AUDITEUR INTERNE ET RISK MANAGER - Chapters … · audition au Parlement, le directeur général de la sûreté nucléaire ? ... commune sur le rôle de l’audit interne dans la

l a r e v u e d e s p r o f e s s i o n n e l s d e l ’ a u d i t , d u c o n t r ô l e e t d e s r i s q u e s

Dans l’actualitéLes risques des projets :qu’apprendre du secteuraéronautique ?

Idées et débats Tendance du marché de l’emploi

des fonctions audit interne Le conflit d’intérêt autour de

l’entreprise

Les avancées de laRechercheLes avancées du groupeprofessionnel « Institut de retraite

et prévoyance »

Les audits métiersL’audit de la fonction Achats

La profession enmouvement ...

Fiche technique

> Evaluer l’adéquation dumanagement des risques

N°205Juin 2011

AUDITEUR INTERNEET RISK MANAGER

Une coopération nécessaire

Le diplôme professionnelqui atteste de vos aptitudes à conduire une missiond’audit interne en autonomie selon les normes etles bonnes pratiques de la profession.

INFORMATIONS PRATIQUES

A qui s’adresse-t-il ?

A tous les auditeurs internessouhaitant valoriser leurexpérience en audit interne.

Durée

L’examen du DPAI se déroule surune journée.

Tarif

60 € HT (droits d’inscription)

Conditions d’inscription

Etre titulaire d’un diplôme de2nd degré (niveau licence).

Etre adhérent de l’IFACI ou d’unautre Institut Francophone.

Avoir pratiqué l’audit internependant au moins 6 mois.

Conditions d’obtention

Obtenir une note au moins égaleà 12/20 sur l’ensemble desthèmes du programme del’examen, sans avoir une noteinférieure à la moyenne surchaque épreuve.

Pour toute information complémentaire sur le DPAI, contactezPerrine Bénard au 01 40 08 48 11 ([email protected])

PROGRAMME

Les épreuves durent 6 heuresL’examen consiste en une alternance de mini cas et dequestionnaires.

Matin La planification d’une mission d’audit interne (1h30). La réalisation d’une mission d’audit interne (1h30).

Après-midi Le contrôle interne et la fraude (30 min.). Les normes (30 min.). La comptabilité (30 min.). Les systèmes d’information (30 min.). La communication orale (30 min.). La communication écrite (30 min.).

POUR EN SAVOIR PLUS ...

Site Internet

Rendez-vous sur le site Internet de l’IFACI (www.ifaci.com) à larubrique « Carrière + Diplômes » pour : consulter le programme détaillé de l’examen ; télécharger le modèle d’examen et les annales.

NOS FORMATIONS

Notre offre de formations vous permet de : développer vos compétences en suivant les formations sur les« Fondamentaux de l’audit interne ».

se mettre dans les conditions de l’examen en suivant laformation de préparation au DPAI.

Diplôme Professionnelde l’Audit Interne

3juin 2011 - Audit & Contrôle internes n°205

La revue des professionnels de l’audit,du contrôle et des risques

n°205 - juin 2011

EDITEURInstitut Français de l’Audit et du Contrôle Internes (IFACI)Association Loi 190198 bis, boulevard Haussmann75008 Paris (France)Tél. : 01 40 08 48 00 Mel : [email protected] : www.ifaci.com

DIRECTEUR DE PUBLICATIONClaude Viet

RESPONSABLE DE LA RÉDACTION Philippe Mocquard

RÉDACTEUR EN CHEFLouis Vaurs

RÉDACTION - RÉVISIONJean-Loup Rouff - Béatrice Ki-Zerbo

SECRÉTARIAT GÉNÉRALEric Blanc - Tél. : 01 40 08 48 02Mel : [email protected]

RÉALISATION / PUBLICITÉEBZONE Communication32, avenue de Beauregard94500 Champigny-sur-MarneTél. : 01 48 80 00 56Mel : [email protected]

IMPRESSIONImprimerie Compédit Beauregard S.A.61600 La Ferté-Macé

ABONNEMENTElsa Sarda - Tél. : 01 40 08 48 04Mel : [email protected]

Revue bimestrielle (5 numéros par an)ISSN : 2117-1661CPPAP : 0513 G 83150Dépôt légal : avril 2011Crédit photos : © Image Zoo Media, Inc.

Prix de vente au numéro : 22 € TTC

Les articles sont présentés sous la responsabilité de leurs auteurs.

Toute représentation ou reproduction, intégrale ou partielle, faitesans le consentement de l’auteur, ou de ses ayants droits, ou ayantscause, est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40).Cette représentation ou reproduction, par quelque procédé que cesoit, constituerait une contrefaçon sanctionnée par les articles 425et suivants du Code Pénal.

Ce document est imprimé avec des encres végétalessur du papier issu de forêts gérées dans le cadred’une démarche de développement durable.

Je lisais il y a quelque temps, dans Les Echos,

une interview de Stephan Walter, le secrétaire

général du comité de Bâle qui disait : « Nous

continuons à vivre dans un monde dangereux, avec

un horizon chargé de risques ».

Il aurait pu ajouter : « Et beaucoup de ces risques

sont de plus en plus imprévisibles ».

On constate en effet que des risques à impact élevé mais à probabilité jugée faible,

finissent souvent par se réaliser avec des conséquences dévastatrices pour les orga-

nisations.

En analysant les deux catastrophes industrielles majeures qui viennent de se

produire à près d’un an d’intervalle : la marée noire du golfe du Mexique et l’acci-

dent nucléaire de Fukushima, Antoine de Boissieu, consultant IFACI, note dans un

récent article :

1- que l’enchaînement qui a causé chacune de ces catastrophes n’avait pas été

envisagé ;

2- que les dispositifs de lutte étaient déficients ;

3- et que la couverture du risque par les assurances était insuffisante.

A la question : « Peut-on avoir une idée de la prochaine crise ? » La réponse de

Stephan Walter fuse : « Non, car par définition une crise n’est pas anticipée ».

Faut-il admettre dès lors, que l’on sera toujours en retard d’une crise ou d’une catas-

trophe, comme on a été, à une certaine époque en retard d’une guerre ?

Ou bien, doit-on considérer que, dorénavant, pour certains types de risques – le

risque nucléaire par exemple –, l’on doive accepter de se préparer à se trouver devant

des situations complètement inimaginables comme vient de le déclarer, lors de son

audition au Parlement, le directeur général de la sûreté nucléaire ?

L’imprévisibilité des risquesconduit au renforcement dela coopération entreauditeurs interneset risk managers

4

EDITORIAL

Je crois que, de plus en plus, on va se trouver justement devant de telles situations et qu’il faudra alors savoir faire

preuve de réactivité, voire de créativité, aucun des scénarios auxquels nous aurions pu penser ne pouvant, par

définition, être mis en œuvre, et les acteurs de la maîtrise des risques doivent bien intégrer cette inéluctable évolu-

tion.

Dans le monde de la finance, les crises commencent bien souvent dans un pays, puis au fil des mois, des années

parfois, elles se disséminent dans beaucoup d’autres, voire dans tous. On a bien connu ce phénomène avec la

crise des subprimes et sa propagation par le mécanisme de la titrisation.

Dans l’aveuglement quasi général qui a caractérisé cette période, on peut se demander quelle a été la part de

responsabilité des acteurs de la maîtrise des risques risk managers et auditeurs internes confondus, en se

posant cette double question :

• Ces deux acteurs avaient-ils suffisamment de compétence et d’indépendance d’esprit pour voir venir la crise

et, si oui, avaient-ils suffisamment de crédibilité et de légitimité auprès des organes dirigeants pour leur faire

accepter leurs diagnostics et recommandations ?

• De leur côté, les organes dirigeants avaient-ils la capacité ou plutôt l’ouverture d’esprit pour entendre et

comprendre les diagnostics et recommandations que pouvaient faire et émettre les acteurs de la maîtrise des

risques ?

A cette double question posée, il y a deux ans par l’IFA et l’IFACI dans le cadre de la prise de position

commune sur le rôle de l’audit interne dans la gouvernance, j’ai tendance à répondre par la négative.

A leur manière, législateurs et régulateurs ont, de cette crise, tiré rapidement les conséquences : Loi sur la régu-

lation bancaire et financière ; Green Paper de la Commission européenne sur la gestion des risques ; création

obligatoire, à la demande du régulateur français, dans tous les établissements bancaires, d’une filière risques aux

compétences élargies, rattachée au plus haut niveau.

Pour les auditeurs internes et les risk managers, la leçon à tirer de cette crise et des catastrophes qui surviennent

à présent, à jets continus, c’est qu’ils doivent se sentir concernés, plus encore que par le passé, par tous les risques,

même ceux jugés par d’aucuns comme les plus improbables.

La montée en puissance de la gestion des risques comme discipline autonome, à l’égal de l’audit interne, que l’on

observe dans tous les grands secteurs d’activité et pas seulement dans le monde de la finance, doit être considérée

comme une chance pour une plus grande maîtrise des activités des organisations et l’amélioration de leur perfor-

mance. A deux, nous sommes, à l’évidence, bien plus forts.

Encore faut-il bien comprendre le rôle de chacun, bien appréhender leur différence et jouer sur leur complémen-

tarité pour apporter plus de valeur aux organisations.

Louis Vaurs - Rédacteur en chef

Audit & Contrôle internes n°205 - juin 2011


SOMMAIRE

DANS L’ACTUALITé DOSSIER

Auditeur interneet risk managerUne coopération nécessaire

Les risques des projets : qu’apprendredu secteur aéronautique ?Antoine de Boissieu

6

LES AVANCéES DE LA RECHERCHE

Les avancées du groupe professionnel« Institut de retraite et prévoyance »Paul-Henri Mezin et Valérie Trony

14

LA PROFESSION EN MOUVEMENT

IDéES ET DéBATS

Tendance du marché de l’emploi desfonctions audit interneFabrice Coudray

8

Le conflit d’intérêt autour de l’entrepriseNoël Pons

11

LES AUDITS MéTIERS

L’audit de la fonction AchatsMarc Aquiba

33

Evénements36

FICHE TECHNIQUE N°35

>> Evaluer l’adéquation du management des risquesBéatrice Ki-Zerbo

Qu’est-ce qu’une directiongénérale attend d’une équipede maîtrise des risques ?Séverin Cabannes

19

IFACI et AMRAE, deux institutsimpliqués dans la maîtrise desrisquesClaude Viet et Gérard Lancner

17

Rôles respectifs des responsables d’audit interne et desrisk managers dans le processus de management desrisquesAnnie Bressac et Bénédicte Huot de Luze

21

Secteur bancaire : vers une culture de croissanceprofitable dans le respect de l’appétit pour le risqueDaniel Pouliot

24

Les risques, le contrôle et l’audit internes sous unemême bannière : renforcement de la maîtrise desrisques au prix d’une faiblesse de gouvernance ?Philippe Hellich

30

p. 16 à 32

6

DANS L’ACTUALITÉ


Les risques des projets :qu’apprendre du secteuraéronautique ?Antoine de Boissieu -Associé-gérant, OSC Solutions

Les risques de surcoûtset de retard dans lagestion de projets

concernent tous les secteursd'activité. Le secteur de l'aé-ronautique constitue cepen-dant un bon cas d'école, enraison du coût (au moins 10milliards d'euros), et de ladurée (10 ans ou plus) desprojets.

Les quatre projets aéronau-tiques majeurs de ces dixdernières années (voir ci-contre) ont tous connu desdérives significatives. Quelsenseignements peut en tirerun auditeur interne pour lagestion de projets en géné-ral ?

De nombreuses études etrapports publics (des diffé-rentes Cours des Comptes,Parlements, actionnaires,partenaires industriels…)ont étudié les facteurs derisques à l'origine de cesdérives.Quatre risques principauxen ressortent.

1. La fixationd'objectifsinatteignables

La première raison pourlaquelle les objectifs de cesprojets n’ont pas été atteintsest qu'ils étaient irréalistes.Le programme A400M en

est un bon exemple : ce pro-jet était extrêmement inno-vant d'un point de vue tech-nique, puisqu’il présupposaitla réalisation de plusieursinnovations technologiques,et que la plupart des compo-sants de l’avion étaient nou-veaux. Tous les programmesaéronautiques militaires pré-cédents avaient nécessité au

moins 10 ans (et souvent 15ans, voire plus) entre le lan-cement du programme et lamise en service des appa-reils. Fixer un délai de 6 ansétait donc une gageure. Dela même façon, les délaisannoncés pour le B787 etl’A380 étaient très courts.

Cela vaut aussi pour lesobjectifs de coûts. Ainsi, leF35 était censé coûter moinscher que des avions éprou-vés et produits en trèsgrande série depuis desannées, tout en étant trèsinnovant et beaucoup pluscompliqué que les appareilsde génération précédente(notamment en raison d’exi-gences de furtivité et dedécollage/atterrissage verti-cal). Il était donc prévisibleque ses coûts seraient plusélevés. Le coût initial prévupour l’A380 était aussi tout àfait irréaliste, comme Boeingn’avait pas manqué de lesouligner à l'époque.

Les constructeurs acceptentces objectifs irréalistes pourvendre à l’avance leursavions civils, et fermer ainsila porte au concurrent, quitteà payer des pénalités deretard de livraison. Le calculest un peu différent dans lesecteur militaire : lesconstructeurs acceptent desobjectifs très ambitieux pourdécrocher le contrat ; ilsespèrent ensuite négocierdes avenants pour rentabili-ser leur projet, en jouant surla situation de dépendancedans laquelle se trouvera leclient une fois le programmelancé. C'est ce qui s’est passépour l’A400M, où les étatsclients ont dû accepter uneaugmentation du prix de50 % et des retards de livrai-son.

Projet Nature Particularités

Lockheed F35 Avion de combat américain (pro-gramme associant 10 autres pays)

- furtivité- atterrissage/décollage vertical

Airbus A400M Avion de transport militaire euro-péen (programme associant 12pays)

- capacité de vol en rase-motte- distance de décollage réduite

Boeing B787 Avion de transport longue distance,associant largement des parte-naires étrangers (Japon, Italie...)

- légèreté grâce à l'emploi dematériaux composites

- rayon d'action

Airbus 380 Avion de transport très grandecapacité

- taille

Coûts prévus Coûts réels

Lockheed F35 60 MUSD 110/140 MUSD ?

Airbus A400M 20 Mrd € 31 Mrd €

Boeing B787

Airbus 380 8 Mrd USD 26 Mrd USD (*)

Délais prévus Retard

7 ans 2 ans ?

6 ans 4 ans ?

4 ans 4 ans

7 ans 1,5 ans

(*) en USD courant


Quelle attitude doiventadopter les auditeursinternes face à ces décisionsrisquées prises au plus hautniveau de l’entreprise ? Leurrôle n’est pas de remettre encause la décision, maisd’évaluer objectivement lesrisques qui y sont associés.Ils doivent donc vérifier si lesdispositifs de contrôle per-mettant d’éviter la fixationd’objectifs irréalistes ontbien été mis en œuvre. Troispoints sont notamment àvérifier :• Y a-t-il eu des bench-marks avec des projetssimilaires, permettant devalider les objectifs ?

• A-t-on bien présenté plu-sieurs scénarios possibles(hypothèses basses,moyennes, hautes), enévitant de retenir les plusoptimistes ?

• La décision s’appuie-t-elle sur des évaluationsindépendantes et objec-tives (par exemple, uncabinet extérieur qui neserait pas impliqué dans leprojet) ?

2. Des spécificationstechniques tropambitieuses

Les spécifications tech-niques de ces quatre projetsétaient très ambitieuses,alors que les contraintesréglementaires sont toujoursplus fortes. Les construc-teurs ont dû développer desappareils très innovants, auxperformances exception-nelles par rapport à leursprédécesseurs, et conformesà une réglementation deplus en plus détaillée et exi-geante. Dans les faits, ces spécifica-tions n'ont été atteintesqu'au prix de surcoûts et deretards significatifs. Cer-taines spécifications ont étépurement et simplementabandonnées en cours deprogramme. Le développe-

ment de certaines capacitésde l’A400M a ainsi étérepoussé à une secondephase, tandis que le rayond'action du F35 sera vrai-semblablement inférieur auminimum spécifié dans lecahier des charges.

Qu’est-ce qui pousse lesconstructeurs à placer labarre aussi haut ? Citonspêle-mêle un attrait pourl'innovation, la volonté desurpasser le concurrent, uneffet d’affichage, une recon-naissance en interne et de lapart des administrateurs. Lefait que les décideurs nesoient souvent plus en posteau moment de l’aboutisse-ment du projet joue sansdoute aussi. Il est toujoursplus facile de lancer un pro-jet ambitieux quand le résul-tat ne se verra que dix ansplus tard.

Quels sont les enseigne-ments pour un audit de pro-jets ? Les auditeurs peuventtout d'abord vérifier si lesinnovations ou nouveautésprévues au projet ont bienété limitées à ce qui estnécessaire, c’est à dire si l’ona réellement validé qu'il n'yavait pas de solution déjàdisponible. Dans certainssecteurs (par exemple le fer-roviaire ou l'automobile), lefait de prévoir des compo-sants nouveaux est consi-déré comme un handicap, etl’objectif des équipes deR&D est de réutiliser aumaximum des composantséprouvés. Les auditeurs devraient aussivérifier :• si les innovations prévuesont bien été validées auplus haut niveau, et

• si la direction s’appuyaitpour cela sur une analyseindépendante de l’équipechargée du projet.

Enfin, il faudrait aussi véri-fier si le risque de dérive a

été pris en compte dans laprogrammation dès lorsqu’une innovation estnécessaire.

3. Des organisationscompliquées etrisquées

Pour des raisons commer-ciales et politiques, ces qua-tre projets ont été menéssous forme de coopérationsinternationales, intégrantdans la chaîne industrielledes partenaires de différentspays, avec de sérieux déra-pages à chaque fois. Boeinga ainsi dû réinternaliser cer-taines opérations sous-trai-tées sur le B787, en raison deproblèmes de qualité insolu-bles chez des fournisseurs.EADS a dû réorganiser com-plètement la branche mili-taire d'Airbus pour tenter deredresser le programmeA400M. On se souvient éga-lement des centaines d'ingé-nieurs et techniciens déta-chés de Hambourg à Tou-louse pour résoudre lesproblèmes de câblage surl'A380. Ces projets représen-taient des défis industriels ;les organisations mises enplace les ont encore compli-qués.

Les auditeurs internesdevraient vérifier si le risquede dérive lié à la complexitédu montage a bien été prisen compte. En d'autrestermes, des surcoûts et desretards devraient être inté-grés dès la phase de pro-grammation, pour tenircompte des aléas inévitablesrésultant des coopérations.

4. Un problème deressources humaines

Le quatrième facteur derisque concerne les res-sources humaines, plus par-ticulièrement le manque depersonnel qualifié. Chacunde ces projets a mobilisé des

milliers d'ingénieurs spécia-lisés, pendant des années.Or, les constructeursn'avaient pas les équipespour mener de front deuxprojets majeurs. Pour desraisons commerciales, Air-bus a mené le projet A400Men même temps que l’A380puis l’A350. Dans une moin-dre mesure, Boeing a menéen même temps que le B787les projets des B747-8 etB777 Cargo. La carence d'in-génieurs et de personnelqualifié a eu un impactincontestable sur les difficul-tés rencontrées.

Les auditeurs internesdevraient systématiquementinclure un volet RH dansleurs audits de projets. L’ob-jectif d'audit sous-jacent estde savoir si l’on a l’assuranceraisonnable de disposer dupersonnel nécessaire pourmener à bien le projet etpour l’exploiter une fois misen service.

Tous ces risques peuvent seretrouver sur de nombreuxautres projets, dans d’autressecteurs d’activité. L’exemplede l’aéronautique est signifi-catif car le secteur est à lapointe en matière de métho-dologies et d’outils de ges-tion de projets. Tous cesrisques y sont parfaitementconnus, mais ils n'en sontpas moins mal maîtrisés. Lesauditeurs et contrôleursinternes des autres secteursd’activité doivent donc lesavoir à l’esprit dans l’évalua-tion des risques de leurspropres projets.

compte tenu des situations rencontréesdans des contextes parfois complexes.

Retour sur un passé proche

Les métiers de l’audit interne ont claire-ment profité de la loi Sarbanes Oxley dejuillet 2002 et de son équivalent français,la Loi de Sécurité Financière du 1er août2003. En effet, ces lois prévoient désor-mais l'obligation pour les dirigeants demettre en place, au sein de l'entreprise,des systèmes de contrôle interne desti-nés notamment à permettre une pré-sentation fidèle des résultats financiers(SOX), et à prendre en compte demanière appropriée les risques signifi-catifs, qu’ils soient opérationnels, finan-ciers ou de conformité (LSF). Pourrépondre aux impératifs de ces nou-velles normes, les entreprises concer-nées ont souhaité renforcer leurséquipes d’audit et de contrôle internes.De nouveau sur le devant de la scène,les auditeurs et contrôleurs internes ontaussi vu leurs rémunérations tirées rai-sonnablement vers le haut durant cettepériode.

La crise financière mondiale de 2008 aeu notamment pour conséquence degeler les embauches externes d’audi-teurs internes. En cette période, les prio-rités des entreprises sont clairementl’analyse de la performance, le contrôledes coûts, la rentabilité ainsi que la flui-dification du cash, l’évaluation desrisques et l’optimisation des placements.Dans ce contexte, ce sont les contrôleursde gestion, les trésoriers et les respon-sables comptables qui sont recherchés.

En 2009-2010, c’est la mobilité internequi est privilégiée (et non le recrutementexterne) pour les fonctions audit etcontrôle internes, à l’exception notable

Porté par la tendance favorable liéeà Sarbanes Oxley puis après deuxannées d’atonie, le marché de

l’emploi des fonctions audit internereprend des couleurs en 2011.

Quelle que soit l’orientation du marché,il n’en demeure pas moins que la filièrede l’audit interne reste privilégiée par detrès nombreux jeunes diplômés degrandes écoles. A leurs yeux, c’est l’undes meilleurs tremplins en début de car-rière. Cette voie, considérée commeroyale, reste pavée de succès pour celleset ceux qui l’empruntent.

Les méthodologies acquises, les forma-tions certifiantes, la densité de travail, lamultitude des sujets dont les plus stra-tégiques, développent un savoir-faire dehaut niveau. Celui-ci se double néces-sairement d’un savoir-être exemplaire

de quelques grands groupes, moinsimpactés par la crise. S’il y a uneextrême nécessité (l’embauche estimpérativement validée par les direc-tions financière et générale, qui sont trèsimpliquées dans le processus), les entre-prises pratiquent la promotion internede profils expérimentés, qui présententl’avantage de connaître parfaitement leshommes, l’organisation et ses rouages.Les audits financiers (classiques ou duediligences dans le cadre des opérationsde croissance externe) sont confiés à desfinanciers détachés des services auditinterne ou contrôle de gestion, contrôlefinancier voire même de la directionfinancière. Quant aux audits opération-nels, ils peuvent être assurés directe-ment par d’anciens opérationnels quiont rejoint les équipes d’audit interne.

Au cours du dernier trimestre 2010, lesgrands groupes relancent relativementtimidement les recrutements en externe,souvent dans le cadre de remplacementde collaborateurs : les profils plus « clas-siques » d'auditeurs externes, maîtrisantparfaitement les techniques et analysesdes risques sont de nouveau recherchés.

Tendance actuelle

Depuis le début 2011, les embauchesexternes en audit interne reprennent.Deux principaux types de profils sontrecherchés : les auditeurs financiers(souvent issus d’une école de commerceavec une première expérience significa-tive en audit externe et maîtrisant par-faitement la méthodologie) et les profilsd’ingénieurs (bénéficiant d’une certifi-cation type CIA ou DPAI et maîtrisant,par exemple, parfaitement les systèmesd’information pour occuper des postesd’audit interne informatique). Les entre-prises apprécient toujours autant les

Fabrice Coudray

Director, Robert Half InternationalFrance

Tendance du marchéde l'emploi des fonctionsaudit interne


IDÉES ET DÉBATS

8

profils issus de formations et de cabinetsde renom.

Bien que ce métier reste relativementcontraignant au sein de groupes d’en-vergure internationale avec unemoyenne d’au moins 50 % de déplace-ments à travers le monde, les exigencesdes entreprises n’ont pas baissé. Bien aucontraire, elles recherchent des compé-tences très spécifiques, une connais-

sance de leur métier acquise par unepremière expérience, une maîtrise dessystèmes d’information… Contrepartiede cette exigence, elles sont de nouveauprêtes à ouvrir l’échelle de rémunéra-tions envisagée lorsqu’elles trouvent leprofil idéal.L’obtention de diplômes tels que le CIA(certification en audit interne de portéemondiale et délivré par l’IIA, Institute ofInternal Auditors) ou le DPAI (Diplôme

Professionnel de l’Audit Interne, délivrépar l’IFACI) est un aussi réel atout auxyeux des entreprises. De leur côté, lescandidats ayant fait l’effort d’obtenir unecertification espèrent la valoriser dans lefutur notamment lorsqu’ils ambition-nent une évolution vers des postes àresponsabilité tels que la direction del’audit interne.

Expérience Salaire annuel : Fixe – Brut Variable Evolution 2010/2011

3 à 4 ans 43 000 – 55 000 € 0 – 15 %

5 à 8 ans 50 000 – 70 000 € 0 – 15 % =

Auditeur interne1er trimestre 2011

Expérience Salaire annuel : Fixe – Brut Variable Evolution 2007/2008 Evolution 2008 à 2011

> 8 ans 80 000 – 120 000 € 0 – 20 % =

Directeur/Responsable de l’audit interne


3 à 4 ans 43 000 – 52 000 € 0 – 15 %

5 à 8 ans 50 000 – 70 000 € 0 – 15 %

2010


3 à 4 ans 43 000 – 52 000 € 0 – 15 %

5 à 8 ans 55 000 – 72 000 € 0 – 15 %

2009


3 à 5 ans 50 000 – 60 000 € 0 – 15 % =

5 à 8 ans 60 000 – 75 000 € 0 – 15 % =

2008

Focus sur les rémunérations depuis 2008 en France(Source : Robert Half )

juin 2011 - Audit & Contrôle internes n°205 9

10

IDÉES ET DÉBATS


Pays Devise Taillesociété* 0-2 ans 3-5 ans 6-9 ans 10-15 ans > 15 ans

Autriche Euro

S/M - - - - -

L 40 00050 000

50 00065 000

65 00080 000

75 00090 000 + 95 000

Belgique Euro

S/M - - - - -

L 32 00045 000

43 00063 000

56 50077 000

68 00091 000

73 00099 000

RépubliqueTchèque CZK

S/M 310 000420 000

430 000540 000

480 000720 000

610 000720 000

610 000720 000

L 310 000420 000

430 000750 000

540 000960 000

610 000960 000

610 000960 000

France Euro

S/M - - - - -

L 35 00045 000

45 00060 000

60 00075 000

70 00090 000 + 90 000

Allemagne Euro

S/M 38 00044 000

46 00055 000

55 00067 000

63 00078 000

60 00085 000

L 41 00047 000

48 00060 000

61 00077 000

71 00090 000

78 00098 000

Italie Euro

S/M 22 00031 000

33 00040 000

38 00047 000

47 00072 500

62 00094 000

L 26 00037 000

34 50052 000

52 00062 000

62 00094 000 + 105 000

Luxembourg Euro

S/M - - - - -

L 36 00052 000

52 00078 000

72 00099 000

98 000125 000 + 125 000

Pays-Bas Euro

S/M 32 00043 000

41 50065 000

62 50085 000

82 50095 000 + 95 000

L 35 00045 000

43 00068 000

65 000105 000

100 000105 000 + 125 000

Suisse CHF

S/M 80 00090 000

90 000110 000

110 000130 000

130 000150 000 + 150 000

L 90 000100 000

100 000130 000

130 000150 000

140 000160 000 + 160 000

Royaume-Uni £

S/M 32 00042 000

33 00044 000

35 00047 000

38 00052 000

40 00056 000

L 40 00049 000

42 00052 000

44 00065 000

48 00070 000

50 00075 000

Eclairage européen sur le niveau de rémunérations de l’auditeur interne(Source : Global Financial Salary Guide 2010-2011 – Robert Half )

* S = moins de 50 salariés – M entre 25 et 250 salariés – L = plus de 250 salariés


naires de la société administrée1. La pro-mulgation de la loi Sarbanes-Oxley(SOX) et de la loi sur la sécurité finan-cière ont exigé l’installation d’uncontrôle interne performant dont unebonne part se réfère aux conflits d’inté-rêts. Les célébrissimes montages del’entreprise Enron, de Wolrdcom ouencore de Parmalat autour de l’an 2000,ont permis de mettre au jour une multi-tude de manipulations liées à cesconflits. Le processus législatif s’appuiesur la mise en place d’un contrôleinterne dans un grand nombre d’entre-prises.

C’est pourquoi doivent être particulière-ment surveillés : le délit d’initié, le faitde favoriser des proches ou certainesentités, le problème des cadeaux et invi-tations, les rapports avec les clients et lesfournisseurs. L’administrateur doit avoirdes rapports loyaux et honnêtes en res-pectant les contrats souscrits, les lois etles règlements.

Les jurisprudences récentes formalisentle concept de conflit d’intérêts. L’intérêtsocial exprime le fait que la société doitêtre constituée avec un objet licite etdans l’intérêt commun des associés, sui-vant les termes de l’article 1833 du CodeCivil. L’intérêt social est celui de l’entre-prise composée de ses différents mem-bres. Cette notion assez floue d’essenceinterprétative génère une obligationpour les administrateurs de faire primerl’intérêt social sur leurs intérêts éven-tuels. Les administrateurs conseillent,surveillent, nomment et éventuellementrévoquent l’équipe dirigeante, pour cefaire ils doivent être avertis de l’existencedes grands projets, de la manière dontils évoluent et de leur pertinence. Leur situation laisse accroire que lesaffaires se traitent entre soi et qu’il n’y apas de place pour une concurrence libre.

L’article paru dans la revue « Audit& Contrôle internes » n°204démontre que les conflits d’inté-

rêts affectent tous les secteurs ; le sec-teur entrepreneurial étant, pour sa partparticulièrement touché. Ces conflitsn’entraînent pas la même aversion queceux relevant du secteur public, mais ilsprésentent une grande nocivité entermes de chiffre d’affaires commed’image. Un grand nombre d’entre-prises les ont ainsi inscrits en bonneplace dans leurs codes de déontologie.Ces derniers exigent un comportementimpartial et de bonne foi et récusenttoutes les pratiques déloyales et mal-honnêtes telles que : manipulations,fausses déclarations, menaces, fraudes,abus. Ils proscrivent la diffusion de touteinformation confidentielle. Ce qui estexigé avant tout des collaborateurs, diri-geants et administrateurs, c’est laloyauté. L’un des risques les plus élevésen cas de mandats croisés est la ten-dance à privilégier la défense des man-dats d’origine, plus que celle des action-

Les conflits d’intérêts dans le secteurentrepreneurial au sens large sont nom-breux. Ils sont dus pour la plupart à la« pression », dont CRESSEY à été l’undes premiers à analyser l’impact sur lesfraudes. Cette pression est particulière-ment prégnante dans la chasse auxrésultats, en particulier lorsqu’ils sontaccompagnés de bonus répercutés surl’ensemble des strates hiérarchiques ;elle l’est aussi du fait de l’exigence derapidité dans l’exécution des contrôleset de la limitation des budgets affectésaux contrôles. Elle est forte aussilorsqu’elle est due au biais générés parl’égo des « sachants ».

Je m’en tiendrai simplement à quelquesexemples de situations particulièrementrisquées. Le conflit est présent, chaquefois qu’une entente directe ou indirecte,affichée ou camouflée, existe entre lecontrôleur et le contrôlé, le fournisseuret l’intermédiaire, le client et le fournis-seur dans le but de privilégier le chiffred’affaires au dépens de la déontologie.

La présentation des comptes constituele premier support de conflit. Uneconfusion des genres peut exister entreles lobbyistes, le législateur ou la norme.La pression lobbyiste pousse le législa-teur, ou celui qui est chargé de la régu-lation, à accepter ou à valider sans bron-cher des techniques2 permettant auxentreprises de ne pas présenter unevision très exacte des comptes. Ainsi, des« Special Purpose Entities »3 (SPE) per-mettent toujours de faire disparaîtrepresque légalement des comptes cer-tains actifs pourris, les instruments detype « REPO »4 et l’utilisation de dérivéshors comptabilité permettent de nedonner qu’une lecture approximativevoire falsifiée des dettes contractées. Leséléments autonettoyants, tels les déficitsd’inventaire, ou la démarque inconnue

Noël Pons

CIA, Essayiste et consultant

Le conflit d’intérêtautour de l’entreprise

12

IDÉES ET DÉBATS


créent réellement des opportunités dedétournement. La sincérité des comptesest directement affectée par la nécessitéde poursuivre les affaires, et le camou-flage des fraudes par des montagescomplexes est simplement lié à laconception de l’éthique personnelle dudécideur.

Les cabinets de contrôle et de conseilspeuvent aussi se placer en situation deconflit. Arthur Andersen entraîné par lafaillite d’Enron en est mort, Parmalat afailli expédier « ad patres » un autre cabi-net un peu moins célèbre, un troisième« grand » a été récemment mis en causeau titre d’une absence de révélation ducamouflage de ses dettes par la banqueLehman-Brothers. Cette dernière auraitcamouflé 51 milliards de dollars depertes par une manipulation technique.Tout dernièrement la SEC a encorecondamné l’un d’entre eux à une péna-lité de 7,5 millions de dollars pour nepas avoir assuré les diligences mini-males dans le contrôle d’une sociétéIndienne, la fraude s’élèverait à un mil-liard de dollars ; il s’agirait en grandepartie de fausses factures et de falsifica-tion de données bancaires.

Ces cabinets ont pu donc, à un momentou à un autre, faillir dans leur activité decontrôle en n’identifiant pas des mani-pulations des comptes parfois primairesou des habillages de bilan (opérationsde « windows dressing »). Cette carencede contrôle facilite la transmission d’in-formations approximatives, des infor-mations essentielles ne sont pas trans-mises à tous les dirigeants et à la « régu-lation », certains rapports peuventmanquer d’objectivité. Il faut faire ensorte que ce risque ponctuel mais réalisépar des sachants reste marginal, etconfiné à des situations incontournables(liens particuliers, situations de « bulle »,etc.) qui sont par ailleurs poursuivies.Ces compromissions peuvent être com-mises dans le but de préserver le chiffred’affaires, en termes mouchetés on qua-lifie cela de « poursuite d’une logiqueindustrielle ». À titre individuel, caresserl’espoir ou préparer un pantouflage pro-fitable à la sortie du cabinet.

La concentration des grands cabinets decontrôle génère un risque identique àcelui pointé pour les agences. Désormaisleur faible nombre (certes la séparationdes activités de conseil et de contrôle estétablie) peut créer une régression de la

concurrence et une inévitable perte d’in-dépendance. Par ailleurs, l’ingénieriefinancière évolue vers des produits deplus en plus complexes dont le contrôleest subtil et qui consomme beaucoup detemps alors que les mandats restent,eux, limités en temps et en valeur.

Un conflit, finalement assez proche dupantouflage, peut se poser aussi lors del’embauche d’anciens salariés du cabi-net qui vérifiaient ses comptes chez lecontrôlé. La société Enron avait ainsiconstruit son environnement decontrôle autour d’anciens membres ducabinet Arthur Andersen qui l’audi-taient, cela fluidifiait sans aucun douteles rapports entre contrôleurs etcontrôlé !

Le conflit d’intérêt existe aussi dans l’ex-pertise. Ces derniers, mandatés pourétudier et analyser des situations euégard à leur capacité technique, peuventgarantir leur propre chiffre d’affaires àvenir en apportant les réponses quiconviennent le mieux au client. Il existeune multitude de catégories d’experts,depuis l’informaticien, le formateur oule technicien chevronné, jusqu’à « l’ex-pert en tout », vibrionnant autour desconseils des entreprises importantesauprès desquels le problème peut seposer. Quant à la gestion des entrepriseselles-mêmes, les conflits existent évi-demment entre commerciaux et clients,entre acheteurs et fournisseurs ou lorsd’opérations particulières avec des inter-médiaires et des courtiers. Ces conflitsse matérialisent par un engagement dedépense plus élevé que ce qu’il eût étésouhaitable, par des produits de qualitémoindre à ce que l’on aurait pu attendreou par des pertes de brevets. La diffé-rence ou l’opportunité offerte est récu-pérée par le salarié qui encaisse des ver-sements illégitimes, des cadeaux ou desprébendes : il s’agit simplement de cor-ruption qui est poursuivie depuis 2005par les articles 445-1 et 445-2 du CodePénal.

Il convient maintenant de développerl’un des plus importants délits d'initiésjamais rencontré qui est actuellementjugé à New York. Il recouvre selon moi laquintessence des manipulations possi-bles dans ce domaine : l’ensemble desmontages utilisables dans le cas deconflits de ce type5 y sont présents. Enfait, au regard du conflit d’intérêt la déci-sion fera date car il fixera la distinction,

dans la mosaïque d’informations utilisa-bles pour jouer en bourse, entre cellesqui relèvent de sources ouvertes et de laspéculation (journaux et analyses) etcelles puisées directement à la source,partant infiniment plus pertinentes.

Cette affaire semble donc être appelée àune grande publicité, elle est la plusmarquante depuis la chute de MichaelMilken et Ivan Boesky à la fin desannées 1980 et affecte un fond d’inves-tissement non coté à valeur spéculative.Le patron du « hedge fund » Galleon, l’undes financiers les plus en vue de WallStreet est accusé d’avoir bénéficié d’in-formations illégales lui ayant permis deréaliser 45 millions de dollars de gains ;les « tuyaux » obtenus seraient illicites.Avidité, cercles fermés d’informateurs,asymétrie d’informations, le fait quedans certains pays de monnayer desinformations par des administrateursserait considéré comme « acceptable »6

et surtout le sentiment d’être au-dessusdes lois explique ces comportements.L’affaire a été déclenchée par unerecherche portant sur des fonds terro-ristes ce qui explique la méthode utili-sée. L’accusation s’appuie sur 173 enre-gistrements de conversations télépho-niques correspondants à des milliersd’heures d’écoute et sur les témoignagesd’autres inculpés (19 sur 30) qui ontchoisi de plaider coupable ; certains ontmême commencé à purger leur peine.Les autorités ont précisé que les mou-vements d’actions litigieux portaientnotamment sur des titres des hôtelsHilton, de Google, AMD, SunMicrosystems, Clearwire et Akamai,entre 2006 et 2009.Les gains illégalement réalisés excéde-raient les 45 millions de dollars.

Plusieurs très hauts cadres de grandsgroupes informatiques et une agenceauraient laissé fuiter des informations,un certain nombre de fonds ont aussiété mis en cause à cette occasion. Toussont soupçonnés d’avoir illégalementéchangé des informations financièresconfidentielles, l’escroquerie aurait duré3 ans. Il ne manquait à ce thriller qu’unepincée de sexe, elle est présente car des« confidences » auraient aussi étééchangées sur l’oreiller.

Le fait marquant tient évidemment à laqualité des acteurs soupçonnés. Unancien « CEO » du prestigieux cabinetde conseil McKinsey et actuellement


membre du conseil d’administration deGoldman Sachs et de Procter &Gamble, est visé depuis le 1er mars parune plainte déposée au civil par lesautorités boursières. Il lui est reprochéd’avoir personnellement transmis desinformations confidentielles alors que lefonds de Warren Buffett, via sa holdingfinancière Berkshire Hataway allaitinjecter 5 milliards de dollars dansGoldman Sachs. La politique de confi-dentialité qui s’impose à tous les admi-nistrateurs de la banque a donc été vio-lée. Le ministère public reproche augérant du fonds Galleon d’avoir utilisé« des informations volées » sur desnombreuses sociétés pour engrangerillégalement 45 millions de dollars deprofits. Les écoutes révèlent par ailleursdes conversations au cours desquellesun ancien dirigeant d’Intel, lui-mêmeinculpé pour fraude et ayant plaidé cou-pable a transmis des détails troublantssur l’opération au gérant du fonds. Pourl’avocat général, c’est un exemple fla-grant de délit d’initié, qui a permis despéculer en Bourse avant tout le monde. Le cas n’est pas unique, une opérationidentique très récente (mars 2011)affecte le fonds « Berkshire Hathaway »à propos d’une succession d’achats d’ac-tions (6,7 millions d’euros) d’une sociétéeffectuée par le plus proche collabora-teur de Warren Buffet alors qu’il menaitles négociations pour l’acheter. Larevente a eu lieu dès après l’acquisitionavec une plus value de 3 millions de dol-lars. Ces sommes peuvent apparaîtrefaibles au regard des bonus personnelsde la personne en cause, mais la dériveaffecte un fonds reconnu pour ses inves-tissements à long terme et son éthiquece qui en termes d’image est mortel.L’intéressé a démissionné ou a étédémis, et la SEC devrait ouvrir inces-samment une enquête.Ces comportements qui semblent fré-quents peuvent créer d’incommensura-bles problèmes aux sociétés dont leshauts cadres se comportent de cettemanière. Pour McKinsey par exemple,qui a bâti toute sa réputation sur le res-pect de la déontologie et de l’éthiquecette affaire peut être dommageabled’autant plus que plusieurs autres mem-bres de la structure auraient étécondamnés après voir plaidé coupable.Le fonds Berkshire Hataway, ne peutpas se permettre de perdre la moindreparcelle de sa réputation.Reuters a d’ailleurs présenté l’« anato-mie d’un scandale de délits d’initiés » en

se basant sur des sources provenant del’attorney du district de New York qui estparticulièrement parlante car elle décor-tique deux typologies de montages dif-férentes.

Il reprend deux opérations (Hilton etAkamai) et en décline les manipulationsde la manière suivante :1- Le détenteur de l’information

(insider)En juillet 2007, un analyste deMoody’s avise un partenaire inconnuque Hilton va faire l’objet d’une opé-ration intéressante.En juillet 2008, un cadre de Akamaiavise Daniele Chiesy, du New castlefund, que Akamai va annoncer unrésultat en baisse.

2- L’intermédiaire (Go between)Il transmet l’information à Galleonen précisant que l’opération est cer-taine, Daniele Chiesy avertit le fondsde se préparer à vendre, à découvert,cette valeur.

3- Le manager du hedge fundGalleon achète des centaines de mil-lions d’actions « Hilton » et engrange4 millions de dollars. Galleon remercie Daniele Chiesy, leNew castle fund couvre sa positioncourte et engrange 4 millions de dol-lars.

Le président du fonds Galleon a étécondamné le 11 mai ; cette sanction estessentielle car elle déclare illégitimes lespratiques d’échanges de données et decourtages portant sur des informationsd’initié ainsi que sur la méthode d’in-vestigation qui est directement issue despratiques anti mafias.

Finalement c’est le principe de la« muraille de Chine » qui s’effondre ;plusieurs faits l’expliquent :• les intervenants sont multiples dansce secteur, la nature des informationssur lesquelles les analyses sont effec-tuées, sont essentielles et elles peu-vent avoir un impact très fort sur lesplacements ;

• les divers prestataires disposant d’unetechnicité similaire ne présentent pasune cohérence éthique uniforme etl’attrait de gains rapides provenant dela rémunération de ces informations,ou des placements directs qui peuventêtre réalisés à cet égard poussent aucrime ;

• la réalisation de la preuve de ces com-portements criminels est très difficile

à faire car on constate qu’aucuneinformation illégale n’est transmisepar mail ou par des voies classiquestrop risquées ; le téléphone n’est plusutilisé que pour prendre des rendez-vous physiques ; les pratiques des cri-minels sont utilisées.

* **

Ma conclusion sera tout entière conte-nue dans une répartie de Marcel Pagnoldans « Angèle » : Saturnin le salariéamoureux d’Angèle, à qui le patriarchedemandait ce qui était pour lui la véritélui répond « pour moi la vérité c’est cequi vous fait plaisir ». Trop souvent leconflit d’intérêt se camoufle derrièrel’intérêt bien compris du client et celuidu fournisseur, le chiffre d’affaires estalors privilégié au détriment de l’objec-tivité. Ces derniers assurent ainsi leurpropre chiffre d’affaires à venir enapportant les réponses qui conviennentle mieux au client, ils suivent alors unelogique industrielle qui est alors fortéloignée de l’éthique espérée.

1. Ainsi, le « code de gouvernement d’entreprise »publié par l’AFEP (Association française desentreprises privées) et le MEDEF précise que« lorsqu’il exerce des fonctions exécutives il[l’administrateur] ne doit, en principe, pasaccepter d’exercer plus de quatre autres man-dats d’administrateur dans des sociétés cotées,y compris étrangères, extérieures à songroupe ». Or, 39 des 40 entreprises du CAC 40ont au moins un administrateur en commun.Certains administrateurs siègent même danssix conseils à la fois.

2. Tout est écrit, rien n’est caché, mais il est vraiqu’il faut savoir où le chercher dans lesannexes.

3. Entreprise ad hoc qui rachète un actif à uneentreprise à l’occasion d’un montage déconso-lidant.

4. Il s'agit de deux transactions effectuées aucomptant et en sens inverse, décalées dans letemps. Une cession est suivie d'un rachat auterme de l'opération ; cela permet de refinancerdes actifs financiers négociables avec un tauxd’intérêt négocié entre les deux parties contrac-tantes, le prêteur des titres et le prêteur dunuméraire. Cela peut être utilisé pour faire dis-paraître des créances douteuses.

5. Comme nous l’avons exposé lors du précédentarticle, les conflits d’intérêts réels sont poursui-vis pénalement.

6. The huffington post.

14

LES AVANCÉES DE LA RECHERCHE


Les avancées du groupe professionnel« Institut de retraite et prévoyance »Paul-Henri Mezin -Directeur de l’audit, Groupe Malakoff Médéric

Valérie Trony - Responsable du service audit interne, contrôle interne, sécurité des SI, Groupe Mornay

Eric Blanc : Pouvez-vous dresser un brefhistorique du groupe professionnel « Insti-tut de Retraite et Prévoyance » et de votreaction ?

Valérie Trony : J’ai assuré la présidencedu groupe professionnel de fin 2008 àdébut 2011. Parmi les sujets qui ont étébalayés ces deux dernières années, il y abien sûr Solvabilité 2 et les thèmes quien découlent. Par exemple, la mise enplace de la fonction conformité.

Nous avons également échangé sur lamise en place des comités d’audit dansles groupes de protection sociale en par-tageant nos pratiques respectives et ennous appuyant sur les textes de transpo-sition de la 8ème directive ou les recom-mandations de l’AGIRC-ARRCO et duCTIP. Enfin, nous avons discuté de sujetscœur de métiers tels que la gestion d’unservice d’audit interne et de ses compé-tences notamment dans le contexte defusions que nous connaissons.

Paul-Henri Mezin : J’ai repris la succes-sion de Valérie Trony. Un des « chan-tiers » actuels du groupe concerne lecontrôle interne de la gestion déléguée.On constatait systématiquement desdéfaillances de contrôle interne assezgraves chez certains prestataires alorsque nous devons conserver la maîtrisedu contrôle interne sur l’ensemble denos activités.

Ainsi, parmi les différents axes de maî-trise des risques prévus au niveau deSolvabilité 2, il y a notamment la sous-traitance et donc la délégation de ges-tion. Est alors apparue la nécessité pourles institutions de prévoyance de travail-ler sur ces bonnes pratiques, et comme

les assureurs se retrouvent dans lesmêmes réglementations et dans lesmêmes logiques, il était intéressant queles deux groupes professionnels se rap-prochent pour une action concertée surce thème commun. Les résultats sont attendus début 2012.Reste à faire connaître ces conclusions.

E. B. : Par exemple, en diffusant à l’ensem-ble de vos prestataires un cahier des chargesde contrôle interne ?

V. T. : On ne va pas aller jusque-là. Pourl’instant, l’idée est de promouvoir desbonnes pratiques, car nous ne pouvonspas imposer quoi que ce soit à ces entre-prises. Notre ambition est de produire uncahier de la recherche qui recense lesbonnes pratiques que l’on peut préconi-ser dans ce domaine.

Même si les cahiers de la recherchevisent prioritairement les auditeursinternes et les professionnels de la maî-trise des risques, nous souhaitons véhi-culer les messages clés de cettedémarche auprès des courtiers déléga-taires.

E. B. : Quelles sont les autres sujets d’ac-tualité du groupe ?

P.-H. M. : Nous allons être amenés àparler de la relation entre l’audit et lescommissaires aux comptes, dans lecadre de la mise à jour des normesISA 610 et ISA 315 à paraître en septem-bre. Par ailleurs, au travers de l’IFACI, noussouhaitons faire connaître notre positionde professionnels de l’audit et ducontrôle interne aux autorités de tutelle.Aujourd’hui, je sais que l’IFACI est un


interlocuteur reconnu par l’AMF etl’ACP. Cette autorité de contrôle super-vise d’autres secteurs d’activité (banque,assurance) représentés à l’IFACI et nousavons intérêt à nous concerter. Le lan-cement d’une enquête de l’ACP (débutjuillet) sur l’état d’avancement du projetSolvabilité 2 dans les secteurs d’activitésera l’occasion de connaître la positiondu superviseur sur :• les rôles de l’audit interne et ducontrôle interne ;

• les parties prenantes du système decontrôle interne ;

• les attentes vis-à-vis de ces différentsinterlocuteurs dans le cadre de Solva-bilité 2.

Nous souhaitons également prendre enconsidération la gouvernance particu-lière au monde des institutions deretraite complémentaire (AGIRC-ARCCO) et au monde des institutionsde prévoyance et des mutuelles. C’estdans ce cadre que nous invitons égale-

ment la direction de l’audit et ducontrôle de l’AGIRC-ARRCO à partici-per à certains de nos échanges.

Il y a aussi une action que je vais conti-nuer à développer : c’est la démarche debenchmark, initiée par Valérie. On abalayé quelques sujets tels que la coor-dination avec les commissaires auxcomptes, la gestion des compétences, lagestion du planning des missions.Autant de thèmes qui permettentensuite de se situer ou d’identifier lesmeilleures pratiques chez nos collègues.

E. B. : A votre avis, quels sont les enjeuxfuturs d’un RAI exerçant dans une institu-tion de retraite et de prévoyance ?

P.-H. M. : Je suis convaincu que Solva-bilité 2 va modifier nos normes demétier, et nous pousser à plus de profes-sionnalisme dans notre activité, exigerdes compétences plus pointues.

V. T. : Jusqu’à ce jour, je pense que l’onpouvait pratiquer notre métier tout à faitcorrectement avec des compétences degénéralistes. Demain, sur les sujets Sol-vabilité 2, à mon avis, il faudra un peuplus de technique, ou avoir recours à desexperts. Mais, il peut aussi être intéres-sant de faire progresser des collabora-teurs sur des nouveaux sujets, même unpeu techniques.

Paul-Henri, je sais que tu disposes, danston équipe, des compétences sur cesthèmes. Ce n’est pas forcément le casdans tous nos groupes. Une grande par-tie de nos services est très orientée surdes missions d’audit opérationnel, deconformité opérationnelle, etc. Pourtantla question de la fiabilité des informa-tions comptables et financières rentredans notre champ de compétences etnous devrions avoir les ressourcesnécessaires pour l’évaluer.

16

DOSSIER


Auditeur interneet risk managerUne coopération nécessaire

Qu’est-ce qu’une direction générale attendd’une équipe de maîtrise des risques ?Séverin Cabannes

19

IFACI et AMRAE, deux instituts impliqués dansla maîtrise des risquesClaude Viet et Gérard Lancner

17

Rôles respectifs des responsables d’audit interne etdes risk managers dans le processus de managementdes risquesAnnie Bressac et Bénédicte Huot de Luze

21

Secteur bancaire : vers une culture de croissanceprofitable dans le respect de l’appétit pour le risqueDaniel Pouliot

24

Les risques, le contrôle et l’audit internes sous unemême bannière : renforcement de la maîtrise desrisques au prix d’une faiblesse de gouvernance ?Philippe Hellich

30

17

Auditeur interne et risk manager

juin 2011 - Audit & Contrôle internes n°205

management et leur gouvernance.L’évolution du cadre des entreprises estmarquée par la mondialisation. Cettedernière s’est notamment traduite parde nouvelles exigences financières,sociales, sociétales et environnemen-tales. Par ailleurs, il existe une fortedemande de transparence de la part del’opinion publique. Parallèlement,l’adaptation de la législation s’est maté-rialisée par un renforcement des règlesprudentielles et des organes de contrôle,ainsi que par des exigences nouvelles enmatière de gestion des risques et uneresponsabilité accrue de la gouvernance,notamment à l’échelle des comités d’au-dit.

Cette double évolution a mis en exerguel’importance du contrôle interne dansson acception large. Il est donc logique,voire indispensable, que l’IFACI etl’AMRAE proposent une démarchecommune et une prise de position par-tagée à la lumière des réflexions quiémergeront dans le cadre de ce colloqueet de celles ayant été engagées aupara-vant.

Pour l’IFACI, ce colloque intervient àl’issue d’un certain nombre de réflexionset de prises de position. La réflexionengagée le 9 septembre 2008 a abouti àune prise de position sur l’urbanisme decontrôle interne, de façon globale et defaçon plus ciblée sur le secteur bancaire.En 2009, une table ronde mondiale a étéorganisée par l’IIA. Cette réflexionmenée avec le patronat américain aconduit à rendre plus forte l’exigencepour l’audit interne de prendre en

La démarche initiée il y a quelquetemps par l’IFACI et l’AMRAE aabouti à la réalisation d’un col-

loque et se poursuivra de manièreencore plus concrète, à l’issue de nostravaux, sous la forme d’une prise deposition.

Dans un contexte de crise financièremondiale, nous avons assisté ces der-nières années à des changementsimportants qui impactent à la fois ladirection générale des entreprises, leur

compte l’ensemble des risques auniveau des entreprises. L’ECIIA etFERMA – qui représentent les institutsnationaux en matière d’audit interne etde risques au plan européen – ont éga-lement pris position pour montrer lasynergie de l’audit interne et du riskmanagement. Enfin, la transposition etl’application des quatrième, septième ethuitième directives européennes ont faitl’objet de la loi du 3 juillet 2008 et del’ordonnance du 8 décembre 2008.L’AMF a concrétisé ces évolutions légis-latives dans un guide pour les comitésd’audit et par une révision profonde ducadre de référence en matière de risqueset de contrôle interne.

L’ensemble de ces travaux a montrél’importance d’une coordination accrue,plus étroite et efficace entre les différentsacteurs de la maîtrise des risques.L’étape suivante consistera à intégrercette démarche de management desrisques dans l’entreprise même et dansson pilotage. Il est certain que nos deuxfonctions sont très liées, d’une partparce que l’audit s’appuie sur la carto-graphie des risques pour établir son pland’audit, d’autre part parce qu’il apporteun certain nombre d’éclairages aux riskmanagers pour l’élaboration de la carto-graphie des risques.

Notre objectif commun aujourd’hui estd’approfondir les contours et les conte-nus de la collaboration entre auditinterne et risk management, dans larecherche de la plus grande efficacitédes systèmes de contrôle interne.

IFACI et AMRAE, deux institutsimpliqués dans la maîtrise desrisques

Claude Viet

Président de l’IFACIDirecteur de l’audit et des risques,La Poste

18

DOSSIER


L’AMRAE est très heureuse de lasynergie que nous avons amorcéeavec l’IFACI depuis plusieurs

mois et la volonté que nous avions detravailler ensemble et de trouver le bonéquilibre entre nos différentesdémarches.Je crois, effectivement, que nous avonsle même objectif : assurer le contrôle parl’interne de nos entreprises afin qu’ellespuissent atteindre leurs objectifs. C’estla mission qui nous est donnée quelsque soient le titre et la fonction que nousavons dans nos entreprises. Nous avonsla même feuille de route : assurer lecontrôle interne de notre entreprise,prévoir les incidents, anticiper les diffi-cultés, envisager des plans d’actions etassurer leur efficacité.C’est donc tout naturellement, aprèss’être cherchés pendant quelquesannées, que nous nous sommes retrou-vés avec une mission commune. Nousavons le même objectif. Partageons lamême vision afin que nous puissionspromouvoir la vision commune del’IFACI et de l’AMRAE sur les rôles res-

pectifs des gestionnaires de risques, desauditeurs internes, des responsables ducontrôle interne et des autres fonctionsde l’entreprise.Nous nous complétons les uns lesautres, nous sommes amenés à travaillerensemble pour assurer le contrôleinterne de nos entreprises. L’organisa-tion de l’IFACI a toujours été un modèlepour l’AMRAE. De son côté, l’AMRAE aparticipé à des travaux au cours des sixdernières années sur la gestion desrisques, et a gagné toute sa légitimité ence domaine. Nous nous sommes retrou-vés ensemble à différentes occasions,notamment dans le cadre du groupe detravail de l’AMF. Tout naturellement,nous avons défendu devant l’AMF etd’autres acteurs, le fait que l’identifica-tion des risques et la mise en place d’unsystème relèvent des fonctions des riskmanagers mais que le contrôle de l’effi-cacité est le fait des auditeurs internes.Nous sommes tous amenés à devoirgérer l’ingérable. Dans ces conditions, ilvaut mieux que nous soyons ensem-ble.

Gérard Lancner

Président de l’AMRAEDirecteur des risques, de l’audit interneet des assurances, Groupe Yves Rocher

Le diplôme professionnel qui atteste de vos aptitudes à conduire unemission d’audit interne en autonomie selon les Normes et les bonnespratiques de la profession.

INFORMATIONS PRATIQUES

A qui s’adresse-t-il ?A tous les auditeurs internes souhaitantvaloriser leur expérience en auditinterne.DuréeL’examen du DPAI se déroule sur unejournée.Tarif60 € HT (droits d’inscription)

Pour toute information complémentaire sur le DPAI, contactez Perrine Bénardau 01 40 08 48 11 ([email protected])

POUR EN SAVOIR PLUS ...

Site Internet (www.ifaci.com) consulter le programme détaillé de l’examen ; télécharger le modèle d’examen et les annales.

FORMATIONNotre offre de formations vous permet de : développer vos compétences en suivant les formations sur les

« Fondamentaux de l’audit interne ». se mettre dans les conditions de l’examen en suivant la

formation de préparation au DPAI.

Diplôme Professionnelde l’Audit Interne

19



prise est un sujet traité depuis long-temps. La préoccupation que nousavons aujourd’hui est la protection desactifs incorporels. Parmi ceux-ci figurentle risque de réputation, le risque lié à laprotection des fonds de commerce,sachant que la relation client a été consi-dérablement affectée par la crise systé-mique, et enfin, le risque de distensionde la communauté humaine que repré-sente l’entreprise et du lien entre les col-laborateurs et l’entreprise. Votre contri-bution au fonctionnement sûr de l’en-treprise devrait ainsi être davantageorientée sur la protection des actifsincorporels.La Société Générale a vécu deux crisesmajeures au cours des trois dernièresannées, dont une crise spécifique auGroupe due à une fraude massive. Nousavons travaillé depuis trois ans sur nosdispositifs de contrôle, avons enrichi cesderniers qualitativement et quantitative-ment. Les acteurs du Groupe qui traitentde la maîtrise des risques et du contrôleinterne représentent aujourd’hui 8 000personnes, soit 5 % des effectifs. Nousavons en parallèle investi sur l’accrois-sement du niveau de compétences etd’expertise métiers de nos gestionnairesde risques. Depuis trois ans, nous avonségalement accru l’attractivité de cesmétiers dans l’entreprise. Aujourd’hui,nous mettons en place un nouvel équi-libre, entre les équipes métiers et leséquipes de contrôle. La sécurité du fonc-tionnement quotidien de l’entreprisepasse par un tel équilibre et j’attends deséquipes de maîtrise de risques qu’elles ycontribuent fortement.

L’efficacité

J’aimerais à présent revenir sur l’effica-cité, ou plutôt l’efficience des systèmesde contrôle. L’exigence d’efficience s’im-pose à l’ensemble des entités de l’entre-prise. Les équipes de contrôle interne

Qu’est-ce qu’une direction géné-rale attend d’une équipe demaîtrise des risques ? Pour une

part, j’attends que cette dernière colla-bore à la sécurité du fonctionnement del’entreprise, qu’elle collabore efficace-ment à cette sécurité et qu’elle collaboreefficacement à la sécurité de son déve-loppement. Pour les banques, qui ontconnu un certain nombre de difficultésdepuis quelque temps, la sécurité dudéveloppement de l’entreprise est unpoint clé qui a été parfois oublié.

La sécurité du fonctionnement

Un des principaux risques que nousdevons gérer est le risque de destructionde valeur au sein de l’entreprise. Mal-heureusement, dans l’industrie bancairedans son ensemble, nous avons connudepuis trois ans une véritable destruc-tion de valeur. Nous devons donc nousdemander si les dispositifs généraux decontrôle interne de l’entreprise sont suf-fisamment protecteurs de ses actifs et deson fonctionnement permanent. La pro-tection des actifs physiques de l’entre-

n’échappent pas à cette règle. En tantque responsables de maîtrise des risquesou du contrôle interne, nous avons aussiune responsabilité en termes d’effica-cité.

L’efficacité passe d’abord par la perti-nence des actions. Au cours des dix der-nières années, le secteur bancaire adéveloppé des dispositifs de contrôleinterne et de maîtrise des risques qui ontété parfois d’abord dictés par lescontraintes réglementaires. Nous avonsainsi plaqué sur des organisations opé-rationnelles des dispositifs lourds decontrôle, pour répondre aux exigencesdes régulateurs plutôt qu’en vertu desexigences stratégiques du pilotage del’entreprise. Ainsi, la question de savoirsi la pertinence des systèmes de contrôlepermanent correspond réellement auxrisques majeurs que nous devons gérerse pose. Par ailleurs, ces dispositifs pré-sentent le risque de créer une imagebureaucratique des organisations etdonc, un risque d’opposition potentielleentre les responsables opérationnels etles corps de contrôle.

Nous avons engagé la correction de cesdeux faiblesses. Nous essayons d’utiliserun outil qui est utilisé depuis longtempsdans d’autres industries et qui n’estautre que l’optimisation des processus.J’ai la conviction que la meilleure façonde s’assurer de la pertinence des dispo-sitifs de contrôle est de se fonder sur desdémarches d’optimisation des proces-sus. Dans l’industrie, le processus estphysique et il peut sembler plus aiséd’identifier les risques, dans certains casvitaux, y afférents. Dans la banque, lesprocessus sont intangibles et sont trèsrarement vitaux. La diffusion d’uneapproche d’optimisation des processusdans une entreprise comme la SociétéGénérale est un travail difficile que nousavons engagé depuis trois ans. Toutefois,

Séverin Cabannes

Directeur général délégué,Société Générale

Qu’est-ce qu’une directiongénérale attend d’une équipede maîtrise des risques ?

20

DOSSIER


il s’agit de garantir la pertinence de noscontrôles et d’accroître la qualité desservices que nous offrons à nos clients.Accessoirement, je me suis toujoursdemandé pourquoi les référentiels nor-mant le contrôle interne et la qualitén’étaient pas confondus.

La deuxième dimension de cette effica-cité est le rapport coûts-résultats. Est-ceoptimal d’avoir 5 % des effectifs dédiésà la maîtrise des risques ? Nous ne dis-posons pas de réponse satisfaisante àcette question. Plutôt que d’augmenterles moyens, je pense aujourd’hui quenous devons faire en sorte que le tempspassé par les managers opérationnelssur les problématiques de risques et decontrôle interne soit plus important.

Enfin, un dispositif de contrôle internen’est pas efficace si le risque de déres-ponsabilisation des opérationnels n’estpas suffisamment pris en compte. Sousle développement nécessaire et vouludes corps de contrôle, on a vu s’établirune distinction trop nette entre le pre-neur de risque et le contrôleur desrisques. Il s’agit là pour moi de l’un desprincipaux points sur lesquels nousdevons être vigilants. Dans notre organisation, nous avonsétabli trois lignes de défense contre lesrisques : • les responsables opérationnels

(contrôle permanent de niveau 1) : ils’agit de l’individu, quelle que soit safonction dans l’entreprise ;

• les grandes fonctions (contrôle per-manent de niveau 2) : il s’agit de ladirection financière, de la directiondes risques et de l’ensemble des direc-tions dites fonctionnelles ;

• le contrôle périodique (contrôle deniveau 3) par l’inspection générale etpar les équipes d’audit interne.

Ainsi, nous n’avons pas souhaité dédierd’équipes au contrôle permanent depremier niveau pour éviter le risque dedéresponsabilisation des opérationnels.

La sécurité du développementde l’entreprise

La deuxième crise majeure que nousayons dû gérer est la crise systémique.Le développement de la complexité denos produits d’une part, l’accroissementrapide des volumes sur la période 2002-2007 associé à une durée assez longued’un cycle économique porteur qui a fait

diminuer le niveau de vigilance d’autrepart, ont fait perdre des repères auxacteurs de l’industrie. L’une des erreurs que nous avons com-mise a été de négliger l’un des risquesde contrepartie majeurs de toute entre-prise : la solidité de ses compagniesd’assurance. Or, ce sont les compagniesd’assurance spécialisées dans la couver-ture des risques financiers qui ont faitdéfaut aux Etats-Unis et qui ont mené àla catastrophe. Le risque de concentra-tion était en effet très important. Lesmonolines étaient notées triple A par lesagences de rating, tout comme les pro-duits qu’elles assuraient. Nous avons euaussi un excès de confiance dans lesnotations extérieures.

Il existe deux moyens de se développerpour les entreprises. Le premier est lacroissance organique. Dans les indus-tries lourdes, le développement orga-nique et la maîtrise des risques sontassociés. Dans la banque, le gestionnairedes risques n’a pas suffisamment été,dans le passé, associé à la conceptiondes produits. Ceci a été changé. Nousavons mis en place des « Comités Nou-veaux Produits » dans lesquels toutes lesparties prenantes sont associées pourune analyse ex ante des risques. Lasécurité du développement supposedonc que les équipes de recherche, devente, de production, de contrôle et demaîtrise des risques travaillent ensem-ble. Le deuxième moyen de se dévelop-per pour une entreprise est la croissanceexterne. La prise de risques est plus tan-gible lors d’une acquisition externe.C’est pourquoi nous associons depuislongtemps l’ensemble des corps decontrôle au processus de croissanceexterne.

Avant de conclure, je souhaite partagerun certain nombre de convictions per-sonnelles. Une entreprise est d’abordune communauté d’hommes et defemmes qui ont décidé d’associer leurdestin en vue d’un projet commun. Jepense que la première condition d’undispositif de contrôle interne efficaceréside dans le partage de valeurs pro-fondes et d’une culture risque communeau sein de cette communauté. Il estessentiel que les gestionnaires derisques et les équipes de contrôle internecontribuent tous les jours à l’élévationde la « culture risque » de l’entreprise.Quand on embauche un jeune quidevient agent d’accueil dans une

agence, il n’a pas de conscience a prioridu risque que représente son activitépour l’entreprise et pour le client. Nousdevons consentir un effort considérablede formation et de sensibilisation. D’ail-leurs, le processus de recrutement estégalement un sujet central de laréflexion sur la maîtrise des risques. Ladeuxième condition d’un dispositif sûr,en plus de la qualité des hommes, est laqualité des relations entre les hommes,les valeurs managériales du Groupe,leur diffusion et leur partage. A partir dumoment où les relations entre les mem-bres de l’entreprise sont réellement fon-dées sur la confiance, les risques dimi-nuent sensiblement. Trop souvent, lespersonnes ont eu peur d’exprimer leurpoint de vue, de peur de paraître idiotesà cause de la complexité des sujets. Ilrelève de la responsabilité des managersde faire en sorte que chaque membre dela communauté ait cette capacité àexprimer son point de vue et à être unvéritable acteur libre de sa responsabi-lité. Ainsi, la « bonne » culture d’entre-prise est pour moi la première conditiond’un système de maîtrise des risquesefficace et pertinent.

Enfin, pour conclure, une dernièreréflexion : la responsabilité d’une direc-tion générale est de choisir les hommeset les femmes et de définir une organi-sation qui permette, avec un niveau desécurité suffisant, l’atteinte des objectifsstratégiques qui ont été fixés. Une ques-tion fondamentale se pose à l’heure defixer les objectifs stratégiques de l’entre-prise. Quel est le niveau de rentabilitéque nous proposons à nos différentesparties prenantes ? Si ce niveau est tropélevé, il devient un facteur essentiel degénération de risques. Une des causesde la crise des subprimes réside sansdoute dans le fait que les exigences derentabilité de certains acteurs écono-miques, en particulier aux Etats-Unis,étaient devenues telles que la prise derisques associée était devenue énorme.Il est essentiel de partager avec sesactionnaires, les enjeux rendement/risques et pas seulement de partager desobjectifs de rentabilité. Dans le secteurbancaire, les nouvelles règles aurontcomme effet majeur une baisse structu-relle des rentabilités. Au-delà de ces élé-ments, l’espérance de retour de toutecommunauté humaine est liée aux tauxd’intérêt des individus qui la composent.Quel est notre taux d’intérêt indivi-duel ?

21



Annie Bressac : Bénédicte et moi allonsaxer nos propos sur les Normes, les réfé-rentiels. Nous chercherons à clarifier lespratiques du risk manager et de l’audi-teur interne au regard du processus demanagement des risques et nous nousattacherons à mettre en évidence lessynergies entre les deux fonctions.

Bénédicte Huot de Luze : Avant d’en-trer dans le vif du sujet, il nous a sembléimportant de réaliser un état des lieuxde la profession et de comparer lesniveaux de maturité des deux fonctionsgestion des risques et audit interne. Lagestion des risques organisée est unefonction relativement récente et encorenon normée. La loi de sécurité finan-cière de 2008 a mis au goût du jour l’ac-tualité juridique concernant la gestiondes risques. Avant cela, nous ne pou-vions nous reporter qu’à une évocationde la gestion des risques dans les NREde 2001.

A. B. : L’audit interne est normé depuisde nombreuses années. Il existe uncadre de référence international des pra-tiques professionnelles qui est réguliè-rement revu et enrichi. Il comporte unedéfinition, des Normes, leurs modalitéspratiques d’application, des guides pra-tiques, etc. Cette longue expériencen’interdit pas l’évolution permanente denotre métier pour en améliorer la per-formance.Rappelons à présent les objectifs desdeux fonctions.

B. H. de L. : La gestion des risques estun dispositif dynamique de la sociétédéfini et mis en œuvre sous sa respon-sabilité. Cette définition est issue du

cadre de référence de l’AMF. On dit éga-lement que la prise de risques est inhé-rente à chaque société. L’objectif est deprendre des risques maîtrisés pour l’en-treprise et, in fine, d’anticiper les risquespour ne pas les subir. La sécurisation dela prise de décision et la favorisation del’atteinte des objectifs permettent d’al-louer efficacement les ressources del’entreprise. Il s’agit ensuite de favoriserla cohérence des actions avec les valeursde la société et de fiabiliser la réputationde l’entreprise et sa crédibilité. Une ges-tion des risques efficace implique unemobilisation des collaborateurs sur uneprise de risques globale, ce qui favorisel’appropriation du système de gestiondes risques. L’atteinte de ces objectifsgénéraux demande du temps, l’appro-priation du système par les opération-nels, leur responsabilisation et la com-préhension de la prise de risques partous les collaborateurs. Elle nécessitedonc un travail en profondeur et unediffusion de la culture du risque qui n’estpas rapide.

A. B. : En matière d’audit interne, ladéfinition internationale a fixé le cap en2000 : cette fonction doit contribuer àcréer de la valeur ajoutée. Pour cela, ellelui assigne une double mission : unemission relative à l’assurance que l’auditinterne doit donner sur le degré de maî-trise des opérations, et une mission deconseil pour aider l’organisation àatteindre ses objectifs. Cette définitionpropose également un triple champd’évaluation, au premier rang desquelsfigure le processus de management desrisques. A celui-ci s’ajoutent le gouver-nement d’entreprise et le contrôleinterne. Ainsi, la contribution de l’audit

Annie Bressac

Directrice de l’audit et du contrôleinternes, Fondation Apprentisd’Auteuil

Bénédicte Huot de Luze

Directrice scientifique, AMRAE

Rôles respectifs des responsablesd’audit interne et des riskmanagers dans le processus demanagement des risques

22

DOSSIER


interne à la performance de l’entrepriseest très ambitieuse. Cette ambition ren-force d’emblée la double exigence d’in-dépendance et de compétence des audi-teurs internes.Entrons à présent dans la définition desmissions du gestionnaire des risques ouchief risk officer.

B. H. de L. : Nous avons identifié sixrôles pour le chief risk officer :• la définition du système de gestion

des risques et la garantie du bien-fondé de la méthodologie ;

• l’animation relative aux correspon-dants, à la diffusion de la culture durisque, à la périodicité, à l’élaborationdes reportings et au contrôle du sys-tème ;

• la promotion des compétences enmanagement des risques et la diffu-sion de la culture du risque dans l’en-treprise ;

• la contribution à la définition de l’ap-pétence de la gestion des risques et larédaction de la politique de gestiondes risques ;

• l’assistance aux propriétaires derisques dans leur plan de remédiationlorsque le risque a été qualifié d’inac-ceptable ;

• le compte rendu à la direction géné-rale et au comité d’audit des risquesmajeurs, de leur traitement, de leursévolutions et du système de gestiondes risques dans son ensemble.

Le baromètre du risk manager del’AMRAE est un document essentielconcernant les qualités personnellesattendues du risk manager. Celui-ci doitavoir un fort esprit de conviction, unesprit de synthèse développé, une visionglobale de l’entreprise et un sens de lacommunication aiguisé.

A. B. : Le rôle de l’auditeur interne enmatière de management des risques estde trois ordres. L’auditeur interne est àla fois utilisateur et parfois acteur del’identification et de l’évaluation desrisques. Il est contributeur au dispositifde management des risques. Enfin, il estévaluateur du dispositif. Ce champd’action dépend en grande partie del’existence et de la maturité du proces-sus de management des risques dansl’organisation. En tout état de cause, ildoit s’inscrire dans des limites définiespar les Normes professionnelles et cla-

rifiées par les modalités pratiques d’ap-plication, c’est-à-dire ne pas compro-mettre son objectivité.Les Normes posent l’analyse des risquescomme le double point d’entrée dansnos missions. Selon la norme 2010, leplan d’audit doit être élaboré à partird’une analyse des risques qui peut êtreréalisée par l’auditeur lui-même ous’appuyer sur les informations issues durisk-management. Une phase d’analysedes risques doit faire partie de la prépa-ration de chaque mission d’audit. Audelà de ces travaux d’analyse préalable,l’évaluation de la gestion des risques estun élément central de toutes les mis-sions. Ainsi, les constats d’audit com-portent toujours une description et uneévaluation des risques identifiés et lesrecommandations que nousformulons concernent lesmesures préventives,correctives et pro-tectives qui per-mettront demieux les maîtri-ser. Enfin, cer-taines missionsd’audit ont pourobjet l’évaluationde l’efficacité duprocessus demanagement desrisques. Elles peuventporter sur chacune descomposantes de ce processus. On voit donc que le risque constitue unsujet central pour nos deux fonctions quiont nécessairement vocation à interagir.

B. H. de L. : Comment les fonctionspeuvent-elles interagir ? Le gestionnairede risques va construire la cartographie,les reportings, hiérarchiser les risques ettravailler sur les plans d’actions avec lesopérationnels. Une fois que les informa-tions ont été validées par la direction, illes transmet à l’audit interne. Qu’en faitce service ?

A. B. : L’audit est utilisateur de cette car-tographie. Il s’appuie sur ces élémentspour élaborer son plan d’audit et donneen retour de l’information aux riskmanagers. Il valide l’analyse de la carto-graphie mais peut également contribuerà son actualisation et la compléter pardes éléments nouveaux issus de ses mis-sions.

B. H. de L. : Les risk managers aidentégalement la direction et les administra-teurs à définir l’appétence pour lerisque. Il revient en effet au gestionnairede risque de formuler des propositionsà la direction qui se prononcera avec lesadministrateurs. Ces éléments sont éga-lement transmis à l’audit interne.

A. B. : L’audit interne a besoin de cetteappréciation et de cette définition del’appétence pour le risque pour appré-cier l’efficacité du traitement des risques.Lorsque nous évaluons le contrôleinterne, nous devons appréhender leniveau de risque cible acceptable afind’éviter deux écueils, à savoir l’excès etl’insuffisance de contrôle. Nous avonsdonc besoin de connaître l’appétence

pour le risque pour mener àbien notre évaluation. Au

cours des missions,nous identifions par

ailleurs des risquesinsuffisammentmaîtrisés et for-mulons desrecommanda-tions qui peu-vent intéresser le

gestionnaire desrisques.

B. H. de L. : Cela nouspermet en effet de recueillir

des informations sur des risquesqui n’auraient pas été identifiés par lesopérationnels ou au cours des entre-tiens. Nous pouvons ainsi fiabilisernotre cartographie des risques et notreévaluation des risques résiduels.

A. B. : L’évaluation du dispositif de ges-tion des risques réalisée par l’auditinterne contribue à la surveillance et aupilotage du dispositif de managementdes risques.

B. H. de L. : En effet, l’audit nous permetd’avoir un regard externe sur nos activi-tés, de prendre du recul, d’avoir desrecommandations pertinentes et inté-ressantes. Ainsi, nous pouvons mieuxrépondre aux exigences de la directiongénérale.

Nous allons à présent nous intéresser ànos objectifs partagés. Nos fonctionnements sont différents,nous interagissons et nous avons des

« L’évaluation dela gestion des risquesest un élément central

de toutes les missions »

23



objectifs partagés. Parmi ceux-ci, nousveillons à ce que la stratégie soit en adé-quation avec la politique de risque. L’au-dit interne aura un regard de deuxièmeniveau sur ce sujet alors que la gestiondes risques y veillera au premier niveau.

A. B. : Notre deuxième objectif communest la maîtrise des risques. Les auditeursinternes parlent de manière préféren-tielle du contrôle interne. Les gestion-naires des risques évoquent de manièreplus globale la gestion des risques. Quoiqu’il en soit, nous devons couvrir la tota-lité de la palette. Ainsi, les auditeursinternes doivent également s’intéresseraux processus et aux dispositifs d’assu-rance, aux processus et aux dispositifs degestion de crise.

B. H. de L. : Ensemble, nous contri-buons aussi à la diffusion de la culturedu risque et à l’appropriation des risquespar les collaborateurs.

A. B. : Enfin, nous participons au pro-cessus d’information des managers, desdirigeants et du comité d’audit sur l’ex-position au risque, chacun apportantson éclairage spécifique sur le sujet. Par-fois, cette grande proximité peut d’ail-leurs poser question.Pour la bonne compréhension de nosrôles respectifs, il nous paraît importantde mettre en évidence plusieurs pointsde vigilance.

B. H. de L. :Tout d’abord, il nous sembleimportant de disposer d’un langagecommun et d’outils partagés. Un voca-bulaire unique permettra une meilleurediffusion de la culture du risque. L’uni-vers de risque et les éléments de repor-ting doivent également être partagés.

A. B. : La cartographie est précisémentun point qui peut faire débat. Les deuxfonctions doivent être indépendantesl’une de l’autre même si cela n’est pas

toujours facile. Cette indépendance sup-pose un positionnement clair, et pose laquestion du rattachement. La questionde l’indépendance de l’auditeur par rap-port à sa mission d’évaluation du dispo-sitif est importante.

B. H. de L. : Il est également essentiel dedévelopper des compétences spécifiquespour l’amélioration et la compréhensiondu mécanisme de gestion des risques.

A. B. : Enfin, quelle que soit l’organisa-tion retenue, il convient de veiller à labonne coordination des différentsacteurs de la gestion et de la maîtrise desrisques, ainsi que d’éviter les superposi-tions. Il est important de développer unesprit de synergie autour des objectifspartagés.

24

DOSSIER


À la recherche de mitigationface à la prochaine crisesystémique bancaire

Nous le savons, la crise systémiquefinancière que nous avons connue entre2008 et 2010 provient, entre autres, del’inefficacité des mesures de risque decrédit du secteur bancaire et de l’incapa-cité des banques à définir et quantifierleur appétit pour le risque et à demeureradéquatement rémunérées pour lerisque qu’elles ont toléré. Nous l’avonsconstaté, ces failles peuvent avoir desconséquences lourdement dommagea-bles et généralisées, parce qu’ellesconcernent directement le secteur ban-caire, le cœur du système économiqueoccidental. Ainsi, bien évidemment, ceslacunes n’ont pas seulement pourimpact de miner l’industrie bancaire ensoi, mais bien tous ceux qui en dépen-dent, soit la plupart des entreprisescommerciales et des particuliers. Noussommes donc tous concernés par cesproblèmes fondamentaux affectant lesecteur d’intermédiation financière, d’oùla nature systémique de la crise et l’im-portance impérative de tenter de mitigerl’impact et la probabilité des futurescrises bancaires.Dans la foulée de cette crise systémiqueet de l’implantation des accords de Bâle(II et III), nombreuses sont les institu-tions financières qui ont entrepris unerévision en profondeur de leurs pra-tiques afin de mieux mesurer les risques,définir leur tolérance face à ces risques,gérer leurs affaires à l’intérieur de cettetolérance et s’assurerd’être justement com-

pensées pour ce risque toléré. Pouratteindre ces objectifs d’affaires et mobi-liser l’ensemble de leur force de vente ence sens, les institutions cherchent égale-ment à aligner les incitatifs rémunéra-teurs de leurs ressources humaines àcette nouvelle vision.

Le présent article propose une approcheconcrète, de bout-en-bout, qui permetd’implanter une telle vision1.

Mesure du risque individuelde la transaction

À la base, il va de soi que la banque doitbien mesurer le risque de perte future(latente) sur chacune de ses transac-tions. L’accord de Bâle II rapporte lesmesures qu’il faut établir pour chaquetransaction en décomposant le risque deperte selon principalement deux para-mètres. Il y a d’abord la probabilité dedéfaut (PD) qui représente la probabi-lité que le client soit en défaut de paie-ment sur son crédit durant les 12 pro-chains mois. Il y en ensuite la mesure deperte en cas de défaut (PECD) quireprésente le pourcentage du prêt, aumoment du défaut, qui ne pourra êtrerécupéré malgré les efforts de recouvre-ment et qui se traduit en perte pour labanque. Ces 2 paramètres permettentdonc de mesurer la perte anticipée surune exposition. Par exemple, pour unprêt de 200 000 euros, si un client a unePD de 1% et une PECD de 35%, la perteanticipée sur ce prêt pour l’année pro-chaine se chiffrerait à 700 euros.

Daniel Pouliot

Directeur principal,Banque Nationale du Canada

Secteur bancaire :vers une culture de croissanceprofitable dans le respect del’appétit pour le risque

Daniel Pouliot est directeurprincipal au Groupe FinancierBanque Nationale du Canada. Ilest en charge de la mesure ducapital économique de crédit etdes modèles de tarificationbasée sur le risque. Il a égale-ment dirigé le développementdes modèles de risque en vue dequalifier la banque selon les exi-gences de l’accord de Bâle II.

Perte anticipée 12 mois = 200 000 euros x 1% (PD) x 35% (PECD) = 700 euros

1. Cet article reflète la vision de l’auteur et ne représente pas nécessairement et explicitement la vision, lespratiques ou les politiques du Groupe Financier Banque Nationale du Canada.

25



Afin de bien mesurer ces paramètrespour chacune des transactions de sonportefeuille, la banque utilise générale-ment des modèles mathématiques (sta-tistiques et probabilistes) qu’elle déve-loppe à partir des données historiquesreprésentatives du risque de son porte-feuille.

Probabilité de défaut (PD)

Avant de bâtir ses modèles, la banquedoit d’abord s’assurer de segmenter sonportefeuille de crédit selon des groupesde clients homogènes en termes derisque. L’objectif poursuivi est de s’assu-

rer de regrouper les expositions suscep-tibles de se comporter de manière assezsimilaire en termes de risque de défautde paiement. Ainsi, les entreprisesregroupées dans un même segmentdevraient se comporter de manièreassez homogène lorsque l’économie secontracte et se rétracte, de sorte qu’ellessont plutôt corrélées entre elles entermes de risque de défaut. Avant demodéliser, il est donc très important deformer d’abord des groupes d’exposi-tions homogènes (segments), car la qua-lité prédictive des modèles qui serontdéveloppés y est très intimement liée.

Une fois l’exercice de segmentation ter-miné, un modèle mesurant la PD doitêtre développé pour chaque segment.Pour développer un modèle de PD, lesdonnées historiques propres à chaquesegment sont utilisées afin d’identifierstatistiquement :1) quelles variables permettent de dis-

criminer les expositions qui ferontdéfaut vs celles qui ne feront pasdéfaut ;

2) pour chaque variable, quelles sont lescatégories de valeur permettant dejuger du niveau de risque ; et

3) quel est le poids accordé à chaquevariable pertinente retenue.

Afin d’éviter de construire des modèlesprédictifs subjectifs, il faut d’abord viserà développer les modèles avec des outilsstatistiques. Pour être précis, les modèlesstatistiques doivent êtres construits àpartir d’une grande quantité de don-nées. Pour ce faire, il est donc importantd’avoir accès à une quantité suffisantede données historiques sur les exposi-tions passées de chaque segment. Ainsi,pour chaque segment il faut rechercherdes données en quantité suffisante :1) sur des positions qui ont fait défaut

et sur des positions qui n’ont pas faitdéfaut ;

2) qui couvrent l’ensemble d’un cycleéconomique et où les phases d’ex-pansion et de contraction sont pro-portionnellement bien représentéesdans les données.

Perte en cas de défaut PECD

Bien que l’industrie bancaire progresseencore dans la modélisation de ce para-mètre, les modèles actuellement déve-loppés sont plus primitifs. Les lacunesgénéralement observées sont issues dufait que modèles PECD ne sont pasdynamiques et ne tiennent donc pascompte du fait que le taux de recouvre-ment est généralement beaucoup plusfaible en période de crise puisqu’il existevraisemblablement une corrélationpositive importante entre la PD et laPECD en période de récession. Encoreici, il est primordial que les modèlessoient développés en utilisant un histo-rique de données de recouvrementobservées pour un cycle économiquecomplet.

Cadre de l’approche proposée

L’idée proposée est simple (illustrée en figure ci-dessous). Le secteur de « gestion desrisques » d’une banque doit d’abord s’assurer de bien mesurer le risque individuel (1)de chaque transaction qui lui est soumise par la ligne d’affaires. Une fois cette mesureindividuelle bien calculée, le risque de la transaction doit être considéré à travers sa contri-bution marginale au risque du portefeuille (2). Ainsi, la transaction peut apporter uneffet de diversification (diminuant ainsi le risque global) ou de concentration (augmentantainsi le risque global) sur le portefeuille. Ces mesures de risque relatives à la transactiondevraient ensuite être comparées aux limites de tolérance quantifiées et établies selonl’appétit pour le risque fixé par les actionnaires de la banque (3). Si le risque est accepté,car il respecte la limite déterminée selon l’appétit, il doit par ailleurs être tarifé en consé-quence, de manière à ce que le rendement obtenu par la banque soit cohérent avec lerisque toléré (4). Enfin, pour s’assurer de mobiliser la force de vente vers cette nouvellevision, la rémunération (5) de celle-ci doit non seulement tenir compte du rendementdes transactions effectuées mais aussi du risque latent généré par celles-ci. Ainsi, le direc-teur de compte doit être imputable du rendement et du risque qu’il génère à travers lestransactions qu’il effectue pour le compte de l’actionnaire bancaire.

BesoinsClient Lignes d’a! aires

ProduitsGestion des risques

Analyse

1. Mesure du risque individuel

> Probabilité de défaut du client (PD)> Perte en cas de défaut (PECD)

Analyse

2. Mesure de risque sur le portefeuille

> Impact sur le Capital Économique > Contribution marginale à la

diversi$ cation / concentration

Impact marginal

Analyse

3. Décision de crédit selon l’appétit pour le risque

4. Tari" cation en fonction du risque

5. Rénumération incitative selon la contribution à la valeur

économique ajoutée

Non

Oui

> Relation risque / rendement

> Particuliers / petites entreprises> Moyennes et grandes entreprises

Perte anticipée 12 mois = 200 000 euros x 1% (PD) x 35% (PECD) = 700 euros

26

DOSSIER


Mesure de l’impact (risque)marginal de la transaction surle risque du portefeuille

Maintenant que le risque individuel (PDet PECD) est bien mesuré pour chaqueexposition, l’impact marginal de latransaction sur le risque global du por-tefeuille doit à son tour être mesuré. Lecalcul du capital économique lié à latransaction permet d’estimer cet impactmarginal.Le capital économique représentel’équité que les actionnaires de labanque doivent injecter afin de s’assurerque la banque demeure solvable (enayant alors recours à ces fonds) dansune situation où elle subirait des pertesextrêmes, de l’ordre du niveau non anti-cipé.

Le capital économique engendré par latransaction correspond à la mesureultime du risque que la transactionreprésente pour la banque. Cettemesure détermine l’équité qui doit êtremis de côté par les actionnaires, étantdonné le risque marginal de la transac-tion. Ceci afin de demeurer solvable entemps de crise, au moment où plusieursemprunteurs deviennent en défaut depaiement et où il faut s’assurer que lesréserves de capital de la banque demeu-rent suffisantes pour qu’elle puissecontinuer à honorer ses engagements,malgré la crise et les multiples défautsde paiement des clients.

La figure 1 illustre ce que représente lecapital économique, conceptuellement.La perte anticipée représente la pertemoyenne attendue sur le portefeuillepour l’an prochain. Généralement, labanque est provisionnée pour faire faceà cette perte. Mais puisque les pertes sont volatiles, laperte subie l’an prochain pourrait êtresupérieure à la perte anticipée et mêmeatteindre le niveau de perte non antici-pée. La perte non anticipée est fixée àun niveau de perte extrême qui est trèsrarement observable. C’est le conseild’administration qui doit fixer le seuil deperte non anticipée selon son appétitpour le risque. Le capital économiquereprésente alors la différence entre laperte non anticipée et la perte anticipée ;c’est donc l’équité nécessaire à conser-ver afin de demeurer solvable et faire

face à des situations de pertes de trèsfortes ampleurs qui ne surviennent quetrès rarement, en temps de crise finan-cière majeure, comme celle que nousavons connue récemment. Il appertdonc que lors de cette crise, plusieursbanques n’étaient pas capitalisées pourfaire face aux risques qu’elles accep-taient (consciemment ou non) de sup-porter.

La mesure de capital économique tientgénéralement compte de l’effet margi-nal de diversification ou de concentra-tion d’une transaction de crédit dans leportefeuille. Il s’agit ici de la mêmelogique / théorie que celle appliquée engestion de portefeuille d’actions(Modern Portfolio Theory) de Markowitz.Nous remplaçons simplement la notionde « portefeuille d’actions d’entreprisesdont le risque est imparfaitement cor-rélé » par un « portefeuille d’expositionsde crédit dont le risque est, lui aussi,imparfaitement corrélé ». En effet, il estintuitif de comprendre que le risque deperte individuelle n’est pas totalementcorrélé entre les emprunteurs qui sontdans diverses industries ou diversesrégions. À risque individuel similaire, ilserait alors marginalement plus risquéde prêter à deux entreprises dans le sec-teur des télécommunications ou danscelui du bois que de prêter simultané-ment à une entreprise dans le secteur dubois et à une autre entreprise dans lesecteur des télécommunications. Lecapital économique tient donc compte

de ces effets de diversification / concen-tration qui peuvent exister dans le por-tefeuille entre les emprunteurs.

Ainsi, chaque transaction, de par sonrisque individuel et de par son effet mar-ginal sur le risque du portefeuille (diver-sification ou concentration de risque),engendre un capital que la banque doitconserver pour s’assurer de demeurersolvable advenant une situation où plu-sieurs emprunteurs feraient défautsimultanément, créant ainsi une criseéconomique. Plus le risque individuel dela transaction est élevé, plus ce capitalsera élevé. De même, plus l’effet margi-nal de la transaction sur le portefeuilleamène un risque de concentration derisque, plus le capital engendré seraaussi élevé.

Définir et quantifier l’appétitpour le risque de crédit

Nous avons présenté dans la premièrepartie de cet article l’impact de chaquetransaction de crédit sur le capital éco-nomique (lequel représente pour labanque la mesure de risque ultime de latransaction). Il faut désormais détermi-ner si cette consommation de risque (etdonc de capital) est jugée adéquate outrop élevée pour être acceptée par labanque.

Pour ce faire, la banque (le conseil d’ad-ministration) doit définir son appétitpour le risque en termes de consomma-

Prob

abili

té

0 50 100 150 200 250 300 350

1

0,9

0,8

0,7

0,6

0,5

0,4

0,3

0,2

0,2

0,1

Perte anticipée Perte non anticipée

Provisoir Capital économique

Distribution de pertes

Intervalle de con! ance (1%, 5%)

Figure 1

27



tion de capital économique transaction-nel. Évidemment, la consommation decapital, en absolu, ne dépend pas justedu risque de l’exposition mais égale-ment de sa taille. Par conséquent, dansla détermination des limites de consom-mation de capital, la banque doitcontrôler pour l’effet de la taille du prêtsur le capital, sinon ceci aurait pourfâcheuse conséquence que des prêts trèsrisqués de petites tailles soient acceptésalors que des prêts peu risqués de tailleimportante soient refusés. En effet,comme l’illustre par exemple le tableau1, un prêt très peu risqué à une grandeentreprise pourrait engendrer beaucoupplus de consommation de capital qu’unprêt très risqué à un client particulier.Une limite, en terme absolu, sur le capi-tal consommé par la transaction n’estdonc pas souhaitable, car elle ne capte-rait pas seulement le risque de cettetransaction mais l’effet de sa taille. Pourannuler l’effet de la taille, la limitedevrait donc être définie selon le ratio« capital économique consommé / mon-tant prêté ».

Pour déterminer le ratio « capital écono-mique consommé / montant prêté »maximal toléré selon son appétit pour lerisque, la banque peut procéder dediverses façons. Entre autres, elle peut,par exemple, définir le niveau de pertepour lequel elle deviendrait inconforta-ble en termes de résultats financiers(appelons ce niveau « perte maximaleacceptable »). Tel qu’illustré le tableau 2,elle pourrait définir ce niveau à partird’un multiple du bénéfice net. À partirde cette « perte maximale acceptable »anticipée, la banque pourrait alors esti-mer quel serait le « capital économiquemaximal acceptable » correspondant àcette situation (à partir d’une règle de

trois selon le ratio perte anticipée / capi-tal économique actuel). Ce capital seraitalors le capital économique maximalacceptable. En standardisant cettemesure par la valeur de l’exposition,nous pouvons alors dériver le taux decapital maximal acceptable en ligneavec l’appétit pour le risque (10 % dansl’exemple du tableau). Ainsi, selonl’exemple, si une transaction génère untaux de capital économique supérieur à10 %, elle ne devrait pas être acceptéepar la gestion du risque car elle repré-sente un risque supérieur à l’appétit dela banque. De cette façon, nous pouvonsdirectement relier l’appétit du risque dela banque à la nécessité et au coûtqu’elle doit supporter afin de se capita-liser adéquatement pour demeurer sol-vable en période de crise économique.

Tarification en fonctiondu risque

Une fois la décision de crédit rendue(accepté ou refusé) sur la base de l’ap-pétit pour le risque défini, entre autres,par le taux de capital maximal accepta-ble sur chaque transaction, il est souhai-table que la banque cherche à être com-pensée adéquatement pour le risquequ’elle accepte de tolérer. Après tout,

plus elle accepte de prendre de risque,plus élevé est le capital qu’elle doit sup-porter afin d’assurer sa solvabilité pourfaire face aux crises. Elle devrait doncchercher à tarifer la transaction en fonc-tion du risque qu’elle génère et donc, ducapital économique qu’elle consomme.

Si le capital économique généré peutêtre considéré comme la mesure ultimedu risque d’une transaction, le béné-fice net peut, pour sa part, être consi-déré comme la mesure ultime du ren-dement de cette transaction. Ainsi, pourune exposition donnée, en divisant lamesure de rendement (bénéfice net) parcelle du risque (capital économique),nous sommes en mesure d’estimer leratio rendement / risque de cette expo-sition. C’est ce qui est communémentappelé le RAROC (risk-adjusted return oncapital) c'est-à-dire le rendement sur lecapital ajusté pour le risque. Ainsi, afin de tarifer le risque de manièrecohérente pour l’ensemble des transac-tions de crédit acceptées, un modèle detarification basé sur un état des résultatsprospectifs liés à la transaction peut êtredéveloppé. Dans le tableau 3, un exem-ple d’un état des résultats prospectifspour une exposition singulière ; un prêtà terme de 5 ans amorti sur 20 ans.

Client particulier Clientgrande entreprise

Montant prêté 100 000 € 10 000 000 €

PD 5 % 1 %

PECD 85 % 35 %

Perte anticipée (PA) 4 250 € 35 000 €

Capital économique (CE) 46 750 € 385 000 €

PA / Montant prêté 4,25 % 0,35 %

CE / Montant prêté 46,75 % 3,85 %

Position de la banque

En millions € En % de l’exposition

Exposition totale 126 500

Bénéfice net 1 100 0,87 %

Perte anticipée actuelle (PA) 400 0,32 %

Capital économique actuel (CE) 4 600 3,64 %

Appétit pour le risque

Perte anticipée maximale (PA max)acceptable (1 x bénéfice) 1 100 0,87 %

Capital économique découlant de laperte anticipée maximale 12 650 10,00 %

Règle de trois= (PA max x CE) / PA= (0,87 % x 3,64 %) / 0,32= 10 %

Tableau 1

Tableau 2

28

DOSSIER


Le modèle de tarification proposé estsimple. Pour chaque transaction, pourchacune des années futures jusqu’auterme de l’exposition, on estime pros-pectivement :• la valeur de l’exposition moyenne ;• le taux d’intérêt qui sera payé par

le client. C’est en fait la réponse dumodèle. C’est ce taux qui sera simuléafin d’obtenir un RAROC cible ;

• le coût des fonds qui seront utiliséspour financer cette transaction (lecoût de l’argent emprunté (au nom dela banque) afin de la prêter au client) ;

• les frais qui devront être payés par leclient pour que la banque procède àl’administration du dossier ;

• les dépenses totales engendrées parla vente, le support et la maintenancede cette transaction. Il est importantque les dépenses allouées à la trans-action soient sur la base de coût com-plet ;

• la perte anticipée, laquelle dépend,on l’a vu, de la PD et du PECD del’exposition ;

• le capital économique, lequeldépend de la PD, du PECD, de l’im-pact marginal (concentration / diver-sification du risque) sur le risque duportefeuille.

À partir de ce cadre, le RAROC annuelprospectif (bénéfice net / capital écono-mique) est alors calculé pour chaqueannée jusqu’au terme de l’exposition.

Une analyse de la rentabilité globale dela transaction est ensuite établie enidentifiant 4 mesures clés :1. Rendement moyen : bénéfice net /

exposition moyenne (en valeuractualisée nette)

2. Risque moyen : capital économique/ exposition moyenne (en valeuractualisée nette)

3. RAROC moyen : rendement moyen/ risque moyen ou bénéfice net /capital économique

4. Valeur ajoutée à l’actionnaire(VAA)

La VAA peut être interprétée commeune mesure de bénéfice net ajustée pourle risque. Pour deux transactions ayantle même bénéfice net, celle qui engen-dre plus de risque (donc plus de capital)aura par conséquent une VAA plus fai-ble. La VAA est une mesure plus com-plète que le RAROC car elle tientcompte du volume de l’exposition dansla mesure de la rentabilité de celle-ci.Quelle est l’exposition qui contribue leplus à l’enrichissement de la banque ; unprêt de 20 000 euros avec un RAROC de18 % ou un prêt de 100 000 euros avecun RAROC de 12 % ? Nous ne pouvonsle savoir sans connaître la VAA dechaque prêt.

La VAA est donc la mesure par excel-lence pour mesurer la rentabilité d’unetransaction proposée en considérant lerisque de celle-ci et le coût de capitali-sation qui y est associé afin d’assurer lasolvabilité de la banque en condition decrise financière.

Ainsi, si nous reprenons l’exemple illus-tré dans le tableau 3, le prêt génère unRAROC moyen prospectif de 18 %. Évi-demment, si le risque de cette expositionétait plus élevé, la perte anticipée et lecapital économique de la transactionseraient alors plus élevés et le RAROCserait plus faible. Afin de le ramener à18 %, il faudrait alors augmenter la tari-fication (le taux client). Cette augmen-tation du taux client nécessaire afin demaintenir le RAROC à 18 % représente

en fait la prime de risque

Position de la banque

En date du 1er juillet 2011 Année 1 Année 2 Année 3 Année 4 Année 5

Exposition moyenne $ 20 000 $ 19 395 $ 18 760 $ 18 093 $ 17 392

Taux client 6,50 % 6,50 % 6,50 % 6,50 % 6,50 %

Coût des fonds 3,00 % 3,00 % 3,00 % 3,00 % 3,00 %

Marge d’intérêts 700,0 678,8 656,6 633,3 608,7

Frais 500,0 101,8 98,5 95,0 91,3

Revenus totaux 1 200,0 780,6 755,1 728,3 700,0

Dépenses allouées 1 020,0 507,4 490,8 473,4 455,0

Pertes anticipées (PD x PDEC) 60,00 58,19 56,28 54,28 52,18

Impôts 38,4 68,8 66,6 64,2 61,7

Bénéfice net 81,6 146,2 141,4 136,4 131,1

Capital économique total 727,3 705,3 682,2 657,9 632,4

RAROC prospectif 11 % 21 % 21 % 21 % 21 %

Analyse globale de la rentabilité du prêt # 1

VAN bénéfice net 463 €

VAN exposition 30 416 €

VAN capital économique 2 535 €

Rendement sur actif moyen (VAN bénéfice net / VAN exposition) 1,52 %

Taux sur le capital moyen (VAN capital économique / VAN exposition) 8,33 %

RAROC moyen (rendement sur actif moyen / taux sur le capital moyen) 18,00 %

Coût sur le capital 11,00 %

Valeur ajoutée à l’actionnaire 184 €

Tableau 3

VAA = (RAROC moyen - coût du capital) x capital économique

29



nécessaire afin deconserver l’équilibrerendement / risque de latransaction. C’est exac-tement de cette façonque fonctionne lemodèle de tarification enfonction du risque. Ilpermet de mesurer etd’identifier le taux clientassurant à la banque demaintenir un RAROCcible sur chaque transac-tion, selon le niveau derisque de celle-ci. Ainsi,des transactions plus ris-quées devraient com-mander une tarificationplus élevée afin de com-penser la banque pour lecapital supplémentairerequis que les action-naires doivent financeravec leurs fonds propres, afin que labanque demeure solvable en temps decrise.

Enfin, à partir des deux premièresmesures provenant de l’analyse de ren-tabilité globale de la transaction (1-Ren-dement moyen, et 2-Risque moyen), ilest possible de représenter graphique-ment le positionnement rendement /risque de chaque exposition.Par exemple, dans le tableau 3, on peutpositionner le prêt #1 dont le risque etle rendement sont calculés dans l’exem-ple illustré. Si nous posons l’hypothèseque le client qui détient ce prêt #1 (clientA) détient aussi un prêt #2 dont leRAROC est de 5 %, nous pouvons alorsagréger les états des résultats prospectifsde ces deux prêts et calculer un état desrésultats prospectifs au niveau du client(A) et également établir son positionne-ment dans l’espace rendement / risque,tel qu’illustré en figure 2. Ainsi, si ledirecteur de compte veut améliorer leRAROC du client, il sait alors qu’il doitretarifer le prêt #2 afin d’être en ligneavec le RAROC de 18 % du prêt #1(illustré par la ligne pointillée bleue).

Rémunération incitative selonla contribution à la valeuréconomique ajoutée

Si l’objectif de la force de vente devientmaintenant de maximiser la VAA (béné-fice net ajusté en fonction du risque) en

tarifant adéquatement le risque, il estlogique que sa rémunération soit égale-ment alignée à cette base.

En fondant la rémunération de la forcede vente sur la VAA, mesure qui tientcompte du risque latent des expositionsconclues par le directeur de compte, labanque s’assure de rapprocher le rende-ment généré par les transactionsconclues par sa force de vente au risqueengendré par celles-ci. Ainsi, la rémuné-ration basée sur la VAA générée consi-dère le rendement tiré de chaque trans-action mais en contrepartie, elle consi-dère aussi le risque latent engendré parchacune d’entre elles. Un directeur decompte concluant des transactions àhaut rendement en tirera donc unerémunération élevée seulement dans lamesure où le risque engendré par cestransactions demeure relativement fai-ble. Ceci permet ainsi de mobiliser laforce de vente vers l’objectif de maximi-sation de la VAA, car l’incitatif rémuné-rateur est aussi sur cette base. Du mêmecoup, la force de vente se trouve sensi-

bilisée à la contrainte en capital àlaquelle la banque doit faire face enacceptant de souscrire à des risques plusélevés. Ce coût en capital supplémen-taire commandé par un risque plus élevédoit donc impacter la rémunération dela force de vente.

Idéalement, la rémunération globale dudirecteur de compte devrait être compo-sée d’une portion fixe et d’une portionvariable et c’est cette portion variablequi devrait être liée à la génération deVAA. Autre point important, la créationde cette enveloppe de bonification inci-tative devrait être liée au dépassementdes objectifs de VAA, tel qu’illustré enfigure 3.

En somme, seule la VAA excédant l’ob-jectif de VAA fixé par la banque devraitêtre utilisée dans la création de l’enve-loppe de bonification. Ceci permet d’as-surer que la force de vente reçoit unebonification incitative seulement si elledépasse les objectifs de génération deVAA.

2,50%

2,00%

1,50%

1,00%

0,50%

0,00%

0,00% 2,00% 4,00% 6,00% 8,00% 10,00%

Positionnement rendement / risque

Risque (Capital économique / exposition)

Rend

emen

t moy

en

(Bie

n ne

t / e

xpos

itio

n)

Coût du capital = 11%

Prêt # 1Raroc = 18%

Prêt # 2Raroc = 5%

Client ARaroc = 14%

Limite de tolérance au

risque

VAA à la base de création de l'enveloppe de boni�cation

• Par exemple, l'enveloppe de boni�cation peut représenter 10% de la VAA excédant l'objectif

}100% (objectif) 100$

0$

Figure 2

Figure 3

30

DOSSIER


chaque filiale du groupe – il y en avaitune soixantaine, à l’époque – demanière à identifier les risques le plustôt possible et à réduire leur impactet/ou leur probabilité.

L. V. : Qui a pris l’initiative du lancementde la cartographie des risques ?

Ph. H. : Le directeur général finances del’époque, soutenu par le comité exécutif. Au niveau du management du groupe,il y a aujourd’hui une volonté d’utiliserla cartographie des risques commemoyen de voir loin, d’anticiper lesrisques, car Danone est en croissancerapide dans de nombreux pays dumonde.

A partir des cartographies de risques desfiliales, complétées d’une analyse desrisques mentionnés par les concurrentsou d’autres grands groupes de la place,nous réalisons une cartographie desrisques groupe. Un comité exécutif desrisques groupe que nous appelonsDanone Enterprise Risk Committee se réu-nit deux fois par an pour revoir cette car-tographie et les plans d’action afférents.

Il y a une vingtaine de risques groupe etune quinzaine de propriétaires de cesrisques, nommés au niveau du comitéexécutif ou parmi leurs collaborateursdirects. Ces « risk owners » doivent aumoins deux fois par an ajuster la des-cription, suggérer une réévaluation del’impact et de la probabilité de surve-nance, et surtout proposer des plansd’atténuation du risque (risk mitigationplans).

Louis Vaurs : Lorsqu’on lit le rapport degestion 2011 de Danone, on est frappé parl’exhaustivité des risques répertoriés. Avez-vous, pour ce faire, mis en place un proces-sus formel de cartographie des risques ?

Philippe Hellich : Le groupe est effec-tivement soumis à divers risques. Nom-breux sont similaires à ceux qui mena-cent les grands groupes internationaux,mais d’autres, ici, sont liés au secteur del’agro-alimentaire, et la nourrituretouche les consommateurs au premierdegré.C’est pourquoi, de tout temps, le groupea essayé de mettre sous contrôle etréduire ses risques. Depuis dix ans, unprocessus formel de cartographie desrisques a donc été mis en place dans

Ensuite, le comité des risques groupe vapouvoir travailler de manière à en pré-senter une synthèse au comité d’auditdont la mission va au-delà des aspectscomptables et financiers.

Un ordre du jour typique pour uncomité d’audit traitant de ces sujets estle suivant : synthèse sur la cartographiedes risques du groupe, revue annuelledu système de contrôle interne dugroupe et du programme antifraude,clôture du plan d’audit 2010 et princi-paux résultats des missions d’audit desderniers mois. Ces trois sujets – contrôleinterne, risque et audit interne – sonttraités au moins deux fois par an à ceniveau des organes de gouvernance.

L. V. : Comment les risques sont-ils traités ?

Ph. H. : Premièrement, nous travaillonssur les risques résiduels, les risquesactuels tels qu’ils sont perçus par lemanagement, car le risque théoriquebrut est toujours considérablementréduit par la mise en place de divers élé-ments constitutifs d’un système decontrôle approprié.

Par exemple, le groupe cherche à évitertout problème de sécurité alimentaire.Cependant, on constate que, parfois, desproduits en quarantaine présentent unecontamination. Et c’est justement grâceà ce système de quarantaine que de telsproduits n’atteignent pas les consom-mateurs.

Souvent, ce n’est donc pas la mise enplace d’un point de contrôle interne

Philippe Hellich

Directeur général risques, contrôle &audit, Danone

Les risques, le contrôle et l’auditinternes sous une même bannière :renforcement de la maîtrise desrisques au prix d’une faiblesse degouvernance ?

31



basique supplémentaire qui va permet-tre d’atténuer ces « grands risques ». Lecontrôle interne est en effet déjà assezsolide chez Danone. Des plans d’actiondédiés peuvent en revanche réduire lesrisques. Quant à l’audit, il vérifie quetout est en place, en s’assurant parexemple que le responsable du risquen’est pas trop optimiste dans son éva-luation.

Une manière de s’en assurer est de s’at-tarder sur les indicateurs de risque. Pourla sécurité alimentaire, le nombre d’in-cidents comme celui décrit ci-dessuspeut être suivi, ce qui permet d’estimerune probabilité de survenance .

L. V. : Est-ce que les indicateurs de ce typeremontent à votre niveau ?

Ph. H. : Oui, selon leur degré d’impor-tance. Mais il nous reste encore à com-pléter notre batterie de key risk indica-tors, qui peuvent être le nombre d’acci-dents en usine, de suspicions de fraudes,de points relevés en filiales par nos com-missaires aux comptes, d’occurrence decrises. Mais c’est plutôt auprès des risksowners que cela est suivi.

Danone est un groupe relativementdécentralisé, et l’on essaie de déléguerla responsabilité d’une bonne gestion derisques. Je fais donc attention à ne pasdonner l’impression de tout maîtriser encentral, parce que ce serait erroné.Même si j’avais ce tableau de bord, cen’est pas mon rôle de gérer directementtous ces risques et de prendre toutes lesdécisions afférentes. Nous préféronsresponsabiliser les opérationnels. Cer-tains d’entre eux sont d’ailleurs nos res-ponsables métiers sur le contrôleinterne.

Mais un nombre d’incidents, remontécomme key risk indicator, me permet de« challenger » le risk owner concerné.

L. V. : Comment évaluez-vous le dispositifde contrôle interne ?

Ph. H. : A partir de l’examen des auto-évaluations réalisées au sein de nosfiliales, auto-évaluations objectives quimettent en avant les faiblesses ducontrôle interne. Ces auto-évaluationss’effectuent au regard du référentielDANgo qui a été construit sur la base du

COSO et qui est conforme aux recom-mandations de l’AMF.

Le référentiel de contrôle interne est à ladisposition de tous les opérationnels, enlibre-service sur l’intranet du groupe.C’est très simple d’accès. Depuis cetteannée, nous disposons d’un e-book,pour consulter et chercher les réfé-rences.

Ensuite, les BPO, les business processowners, donc les responsables de proces-sus de chaque filiale sont formés sur lecontenu par les contrôleurs internes defiliales, qui dépendent fonctionnelle-ment de nous, mais hiérarchiquementde la direction générale de la filiale, pourqu’elle soit responsabilisée. Nous avonsrécemment remis à jour le descriptif desrisques attachés à chaque point decontrôle interne. Il s’agit de riskbusiness presque quoti-diens.

Nous avonsnommé, il y a plu-sieurs années, un« sponsor » dusystème decontrôle interneau niveau ducomité exécutif.La maîtrise desrisques de contrôleinterne de chaquegrand processus est égale-ment pilotée par ceux que nousappelons les doyens du contrôle interne(« DANgo deans »).

En revanche, le système de gestion derisques de Danone porte sur des risquesparfois plus stratégiques, de nature plusglobale que les risques opérationnels ducontrôle interne. Le périmètre est doncplus large que tout ce qui peut être maî-trisé par le seul contrôle interne : desdécisions stratégiques d’acquisition,d’investissement, de relations avec desfournisseurs clés ou avec des clientsimportants ne relèvent pas de notreréférentiel « DANgo » du contrôleinterne, mais bien de décisions managé-riales prises au plus haut niveau desfiliales ou du Groupe.

L. V. : Les problèmes de fraude constituent-ils une préoccupation pour vous ?

Ph. H. : Oui, j’y prête une attention per-manente, et ceci avec mes trois « cas-quettes » : c’est un sujet de risque, c’estun sujet de contrôle interne, et c’est unsujet d’audit.En revanche, la fraude ne fait pas partiedes risques principaux de Danone, carnous pouvons compter sur un systèmede contrôle interne robuste et je n’aijamais eu connaissance de cas de natureà mettre en péril les finances du groupeou sa réputation. Bien heureusement !

L. V. : Dans le cadre du développementdurable, un rapport doit être fait chaqueannée. Quel est le rôle de l’audit interne ?

Ph. H. : Sur les sujets de gouvernance etde compliance, nous sommes directe-ment sollicités pour donner notre avis etnos commentaires. On y parle de ges-

tion de risques, de contrôleinterne, de whistleblowing

ou de principes deconduite des affai-

res. Car il est dema responsabilitéde diffuser cettecharte éthiqueet de m’assurerqu’elle est res-pectée.

Par ailleurs, l’auditinterne audite les

politiques et les indica-teurs de développement

durable. Le programmeDanone Way est audité en interne parnos équipes d’audit et également parKPMG au titre des missions supplé-mentaires indépendantes menées par cecabinet. J’ai un rendez-vous, dansquelques minutes, avec le manager quis’occupe de Danone Way, pour parler deces sujets. Car les agences de notationéthique s’intéressent évidemment àDanone. Nous sommes sélectionnésdans un certain nombre d’index commegroupe ayant un niveau solide de res-ponsabilité sociétale.

L. V. : Avez-vous un déontologue ?

Ph. H. : Non, pas en tant que tel. Maisje gère le système d’alerte éthique (whis-tleblowing), mis en place depuis plusieursannées et ouvert à tous les salariés dugroupe. Les remontées se font par lebiais d’un site internet, en 7 langues dif-

« Chez Danone,nous privilégions

l’efficacité, les circuitsd’information courts,

la réactivité. »

DOSSIER


férentes, et j’en ai connaissance aumême titre que le directeur juridique dugroupe et un membre de la DRHgroupe. J’assure également la mise àjour régulière des principes de conduitesdes affaires.

L. V. : Avez-vous prévu des dispositifs par-ticuliers pour traiter les risques considéréscomme improbables, voire inimaginables àl’instar du risque nucléaire de Fukushima ?

Ph. H. : En ce qui concerne la gestion detels risques, on essaie d’identifier lesproblèmes qui ne se sont pas encoreprésentés par le biais de ce que l’onappelle les risques émergents. Cela per-met d’identifier des risques de faible fré-quence mais potentiellement d’impor-tance majeure.

Ensuite, on met en place des outils pourpouvoir faire face à certains événementssusceptibles d’impacter le business ou laréputation du groupe. Et en fait, quelque soit l’événement précis, on peutavoir des éléments de réponses iden-tiques. En effet, le business continuitymanagement permet de répondre, entout ou partie, à divers risques : risquenucléaire, risque de troubles sociaux,risque de défaillance d’un fournisseur...En permanence, je m’appuie sur la res-ponsabilisation, la décentralisation denos opérationnels, et tout simplementsur la manière dont les équipes deDanone sont capables de prendre lesbonnes décisions, parce qu’elles sontformées, qu’elles ont les bons réflexes.Cela s’est construit sur un langage com-

mun, et également des valeurs com-munes sur lesquelles chacun s’appuiepour aller vite et gérer au mieux les évé-nements qui impactent nos parties pre-nantes.

Tout cela nous permet même de répon-dre à des risques que l’on n’aurait paspréalablement identifiés.

En outre, nous demandons aux filialesd’utiliser leur cartographie des risquespour établir une cartographie des crises,c’est-à-dire de sélectionner les risquespouvant donner lieu à des crises. Et l’ondemande au gestionnaire de crise, quin’est pas le gestionnaire de risque de lafiliale, de travailler sur l’anticipation detelles crises afin de mieux y répondre siles risques venaient à se concrétiser.

L. V. :On constate une montée en puissancedu binôme directeur des risques / directeurde l’audit interne. Evidemment, les titu-laires de ces responsabilités sont enchantés,mais est-ce que c’est un plus pour l’entre-prise ?

Ph. H. : L’autonomie et l’indépendancedu directeur de l’audit interne restentprimordiales. Dans mon cas, en parallèlede la gestion de risques et du contrôleinterne, je continue à gérer en direct lessuperviseurs de mission. Aujourd’hui,j’ai un lien fonctionnel vers le comitéd’audit qui assure mon indépendance sibesoin était, et c’est bien ma fonction dedirecteur de l’audit interne qui donnelieu à ce lien vis-à-vis du comité d’au-dit.

Chez Danone, nous privilégions l’effica-cité, les circuits d’information courts, laréactivité. Et au sein de ma direction, ilest très facile, lorsque j’identifie unrisque, de réfléchir le jour suivant avecl’équipe de contrôle interne sur les plansd’atténuation et de lancer un audit l’an-née suivante, si c’était nécessaire.

L. V. : Vous êtes adhérent, Philippe, à deuxinstituts/associations : l’IFACI et l’AMRAE(Association pour le management desrisques et des assurances de l’entreprise).Considérez-vous que des liens plus étroitsdevraient exister entre eux pouvant se tra-duire à terme par leur fusion ?

Ph. H. : Incontestablement, les métiersd’auditeur interne et de risk manager ont

des points communs. Ils ont tout deuxune connaissance fine de l’entreprise. Ilsdoivent faire preuve d’indépendance etde courage. Mais ils ont aussi des diffé-rences. Donc à la question de l’intérêt dedévelopper des synergies entre ces deuxassociations, je réponds oui. Pour ce quiest d’aller plus loin, je resterais prudentcar il faut mesurer l’impact que cela peutavoir sur l’image des deux métiers, avecun risque de confusion lorsqu’on traiterade la formation à ces métiers et de lacommunication auprès des parties pre-nantes. Est-il opportun de tout intégrerau risque de diluer le message que l’onveut faire passer ?

Et, au risque de gommer les différencesentre les deux métiers, l’une d’elle étantque l’audit doit pouvoir recourir à desmesures d’investigation qui ne souffrentpas de négociation, alors que la gestiondes risques est par nature plus consen-suelle et procède d’un travail avec lesopérationnels pour faire émerger lesrisques et ensuite travailler à leur maî-trise. Et forcer les gens à déclarer leursrisques, de mon point de vue, cela nemarcherait pas : les opérationnels peu-vent bien facilement masquer les risquesencourus. En tout cas, ce n’est pas l’op-tique chez Danone.

Il y a donc là deux manières de faire dis-tinctes et, à vouloir trop rapprocher lesmétiers, on pourrait nuire à l’efficacitéde la gestion des risques.

En revanche, pour favoriser les syner-gies, on pourrait imaginer d’avoir unadministrateur aux conseils d’adminis-tration des deux associations, ce qui faci-literait les travaux en commun. Ou bien,on peut imaginer un comité ad hoc,comme un comité scientifique, quiapprofondirait des sujets d’intérêt com-mun.

L. V. : Je vous remercie.

Les opinions mentionnées dans cet entretien sontdonnées à titre personnel et n'engagent aucune-ment Danone.

32


LES AUDITS MÉTIERS

Jean-Loup Rouff : Quelle différence y a-t-il entre l'audit des achats et l'audit de lafonction achats ?

Marc Aquiba : L'audit de la fonctionachats couvre un périmètre beaucoupplus large que celui couvert par l'auditdes achats. L'audit des achats est prin-cipalement une mission d’audit deconformité dont le but essentiel est des'assurer du respect des procédures quirégissent l'acte d'achat, sans toujoursremettre en cause les procédures elles-mêmes. L'audit de la fonction achats vabien au-delà de l'acte d'achat. Il englobel'ensemble des processus supports quecette fonction doit gérer. Il porte sur l'or-ganisation de la fonction, les systèmesd'information, éléments essentiels de lagestion des achats, l'aspect ressourceshumaines y compris la politique derecrutement, de gestion du personnel,de formation et de rotation des ache-teurs (turn over).Une telle mission analyse le processusd'homologation des fournisseurs, acti-vité qui n’est pas confiée aux acheteurs(séparation des tâches). Enfin, cet auditporte aussi sur le normatif (manuel desachats) et sur la mesure de la perfor-mance de l'activité.

J.-L. R. : C'est-à-dire l'efficacité de l'acti-vité ?

M. A. : Oui. Il s’agit du contrôle de ges-tion dédié à la fonction achats, permet-tant, grâce à des indicateurs utiles, demesurer ou de voir évoluer l'activité, laperformance et les réalisations par rap-port aux prévisions. Il ne faut pas oublier la politique achatsqui doit découler directement de la stra-tégie d'entreprise. Ces processus sup-ports viennent en appui aux processusopérationnels de l'acte d'achat. Ilsconstituent des thèmes d’audit d’effica-cité, d'efficience, de performance et de

comparaison avec les meilleures pra-tiques.

Je souhaite ici passer un message à l’in-tention des instances de la directiongénérale. Souvent, elles ne sont pas trèsenclines à demander des missions sur latotalité de la fonction achats. Peut-êtreparce que l’audit interne braque ses pro-jecteurs sur des sujets allant au-delà dessimples actes d’achat. Pourtant, à monavis, les gisements d'économie qu’un telaudit peut révéler dans ces domainessont de nature à réduire les coûtsd'achat globaux, donc à apporter à l'en-treprise une réelle valeur ajoutée. Dansle vocabulaire anglo-saxon le cost killing,qui est souhaité par la direction géné-rale, commence dès le début de la supplychain, c’est-à-dire le cycle complet desapprovisionnements y compris la logis-tique. Dans une entreprise industrielle,pour un chiffre d'affaires de 100, lamasse achats représente 50 et les coûtsindirects 45. La marge est donc de 5.Aussi, une mission d’audit de la fonctionachats génère environ 2 % d'économies,ce qui provoque un accroissement demarge de 20 %.

A ma connaissance, de telles missionssont hélas peu souvent inscrites dans lesplans d'audit pluriannuels des entre-prises industrielles. Je parle bien de l'en-vironnement industriel et non de l'auditde la fonction achats dans les secteurstertiaires ou des marchés de l'État et descollectivités locales.

J.-L. R. : L'audit de la fonction achatsconsiste à évaluer la qualité et la gestion decette fonction. Quels sont les enjeux et lesrisques majeurs qu'un tel audit doit cou-vrir ?

M. A. : Votre question comporte deuxvolets.

Marc Aquiba

Consultant

L’audit de la fonction Achats

Après une longue expérience chezun des Big Four de l’audit externe,suivie d’une vingtaine d’années àla direction de l’audit d’un grandconstructeur automobile, MarcAquiba est aujourd’hui un consul-tant et un animateur reconnu dansle domaine de l’audit et du contrôleinternes (IFACI, SKEMA B.S., CNAM,etc.).

34

LES AUDITS MÉTIERS


Premier volet : les enjeux.Les enjeux économiques couverts parun tel audit doivent, en premier lieu,permettre d’évaluer l’importance dessommes concernées au moyen d’unetypologie des achats par nature. Onn'achète pas de la même façon destransports, de la publicité, de l'informa-tique, des investissements, des études,des frais de gestion courants ou deshonoraires d'avocats. Ce sont des sujetsdont les enjeux financiers doivent êtreappréhendés au préalable pour chaquenature d'achat. En l’absence d’une telletypologie chiffrée, l'auditeur pourraitfacilement se perdre dans les dédales del'acte d'achat et passer « à côté » de samission. Ce sont des approches et desprogrammes de travail différents les unsdes autres variant selon la nature desservices, matières, biens ou prestationsintellectuelles audités (intérim, matièrespremières, consommables, etc.). Je sou-haite alerter les auditeurs internes sur cepoint : avant de se lancer dans l'audit del'acte d'achat lui-même, il faut savoir oùmettre le projecteur et le curseur, c'est-à-dire quels sont les enjeux écono-miques, compte tenu des activités deleur entreprise. L’accent pourra être missoit sur les investissements, soit sur lesachats pour la fabrication et les stocks,soit sur les « gommes et les crayons ». Dans une entreprise industrielle, onachète en majorité des matières pre-mières, des pièces détachées, de l'entre-tien, de la maintenance préventive, etc.Dans un secteur tertiaire ou financier –banque, assurance, services –, les entre-prises achètent dans une moindre pro-portion mais achètent plutôt des inves-tissements, des aménagementsd'agences, de l’informatique… Dans lagrande distribution, les centralesd’achats achètent pour leur réseau avectrès peu de transformation.L’audit doit apprendre à élaborer cettetypologie et axer sa mission sur lesenjeux majeurs.

Pour ce qui concerne le deuxième voletde votre question : les risques. Il y a des familles de risques communesà toutes les natures d'achat, et il y a desrisques spécifiques à certaines naturesd'achat. Par exemple, le risque trans-verse de non respect de la déontologieaux achats peut avoir des conséquencesaussi dommageables pour l'image del'entreprise que celui généré par l’achat

de pièces détachées défectueuses auprèsd'un fournisseur qui n'a pas respecté lecahier des charges. Il faut faire très attention à avoir, enmême temps que la typologie des achatspar nature, la cartographie des risquesassociés aux activités et leur impact encas d’occurrence. Habituellement, une direction desachats connaît les grandes familles derisques qu'elle a à gérer. Les consé-quences économiques sont très impor-tantes. On ne confie pas des achats sansune identification claire des risques.Toutefois, en complément à la cartogra-phie des risques (macros, génériques,inhérents, bruts, etc.) et qui peut concer-ner toute l'entreprise, la direction desachats doit s’approprier cette cartogra-phie et l’enrichir avec les risques propresà ses métiers, puis compléter sa visionavec les risques spécifiques liés aux pro-cessus opérationnels. Par exemple, lamise en concurrence. Le fait de ne pasmettre en concurrence des fournisseurspeut conduire, selon les entreprises, à nepas acheter QCD – qualité, coût,délais –, le fameux triangle de la qualitétotale. A qualité constante, on doit serrerles coûts et réduire les délais. C'est l'ob-jectif habituel d'une direction desachats. Toutefois, dans un secteur où laqualité perçue est un élément majeur, ilne faut pas non plus prendre le risquede sur-qualité, car la sur-qualité coûtetrès cher.

Les acheteurs n'achètent pas pour eux-mêmes ; ils achètent pour l'entreprise,pour les demandeurs, c'est-à-dire pourtous ceux qui expriment un besoin(fabrication, commerce, finances, infor-matique, RH, etc.). Il faut rester au seindu cercle vertueux : « seuls les acheteursachètent » et éviter le risque que lesacheteurs soient « by-passés », qu'ilsn'aient pas la main sur la totalité del'acte d'achat. Il arrive souvent que lesprescripteurs veulent peser sur le choixdu fournisseur. Ce n'est pas toujours unproblème de conflit d'intérêt personnel,c'est surtout que les demandeurs préfè-rent souvent continuer de travailler avecdes fournisseurs habituels afin que celaleur facilite les choses.

Rappelons que l'auditeur interne doitconduire sa mission en ayant identifiéau préalable les enjeux et les risques quedoit gérer la direction des achats. Cela

n'exclut pas que l'auditeur interne doittoujours être en alerte. Il doit se poser laquestion : « et si ça ne marchait pascomme on me dit que ça marche ? ». Ildoit imaginer toutes sortes de risquesqui découlent de sa mission d'audit dela fonction achats. Le risque, pour unauditeur interne, c’est la probabilitéqu'un événement survienne et empêcheun objectif d'être atteint. A partir decette définition, il doit constater que lesobjectifs de la fonction achats sont aurendez-vous. Mais cela ne suffit pas.L'auditeur se doit encore d’élaborer desquestionnements pour identifier d'au-tres risques que ni la direction desachats, ni la cartographie n'avaient iden-tifiés dans le détail.Lorsque l'on dit : il y a un risque de fuitedes cerveaux dans l'entreprise, il fautfaire attention à ce que les acheteurs nepartent pas à la concurrence, l’audit vaplus loin et dit qu’il appartient à la direc-tion des achats de protéger son person-nel et ses ressources humaines contretoutes les ingérences externes en infor-mant le personnel et en envoyant deslettres anti cadeaux aux fournisseurs,afin que les règles de conduite desaffaires et notre façon de travailler soientconnues de tous. Autre élément à ce sujet sur la déonto-logie, c’est la rotation des personnels dela direction des achats qui devrait inter-venir tous les trois ans de manière à ceque les acheteurs n'aient plus les mêmesfournisseurs et prestataires en faced'eux. Ceci toujours pour préserver etpour défendre le personnel.

J.-L. R. : Quelles sont les faiblesses le plusfréquemment rencontrées dans l'audit de lafonction achats ? Quels sont les leviersd’amélioration ?

M. A. : La faiblesse le plus souvent ren-contrée dans ce type de mission, c'est lanon robustesse du dispositif de contrôleinterne. Tous les actes au quotidienqu'un directeur des achats, son encadre-ment et son personnel doivent effectueret qui engagent l'entreprise vis-à-vis desfournisseurs, doivent être accompagnésde contrôle interne. Dans ce domaine leconstat est loin d’être satisfaisant.Aujourd'hui, dans le monde de l'entre-prise, les notions de contrôle internecommencent seulement à voir le jour.Qu’il s’agisse du conseil d’administra-tion ou du directoire, des managers ou


des opérateurs, il y a un certain flou dansl'esprit des gens en ce qui concerne lecontrôle interne. Évidemment, l’opacitécommence à se dissiper. Mais l'audit nedoit pas avoir de cesse à former les per-sonnels concernés (dirigeants ou autres)au contrôle interne. Aux achats, malheu-reusement, on trouve que le processusde contrôle interne est encore à renfor-cer. Chaque recommandation qu'unauditeur interne fait suite à une missiond'audit de la fonction achats apporte savaleur ajoutée et renforce le dispositif decontrôle interne. Ce dispositif, qui n'estpas encore complètement entré dans lespratiques courantes, laisse une largeplace pour l'amélioration. C'est la fai-blesse majeure.

La deuxième faiblesse est le fait que lesacheteurs n’ont pas suffisammentconscience d’être des prestataires deservice internes. Tout le processus achatsest concerné. Je parle de l'acte d'achatcette fois. Depuis l'expression du besoin,en passant par les autorisations hiérar-chiques quant au bien-fondé, puis surl’existence du budget, en continuant parla vision qu'a un patron d'achats derecourir ou non aux fonctions expertesde l’entreprise. En effet, un acheteurn'est pas spécialiste en tout. Il possèdeson talent de négociateur mais il n’a pasla maîtrise complète de toutes lesfacettes que contient un acte d’achat(juridique, finances, informatique, claused’audit, etc.). Il a donc besoin de fonc-tions expertes pour l'aider à construirele cahier des charges et la spécificationtechnique. Souvent, ces fonctionsexpertes sont méconnues, voire jamaissollicitées. Ensuite, c'est à ces fonctionsexpertes, avec l'équipe d'acheteurs, deprendre la décision : make or buy, faireou acheter. Existe-t-il des ressourcesinternes ? C'est une question à laquelleles managers demandeurs répondentsouvent qu’il vaut mieux acheter, telleou telle prestation… ce sera plus crédi-ble si ça vient de l'extérieur. Or, le rôledes fonctions expertes est précisémentd’éviter les achats inutiles.

Voilà les deux éléments essentiels. Onn'achète pas assez en prenant encompte les fondamentaux du contrôleinterne. Et on n'achète pas suffisam-ment en ayant recours aux experts quipeuvent aider à mieux acheter QCD etau juste nécessaire.

Le levier d’amélioration, dans l’exempleque je vais donner, consiste souvent àvoir les directions des achats agir enrupture avec les procédures établies.On a toujours pensé qu’en dehors de lamise en concurrence, il n’y avait point desalut pour obtenir les meilleurs prix.C’est une façon de réagir devenue unebonne pratique. Puis on s’est renducompte que l’on pouvait acheter mieuxet moins cher, sans mise en concurrencepermanente mais en faisant du partena-riat avec les fournisseurs. Les grosseséconomies ont basculé vers la sécurisa-tion du tissu fournisseurs. Partenairemais en multi-sources pendant 3 ou 4ans, le prestataire consent des réduc-tions de prix (compétitivité/productivité)et obtient le marché. Il peut s’organiser,se structurer, en contrepartie de quoi, onpeut même l’aider, le financer et on tra-vaille ensemble. On suit l’évolution dufournisseur en fonction de l’évolution denos besoins.

J.-L. R. : Dans quelle mesure les systèmesd'information contribuent-ils à améliorerl'efficacité et la productivité des actesd'achat ?

M. A. : Les systèmes d'information sontun peu à double tranchant. Aujourd'hui,les gros systèmes conditionnent lesorganisations autour de ces systèmes.SAP, par exemple, est un gros systèmequi met sous contrainte les organisa-tions.

Cette adaptation donne souvent lieu àdes réticences de la part des opération-nels et ceci peut provoquer des dérives.Les systèmes sont forcés, des verruescréées, des batteries de tableurs acces-soires mis en place pour contourner lesystème. Les auditeurs ont l'habituded'interviewer les directeurs d'achats enleur demandant si le système d'informa-tion leur donne satisfaction ? La plupartdu temps, la réponse est négative. Parceque ce ne sont pas eux qui ont défini lesystème, ils en ont hérité, ils n’en sontpas satisfaits, ils n’ont pas participé auxcahier des charges… Les systèmes d'in-formation canalisent, et c'est bien, maisils génèrent des comportements criti-quables, et c’est moins bien.Autre point non négligeable. Il existedes spécialistes qui savent parfaitementutiliser la permissivité des systèmes àleur profit, et qui créent de toutes pièces,

dans le système lui-même, toute unesérie de traçabilité ou de systèmes depreuves, pour faire du favoritisme enverscertains fournisseurs. Voilà pourquoi lessystèmes d'information doivent aussifaire l'objet d’audits par les auditeursinternes lorsqu’ils font l'audit de la fonc-tion achats.

J.-L. R. : La fonction achats est une fonctionsensible. Quels sont les éléments clés d'undispositif efficient, y compris dans le cadrede la prévention des fraudes ?

M. A. : Les éléments clés d’un dispositifefficient sont ceux du dispositif decontrôle interne général, et pas seule-ment de prévention des fraudes. Le dis-positif de contrôle interne est mis enplace par l'ensemble du personnel et faiten sorte que les gaspillages, les négli-gences, les fraudes, les erreurs, devien-nent l'exception. Verrouillons le contrôleinterne, c'est-à-dire les éléments del'environnement de contrôle, les élé-ments du management des risques, leséléments de la gouvernance d'entreprise– les trois processus que l'audit doit éva-luer dans sa définition officielle –, etnous arriverons probablement à mieuxmaîtriser la fonction achats, commetoutes les autres fonctions de l'entre-prise. Car il ne faut pas oublier qu'unemission d'audit de la fonction achats estcomparable à une mission d'audit d'uneautre fonction dans l'entreprise. Il n'y apas de démarche spécifique, si ce n'estla typologie des achats par nature, lesenjeux économiques et les risques pro-pres au métier. On regarde toutefoisl’aspect RH, point qu'on ne regarde pasdans d’autre type d’audit. On regardeégalement les systèmes d'informationavec plus d'acuité qu'on ne le fait ail-leurs, peut-être. Mieux acheter, c'estbien acheter du premier coup.

En conclusion, il y a lieu de rappeler quel'audit de la fonction achats doit être,dans la mesure du possible, proposé à ladirection générale lors de l’élaborationdu plan d'audit pluriannuel, au mêmetitre que toutes les autres missions. Cen’est pas une zone de « non-audit », etçà ne doit pas rester du domaine desmissions d’inspection ou des missionsspéciales. La valeur ajoutée dégagée parune telle mission est indéniable.

36



Evénements

L’audit interne,évolution au sein dela fonction outremplin versd’autresresponsabilités ?

Réunion mensuelledu 10 mai 2011

Des constatations : lamoyenne d’âge des audi-teurs internes baisse ; leniveau de qualification aug-mente ; les recrutementss’effectuent plus fréquem-ment en interne.Des objectifs : recruter lesbons profils ; améliorer leprocessus de formation etde développement ; mettreen place un processus deplacement.L’organisation de l’auditinterne varie selon le sec-teur d’activité, la taille del’organisation, les objectifsfixés par la direction géné-rale.

La banque est un secteurparticulièrement régle-menté. A la SociétéGénérale, il existe une ins-pection générale qui sesitue à la croisée des che-mins entre audit et conseil(en organisation et en stra-tégie). Cette inspectioneffectue une centaine demissions variées par an. Elleest un tremplin vers d’au-tres responsabilités : envi-ron un tiers des membresdu comité de direction ensont issus. Le passage àl’inspection générale dure

environ six ans et demi : iln’existe pas d’inspecteur decarrière. L’inspection géné-rale répond à une doubleattente. Pour les candidats,c’est un apprentissage de larigueur. Pour le groupe,c’est l’intégration de jeunes,très mobiles, bien formés,qui apportent un regardneuf et critique.

Aux Galeries Lafayette(secteur commercial), ondistingue deux types d’au-diteurs : l’auditeur généra-liste qui est de passage(trois ans minimum) dansla direction ; l’auditeurexpert et professionnel dumétier. On tient le plusgrand compte des certifica-tions de tous types (CIA,expertise comptable…), carelles sont un gage de pro-fessionnalisme et d’intérêtpour la fonction et elles ras-surent la direction généraleet le comité d’audit, ainsique le responsable de l’au-dit interne. En outre, l’utili-sation d’un même langagefacilite la compréhension, etla mise en place et l’utilisa-tion de méthodologies.

L’audit interne est unmétier spécifique ; on adonc besoin de personnes

connaissant ces spécificités.Les Normes insistent surdeux points.La compétence. Indivi-duelle, elle met en jeu lesresponsabilités de l’audi-teur interne ; collective, ellemet en jeu les responsabili-tés du service.La formation profession-nelle continue : elle estindispensable tout au longde l’exercice du métierd’auditeur. De plus, l’auditinterne doit se référer enpermanence à des fonda-mentaux tels que lesconcepts d’audit interne, decontrôle interne, de risque,de gouvernance ; la mise enœuvre des outils et tech-niques d’audit interne ; lacommunication : l’auditinterne est un acteur del’organisation au mêmetitre qu’un opérationnel ;une bonne connaissancedes systèmes d’information,de la comptabilité ; l’identi-fication des éléments mon-trant que des irrégularitésont été commises (fraude).

Comme on le voit, les pers-pectives du métier d’audi-teur interne sont très larges.Alors l’audit interne évolu-tion au sein de la fonctionou tremplin vers d’autres

responsabilités ? Il n’existepas de loi, ni de règle quiréponde à la question. Toutest fonction des choixmanagériaux. Il est sage depenser qu’il n’existe pasune seule démarche, uneseule option, quedémarches et options nesont pas figées et peuvent(doivent) évoluer si les cir-constances l’exigent.

Risk managers,auditeurs internes...Comment les acteurs de lamaîtrise des risquescontribuent-ils ensembleà la valeur ajoutée desorganisations ?

Colloque du 17 mai 2011

Principaux éléments desprésentations et desdébats

1- Un modèle d’organisa-tion émergent : les troislignes de défenseAucun modèle ne prévautaujourd’hui quant à lastructure les activités de lamaîtrise des risques. Lemodèle des « trois lignesde défense » (three lines ofdefense - 3LoD) est toutefoisfréquemment cité pour

Conseil d’administration / Comité d’audit

Direction

Management

opérationel

Activités

de contrôle

Management

des risques

Conformité

Autres

Audit

interne

1ère ligne 2e ligne 3e ligne


décrire l’organisation ducontrôle interne, de la ges-tion des risques et de l’auditinterne.

« La première ligne dedéfense est celle des opé-rationnels... La deuxièmeligne de défense renvoie àcelle des directions fonc-tionnelles... La troisièmeligne de défense est cellede la direction de l’audit

interne. »Philippe Hatron, Areva

« Il n’existe ni de modèlepréconçu, ni de modèleunique. En réalité, il estimportant de mettre enplace une organisationqui correspond à votre

entreprise, à sa culture, àcelle de hommes et de sa

direction. »Gérard Lancner,

AMRAE

2- Contrôle, risques etaudit doivent être placésau coeur de l’activité del’entrepriseLes activités liées à la maî-trise des risques relèventavant tout des opération-nels. L’étude du risque et deson traitement doit interve-nir dès la conception duproduit ou du service. Lesopérationnels doivent àtout instant être responsa-bilisés aux risques qu’ilssont appelés à maîtriser,sous peine de générer unfonctionnement bureaucra-tique des organes decontrôle, trop éloignés duterrain.

« La responsabilisationde chacun est indispen-sable et ne doit pas souf-frir d’un fonctionnementbureaucratique danslequel on appliqueraitreligieusement les

contrôles, mais sans enretirer la substance. »Christophe Hioco,

SGCIB

3- La coordination desacteurs de la maîtrise desrisques est primordialeL’efficience du dispositif demaîtrise des risques passepar l’articulation efficace deses acteurs. Les cadres deréférence, les méthodes, lestravaux doivent être harmo-nisés et coordonnés. La car-tographie des risques,unique et partagée par l’en-semble des acteurs de l’or-ganisation, sert de colonnevertébrale au dispositif qui,ainsi, peut pleinement jouerson rôle d’alerte auprès ducomité d’audit. Lorsque la règlementationle permet, et dans le respectde l’indépendance de l’au-dit interne, une intégrationpartielle des acteurs peutaugmenter l’efficacité dudispositif.

« Dans l’objectif d’unemeilleure coordination,de nombreuses sociétésindustrielles et commer-ciales ont regroupé [lagestion des risques et

l’audit interne] dans uneseule direction dans lerespect des normes pro-

fessionnelles. »Claude Viet, La Poste

« Nous considérons quela qualité, le risk mana-gement et le contrôleinterne relèvent d’unemême démarche, à ceciprès que ces trois fonc-

tions ont vocation à gérerdes risques spécifiques.

Nous nous sommes effor-cés de marier ces trois

fonctions et de capitalisersur la culture et le réseau

de qualité du groupeMichelin. »

Florence Vincent,Michelin

4- La qualité de l’environ-nement de contrôleconditionne l’efficacité dudispositif de maîtrise desrisques

Le partage de valeurs com-munes, une véritable cul-ture du risque, la qualité dumanagement constituent lesocle sur lequel peut sedéployer le dispositif decontrôle interne. La conso-lidation de ce socle est unpréalable à tout dispositifefficace de maîtrise desrisques.

« Je pense que la pre-mière condition d’un dis-positif de contrôle interneefficace réside dans lepartage de valeurs pro-fondes et d’une culture

commune au sein de cettecommunauté [d’hommeset de femmes qu’est une

entreprise]. »Séverin Cabannes,

SociétéGénérale

« La notion de culture esttrès importante. L’exem-ple en la matière doitvenir d’en haut. Le

management définit l’ap-pétit de risque, tandis

que le comportement desopérationnels définit lacapacité de l’entreprise àréaliser un retour surcapital satisfaisant et àéviter les écueils et angles

morts. »RégisMonfront,

Crédit Agricole CIB

5- Les organisations doi-vent apprendre à faireface à l’imprévuLa taille des organisa-tions, leur déploiementgéographique et lacomplexité desstructures exigentaujourd’hui denouvellesformes deleadership.Lesdirec-tions

doivent se préparer à deschocs majeurs, tant dupoint de vue de la préven-tion que de la gestion decrise. Faire face à ce qui nepeut être prévu devient unenjeu majeur.

« Aujourd’hui les organi-sations sont surdimen-sionnées, et les dirigeantsdevront non plus afficherdes capacités de leader-ship, mais des capacitésde méta-leadership. L’ob-jet n’est pas de prévoirl’imprévisible, mais des’entraîner à faire face àl’imprévu… Il faut doncs’entraîner à être sur-

pris…»Patrick Lagadec,

École Polytechnique

L’audit interne et lacybercriminalité :comment faire face àcette nouvellemenace et adapterses pratiques

Réunion mensuelledu 28 juin 2011

Qu’est-ce que lacybercriminalité ?

Depuis deux ou troisdécennies les technologiesnumériques se développenttrès rapidement : elles sontdésormais présentes danstous les domaines, dans

tous les secteurs.

Elles sont àla fois

37

38



source de progrès et por-teuses de risques potentielsénormes.

La fraude informatique estl’ensemble des actes répré-hensibles correspondantaux systèmes de traitementautomatique d’informa-tions, et utilisant un outilinformatique ; il en est ainside l’abus de confiance, l’es-croquerie, le détournement,la contrefaçon, etc. Lacybercriminalité désignel’ensemble des infractionspénales commises via lesréseaux informatiques,notamment le réseau Inter-net, portant atteinte auxbiens et/ou aux personnes.

La cybercriminalitéconcerne d’autres domainesque la fraude, comme leracisme, la pédophilie, ladégradation de la réputa-tion d’organisations ou de

personnes, l’intelligenceéconomique, etc.

Une coopération interna-tionale s’est édifiée autourde règles visant à protégernon seulement les individuset les entreprises mais aussiles organisations interna-tionales et les Etats. Mais lalutte est difficile car les obs-tacles (juridiques et nonjuridiques) sont nombreux.

Comment lutter contre lacybercriminalité ?

Vis-à-vis de la cybercrimi-nalité, une adaptationrapide des comportementsest nécessaire : une évolu-tion globale de la protectiondu système d’informationvers la protection de l’infor-mation ; une approche sys-tématique par les risques ;l’intégration du contextelégal et réglementaire dans

la démarche ; la classifica-tion de la sensibilité desactifs pour l’entreprise ; lamise en œuvre d’un plan detraitement des risquesadapté, c’est-à-dire inté-grant des projets spéci-fiques sur la fraude liée à lacybercriminalité.

L’audit interne doit partici-per à la prise de consciencecollective, veiller à l’intégra-tion des risques – pouvantporter atteinte à l’intégritédes données, à la disponibi-lité et à la confidentialité dusystème, à l’authentificationdes utilisateurs – dans lacartographie des risques, età leur couverture.

La maîtrise de la cybercri-minalité implique, outrel’audit interne, les riskmanagers, les responsablesde la sécurité des systèmesd’information, la DRH, la

direction juridique. La pré-paration à la gestion decrise revêt une importancemajeure.

Prendre des dispositionsconcrètes

Une formation à l’informa-tion ; des compétenceshumaines et des outils poursurveiller et détecter desmenaces ; des moyens deprotection à définir ; descapacités de riposte suscep-tibles d’être mises en œuvrerapidement.

En effet, il faut préserverl’extraordinaire potentiel dedéveloppement dont lecyberespace est porteur,savoir le saisir avec opti-misme, mais aussi avecbeaucoup de réalisme.

Les prochains rendez-vous

AQUITAINE>> mercredi 14 septembre 2011Réunion - Le Balanced Scorecard au sein d’un département d’audit interne

PARIS>> mardi 20 septembre 2011Réunion mensuelle - La mise en œuvre des recommandations : Comment faire adhérer les auditéset dirigeants aux recommandations ?

RHÔNE-ALPES>> vendredi 30 septembre 2011Réunion - L’analyse des données comme moyen de contrôle au service des directions d’audit, decontrôle interne et fraude

PARIS>> lundi 17 octobre 2011Colloque - Mieux appréhender un environnement de contrôle pour un dispositif de contrôleinterne plus efficace

Renseignements complémentaires et inscription : www.ifaci.com

DP

AI

IFACI Formation - Tél. : 01 40 08 48 08 - Mel : [email protected] - Consultez le programme complet sur le site internet www.ifaci.com

SESS IONS Durée Tarifsadhérents

Tarifs nonadhérents juillet sept. octobre nov. déc.

SE FoRmER Au CoNtRôLE INtERNES’initier au contrôle interne 2 j 900 € 1 075 € 4-5 5-6 7-8

Cartographie et management des risques 3 j 1 600 € 1 775 € 12-14 5-7 7-9

Mettre en œuvre le dispositif de contrôle interne 2 j 1 150 € 1 275 € 7-8 15-16 17-18

Piloter et faire vivre le dispositif de contrôle interne 2 j 1 150 € 1 275 € 19-20 21-22

Le contrôle interne des systèmes d’information 2 j 1 150 € 1 275 € 3-4

SE FoRmER à L’AuDIt INtERNELes fondamentaux de l’audit interne

S’initier à l’audit interne 2 j 900 € 1 075 € 4-5 8-9 3-4 7-8 1-2

Conduire une mission d’audit interne : la méthodologie 4 j 1 850 € 2 050 € 5-8 12-15 10-13 15-18 5-8

Maîtriser les outils et les techniques de l’audit 3 j 1 550 € 1 700 € 11-13 19-21 17-19 21-23 12-14

Maîtriser les situations de communication orale de l’auditeur 2 j 1 000 € 1 100 € 7-8 22-23 6-7 24-25 15-16

Réussir les écrits de la mission d’audit 2 j 1 000 € 1 100 € 11-12 26-27 20-21 28-29 15-16

Exploiter les états financiers pour préparer une mission d’audit 3 j 1 450 € 1 600 € 28-30 7-9

Désacraliser les systèmes d’information 3 j 1 450 € 1 600 € 28-30 13-15

Détecter et prévenir les fraudes 2 j 1 000 € 1 100 € 26-27 20-21 5-6

Le management

Piloter un service d’audit interne 2 j 1 250 € 1 375 € 10 -11

Manager une équipe d’auditeurs au cours d’une mission 1 j 650 € 730 € 4 25

L’audit interne dans les petites structures 1 j 650 € 730 € 19

Balanced Scorecard du service d’audit interne 1 j 650 € 730 € 24

Le suivi des recommandations 1 j 650 € 730 € 9

Préparer l’évaluation externe du service d’audit interne 2 j 1 250 € 1 375 € 28-29

L’audit interne, acteur de la gouvernance 1 j 650 € 730 € 14

Audit interne, contrôle interne et qualité : les synergies 1 j 650 € 730 € 7

Les audits spécifiques

Audit du Plan de Continuité d’Activité - PCA 2 j 1 250 € 1 375 € 28-29

Audit de la fonction Comptable 2 j 1 250 € 1 375 € 10-11

Audit de performance de la gestion des Ressources Humaines 3 j 1 450 € 1 600 € 23-25

Audit de la fonction Achats 2 j 1 250 € 1 375 € 22-23

Audit des Contrats 1 j 650 € 730 € 7

Audit de la fonction Contrôle de Gestion 2 j 1 250 € 1 375 € 28-29

Audit de la Sécurité des Systèmes d’Information 2 j 1 250 € 1 375 € 15-16

Audit des Processus Informatisés 2 j 1 250 € 1 375 € 21-22

Audit de la Législation Sociale 2 j 1 250 € 1 375 € 13-14

Audit du développement durable 2 j 1 250 € 1 375 € 19-20

SE FoRmER DANS LE SECtEuR PubLICLe contrôle interne dans le secteur public 2 j 1 250 € 1 375 € 8-9 7-8

Pratiquer l’audit interne dans le secteur public 4 j 1 850 € 2 050 € 17-20 12-15

SE FoRmER DANS LE SECtEuR bANCAIRELe contrôle interne dans le secteur bancaire et financier 3 j 1 450 € 1 600 € 3-5

Pratiquer l’audit interne dans le secteur bancaire et financier 4 j 1 850 € 2 050 € 20-23 12-15

L’audit de la transposition de Bâle II 2 j 1 250 € 1 375 € 13-14

L’audit de la conformité 2 j 1 250 € 1 375 € 26-27

SE FoRmER DANS LE SECtEuR DES ASSuRANCESLe contrôle interne dans le secteur des assurances 2 j 1 250 € 1 375 € 8-9 7-8

Pratiquer l’audit interne dans le secteur des assurances 4 j 1 850 € 2 050 € 17-20 12-15

SE FoRmER DANS LES SECtEuRS INDuStRIE Et CommERCEAudit des processus clés des activités industrielles et commerciales 4 j 1 850 € 2 050 € 17-20 6-9

ACquéRIR uNE CERtIFICAtIoNLe DPAI

Préparation au DPAI 2 j 900 € 1 075 € 13-14 17-18 13-14

Le CIA

Préparation au CIA - partie I 1,5 j 800 € 1 000 € 12pm-13

Préparation au CIA - partie II 1,5 j 800 € 1 000 € 15pm-16

Préparation au CIA - partie III 1,5 j 800 € 1 000 € 19pm-20

Préparation au CIA - partie IV 1,5 j 800 € 1 000 € 22pm-23

Calendrier 2011

Nouveau

Nouveau

Nouveau

«

»

La Certification par l’IFACI :la bonne pratique d’évaluation externe de l’Audit Interne

La Certification IFACI, régulièrement mentionnée dans les rapports du Président sur le Contrôle Interne,atteste que les activités d’Audit Interne sont conduites conformément aux Normes ProfessionnellesInternationales et contribuent à créer de la valeur ajoutée.

La Certification IFACI permet à l’Audit Interne :• de légitimer l’évaluation interne, indépendante et objective, qu’il délivre sur l’efficacité des systèmes

de gestion des risques et de contrôle interne ;• de souligner sa capacité à délivrer des prestations de qualité et donc à apporter de la valeur à son

organisation ;• de renforcer la confiance que les parties prenantes placent en lui.

« L’Audit Interne est une profession très organisée, qui a mis en place des dispositifs de certi-fication et de formation. Il convient de tirer vers le haut d’abord les administrateurs, maisaussi d’encourager les partenaires du Comité d’audit à enrichir et à améliorer constammentleurs pratiques. Tout ce qui permet de renforcer le professionnalisme des uns et desautres va certainement dans la bonne direction. »

Daniel Lebègue, Président de l’Institut Français des Administrateurs

« Je pense que l’Audit Interne doit présenter constamment un niveau élevé de professionna-lisme : cela passe normalement par le respect de ses propres règles et standards de pratique,puis par une certification qui rend compte de manière objective de ce respect. »

Guylaine Saucier, Présidente du Comité d’Audit, Danone (DAI certifiée en 2009),Areva (DAI certifiée en 2006)

« L’évaluation externe objective et méthodique de l’Audit Interne, par des personnes qui dis-posent d’une vue d’ensemble professionnelle, est une démarche extrêmement précieuse. Dansce monde tellement changeant, bénéficier des avis et conseils du certificateur est un facteurd’augmentation de la capacité et de la qualité de travail de l’Audit Interne. »

Alexandre Lamfalussy, Président du Comité d’Audit, CNP Assurances (DAI certifiée en 2008)

« J’ai demandé que les auditeurs certificateurs nous présentent leurs conclusions sur notreAudit Interne pour deux raisons. Tout d’abord, nous avons souhaité entendre ce qu’ils avaientidentifié sans biais et sans filtre. Nous avons aussi voulu apprendre ce qu’ils pensaient dela qualité et de la profondeur des audits : ce sont des choses que je ne peux voir quetrès indirectement. »

Hervé Saint-Sauveur, Président de LCH Clearnet SA (DAI certifiée en 2008)

« Le Comité des Comptes a toujours examiné avec attention l’activité de l’Audit Interne. Maiscomment s’assurer que les méthodes utilisées et l’organisation retenue sont parfaitement adap-tées ? La Certification par l’IFACI a été choisie, d’un commun accord pour répondre à cettequestion. Cette procédure a engendré pas mal de travail, mais nous a également beaucoup ap-porté. Enfin, si tant est que j’en avais besoin, la Certification m’a tranquillisé. »

Bruno Flichy, Président du Comité des Comptes, EIFFAGE (DAI certifiée en 2007)

IFACI Certification - 98 bis, boulevard Haussmann - 75008 ParisContact : Jean-Baptiste Gamas - Tél. : 01 40 08 48 10 - Mel : [email protected]

IFACI Certification est une filiale de

1

FICHE TECHNIQUE

juin 2011 - FICHE TECHNIQUE N°35 - Audit & Contrôle internes

Béatrice Ki-Zerbo - Directeur de la Recherche, IFACI

Le CRIPP1 a été enrichi d’un guide pratiqueconcernant l’évaluation des processus demanagement des risques (cf. la bibliothèque en

ligne sur le site de l’IFACI : www.ifaci.com).

Ce guide complète les modalités pratiques déjà diffu-sées par l’IIA, notamment la MPA 2120 1 « Evaluer lapertinence des processus de management desrisques » et la MPA 2050 2 « Cartographie des servicesdonnant une assurance sur les dispositifs de contrôleet de management des risques » (cf. Fiche techniquede la revue n°200 de juin 2010).

Partant de la norme ISO 31000:2009, ce guideprésente en particulier trois méthodes pour donnerune assurance sur le processus de management desrisques : • l’approche par les éléments du processus, • l’approche par les principes clés et,• l’approche par le modèle de maturité.

Chacune de ces approches se suffit à elle-même.Cependant, comme elles apportent une perspectivedifférente, leur utilisation combinée pour construireun programme d’audit interne fournit donc de plusriches enseignements.

Outre le rappel du rôle de l’audit interne dans ledéploiement d’un processus de management desrisques (cf. Norme 2120.C32 et prise de position del’IIA sur le rôle de l’audit interne dans l’ERM), cettepublication fournit des clés pratiques pour l’interven-

tion de l’audit interne à chaque stade du processus età tous les niveaux de l’organisation.

Résumé du guide pratique3

Depuis quelques années, le management des risquesest de plus en plus reconnu comme l’une des compo-santes essentielles d’une gouvernance solide. Despressions s’exercent sur les organisations pour iden-tifier, et expliquer comment elles les gèrent, les risquessignificatifs auxquels elles sont confrontées (lesrisques sociaux, déontologiques et environnementaux,mais aussi les risques stratégiques, financiers et opéra-tionnels). L’utilisation de cadres de management desrisques à l’échelle de toute l’entreprise (ERM) se déve-loppe au fur et à mesure que les organisations pren-nent conscience des avantages d’approchescoordonnées.L’ERM est considéré comme un processus de pilotagequi doit être pleinement intégré au management de

Evaluer l’adéquationdu management des risques

L’IFACI tient à remercier les réviseurs de la traduc-tion de « Assessing the adequacy of Risk Manage-ment using ISO 31000 » : Marie-Elisabeth Albert, CIA, Groupe La Poste José Bouaniche, CIA, Caisse des dépôts Christophe Butikofer, CIA, SFR Pierre Drouard, CIA, Renault Benoît Harel, CIA, IFACI Certification Jacques Renard, Consultant Béatrice Ki-Zerbo, CIA, IFACI

2

FICHE TECHNIQUE

Audit & Contrôle internes - FICHE TECHNIQUE N°35 - juin 2011

l’organisation et être applicable à tous les niveaux : àun niveau global, au niveau des fonctions et au niveaudes unités opérationnelles.

Les activités qui permettent de donner une assurancesur l’efficacité de l’ERM devront être ajustées auxbesoins de l’organisation.

Commentaire IFACI

Les activités d’assurance permettent d’attester que lesopérations et les processus de l’organisation sontconçus, réalisés et maîtrisés conformément auxinstructions de ses organes dirigeants et de ses partiesprenantes.

Comme indiqué dans la MPA 2050-2, différents pres-tataires internes ou externes (commissaires auxcomptes, auditeurs qualité, auditeurs HSE, animateursdes auto-évaluations, services fonctionnels –DRH, DSI,directions juridiques, responsables de la conformité,risk managers, auditeurs internes, etc.) peuvent fournirune assurance sur la conformité et l’efficacité desdispositifs d’une organisation. Ces prestataires sedistinguent en fonction :• de leur positionnement et donc de leur degré d’in-

dépendance ;• des destinataires de leurs opinions (management

opérationnel, direction générale, Conseil, partiesprenantes extérieures) ;

• de la méthode utilisée pour garantir l’objectivité deleurs opinions ;

• de leur périmètre d’intervention (métier, zonegéographique, entité juridique, groupe…).

Parmi ces prestataires, l’audit interne se distingue parson indépendance par rapport aux activités contrô-lées. En effet, le positionnement au plus haut niveaude l’organisation donne à l’audit interne une vue d’en-semble des processus et des risques tout en étant uninterlocuteur privilégié des instances dirigeantes. Ainsi,selon le glossaire des Normes internationales, les acti-vités d’assurance de l’audit interne se traduisent parun examen objectif d’éléments probants, effectué envue de fournir une évaluation indépendante desprocessus de gouvernement d’entreprise, de mana-gement des risques et de contrôle.

La prise de position de l’IFACI sur l’urbanisme ducontrôle interne illustre les différents niveaux de pres-tation d’assurance4.

La Norme 2120 indique que « l'audit interne doitévaluer l’efficacité des processus de management des

risques et contribuer à leur amélioration ». L’interpréta-tion de ce principe est présentée ci-après :« Afin de déterminer si les processus de management desrisques sont efficaces, les auditeurs internes doivent s’as-surer que :• les objectifs de l’organisation sont cohérents avec samission et y contribuent ;

• les risques significatifs sont identifiés et évalués ;• les modalités de traitement des risques retenues sontappropriées et en adéquation avec l’appétence pour lerisque de l’organisation ;

• les informations relatives aux risques sont recensées etcommuniquées en temps opportun au sein de l’organi-sation pour permettre aux collaborateurs, à leur hiérar-chie et au Conseil d’exercer leurs responsabilités.

Pour étayer cette évaluation, l’audit interne peut s’appuyersur des informations issues de différentes missions. Unevision consolidée des résultats de ces missions permet unecompréhension du processus de management des risquesde l’organisation et de son efficacité.Les processus de management des risques sont surveilléspar des activités de gestion permanente, par des évalua-tions spécifiques ou par ces deux moyens. »

Afin d’améliorer le management des risques d’uneorganisation, il convient, dans un premier temps, dedresser un état des lieux des processus et systèmes enplace et de les évaluer. Si des composantes incontour-nables manquent, il est très peu probable que lemanagement des risques puisse devenir efficace. Lesauditeurs internes ont un rôle important à jouer dansl’évaluation et l’amélioration de la maîtrise des risquesau sein de leur organisation. L’examen de toutes lesactivités du management des risques constitue un pancrucial de ces efforts. Bien souvent, l’accent est mis surl’exercice de cartographie des risques. Or, mal conçuou mal intégré dans une approche globale de lagestion des risques, cet outil peut avoir les traversd’une illusion de groupe. Loin d’être une démarchemécaniste, l’imagination et la créativité canalisées parune démarche rationnelle devraient être au centre detout exercice de cartographie. De telles démarchespermettent également d’être en capacité de réagirmême lorsqu’un incident ne correspond pas à unrisque répertorié.

L’ISO 31000 n’est pas le seul cadre couramment utilisépour le management des risques5, et le présent guiden’implique pas que cette norme soit celle adoptée parl’organisation.

Nous avons demandé aux contributeurs de la traduc-tion en français de ce guide pratique de nous donnerleur opinion sur ERM et audit interne.

3juin 2011 - FICHE TECHNIQUE N°35 - Audit & Contrôle internes

Quels sont les enjeux de l’ERM ?

Marie-Elisabeth Albert, audit interne, Groupe La Poste

Les principaux enjeux de l’ERM sont :• la pertinence des cartographies des risques. Qu'ellessoient réalisées de façon top-down, down-top ou lesdeux, les organes de gouvernance de l'entreprise,qui sont porteurs d'une vision externe, en sontdestinataires ou la valident ;

• l’intégration des stratégies de gestion des risquesaux plans opérationnels et stratégiques ;

• la coordination des stratégies/dispositifs de gestiondes risques à tous les niveaux de l’entreprise ;

• la qualité du reporting dont dépend l’évaluation dudispositif portée à la connaissance des organes degouvernance (en France, rapport du président duconseil sur le gouvernement d’entreprise, les procé-dures de contrôle interne et de gestion des risques).

Pierre Drouard, pilote du Système de Management dela Qualité, Renault

Les attentes à l’égard de l’ERM sont immensespuisqu’on veut tout savoir, tout prévoir, surtout l’im-prévisible. Mais le principal risque n’est-il pas pardéfinition celui que l’on n’a pas su prévoir ? Ainsi, unERM efficace éclaire la direction générale sur ses choixet leurs conséquences en matière de risque. Il estsource d’information pour des parties prenantestoujours plus nombreuses et exigeantes quant à l’ex-position de l’entreprise au risque, mais aussi quant auxrisques que celle-ci pourrait faire peser sur ces mêmesparties prenantes : environnement, consommateurs,salariés. Aucune entreprise ne souhaite être un jour lacause du prochain Seveso.Dispositif d’écoute, d’observation, étude et analyse,l’ERM n’est pas une bulle isolée dialoguant unique-ment avec la direction générale. Il se doit d’être avanttout un relais entre la direction et les acteurs opéra-tionnels. Il faut donc être en mesure de réunir descompétences de vision stratégique de l’entreprise,mais aussi et surtout le savoir-faire pour faire remon-ter les risques du terrain, et pour cela être un interlo-cuteur crédible vis-à-vis des opérationnels. En effet,l’ERM ne doit pas être un dispositif de contrôle enplus des dispositifs existants. L’ERM est crédible s’ilprouve sa valeur ajoutée aux acteurs opérationnels,qui sont tous des gestionnaires de risques au quoti-dien.

Jacques Renard, consultant

Il s’agit de :• disposer d'une politique de risque définissant appé-tence et tolérance (y compris les incidences sur lapolitique d'assurance) ;

• permettre la construction d'un contrôle internerationnel et complet ;

• distinguer les risques majeurs par rapport auxrisques acceptables ;

• suggérer les solutions possibles ;• permettre la consolidation d'un bon environnementde contrôle.

Comment l’audit interne peut-ilcontribuer à relever ces défis ?

Pierre Drouard, pilote du Système de Management dela Qualité, Renault

L’auditeur interne n’est pas un gestionnaire derisques, pour des raisons d’indépendance, mais lerisque est sa culture. Mieux que tout autre, il expliqueà la direction générale le degré d’exposition au risquedans la lettre de synthèse de fin de mission, car c’estle sens même du contrat qui lui est confié. Mieux quetout autre puisque c’est le sens de sa déontologied’auditeur, il étaie ses conclusion de faits réels, récoltésavec méthode sur le terrain, grâce aux opérationnels.Le rapport d’audit adresse à chaque acteur, de ladirection générale aux opérationnels, les conclusionset les recommandations utiles dont il a besoin pouragir afin de diminuer l’exposition au risque. L’auditinterne est à cet égard un instrument irremplaçablepour mesurer le niveau de maturité d’un ERM, àquelque niveau que ce soit.

Jacques Renard, consultant

• Par l'adoption d'un plan pluri-annuel prenant encompte la cartographie.

• Par la prise en compte des risques dans le plan detravail des missions.

• Par des recommandations améliorant la résistanceaux risques en diminuant impact et fréquence (poli-tique de protection et politique de prévention).

1. Cadre de référence international des pratiques professionnelles de l’IIA.2. Limitation des responsabilités opérationnelles des auditeurs internes dans le processus de management des risques.3. Rédigé à partir de la synthèse et de l’introduction du guide pratique.4. L’urbanisme du contrôle interne, IFACI, Prise de Position, octobre 2008.5. Cf. Le management des risques de l’entreprise – COSO II ou le Cadre de référence de l’AMF (juillet 2010).

FICHE TECHNIQUE

Audit & Contrôle internes - FICHE TECHNIQUE N°35 - juin 20114

Documents

AUDITEUR INTERNE ET RISK MANAGER - Chapters … · audition au Parlement, le directeur général de la sûreté nucléaire ? ... commune sur le rôle de l’audit interne dans la