Académique Documents
Professionnel Documents
Culture Documents
IFACI Revue 215
IFACI Revue 215
Dans l’actualité
Teva, Ansaldo, Spanghero :
comment auditer les risques de
produits non-conformes ?
International
La contribution de l’audit à la
bonne gouvernance du secteur
public : réflexions issues d’une
table ronde
Fiche technique
>> La diffusion des résultats
implique un partage clair des
LE NOUVEAU COSO
responsabilités
... et ses 17 principes fondateurs
pour un contrôle interne efficient
N°215
Juin-Juillet 2013
Marquez des points ...
avec la nouvelle certification
professionnelle
Professionnels de l’audit et du contrôle internes, cette nouvelle certification vous permettra de dé-
montrer votre professionnalisme dans le domaine de l’évaluation de la gestion des risques, et plus
particulièrement votre capacité à :
évaluer la maîtrise des risques et la gouvernance des processus métiers de votre organisation ;
sensibiliser la direction et le comité d’audit aux concepts liés aux risques et à la maîtrise des
risques ;
vous centrer sur les risques stratégiques de l’organisation ;
apporter encore plus de valeur ajoutée à votre organisation.
Disponible, à la fin du premier semestre 2013, sous la forme d’un examen, le CRMA™ est ac-
cessible dès aujourd’hui via un processus de Reconnaissance de l’Expérience Profes-
sionnelle (REP). Ainsi, toute personne justifiant d’une expérience professionnelle
dans les cinq domaines couverts par la certification CRMA™, et titulaire de di-
plômes et/ou de tout autre certificat dans le domaine de l’audit, sera en mesure
de faire une demande de REP en vue d’obtenir la certification CRMA™.
EDITEUR
Le nouveau COSO
Institut Français de l’Audit et
du Contrôle Internes (IFACI) ... et ses 17 principes fondateurs
Association Loi 1901
98 bis, boulevard Haussmann
75008 Paris (France)
pour un contrôle interne efficient
Tél. : 01 40 08 48 00
Mel : institut@ifaci.com
Internet : www.ifaci.com
D
DIRECTEUR DE PUBLICATION ans ce numéro, nous vous recommandons
Farid Aractingi tout particulièrement la lecture du dossier
RESPONSABLE DE LA RÉDACTION
consacré au COSO 1, référentiel de contrôle
Philippe Mocquard interne mondialement connu, qui vient de faire l’ob-
RÉDACTEUR EN CHEF
jet d’une mise à jour. Né le 14 mai 2013, il remplacera
Louis Vaurs le COSO 1 version 1992, en décembre 2014.
RÉDACTION - RÉVISION
Jean-Loup Rouff - Béatrice Ki-Zerbo Comme le note Serge Villepelet, président de PwC au
SECRÉTARIAT GÉNÉRAL
moment de l’interview qu’il a bien voulu nous accor-
Eric Blanc - Tél. : 01 40 08 48 02 der « c’est par le biais de 17 principes structurants que le COSO 2013 définit les éléments
Mel : eblanc@ifaci.com essentiels en matière de contrôle interne pour aider les organisations – quels que soient
leur taille ou leur domaine d’activité – à faire face dans un monde qui devient de plus en
RÉALISATION
EBZONE Communication
plus complexe ».
32, avenue de Beauregard
94500 Champigny-sur-Marne Ces 17 principes sont présentés et commentés avec justesse et exhaustivité par
Tél. : 01 48 80 00 56 Béatrice Ki-Zerbo, directrice de la recherche de l’Institut. Laurent Arnaudo, directeur
Mel : ebzone@ebzone.fr
de l’audit interne de Sodexo, rappelle l’aide qu’a apportée le COSO lorsqu’il s’est
IMPRESSION agi, en 2006, pour les entreprises listées à New York, de se mettre en conformité
Imprimerie de Champagne avec le Sarbanes Oxley Act américain, et de se féliciter des nombreux aspects nova-
Rue de l’Etoile de Langres - ZI Les Franchises teurs du COSO 2013.
52200 Langres
ABONNEMENT Pour sa part, Raymond Marfaing, directeur adjoint en charge des risques et du
Elsa Sarda - Tél. : 01 40 08 47 84 contrôle interne à SNCF, nous précise que le cadre de référence du contrôle interne
Mel : esarda@ifaci.com de l’AMF, très adapté à la culture de l’entreprise et à l’environnement français, a été
Revue bimestrielle (5 numéros par an) choisi pour le rapport du président mais que le COSO est utilisé pour les travaux
ISSN : 2117-1661 internes de la direction de l’audit et des risques. Ce choix, argumente-t-il, a été d’au-
CPPAP : 0513 G 83150 tant plus facile à faire que le cadre de référence de l’AMF est cohérent avec le COSO,
Dépôt légal : mai 2013
et d’insister sur la nécessité d’y intégrer les apports du COSO 2013, tout en conser-
Crédit photos : © sk_design - Fotolia.com
vant « son côté souple, agile et facile d’accès qui constitue, pour nous utilisateurs, un atout
et une attente ».
Prix de vente au numéro : 25 € TTC Rappelons que lorsqu’il s’est agi pour l’AMF de choisir, en 2005, un cadre de réfé-
rence pour l’application de la loi de Sécurité Financière, elle a judicieusement arbitré
Ce document est imprimé avec des encres végétales
sur du papier issu de forêts gérées dans le cadre
en faveur d’un document qui tiendrait compte du « référentiel COSO afin de permettre
d’une démarche de développement durable.
d’éviter dans la mesure du possible une duplication des contraintes de reporting externe
en relation avec le contrôle interne ».
DANS L’ACTUALITÉ
DOSSIER
6 Teva, Ansaldo, Spanghero : comment
auditer les risques de produits non-
conformes ?
Antoine de Boissieu Le nouveau COSO
... et ses 17 principes fondateurs
INTERNATIONAL pour un contrôle interne efficient
8 La contribution de l’audit à la bonne p. 15 à 32
gouvernance du secteur public :
réflexions issues d’une table ronde
Prof. Jan Mattijs
16 Plaidoyer pour des principes justes et pertinents :
Extraits du discours de clôture prononcé Comment donner du sens aux systèmes de contrôle
10 par Amor Souiden lors de la dixième interne ?
conférence de l’UFAI Béatrice Ki-Zerbo
LA PROFESSION EN MOUVEMENT
14 Lu pour vous
37 Evénements
L
’actualité récente milliers d’erreurs de paye sibilité d’une malveillance, n’ont été livrés qu’après une
fournit plusieurs constatées. qu’elle soit interne ou série de tests et d’essais. Il en
exemples de pro- externe, qu’elle se produise est de même pour le logiciel
blèmes de qualité de pro- Tous ces exemples ont plu- pendant le cycle de produc- Louvois, qui a fait l’objet de
duits finis : ainsi, certaines sieurs points communs : tion, ou chez un fournisseur, multiples tests et recettes,
boîtes de diurétiques du ou en aval lors du processus puis d’un déploiement pro-
laboratoire Teva auraient Des risques couverts de distribution. Dans les gressif sur des périmètres
contenu des somnifères1. par des systèmes domaines pharmaceutiques limités, avant d’être étendu à
Auparavant, l’Europe avait qualité … et agro-alimentaires, toute la toute l’armée de terre. Dans
été secouée par le scandale chaîne de production et de les secteurs de la pharmacie
de l’étiquetage des plats pré- Dans tous les cas, les entre- livraison est ainsi pensée et de l’agro-alimentaire, il
parés à base de viande de prises prises en défaut pour empêcher, puis détec- n’est pas possible de contrô-
bœuf, qui contenaient en fait avaient mis en place des sys- ter, une modification acci- ler l’intégralité des produits,
de la viande de cheval. L’ac- tèmes qualité pour garantir dentelle du produit. De mais des contrôles qualité
tualité nous fournit aussi des la qualité du produit final. même, le développement de sont normalement faits par
exemples tirés d’autres sec- Leurs fournisseurs eux- programmes complexes échantillonnage sur chaque
teurs : les chemins de fer mêmes étaient couverts par comme Louvois inclut des lot de production. Dans tous
belges et hollandais vien- des dispositifs qualité, cen- contrôles d’intégrité du code les cas, les résultats de ces
nent de refuser la livraison sés être régulièrement audi- et des contrôles de valida- tests et essais sont dûment
de TGV de leur fournisseur tés et certifiés soit par des tion des changements. Les consignés, enregistrés et
Ansaldo, au motif qu’il y tiers, soit par les donneurs incidents devraient donc analysés.
avait trop d’anomalies ; la d’ordre. être très exceptionnels, voire
commande de 19 TGV a été impossibles dans le cas de Des impacts
purement et simplement … envisageant les cas l’industrie pharmaceutique. potentiels très forts
annulée. Dans un autre exceptionnels …
domaine, le nouveau sys- … avec de nombreux L’expérience montre donc
tème de paye du ministère L’autre élément frappant est contrôles sur le que ces différents systèmes
de la Défense, Louvois, n’est que les systèmes de contrôle produit fini qualité ont pu être pris en
toujours pas fiabilisé plus semblaient très complets, défaut. Or, si les risques de
d’un an après sa mise en puisqu’ils prévoyaient même Le troisième point commun non-conformité du produit
service à grande échelle. Une les cas exceptionnels, et tient à l’existence de peuvent avoir une probabi-
cellule de 60 personnes a dû devaient mettre à l’abri contrôles qualité très forts en lité d’occurrence très faible à
être créée pour corriger et d’enchaînements imprévus. bout de chaîne. Ainsi, dans l’échelle d’une entreprise,
régulariser les dizaines de Ils envisageaient tous la pos- le cas d’Ansaldo, les trains leur impact peut être catas-
La contribution de l’audit
à la bonne gouvernance
du secteur public : réflexions
issues d’une table ronde
Lors de la journée d’études organisée par l’IIABEL (IIA Belgique) le 12 décembre der-
nier1, une table ronde a recueilli les points de vue de praticiens de l’audit et de res-
ponsables opérationnels de services publics : M. Karel Baeck, ancien administrateur
général de l’ONEM (Office National de l’Emploi – Belgique) siégeant actuellement
dans plusieurs comités d’audit et conseils d’administration, M. Jérôme Defrade, rece-
veur du CPAS (Centre public d’action sociale) de Bruxelles, M. Pierre Reynders, chef
du Corps Interfédéral de l’Inspection des Finances, et M. Jean-Marc Vandenbroucke,
administrateur général de la SRWT (Société Régionale Wallonne du Transport). Le
présent article retranscrit et commente cette table ronde ainsi que la suite de cer-
tains débats, du point de vue de son animateur, observateur mais non spécialiste
de l’audit.
T
rois thématiques sur la structure un système de contrôle effectif, perti- grande diversité de ressources qui per-
du contrôle, l’intérêt pour l’audit nent et légitime ? mettent d’ancrer les pratiques de
et la contribution démocratique contrôle interne et d’audit : bases
avaient préalablement été proposées à La conception et la maturation des sys- légales, compétences humaines nou-
la réflexion des panelistes. Nous les pas- tèmes de contrôle interne fait manifes- velles, systèmes d’information de ges-
sons en revue avec leurs réactions. tement l’objet de trajectoires très tion et dispositifs de contrôle de gestion,
diverses d’une organisation à l’autre : normes professionnelles émanant de
1 - Quelle structure pour expérience déjà plus que décennale à la l’IIA ou autres...
un contrôle effectif et SRWT ou à l’ONEM, elle vient seule-
fonctionnel ? ment de s’implanter au CPAS de 2 - A qui profite l’audit ?
Bruxelles à la faveur d’un recrutement,
L’efficacité du contrôle est le produit de sans base légale spécifique. A contrario, L’audit interne (et même l’audit externe)
l’agencement d’un système, qui peut si le contrôle existait évidemment déjà est souvent présenté comme une res-
N
ous assistons à la 10ème Confé- de bonne gouvernance par l’ensemble publiques. Ceci a induit beaucoup d’in-
rence de l’UFAI et à la des institutions de l’Etat. Il est vrai, térêt pour l’adoption de code d’éthique
deuxième organisée en Tuni- qu’en ce début de la révolution, des dif- et la mise en place de nouveaux comités
sie. En 25 ans, le progrès pour l’UFAI est ficultés d’ordre politique, social et éco- d’audit, et pour le renforcement du rôle
visible de tous et personne ne peut le nomique persistent, et sont essentielle- des comités d’audit déjà existants. Et,
contester : accroissement très sensible ment le résultat des pratiques du régime évidemment, ces mesures et ces actions,
du nombre d’instituts membres, notam- précédent. Je peux vous assurer que ces auxquelles s’ajoute l’émergence des pro-
ment ceux d’Afrique ; accord de parte- difficultés ne sont que passagères, et que cessus de gestion des risques « ERM »,
nariat et de collaboration avec l’Institut très rapidement l’intelligence et la notamment dans le secteur financier, ne
International « IIA » ; continuité dans la sagesse des Tunisiens vont l’emporter et manquent pas d’impulser le développe-
publication de sa revue « L’Auditeur dissiper ces difficultés aidées en cela par ment de l’audit interne dans nos insti-
Francophone » et les échos très favora- la liberté d’expression, la transparence et tutions. Et du coup, je dirais que l’audit
bles qu’elle rencontre auprès de ses lec- la bonne gouvernance. interne s’identifie bien à la démocratie
Le cocktail
Lu pour vous
Gestion des risques et contrôle interne
De la conformité à l’analyse décisionnelle
Auteur : Frédéric Cordel
Editeur : Vuibert
Bien que d’inspiration ancienne, les deux « disciplines » très fortement corrélées que forment
la gestion du risque et le contrôle interne, ont connu des développements théoriques et légis-
latifs particulièrement significatifs depuis le début des années 2000. Si l'ouvrage laisse une
place importante aux cadres réglementaires et aux référentiels qui les accompagnent, il se
focalise cependant sur l'aspect « pratique » de ces disciplines. Ainsi, l’ouvrage accorde une
large place à la présentation des principales « techniques » de gestion des risques (que ces
derniers soient stratégiques, opérationnels ou financiers) et du contrôle interne, dans une
approche qui se veut à la fois comparative et critique. En particulier, l’auteur soutient que la
gestion des risques, telle qu’elle est aujourd’hui entendue par la majorité des acteurs au sein
des sociétés françaises (conseils, directions financières, direction des risques, autorités de régu-
lation…), ne laisse que peu de places aux idées développées dans le champ de l’analyse déci-
sionnelle et de la psychologie sociale (idées largement reprises dans l’ouvrage) alors même que, comme l’affirme Daniel Lebègue
dans sa préface « la gestion des risques et le contrôle des décisions sont, en un mot, une science toute humaine dont on connaît,
depuis l’Antiquité, les ressorts fondamentaux : clarté des objectifs, audace, rigueur et collégialité dans leur mise en œuvre. »
Lu pour vous
Audit interne des collectivités territoriales
Auteur : Elodie Portelli1, en collaboration avec l’IFACI
Préface : Didier Migaud
Editeur : Editions Ellipses, collection Gestion
L’audit interne se développe de plus en plus au sein des collectivités territoriales. Sur fond de
crise économique, de raréfaction des budgets mais aussi d’accroissement de leurs compé-
tences, les collectivités territoriales doivent faire face à de nombreux risques qui les incitent à
rechercher des outils de sécurisation de leur fonctionnement. L’audit interne apparaît alors
comme une excellente réponse à ce besoin ainsi qu’à celui d’optimiser la gestion publique
locale. Cependant, il est encore trop souvent méconnu, ou confondu avec d’autres démarches
telles que le contrôle de gestion ou l’évaluation des politiques publiques.
Cet ouvrage a pour ambition de promouvoir l’audit interne au sein des collectivités territoriales
en le définissant, en montrant son intérêt et ses spécificités par rapport au secteur privé et en
faisant bénéficier ses lecteurs de retours d’expérience. Il vient aussi combler un déficit de références bibliographiques dans ce
domaine.
Il a été élaboré en étroite collaboration avec l’IFACI, et particulièrement avec le groupe professionnel « Collectivités territoriales »,
présidé par Jean-Baptiste Gamas. Préfacé par Didier Migaud, Premier président de la Cour des comptes, il comprend une partie
consacrée aux fondamentaux de l’audit interne (définition, normes, méthodologie…) et une partie plus pratique, utile notamment
aux collectivités et établissements publics de coopération intercommunale qui souhaitent créer un service d’audit interne.
Ouvrage de référence pour les professionnels de la gestion publique locale et les élus locaux, il offre par ailleurs une information
complète aux étudiants des Instituts d’Etudes Politiques et aux candidats aux concours de la fonction publique territoriale.
1
Élodie Portelli est maître de conférences associée à Sciences Po Bordeaux en gestion publique locale.
Egalement ingénieur en chef territorial dans une intercommunalité, elle a exercé pendant plusieurs années
des responsabilités dans le domaine de l’audit interne des collectivités territoriales.
Le nouveau COSO
… et ses 17 principes fondateurs
pour un contrôle interne efficient
L
a mise à jour du référentiel tions purement formels dépourvus de président du COSO ont été suivis d’ef-
COSO de contrôle interne est sens ou sans ressources adéquates. Au fet. En effet, les 17 principes de la nou-
formellement caractérisée par moindre incident, ce vernis de façade ne velle version du référentiel de contrôle
l’explicitation de 17 principes complé- tardera pas à se craqueler mettant ainsi interne s’inspirent visiblement de ces 20
tés par des points d’attention et des à mal la confiance au pouvoir de trans- principes initiaux. Leur rédaction gagne
illustrations. Cette version 2013 est donc formation du contrôle interne. Les fos- néanmoins en clarté et met en exergue
plus précise et plus aisée à actionner. soyeurs du contrôle interne ne se les points d’attention. Un aperçu en est
Loin d’être des « a priori » théoriques et demanderont jamais si les fondations de donné dans le tableau ci-après.
intemporels, ces principes bénéficient de l’édifice pimpant qui leur était présenté
plusieurs décennies de pratiques du étaient réellement robustes. Ces principes sont développés dans le
contrôle interne et de gestion des document de référence (Framework) et
risques. L’idée de recourir à des principes fonda- illustrés dans deux documents complé-
teurs pour une saine gestion n’est pas mentaires (llustrative Tools et Internal
Cet article a bénéficié des échanges fruc- nouvelle. En 1916 déjà, Fayol proposait Control over External Financial Reporting).
tueux au sein des groupes de recherche 14 principes généraux d’administration Eléments fondateurs et incontournables
de l’IFACI ; en particulier celui qui avait dont la plupart n’ont rien à envier à ceux de la conception, de la mise en place et
été constitué dans le cadre de la consul- proposés par le COSO. Cet ingénieur du fonctionnement de tout système de
tation publique lancée par le COSO en des mines est reconnu pour son prag- contrôle interne ayant l’ambition de
2012. matisme. Il avait également une visée contribuer à la performance d’une orga-
Impossible de résumer ici toute la universelle de ses principes qu’il propo- nisation ; ces principes ont isolément
richesse de ce référentiel dont des pro- sait d’appliquer à l’administration porteur de sens. Néanmoins, leur pou-
fessionnels chevronnés nous ont avoué publique. voir de transformation ne s’exprimera
qu’il méritait le détour. Nous vous pro- Plus proche de nous, Larry Rittenberg réellement que dans une mise en œuvre
posons donc un survol orienté vers ce (2007) présentait les 20 principes du concertée. Les principes ne sont donc
qui nous semble être fondamental pour référentiel COSO for smaller public com- pas une fin en soi, cette nouvelle édition
un contrôle interne efficace : la qualité panies comme un moyen de rendre plus permet de s’en servir pour s’assurer de
de l’« environnement de contrôle » et du accessibles les fondamentaux d’un la cohérence globale du système par une
« pilotage ». Ces composantes sont contrôle interne efficace aux managers mise en lumière des interactions entre
pourtant les laissées pour compte des de sociétés cotées de taille moyenne. Il composantes. Il est d’ailleurs dommage
chantiers de contrôle interne. Dans le notait que ces principes étaient tout à que l’illustration sous forme de cube ne
meilleur des cas, elles sont exaltées lors fait adaptés pour les autres types d’or- rende pas mieux compte de cette inter-
de grandes messes suivies de plans d’ac- ganisations. Les constats de l’ancien pénétration des composantes. C’est
Evaluation des risques 6. L'organisation spécifie les objectifs de façon suffisamment claire pour permettre l'identifi-
cation et l'évaluation des risques associés aux objectifs.
7. L'organisation identifie les risques associés à la réalisation de ses objectifs dans l'ensemble
de son périmètre de responsabilité et elle procède à leur analyse de façon à déterminer
les modalités de gestion des risques appropriées.
8. L'organisation intègre le risque de fraude dans son évaluation des risques susceptibles de
compromettre la réalisation des objectifs.
9. L'organisation identifie et évalue les changements qui pourraient avoir un impact signifi-
catif sur le système de contrôle interne.
Activités de contrôle 10. L'organisation sélectionne et développe les activités de contrôle qui contribuent à
ramener à des niveaux acceptables les risques associés à la réalisation des objectifs.
11. L'organisation sélectionne et développe des activités de contrôle général en matière de
système d’information pour faciliter la réalisation des objectifs.
12. L'organisation met en place les activités de contrôle par le biais de directives qui précisent
les objectifs poursuivis, et de procédures qui mettent en œuvre ces directives.
Information et 13. L'organisation obtient ou génère puis utilise des informations pertinentes et de qualité
communication pour faciliter le fonctionnement des autres composantes du contrôle interne.
14. L'organisation communique en interne les informations nécessaires au bon fonctionne-
ment des autres composantes du contrôle interne, notamment en ce qui concerne les
objectifs et les responsabilités associés au contrôle interne.
15. L'organisation communique avec les tiers au sujet des facteurs qui affectent le bon fonc-
tionnement des autres composantes du contrôle interne.
Pilotage 16. L'organisation sélectionne, met au point et réalise des évaluations continues et/ou ponc-
tuelles afin de vérifier si les composantes du contrôle interne sont bien mises en place et
fonctionnent.
17. L'organisation évalue et communique les faiblesses de contrôle interne en temps
voulu aux responsables des mesures correctrices, notamment à la direction générale et au
conseil d’administration.
cette dynamique qui fonde l’efficacité de œuvre modulée selon des critères tels - la qualité du processus de défini-
l’ensemble du système de contrôle que : tion des objectifs et de l’appétence
interne. Comme nous le verrons, sans ce • la taille de l’entité ; pour les risques ;
mouvement d’ensemble impossible de • l’autonomie (groupe vs filiale) ; • la compétence des collaborateurs (qui
faire jouer au contrôle interne son rôle • la complexité des opérations ; déterminera par exemple les modali-
de traduction des options de gouver- • la maturité des systèmes de gestion tés et les objectifs de supervision).
nance et de gestion des risques dans des risques et de gouvernance. En
les métiers. particulier : Comme pour l’ensemble de cette mise
- l’implication des organes délibé- à jour, la nouveauté se découvre dans
Dire que tous les 17 principes sont rants et exécutifs ; une lecture attentive. Si ces trois objec-
indispensables n’exclut pas une mise en - la formalisation des valeurs ; tifs sont connus, le COSO 2013 en étend
la portée et nous alerte sur leur imbrica- Le principe 2 met l’accent sur l’indé- gique des ressources s’appuie bien sûr
tion : pendance du conseil d’administra- sur des politiques et des procédures
• Les objectifs opérationnels concer- tion vis-à-vis du management. Pour ce mais celles-ci ne doivent pas empêcher
nent l'efficacité et l'efficience des opé- faire, le conseil dispose-t-il des compé- toute réactivité notamment par rapport
rations. Au-delà de la performance tences et de l’expertise adéquate ? Les aux besoins futurs.
opérationnelle et financière, le COSO administrateurs sont-ils effectivement Dans ses développements sur l’évalua-
y inclut explicitement la protection conscients de leurs responsabilités en tion et la rémunération, ce principe est
des actifs. matière de contrôle interne ? Exercent- également relié au principe 1. Ils sont
• Les objectifs de reporting sont spéci- ils une surveillance appropriée à chaque empreints des travaux sur la justice
fiés : il s’agit à la fois de la communi- phase du processus de contrôle interne organisationnelle qui selon Langevin et
cation interne et externe d’informa- (conception, mise en œuvre, pilotage)? Mendoza (2013), favorise la satisfaction
tions financières et extra-financières. Le référentiel aide à trouver des élé- au travail, l’adhésion à la politique de
Outre l’élargissement du champ, il ments de réponses à ces questions qui l’entreprise, la résolution des conflits et
nous est recommandé de ne pas nous sont loin d’être binaires. Ainsi, des les comportements civiques. Ces trois
cantonner à la fiabilité mais d’être exemples d’implication du conseil derniers objectifs sont explicitement l’un
également attentif aux attentes des dans le suivi de chaque composante des enjeux des composantes « environ-
destinataires internes et externes sont donnés. nement de contrôle » et « pilotage » du
notamment en termes de délais et de COSO (2013). Classiquement, la justice
transparence. Le principe 3 rappelle ce qui peut paraî- organisationnelle s’entend selon trois
• Les objectifs de conformité pren- tre être le B.A-BA du contrôle interne : approches :
nent une place de plus en en impor- Définir clairement les pouvoirs et res- • la justice distributive qui s’intéresse à
tante du fait de la multiplication des ponsabilités, assurer la séparation des l’explicitation des critères d’allocation
lois et règlements applicables aux tâches notamment à travers le système des ressources et des récompenses ;
organisations. Ils sont sous-tendus d’information. Pourtant, cette évidence • la justice procédurale qui met l’accent
par les deux autres catégories d’objec- est loin d’être une réalité dans toutes sur les conditions de cette allocation.
tifs et vice-versa. les organisations. Si tant est que la Est-elle :
répartition formelle des pouvoirs et res- - pertinente (en temps opportun,
Selon les organisations, la place accor- ponsabilités a été effectuée à chaque individualisée) ?
dée à chacune des trois catégories d’ob- échelon de la ligne hiérarchique, il res- - sans biais ?
jectifs pourra également être modulée. tera à s’assurer qu’ils sont tout aussi clai- - fondée sur des informations fia-
Cet impératif de modulation montre que rement définis au niveau des différentes bles ?
les bénéfices de cette nouvelle version instances de gouvernance (comités - révisable (possibilité de faire appel
résultent nécessairement d’une appro- émanations du conseil, comités mana- et de corriger les injustices) ?
priation fine et personnalisée de son gériaux), dans les relations entre chaque - équilibrée (prise en compte de
contenu qu’il est impossible de résumer entité légale, dans le réseau de distribu- toutes les parties concernées) ?
en quelques pages. tion et avec les prestataires. De plus, - conforme à des valeurs éthiques et
pour reprendre les mots de Fayol, en morales ?
Les éléments proposés ci-dessous sont anglais dans son texte, la définition des • la justice interactionnelle qui interroge
à prendre comme autant de points de rôles n’aura de sens qu’avec « the right la nature des relations interperson-
départ possibles de cette appropriation. man in the right place ». nelles pendant la mise en œuvre des
procédures.
L’environnement de contrôle Ainsi le principe 4 est clairement lié au
principe précédent. Il présente une Il n’est pas inutile de rappeler l’impor-
Selon le principe 1, intégrité et valeurs vision dynamique d’un élément clé de tance de la beauté du geste dans des
éthiques sont fixées par les instances l’efficacité de toute organisation, la prise organisations qui ont tendance à réduire
dirigeantes, elles-mêmes exemplaires en en compte des hommes et des femmes leur fonctionnement à des séquences de
la matière. Pour être comprises à tous qui la font fonctionner. Il ne s’agit pas procédures et subissent donc une recru-
les niveaux, elles doivent être explicitées seulement d’employer des ressources descence du mal-être au travail.
dans l’organisation mais également aux qui seraient à disposition et inertes. Il
prestataires et aux partenaires. Le faut pouvoir être en capacité d’attirer, Le principe 5 sera également difficile à
niveau d’adhésion à ces valeurs est véri- de développer et de maintenir des appliquer sans un minimum de justice
fié et des décisions effectivement mises compétences en lien avec les objectifs organisationnelle favorisant une adhé-
en œuvre en cas d’écart. de l’organisation. Cette gestion straté- sion au devoir de rendre compte. Il est
relié aux autres principes de l’environ- début de cet article. Elle détermine l’ef- la moins innovante du nouveau référen-
nement de contrôle (valeurs de réfé- ficience du système de contrôle interne tiel. Sans doute parce qu’elle est inhé-
rence et propice à la confiance, instances par la prise en compte d’indicateurs de rente à toute forme d’organisation. Et
dirigeantes jouant leur rôle, responsabi- performance opérationnelle et finan- pourtant, cette approche pourra égale-
lités clairement définies, compétences et cière appropriés et la correcte allocation ment être matière à progrès. Par exem-
pouvoir de rendre compte). Il s’appuie des ressources. ple, ces activités visent-elles un niveau
également sur la robustesse des compo- acceptable des risques ? Ces seuils sont-
santes « information et communica- Le référentiel de contrôle interne envi- ils clairement définis dans toutes les
tion » et « pilotage ». Ce principe reflète sage les risques sous l’angle des organisations ? Dans l’affirmative le
la maturité croissante des systèmes de menaces à l’atteinte des objectifs ; ce sont-ils par les instances appropriées (cf.
contrôle interne qui ne se limitent plus n’est pas pour autant qu’il ignore le fait principe 2 et 3) ? Veille-t-on à retenir
à la maîtrise des activités. En tant que que les organisations doivent également une combinaison optimale des diffé-
système de pilotage de la performance, saisir des opportunités. Néanmoins rentes catégories de contrôle (automa-
le contrôle interne nécessite une infor- celles-ci ne sont pas directement gérées tiques vs. manuels / prévention vs.
mation ascendante qui avait peut-être par le système de contrôle interne. détection) au regard des risques à maî-
été un peu passée sous silence sous le Elles doivent d’abord être triser ?
poids du tone at the top. Sans devoir de analysées dans le cadre
rendre compte, impossible également de du système de ges- Le principe 11 rap-
diriger des entreprises de plus en plus tion des risques. Si pelle des éléments
étendues, soumises à la pression de par- elles sont confir- « L’un des atouts d’une bonne gou-
ties prenantes qui ne cessent de clamer mées par les de l’édition de 2013 vernance des sys-
leur droit à l’information. Une organisa- directives des tèmes d’informa-
tion qui n’aura pas su anticiper ces instances diri- est de clarifier les limites tion. Il invite les
besoins pourra être mise à mal. Le geantes, elles du système de contrôle interne professionnels du
devoir de rendre compte ne sera béné- deviennent contrôle et de
pour mieux l’actionner »
fique que s’il ne réduit pas les acteurs à explicitement des l’audit internes à
un statut de simples émetteurs d’indica- objectifs dont le s’intéresser à des
teurs. C’est seulement s’ils sont respon- contrôle interne domaines qui leur sont
sabilisés et sûrs que leurs messages contribuera à la réalisation. moins familiers tels que l’in-
seront suivis d’effets, que les acteurs L’un des atouts de l’édition de frastructure ou la sécurité. Ils consti-
pourront véritablement tirer profit de ce 2013 est de clarifier les limites du sys- tuent pourtant des zones à risques par-
mécanisme en le mettant au service de tème de contrôle interne pour mieux ticuliers à l’ère de l’informatique mobile
l’amélioration continue. l’actionner. et du cloud computing.
Outre les étapes classiques d’identifica-
Evaluation des risques tion et d’analyse des risques pour la Le principe 12 permet d’éviter des acti-
mise en œuvre des mesures de traite- vités de contrôle dépourvues de sens. Il
C’est l’occasion ici de rappeler que cette ment appropriés, la nouvelle formula- fait le lien avec les composantes « envi-
nouvelle publication n’est pas un tion de la composante « évaluation des ronnement de contrôle » (il est question
COSO 3 qui viendrait remplacer le réfé- risques » met clairement l’accent sur le de directives, de responsabilités et de
rentiel « Entreprise Risk Management », risque de fraude (principe 8) et la néces- devoir de rendre compte, de personnel
plus connu en tant que COSO 2. Une sité d’adapter le système aux change- compétent, d’actions correctives),
partie de la publication de 2013 est d’ail- ments significatifs (principe 9). S’il est « information et communication »
leurs consacrée à la complémentarité assez classique de s’intéresser aux chan- (indispensables pour une mise en œuvre
entre les deux référentiels. Les objectifs gements significatifs dans l’environne- en temps opportun) et bien sûr de
et les seuils de tolérance définis par le ment externe comme menaces poten- « pilotage » (avec l’évaluation pério-
management dans le cadre du système tielles, il s’agit d’être également vigilants dique des activités de contrôle et leur
de gestion des risques sont des données face à des changements de business mise à jour éventuelle).
d’entrée du système de contrôle interne. model ou de dirigeants.
Si le lien avec la composante « évalua- Information et communication
tion des risques » semble être le plus Activités de contrôle
naturel, l’articulation avec le système de Désormais, les technologies permettent
gestion des risques permet de réussir la Une lecture rapide des principes 10 à 12 de générer et de diffuser des milliers de
modulation des principes évoquée au pourrait laisser penser que c’est la partie données en interne ou en externe.
Déterminer celles qui sont vraiment nentes dans les processus métiers) ; Les rédacteurs ont réussi le pari d’être
pertinentes ; y accéder en toute légalité • flexibilité (périmètre et rythme des suffisamment générique pour une utili-
et les traiter de manière efficiente évaluations périodiques) ; sation dans différents contextes tout en
constitue un enjeu de gouvernance. • objectivité (des évaluations pério- donnant plusieurs pistes pour le
diques) ; déploiement de systèmes de contrôle
Le principe 14 permet d’organiser le • compétence. Ainsi, la description des interne justes. Bien que tombée en
système de contrôle interne selon le rôles et responsabilités des auditeurs désuétude nous préférons nous référer
sens donné au niveau de l’environne- internes est conforme aux normes à cette notion de justice plutôt que d’in-
ment de contrôle et en fonction des professionnelles IIA. voquer « le bon sens ». En effet, elle
signaux des composantes « évaluation recouvre plusieurs caractéristiques d’un
des risques » ; « activités de contrôle » Le principe 17 est celui de la boucle de système de contrôle interne efficace qui
et « pilotage ». Sans communication retour. Le mécanisme n’est pas nouveau se doit d’être : raisonné, intègre, adé-
interne adéquate (en termes de délais, mais la mise à jour nous invite à dépas- quat, raisonnable, pertinent, exact, pré-
de destinataires, de contenu) difficile ser une démarche incrémentale pour cis…
d’assumer ses responsabilités en une vision globale. En effet, le manage-
matière de contrôle interne. Deux ment et le conseil d’administration doi- Le document n’intègre sans doute pas
canaux de communication sont particu- vent disposer de l’information adéquate assez une vision plus positive des per-
lièrement détaillés : celle qui concerne le pour décider des actions correctives en sonnes qui ne sont pas tous des frau-
conseil d’administration et celle qui peut temps opportun et suivre leur mise en deurs en devenir. Le jugement du
être mobilisée dans des circonstances œuvre. management est clairement mis en
exceptionnelles (par exemple les lignes avant mais un lecteur non avisé ne sera
d’alerte éthique). De plus, les principes précédents et en pas forcément sensibilisé aux variables
particuliers ceux de l’environnement de culturelles (et non pas uniquement
Le principe 15 concernant la communi- contrôle n’ont de sens que s’ils sont sur- structurelles) du contrôle interne. Il est
cation externe tient compte de la mul- veillés et que des actions sont effecti- pourtant indispensable d’avoir
tiplication des interlocuteurs externes vement mises en œuvre en cas conscience de ces aspérités pour ne pas
(actionnaires, analystes, régulateurs, d’écart (modification de la cible ou du se bercer de l’illusion d’un contrôle
clients, fournisseurs, associations…) plan de maîtrise). interne sans failles (cf. Atwood et al,
ayant parfois des centres d’intérêt diffé- 2012).
rents. Au-delà, de la maîtrise des mes- * *
sages de l’organisation notamment * Bref, un vaste programme pour les
concernant la fiabilité du contrôle managers, une opportunité d’innovation
interne, nous sommes invités à contri- En conclusion, l’idée de s’appuyer sur pour les professionnels de l’audit et du
buer à une exploitation efficace de la des principes pour la bonne marche contrôle internes, et de nouveaux chan-
communication entrante. Il s’agira par d’une organisation n’est pas nouvelle. tiers pour la recherche à commencer par
exemple de s’assurer de l’adéquation Néanmoins l’originalité de la proposi- l’actualisation de nos publications sur le
des moyens, de la conformité des pro- tion du COSO vient de l’articulation contrôle interne. Je pense en particulier
cessus ou de la pertinence des données. dynamique de plusieurs axes. Il permet aux cahiers de la recherche sur « La créa-
ainsi de viser, avec la même approche, tion valeur par le contrôle interne », « Des
Pilotage plusieurs objectifs et de gérer leur inter- clés pour la mise en œuvre et l’optimisation
connexion. Il est plus aisé d’identifier les du contrôle interne », « Les variables cultu-
Le principe 16 a le plus grand nombre domaines sous contrôle et les zones de relles du contrôle interne » accessibles sur
de points d’attention. Ils peuvent être faiblesses pour prioriser les actions. notre site internet mais qui mériteront
résumés par des mots clés tels que : Nous avons pu mettre en évidence des d’être revisités pour profiter des propo-
• équilibre (entre évaluations perma- résonnances entre principes et compo- sitions particulièrement intéressantes du
nentes et périodiques). En pratique santes. Toutes les composantes ressor- COSO.
cette complémentarité pourra se fon- tent grandies de cette mise à jour. Celles
der sur le modèle des trois lignes de relatives à l’évaluation des risques et aux
défense ; activités de contrôle bénéficient des
• adaptation (à l’état du système, au avancées de l’ERM. Les formulations et
rythme des changements dans l’envi- illustrations des trois autres compo-
ronnement et dans les métiers) ; santes devraient en faciliter l’adoption.
• intégration (des évaluations perma-
Références bibliographiques
• Atwood, B., Raiborn C. et Butler J. 2012. The illusion of internal controls. Strategic Finance (October): 30-37
• COSO. 2006. Internal Control over Financial Reporting – Guidance for Smaller Public Companies
• COSO. 2013. Internal Control – Integrated Framework, llustrative Tools for Assessing Effectiveness of a System of
Internal Control and the Internal Control over External Financial Reporting (ICEFR): A Compendium of Approaches
and examples. Traduction à paraître
• Dumez H. (dir) 2008. Rendre des comptes : nouvelle exigence sociétale, PRESAJE, Dalloz
• Fayol H. 1962. Administration industrielle et générale – Prévoyance, organisation, commandement,
coordination, contrôle, Dunod 151p
• IFACI et PWC. 2005. Le management des risques de l’entreprise. Editions Eyrolles. Traduction de Entreprise Risk
Management publié en 2004 par le COSO
• Langevin P. et Carla M. 2013. La justice : un revenant au pays du contrôle ? Revue Comptabilité Contrôle Audit,
tome 19, vol.1, pp 33-58
• Rittenberg, L. Martens E. et. Landes C. 2007. Internal control guidance: Not just a small matter. Journal of
Accountancy (March): 46-50
• Simons R. 1994. Levers of organization design: How managers use accountability systems for greater performance
and commitment, Harvard Business Press
• Tysiac, K. 2012. Internal control revisited. Prominent COSO officials discuss proposed updates to framework. Journal
of Accountancy (March): 24-29
Les piliers du nouveau COSO 2013 restent les mêmes que ceux du COSO 1992.
Cependant, les évolutions des vingt dernières années ont nécessité des prises en
compte d’exigences nouvelles à la hauteur des nouveaux enjeux. Le COSO 2013 ras-
semble des perspectives plus larges que celles des organismes fondateurs qui sont
des organisations comptables et financières ; sa vocation est bien d’étendre son
application au-delà de ce qui est comptable et financier.
tants / autres intervenants clés (par Au cours de ce projet d’élaboration du COSO 3. Il ne remplace pas non plus le
ex. : leur adhésion au code de référentiel COSO 2013, le COSO a COSO 2 qui est consacré au management
conduite, respect des contrôles au- obtenu l’apport de bien d’autres : des risques de l’entreprise. Est-il envisagé
delà du reporting financier). 1) au début du projet, une enquête a toutefois un toilettage du COSO 2 ?
8. L’exigence de l’adaptabilité et l’adé- été lancée depuis le site du COSO,
quation du dispositif par rapport à annoncé par divers communiqués S. V. : Une révision du référentiel portant
l’évolution de l’entreprise (telles que de presse, et collectant plus de 700 sur l’ERM n’est pas envisagée à ce stade.
de nouveaux processus, rôles, struc- réponses à travers le monde ; au- A cet effet, deux sujets ont été longue-
tures, SI, CSP, périmètre d’activité, delà des 35 % de voies issues du ment débattus :
etc.). monde comptable et financier, les 1) L’intégration CI et ERM, mais le
réponses provenaient largement des marché semblait globalement ne pas
L. V. : Depuis toujours, PwC est directement fonctions de la gestion de risques, de vouloir un amalgame des deux
associé à l’élaboration de ce référentiel. Quel la conformité, des opérations, de l’IT, concepts. Le contrôle interne est
est plus précisément son rôle ? de la RSE, et d’autres ; défini comme étant une sous-partie
2) une consultation publique sur le de l’ERM (élaboré en annexe G du
S. V. : En effet, le COSO nous avait sol- référentiel recueillant plus de 200 référentiel COSO 2013).
licité pour écrire le référentiel sur le réponses ;
contrôle interne de 1992 ainsi que l’En- 3) puis, une dernière consultation
terprise Risk Management en 2004 et bon publique portant sur l’ensemble des
nombre d’autres éléments de « thought publications COSO 2013 recueillant
leadership » que nous avons élaboré encore une bonne cinquantaine de
ensemble. Nous avons une relation de réponses, avec un découpage démo-
travail continue fondée sur un échange graphique similaire.
en continu par rapport aux évolutions
pour pouvoir ensemble livrer au marché Le COSO 2013 a donc bien pour voca-
des réflexions pertinentes et des réfé- tion d’étendre son application au-delà
rentiels qui apportent de la valeur aux de ce qui est comptable et financier.
entreprises. C’est ainsi que nous tra-
vaillons depuis toujours étroitement L. V. : L’AMF a élaboré deux cadres de réfé-
avec le COSO. rence de contrôle interne, l’un pour les socié-
tés d’une certaine importance, l’autre pour
L. V. : Le Committee of Sponsoring les valeurs moyennes et petites. A qui plus
Organisations est composé essentiellement particulièrement le COSO 1 nouveau
d’organisations comptables et financières s’adresse-t-il ?
alors que le cadre de référence de l’AMF a
été élaboré avec un groupe de Place où S. V. : Le COSO 1 nouveau intègre ces 2) La mise à jour en parallèle du réfé-
l’AFEP / MEDEF ont joué un rôle non deux visions. Il met à jour non seule- rentiel ERM, mais son contenu et
négligeable. N’est-ce pas un handicap pour ment le référentiel de 1992 mais aussi son articulation avec le contrôle
le COSO qui a voulu élaborer un référentiel celui de 2006 « Guidance for Smaller interne, en particulier le COSO
de contrôle interne opérationnel ? Public Companies » moins connu en 2013, sont vus comme étant toujours
France car il n’avait pas été traduit en valables aujourd’hui. Le COSO 2013
S. V. : Le COSO rassemble des perspec- langue française. Le COSO 2013 vient intègre toutefois les éléments du
tives bien plus larges que celles de ces donc remplacer ces deux documents car référentiel ERM de 2004 sur les
organismes fondateurs qui sont, certes, il s’appuie en premier lieu sur des prin- sujets pertinents au contrôle interne.
des organisations comptables et finan- cipes applicables à toute taille d’organi-
cières (pour rappel : American Institute of sation, et en second lieu met en avant Le COSO continue donc à apporter des
Certified Public Accountants, American des spécificités particulières aux plus réflexions sur ces sujets, mais davantage
Accounting Association, Financial Execu- petites structures à travers le référentiel, en matière d’éclairages sur la pratique
tives International, Institute of Internal ses approches et ses exemples. que sur les fondements des référentiels
Auditors, et Institute of Management de 2004 et 2013 à ce stade.
Accountants). L. V. : Le COSO 1 nouveau n’est pas un
Auditeurs internes vs L. V. : Quelles sont les conditions qui pour- dernières années sous l’impulsion de
commissaires aux comptes raient permettre aux CAC de s’appuyer sur nouvelles réglementations, le déploie-
les travaux des auditeurs internes ? ment de nouveaux outils informatiques
L. V. : La coordination des travaux entre et l’internationalisation des implanta-
auditeurs internes et commissaires aux S. V. : Tout d’abord il faut bien évidem- tions géographiques.
comptes prévue par les normes de l’IIA ment que les sujets d’audit aient porté
s’avère indispensable. Comment concrète- sur des thématiques qui apporteront du Pour que l’audit interne puisse livrer des
ment cette coordination s’opère-t-elle sur le confort au CAC pour sa mission. En travaux de qualité – à savoir une assu-
terrain ? effet, souvent une part importante des rance raisonnable sur les processus
travaux des auditeurs internes porte sur audités mais également des éléments de
S. V. : Cette coordination passe par une des processus très opérationnels, de benchmark et des idées pour améliorer le
grande transparence mutuelle de ces l’amélioration de processus, des dues fonctionnement des processus – il
deux instances sur la nature et le péri- diligences… devient quasiment impossible de se pas-
mètre de leurs travaux. Il est fondamen- ser d’experts pour réaliser les audits
tal que les commissaires aux comptes Il faut ensuite que l’audit internes. Force est de consta-
disposent d’une vision précise des tra- interne démontre une ter qu’il est très difficile
vaux réalisés par l’audit interne qui forte indépendance pour les départe-
concernent la revue du contrôle interne vis-à-vis du mana- ments d’audit
comptable et financier. gement et pour interne de main-
cela il faut s’at-
« Il devient quasiment tenir des compé-
L. V. : Comment, selon vous, cette coordina- tacher à com- impossible de se passer tences spéciali-
tion devrait-elle s’organiser ? prendre quelles d’experts pour réaliser les sées et de très
sont ses lignes haut niveau dans
audits internes »
S. V. : J’identifie immédiatement les élé- réelles de repor- tous les domaines
ments suivants : échanges sur le plan ting et d’influence. (par ex. : valorisa-
d’audit interne et externe, organisation tion, modélisation,
de rendez-vous réguliers de partage Enfin, il faut avoir une technologie, etc.). Néan-
d’information, transmission des rap- certaine assurance quant à la moins, la présence des audi-
ports d’audit qui concernent le contrôle qualité des travaux produits par l’audit teurs internes reste une nécessité forte
interne. interne et pour cela une revue de leur car ceux-ci sont garants de la méthodo-
organisation, outils et livrables est une logie d’audit, connaissent les enjeux de
Au delà de ces éléments, il est évident façon simple de se constituer une opi- l’entreprise, les contingences politiques
que le comité d’audit qui est en étroite nion. et peuvent assurer la mise en perspec-
relation avec les commissaires aux tive et la transversalisation des conclu-
comptes et les auditeurs internes a un Sous-traitance de l’audit sions.
rôle majeur à jouer pour encourager et interne
faciliter les échanges. Ces comités d’au- Alors oui, il faut maintenant penser à la
dit seront d’ailleurs les premiers bénéfi- L. V. : Avant les grands scandales compta- cotraitance tout en disposant d’un
ciaires d’une communication accrue bles et financiers de la fin des années 90 et département d’audit interne senior et
entre ces deux instances de contrôle car des premières années 2000, l’externalisation sponsorisé par la direction générale !
ils en retireront une vision beaucoup de l’audit interne était en vogue aux Etats-
plus intégrée de la gestion des risques Unis mais avait peu touché la France. On Pour les sociétés de tailles inférieures le
de l’entreprise. parle actuellement davantage de co-sour- problème est différent : la sous-traitance
cing. Comment voit-on chez PwC la coopé- reste un modèle bien adapté car il per-
Enfin, les opérationnels eux aussi béné- ration avec les services d’audit interne ? met à l’entreprise de disposer d’audi-
ficieront d’une meilleure coordination teurs internes professionnels avec des
entre les commissaires aux comptes et S. V. : La cotraitance est quasiment structures d’équipe adaptées à chaque
l’audit interne en évitant que des mis- devenue une nécessité pour l’audit mission, incluant les bons experts.
sions similaires soient réalisées par les interne.
deux organes de contrôle. En effet, les processus des entreprises se
sont considérablement complexifiés ces
Le COSO 1992 a fait son temps. Il sera remplacé par le COSO 2013 à la fin de l’année
2014. Reconnaissons tout de même que le COSO 1992 a permis de franchir une
étape supplémentaire et de renforcer les dispositifs existants ; il nous a confortés
sur les directions à prendre en matière de contrôle interne ; il a permis de s’attaquer
aux vrais sujets. L’objectif du COSO 2013 est de réduire les risques, accroître la confor-
mité aux lois, politiques et procédures et renforcer les systèmes de contrôle interne.
C’est un beau programme.
Il est vrai qu’il a fait son temps, ce réfé- et de l’audit internes, le conseil du
rentiel du contrôle interne. Envisagé dès COSO a déjà identifié et même présenté
1985 par « The Committee of Sponsoring son successeur : le fabuleux COSO 2013.
Organizations of the Treadway Commission Il est tout jeune et a beaucoup de
(COSO) », il ne fut publié qu’en 1992. A bonnes idées. Il est né le 14 mai 2013.
Laurent Arnaudo cette époque, il ne fut utilisé, en France,
que par un certain nombre de grands Pour tous ceux qui ont mis en place le
Senior vice-président – audit interne
groupes présents à l’international. Il COSO – version 1992 – dans leur entre-
groupe, Sodexo
gagna réellement ses lettres de noblesse prise, il y a eu de vrais changements. Ce
avec l’arrivée du Sarbanes-Oxley Act et référentiel a permis de franchir une
de la Loi de Sécurité Financière, dans les étape supplémentaire et renforcer les
années 2000. C’est alors devenu le réfé- dispositifs existants. Il nous a donné un
rentiel incontournable, que de nom- cadre et surtout, il nous a conforté sur
V
oici une phrase bien connue que breuses entreprises ont souhaité suivre les directions à prendre en matière de
l’on proclame lors de l’avène- et mettre en avant dans leur document contrôle interne :
ment d’un nouveau monarque. de référence. • en mettant des mots derrière des
C’est exactement ce qui nous arrive dans On a bien essayé de lui redonner un contrôles que nous avions déjà iden-
le royaume du contrôle et de l’audit petit coup de jeune à partir de 2006, avec tifiés, le COSO a apporté une struc-
internes car, depuis quelque temps, la publication de deux documents, mais ture à nos matrices de risques et de
nous avons appris que notre Grand Roi, aujourd’hui, il est sous respiration arti- contrôles existants ;
le COSO 92, se portait mal et allait tout ficielle. • en identifiant des activités de
doucement se retirer, pour mourir le 15 contrôles que nous souhaitions
décembre 2014. Nous allons donc per- Le Coso 1992 est mort, vive le déployer dans nos entreprises mais
dre notre référence, notre roi qui régnait Coso 2013 pour lesquelles nous avions besoin
depuis plus de 20 ans. Et pourtant, la d’un soutien et d’une certaine crédi-
plupart de ses sujets ne semblent pas si Comme les choses sont toujours bien bilité auprès des opérationnels et des
tristes… faites dans le beau royaume du contrôle dirigeants. Le fait de montrer leur
tions et mesures prises par la direction. C’est justement ce qui a poussé à sa • La fraude revient sur le devant de la
Ces sanctions sont-elles cohérentes et naissance : scène. Ce ne sont plus des activités de
homogènes d’un cas à l’autre ? • Les sujets du Roi, eux-mêmes, contrôles dilués un peu partout que
• Les incidents potentiels et les écarts de demandaient un référentiel plus com- nous devons évaluer.
bonne conduite donnent lieu rapidement préhensible et plus utilisable. • Les systèmes d’information sont par-
à des investigations, faites par des pro- • L’ensemble des parties prenantes qui tout dans nos entreprises et doivent
fessionnels indépendants et objectifs. finançait le Royaume, réclamaient être encore plus intégrés dans la
• Le conseil d’administration demande à depuis longtemps plus de transpa- nature de nos contrôles.
suivre les incidents les plus significatifs rence et un système permettant une
et les actions prises. » meilleure gouvernance, gestion des
risques, prévention et détection des
fraudes.
• Et puis notre Royaume a beaucoup
changé en 20 ans. Nous avons des
nouveaux risques, notamment dans le Laurent Arnaudo a débuté sa car-
domaine IS&T. Les systèmes d’infor- rière en 1990 chez Ernst & Young
mation sont maintenant intégrés à Paris puis San Francisco, après
nos dispositifs. Notre environnement avoir obtenu une maîtrise de ges-
n’est plus du tout le même. Il est tion à l’Université de Paris-
devenu global et beaucoup plus com- Dauphine. En 1997, il rejoint
plexe. l’équipe d’audit interne d’Alcatel où
il y occupera différentes fonctions
Il fallait réagir. Le COSO 2013 a dont celle de directeur d’audit pour
annoncé son objectif : il veut réduire les la région d’Europe du Sud, Afrique
risques, accroître la conformité aux lois, et Proche-Orient. En 2004, il
politiques et procédures et renforcer les devient directeur des projets
systèmes de contrôle interne. C’est un Sarbanes-Oxley et LSF pour Alcatel,
beau programme. couvrant les 34 entités majeures du
groupe. Après la fusion Alcatel-
L’arrivée du nouveau COSO 2013 n’est Bien entendu, la définition du contrôle Lucent en 2006, il est nommé direc-
pas passée inaperçue. Mais beaucoup interne n’a pas changé. Les trois objec- teur de l’audit interne avec une
d’entre nous ne voient pas de révolu- tifs et les cinq composantes sont tou- équipe de 80 personnes, basées à
tion. Ce nouveau référentiel n’est fina- jours les mêmes. Ils doivent permettre Paris, New Providence (New Jersey -
lement que le digne fils de son père. Il d’évaluer l’efficacité du dispositif de USA) et Shanghai. Il est lui-même
suit le même programme et son contenu contrôle interne. Le changement réside basé aux Etats-Unis.
n’a pas ou peu changé. « Sa mise en place principalement dans les 17 nouveaux
sera toujours aussi difficile surtout pour les principes attachés aux composantes et En 2009, il rejoint le groupe Sodexo
petites structures » disent certains. « Tout ses points d’attention, dans le renforce- en tant que senior vice-président –
cela restera encore très théorique pour nos ment du reporting extra financier et enfin audit interne groupe où il dirige
entreprises » disent d’autres. Ou encore, dans la prise en compte des petites une équipe de 25 auditeurs, basés
« Il n’y a rien de nouveau, mais il est vrai entreprises. à Londres, Washington et Paris.
que les points identifiés tomberont mainte-
nant dans notre radar ». Il existe donc Trois domaines sont clarifiés : Laurent Arnaudo est CIA, CCSA et
beaucoup de sceptiques. • La responsabilité de l’entreprise CRMA. Il est membre du conseil
quand elle décide d’externaliser des d’administration et vice-président
Le nouveau monarque a des services, notamment (mais pas seule- de l’IFACI. Il est également très actif
idées révolutionnaires ! ment) dans le domaine informatique. au sein de l’IIA (The Institute of
En matière de contrôle interne, il est Internal Auditors) après avoir été
Je ne suis pas d’accord. La révolution est maintenant clair que la responsabilité membre de son conseil d’adminis-
en marche car le COSO 2013 présente reste dans nos entreprises – cette res- tration.
de nombreux aspects novateurs. ponsabilité ne se transfère pas.
Concrètement, dans les entreprises ren- tionnement de son dispositif de contrôle vocabulaire du PCAOB qui restait le
contrées qui réfléchissent à la mise en interne. C’est une véritable révolution, jargon des auditeurs externes. Nous
place du COSO 2013, les actions sui- car dans le COSO de 1992, il n’y avait préférons parler de faiblesses de
vantes sont en route : pas ces principes si explicitement définis contrôle interne.
• Renforcer l’automatisation des par des points d’attention. Le jugement • Il faut dorénavant aussi expliquer, plus
contrôles dans les systèmes grâce aux de chacun joue toujours un grand rôle, en détail, comment la sélection des
outils ACL, IDEA, Magnifier et bien mais les directives sont beaucoup plus risques a été réalisée (et donc la sélec-
d’autres. Cela nous permet d’allouer claires. On sait ce qu’il faut mettre en tion des comptes, processus, et entités
nos contrôleurs / auditeurs à des place pour être en conformité avec le significatifs pour la clôture de l’exer-
tâches à plus forte valeur ajoutée, tout COSO 2013. cice). On pourra, par exemple,
en améliorant le périmètre de couver- démontrer l’utilisation d’ateliers avec
ture puisque l’ensemble des transac- Pour ceux qui sont soumis aux règles de des opérationnels et fonctionnels, etc.
tions sont examinées en continu. Sarbanes-Oxley, les changements ne • Il faut aussi s’assurer que la qualifica-
• Les auditeurs et contrôleurs internes seront pas majeurs : l’attestation sur l’ef- tion des faiblesses et la sélection des
ne doivent pas oublier les ficacité du dispositif de contrôles (dans les comptes, les pro-
contrôles qui sont chez contrôle interne relatif cessus, les entités) en fonction du
les prestataires. Les aux informations seuil de matérialité calculé en début
auditeurs doivent comptables et d’exercice reste toujours valable en fin
aller faire des « Il faut mettre en place financières s’ap- d’année, après la clôture des résultats.
audits chez eux puiera sur le
après avoir
un plan d’actions permettant COSO 2013. Dans le court terme, les actions à mener
vérifié l’exis- de répondre aux nouveautés Les 17 nou- sont les suivantes : il faut lire le référen-
tence de du COSO de 2013 avant le veaux principes tiel COSO 2013 ! Les membres des
clauses d’audit permettront de comités d’audit doivent demander à leur
dans les contrats,
15 décembre 2014 » clarifier comment contrôleur ou auditeur internes des
ou en s’appuyant appliquer le réfé- explications sur ce nouveau COSO. Ils
sur des formes d’éva- rentiel et aideront à doivent comprendre quelles seront les
luations externes, faites par évaluer l’efficacité des modifications à apporter dans l’entre-
des entreprises indépendantes et contrôles internes dans leur prise. S’ils ne le demandent pas, il faut
objectives. conception et leur fonctionnement opé- leur en parler et les éduquer sur les nou-
• Les contrôles et les audits de confor- rationnel. Les seules différences réside- veaux éléments du COSO 2013. Enfin,
mité reviennent en force dans nos ront dans la classification des faiblesses pour les sociétés utilisant déjà le COSO
référentiels et dans nos plans d’audit. de contrôle interne, dans la documenta- de 1992, il faut mettre en place un plan
Les entreprises ne peuvent plus se tion du processus d’identification des d’actions permettant de répondre aux
passer de solides programmes anti- risques, et enfin dans la nécessité de nouveautés du COSO de 2013 avant le
fraude (identification, communica- recalculer le seuil de matérialité au 15 décembre 2014. Cela se fera sans
tion, prévention et détection des moment de la clôture : douleur et permettra sans doute de ras-
fraudes). Les comités d’audit doivent • Le COSO 2013 parle de déficiences surer sur les forces. Pour les entreprises
poser des questions sur leur existence majeures et de déficience de contrôle qui n’ont pas mis en place le COSO
et leur efficacité. interne alors que le PCAOB qualifie 1992, l’effort sera plus grand mais les
• Enfin, si ce n’est pas déjà fait, il faut les faiblesses de contrôles pour Sar- directives données sont maintenant
passer à la vitesse supérieure et mettre banes-Oxley comme soit une erreur beaucoup plus claires et permettent de
en place un véritable modèle de ges- matérielle (« material deficiency ») soit mieux comprendre comment déployer
tion des risques intégrés (ERM), avec une déficience significative (« signifi- le référentiel. C’est un nouveau Roi qui
une méthodologie et un langage cant deficiency »). Le PCAOB devra se a un bel avenir devant lui, ce COSO.
commun. positionner, dans les mois à venir, sur Longue vie au COSO 2013…
un alignement (ou pas) avec la défini-
Il faut dorénavant évaluer de façon tion du COSO. Mais finalement, cela
beaucoup plus formelle chacun des 17 ne change pas grand chose pour un
principes clés alloués aux 5 composantes grand nombre d’entreprises. En
du COSO pour conclure au bon fonc- interne, nous évitions déjà d’utiliser le
La sortie du COSO 2013 provoque une remise en question et des choix quant à l’uti- Le choix du cadre de référence
lisation de tel ou tel référentiel. Le cadre de référence de l’AMF, retenu par SNCF, pré- de l’AMF : un choix naturel
sente, entre autres avantages, celui d’être cohérent avec le COSO, d’être très concret,
adapté à la culture SNCF, et tourné vers la mise en œuvre opérationnelle. Néan- Fin 2009, à SNCF, la direction de l’audit
moins, le COSO 2013 est une source d’enrichissement dont l’AMF doit tenir compte. et des risques et la direction financière
groupe ont décidé de mettre en place
une nouvelle organisation du contrôle
interne afin de le rendre plus efficace
Le cadre de référence de d’audit, de contrôle interne et de mana- tout en accompagnant les évolutions
l’AMF : un cadre souple et gement des risques. C’est l’occasion de managériales de l’entreprise qui renfor-
agile tourné vers la mise en se remettre en question, d’abord de se çait son fonctionnement par branche
œuvre familiariser avec les évolutions, puis d’activités : SNCF Voyages, SNCF Proxi-
d’identifier nos points forts, nos points mités, SNCF GEODIS, Gares et
La sortie du COSO 2013 est un événe- faibles et enfin de revoir éventuellement Connexions et SNCF Infra. Notre
ment important pour nous responsables nos objectifs. C’est aussi l’occasion de constat était que beaucoup d’acteurs
Management de branches
Légende :
Rattachement fonctionnel
Rattachement hiérarchique
travaillaient sur le contrôle interne mais Après ce premier travail, très vite s’est un seul document du contrôle interne et
que leurs travaux étaient peu connectés posée la question du référentiel à suivre, de la gestion des risques en intégrant les
entre eux et n’étaient pas « tirés » par quel cadre de travail commun devions- travaux les plus récents en la matière. Le
une politique d’entreprise. Une des nous prendre. Assez naturellement nous cadre de référence s’appuie en effet sur
conséquences était que le contrôle nous sommes tournés vers le cadre de les évolutions constatées à l’époque
interne n’était pas vraiment perçu par le référence de l’AMF. Nous avions préa- dans les principaux référentiels interna-
management comme un moyen de maî- lablement adopté ce cadre pour le rap- tionaux et notamment le COSO II et la
triser ses opérations ni comme un outil port du président sur le contrôle interne norme ISO 31 000. Pour une direction
lui permettant de mieux assumer ses et étions déjà, à la direction de l’audit et qui réunit audit, contrôle interne et
responsabilités. des risques de SNCF, familiarisés avec risques, c’était très appréciable.
ce cadre. De plus, ce cadre à l’époque
Nous avons alors défini des objectifs évoluait dans la suite de la transposition Nous ne nous sommes pas trop interro-
simples : réussir en 3 ans à mettre en des 4èmes et 8èmes directives européennes. gés sur la possibilité de prendre comme
place une organisation claire au service Ce cadre présentait à nos yeux beau- référence le COSO dans la mesure où,
du management tout en limitant les frais coup d’avantages : comme nous venons de le dire, le cadre
de structure. Pour cela, nous avons • très adapté à notre culture, à un envi- de référence de l’AMF est cohérent avec
d’abord précisé le rôle des différents ronnement français ; le COSO et que nous trouvions dans le
acteurs depuis le comité d’audit • très concret, facilement communica- cadre AMF un guide répondant à nos
jusqu’aux opérationnels tout en prenant ble ; attentes. Nous avons alors défini un
en compte les échelons fonctionnels. Ce • tourné vers la mise en œuvre opéra- objectif clair : avoir mis sous contrôle à
premier travail nous a permis de mon- tionnelle avec en particulier le ques- échéance 2013 notre environnement de
trer que le contrôle interne ne peut se tionnement et le guide d’application contrôle et les 14 processus identifiés
concevoir que dans une chaîne qui qu’il propose. par l’AMF dans son guide d’application
concerne toute l’entreprise et qui sur le contrôle interne de l’information
implique tous les acteurs. Il faut également ajouter qu’il offrait comptable et financière.
l’avantage avec sa révision de traiter en
Le fait d’avoir utilisé le guide d’applica- nous mettre en forte difficulté voire de
tion a également constitué un levier lever des incompréhensions avec des
interne. Cela nous a permis de mettre en non spécialistes.
mouvement les « propriétaires » de pro-
cessus. Nous avons alors commencé par Notamment, il est important et rassu-
les processus présentant le plus d’enjeux rant de constater que les 5 composantes
pour l’entreprise, que ce soit en termes du contrôle interne sont les mêmes à
d’euros ou en termes de risques, à savoir quelques écarts minimes près. La
la paie, les achats et les immobilisations. logique est préservée : l’organisation / la
Nous avions dans le cadre un guide diffusion d’information / le dispositif de
facile d’accès, ce qui est important pour gestion des risques / les activités de
appréhender ces processus qui sont contrôle / la surveillance. Pour nous cela
complexes pour une entreprise de la est essentiel. Il s’agit principalement
taille de SNCF. d’écarts de terminologie. D’ailleurs,
l’AMF disait en 2007 à propos du
Après plus de 2 ans de travail, nous COSO : « le groupe de place s’est inspiré Anne Bosche-Lenoir est directrice
avons atteint ainsi les objectifs fixés et des cinq composantes du COSO même si de l’audit et des risques du groupe
respectons notre tableau de marche. l’on ne retrouve pas à l’identique, dans le SNCF depuis avril 2013. Diplômée
Même s’il reste bien sûr beaucoup à document de place, la terminologie utilisée de l’ENA et de HEC, elle a occupé
faire, nous estimons que nous avons par le référentiel américain ». plusieurs postes à la direction du
atteint un bon niveau de maturité dans budget au ministère de l’Economie
plusieurs domaines : l’analyse et la des- Certes le COSO est un bon guide et et des Finances dont celui de sous
cription des processus, l’identification donne beaucoup d’exemples mais le directrice en charge des Affaires
des points de contrôle clés, la rédaction cadre de référence, comme nous l’avons Européennes. Elle a également été
de guides de contrôle interne, la forma- vu plus haut, avec son questionnement Senior Banker à la Banque Euro-
tion des acteurs, le déploiement de cam- et son guide d’application, est davantage péenne pour la Reconstruction et le
pagnes d’auto-évaluation auprès de orienté vers la mise en œuvre ; le travail Développement (BERD), responsa-
nombreux acteurs en entités mais aussi d’adaptation / transcription au contexte ble du montage et du financement
en centres de services partagés. Nous de l’entreprise s’avère relativement sim- de projets dans les secteurs publics
pensons que le fait d’avoir choisi le ple et aisé. et privés en lien avec les banques
cadre AMF nous a aidés ; les avantages locales. Elle a ensuite été DGA
que nous pressentions se sont confirmés Le « new COSO » : Finances, Audit et Contrôle de ges-
dans les faits. un enrichissement pour nos tion au Conseil Régional d’Ile-de-
travaux France dans une période où le bud-
La grande similitude COSO / get de la Région a crû de 70 % et les
cadre de l’AMF a été Nous n’opposons pas le COSO et le effectifs ont été multipliés par six.
déterminante cadre de référence de l’AMF. Nous pré-
férons y voir davantage une complé- Raymond Marfaing, diplômé de
Même si nous n’avons pas retenu le mentarité. Pour nous, le COSO 2013 va l’Ecole Centrale de Paris, a exercé
COSO, la similitude COSO / cadre de nous aider à avoir un nouveau regard différents postes de responsabilité
référence AMF a été pour nous un élé- sur le contrôle interne et à identifier des à SNCF dans les directions cen-
ment important. D’abord, nous avions pistes d’amélioration. C’est clairement trales, aux achats, à l’organisation,
une garantie qu’il n’y aurait pas de un enrichissement pour tous nos tra- aux ressources humaines et dans la
contradiction. Nous utilisons le COSO vaux. direction régionale de Paris-Rive-
dans nos travaux internes à la direction Gauche où il était directeur délé-
de l’audit et des risques de SNCF. Il reste Nous avons aussi besoin de continuité gué gestion finances. Il a rejoint la
une référence essentielle pour benchmar- dans les objectifs affichés. Nous avons direction de l’audit et des risques en
ker nos travaux d’audit et former nos largement communiqué sur le fait qu’il 2001 comme chef de mission puis
auditeurs et/ou nos spécialistes de fallait que l’environnement de contrôle comme directeur adjoint en charge
contrôle interne. Ne pas avoir cette et les 14 processus du guide d’applica- des risques et du contrôle interne.
garantie de cohérence aurait risqué de tion sur le contrôle interne de l’informa-
SNCF INFRA SNCF PROXIMITÉS SNCF VOYAGES SNCF GEODIS GARES & CONNEXIONS
Gestion, exploitation, Services de transport Transport ferroviaire de Opérateur global multi- Gestion et développe-
maintenance du réseau public urbain, périurbain voyageurs à grande modal de transport et ment des gares (indé-
pour RFF et ingénierie et régional pour les vitesse logistique de marchan- pendamment de l’acti-
d’infrastructure voyageurs du quotidien Europe (France, Espagne, dises vité de transporteur)
Activité en France + ingénierie TER, Transilien et Intercités en Royaume-Uni, Belgique, Pays- 120 pays 3 000 gares françaises et acti-
en Europe, Asie, Moyen-Orient, France, Trains d’Equilibre du Ter- bas, Allemagne, Autriche, Suisse 5 continents vité de l’AREP au niveau inter-
Afrique, Amériques ritoire (TET) Keolis en France, et Italie) national
Europe, USA, Canada et Austra-
lie
5,5 Mds € (15%) 12,8 Mds € (35%) 7,5 Mds € (20%) 9,5 Mds € (26%) 1 Md € (4%)
Dans le contexte actuel de crise, l’audit interne doit pouvoir aller au-delà des
contrôles de conformité et contrôles financiers, en étudiant d’autres formes d’audits,
comme les audits de performance. Ces types d’audits peuvent être pratiqués par
l’audit interne dans certaines conditions et dans la mesure où les auditeurs ont les
compétences pour les mener à bien, comme le précisent les normes professionnelles
de l’audit interne.
L
’objectif des audits de perfor- dits sont généralement le domaine des
mance est de vérifier si l’ar- sociétés de conseil, mais peuvent être
Emmanuel Pascal gent des contribuables est pratiqués par l’audit interne dans cer-
Corporate Audit Manager, Brakes bien utilisé. Pourquoi ne pas faire le taines conditions et dans la mesure où
même exercice pour les action- les auditeurs ont les compétences pour
naires ? les mener à bien comme le demandent
les Normes professionnelles de l’audit
Le terme d’« audit de performance » est interne. Cet article a pour but d’expli-
à l’origine un type d’audit lié au secteur quer comment bien commencer dans ce
public, pratiqué notamment aux Etats- domaine et se base sur des exemples
Unis et régi par une organisation spé- simples d’analyse de la performance.
ciale (INTOSAI1). L’objectif des audits de
performance est de vérifier si l’argent L’audit de performance se base sur 3
des contribuables est bien utilisé, on les principes qui sont l’efficacité, l’efficience
Diplômé de l’ISC et de HEC (Execu-
appelle aussi « Value for Money audits ». et l’économie, que l’on peut redéfinir
tive Mastère Gestion Financière),
comme le respect des objectifs, la pro-
CIA, CFE, CRMA, Emmanuel Pascal
Pourquoi ne pas faire le même exer- ductivité, la maîtrise des coûts des opé-
est Corporate Audit Manager du
cice pour les actionnaires ? rations (Cf. schéma 2).
groupe anglais de distribution
Dans le contexte actuel de crise, l’audit
Brakes. Il a précédemment mis en
interne doit pouvoir aller au-delà des Le contrôle de la performance
place le service d’Audit Interne de la
contrôles de conformité et contrôles et les normes
Réunion des Musées Nationaux.
financiers en étudiant d’autres formes
Dans son mémoire de Mastère, il a
d’audits comme les audits de perfor- Le rôle de l’audit interne est de s’assurer
étudié comment mesurer la perfor-
mance. Bien sûr, des contrôles de per- que la direction met tout en place pour
mance des stratégies de gestion
formance sont souvent déjà intégrés réduire les risques qui existent dans
des variations de prix des matières
dans les programmes de travail, mais l’entreprise ; la sous-performance
premières agroalimentaires.
l’étude poussée de la performance n’est constitue un risque pour l’entreprise qui
pas toujours un objectif. Ces types d’au- doit être évalué. Le contrôle de la per-
Les précautions à prendre Calcul des indicateurs Mesurer la performance et la comparer à des données
internes ou externes.
avant de se lancer
Phase 1 : Analyse des Qu’est-ce qui peut ralentir le processus ou gâcher des
Avant d’envisager cet audit, il faut pren- facteurs de ralentisse- ressources ?
dre en compte les points suivants : ment
• Fixer des objectifs atteignables –
L’objectif devrait être, dans un premier Phase 2 : Analyse du Qu’est-ce qui peut optimiser le processus ou l’usage
temps, d’évaluer la pertinence du potentiel d’optimisa- des ressources ?
risque de sous-performance. S’il tion
Avant d’aborder les méthodes d’évalua- Ressources clés Visiteurs, heures de forte affluence
tion de la performance, il faut réaliser
Calcul des indicateurs Chiffre d’affaires par visiteur (heure par heure)
une analyse du domaine étudié sous
l’angle du risque de sous-performance
Phase 1 : Facteurs de • Temps d’encaissement
en étudiant son métier, ses processus ralentissement • Temps de réapprovisionnement
clés et ses ressources clés (Cf. schéma 3). • Accès limité aux produits
Le métier d’une société ou d’un Phase 2 : Potentiel • Produits non adaptés aux besoins des visiteurs
domaine n’est pas forcément l’objectif d’optimisation (langue, format)
affiché par l’entreprise dans ses mes- • Difficultés à identifier les produits
• Vendeurs non formés aux langues des visiteurs
sages ou sa culture, mais l’objectif qui va
lui permettre de créer de la valeur en
maximisant ses ressources ou de ne pas domaine étudié ? La ressource clé n’est période ou un domaine donné. Ces
en détruire. Il faut alors étudier quels pas seulement une matière première ou indicateurs seront établis à partir des
sont les processus qui permettent d’at- un temps machine, elle peut être aussi ressources clés définies auparavant et
teindre ces objectifs en écartant les pro- une ressource humaine particulière liée seront comparés à des indicateurs
cessus subis sans réelle plus value pos- à un savoir-faire ou encore un paramètre externes ou internes (autre domaine /
sible et en ne gardant que les processus de temps (voir schéma 4). pays).
où l’on pourrait dégager de la valeur.
Méthodes d’analyse Pour ce qui est des méthodes d’analyse
En ce qui concerne les ressources clés, il utilisées, j’en distingue deux complé-
faut partir du raisonnement suivant : La performance sera étudiée au travers mentaires. Ainsi, après avoir étudié ce
quelles sont les ressources rares du d’indicateurs qui seront utilisés sur une qui va ralentir le processus type, il
faut étudier comment l’accélérer en
déterminant les facteurs de création
Schéma 4 : Exemples de ressources clés
et de destruction de valeur. La pre-
mière va consister à identifier et étudier
Ressources clés : Sources de création de valeur
tous les facteurs ralentissant le proces-
Exemple
sus concerné dans les domaines organi-
sationnels (gestion des présences du
Actifs Clients Temps personnel, tâches superflues…) et tech-
disponibles disponibles disponibles niques (vitesse de traitement informa-
tique par exemple). Avec la deuxième
• Logiciels • Fréquentation • Créneaux horaires méthode, on va rechercher comment
• Machines • Abonnés • Saisons accélérer le processus en passant en
• Surfaces, volumes • Zone de chalandise • Temps de travail en
revue les facteurs de création et de des-
• Droits • Fonds de commerce général
Autorisations
• Autorisatio • Temps de travail des truction de valeur au sein du domaine,
personnes avec un notamment en optimisant l’usage des
savoir-faire particulier ressources (voir exemple dans le schéma
1
CONFÉRENCE annuelle
ère
Paris 14 novembre 2013
Innovation, maîtrise et
performance : réinventer
l’audit et le contrôle internes
Une journée complète, organisée autour de conférences et d’ateliers, résolument tournée
vers le partage des savoirs et les échanges d’idées pour répondre aux défis de la profession.
1 allocution d’ouverture et 1 allocution de clôture avec des intervenants prestigieux du
monde économique et politique
5 plénières / 6 ateliers
Des démonstrations des fournisseurs de logiciels
Les conclusions de l’enquête IFACI – Ernst & Young sur l’innovation
Des moments d’échange et de convivialité lors de pauses, d’un déjeuner et d’un cocktail de
clôture
Evénements
tiels permettant de « bench- processus métiers compor- réglementaire…
marker » les entités. Le tent des indicateurs de pilo- La valorisation des risques
positionnement : appui au tage de la performance, les- opérationnels est nécessaire
management et contribu- quels indicateurs permet- au calcul des fonds propres
tion à l’atteinte des objec- tent au contrôle interne de exigés (Bâle II). En pratique,
Contrôle interne et tifs. dimensionner les efforts par il y a discussion et valida-
contrôle de gestion : rapport aux enjeux, et d’être tion du plan d’action avec
quelles interactions ? Quelques spécificités. en mode réactif. Le contrôle le management et scorecard
L’approche se fait par les continu transactionnel inté- en appui à la recommanda-
Réunion mensuelle processus et les systèmes resse à la fois le contrôle tion. Dans tous les cas, la
du 20 février 2013 – extrait pour le contrôle interne ; interne et le contrôle de valorisation est réalisée par
par les indicateurs (tableaux gestion, d’où l’intérêt d’un nécessité méthodologique.
Si l’on considère les trois de bord) pour le contrôle de investissement commun. Les recommandations font
lignes de maîtrise des gestion. La gestion est cen- l’objet d’un suivi très rap-
activités, contrôle interne trée sur les dysfonctionne- Deux points forts, deux proché : envoi mensuel du
et contrôle de gestion se ments dans les processus et enjeux. Intégrer la dimen- reporting des points d’audit
retrouvent tous deux dans les systèmes pour le sion risques : un point fort ouverts aux différents
la deuxième ligne, avec la contrôle interne ; sur les du contrôle interne, un départements ; mutualisa-
gestion des risques, la risques affectant le modèle enjeu pour le contrôle de tion de la méthodologie et
conformité, la qualité, la économique et la réalisa- gestion. Développer la des outils de suivi entre la
sécurité, etc. La première tion du budget pour le notion de « business part- deuxième et la troisième
ligne de maîtrise est sous la contrôle de gestion. La ner » : un point fort du ligne de défense (reporting
responsabilité du manage- démarche du contrôle contrôle de gestion, un au comité mensuel de pilo-
ment opérationnel ; la troi- interne est structurée par enjeu pour le contrôle tage des risques opération-
sième ligne revient à l’audit des référentiels interne. nels de toutes les recom-
interne qui procure une (risques/contrôles) ; par le mandations à échéance
assurance. processus budgétaire pour trois mois ; outil informa-
le contrôle de gestion. Les Faut-il et comment tique centralisé de recense-
Quels sont les enjeux pour livrables du contrôle peut-on valoriser les ment et de suivi des
les deux fonctions ? Le interne sont les référentiels, recommandations ? risques ; processus
dénominateur commun que les résultats, les évalua- d’ « escalade » en cas de
sont les données ; une évo- tions, les plans d’actions, le Réunion mensuelle recommandations non
lution vers des thèmes rapport sur le contrôle du 18 mars 2013 mises en œuvre).
communs. interne ; pour le contrôle de (Source : ING DIRECT)
gestion, ce sont les tableaux La valorisation des recom-
Les points communs entre de bord et les plans d’ac- mandations se fait via score- Valoriser les recommanda-
les deux fonctions. La tions… card sur deux axes : en tions pour clarifier la vision
valeur ajoutée : perfor- fonction de l’impact finan- de l’activité auditée. L’audit
mance des opérations, opti- L’enjeu commun des don- cier et de la probabilité doit apporter une vision
misation des ressources, nées. Le contrôle interne d’occurrence, avec une synthétique et hiérarchisée
gestion des risques. La doit fiabiliser les indicateurs adaptation selon l’appétit des risques rencontrés. La
méthodologie d’analyse : utilisés par le contrôle de au risque (small business, hiérarchisation impose la
vision transversale de l’or- gestion, autrement dit toute large business). Les risques valorisation de toutes les
ganisation, interactions la chaîne de traitement. Le les plus difficiles à valoriser recommandations.
avec les autres fonctions de contrôle interne s’ajuste en sont les risques Considérer le processus de
l’entreprise, production fonction des indicateurs de « abstraits » : risques de valorisation des recomman-
d’indicateurs et de référen- pilotage des activités. Les réputation, de sanction dations comme un moment
d’échange avec les audités. points d’audit : risques de la protection des données sabilisation et l’appropria-
La valorisation est un élé- gouvernance, environne- fixe les règles. tion, et de placer l’éthique
ment objectif résultant d’un mentaux… au cœur des processus de
dialogue avec les audités. Peut-on valoriser tous les Les mesures de protection management.
Un travail collaboratif avec points d’audit ? Certains à mettre en place vis-à-vis
ces derniers donnera une sujets se prêtent difficile- des whistleblowers La démarche éthique à EDF
vision claire et exhaustive ment à la valorisation : ainsi Une protection en amont En 2003, mise en place
de la situation à la direction de la santé et de la sécurité. de la relation contractuelle d’une démarche éthique et
générale et au conseil d’ad- (Source : de travail, incluant les pro- d’un code éthique. Créa-
ministration. ARCELORMITTAL France) cédures de recrutement ; le tion d’un dispositif d’alerte
Toutes les recommanda- traitement des alertes pro- en 2004. Renforcement de
tions doivent être valorisées fessionnelles par une orga- la démarche en 2007. Dis-
afin de mettre en relief les Charte éthique et nisation spécifique ; l’obli- positif d’alerte certifié CNIL
principaux risques. La valo- alerte gation d’information envers en 2011. Renouvellement
risation des recommanda- professionnelle : le whistleblower, etc. de la charte éthique en
tions doit être objective et le point sur ces outils (Source : 2013.
constante dans le temps. La de responsabilité JEANTETASSOCIES)
valorisation des recomman- sociétale Les enjeux de la charte
dations implique un suivi Le dispositif d’alerte éthique groupe
post audit cohérent et régu- Réunion mensuelle éthique de Thales Les objectifs sont de contri-
lier. du 30 mai 2013 La CNIL autorise Thales à buer à la création d’une
(Source : CNP Assurances) mettre à la disposition des identité de groupe ; de
Evolution de la salariés, à titre complémen- mieux vivre et mieux tra-
Faut-il valoriser les recom- réglementation en France taire aux autres canaux vailler ensemble ; de
mandations ? Oui. La mis- Le système d’alerte est en d’alerte existant dans l’en- réduire les risques de
sion de l’audit interne est voie de construction. Des treprise, un dispositif facul- conformité, de réputation et
aussi de contribuer à créer résistances apparaissent de tatif d’alerte profession- de cohésion sociale aux-
de la valeur ajoutée, et de la part de la CNIL et de nelle. quels le groupe est exposé
prouver son apport à cette l’inspection du travail. Les Les champs d’application du fait de son activité dans
création de valeur, par la syndicats estiment que les sont les domaines compta- le monde ; de répondre à
mesure des gains : ce qui ne dispositifs de whistleblowing ble, financier, bancaire, la l’interpellation des parties
se mesure pas n’existe pas. sont attentatoires aux droits lutte contre la corruption prenantes par le partage
Il doit s’établir une relation des salariés. Depuis 2005, ou la concurrence, ainsi que d’un standard éthique com-
de fournisseur à client entre lois et décisions jurispru- la discrimination, le harcè- mun aux sociétés et à tous
les business units et l’audit dentielles se succèdent lement ou le non-respect les salariés du groupe.
interne. Concernant le pour préciser les conditions de la législation sur l’hy-
comité d’audit et la direc- dans lesquelles il est possi- giène et la sécurité mettant Le dispositif alerte éthique
tion générale, ces deux ble de mettre en place un en péril la santé physique Tout salarié du groupe doit
organes sont très attachés à dispositif d’alerte éthique. ou mentale des salariés. pouvoir alerter son mana-
la valorisation et la rappro- Les règles de fonctionne- gement sur toute situation
chent du budget de l’audit La situation au sein de ment prévoient un disposi- contraire aux valeurs et aux
interne. l’Union européenne tif facultatif, dans le respect engagements du groupe. La
aujourd’hui de la loi et des règles appli- commission éthique et
La typologie des valorisa- On note une grande diver- cables dans le pays où le déontologie du groupe
tions est triple. Les recove- sité des systèmes juri- salarié réside ou exerce ses garantit la confidentialité et
ries réels et potentiels. Les diques. Au Royaume-Uni, activités, avec un engage- l’anonymat ainsi que l’ab-
valorisations subjectives : une loi protège les whistle- ment de confidentialité, et sence de représailles à tout
profits potentiels ; endiguer blowers du licenciement et un seul responsable du dis- auteur d’alerte de bonne foi
les pertes à venir ; mesures des pressions. En Italie, la positif. quel qu’il soit.
préventives ; amélioration loi anticorruption ne pré- L’alerte éthique a pour but
des contrôles en place … voit aucune protection des de développer des
Les enjeux généraux ou whistleblowers. En Espagne, approches comportemen-
financiers associés aux une loi organique relative à tales basées sur la respon-
S’initier à l’audit interne 2j 950 € 1 125 € 10-11 5-6 14-15 4-5 16-17 6-7 1-2 5-6 3-4 7-8 2-3
Conduire une mission d’audit interne : la méthodologie 4j 1 950 € 2 150 € 14-17 11-14 18-21 8-11 21-24 10-13 1-4 9-12 7-10 12-15 9-12
Maîtriser les outils et les techniques de l’audit 3j 1 625 € 1 775 € 21-23 18-20 25-27 15-17 27-29 17-19 8-10 16-18 14-16 18-20 16-18
Maîtriser les situations de communication orale de l’auditeur 2j 1 050 € 1 150 € 24-25 21-22 28-29 18-19 30-31 20-21 11-12 19-20 17-18 21-22 19-20
Réussir les écrits de la mission d’audit 2j 1 050 € 1 150 € 28-29 25-26 25-26 22-23 30-31 24-25 11-12 23-24 21-22 25-26 19-20
Exploiter les états financiers pour préparer une mission d’audit 3j 1 525 € 30-
1 675 € 01/02 20-22 15-17 25-27 4-6
Désacraliser les systèmes d’information 3j 1 525 € 1 675 € 27-29 3-5 25-27 16-18
Détecter et prévenir les fraudes 2j 1 050 € 1 150 € 27-28 24-25 26-27 23-24 23-24 2-3
Le management
Piloter un service d’audit interne 2j 1 300 € 1 450 € 16-17 23-24 15-16
Manager une équipe d’auditeurs au cours d’une mission 1j 685 € 770 € 25 4 29
L’audit interne dans les petites structures 1j 685 € 770 € 18 28 1
Balanced Scorecard du service d’audit interne 1j 685 € 770 € 22 19 15
Le suivi des recommandations 1j 685 € 770 € 18 11 14 30 18
Préparer l’évaluation externe du service d’audit interne 2j 1 300 € 1 450 € 20-21 13-14 25-26
L’audit interne, acteur de la gouvernance 1j 685 € 770 € 12 14
Audit interne, contrôle interne et qualité : les synergies 1j 685 € 770 € 19 17 7
Les audits spécifiques
Audit du Plan de Continuité d’Activités - PCA 2j 1 300 € 1 450 € 26-27 25-26 19-20
Audit de la fonction Comptable 2j 1 300 € 1 450 € 15-16 17-18
Audit de performance de la gestion des Ressources Humaines 3j 1 525 € 1 675 € 23-25 27-29
Audit de la fonction Achats 2j 1 300 € 1 450 € 12-13 13-14 23-24
Audit des Contrats 1j 685 € 770 € 1 3 14
Audit de la fonction Contrôle de Gestion 2j 1 300 € 1 450 € 28-29 25-26
Audit de la Sécurité des Systèmes d’Information 2j 1 300 € 1 450 € 20-21 26-27
Audit des Processus Informatisés 2j 1 300 € 1 450 € 17-18 11-12
Audit de la Conformité à la Législation Sociale 2j 1 300 € 1 450 € 25-26 21-22
Audit du Développement Durable 2j 1 300 € 1 450 € 29-30 3-4
Audit des Projets et Investissements Nouveau 2j 1 300 € 1 450 € 9-10 27-28
SE FORMER DANS LE SECTEUR PUBLIC
Le contrôle interne dans le secteur public 2j 1 300 € 1 450 € 14-15 15-16 9-10 14-15
Pratiquer l’audit interne dans le secteur public 4j 1 950 € 2 150 € 26-29 17-20 8-11 10-13
SE FORMER DANS LE SECTEUR BANCAIRE ET FINANCIER
Le contrôle permanent et la conformité dans le secteur 3j 1 525 € 1 675 € 5-7 18-20 11-13
bancaire et financier
Pratiquer l’audit interne dans une banque ou un établissement 4j 1 950 € 2 150 € 10-13 23-26 16-19
financier
SE FORMER DANS LE SECTEUR DES ASSURANCES
Le contrôle interne dans le secteur des assurances 2j 1 300 € 1 450 € 7-8 21-22 5-6 21-22
Pratiquer l’audit interne dans le secteur des assurances 4j 1 950 € 2 150 € 19-22 24-27 15-18 3-6
SE FORMER DANS LES SECTEURS INDUSTRIE ET COMMERCE
Audit de la gestion des stocks et de la logistique Nouveau 2j 1 300 € 1 450 € 30-31 1-2
Audit du processus de ventes Nouveau 2j 1 300 € 1 450 € 3-4 24-25
ACQUÉRIR UNE CERTIFICATION Voir notre site internet : www.ifaci.com
IFACI Formation - Tél. : 01 40 08 48 08 - Mel : formation@ifaci.com - Retrouvez également le programme complet sur le site internet www.ifaci.com
FICHE TECHNIQUE
Steeve Bensoussan
Responsable support et méthodes, Revue « Audit & Contrôle internes » : La norme 2440, concernant
audit interne, LaSer la diffusion des résultats, a été révisée en 2013. Elle réaffirme la respon-
sabilité du responsable d’audit interne en matière de revue et d’approba-
tion du rapport. Quel est le processus d’élaboration du rapport d’audit
Diplômé de l'ESC Bordeaux en
au sein de votre établissement ?
1997, Steeve Bensoussan intègre
la direction commerciale du
Steeve Bensoussan : L’organisation du service permet un processus
groupe LaSer. Après 10 années à d’élaboration du rapport simple et efficace. Notre service, directe-
différents postes, il rejoint l'audit ment rattaché à la direction générale du groupe, comprend trente
interne en septembre 2006 comme collaborateurs. Il est organisé en 5 pôles : deux couvrent la France,
auditeur. Depuis mi-2011 il est deux l’international et un pôle support et méthodes que je manage.
responsable du pôle support et Rattaché au responsable de l’audit interne du groupe, chaque chef
méthodes. de mission, responsable d’un pôle, gère une équipe d’auditeurs.
Les missions d’audit se font avec un ou plusieurs pas dans la version définitive du rapport d’audit. Ce
auditeurs en fonction du thème et de la nature de la rapport est envoyé à la direction générale et au
mission (conformité, efficacité…). Chacun des audi- membre du comité exécutif, responsable de l’entité
teurs rédige la partie dont il a la charge, et la soumet auditée. Le directeur de la conformité reçoit systéma-
à son chef de mission, pour validation. Ce dernier, tiquement les rapports émis. En complément du
après s’être assuré que l’ensemble est coordonné et rapport, le responsable de l’audit interne présente, au
cohérent entre les différents domaines ou thèmes directeur général, ses conclusions, assisté du chef de
analysés par les auditeurs, consolide les parties du mission concerné.
rapport d’audit, et rédige le rapport de synthèse. Une
fois le rapport rédigé, le chef de mission le remet au A&CI : Quelle est la visibilité, donnée aux actionnaires
responsable de l’audit interne qui le valide avant diffu- du groupe LaSer, sur les rapports d'audit ?
sion. Le responsable de l’audit interne a donc une
vision exhaustive des rapports d’audit. S. B. : En complément de nos interventions ponc-
tuelles à chaque conseil d'administration LaSer, un
Pour les missions d’audit d’efficacité, il est établi un comité d'audit se réunit deux fois par an. Lors des
rapport de synthèse et un rapport détaillé ; pour des présentations en comité d'audit, nous avons en
missions de conformité, un seul rapport est produit. support le rapport du contrôle interne (CRB 97-02)
pour la partie audit interne dans lequel sont intégrées
A&CI : Le manager opérationnel intervient à quel niveau, les synthèses des rapports d'audits réalisés pendant la
à quel moment ? Quel est son droit de regard ? période. En parallèle, les actionnaires peuvent
toujours demander le détail d'un rapport.
S. B. : En amont de la finalisation du rapport nous
échangeons beaucoup. Après une première phase de A&CI : Comment les responsabilités du RAI sont-elles
rédaction du rapport, un projet est présenté oralement décrites dans le guide de procédure de l’audit interne ?
au manager opérationnel audité. A cette occasion Comment sont-elles mises en œuvre ?
nous nous mettons d’accord sur les différents Y a-t-il des cas exceptionnels comme les missions de
constats, les recommandations émises, et nous nous conseil ? Comment cela se passe-t-il ?
calons sur des bases identiques afin d’éviter des inco-
hérences à réception de la version finalisée du rapport. S. B. : Nous disposons d’une charte d’audit interne,
Le chef de mission participe aux débriefs intermé- où sont précisés notamment les responsabilités des
diaires, moments clefs dans la mission d’audit et différents intervenants, nos engagements, nos
assure le dernier débrief au responsable de l’entité missions, etc. Dans cette charte, nous rappelons nos
auditée. Ces derniers échanges permettent au chef de principes d’engagement, de confidentialité et de
mission de finaliser son rapport, validé par le respon- déontologie.
sable du service audit interne. En parallèle, à l’usage des audités, notre procédure sur
la conduite d’une mission d’audit interne, explique le
Les managers audités et le responsable d’entité ont principe, les modalités, les processus, etc.
deux semaines pour nous faire un retour écrit avec
leurs remarques et leurs commentaires. En fonction Nous n’effectuons pas de missions de conseil. Nous
des constats d’audit, nous les prenons en compte ou faisons de l’audit interne avec des missions d’audit
En parallèle, nous essayons d’identifier les risques Chiffres-clés fin 2012 en Europe
potentiels des process audités à l’aide de notre propre 1,2 milliard € de chiffre d'affaires
cartographie des risques. 5 219 collaborateurs
10,9 milliards € d’encours gérés
A&CI : Et quand il n’y a pas de DMR, êtes-vous force de 20 millions de cartes diffusées
proposition ?