informa-
intégrée et partagée, au quotidien par leur contribution de faire tions, partenaires et bien tions de bases.
par toute l’Organisation et ce avec évoluer la profession et participer entendu avec l’IIA Global.
l'appui de toutes les parties à la valeur ajoutée des entreprises L’audit interne sur
prenantes à ce processus ». et de la société. le continent africain

Par ailleurs, dans son plan straté-


gique dévoilé lors du dernier
Global Council à Beijing, l’IIA
Global a annoncé sa volonté
d’élaborer des initiatives pour
favoriser le développement de la
profession notamment en terri-
toire Africain. En août dernier, une
première rencontre de haute
importance a eu lieu : « Atelier
Africain ». Il s’agit des premiers
pas vers la réalisation de cet
objectif par une séance de plani-
fication stratégique. À cette

Atelier Africain 1
http://www.francophonie.org/Discours-de-l-Administrateur-de-l-46366.html

n° 004 — audit, risques & contrôle — 4e trimestre 2015 09


VOIX DE LA FRANCOPHONIE

rencontre ont participé une ving-


La « Semaine de l’audit interne » est devenue un rendez-
taine de leaders d’Instituts ainsi
vous incontournable. Elle se déroulera cette année en
que la direction de l’IIA Global
décembre à Pétion-Ville
Richard Chambers, Président et
Le comité organisateur a choisi comme thème central « Le
directeur général, de même que
rôle de l'audit interne dans la lutte contre la corruption et sa
Anton Van Wyk, Président du CA,
contribution à la bonne gouvernance ». Un thème tout à fait
Phil Tarling, Président sortant du
actuel et pertinent dans le contexte de nos organisations.
CA, Stacy Mantzaris et Guilherme
http://creativefeatherswe.wix.com/lasemainedelaudit
Lopes, permanents de l’IIA, afin
de discuter, identifier les défis, les Deux séminaires répartis sur les 4 jours suivants :
obstacles, les ressources néces-  « L’impact de la fraude et de la corruption sur la
saires et établir un plan pour les stabilité socio politique et la croissance écono-
cinq prochaines années. mique ». Un thème qui a de quoi faire réfléchir
et surtout permettre aux participants d’appren-
L’audit interne partout dre et s’enrichir par des échanges avec les plus
grands experts.
L’IIA Global est établi de façon  « Les Défis de l'Audit des systèmes d'informa-
mondiale sur tous les continents tions pour les auditeurs dans une ère de dépen-
par le biais d’Instituts nationaux dance technologique ». À ce niveau tout évolue
ou de sections locales. En si vite, comment y parvenir ?
réponse aux besoins d’affinités,
en raison de la langue parlée ou
de la région concernée, des fédé-
rations ont vu le jour. Ces fédéra- Semaine de l’audit souvent sollicité par les médias les autorités, cet important outil
tions ne font pas partie de la interne avec IIA Haïti pour commenter et vulgariser de bonne gouvernance permet-
structure de l’IIA mais sont recon- des cas de fraude. tra la consolidation des actions
nues utiles afin de soutenir les Le Colloque inaugural qui dure de contrôle, de suivi et d’assis-
Instituts, promouvoir la profes- toute la journée est un espace de La valeur ajoutée apportée par tance des entreprises publiques.
sion et répondre aux besoins des plaidoirie où des dirigeants au ces séances ne tardera pas à se
auditeurs internes, en tenant plus haut niveau tant du secteur faire sentir dans la pratique de la Dans un prochain numéro, nous
compte des particularités locales. privé que du secteur public sont profession. tenterons de découvrir et parta-
réunis pour assister à des inter- ger avec la communauté franco-
Retour en ventions touchant divers aspects Côte d’Ivoire – phone, l’évolution de ce
Francophonie de gouvernance, de contrôle et Implantation d’un système. 
de risque (thématiques-piliers de système d’information
Dans cet esprit de coopération notre profession) ; mais surtout, et de gestion des
qui nous anime et afin de renfor- ils sont sensibilisés à l’impact de entreprises publiques Mireille Harnois, Présidente de
cer les capacités au sein de la ces thématiques sur le climat des l’Union Francophone de l’Audit
Francophonie, l’UFAI, collabore affaires, le développement éco- En juin dernier, dans le cadre du Interne
avec d’autres fédérations qui sont nomique et durable d’Haïti, sur la 2ème Colloque Régional de l’Union
davantage à vocation régionale, bonne gouvernance dans les des Instituts d’Audit Interne de
et plus particulièrement avec institutions haïtiennes, etc. Les l’Afrique de l’Ouest (UIAI-AO), IIA
l’ECIIA et l’AFIIA. interventions sont faites par des Côte d’Ivoire a eu le privilège Vers un prochain grand
Des liens étroits unissent par Haïtiens et des étrangers, tous d’accueillir Monsieur Abdou- rendez-vous de l’UFAI
ailleurs les instituts membres de représentant des voix autorisées rahmane Cissé, ministre auprès Pour terminer, tout comme le
l’UFAI avec l’IFACI. C’est ainsi que dans leurs sphères d’activité. du 1er ministre, chargé du Sommet de la Francophonie
depuis quelques mois, l’Institut budget, venu nous entretenir de qui se tient tous les deux ans,
Français de l’Audit et du Contrôle Notons, entre autres, l’interven- la quête de transparence en Côte l’UFAI a également son
Internes leur offre la possibilité de tion de Messaoud Abda, un d’Ivoire. rendez tous les deux ans. La
participer en direct à sa réunion expert reconnu en criminalité prochaine Assemblée
mensuelle. Les participants financière. Il accompagne les À peine trois mois plus tard, Générale de l’UFAI aura lieu à
peuvent poser leurs questions au institutions et les universités dans Monsieur Abdourahmane Cissé Paris, suivie de sa 12ème
travers d’un outil en ligne où le des mandats de criminalité finan- est à l’honneur dans la publica- Conférence internationale. Ce
modérateur sélectionne les ques- cière, est témoin expert à la Cour, tion « Acteurs publics – rubrique rendez-vous d’importance est
tions et les pose aux intervenants. instructeur auprès de divers Internationale ». En effet, sous le déjà en préparation et inscrit
Selon le fuseau horaire, certains ordres professionnels, dispensa- titre « La gestion des entreprises au calendrier pour les 14 et
adhérents ne sont pas en mesure teur reconnu de formation conti- publiques ivoiriennes gagne en 15 novembre 2016. Les
d’y participer en direct. Dans ce nue auprès du Barreau du transparence », il indique que la grandes annonces de thèmes
cas, le site de l’UFAI met à la Québec, et il assume des charges Côte d’Ivoire vient de se doter seront dévoilées sous peu.
disposition les enregistrements de cours auprès de HEC d’un système d’information et de Veuillez bien réserver ces
des réunions aux fins de retrans- Montréal, et de l’Université gestion des entreprises dates à votre agenda.
missions différées. McGill. Monsieur Abda est publiques appelé « SIGEP ». Selon

10 4e trimestre 2015 — audit, risques & contrôle - n° 004


OUVERTURE SUR LE MONDE

Risques de
conformité
La France en retard ?

L
'OCDE a publié fin 2014 un rapport sur la corruption de
fonctionnaires étrangers. Le rapport analyse les 200 cas de
corruption ayant fait l'objet de poursuites depuis l'entrée
en vigueur de la convention OCDE de 1999. Il révèle
plusieurs faits intéressants :
 Le nombre de cas est en forte augmentation depuis 2006,
passant de 10 à 40 par an.
 Les Etats-Unis concentrent près des 2/3 des cas à eux seuls.
 Dans 75 % des cas, le montage de corruption implique des
intermédiaires.
 Les pots-de-vin représentent en moyenne 10 % des marchés
visés.
 70 % des cas se terminent par un accord négocié (aux Etats-
Unis principalement).

La revue de l'IIA de juin 2015 est revenue sur ce rapport, en analy-


sant la situation de 3 pays pionniers en matière de législation : les
Etats-Unis, le Royaume-Uni, et le Brésil.

FCPA

La loi américaine (le Foreign Corrupt Practices Act, cf. revue Audit,
Risques & Contrôle n°002) est la plus connue et la plus utilisée,
surtout contre des sociétés européennes d'ailleurs, qui se sont vu
infliger 8 des 10 principales amendes.

Anti-bribery Act

Le Royaume-Uni a adopté en 2010, à grand renfort de publicité,


l'anti-bribery Act. Cette loi a un périmètre d'application plus large
que celui du FCPA, qui est pourtant loin d'être restreint. L'anti-
bribery Act concerne toutes les sociétés ayant des activités au
Royaume-Uni, ce qui est peu ou prou la logique du FCPA. Mais il
vise aussi les personnes ayant reçu les pots-de-vin, et pas seule-
ment le corrupteur. Il interdit de plus les paiements dits de « faci-
litation », qui ne procurent pas au payeur d'avantage indus : il
s'agit par exemple de tous les paiements visant à accélérer la déli-
vrance d'autorisations qui sont légalement dues, ou qui visent à
éviter les tracasseries administratives.

Brazilian Clean Company Act

Adoptée en 2013, la loi brésilienne est proche du FCPA américain.


Elle prévoit des peines potentiellement très élevées, pouvant
s'élever jusqu'à 20 % du chiffre d'affaires annuel. Un des aspects
intéressants de cette loi est qu'elle demande aux juges de tenir
© Rrraum - Fotolia.com

compte des efforts entrepris en matière de conformité.

n° 004 — audit, risques & contrôle — 4e trimestre 2015 11


OUVERTURE SUR LE MONDE

Evaluer les programmes de La morale de cette histoire semble donc être succursales en Suisse et aux Iles Cayman, par
conformité que les auditeurs ont une obligation de résul- où une partie des fonds transitait, et une
tats, pas de moyens, d'autant plus lorsqu'il kyrielle de fournisseurs accusés d'avoir payé
Pour évaluer ces efforts, les juges doivent s'agit de risques connus. des pots-de-vin, venant de différents secteurs
prendre en compte les 3 critères suivants : et zones géographiques, des chantiers navals
1. La société a-t-elle mis en place un Avon : pressions sur l'audit interne singapouriens au fabricant de moteurs anglais
programme de conformité, avec notam- La deuxième affaire intéressante, qui a été peu Rolls-Royce. L'affaire, si elle est instruite
ment des politiques de conformité, des médiatisée en Europe, est celle du groupe jusqu'au bout, risque donc d'entraîner des
procédures d'application, des processus de américain de cosmétiques Avon. Avon a réactions en chaîne. Certaines sociétés,
reporting, de formation et, enfin, une reconnu avoir payé 8 M$ de pots-de-vin à des comme Rolls-Royce, risquent même de se
évaluation périodique des risques ? officiels chinois, une partie sous la forme de retrouver poursuivies pour ces faits à la fois au
2. Ce programme couvre-t-il bien les risques cadeaux et de voyages gratuits. Le but de Brésil, au Royaume-Uni et aux Etats-Unis.
de conformité spécifiques à l'entreprise (liés l'opération était d'influencer, dans un sens
à son contexte, son secteur d'activité, sa favorable à ses intérêts, les fonctionnaires La France, un paradis juridique ?
structure juridique...) ? chargés de l'élaboration de la réglementation
3. Enfin, l'audit interne évalue-t-il régulière- en matière de vente directe au consomma- Force est de constater que la plupart des pays
ment l'efficacité du dispositif ? teur. L'affaire aura coûté 500 M$ au total à d’Europe continentale sont moins présents
Avon, les coûts liés à l'enquête étant supé- dans ce panorama de la lutte contre la
La loi brésilienne reconnaît donc le rôle que rieurs à l'amende infligée par les autorités corruption. Ainsi, la justice française brille par
doivent jouer les auditeurs internes en matière américaines dans le cadre du FCPA (cf. revue son absence dans ce panorama de la lutte
de conformité, une bonne couverture des Audit, Risques & Contrôle n°002). contre la corruption. La justice française ne
risques de conformité par l'audit interne pouvant condamne pas, ou très exceptionnellement,
devenir un argument face à un tribunal. Cette affaire est significative pour l'audit et à des amendes négligeables comparées à
interne car les pots-de-vin avaient été détec- celles infligées par les autorités américaines,
Trois affaires intéressantes pour tés par les auditeurs du groupe. Le directeur mais aussi chinoises, anglaises, italiennes et,
l'audit interne de l'audit interne de l'époque avait cependant vraisemblablement, brésiliennes. En fait, la
été poussé à étouffer l'affaire et à détruire les justice française est inoffensive dans la plupart
Les cas des Etats-Unis, du Royaume-Uni et du preuves recueillies par ses auditeurs. des domaines concernant la vie des entre-
Brésil sont représentatifs d'une tendance L'information n'est jamais remontée au prises, comme ses homologues européennes.
beaucoup plus générale à la lutte contre la Conseil d'administration, qui a été mis au Ainsi, dans le domaine financier, on a appris
corruption. L'article de la revue de l'IIA revient courant, trop tard, par un lanceur d'alerte en récemment que les autorités américaines (la
ainsi sur trois cas récents, intéressants pour interne. Le cas Avon illustre donc bien l'impor- SEC) avaient infligé 4 milliards de dollars
l'audit interne. tance du rattachement fonctionnel de l'audit d'amendes et sanctions en 2014, les autorités
interne au Comité d'audit. anglaises 1,2 milliards, et les françaises (l'AMF)
Glaxo SmithKline : les auditeurs ratent 35 millions... Le seul domaine où le système
le risque Petrobras : une réaction en chaîne judiciaire français fonctionne semble être le
En septembre 2014, la société pharmaceu- La troisième affaire significative est celle de la droit de la concurrence, où certaines ententes
tique GSK a été condamnée à près de 500 M$ compagnie pétrolière brésilienne Petrobras. sont régulièrement mises en évidence et
d'amende par les autorités chinoises pour Cette grosse affaire de corruption a déjà sanctionnées.
avoir payé des pots-de-vin à des fonction- poussé à la démission la directrice générale et L'adoption en Europe d'un système à l'améri-
naires hospitaliers et des autorités de santé, 5 administrateurs du groupe. L'ancien direc- caine, où le dénonciateur de l'entente est
afin de promouvoir les ventes de ses médica- teur de la branche Raffinage du groupe a exonéré d'amende, explique en partie cette
ments. Le montant de l'amende était censé reconnu que les budgets des projets étaient situation.
être équivalent au montant des pots-de-vin systématiquement gonflés de 3 % pour tenir
versés. Cette affaire est aussi riche d'enseigne- compte des rétro-commissions qui étaient La tranquillité dont disposent les sociétés en
ments pour l'audit interne, dans la mesure où : exigées des fournisseurs. Au total, le montant France ne doit pas cacher la hausse des
 les faits reprochés à GSK sont parfaitement des commissions dépasse le milliard de risques liés à la conformité dans les autres
connus dans l'industrie pharmaceutique dollars, et est sans doute supérieur à 2 pays. Les sociétés internationales habituées à
depuis des dizaines d'années, et avaient milliards. Les implications de l'affaire semblent une situation « à la française » vont devoir faire
déjà fait l'objet d'une longue liste de infinies : la classe politique brésilienne est rapidement évoluer leur culture interne pour
condamnations dans différents pays ; largement concernée, une partie des rétro- prendre en compte ces risques, et les placer
 GSK déployait des moyens importants en commissions terminant dans les caisses des au cœur du processus de prise de décision.
Chine pour la conformité ; seule la filiale partis politiques. Les auditeurs internes, comme le reconnaît la
américaine avait des effectifs supérieurs législation brésilienne, ont un rôle clef à jouer
dans les fonctions de conformité ; Sont aussi impliquées toutes les principales dans cette évolution. 
 GSK réalisait environ 20 missions d'audit sociétés de BTP présentes au Brésil (dont les 4
interne par an en Chine. majors locales), des banques ayant des
Antoine de Boissieu

12 4e trimestre 2015 — audit, risques & contrôle - n° 004


RENCONTRE AVEC ...

Le DAI doit avoir


la totale confiance
de la direction générale
© Laurent Villeret

Jean-Louis Beffa , Président d’honneur et administrateur de Saint-Gobain

En cette année anniversaire des 350 ans de Saint-Gobain, il était Louis Vaurs : Monsieur Beffa, Jean-Louis Beffa : La gouver-
naturel que notre revue s’intéresse à sa gouvernance et au rôle vous avez dirigé, pendant de nance d’entreprise est influencée
que l’audit interne y joue. Et qui mieux que son président d’hon- longues années Saint-Gobain. par le type d’environnement
Vous avez été ou êtes toujours dans lequel il s’exerce.
neur, Jean-Louis Beffa pouvait nous en parler, lui qui est resté
administrateur de sociétés fran- En Europe on distingue le capita-
plus de 20 ans président directeur général de ce très efficace et
çaises ou étrangères du monde lisme libéral financier, c’est le
attachant groupe. Partant du général au particulier, il évoque bancaire ou industriel, et britannique ; le capitalisme indus-
les grands modèles de la gouvernance et tous les sujets qui font membre de leurs comités spécia- triel et commercial, comme je
l’actualité tels que les trois lignes de maîtrise, la soft law, le Say lisés. Quel regard portez-vous sur l’appelle dans mes livres, c’est
on Pay, le whistleblowing, l’indépendance de l’audit interne et le gouvernement d’entreprise tel celui de l’Allemagne.
sa place à la table des dirigeants… et quelques autres sujets tout qu’il se pratique ici ou là ? Les gouvernances sont très diffé-
aussi intéressants. rentes dans les deux systèmes.

n° 004 — audit, risques & contrôle — 4e trimestre 2015 13


RENCONTRE AVEC ...

« EndesFrance, selon la sensibilité


responsables politiques,
les textes sont différents et
influencent de façon importante
la gouvernance des entreprises »
© Laurent Villeret

Dans la gouvernance britan- d’un point de vue stratégique ce nent de la même façon toutes les belles entreprises du CAC 40 :
nique : prééminence de l’assem- qui permet de maintenir une part entreprises. On est passé, depuis Alcatel, Lafarge et Alstom.
blée générale, volonté de mettre significative des emplois sur le sol l’émergence asiatique, à un autre Il doit y avoir maintenant une
un contre-pouvoir au manage- allemand. modèle défendu par le Japon et prise de conscience : si on ne
ment, essentiellement par le biais l’Allemagne modèle qui privilégie réagit pas, la France n’aura plus
d’une gouvernance avec disso- La dimension allemande est le la compétition entre pays dont d’entreprises championnes et la
ciation, c’est-à-dire un président long terme : maintien des valeurs les armées, dans cette bataille, France va s’affaiblir dangereuse-
non exécutif dont le but est avant historiques de l’entreprise, et sont les entreprises « champions ment.
tout de représenter l’intérêt des adaptation aux temps modernes. nationaux » de chaque pays.
actionnaires et un directeur Le modèle britannique est L. V. : Quel modèle avez-vous
général qui est subordonné aux souvent axé sur le court terme, En France, selon la sensibilité des privilégié quand vous étiez le
actionnaires. privilégiant la rentabilité finan- responsables politiques, les président directeur général de
cière immédiate. textes sont différents et influen- Saint-Gobain ?
Le modèle allemand a pour point cent de façon importante la
central le conseil d’administration La France est dans un modèle gouvernance de l’entreprise qui J.-L. B. : Chez Saint-Gobain, j’ai
avec un système de cogestion, la hybride qui évolue au fil du est allée d’un modèle assez favo- eu la chance, de mener une stra-
moitié des administrateurs étant temps et où les deux modèles rable au modèle industriel tégie industrielle commerciale
issue des syndicats, ceux de l’en- précédents coexistent en s’oppo- commercial avec le Général de dans un environnement libéral
treprise, mais aussi le syndicat de sant. Gaulle, MM. Balladur et Chirac, financier auquel j’ai résisté.
branche comme chez Siemens Le modèle libéral-financier est le par le biais des participations
avec IG Metall. Ce modèle a pour fruit de la domination du capita- croisées, à un modèle libéral L. V. : Juste un mot sur les Etats-
but de concilier les vues de l’ac- lisme américain, celui du level financier après la prise de Unis. Leur système se rapproche-
tionnaire et celles des syndicats, playing field dans lequel les règles contrôle de l’UAP par AXA et, t-il du modèle anglais ?
d’un point de vue social comme du jeu sont mondiales et concer- avec ce modèle-là, on a perdu de

14 4e trimestre 2015 — audit, risques & contrôle - n° 004


RENCONTRE AVEC ...

Pringuet, supérieure à la loi, doit pas être contraignant, mais


puisque pouvant s’appliquer au- consultatif, ce qui va largement
delà du territoire strictement au-delà du convenable.
national.
En matière de gouvernement L. V. : Ensuite, la décision appar-
d’entreprise, faut-il préférer la Soft tient au Conseil d’administration.
law à la loi ou à la règlementa-
tion ? J.-L. B. : C’est souhaitable parce
que les actionnaires sont éphé-
J.-L. B. : Pour la raison évoquée mères, ils ne détiennent les
par Pierre Pringuet et pour d’au- actions, en moyenne, que
tres raisons françaises, je pense pendant 18 mois. Quelle est donc
que la Soft law est largement leur légitimité à juger une entre-
supérieure en efficacité à la loi. prise ? Autant dire qu’un Say on
Pourquoi ? La loi est faite par des Pay obligatoire n’est pas la meil-
gens ayant une faible connais- leure formule.
sance de la vie de l’entreprise. Elle
rigidifie là où il faut être pragma- L. V. : Que pensez-vous du
tique et tenir compte des situa- whistleblowing ou, si vous préfé-
tions particulières. rez, du droit d’alerte auquel on
La Soft law, dans le domaine de la peut ajouter le droit des lanceurs
gouvernance d’entreprise ‒ d’alerte ?
rémunération des présidents,
choix du mode d’organisation de J.-L. B. : Ce n’est pas une
l’entreprise ‒ est préférable. mauvaise formule. Le destinataire
Moins la loi s’en mêle, mieux c’est. de l’alerte doit être quelqu’un de
bon sens, sachant juger si les faits
L. V. : La Soft law a-t-elle joué de sont sérieux ou non ; en cas
manière convenable lors du trai- d’inexactitude, il faut pouvoir
tement des indemnités jugées sanctionner le lanceur d’alerte et
abusives versées à l’ancien direc- éventuellement le poursuivre
teur d’Alcatel-Lucent ? pour diffamation.

J.-L. B. : Concernant M. Combes, L. V. : Faut-il le protéger ?


le système a bien fonctionné. Des
indemnités lui avaient été propo- J.-L. B. : Le protéger, oui, s’il a
sées. Elles ont paru un peu raison. Mais également, il faut le
surprenantes. Le Haut comité de sanctionner s’il a sifflé à tort.
J.-L. B. : Les Etats-Unis ont des J.-L. B. : Le monde financier fran- gouvernement d’entreprise a
côtés nationalistes non négligea- çais s’est largement rallié à un rendu un jugement plus sévère L. V. : S’il a raison, faut-il le rému-
bles. modèle anglo-saxon. que celui de la décision du nérer ?
Ils ont comme la France, plus ou La Deutsche Bank s’est ralliée Conseil d’administration et, en
moins, mais différemment, un plutôt à ce modèle, ce qui n’est accord avec M. Combes, le J.-L. B. : Non.
modèle hybride : leurs réglemen- pas du tout le cas d’Allianz. Conseil a diminué très sensible-
tations, par exemple, sont telles Pour les entreprises industrielles ment le montant de ses indem- L. V. :
qu’une affaire américaine ne peut françaises cette séparation obli- nités. Et depuis, on n’en parle La maîtrise des risques est un
être achetée facilement, quand gatoire ne me paraît pas indis- plus. enjeu capital pour les entreprises.
on est Chinois. pensable. Trois grandes fonctions se sont
Le vrai modèle libéral complet Pour assurer une transition, un L. V. : Vous êtes président du fortement développées ces
ouvert où n’importe qui peut président non exécutif est utile. Comité des nominations et des dernières années : la conformité,
acheter des affaires sans En Allemagne, quand cela arrive, rémunérations d’ENGIE. Que la gestion des risques et l’audit
problème, est le modèle britan- c’est l’ancien PDG qui devient le pensez-vous de l’adoption en interne.
nique. président non exécutif. C’est ce France du Say on Pay anglo- Comment voyez-vous le rôle de
que nous avons vécu à Saint- saxon. Est-ce une bonne chose ? chacune de ces fonctions et plus
L. V. : Depuis quelques mois, il y Gobain où, pendant 3 ans, j’ai été particulièrement celui de l’audit
a obligation pour les banques de un président non exécutif, mais J.-L. B. : Le Say on Pay est une interne ?
séparer les fonctions de directeur ensuite mon successeur est rede- procédure utile en matière de
général et de président du venu PDG, ce qui peut être une transparence. Elle consiste à J.-L. B. : Chez Saint-Gobain, ces
Conseil d’administration Une formule tout à fait efficace. donner aux actionnaires le droit trois fonctions sont sous la
telle séparation serait-elle béné- de voter sur la rémunération des responsabilité du directeur de
fique pour les entreprises du L. V. : La Soft law, est considérée dirigeants lors de leur Assemblée l’audit interne. Il n’y a pas comme
monde industriel ? par le président de l’AFEP, Pierre générale. Cependant ce vote ne dans les banques cette stricte

n° 004 — audit, risques & contrôle — 4e trimestre 2015 15


RENCONTRE AVEC ...

séparation ou, si vous préférez, il J.-L. B. : Chez Saint-Gobain, le


n’y a pas à côté de ce directeur, directeur de l’audit interne (DAI)
un directeur de la gestion des est un ancien directeur financier,
risques et un directeur de la ayant une expérience considéra-
conformité. Les aspects confor- ble du groupe et la confiance
mité et risques sont traités à tous totale du président, capable de
les niveaux opérationnels. Et c’est mettre en cause la direction
bien souvent le manager opéra- financière ou les opérationnels si
tionnel qui doit gérer ses propres nécessaire.
risques. Il dépend de la seule direction
Pour conclure, chez Saint-Gobain, générale devant qui il peut tout
pour la maîtrise des risques, nous dire.
avons, deux grandes directions :
la financière et l’audit interne. L. V. : Hiérarchiquement, doit-il
rapporter à la direction générale ?
L. V. : Et l’audit interne est chargé
de s’assurer que tout fonctionne J.-L. B. : Oui, c’est-à-dire soit au
bien. président soit au directeur géné-
ral délégué mais certainement
J.-L. B. : Oui. Il s’assure de la pas à la direction financière ou à
conformité, de la sensibilisation à la direction d’une autre entité.
certains risques de comporte-
ment à conséquences très L. V. : Quelles relations doit-il
graves, comme les ententes ou la avoir avec le comité d’audit ?

© Laurent Villeret
corruption qui sont aussi de la
conformité. Le modèle bancaire J.-L. B. : Il faut qu’il vienne
ne s’applique pas aisément aux d’abord expliquer son travail
entreprises non financières. devant lui. Et y rendre compte de
son programme de travail.
Quand j’étais à la BNP, il y avait un
Comité des risques indépendant L. V. : Participe-t-il systématique- J.-L. B. : Il faut quelqu’un avec J.-L. B. : Oui, l’audit interne est
du Comité des comptes. Donc ment à tous les Comités d’audit ? une longue expérience de l’en- une fonction importante, dont
deux comités différents du treprise ; et une expérience les présidents directeurs géné-
Conseil. J.-L. B. : Non, contrairement au aguerrie dans le domaine finan- raux doivent se préoccuper pour
Chez Saint-Gobain, l’audit interne directeur financier qui, lui, parti- cier. Pour réussir, il faut être hyper la suivre eux-mêmes et je crois
est interrogé indépendamment cipe à tous. compétent et avoir la totale qu’il serait souhaitable qu’un
du management par le Comité confiance de la direction géné- président voie son directeur de
des comptes. L. V. : Mais le DAI a-t-il la possibi- rale. l’audit interne tous les 15 jours. Et
lité d’avoir un tête à tête avec le pour la crédibilité de la fonction,
L. V. : Dans le secteur bancaire, président du Comité d’audit ? L. V. : Doit-il siéger à la « table des l’équipe d’audit interne doit être
depuis l’arrêté du 3 novembre dirigeants » ? une équipe parfaitement aguer-
2014 relatif au contrôle interne J.-L. B. : Pour certains domaines, rie.
des entreprises du secteur de la le Comité d’audit peut vouloir J.-L. B. : Oui, chez Saint-Gobain,
banque, il n’est plus fait référence l’auditionner hors de la présence il fait partie du Comité de direc- L. V. : Merci beaucoup, Monsieur
au Comité d’audit mais au de la direction, cela me paraît tion générale qui se réunit tous le Président. 
Comité des risques et c’est à ce normal. les mois. Il a un rang équivalent à
dernier que l’audit interne devra un patron de métier.
le plus souvent rendre des L. V. : A-t-il un rôle particulier
comptes. dans le domaine de l’éthique ? L. V. : Pour vous, le principal
champ de l’audit interne est-il le
J.-L. B. : Ce modèle peut se J.-L. B. : Oui, Il vérifie par exem- domaine comptable et finan- Jean-Louis Beffa, X Mines,
comprendre pour les banques et ple que la charte d’éthique du cier ? PDG de Saint- Gobain de
je doute qu’il soit bien approprié groupe est correctement mise en 1986 à 2007 ; aujourd’hui,
pour les entreprises du secteur œuvre ou que les acheteurs ne J.-L. B. : Pour moi, c’est le respect président d’honneur et admi-
industriel. sont pas en conflit d’intérêt ; il de la charte de comportement nistrateur de Saint-Gobain.
s’assure également que les du groupe mais aussi l’évaluation
L. V. : Peut-on parler d’indépen- commerciaux, quel que soit le de la gouvernance opération- Il est l’auteur de deux
dance de l’audit interne ? Il en est pays, respectent les valeurs du nelle. ouvrages récents : « La France
questions dans nos Normes groupe. doit Choisir » en 2012, et « Les
professionnelles, sachant très bien L. V. : Avez-vous un message Clés de la Puissance » en
qu’une indépendance est tou- L. V. : Quel doit être le profil d’un particulier à adresser à nos 2015.
jours relative. directeur d’audit interne ? lecteurs ?

16 4e trimestre 2015 — audit, risques & contrôle - n° 004


DOSSIER

LES RELATIONS
DE L’AUDIT INTERNE
AVEC LES ORGANES
DIRIGEANTS
L’indépendance des auditeurs
internes en question

18 - Les attentes des organes dirigeants


vis-à-vis de l’audit interne

21 - Etre à la table de la gouvernance


c’est, avant tout, être respecté par
le Comité exécutif et le Conseil

23 - Relations audit interne /


direction générale et Comité d’audit à la
Caisse de dépôt et placement du Québec
© alotofpeople - Fotolia.com

n° 004 — audit, risques & contrôle — 4e trimestre 2015 17


LES RELATIONS ENTRE L’AUDIT INTERNE
ET LES ORGANES DIRIGEANTS

Les attentes des


organes dirigeants
vis-à-vis de l’audit interne
Sylviane Hautin, Partner, KPMG

L’audit interne a élargi son champ traditionnel respect des lois et des règlements, des direc-
de compétences au-delà de la fiabilité des tives de la direction générale et de la maîtrise
comptes et du reporting financier pour deve- des risques.

L
’IFACI donne de l’audit interne la défi- nir un rouage essentiel de la pertinence du
nition suivante : « L'audit interne est une « rendre compte » de son activité à tous les Dès lors que les risques devaient être maîtrisés
activité indépendante et objective qui niveaux de l’organisation et notamment et que les procédures de contrôle interne ont
donne à une organisation une assu- auprès de la direction générale, du Conseil été mises en œuvre à cette fin, l’audit interne
rance sur le degré de maîtrise de ses opérations, d’administration / Comité d’audit et de toutes a vu ses missions s’élargir à tous les processus
lui apporte ses conseils pour les améliorer, et les parties prenantes. En effet, d’une part la de l’entreprise. Cependant, selon le niveau de
contribue à créer de la valeur ajoutée. taille croissante des entreprises et leur risques, la nature des activités et l’avancement
Il aide cette organisation à atteindre ses objectifs mondialisation et, d’autre part, l’évolution des de la mise en place du contrôle interne, les
en évaluant par une approche systématique et rôles et responsabilités des dirigeants, ont attentes des dirigeants à l’égard de l’audit
méthodique, ses processus de management des rendu plus prépondérantes l’identification et interne demeurent hétérogènes même si
risques, de contrôle, de gouvernement d'entre- la gestion des risques. Dans ce contexte, l’au- elles sont globalement de plus en plus
prise, et en faisant des propositions pour renfor- dit interne a dû s’adapter à ces évolutions nombreuses et diverses.
cer leur efficacité. » pour continuer à assurer l’organisation du

18 4e trimestre 2015 — audit, risques & contrôle - n° 004


LES RELATIONS ENTRE L’AUDIT INTERNE
ET LES ORGANES DIRIGEANTS

Dans ce contexte, parmi les prérequis à un annuel. Pour ce faire, outre les échanges Les attentes de la direction générale vis-à-vis
bon fonctionnement entre l’audit interne et ouverts et réguliers avec la direction générale de l’audit interne résultent pour l’essentiel
les dirigeants, nous pouvons citer : l’indépen- et les directions opérationnelles métiers et/ou d’une meilleure connaissance des risques et
dance de l’audit interne au sein de l’organisa- géographiques pour identifier les zones d’une volonté forte de les maîtriser, notam-
tion, l’allocation de moyens adéquats, un devant faire l’objet d’audits, le directeur de ment, au travers de la mise en place étendue
partage d’informations et une bonne l’audit Interne doit aussi travailler en étroite de dispositifs de contrôle interne qui vont
communication entre les dirigeants et l’audit relation avec ses collègues des directions bien au-delà du contrôle interne comptable
interne, puis entre les directions en charge « support » : directeur des risques, directeur du et financier. Dans ce contexte, l’audit interne
des autres lignes de maîtrise et l’audit interne. contrôle interne, directeur des systèmes d’in- aura pour mission d’informer la direction
formation, directeur de la conformité. Selon générale et les patrons de branches des résul-
On comprend donc aisément que l’audit l’organisation mise en place au sein des tats des audits liés à l’analyse des processus
interne doit avant tout être indépendant au groupes (DARCI, DACI...), la maturité des opérationnels, financiers et la revue des
sein de l’organisation ; l’indépendance est dispositifs, l’existence ou non d’un outil de systèmes d’information. Il pourra faire état, par
renforcée par la charte d’audit interne qui gouvernance, gestion du risque et conformité exemple, des cas de non-respect des prin-
précise la mission, les pouvoirs et les respon- (GRC), la dynamique et le partage systéma- cipes et procédures, mais aussi des opportu-
sabilités de l’audit Interne et définit sa position tique d’informations sont, à ce jour, assez nités d’en améliorer l’efficacité à travers des
dans l'organisation y compris la nature du hétérogènes. propositions de points de recommandation,
rattachement hiérarchique au plus haut Du fait de la variété des domaines à couvrir et puis du suivi de leur mise en œuvre.
niveau de l’organisation (direction générale) des missions à conduire, l’audit interne doit
et la relation fonctionnelle entre le directeur disposer d’un budget adéquat lui permet- En complément du plan d’audit annuel, la
de l’audit interne (DAI) et le Conseil. « Les rela- tant d’enrichir la palette des compétences direction générale pourra aussi mandater l’au-
tions fonctionnelles impliquent, par exemple, et des outils nécessaires à la réalisation de dit interne lors d’opérations de fusions / acqui-
que le Conseil : son plan d’audit. Ainsi, le recrutement de sitions, pour revoir le dispositif de
 approuve la charte d’audit interne ; profils diversifiés, la formation permanente management des risques, et/ou participer à
 approuve le plan d’audit interne fondé sur des collaborateurs, l’intégration d’opération- une mission d’investigation. En effet, les direc-
l’approche par les risques ; nels dans les équipes d’audit, le recours à l’ex- tions générales confient de plus en plus de
 approuve le budget et les ressources prévision- ternalisation de certaines missions auprès de missions spécifiques à l’audit interne à l’occa-
nels de l’audit interne ; consultants spécialisés ou encore la mise en sion de la survenance d’incidents tels que la
 demande des informations pertinentes au place de nouveaux outils et méthodes de perte de contrôle d’une filiale, la révélation
management et au responsable de l’audit travail (data analytics, continuous auditing / d’un fait délictueux, ou de situations à risque
interne pour déterminer l’adéquation du péri- continuous monitoring, outils de GRC...), consti- tels une prise de contrôle et/ou des projets
mètre et des ressources de l’audit interne... ». tuent autant de facteurs clés de la perfor- majeurs de transformation qui pourraient
(Cadre de Référence International des mance de l’audit interne. mettre l’organisation en situation de risques.
Pratiques Professionnelles de l’audit interne –
CRIPP). L’audit interne, en tant que 3ème ligne de Les attentes de la gouvernance
Dans cette relation tripartite : audit interne / maîtrise, apporte aux dirigeants une assu- institutionnelle vis-à-vis de
management / Conseil – Comité d’audit, le rance quant à l’efficacité de la mise en œuvre l’audit interne
directeur de l’audit Interne devra faire preuve des dispositifs de contrôle interne et de
d’objectivité et d’indépendance, de pragma- gestion des risques. L’audit interne constitue L’actualité récente met en exergue l’impor-
tisme et parfois de « courage » pour rendre pour la direction générale, un outil de mana- tance des dispositifs destinés à protéger les
compte de ses travaux dont la finalité est bien gement et, pour les instances de gouver- organisations des risques qui les menacent et
de sécuriser les processus, faire progresser l’or- nance institutionnelle, Conseil et Comité à garantir au mieux leur performance dans un
ganisation et permettre de déployer la straté- d’audit, un outil de surveillance du bon fonc- environnement incertain. Dans ce contexte,
gie sur la base de l’appétence aux risques tionnement de l’organisation et de la mise en les Comités d’audit en particulier jouent un
définie par le Conseil. œuvre de la stratégie. rôle prépondérant à travers les points d’atten-
tion majeurs qu’ils sélectionnent et le degré
Il ressort de l’étude de l’Audit Committee Les attentes de la direction de questionnement qu’ils retiennent.
Institute (KPMG - mars 2015 - www.audit- générale vis-à-vis de l’audit
committee-institute.fr) portant sur « La interne La dernière édition de l’enquête internatio-
pratique des Comités d’audit en France et nale de l’Audit Committee Institute, réalisée en
dans le monde », que 56 % des membres de L’audit interne, compte tenu de la nature de 2015, apporte un éclairage pertinent sur les
Comité d’audit sont satisfaits quant à la sa mission et de son rattachement direct à la pratiques actuelles, les tendances attendues
valeur ajoutée apportée par la fonction direction générale (bonne pratique), constitue et fait notamment ressortir les principaux
audit interne (seuls 3 % se déclarent insatis- pour cette dernière un véritable outil de enjeux des Comités d’audit, qui impliqueront
faits). management. Par la connaissance étendue l’audit interne.
que l’audit interne a de l’organisation, alliée à
Concernant la question des moyens alloués, sa capacité à identifier, analyser et synthétiser A ce titre, les 5 points d’attention majeurs des
il convient tout d’abord de s’assurer que le ses travaux, puis à proposer des recomman- membres des Comités d’audit sont repris
directeur de l’audit interne dispose d’une dations pragmatiques, l’audit Interne apporte dans le tableau ci-après avec leurs impacts
bonne vision de la stratégie du groupe et des donc à la direction et à l’ensemble de l’orga- pour le management mais aussi pour l’audit
risques y afférents, afin d’être le plus pertinent nisation de la valeur ajoutée à chaque niveau interne.
possible dans l’élaboration de son plan d’audit de reporting.

n° 004 — audit, risques & contrôle — 4e trimestre 2015 19


LES RELATIONS ENTRE L’AUDIT INTERNE
ET LES ORGANES DIRIGEANTS
Les membres des Comités d’audit Implication pour Implication pour
en France et dans le monde… le management l’audit interne

 Une DAI en lien permanent et


1-considèrent que les groupes sont confrontés
actuellement à trois défis majeurs : l’incertitude politique
direct avec les directions
 Formuler de nouvelles attentes
et économique, la conformité aux réglementations ainsi
que la gestion des risques opérationnels. Ceci s’explique opérationnelles, juridiques &
quant au contenu de la mission conformité, DSI…
 Un renforcement des
notamment par la situation géopolitique mondiale
de l’audit interne.
 Donner à l’audit interne les
actuelle, le poids croissant des réglementations
gouvernementales et l’accélération des évolutions compétences des équipes d’audit
technologiques. moyens d’étendre son champ de interne : intégration
compétences, afin de pouvoir d’opérationnels, recrutement de
2- souhaiteraient consacrer plus de temps sur les thèmes couvrir de nouvelles natures de profils différents.
de la cyber-sécurité et sur les impacts liés aux évolutions risques.  Un recours ponctuel plus
technologiques. Ils considèrent que la qualité des important à des compétences
informations est perfectible sur les deux thèmes cités ci- techniques spécifiques
avant ainsi qu’en matière de gestion des compétences et (consultants).
des talents ou encore de croissance et d’innovation.

 Envisager de créer un « Comité  S’approprier la démarche et le


3- font face à une charge de travail qui s’accroît, ce qui
opérationnel » des risques qui processus de gestion des risques.
 Couvrir au mieux les risques
pourrait amener certains conseils à réexaminer le
travaille en amont et pour le
périmètre des travaux de supervision confiés au Comité.
compte du Comité d’audit. majeurs (opérationnels,
Plus de 50 % des membres de Comité d’audit déclarent
Certains grands groupes ont déjà financiers…) au travers du plan
qu’il leur est de plus en plus difficile de réaliser
mis ce dispositif en place avec d’audit.
 Renforcer le lien avec les autres
l’intégralité des missions qui leur sont confiées par
succès.
 Impliquer l’audit interne dans
manque de temps. Près de 30 % des répondants
lignes de défense afin de pouvoir
estiment qu’une évolution sensible du rôle du Comité
l’audit du dispositif de gestion apporter collectivement
d’audit en matière de supervision des risques est à
des risques et de la maîtrise des l’assurance souhaitée par le
attendre dans un futur proche.
dispositifs de contrôle. Comité d’audit / le management.

 Si le périmètre d’intervention de
4- expriment des attentes fortes en matière de supervision l’audit interne s’est élargi ces
de l’information financière. dernières années, il reste
L’évaluation de la performance du directeur financier et néanmoins fortement impliqué
les interactions avec le Comité d’audit sont généralement dans la revue des processus
considérées comme efficaces. De nombreux membres de d’élaboration de l’information
Comité d’audit souhaiteraient toutefois revoir certains comptable et financière tout en
sujets financiers plus en profondeur, tels l’organisation de mettant en œuvre de nouvelles
la fonction finance, la gestion des risques financiers, la techniques et outils (data
gestion de la dette et les impôts. analytics, continuous auditing /
continuous monitoring...).

 Intensifier le temps accordé aux


présentations de la stratégie :
 Un meilleur chaînage entre la
5- identifient plusieurs axes d’amélioration de l’efficacité du dans certains groupes un conseil
fonctionnement de leur Comité. spécifique et dédié à la
stratégie du groupe, les risques
Les membres de Comité d’audit estiment qu’ils seraient présentation détaillée de la
liés et le plan d’audit doit
plus efficaces, s’ils avaient une meilleure connaissance de stratégie est mis en œuvre. C’est
contribuer à renforcer l’efficacité
la stratégie et des risques de l’entreprise et si les ordres du aussi l’opportunité d’échanger sur
du Comité.
 En diversifiant ses domaines de
jour des réunions laissaient une place plus importante les risques au regard des enjeux
aux échanges. Ils plébiscitent également une plus grande stratégiques.
 Revisiter la composition des
compétences, l’audit interne sera
diversité de vue et d’expérience des membres. Enfin, ils
également en mesure d’apporter
considèrent qu’une expertise technologique au sein du Comités d’audit au regard des
une expertise plus étendue.
Comité contribuerait à le rendre plus efficace. risques majeurs de l’organisation
(faire entrer de nouvelles
compétences…).

L’intégralité de l’enquête réalisée par KPMG est consultable à l’adresse suivante www.audit-committee-institute.fr

La mission de l’audit interne et ses relations avec les dirigeants sont en amené demain à apporter une valeur ajoutée et des « conseils » liés
perpétuelle évolution pour répondre aux enjeux des organisations. Hier aux enjeux stratégiques des organisations. Cette évolution intensifiera
en apportant de l’assurance, aujourd’hui en travaillant de plus en plus les relations entre l’audit interne et les dirigeants et requerra de la part
sur les aspects de performance, l’audit interne sera certainement de celui-ci une agilité croissante. 

20 4e trimestre 2015 — audit, risques & contrôle - n° 004


LES RELATIONS ENTRE L’AUDIT INTERNE
ET LES ORGANES DIRIGEANTS

Etre à la table
© Juice Images - Fotolia.com

de la gouvernance
c’est, avant tout, être respecté par
le Comité exécutif et le Conseil
Entretien avec Phyllis J. Campbell, Chairman, Pacific Northwest

pendants dont la performance est évaluée


Au cours de l’entretien qu’elle a eu avec Dominique Vincenti, directrice de l’audit interne par leur capacité à rémunérer les actionnaires
de Nordstrom, Phillis J. Campbell a développé sa vision de l’évolution de la gouvernance au niveau attendu.
d’entreprise aux Etats-Unis tout en insistant sur le rôle attendu du Comité d’audit : poser
davantage de questions, remettre en cause les hypothèses émises sur les risques et non AR&C : Qu’attend-on du Comité d’audit ?
les accepter a priori ; challenger l’exécutif sur la management des risques. Quant à l’au-
dit interne, il doit certes mener à bien sa mission d’évaluation indépendante de la P. J. C. : Une des exigences de la loi Sarbanes
maîtrise des risques, mais il doit dans le même temps avoir un sens aigu des affaires et Oxley a été la création de Comités d’audit
reconnaître la nécessité de prise de risques pour toute l’entreprise. exclusivement composés de directeurs indé-
pendants. Non seulement cela a forcé les
Conseils d’administration à repenser leur
composition mais cela a également poussé
Revue AR&C : Comment se définit la gouver- Conseil d’administration. Le premier devoir ces même Conseils à s’affranchir, et à procla-
nance d’entreprise aux Etats-Unis ? des membres du Conseil d’administration est mer leur indépendance d’esprit et leur liberté
la loyauté vis-à-vis des actionnaires et des de pensée. Les membres du Comité d’audit
Phyllis J. Campbell : Aux Etats-Unis, la autres parties prenantes de l’organisation. (en partenariat avec les auditeurs internes et
gouvernance d’entreprise est principalement D’ailleurs, de plus en plus aux Etats-Unis, leur externes) ont maintenant créé un climat de
définie et fixée par le législateur, et le cadre engagement envers les actionnaires est « tension productive ». Par exemple, on attend
actuel émane largement des lois Sarbanes sérieusement mis à l’épreuve par des investis- du Comité d’audit qu’il pose davantage de
Oxley et plus récemment Dodd-Frank. seurs de plus en plus interventionnistes (au questions, remette en cause les hypothèses
Cependant l’attente généralement escomp- travers d’actionnaires déterminés s’infiltrant émises sur les risques (et non pas qu’il les
tée, en matière de gouvernance est l’exigence dans les Conseils d’administration) qui accepte) et challenge l’exécutif sur le mana-
de supervision du Comité exécutif par le mettent la pression sur les directeurs indé- gement de ces risques. De plus en plus, les

n° 004 — audit, risques & contrôle — 4e trimestre 2015 21


LES RELATIONS ENTRE L’AUDIT INTERNE
ET LES ORGANES DIRIGEANTS

actionnaires et autres parties prenantes (en aux risques technologiques. Ce comité exerce P. J. C. : A mon avis, le directeur de l’audit
particulier les instances de réglementation) une supervision non seulement sur la gestion interne (DAI) doit tout d’abord être une
attendent du Comité d’audit qu’il soit le des risques liés à la cyber sécurité, mais sur personne de caractère affirmé et indépen-
« régisseur» de l’organisation en leur nom. l’ensemble des risques technologiques de dante d’esprit. La contribution du Comité
l’entreprise (stratégie informatique, investisse- d’audit dépend entièrement de la capacité de
AR&C : La maîtrise des risques est un enjeu ments technologiques, etc.). cette personne à être un véritable leader.
capital pour les entreprises : S’est-il développé Deuxièmement, le DAI doit être à la fois un
aux Etats-Unis des Comités des risques AR&C : Trois grandes fonctions se sont forte- stratège et un tacticien. Il doit savoir quand et
émanation du Conseil d’administration ? ment développées ces dernières années : la comment apporter au Comité exécutif et au
conformité, la gestion des risques et l’audit Conseil d’administration des informations
P. J. C. : Il est clair que le sujet du manage- interne. Comment voyez-vous le rôle de pertinentes sur des sujets critiques. Enfin, les
ment des risques, sous toutes ses formes, s’est chacune d’entre-elles et plus particulièrement meilleurs professionnels de l’audit interne ont
propulsé à la première place de l’ordre du jour celui de l’audit interne ? un sens aigu du monde des affaires ; ils
des Conseils d’administration. Aux Etats-Unis, comprennent les rouages et conditions du
il n’est pas encore très commun d’avoir un P. J. C. : Pour répondre a cette question je succès et de la performance de leur organisa-
Comité des risques totalement dédié sauf vous dirai que je suis en parfait accord avec le tion et reconnaissent la nécessité de la prise
dans le secteur bancaire où la pratique s’est récent rapport publié par l’IIA qui rattache de risques pour toute entreprise.
généralisée. Dans ce cadre, la direction de formellement le tout dernier cadre COSO aux
l’audit interne et la direction de la gestion des trois lignes de défense et positionne l’audit AR&C : Un chapitre d’un livre récent publié
risques sont des participants actifs au sein des interne non seulement comme acteur unique par le président et CEO de l’IIA s’intitule :
deux Comités et doivent dans leur rôle de la troisième ligne défense mais aussi « Internal audit needs a seat at the table ».
respectif être capables de communiquer sans comme un interlocuteur majeur sur l’ensem- Quelles réflexions cette phrase vous inspire-t-
cesse sur les domaines et facteurs qui influen- ble du continuum : elle ?
cent le profil des risques de leur organisation.  Interlocuteur majeur de la première ligne
de défense constituée des unités opéra- P. J. C. : Avoir sa place à la table de la gouver-
Pour les entreprises industrielles et commer- tionnelles qui identifient et gèrent les nance c’est, pour le directeur de l’audit
ciales, la fonction de supervision de manage- risques à la source. interne, être avant tout respecté par le Comité
ment des risques est encore une partie  Interlocuteur majeur de la deuxième ligne exécutif et le Conseil d’administration. Il est à
intégrante de la responsabilité du Comité de défense qui voit le management s’assu- la table car il est considéré comme l’un des
d’audit. De même, les sujets relevant de la rer de l’efficacité des contrôles opération- leurs. Le rôle de l’audit interne évoluant et
conformité sont placés sous l’égide du Comité nels & financiers et de la maîtrise des devenant holistique (risques non seulement
d’audit. Dans ce contexte, l’audit interne joue risques. de conformité, opérationnels ou financiers
un rôle crucial de « sentinelle », en traquant,  Acteur unique de la troisième ligne de mais aussi stratégiques), il est crucial que la
en contrôlant et en attirant l’attention du défense, l’audit interne fournit une opinion direction de l’audit interne soit impliquée
Comité exécutif et du Conseil d’administra- indépendante et objective de l’efficacité du dans les cercles qui influencent et les discus-
tion sur les problèmes les plus importants management des risques au bénéfice du sions majeures qui forgent le devenir de l’en-
dans tous ces domaines. Conseil d’administration et des parties treprise. Le Comité d’audit de mon point de
prenantes. vue, joue un rôle majeur (bien au-delà du
Je me permets enfin d’attirer votre attention simple rattachement fonctionnel de la direc-
sur une tendance prenant de l’ampleur et Ces trois niveaux sont importants et complé- tion de l’audit interne au Comité d’audit) en
allant de pair avec notre monde de plus en mentaires. parrainant fortement la fonction et en soute-
plus connecté et influencé par la perpétuelle nant la direction de l’audit interne pour que
révolution technologique. C’est la création AR&C : Quelles sont les qualités essentielles sa voix soit entendue et respectée au sein du
fréquente, au sein des Conseils d’administra- que doit avoir, selon vous, le directeur de l’au- Comité exécutif de l’entreprise. 
tion, d’un comité dédié à la technologie et dit interne ?
© zhu difeng - Fotolia.com

22 4e trimestre 2015 — audit, risques & contrôle - n° 004


LES RELATIONS ENTRE L’AUDIT INTERNE
ET LES ORGANES DIRIGEANTS

Relations audit interne /


direction générale et
Comité d’audit
à la Caisse de dépôt et
placement du Québec
Entretien avec François Monette, Vice-
président, audit interne, Caisse de dépôt et
placement du Québec (CDPQ)

François Monette, vice- président audit interne de la Caisse de


Dépôt et Placement du Québec, a été invité à fournir son
témoignage et à mettre en lumière les enseignements à retenir
pour la fonction audit interne. Il met en relief les conditions
essentielles à remplir pour permettre à la fonction d’assurer en
toute indépendance sa mission de troisième ligne de défense,
son rôle d’alerte et de catalyseur du changement auprès des
instances de direction de l’organisation.

Farid Al Mahsani1 : Les errements financiers de ces dernières


années ont accru la pression sur les conseils d’administration. Les
membres, notamment du comité d’audit ont la responsabilité d'as-
surer l'efficacité des dispositifs de contrôle et de gestion des risques
dans leurs organisations. Ce comité est épaulé par les professionnels
de l’audit interne dans l'accomplissement de cette responsabilité.
Avec des attentes de plus en plus élevées et l'évolution des
demandes de la direction générale d’une part et du comité d’audit
de l’autre, la fonction d'audit interne doit constamment examiner si
elle est stratégiquement positionnée et structurée et si elle a les
ressources nécessaires pour répondre aux besoins de ces deux prin-
cipaux organes de gouvernance.
Pour commencer, parlez-nous brièvement de votre organisation en
précisant la place de la fonction d’audit interne dans l’organigramme.

François Monette : La CDPQ a été créée en juillet 1965, il y a exac-


tement 50 ans, par l’Assemblée nationale du Québec. Son mandat
initial était principalement de gérer l’actif de la Régie des rentes du
Québec. Au fil des ans, le mandat s'est élargi pour inclure les fonds

1
Correspondant de la Revue AR&C pour la partie Amérique

n° 004 — audit, risques & contrôle — 4e trimestre 2015 23


LES RELATIONS ENTRE L’AUDIT INTERNE
ET LES ORGANES DIRIGEANTS

d'autres régimes de retraite et d'assurance des


secteurs public et parapublic québécois. Au
30 juin 2015, l’actif net s’élevait à 240,8
milliards en dollars canadiens pour un total de
34 déposants, ce qui en fait le deuxième fonds
de pension en importance au Canada. Un
capital humain d’un peu moins de 900
personnes représente l’emploi de la CDPQ.
La CDPQ a pour mission de recevoir des
sommes en dépôt conformément à la loi et
de les gérer en recherchant le rendement
optimal du capital des déposants dans le
respect de leur politique de placement tout
en contribuant au développement écono-
mique du Québec.

Tel que stipulé par les meilleures pratiques de


gouvernance, l’audit interne de la CDPQ
relève fonctionnellement du Comité de véri-
fication, un des quatre sous-comités du
Conseil d’administration. Afin de réaliser notre
mission, nous pouvons compter sur une
équipe multifonctionnelle de 10 personnes
(incluant le chef de l’audit interne). Nous réali-
sons des missions propres au secteur de l’in-
vestissement, des services généraux et des
technologies de l’information.

F. A. : Quelles sont les principales fonctions


de l’audit interne dans votre organisation ?

F. M. : L’encadrement du contrôle interne à la


CDPQ repose essentiellement sur le concept
bien connu des trois lignes de défense. Or,
selon le mandat qui nous est confié par le
Comité de vérification, nos fonctions sont
davantage orientées à fournir au Conseil d’ad-
ministration une assurance que les risques
organisationnels sont adéquatement gérés et
que les contrôles en place sont efficaces et
efficients. Nous agissons ainsi comme troi-
sième ligne de défense. Notre planification
triennale ainsi que nos missions d’audit
interne sont axées sur les risques financiers et
opérationnels de la CDPQ et révisées annuel-
lement.

En plus des missions d’audit, nous effectuons


les tests reliés à l’environnement de contrôle
à la CDPQ ainsi que ceux propres aux
contrôles généraux en technologie de l’infor-
mation conformément au cadre COSO 2013.
Les résultats de ces tests sont, par la suite,
communiqués à la direction financière,
responsable du processus relié à l’attestation
financière annuelle.

Les autres fonctions relatives à la conformité,


aux enquêtes ou à la gestion des risques sont
assumées principalement par d’autres fonc-
tions de contrôle constituant ainsi la
deuxième ligne de défense.

24 4e trimestre 2015 — audit, risques & contrôle - n° 004


LES RELATIONS ENTRE L’AUDIT INTERNE
ET LES ORGANES DIRIGEANTS

F. A. : La MPA 100-1 des Normes internatio- permettent de faire valoir l’indépendance de mon avis, la valeur ajoutée est un concept
nales des pratiques professionnelles de l’audit notre fonction. Peu importe votre lien hiérar- bien plus subtil.
interne prévoit entre autres, les pouvoirs et les chique, je crois que ce qui est important est
responsabilités de l’audit interne. Pensez-vous que le chef de l’audit interne ait un ou des Ainsi, au-delà de la conformité, un des volets
que la charte d’audit de votre organisation véhicules pour communiquer ses messages propres à l’audit interne est de revoir les
fournit l’autorité suffisante pour que l’audit et observations à la fois au Comité de direc- processus d’affaires tout en recommandant,
interne assume ses responsabilités ? tion et au Conseil d’administration (CA). Ainsi, si requis, des changements afin d’améliorer
à la CDPQ, ces véhicules de communication l’efficience dudit processus et ainsi contribuer
F. M. : En ce qui me concerne, la charte est sont présents et me permettent d’atteindre à augmenter la performance de l’organisation.
l’outil primordial afin qu’une fonction d’audit l’audience désirée. Pour moi, la capacité d’agir en tant que cata-
interne puisse exercer ses responsabilités. En lyseur de changement est une valeur ajoutée
d’autres mots, c’est la pierre angulaire, la pièce F. A. : Est-ce que l’audit interne apporte de la fondamentalement propre à l’audit interne.
maitresse qui permet à l’audit interne d’exer- valeur ajoutée à votre organisation ? Si oui, de Au final, la valeur ajoutée apportée par l’audit
cer son rôle en toute indépendance. quelle manière ? interne passe essentiellement par la crédibilité
de la fonction ; donc par la qualité de son
Une charte dûment constituée et entérinée à F. M. : Au-delà de conduire des missions d’au- personnel et par une sélection des missions
la fois par le président directeur général et par dit interne, une des principales fonctions que d’audit interne basée sur une compréhension
le président du Comité d’audit permet non le chef de l’audit interne doit s’enquérir est des enjeux et sur une planification rigoureuse.
seulement un libre accès à l’information effectivement de communiquer le rôle et les
requise afin d’exécuter les missions d’audit, responsabilités propres à l’audit interne, qui F. A. : Si les recommandations du vérificateur
elle est aussi un outil de communication puis- trop souvent sont méconnues du reste de l’or- général ont généralement un suivi plus rigou-
sant afin de bien faire connaître les rôles et ganisation. reux au sein de l’organisation vérifiée, qu’en
responsabilités propres à l’audit interne. Ainsi, lors du mois de mai dernier, mois de est-il du suivi des recommandations de l’audit
Il est du rôle du chef de l’audit interne de s’as- l’audit interne selon l’IIA, nous avons fait une interne ? Et comment la direction générale et
surer que la charte d’audit interne est propre- campagne de sensibilisation et de communi- le Comité s’assurent-ils de ce suivi ?
ment communiquée et disponible sur cation au sein de notre fonction via une série
l’ensemble des médias propres à l’organisa- d’affiches et articles sur notre fonction et F. M. : Dans un premier temps, le suivi s’effec-
tion. notre personnel via l’intranet de l’organisation. tue davantage au niveau des plans d’action

«
À ce titre, la charte de l’audit interne de la
CDPQ a été présentée et adoptée par notre
Comité d’audit. Elle sera révisée au besoin et La charte est la pierre angulaire, la pièce
présentée pour fin d’approbation sur une maîtresse qui permet à l’audit interne d’exercer
base annuelle. Lorsque notre fonction émet
des lettres mandats, la charte de l’audit
interne y est toujours attachée. Ceci nous
permet de communiquer son existence au
son rôle en toute indépendance »
sein de notre organisation, tout en assurant la Cette campagne a non seulement démystifié rédigés par la direction concernée. Ainsi la
compréhension de notre mission. qui nous sommes, elle nous a permis de clari- direction à laquelle nous adressons nos obser-
fier notre positionnement au sein de l’organi- vations s’inspire effectivement de nos recom-
F. A. : Le responsable d’audit interne relève sation. mandations afin d’établir leur plans d’action.
généralement du Comité d’audit et adminis- Ainsi, notre reddition au Comité d’audit fait
trativement du PDG. Est-ce votre cas ? Et si Avant de parler de valeur ajoutée, j’aimerais état de l’avancement desdits plans d’action.
oui, pensez-vous que cette relation hiérar- avant tout rappeler que l’audit interne est l’un Bien que l’information présentée soit agrégée,
chique est efficace, et pourquoi ? des quatre piliers que requiert une saine les attentes du Comité d’audit sont qu’il est du
gouvernance au sein d’une organisation. Une ressort du chef de l’audit interne de faire état,
F. M. : Effectivement, je relève fonctionnelle- fois ce constat accepté de tous et si l’audit s’il y a lieu, d’enjeux particuliers reliés à l’avan-
ment du président du Comité d’audit de la interne désire être considérée comme un cement des plans d’action.
CDPQ et pour fins administratives du chef de partenaire d’affaires efficace et performant
la direction financière, et non du PDG. par l’organisation, il doit également se soucier Pour ce qui est de la direction générale, lors
En effet, selon une récente étude faite sur ce d’ajouter une valeur au reste de l’organisation. de la rencontre de clôture des diverses
sujet en 2014, 75 % des chefs d’audit interne Depuis mon arrivée à la CDPQ, nous avons missions d’audit, elle est automatiquement
relèvent fonctionnellement du président du instauré un sondage de satisfaction suite aux avisée de la reddition faite auprès du Comité
Comité d’audit et tout près de 50 %, du chef missions réalisées et capturons les commen- d’audit envers les plans d’actions soumis.
de la direction financière pour des considéra- taires de la direction. Nous suivons également
tions administratives. Selon cette même la réalisation des plans d’action et faisons F. A. : Est-ce que la performance de l’audit
étude, il n’y aurait que 30 % des chefs d’audit reddition au Comité de vérification de tous interne est évaluée par les deux organes de
interne qui relèvent du PDG pour fins admi- ces indicateurs. gouvernance ? Quels changements apporte-
nistratives. riez-vous à l’audit interne, le cas échéant ?
Cependant, je tiens à dire que la valeur ajou-
Or, dans l’état actuel des faits, j’estime que mes tée que peut apporter une fonction telle que F. M. : Avant mon arrivée, l’audit interne de la
liens hiérarchiques sont adéquats et me l’audit interne va au-delà des indicateurs. À CDPQ a fait l’objet d’une évaluation externe

n° 004 — audit, risques & contrôle — 4e trimestre 2015 25


LES RELATIONS ENTRE L’AUDIT INTERNE
ET LES ORGANES DIRIGEANTS

de qualité. De cette revue, plusieurs recom- Finalement, cette analyse des principaux F. A. : À votre avis, quels sont les défis de l’au-
mandations furent mises en avant et nous risques est un apport capital pour notre plani- dit interne dans votre organisation afin de
sommes en train de les mettre en œuvre. fication annuelle. Bien que nous ayons maintenir sa position stratégique (indépen-
Depuis la dernière année, nous avons fait déposé un plan triennal l’an dernier, nous dance vis-à-vis des opérations et objectivité)
plusieurs changements au niveau de notre ferons une mise à niveau annuellement. et son rayonnement dans l’organisation (par
approche, structure organisationnelle, planifi- exemple, en menant des missions de
cation, reddition et coordination auprès des Cette collaboration avec la deuxième ligne de conseil) ?
autres fonctions de contrôle de deuxième défense n’affecte en rien notre indépendance.
niveau. Nous travaillons également sur des Tel que prévu en 2016, l’audit interne de la F. M. : Le métier de gestionnaire d’actifs est
opportunités d’amélioration telles que : mise CDPQ assumera son rôle de 3ème ligne de très particulier et spécifique. On référence
à jour des gabarits, formalisation d’un défense lors de la mission prévue sur la souvent ce métier comme étant un métier
programme de veille informationnelle, plan gouvernance des risques, tel que dicté par les d’experts.
de communication, revue de la méthodolo- normes de performance 2100. Or, pour une fonction telle que l’audit interne,
gie, et amélioration du programme reliés aux notre défi principal est davantage relié à l’in-
analyses de données (data analytics). F. A. : De nos jours, le cyber risque affecte fluence que nous pouvons avoir sur les opéra-
toutes les organisations à cause de la perfor- tions, étant donné le niveau de nos
F. A. : Le Conseil d'administration avec la mance grandissante des pirates informatiques connaissances propres au domaine audité,
direction générale sont chargés de détermi- qui exploitent toute défaillance des systèmes pour ainsi proposer des recommandations
ner la nature et l'ampleur des risques impor- des technologies de l’information et ciblent crédibles afin d’ajouter de la valeur à l’organi-
tants qu'ils sont prêts à prendre dans la les organisations les moins protégées. En plus sation. Comme ce domaine en est un de très
réalisation des objectifs stratégiques de la de causer des pertes financières, ces attaques spécialisé, nous faisons fréquemment appel à
Caisse de dépôt et de placement. Les deux infligent des dommages inestimables à la des experts externes pour fins d’assistance.
organes devraient maintenir une gestion réputation d’une organisation. Comment l’au- L’audit interne demeure en contrôle de la
saine des risques et des systèmes de contrôle dit interne aide votre organisation à se proté- mission d’audit, de la relation client jusqu’à
interne. Quel rôle joue l’audit interne dans le ger des cybers risques ? l’émission du rapport. Cependant il peut
processus de gestion des risques de la CDPQ ? compter sur une expérience externe qui sera
F. M. : Il est évident que le cyber risque en est profitable aux opérations.
F. M. : À la CDPQ, la gestion des risques est un de premier ordre et ce, pour la majorité des Afin d’assurer son rayonnement et sa position
assumée par la direction des risques, une organisations. Lorsque notre fonction a stratégique, l’audit interne doit être présent
fonction de deuxième ligne jouant un rôle présenté son plan d’audit interne au début de sur le terrain. IL doit se doter de moyens afin
déterminant. Elle a pris son envol lors de la
crise financière de 2008. À ce jour, cette
équipe compte environ 45 personnes et le
premier vice-président relève directement du
président et chef de la direction. La direction
« L’audit interne doit rester branché sur l’évolution
de l’organisation, sur les initiatives en cours…
des risques assume non seulement une
gouvernance de haut niveau mais elle est
également présente au sein des différentes
classes d’actifs et est partie prenante des déci-
et être à l’affût des tendances »
sions d’investissements. cette année, ce risque fut débattu par l’équipe de rester branchée sur l’évolution de l’organi-
de la haute direction. Il en est résulté une sation, sur les initiatives en cours, parler le
Elle est, entre autres, responsable de la carto- présentation des actions de mitigation entre- même langage et être à l’affut des tendances.
graphie des risques financiers et opération- prises par l’équipe TI et d’une présentation L’audit interne doit également servir d’agent
nels. À ce titre, il existe également deux faite au Comité de direction par un expert de formation et d’information auprès des
sous-comités de direction distincts qui externe dans ce domaine. Il est également administrateurs. Afin d’obtenir l’adhésion
chapeautent d’un côté les risques financiers prévu de faire appel à un consultant externe recherchée, l’audit interne doit également
et de l’autre, les risques opérationnels. afin de réaliser un mandat sur nos actions de faire preuve d’introspection et oser proposer
mitigation et maturité vis-à-vis de ce risque. de nouvelles missions pour ainsi se renouveler
La direction des risques est extrêmement Du côté de l’audit interne, concernant le et éviter de sombrer dans le statu quo.
sollicitée lors de la rédaction des plans straté- cyber risque, en plus de réaliser des tests sur
giques. Il est de sa responsabilité d’analyser les contrôles généraux en technologies de Finalement et ce, de façon globale, je crois
divers scénarios qui assureront le ratio rende- l’information (CGTI) pour fin d’attestation que l’audit interne atteindra son plein poten-
ment / risque espéré et attendu. financière, nous avons participé cette année tiel stratégique lorsque les organisations
Ainsi, lors de la revue annuelle de la cartogra- aux exercices de relève technologique. Nous seront moins sensibles aux cotations asso-
phie des risques, l’audit interne participe à participerons également aux tests d’intrusion ciées aux divers rapports émis par l’audit
une série d’entrevues coordonnées par la annuels planifiés par l’équipe TI et nous ferons interne et focaliseront davantage leur atten-
gestion des risques. Par la suite, l’audit interne une mission sur la gestion des certificats de tion sur les débats et les changements mis en
participe également à la rédaction et la prio- sécurité. D’autres activités similaires sont avant à la suite des diverses observations
risation des risques. planifiées en 2016 et 2017. soulevées. 

26 4e trimestre 2015 — audit, risques & contrôle - n° 004


ÉVÉNEMENTS

Sous les projecteurs


U
ne longue période de croissance efficace – et ainsi confirmer sa position comme Richard Chambers, président et directeur
faible, voire nulle, une réglementa- troisième ligne de défense. « Il va sans dire que général de l’IIA Global, a rappelé l’importance
tion en expansion et une pression la fonction de l'audit interne assume un rôle vital pour les DAI de concevoir des stratégies pour
plus forte des actionnaires et de la et prépondérant, puisqu'il est responsable de l'exa- aligner leurs activités sur les attentes des
société sur les entreprises ont placé les audi- men indépendant des deux premières lignes de parties prenantes pendant cette période de
teurs internes sous les projecteurs, comme défense », a-t-elle affirmé « et de la promotion changements rapides. « Les auditeurs internes
l'ont entendu les participants de la Conférence proactive des meilleures pratiques au sein de l'or- doivent apporter un regard éclairé sur la qualité
annuelle de la Confédération européenne des ganisation en adressant les principales déficiences de la gestion de l’entreprise », a-t-il précisé. Il a
Instituts d'audit interne (ECIIA) réunis cette identifiées à l'organe de direction et en deman- expliqué que la direction avait souvent besoin
année à Paris, du 20 au 22 septembre. dant des mesures correctives rapides. » Daniele que l'audit interne agisse comme un partenaire
Nouy a souhaité apaiser les craintes selon au sein de la société, alors que les administra-
« Il est important que l'audit interne soit sous les lesquelles on en viendrait à considérer l'audit teurs et les régulateurs exigeaient prioritaire-
projecteurs et impératif qu'il ait les moyens d’y interne comme un prolongement de l'orga- ment l'indépendance de la fonction – une
rester», a déclaré Henrik Stein, le nouveau prési- nisme de réglementation, plutôt que comme situation qui nécessite que l’audit interne sensi-
dent élu de l’ECIIA aux plus de 800 profession- un fournisseur d'assurance indépendant à l'en- bilise les parties prenantes sur ses capacités et
nels de l’audit présents. Il a souligné qu'une treprise. Elle a expliqué que le superviseur son rôle. Bien que les réunions formelles avec
série de réformes concernant la réglementa- bancaire européen avait à cœur de soutenir les parties prenantes restent un volet essentiel
tion et les exigences de reporting à travers l'audit interne et à s'assurer qu'il était correcte- du travail de l'audit interne, Richard Chambers
l'Europe ont rendu le rôle et les responsabilités ment positionné et doté de ressources suffi- a encouragé les auditeurs internes à échanger
de l'audit interne plus cruciaux que jamais. Ces santes. « Plus que jamais, une fonction d'audit de manière informelle avec ces dernières afin
évolutions comprennent notamment la mise interne solide et efficace, possédant les compé- de favoriser le recueil de leurs attentes et
en place du Mécanisme de supervision unique tences permettant d'identifier les faiblesses de préoccupations : « Le recul, un regard éclairé et
(MSU) dans le secteur des services financiers de maitrise des risques et ayant l'indépendance et une capacité à anticiper doivent faire partie du
l’eurozone, de nouvelles obligations pour l'autorité de remplir son rôle, est essentielle pour portefeuille de compétences de l’audit interne ».
publier des informations non financières, ou le assurer que l'organe de direction s'acquitte
déploiement d’un marché unique numérique adéquatement de ses responsabilités », a-t-elle Au sein d’un groupe largement décentralisé,
européen. « Ces éléments auront un impact ajouté en précisant que « les auditeurs internes l'audit interne peut agir comme le ciment
considérable sur la façon dont nous travaillons en sontun allié traditionnel de l'organisme de régle- permettant le maintien d’une seule et même
tant qu'auditeurs internes », a-t-il poursuivi. mentation prudentielle. » stratégie. « Je considère l'audit interne comme un
« Le contrôle et l'audit internes sont au cœur d'une vecteur de la stratégie du groupe permettant de
gestion saine, en particulier pour les institutions Impact vérifier que tout fonctionne correctement dans
de crédit dans des systèmes financiers avancés », notre groupe très décentralisé », explique
a déclaré Danièle Nouy, présidente du Conseil Au cours d’un atelier, Ernesto Martinez Gomez, François Pérol, président du directoire de BPCE.
de surveillance du MSU. Elle a expliqué que ce directeur adjoint de l’audit interne du Groupe Sans un audit interne fort, a-t-il poursuivi, l'en-
mécanisme avait concentré son attention sur Santander, a examiné l'impact du MSU sur les treprise prendrait le risque de déployer diffé-
les contrôles et la gouvernance internes des activités de l'audit interne et a réservé un rentes stratégies dans ses différentes entités. Il
institutions de crédits, deux sujets particulière- accueil prudent à la façon dont s'est passée sa a ainsi déclaré consacrer personnellement
ment critiques. Ces évolutions renforcent le première année d'existence : « Il donne à l’audit beaucoup de temps à l’audit interne : « je passe
rôle essentiel donné à l’audit interne pour s'as- interne des responsabilités dont il lui appartient souvent plusieurs heures à écouter les conclusions
surer que le cadre de gouvernance global est d’être à la hauteur des défis que cela représente ». d'audit directement des auditeurs internes, et cela

n° 004 — audit, risques & contrôle — 4e trimestre 2015 27


ÉVÉNEMENTS

m'est très utile […] Chaque rapport d'audit est dans la technologie ou la formation du person- déclaré que l'armée française avait élargi en
accompagné d'une lettre de ma part adressée à nel. JLBeffa a également souligné que la crise 2011 le rôle de l'audit interne pour répondre
l'unité responsable des plans d’actions. » Le financière avait érodé la confiance dans le aux enjeux des différentes évolutions qu'elle
modèle des trois lignes de maitrise est inesti- modèle anglo-saxon du capitalisme et qu'au- engageait. L'audit interne est ainsi devenu un
mable pour apporter à l'audit interne le niveau jourd'hui, des alternatives venant d'Allemagne, outil essentiel pour aider l’armée à atteindre ses
d'indépendance adéquat, a-t-il poursuivi. Les de Suède et de Suisse, qui reposent davantage objectifs stratégiques. Il a résumé les aspira-
conclusions de l'audit, ascendantes depuis les sur la participation du personnel au niveau du tions de nombreuses parties prenantes et des
entités opérationnelles, complètent ainsi la Conseil d’administration, attirent de plus en auditeurs internes lorsqu'il a conclu : « pour moi,
vision descendante de la direction générale. plus l'attention. l'audit interne est une assurance pour le présent et
une aide considérable pour l'avenir ».
Apprendre de son expérience Sur ce thème, José Angel Gurria, secrétaire
général de l'OCDE, a déclaré que la crise avait Au cours d’une table ronde, Yolaine de
« Au cours des cinq premières années de mon également entraîné une perte de confiance Courson, directrice de l'audit interne et des
mandat en tant que président-directeur général, croissante dans les institutions de la part d'un risques du Groupe La Poste, et Jonathan
je n'ai pas accordé suffisamment d'importance à public inquiet du niveau de corruption, réel ou Blackmore, associé Ernst & Young, ont souligné
l'audit interne », a déclaré Jean-Louis Beffa, prési- perçu, au sein des entreprises. Il a affirmé que, deux évolutions clés pour l’audit interne. D’une
dent d'honneur de Saint-Gobain et senior advi- bien que le renforcement du contrôle interne part « l’analyse de données, principale source d’in-
sor de Lazard Frères. « Mais j'ai appris de mon représentait l'un des outils clés dans la lutte novation pour faire progresser l’audit interne »,
expérience que l'audit interne est essentiel ». Il a contre la corruption dans les pays et les entre- d’autre part « l’élaboration d’un plan d’audit
précisé que pour qu'un audit interne soit effi- prises, l'audit interne jouait un rôle central pour pluriannuel, intégrant les services internes et
cace, il devait avoir une longueur d'avance sur éliminer ces pratiques. externes réalisant des missions d’assurance ».
le reste de la société pour ce qui est de la
compréhension de ses activités et des Une véritable révolution Prendre des risques
menaces auxquelles elle est confrontée.
« L'audit interne doit avoir un niveau très élevé de M Gurria a présenté les nouvelles règles sur la Ari Vatanen, champion du monde de rallye, a
confiance et d'influence », a-t-il affirmé. JL Beffa production de rapports « pays par pays » – insisté sur l’importance de la prise de risque
a expliqué qu'il était crucial que l'audit interne selon lesquelles les entreprises doivent stipuler pour avancer, tout en soulignant le « besoin
comprenne la nature changeante du monde expressément dans quel pays leurs profits sont d’un regard indépendant pour voir plus loin », un
des affaires, objectif qui doit évidemment générés – comme « une véritable révolution ». rôle pour l’audit interne ?
mobiliser le PDG. Le monde a déjà changé : « Cela obligera les multinationales à divulguer où En clôture, Farid Aractingi, président de l’IFACI,
après une domination des États-Unis et de elles déploient leurs actifs », a-t-il dit, ce qui vice-président de l’ECIIA, a fixé l’ambition de
l'Europe le capitalisme est devenu mondial. améliorera la transparence et ouvrira la voie aux l’audit interne pour une « performance dura-
D'autres modèles de capitalisme émergent entreprises pour regagner la confiance du ble ». 
désormais de la Chine et du Japon et ces public.
visions gagnent du terrain partout dans le Pierre de Villiers, chef d’état-major des armées Source : Newsletter ECIIA – Octobre 2015 –
monde, en particulier lorsqu'il s'agit d’investir au Ministère de la Défense a d’autre part Arthur Piper

28 4e trimestre 2015 — audit, risques & contrôle - n° 004


LIBRES PROPOS

L’internationalisation
de la compliance
à l’américaine
© BillionPhotos.com - Fotolia.com

Ibrahim Warde, Consultant et professeur contrats. Parmi les entreprises qui de l’économie mondialisée. Dans
associé d’affaires internationales, Fletcher ont dû s’acquitter d’amendes un système qui a créé autant
School of Law and Diplomacy, Université conséquentes, citons Alstom d’opportunités que de zones
Tufts (Medford, Massachusetts) (772 millions de dollars en 2014) d’ombre, les Etats-Unis donnent
ou l’allemand Siemens (800 le « la », quitte à remettre en
millions de dollars en 2008). cause des principes établis du
droit international, comme ceux
Il suffit d’un lien, même ténu, de la souveraineté et de l’autono-
avec les Etats-Unis pour que la mie de l’état. Ainsi, au cours des
justice américaine s’estime années 1990, l’arsenal de sanc-
compétente. Dans l’affaire BNP tions mis en place durant la
De plus en plus souvent, la justice américaine entame des pour- Paribas, les transactions illicites guerre froide à l’encontre de pays
suites et sanctionne des entités étrangères pour des infractions étaient libellées en dollars. Il suffit et d’individus « ennemis des
commises hors du territoire américain. Dans cet article, Ibrahim également de détenir un compte Etats-Unis » – et dont le principe
Warde analyse avec clarté le cheminement habile mis en place aux Etats-Unis, voire même remonte au Trading With the
et conduisant à des pénalités très lourdes pour les entreprises. d’avoir des mails qui transitent Enemy Act de 1917 – s’est consi-
Une réorganisation radicale du système de compliance sera par un serveur basé aux Etats- dérablement enrichi.
Unis, pour tomber sous le coup L’extraterritorialité a franchi un
requise, à l’avenir.
de la justice américaine. Dès la fin pas en 1996, avec l’Iran-Libya
des années 1980, alors que le Sanctions Act (ILSA), qui permet-
débat sur le déclin américain – tait à Washington d’imposer des
face à la montée du Japon, en sanctions à des entreprises de

L
e feuilleton des irrégulari- verser 8,9 milliards de dollars au particulier – faisait rage, la polito- pays tiers en affaires avec l’Iran et
tés financières de la FIFA a Trésor américain pour avoir logue britannique Susan Strange la Libye.
mis en relief un phéno- enfreint, à travers sa filiale suisse, insistait sur le « pouvoir structu-
mène nouveau dans les les embargos imposés par les rel » des Etats-Unis, « ce pouvoir de Mais c’est surtout au lendemain
pratiques judiciaires internatio- Etats-Unis à Cuba, à l’Iran et au déterminer les cadres de l’économie du 11 septembre qu’un vaste
nales : c’est la justice américaine Soudan. De même, au cours des mondiale qui a permis de choisir et système de surveillance finan-
qui désormais entame les pour- dernières années, plusieurs multi- de modeler les structures au sein cière a vu le jour. La loi USA
suites et sanctionne des entités nationales européennes sont desquelles les autres pays, leurs PATRIOT (Uniting and Streng-
étrangères pour des infractions tombées dans les filets du Foreign institutions politiques, leurs entre- thening America by Providing
commises hors du territoire Corrupt Practices Act (FCPA), une prises et leurs professionnels Appropriate Tools Required to
américain. Quelques exemples loi de 1977 qui interdit de doivent opérer ». Intercept and Obstruct Terrorism),
récents : En juin 2014, la banque soudoyer des dirigeants de pays votée à la suite des attentats
BNP Paribas était condamnée à tiers en vue d’engranger des Ainsi fonctionne la gouvernance accordait à l’exécutif américain de

n° 004 — audit, risques & contrôle — 4e trimestre 2015 29


LIBRES PROPOS

De même, les lois relatives à la Les grandes banques euro-


L’ART ET LA MANIERE DE CALCULER UNE AMENDE corruption des agents publics péennes ont toutes, ou presque,
ont débuté avec le Foreign eu maille à partir avec les régula-
Les lecteurs de Lucky Luke, la célèbre bande dessinée signée
Corrupt Practices Act (FCPA) teurs américains, au niveau fédé-
Goscinny et Morris, connaissent sans doute le juge Roy Bean, dont
les méthodes expéditives et peu orthodoxes – mélange de légalisme, évoqué plus haut. Votée en 1977 ral comme à celui des Etats, qu’il
de moralisme et de rapacité – font partie des légendes du Far West dans la foulée du scandale du s’agisse d’affaires de ruptures
(Le Juge, 1959). Lorsqu'il découvrit un jour le cadavre d'un inconnu Watergate, son effet ne fut pas d’embargo ou de blanchiment,
qui n’avait sur lui qu’un revolver et 41,50 dollars, le juge confisqua immédiat. A l’époque, le principe ou dans le cas des banques
l’arme et condamna le mort à une amende de 41,50 dollars pour port des pots-de-vin était toléré ; dans suisses, d’aide à la fraude fiscale.
d'arme illégal... de nombreux pays, de tels paie- Le système de « justice négo-
ments étaient même déductibles ciée » – avec ses « deferred prose-
La banque BNP Paribas a fait sa propre expérience des impondéra-
bles de la justice américaine. Poursuivie pour avoir enfreint l’embargo des impôts. La législation améri- cution agreements » (DPA) et
américain, elle avait d’abord provisionné 1,1 milliard de dollars. Après caine a néanmoins inspiré la autres « non-prosecution agree-
de longues et pénibles négociations, la facture s’élevait à 8,9 milliards. Convention de l'OCDE de 1997, ments » (NPA) – n’a plus de secret
ainsi que la Convention de 2000 pour ceux qui en ont fait, à leurs
Le montant des amendes est rarement basé sur un barème précis. de l'ONU sur la corruption. dépens, l’expérience. Plutôt que
La banque a négocié avec plusieurs agences gouvernementales, au Certains pays, dont le Royaume de se voir trainées devant les
niveau fédéral (ministères de la justice, du trésor, etc.), ainsi que de
Uni avec son UK Bribery Act de tribunaux, les entreprises en
l’Etat de New York, qui ont estimé que la banque, mal conseillée, était
« non coopérative ». Et c’est justement le directeur du département 2010, ont adopté des dispositions infraction acceptent le principe
des services financiers de l’Etat de New York, Benjamin Lawsky, qui plus sévères encore que celles de du compromis avec les régula-
fit monter les enchères. Brandissant la menace du non-renouvelle- la législation américaine. teurs : en échange d’une enquête
ment de la licence de la banque, et se voulant le chantre de sanctions interne très fouillée, effectuée à
plus « créatives », il a exigé « que des têtes tombent ». Toutes ces législations compren- leurs propres frais, et à l’issue de
nent généralement deux volets. laquelle les entreprises promet-
Le décalage entre les réalités politiques et la règlementation finan-
Le premier, on l’a vu, consiste à tent de tout révéler, une amende
cière est frappant. En effet, pendant que la BNP Paribas s’acquitte de
son amende, le gouvernement américain normalise ses relations punir les comportements illicites. conséquente (cf. encadré) leur
avec Cuba et l’Iran. Le second impose que l’entre- sera imposée en lieu et place de
prise dispose de contrôles poursuites judiciaires. Une réor-
internes exhaustifs en vue d’em- ganisation du système de
pêcher de tels actes. Les entre- compliance et des promesses de
nouvelles prérogatives. Le carac- dans le cadre de la « guerre prises doivent donc revoir de réforme radicale, sous la surveil-
tère global du terrorisme justifiait contre la drogue », les Etats-Unis fond en comble leur système de lance d’un « monitor » (contrôleur
la surveillance planétaire des flux devenaient le premier pays à compliance (ou conformité) en externe) et pour une période à
financiers. Nouvel aspect du criminaliser le blanchiment d’ar- fonction de normes aussi déterminer, seront également
« privilège exorbitant » dont gent. Cette loi se situait dans la complexes que changeantes. Le requises. On ne sera pas surpris
parlait autrefois le général de tradition de législations destinées processus s’est amplifié au lende- d’apprendre que le Royaume Uni
Gaulle, toutes les transactions en à lutter contre le crime organisé main de la crise financière de a introduit un système de justice
dollars, même lorsqu’elles n’inter- (Racketeer Influenced and Corrupt 2007-2008. Après plus d’une négocié en 2014, et que d’autres
venaient pas sur le territoire des Organization Act ou RICO de décennie au cours de laquelle les pays envisagent d’en faire de
Etats-Unis, tombaient spécifique- 1970) et de législations contrai- régulateurs étaient eux-mêmes même. 
ment sous le coup du droit gnant les institutions financières pénétrés d’une idéologie de
américain. Les pouvoirs du à surveiller leurs clients (Bank laisser-faire, les régulateurs, en
Bureau de contrôle des avoirs Secrecy Act de 1970). Trois ans réponse à un nouveau climat

« politique, ont recommencé à Ibrahim Warde est consultant


sévir. Armés de nouveaux et professeur associé d’af-
Les grandes banques européennes ont pouvoirs grâce à la loi Dodd- faires internationales à la
toutes, ou presque, eu maille à partir Fletcher School of Law and
Frank, votée en 2010, ils mettent
Diplomacy, à l’université Tufts
avec les régulateurs américains au
»
les bouchées doubles. Au sein (Medford, Massachusetts).
des entreprises, les lanceurs Il est diplômé de l’Ecole des
niveau fédéral comme à celui des Etats d’alerte (whistleblowers) sont Hautes Etudes Commerciales
encouragés à dénoncer les infra- et titulaire d’un doctorat en
étrangers (Office of Foreign Assets plus tard, le GAFI (groupe d’ac- ctions, en échange d’une sciences politiques de l’uni-
Control, OFAC), chargé, au sein du tion financière) voyait le jour à compensation financière et de la versité de Berkeley.
département du Trésor, de la Paris au sein de l’OCDE garantie de conserver leur Il est l’auteur de Mythologies
bonne application des sanctions, (Organisation de coopération et emploi. On comprend mieux, américaines (Le Félin), Le
n’ont cessé de croître. de développement écono- dans ces conditions, la montée modèle anglo-saxon en
miques), dans le but d’internatio- en puissance des départements question (Economica),
Les mécanismes de transmission naliser la criminalisation du de conformité réglementaire Islamic Finance in the Global
des normes sont connus : entre blanchiment. Depuis, la crimina- (compliance), qui imposent une Economy (Edinburgh
University Press), et
diktat et mimétisme, les lois et lisation du blanchiment s’est vigilance de tous les instants afin
Propagande impériale et
pratiques américaines sont inter- répandue dans toutes les juridic- de s’assurer que la loi est scrupu- guerre financière contre le
nationalisées à travers des orga- tions. leusement respectée. terrorisme (Agone).
nismes internationaux. En 1986,

30 4e trimestre 2015 — audit, risques & contrôle - n° 004


BONNES PRATIQUES

Un NOUVEAU référentiel
pour une NOUVELLE ère
Jane Seago, Rédactrice spécialiste du monde des affaires, Tulsa, Oklahoma

C
a y est. Voici le fondement, la mission qu'est l'audit interne, alors que la mission tion. Ainsi, Anton van Wyk, associé chez
de la profession d’audit interne reflète ce que la profession s'attache à accom- Pricewaterhouse Coopers LLP et président
récemment approuvée par l'IIA, clé plir. Et cette distinction, qui tient en quelques sortant du Conseil d’administration de l'IIA
de voûte de la toute nouvelle mots, sous-tend le projet de modification et Global, explique que « le rôle de l'audit interne et
mouture du Cadre de Référence International des d'amélioration du CRIPP. la nature des risques ont radicalement changé
Pratiques Professionnelles (CRIPP) d’audit interne. depuis la dernière révision du CRIPP en 1999. Nos
Pourquoi une refonte ? lignes directrices doivent répondre aux nouvelles
« J'apprécie la définition de l'audit interne de l'IIA ; exigences de la profession et aider les auditeurs à
elle est très évocatrice, bien formulée, et partie inté- L'impulsion de ce projet vient de différents diri- se montrer courageux et proactifs ».
grante du CRIPP – mais nous souhaitions ajouter geants de l'IIA qui constataient les nombreux
quelque chose d'un peu plus succinct » explique changements que les autorités de régulation Angela Witzany, responsable de l'audit interne
Bob Hirth, président du COSO (Committee of financière provoquaient dans l'activité des chez Sparkassen Versicherung AG, VIG, à
Sponsoring Organizations of the Treadway auditeurs internes. Ces changements, qui sont Vienne, et vice-présidente du Conseil d'admi-
Commission) et senior managing director chez loin de s’arrêter, révélaient une pression accrue nistration de l'IIA, partage le même avis. « Nous
Protiviti, qui a présidé le groupe de travail sur les Conseils les amenant à s'intéresser de le savions, pour que notre profession continue à
Relook Task Force (RTF). « Cela n'ôte rien à la défi- plus près au rôle significatif de l'audit interne rester pertinente, l'heure était venue de concrétiser
nition, tout en nous offrant un point d'ancrage dans la bonne gouvernance. ce projet. Les attentes accrues des parties
dans l'exercice quotidien de nos responsabilités ». prenantes, associées à l'évolution du rôle de l'audit
Si la prise de conscience de ces évolutions a interne, nous contraignaient à passer à l'action. »
La définition de la profession, composante de servi de déclencheur, d'autres facteurs plai-
longue date du CRIPP, met l'accent sur ce daient également en faveur d'une restructura- Les professionnels étaient également en faveur

n° 004 — audit, risques & contrôle — 4e trimestre 2015 31


BONNES PRATIQUES

d'une révision du cadre de référence. Une


enquête auprès des auditeurs internes de 90 PRINCIPES FONDAMENTAUX POUR LA PRATIQUE PROFESSIONNELLE
pays montre que 85 % des répondants étaient DE L’AUDIT INTERNE

 Faire preuve d'intégrité.


« favorables» ou « totalement favorables » aux
changements proposés. Fort de ce soutien et
des nombreuses suggestions recueillies, le  Faire preuve de compétence et de conscience professionnelle.
groupe de travail et les permanents de l'Institut  Être objectif et libre de toute influence indue (indépendant)
 Être en phase avec la stratégie, les objectifs et les risques de l'organisation.
ont revu les propositions issues de la consulta-

 Etre positionné de manière appropriée et disposer des ressources adéquates.


tion publique. Cette nouvelle mouture a été
soumise au Conseil d’administration de l’IIA
Global, qui l’a approuvée en mars 2015. La  Démontrer la qualité de l’audit interne et son amélioration continue.
feuille de route pour l'amélioration du CRIPP  Communiquer de manière efficace.
 Fournir une assurance fondée sur une approche par les risques.
était tracée.

Dispositions obligatoires,  Être perspicace, proactif et orienté vers le futur.


principes fondamentaux  Encourager le progrès au sein de l’organisation.

Le nouveau CRIPP comporte toujours deux


types de dispositions. Les dispositions dites
obligatoires restent inchangées ; en revanche, Selon Jenitha John, membre du groupe de Dispositions recommandées
les dispositions fortement recommandées travail et responsable de l'audit interne chez
deviennent des dispositions recommandées. Fist Rand Bank à Johannesburg, les principes Les dispositions recommandées du cadre de
jouent un rôle important en orientant l'audit référence ont également subi des modifica-
Les dispositions obligatoires continuent d'in- interne au sein de l'entreprise. « Le positionne- tions. Elles sont désormais constituées de trois
clure les Normes internationales pour la pratique ment de l'audit interne dans une organisation est composantes distinctes.
professionnelle de l'audit interne (les Normes), la essentiel pour obtenir le respect et la crédibilité que
définition de l'audit interne et le Code de déon- la fonction mérite, » assure-t-elle. « Si les diri- Lignes directrices de mise en œuvre
tologie. Elles intègrent toutefois une nouvelle geants sont convaincus de l'utilité de notre Les modalités pratiques d'application vont
composante : les principes fondamentaux pour mission, cette conviction se propagera à tous les évoluer au cours des 18 mois à venir pour lais-
la pratique professionnelle de l'audit interne. niveaux. » Elle rappelle par ailleurs, conformé- ser place à des guides de mise en œuvre, cette
Prenant acte de cet ajout, le Standards Board de ment aux principes, que l'audit interne doit nouvelle dénomination illustrant leur vocation :
l'IIA mène une analyse d’écarts afin de savoir s'il démontrer que son approche est en phase guider les auditeurs internes dans l'application
convient de créer de nouvelles normes ou de avec les objectifs de l'organisation, et concen- des Normes. À terme, chaque norme pourra
les modifier pour mieux étayer chaque prin- trer ses efforts sur les risques les plus significa- être étayée par un guide de mise en œuvre.
cipe. tifs pour celle-ci. « Notre pertinence se mesure à Jenitha John explique que les modifications
notre capacité à faire face et à répondre aux apportées à la dénomination et au contenu
Dans l'ensemble, les principes constituent attentes des parties prenantes », ajoute-t-elle. répondent à « une volonté d'améliorer les orien-
peut-être la nouveauté la plus évidente du tations pour garantir des pratiques d'audit interne
CRIPP. Les membres du groupe de travail se Les principes mettent également en exergue plus homogènes à travers le monde. L'expression
sont accordés sur l'importance vitale d'une la valeur stratégique de l'audit interne pour « guide de mise en œuvre » est plus explicite et
formulation claire et concise. l'entreprise. Béatrice Ki-Zerbo, directrice de la renforce la standardisation et l'harmonisation de
recherche à l'IFACI (IIA – France) et membre du notre vision en tant que profession d'envergure
Évoquant les trois premiers principes, Bob Hirth groupe de travail RTF, ajoute : « Ces principes mondiale. »
rappelle la conviction du groupe de travail étaient implicites dans le cadre de référence exis-
selon laquelle l'excellence d'un individu profite tant. Ils soulignent ce qui distingue l'audit interne, Chaque guide de mise en œuvre décrira les
en définitive à tous. « Naturellement, chacun doit son rôle spécifique dans une dynamique qui lui activités nécessaires pour appliquer la norme
bien comprendre que nous sommes fermement permet d’anticiper les attentes légitimes des visée, abordera la mise en œuvre proprement
et résolument attachés à l'intégrité, à la compé- organes de gouvernance parce qu’il fait partie dite (les approches et problématiques à pren-
tence et à l'indépendance – tous éléments garants intégrante de l'organisation et de son écosys- dre en considération) et formulera des sugges-
de notre efficacité », précise-t-il. Mais s'agissant tème. » tions pour assurer la conformité à l'issue de la
d'intégrité et d'indépendance, poursuit Bob mise en œuvre. À titre d'exemple, dans les
Hirth, les auditeurs internes peuvent parfois Si les principes sont le socle des Normes et des nouvelles orientations relatives au gouverne-
être obligés de refuser une intervention sur un autres composantes du CRIPP dans l'orienta- ment d’entreprise – Ligne directrice de mise en
domaine à haut risque, ou une modification tion et la structuration de la profession, ils se œuvre 2110 : Gouvernement d’entreprise – la
indue voire une omission d’un constat d’audit. révèlent également très utiles pour toucher des section « Préalables » suggère de se reporter au
« Nous devons rester fermes et ne pas dévier de publics externes. « Les membres de Comités d'au- glossaire des Normes et aux cadres et modèles
notre ligne de conduite, » affirme-t-il. « Les prin- dit ne liront pas le CRIPP », fait remarquer Debi de gouvernement d’entreprise afin de se fami-
cipes nous sont d'un grand secours pour travailler Roth, Director Standards and Guidance à l'IIA. liariser avec le concept et les processus clas-
avec efficacité et, pour peu que nous les appli- « Les principes et la mission permettent de siques de gouvernement d’entreprise ; la
quions, d'une manière adaptée à chaque organi- communiquer brièvement aux parties prenantes section afférente à la mise en œuvre évoque
sation, cette efficacité perdurera. » ce que l'audit interne cherche à réaliser. » les différents rôles que les auditeurs internes
peuvent avoir dans l’évaluation et l’améliora-

32 4e trimestre 2015 — audit, risques & contrôle - n° 004


BONNES PRATIQUES

tion des pratiques de gouvernement d’entre- de l'IIA, , convient que les professionnels ont doivent s'attendre à « la publication régulière de
prise; et la dernière section, relative à la confor- longtemps cherché à définir l'audit interne et nouvelles normes ou de normes révisées pour
mité aux Normes, décrit les différents moyens à décrire son apport de façon succincte. Les étayer les principes, ainsi qu'à la parution trimes-
de démontrer cette conformité. éléments du nouveau CRIPP que sont la trielle de nouveaux guides de mise en œuvre pour
mission et les principes contribueront à clarifier remplacer les modalités pratiques d'application
Lignes directrices complémentaires le rôle de l'audit interne auprès des membres existantes. » Les modalités pratiques d'applica-
Les guides pratiques et GTAG (Guides pratiques de Conseils d’administration, des cadres diri- tion actuelles demeurent valides et applicables
d’audit des systèmes d’information) devien- geants et des opérationnels. jusqu'à la publication d'un guide de mise en
nent des lignes directrices complémentaires. œuvre les remplaçant. Autres nouveautés
Ces dernières ont une vocation par essence Richard Chambers, président et CEO de l'IIA, annoncées : des guides dédiés, aux systèmes
plus spécifique que les autres composantes. décrit les bénéfices obtenus en termes d’exé- d'information et aux services financiers.
Elles traitent de thèmes d'actualité et de ques- cution et de perception des missions. « Pour
tions sectorielles, et proposent également des exercer avec efficacité leurs responsabilités, les Bob Hirth se félicite du travail accompli
processus et des procédures détaillés. « Ces auditeurs internes doivent s'appuyer sur les jusqu'ici, tout en soulignant l'état d'esprit qui a
lignes directrices vont contribuer à renforcer la normes qui encadrent la profession et être sûrs animé les acteurs du projet. « Ce qui est fonda-
confiance dans l'audit interne », estime Béatrice qu'elles reflètent les pratiques existantes », mentalement important dans cette amélioration
Ki-Zerbo. Pour illustrer leur importance, elle explique-t-il. « Les améliorations apportées au du CRIPP, c'est que l'IIA a demandé au groupe de
compare l'entreprise à un navire aux prises CRIPP visent à renforcer la position de l'audit travail de bousculer le statu quo, et ce sans fixer de
avec une mer agitée : « Les décideurs sont interne comme partenaire clé du succès de l'orga- limites », explique-t-il. Toute profession dési-
comme des capitaines pris dans une tempête. Ils nisation. » reuse de perdurer doit être prête à se remettre
ont besoin d'informations fiables et précises. Les en question et à évoluer. Elle ne peut soustraire
approches globales sont utiles pour acquérir de Prochaines étapes ses principes les plus fondamentaux à un
bons réflexes, mais seule une analyse approfondie examen régulier ; ni hésiter à évoluer le cas
apporte un éclairage concret – ce que permet- La mission et les principes sont entrés en échéant. Le nouveau CRIPP vise à offrir aux
tront les lignes directrices complémentaires. » vigueur au mois de juillet 2015, et deux professionnels de l'audit interne les outils dont
nouveaux guides de mise en œuvre – Guide ils ont besoin pour «accroître et préserver la
Prises de position de mise en œuvre 1000 : Mission, pouvoirs et valeur de l'organisation » dans un contexte en
L'IIA continuera à publier des prises de position responsabilités ; et Guide de mise en œuvre perpétuelle mutation. 
– qui facilitent l'appréhension des enjeux de 2110 : Gouvernement d’entreprise – ont été
gouvernement d’entreprise, de gestion des publiés. Les membres de l'IIA peuvent les
risques ou de contrôle interne par l'audit consulter gratuitement via le site Web de Cet article est extrait de l'édition d'août 2015
interne –, mais elles ne feront plus partie du l'Institut. du magazine Internal Auditor publié par
CRIPP. Cette décision s'explique par le fait que l'Institute of Internal Auditors, Inc., qui en a
les prises de position s'adressent davantage Progressivement, de nouvelles publications et autorisé la traduction et la réédition.
aux parties prenantes qu'aux professionnels de modifications paraîtront à intervalles réguliers. www.theiia.org
l'audit interne – d'où leur suppression du CRIPP. Hal Garyn explique que les professionnels
Les prises de position existantes seront revues
afin d’en extraire des éléments qui viendront
enrichir les lignes directrices ou de promouvoir
la profession avec des documents hors CRIPP.

Un outil optimisé

Quel est l'intérêt de ces améliorations pour les


professionnels de l'audit interne ? Bob Hirth
cite plusieurs exemples. « La mission nous
guidera au quotidien, les principes fondamentaux
apporteront la souplesse exigée par la diversité des
activités d'audit interne à travers le monde, et la
refonte du contenu fournira des orientations en
fonction des besoins », explique-t-il.

Les membres du groupe de travail s'accordent


à penser que le nouveau CRIPP sera particuliè-
rement utile pour expliquer ce qu'est l'audit
interne et ce qu'il fait pour l'organisation. « J'ai
été auditeur interne pendant 20 ans et, chaque
fois que j'évoquais mon métier, chacun s'attendait
à ce que je lui parle de ses impôts », plaisante Bob
Hirth.

Hal Garyn, vice-président Professional Practices

n° 004 — audit, risques & contrôle — 4e trimestre 2015 33


BONNES PRATIQUES

Le jour où le directeur

© Brian Jackson - Fotolia.com


général a demandé :
« Sommes-nous confortables avec notre
Plan de Continuité d’Activité (PCA) ? »
Clotilde Marchetti, Directeur en charge de le dispositif de réponse à une pandémie ou à un séisme de magnitude
l’offre risques extrêmes, Grant Thornton 7 dès lors que, par exemple, le chiffre d’affaires sera stabilisé, que les
équipes auront intégré la nouvelle organisation qui les mobilise tant
ou que la prochaine migration informatique sera pleinement abou-
tie...

Face à cette soudaine inquiétude, plusieurs hypothèses s’offrent donc


Eric Caspers, Vice-Président, antenne Nord à vous. Peut-être le conseil d’administration a-t-il enjoint au directeur
Picardie IFACI général de lui donner des garanties sur le dispositif de protection en
place. Peut-être pense-t-il pouvoir rassurer les collaborateurs sur la
capacité de reprise de l’entreprise. Ou peut-être craint-il de ne pas
remporter un marché stratégique dans le cadre d’un appel à consul-
tations qui exigerait des fournisseurs pressentis de ne pas s’exonérer
de la force majeure…
Yves Levant, Directeur Master Spécialisé
Audit Contrôle de Gestion système Qu’ils soient stratégiques, opérationnels ou concurrentiels, ces enjeux
d'Information, SKEMA – Campus Lille sont structurants dans les organisations actuelles. Ils justifient la mise
en œuvre d’un Plan de continuité d’activité (PCA). Dans certains
secteurs d’activité, le législateur impose d’ailleurs des procédures d’ur-
gence destinées à pérenniser l’activité dans des circonstances excep-
tionnelles. Ne pas avoir de PCA constitue alors un risque de
non-conformité à une obligation réglementaire.

U
n beau matin, le directeur général entre dans votre bureau et Pour autant, de quoi s’agit-il ? Le dispositif de continuité constitue, pour
pose la question fatidique : « Dites-moi, sommes-nous confor- reprendre la définition parue au Journal Officiel n°0256 du 5 novembre
tables avec notre PCA » ? 2014, un « ensemble de mesures visant à assurer, selon divers scénarios de
Pourquoi tout à coup cette préoccupation ? Il est vrai que depuis des crise, y compris face à des chocs extrêmes, le maintien, le cas échéant, de
années, la cartographie des risques de l’entreprise mettait en exergue façon temporaire selon un mode dégradé, des prestations de services ou
l’absence de maîtrise associée à ces événements à très faible proba- d'autres tâches opérationnelles essentielles ou importantes de l'entreprise
bilité mais aux impacts dévastateurs. assujettie, puis la reprise planifiée des activités ».
Pour autant et malgré les recommandations réitérées de l’audit
interne, les dirigeants rappelaient que l’entreprise avait parfaitement Et c’est sans doute dans cette notion de « choc extrême » que réside
su, du moins jusqu’à présent, éviter les catastrophes naturelles et toute la difficulté de bien appréhender le dispositif. Le PCA n’a pas
autres crises technologiques. Et qu’il sera toujours temps d’organiser vocation à gérer les incidents du quotidien ou la « bobologie » que

34 4e trimestre 2015 — audit, risques & contrôle - n° 004


BONNES PRATIQUES

de transversalité. On observe de telles réac-


LA CONTINUITÉ D’ACTIVITÉ : VISION PARTAGÉE ENTRE L’ENTREPRISE, LES GRANDES tions face à des démarches projet PCA qui se
ÉCOLES ET LES CABINETS DE CONSEIL sont limitées à identifier des modes de fonc-
tionnement dégradé des métiers sans se réfé-
Les procédures de gestion de crise, les plans de continuité d’activité (PCA), les plans de rer aux bonnes pratiques (voir encadré). Le
secours informatique (PSI) sont devenus des thématiques saillantes dans les programmes directeur des opérations propose : « Nous
en audit et en management des risques des Grandes Ecoles et Universités. Ces sujets visent avons l’habitude de travailler avec un effectif
à accroître la sensibilisation des étudiants qui deviendront, ensuite, les promoteurs avertis nominal de 10. Face à un événement majeur,
de ces dispositifs au sein de leurs entreprises et de leur mise en situation à travers des exer- nous pourrons tolérer de faire les tâches prio-
cices de crise. ritaires du processus à 5 ou 6 en mode
dégradé ». Cette option reste palliative. Elle
n’est pas acceptable dans la durée. Et elle ne
sauront traiter les opérationnels à condition constitue pas pour autant une réelle solution
de faire preuve de sang-froid et de coordina- Face à de telles interrogations, considérons de continuité qui engagerait la contribution
tion. Non, le PCA reste et doit demeurer face quelles sont les marges de manœuvre de l’au- d’autres services en personnels de renfort ou
à des événements d’ampleur, un dispositif dit interne… en positions de travail sur un site de repli.
d’exception qui justifie une organisation et
des solutions « extra » ordinaires. « Je ne suis pas confortable… car On comprend que les contextes « silos »
Aussi, concernant la question de savoir je ne dispose pas de la visibilité conduisent assez inévitablement à s’affranchir
« Sommes-nous confortables avec le PCA ? », nécessaire sur le PCA » d’une validation décisionnelle car ces modes
vous disposez en tant que directeur de l’audit dégradés sont usités par les métiers dans leurs
interne, d’une grille de lecture à 3 niveaux Ce témoignage est de plus en plus répandu. champs d’intervention respectifs. Pas besoin
pour comprendre l’état d’esprit de votre diri- Le manque de visibilité qu’exprime le diri- en effet, dans ces conditions, de qualifier les
geant : geant peut résulter en premier lieu d’une compétences complémentaires ou de recen-
 Votre directeur général exprime en premier inflation documentaire. Dans « Le PCA n’est ser les places disponibles dans les autres
lieu son inquiétude de n’avoir qu’une visi- pas visible », entendez plutôt : « Le PCA n’est services. A l’inverse, dès lors qu’on identifie des
bilité qu’il estime limitée sur le dispositif. pas lisible ». Le management ne parvient pas solutions de continuité originales et suscepti-
Il estime par exemple ne pas avoir été suffi- à identifier quelles sont les procédures qui le bles d’être mutualisées entre différentes enti-
samment sollicité pour effectuer des arbi- concerne et dans quelle mesure son interven- tés ou différentes implantations, la direction
trages décisionnels, en particulier sur les tion directe sera activée. générale est nécessairement partie prenante
aspects financiers liés aux solutions de Cette « invisibilité » peut traduire en second des arbitrages stratégiques relatifs au PCA.
continuité. Pour le directeur général, se lieu un dispositif engagé sous un angle stric-
pose la question de savoir comment a été tement technique. C’est le cas des entreprises Face à ce défaut de visibilité constaté par le
dimensionné le périmètre d’application du technologiques ; entreprises pour lesquelles directeur général, que peut faire le directeur
PCA qui lui fait craindre un effet « silo ». la continuité s’impose en tant que système de de l’audit interne ?
 Deuxième cas de figure, le dirigeant a bel reprise applicative ou d’infrastructure. Face à Procéder à un audit du projet PCA lui permet-
et bien validé les livrables clés du PCA. Il un sinistre majeur, le dirigeant n’a, dans ces tra d’évaluer le périmètre d’application du
s’interroge cependant sur le réel niveau conditions, même pas à qualifier et à déclen- dispositif et la nature des solutions de conti-
d’avancement du dispositif : la complé- cher en cellule de crise son PCA : les équipes nuité identifiées. Cette analyse est en fait à
tude du plan, voire la compétence des informatiques le font d’elles-mêmes selon des rapporter au regard de la cartographie des
personnes qui en ont la charge... Cette chronogrammes techniques définis. Cette risques à sa disposition. En clair, un PCA qui
posture « d’inconfort » laisse ici davantage situation comme la précédente sont remédia- prévoit le repli des collaborateurs dans un bâti-
entrevoir un doute sur la maturité du PCA bles : il suffit de réintégrer un peu de repor- ment voisin du siège peut sembler pertinent
ou sur la qualité de la gestion de projet, ting vers l’échelon décisionnel mais surtout de « sur le papier ». Or si l’on sait que l’entreprise
notamment au regard de pratiques recon- développer de la pédagogie autour du qui fait en question se situe à proximité d’un aéroport
nues de réalisation de ces dispositifs. quoi. et sous un couloir aérien, le risque de chute
 Enfin, dernier cas de figure, le dirigeant a d’avions ne saurait être écarté. Il implique d’en-
été destinataire des reportings et il qualifie Parfois ce qu’expriment les dirigeants comme gager un repli distant plus organisé. C’est par
le PCA de complet. Il pose pour autant la un manque de visibilité peut traduire un conséquent l’analyse des risques qui permet
question de son efficacité. Cette dernière symptôme plus préoccupant. Celui du défaut de confirmer cette approche.
posture relève d’une inquiétude plus
fondamentale. Le directeur général met en
cause le caractère opérationnel du disposi- Les bonnes pratiques en matière de conduite de projet PCA
tif et donc son utilité réelle face à des recommandent d’impliquer les dirigeants dans le cadre des comités de pilotage
événements majeurs. Il craint de devoir Les validations attendues portent a minima sur les jalons suivants :
 Arbitrage sur le dimensionnement des scénarios d’indisponibilité des ressources qui quali-
improviser sur le moment. De voir ses
équipes et son management déstabilisés
fient la couverture des risques.
 Arbitrage sur la liste des processus critiques de l’entreprise qui constitue le périmètre des
par un plan qui, au final, n’apporte rien. Ce
dernier cas de figure traduit un manque de
activités à protéger.
 Arbitrage sur la stratégie de continuité déployée, au regard des coûts inhérents et des
confiance dans la nature même des solu-
tions apportées à la crise et dans le niveau
délais de reprise.
d’appropriation des acteurs.

n° 004 — audit, risques & contrôle — 4e trimestre 2015 35


BONNES PRATIQUES

« Je ne suis pas confortable… car maintenance en conditions opérationnelles « Je ne suis pas confortable…
il me semble que notre PCA n’est pilotées par le Corporate au niveau des direc- car je doute du caractère
pas abouti » tions et de ses filiales. Le plan présentait donc opérationnel du PCA dans la
tout un ensemble de garanties : de la docu- crise »
En corollaire de son absence de visibilité, le mentation fournie, des tests successifs… Or
directeur général peut également exprimer ici des investigations plus approfondies ont Dernières illustrations des possibles réserves
ses réserves à l’encontre de la maturité du démontré que la maturité affichée ne coïnci- du directeur général. Celui-ci n’a jamais vu le
PCA. La documentation est-elle complète ? En dait pas avec le niveau réel d’avancement du PCA activé en situation d’urgence. Il se perd
quoi le dispositif est-il finalisé ? Sur quoi repo- dispositif. Parce que les solutions de conti- dans la documentation opérationnelle. Il ne
sent ces procédures ? Faut-il intégrer la nuité n’avaient jamais été mises en œuvre, voit pas le lien entre les différentes procé-
conduite du changement ? On a franchi ici un parce que les procédures n’étaient pas forma- dures. Il ne comprend pas l’attribution des
nouveau seuil. Dans cette situation, il est lisées partout ni selon les mêmes niveaux de rôles.
probable que le management a pris granularité. Et aussi parce qu’un test d’évacua- Le directeur de l’audit interne peut là encore
conscience de la faible maturité du dispositif tion incendie ne peut en aucun cas constituer apporter des réponses suite aux tests ponc-
au regard d’un « PCA type », souvent externe. un test de repli utilisateurs PCA. tuels menés dans le cadre des investigations
Dès lors, il attend une mise à niveau du dispo- La bonne pratique consiste donc à définir les de l’audit : s’assurer que l’annuaire de crise est
sitif de l’entreprise par rapport à ce fameux exigences d’un PCA cible pour l’ensemble des à jour, que les équipements de la salle de crise
PCA cible. entités d’une entreprise. Faire appel aux sont bien en état de fonctionnement, que le
normes ISO (voir encadré) est un moyen de se volume des places réservées au site sinistré
Dans ce cas de figure, le directeur de l’audit donner des ambitions fortes dans la est bien adapté à la capacité d’accueil du site
interne est fondé à diligenter un audit de démarche et dans la pérennisation du dispo- de repli…
maturité en veillant à bien définir le niveau de sitif. Cela permet également de limiter les Pour autant, seule une simulation globale et
sensibilité du référentiel d’audit mis en œuvre. écueils des disparités géographiques, grâce à grandeur réelle permettra d’éprouver concrè-
Par le passé, nous avons eu à auditer un PCA un référentiel reconnu universel. tement les délais de reprise et la capacité du
finalisé et faisant l’objet d’actions répétées de management à gérer l’évènement. Cela signi-
fie pouvoir tester le dispositif d’alerte, la coor-
dination des directions métier et support, la
ISO 22301 – SYSTÈME DE MANAGEMENT DE LA CONTINUITÉ D’ACTIVITÉ : capacité des utilisateurs à retravailler dans un
UN DISPOSITIF CIBLE ? nouvel environnement… Pour être efficace,
l’exercice devra être joué dans des conditions
ISO 22301 est une norme de système de management de la continuité d’activité qui peut proches de la réalité. Il est associé à un retour
être utilisée par des organisations de toutes tailles et de tous types. Le plan de continuité d’expérience dont les conclusions, sous forme
s’inscrit dans un cycle d’amélioration continue, caractérisé par des revues, des tests mais de recommandations, précisent les actions
également des audits. Son ambition lui permet d’assurer l’intégration avec différentes d’amélioration.
normes préexistantes telles que, par exemple, ISO 9001 (qualité), ISO 14001 (environnement) Cette mise en situation du « pire cauchemar »
et ISO/CEI 27001 (sécurité de l’information). Son article 5 « Leadership » vise plus spécifique- de votre directeur général permettra de le
réconcilier définitivement avec le PCA de l’en-
treprise. 
ment le rôle de la gouvernance en matière de continuité d’activité.

36 4e trimestre 2015 — audit, risques & contrôle - n° 004


ACTUALITÉ

EN BREF
L'audit des grands projets : quelles évolutions ?  la compréhension approfondie et la conformité aux Normes ;
 la capacité à analyser et à créer des opportunités ;
L’IIA Netherlands vient de publier les résultats d’une enquête sur  l’obtention de certifications professionnelles ;
l’audit des grands projets réalisée à travers 43 pays et impliquant  l’engagement dans des activités de recherche et d’enseignement ;
plus de 2000 projets.  le développement de son réseau professionnel et la participation
Ces résultats s’articulent autour de 4 grands thèmes :
 L’univers d’audit qui se doit de s’adapter à l’augmentation du
à des conférences ;
 des interventions sur la valeur de l’audit interne ;
nombre de projets et à leur complexité accrue.  l’implication dans la vie de son association professionnelle ;
 La planification des missions qui doit intervenir au bon moment.  des donations à des programmes de formation et de recherche.
 Le rôle des auditeurs aux différentes phases d’un projet.
 Les compétences et les méthodes nécessaires à l’audit de projet. Pour plus d’information :
 http://www.ifaci.com/bibliotheque/bibliotheque-en-ligne-telechar-
Pour plus d’information :
 http://www.iia.nl/actualiteit/nieuws?Lang=nl-NL&newsId
ger-la-documentation-professionnelle/enquetes-154.html
 https://iaonline.theiia.org
=1809.html
Le « mardi noir » de Volkswagen : Le péché
Conférence ECIIA 2015 : Danièle Nouy se par ignorance est-il encore audible ?
prononce sur le rôle clé et les enjeux de l'audit L’integrated reporting n’est évidemment ni la panacée ni la solution
interne miracle qui permettrait aux entreprises de vivre dans le monde
Lors de la conférence européenne d’audit interne, organisée à Paris imaginaire du zéro risque. Tout de même la revue du séisme qui
les 21 et 22 septembre derniers par l’IFACI et l’ECIIA (European touche le constructeur automobile, à l’aune des concepts et des
Confederation of Institutes of Internal Auditing), Danièle Nouy (prési- principes proposés par l’IIRC, interpelle. N’est-ce pas la preuve que
dente du Comité de supervision du mécanisme de supervision l’ère où l’on pouvait prendre à la légère les parties prenantes, détour-
unique à la Banque centrale européenne) a présenté les change- ner les dispositifs de contrôle, ignorer les principes élémentaires de
ments intervenus avec le Mécanisme de Supervision Unique, les bonne gouvernance et de transparence est derrière nous ?
modifications à venir et l’impact pour l’audit interne. Elle a notam- Au-delà de l’impact d’image c’est bien la valeur boursière et la
ment évoqué des enjeux tels que : confiance des investisseurs qui en jeu. C’est dans ce type de circons-
 l’indépendance au sein de l’organisation ; tances que l’approche holistique et intégrée de la gestion des
 les ressources et les compétences ; risques prend tout son intérêt.
 le suivi des recommandations ;
 le dialogue avec les organes de supervision.
Pour plus d’information :
 http://www.lesechos.fr/industrie-services/automobile/021347008594
Pour plus d’information : -le-mardi-noir-de-volkswagen-symbole-du-made-in-germany-
 https://www.bankingsupervision.europa.eu/press/speeches/date 1158336.php
/2015/html/se150922.en.html  http://www.ifaci.com/recherche/les-productions-de-la-recherche/
reporting-integre-388.html

Enquête mondiale CBOK 2015 auprès des parties La FCA - Financial Conduct Authority
prenantes de l'audit interne britannique souhaite encourager le
Une enquête d’envergure mondiale a été lancée par l’IIA (Institute of développement du whistleblowing
Internal Auditors) par le biais de sa fondation de la recherche dans le
La FCA fixe de nouvelles règles en matière de whistleblowing dans
but de recueillir les attentes des parties prenantes de l’audit interne
le secteur financier. Selon le régulateur, ces règles ont pour but d'en-
(administrateurs, directions générales, directions financières…).
courager une culture dans laquelle les comportement inadéquats
Les résultats de ce volet du CBOK (Common Body Of Knowledge)
seront publiés en juillet 2016, et visent à renforcer l’efficacité et la peuvent être dénoncés. La FCA et la Réglementation Prudentielle
valeur ajoutée de l’audit interne, en phase avec les besoins des de la Banque d'Angleterre ont aussi proposé des normes renforçant
instances de gouvernance et les objectifs des organisations. les contrôles pour les banques lors des recrutements.
Pour plus d’information :
Investissez dans votre excellence  http://www.bbc.com/news/business-34452197
Larry Harrington, président de l’IIA, invite les auditeurs internes à  http://www.reuters.com/article/2015/10/06/britain-banks-regula-
investir dans leurs compétences pour renforcer leur crédibilité et tions-idUSL8N12613020151006
accroitre leur valeur. Il cite 8 compétences incontournables :

n° 004 — audit, risques & contrôle — 4e trimestre 2015 37


ACTUALITÉ

Les régulateurs européens envisagent


de réglementer le Big Data PUBLICATIONS
L'EBA, l'ESMA et l'EIOPA examinent l'utilisation du big data par les
banquiers et les assureurs. Ils disent vouloir vérifier l'adéquation Perspectives
des cadres réglementaires et identifier le besoin de nouvelles
européennes du CBOK
mesures de surveillance.
Pour plus d’information :
 http://www.reuters.com/article/2015/10/05/us-eu-regulators- Le CBOK (Common Body of
bigdata-idUSKCN0RZ14020151005#Cir5efIVqUqbfD39.97 Knowledge) est la plus grande
 http://www.cio.com/article/2989045/big-data/banks-use-of-big- étude sur l'audit interne. Elle est
data-to-be-scrutinzed-by-eu-regulators.html réalisée par la Fondation de la
Recherche de l’IIA (IIARF) qui
La volatilité des marchés est révélatrice de publie un rapport spécifique sur
la rapidité de la propagation des risques
les enjeux de la profession en
Christine Lagarde, directrice générale du Fonds Monétaire Europe, commenté par des
International, a récemment déclaré que la volatilité des marchés responsables de l’audit interne.
montre avec quelle rapidité les risques peuvent se propager. « Ce
Articulé autour de 3 sections, ce rapport offre des pistes d’amé-
qui a été démontré ces dernières semaines, c'est à quel point l'Asie est
lioration pour l’audit interne :
 Jouer un rôle clé ;
au cœur de l'économie mondiale et à quel point les perturbations
d'un marché asiatique peuvent véritablement s'étendre au reste du
monde », a-t-elle indiqué. Elle a également précisé que la crois-  Combler l'écart par rapport aux attentes ;
sance mondiale ne serait probablement pas aussi forte qu'on  Investir dans l'excellence.
avait pu l'annoncer.
Pour plus d’information : Perspectives européennes du CBOK fait partie d’une série de
 http://www.reuters.com/article/2015/09/02/imf-economy- rapports prévus par l’IIA. Pour découvrir ce document, et les
idUSL4N1181OL20150902 autres rapports du CBOK, rendez-vous sur le site de l’IFACI.
 http://www.theguardian.com/business/2015/sep/01/imf-chief-
warns-of-slower-growth-after-china-shockwaves  http://www.ifaci.com/recherche/les-productions-de-la-
 http://www.wsj.com/articles/lagarde-says-volatility-puts-asias- recherche/le-cbok-406.html
growth-leadership-at-risk-1441096702
Au-delà des chiffres :
Lloyd's of London considère que les
le rôle de l'audit
cyberattaques font partie des plus gros
risques auxquels les villes sont confrontées interne en matière de
reporting extra-
De nos jours, la plupart des villes sont confrontées à des risques financier
de cyberattaques qui sont plus graves pour l'économie qu'un
tremblement de terre, explique Lloyd's of London. Cette compa-
gnie d'assurances s'est appuyée sur les données du Centre Cette publication de l'IIA fait
d'étude des risques de l'Université de Cambridge pour examiner partie de la série Perspectives
les effets potentiels des catastrophes sur le produit intérieur brut Internationales. Elle vise à
de 301 villes, en classant les cyberattaques parmi les trois apporter un éclairage sur le
premières menaces pour le PIB mondial, avec les krachs boursiers
développement du reporting
et les pannes d'électricité.
extra-financier et sur le rôle de
Pour plus d’information :
 http://www.insurancejournal.com/news/national/2015/09/04/
l'audit interne à cet égard.
380802.htm En effet, afin de satisfaire des parties prenantes toujours plus
 http://www.oregonlive.com/business/index.ssf/2015/09/forget_ exigeantes, les organisations se doivent de fournir des informa-
the_big_one_earthquake.html tions de qualité qui vont au-delà des aspects financiers.
Vous trouverez dans cette publication la position de l'IIA sur le
Une ressource essentielle sur le sujet des sujet et une description des implications pour l'audit interne ainsi
risques que les éléments à prendre en compte pour la réussite des
La liste la plus complète et la plus actualisée des ressources de missions liées au reporting extra-financier ou plus globalement
l'IIA contre les risques (conseils, partage des connaissances, publi- au reporting intégré.
cations, certifications, formation, événements, et plus encore).
Pour plus d’information :  http://www.ifaci.com/Bibliotheque/Bibliotheque-en-ligne-tele-
 https://global.theiia.org/standards-guidance/topics/Pages/Risk- charger-la-documentation-professionnelle/Enquetes-154.html
Resource-Exchange.aspx

38 4e trimestre 2015 — audit, risques & contrôle - n° 004


Calendrier 2016
Tarifs Tarifs non
S E SS I O N S Durée janv. févr. mars avril mai juin juillet sept. oct. nov. déc.
adhérents adhérents
SE FORMER À LA MAÎTRISE DES RISQUES ET AU CONTRÔLE INTERNE
S’initier à la maîtrise des risques et 30/06-
2j 970 € 1 150 € 13-14 8-9 10-11 7-8 11-12 1-2 6-7 3-4 9-10 1-2
au contrôle interne 01/07
Réaliser une cartographie des risques 3j 1 675 € 1 875 € 18-20 10-12 16-18 11-13 17-19 8-10 4-6 12-14 5-7 14-16 5-7
Elaborer le référentiel de maitrise des risques 2j 1 200 € 1 350 € 21-22 15-16 22-23 14-15 24-25 14-15 7-8 15-16 10-11 17-18 8-9
Piloter et faite vivre le dispositif de maîtrise des
risques et de contrôle interne 2 j 1 200 € 1 350 € 25-26 17-18 24-25 18-19 30-31 16-17 12-13 22-23 12-13 22-23 14-15
ATELIER - Mise en œuvre du COSO NOUVEAU 1j 700 € 785 € 19 20 11 19 24
Le contrôle interne des systèmes d’information 2j 1 200 € 1 350 € 27-28 29-30 22-23 20-21
Maîtrise des activités, contrôle interne
et communication 2j 1 200 € 1 350 € 24-25 26-27 18-19 12-13
Utiliser les outils du contrôle interne NOUVEAU 2j 1 200 € 1 350 € 21-22 20-21 20-21 28-29
SE FORMER À L’AUDIT INTERNE
Les fondamentaux de l’audit interne
30/06-
S’initier à l’audit interne 2j 970 € 1 150 € 11-12 2-3 3-4 4-5 9-10 2-3 5-6 3-4 3-4 1-2
- 20% pour un participant inscrit

01/07
simultanément à 4 formations

Conduire une mission d’audit interne :


la méthodologie 3j 1 710 € 1 850 € 13-15 8-10 8-10 6-8 11-13 7-9 4-6 7-9 5-7 8-10 5-7
Maîtriser les outils et les techniques de l’audit 3j 1 660 € 1 810 € 18-20 15-17 14-16 11-13 17-19 13-15 11-13 12-14 10-12 14-16 12-14
Maîtriser les situations de communication orale
de l’auditeur 2 j 1 120 € 1 230 € 21-22 18-19 17-18 19-20 23-24 16-17 11-12 15-16 13-14 17-18 8-9
Réussir les écrits de la mission d’audit 2j 1 120 € 1 230 € 25-26 11-12 21-22 21-22 30-31 20-21 7-8 19-20 17-18 21-22 15-16
Exploiter les états financiers pour préparer 3 j 1 550 € 1 710 € 27-29 23-25 25-27 21-23 23-25
une mission d’audit
Désacraliser les systèmes d’information 3j 1 550 € 1 710 € 29-31 27-29 26-28 5-7
Détecter et prévenir les fraudes 2j 1 120 € 1 230 € 22-23 14-15 22-23 29-30 19-20 1-2
Written Deliverables of the Audit Process NOUVEAU 2j 1 120 € 1 230 € 26-27 4-5 17-18
Le management
Piloter un service d’audit interne 2j 1 325 € 1 450 € 15-16 6-7 10-11
Manager une équipe d’auditeurs au cours 1 j 700 € 770 € 14 6 21
d’une mission
Balanced Scorecard du service d’audit interne 1j 700 € 770 € 11 30
Le suivi des recommandations 1j 700 € 770 € 20 13 4 14
Préparer l’évaluation externe du service
d’audit interne 2 j 1 325 € 1 450 € 8-9 9-10 15-16
L’audit interne, acteur de la gouvernance 1j 700 € 770 € 1 3
Acteurs de l’assurance et du contrôle NOUVEAU 1j 700 € 770 € 29 13 19
Audit de la gouvernance NOUVEAU 1 j 700 € 770 € 30 20 10
du système d’information
Audit interne, contrôle interne et qualité : 1j 700 € 770 € 25 10
les synergies
Les audits spécifiques
Audit du Management de la Continuité d’Activités 2j 1 325 € 1 480 € 4-5 20-21 13-14
Audit de performance de la fonction NOUVEAU 2 j 1 325 € 1 480 € 26-27 29-30
Ressources Humaines
Audit de la fonction Achats 2j 1 325 € 1 480 € 18-19 19-20
Audit des Contrats 1j 700 € 785 € 23 25
Audit de la fonction Contrôle de Gestion 2j 1 325 € 1 480 € 17-18 24-25
Audit de la Sécurité des Systèmes d’Information 2j 1 325 € 1 480 € 7-8 28-29
Audit des Processus Informatisés 2j 1 325 € 1 480 € 4-5 28-29
Audit de la Conformité à la Législation Sociale 2j 1 325 € 1 480 € 18-19 5-6
Audit du Développement Durable 2j 1 325 € 1 480 € 25-26 11-12
Audit des Projets et Investissements 2j 1 325 € 1 480 € 21-22 7-8
Connaître et utiliser ISO 9001-2015 NOUVEAU 1j 700 € 785 € 21 1 9
Connaître et utiliser ISO 31000 NOUVEAU 1j 700 € 785 € 10 13 21
Evaluer le reporting financier NOUVEAU 2j 1 325 € 1 480 € 26-27 15-16
Evaluer le reporting non financier NOUVEAU 2j 1 325 € 1 480 € 29-30 23-24
Se préparer à un contrôle fiscal NOUVEAU 1 j 700 € 785 € 13 28 16
informatisé
SE FORMER DANS LE SECTEUR PUBLIC
Audit et contrôle des marchés publics NOUVEAU 2j 1 325 € 1 480 € 14-15 6-7 7-8
La gestion des risques dans le secteur NOUVEAU 2 j 1 325 € 1 480 € 23-24 6-7 11-12
public
SE FORMER DANS LE SECTEUR BANCAIRE ET FINANCIER
S’approprier l’arrêté du 3/11/2014 NOUVEAU 1j 700 € 785 € 18 10 14
relatif au contrôle interne bancaire
Maîtriser la comptabilité et le contrôle NOUVEAU 2j 1 325 € 1 480 € 4-5 14-15 3-4
de gestion bancaires pour auditer
Auditer un dispositif LCB-FT NOUVEAU 2j 1 325 € 1 480 € 19-20 21-22 26-27
Auditer la conformité en banque NOUVEAU 2j 1 325 € 1 480 € 21-22 17-18 17-18
SE FORMER DANS LE SECTEUR DES ASSURANCES
Adapter le contrôle interne à Solvabilité II NOUVEAU 2j 1 325 € 1 480 € 25-26 12-13 20-21 9-10
Auditer les délégations de gestion NOUVEAU 2 j 1 325 € 1 480 € 8-9 5-6 6-7
en assurances
Audit des prestations liées
NOUVEAU 1j 700 € 785 € 12 30 28
aux contrats d’assurance
SE FORMER DANS LES SECTEURS INDUSTRIE ET COMMERCE
Audit de la gestion des stocks et de la logistique 2j 1 325 € 1 480 € 1-2 4-5
Audit du processus de ventes 2j 1 325 € 1 480 € 18-19 17-18
ACQUÉRIR UNE CERTIFICATION
Préparation au CIA - Partie 1 2j 970 € 1 150 € 9-10 8-9 8-9 5-6
Préparation au CIA - Partie 2 2j 970 € 1 150 € 15-16 14-15 13-14 7-8
Préparation au CIA - Partie 3-1 NOUVEAU 2j 970 € 1 150 € 22-23 22-23 22-23 12-13
Préparation au CIA - Partie 3-2 NOUVEAU 2j 970 € 1 150 € 30-31 27-28 26-27 15-16
Préparation au CRMA 2j 970 € 1 150 € Dates sur notre site internet : www.ifaci.com

IFACI Formation - Tél. : 01 40 08 48 08 - Mel : formation@ifaci.com - Retrouvez également le programme complet sur le site internet www.ifaci.com