CONTRIBUER À LA VALEUR AJOUTÉE DES ORGANISATIONS · 2014-04-28 · 550 M€ dans sa filiale brési-lienne, dissimulée par la direction locale. A chaque fois, les fraudes représentaient

l a r e v u e d e s p r o f e s s i o n n e l s d e l ’ a u d i t , d u c o n t r ô l e e t d e s r i s q u e s

Dans l’actualité

Puma, Reebook, Carrefour :comment prévenir les fraudesorganisées par les filiales ?

Idées et débats La mise en œuvre du contrôle

interne impulsée au sein desOPCA

La communication de l’auditinterne vers les organes degouvernance

Les audits métiersL’audit de gouvernance :un outil d’évaluation etd’amélioration de la gouvernanced’une organisation

Mémoire d’étudiantMaîtriser les risques spécifiquesaux activités de services

La profession enmouvement ...

Fiche technique

>> Indépendance et objectivité,deux conditions pour un auditinterne reconnu et performant

N°210Juin - Juillet 2012

CONTRIBUERÀ LA VALEUR AJOUTÉEDES ORGANISATIONS

Une finalité pour l’auditet le contrôle internes

Marquez des points ...avec la nouvelle certificationprofessionnelle

Professionnels de l’audit et du contrôle internes, cette nouvelle certification vous permettra de dé-montrer votre professionnalisme dans le domaine de l’évaluation de la gestion des risques, et plusparticulièrement votre capacité à :

évaluer la maîtrise des risques et la gouvernance des processus métiers de votre organisation ; sensibiliser la direction et le comité d’audit aux concepts liés aux risques et à la maîtrise des

risques ; vous centrer sur les risques stratégiques de l’organisation ; apporter encore plus de valeur ajoutée à votre organisation.

Disponible, à la fin du premier semestre 2013, sous la forme d’un examen, le CRMA™ est ac-cessible dès aujourd’hui via un processus de Reconnaissance de l’Expérience Profes-sionnelle (REP). Ainsi, toute personne justifiant d’une expérience professionnelledans les cinq domaines couverts par la certification CRMA™, et titulaire de di-plômes et/ou de tout autre certificat dans le domaine de l’audit, sera en mesurede faire une demande de REP en vue d’obtenir la certification CRMA™.

POUR EN SAVOIR PLUS ...

Rendez-vous sur le site internet de l’IFACI (www.ifaci.com)à la rubrique « Carrière + Diplômes ».

Conc

eptio

n : e

bzon

e co

mm

unic

atio

n - P

hoto

: ©

Pat

y W

ingr

ove

- Fot

olia

.com

3juin-juillet 2012 - Audit & Contrôle internes n°210

La revue des professionnels de l’audit,du contrôle et des risques

n°210 - juin-juillet 2012

EDITEURInstitut Français de l’Audit et du Contrôle Internes (IFACI)Association Loi 190198 bis, boulevard Haussmann75008 Paris (France)Tél. : 01 40 08 48 00 Mel : [email protected] : www.ifaci.com

DIRECTEUR DE PUBLICATIONFarid Aractingi

RESPONSABLE DE LA RÉDACTION Philippe Mocquard

RÉDACTEUR EN CHEFLouis Vaurs

RÉDACTION - RÉVISIONJean-Loup Rouff - Béatrice Ki-Zerbo

SECRÉTARIAT GÉNÉRALEric Blanc - Tél. : 01 40 08 48 02Mel : [email protected]

RÉALISATIONEBZONE Communication32, avenue de Beauregard94500 Champigny-sur-MarneTél. : 01 48 80 00 56Mel : [email protected]

IMPRESSIONImprimerie de ChampagneRue de l’Etoile de Langres - ZI Les Franchises52200 Langres

ABONNEMENTElsa Sarda - Tél. : 01 40 08 47 84Mel : [email protected]

Revue bimestrielle (5 numéros par an)ISSN : 2117-1661CPPAP : 0513 G 83150Dépôt légal : mai 2012Crédit photos : © Getty Images

Prix de vente au numéro : 22 € TTC

Les articles sont présentés sous la responsabilité de leurs auteurs.

Toute représentation ou reproduction, intégrale ou partielle, faitesans le consentement de l’auteur, ou de ses ayants droits, ou ayantscause, est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40).Cette représentation ou reproduction, par quelque procédé que cesoit, constituerait une contrefaçon sanctionnée par les articles 425et suivants du Code Pénal.

Ce document est imprimé avec des encres végétalessur du papier issu de forêts gérées dans le cadred’une démarche de développement durable.

De la lecture du dossier du présent numéro et

des meilleures pratiques, quelques grandes

conditions, pour que le contrôle interne et

l’audit interne contribuent à la valeur ajoutée des

organisations, peuvent être mises en avant.

Concernant le contrôle interne il paraît impératif

1) que la direction générale se l’approprie comme un

élément essentiel du succès de l’organisation, ait un

discours et une attitude dénués d’ambigüités sur l’importance qu’elle lui accorde,

et définisse une politique qui responsabilise les lignes managériales ; 2) que le

Comité d’audit soit parfaitement au courant du dispositif mis en place et des

responsabilité de ses principaux acteurs, et qu’il prenne toutes dispositions pour en

surveiller l’efficacité.

Pour ce qui est de l’audit interne, sept conditions peuvent être notées :

• Etre ambitieux tout en étant réaliste. Agir selon la maturité du service. Ne pas

bruler les étapes pour ne pas se bruler les ailes.

• Mériter la confiance de la direction générale à laquelle il est rattaché : bien

connaître les objectifs de l’organisation ; bien appréhender ses différentes acti-

vités ; être efficace et compétent.

• Etre crédible à l’égard du Comité d’audit avec lequel il a des relations étroites et

suivies : il doit lui apporter une information synthétique, organisée, hiérarchisée,

non biaisée. « Il ne peut y avoir d’informations significatives réservées à la direction

générale, c’est-à-dire volontairement soustraites aux administrateurs ».

• Etre légitime au sein de son organisation : le directeur de l’audit interne doit

inspirer le respect par son sens de l’éthique, son indépendance d’esprit et son

courage. Dans le même temps, la compétence du service doit être reconnue par

la pertinence de ses diagnostics et de ses recommandations, et par sa capacité

à s’assurer de la mise en place des plans d’action.

• Eviter de se complaire dans une solitude pernicieuse et des certitudes de

mauvais aloi : c’est en travaillant de manière coordonnée avec des fonctions

proches que l’on évite redondances coûteuses et « trous dans la raquette ».

• S’attacher à être connu et reconnu au sein de l’organisation : cela implique une

capacité à bien communiquer.

• Convaincre la direction générale que l’audit interne doit bénéficier d’une réelle

indépendance : « un auditeur interne muet est un auditeur inutile ; un auditeur

interne complaisant est un auditeur dangereux ».

Contribuer àla valeur ajoutéedes organisations

Louis Vaurs - Rédacteur en chef

Contactez-nous :Tél. : 01 44 70 63 00

E-mail : [email protected]

Conc

eptio

n : e

bzon

e co

mm

unic

atio

n - P

hoto

: ©

Jaku

b Ce

jpek

- Fo

tolia

.com

Votre engagement pour+ de bonnes pratiques

+ de performance+ de légitimité

+ de sécurité

Progressez surdes bases solides

Le label de qualité et de performance CertificationIFACI est délivré aux services d'audit interne quiappliquent de façon pérenne les trente exigencespragmatiques du Référentiel Professionnel del'Audit Interne.


SOMMAIRE

DANS L’ACTUALITÉ DOSSIER

Contribuer à la valeur ajoutéedes organisationsUne finalité pour l’audit etle contrôle internes

Puma, Reebook, Carrefour : commentprévenir les fraudes organisées par lesfiliales ?Antoine de Boissieu

6

LES AUDITS MÉTIERS

L’audit de gouvernance : un outild’évaluation et d’amélioration de lagouvernance d’une organisationSylvie Le Damany

29

LA PROFESSION EN MOUVEMENT

IDÉES ET DÉBATS

La mise en œuvre du contrôle interneimpulsée au sein des OPCANathalie Cretel

8

La communication de l’audit internevers les organes de gouvernanceMichel Caty

12

Evénements - Lu pour vous35

FICHE TECHNIQUE N°40

p. 15 à 27

Comment le contrôle et l’audit internes peuvent-ilscontribuer à la valeur ajoutée des organisations ?Brigitte Charton et Patrick Garnier

21

Développer l’usage managérial du contrôle internepour un dispositif à valeur ajoutéeJean-Christophe Kypriotis et Michel Tudrej

16

Quelle place et quelle valeur ajoutée pour le contrôleinterne dans un grand groupe industriel ?Michel Tudrej

24

Sécuriser les risques, mission première de l’auditinterneBenoît Derville

19

>> Indépendance et objectivité, deux conditionspour un audit interne reconnu et performantBéatrice Ki-Zerbo

MÉMOIRE D’ÉTUDIANT

Maîtriser les risques spécifiques auxactivités de servicesFlavien Palliès

33

6

DANS L’ACTUALITÉ

Audit & Contrôle internes n°210 - juin-juillet 2012

Puma, Reebook, Carrefour :comment prévenir les fraudesorganisées par les filiales ?Antoine de Boissieu - Associé-gérant, OSC Solutions

Certains services d'au-dit interne attachentbeaucoup d'impor-

tance aux risques de fraude ;leurs équipes passent untemps significatif en missionà auditer les mécanismes defraude les plus courants :décaissements non autori-sés, vols de stocks, notes defrais indues, surfacturations,favoritisme dans le choixd'un fournisseur...Toutes ces fraudes sontgénéralement faites eninfraction à des procéduresde contrôle interneconnues : rapprochementsbancaires, inventaires desstocks, restriction des profilsutilisateurs, ségrégation destâches, etc. Ces procéduressont parfois compliquées etlongues à évaluer par unaudit interne. Valider labonne ségrégation destâches dans un systèmed'information peut ainsiprendre plusieurs jours ousemaines à un auditeur.Or, ces fraudes ne mettentque rarement en danger lasociété ou ses filiales ; lesvols de stocks, les facturesfictives, les notes de fraisindues constituent souventde « petites » fraudes. L'ac-tualité récente du secteur dela distribution a montré àl'inverse que certains méca-nismes de fraude, certes plusrares, peuvent coûter beau-coup plus cher.Le dernier en date est l'an-nonce faite par Reebook(filiale d'Adidas) concernantsa filiale indienne. Reebooka reconnu une perte estiméeà 200 MUSD, résultantd'une fraude commise par la

direction locale. Les diri-geants sont accusés d'avoirdétourné des marchandises,notamment via deux entre-pôts secrets, et maquillé lescomptes de la société.Cette fraude en rappelle uneautre, révélée en 2010 dansla filiale grecque de sonconcurrent Puma (filiale dePPR). Puma avait ainsi dûconstater une perte de115 M€ après une série defraudes organisées par lesdirigeants de sa filiale. Làaussi, les dirigeants sontaccusés d'avoir détourné desmarchandises et maquillé lescomptes.Entre-temps, fin 2010,Carrefour a annoncé avoirmis au jour une perte de550 M€ dans sa filiale brési-lienne, dissimulée par ladirection locale. A chaque fois, les fraudesreprésentaient plusieursannées de résultat desfiliales concernées, et l'im-pact sur le résultat dugroupe a été significatif.Dans les cas de Puma et deCarrefour, elles sont interve-nues dans les mois qui ontprécédé l'annonce du départdes directeurs généraux dugroupe, dont elles ont sansdoute fragilisé la position.

Analysons ces exemples, etnotamment leurs pointscommuns.

L'ancienneté desdirigeantsLe premier point communde ces fraudes est qu'ellesont toutes été organisées parla direction des filialesconcernées. A chaque fois,

les dirigeants étaient enplace depuis longtemps : ilsavaient recruté eux-mêmesleurs principaux collabora-teurs, ils jouissaient d'uneforte légitimité en interne, etils connaissaient très bien letissu des partenaires locaux.Le siège, à distance, neconnaissait ni les collabora-teurs, ni les clients et four-nisseurs locaux. Les diri-geants avaient donc toutelatitude pour agir, les action-naires du groupe n'exerçantqu'un contrôle très lointain,sans contacts locaux.

Une absence decontre-pouvoirLe deuxième point communvenait du fait qu'il n'y avaitpas vraiment de contre-pou-voir en interne. Les princi-paux directeurs étaient ainsirecrutés et nommés par ledirecteur de la filiale. Ilsreportaient et étaient éva-lués par ce même directeurde filiale. Il n'y avait pas defonction réellement indé-pendante, garante des inté-rêts du siège. Il s'agissait deplus de filiales relativementlointaines, pour des siègessitués en France et en Alle-magne.

Des conflits d'intérêtUn troisième point, com-mun au moins à Reebook etPuma, a consisté dans l'exis-tence de conflits d'intérêtscachés. Dans ces deux cas eneffet, la direction générale acréé des sociétés-écran quiont réalisé des transactionsavec la société. Il sembleraitque ces sociétés-écran aientété clientes de la filiale

locale : elles achetaientapparemment des marchan-dises à un prix anormale-ment bas, ou ne payaient pasleurs factures. Les marchan-dises ainsi détournéesétaient ensuite revenduesaux clients finaux, soit auprix du marché, soit à un prixlégèrement inférieur. Dans le cas de Carrefour, lemécanisme est différentpuisqu'il n'est pas reprochéaux dirigeants un enrichisse-ment personnel. La filialebrésilienne avait, entreautres, mis en place un sys-tème de « cavalerie » comp-table, permettant de décalerdes charges. Elle négociaitauprès de fournisseurslocaux des remises condi-tionnées à des objectifs devente ambitieux. Si cesobjectifs n'étaient pasatteints en fin d'année, lafiliale ne remboursait pas lesremises mais, en compensa-tion, s'engageait sur de nou-veaux objectifs encore plusambitieux auprès desmêmes fournisseurs. Cemécanisme n'était possibleque grâce à un contact privi-légié avec les fournisseurslocaux, contact exclusive-ment assuré par la filiale.

Un marchéintermédiéDans les exemples de Pumaet Reebook, les dirigeantsavaient réussi à placer leursociété dans une structurede marché intermédié. Lafraude a été rendue possibleen passant par des sociétés-écran, qui jouaient en appa-rence le rôle d'intermédiaireentre la société et ses clients


ou fournisseurs. Le seulobjet de la société écran étaitde détourner une partie dela valeur ajoutée.

Il est frappant de constaterque ces quatre éléments seretrouvent dans d'autres trèsgrosses fraudes, dont lesmontants dépassent le mil-liard d'euros : Enron, Parma-lat, Olympus... Ce sont doncmanifestement des élémentsque doit rechercher l'audi-teur interne et qui doiventl'alerter.

Quelle devrait être l'attitudede l'auditeur pour évaluer,ou écarter, ce type derisque ? Comme pour tousles risques de fraude, l'audi-teur interne doit être attentifaux signaux d'alerte. Pourcela, il peut notammentrépondre aux questions sui-vantes :

• L'équipe dirigeante est-elle ancienne à son poste ?Des dirigeants nommésdepuis peu, connaissant malleurs collaborateurs, et sus-ceptibles d'être mutés dansquelques années, seront eneffet moins enclins à élabo-rer des schémas de fraudecompliqués.

• A-t-on des relationsanciennes avec des clients,fournisseurs, investisseurslocaux ?Ces relations sont en effetplus difficiles à contrôler, carelles sont souvent plus per-sonnalisées. Dans beaucoupde fraudes, l'ancienneté dela relation client / fournis-seur a ainsi été décisive.C'est, par exemple, ce quis'est passé pour Ahold (àl'époque numéro deux de lagrande distribution, derrièreWal-Mart et devant Carre-four), qui avait, avec la com-plicité de ses fournisseurs,gonflé son résultat d'un mil-liard de dollars.

• Connaît-on les action-naires et dirigeants de cespartenaires locaux ?La présence d'actionnaires

minoritaires dans une filialedoit, à cet égard, être unsignal d'alerte supplémen-taire. Ainsi, dans le cas de lafiliale grecque de Puma, lesdirigeants étaient égalementactionnaires minoritaires. Cesont eux qui ont engagé lafiliale dans des relationscommerciales avec dessociétés qu'ils avaient créées.Les auditeurs internes nedevraient donc pas hésiter àse renseigner sur les autresmandats ou participationsque détiennent les action-naires minoritaires desfiliales, a fortiori si cesactionnaires sont impliquésdans la gestion de la filiale.

• Est-on certain que l'on abesoin de passer par desintermédiaires (avec lesfournisseurs ou avec lesclients) ? A-t-on envisagéde gérer directement lesrelations avec les clients ? Le passage par des intermé-diaires peut être tout à faitjustifié, mais l'auditeur doitjustement s'assurer qu'ils'agit d'une stratégie délibé-rée, validée par les action-naires et par le siège. Il fau-drait donc vérifier si la filialea effectivement envisagéd'autres options, et si cechoix a été validé par uneanalyse indépendante, parexemple d'une étude demarché ou d'un conseil enstratégie.Dans le cas où les filialespassent par des grossistes oudes distributeurs, les audi-teurs devraient au moinsvérifier si l'on connaît lesprix de vente au client final,et si les marges des distribu-teurs semblent cohérentesavec leur prestation.

• Y a-t-il au sein de lafiliale un contre-pouvoirindépendant du manage-ment local ?Une pratique courante dansbeaucoup de groupes inter-nationaux consiste à nom-mer des directeurs financiersou contrôleurs de gestionqui ne dépendent pas de lafiliale, mais directement du

siège. La rotation à cespostes est souvent rapide(tous les 3 à 5 ans suivant lespays). Cela permet de créerun contre-pouvoir dans lesfiliales, indépendant de ladirection générale, rendantdes comptes directement ausiège et garant de la mise enœuvre des règles et procé-dures décidées par legroupe.

• Les comptes sont-ilscertifiés par un commis-saire aux comptes indé-pendant ?La présence d'un commis-saire aux comptes indépen-dant n'est pas une conditionsuffisante pour éviter lesfraudes. Ainsi, dans les troisexemples ci-dessus, les com-missaires aux comptes n'ontpas su détecter les fraudescommises par les directionslocales. Les autorités detutelle brésiliennes etindiennes ont d'ailleurslancé des enquêtes pourévaluer leur responsabilité.La certification des comptesde la filiale reste cependantune condition sine qua nonpour empêcher ce type defraude massive. Les audi-teurs internes devraientdonc être particulièrementvigilants en cas de réserveémise par les commissairesaux comptes ; ils doiventaussi s'interroger s'ilsconstatent que les commis-saires aux comptes locauxn'ont pas été choisis par lesiège, et ne sont pas lesauditeurs du groupe. Demême, la présence d'unestructure juridique complexe(présence de sous-filiales,participations minori-taires...) doit constituer unélément d'alerte pour l'audi-teur, qui doit, dans ce cas,s'assurer qu'un même com-missaire aux comptes a bienun mandat unique surtoutes les filiales, et a doncune vue d'ensemble de l'ac-tivité locale. En cas de doute,il est envisageable dedemander au commissaireaux comptes de réaliser destravaux complémentaires sur

la question des conflits d'in-térêt du management, parexemple en recherchant lesactionnaires et dirigeantsdes principaux clients, four-nisseurs, partenaires locaux.Enfin, les auditeurs internesne devraient pas hésiter,dans le cadre de leur audit, àrencontrer les commissairesaux comptes.

• A-t-on créé un Comitéd'audit ? Sinon, le Conseild'administration joue-t-ilbien ce rôle ?Une bonne pratique quipeut également être vérifiéepar les auditeurs est l'exis-tence d'un Comité d'auditlocal, comprenant des mem-bres du siège. Le Comitéd'audit devrait choisir lescommissaires aux comptes,décider de leur périmètred'action et de leur budget, etles rencontrer périodique-ment. Le Comité d'auditdevrait aussi établir une rela-tion directe et régulière avecla direction financièrelocale ; cela permet d'avoirun effet dissuasif certain, caril est plus risqué pour undirecteur général de deman-der à sa direction financièrede maquiller les comptes sicette dernière rencontrerégulièrement le Comitéd'audit.

Les auditeurs internes nedoivent donc pas seulementaborder les risques de« petites fraudes », com-mises par des employésindélicats. L'actualitérécente montre que les plusgrosses fraudes partent d'enhaut, et sont organisées parles directions généraleselles-mêmes. Il est doncnécessaire, lors d'un audit,d'évaluer si le contexte est àrisque (direction généraleancienne, marché intermé-dié...) et si les bonnes pra-tiques pour empêcher cesfraudes sont bien en place(rotation aux postes clef,indépendance de fait duDAF, Comité d'audit...).

8

IDÉES ET DÉBATS


La mise en œuvredu contrôle interneimpulsée au sein des OPCA

Nathalie Cretel

Directeur du contrôle interne,OPCA PL

Diplômée en droit, Nathalie Cretela assuré dans le secteur bancaire,les fonctions de responsable recou-vrement, qualité des processus,contrôle interne, de directeur del’audit et des contrôles, puis de res-ponsable conformité groupe, avantd’intégrer le secteur de la forma-tion professionnelle continue entant que directeur du contrôleinterne à l’OPCA PL.

Les organismes paritairescollecteurs agréés au cœur dela réforme de la formationprofessionnelle

Les organismes paritaires collecteursagréés (OPCA) sont des institutions àgestion paritaire dotée de la personna-lité morale de droit privé. Principale-ment réglementés par le code du travailsous l’autorité de la DGEFP (DélégationGénérale à l’emploi et à la formationprofessionnelle) et régis par des accordscollectifs, ils sont agréés par l’Etat afinde collecter les contributions financièresdes entreprises qui relèvent de leurchamp d’application, dans le cadre de laformation professionnelle continue. LesOPCA mutualisent les contributionsfinancières versées par les entreprises,soit dans le cadre de leur obligation àcaractère fiscal, soit au titre d’une obli-gation conventionnelle prévue dans unaccord collectif étendu, soit au titre d’unversement volontaire pour prendre encharge, selon les priorités de branche, lesformations ou les stages au titre du plande formation, de la professionnalisationet du droit individuel à la formation,voire selon leur agrément, des congésindividuels de formation. Les OPCAsont constitués par un accord fondateurconclu entre les organisations syndicalesd’employeurs et de salariés, représenta-tives dans le champ de l’accord.

Dans le cadre de la réforme de la forma-tion professionnelle, la loi du 24 novem-bre 2009, relative à l’orientation et à laformation professionnelle tout au long

de la vie, et le décret n°2010-116 du 22septembre 2010, relatif aux organismescollecteurs paritaires agréés des fonds dela formation professionnelle continue,étoffent le champ d’action des OPCA,déterminent de nouvelles conditionsd’agrément des OPCA au 1er janvier2012, notamment en fixant le niveauminimum de collecte à 100 millionsd’euros et créent un mécanisme deconventionnement entre l’Etat etchaque OPCA sur les objectifs et lesmoyens des services rendus par l’OPCAdistinguant les frais de missions consa-crés à l’accompagnement, au conseil,aux services de proximité et à l’ingénie-rie de formation, des frais de collecte, degestion administrative et de frais deparitarisme.

En conséquence de ces nouvelles dispo-sitions, le paysage des OPCA s’estmodifié au début de cette année avecleur réorganisation et leur rapproche-ment réduisant de moitié le nombre desOPCA mais augmentant leur surfacefinancière.

Un nouveau paysageprivilégiant le contrôleéconomique et financier,la transparence etla performance defonctionnement des OPCA

La réforme a plusieurs objectifs : renfor-cer la transparence dans la gestion et lagouvernance des organismes, renforcerla péréquation des fonds, accroître l’offreet la qualité des services des OPCA,


notamment en mettant en place un ser-vice de proximité particulièrement des-tiné aux besoins en formation des TPE-PME, la mutualisation de l’ingénierie. Ces enjeux se concrétisent par l’organi-sation de nouveaux acteurs de place etdu contrôle des OPCA, la mise en placede bonnes pratiques, l’introduction denouvelles obligations ou interdictionspour les OPCA.

Le dépassement des frais de gestionnégociés dans la convention triennaleconclue avec l’Etat, peut entraîner dessanctions pour l’OPCA.

Il est créé un fonds paritaire de sécuri-sation des parcours professionnelsauquel les OPCA doivent reverser unpourcentage de leur collecte fixé annuel-lement par arrêté ministériel. Le FPSPPcontribue au financement d’actions deformation professionnelle sur la based’appels à projet et assure des verse-ments complémentaires aux OPCA autitre de la professionnalisation et ducongé individuel de formation.

Par ailleurs, le nouvel article L6332-1-2du code du travail prévoit que le FPSPPétablit et publie une charte de bonnespratiques pour les OPCA et les entre-prises.

Des principes en matière d’incompati-bilités de mandats sont introduits ausein de l’article L6332-2-1 du code dutravail et visent à réduire les risques deconflit d’intérêt d’une personne exerçantune fonction de salarié ou d’administra-teur au sein d’un OPCA.Les obligations de publicité sont renfor-cées dans le sens d’une meilleure infor-mation et lisibilité par l’ensemble desacteurs : les OPCA ont l’obligation depublier sur leur site internet, dans unerubrique dédiée et identifiable, la listedes priorités, des critères et des condi-tions de prise en charge, la liste desorganismes de formation bénéficiairesdes fonds de l’organisme collecteur, lescomptes annuels, ainsi que le rapport ducommissaire aux comptes. La rubriquedoit être actualisée dans les 15 jours sui-vant la modification de l’une de cesinformations.

Le rapport de gestion de l’OPCA certifiépar les commissaires aux comptes, jointà l’état statistique et financier (l’ESF)communiqué à la DGEFP avant le 31mai de chaque année, est complété etdoit désormais détailler l’évolution descharges par nature et par destination,ainsi que l’organisation et la mise enœuvre du contrôle interne et les diffé-rentes procédures permettant de fiabili-ser l’usage des fonds (article R6332-1 ducode du travail).

L’autorité des services de contrôle de laDGEFP a été confirmée et renforcée. Pararrêté du 25 novembre 2011du ministrede l'Économie, des Finances et de l'In-dustrie et de la ministre du Budget, desComptes publics et de la Réforme del'État, la mission du service du contrôlegénéral économique et financier desorganismes chargés de l'emploi et de laformation professionnelle est désignéepour exercer le contrôle économique etfinancier de l'État sur les OPCA.

L’engagement fort de l’OPCAPL dans la mise en place dela fonction contrôle interne

L’OPCA PL, organisme paritaire collec-teur agréé des professions libéralesreprésentant 17 branches profession-nelles (sections cadre de vie, juridique etjudiciaire, officier public ministériel,santé et experts en automobile) a élargison champ d’action en intégrant depuisle 1er janvier 2012, les activités del’OPCA collecteur des contributions desentreprises relevant de l’hospitalisationprivée (ex FORMAHP).

L’OPCA PL s’est fortement engagé dansla mise en place d’une fonction contrôleinterne avec pour objectif d’améliorer latransparence et l’efficacité de l’ensemblede ses activités. La création de cettefonction a été décidée par le Conseild’administration dès décembre 2009,alors que la réforme de l’agrément desOPCA venait de paraître, dans la conti-nuité d’une démarche qualité qui avaitété initiée en 2009, permettant ainsi àl’OPCA PL de disposer d’un premierniveau de cartographie des processus etd’activités métiers. L’enjeu était d’orga-

niser dès 2011 le pilotage interne desrisques et de mettre en exergue lescontrôles contribuant à la fiabilisationdes procédures.

Les objectifs du contrôle interne sontprincipalement de s’assurer du respectdes règles de fonctionnement, des pro-cédures et des décisions du Conseild’administration, vérifier la conformitédes activités avec le corpus réglemen-taire, sécuriser les flux financiers. Autantde garanties indispensables pour lesadministrateurs et les équipes tech-niques de l’OPCA PL, l’Etat et les entre-prises adhérentes dans une vision opé-rationnelle de réduction des risques.

La fonction contrôle interne, pourvuedès septembre 2010 par le recrutementd’un directeur contrôle interne, est rat-tachée hiérarchiquement à la présidenceparitaire et rend compte fonctionnelle-ment au directeur général. Les adminis-trateurs tiennent à préserver l’indépen-dance de la fonction tout en privilégiantune gestion intégrée des risques et descontrôles. Au regard de la taille de l’organisme(134 salariés au 01/01/2012), la fonctioncoordonne 4 métiers : la gestion risques,le contrôle permanent, la conformité etl’audit interne. Toutes personnes exer-çant au sein de la fonction contrôleinterne est tenue au respect de règleséthiques définies dans une charte desdroits et devoirs : intégrité, confidentia-lité, impartialité, professionnalisme,indépendance.

Une démarche contrôleinterne encadrée

Des normes et cadres de référencesen contrôle interne transposés àl’OPCA PL

En l’absence de dispositions légales,réglementaires ou de normes profes-sionnelles propres à l’organisation etaux modalités de mise en œuvre ducontrôle interne des organismes pari-taires collecteurs agréés, l’OPCA PL aconçu son propre modèle en s’inspirantdes cadres de référence de place, telsque la « mise en œuvre des dispositifs de

10

IDÉES ET DÉBATS


gestion des risques et de contrôleinterne » de l’AMF, COSO II et, notam-ment en raison de la similitude de cer-tains de ses processus avec ceux du sec-teur bancaire, du CCLRF n°97-02 relatifau contrôle interne des établissementsde crédit et des entreprises d’investisse-ment .

Le contrôle interne s’applique à l’en-semble des activités de l’OPCA PL, ycompris aux activités externaliséesauprès de prestataires, de mandatairesde collecte et de tout autre intermé-diaire, ainsi que des contreparties signa-taires d’éventuelles conventionsconclues avec l’OPCA PL dans le cadred’un partenariat avec, par exemple, unecollectivité territoriale ou une institutionpublique comme Pôle emploi.

Un standard interne de règles a été for-malisé puis approuvé par les adminis-trateurs afin d’encadrer le dispositifcontrôle interne à déployer à moyenterme :• Un référentiel de contrôle internedéfinit les objectifs, les principes et lesdispositifs de contrôle interne propresaux activités de l’OPCA PL, et orga-nise de manière anticipée le contrôleinterne dans le cadre d’un rapproche-ment avec un autre organisme pari-taire.

• Une charte des droits et devoirs orga-nise le rôle, les responsabilités et lesdroits des collaborateurs, des respon-sables d’activités, des membres duComité de direction, du directeuradministratif et financier, du directeurgénéral, de la présidence et des tréso-riers dans la mise en œuvre ducontrôle interne.

• Une charte de gouvernance et depilotage précise les principes deconflit d’intérêt, de transparence, desurveillance de l’efficacité et de l’effi-cience du contrôle interne. Le rôle desinstances internes de gouvernance enmatière de gestion des risques etcontrôle interne y est présenté.

Les 4 métiers coordonnés par la fonctioncontrôle interne sont présentés dans leréférentiel. Leurs missions et procédures

sont organisées de manière à disposerd’un système de contrôle efficace et per-tinent, à développer une synergie entredispositifs de chaque métier, ainsi qu’àfaciliter la séparation des fonctions si lataille de l’OPCA PL évoluait dans lefutur.

Concernant le respect des règles déon-tologiques de l’audit interne, une règleest fixée : tout audit du dispositifcontrôle interne devra être réalisé par unaudit externe, tant que l’audit internen’est pas séparé de la gestion des risqueset du contrôle permanent. Quant auxaudits internes de processus, de confor-mité ou organisationnels, l’existence deprocédures distinctes et de méthodesappropriées à la réalisation de ce type demissions permet de garantir le principed’objectivité. Par ailleurs, les constats etrecommandations issus de ces auditsconstituent des informations utiles etnécessaires pour la gestion des risqueset améliorent le dispositif de contrôlepermanent.

Organisation de la gouvernance ducontrôle interne

L’organisation de la gouvernance ducontrôle interne a plusieurs enjeux :• intégrer le contrôle interne dans lesprocessus de pilotage de l’OPCA PLet dans le processus de gestion deprojets ;

• partager l’appétence au contrôleinterne au sein de l’organisme ;

• assurer que l’attitude des collabora-teurs est cohérente avec celle dumanagement et des dirigeants ;

• veiller à ce que les équipes de la fonc-tion contrôle interne aient les compé-tences et la légitimité nécessaires àl’exercice de leurs responsabilités.

La gouvernance du contrôle interne doitêtre adaptée à l’organisation de l’OPCAPL qui est notamment caractérisée parles règles du paritarisme et les règles defonctionnement propres aux OPCA. Lesadministrateurs sont des élus d’organi-sations syndicales et patronales dontl’intérêt à protéger est politique avantd’être financier. Autant de paramètres

qui ne sont pas nécessairement ceuxdans l’état d’esprit des textes applicablesà d’autres sociétés privées, tels que la8ème directive européenne, les articlesL225-37 et L225-68 du code de com-merce ou encore les dispositions du titreVI du CCLRF n° 97-02 déterminant lerôle des organes exécutifs et délibérants.

La mission en contrôle interne duConseil d’administration a été introduitedans les statuts de l’OPCA PL à l’occa-sion de son renouvellement d’agrément.Il nomme un Comité des risques etd’audit dont la composition est définiedans la charte de gouvernance et depilotage en contrôle interne. Le Comitédes risques et d’audit porte notammentune appréciation sur la qualité ducontrôle interne, la cohérence des sys-tèmes de mesure, de surveillance et demaîtrise des risques.

Un déploiement du contrôleinterne progressif et maîtrisé

Un incontournable : la fédération dessalariés et des administrateurs aucontrôle interne

Un plan de communication et de sensi-bilisation au contrôle interne est mis enœuvre. Dès le début de la démarche, uneprésentation détaillée du contrôleinterne a été animée auprès des admi-nistrateurs. L’ensemble des salariés abénéficié d’une présentation généraledu dispositif dès le 1er semestre 2011.Cette même présentation est planifiéeau 1er trimestre 2012 auprès des nou-veaux salariés issus de l’organisme ayantfusionné avec l’OPCA PL, dans l’objectifd’assurer un même niveau de sensibili-sation des collaborateurs avant mêmeleur intégration au sein des locaux.

Une filière fonctionnelle contrôleinterne est mise en place afin de dispo-ser d’une « force motrice » pour ledéploiement du dispositif. La fonctioncontrôle interne s’appuie sur un réseaude correspondants opérationnels dési-gnés au sein des activités, formésnotamment à l’élaboration de cartogra-phie des risques.


Un Comité opérationnel du contrôleinterne, ad hoc, est prévu pour suivre lesrisques et l’avancement des plans d’ac-tion, informer sur les incidents et leurcorrection, observer l’efficacité descontrôles permanents, partager les pra-tiques entre correspondants.

Un logo propre au contrôle interne a étéconçu et représente les 4 métiers et leursdispositifs à déployer. Toute documenta-tion et communication relatives aucontrôle interne comportent ce logo,permettant ainsi aux salariés d’identifieret d’être attentifs aux informations de la« marque » contrôle interne. Ce logo estégalement l’image fédératrice autourd’un projet d’entreprise.

Une démarche initiée par la gestiondes risques

L’OPCA PL a choisi d’initier la mise enœuvre de son contrôle interne par lagestion des risques en raison des avan-tages qu’une telle démarche peut pro-curer dans une organisation dont lescollaborateurs ne sont pas initiés à uneculture ni à un jargon « contrôles ». Lesenjeux consistent à décloisonner lesactivités métiers, favoriser le partaged’informations et de connaissancesentre les services, impliquer tous lesacteurs de l’organisme afin de proscrireles préjugés sur le contrôle interne etanticiper les risques inhérents à la réor-ganisation de l’OPCA. Initier le contrôleinterne par la mise en œuvre de l’auditinterne aurait eu pour effet de renforcerla perception qu’avaient les collabora-teurs d’une fonction « policière ».

Une démarche de cartographie desrisques des processus se poursuit en2012. Il est nécessaire d’effectuer unerevue des processus pratiqués avant lafusion, d’une part, et ceux intégrés aprèsla fusion, d’autre part, afin de définir desaxes d’harmonisation, de fiabilisation oud’optimisation d’activités dans le cadrede l’accompagnement au changement.La centralisation des incidents devraitêtre organisée après l’aboutissement decette cartographie des risques.

Un standard des risques formalisé préa-lablement dans le référentiel contrôleinterne de l’OPCA PL définit des caté-gories de risques représentant les grandsrisques inhérents aux activités del’OPCA PL : risque opérationnel, risquede non-conformité, risque juridique,risque de contrepartie, risque financier.Des typologies de causes de risques sontdéclinées pour chaque catégorie, ainsique des typologies d’impacts. Chaqueévénement de risque identifié au seindes processus est rattaché à une cause etun impact définis au sein d’une mêmecatégorie de risques.

Ce référentiel inspiré de la classificationBâloise, permet d’encadrer l’analyse desrisques et d’aider les correspondants àassimiler la méthodologie. Des analysessimples des risques évalués peuventégalement être réalisées, sans qu’il soitbesoin d’un logiciel spécifique, pour res-tituer graphiquement un état mettant enexergue les principales causes et consé-quences dans chaque cartographie desrisques. Les contrôles permanents pratiqués ausein des activités sont recensés en partieà l’occasion de la modélisation des pro-cessus et de l’évaluation des risques.L’évaluation de ces contrôles seradéployée après la stabilisation des dis-positifs de gestion des risques, au mêmetitre que l’organisation des contrôles de2e niveau.

Le pilotage des risques RH dans lecadre de la fusion de l’OPCA PL

La première cartographie des risquesréalisée en 2011, sur demande de la pré-

sidence, portait sur les risques inhérentsaux processus ressources humaines envue de la fusion éventuelle avec d’autresorganismes. Une première évaluationdes risques a été réalisée avec la respon-sable des ressources humaines avant lerapprochement effectif. Après la fusion,une revue complète de la cartographiedes processus RH et des risques a étéeffectuée par les responsables d’activitésRH représentant respectivement lesactivités de l’OPCA PL et les activités del’organisme absorbé. Des plans d’ac-tions préventifs ont été préconisés surles risques majeurs. La cartographie desrisques et les plans d’actions définispour les risques majeurs sont validés parla présidence et la direction. Des respon-sables de plan d’action, membres de ladirection, sont désignés. Les résultatssont présentés au Comité des risques etd’audit.

En prenant connaissance des risquessignificatifs, la présidence a pu planifier,engager certaines actions préventives etattribuer des directives auprès des mem-bres de la direction transitoirementorganisée.

Les responsables d’activités en res-sources humaines ont trouvé l’intérêt àcette démarche : la cartographie desrisques est à la fois un outil d’anticipa-tion dans la gestion de projet permettantde réagir et d’être proactif, ainsi qu’unsupport de référence des actions à pla-nifier, à consulter en tant que de besoinau cours du projet. L’objectivité de l’ana-lyse des risques, la justification de l’éva-luation, la vision globale et transversedes risques synthétisée au sein d’unsupport normalisé fait de cette cartogra-phie des risques un véritable outil decommunication pour la fonction RH.Pour la direction et la présidence, la car-tographie des risques est un outil depilotage et d’aide à la décision contri-buant à la réussite de la fusion del’OPCA PL sur le plan social.

12

IDÉES ET DÉBATS


La communicationde l’audit interne versles organes de gouvernance

Michel Caty

Responsable de portefeuille demissions,GDF SUEZ

Responsable de portefeuille de mis-sions depuis 3 ans au sein de ladirection de l’audit interne de GDFSUEZ, Michel Caty a entamé sacarrière au sein de la directionfinancière du Groupe, dans les acti-vités de marché, les fusions-acqui-sitions et le contrôle de gestion.Ingénieur diplômé de l’Ecole Cen-trale de Lille, il est aussi titulaired’un DEA de Sciences de Gestion.

L’audit interne de GDF SUEZ eststructuré autour de 7 équipesd’auditeurs établies au siège et au

sein de chacune des 6 branches duGroupe. Des équipes plus restreintessont localisées dans certaines entités detaille réduite pour des raisons de gou-vernance locale.Plusieurs centaines de missions d’auditsont réalisées chaque année par lesauditeurs du groupe et un processusstructuré a été mis en place au sein de ladirection de l’audit interne pour assurerune communication efficace auprès dela direction générale de GDF SUEZ etdu Comité d’audit.

La communication sur l’activité de l’au-dit interne est organisée autour d’unrapport d’activité mensuel destiné auComité exécutif du groupe et d’un rap-port trimestriel présenté par le directeurde l’audit interne au Comité d’audit deGDF SUEZ.Ces productions s’inscrivent dans lesexigences des normes de l’audit interne(MPA 2420-1) qui stipulent que l’auditinterne a le devoir d’assurer une com-munication exacte, objective, claire,

concise, constructive, complète et émiseen temps utile.

Alerter le management,informer le Comité d’audit surl’efficacité du système decontrôle interne et de gestiondes risques

Le rapport d’activité mensuel vise à pré-senter au Comité exécutif du groupe unesynthèse des principaux constats iden-tifiés au sein du groupe au cours desmissions d’audit interne, et des recom-mandations émises. Les membres de ladirection générale peuvent ainsi êtrealertés sur des dysfonctionnementsintervenus hors de leur périmètre, maisdont le retour d’expérience peut êtrebénéfique pour leurs fonctions ou enti-tés. Les directeurs fonctionnels peuventaussi identifier, à partir des travaux réa-lisés sur le terrain par les auditeurs, dessignaux diffus concernant les processusdont ils sont en charge.Le rapport d’activité trimestriel vise àinformer le Comité d’audit dans le cadredes responsabilités reconnues par la 8ème

Directive, à savoir le suivi de l’efficacité

La communication sur l’activité de l’audit interne de GDF SUEZ est organisée autourd’un rapport d’activité mensuel destiné au Comité exécutif du groupe et d’un rapporttrimestriel présenté par le directeur de l’audit interne au Comité d’audit de GDF SUEZ.Le rapport mensuel présente une synthèse des principaux constats identifiés aucours des missions d’audit interne et des recommandations émises. Le rapport tri-mestriel traite de l’efficacité du système de contrôle interne et de gestion des risques.


du système de contrôle interne et degestion des risques.

Une information concise etémise en temps utile

Le rapport d’activité mensuel, volontai-rement limité à une seule page, est dif-fusé au Comité exécutif quelques joursaprès la fin du mois.En fonction de l’actualité, le rapport pré-sente environ 8 missions sous laforme d’un texte dequelques lignes indi-quant systématique-ment :• les éléments decontexte (chif-fre d’affairesde l’entité,objet de lamission, éten-due des tra-vaux...) ;

• l’opinion d’auditinterne ;

• les principaux constats etrisques identifiés ;

• les principales recommandations desauditeurs.

Une information claire etconstructive

Afin que les membres du Comité exécu-tif puissent évaluer rapidement lesenjeux, une grande attention est portéeà la présentation du contexte (le groupeest actif sur tous les continents et exercede nombreux métiers au sein de plusd’un millier d’entités juridiques) en évi-tant les acronymes et les termes tech-niques. Des faits identifiés concrets illus-trent l’analyse des risques et étayent lesrecommandations des auditeurs. Le tonest par ailleurs direct, mais mesuré.

Une information complète

Les rapports de missions émis par tousles auditeurs, quelle que soit leur locali-sation dans le monde, sont systémati-quement transmis au directeur de l’auditinterne du groupe.Ces documents sont analysés afin de

présenter :• les déficiences critiques susceptiblesd’affecter le groupe ;

• les déficiences présentant un niveaude criticité local et méritant néan-moins de figurer dans le rapport d’ac-tivité global.

Le principal critère retenu pour effectuerla sélection des missions présentées estle niveau de risque évalué par la mission

en termes financier, de réputationou de sécurité des per-

sonnes. D’autres para-mètres sont aussi prisen compte : • les missionsn’ayant pasidentifié de défi-ciences cri-tiques, maisconcernant desenjeux ou entités

significatifs pour legroupe ;

• les thèmes d’actualité ouayant fait l’objet de questionne-

ment de la part du management ;• les missions portant sur un thèmerarement abordé et permettant unretour d’expérience applicable à unpérimètre plus large.

Un échange est organisé avec chaquedirecteur d’audit de branche, lors de laphase de préparation du rapport, afin devérifier que les missions citées illustrentadéquatement la nature et l’étendue destravaux d’audit effectués pendant lemois écoulé.

Une information exacte

La synthèse en quelques lignes d’unrapport abordant parfois des probléma-tiques complexes est un exercice difficile.Afin d’éviter toute dilution ou déforma-tion de l’information, la source utiliséepour établir le rapport d’activité est lerapport d’audit.Pour assurer la correcte transcription desenjeux de la mission et toutes lesnuances du rapport dans la synthèse, leprojet de rédaction est validé avec lesdirecteurs d’audit de branche qui appor-

tent leur connaissance « terrain » et leurappréciation du contexte. Si nécessaire,l’auditeur responsable de la missionpeut aussi être consulté.

Une information objective

Le directeur d’audit interne du groupearbitre, le cas échéant, certaines options,adapte la tonalité des synthèses, assurela cohérence du message et la bonnehiérarchisation des enjeux. Il est, en par-ticulier, le garant final de l’objectivité etde l’indépendance de la communica-tion.

Une relation régulière etétroite avec le Comité d’audit

Les activités de l’audit sont présentéestrimestriellement par le directeur del’audit interne lors des séances duComité. Ces séances régulières sontcomplétées par des entretiens moinsformels réunissant le président duComité d’audit et le directeur de l’auditinterne du groupe.

L’information apportée au Comité d’au-dit doit lui permettre d’exercer les res-ponsabilités attribuées par la 8ème Direc-tive, à savoir le suivi de l’efficacité dusystème de contrôle interne et de ges-tion des risques.

Une activité d’audit proche duterrain et couvrant les enjeux

Les rapports d’activité présentent systé-matiquement une vision globale des

Le rapport d’activité mensuel de l’au-dit interne donne lieu à des ques-tions ou échanges au sein du Comitéexécutif de GDF SUEZ. Suite à sa diffusion, les membres dela direction sollicitent l’audit internepour obtenir certains rapports demissions ou pour organiser une pré-sentation ad hoc. L’intérêt qu’il suscite est une preuvede l’utilité et du caractère clé de cevecteur de communication pour l’im-pact de l’audit interne au sein dugroupe.

« Le dispositif decommunication mensuel – concis

et rapide – favorise une informationimmédiate et une action rapide du

management.Les auditeurs internes font ainsi la

démonstration qu’ils sont dans l’actualitédu business. »

Xavier Bedoret, directeur del’audit interne de GDF SUEZ

14

IDÉES ET DÉBATS


activités menées par l’audit interne avecune approche géographique, par métier,par processus et par risques.Le Comité d’audit peut constater laproximité de l’audit interne du groupeavec les opérationnels (les auditeurssont sur le terrain, là où le groupe exerceson activité) ainsi que la couverture desprincipaux processus et des risquesmajeurs du groupe. Il est aussi informéde l’avancement du plan annuel d’auditainsi que des principaux arbitragesapportés au plan en cours d’année.

Présentation des constatsles plus significatifs pourle groupe et des missionstypiques

Un focus sur quelques missions (présen-tation sur une à deux pages) permet decouvrir :• les constats portant sur des sujetsimportants ou sensibles ;

• certaines missions n’ayant pas identi-fié de déficience critique, mais faisantsuite à une demande du Comité d’au-dit, couvrant un sujet d’actualité, oupermettant de donner une assuranceraisonnable sur un processus majeuroù un thème à enjeu du groupe.

Pour ces missions, des éléments decontexte permettent de présenter l’en-vironnement et les objectifs de la mis-sion. Les constats et les recommanda-

tions de l’audit interne sont complétéspar les plans d’actions du managementqui permettent d’assurer que les dys-fonctionnements sont traités dans undélai raisonnable. Annuellement, un bilan de la revue ducontrôle interne du groupe est accom-pagné d’une conclusion du directeur del’audit interne sur la conformité, la maî-trise des enjeux et la performance glo-bale des opérations ainsi que de la syn-thèse des missions destinées à apprécierl’efficacité du contrôle interne à l’échelledu groupe.

Une identification rapidedes cas de non-conformitééthique, de leur traitementet des recommandationsen termes d’améliorationdu contrôle interne

Les cas de non-conformité éthiqueidentifiés au sein du groupe et le suivides actions de traitement menées par lemanagement sont présentés de manièrecomplète. Afin d’assurer le respect deslois et règlementations (secret judiciairesi des procédures sont en cours, prin-cipes éthiques sur l’intégrité et la dignitédes personnes), la liste des cas est pré-sentée de manière anonyme. Ce sujetest traité de manière coordonnée avec ladirection éthique et la direction juri-dique de GDF SUEZ.

Un bilan régulierde l’avancement des actionsde progrès

Un bilan de la mise en œuvre des plansd’actions par le management est pré-senté sous forme d’indicateurs parbranche. Des informations qualitativesdétaillées décrivent l’avancement desprincipaux plans d’actions lorsqu’ilsportent sur des sujets à enjeu pour legroupe.

Une étape clé : la présentationdu plan d’audit annuel

La présentation du plan annuel d’auditdonne lieu à un échange riche. L’auditinterne présente une vision détaillée des

principales missions venant couvrir desrisques et enjeux du groupe, et produitdes éléments quantitatifs sur les autresmissions (approche par pays, processus,type de mission).

Une évaluation régulièrede la satisfaction des partiesprenantes

Le directeur de l’audit interne du groupes’assure périodiquement que les formatsde communication donnent satisfactionaux parties prenantes : ce point fait par-tie du programme d’amélioration de laqualité qui est une exigence de l’auditinterne.Ainsi, lors de rencontres avec le mana-gement du groupe et le président duComité d’audit, il recueille périodique-ment leurs attentes. Des contacts régu-liers avec des personnes assistant auComité d’audit (directeur financier,auditeurs externes) permettent aussi devalider l’impact des présentationsmenées par l’audit interne et complètentainsi la boucle d’amélioration.

Un point de vigilance : L’organisa-tion du groupe est complexe. Plu-sieurs entités significatives disposentd’un Comité d’audit ou sont cotéessur les marchés financiers (Suez Envi-ronnement, Tractebel Energia…).L’audit interne de GDF SUEZ doit veil-ler à ce que l’information soit diffuséede manière organisée au sein dumanagement et des différentsniveaux d’organes de gouvernance.Ainsi, il tient compte des calendriersdes différents comités, de leurs règlesde fonctionnement et des normesprofessionnelles de l’audit interne.Une relation étroite avec les direc-teurs de l’audit interne des branchespermet d’identifier et d’intégrer cesquelques contraintes.

GDF SUEZGDF SUEZ inscrit la croissance res-ponsable au cœur de ses métiers(électricité, gaz naturel, services àl’énergie et à l’environnement) pourrelever les grands enjeux : répondreaux besoins en énergie, assurer lasécurité d’approvisionnement, luttercontre les changements climatiqueset optimiser l’utilisation des res-sources.Le groupe propose des solutions per-formantes et innovantes aux particu-liers, aux villes et aux entreprises ens’appuyant sur un portefeuille d’ap-provisionnement gazier diversifié, unparc de production électrique flexi-ble et peu émetteur de CO2 et uneexpertise unique dans quatre sec-teurs clés : le gaz naturel liquéfié, lesservices à l’efficacité énergétique, laproduction indépendante d’électri-cité et les services à l’environnement.GDF SUEZ compte 218 900 collabo-rateurs dans le monde pour un chif-fre d’affaires en 2011 de 90,7 milliardsd’euros.


DOSSIER

Contribuer à la valeurajoutée des organisationsUne finalité pour l'audit et le contrôle internes

Comment le contrôle et l’audit internes peuvent-ilscontribuer à la valeur ajoutée des organisations ?Brigitte Charton et Patrick Garnier

21

Développer l’usage managérial du contrôle internepour un dispositif à valeur ajoutéeJean-Christophe Kypriotis et Michel Tudrej

16

Quelle place et quelle valeur ajoutée pour le contrôleinterne dans un grand groupe industriel ?Michel Tudrej

24

Sécuriser les risques, mission première de l’auditinterneBenoît Derville

19

Développer l’usage managérialdu contrôle interne pour undispositif à valeur ajoutée

Le groupe professionnel « Contrôle interne » de l’IFACIa produit un cahier de la recherche sur « La création devaleur par le contrôle interne ». Le développement de

la valeur d’usage managérial du contrôle interne y est présentécomme un des indicateurs clés de cette création de valeur.

Ces dernières années, les obligations réglementaires ont renduincontournable la formalisation du contrôle interne dans lesentreprises (loi Sarbanes Oxley aux USA, Loi de Sécurité Finan-cière et réglementations sectorielles en France, directives euro-péennes), par contre ces exigences de conformité masquentparfois la réalité de la valeur d’usage managérial qui est unatout majeur du contrôle interne.Il est vrai aussi que la première compréhension du mot« contrôle » en français réduit le sens de « maîtrise et pilotagedes activités » exprimé dans le langage anglo-saxon à une sim-ple notion de contrôle de conformité.Pourtant, l’amélioration des processus, la sécurisation des actifset la fiabilisation des flux d’information représentent autantd’objectifs susceptibles d’illustrer cette valeur d’usage.

Aussi, pour développer cette valeur d’usage managérial du dis-positif de contrôle interne au sein d’une organisation, ilconvient tout d’abord d’obtenir le soutien de quelques acteursmajeurs de l’organisation. Majeure entre toutes, la directiongénérale joue un rôle central, particulièrement moteur, car c’esttoujours elle qui se doit de définir les grandes lignes directricesdu dispositif de contrôle interne et de s’assurer périodiquementde son efficacité.D’autres acteurs peuvent aussi jouer un rôle important desponsor : les organes de gouvernance ou encore des directions

fonctionnelles (par exemple, une direction des systèmes d’in-formation qui assure la bonne intégration des points decontrôle clés dans les applications métiers ou qui maîtrise lesrisques d’indisponibilité des ressources informatiques).

16

DOSSIER


Jean-Christophe Kypriotis - Directeur du contrôle interne, GDF SUEZ - Co-pilote de l’unité de

recherche « La création de valeur par le contrôle interne » de l’IFACI

Michel Tudrej - Directeur de mission, responsable de l’animation du contrôle interne, Groupe EDF - Co-pilote de l’unité de recherche « La création de valeur par le contrôle interne » de l’IFACI

17

Contribuer à la valeur ajoutée des organisations

juin-juillet 2012 - Audit & Contrôle internes n°210

Afin de prendre en compte les partiesprenantes d’un dispositif de contrôleinterne dans une organisation, le cahierde la recherche propose d’adopter unedémarche structurée pour :• cartographier les parties prenantes ;• identifier et hiérarchiser leursattentes ;

• déterminer des critères de mesure deleur satisfaction ;

• adapter les moyens d’atteinte de leursobjectifs ;

• les informer sur la valeur ajoutée ducontrôle interne dans leur périmètre.

L’information des parties prenantes surla valeur ajoutée est fondamentale carelle permet de s’assurer que le dispositifde contrôle interne répond bien auxbesoins et d’identifier éventuellementles ajustements nécessaires.

Le cahier de la recherche propose despistes pour structurer ce retour d’infor-mation sur la valeur ajoutée du dispositifde contrôle interne et les conditions decette création de valeur :• indicateurs sur la capacité de l’organi-sation à disposer d’une structure etd’une gouvernance adaptée ;

• mesure de la capacité du dispositif à

être sur les « vrais » risques / oppor-tunités de l’entreprise et à améliorerleur niveau de maîtrise ;

• mesure de la qualité et de l’adéqua-tion des prestations liées à l’animationdu dispositif ;

• mesure de la satisfaction des partiesprenantes internes et externes.

Ainsi, toute action d’intégration ou deconvergence de démarches, telles quecontrôle interne, la qualité ou la sécurité,renforce l’efficacité globale des disposi-tifs et facilite leur appropriation par lemanagement opérationnel.

Dans certaines entre-prises, le dispositif decontrôle peut aussiêtre un vecteur d’har-monisation et de par-tage des bonnes pra-tiques. Pour cela, ils’appuie souvent surla mise à dispositionde référentiels decontrôle interne par-tagés au sein de l’or-ganisation et la miseen place de filièresd’animateurs du dis-positif de contrôleinterne.

Au-delà de ces élé-ments caractéris-

tiques de l’usage managérial, l’unité derecherche a identifié quelles sont les clésde réussite majeures lors des phasesd’élaboration et de déploiement d’undispositif de gestion des risques et decontrôle interne.Parmi celles-ci, on peut retenir :

a) Une approche réaliste,adaptée et en phase avec lesbesoins opérationnels

En effet, il est primordial que ladémarche se mette en place à un rythmeen ligne avec la maturité des processus,et en adéquation avec les attentes des

clients internes (organes de gouver-nance, direction générale, directionfinancière …) et externes (commissairesaux comptes, autorités de régulation,clients …).

De plus, la démarche doit prendre encompte et être en totale adéquation avecla culture de l’organisation et des diri-geants (éthiques, valeurs …) et l’appé-tence forte qui est affichée ou encorenaissante pour mettre en place unedémarche structurée. A cet effet, lesconclusions du cahier de la recherchesur les variables culturelles du contrôlepeuvent être utiles à prendre en consi-dération.

b) Un dispositif flexibleproactif et ouvert

Les éléments clés ayant un impact surles dispositifs de maîtrise des activitésqui sont en évolution permanente (envi-ronnement externe, lois et règlements,organisation interne, etc.), il est primor-dial que tout dispositif soit dès l’origineconçu afin de pouvoir assurer un degréde flexibilité suffisant pour être adapta-ble et adapté en tant que de besoin.

De plus, il ne doit pas être l’apanaged’une communauté d’experts ducontrôle interne, mais il doit absolumentimpliquer tous les acteurs concernés, etceci aux différentes étapes de vie de cedispositif (élaboration, déploiement, uti-lisation et évolution).

c) Un dispositif connu de tous

Au-delà de la mise en œuvre d’un dis-positif répondant aux besoins des diffé-rentes parties prenantes, il est indispen-sable d’accompagner le déploiement parles actions de communication ad hocafin de permettre son ancrage et sabonne appropriation dans la durée.

Cette communication doit être continue,ciblée en fonction des objectifs de cha-

(1)Cartographier

les parties prenantes

(2)IdentiÞer et hiérarchiser

leurs attentes

(3)Déterminer des

critères de mesure de leur

satisfaction

(4)Adapter les

moyens d'atteinte de leurs objectifs

(5)Les informer sur la valeur ajoutée du

contrôle interne dans leur périmètre

18

DOSSIER


cun (car ces objectifs peuvent être diffé-rents entre les lignes managériales, lesfonctions financières et les autres fonc-tions transverses parties prenantescomme RH, SI, communication, juri-dique …, les opérationnels sans compterbien sûr les personnels directement encharge de l’animation de la démarche),et elle doit utiliser des canaux de com-munication efficaces.

Cette communication doit d’abord êtrecentrée sur la plus value réelle pour sus-citer l’intérêt des acteurs impliqués dansla démarche et démontrer qu’elle n’estpas uniquement liée à des aspects obli-gatoires et réglementaires. Il est doncprimordial de trouver le bon axe decommunication qui varie d’une entre-prise à l’autre pour lever l’obstacle évo-qué ci-dessus de la mauvaise compré-hension et interprétation du terme« contrôle interne ». Le cahier de larecherche donne des éléments et desexemples intéressants sur ces différentspoints.

d) Un dispositif piloté à partird’un système de reportingfiable

le dispositif de reporting doit être penséet mis en place dès les premières phasesde déploiement et doit être destiné évi-demment en premier lieu à la directiongénérale et au Comité d’audit. Il appar-tient à l’entité corporate en charge de cepilotage de bien identifier les acteurs etle périmètre qui doit être intégré dans cereporting et le cas échéant d’en identifierles zones d’exclusion, afin de vérifier quecela est acceptable (cas des filiales iso-lées ou non majoritairement contrôlées).

e) Un programme d’entrepriseimpliquant un réseau decontrôle interne

Un risque important de non succès estlié à un pilotage avec une centralisationexcessive ou une concentration des res-

ponsabilités au sein d’un cercle d’ex-perts qui ne permettront pas l’adhésionde l’ensemble des personnels, qui sontpourtant au cœur des activités et desrisques, et par conséquent les premiersconcernés par la nécessité d’un niveaude maîtrise adapté.

Si l’existence d’un noyau corporate estincontournable, rien que pour définir lapolitique du groupe et assurer un pilo-tage pour la direction générale, il paraîtimportant de mettre en œuvre un réseaude responsables de contrôle interne auplus près des top managers opérationnelset fonctionnels de chaque société. Eneffet tout manager qui porte une activitéjugée importante est inévitablementsoumis à des risques associés (de nonatteinte de ses objectifs), aussi il se doitde mettre en place un dispositif de maî-trise de ces risques et donc de définir lesressources utiles pour mener cetteaction (cf. exemples dans le cahier de larecherche).

f) Des démarchescoordonnées

Comme déjà évoqué ci-dessus, diffé-rents acteurs contribuent à la bonnemarche du contrôle interne et il est pri-mordial que des synergies et des cohé-rences soient identifiées et mises enœuvre pour optimiser l’ensemble desdémarches pouvant exister dans unesociété (d’autant que certaines existentdepuis longtemps car liées aux proces-sus ou modes de management). L’inté-gration de ces démarches (CI, risques,assurance qualité, EFQM, fonctionne-ment par processus ...) et des acteursclés (animateurs de CI, animateurs degestion des risques, contrôleurs de ges-tion, responsables SI, responsables qua-lité, conformité, etc.) dans un systèmede management intégré structuré est deplus en plus la solution recherchée et laréponse adaptée. La définition d’indicateurs fiables etincontournables permettant de suivre et

de mettre en lumière la valeur ajoutéed’un dispositif de contrôle interne resteun challenge à relever. En effet, s’il existeaujourd’hui un nombre important d’in-dicateurs, la notion d’efficacité ducontrôle interne réside plus dans le suivide cette efficacité, par la mise en évi-dence des faiblesses et des plans d’ac-tion ad hoc correspondants, que par lamesure intrinsèque de cette efficacité.

Ceci est dû au fait que le contrôleinterne, comme la majorité des fonc-tions transverses, ne peut se décliner parun simple ratio coût / bénéfice, car si lecoût peut éventuellement être calculé,les bénéfices sont souvent des élémentsliés à des coûts évités ou des probabilitésd’occurrence. Toutefois, l’histoire récentemontre combien des lacunes de contrôlepeuvent avoir des conséquences gravesvoire … fatales pour les organisations,qu’elle doit nous encourager à poursui-vre le développement de dispositifs decontrôle interne de plus en plus adaptés,performants et efficients avec convictionet sans état d’âme.

19



Sécuriser les risques,mission première de l’auditinterne

L’audit et le contrôle internes doivent contribuer à la valeur ajoutée des organisa-tions. Pour cela, ils doivent s’assurer que les risques de tous ordres, et pas seulementfinanciers, sont maîtrisés. La valeur ajoutée implique notamment une adhésionsans réserve des audités aux recommandations, et une relation forte de l’audit avecle top management et le Comité d’audit.

Jean-Loup Rouff : L’audit et le contrôleinternes contribuent à la valeur ajoutée desorganisations dans la mesure où ils sontefficients. Comment, et avec quels outils,mesurez-vous cette efficience ?

Benoît Derville : Les meilleures pra-tiques recommandent que les contrôlesinternes et les audits soient réalisés surles activités et sur les processus sensi-bles, afin de sécuriser les risques :risques financiers, opérationnels, infor-matiques, juridiques, humains, légaux,réglementaires, voire risques de réputa-tion et il y en a sans doute d’autres.Dès lors que les contrôles et les missionsportent bien sur les activités et les pro-cessus fondamentaux, ils ont une valeur

ajoutée précieuse pour l’entreprise endonnant un éclairage précis sur la qua-lité des processus et sur le niveau demaîtrise des activités… parfois sousl’angle habituel de l’analyse qui est faiteen interne, mais parfois également sousun angle d’analyse différent.Valeur précieuse également, en mettanten évidence les insuffisances ou lessources de progrès pour se conformeraux axes stratégiques en termes de per-formance financière, de seuil de qualité,d’organisation interne.Un troisième aspect de valeur ajoutéeest la mise en place de plans d’actionadéquats, en ayant à l’esprit en perma-nence l’efficacité du couple : efficacitéattendue de la recommandation etimpact de sa mise en œuvre. Echappentà cette règle certains aspects liés auxobligations réglementaire et légaux,voire parfois d’autres aspects.Sur les outils, pour avoir une efficienceoptimale sur les fonctions de contrôle, ilest indispensable d’avoir une bonneconnaissance de l’entreprise, de ses pro-cessus, de ses risques. Et le déploiementd’outils comme la cartographie des

risques, par activité et par processus,avec la reprise des points de contrôle surces activités et ces processus, est essen-tiel. Identifier l’ensemble des risques,que ce soit à l’intérieur d’une businessunit ou sur un métier, et identifier lescontrôles positionnés sur chaque risque,cela donne beaucoup de sens à ladémarche.En outre, nous effectuons une démarched’identification, de dénombrement, devalorisation de l’ensemble des incidentsopérationnels qui se produisent dansl’entreprise. Il peut s’agir d’incidentsopérationnels sur le système d’informa-tion, ayant un impact sur toute la vie del’entreprise ; il peut s’agir du non-res-pect des réglementations ; il peut s’agirégalement d’incidents ayant un impactsur les aspects comptables et financiers.Nous avons donc un suivi de la réparti-tion des incidents par nature d’incident,par filiale ou par business unit, et unevalorisation monétaire des incidentsavec le manque à gagner et le coût de larésolution de l’incident. On établitensuite un ratio de coût d’incident surnotre produit net bancaire.

Entretien avec ...

Benoît Derville - Directeur de l’audit interne, Groupe Banque Accord

20

DOSSIER


Un dernier suivi porte sur les tauxd’avancement des plans d’action sur lesincidents avérés et sur les risques poten-tiels les plus importants.

J. L. R. : Quelles sont les difficultés rencon-trées par les auditeurs et les contrôleursinternes pour contribuer efficacement à lavaleur ajoutée ? Quels sont leurs atouts ? Lavaleur ajoutée s’évalue-t-elle exclusivementen termes financiers ?

B. D. : Tout n’est pas valorisable entermes financiers.Chaque audit débouche sur une recom-mandation et toute mise en œuvred’une recommandation génère un coût,parfois élevé. Et si l’on perçoit immédia-tement le coût de la mise en œuvre, ona du mal à valoriser dans le long termele bénéfice de cette recommandation. Iln’est donc pas facile de répondre à votrequestion.Néanmoins, un bon critère de mesurede valeur ajoutée, c’est le taux d’adhé-sion des audités aux recommandations,parce qu’on n’imagine pas qu’un auditéacceptera une recommandation qui n’apas de sens à ses yeux.Parfois, des critères très précis peuventmontrer que l’optimisation d’un proces-sus permet d’éviter une perte. Mais il estdifficile de l’évaluer tant que cette perten’est pas concrétisée.Les missions d’audit ou les fonctions decontrôle doivent mettre en valeur lebénéfice apporté par les recommanda-tions : optimisation d’un processus, gainfinancier, sécurisation d’un risque, et sipossible le valoriser. Quand on peutprouver l’intérêt d’une recommanda-tion, on fait parfois apparaître unenotion de valeur ajoutée potentielle.C’est le cas avec les recommandationssur les optimisations de processus, lesfusions d’équipes, la suppression detâches redondantes…

J.-L. R. : Les points suivants vous parais-sent-ils être de bons indicateurs de valeurajoutée : le professionnalisme des auditeurset des contrôleurs internes ; une planifica-

tion qui prend en compte les risques les plusimportants ; une relation forte avec le CEOet le Comité d’audit ? En voyez-vous d’au-tres ?

B. D. : Le professionnalisme des audi-teurs et des contrôleurs internes est,bien évidemment, indispensable, ets’apprécie au travers de la technicité etde la maîtrise des domaines audités.Mais ce n’est pas suffisant. La capacitédes auditeurs à mener leurs investiga-tions doit être avérée ; c’est le doigté del’auditeur dans sa démarche, sa persé-vérance, son intelligence et son discer-nement, voire sa fermeté, si cela estnécessaire. C’est un point essentiel.Le dernier point qui, pour moi, est fon-damental, est la capacité de l’auditeur àfaire adhérer l’entreprise – quand jeparle de l’entreprise, ce sont les audités,mais aussi le reste de l’entreprise, la hié-rarchie – à ses recommandations. Et jedis bien « adhérer », parce que la miseen œuvre d’une recommandation estd’autant plus acquise que l’adhésion estlà. Il est donc également très importantde sensibiliser la direction générale surcertains points essentiels de la mission.La planification prend en compte lesrisques les plus importants, d’où lanécessité de disposer de cartographiesactualisées des processus et des risques. De la même manière, il faut avoir unebonne visibilité sur les contrôlesinternes déployés et sur leurs résultats.Des contrôles sont exercés : que mon-trent-ils ? Cela sous-entend donc unreporting de qualité qui met en évidenceles évolutions des résultats de contrôle.Ce reporting doit être synthétique etdétaillé.Concernant les évolutions des résultatsde contrôle : est-on dans une démarched’amélioration de la maîtrise du proces-sus, ou dans une phase de régression ?Pour bien planifier, je le rappelle, il fautbien connaître les risques et savoir com-ment évoluent les contrôles sur les pro-cessus, sur les organisations, et sur lesrisques qui sont identifiés dans les car-tographies.

Quant aux relations fortes avec le CEOet le Comité d’audit, elles sont unecondition indispensable. Mais j’insisteraisur le fait que le rôle essentiel revient àla fonction audit qui doit être à l’écoutedu CEO et du Comité d’audit, afin derépondre à leurs attentes.

J.-L. R. : Les fraudes les plus importantessont rarement mises au jour par l’audit oule contrôle interne et ce, malgré le dévelop-pement régulier de ces deux fonctions. Nepensez-vous pas que cela donne raison àceux qui prétendent que le coût de la valeurajoutée est disproportionné par rapport aubénéfice retiré ?

B. D. : En France, on a du mal à parlerde fraude. C’est faire preuve de défianceà l’égard des organisations et deshommes en place. Et pourtant, onobserve, dans le monde, que les cas defraude se multiplient, qu’ils sont parfoisfort coûteux, et qu’ils concernent tousles métiers, toutes les régions, tous lespays.Cela nous oblige donc à garder les yeuxouverts et à intégrer cette démarchedans l’entreprise.Pour être efficace, il y a au moins deuxchoses à faire. La première, c’est sensi-biliser les strates de l’entreprise à lafraude potentielle, à l’environnementexterne dans lequel l’entreprise évolue.Pour moi, je pense que réussir cetteétape de sensibilisation, c’est déjà beau-coup, et cela doit constituer un effetdéclencheur majeur qui permettra lamise en place de moyens de lutte contrela fraude, et la fixation d’un plan avecdes premiers objectifs.La deuxième étape consiste à intégrerune organisation de suivi, avec détectionde la fraude. Il s’agit de mettre en œuvredes mesures préventives, comme lasécurisation de certains processus, decertaines activités soit au travers du ren-forcement de l’audit , soit encore avec lamise en service d’outils d’analyse ou dedétection... C’est un sujet très vaste.

21



Comment le contrôle et l’auditinternes peuvent-ils contribuerà la valeur ajoutée desorganisations ?

Constituée au 1er janvier 2010,

Groupama Gan Vie regroupe

l’ensemble des portefeuilles

d’assurance-vie du groupe Groupama

en France et assure la gestion de 175 000

contrats en collectives et plus de 3,2 mil-

lions de contrats en vie individuelle.

La création de l’entreprise Groupama

Gan Vie en 2010 s’est très vite accompa-

gnée de la mise en place d’une direction

contrôles / conformité / risques et d’une

direction de l’audit interne, toutes deux

indépendantes et rattachées directe-

ment au directeur général.

Les fonctions de contrôle interne et

d’audit interne agissent dans le cadre

d’une animation fonctionnelle au

niveau du groupe, qui intègre notam-

ment la prise en compte des nouvelles

obligations Solvabilité 2.

Le groupe Groupama considère que

la maîtrise des risques opérationnels

est un facteur d’efficience opération-

nelle et de satisfaction client. Les tra-

vaux de cartographie des processus,

risques et contrôles en cours de déploie-

ment à Groupama Gan Vie s’appuient

ainsi sur l’implication des opérationnels,

et constituent une démarche structurée

d’amélioration continue (cf. schéma).

L’efficience de l’audit etdu contrôle internescontribuent à la valeur ajoutée

L'efficience implique une optimisation

des moyens engagés au regard de l’ob-

jectif à atteindre. Autrement dit, le rap-

port coût / valeur ajoutée de l’audit et

du contrôle internes doit être un élé-

ment de questionnement permanent,

tant dans une démarche d’élabora-

tion du plan de contrôle permanent

que d’une mission d’audit.

Ainsi, concernant les processus métiers,

notre fonction contrôle permanent a

identifié les contrôles « clés » permettant

de couvrir des risques majeurs (par

exemple : lutte contre le blanchiment

des capitaux, devoir de conseil ...). Un

reporting des résultats de contrôle a été

mis en place ce qui permettra de suivre

la diminution des taux de non confor-

mité, et mesurer les effets des actions

correctives. La capacité à détecter les

opérations atypiques / anormales est un

indicateur important d’efficience de la

fonction.

La fonction d’audit interne a défini un

cadre méthodologique visant à organi-

ser la planification des étapes d’une

mission en limitant sa durée à 3 mois

Brigitte Charton - Directrice de l’audit interne, Groupama Gan Vie

Patrick Garnier - Responsable audit, contrôle, gestion des risques, Groupama Gan Vie

L’audit interne contribue à la valeur ajoutée de l’entreprise, par ses recommanda-tions majeures et les plans d’action qui s’ensuivent.Le contrôle interne permanent met en place des contrôles clés permettant de couvrirles risques majeurs.La valeur ajoutée ne s’évalue pas exclusivement en termes financiers, mais aussi entermes de professionnalisme des auditeurs et contrôleurs, et requiert une forte impli-cation de la direction.

22

DOSSIER


entre la date de la réunion d’ouverture

et de clôture et se concentrer ainsi sur

les enjeux majeurs. La durée et la charge

j/h consacrées à une mission d’audit

sont à ce titre des indicateurs.

Le nombre des recommandations (sans

être excessif) doit permettre de traiter les

problématiques majeures. Pour cela,

nous attachons beaucoup d’importance

au caractère opérationnel des recom-

mandations et à leur rédaction de

manière à faciliter leur traduction en

plan d’action. Les échéances des actions

identifiées par les audités ne dépassent

pas un an et demi, délai au delà duquel,

les recommandations risquent d’être

périmées.

Enfin, l’avancement des actions résulte

d’un dialogue continu entre l’auditeur et

les audités permettant d’accompagner

les directions dans la mise en œuvre des

actions et rester centré sur les objectifs

majeurs. Le taux d’avancement des

actions par statut (clôturée, en cours, à

initier) est suivi mensuellement, et res-

titué trimestriellement au Comité de

direction de Groupama Gan Vie. Ces

indicateurs sont également restitués

auprès de la direction audit général

groupe.

La valeur ajoutée ne s’évaluepas exclusivement en termesfinanciers

En tout premier lieu, la démarche d’éva-

luation des risques opérationnels, en

cours de déploiement actuellement, per-

mettra d’améliorer notre mesure des

risques sur la base d’un cadre partagé

(avec les propriétaires de risques) et par

conséquent, le suivi de l’efficacité des

dispositifs de maîtrise des risques. L’ob-

jectif étant de réduire la fréquence de

survenance des incidents et minimiser

les impacts de ces derniers.

Plus spécifiquement, l’audit interne doit

pouvoir situer lors de chaque mission les

flux financiers générés par

un processus et ainsi

apprécier l’impact de ses

recommandations. En

outre, l’audit s’attache à

vérifier l’utilisation effi-

ciente des ressources, le

coût de réalisation des

activités, et peut être

amené à identifier les axes

d’amélioration de la per-

formance, ayant un impact

financier.

Au-delà de l’impact

financier, la contribution

de l’audit et du contrôle

internes s’apprécie sous

plusieurs aspects :

• la protection du patri-

moine, c'est-à-dire la

sécurité des actifs et la

conformité aux lois et réglementa-

tions ;

• l’amélioration des processus et la dif-

fusion des bonnes pratiques ;

• la qualité des données et l’améliora-

tion des systèmes d’aide à la décision.

Le contrôle de la conformité aux lois

et réglementations s’est fortement

développé et a pris toute sa place dans

les plans de contrôle et dans le plan

d’audit, en particulier le contrôle des

règles de protection de la clientèle. Les

actions et recommandations issues de

ces constats ne peuvent être chiffrées en

tant que telles, mais sont porteuses d’un

enjeu significatif en termes de confor-

mité, vis-à-vis de l’Autorité de Contrôle

Prudentielle (ACP), et d’image.

L’amélioration des processus et la dif-

fusion des bonnes pratiques sont éga-

lement porteuses de valeur ajoutée. Pour

cela, l’audit et le contrôle interne doi-

vent tenir compte des projets de ratio-

- Les spéci�cités métier

- Les risques opérationnels

1- Cartographie du processus Pour chaque risque

opérationnel, identi�er :

- Les contrôles

- Leur responsables

- Les autres dispositifs de maîtrise des risques : sécurité des systèmes d’information, etc.

2- Identi!cation du plan de contrôle - L’objet

- Le responsable / les acteurs

- Les modalités de contrôle

- La fréquence

- Le stockage, etc.

3- Rédaction des !ches de contrôle - Approbation par les

acteurs des contrôles

- Information sur :• Le suivi des résultats des contrôles

• Les actions correctrices en cas d’incidents et anomalies

4- Mise en application et suivi

Améliorationcontinue

Démarche structurée pour prendre en compte les retours sur la pertinence des contrôles, sur les modalités de suivi et les préconisations sur les activités contrôlées

23



nalisation des activités et d’amélioration

de la performance opérationnelle tout

en veillant à maintenir un niveau de

contrôle approprié.

La diffusion des bonnes pratiques

apporte une plus value qui est appréciée

par les directions auditées (par exemple,

partage des outils attachés, dispositif de

contrôle).

Enfin, la qualité des données devient

un enjeu de plus en plus fort notam-

ment du fait des exigences de Solvabi-

lité 2, les données devant être fiables,

traçables, historisées et

accessibles.

Chaque mission

d’audit conduit à

s’interroger sur

le degré de qua-

lité des données

auditées, du

traitement initial

de l’opération

jusqu’à la restitution

dans les systèmes de

pilotage, et à la mise en

œuvre des contrôles. La gestion de la

qualité des données impacte souvent un

grand nombre d’acteurs, le processus de

commercialisation en est une illustra-

tion.

Les difficultés rencontrées parles auditeurs et les contrôleursinternes pour contribuerefficacement à la valeurajoutée

Les difficultés rencontrées par les

contrôleurs et auditeurs internes

tiennent souvent à la nécessité de

développer une approche globale

tout en se concentrant sur les enjeux

majeurs d’un processus : « Qui trop

embrasse mal étreint ».

Le périmètre des missions d’audit ne

doit pas être trop large, au risque de per-

dre de vue les enjeux majeurs, d’allonger

la durée des missions et ainsi réduire la

pertinence des recommandations.

Par ailleurs, une approche sans différen-

ciation du coût développé au regard des

bénéfices attendus reste un écueil

auquel il convient de veiller continuel-

lement tant dans une démarche de

contrôle que d’audit.

Aussi, nous estimons que l’efficience des

fonctions d’audit et de contrôle interne

nécessite :

• une connaissance appro-

fondie des activités, de

l’organisation et des

risques de l’en-

treprise, préala-

ble indispensable

permettant d’ac-

quérir une vision

globale de

manière à appré-

hender les enjeux

majeurs de l’entreprise,

et comprendre les interactions

entre les parties prenantes ;

• des démarches orientées vers les

métiers, qui nécessitent la prise en

compte des contraintes spécifiques

des métiers et des projets d’évolution.

Ainsi, les attentes des directions

concernées sont prises en compte dès

le lancement d’une mission d’audit ;

• l’utilisation de méthodes et outils

adaptés pour gagner en efficacité. A

ce titre, les outils d’analyse de don-

nées permettent notamment d’amé-

liorer la constitution des échantillon-

nages par des approches multi critères

beaucoup plus ciblées ;

• enfin, une articulation entre les

fonctions gestion des risques,

contrôle permanent et audit

interne de manière à partager une

vision commune des risques, des dis-

positifs de contrôle. A la suite de

chaque mission, un retour sur les pro-

cessus audités est effectué auprès de

la fonction gestion des risques de

manière à partager l’évaluation des

risques et contribuer à la mise à jour

du dispositif de contrôle.

Les autres facteursdéterminants de valeurajoutée

Bien au delà des point évoqués précé-

demment, les leviers essentiels permet-

tant de favoriser et développer la valeur

ajoutée de ces fonctions d’audit et de

contrôle internes sont les suivants :

• Le professionnalisme des auditeurs

et contrôleurs : les parcours de for-

mation sont bien sûr un préalable. Les

auditeurs se doivent d’être en situa-

tion de veille permanente quant à

l’évolution de la règlementation, de

notre métier d’assureur. L’équipe

d’auditeurs doit posséder collégiale-

ment les connaissances, le savoir-faire

et les compétences. Enfin, il est essen-

tiel que les contrôleurs et auditeurs

puissent comprendre l’impact des

risques sur le résultat.

• Une implication des opérationnels

dans la gestion des risques (les pro-

priétaires de risques sont au sein des

métiers) et un partage au sein du

Comité des risques.

• Le plan d’audit, comme les plans de

contrôle, doivent être discutés avec les

directeurs et prendre en compte le

traitement des risques les plus

importants.

• Enfin, l’implication forte de la direc-

tion par une volonté de soutenir la

mise en place des actions est un élé-

ment déterminant de la réelle effica-

cité du dispositif d’amélioration de la

maîtrise des risques, tant au niveau de

l’audit que du contrôle interne.

« Le rapportcoût / valeur ajoutée de

l’audit et du contrôleinternes doit être un

élément de questionnementpermanent »

24

DOSSIER


domaines subdélégués,• adosser et proportionner ses disposi-tifs et activités de contrôle aux risquesidentifiés,

• auto-évaluer les dispositifs decontrôle ainsi mis en œuvre, et enrendre compte de façon formelle etrégulière à son autorité de rattache-ment,

… et une direction des risqueset de l’audit en charge dupilotage et du contrôle pourla tête de groupe

Un dispositif d’audit unique, rappor-tant au PDG du groupe permet de :• vérifier périodiquement la pertinencede ces dispositifs et la sincérité desauto-évaluations,

• apporter aux dirigeants une « assu-rance raisonnable » quant à la couver-ture des principaux risques.

Le directeur des risques et de l’audit aété mandaté en tant que pilote straté-

posent à EDF depuis qu’elle est uneentreprise cotée a amené le groupe àstructurer, depuis 2006, une démarchevolontariste de maîtrise de ses risquesdans l’ensemble de ses entités et surl’ensemble de son périmètre d’activités.

Une politique de contrôleinterne qui responsabiliseles lignes managériales …

Ainsi, une première politique a étésignée par le président Pierre Gadon-neix en mars 2006 et a été confirmée parune nouvelle décision du présidentHenri Proglio en septembre 2010. Cettedernière prenait notamment en compteles nouvelles directives européennes etleur transposition en droit français.Cette décision affirme les points cléssuivants : Pour les activités qui lui sont délé-guées, chacun des managers du groupeest responsable de :• maîtriser les risques,• vérifier cette maîtrise pour chacun des

Responsabiliser les lignes managériales, apporter une cohérence et une complé-mentarité dans les démarches audit interne/risques/contrôle interne, permettentde donner une assurance raisonnable de la maîtrise globale des risques au présidentet au Comité d’audit, tout en fournissant une aide aux managers opérationnels etfonctionnels pour améliorer leurs dispositifs.

Comment penser que la logiqueou la culture du contrôle nepuisse pas exister dans un

groupe comme Electricité de France quiexploite les outils industriels comme desbarrages ou des centrales nucléaires ?Evidemment que cela a toujours existéet est profondément ancré dans toutesles strates du management opérationnelet ceci avant même que l’AMF ne pro-duise des cadres de référence ou que leterme COSO ne soit connu par lesexploitants de terrain.Toutefois, l’évolution de l’environne-ment externe et des exigences qui s’im-

Michel Tudrej

Directeur de mission, responsable ducontrôle interne, groupe EDF

Quelle place et quelle valeurajoutée pour le contrôle internedans un grand groupeindustriel ?

25



gique de ce processus et a précisé, dansune note d’application, les rôles et res-ponsabilités des différentes entités dugroupe.

Un « guide de contrôleinterne » basé sur les 5chapitres du COSO etcomportant 250 « objets demaîtrise » à l’attention desentités opérationnelles etfonctionnelles dans unelogique de subsidiarité

Le directeur de mission responsable ducontrôle interne groupe est chargéd’élaborer « un guide de contrôleinterne » à l’attention des managers dugroupe, afin d’aider ces derniers àdéployer un dispositif de contrôleinterne pertinent et efficace en tenantcompte de leurs propres risques etenjeux. Ce guide est structuré suivant les5 chapitres du COSO et subdivisé enune trentaine de domaines spécifiquesqui correspondent aux activités clés etenjeux du groupe. Pour chacun de ces domaines, il proposedes « objets de maîtrise (OMD) » que lemanagement devra prendre en compteet dans une logique de « comply orexplain » proposer les plans de maîtrisead hoc au vu de ses propres risques etenjeux. Ces « objets de maîtrise » trans-verses, au nombre de 250 environ, sontde trois ordres, à savoir :• directement liés aux préconisationsdu cadre de référence de l’AMF afinde garantir la mise en œuvre d’un dis-positif de contrôle interne robuste(principalement les domaines concer-nant l’environnement de contrôle etla gestion des risques majeurs),

• en lien avec les politiques et décisionsmajeures du groupe guidant les acti-vités de contrôle des processus et acti-vités transverses,

• liés aux processus de maîtrise des acti-vités « métier » propres à chaqueentité.

Le processus mis en place donne à ladirection des risques et de l’auditgroupe, en lien et avec l’appui desfilières transverses du groupe, la res-ponsabilité de définir le « quoi », celledu « comment » étant de la responsa-bilité des lignes managériales dansune logique totale de subsidiarité enfonction des risques et enjeux particu-liers. Cette exigence de subsidiaritéest liée au caractère fortement intégréet muti-disciplinaire du groupe quicomporte des métiers et des activitéstrès différentes et nécessitant desapproches différentes en termes d’or-ganisation et de maîtrise des risqueset des activités.

Une auto-évaluation annuellequi responsabilise les lignesmanagériales

Une fois par an, la cinquantaine d’enti-tés, regroupant les dirigeants de l’en-semble du périmètre contrôlé du groupeélabore et envoie un rapport d’auto-éva-luation (avec un descriptif complet desactions de maîtrise mis en place parOMD et une évaluation cotée pardomaine) au directeur responsable ducontrôle interne du groupe. Ce dernierproduit une synthèse de cette matière àl’attention du président et du Comitéd’audit. Cette synthèse présente notam-ment les entités et les domaines quisemblent les plus en retrait et qui appel-lent des actions spécifiques. Elle permetégalement d’aider les filières transverses(RH, juridique, SI, communication,comptabilité finance, etc.) dans le pilo-tage de leurs activités en leur apportantune vision de la prise en compte despolitiques groupe dont elles sont res-ponsables.

Les figures, en page suivante, corres-pondent à des extraits d’un rapportd’auto-évaluation correspondant audomaine « mobilisation des compé-tences », et d’un type de synthèsegroupe qui peut en être faite.

Une cohérence et unecomplémentarité dans lesdémarches « audit interne –risques – contrôle interne » …

Au-delà de ce processus annuel quirépond au premier volet de la décisiondu président évoquée ci-dessus, ladirection de l’audit groupe mène desaudits réguliers pour chacune des enti-tés impliquées dans le dispositif decontrôle interne groupe, en vérifiant,notamment lors de ces audits, l’exis-tence des fondamentaux indispensables(domaines de l’environnement decontrôle), la gestion des risques majeurs(identification, évaluation et maîtrise desrisques de l’entité), et la maîtrise desactivités et processus majeurs. En com-plément, la fiabilité de l’auto-évaluationest vérifiée sur la base des élémentsrécoltés lors de la mission d’audit.

De plus, les autres audits de grandsrisques, de projets ou de processustransverses de niveau groupe contri-buent à l’analyse globale de la maîtrisedes activités groupe au-delà de la visionlimitée à celle d’une seule entité dans lecas des « audits dits de contrôleinterne ».

Ingénieur de formation, MichelTudrej a intégré EDF en 1980. Il aoccupé différentes fonctions d'ex-pertise et de management au seindu groupe et notamment à la R&D,au service du transport d'énergie, àla production (directeurs des cen-tres de production thermique deMontereau puis du Havre), auxaffaires internationales, à la direc-tion financière. Il a été administra-teur de filiales internationales àplusieurs reprises (Pologne et Coted'Ivoire). Il a rejoint la direction del'audit corporate en 2006 en qua-lité de directeur de mission, et esten charge du contrôle interne pourle groupe EDF depuis 2008.

26

DOSSIER


Par ailleurs, le programme annuel d’au-dits proposé au Comité d’audit est basésur la cartographie des 90 risquesmajeurs qui est élaborée notamment àpartir des 900 risques issus des entités

impliquées dans le dispositif et qui sou-mettent leur rapport d’auto-évaluationde contrôle interne en plus de leur car-tographie des risques.

… qui apporte une assuranceraisonnable de la maîtriseglobale des risques à la tête degroupe …

En�t

é 1

0%

25%

50%

75%

100%

En�t

é 2

En�t

é 3

En�t

é 4

En�t

é 5

En�t

é N

En�t

é 46

En�t

é 47

En�t

é 48

En�t

é 49

En�t

é 50

% de domaines notés 0





Exemples de synthèse groupe du bilan des auto-évaluations

Niveau de déploiement des dispositifs de maîtrise dans les entités, sur base auto-évaluation.(consolidation sur les 29 domaines)

Extrait de rapport d’auto-évaluation

Risques Objets de maîtrise de domaine Mise en œuvre

Domaine 1.2 - Mobilisation des compétences

Stratégie

Risques opérationnels

Risques social

Risque juridique

Responsabilités managériales

Les besoins quantitatifs et qualitatifsen compétences sont-ils régulière-ment recensés et évalués ?

L’entité vérifie-t-elle régulièrementque ses salariés disposent des com-pétences requises pour exercer leuremploi dans l’organisation ?

Dans le cadre du Plan de Formationde l’entité, chaque salarié bénéficie-t-il d’un Plan Individuel de Forma-tion actualisé annuellement ?

Chaque service établit annuellementune analyse des besoins [...] qui adonné lieu à un partage en CODIR.

Les volets professionnalisme et for-mation sont abordés dans les entre-tiens annuels [...] dans 75 % desentretiens.

Le Plan de Formation de l’entité estconstruit sur la base [...] à un premieréchange en CODIR en 2011.

3 Les OMD sont déployés et une boucle d’amélioration vient d’être miseen place mais n’a pas encore démontré son efficacité.

Les actions de maî-trise ne sont pasdécrites pour tous lesOMD du domaine.

0

Les actions de maî-trise sont décritesmais pas toutesdéployées

1

Les actions de maî-trise sont décrites etdéployées

2

Une boucle d’amélio-ration est en place 3

La boucle d’améliora-tion est en place etefficace

4

27



L’ensemble du dispositif mis en placedonne une assurance raisonnable auprésident et au Comité d’audit sur lamaîtrise des risques majeurs identifiésdans la cinquantaine d’entités clés dugroupe via le dispositif de contrôleinterne groupe qui a pour objectif : • la mise en œuvre du contrôle interneet auto-évaluation par le manage-ment (1ère ligne de défense sur les 900risques majeurs),

• le pilotage de la démarche de contrôleinterne par l’entité contrôle internegroupe avec l’aide des filières trans-verses en appui du management (2ème

ligne de défense),• le contrôle du contrôle par l’auditinterne des dispositifs de contrôleinterne des entités (et donc des 900risques à leur maille) et la réalisationdes audits de niveau groupe des 90macro-risques et processus transversesdu groupe (3ème ligne de défense).

… et une aide aux managersopérationnels et fonctionnels

Le dispositif décrit, ci-dessus, qui est misen œuvre depuis près de six années,

apporte désormais une plus value auxdifférentes lignes managériales, car cedispositif leur :• fournit les éléments clés à prendre encompte pour donner corps à leur dis-positif de maîtrise, et notamment ceuxliés aux décisions et politiques incon-tournables ;

• permet de faire un point et un diag-nostic, a minima annuel, au momentde l’auto-évaluation sur l’ensembledes domaines qui leur incombe et quisont porteurs de risques ;

• apporte un éclairage et des recom-mandations clés pour améliorer leursdispositifs suite à l’audit ciblé sur lecontrôle interne qui est réalisé pourchaque entité tous les 3 à 5 ans ;

• fournit des éléments de communica-tion ciblés sur les thèmes à enjeux oudes recueils de bonnes pratiques quisont élaborés et partagés par le réseaudes animateurs de contrôle internesous le pilotage du responsable ducontrôle interne groupe ;

• apporte une cohérence desdémarches par l’intégration progres-sive des activités des filières trans-verses dans ce processus qui est

devenu « LE vecteur de communica-tion descendant » de la tête de groupevers le management pour les déci-sions et politiques, et « l’outil de repor-ting ascendant » le plus appropriépour ce qui concerne la vérification dela bonne appropriation et mise enœuvre de ces décisions et politiques.

Il reste cependant encore des voies deprogrès afin de réussir à faire adhérertout le personnel et d’améliorer encorel’efficacité de ce dispositif et créer ainsiun lien mieux identifié avec la perfor-mance opérationnelle. Ceci passenotamment par la capacité à développerdes systèmes de management intégrésoù le contrôle interne et la gestion desrisques trouvent leur place d’intégrateurdes différentes démarches existantes(EFQM, assurance qualité, managementpar les processus …). Il nous reste donc encore quelquesbeaux et difficiles challenges à rele-ver…

Auditinterne

Ges�on des risquesMise en œuvre par les mé�ers, en�tés fonc�onnelles, filiales

Elabora on du programme d’audit

Prépara on des missions

Résultats d’audit – détec on de nouveaux risques

Evalua on du degré de m

aîtrise des risques

Résultats d’audit – Evalua on du degré

de maîtrise des ac vités

Besoins d’audit – iden fica on des

zones sensibles à examiner

Mise sous contrôle des risques majeurs

Aide à l’iden fica ondes risques majeurs

Contrôleinterne

Prioriser les ac�ons demaîtrise des ac�vitésselon les risques(mé�er & « compliance »)

Cartographie desrisques

Se réinterrogerrégulièrement sur

les risquesmajeurs

Le contrôle interne est de plus en plus admis, à chaque niveau de l’organisation,comme un dispositif qui contribue à la performance de l’entreprise. Toutefois,les questions légitimes de son coût et de sa valeur ajoutée sont de plus en plussouvent posées par la direction générale et le Conseil.La valeur ajoutée du contrôle interne est donc une question d'actualité qu’ilconvient de cerner, d'autant que son appréciation (compréhension, indicateurs,etc.) peut différer fortement d’une organisation à une autre, selon leurs métiers,leurs risques et leurs obligations particulières (législateurs, régulateurs, etc.).La finalité de ce Cahier de la Recherche est de donner des clés de lecture surcette question, en cherchant à répondre notamment aux questions suivantes :

• Quels sont les enjeux liés à la définition de la valeur ajoutée du contrôleinterne ?

• Comment prendre en compte les attentes des différentes parties prenantesdu dispositif ?

• Quels sont les acteurs clés d’un dispositif créateur de valeur ? Comment lescoordonner pour plus d’efficacité ?

• Pourquoi faut-il développer la valeur d’usage managérial du contrôleinterne ?

• Comment contribuer à la maîtrise des risques? • Quelles sont les clés de réussite d’un dispositif qui apporte de la valeur dans

la durée ? Ce document vous propose également une série d’annexes très précises pourmettre en œuvre un dispositif de contrôle interne créateur de valeur et en rendrecompte.

AUTEUR : Groupe professionnel « Contrôle interne » IFACI - Prix HT : 50 € (53,50 € TTC)

Septembre 2010 - Format : 16,5 x 23 cm - ISBN : 978-2-915042-29-0

Société : ...................................................................................................................................................................................................................................................................................

Nom : ............................................................................................................................................. Prénom : ......................................................................................................................

Adresse : ..................................................................................................................................................................................................................................................................................

Code postal : ......................................... Ville : ........................................................................................................................... Pays : .........................................................................

Tél. : ........................................................... Fax : ......................................................... Mél : ...............................................................................................................................................

B O N D E COM M A N D E

TITRE PRIX HT QUANTITÉ TOTAL

La création de valeur par le contrôle interne 50,00 €

Total HT

TVA 7,0 %

Net à payer TTC*

PAIEMENT PAR : Chèque bancaire ou postal (à l’ordre de l’IFACI)

Virement à la banque HSBC agence centraleCompte IFACI n°30056-00148-01485415521-72

Carte de crédit :

N° ....................................................................................................................................................

Date d’expiration : ....................................................................................................................

DATE : ............................................... SIGNATURE :

(*) Hors frais de port et d’emballage.

Bon de commande à retourner à :Marie-Thérèse Tran - IFACI98 bis, bd Haussmann - 75008 ParisTél. : 01 40 08 48 16 - Fax : 01 40 08 48 20Mel : [email protected] - Internet : www.ifaci.com

Règlements :Une facture pro forma vous sera adressée parcourriel dès réception de votre commande.Chèque : libellé en euros tiré sur une banquefrançaise.Virement : les virements émis à partir d’unebanque hors de France doivent être nets de tousfrais bancaires pour l’IFACI.

Publications IFACI Bon decommande


LES AUDITS MÉTIERS

De l'intérêt d'évaluerle fonctionnement dela gouvernance d'uneorganisation

Comment évaluer la qualité de la

gouvernance d'une société cotée,

d'une entreprise familiale, d'un club

de football, d'une fédération sportive,

d'une école de commerce, d'une fon-

dation … ?

Toutes ces organisations – qu'elles

soient rattachées au secteur privé com-

mercial, public ou de l'économie sociale

et solidaire – ont l'obligation de mettre

en place une gouvernance adaptée et

conforme aux lois applicables et aux

bonnes pratiques en la matière, outre de

veiller à son bon fonctionnement.

Dire ce que l'on fait et faire ce que

l'on dit ...

Une gouvernance d'entreprise défail-

lante porte atteinte à l'environnement

de contrôle. C'est un facteur de risque

majeur. Une bonne gouvernance est une

clé de voûte de l'organisation.

Décrire sommairement la gouvernance

d'une société cotée dans un document

de référence est un exercice facile. Expli-

quer un changement de gouvernance

peut être plus délicat. Un président

directeur général reprend les rênes du

conseil d'administration et de la direc-

tion générale. Pourquoi abandonner le

régime dualiste pour revenir au régime

moniste qui vient d'être écarté ? Le pré-

sident, aux termes de son rapport

annuel présenté à l'assemblée des

L'audit de gouvernance :un outil d'évaluation etd'amélioration de lagouvernance d'uneorganisation

Sylvie Le Damany

Avocat et associée, cabinetJeantetAssociés (Contentieux etArbitrage, Gouvernance, Risques etConformité)

Toutes les organisations ont l’obligation de mettre en place une gouvernance adap-tée et conforme aux lois applicables et aux bonnes pratiques en la matière, et deveiller à son bon fonctionnement. Une bonne gouvernance est une clé de voûte del’organisation.L’audit de gouvernance permet d’identifier les dysfonctionnements potentiels ausein des organes de direction, d’administration et de contrôle.Pour disposer d’une gouvernance de qualité, il faut pouvoir démontrer que l’orga-nisation mise en place est efficace en termes de contrôle interne et de gestion desrisques.

30

LES AUDITS MÉTIERS


actionnaires, doit pouvoir expliquer ce

changement qui peut paraître intempes-

tif.

Evaluer l'efficacité et la qualité de la

gouvernance d'entreprise est plus

difficile et plus rare mais le besoin

devient grandissant.

L'auto-évaluation ou l'évaluation par un

tiers des travaux du conseil d'adminis-

tration et de ses comités est un bon

exercice qui est de plus en plus encou-

ragé et un point de passage obligé pour

les sociétés cotées. C'est le minimum

requis, dirons-nous.

Evaluer la gouvernance d'une organisa-

tion dans son ensemble et de manière

approfondie est une pratique moins

courante et cependant elle s'avère très

vertueuse.

Faire un état des lieux en vue de pro-

gresser lors d'un changement de

contrôle, de dirigeants, une crise de

gouvernance, autant d'occasions de

faire un bilan.

Pourquoi attendre si l'on n'a pas une

vision claire sur le fonctionnement réel

de la gouvernance d'une organisation ?

Finalement, la gouvernance est-elle

celle décrite aux parties prenantes et aux

tiers dans les documents de référence,

dans les guides de procédures ... ? Les

règles édictées, déclarées, sont-elles

connues et respectées ? Il n'est pas rare

que les procédures internes de l'entre-

prise soient, pour un grand nombre

d'acteurs au sein de l'organisation,

inconnues, mal maîtrisées ou connues

mais non respectées.

ENRON n'était-elle pas l'entreprise

donnée en exemple, avant 2002, pour

son excellente formalisation de la gou-

vernance en termes de procédures et de

comités ? Une belle gouvernance affi-

chée mais pas respectée. Rien de pire

que d'annoncer des bonnes pratiques

que l'on ne va pas appliquer notamment

par certains dirigeants et managers.

C’est une affaire de comportements.

Les comportements sont-ils en adéqua-

tion avec les règles édictées ? Comment

aller au-delà du descriptif et du déclara-

tif ? Comment aller au-delà des

contraintes afin de transformer celles-ci

en opportunités ? Veiller à ne pas trop en

faire mais trouver le bon équilibre entre

une formalisation a minima et un pro-

cessus qui soit auditable.

Se définir par rapport à un ou des

référentiels reconnus.

En matière de gouvernance, la tâche

n'est pas aisée pour les entreprises.

Comment être conforme aux lois et

règlements (Hard law) et au droit

« mou » (Soft law) qui est venu nourrir

notre droit positif tant en France qu'au

sein de l'Union Européenne ? Qu'est-ce

qu'une « bonne gouvernance » pour une

société cotée, une entreprise familiale

non cotée ou une association ? Quels

sont les référentiels qui vont permettre

de se comparer en vue de progresser ?

Comply or Explain ? Nouveau concept,

issu du droit anglo-saxon, introduit dans

notre droit français qui oblige depuis

2008 les sociétés cotées à déclarer le

Code de gouvernement d'entreprise

qu'elles appliquent, et à expliquer pour

quelles raisons certaines dispositions ne

sont pas respectées. L'AMF suit de près

ces nouvelles déclarations. Respect du

Code AFEP/MEDEF ou du Code Mid-

dlenext ?

Déclarer c'est l'adopter. En bloc ou par-

tiellement ? Il convient de trouver le

référentiel adapté à l'organisation. De ce

point de vue, le Code Middlenext fut le

bienvenu afin d'offrir de bonnes pra-

tiques adaptées aux entreprises cotées

de plus petite taille, appelées Valeurs

moyennes et petites (Vamps).

S'agissant des sociétés non cotées ou

des organisations sous forme associative

par exemple, celles-ci peuvent s'imposer

le respect d'un Code de gouvernement

d'entreprise ou se référer à d'autres

sources connues et reconnues en

matière de gouvernance et de gouver-

nement d'entreprise1. Nombreuses sont

les organisations qui ont rédigé des

recommandations, guides et livres verts

et blancs préconisant des bonnes pra-

tiques et comportements recommandés

sur certains sujets2.

Ne pas oublier la dimension

« groupe ».

La gouvernance de telle ou telle filiale

est-elle conforme à la gouvernance du

groupe – si celle-ci a été définie et for-

malisée – et surtout est-elle en confor-

mité, dans le pays concerné, avec la

réglementation en vigueur et les bonnes

pratiques ? Comment l'apprécier ?

La société mère intervient-elle trop au

sein de ses filiales en « plaçant » notam-

ment des dirigeants à leur tête qui pren-

nent leurs directives auprès de la société

mère ? Autant de questions fondées à se

poser.

Si la personnalité juridique d'un groupe

de sociétés n'est pas reconnue en droit

français, son existence est néanmoins

reconnue dans certains domaines

(comptable, fiscal, social, pénal, écono-

mique ...).

En matière de gouvernance d'entreprise,

les entités juridiques d'un groupe


demeurent juridiquement autonomes et

leurs dirigeants sont responsables au

premier chef des activités de la filiale

qu'ils dirigent. Néanmoins, la filiale, qui

a sa propre gouvernance, va le plus sou-

vent devoir s'inscrire dans une gouver-

nance groupe définie aux termes de pro-

cédures et chartes internes. Dans le sec-

teur financier, les entreprises se voient

imposer cette organisation groupe en

application d'une réglementation qui

exige une centralisation et une formali-

sation très forte du contrôle interne.

C'est le cas des institutions financières

qui doivent notamment répondre de ce

contrôle centralisé et maîtrisé auprès de

l'AMF et de l'Autorité de Contrôle Pru-

dentiel (ACP).

Hors ces contraintes réglementaires qui

se font de plus en plus fortes pour une

meilleure maîtrise des activités et de la

gestion des risques des institutions

financières, la gouvernance groupe est

rarement formalisée comme il se devrait.

Indépendamment de la formalisation

des procédures groupe, la mise en place

de bonnes pratiques de gouvernance au

niveau global est un exercice difficile, et

ce d'autant plus en présence d'une forte

implantation hors de France. Les règles

et pratiques locales peuvent être très

éloignées de celles souhaitées et prati-

quées au sein de la société mère.

L'articulation entre les règles de gouver-

nance édictées au niveau du groupe et

celles appliquées au sein de chaque

filiale est un sujet de préoccupation, et

ce y compris pour les banques, les socié-

tés d'assurance et les mutuelles. Com-

ment centraliser les procédures de

contrôle tout en ne s’immisçant pas

dans la gestion de ses filiales ? La direc-

tion de fait est la ligne blanche qu'il ne

faut pas franchir. A titre d'exemple, la

mise en place de chartes filières groupe

(RH, finance, juridique, système d'infor-

mation, conformité …) risque d'engen-

drer une immixtion de la société mère

dans la gestion de ses filiales. En cas de

difficultés financières de la filiale, les

indices d'une direction de fait permet-

tront de remonter auprès de la société

mère (« deep pocket »).

Les conseils en organisation qui sont

sollicités par les entreprises, dans le

cadre notamment de restructurations,

devraient travailler de plus en plus étroi-

tement avec les juristes internes et

externes afin de mieux appréhender les

conséquences juridiques de telle ou telle

organisation. Les enjeux sont impor-

tants en termes de gouvernance et, par

conséquent, de responsabilités des enti-

tés juridiques et des dirigeants et admi-

nistrateurs de ces structures.

Un outil efficace :l'audit de gouvernance

L'audit de gouvernance peut se prati-

quer à titre préventif, en pleine crise ou

à son issue afin d'identifier les dysfonc-

tionnements potentiels au sein des

organes de direction, d'administration et

de contrôle.

Il s'agit d'un outil très efficace mais

encore peu connu pour identifier les

non-conformités réglementaires et les

mauvaises pratiques pouvant générer

des risques juridiques et judiciaires.

Mettre en place une démarche

d'audit.

L'audit de gouvernance commence à

être sollicité par les conseils d'adminis-

tration au travers de leur comité d'audit.

Quant aux directions générales qui le

sollicitent, elles le font le plus souvent

en cas de changement de dirigeants, de

réorganisation ou de crise de la gouver-

nance. Les sociétés cotées ne sont pas

les seules concernées. De plus en plus

d'organisations du secteur de l'écono-

mie sociale et solidaire prennent à bras

le corps le sujet notamment dans le sec-

teur associatif où il est difficile de conci-

lier bénévolat et professionnalisation

des pratiques de gouvernance.

Faire appel aux acteurs clés qui font

partie du dispositif de gouvernance

et aux experts externes.

Nous assistons à une intervention pro-

gressive des auditeurs internes sur la

gouvernance de l'entreprise3. Il est vrai

qu'ils sont en soi un dispositif efficace de

gouvernance4 tout comme le sont le

comité d'audit et l'auditeur externe

indépendant.

« L'audit interne aide l'organisation à

atteindre ses objectifs en évaluant, par une

approche systématique et méthodique, ses

processus de management des risques, de

contrôle et de gouvernement d'entreprise, et

en faisant des propositions pour renforcer

leur efficacité »5.

En matière d'audit de gouvernance, les

auditeurs internes sont amenés à solli-

citer, du fait de la matière concernée qui

est essentiellement juridique, l'assis-

tance de juristes internes et externes, le

plus souvent des cabinets d'avocats qui

sont spécialisés en matière de gouver-

nance et de conformité.

Le risque de non conformité aux lois et

règlements, que l'on traite au sein des

dispositifs de Compliance, amène les

organisations à solliciter tant les audi-

teurs internes, lorsque la structure en

dispose, que des conseils externes qui

sont sollicités du fait de leur expertise au

regard des risques juridiques pouvant

être générés par une gouvernance

32

LES AUDITS MÉTIERS


défaillante ou inappropriée. Le juriste

praticien en matière de gouvernance

d'entreprise pourra assister les auditeurs

internes à bâtir leur matrice d'analyse et

leur programme d'intervention tout en

les accompagnant dans l'analyse des

documents (statuts, règlements inté-

rieurs, chartes, procès verbaux de conseil

d’administration, comptes-rendus de

comités, délégations de pouvoirs et de

signature, définition de fonctions …) et

interviews à mener (direction générale,

administrateurs, direction opération-

nelles, fonctions supports …).

En l'absence d'une fonction d'audit

interne au sein de l'organisation concer-

née, le juriste externe qui sera sollicité,

au même titre qu'un auditeur externe,

procédera lui-même à l'audit de gouver-

nance avec, le cas échéant, un expert en

stratégie et organisation lorsque l'audit

va au-delà de la conformité aux lois et

règlements et bonnes pratiques.

L’audit de gouvernance peut parfois être

limité à l’analyse des pouvoirs et res-

ponsabilités au sein de l’organisation

notamment avec pour objectif une

refonte du système de délégations de

pouvoirs et de signature6.

Il ne suffit pas de créer des comités et

de rédiger des procédures internes

pour disposer d'une gouvernance de

qualité ; ni de déclarer l'existence de

règles et de procédures, mais il faut

être en mesure de pouvoir démontrer

que l'organisation mise en place est

efficace en termes de contrôle interne

et de gestion des risques.

Qui dirige, qui contrôle, qui fait quoi,

qui est responsable pénale-

ment … ?

1 OCDE, Parlement européen, commission euro-péenne, AMF, AFEP, MEDEF, Institut Français desAdministrateurs (IFA)...

2 Évaluation du conseil d'administration et de sescomités, critères de l'administrateur indépendant,compétence et indépendance, disponibilité desadministrateurs, rémunération des dirigeants, rôleet fonctionnement du conseil et de son comitéd'audit, comité des rémunérations, procédures decontrôle interne et de gestion des risques...

3 Cf. Conférence IFACI du 26 mars 2012 – interven-tion SAFRAN, direction de l’audit interne.

4 Cf. « Interactions entre les acteurs du processusglobal d'audit et gouvernance de l'entreprise : uneétude exploratoire » de Elisabeth Bertin etChristophe Godowski, maîtres de conférences àl'IAE de Bordeaux et de Toulouse (2010).

5 Extrait de la définition de l'audit interne approu-vée par l'Institute of Internal Auditors IIA et parl'IFACI en 2000.

6 Cf. conférence IFACI du 26 mars 2012 – Interven-tion de NATIXIS secrétariat général / gouvernanceet vie sociale de l’entreprise.



Maîtriser les risquesspécifiques aux activitésde servicesFlavien Palliès - Auditeur interne, groupe Elior

La place primordiale du secteurtertiaire dans l’économie fran-çaise n’est plus à prouver : il

représente en 2010, 78 % des emplois1,c’est 30 % de plus qu’en 1990. Ce mêmesecteur contribuait à 65,7 % de la pro-duction2 et à 79,7 % de la valeur ajou-tée3. Et pourtant, rares sont les disci-plines du management qui, hormis lesopérations et le marketing, ont prisconscience de la nécessité d’investiguerles particularités des services.

Parallèlement, les exigences en matièrede contrôle interne se sont renforcéesces dernières années. Ces exigences nesont plus seulement réglementaires : la8ème Directive, sur le suivi de l’efficacitéd’un système de contrôle interne, mon-tre que ce dispositif ne doit pas être res-treint à une stricte question de confor-

mité. La discipline du contrôle internetend donc à être positionnée comme unoutil au service de l’organisation quicontribue à la maîtrise de ses risquesmajeurs. Atteindre un tel objectif sup-pose donc de donner aux organisationsdes réponses très concrètes et adaptéesà leurs activités. A ce sujet, un cahier derecherche de l’IFACI intitulé « Des cléspour la mise en œuvre du contrôleinterne » apporte des éléments deréponses très pratiques. Il n’explorecependant pas les particularités des acti-vités de services. Le sujet de la maîtrisedes risques spécifiques aux activités deservices reste donc encore inexploré.

La réflexion qui va suivre part du terrain,c’est-à-dire de l’observation de lamanière dont fonctionne une unité deservice dans ce qu’elle a de plus concret.

Ces « micro-usines » sont animées pardu personnel en contact avec les clients.La satisfaction des clients est donc direc-tement influencée par le comportementde ces équipes. A ce titre, un dispositifadapté de maîtrise des risques doit pla-cer le personnel en contact au cœur detoutes les préoccupations. Par ailleurs,ces mêmes « micro-usines » constituentsouvent un réseau plus large d’unités dumême type qui maillent un territoiregéographique plus ou moins important.Les problématiques liées à leur pilotageet à leur adhésion aux valeurs com-munes de l’entreprise résonnent alorscomme un défi pour leur siège.

L’urgence du terrain

La place du client est ce qui distingue leplus le modèle de fabrication d’un ser-

Le Prix Olivier Lemant est destiné à récompenser le meilleur mémoire de Master(e) consacré au contrôle interne ou à l’auditinterne réalisé dans une Université ou Grande Ecole partenaire.En 2012, un jury de professionnels, constitué de Béatrice Beaulieu (AG2R La Mondiale), Hervé Claudin (La Mutuelle Générale) etCathy Pernod (Groupe ATAC), ont ainsi primé les mémoires suivants :• 1er prix - Maîtriser les risques spécifiques aux activités de services, par Flavien Palliès (ESCP Europe)• 2ème prix - L’impact du pilier 2 de Solvabilité II (« gouvernance des risques ») sur les fonctions audit interne, contrôle interne et

risk management, par Aurélien Lerda (IAE Aix-en-Provence)• 3ème prix - La formalisation du processus de management des risques à travers l’élaboration d’une cartographie des risques,

par Mathieu Gireme (IAE Bordeaux)

Vous pouvez consulter ces mémoires sur le site internet de l’IFACI (rubrique IFACI>Universités et Grandes écoles> Prix OlivierLemant).

34



vice de celui d’un produit. Ce dernier esttotalement absent de la fabrication d’unproduit. A l’inverse, il est au cœur de lafabrication d’un service, il est partie pre-nante du processus et sa présence estmême une des conditions de l’existencedu service. Les exemples en la matièreabondent : s’il n’y a pas de passagerdans un avion, il n’y a pas de service detransport et que dire de vos vacances sivous n’y êtes pas ?

Dès lors, le responsable d’unité et sonéquipe vont devoir faire en sorte que leclient exécute correctement les tâchesqu’il doit accomplir tout en ne perdantpas de vue qu’il reste le client bénéfi-ciaire du service. Cet exercice est parti-culièrement difficile dans la mesure oùle client est avant tout une personnehumaine qui arrive dans l’unité de ser-vice avec un besoin mais également avectout son affect.

La présence du client et sa nécessaireparticipation constituent donc unmélange souvent imprévisible pour leresponsable d’unité. Ce dernier va doncdevoir gérer dans l’urgence un certainnombre de situations telles que les inci-dents, sous peine de ne pas satisfaire leclient. Le terrain est donc particulière-ment fertile aux décisions précipitées etaux pratiques non conformes à un cer-tain nombre de règles internes ouexternes à l’entreprise.

Le personnel en contact

Maîtriser les risques liés à l’urgence duterrain passe avant tout par l’applicationde pratiques adaptées en matière degestion des ressources humaines. Lepersonnel en contact avec le client setrouve en effet dans une situation parti-culière avec des stress, des conflits. Soncomportement a un impact fort sur laqualité du service tel que le perçoit leclient. Le lien entre la satisfaction dupersonnel et celle du client impose demaîtriser ce risque le mieux possible.

L’attitude du personnel en contact estdéterminante. Celui-ci assure en effetdes tâches répétitives tout en gérantsimultanément la relation avec le clientet la prestation opérationnelle. Malheu-reusement, force est de constater que sile personnel est généralement correcte-ment formé à l’opérationnel, il l’est peuou pas au relationnel qui est laissé à

l’appréciation de chacun. Cela est fina-lement grave dans la mesure où une desdemandes les plus permanentes dupublic est d’être traité comme une per-sonne par une personne. Un dispositifefficace de maîtrise des risques doitdonc veiller à ce que les formations dis-pensées soient suffisamment encréesdans l’environnement opérationnel :une entreprise de services se vit avanttout sur le terrain !

Par ailleurs, le recrutement est unmoment important : il doit prendre encompte l’apparence du personnel et sapersonnalité. Les méthodes employéesen la matière doivent sortir desméthodes traditionnelles en laissantplus de place à des mises en situationdes candidats. Cela révèlera plus facile-ment leur aptitude à travailler en équipeou à gérer les incidents.

Enfin, le personnel en contact doit sentirque l’entreprise est là pour l’aider à déli-vrer au client un bon service. Il est doncimportant que le Back-Office soit au ser-vice du Front-Office favorisant ainsi ladiffusion d’une culture d’entreprisedédiée au service, à sa qualité et à lasatisfaction du client. Cela garantira uneforte cohérence des objectifs et des pra-tiques de l’ensemble de l’entreprise.

La gestion d’un réseaud’unités

Chaque entreprise de services de taillesignificative dispose d’un réseau d’uni-tés gérées à partir d’un siège.Dans ce domaine, le premier risqueidentifié porte sur la qualité et la fiabilitédes informations circulantes entre lesiège et ses unités. La qualité des infor-mations dépend du système de contrôlede gestion qui, par la nature des infor-mations et le rythme auquel elles sontfournies, conditionne et structure pro-fondément la façon dont le réseau etnotamment les unités sont gérées. Lafiabilité des données fournies est le talond’Achille des entreprises de servicesdans la mesure où l’on ne peut pas met-tre un contrôleur derrière chaque direc-teur d’unité et chaque personnel encontact. De ce point de vue, les systèmesd’informations occupent un rôle pré-pondérant. Leur fiabilité, leur sécurité,de même qu’une formation au sujet deleur utilisation doivent être au cœur despréoccupations.

Le second risque identifié porte surl’adhésion des unités à des valeurs com-munes. Si ce risque est l’enjeu d’unenvironnement de contrôle robuste, il setrouve renforcé dans une entreprise deservice du fait même de l’existence d’unréseau d’unités. Le personnel des unitésest en effet disséminé et l’entreprise seretrouve incarnée par son environne-ment de travail immédiat et non par laglobalité de l’entreprise de services quireste une entité très abstraite. Dans cesconditions, le directeur des opérationsdoit trouver un ciment particulier quipuisse pallier cet éparpillement. Lessolutions sont connues : accueil desnouveaux collaborateurs, développe-ment de processus originaux qui devien-nent en quelque sorte la marque defabrique, réunions des unités et de leurresponsable, développement de publi-cations internes, etc. Cet ensemble doitêtre complété par le rôle des dirigeantsde l’entreprise de services, qui, encoreplus que pour une entreprise indus-trielle, doivent faire passer un messageet véhiculer du sens à l’intérieur de l’or-ganisation.

Les propositions faites dans le mémoireconstituent donc une approche globalede la problématique de la gestion desrisques dans une entreprise de services.Naturellement, elles doivent être adap-tées à chaque organisation afin de bâtirdes réponses sur mesure. Elles souli-gnent néanmoins les lacunes qui exis-tent en matière de gestion des risquesquand on se confronte à la probléma-tique des services au sens large.

1 INSEE, Estimations d’emplois en France métro-politaine

2 INSEE, Production par branche d’activité3 INSEE, Valeur ajoutée par branche d’activité

Flavien Palliès a contribué, à plu-sieurs reprises, au déploiement dedispositifs de gestion du créditclient d’abord au sein d’Ernst &Young (2005 à 2007) puis au seind’Elior Restauration Enseignement(2007 à 2011). Après une formationde quinze mois à ESCP Europe en« Risk management, audit etcontrôle interne », il occupe à pré-sent la fonction d’auditeur interneau sein du groupe Elior.



Evénements

Structure etrédaction du rapportd’audit –Communication surles conclusions

Réunion mensuelledu 31 mai 2012

Aéroports de ParisLe rapport d’audit com-prend : une note de syn-thèse (une à deux pages)destinée à la directiongénérale ; une synthèse lit-téraire (dix à vingt pages)destinée au managementconcerné par la mission etau président du comitéd’audit ; un rapport détaillé(venant à l’appui du pland’action) destiné aux audi-tés.Des axes d’amélioration,proposés par l’IFACI, ontété mis en œuvre : une miseen évidence de l’analysecausale ; une hiérarchisa-tion des recommandations ;l’homogénéisation des rap-ports, d’un format plusconcis.Tout en étant la prioritéabsolue, le respect desNormes doit prendre encompte la culture d’entre-prise. La standardisationdes rapports doit laisser despossibilités d’adaptation enfonction du type de mis-

sion. Une certaine libertédoit être laissée aux audi-teurs, notamment pour lesdocuments intermédiairespermettant de valider lesconstats avec les audités.

AXA FranceIl a été conçu un nouveaumodèle de rapport communà toutes les entités, plussynthétique et centré sur lesproblématiques, celles-ciétant elles-mêmes centréessur les risques majeurs. Lesrecommandations sontclassifiées par ordre d’im-portance.Les nouveaux enjeux : trai-ter les risques clés ; fournirdes analyses et recomman-dations plus approfondies ;communiquer l’essentiel.Parmi les attributs d’excel-lence de l’audit interne,outre le fait de se concen-trer sur les risques et pro-blématiques cruciaux : ali-gner la mission sur lesattentes des parties pre-nantes ; adapter les compé-tences afin de fournir de lavaleur ajoutée ; favoriser unservice orienté client ; favo-riser l’amélioration de laqualité et l’innovation…Mais le rapport n’est pas leseul livrable d’une mission.Rien ne remplace le face àface et le debriefing pourconvaincre les audités.

ArcelorMittalL’objectif de l’audit interneest de proposer des services

en matière d’audit et de riskmanagement, d’être un par-tenaire à valeur ajoutée,d’être un vivier de futurscadres managériaux.La mission de l’auditinterne est d’épauler lecomité d’audit et la direc-tion générale dans l’exer-cice de leurs responsabilitéspour ce qui concerne lecontrôle interne, le riskmanagement et la corporategovernance, en apportant dela valeur ajoutée et de façonindépendante et objective.Le rapport d’audit est lefruit d’un processus struc-turé : processus de valida-tion de différentes versions,avant de délivrer la versionfinale à l’issue de la réunionde clôture. Les lecteurs durapport d’audit constituentun public très varié, comptetenu de la variété dessujets : industriels, finan-ciers… La culture d’auditdoit être prise en compte.La valorisation des pointsd’audit est essentielle etimplique une granderigueur dans la rédactiondu rapport.

Les fichesméthodologiques del’IFACIElles ont été conçues pourfaciliter le travail des audi-teurs en accompagnant undéploiement rigoureux dela démarche d’audit, enaidant à la mise en œuvredes outils et en facilitant la

formalisation des travaux.Les atouts majeurs de cesfiches : un outil d’harmoni-sation des pratiques, gaged’efficacité de l’auditinterne ; un outil pédago-gique qui aide à la prépara-tion aux examens d’auditinterne et à la certificationdes services d’audit.

Le dispositif decontrôle des activitésexternalisées :approcheméthodologique ettémoignages

Réunion mensuelledu 13 juin 2012

L’assurance : Audiens etAllianz FranceL’assurance, comme labanque, évolue dans unenvironnement très enca-dré. La délégation de ges-tion est soumise à la régle-mentation Solvabilité 2, lesobjectifs poursuivis étant laprotection des assurés etdes allocations de fondspropres par la maîtrise desrisques techniques, finan-ciers et opérationnels. Lesmoyens mis en œuvre repo-sent sur trois piliers : exi-gences quantitatives ; exi-gences qualitatives et debonne gouvernance ; infor-mation du public et del’ACP.L’assureur reste responsabledes risques lorsqu’il sous-

36



traite des activités d’assu-rance, et les autorités decontrôle doivent pouvoiravoir accès aux locaux duprestataire de service.La création d’un environ-nement interne favorable àla mise en place de déléga-tions de gestion nécessiteune politique formalisée etune gestion claire desconflits d’intérêts. L’initiali-sation de la délégation nepeut se faire sans uneconnaissance approfondiede son futur partenaire, afinde garantir une qualité deservice, s’assurer de la qua-lité de gestion et de la qua-lité d’information néces-saire au pilotage technique,se prémunir contre lesrisques liés à cette externa-lisation.Le suivi régulier de la délé-gation de gestion passe parla mise en place d’un dis-

positif ad hoc ; celui-ci nedoit pas être trop lourdpour ne pas remettre encause l’intérêt de la déléga-tion. Un premier niveau decontrôle est assuré par desopérationnels ; undeuxième niveau decontrôle est assuré par despersonnes dédiées à cescontrôles ; troisième lignede défense, l’audit internes’assure du degré de maî-trise du processus d’exter-nalisation et de la qualitédu dispositif de contrôle.

L’opérateur detélécommunications :Orange France TélécomLe groupe externalise desprocessus qui contribuent àla production des comptes.Des risques de contrôleinterne financier peuventaffecter cette démarche ; ilfaut donc s’assurer de l’effi-

cacité du dispositif de cou-verture de ces risques,notamment au regard de laloi Sarbanes-Oxley. Une démarche pour uneexternalisation exige qu’unevigilance forte soit portéepar les parties prenantesaux clauses de contractuali-sation, et en particulier surles éléments suivants :organisation de la sécuritéde l’information, politiquede sécurité, confidentialitéet archivage des données,sauvegarde et restauration,plan de reprise d’activité,plan de crise, gestion desbiens, gestion de l’exploita-tion, contrôle d’accès, ges-tion des incidents de sécu-rité, audit de conformité.Chaque année la fonctionde contrôle interne doits’assurer que les clausessont respectées, et que lesrisques sont correctement

identifiés et couverts.Un projet de sous-traitancedes systèmes d’informationdoit conduire à réfléchir surles processus plus globale-ment et sur l’intérêt d’éten-dre le projet aux processusmétiers.Globalement il est néces-saire d’avoir des suivisréguliers avec le sous-trai-tant pour s’assurer du pilo-tage avec un plan decontrôle annuel (il faut uncorrespondant sécurité etcontrôle interne chez lesous-traitant). La coordina-tion avec les fonctions decontrôle interne est impor-tante pour bien identifierles processus du périmètre,les risques à considérer etleur couverture. Le respon-sable du processus resteresponsable de la maîtriseglobale de son contrôleinterne.

Strategies for small audit shops

Auteurs : David O’Regan

Editeur : The IIA Research Foundation

Voici la deuxième édition (en anglais) d’un ouvrage paru en 2002. Elle ne remet pas encause les principes décrits dans la première édition, mais prend en compte les nou-velles dispositions adoptées depuis les dix dernières années.

Ce manuel a pour principal objectif de fournir des informations et des enseignements,et d’aider les petites unités d’audit à « coller » au plus près aux normes professionnelles.Il n’a pas de caractère légal.

Au cours des six chapitres, on apprendra, entre autres, ce qu’est une petite entité d’audit, quels sont les défis à releverpour ce type de structure, la façon d’aborder le champ de ses activités, l’optimisation des performances, etc.

Vous pouvez consulter cet ouvrage à la bibliothèque de l’IFACI.

Lu pour vous


Audit, contrôle et performance

Auteurs : Laurent Cappelletti

Editeur : CNDP

L’ouvrage est le dernier numéro de la revue pédagogique Eco-nomie et management, qui se veut un support didactique,informatique et scientifique.

Ce numéro comporte deux parties : Audit, contrôle et perfor-mance, des armes anti-crise ? Méthodes innovantes d’audit etde contrôle de la performance.

Audit, contrôle et performance, des armes anti-crise ? Laperformance n’a de sens que si elle est durable, ce qui supposesa pluralité, sa relativité, son lien avec l’éthique et son applica-tion généralisée. L’audit et le contrôle sont devenus des piliersde la responsabilité sociale de l’entreprise et de sa gouver-nance, utilisés notamment dans des secteurs hautementéthiques comme le secteur médico-social. L’audit et le contrôlene sont pas des remèdes miracles. Aussi, pour contribuer à laperformance durable, doivent-ils être conduits selon des prin-cipes adaptés aux entreprises. A noter que ces dernièresannées, l’audit et le contrôle ont pénétré de nouveaux

domaines ou se sont renforcés dans des secteurs dans lesquels ils étaient déjà très présents, comme la banque, maisaussi les collectivités territoriales, les systèmes d’information et les PME.

Méthodes innovantes d’audit et de contrôle de la performance. L’audit, le contrôle et la performance représententdes champs très vastes d’investigation qui recouvrent toutes les disciplines du management et de la gestion. La per-formance durable a trois dimensions principales : économique et financière, sociale, environnementale et sociétale.Ces trois dimensions contribuent au développement de l’entreprise à court, moyen et long terme. La mesure de laperformance doit se faire au regard de ces dimensions, ce qui pose deux questions : quels indicateurs permettent demesurer la performance durable ? Comment construire un tableau de bord adapté pour la piloter ? Parmi les zonessensibles de l’audit, du contrôle et de la performance, figurent les compétences et les comportements professionnels,sujet délicat, mais qui doit être traité. Cette évaluation doit être menée avec doigté mais, in fine, doit être utile à l’or-ganisation.

Au-delà des concepts et des outils, l’audit, le contrôle et la performance offrent l’opportunité de provoquer des dis-cussions entre les acteurs, de stimuler le dialogue professionnel et de susciter des concertations. L’histoire écono-mique récente montre, en effet, que les grandes faillites de l’audit, du contrôle et de la performance, illustrées parles affaires des subprimes, Kerviel, Madoff, etc., résultent fondamentalement d’un manque de concertation et decommunication entre les acteurs, source d’opacité sur les situations de gestion.

L’ouvrage Audit, contrôle et performance s’adresse aux enseignants et formateurs des établissements professionnelset technologiques, aux étudiants et aux professionnels.

Vous pouvez consulter cet ouvrage à la bibliothèque de l’IFACI.

Lu pour vous

OUI, je désire recevoir le(s) numéro(s) :199200201202203204205206207208209

Paiement par : chèque bancaire ou postal (à l’ordre de l’IFACI) virement au HSBC Paris Champs-Elysées - Compte IFACI n° 30056-00148-01485415521-72 carte de crédit - n° . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Date d’expiration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Signature autorisée

OUI, je souhaite m’abonner à la revue« Audit & Contrôle internes » pour l’année2012 (du n° 208 au n° 212)(*) au prix de :

adhérents IFACI : 65 € TTCnon adhérents IFACI : 105 € TTC

(*) Si vous souscrivez un abonnement en cours d’année, letarif d’abonnement sera recalculé en fonction du nombrede numéros restant à paraitre jusqu’en fin d’année. Seulsces numéros vous seront envoyés.

Nom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Prénom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . N° adhérent IFACI . . . . . . . . . . . . . .Organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Adresse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Code Postal . . . . . . . . . . . . . . . . . . . . . . . . . . . Ville . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pays . . . . . . . . . . . . . . . . . . . . . . . .Date Signature

Commande à retourner à :I F A C I - 98 bis, boulevard Haussmann - 75008 Paris - Tél. : 01 40 08 48 00 - Fax : 01 40 08 48 20 - Mel : [email protected]

Vous pouvez également commander ou vous abonner à la revue « Audit & Contrôle internes » sur le site Internet www.ifaci.com

n° 199 n° 200 n° 201 n° 202 n° 203

n° 204 n° 205 n° 206 n° 207 n° 208

n° 209

Retrouvez la liste des

articles parus dans la revue

« Audit & Contrôle internes »

sur le site Internet de l’IFACIwww.ifaci.com

au prix unitaire de22 € TTC

Numéro épuisé

IFACI Formation - Tél. : 01 40 08 48 08 - Mel : [email protected] - Retrouvez également le programme complet sur le site internet www.ifaci.com

SESSIONS DuréeTarifs

adhérentsTarifs nonadhérents janvier février mars avril mai juin juillet sept. octobre nov. déc.

SE FORMER AU CONTRÔLE INTERNE

S’initier au contrôle interne 2 j 950 € 1 125 € 5-6 2-3 8-9 2-3 2-3 11-12 2-3 5-6 8-9

Cartographie et management des risques 3 j 1 675 € 1 875 € 11-13 6-8 12-14 4-6 9-11 13-15 10-12 8-10 3-5

Mettre en œuvre le dispositif de contrôle interne 2 j 1 200 € 1 350 € 16-17 9-10 15-16 14-15 19-20 4-5 13-14 15-16

Piloter et faire vivre le dispositif de contrôle interne 2 j 1 200 € 1 350 € 19-20 15-16 19-20 23-24 21-22 18-19 22-23

Le contrôle interne des systèmes d’information 2 j 1 200 € 1 350 € 24-25 22-23 27-28 3-4

SE FORMER À L’AUDIT INTERNE

Les fondamentaux de l’audit interne

S’initier à l’audit interne 2 j 950 € 1 125 € 5-6 1-2 8-929-30 15-16 7-8 2-3 6-7 4-5 8-9 6-7

Conduire une mission d’audit interne : la méthodologie 4 j 1 950 € 2 150 € 10-13 6-9 12-15 3-6 21-24 11-14 2-5 10-13 9-12 12-15 10-13

Maîtriser les outils et les techniques de l’audit 3 j 1 625 € 1 775 € 16-18 13-15 19-21 10-12 29-31 18-20 9-11 17-19 15-17 19-21 17-19

Maîtriser les situations de communication orale del’auditeur 2 j 1 050 € 1 150 € 19-20 13-14 22-23 10-11 21-22 21-22 12-13 20-21 18-19 22-23 20-21

Réussir les écrits de la mission d’audit 2 j 1 050 € 1 150 € 23-24 16-17 26-27 12-13 23-24 25-26 12-13 24-25 22-23 26-27 20-21

Exploiter les états financiers pour préparer une missiond’audit 3 j 1 525 € 1 675 € 25-27 26-28 29-31 26-28 3-5

Désacraliser les systèmes d’information 3 j 1 525 € 1 675 € 28-30 4-6 26-28 12-14

Détecter et prévenir les fraudes 2 j 1 050 € 1 150 € 29-30 28-29 24-25 24-25 6-7

Le management

Piloter un service d’audit interne 2 j 1 300 € 1 450 € 30,31 10-11 11-12

Manager une équipe d’auditeurs au cours d’une mission 1 j 685 € 770 € 21 4 14

L’audit interne dans les petites structures 1 j 685 € 770 € 7 29 19

Balanced Scorecard du service d’audit interne 1 j 685 € 770 € 10 25 28

Le suivi des recommandations 1 j 685 € 770 € 6 11 26 7 21

Préparer l’évaluation externe du service d’audit interne 2 j 1 300 € 1 450 € 13-14 15-16 29-30

L’audit interne, acteur de la gouvernance 1 j 685 € 770 € 12 26

Audit interne, contrôle interne et qualité : les synergies 1 j 685 € 770 € 15 25 5

Les audits spécifiques

Audit du Plan de Continuité d’Activité - PCA 2 j 1 300 € 1 450 € 8-9 27-28 26-27

Audit de la fonction Comptable 2 j 1 300 € 1 450 € 5-6 8-9

Audit de performance de la gestion des RessourcesHumaines 3 j 1 525 € 1 675 € 11-13 21-23

Audit de la fonction Achats 2 j 1 300 € 1 450 € 16-17 27-28

Audit des Contrats 1 j 685 € 770 € 16 1

Audit de la fonction Contrôle de Gestion 2 j 1 300 € 1 450 € 5-6 29-30

Audit de la Sécurité des Systèmes d’Information 2 j 1 300 € 1 450 € 22-23 12-13

Audit des Processus Informatisés 2 j 1 300 € 1 450 € 27-28 19-20

Audit de la Législation Sociale 2 j 1 300 € 1 450 € 13-14 17-18

Audit du développement durable 2 j 1 300 € 1 450 € 7-8 15-16

SE FORMER DANS LE SECTEUR PUBLIC

Le contrôle interne dans le secteur public 2 j 1 300 € 1 450 € 2-3 21-22 6-7 12-13

Pratiquer l’audit interne dans le secteur public 4 j 1 950 € 2 150 € 26-29 4-7 22-25 17-20

SE FORMER DANS LE SECTEUR BANCAIRE ET FINANCIER

Le contrôle interne dans le secteur bancaire et financier 3 j 1 525 € 1 675 € 6-8 19-21 5-7

Pratiquer l’audit interne dans le secteur bancaire etfinancier 4 j 1 950 € 2 150 € 11-14 24-27 10-13

SE FORMER DANS LE SECTEUR DES ASSURANCES

Le contrôle interne dans le secteur des assurances 2 j 1 300 € 1 450 € 8-9 2-3 4-5 8-9

Pratiquer l’audit interne dans le secteur des assurances 4 j 1 950 € 2 150 € 13-16 26-29 8-11 17-20

SE FORMER DANS LES SECTEURS INDUSTRIE ET COMMERCEAudit des processus clés des activités industrielles etcommerciales 4 j 1 950 € 2 150 € 23-26 2-5 18-21 15-18 4-7

ACQUÉRIR UNE CERTIFICATION

Le DPAI

Préparation au DPAI 2 j 950 € 1 125 € 29-30 11-12 15-16 13-14

Le CIA

Préparation au CIA - partie I 1,5 j 850 € 1 050 € 16pm-17 12pm-13 12pm-13 10pm-11 3pm-4

Préparation au CIA - partie II 1,5 j 850 € 1 050 € 19pm-20 15pm-16 14pm-15 13pm-14 6pm-7

Préparation au CIA - partie III 1,5 j 850 € 1 050 € 23pm-24 19pm-20 18pm-19 17pm-18 10pm-11

Préparation au CIA - partie IV 1,5 j 850 € 1 050 € 26pm-27 22pm-23 21pm-22 20pm-21 13pm-14

Calendrier 2012DPAI

1

FICHE TECHNIQUE

juin-juillet 2012 - FICHE TECHNIQUE N°40 - Audit & Contrôle internes

Béatrice Ki-Zerbo - Directeur de la Recherche, IFACI

Ces deux concepts sont au cœur de ladéfinition de l’audit interne : « […] acti-vité indépendante et objective qui donne

à une organisation une assurance sur le degré demaîtrise de ses opérations, lui apporte ses conseilspour les améliorer, et contribue à créer de la valeurajoutée. […]». L’objectivité est également l’un des

quatre principes clé du Code de Déontologie del’IIA.

Mais ce n’est pas parce qu’ils sont inscrits dansces textes fondateurs de la profession qu’ils sontcompris et mis en œuvre. En particulier ilconvient de lever toute ambiguïté quant à l’in-dépendance de l’audit interne. En effet, elle sedéfinit par des critères spécifiques qui ne sontpas ceux de l’audit externe. Quant à leur mise enœuvre, elle ne vise pas seulement à se conformeraux meilleures pratiques professionnelles, maiselle sert surtout à mieux répondre aux attentesdes parties prenantes internes et externes. Ainsi,les organes dirigeants (direction générale etConseil) sont à même d’obtenir une assuranceraisonnable sur le niveau global de maîtrise desactivités. De même, les auditeurs externes et lessuperviseurs peuvent avoir une confiance accruedans les dispositifs de contrôle interne s’ilssavent qu’une fonction d’audit interne efficaceles évalue.

Indépendance et objectivité,deux conditions pour un auditinterne reconnu et performant

L’objectivité un principe déontologiquepour les auditeurs internes

« Les auditeurs internes montrent le plus hautdegré d’objectivité professionnelle en collectant,évaluant et communiquant les informationsrelatives à l’activité ou au processus examiné.Les auditeurs internes évaluent de manière équi-table tous les éléments pertinents et ne se lais-sent pas influencer dans leur jugement par leurspropres intérêts ou par autrui. »

Code de Déontologie de l’IIA

2

FICHE TECHNIQUE

Audit & Contrôle internes - FICHE TECHNIQUE N°40 - juin-juillet 2012

Cet article s'appuie sur le guide pratique de l'IIA("Independance and objectivity: IPPF – Practiceguide" – The IIA, 2011) que l'IFACI a traduit(Guide Pratique « Indépendance et objectivité :CRIPP », IFACI/ IIA, 2012). Il en suit la tramepour mettre en évidence les risques d’atteinte àl’indépendance et à l’objectivité ainsi que lesdispositifs de gestion de ces risques.

Des concepts différents qui se recoupent

Le glossaire des Normes fournit les définitionssuivantes :

Les mots mis en exergue dans cet encartmontrent que ces deux concepts ont en communl’exigence d’impartialité. De plus, mener destravaux « sans compromis » ni subordination deson jugement c’est tout simplement être indé-pendant. On pourrait donc se poser la questionde l’intérêt d’avoir deux termes si proches pourdéfinir la même activité.

Selon le guide pratique, l’objectivité renvoieplutôt à un état d’esprit, au jugement personnelde l’auditeur interne, aux préjugés, aux relationset aux comportements. Un exemple est cité : « les

techniques d’échantillonnage statistiques peuventêtre utilisées pour obtenir un échantillon impartial àtester, mais il appartient toujours à l'auditeur interned’appliquer les critères ou procédures de tests et, d’in-terpréter les résultats de manière impartiale ».Tandis que l’indépendance concerne plus lafonction d’audit interne et s'exprime générale-ment de manière factuelle (par exemple, enfonction de la position de l'audit interne dansl’organisation, des relations avec les organes degouvernance, ou des pouvoirs d’accès à l'infor-mation, aux personnes, aux documents).

Des menaces réelles ou supposées

Différentes situations peuvent porter atteinte àl’indépendance de l’audit interne et à l’objecti-vité de l’auditeur. Ces risques inhérents sont, parexemple :

L’auditeur interne salarié de l’organisationLa majorité des acteurs de l’audit interne enFrance sont des salariés de leur organisation.Cette dépendance de fait pourrait laisserpenser que l’audit interne ne peut pas êtreimpartial. En tout état de cause le recours àun prestataire externe ne résout pas cepréjugé.

Un spectre d’activités qui s’étend L’audit interne offre des services de plus enplus diversifiés qui vont de l’assurance sur laconformité d’une activité à des conseils enphase de lancement d’un projet. La prise deposition de l’IIA sur « Le Rôle de l’auditinterne dans le management des risques del’entreprise » illustre bien le panel d’activitésqui peut être confié à l’audit interne et iden-tifie celles qui risquent de porter atteinte àl’indépendance et à l’objectivité.

Les préjugés sociaux ou cognitifsQu’il s’agisse d’intimidations ou de préjugésinconscients, l’auditeur interne peut perdre

Indépendance« L’indépendance c’est la capacité de l’auditinterne à assumer, de manière impartiale, sesresponsabilités. »

Objectivité« L’objectivité est une attitude impartiale quipermet aux auditeurs internes d’accomplir leursmissions de telle sorte qu’ils soient certains de laqualité de leurs travaux, menés sans compro-mis. L’objectivité implique que les auditeursinternes ne subordonnent pas leur proprejugement à celui d’autres personnes. »

Glossaire des normes version du 1er janvier 2012

3juin-juillet 2012 - FICHE TECHNIQUE N°40 - Audit & Contrôle internes

son objectivité en sur-interprétant (positive-ment ou négativement) une information enfonction du rôle ou du profil de son interlo-cuteur.

L’audit récurrent d’un département, d’uneactivitéLa familiarité avec le sujet audité peut égale-ment mettre à mal l’objectivité de l’auditeuret l’aveugler dans ses investigations puisqu’ilpeut penser connaître a priori les faiblesses.Ce n’est pas seulement une problématiquede petite structure d’audit interne qui n’auraitpas les moyens d’assurer la rotation des audi-teurs sur différentes missions. Desprogrammes de travail appliqués de manièretrop mécanique peuvent induire le mêmebiais.

Une responsabilité collective etindividuelle pour maîtriser ces menacesà tous les niveaux

Le guide pratique propose un référentiel degestion des menaces inhérentes et résiduelles àdéployer à différents niveaux :

Au niveau de la professionLes associations professionnelles commel’IIA et l’IFACI doivent continuer à mener desrecherches pour mieux définir ces concepts,les conditions de leur exercice et leur intérêtpour l’efficacité de la fonction.

Au niveau de chaque organisationIl revient aux organes dirigeants de s’infor-mer des conditions de succès d’une fonctiond’audit interne et de lui en donner lesmoyens notamment en termes de rattache-ment et de professionnalisme. Dans sa réponse à la consultation publiquedu Comité de Bâle sur l’audit interne, l’IFACIa réitéré sa position qui consiste à instaurerune relation équilibrée avec les organes diri-

geants. En privilégiant le rattachementhiérarchique au plus haut niveau de l’orga-nisation et un accès non restreint au Conseil. Ce modèle favorise l’indépendance au seinde l’organisation (liberté dans l’élaborationdu plan d’audit, accès aux ressources de l’or-ganisation, mise en œuvre du programme detravail et communication sur les constats sansinterférence du management). Plus son ratta-chement hiérarchique est élevé, plus le péri-mètre potentiel de l’audit interne est étenduet plus il est indépendant de l'entité auditée. Les relations étroites avec le Conseil permet-tent de conforter cette indépendance organi-sationnelle, tout en donnant à l’audit internela possibilité de contribuer à l’atteinte desobjectifs du Conseil en matière de suivi del’efficacité des systèmes de gestion desrisques et de contrôle interne. Ainsi, l’accèsdirect et sans restriction à cet organe (ou auComité d’audit) préconisé par la Norme 1111devrait se traduire par une participation régu-lière du responsable de l’audit interne (RAI)aux réunions du Comité d’audit ainsi que des

Rattachement du RAI et relations avec leComité d’audit

Selon la dernière enquête réalisée par l’IFACI surles pratiques de l’audit interne en France : 77 % des répondants sont rattachés au direc-

teur général ou au président ; 41 % des RAI rencontrent le président du

Comité d’audit en tête-à-tête ; la thématique des « missions et responsabili-

tés » vient en tête des sujets abordés avec leComité d’audit ;

le Comité d’audit est également informé de larévocation du RAI dans 63 % des cas(consulté dans 21 % des cas, approbateurdans 16 %) et de la rémunération de celui-cidans 76 % des cas (consulté dans 19 % descas et approbateur dans 5 %).

juin-juillet 2012 - FICHE TECHNIQUE N°40 - Audit & Contrôle internes 4

réunions en-tête, en-dehors de la présencede la direction générale, avec le Comité d’au-dit ou son président. L’interprétation de lanorme 1110 – Indépendance dans l'organi-sation, ainsi que la modalité pratique d’ap-plication associée, fournissent desillustrations sur la nature des relations fonc-tionnelles et hiérarchiques.

La charte d’audit interne formalise l’engage-ment que l’organisation prend vis-à-vis despouvoirs et responsabilités de l’audit interne.Son application doit être soutenue et suiviepar les organes dirigeants.

Le RAI, acteur clé pour asseoir l’indépen-dance de son service et développer l’objec-tivité des auditeurs internes

Le responsable de l’audit interne doit utiliserau mieux son positionnement et ses relations

avec les organes dirigeants. Pour ce faire, ilest au fait des meilleures pratiques profes-sionnelles et échange avec ses pairs.Il met en œuvre un véritable dispositif degestion des risques d’atteinte à l’indépen-dance et à l’objectivité dont la schématisa-tion, ci-dessous, ne surprendra pas ceux quisont familiers des référentiels de risk mana-gement.

Le guide pratique propose des facteurs d’at-ténuation. Le groupe de travail chargé del’adaptation en français a souhaité attirer l’at-tention sur certaines d’entre elles, telle quel’instauration d’un système de récompenses /sanctions. Dans certains environnements, ilpeut être malsain d’associer un tel systèmeau maintien de l’objectivité. De plus, les sanc-tions doivent s’appuyer sur des preuvesfactuelles démontrant que l’auditeur aexprimé des constats en se fondant unique-

Identi�er la menace

Evaluer l’importancede la menace

Identi�er les facteurs d’atténuation

Evaluer la menacerésiduelle

Gérer de manièreproactive la menace

résiduelle

Evaluer la présencede menaces non

résolues

Dé�nir les implicationsen termes de

communications auxparties prenantes

Réviser et surveillerles menaces

FICHE TECHNIQUE

Audit & Contrôle internes - FICHE TECHNIQUE N°40 - juin-juillet 20125

ment sur des partis pris ou des préjugés.Enfin, il serait dangereux de prescrire, envoulant la favoriser, ce que doit être l’objec-tivité. Le RAI dispose de toute une panopliede mesures préventives ou d’accompagne-ment telles que :• la sensibilisation au Code de déontologieet des entretiens réguliers avec les audi-teurs internes ;

• une politique de gestion des cadeaux de lapart des employés, de clients, fournisseurs,partenaires ;

• les pratiques de recrutement et de rému-nération. Il s’agit ici de déterminer si lescandidats sont en situation de conflits d’in-térêts (actionnaires, relations personnellesou d’affaires) ou d’éviter des critères derémunération qui dépendent de la perfor-mance de l'unité opérationnelle auditée ;

• la formation professionnelle socle de l’ob-jectivité ;

• la maîtrise de la mobilité interne vers et endehors de l’audit interne en respectant unepériode de latence entre fonctions opéra-tionnelles occupées (ou à venir) et lesmissions d’audit réalisées ;

• la constitution des équipes pour maîtriserle risque de familiarité ;

• un programme d’assurance et d’améliora-tion qualité conforme comprenant unesupervision en fonction du risque d’atteinteà l’objectivité et une évaluation externedonnant l’assurance d’une bonne gestiondes menaces.

La Norme 1110 indiquant que le RAI doitconfirmer au moins une fois par an l’indé-pendance organisationnelle de son service auConseil, ne devrait donc pas être considéréecomme une activité routinière mais s’appuyersur un contrôle permanent de l’activité.

Une responsabilité individuelle Une gouvernance adaptée et l’engagementdu RAI ne sont pas suffisants. Ils constituentun environnement favorable pour l’expres-sion de l’objectivité, mais celle-ci dépendrasurtout de l’auditeur interne. Il doit encomprendre les enjeux à travers des forma-tions et l’adoption du code de déontologie.Chaque auditeur interne devrait régulière-ment auto-évaluer son objectivité (dans lecadre de l’entretien annuel, avant et aprèschaque mission) et discuter avec le RAI encas de doute ou de risque avéré.

Il serait dommage que les travaux initiés par l’IIApour réviser la définition de l’audit interne abou-tissent à la suppression de la notion d’indépen-dance au motif que l’audit interne est unefonction de l’organisation. L’indépendance abso-lue n’existe pas et n’est pas souhaitable pourl’audit interne qui doit rester un outil au servicede la performance de l’organisation.Les deux concepts se nourrissent, l’indépen-dance contribue à l’instauration d’un contextefavorable à l’objectivité. De même, cette objecti-vité contribue à conforter l’indépendance. Eneffet, l’indépendance n’est pas un droit acquisimmuablement gravé dans le marbre d’unecharte d’audit interne ou lié à une place en hautde l’organigramme. Elle s’acquière et se mérite.Autant dire que c’est aussi une questiond’homme ou de femme. C’est au RAI de donnertoute la dimension de cette indépendance en lamettant en œuvre à bon escient non pas commeun mercenaire va-t-en-guerre mais dans lerespect de ses interlocuteurs et avec des convic-tions ancrées sur son expérience et le profession-nalisme de son équipe. Il instaure une sainecollégialité avec des espaces d’expression favo-risant l’identification des menaces et limitant desbiais cognitifs tel que l’aveuglement collectif faceà une difficulté bien réelle.

6juin-juillet 2012 - FICHE TECHNIQUE N°40 - Audit & Contrôle internes

Bibliographie

Independance and objectivity: IPPF - Practice guide / Steven E. JAMESON, et al. – The IIA, 2011.

Guide Pratique – Indépendance et objectivité : CRIPP, IFACI/ IIA, 2012.

Assisting small internal audit activities in implementing the International standards for the professio-nal practice of internal auditing: IPPF – practice. – The IIA, 2011.

CBOK - Common Body of Knowledge: vos pratiques au regard des tendances européennes etmondiales. – IFACI, 2011.

Characteristics of an internal audit activity : The IIA's global internal audit survey, report I. – The IIA,2010.

Core competencies for today's internal auditor : The IIA's global internal audit survey, report II. / JamesA. BAILEY. – The IIA, 2010.

Measuring internal auditing's value: The IIA's global internal audit survey, report III / Jiin-Feng CHEN,Wan-Ying LIN. – The IIA, 2011.

What's next for internal auditing?: The IIA's global internal audit survey, report IV. – The IIA, 2011.

Imperatives for change: the IIA's global internal audit survey in action: The IIA's global internal auditsurvey, report V / Richard J. ANDERSON, J. Christopher SVARE. – The IIA, 2011.

Les Pratiques de l'audit et du contrôle internes en France en 2009 : Enquête 2009. – IFACI, 2010.

Prise de position IFA / IFACI sur le rôle de l'audit interne dans le gouvernement d'entreprise : Mai 2009.– IFACI, 2009.

Independence and objectivity: A framework for internal auditors. / sous la resp. de Jane MUTCHLER. -The IIA research Foundation, 2001.

Les Normes et MPA associées :- Norme 1000 – Mission, pouvoirs et responsabilités- MPA 1000-1 – Charte d’audit interne- Norme 1010 – Reconnaissance de la Définition de l’Audit Interne, du Code de Déontologie et des

Normes dans la charte d’audit interne- Norme 1100 – Indépendance et objectivité- MPA 1110-1 – Indépendance dans l’organisation- Norme 1110.A1 – Indépendance dans la délimitation des travaux et la communication des résul-

tats - MPA 1111-1 – Relation avec le Conseil- MPA 1120-1 – Objectivité individuelle- MPA 1130-1 – Atteintes à l’indépendance et à l’objectivité- Norme 1130.A1 - Altération de l’objectivité de l’auditeur interne- MPA 1130.A1-1 – Audit des opérations dont les auditeurs internes ont été auparavant responsables- Norme 1130.A2 – Missions d’assurance sur des fonctions dont le responsable d’audit interne a la

charge- Norme 1130.A2-1 – Responsabilités exercées par l’auditeur interne au titre d’autres fonctions- Norme 1130.C1 – Missions de conseils sur des opérations dont les auditeurs internes ont été aupa-

ravant responsables- Norme 1130.C2 – Information sur les risques d’atteinte à l’indépendance et l’objectivité des audi-

teurs internes- MPA 2060-1 – Rapports à la Direction Générale et au Conseil - Norme 2070 – Responsabilités de l’organisation en cas de recours à un prestataire externe pour ses

activités d’audit interne- MPA 2120-2 – Gestion du risque lié à l’activité d’audit interne

Documents

CONTRIBUER À LA VALEUR AJOUTÉE DES ORGANISATIONS · 2014-04-28 · 550 M€ dans sa filiale brési-lienne, dissimulée par la direction locale. A chaque fois, les fraudes représentaient