Académique Documents
Professionnel Documents
Culture Documents
La menace est
omniprésente dans
les organisations
Il faut ne pas la sous-estimer
et avoir beaucoup d’humilité
Guillaume Pepy
Président du Directoire de SNCF
N°012
4e trimestre 2017
VOTRE PASSEPORT
PROFESSIONNEL
INTERNATIONAL
Le CIA est la seule certification en audit interne
internationalement reconnue
04 EDITO 10
Face aux menaces grandissantes,
l’Univers d’Audit s’élargit
06 VOIX DE LA FRANCOPHONIE
Organisation Internationale de la Francophonie
Rôles de l’audit interne et du Comité d’audit
21 À LA DÉCOUVERTE DE...
Les spécificités et les enjeux
de la sûreté nucléaire
25
25 POINT DE VUE
La sécurité industrielle
est-elle un art du compromis ?
29 DOSSIER
30 Sécurité, Sûreté
Les entreprises face à leurs obligations
33 La prévention des risques relatifs à la sécurité et à la
29
sûreté
Une priorité pour l’audit interne de Michelin
36 Sûreté et sécurité chez Sodexo
Quel rôle pour l'audit interne ?
41 La gestion de la sûreté
De l'émergence du risque de sûreté à son management
dans le périmètre des sociétés intermédiaires
internationales
44 Le système de management de la sûreté
de Schneider Electric
46 Cartographie des risques de malveillance SÉCURITÉ / SÛRETÉ
Pourquoi ? Comment ? Le rôle de l’auditeur interne
48 TÉMOIGNAGES
Sécurité informatique et contrôle interne 48
52 LIBRES PROPOS
Mon plan d’audit, quel plan d’audit ?
54 ACTUALITÉ
L
n°012 - 4e trimestre 2017 es risques afférant à la sécurité et à la sûreté sont multiformes et de plus
en plus angoissants (cyber attaques, menaces nucléaires, terrorisme,
EDITEUR
Union Francophone de l’Audit Interne (UFAI) réchauffement climatique…), et les organisations déploient d’énormes
Association Loi 1901 efforts pour les maîtriser. Le groupe SNCF en est un exemple édifiant, qui
98 bis, boulevard Haussmann - 75008 Paris (France) à la suite de plusieurs graves accidents ferroviaires, a revisité sa politique de sécu-
Tél. : 01 40 08 48 00 - Mel : institut@ifaci.com
rité de l’exploitation et en a repensé son pilotage. Dans l’interview que Guillaume
Internet : www.ufai.org
Pepy, Président du Directoire de SNCF, a bien voulu nous accorder, il précise les
DIRECTEUR DE PUBLICATION dispositions adoptées à cet effet : renforcement de la direction des Audits de
Tommaso Capurso
sécurité, direction indépendante, placée hors structures de production, travaillant
RESPONSABLE DE LA RÉDACTION pour l’ensemble du groupe public ferroviaire ; création en 2015 d’une direction
Philippe Mocquard
d’audit et des risques (DAR) agissant également pour le compte des 3 Epic (SNCF,
RÉDACTEUR EN CHEF Réseau et Mobilités). Pour Guillaume Pepy « Les constats effectués et les recomman-
Louis Vaurs
dations formulées (par la DAR) doivent, nous aider à nous projeter, à éclairer le chemin
COMITÉ RÉDACTIONNEL que nous avons à prendre et nous sécuriser ainsi dans notre capacité à relever les défis
Louis Vaurs - Tommaso Capurso - Eric Blanc - qui sont les nôtres et à atteindre ainsi les objectifs stratégiques que nous nous sommes
Antoine de Boissieu - Christian Lesné
fixés ».
SECRÉTARIAT GÉNÉRAL
Eric Blanc - Tél. : 06 15 04 56 32 - Mel : eblanc@ifaci.com
Cette conclusion met en évidence le chemin parcouru par l’audit interne depuis
CORRESPONDANTS une quinzaine d’années dans la plupart des organisations. L’audit interne est
Amérique : Farid Al Mahsani dorénavant reconnu, apprécié, proche des préoccupations des organes diri-
Maghreb : Nourdine Khatal
Afrique subsaharienne : Fassery Doumbia geants et à même de répondre à leurs attentes. Il faut reconnaître que le profes-
sionnalisme des équipes d’audit a considérablement progressé, en France
RÉALISATION
EBZONE Communication
notamment, grâce à la mise en place, au début des années 2000, de la certifica-
22, rue Rambuteau - 75003 Paris tion des services d’audit interne qui, au-delà de s’assurer chaque année du
Tél. : 01 40 09 24 32 - Mel : ebzone@ebzone.fr respect strict des Normes, suggère aux directions d’audit interne des pistes de
IMPRESSION progrès pour améliorer leur performance. Dans le même temps, l’univers d’audit,
Imprimerie Bialec s’est fortement élargi et des audits de sécurité et de sûreté font d’ores et déjà
23, allée des Grands Pâquis - C.S. 70094 partie des missions récurrentes des directions d’audit interne de certaines orga-
54183 Heillecourt Cedex (France)
nisations, comme vous pourrez le constater dans ce numéro.
ABONNEMENT
Michèle Azulay - Tél. : 01 40 08 48 15 L’univers d’audit peut-il couvrir le domaine du nucléaire ? Jacques Repussard
Mel : mazulay@ifaci.com
ancien Directeur général de l’Institut de Radioprotection et de Sûreté Nucléaire
Revue trimestrielle (4 numéros par an) ne le croit pas ; en lisant son interview technique et précise on comprendra aisé-
ISSN : 2427-3260 ment pourquoi. Il estime toutefois que, par bien des points, la démarche des
Dépôt légal : décembre 2017 inspecteurs du nucléaire est proche de celle des auditeurs internes. Ce témoi-
Crédit photo couverture : © SNCF
gnage, de portée générale, devrait intéresser bien au-delà des acteurs de la
maîtrise des risques.
Les articles sont présentés sous la responsabilité
de leurs auteurs.
Faut-il, pour mieux se protéger, se doter d’une batterie d’indicateurs que l’on
Toute représentation ou reproduction, intégrale ou partielle, renouvelle régulièrement ? René Amalberti, Directeur de la Fondation pour une
faite sans le consentement de l’auteur, ou de ses ayants droits,
ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1er de culture de sécurité industrielle, ne le pense pas. Dans un article bien argumenté,
l’article 40). Cette représentation ou reproduction, par quelque il estime qu’un nouvel espace théorique du pilotage de la sécurité doit se dessi-
procédé que ce soit, constituerait une contrefaçon sanction-
née par les articles 425 et suivants du Code Pénal.
ner relevant sans doute davantage d’un art du compromis. A méditer.
Bonne lecture.
Louis Vaurs -
Rédacteur en chef
© vege - Fotolia.com
Organisation
Internationale
de la Francophonie
Rôles de l’audit La jeune Direction de l’audit interne (DAI) de l’OIF a pris son élan.
Jeune, certes. Mais forte aussi.
Forte de ses compétences techniques et surtout humaines, indis-
interne et du pensables dans le contexte multiculturel, au service des
nombreux Etats membres et gouvernements.
Forte aussi grâce aux valeurs fondatrices inspirantes, univer-
Aissatou T. Dia Ndiaye, Directrice de l’Audit Description de souhaitant les utiliser au service de
interne de l'OIF l’Organisation la paix, de la coopération et du
Internationale de la développement, a pour objectifs
Francophonie (OIF) d’aider :
à l’instauration et au développe-
L'Organisation internationale de ment de la démocratie, à la pré-
la Francophonie (OIF) représente vention des conflits et au soutien
Tommaso Capurso, Président du Comité l'une des plus grandes zones lin- à l’état de droit et aux droits de
d’audit de l'OIF, Président de l'UFAI guistiques du monde. La langue l’Homme ;
française et les valeurs huma- à l’intensification du dialogue
nistes qu’elle promeut représen- entre les cultures et les civilisa-
tent les deux pierres angulaires tions ;
de l'Organisation internationale au rapprochement des peuples
de la Francophonie. par leur connaissance mutuelle ;
au renforcement de leur solida-
« La Francophonie, consciente des rité par des actions de coopéra-
liens que crée entre ses membres le tion multilatérale en vue de favo-
partage de la langue française et riser l’essor de leurs économies ».
L'OIF a été créée en 1970. Sa mis- missions politique, économique, Francophonie avec les autres Fonctionnement de
sion est d'incarner la solidarité administrative et financière, de organisations internationales ; l’audit interne de l’OIF
active entre ses 84 Etats mem- coopération et programmation, une contribution de l’Organi-
bres et gouvernements (58 mem- ainsi que des commissions ad sation significative à de grands Le CPF, en date du 25 novembre
bres et 26 observateurs) sur les 5 hoc) est composé des représen- rendez-vous internationaux 2014 à Dakar, a adopté le Règle-
continents, qui représentent tants personnels dûment accré- tels que les conférences sur le ment financier de l’OIF révisé, qui
ensemble plus d'un tiers des Etats dités par les chefs d’État ou de climat ; comporte une réforme du
membres des Nations Unies et gouvernement membres des la mise à disposition des jeunes contrôle interne, ainsi que la
une population de plus de 900 Sommets. Présidé par la Secré- et des femmes de moyens Charte de l’audit interne de l’OIF
millions de personnes, dont 274 taire générale, le Conseil est additionnels, notamment des entrée en vigueur le 1er Janvier
millions de francophones. L'OIF chargé de la préparation et du incubateurs d’entreprises, afin 2015.
organise des activités politiques suivi du Sommet, sous l’autorité de favoriser leur insertion éco-
et des actions de coopération de la Conférence ministérielle. Il nomique ; La Charte de l’audit interne
multilatérale en faveur des popu- a notamment pour mission de la réalisation d’initiatives inno- contribue à promouvoir une cul-
lations francophones. Elle met en veiller à l’exécution des décisions vantes de mobilisation de la ture éthique au sein de la profes-
œuvre et finance des pro- prises par la Conférence minis- jeunesse telles que « Libres sion d’audit interne à l’OIF. Elle a
grammes sur l’étendue de ses térielle, d’examiner et d’approu- ensemble » ; pour but de définir son cadre de
domaines de compétences (éco- ver les projets, de procéder aux la tenue d’une conférence fonctionnement, conformément
nomie, numérique, culture, envi- évaluations des programmes internationale sur la lutte aux normes internationales pour
ronnement et gouvernance). des opérateurs, d’exercer un rôle contre le terrorisme et la pré- la pratique professionnelle de
d’animateur, de coordonnateur vention de la radicalisation vio- l’audit interne.
Les instances politiques de la Fran- et d’arbitre, tant en ce qui lente ;
cophonie sont au nombre de trois : concerne le volet politique et la restructuration administra- Le premier Comité d’audit d’avril
économique que le volet de tive et financière de l’OIF afin 2015 a fixé les modalités pra-
1. La Conférence des chefs d’Etat coopération. de renforcer les synergies et de tiques de fonctionnement du
et de gouvernement des pays favoriser le resserrement des Comité d’audit de l’OIF ainsi que
ayant le français en partage, Ces dernières années, l’OIF a réa- programmes ; le modus operandi de la Direction
plus communément désignée lisé de nombreuses actions, dont : la Conférence des femmes de de l’audit interne au regard du
par le terme de « Sommet », le soutien à l’enseignement la Francophonie à Bucarest en Règlement financier et la Charte
rassemble, tous les deux ans, massif du Français (2ème langue novembre 2017, organisée de l’audit interne de l’OIF.
les chefs d’État ou de gouver- apprise dans le monde) ; conjointement avec la Rouma- Cette Charte, suite à la création
nement des pays membres de la mise en place de l’Institut de nie ; de la Direction de l’audit interne
l’OIF. « Instance suprême de la la Francophonie pour l’Éduca- l’accompagnement politique (DAI), fait état de la « définition »
Francophonie, le Sommet défi- tion et la Formation (IFEF) à et technique des processus internationale de l’audit interne,
nit les grandes orientations Dakar ; électoraux dans les pays mem- des normes de l’audit interne, du
politiques de la Francophonie l’ouverture d’un nouveau bres ; code de déontologie, du Comité
et confirme les grandes lignes bureau régional de l’OIF pour l’organisation des 8èmes Jeux de d’audit, des missions, des pou-
de la coopération pour les l’Océan indien ; la Francophonie en Côte voirs et des responsabilités et du
années à venir de manière à le renforcement des liens de la d’Ivoire en 2017. double rattachement (hiérar-
assurer son rayonnement dans
le monde et à en satisfaire ses
objectifs ».
2. La Conférence ministérielle de
la Francophonie (CMF) est
composée des ministres des
Affaires étrangères ou des
ministres chargés de la Fran-
cophonie des pays de l’OIF.
Cette Conférence annuelle a
pour mission de veiller à l’exé-
cution des décisions arrêtées
lors d’un Sommet et de prépa-
rer le Sommet suivant. En
outre, elle recommande au
Sommet l’admission de nou-
veaux membres et de nou-
veaux observateurs. Elle siège
également comme Confé-
rence générale de l’Agence
intergouvernementale de la
Francophonie.
chique / fonctionnel) de la DAI, Maroc, sont une pratique impor- de la Commission administrative d’audit, peut inviter, de manière
du champ d’intervention de l’au- tante et récurrente. et financière (CAF) comme mem- ad hoc, au cas par cas, les ordon-
dit interne, des missions de l’audit La DAI participe à toutes les réu- bre de plein droit, quatre repré- nateurs délégués (Administrateur,
interne, de l’évaluation du Direc- nions des directions et des ins- sentants qualifiés des États et Directeurs, Responsables des uni-
teur, en l’occurrence la Directrice tances de l’OIF. gouvernements membres de tés administratives), des membres
de l’audit interne, et du pro- l’OIF, respectivement le Canada, du Cabinet de la Secrétaire géné-
gramme d’assurance et d’amélio- Fonctionnement du la France, le Gabon et le Niger, rale (Directeur de Cabinet,
ration de la qualité. Comité d’audit ainsi que deux experts externes. Conseillers, etc.), la Conseillère
La Directrice de l’audit interne est juridique, le Directeur de l’Audit
La Directrice de l’audit interne a Le Comité d’audit, institué par le présente à toutes les sessions du Externe ou toute autre partie pre-
pris fonction en mai 2017 et, Règlement financier précité, a été Comité d’audit et en assure le nante interne et/ou externe à
depuis quelques mois, a initié installé par la Secrétaire générale secrétariat. l’OIF.
une démarche d’établissement de la Francophonie, Son Excel-
d’un univers d’audit et d’une car- lence Madame Michaëlle Jean, le Le Comité d’audit est présidé par Selon les dispositions en vigueur
tographie des risques de l’OIF afin 1er avril 2015, lors de sa première l’un des deux membres experts en matière de confidentialité des
de permettre l’élaboration d’un session. Le Comité d’audit a été externes, désignés par le CPF sur informations, les documents liés
plan d’audit annuel fondé sur les créé essentiellement pour veiller la base de leurs compétences en au Comité d’audit ne sont pas
risques, pour examen par le à l’indépendance et à l’efficience particulier dans les domaines de publiés sur la plate-forme des ins-
Comité d’audit avant soumission et l’efficacité des activités de la l’audit, du contrôle et des risques, tances, ni diffusés à des tierces
à la Secrétaire générale pour DAI. La Secrétaire générale consi- sur proposition du Bureau de parties internes ou externes à
approbation. dère ce nouveau dispositif – l’UFAI (Union Francophone de l’OIF. Les rapports d’audit interne
Comité d’audit et Direction d’au- l’Audit Interne), pour un mandat et autres documents examinés
Dans une approche collaborative dit interne – comme un précieux de deux ans renouvelable une par le Comité d’audit ne peuvent
et vu l’absence actuelle de sys- levier d’aide à la décision sur fois. être diffusés, en interne ou en
tème formalisé de gestion des lequel elle souhaite s’appuyer, externe, que selon une classifica-
risques au sein de l’OIF, la DAI qu’il s’agisse de favoriser la lisibilité Compte tenu du principe de tion, une liste restrictive et un for-
coopère étroitement avec les et l’appropriation des missions de « non-ingérence » de l’adminis- mat (par exemple, « résumé exé-
autres directions afin de promou- l’Organisation, d’en sécuriser les tration dans le fonctionnement cutif ») qui restent à formaliser, à
voir une culture participative et financements ou de susciter de du Comité d’audit, participent respecter. Toute demande de
transversale de maîtrise des nouveaux partenariats. aux sessions du Comité d’audit dérogation doit être préalable-
risques au sein de l’Organisation. seulement les membres du ment avalisée par la Directrice de
L’échange des travaux et la coor- Le Comité d’audit de l’OIF est très Comité d’audit, non-opération- l’audit interne.
dination avec l’Audit Externe, spécifique puisque ses membres nels (« non-exécutifs »), et la
actuellement assuré par la Cour sont désignés par le CPF. Il com- Directrice de l’audit interne. Tou- Le Comité d’audit a prévu de se
des comptes du Royaume du porte sept membres : le Président tefois, le Président du Comité réunir trois fois par an, les mois
d’avril, septembre et décembre,
en fonction des dates du CPF. Un
projet de Charte de fonctionne-
ment du Comité d’audit est en
cours de validation.
En conclusion, la Direction de
l’audit interne et le Comité d’audit
sont aujourd’hui considérés
comme des organes essentiels,
indépendants et autonomes,
contribuant à la bonne gouver-
nance de l’OIF, pour accompa-
gner le développement d’une
culture de l’audit, de l’évaluation
et de la prévention des risques,
ainsi que de l’excellence au sein
de l’Organisation.
L ’audit interne, par l’indépendance et l’objectivité de ses rapports, par la pertinence des propositions et des conseils qu’il
formule, est indispensable à l’amélioration du fonctionnement d’une organisation et à l’atteinte de ses objectifs.
C'est ce souci de développer une culture participative et responsable d’évaluation, de transparence et d’imputabilité, qui a
conduit l'Organisation internationale de la Francophonie (OIF) à placer l’audit interne aux avant-postes de sa gestion axée sur
les résultats.
Je souhaiterais qu’il en soit de même dans les 84 États et gouvernements membres et observateurs de l'OIF et à tous les
niveaux. À cet égard, l’Union francophone de l’audit interne (UFAI) mène une action déterminante que
je salue.
Parce qu’elle contribue au partage des expertises dans tout l’espace franco-
phone, parce qu’elle diffuse en langue française les principales publi-
cations techniques dans le domaine, parce qu’elle accorde une
place de premier plan à la formation professionnelle des audi-
teurs et des auditrices, l’UFAI peut légitimement se préva-
loir de la reconnaissance de la Francophonie institu-
tionnelle.
En rendant hommage ici à l’engagement indé-
fectible des représentants des associations
membres ainsi qu’au formidable travail du
bureau directeur, je formule le vœu que de
nouvelles associations d’auditeurs et d’au-
ditrices internes viennent rejoindre les
rangs de l’UFAI afin d’assurer un maillage
étroit de l’espace francophone sur les
cinq continents, dans un esprit de dia-
logue et de partage.
Car l’une des grandes forces de la Fran-
cophonie réside dans le nombre et la
diversité de ses réseaux, en particulier
les réseaux professionnels comme
l’UFAI, qui, en distillant partout une
variété d'expériences, d'expertises, de
points de vue et de conceptions du
monde, contribuent à la construction
d’une autre mondialisation, plus respec-
tueuse des différences et plus humaine.
Bilan et
perspectives
de l’ECIIA
L’audit interne dispose d’une organisation structurée. A son sommet, l’IIA Global «The
Institute of Internal Auditors » responsable notamment des normes professionnelles
et des certifications à portée mondiale dont le CIA (Certified Internal Auditor). Il
regroupe 185 000 membres, 40 % en provenance de l’Amérique du Nord et des
Caraïbes, 60 % du reste du Monde. Ces membres appartiennent à 170 pays et sont
rassemblés le plus souvent au sein d’une centaine d’instituts nationaux (dont l’IFACI,
pour la France). Au fil des ans et en dehors de la structure juridique de l’IIA Global, les
instituts se sont regroupés soit par région (Afrique, Amérique Latine, Asie, Europe)
soit par communauté de langage (Union Francophone de l’Audit Interne –UFAI-) Ces
organisations sont reconnues par l’IIA Global comme apportant de la valeur ajoutée
à la profession.
Parmi ces dernières, l’ECIIA ou Confédération Européenne des Instituts d’Audit Interne,
première organisation régionale créée, regroupe 35 instituts dont 5 appartiennent
également à l’UFAI. Farid Aractingi ancien Président de l’IFACI vient d’en être nommé
président. Il nous délivre un message fort, plein d’enthousiasme, de culture et d’hu-
manisme, et nous fait partager sa vision de la nécessité de développer une fructueuse
collaboration entre instituts pour le bénéfice de tous.
Revue « Audit, Risques & Contrôle » : Vous année-là, la conférence de l’ECIIA : l’IFACI avait constitution des jeunes instituts. Ensuite, la
avez été élu Président de l’ECIIA1 en septem- été choisi par l’ECIIA pour abriter la confé- prégnance du droit européen et la multiplica-
bre 2017. Qu’est ce qui se cache derrière cet rence européenne annuelle à Paris, ville tion des directives de Bruxelles ont été de
acronyme, que les lecteurs de Audit, Risques lumière, ce qui nous avait inspiré le titre de la puissants facteurs pour inciter les instituts à
& Contrôle ne connaissent pas nécessaire- conférence. Et de plus, cette date correspon- utiliser l’ECIIA comme outil privilégié de
ment ? dait à notre 50ème anniversaire ! lobbying. Les cibles de l’ECIIA se sont élargies
avec le temps et les besoins croissants :
Farid Aractingi : Vous avez raison, la plupart La Confédération Européenne des Instituts d’abord, et bien naturellement, la Commis-
des auditeurs des pays francophones, qui d’Audit Interne a été fondée en 1980 par sion européenne et le Parlement européen,
composent le lectorat de la revue AR&C, sont quelques instituts, dont l’IFACI, comme forum ensuite les autorités européennes de régula-
davantage familiers avec leur institut national, d’échange entre leurs responsables. Quelques tion financière, enfin les autres fédérations
comme l’IFACI en France. Pourtant les 842 années plus tard, avec la diffusion de notre professionnelles européennes représentant
participants à la conférence organisée par profession dans des pays qui s’ouvraient à nos collègues acteurs de la bonne gouver-
l’IFACI en 2015, « Audit in the Spotlight », au l’économie de marché et les règles internatio-
Palais des Congrès, se souviennent bien de nales de bonne gouvernance, l’ECIIA est deve-
1
cet événement marquant qu’avait été, cette nue une plateforme de support à la European Confederation of Institutes of Internal Auditing.
nance et de la maîtrise des risques. La devise AR&C : Quelles sont les trois grandes réalisa- pratiques professionnelles, mais aussi du
de l’ECIIA est d’ailleurs devenue : enhancing tions récentes de l’ECIIA ? besoin de nourrir et d’harmoniser notre
governance through internal audit. profession, et qui vient de participer le 20
F. A. : Incontestablement, la création du novembre 2017, aux côtés de l’ABE, au sémi-
AR&C : Ne craignez-vous pas de mettre le Banking Committee marque un jalon impor- naire que nous avons organisé à Francfort à
doigt dans la bureaucratie européenne, à un tant, car il a permis de constituer un groupe destination des Directeurs d’audit interne du
moment où on ne jure que par l’agilité et la représentatif des 120 établissements finan- secteur bancaire, pour partager leurs préoc-
subsidiarité ? ciers régulés par la Banque Centrale cupations et leurs meilleures pratiques, avec
Européenne, et de le positionner au bon le régulateur.
F. A. : C’est un risque dont nous sommes telle- niveau de dialogue. La BCE6, tout comme
ment conscients que nous avons toujours l’ABE7, sont des entités relativement jeunes, AR&C : Votre deuxième exemple?
refusé l’engrenage des superstructures. Au investies d’une mission essentielle pour tout
départ, comme je viens de le mentionner, le secteur bancaire européen, mais qui souffre F. A. : Nous nous sommes intéressés au sujet
l’ECIIA a été conçue comme un club encore, parfois, de diversité dans la mise en le plus inquiétant pour nos parties prenantes
d’échanges informel entre présidents d’insti- œuvre de ses modes de fonctionnement, dans les différentes organisations où nous
tuts d’audit interne, sans secrétariat fixe sinon souvent liés à la diversité de son personnel. En opérons : la cyber sécurité. Sur ce sujet,
une « boîte aux lettres » abritée par l’IIA face, l’ECIIA représente une profession qui FERMA et ECIIA, représentant les professions
Belgique. Devenue une plateforme profes- fournit ses services au monde des affaires, et de gestion des risques et d’audit interne, ont
sionnelle d’affaires publiques, l’ECIIA s’est en particulier à la bonne gouvernance des produit une prise de position commune pour
structurée autour d’une organisation pérenne banques, selon des normes internationales inviter à une gouvernance de de ce risque à
mais frugale : notre conseil d’administration a suivies de façon cohérente dans le monde un niveau transversal et aussi élevé que possi-
été élargi pour mieux représenter la diversité entier, et en particulier dans l’espace euro- ble, au sein de nos entreprises. Nous avons
de nos instituts, mais il est évidemment béné- péen où l’institut d’audit interne le plus bénéficié de l’intérêt personnel d’un grand
vole, notre secrétaire générale ne travaille qu’à ancien8 fêtera bientôt ses 70 ans d’existence. capitaine de l’industrie, M. Carlos Ghosn, qui
mi-temps, et nous sous-louons quelques m² a synthétisé sa pensée sur ce thème dans une
à IIABel, avec des heures d’assistance. Cela Ceci n’a d’ailleurs pas échappé à la BCE,
reste bien plus modeste que les fédérations qui a pris conscience de la
professionnelles présentes à Bruxelles et avec robustesse de nos
qui nous sommes en étroite relation, comme
les administrateurs de société (ecoDa2), les
gestionnaires de risques (FERMA3), les audi-
teurs externes (Accountancy Europe4), les
émetteurs (Business Europe) ou les auditeurs
du secteur public (EUROSAI5).
citation figurant en tête du document : “Cyber puisqu’on y a signé des accords qui établis- Sachant dépasser nos querelles picrocholines.
risks are like unpredictable storms of ever sent des piliers destinés à réguler une finance Comprenez-moi bien : la dimension locale et
growing severity; nothing is stronger to weather devenue folle. A Bâle, nous avons bénéficié de nationale, en particulier dans sa langue, est
them sustainably than a proactive alliance la précision suisse, de l’expérience euro- essentielle, et loin de moi le phantasme de la
between anticipative risk management and péenne et de la bienveillance de notre nier, mais notre frontière est désormais
farseeing internal audit.” communauté, pour une conférence solide, l’Europe. Car nous sommes revenus, après
utile et bénéfique à tous les participants – notre histoire glorieuse et tumultueuse, à des
Nous avons présenté le 29 juin dernier cette dont le nombre excéda les 800 – et aux moyens plus raisonnables que nous
prise de position au Parlement européen, où finances de notre institut. commandent notre géographie et notre
je représentais l’ECIIA, pour marquer solennel- démographie : l’union nous est nécessaire, et
lement son importance et sa portée dans tous AR&C : Avec un tel bilan, vous reste-t-il encore elle est d’autant plus nécessaire qu’elle est
nos pays européens. quelque chose à accomplir, à part maintenir ? utile, d’autant plus utile qu’elle est naturelle,
d’autant plus naturelle qu’elle est efficace,
AR&C : Et en numéro 3 ? F. A. : En égrenant les noms des villes qui ont d’autant plus efficace qu’elle est joyeuse, d’au-
organisé des conférences de l’ECIIA au cours tant plus joyeuse qu’elle est épanouissante.
F. A. : Nos conférences de l’ECIIA en général, des dernières années, vous avez senti passer
et en particulier celle tenue à Bâle au mois de un souffle… Celui de notre géographie, qui AR&C : Un véritable manifeste !
septembre. En effet, avec les moyens frugaux est commune, et qui commande les fonda-
de l’ECIIA et des instituts d’audit interne euro- tions de ce qui nous est commun : notre F. A. : On ne peut pas présider l’ECIIA sans
péens, nous réussissons à organiser une histoire, notre avenir, et finalement notre civi- conviction ni sans désir de servir. De même
conférence annuelle, qui se déroule à l’au- lisation. Rien n’est plus contraire à l’universalité que les pays européens partagent des enjeux
tomne, dans une ville européenne, à l’initiative que la standardisation édulcorante, castra- économiques, de même les instituts euro-
de l’institut national dont dépend cette ville, trice, nivelante. péens partagent les mêmes enjeux vis-à-vis
et en bénéficiant de l’expérience de l’ensem- Le souffle européen nous est nécessaire pour de leurs parties prenantes : les auditeurs
ble de notre communauté. L’objectif de cette respirer et donner le meilleur de nous-même. internes, les professionnels de la maîtrise des
conférence est de créer de l’impact à destina- Pour devenir des partenaires utiles à la maison risques et de la bonne gouvernance, et au-
tion de la communauté européenne des commune de l’audit interne, au service de la delà les acteurs des première et deuxième
auditeurs internes. bonne gouvernance, nous devons embrasser ligne de maîtrise. Car les attentes de nos
cette dimension européenne, dimension de mandants sont d’abord une plus grande
Depuis Berlin en 2008 et Rome en 2009, nous géant, non pas par arrogance ou nostalgie, professionnalisation, dans un contexte de
avons appris en marchant, en courant devrais- mais par désir d’universalité – j’allais dire par complexité, de régulation et de vitesse crois-
je dire, et toujours en progressant : il y a eu de vocation universelle. Nous serons d’autant santes. Et ensuite, un besoin d’équilibre et de
belles étapes à Madrid, Amsterdam, Vienne, plus fiables, impactants et utiles, que nous discernement entre conformité et efficacité,
Paris et Stockholm, avant la réalisation cette serons nous-mêmes, que nous habiterons éclairés par l’analyse des processus, la
année de la conférence à Bâle. Cette ville toutes nos dimensions, que nous nous assu- compréhension des risques, et la connais-
rhénane et helvétique, mais proche géogra- merons pleinement européens, fidèles et sance des textes – analyse, compréhension et
phiquement et culturellement de l’Alsace et complices de notre histoire, partageant les connaissance qui doivent, toutes les trois, être
du Bade-Wurtemberg, est emblématique de mêmes enjeux économiques et civilisation- fines.
la bonne gouvernance et de la tempérance, nels.
IIA Global
ECIIA
UFAI Belgique regroupe 35 Instituts
18 Instituts France Allemagne, Arménie, Autriche, Bulgarie, Chypre,
dont 5 qui sont
Croatie, Danemark, Espagne, Estonie, Finlande, Grèce,
également Luxembourg Hongrie, Islande, Israël, Italie, Lettonie, Lituanie,
membres de Macédoine, Monténégro, Norvège, Pays-Bas, Pologne,
Maroc
l’ECIIA Portugal, Rép. Tchèque, Royaume-Uni & Irlande,
Suisse Serbie, Slovénie, Suède, Turquie
Tous ces besoins exprimés par nos entreprises D’autres thèmes de services communs exis- dirigeants de FERMA, et nous continuerons à
pèsent lourdement sur les instituts. Comment tent : la formation et la certification, qui sont destination d’ecoDa, d’Accountancy Europe,
y parvenir au plus vite ? L’outil existe, il s’ap- deux activités au cœur de la mission de de Business Europe et d’EUROSAI.
pelle ECIIA. professionnalisation des adhérents de nos
instituts. Pour y parvenir, la gouvernance de l’ECIIA a
L’ECIIA peut, dans cet esprit, devenir la plate- été modernisée l’année dernière, avec une
forme de services communs aux instituts Et puis, permettez-moi de partager avec vous plus grande représentativité de notre conseil
européens. Avec deux mots-clés : partage et une idée qui m’est chère : créer un événement d’administration, et une vitesse de décision
subsidiarité. à destination des dirigeants européens d’au- améliorée. Cependant, nous ne ferons pas
dit interne. Il existe déjà plusieurs initiatives : l’économie, au cours de mon mandat, de
Les pères fondateurs de l’ECIIA le pressen- le Banking Committee vient d’organiser le revoir le format de l’ECIIA et son budget.
taient d’ailleurs confusément : ils ont utilisé ce séminaire de novembre à destination des DAI
biais pour venir en aide, solidairement, aux du secteur bancaire, et il faudra sans doute AR&C : En guise de conclusion ?
instituts européens émergents. copier ce modèle pour le secteur des assu-
rances, lui aussi régulé, et pour lequel nous F. A. : Permettez-moi de partir de notre métier.
Plus tard, il y eut le besoin de lobbying, au venons de créer un Insurance Committee, En tant qu’acteur indépendant, l’audit interne
cœur de notre stratégie. Mission essentielle, comme pour le secteur public, dont les spéci- dispose de trois registres principaux : la trans-
et qui préfigure grandement notre vocation ficités justifient un traitement particulier. De versalité, la liberté de parole et le maintien des
au service : faisons ensemble ce qu’il est plus même, la conférence de l’ECIIA, généraliste, basiques du contrôle interne. Ce triangle d’or
efficace de faire ensemble. Cette philosophie couvre partiellement ce besoin. Mais nous doit permettre à l’auditeur de développer un
est compatible avec le principe de subsidia- devrons examiner comment dédier spécifi- plan d’audit approprié et cohérent, et d’exer-
rité, qui nous guide et nous oblige : nous quement aux DAI hors secteurs financiers et cer pleinement son métier, avec une claire
continuerons à mettre dans le PACC9, que public, un événement qui leur soit destiné. conscience de sa valeur ajoutée, tant à desti-
préside le Vice-Président de l’ECIIA, l’énergie
de nos administrateurs et celles des dirigeants
des instituts.
« L’ECIIA peut devenir la plateforme de services
communs aux instituts européens. Avec deux
Mais nous pouvons aller plus loin, et transfor-
mer l’ECIIA en véritable facilitateur des
services. Une première expérience a été
tentée avec la recherche. Six instituts euro-
péens10 ont décidé de mettre en commun
mots-clés : partage et subsidiarité »
une partie de leurs moyens de recherche. AR&C : Est-ce là le cœur de votre feuille de nation du Conseil d’administration, à travers
L’ECIIA s’y est associée, et cette initiative a route pour l’ECIIA ? le Comité d’audit, que de la Direction géné-
permis de produire à l’occasion de la confé- rale. Cette mission nous commande.
rence de l’ECIIA un excellent document sur les F. A. : Je la résumerai en trois points.
sujets majeurs d’audit interne des 18 Mais les dirigeants opérationnels sont surtout
prochains mois, intitulé : “Risk in focus”. D’abord l’excellence de la mission actuelle intéressés par la maîtrise des risques, c’est-à-
focalisée sur le lobbying vis-à-vis des autorités dire la maîtrise des activités. Cette préoccupa-
On pourrait donc systématiser cette européennes, et l’organisation de la confé- tion nous commande aussi.
approche, avec le label ECIIA qui nous est rence annuelle.
commun, tout en précisant les noms des Cela nous ouvre un champ majeur d’action,
contributeurs, car il est bien évident que les Ensuite, le développement de la plateforme et éclaire mon propos préalable. Mon
moyens des différents pays européens consti- de services, avec pour corollaires : d’abord parcours personnel, venu du monde opéra-
tutifs de l’ECIIA ne sont pas identiques. comment mieux travailler ensemble, et tionnel à l’audit interne, puis de l’audit interne
ensuite quelle organisation pratique centrale à la maîtrise des risques, et enfin de la maîtrise
AR&C : Uniquement pour la recherche ? à mettre en place au service de tous, avec des risques à la bonne gouvernance, explique
quels moyens et quel budget ? Je serai à mes convictions et le sens de mon program-
F. A. : La recherche est sans doute la prochaine l’écoute de mon Conseil d’administration, et me. Nous exerçons un métier magnifique,
frontière, car le besoin existe, et la tradition de de mes adhérents, que je compte aller voir mais nous ne sommes pas isolés dans une
collaborer entre instituts a été éprouvée à l’oc- individuellement, car on ne se rencontre tour d’ivoire : nous sommes une fonction dont
casion de cette première publication. Ce guère plus d’une fois par an, au cours de la vocation est éminemment transversale,
document est de grande qualité, et pour sa l’Assemblée générale – et encore, tous les dotée d’une vision globale, outillée d’une
prochaine édition, pourra gagner dans deux Présidents d’institut n’y assistent pas ! méthode robuste, ayant développé une
dimensions : en donnant la parole aux compréhension à la fois des enjeux et du bien
membres des comités d’audit, et en acqué- Enfin, une plus grande collaboration avec les commun, et jouant un rôle de « courage audi-
rant une dimension européenne globale. fédérations professionnelles européennes. ble » au service de la performance durable de
Car lorsqu’on est pleinement coopératif, au Depuis l’adoption du modèle des trois lignes l’entreprise et de son progrès continu.
sein de l’Europe, on peut faire de très grandes de maîtrise, nous avons mieux compris le
choses. La publication la plus marquante besoin de clarification et de collaboration, au Quel formidable programme, propre à me
adoptée par l’IIA Global au cours des cinq sein de nos entreprises, entre nos métiers. motiver et à motiver tout l’ECIIA !
dernières années est celle concernant les trois Ceci est essentiel au niveau de chaque orga-
lignes de maîtrise : elle avait été publiée en nisation, et ceci l’est bien évidemment au
2012 à la suite d’un effort commun entre niveau des associations professionnelles. J’ai 9
10
Public Affairs Coordination Committee
Espagne, France, Hollande, Italie, Royaume Uni & Irlande, Suisse
l’ECIIA et le FERMA ! déjà un contact de grande qualité avec les
Dans un Groupe
en transformation
constante, beaucoup
de défis doivent être
relevés, la sécurité
en fait partie
Guillaume Pepy, Président du Directoire de SNCF
Face aux nombreux défis à relever dans les prochaines années (amélioration de la perfor-
mance économique, amélioration de la sécurité, libéralisation du marché pour le trafic voya-
geurs…), Guillaume Pépy affiche une grande confiance et sa détermination. Pour lui, la
récente structure mise en place avec trois EPIC (SNCF groupe, Réseau, Mobilités) constitue
un socle très solide pour préparer l’avenir. Dans un monde incertain, il attend de la Direction
de l’audit et des risques qu’elle soit sans complaisance et apporte de la valeur ajoutée aux
entités.
Louis Vaurs : L’organisation ferro- de 2,4 Md€ en 2020 par rapport à Pour ce qui concerne le transport rité à la SNCF sont résumés dans
viaire a été profondément réfor- aujourd’hui, en combinant plan ferroviaire, là aussi nous avons le programme intitulé PRISME,
mée en 2015. Pouvez-vous nous de performance industrielle, anticipé. Pour la grande vitesse, lancé en 2016 :
présenter, en quelques phrases, offensive commerciale et réduc- nous avons lancé il y a trois ans P : développer les comporte-
la nouvelle structure juridique du tion des frais de structure. Sur ce Ouigo, la grande vitesse low-cost. ments proactifs
Groupe SNCF, les métiers qu’elle dernier point, l’engagement est C'est un énorme taux de satisfac- R : instaurer le management par
recouvre et les avantages qu’elle de réaliser 20 à 25 % d’économies tion (plus de 95 %), un très fort les risques
procure ? d’ici à 2020 et nous y allons sur un taux de remplissage et un I : maîtriser les interfaces
mode résolu et accéléré. Dans le doublement de la fréquentation S : simplifier les procédures
Guillaume Pépy : Depuis 2015, la même temps, l’Etat annonce qu’il chaque année. Ouigo, c’est 6 M : créer les conditions managé-
structure juridique du Groupe va réformer le système ferroviaire. millions de voyages cette année. riales pour l’engagement de tous
SNCF s’organise autour de 3 enti- La concurrence va très vite deve- Et avec son arrivée dès décembre E : se doter d’équipements
tés : l’ÉPIC SNCF, chargé du pilo- nir réalité, en 2020 pour la grande prochain dans Paris, à Montpar-
tage global du groupe, l’ÉPIC1 vitesse, et en 2023 au plus tard nasse pour commencer, les pers- Après 2 années d’initialisation, de
SNCF Réseau, qui gère, exploite pour les TER2. Il n’y a pas de déni pectives sont bonnes ! prototypage et de début de
et développe le réseau ferré fran- sur cette question chez SNCF. Ces Pour les TER, nous devons vendre déploiement , ce programme a
çais et l’ÉPIC SNCF Mobilités, pour perspectives stimulent notre moins cher aux régions et le été l’occasion d’opérations de
le transport de voyageurs et de ambition et guident notre action. premier sujet qu'on attaque, ce grande ampleur, comme la
marchandises. Clairement, nous travaillons tous sont les frais de structures. 2017 convention sécurité en juillet
Le plus important c’est le chan- les jours à poser les conditions est une année de rupture dans ce 2016 pour le lancement du
gement radical de la SNCF en un qui feront que, le moment arrivé, domaine. On a fait 700 millions programme, ou comme pour le
peu plus de 10 ans. SNCF soit choisie. Pour y parvenir, d’Euros d'économies entre 2013 « Train Sécurité » début 2017,
Nous sommes un groupe fran- nous avons besoin de règles du et 2015. Notre nouveau plan pour lequel un train a effectué 25
çais, et un groupe international. jeu claires, et de conditions justes prévoit 500 millions de plus et va haltes en France, l’occasion
C’est aujourd’hui 33 % de notre et équitables, pour les entreprises très fortement augmenter. Nous notamment de faire prendre
CA qui est réalisé à l’étranger et concurrentes bien entendu, mais actionnons parallèlement deux conscience des risques à près de
notre ambition est de parvenir à aussi pour l’entreprise historique. leviers d’efficacité supplémen- 10 000 agents, et de leur présen-
50 % en 2025. taires : l'évolution des métiers en ter les « règles qui sauvent », qui
SNCF, c’est également un réseau
historique mais qui a cette parti-
cularité d’être le plus grand chan-
tier d’Europe avec 46 Md€ de « SNCF est en transformation constante dans ses modes
de fonctionnement, dans ses organisations pour être
»
projets de rénovation program-
més sur les 10 ans à venir. SNCF,
c’est du transport de voyageurs, toujours plus performante
de la logistique à l’échelle du
monde, des gares qui « boostent »
les villes et un acteur immobilier L. V. : Le fret ferroviaire s’est libé- fonction des besoins des clients seront rendues applicables et
de premier plan. Et enfin, SNCF, ralisé il y a un peu plus de 10 ans ; et la révolution digitale. obligatoires à compter de janvier
c’est de la Grande vitesse et du la concurrence arrivera prochai- Les régions, qui sont nos 2018.
« Mass Transit », des mobilités nement dans le domaine Voya- premiers clients nous disent que La nouvelle culture « juste et
quotidiennes et des mobilités geurs. Comment vous y nous sommes trop chers et équitable » est aussi un progrès
partagées. Le transport du quoti- préparez-vous ? qu’elles n’en ont pas toujours majeur effectué durant cette
dien, c’est depuis maintenant pour leur argent. Le client a première phase. Tous cela a un
près de 10 ans la priorité princi- G. P. : Nous nous y préparons toujours raison. A nous de réel impact sur la culture de sécu-
pale à l’intérieur du groupe. depuis longtemps et à grand pas. bouger donc et … nous bou- rité, et nous donne des premiers
Notre principal concurrent, nous geons. résultats extrêmement encoura-
L. V. : En juillet dernier, le le connaissons depuis long- geants.
Président de la République a temps ; c’est la voiture indivi- L. V. : La SNCF a connu ces Depuis 2015, SNCF enregistre
déclaré vouloir revoir la politique duelle, avec son seul conducteur dernières années plusieurs acci- une baisse constante des
sur les transports pour favoriser à bord. dents ferroviaires qui l’ont Evénements de Sécurité Remar-
« la mobilité du quotidien ». Le 19 Les autres, les cars et le covoitu- conduit à revisiter sa politique de quables au sein du Groupe Public
septembre se sont ouvertes les rage, sans oublier la location, sont sécurité de l’exploitation et à en Ferroviaire (ce sont ceux qui relè-
Assises de la Mobilité, quels sont de nouveaux acteurs, de repenser son pilotage. Quels sont vent de la gravité la plus élevée
les principaux défis que votre nouveaux concurrents sur le les marqueurs de cette évolution niveau 3 à 6 sur l’échelle de
Groupe aura à relever dans ce marché de la mobilité, mais nous et quels en sont les premiers gravité de l’Etablissement Public
domaine au cours des pro- avons su anticiper leur arrivée. résultats ? de Sécurité Ferroviaire, impli-
chaines années ? Ouibus dans le domaine du quant la responsabilité directe de
transport longue distance par G. P. : Les marqueurs de l’évolu- l’exploitant) : 308 en 2015, 242 en
G. P. : Cela tient en deux mots : autocar et Ouicar pour la location tion du management de la sécu- 2016, 136 au 31/08/2017.
performance et concurrence. de voiture sont d’ores-et-déjà
Notre premier chantier, c’est quasi leaders, à nos côtés de cette 1
Établissement public industriel et commercial.
d’améliorer notre performance concurrence dans la mobilité. 2 Trains et autocars de SNCF et des régions de France.
Depuis janvier 2016, cela corres- avancées technologiques appor- et en particulier les rôles de nible pour participer et contri-
pond à une réduction de l’ordre tées par le digital, les IoT3, le Big chacun pour les services ferro- buer au dialogue et au travail
de 30 % sur 12 mois glissants Data, etc. viaires internationaux. institutionnel impulsé par la
(entre le 1/1/2016 et aujourd’hui) Il sera par ailleurs indispensable Concrètement c’est l’Agence qui, Commission européenne pour la
pour l’ensemble du Groupe d’assurer une cohérence entre dès 2019, délivrera les certificats conception et la mise en place
Public Ferroviaire, performance PRISME et le programme ROBUS- de sécurité aux entreprises ferro- du 4ème paquet ferroviaire, et
jamais atteinte par le passé, et qui TESSE / INFO VOY qu’engage l’en- viaires opérant des services trans- ensuite à l’ensemble des textes
concerne aussi bien SNCF Réseau treprise aujourd’hui. Les perfor- frontaliers et non plus les règlementaires qui en seront le
que SNCF Mobilités. mances en qualité de production Autorités de sécurité chacune mode d’emploi concret. Il en va
Il est désormais nécessaire d’en- et en sécurité sont intimement pour leur propre État membre. Il de même pour les relations que
gager ce programme dans sa liées ; les points de recouvre- en sera de même pour l’autorisa- SNCF entretient avec l’EPSF sur le
2ème étape, qui devra voir une ments portent, a minima, sur les tion de mise en exploitation des plan national, comme tous les
meilleure intégration de cette sujets systèmes et la transforma- véhicules franchissant les fron- autres opérateurs ferroviaires,
nouvelle approche et une appro- tion managériale. tières ou les équipements quand il s’agit d’échanger, de se
priation « terrain » des solutions ERTMS4 sol pour les gestionnaires concerter, d’évaluer et de prépa-
PRISME, dans le management au L. V. : La dimension européenne d’infrastructure. rer l’adaptation nationale de ces
quotidien des établissements. des transports ferroviaires C’est un bouleversement qui nouvelles dispositions euro-
Le second objectif portera sur la concerne aussi le champ de la remet totalement à plat les rôles péennes.
modernisation des outils, sécurité avec un nouvel équilibre et les responsabilités respectives SNCF est en particulier un contri-
méthodes et moyens de pilotage en cours de mise en place entre de l’Agence, des autorités natio- buteur très actif et reconnu au
de la sécurité, essentiellement sur l’Agence Européenne de Sécurité nales de sécurité d’une part, mais sein de la CER5 et des EIM6, les
les thèmes suivants : (l’ERA) et l’Agence Nationale également les relations que les deux associations profession-
1. analyse par les risques Française (l’EPSF). Quelles rela- exploitants devront entretenir nelles européennes reconnues
2. organisation du retour d’expé- tions entretenez-vous avec ces avec ces mêmes autorités d’autre comme représentatives par la
rience deux organismes ? part pour obtenir et maintenir Commission européenne, et
3. simplification de la documen- leur capacité à opérer les services. aussi au sein de l’UTP7 au niveau
tation G. P. : En effet, le 4ème paquet SNCF a toujours été active et national.
ferroviaire de la Commission constructive en se rendant dispo-
Ces sujets devront être davan- européenne, pour son volet tech-
tage industrialisés et profession- nique qui concerne la sécurité,
nalisés, à l’aide d’investissements l’interopérabilité et rôle de 3 Internet of Things.
importants, qui toucheront éga- l’Agence, va bouleverser les équi- 4 European Rail Traffic Management System.
5 Communauté Européenne du Rail (The Community of European Railway and Infrastructure Companies).
lement les équipements ferro- libres entre cette dernière et les 6
European Rail Infrastructure Managers.
viaires, qui bénéficieront des autorités de sécurité nationales, 7 Union des Transports Publics et ferroviaires.
En résumé, le dialogue entretenu en transformation constante « sécurité », j’entends naturel- le domaine des audits de pres-
a toujours été ouvert et construc- dans ses modes de fonctionne- lement « sécurité de l’exploita- cription.
tif aux niveaux européen comme ment, dans ses organisations tion ferroviaire », mais aussi
national avec les organismes, pour être toujours plus perfor- « santé et sécurité au travail », Depuis plusieurs années, nous
même si parfois la discussion a mante et à l’écoute de ses clients qui ne sont que les deux avons fait évoluer le système
été âpre sur certains désaccords. et de son environnement. La facettes d’une seule et même d’audits de sécurité, pour le
Il faut noter que sur ce point la sécurité n’échappe pas à cette « sécurité ». Ces points de rendre plus accessible et plus
situation de chaque État membre exigence. Je sais aussi que toutes repère indispensables permet- profitable pour l’ensemble du
de l’UE est différente aujourd’hui les périodes de transition sont tent ainsi à l’ensemble du management de l’entreprise. Peu
et donc qu’il n’est pas facile de délicates et qu’elles doivent être management de l’entreprise à peu, ces audits sont de plus en
converger rapidement, et avant maîtrisées, notamment lorsqu’on de se positionner et d’engager plus regardés comme un outil de
2019, sur un mode d’emploi souhaite faire évoluer la culture les démarches de progrès qui progrès, et non plus comme un
commun préalable à la création sécurité de l’Entreprise. en découlent. C’est le domaine outil de sanction. C’est, en l’occur-
de l’espace unique européen Au moment de la réforme du des audits de conformité, avec rence, un catalyseur de la trans-
ferroviaire qui est l’objectif essen- système ferroviaire qui a été mise le souci de partager avec les formation culturelle en matière
tiel du 4ème paquet ferroviaire, et en œuvre en 2015, j’ai souhaité audités les écarts les plus signi- de sécurité qui est en cours,
dans lequel SNCF se prépare à renforcer une Direction des ficatifs eu égard à la criticité complémentaire aux actions
prendre toute sa place. Audits de Sécurité, indépen- des risques associés ; engagées notamment en
dante, placée hors structures de qu’elle nous interroge en matière de veille et de contrôle.
L. V. : Il existe au sein de l’EPIC production, au sein-même de la permanence sur la pertinence Notre système d’audits de sécu-
SNCF une Direction des Audits sphère plus globale « audit et de ce que nous faisons. Nos rité est ainsi un élément consubs-
de Sécurité : quel en est le rôle et risques », et travaillant pour l’en- processus, nos modes de fonc- tantiel du management de la
comment contribue-t-elle à la semble du groupe public ferro- tionnement, nos façons de sécurité. Il balaie périodique-
maîtrise du risque Sécurité ? Y a- viaire. Ce que j’en attends est très faire…, sont-ils toujours adap- ment, selon un cycle conforme à
t-il un « univers d’audit » dans la simple, mais aussi très exigeant. tés à nos objectifs de sécurité ? nos exigences de couverture de
sécurité d’exploitation et un cycle Ce sont essentiellement deux Prenons-nous suffisamment notre « univers d’audit », l’ensem-
pour le couvrir ? choses : en compte l’évolution de notre ble de notre activité de produc-
qu’elle me donne la vision environnement ? Que faut-il tion, en insistant désormais plus
G. P. : On l’a vu avec l’une de vos permanente de « où on en transformer et mettre en sur les aspects identifiés comme
précédentes questions : SNCF est est » en matière de sécurité. Par œuvre pour progresser ? C’est les plus critiques. C’est la mise en
place d’un management piloté 3 117 permet depuis deux ans Compte tenu de nos enjeux, SNCF est et veut rester un parte-
par une identification raisonnée d’attirer l’attention sur un nous avons bien sûr dû adapter naire de confiance reconnu tant
des risques à couvrir. problème potentiel, de signa- et renforcer nos dispositifs de pour la sécurité des données que
ler quelque chose d’inquiétant cyber protection pour lutter ses clients lui confient que pour
L. V. : Pour le grand public, la ou d’anormal et bien sûr de contre ce fléau. Nous agissons celles de ses salariés.
sécurité est attachée à la protec- déclencher une alerte lorsque actuellement sur 3 dimensions : Nous sommes pleinement
tion des biens et des personnes, c’est nécessaire. Nous en l’humain, qui est au cœur du conscients de la responsabilité
ce que la SNCF appelle la sûreté. sommes à plus de 13 000 sujet par sa nécessaire sensibi- qui nous incombe en la matière
En quoi consiste votre politique appels et SMS dont certains, je lisation, son appropriation des et nous avons déjà mis en place
dans ce domaine et comment a- peux vous le révéler, ont été codes et outils numériques et un comité de gouvernance de la
t-elle été renforcée depuis les très précieux. son indispensable vigilance. donnée sans attendre la règle-
attentats ? L’humain encore à travers les mentation (GDPR : règlement
L. V. : Depuis plusieurs années, les compétences de nos experts européen sur la protection des
G. P. : La menace est présente entreprises sont confrontées au spécialistes de la cyber sécurité données personnelles applicable
dans l’esprit de tout le monde ; il risque croissant de cyber attaque. qui doivent toujours réactuali- en mai 2018) qui va se renforcer
faut ne pas la sous-estimer et Comment y faites-vous face et ser leurs connaissances ; au fil des années.
avoir beaucoup d’humilité. Nous quelles sont les grandes lignes de l’organisation de nos processus
disposons de trois filets de sécu- votre politique de sécurité des de fabrication et d’exploitation L. V. : Au moment de la création
rité : Systèmes d’Information ? qui doivent s’adapter pour du GPF en juin 2015, vous avez
la présence humaine avec bien appréhender ce nouveau fait le choix d’une Direction
2800 cheminots de la sûreté G. P. : Les cyber attaques sont risque en intégrant la cyber d’Audit et des Risques (DAR) agis-
ferroviaire qui assurent la hélas la contrepartie quasi inévi- sécurité dès la conception des sant pour le compte des 3 ÉPIC
surveillance en coopération table de la digitalisation des systèmes et aussi tout au long (SNCF, Réseau et Mobilités) et
avec la Police, la Gendarmerie, entreprises. Nos métiers se de leur cycle de vie ; rattachée directement au
les Douanes et les militaires de numérisent et gagnent en l’outillage technologique de Directoire. Quelles en ont été les
Sentinelle qui font un travail performance mais ils dévelop- protection informatique qui raisons ?
formidable ; pent aussi une forme de « S.I. doit être en permanence
les nouvelles technologies : dépendance ». renforcé et réajusté pour rester G. P. : Nous voulions une fonction
45 000 caméras en voie de Une cyber attaque a donc efficient face à des attaques Audit qui exerce son activité en
digitalisation et qui deviennent aujourd’hui des impacts bien toujours plus inventives et toute indépendance et qui nous
peu à peu intelligentes. La concrets comme l’ont montré les polymorphes. Nous renforçons permette d’avoir une assurance
prochaine étape sera de tester récentes cyber attaques destruc- notamment nos moyens de raisonnable sur la maîtrise de l’en-
différents systèmes de recon- tives de printemps. Elles nous ont détection et de réaction sur semble des risques liés aux acti-
naissance de comportements fort heureusement épargnées incident car la proactivité est vités du GPF. Raison pour laquelle
anormaux ; mais il convient de rester particu- souvent la clé pour se protéger nous avons fait le choix de la
la vigilance des clients eux- lièrement humbles et toujours des cyber attaques et en limi- positionner auprès du Directoire
mêmes conjuguée à celle des vigilants face à ce phénomène en ter les impacts. pour nous servir d’appui au pilo-
cheminots : le numéro d’appel pleine croissance. tage et éclairer les décisions que
Patrick Jeantet8 et moi sommes L. V. : Quels avantages voyez- ÉPIC qu’il appartient d’identifier entités par :
amenés à prendre. vous au regroupement, sous un leurs risques, de les évaluer et de des recommandations opéra-
Le choix d’une fonction Audit même directeur, des fonctions définir les plans d’actions à mettre toires qui puissent être mises
unique répond à une nécessité audit interne et maîtrise des en œuvre en fonction du traite- en œuvre et suivies,
majeure : prendre en compte la risques ? ment souhaité (mitigation…), en une information claire et
dimension système de l’entre- s’appuyant notamment sur les synthétique sur les principaux
prise (une des raisons de la G. P. : L’audit a vocation à donner missions d’audit. constats et une mise en atten-
réforme ferroviaire de 2014). Si de une assurance raisonnable sur la Il nous semble qu’ainsi la DAR tion sur les points de fragilité.
nombreuses missions relèvent maîtrise de nos risques et sur l’ef- peut nous donner, par sa capa-
d’un seul EPIC (et dans ce cas les ficacité de nos dispositifs de cité à organiser les échanges Dans un monde incertain, et qui
documents produits et recom- contrôle interne. entre la fonction Audit et le risk se transforme de plus en plus
mandations associées sont réser- Les liens entre les deux fonctions management, en toute objecti- vite, je souhaite que la DAR, et
vés à la seule attention de sont évidents, les risques de l’en- vité et de façon éclairée, une elle le fait, sache faire preuve
celui-ci), plusieurs portent une treprise servant de fondement au opinion sur le niveau de maîtrise d’agilité et adapte la programma-
dimension transverse que l’on programme d’audit et les conclu- de nos activités. tion de ses missions aux évène-
soit sur des process fonctionnels sions des missions venant en ments nouveaux auxquels
(RH par ex.) ou opérationnels (par retour confirmer ou infirmer, au L. V. : Dans le contexte, en muta- l’entreprise peut être confrontée.
ex. l’information Voyageurs). Le travers de l’évaluation des dispo- tion, du métier ferroviaire, qu’at- Ce besoin d’agilité doit bien sûr
ferroviaire est par essence systé- sitifs de maîtrise en place, l’appré- tendez-vous finalement de la être satisfait dans le respect
mique et la question des inter- ciation du management quant à DAR, en termes de missions d’as- absolu des fondamentaux de
faces entre le gestionnaire leur criticité. surance, de conseil ou d’autres l’audit, et notamment des
d’infrastructure et une entreprise J’attends donc de ce regroupe- missions spécifiques ? Quel arbi- exigences de vos normes profes-
ferroviaire (Mobilités ou autre) est ment une plus grande efficacité trage voyez-vous, à des fins de sionnelles.
centrale. par une contribution croisée à la maîtrise des risques par SNCF, Concernant la question de l’arbi-
Nous avons naturellement veillé
au respect des obligations rele-
vant de SNCF Réseau au niveau
des facilités essentielles : la charte « J’attends du regroupement, sous un même directeur, des
d’audit interne, dont le contenu
est commun aux 3 EPIC, fait expli-
citement référence au respect de
ses obligations de non-discrimi-
fonctions audit interne et maîtrise des risques une plus grande
efficacité par une contribution croisée à la maîtrise des risques
»
nation et traitement équitable et maîtrise des risques. Le Groupe a entre la mission classique de visi- trage que vous évoquez, l’analyse
définit les principes d’organisa- identifié un certain nombre de bilité rétrospective (analyse des et l’identification de fragilités
tion garantissant l’étanchéité des risques majeurs, dont la maîtrise non-conformités, dysfonctionne- porteuses de risques pour l’entre-
informations confidentielles vis- est une condition de réussite ments…) et de visibilité prospec- prise (efficience d’un processus,
à-vis de SNCF Mobilités. Le Direc- pour la stratégie que nous tive (identification de signaux management d’un projet, res-
teur de l’Audit et des Risques est voulons mettre en œuvre. L’audit d’alerte, risques émergents, pect des exigences de confor-
le garant des mesures spéci- vient apporter un regard objectif accompagnement de projets de mité) et, sur ce plan, le durcis-
fiques prises dans ce domaine, en sur notre capacité à les maîtriser changement, amélioration des sement du contexte réglemen-
déclinaison du plan de gestion et formule des axes de progrès, performances, information perti- taire et législatif renforce pour les
des informations confidentielles. au travers des recommandations nente pour une prise de décision entreprises le risque de non
Ce choix permet également de émises. éclairée…) ? conformité (GDPR, Sapin 2,
mutualiser les savoirs et les La coordination de ces deux LPM9…), doivent bien sûr trouver
compétences, et de capitaliser fonctions est essentielle et le fait G. P. : Il me paraît important que prolongement dans l’élaboration
sur des méthodologies et outils d’avoir une Direction Audit et l’éclairage donné par la DAR à la de recommandations permet-
communs. C’est vrai par exemple Risques avec un pôle audit et un Direction Générale de l’entreprise tant de mitiger les risques ainsi
des domaines Corporate (finan- pôle risques en charge de piloter soit objectif et indépendant : c’est fléchés et de contribuer ainsi à la
ces, achats, gestion…) de l’audit. et animer la démarche de mana- ce qui lui donne toute sa légiti- performance de l’Entreprise.
Cette question des compétences gement des risques du Groupe mité (au-delà bien sûr des
est essentielle, tant elle est facilite les synergies et la création compétences des auditeurs) et Les constats effectués et les
porteuse de performance et de de valeur. crée la valeur attendue. recommandations formulées
création de valeur pour les 3 EPIC. Pour autant, et votre question Notre responsabilité, à Patrick doivent nous aider à nous proje-
Avoir des profils permettant de ouvre le sujet de l’indépendance Jeantet et à moi-même, est d’être ter, à éclairer le chemin que nous
couvrir tout le spectre des activi- de l’audit, les responsabilités en la en appui et en soutien de la DAR avons à prendre et nous sécuriser
tés et métiers du groupe est un matière sont claires : si la responsa- sur ce plan. ainsi dans notre capacité à relever
enjeu important. bilité du pôle Risques au sein de la J’attends aussi de la Direction de les défis qui sont les nôtres et à
DAR est en effet d’animer la l’Audit qu’elle soit sans complai- atteindre ainsi les objectifs straté-
Le renouvellement de la certifica- démarche d’élaboration des carto- sance mais qu’elle soit positive et giques que nous nous sommes
tion IFACI de la DAR nous a graphies des risques, de définir un apporte de la valeur ajoutée aux fixés.
confortés dans le bien-fondé de cadre méthodologique commun,
cette orientation. et de s’assurer de la prise en 8 PDG de SNCF Réseau.
compte des interfaces, c’est aux 9
Loi de Programmation Militaire.
Les spécificités
et les enjeux
de la sûreté nucléaire
Jacques Repussard, Directeur Général de l'IRSN de 2003 à 2016 d’échanges réunissant l’exploitant, l’ASN, l’IRSN
et , pour des sujets majeurs , le groupe d’ex-
perts indépendants siégeant de manière
permanente auprès de l’ASN.
Pour disposer, de manière indépendante, des
connaissances scientifiques nécessaires à son
expertise, l’IRSN consacre environ 40 % de ses
ressources (environ 300 M€ par an) à la
recherche.
Clair et pédagogique, cet entretien passionnant nous conduit au cœur de la problé- AR&C : Quel est le périmètre du domaine
matique complexe de la sûreté nucléaire à la fois dans le domaine de l’exploitation de couvert par l’ASN et l’ lRSN? Quelles sont les
la centrale et celui du traitement des déchets radioactifs. modalités de définition et d’organisation des
missions d’inspection ?
retour d’expérience, des thématiques priori- tismes doivent corriger d’eux-mêmes tout des combustibles nucléaires, qui permet de
taires se dégagent pour l’élaboration d’un plan écart, ou le signaler à l’opérateur pour action. séparer chimiquement l’uranium, qui est recy-
annuel d’inspection. A titre d’exemples, un 2- La défaillance d’un matériel doit rester sans clé, le plutonium qui sert à la fabrication du
thème pourra être axé sur la conformité des conséquence pour la sûreté, par exemple combustible dit « MOX1 », économisant ainsi
équipements et procédures de lutte contre l’in- grâce à sa duplication (sauf exceptions : la l’uranium, et les actinides qui sont des déchets
cendie, ou sur la radioprotection du personnel. rupture de la cuve, par exemple, est exclue ultimes très radioactifs. Au plan international,
Les inspecteurs établissent leur rapport, qui est du fait de la qualité de sa fabrication). les déchets sont classés en trois catégories :
transmis à l’exploitant, avec une « lettre de 3- L’opérateur doit disposer des moyens et les déchets « A » de faible activité, contenant
suite » définissant les actions correctives atten- procédures pour ramener le réacteur dans très peu d’éléments avec une période
dues, dont l’efficacité et la pertinence seront un état sûr si ce dernier est sorti de son radioactive (dite « demi-vie ») supérieure à
évaluées lors de l’inspection suivante. domaine de fonctionnement normal. 30 ans ;
Par ailleurs, la survenue d’un incident sérieux 4- En cas d’échec, induisant un risque de les déchets « B » d’activité faible ou
sur un site, ou la multiplication de petits inci- rupture d’une voire des trois barrières, des moyenne, contenant des éléments à vie
dents similaires sur plusieurs sites donne lieu à équipements et procédures doivent être longue ;
des inspections dites « réactives ». prévus pour éviter autant que possible les les déchets « C » de haute activité, issus des
rejets radioactifs vers l’environnement, et en combustibles nucléaires.
AR&C : Quels sont les différents niveaux tous cas les retarder et les filtrer.
d’alerte possibles dans l’exploitation d’une 5- En anticipation de possibles rejets radioactifs Les déchets de moyenne activité à vie longue
centrale nucléaire et les parades mises en place accidentels dans l’environnement, l’exploi- et de haute activité doivent être confinés pour
en fonction de la gravité du scénario ? tant doit disposer d’un PUI (plan d’urgence des durées se chiffrant en dizaines de millé-
interne), et la préfecture dispose d’un PPI naires.
J. R. : L’impératif primordial est d’interdire toute (plan particulier d’intervention) pour assurer L’industrie nucléaire produit l’essentiel des
émission radioactive vers l’extérieur (hors rejets la protection des populations. déchets B et C, et A, ces derniers comportant
autorisés en fonctionnement normal). Dans ce aussi les déchets radioactifs des hôpitaux
but, trois barrières de protection sont interpo- Toutes ces procédures font l’objet d’exercices (médecine nucléaire).
sées entre les produits radioactifs et l’environ- de simulation réguliers, dans les centrales, au
nement. Le combustible est enfermé dans une niveau des préfectures et à l’échelon national. AR&C : Quels sont les enseignements tirés des
gaine métallique étanche « le crayon ». L’eau de trois catastrophes majeures (Three Mile Island
refroidissement et d’échange thermique est AR&C : Quels sont les enjeux liés à la gestion 1979, Tchernobyl 1986 et Fukushima 2011) ?
confinée dans un « circuit primaire » à haute des déchets radioactifs ultimes ?
pression étanche, le cœur combustible étant J. R. : La première catastrophe, classée au
protégé par une cuve en acier très épais. J. R. : L’objectif est, bien entendu, de minimiser niveau 5 (sur 7) de l’échelle internationale des
L’ensemble est placé dans un bâtiment de la production de déchets radioactifs, et de événements nucléaires (INES), résulte de la
confinement en général à double paroi (voir prévenir les risques d’exposition à leur rayon- perte de contrôle d’un réacteur et de la fusion
figure, relative à un réacteur à eau pressurisée nement. Lorsque le combustible usé est partielle du cœur combustible qui a suivi, un
(REP)). déchargé, il contient encore la majeure partie scénario jugé impossible par les concepteurs
Le concept de sûreté nucléaire s’organise de l’uranium faiblement enrichi, mélangé avec et donc inédit pour les opérateurs. L’accident
autour d’une démarche dite de « défense en des « produits de fission » très radioactifs (pluto- est un « coup de tonnerre » pour les acteurs de
profondeur », en cinq niveaux : nium et actinides). La France a choisi de mettre l’industrie nucléaire. Cet accident très grave,
1- En fonctionnement nominal, les automa- en œuvre une technologie de « retraitement » mais heureusement sans rejets importants
dans l’environnement a conduit à la création
de l’IRSN (à l’époque entité au sein du CEA) et
à une révision en profondeur des modes
opératoires dans les centrales nucléaires.
l’environnement ; J. R. : Les avancées sont très significatives dans pertinence et le pragmatisme des recomman-
les autorités de sûreté ont vu leurs missions plusieurs domaines : dations. Ils doivent aussi être de très bons
et leur indépendance renforcées ; l’augmentation de la puissance unitaire des communicants, pour obtenir le meilleur accès à
la recherche a permis de mieux comprendre réacteurs de 1400 à 1650 MW, soit une chau- l’information et expliquer leurs positions.
les effets sur l’environnement, l’agriculture et dière nucléaire de plus de 5000 MW ther- En revanche, je perçois des différences dans les
la santé de pollutions radioactives à grande miques ; phases amont et la planification des missions.
échelle. l’installation de 4 générateurs de vapeur La cartographie des risques est standardisée
dotés de systèmes autonomes, permettant mais évolutive pour les centrales nucléaires qui
Enfin, pour la centrale de Fukushima, la perte leur maintenance avec le réacteur en service, disposent de dossiers de sûreté réglementaires
de contrôle a résulté de la paralysie des dispo- donc un meilleur rendement ; très détaillés alors qu’elle est spécifique à
sitifs de refroidissement du réacteur, en raison une radioprotection plus efficace ; chaque entreprise ou organisation. Dans le
de l’interruption (« Station Black-Out »), causée une double enceinte de protection, calculée domaine nucléaire l’élaboration du plan annuel
par le séisme suivi du tsunami, de l’alimenta- pour résister aux chutes d’avions commer- d’inspection suit une approche largement
tion en énergie et en eau de la centrale. ciaux, non seulement pour le réacteur mais thématique alors que dans les entreprises le
Une leçon essentielle tirée de cet accident, aussi pour la piscine à combustible et les plan d’audit est « sur mesure » et repose sur
également classé au niveau 7 de l’échelle INES, systèmes de secours ; chaque cartographie des risques.
est la nécessité de prendre en compte le risque, la réduction des déchets radioactifs.
même très improbable, d’une sollicitation Propos recueillis par Christian Lesné, membre du comité de
(séisme, tsunami, inondation…) dont l’ampleur AR&C : Quels sont à votre avis les similitudes et rédaction
dépasse le niveau de résistance pour lequel la les différences dans la démarche et les qualités
centrale a été conçue selon l’état des connais- de l’inspecteur IRSN /ASN et celle de l’auditeur
sances scientifiques et techniques plus de 40 interne ? À propos de l’auteur
ans plus tôt. En France, cela se traduit actuelle- Jacques Repussard a une formation d’ingé-
ment par l’adjonction de dispositifs ultimes de J. R. : Il convient de prendre ma réponse avec nieur (Ecole Polytechnique, corps des Mines et
sûreté capables de fonctionner même dans ces précaution car ma perception de la démarche Ponts & Chaussées). Tout d’abord en poste au
conditions extrêmes. C’est le concept du des auditeurs internes est celle d’un observa- ministère de l’industrie, puis directeur adjoint de
« noyau dur » de sureté imaginé par l’IRSN. teur extérieur. l’AFNOR, il devient Secrétaire Général du Comité
Européen de Normalisation (CEN) à Bruxelles. En
Pour moi les mêmes qualités sont requises en
1997, il prend la direction de l’INERIS (Institut
AR&C : Quels sont les apports de l’EPR matière de rigueur dans les vérifications de National de l’Environnement Industriel et des
(European Pressurized Reactor) réacteur de conformité, la mise à jour des éventuels dysfonc- risques), puis de l’IRSN de 2003 à 2016.
nouvelle génération ? tionnements, les analyses causales et dans la
La sécurité
industrielle
est-elle un art du compromis ?
René Amalberti, MD, PhD, Prof, Directeur, Foncsi1 bon et de moins bon, non pas pour en réduire
ou banaliser l’impact, mais au contraire pour
chercher des solutions qui améliorent encore
la sécurité tout en étant réalistes dans leur
déploiement.
R
ien n’est plus important que de se Pour autant, le comportement de l’objet une entreprise plus définitivement : ne pas
battre pour sauver des vies de travail- « sécurité » reste particulier, sans doute trop produire en temps et en qualité et avoir des
leurs et de riverains qui pourraient brouillé par l’émotion et la compassion envers clients insatisfaits qui vous quittent, ne plus
être brisées par une gestion impru- les victimes, au point de ne pas assez lire un trouver de marché de vente au prix qui
dente des entreprises. Et il faut bien admettre certain nombre de fondamentaux qui en diri- permet la survie, ne plus être compétitif, ne
que trop de vies sont encore brisées, avec des gent le domaine. Ce texte se risque à cette pas correspondre au marché de l’emploi, ne
industries opérant encore à des niveaux de lecture plus factuelle des comportements
risque inacceptables. industriels sur le thème, en ce qu’ils ont de 1 Fondation pour une culture de sécurité industrielle.
pas pouvoir financer les investissements déroute financière. Là encore, le temps est le teurs à zéro perdent leur intérêt, et on se met
nécessaires, ou s’endetter sans espoir, entrer bon prisme de lecture : ce qui a fait le succès alors à rechercher de nouveaux indicateurs
dans une crise sociale incontrôlable et un du passé construit rarement le succès du plus sensibles et encore positifs.
climat délétère de perte de confiance. Certes, futur. Les environnements et les contextes
avoir des accidents avec leurs redoutables évoluent, le marché de la demande et celui Dans ce chemin de recherche des indicateurs
conséquences médiatiques peut aussi tuer de la technologie innovante changent les positifs, on fait aussi facilement des interpré-
l’entreprise, mais finalement ces accidents donnes, la concurrence aussi. Sans oublier tations inclusives du domaine de la sécurité.
n’appartiennent qu’à une longue liste de que l’exposition à une certaine audace, qui On assimile par exemple assez facilement la
malheurs. Une erreur commune serait même s’adapte selon le contexte, porte la richesse perte de productivité à des incidents qui
de considérer qu’ils sont une issue à tous les de l’apprentissage et de la sagesse. retombent dans le comptage direct de la
problèmes précédents, comme si d’un Pour le dire autrement, quand on étudie la sécurité parce qu’ils ont en dénominateur
problème financier ou social résultait forcé- sécurité, on cherche cette alchimie mysté- commun des comportements inadéquats et
ment et nécessairement un accident. C’est rieuse qui écoperait l’eau d’un bateau prenant des erreurs. Ces nouveaux indicateurs, très
possible, mais sans certitude. Tous les risques volontairement l’eau. Car la sécurité, c’est positifs au départ, sont aussi d’excellentes
cités peuvent percoler et, par effet domino, d’abord ce paradoxe : elle ne fait pas vivre l’en- justifications à de nouvelles mesures deman-
partir d’une catégorie (finance, sécurité, treprise ; on l’invoque quand on a déjà pris les dées par les responsables de la sécurité. Pour
production, climat social) pour fragiliser le risques pour d’autres objectifs qui lui sont faire « parler » la sécurité, on ajoute des indi-
système dans son ensemble. toujours supérieurs. cateurs sur les incidents moins graves, voire
mineurs, puis sur les presque-accidents et
Si l’on devait écrire une histoire de la propa- La sécurité et l’étrange incidents, puis sur les erreurs, et enfin sur des
gation du risque final, d’un dernier domino singularité de ses indicateurs éléments encore plus complexes et moins
commun redouté, c’est plutôt la fermeture omniprésents en quittant l’immédiat constaté
définitive de l’activité industrielle qui serait ce La sécurité est un domaine très singulier, dont et le lien facile avec l’exercice du travail (arrêts
dernier domino. Pire encore, ce serait la conta- la demande augmente quand elle ne sait plus de travail des personnels et de l’installation,
dommages directs constatés). On passe alors
comme un risque à part, ce qu’elle n’est pas » de travail qui conduit à un risque statistique
de maladie aux conséquences préjudiciables mesures que l’on va pouvoir à nouveau faire décisions dans le temps, dont on ne sait
pour la personne en termes de raccourcisse- tendre vers zéro pour rassurer les observa- plus lesquelles sont efficaces, et pour
ment de durée de vie ou d’impact pour les teurs de son travail et défendre son bilan et lesquelles il n’y a jamais de nettoyage
tiers absents des générations futures. ses investissements (de sécurité) face à d’au- puisqu’on ne sait plus évaluer distincte-
tres priorités de l’entreprise. ment la causalité entre action et résultat
La destinée de tous les indicateurs de sécu- (Amalberti, 2001).
rité est de tendre vers zéro. Et la tendance La sécurité finit par se piéger Pire, plus le risque est réduit et bien
au zéro devient aussi un chiffre inadapté à à son propre jeu maîtrisé, plus la compréhension et la
la gouvernance de la sécurité, avec une maîtrise des risques résiduels ne se mesu-
perte d’influence dans les arbitrages d’une La thèse d’une sécurité qui sécrète progressi- rent plus par des variables quantitatives
direction HSE qui aurait « atteint » son vement sa propre mort n’est pas neuve (fréquences, conséquences médicales et
objectif assigné, une espèce de « suffi- (Perrow, 1984). Elle reflète cette recherche sur les installations, coûts associés), si fami-
sance » de la mission qui lui a été confiée. Il obsessionnelle, administrative, de la réduction lières aux ingénieurs et si propres aux
peut même en résulter des freins à une et de la suppression de tous les risques visi- milieux professionnels. Elles se mesurent
continuité d’investissements internes sur ce bles – avec tous les changements successifs encore, mais par des variables qualitatives
domaine, et des freins à une confiance d’indicateurs déjà évoqués précédemment propres au ressenti du grand public (peurs,
(externe) des citoyens et des tutelles qui dans la vie de l’entreprise – et finit par avoir opinions radicalisées, intolérances, crise de
réagissent très fortement à toute réappari- plusieurs effets pervers : la science et dénonciation des experts),
tion d’incident. La réduction de tous les indicateurs de gérées par un monde de compétences
sécurité vers zéro devient une routine « molles » psychologiques et sociologiques.
La réussite de la gouvernance de la sécurité rassurante, avec un risque « d’endormisse-
nécessite donc de recréer continuellement ment » de la vigilance pour l’émergence de Pour le dire autrement, la réassurance tech-
une menace qu’on contrôle bien, de la rendre nouvelles questions de sécurité. Le futur de nico-administrative progressive qui nous
visible, pour justifier de son importance, pour la sécurité devient entièrement encapsulé habite depuis 30 ans en matière de sécurité
qu’on progresse, et pour éviter de se ranger à et décrit par les succès du passé, et la a porté ses fruits (la sécurité s’est considéra-
une image « d’abandon ». Le toujours plus – remise en question devient trop rare alors blement améliorée) mais a fini par « enfer-
au risque d’être peu pertinent dans ce que que le monde change rapidement autour. mer » le système et ses experts dans une
l’on montre et mesure – devient la seule On assiste à une logique de saturation solution sans avenir. Elle n’empêche jamais
réponse acceptée. On invente de nouvelles administrative de sécurité par cumul de l’accident rare, car aucun système n’est tota-
lement sûr, et elle finit même par générer cet management de proximité. compromis qui sont coupables – car ils
accident rare par sur-confiance et vision trop L’augmentation de la sécurité réglée, impo- sont souvent consensuels entre directeurs,
étroite du risque. De plus, les conséquences sée par les règlements, se fait forcément au et décidés pour le bien de l’entreprise –,
de « ce dernier accident » sont toujours plus prix d’une rigidité accrue, d’une volonté de mais ce sont les conséquences non maîtri-
graves que les accidents précédents, car il standardisation immense des techniques et sées de ces compromis qui deviennent la
arrive dans un ciel serein. On parle parfois de des hommes, et généralement d’une adapta- source la plus grande de risque. C’est
big-one (Amalberti, 2001, 2012), car la sanc- tion moins grande des opérateurs aux comme si on décidait de venir à ces
tion qui va suivre « ce dernier accident » est surprises (impact négatif sur la sécurité gérée, réunions avec un plan idéal (de sécurité, ou
totalement disproportionnée eu égard à la basée sur l’expertise des opérateurs et que de finance, construit comme idéal, un
sévérité objective de l’accident, et va souvent l’on peut associer à l’idée de résilience). « tigre en papier » de ses troupes spéciali-
entraîner la fin de ce cycle industriel et le sées) et qu’on sorte de la réunion presque
passage à un autre cycle. L’art de l’intervention de sécurité réussie avec l’impossibilité de l’appliquer. Dans la
consiste à régler – collectivement, dans les plupart des cas, il n’y a pas de travail sur le
Vers de nouvelles « portes de instances de direction, à tous les étages du renoncement, sur sa signification pour la
sorties » théoriques top management jusqu’au management de conduite réelle des opérations, ni d’explica-
proximité – le compromis et les arbitrages tion aux managers sur ce qui change, ni de
On l’aura compris, les théories classiques sur entre le bénéfice de cette sécurité réglée et la construction d’un plan B dégradé. C’est
la sécurité n’ont plus de potentiel pour gérer perte qui va en résulter pour la sécurité gérée. l’absence de plan B réaliste qui en général
la complexité du risque résiduel auquel nous va provoquer le vrai risque, et non l’insuffi-
devons faire face. Le défi est difficile car nous À l’échelon individuel et du management sance du plan idéal « tigre de papier »
sortons de trois décades de succès avec les de proximité, on parle de compromis concocté par les troupes spécialisées.
modèles et théories que nous avons « micro-centré ». Il s’agit d’établir en perma- Construire les plans B dégradés devient
employés. Mais ils se sont épuisés avec un nence un équilibre entre ce que l’on veut l’objectif de la maîtrise du compromis,
contexte qui change. Pour prendre une méta- faire (représentation mentale), et ce que mais on en est souvent loin, car les plans
B sont tabous. Les stratégies d’interven-
SÉCURITÉ / SÛRETÉ
Le rôle de l’auditeur interne
30 Sécurité, Sûreté
Les entreprises face à leurs obligations
La gestion de la sûreté
41 De l'émergence du risque de sûreté à son management
dans le périmètre des sociétés intermédiaires
internationales
Sécurité,
Sûreté
Les entreprises face
à leurs obligations
Olivier Hassid, Directeur, PwC internes de malveillance comme la fraude).
Expert sécurité sûreté Ainsi trouve-t-on au sein des entreprises, des
directions sécurité et des directions sûreté
pour gérer ces problématiques ou des dépar-
tements qui peuvent faire « office de »,
comme l’audit interne ou le management des
risques. Précision qui a son importance avant
d’entrer dans le vif du sujet, il est possible de
trouver au sein de certains secteurs des direc-
tions qui ont la dénomination de direction
sécurité alors qu’elles ont en charge la gestion
Face aux enjeux croissants de sécurité et sûreté, l’auteur souligne la responsabilité des de la malveillance, comme c’est le cas dans le
entreprises dans la protection de son personnel et de ses actifs ainsi que le rôle déter- secteur nucléaire ou des directions sécurité
minant de l’audit interne dans cette démarche. qui gèrent les deux problématiques en même
temps.
L
a responsabilité de l’entreprise face septembre 2001. Par sécurité, il convient d’en- délictuels ou terroristes) qu’à la nécessité pour
aux enjeux de sécurité et de sûreté tendre la gestion des risques non intention- l’entreprise d’assumer ses responsabilités.
s’est considérablement accrue au nels, c’est-à-dire accidentels, et plus Dans cette perspective, cette responsabilité
cours des quinze dernières années. À particulièrement tout ce qui relève du est abordée à la fois au civil et au pénal. Au
l’origine de cet accroissement, deux crises domaine de l’hygiène et de la sécurité au Civil tout d’abord, en particulier avec les arti-
majeures : la crise de l’amiante en matière de travail ; par sûreté, il faut entendre la gestion cles 1240 et 1241. L’article 1241 du Code civil
sécurité et les attaques terroristes dans le des actes de malveillance (terrorisme, acte stipule que « chacun est responsable du
monde en matière de sûreté, à partir du 11 criminel tel que le vol ou encore des actes dommage qu’il a causé non seulement par
1- la réduction des vulnérabilités. Le plan d’ac- d’audit et de qualification des auditeurs dans chose. Le département sûreté seul ne peut
tion indiquera les axes à mettre en œuvre l’esprit des dispositions décrites dans la norme pas protéger le patrimoine de l’entreprise. Il
conduisant à maîtriser les vulnérabilités ISO 19011 relative aux audits de systèmes de doit être aidé et la direction de l’audit interne
identifiées et évaluées. Il intègrera les management de la qualité. La responsabilité doit être en première ligne. En 1997, Michael
modalités garantissant la fiabilité et la de la réalisation des audits internes peut être Powell écrivait dans son livre « The Audit
pérennité des parades existantes ; confiée à des membres du personnel de l’or- Society: Rituals of Verification » que nous
2- l’évaluation de conformité à la réglementa- ganisme ou à des personnes extérieures. Un entrions dans une société où l’audit se géné-
tion et aux exigences spécifiques qui des points cruciaux sera alors de s’assurer à la ralisait. Vingt ans plus tard, on peut alors être
peuvent varier d’un secteur à l’autre. fois des compétences de l’auditeur en la surpris que l’audit en tant qu’institution du
matière et de son impartialité. Si la réalisation traitement du risque ne se soit pas imposé et
L’audit peut également avoir comme autre d’audits conduit l’auditeur à avoir accès à des généralisé en matière de sécurité et de sûreté
fonction, celle d’évaluer la fonction sécurité, informations sensibles; il devra alors être, si à l’ensemble des entreprises et organisations
sûreté au sein de l’entreprise, en particulier sur nécessaire, dûment habilité et, dans certains en général. Ce retard devrait être rattrapé rapi-
le plan de l’éthique. La direction sûreté a pour cas, bénéficier d’une habilitation « secret dement dans un contexte où il est incontes-
mission de protéger les biens et les défense » ou « confidentiel défense »1. table que l’audit interne doit participer à la
personnes, elle peut aussi avoir une fonction sécurité générale à la fois pour des raisons de
de surveillance qui peut être source de dérive. Ce type de mission rapidement décrit, est sécurité et d’éthique.
Ainsi certaines de ces directions ont défrayé essentiel mais encore peu développé dans de
la chronique pour avoir surveillé des collabo- nombreuses entreprises. Pour avoir interrogé
rateurs à leur insu ou pour avoir eu des nombre de directeurs d’audit interne et de
pratiques frauduleuses. Pour éviter toute directeurs sûreté, il ressort encore que rares
initiative illégale ou non éthique, l’audit peut sont les entreprises matures qui ont défini un
évaluer l’intégrité des pratiques de sa direc- plan d’audit qui intègre cette dimension sécu-
tion sûreté afin de la faire progresser. rité-sûreté. A l’époque actuelle, un change-
1 Secret Défense, réservé aux informations et supports
ment est en train de s’opérer. Certaines
dont la divulgation est de nature à nuire gravement à la
Le cadre de réalisation des audits internes en directions sûreté demandent l’appui de l’audit défense nationale.
matière de sûreté se rapproche des procé- interne pour renforcer le niveau de sûreté et Confidentiel Défense, réservé aux informations et
dures d’audits de management dans d’autres l’audit interne demande aux experts du supports dont la divulgation est de nature à nuire à la
défense nationale ou pourrait conduire à la découverte
domaines (qualité, environnement, etc.). métier de les aider à bâtir des référentiels
d’un secret classifié au niveau Très Secret Défense ou
L’organisation met en place un processus robustes en la matière. C’est une bonne Secret Défense.
L’IFACI ne manquera pas de revenir sur les composantes et les principes de cette démarche renouvelée.
ing Implic
l ign atio
ta ns
no f
ro
y
te g
m
tra
the
STRATEGY,
ibilit y of s
st
rategy chosen
PERFORMANCE
R
ce
is
kt an
os
tr ate f or m
gy & per
La prévention
des risques relatifs
à la sécurité et
à la sûreté
Une priorité pour l’audit interne de Michelin
Eric Faidy, Directeur de l’audit du Groupe Michelin Des standards élevés pour
Direction Groupe de la qualité, de l’audit et de la maîtrise des risques prévenir les risques sécurité des
personnes et des biens
110 000 personnes travaillent pour Michelin à
travers le monde dans des environnements de
travail aussi divers que l’industrie, la logistique,
la distribution.
Les risques d’exposition sont donc multiples,
Sûreté
et sécurité
chez Sodexo
Quel rôle pour l'audit interne ?
L
Sophie Neron-Berger, Senior Vice President- e sujet touche de nombreux domaines : l’évolution
Group Internal Audit, Sodexo actuelle en matière de digitalisation impacte de façon
significative le fonctionnement des entreprises et les
risques auxquels elles sont exposées. A ce titre, il appa-
raît de plus en plus critique de maitriser l’environnement de
contrôle des systèmes d’information. Le recours croissant aux
applications digitales augmente le volume de données traitées
et exige un renforcement de la sécurité de ces mêmes
données. Nous ne parlons plus seulement des données en tant
que telles, mais de la valeur et des débouchés qu’elles repré-
Les enjeux liés à la sécurité informatique sont devenus incon- sentent : ne dit-on pas que la donnée et le Big data représen-
tournables pour toutes les entreprises. Le Groupe Sodexo avec ses tent le nouvel « or noir » des entreprises ? Il devient alors
425 000 collaborateurs et ses 75 millions de consommateurs critique voire vital de les protéger. Cette protection est néces-
saire à plusieurs niveaux ; comme pour tout actif de valeur, les
quotidiens est pleinement conscient de ces enjeux et de leur
entreprises souhaitent éviter l’intrusion, le vol ou la dégradation,
importance. Mais comment un Groupe comme Sodexo, leader mais également fournir cette assurance au quotidien à leurs
mondial des services de qualité de vie, a-t-il choisi de s’emparer de parties prenantes.
ce sujet ? Parallèlement, la législation se renforce en ce sens : la GDPR
par exemple exige davantage des entre-prises les obligeant
ainsi à disposer de systèmes d’information performants capa-
bles de déployer un programme de protection des données.
Le déploiement croissant des objets connectés est également
rôle de 2ème ligne, tandis que l’audit interne est La vision de Sodexo
complètement intégré dans cette démarche,
dans son rôle de 3ème ligne. La cyber sécurité, un domaine à part
Mais comment l’audit interne intervient-il
dans cet environnement si particulier ? La cyber sécurité est un domaine à part
entière, avec ses propres sous-domaines d’ex-
Un axe non négociable : pertise. Mais que doit couvrir la fonction audit
l’audit des fondamentaux IT interne ? Quels types d’audit doit-elle
conduire ?
Le sujet est complexe, car il couvre de S’agit-il de s’assurer qu’une gouvernance
nombreux domaines et des risques très variés. SSI (Sécurité des Systèmes d’Information)
Comment aborder ce sujet surexposé que ce appropriée est en place ?
soit par effet de mode, de médiatisation ou de Ou bien que les architectures IT sont en
surenchères. ligne avec les bonnes pratiques ?
Le premier axe, que nous qualifierons de Sommes-nous en capacité de répondre
« non négociable », est celui des fondamen- efficacement aux incidents de sécurité ?
taux : ces « basiques » de l’IT communément Etc.
appelés les IT General Controls. Rien ne sert de
s’intéresser aux risques spécifiques de la cyber Répondre à toutes ces questions équivaut à
sécurité si le socle de base n’est pas déjà en disposer d’un nombre suffisant de ressources,
place. Avant même de parler d’audit de la ce qui n’est pas toujours le cas. Aussi faut-il
sécurité, il faut surtout s’assurer que ces fonda- prévoir une alternative afin de couvrir ces
mentaux existent, C’est bien là, la mission de risques dans le plan d’audit. .
l’audit interne. Ce premier niveau est capital
et constitue ce que l’on pourrait appeler le Audits intégrés ou audits ciblés,
pre-mier étage de la fusée. Il existe déjà deux méthodes adéquates pour
depuis de nombreuses années et a été appréhender un audit de sécurité
renforcé au moment du déploiement des
dispositifs SOX. Vient seulement ensuite la Chez Sodexo, nous couvrons le sujet principa-
question de la sécurité et du niveau d’exposi- lement grâce à deux types d’audit :
tion des infrastructures, des systèmes, des de manière intégrée lors des revues d’enti-
applications et autres composants formant tés, ou plus généralement au travers d’audit
l’écosystème IT. Via l’internalisation de regroupant plusieurs thématiques dont l’in-
ressources dédiées et jouissant d’une exper- formatique ;
tise dans le domaine, l’audit interne est en en faisant un focus particulier sur la sécurité
mesure d’être un vrai partenaire pour l’audité IT.
allant au-delà de la simple relation auditeur /
audité. Dans ces deux cas, les fondamentaux sont
revus en priorité. Lors des audits intégrés,
Cette contribution de l’audit interne s’illustre nous apprécions le niveau de risque lié au
au travers de : contexte de l’entité afin de déterminer quelles
la qualité des observations ;
un paramètre qui montre à quel point les
sont les zones où une revue de la sécurité
la pertinence des recommandations.
entreprises doivent prendre des mesures de
sécurité, afin de s’assurer du bon fonctionne- prend son sens.
ment des systèmes, mais également à préve-
nir le risque d’intrusion et d’acte de
malveillance.
Le télétravail, de plus en plus répandu, et les
accès à distance génèrent pour les entre-
prises, des points de vulnérabilités poten-
« Face à l’évolution actuelle en matière de
digitalisation, il apparait de plus en plus critique
de maîtriser l’environnement de contrôle
tielles, nécessitant une maitrise performante
des opérations pour travailler efficacement.
Dans cet environnement où la donnée est
devenue le nouvel or noir, où les pratiques
évoluent très rapidement avec une compo-
des systèmes d’information
Dans un autre registre, cela permet de contri-
»
En revanche, certains audits 100 % sécurité
sante digitale de plus en plus forte, les entre- buer à la sensibilisation des auditeurs non IT sont parfois nécessaires notamment lorsqu’il
prises doivent considérer la sécurité des et non experts qui, petit à petit, développe- s’agit d’avoir une vision globale et consolidée
systèmes d’information comme un sujet vital, ront des postures plus appropriées face aux du niveau d’exposition. L’approche retenue
intégré à la stratégie de l’entreprise. situations à risques. Il s’agit là d’une opportu- est alors de revoir l’ensemble des grandes
L’approche choisie par Sodexo est appuyée nité idéale de sensibiliser de manière pérenne thématiques couvrant les sujets de :
sur le modèle des 3 lignes de maitrise des ces dirigeants en devenir du Groupe qui gouvernance ;
risques. Une cellule de sécurité informatique sauront apprécier à leur juste valeur ces sensibilisation ;
et son réseau de correspondants jouent le aspects parfois négligés. gestion de projets ;
bénéficier du soutien du référent en sécurité tique demeure néanmoins une fonction de préalables :
informatique sans requérir nécessairement sa niche au sein de laquelle l’auditeur devra Lors d’une mission, la réalisation de tests
présence physique durant la mission. Cela est pouvoir se projeter à sa sortie de l’audit liés à des scans simulant une intrusion n’est
rendu possible, avec néanmoins certaines interne (RSSI Groupe, Directions informa- pas sans effet. Compte tenu de la nature
limites, à travers une phase de préparation – tiques locales par exemple). Une autre option « agressive » des tests, il est essentiel d’aler-
voire de formation – adaptée conduisant à possible demeure celle de son évolution au ter la direction informatique auditée afin de
une coordination efficiente entre les auditeurs sein de l’audit interne à condition de pouvoir convenir d’un créneau horaire pour réaliser
durant le déroulement de la mission. continuellement « alimenter » son appétence ces tests durant lequel les ressources
Autre enjeu majeur : les ressources humaines. sur des sujets complexes à forts enjeux stra- métiers seront le moins impactées en cas
L’audit interne est souvent un vivier de talents tégiques. d’indisponibilité des applications scannées.
qui cherchent à évoluer en interne après De même, les fonctions centrales de la
quelques années passées dans le départe- Auditer la sécurité informatique : savoir sécurité informatique devront être préve-
ment. Il en va de même pour un auditeur en communiquer avec les parties prenantes nues afin que leurs radars ne les alertent
sécurité informatique. L’entreprise devra pas inutilement sur une attaque potentielle
disposer d’une certaine visibilité sur ses pers- En lien avec les nouvelles méthodes de travail (« faux positif ») suite à la conduite de ces
pectives d’évolution au sein du Groupe. Bien précédemment citées, la communication mêmes tests.
que transversale et omniprésente dans toutes avec les différents « clients » de l’audit interne A la suite de ces tests, et en cas de vulnérabi-
les strates de l’entreprise, la sécurité informa- est primordiale et nécessite des ajustements lité avérée mais surtout si l’auditeur peut
démontrer qu’elle a été exploitée par un tiers, Enfin, la conduite de missions d’audit ayant interne a un rôle important à jouer dans ce
l’auditeur expert devra pouvoir participer à trait à la sécurité informatique doit pleine- contexte de complexification de l’environne-
une réunion de crise avec les différentes ment s’inscrire dans la stratégie informatique ment et de risques de plus en plus divers. Sa
parties prenantes (locales, centrales) afin du Groupe. En effet, cette compétence va façon de travailler doit évoluer.
d’évoquer plus en détail les failles de sécurités permettre la découverte de points d’une
ainsi découvertes, et ainsi travailler sur le plan nouvelle nature qui nécessiteront un plan L’entreprise et son audit interne n’ont plus le
de remédiation dans les plus brefs délais. d’action(s) approprié(es). Ces points néces- choix : ils subissent également la pression
Lors des réunions de restitution suite à une site-ront généralement un investissement grandissante des clients, des consommateurs
mission, l’auditeur expert en sécurité devra substantiel afin de permettre à la fois une et des régulateurs.
faire preuve de pédagogie envers l’équipe refonte de l’architecture informatique et/ou
auditée. Par nature, la sécurité informatique une amélioration des systèmes de détection Avant même de parler d’audit de la sécurité
représente un domaine complexe pour des et de prévention liés aux failles informatiques. informatique, il y a lieu a minima de s’assurer
non-initiés qui, si l’on y rajoute l’utilisation Or, sans le soutien appuyé des directions à la que les fondamentaux sont en place. Sans
une bonne maitrise des contrôles d’accès, de
les fondamentaux sont en place » Une fois cette étape atteinte, le choix de l’ap-
proche d’audit, en interne ou en externe, doit
se faire. Choix difficile entre investir dans ses
propres ressources ou confier cette mission à
de termes et autres techniques propres à fois Générale et Informatique du Groupe et un tiers considéré comme mieux expéri-
cette discipline, peut rapidement conduire des moyens nécessaires débloqués, les plans menté. Ces audits doivent permettre d’établir
à un monologue de l’auditeur alors même d’action – ainsi que les risques inhérents – un constat objectif sur les vulnérabilités de
que l’on recherche une véritable interaction demeureront ouverts. Au-delà même des l’entreprise. Quoi qu’il arrive, il faudra ensuite
afin de faciliter la prise de conscience des risques, l’absence d’action concrète suite à ce être en mesure de partager les constats avec
risques liés à la sécurité informatique. De type d’audit remettrait en cause la stratégie la direction générale, car le type d’observation
même, l’expérience de l’auditeur sera du département d’audit interne ainsi que l’en- levé est souvent à portée stratégique et peut
essentielle pour démontrer concrètement gagement des auditeurs qui la soutiennent. demander des investissements significatifs.
l’impact des risques soulevés à travers des L’audit interne doit se montrer explicite, clair,
scénarii réalistes et réalisables d’attaques * * pédagogue pour que le sujet puisse être
informatiques. En effet, une des difficultés * adressé au mieux. L’audit interne dans son rôle
de ce type d’audit est de convaincre les de conseil doit pouvoir engager cette discus-
parties prenantes des risques qu’elles Il n’y a pas de recette miracle pour traiter du sion et faire bouger les lignes pour mieux
encourent sans action de leur part. sujet de la sécurité informatique. L’audit protéger l’entreprise.
La gestion
de la sûreté
De l'émergence du risque
de sûreté à son management
dans le périmètre des
sociétés intermédiaires
internationales
Marie-Laure Vacherot, Group Internal Audit Director, Altran Si la population française a majoritairement
pris conscience récemment de la survenance
du risque de sûreté sur le territoire national,
certaines entreprises y sont fortement sensi-
bilisées de tout temps et gèrent ce risque
selon leur secteur d’activité, leurs implanta-
tions et leur personnel. D’autres entreprises
par contre, concentrées essentiellement sur
l’assistance aux collaborateurs et la sécurité de
Maîtriser le risque de sûreté exige la contribution de plusieurs fonctions clés de l’entre- leur périmètre informatique, ont dû dévelop-
prise. L’audit interne y joue un rôle non négligeable, l’auteure en fait ici une excellente per de nouvelles politiques sous l’effet
démonstration. conjoint de la croissance de l’activité au
niveau international, de la diversification et de
l’aggravation des menaces potentielles ou
De l’évolution du risque de parmi les impacts majeurs de l’augmentation avérées en matière de sûreté.
sûreté à sa communication aux et de la diversification du risque de sûreté.
interlocuteurs Corporates : A titre d’illustration, un effet conjugué des
la contribution du Risk manager A l’instar de la compliance, de la corruption ou situations rencontrées par les expatriés dans
encore de fraude, la sûreté1 et les risques asso- leur pays de résidence (conflits locaux deve-
L’exposition de la responsabilité pénale des ciés se sont invités de plus en plus dans nant violents, augmentation du terrorisme,
dirigeants et la vulnérabilité potentielle des l’agenda des Comités exécutifs et dans les ciblage des intérêts économiques occiden-
collaborateurs, des emprises physiques, de l’in- cartographies des risques et les budgets, au
formation et de la propriété intellectuelle sont cours de ces dernières années.
1
Notion à différencier de la sécurité.
rité, les tests de pénétration des systèmes Leurs impacts s’aggravant mutuellement, ils A titre d’illustration, une réponse particulière-
et d’altération des données, l’application de doivent être réévalués régulièrement, de ment efficiente fut celle d’un groupe interna-
la Politique de Sécurité des Systèmes même que les mesures de prévention et de tional qui a fait preuve d’une forte réactivité
d’Information (PSSI). résilience auditées. dans un délai limité. Moins de 9 mois lui ont
suffi pour :
L’audit du processus de gestion de crise de Par contre, la gestion du risque de sûreté et le déceler et évaluer l’augmentation du risque
sûreté peut évaluer par ailleurs : contrôle interne s’y rapportant diffèrent de la de sûreté : le risk management ;
l’adéquation du processus aux natures de gestion des autres risques : prendre en considération le niveau d’en-
crise et périmètres potentiels, Les plans d’actions et les mesures préven- jeux atteint par la sûreté et les limites de la
le degré d’actualisation du processus de tives évoluent en permanence pour s’adap- politique de gestion existante : le Comité
gestion de crise aux menaces les plus ter aux incertitudes des menaces. Une exécutif ;
récentes, communication spécifique auprès des diri- octroyer un budget supplémentaire pour
l’efficience des retours d’expérience des geants est fréquemment requise pour justi- des audits de sûreté ajoutés au plan d’audit
incidents et crises gérés, fier l’augmentation constante des budgets annuel et couvrir l’intégralité des filiales
un test des plans de continuité et de reprise
d’activité,
un exercice de simulation de gestion de
crise dont les conclusions donneront lieu à
un plan d’action évalué ensuite dans le
cadre du suivi des recommandations.
De l’évaluation des
vulnérabilités de l’organisation
à l’action de l’exécutif :
de l’élaboration de la
gouvernance de la sûreté à son et la permanence des actions préventives installées dans les zones les plus exposées :
accompagnement dans la durée à mener. De même, les compétences le Directeur administratif et financier ;
internes doivent être actualisées, tant celles pratiquer une première « vague » d’audits
Au-delà des alertes ponctuelles mobilisatrices, des responsables Sûreté que des risk mana- de sûreté co-traités avec des experts
le risk management et l’audit Interne sont les gers ; les ressources allouées aux audits externes : l’audit ;
contributeurs fonctionnels de référence doivent aussi être adaptées. établir une gouvernance de la sûreté
pouvant agir auprès du Directeur de la sûreté. La collaboration entre le risk manager, le comprenant la nomination d’un Directeur
L’objectif est de l’assister et de rendre compte contrôle Interne, l’audit et le Directeur de de la sûreté chargé notamment d’assurer la
des enjeux de la sûreté dans la continuité de sûreté est essentielle et le benchmark entre mise en œuvre du plan d’action post-audit
la cartographie des risques et des plans d’au- pairs est incontournable. Il est opportun et de permettre une maitriser optimale du
dit réguliers. d’acquérir une sensibilité opérationnelle risque de sûreté dans la durée.
face à ce risque croissant et en constante
A l’image des risques de fraude ou de corrup- évolution, de développer les compétences
tion, le risque de sûreté et les scénarii possi- professionnelles adaptées et d’apprendre à Emprise : Ensemble des périmètres physiques (d’une entreprise) à
sécuriser afin d’y préserver l’intégrité physique des personnes et
bles évoluent en fonction de facteurs et gérer l’émotivité que le sujet peut générer des actifs s’y trouvant et d’y maintenir la sûreté globale de l’envi-
d’acteurs internes ou externes à l’entreprise. chez certains interlocuteurs. ronnement professionnel.
de Schneider
d’effort ou de vigilance qui sont définis par la
direction de la sûreté. Les audits sont ciblés en
fonction d’une problématique particulière :
le niveau de sûreté physique d’un site (en
Electric
fonction de sa nature, de sa sensibilité pour
le business, de sa localisation...) : il s’agira
d’évaluer les contrôles d’accès, la surveil-
lance électronique et humaine (détection
d’intrusion, de comportements suspects),
les procédures d’alerte et d’urgence, le trai-
tement des incidents, la maintenance des
Maurice Dhooge, Senior Vice-president, Global Security,
équipements de sûreté, etc. Ces sujets ont
Schneider Electric
des exigences plus élevées en fonction de
certifications spécifiques dont le site doit
éventuellement se prévaloir (C-TPAT :
Customs Trade Partnership Against Terrorism ;
OEA : Operated Agreed Economy ; Habili-
tation au secret de défense...) ;
la sécurisation des voyageurs internatio-
Le Vice-président Global Sûreté Schneider apporte un éclairage instructif sur naux se rendant dans des pays classés à
le système de management de la sûreté dans le groupe. Il souligne le rôle et risques : il s’agira d’évaluer la robustesse et
l’implication des différents acteurs en premier lieu la fonction sûreté avec le la fiabilité de l’accueil des voyageurs, l’adé-
concours éventuel selon le type de missions, de la fonction Risques & quation des mesures d’accompagnement
Assurances ou de l’audit interne. mises en place, le professionnalisme et la
fiabilité des prestataires spécialisés, le
niveau de sûreté des hôtels utilisés et les
procédures d’urgence (protection, confine- prise, accompagnés par un juriste pendant manquements à l’éthique ; le suivi des
ment, exfiltration...) ; toute la durée de leur investigation (le dossiers et le partage des conclusions auprès
la sécurisation des expatriés séjournant « Compliance Officer »). Ce juriste a trois des managers concernés sont assurés par ce
dans les pays ou zones à risques : l’enjeu missions spécifiques dans ce type de Comité fraude. Toutes les décisions, au sein de
sera de vérifier leur niveau de connaissance contexte : offrir à l’investigateur une possibilité ce comité, sont prises à la majorité des voix.
des consignes de sécurité, le niveau de de débriefing régulier, s’assurer qu’aucun Compte-tenu du nombre de dossiers traités
sécurisation de leur résidence ainsi que la élément de preuve ne sera obtenu par des chaque année (près de 250 en moyenne),
matérialité de certaines exigences (safe- moyens illégaux et anticiper les procédures notre coopération est permanente. Une
rooms, panic buttons, moyens de commu- qui pourront être rendues nécessaires du fait forme de solidarité s’est également dévelop-
nication d’urgence...), l’existence et la des découvertes au cours de l’investigation. pée au cours du temps car nous avons, régu-
solidité des procédures d’urgence ; L’audit interne est pleinement impliqué dans lièrement, des dossiers complexes ou à forts
le niveau de préparation des équipes ce type de processus en tant que membre enjeux qui la nécessite parfois.
locales à gérer des crises : il s’agira de véri- permanent du « Comité fraude », instance de
fier l’existence d’une planification adaptée, pilotage dudit processus. De même, une bien meilleure connaissance
la réelle appropriation par les acteurs clés de nos organisations réciproques, de nos
du plan de crise, le réalisme et l’efficacité AR&C : Justement, quels sont les bénéfices enjeux et de nos missions s’est également
des protocoles d’urgence, la complétude et escomptés de la collaboration entre la Sûreté développée. Ainsi, par exemple et depuis
l’actualisation régulière des documents, l’or- et l'audit interne ? plusieurs années maintenant, le département
ganisation de tests ou d’exercices.
Pourquoi ?
Comment ?
Pierre-Arnaud Cresson, Directeur de l’audit interne ,
Groupe Roquette
De manière alerte, l’auteur propose une approche inédite pour l’élaboration de la carto-
graphie des actes de malveillance, sous la houlette de la direction de l’audit interne,
avec le concours de « guest auditors » et une finalisation par un cabinet externe pour
éviter toute remise en cause des résultats.
Q
ui n’a pas encore fait sa cartogra- Qui va s’en occuper ? La Conformité ? La
phie du fameux risque de fraude ? Sûreté ? L’Audit interne ? Un autre départe-
Vous avez certainement même ment ?
fait ou commencé à faire celui du
risque de corruption pour répondre à une des Toutes ces questions doivent être posées, et
exigences de la loi Sapin 2. Mais la fraude n’in- nous pourrions les multiplier. Mais pourquoi
clut-elle pas aussi la corruption ? La corrup- les prendre une à une ? Peut-on faire autre-
tion n’est-elle pas un risque multiple ? ment ?
Allez-vous limiter votre ligne d’alerte à juste Chez Roquette, lors des discussions au sein du
une catégorie ? La corruption ? Que ferez- Comité des risques du groupe, il nous est très
vous des autres alertes qui vont arriver, vite apparu qu’il fallait viser beaucoup plus
comme celles pour harcèlement qui sont de large et regarder les risques de malveillance
plus en plus fréquentes (surtout qu’on ose et de mauvaise conduite, c’est-à-dire l’ensem-
maintenant en parler), ou encore sur la ble des problèmes cités plus haut, d’autant
violence en entreprise ? que certains se recoupent (vol avec violence,
rement les risques remontés par les opéra- au moins pour avoir un message clair vis-à-vis de répondre aux besoins de nombreux dépar-
tions et les fonctions. Il produit sa propre des employés), le harcèlement (moral et/ou tements, sans oublier qu’on les « force » ainsi
cartographie des risques au niveau groupe, sexuel), la dégradation volontaire des équipe- à travailler ensemble. Bien sûr, le résultat final
puis suit la mise en œuvre des plans d’actions. ments et matériels de la société, la violence, sera partagé en bonne intelligence dans le
et d’une manière générale tous les actes sens du bien commun.
Nous avons donc décidé de faire une carto- volontaires qui peuvent nuire sous une forme
graphie couvrant tous les types de malveil- ou une autre à la réputation de l’entreprise. C’est à l’audit interne qu’a échu la mission
lance et de mauvaise conduite, interne ou En ratissant large de cette manière, on a l’as- d’établir cette cartographie, notamment en
externe : la fraude (qui inclut la corruption – surance raisonnable de couvrir tous les cas et raison de son impartialité et son objectivité.
Ceci étant, pour éviter tout écueil, le directeur
de l’audit interne a de suite pris la décision
d’adjoindre à l’auditeur chargé de mission,
deux auditeurs internes « invités » : le directeur
de la Sûreté du groupe et le directeur
Juridique corporate du groupe (plus particu-
lièrement chargé de définir les besoins de
conformité et de lutte anti-corruption). De
même, pour éviter toute remise en cause des
résultats, il a été décidé de faire établir ladite
cartographie par un cabinet externe de
renom sous la coordination du chargé de
mission avec le soutien des deux auditeurs
invités. Le cabinet a été choisi sur appel d’of-
fres préparé avec le département des achats.
Lors de l’appel d’offres, nous nous sommes
vite rendu compte que notre démarche était
assez nouvelle.
Sécurité
informatique
et contrôle
interne
Bernard Attali, consultant en Gouvernance Les bonnes pratiques vulnérabilité ou le maillon fort
des Organisations, ancien auditeur de et les règles d’hygiène d’une entreprise.
l’INHESJ, conférencier en sécurité
informatique, éléments Ordinateur, smartphone, réseaux
économique labélisé EUCLES, chargé
incontournables du sociaux, clefs USB, Internet…
d’enseignement en audit interne à l’IAE d’Aix
contrôle interne autant d’appareils ou outils qui
en Provence et à la Faculté de Droit de Paris
offrent des protections standardi-
Descartes
La combinaison entre multiplicité sées mais qui sont souvent insuf-
des moyens de conservation / fisantes pour éviter le piratage
Nicolas Leregle, avocat au barreau de Paris, diffusion de l’information (sans par des tiers, surtout que celui-ci
ancien auditeur INHES, conférencier en limitation de mémoire) et banali- est souvent favorisé par des
sécurité économique labélisé EUCLES, sation d’usage de ceux-ci, asso- négligences résultant du non-
Président de la commission intelligence ciée au mélange vie privée et vie respect de règles, si elles existent.
économique de l’ACE professionnelle forment un cock- Les logiciels peuvent être infec-
tail détonnant au regard des tés, les réseaux peuvent être
contraintes de préservation des branchés et écoutés, une clef
informations stratégiques d’une USB peut copier en quelques
Stephane Bellanger, Expert-comptable, entreprise. secondes toutes les informations
Commissaire aux comptes, Analyste financier Les réseaux sociaux pratiquent d’un disque dur. Les informations
un mélange des genres difficile à diffusées sur des réseaux sociaux
gérer pour leurs utilisateurs, et le permettent de reconstituer des
nombre « d’amis » que l’on s’y fait organigrammes, de comprendre
est une porte ouverte à l’épan- des projets, de schématiser des
chement dont on ne mesure pas relations, de favoriser la fraude au
toujours les conséquences. Cette « président ». Un téléphone, un
situation concerne toutes les PC, même éteint peuvent être
strates de l’entreprise, et une écoutés, géolocalisés, piratés. Le
Un consultant en gouvernance, un avocat au barreau de Paris vision pyramidale liant position recours à un helpdesk non sécu-
et un commissaire aux comptes se sont unis pour nous faire part, hiérarchique et qualité des infor- risé qui prend « la main » sur votre
chacun dans leur domaine de compétence, des menaces mations détenues n’est plus ordinateur, le choix de matériels
auxquelles sont confrontées tous les jours les entreprises, et nous adaptée au regard des capacités non vérifiés, l’emport en déplace-
indiquer comment on peut y faire face. d’analyse, de collecte et de ment d’outils informatiques non
recoupement aujourd’hui dispo- conçus spécialement pour cela,
nibles. la négligence, la non sécurisation
La technique n’est qu’un moyen, des espaces de travail, du maté-
le facteur humain reste l’essentiel riel ou le prêt sont autant de
et peut être, à la fois, le point de risques avérés.
Tout ceci est connu mais souvent ne sont pas du seul ressort de la Le cadre juridique Le secret des affaires
celà ne doit arriver « qu’aux Direction des systèmes d’infor- et son évolution
autres ». Mais comme cela n’est mation. Le secret des affaires est une
pas le cas, la question sur la sécu- Il n’y a pas de cadre juridique notion qui revient depuis des
rité informatique et le contrôle Aussi, afin de diffuser les spécifique. Ce sont les outils décennies comme un serpent de
interne se pose avec acuité. « bonnes pratiques » l‘ANSSI, offerts par l’ensemble des droits mer du droit des affaires. Le
Agence Nationale de la Sécurité et des réglementations qui ont secret des affaires est complexe
Sécurité des systèmes des Systèmes d'Information, vocation à s’appliquer selon les car il pose des questions simples
d’information et élabore à l’usage des entreprises cas de figure observés. Mais ils ne pour lesquelles les réponses
contrôle Interne des guides et supports d’informa- sont pas suffisants ayant vocation sont… complexes :
tion et diffuse des « règles d’hy- à être essentiellement utilisés a Qu’est-ce qu’une information
Selon les définitions issues du giène informatique » concernant posteriori, suite à un problème. stratégique justifiant d’être
Référentiel COSO et du référentiel tous les membres de l'entreprise. Il appartient dès lors aux entre- classée comme relevant du
de l’AMF (Autorité des Marchés Elle a ainsi publié sous son égide, prises de se doter des moyens secret des affaires ?
Financiers), le contrôle interne ne Comment concilier identifica-
se limite pas à un ensemble de
procédures ni aux seuls proces-
sus comptables et financiers.
Aussi les menaces liées à la cyber-
criminalité et la prise en compte
« Les menaces liées à
la cybercriminalité concernent
tion de ces informations et
désignation de ceux qui en ont
la charge et de quels outils
disposent-ils ?
Comment concilier ce secret
l’ensemble des acteurs du contrôle
des risques liés à la sécurité infor-
matique sont bien des sujets qui
concernent l'ensemble des
acteurs du contrôle interne et
notamment en premier lieu les
interne
»
en juillet 2011, un document inti- internes pour sensibiliser les sala-
des affaires et un univers de
communication qui pose la
transparence, la diffusion des
informations comme un prin-
cipe absolu (lanceurs d’alerte –
membres en charge de la tulé : « Intégrer la sécurité infor- riés aux risques que des compor- loi Sapin II) ?
gouvernance de l'entreprise, ainsi matique en démarche agile ». tements dévoyés associés à la
que les acteurs impliqués au digitalisation peuvent faire courir La transposition de la
premier chef dans les probléma- Les acteurs garants du bon fonc- à leur entreprise. directive européenne
tiques de contrôle interne : audi- tionnement du contrôle interne 2016/943 du 8 juin 2016
teurs internes, contrôleurs sont les premiers concernés par Cela suppose la rédaction de
internes, risk managers. ces « règles d’hygiène informa- règles de bonne conduite, la Cette directive doit être transpo-
Dans le cadre d’une définition tique » à respecter car les respon- question essentielle étant de sée dans le droit français d’ici à
élargie reprise par Monsieur sables du contrôle interne de savoir ce qui est secret et doit le quelques mois. Elle qualifie le
Franck Pavero, Administrateur de l’entreprise sont notamment les rester et, ce qui l’est moins, car secret des affaires comme un
l’Institut National des Hautes garants du bon fonctionnement une entreprise doit aussi « enjeu vital » pour les entreprises
Etudes de la Sécurité et de la des processus concourant à la communiquer, échanger, parta- qui se doivent de disposer des
Justice (INHESJ), dans l‘Auditeur, sauvegarde des actifs. ger. moyens de protéger les informa-
revue de l’Association Nationale
des auditeurs de l’INHESJ, on
distingue généralement :
le cyber sabotage qui consiste
à rendre inopérant tout ou
partie d’un système d’informa-
tion d’une organisation via une
attaque informatique offensive
comme celles à l’encontre de
la société saoudienne Aramco
ou TV 5 Monde ;
le cyber espionnage dont a été
victime en Chine le Groupe
Volkswagen ;
la déstabilisation et la désinfor-
mation notamment par satura-
tion des sites web.
tions qui leurs sont indispensa- pénal). Cela suppose que les couvert que ce qui est réelle- mêmes si les entreprises ne
bles pour la poursuite et le déve- éléments relevant du secret ment justifié. Le secret des mettent pas en œuvre des procé-
loppement de leur activité. Elle soient suffisamment connus et affaires ne doit pas être utilisé dures internes pour identifier et
viendra se substituer à de distingués au sein de l’entre- pour couvrir des actes injusti- protéger leurs secrets. Aussi, les
nombreuses dispositions conte- prise pour ne pas être commu- fiables voire répréhensibles. entreprises vont devoir faire un
nues dans la loi dite de blocage niqués lors d’une procédure Des affaires récentes ont important travail de recensement
(qui encadre la diffusion d’infor- ou justifier auprès des magis- défrayé la chronique dans les et de classification des informa-
mations à des juridictions étran- trats que leur divulgation soit domaines de la pharmacie, de tions relevant du secret des
gères par exemple), dans le droit le but recherché par une autre l’agroalimentaire, de l’agrochi- affaires. Il convient donc de
de la propriété intellectuelle (le partie ; mie et la crainte que le secret mettre en place un management
ad hoc de ce secret avec une
«
plus élaboré à l’heure actuelle
dans les moyens de préserver sa personne en charge des relations
recherche et développement). Le secret des affaires ne doit pas avec les autorités administratives,
judiciaires qui souhaiteraient
être utilisé pour couvrir des actes
La logique de cette directive (et
de sa transposition) est donc
caractérisée par :
l’intégration de dispositions
injustifiables, voire répréhensibles » avoir accès aux informations
(secret professionnel + secret des
affaires) – type « Commissaire aux
droits » comme il existe un
issues de la loi de blocage pour la réflexion en cours quant à la des affaires soit mis en avant « Commissaire aux comptes ».
être opposables aux juridic- possibilité d’avoir deux rédac- pour préserver ce qui ne
tions étrangères. Le recours à tions des jugements, une devrait pas l’être existe réelle- Cette mutation est en cours.
des procédures pour essayer publique qui ne contiendrait ment. Cet équilibre va être Même si elle n’est pas encore
de découvrir des secrets de pas les éléments couverts par délicat ; dans la culture des entreprises,
fabrication sous prétexte de le secret des affaires et une la sanction pénale des elle s’apparente dans sa logique
violation de propriété intellec- privée pouvant comporter des atteintes au secret des affaires à ce qui a été fait depuis
tuelle est un moyen simple et informations sensibles et confi- sur la base des textes qui régis- quelques années dans le
efficace, parfois coûteux, de dentielles ; sent la violation des droits de domaine de la compliance et de
nuire à un concurrent ; la recherche d’une alternative propriété intellectuelle. l’éthique. En effet il ne faut pas
la modification du Code de pour concilier la mise en place masquer une réalité à savoir que
Procédure Civile pour que ce d’un véritable mécanisme de Des solutions propres la sécurité informatique repose
qui relève du secret des affaires protection du secret des à l’entreprise quasi exclusivement sur le bon
ne soit pas évoqué publique- affaires et, en parallèle, le rôle vouloir de ceux qui en sont les
ment mais en Chambre du des lanceurs d’alerte (loi Sapin Les textes sont une chose mais acteurs à savoir les salariés.
Conseil ou à huis clos (procès II). Cela suppose que ne soit ne sont pas suffisants en eux-
*
*
*
entre ces deux acteurs du qu'une série de tests et qu’une aux comptes d’être particulière- En temps de guerre il est
contrôle interne. étude plus approfondie pour- ment vigilant : coutume de rappeler que « les
Ainsi, la NEP (norme d’exercice raient éventuellement révéler ni En ce qui concerne le volet murs ont des oreilles », nous
professionnel) 610 : prévoit toutes les améliorations qui pour- réglementaire, faire réaliser un sommes, même si les mots
expressément la prise en compte raient être apportées. audit de sécurité informatique gênent, en temps de guerre
par le CAC des travaux effectués permettant de vérifier si les économique. La conquête des
par l’audit interne. Or, incidemment, plusieurs moyens ont été mis en place marchés, l’acquisition de savoir-
La MPA 2050/1 de l’IIA/IFACI) rapports récents ont démontré pour garantir la confidentialité, faire sont des champs de bataille
prône la multiplication des que les menaces de la cybercri- l’intégrité et la disponibilité des qui justifient l’emploi de moyens
échanges entre les deux profes- minalité ne sont plus dirigées données. De la même façon, qui ne relèvent pas toujours des
sions ; selon cette norme la coor- exclusivement vers les grands l’existence d’un plan de conti- règles de concurrence loyale.
dination des travaux de l’audit groupes ou les entreprises les nuité et de reprise d’activité ne Dans ce contexte il est bon de se
externe et de l’audit interne est plus importantes. D’après l’étude suffit pas. Encore faut-il qu’il rappeler que « les réseaux ont
un rôle qui incombe au Directeur Euler Hermes / DFCG1 2017 « de soit opératoire et que l’entre- des oreilles » et qu’il faut donc
de l’audit Interne la cybercriminalité à la fraude : une prise ait la capacité de le s’en prémunir !
Concernant plus précisément les menace en pleine mutation », 57 % mettre en œuvre, c’est l’objet
missions du CAC, en matière de des entreprises françaises ont été
système d’information, elles sont victimes d’une cyberattaque en
définies par la NEP 315 et 2016 : 1
Association des Directeurs Financiers et Contrôleurs de Gestion.
L
a fin de l’année approche et il est benchmarking, et j’en passe. Au bout du bout, Qui ne part pas d’une analyse des risques ?
certain que le département d’audit le constat est le même chaque année : trop Mais n’est-elle pas incomplète puisque déjà
interne est en pleine préparation de peu d’auditeurs pour tout couvrir, comment désuète le jour où elle est publiée ? Les
son plan d’audit. Plan pour une couper dans les missions à faire, pourquoi risques majeurs d’un groupe que le départe-
année ou plus mais plan ! celles-ci plutôt que celles-là, etc. Alors que ment des risques a soigneusement « consoli-
faire ? dés » sont-ils ceux à retenir par l’audit interne
Et c’est parti : analyse des risques, calculs d’en- Qui ne fait pas religieusement ce fameux plan du groupe ? Ne devrait-on pas plutôt prendre
jeux, d’impacts, de probabilités, discussions d’audit sans lequel nous ne vivrions pas et ceux du Conseil d’administration ? Il y a de
avec le management, revue du contrôle sans lequel nous ne pourrions pas être certi- grandes chances qu’ils soient différents
interne, analyse des rapports d’audits sortis, fiés IFACI ? puisqu’ils se placent sous un angle différent
de celui du Top management. Et nous les audi- missions possibles que l’on peut planifier, et d’auditeurs internes conséquent, lançait un
teurs, nous avons aussi notre propre angle de plus il rend inutile l’exercice du plan d’audit. pavé dans la mare : plus de plan d’audit ! Pour
vue sur les risques. Alors que faire ? Alors que faire ? tous les motifs indiqués ci-dessus. En résumé,
son commentaire était le suivant : je verrai
Non seulement, on n’a pas assez d’auditeurs Enfin, il y a tout le temps passé à établir ce bien ce qui me sera demandé ! Je vous
pour couvrir tout l’univers d’audit, mais en plan d’audit dont on rêve. Avez-vous fait le propose pour ma part de réfléchir plutôt à la
plus on se bat sur le choix des processus à calcul ? C’est tout simplement colossal. construction d’un « rolling forecast » (léger
risques à auditer et enfin il faudra faire face N’oubliez pas de bien conserver tout ce que pour ne pas retomber dans certains des
aux imprévus qui vont tout chambouler, voire vous avez fait, d’avoir des minutes des entre- travers exprimés plus haut). C’est-à-dire un
remettre en question tout le plan. Qui n’a pas, tiens, etc. Pensez à votre certification IFACI… plan en évolution permanente avec une
pour se prémunir contre ce « risque », décidé On aurait pu au moins faire une bonne réunion au minimum trimestrielle avec son
de garder un pourcentage de temps non mission d’audit supplémentaire pendant tout CEO et son Comité d’Audit pour proposer /
alloué dans son plan d’audit pour faire face ce temps-là. Cela n’aurait-il pas été plus utile discuter les missions à venir, ce qui permet de
aux imprévus ? Quel pourcentage pour ces à la société ? Certains diront bien sûr que le s’adapter en continu sans jamais passer trop
missions non prévues ? Existe-t-il un bon chif- plan c’est l’avenir, c’est la vision, c’est le de temps. Résultat, les vrais problèmes du
fre ? 10 % bien trop faible, au-delà de 40 % budget, c’est la détermination du « head- management sont regardés, sans retard.
plus la peine de faire un plan, 20 %, 30 %, count », c’est la mission avec un grand M, et Coller à la réalité, aux nouvelles menaces, aux
autres ? Proposition 26,72 %... Plus sérieuse- j’en passe. Et pourtant nous savons bien qu’à imprévus, à ces nouveaux risques qu’on a
ment il n’y a pas de bon pourcentage. On peine approuvé, ce plan va évoluer pour ne oubliés ou qu’on n’a pas identifiés, etc. L’audit
peut toujours regarder les résultats de l’année pas dire être remis en question. Alors que interne peut ainsi jouer son rôle de vrai
qui s‘écoule voire des années précédentes, faire ? support au management pour atteindre ses
mais cela ne fait pas l’avenir. Ce qui est certain objectifs.
par contre, c’est qu’il faut qu’il ne soit pas trop Il y a quelque temps dans une tribune d’une
bas car il ne voudrait rien dire. Cependant, revue d’audit interne étrangère, un directeur
plus il est important, plus il rogne sur les d’audit interne de renom et ayant un nombre
La Banque Centrale Européenne a choisi IFACI Certification afin de réaliser la certification qualité de sa Direction d’audit interne.
Suite à la première mission réalisée en 2013, la Banque Centrale Européenne renouvelle sa confiance au consortium composé de l’IIA
UK and Ireland, l’IIA The Netherlands et l’IIA Spain, piloté par IFACI Certification.
Cette mission intervient dans le contexte des évolutions de politiques monétaires, de montée en puissance du Mécanisme de
Supervision Unique et des attentes prudentielles, ainsi que de conception de nouveaux systèmes de transactions et d’échanges de
données.
IFACI Certification offre de manière régulière, à près d’une centaine de directions d’audit interne, des services de Certification Qualité,
d’Évaluation Maturité et d’Évaluation Performance.
Ces services permettent aux services d’audit interne, pour un rapport qualité prix optimal, de se conformer aux exigences
professionnelles et de déployer des démarches d’amélioration continue, d’innovation et d’efficacité.