L’AUDIT EN CONTINU Interview de Jean-Pierre Jochum Un …...Smit, vous en apprendra un peu plus sur son fonc - tionnement et ses réalisations. A la rubrique, « voix de la Francophonie

L’AUDIT EN CONTINUUn état d’espritadapté au rythmedu changement

N°0022e trimestre 2015

r e v u e i n t e r n a t i o n a l e d e s a u d i t e u r s e t d e s c o n t r ô l e u r s i n t e r n e s

Interview deJean-Pierre Jochum

Pour un audit interneperformant au seindes services de l’Etat

Contactez-nous :Tél. : 01 44 70 63 00

E-mail : [email protected]

Conc

eptio

n : e

bzon

e co

mm

unic

atio

n - P

hoto

: ©

Jaku

b Ce

jpek

- Fo

tolia

.com

Votre engagement pour+ de bonnes pratiques

+ de performance+ de légitimité

+ de sécurité

Progressez surdes bases solides

Le label de qualité et de performance CertificationIFACI est délivré aux services d'audit interne quiappliquent de façon pérenne les trente exigencespragmatiques du Référentiel Professionnel del'Audit Interne.

SOMMAIRE

03n°�002 — audit, risques & contrôle — 2e trimestre 2015

05 EDITO

De l’audit en continu à l’audit dans les ministèresLa vitalité de l’audit interne

06 CHRONIQUE

10 façons risquées de soutenir les ventes

08 VOIX DE LA FRANCOPHONIE

Partager et mutualiser les synergies

10 RENCONTRE AVEC ...

Jean-Pierre Jochum, Vice-président du CHAI

15 DOSSIER

16 Au-delà des systèmes et des technologies

20 Effet de mode ou réelle opportunité ?

22 Enjeux et apports

24 La mise en œuvre d’un processusde contrôle continu

25 Une action conjointe des deuxième ettroisième lignes de maîtrise

26 Audit interne et pilotage en continu :l’exemple d’une intégration réussie

29 À LA DÉCOUVERTE DE ...

Service Ethique et Conformité d’Alstom

32 LIBRES PROPOS

32 Le management par la confiance peut-ilaboutir à la fin des auditeurs et contrôleursinternes ?

34 L’audit interne est un élément essentiel dumanagement par la confiance

35 OUVERTURE SUR LE MONDE

ECIIA : la voix de l’audit interne en Europe

37 ACTUALITÉ

15 DOSSIERL’audit en continu : un état d’espritadapté au rythme du changement

Gestion des Risques :Auditeurs internes, le comité d’auditet la direction générale comptentsur vous !

POUR EN SAVOIR PLUS ...

Rendez-vous sur le site internet de l’IFACI(www.ifaci.com)

à la rubrique « Carrière + Diplômes ».

Conc

eptio

n : e

bzon

e co

mm

unic

atio

n - P

hoto

: ©

Pat

y W

ingr

ove

- Fot

olia

.com

Norme 2120 – Management des risques : L'audit interne doit évaluer l’efficacité des processus demanagement des risques et contribuer à leur amélioration.

Afin de renforcer la capacité des auditeurs internes à exercer efficacement leurs responsabilités enmatière d’évaluation des processus de management des risques, l’IIA a développé la certificationCRMA (Certification in Risk Management Assurance).

Le CRMA est un examen de 2 heures, composé de 100 Questions à Choix Multiples. Il est conçu pourles auditeurs internes et les professionnels de la gestion des risques qui interviennent sur lespérimètres de l’évaluation des risques, sur les processus de gouvernance, sur l’évaluation de la qualitéet l’auto-évaluation des contrôles.

Marquez des points !Détenir le CRMA vous permettra de démontrer votre professionnalisme dans le domaine del’évaluation de la gestion des risques, et plus particulièrement votre capacité à :

évaluer la maîtrise des risques et la gouvernance des processus métiersde votre organisation ;

sensibiliser la direction et le comité d’audit aux concepts liés auxrisques et à la maîtrise des risques ;

vous centrer sur les risquesstratégiques de l’organisation ;

apporter encore plus de valeurajoutée à votre organisation.

EDITO

05

On en parle beaucoup, on le pratique peu et pourtant, l’audit en continua les plus grandes chances de se développer au cours des prochainesannées. C’est en tout cas, l’enseignement que l’on peut tirer du« Dossier » de ce numéro où experts et praticiens s’expriment très libre-

ment sur ce sujet. Non, l’audit en continu n’est pas un pilotage en continu ; non,il ne se limite pas à des systèmes et des technologies ; et si les travaux y afférentss’appuient sur des bases de données, « l’audit en continu c’est avant tout, pourl’auditeur interne, un état d’esprit adapté au rythme du changement au sein desorganisations ».

L’audit interne dans les ministères est aujourd’hui une réalité nous dit Jean-PierreJochum, vice-président du CHAI (Comité d’harmonisation de l’audit interne), dansl’entretien qu’il a bien voulu nous accorder : les structures sont en place ; les comi-tés ministériels d’audit interne sont composés de manière à garantir leur indé-pendance, majorité de personnes non investies dans la gestion et depersonnalités extérieures aux ministères ; l’audit comptable est très opérationnelet les audits métiers se développent même si quelques progrès sont encore àfaire dans ce domaine ; l’audit interne est un métier à part entière qui attire dejeunes diplômés sortant des meilleures grandes écoles et qui va être prochaine-ment ajouté au répertoire interministériel des métiers de l’Etat. En quelques mois,le CHAI a élaboré un cadre de référence très proche de celui de l’IIA / IFACI etpublié plusieurs guides d’audit. Il anime la communauté des auditeurs ministé-riels et contribue à leur formation. Demain, ce qui a été fait au niveau centraldevrait pouvoir se décliner au niveau des collectivités territoriales.

Je pense que vous serez intéressés par la rubrique « Libres propos » qui traite dumanagement par la confiance pratiqué par les entreprises dites libérées commeNordstrom, importante société américaine cotée à la bourse de New York. Pources entreprises, les activités de contrôle sont fortement réduites. Est-ce le chantdu cygne pour l’audit interne ? La directrice de l’audit interne de Nordstromprenant exemple de son vécu pense tout le contraire.

La conformité a le vent en poupe, la présentation du service éthique et confor-mité d’Alstom dirigé par son ancien directeur d’audit interne est riche d’ensei-gnement.

ECIIA (Confédération européenne des instituts d’au-dit interne) est peu connue. A quelques mois de laconférence des 21et 22 septembre « Audit on thespotlight », l’article signé de son président, ThijsSmit, vous en apprendra un peu plus sur son fonc-tionnement et ses réalisations.

A la rubrique, « voix de la Francophonie », la prési-dente de l’UFAI présente les principaux points déve-

loppés à Pékin lors du 12ème conseil global del’IIA, et d’insister sur la nécessité, pour les audi-teurs internes membres du réseau de l’UFAI,de partager et de mutualiser leur énergie.

Vous pourrez lire enfin la rubrique toujourstrès inventive d’Antoine de Boissieu qui traitecette fois-ci des « 10 façons risquées desoutenir les ventes ».

Bonne lecture.

Louis Vaurs - Rédacteur en chef

De l’audit en continu àl’audit dans les ministèresLa vitalité de l’audit interne

n°�002 — audit, risques & contrôle — 2e trimestre 2015

audit, risques & contrôleLa revue internationale des auditeurs et des contrôleurs internesn°002 - 2e trimestre 2015

EDITEURUnion Francophone de l’Audit Interne (UFAI)Association Loi 190198 bis, boulevard Haussmann - 75008 Paris (France)Tél. : 01 40 08 48 00 - Mel : [email protected] : www.ufai.org

DIRECTEUR DE PUBLICATIONMireille Harnois

RESPONSABLE DE LA RÉDACTION Philippe Mocquard

RÉDACTEUR EN CHEFLouis Vaurs

COMITÉ RÉDACTIONNELLouis Vaurs - Mireille Harnois - Eric Blanc -Antoine de Boissieu - Jean-Loup Rouff

SECRÉTARIAT GÉNÉRALEric Blanc - Tél. : 06 15 04 56 32 - Mel : [email protected]

CORRESPONDANTSAmérique : Farid Al MahsaniMaghreb : Nourdine KhatalAfrique subsaharienne : Fassery Doumbia

RÉALISATIONEBZONE Communication22, rue Rambuteau - 75003 ParisTél. : 01 40 09 24 32 - Mel : [email protected]

IMPRESSIONImprimerie de ChampagneRue de l’Etoile de Langres - ZI Les Franchises52200 Langres

ABONNEMENTMichèle Azulay - Tél. : 01 40 08 48 15Mel : [email protected]

Revue trimestrielle (4 numéros par an)ISSN : 2427-3260Dépôt légal : juillet 2015Crédit photos couverture : © kras99 - Fotolia.com

Prix de vente au numéro : 25 € TTC

Les articles sont présentés sous la responsabilité de leurs auteurs.

Toute représentation ou reproduction, intégrale ou partielle,faite sans le consentement de l’auteur, ou de ses ayants droits,ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1er del’article 40). Cette représentation ou reproduction, par quelqueprocédé que ce soit, constituerait une contrefaçon sanction-née par les articles 425 et suivants du Code Pénal.

Ce document est imprimé avec des encres végétalessur du papier issu de forêts gérées dans le cadred’une démarche de développement durable.

06 2e trimestre 2015 — audit, risques & contrôle - n°�002

CHRONIQUE

1. Vendre aux mauvaispayeurs

Pour des commerciaux, la façonla plus simple de gonfler le chiffred’affaires est de vendre à desclients qui ne paient pas. Lesconcurrents ne se battent géné-ralement pas pour les garder, etles dits-clients ne sont pas tropregardants sur le prix de vente(beaucoup plus sur les conditionsde paiement, de rupture decontrat, et de garantie). C’est cequi s’est produit lorsque lemarché de l’électricité et du gaza été libéralisé en France pour lesparticuliers. Des petits concur-rents d’EDF et de GDF (POWEO,DIRECT ENERGIE) se sont lancésdans une course à la taille pouratteindre le seuil d’un million declients. Leurs commerciaux,objectivés sur le chiffre d’affaireset le nombre de clients, ont doncdécroché rapidement quelquescentaines de milliers de clients àrisque. Le portefeuille clients aensuite dû être assaini, le taux

d’impayés dépassant les 30 % àcertaines époques.C’est le même mécanisme qui apoussé des banques américainesou espagnoles à faire des prêtsimmobiliers à des clients insolva-bles, provoquant la crise dessubprimes ; jusqu’au retourne-ment du marché et au défaut desclients, ces banques ont pu affi-cher une croissance flatteuse deleur chiffre d’affaires. Le risques’est réalisé avec quelques annéesde décalage, provoquant unevague de faillites bancaires.

2. Promettre n’importequoi au client

Une bonne façon de gonfler lecarnet de commandes à courtterme est de faire au client despromesses que l’on ne tiendrapas ; le coût lié à la non-exécutiondu contrat ne se verra que plustard, de même que les effetsinduits sur la réputation et le chif-fre d’affaires.Ce risque est courant dans l’aéro-

nautique, par exemple, ou lesgrands constructeurs ont parfoisaccepté un peu vite les cahiersdes charges et les délais desgrands donneurs d’ordre. Lecarnet de commandes se remplit,les directions générales et leséquipes commerciales sablent lechampagne, et les difficultés sontrepoussées de quelques années,lorsqu’il s’agit de livrer les appa-reils conformes. Les programmesA380 et A400M d’AIRBUS, B787de BOEING, ou F35 de LOCK-HEED, l’illustrent bien. Mais on retrouve le même méca-nisme dans beaucoup desecteurs d’activité, notammentdans les secteurs gérant desprojets (BTP, SSII, ingénierie...) etdans les services.

3. Placer le clienten situation dedépendance

Le risque serait d’abuser de ladépendance du client. Dans lesecteur de la défense par exem-ple, beaucoup de sociétés ontainsi eu tendance à en jouer unpeu trop, les clients étant géné-ralement forcés de faire appel àeux pour la maintenance d’équi-pements complexes (avions,bateaux, chars…). Le construc-teur est alors en position de forcepour négocier les prix, parfoisaussi le volume d’activité lorsquele client n’a pas l’expertise néces-saire pour réaliser ses propresdiagnostics de maintenance. Lesabus ont conduit certains clientsà changer leur mode de négocia-tion, intégrant le coût de posses-sion. C’est notamment ce qu’a fait

le Ministry of Defence britanniquepour certains achats d’avions, leMoD achetant désormais desheures de vol suivant uneformule de prix fixée à l’avance.Cette situation a aussi longtempsprévalu dans le secteur automo-bile, les constructeurs gardant lecontrôle des circuits de distribu-tion des pièces de rechange,vendues à des prix élevés. Lesexcès ont conduit à une interven-tion des législateurs et à une libé-ralisation forcée.

4. S’entendre avecles concurrents

L’actualité fournit de nombreuxexemples, certains secteurs étantmultirécidivistes (la banquenotamment). Ces affaires prou-vent qu’une entente bien géréepermet d’avoir un effet certainsur les prix, tout en garantissantles parts de marché des uns etdes autres. Les amendes sontcependant de plus en plusdissuasives.

5. Vendre discrètementautre chose sans le direau client

Dans beaucoup d’activités, c’estpossible. Le mécanisme le plussimple est de vendre des presta-tions de services annexes auclient, si possible en ne lui factu-rant qu’au moment où les livrai-sons sont réalisées. Ces servicespeuvent aller du transport à l’as-surance, en passant par l’exper-tise technique, la certification, ladiffusion, la promotion… Cettepratique n’est pas forcément illé-

10 façonsrisquéesde soutenirles ventesUne banquière de MORGAN STANLEY qui use de moyens équi-voques pour augmenter son chiffre d’affaires, l’Autorité de laConcurrence qui trouve des ententes dans des secteurs trèsvariés (loueurs de voitures, fabricants de yaourts, fabricants depoids lourds, producteurs de volailles...), SFR-NUMERICABLEmenacée d’une pénalité de 50 M€ (la seconde) pour retard dansl’exécution d’un contrat avec le département des Hauts-de-Seine, HSBC mise en examen pour blanchiment de fraudefiscale… : l’actualité fournit de multiples exemples de risquescommerciaux.La pression pour atteindre les objectifs de chiffre d’affaires peutparfois conduire à une prise de risque inconsidérée. Voici 10façons risquées d’augmenter le chiffre d’affaires, auxquelles lesauditeurs et contrôleurs internes devraient être attentifs.

CHRONIQUE


gale, mais le risque est grand defranchir la ligne rouge. L’exemple le plus frappant estsans doute la vente par lesbanques britanniques d’assu-rances crédit liées aux prêtsimmobiliers (« Payment ProtectionInsurance »). Ces ventes d’assu-rances à marges très élevées ontété finalement considérées par lajustice britannique commeabusives, les banques anglaisesétant condamnées à rembourserplus de 22 milliards de livres.Ce type de pratiques est de toutefaçon risqué dans la mesure oùcela fournit des argumentscommerciaux aux concurrents,qui pourront expliquer au clientla façon dont il a été surfacturé.

6. Etre très (trop) gentilavec le client

S’il est normal d’être à l’écoutedes besoins du client, il faut faireattention à ne pas tomber dansl’illégalité en aidant le client àcontourner les réglementations. Des banques de renom ont ainsireçu des amendes ou été misesen cause pour complicité defraude fiscale (UBS, HSBC),complicité de blanchiment(HSBC), complicité de violationd’embargo (BNP PARIBAS,COMMERZBANK, ING...)… On sesouvient aussi de l’affaire Enron,qui a entraîné la disparitiond’ARTHUR ANDERSEN, accuséd’avoir fait preuve de trop decomplaisance pour pouvoircontinuer à vendre à Enron desprestations de conseil.

7. Payer lesprescripteurs

Même si cela devient plus risqué,le paiement des prescripteurspour qu’ils fassent acheter lesclients est toujours une pratiquerépandue. Cette pratique a long-temps existé dans le secteurpharmaceutique, les producteursciblant les universitaires, lesmédecins et les pharmaciens. Sila situation s’est assainie dans lespays de l’OCDE, ce n’est pas le casailleurs : la Chine a ainsicondamné GLAXO à 400 M$d’amende en 2014, pour avoiracheté des prescriptions. Des affaires de pots-de-vin (avérésou non) sont également fréquem-ment rendues publiques dans ladéfense, le BTP, les industries pétro-lières et gazières, l’ingénierie…

8. Anticiper le chiffred’affaires

Toutes les techniques ci-dessusconsistent à prendre de grosrisques à moyen et long termepour atteindre les objectifs àcourt terme. Plutôt que de pren-dre de vrais risques commerciaux,certaines entreprises peuventêtre tentées de jouer sur l’affi-chage, en surestimant leur chiffred’affaires. Les secteurs impliquantune gestion de projets s’y prêtenttrès bien : services informatiques,ingénierie, aéronautique, usinesclef en main, BTP… ; il suffit d’exa-gérer l’avancement du projet à ladate de clôture comptable, parexemple en ne relevant pascertaines non-conformités, ou en

forçant le passage de certainsjalons. Le projet ne se terminerapas plus tôt, mais, dans unecomptabilité à l’avancement, celapermet d’anticiper une partie duchiffre d’affaires.Dans un autre domaine, la grandedistribution a aussi longtempsjoué sur les marges arrière lorsquecelles-ci pouvaient être pluri-annuelles : il suffisait alors de lescomptabiliser intégralement surla première année du contrat.C'est ainsi qu’AHOLD a pu gonflerson chiffre d’affaires de près d’unmilliard de dollars en 2004.Une autre façon de faire peut êtrede déconnecter le chiffre d’af-faires des ajustements négatifs,en repoussant la comptabilisa-tion de ces ajustements. Le casd’école est fourni par l’aéronau-tique, où les pénalités de retardde livraison sont souvent trans-formées en rabais sur descommandes ultérieures. Ainsi,l’année de la livraison, les fabri-cants comptabilisent l’intégralitédu chiffre d’affaires, en repous-sant de plusieurs années lacomptabilisation de l’avoiraccordé au client, avoir qui n’ap-paraîtra jamais comme tel.

9. Se vendre à soi même(ou presque)

Une variante de cette anticipationde chiffre d’affaires peut être devendre à des faux clients. Cela estgénéralement possible dans lesmarchés intermédiés, d’autantplus pour les sociétés internatio-nales, lorsque les intermédiairessont locaux (donc difficiles àcontrôler, et de petite taille). Ilsuffit dans ce cas de créer sonpropre intermédiaire, ou dedonner des garanties aux inter-médiaires locaux. Les ventespeuvent alors être facilement anti-cipées, les intermédiaires accep-tant les livraisons et les gardant enstock. Les constructeurs automo-biles ont décliné cette idée avecdes ventes de fin de période auxconcessionnaires, des ventes « 0km », des ventes avec immatricu-lation pour compte propre… A telpoint que l’analyse des statis-tiques de vente demande désor-mais une vraie expertise pourdistinguer les ventes normales desventes anticipées. D’autres

secteurs sont concernés, à plus oumoins grande échelle : agrochi-mie (via les grossistes et distribu-teurs), matériel agricole (idem),matières premières (via les socié-tés de négoce, souvent prêtes àrendre service)…

10. Casser les prix

Cette façon de faire n’est pasforcément illégale et peut résulterd’une stratégie valable. C’est parexemple la stratégie suivie pour lepétrole par l’Arabie Saoudite, quicherche à gêner certains concur-rents (Russie et Iran) en les empê-chant de dégager une trésoreried’exploitation suffisante pourmoderniser leurs installations etmener à bien leurs projets dedéveloppement. C’est aussi lastratégie suivie par les 3 grandsproducteurs de fer (RIO TINTO,VALE, BHP BILLITON), pour empê-cher leurs concurrents de lancerdes projets d’extension de capa-cité et condamner à la fermeture(vraisemblablement définitive) denombreuses mines chinoises. La vente en dessous d’un prixplancher peut cependant êtreinterdite, ou considérée commeun abus de position dominante.Dans certains secteurs, le niveaude prix ou de marge (interdictionde vente à perte) est fixé. C’est lecas de la pharmacie par exemple,ou de la grande distribution. Denombreuses façons existent detourner ces interdictions : avoirsplus ou moins justifiés, flux deprestations croisées, réalisationde prestations non facturées…Dans ces cas là, l’enjeu pour ladirection générale est de biencontrôler l’activité des commer-ciaux et des filiales, pour éviter dese faire déborder. Sont par exem-ple exposées à ce risques lesentreprises de services informa-tiques (avec la nécessité de biencontrôler le taux de facturationhoraire réel et l’activité desconsultants), de travaux publics(avec le problème du contrôledes travaux réellement réalisés),de l’automobile (par exempleavec le contrôle du prix de reprisedu véhicule d’occasion, qui peutmasquer une ristourne sur levéhicule neuf )…

Antoine de Boissieu

© S

erge

y N

iven

s - F

otol

ia.c

om


VOIX DE LA FRANCOPHONIE

Lors du 12e Conseil globalde l’Institut des auditeursinternes (IIA), tenu à Pékinen Chine, les leaders

provenant du monde entier sesont réunis pour échanger, parta-ger, apprendre et contribuer àl’évolution de cette organisation

mondiale et de la profession. Untotal de 75 Instituts ainsi que 4organisations régionales dontl’Union Francophone de l’AuditInterne (UFAI) étaient représen-tés, faisant de ce Conseil globalun des plus imposants de l’his-toire avec la participation de 143

délégués, y compris le Comitéexécutif de l'IIA Global et sonpersonnel clé.

Le programme de cette année aporté sur quatre éléments essen-tiels du plan stratégique de l’IIAsoit : le professionnalisme, la

promotion de l’audit interne(advocacy), la valeur durable et lerenforcement des capacités. Il aété demandé aux participants dese prononcer sur les défis et lesopportunités ayant un impact surla profession de l'audit interne àl'échelle mondiale, mais aussi

Partager etmutualiserles synergies

Afrique 7 %

Asie / Paci�que17 %

Afrique centrale / sud7 %

Europe26 %

Moyen orient3 %

Amériquedu Nord

39 %

Autres pays1 %

Graphique 1 – Membres IIA par région

Région Instituts Membres

Afrique 24 13 291

Afrique centrale et du sud 18 13 254

Asie / Pacifique 18 30 775

Europe 39 48 431

Moyen orient 7 6 000

Amérique du Nord 2 72 586

Autres pays NC 1 908

Total Monde 108 186 245

© V

icto

ria

- Fot

olia

.com

VOIX DE LA FRANCOPHONIE


d’identifier les moyens de colla-boration entre les membres duréseau IIA pour travailler ensem-ble au renforcement et à l’amélio-ration continue de notreorganisation à l’échelle mondiale.

En ouverture de session, après unbref examen du plan stratégique2015-2020 de l'IIA Globalprésenté par le Vice-président duConseil Larry Harrington, l’Institut

des auditeurs internes présentaitses plus récentes données,notamment la répartition desmembres de l’IIA selon la régiongéographique (graphique 1) puisselon la langue primaire(graphique 2).

L’IIA compte à ce jour environ180 000 membres. On note quel’Afrique et l’Europe ensemblecomposent 33 % des membresmais en regardant les donnéesportant sur la langue primaire,nous constatons que noussommes environ 9 000 membres(5 %) avec le français commelangue primaire, une véritableminorité.

Ces résultats montrent l'impor-tance de favoriser le meilleurpartage possible dans la franco-

phonie, en lien notamment avecun des éléments clés du GlobalCouncil, à savoir le renforcementdes capacités. Ce renforcementdoit se bâtir entre les instituts,entre les leaders, entre les audi-teurs et ce tant au niveau desproduits que des services. C’est làla force du réseau de l’UFAI pourles auditeurs francophones, quipermet de partager, de mutuali-ser les énergies.

Donc, il sera crucial que le réseauet les membres de l’UFAI travail-lent ensemble et y mettent lesefforts nécessaires pour assurernotre succès. Cet effort collectifet une grande collaborationpermettront de renforcer noscapacités d’offrir aux auditeursfrancophones l’accès aux servicesdont ils ont besoin, d’où qu’ilsviennent. Il nous faudra doncaméliorer l’accès et l’échange deproduits et services entre institutsfrancophones constitués ou encours de constitution.Une telle démarche permettra defournir à ces auditeurs l’informa-tion en temps opportun et perti-nente afin de renforcer leurprofessionnalisme. Les auditeursauront dès lors tout en main pourrespecter les normes internatio-nales de la profession.

De plus, lors de ce Conseil Global,l’IIA a confirmé travailler à l’élabo-ration d’initiatives de développe-ment en territoire africain,notamment en déployant diversprogrammes dont unprogramme de mentorat, dédiéau soutien des instituts principa-lement en formation ou enprogression et un programme dechapitres internationaux quipermettra de rejoindre un plusgrand nombre d’auditeurs et demettre à leur disposition un plusgrand nombre de services. Lesoutien et des plateformes del’IIA pourront ainsi permettre auxorganisations locales de réaliserdes économies de ressources et

d’investissement et de dirigerleurs efforts en focalisant sur desactivités à forte valeur ajoutée.

Toutes ces initiatives présententdes défis, y compris relativementà la complexité des services àdéployer, les compétencesrequises, la disponibilité deressources et bien sûr tous lesefforts d’adaptation locale etlinguistique. Le rôle de l’UFAI estdonc clé pour mutualiser toutesles ressources.

Rappelons que l’UFAI a été crééen 1988 dans le but de promou-voir et développer la pratique del’audit interne dans les pays etrégions où le français est parlé.Ses actions ont toujours été

orientées autour de quatreobjectifs majeurs : créer des opportunités pour

les auditeurs francophones dese regrouper et de partager ;

accroitre le nombre de publi-cations francophones et enassurer la distribution ;

fournir un support de forma-tion et de certification incluantle CIA en français ;

assister dans la création d’asso-ciations et d’instituts d’auditinterne.

Donc l’UFAI aujourd’hui a toutesa place au centre de la commu-nauté et des activités franco-phones mais aussi comme un

joueur clé pour faire le lien entrele réseau francophone et l’évolu-tion de la profession au niveaumondial.

Au sein de l’UFAI, desleaders contribuant audéveloppement de laprofession

La participation active de leadersfrancophones, membres del’UFAI, dans les discussions duGlobal Council aide à orienter etdiriger la profession et l’IIA à larencontre des besoins d’uneprofession en évolution.

Mireille Harnois, Présidente del’Union Francophone de l’AuditInterne

180 000 auditeurs dans le mondedont 33% en Europe et en Afrique

9 000 auditeurs internesont le français comme langue primaire

Anglais63 %Espagnol

6 %

Autres 14 %

Français5 %

Portugais 3 %

Japonais 3 %Chinois 3 %Allemand 3 %

Graphique 2 – Membres IIA selon langue primaire


RENCONTRE AVEC ...

Louis Vaurs : Quelles sont lesmissions du CHAI ? Quelles sontses principales réalisations ?

Jean-Pierre Jochum : La premièremission confiée au CHAI, présidépar M. Thierry Mandon, secrétaired’Etat chargé de la réforme del’Etat, est d’élaborer le cadre deréférence applicable en matièred’audit interne de l’Etat.Sa deuxième mission est d’ani-mer la communauté des audi-teurs ministériels et de contribuerà sa professionnalisation enétablissant des outils méthodolo-giques.Reste une mission essentielle quele CHAI n’a, pour l’instant, pasencore mis en œuvre : c’est d’exa-miner chaque année la politiqued’audit des départements minis-tériels et de formuler à cette

occasion des recommandations.Nous avons commencé à travail-ler à ce que pourraient être lescritères d’examen de la politiqued’audit interne des ministères.Notre ambition est de lancer leprocessus pour la première foisl’année prochaine, ce quisuppose que notre grille decritères soit prête à l’automne etque nous ayons eu le temps del’expliquer à nos interlocuteurs.

Jusqu’à présent, le CHAI a essen-tiellement établi le cadre de réfé-rence – ce que l’on appelle lesnormes obligatoires, dans lelangage de l’audit interne – et atravaillé sur un certain nombre deguides d’audit, parmi lesquels leguide de l’audit interne compta-ble, le guide d’audit de la fonc-tion Achat, le guide d’audit d’un

Marché public, le guide d’auditdes Systèmes d’information et leguide d’audit de la gestion desRessources humaines.Ces guides ont été établis par desgroupes de travail du CHAI mobi-lisant aujourd’hui plus de 80personnes membres des MMAI,des inspections générales oucorps de contrôle des ministères,la participation à ces groupes sefaisant en fonction de leur expé-rience en ces domaines.Le cadre de référence a occupé leCHAI pendant quasiment uneannée : après des débats nourris,le CHAI a décidé de prendrecomme base les normes de l’IIAadaptées pour tenir compte desdispositions réglementaires s’im-posant à l’administration et dumode de gouvernance desministères qui n’est pas celuid’une entreprise. Ainsi l’absencede conseil d’administration aconduit à analyser de façonspécifique les relations des diffé-rents acteurs de la fonction d’au-dit. La transposition s’est doncfaite a minima, en ne changeantque ce qui était strictementnécessaire.

Quant à la refonte des MPA, je nesouhaite pas que l’on s’enferme ànouveau dans une salle pour lesréécrire. Toutes les normes n’ont

pas besoin de modalités prati-ques d’application. Ce n’est pas lapeine de systématiser l’exercice.Par contre, je suis favorable àtravailler sur des sujets tels que lapréparation des missions d’auditmais aussi le dossier de travail oula supervision des missions.

L. V. : La création de missionsministérielles d’audit interne a-t-elle été bien comprise par lesadministrations centrales del’Etat ? N’a-t-elle pas été perçuecomme une contrainte supplé-mentaire, un contrôle supplé-mentaire ?

J.-P. J. : Dans la suite logique de lamise en place de la LOLF, l’auditinterne s’est développé dans ledomaine comptable dans lecadre de la certification descomptes de l’Etat. Une réflexionsur l’extension de l’audit interneau-delà de ce cadre restreint adébuté en 2008 sous l’impulsionde l’inspection générale desfinances qui a réalisé d’abord uneanalyse comparative dans lesadministrations de cinq pays del’OCDE et de la Commissioneuropéenne, puis a établi, en2009, des propositions pour lastructuration de la politique decontrôle et d’audit internes del’Etat en France.

Jean-Pierre Jochum, Vice-président du CHAI (Comité d’Harmonisation de l’Audit Interne)

Le CHAIpour un audit interneperformant au sein desservices et métiers de l’Etat

Le décret du 28 juin 2011 et la circulaire du premier ministre du30 juin 2011, relatifs à l’audit interne dans l’administration, ontgénéralisé la démarche d’audit interne dans les ministères enprévoyant que chacun d’entre eux se dotera d’une mission minis-térielle d’audit interne (MMAI) et d’un comité ministériel d’auditinterne (CMAI) et en créant, auprès du ministre chargé de laréforme de l’Etat, le comité d’harmonisation de l’audit interne(CHAI). Jean-Pierre Jochum, vice-président du CHAI, a bienvoulu, pour les lecteurs de « l’AR&C », faire le point sur les réali-sations de ce comité et évoquer ses marges de progrès.

RENCONTRE AVEC ...


contrôle interne et la maîtrise desrisques et de montrer les diffé-rences entre une mission d’auditet une mission d’inspection ouune mission de la Cour descomptes.L’auditeur interne ne juge pasune organisation de l’extérieur. Iltente de se mettre à la place duresponsable de la structure audi-

tée, il essaie de comprendrequels sont ses objectifs etcomment il s’est mis en capacitéde les atteindre. Il examinera si lesbons efforts sont faits aux bonsendroits ; les bons endroits, c’est-à-dire les éléments présentant leplus de risque ; les « bonsefforts », c’est-à-dire les effortsadéquats pour réduire les risqueset donc efficaces.Et puis, il examine des processus,des modes de fonctionnement, ilne juge pas des personnes. Cequi est nouveau par rapport à

une mission d’inspection quigarde toujours un peu un aspect« contrôle externe », un peu« shérif », c’est que l’audit internese situe à l’intérieur de l’organisa-tion et que son ambition seconfond avec celle biencomprise des dirigeants de l’or-ganisation.

L. V. : Est-ce qu’actuellement,l’une de vos préoccupations estde vous assurer que tous lesgrands opérateurs de l’Etat dispo-sent d’un département d’auditinterne, ou bien est-ce l’auditinterne du ministère qui joue cerôle ?

J.-P. J. : Ce n’est pas une préoccu-pation directe du CHAI, c’est àchaque ministère de s’assurerque l’ensemble des acteurs parti-cipant aux politiques publiquesqui lui sont confiées sont bien

couverts par un dispositif decontrôle et d’audit internes.

Je pense que ce sera un sujetessentiel de l’examen de la poli-tique d’audit interne des minis-tères : quel est le périmètrecouvert par l’audit interne ? Est-ce que le comité d’audit ministé-riel va se préoccuper de savoir sion a pensé également auxrisques qui peuvent surgir de l’ac-tivité des opérateurs ?Il faut être conscient que, dès qu’ily a une solution de continuitédans la chaîne de responsabilité,un partage de responsabilité, il ya un risque potentiel. Lorsque lamise en œuvre d’une politiquepublique est confiée pour partieà un opérateur, il y a par exempleun risque de connaissance insuf-fisante tant au niveau amont dela stratégie mise en œuvre parl’opérateur qu’au niveau aval desrésultats obtenus. De la même manière des risquesspécifiques peuvent existerquand il y a des services décon-centrés.

L. V. : Souhaitez-vous jouer unrôle au niveau du développe-ment de l’audit interne dans lescollectivités territoriales ?

J.-P. J. : Je pense que, quand onparle de secteur public, il n’y apas que l’Etat et ses opérateurs, ily a d’autres personnes et il y ad’autres collectivités, d’autresniveaux. Et en tout cas, même sile CHAI n’est pas compétent pourles collectivités territoriales, j’aibien l’intention, si j’en ai le temps,de créer quelques passerellesavec les associations représen-tant les différentes collectivités,associations des régions deFrance, des départements deFrance, des mairies de France.

L. V. : Quels sont les chantiersactuels du CHAI et ses prioritéspour les prochaines années ?

J.-P. J. : Nos priorités, c’est d’abordde travailler à la professionnalisa-tion de nos auditeurs. C’est aussiles aider à se faire connaître, à sefaire comprendre dans leursorganisations. En matière de

On n’est pas parti d’une volontépolitique, mais d’une nécessitétechnique de parachever letravail fait à l’occasion de laréforme budgétaire et compta-ble qui mettait notamment enévidence le concept de politiquepublique repris par le décret surl’audit interne de 2011.

Au départ, l’audit interne, commele contrôle interne, est apparucomme une « couche supplé-mentaire » dont on ne voyaitguère la valeur ajoutée ni mêmela place dans un contexte admi-nistratif marqué par la traditionlégaliste.En fait, nous n’avons pas fini d’ex-pliquer les choses. Et notrepremier examen de la politiqued’audit interne des ministèresdevra être l’occasion de préciserla logique de l’audit interne etnotamment son lien fort avec le

Nos priorités c’est d’abord de travailler àla professionnalisation de nos auditeurs

« »


RENCONTRE AVEC ...

leurs interlocuteurs ce qu’était unrisque, ce qu’était le « contrôle »au sens anglais, la « maîtrise » ;comment il fallait noter lesrisques pour être en mesure dedéterminer l’effort d’audit à four-nir … Il y avait là tout un travailde persuasion, d’explication, et jepense que les discussions quenous avons eues au sein du CHAIsur cette problématique ont ététout particulièrement utiles.

L. V. : Quel regard portez-vous surles comités ministériels d’auditinterne ?

J.-P. J. : Au tout début, les CMAIn’étaient pas composés demanière à garantir leur totaleobjectivité. En effet, les opéra-tionnels, les directeurs des minis-tères constituaient pourl’essentiel les comités d’audit.Actuellement, dans les comités

d’audit ministériels, l’objectif d’in-dépendance est atteint : dans l’in-tégralité des comités d’auditinterne, les personnalités noninvesties dans la gestion, dansl’opérationnel, y compris despersonnalités extérieures auministère, sont effectivementmajoritaires.

L. V. : Outre l’adaptation desnormes et la rédaction de

professionnalisation, nous nousefforçons de recenser les forma-tions disponibles pour en infor-mer les responsables de missionsministérielles d’audit et nousavons mis en place nous-mêmesune formation aux fondamen-taux de l’audit interne.

Une autre priorité, c’est de mettreen place l’examen annuel de lapolitique d’audit interne desdifférents départements ministé-riels, prévu dans le décret de juin2011.

Enfin, nous souhaitons nous faireconnaître et échanger, à la foisavec les responsables de l’auditinterne dans le privé et avec lesréseaux d’auditeurs internespublics au niveau international.

L. V. : Avez-vous le sentiment queles auditeurs internes s’appuientsur le CHAI pour avancer ?

J.-P. J. : Oui, je le crois sincère-ment. Ils peuvent échanger,partager leurs difficultés. C’est unendroit où l’on peut effective-ment – y compris dans lesgroupes de travail – parler dessolutions que l’on a trouvées oudes démarches que l’on a pumettre en œuvre.Je pense que le simple fait de nepas être seul face à ses managers,de pouvoir bénéficier des expé-riences (mauvaises ou bonnes)des autres est un atout considé-rable pour eux.Nous avons lancé un nouveautype d’action qui s’appelle lespartages d’expérience. Onrassemble le plus possible dereprésentants ministériels pourdiscuter de tel ou tel sujet. Et c’estd’ailleurs à travers ce biais-là quel’on va parfois écrire quelquesmodalités pratiques d’applicationqui seront le résultat du partaged’expérience.

Je voudrais ajouter que les audi-teurs des missions ministériellesd’audit interne ont tous été solli-cités comme les « sachant »lorsque les ministères ont dûétablir une cartographie desrisques. Les auditeurs internesont eu l’occasion d’expliquer à

La première Conférence annuelle du CHAI, tenue le 28 novembre 2014, a réuni plus de 200 personnes.

RENCONTRE AVEC ...


plusieurs guides, avez-vous misd’autres outils et instruments à ladisposition des auditeurs ?

J.-P. J. : Nous allons continuer àélaborer des guides, notammentcompléter le guide RH. Parcontre, aucun travail à ce staden’a porté sur les outils informa-tiques les plus appropriés autravail des auditeurs. Certainsservices d’audit disposent de telsoutils et seront en mesure de lesprésenter à leurs collègues.

L. V. : Pouvez-vous définir enquelques mots la valeur ajoutéedu CHAI ?

J.-P. J. : Le CHAI est un collectif quidonne un peu plus de force àtout le monde. C’est aussi un lieu de partage desbonnes pratiques, ou desmauvaises pratiques, ou desmauvaises expériences. Il fautque l’on arrive à créer une vraie

relation de confiance pour quel’on soit capable d’y parler de nosvrais problèmes. Le CHAI est ainsiun point d’appui pour lesservices d’audit interne.

Il est aussi le garant de la qualité.Chaque ministère a sa culture,souvent fortement ancrée, quipeut comporter des mauvaiseshabitudes au regard desexigences propres de l’auditinterne. La tentation estfréquente de tirer argument deses spécificités pour s’extraire dela norme. Le rôle du CHAI est d’of-frir une référence commune dece qu’il faut respecter pour que letravail effectué soit de qualité,pertinent et utile. Ce ne sera pastoujours facile de convaincre quepour atteindre ce but, il fautrespecter un minimum de règles.L’objectif du CHAI n’est pas d’har-moniser vers le bas, le médiocre,mais de tirer la qualité vers lehaut, sans néanmoins rechercherun perfectionnisme excessif.

L. V. : Quelles sont les relations duCHAI avec les services d’audit dela Commission européenne, avecINTOSAI, EUROSAI, la Cour descomptes, l’ECIIA et l’IIA ? Est-cequ’il y a des relations organiséesavec ces différentes structures ?

J.-P. J. : Le CHAI en tant que teln’est pas encore en relation avecles auditeurs de la CommissionEuropéenne même si, à titre indi-viduel, certains s’inscrivent dansles réseaux d’auditeurs publicseuropéens. Nous n’avons pas de relationsavec INTOSAI et EUROSAI, parceque je considère que ce sont desorganismes s’adressant aux struc-tures de contrôle externe (Coursdes comptes). Nous n’avons pas de relation avecl’ECIIA. En tant que CHAI, nousavons en revanche adressé à l’IIA,au printemps dernier, notre cadrede référence traduit en anglais.En réponse, l’IIA a salué la

démarche de la France par uncommuniqué publié sur son site.Le CHAI a par ailleurs répondu àla consultation de l’IIA sur sonprojet de cadre conceptuel ensoulignant l’intérêt de tenircompte de quelques pointsspécifiques au secteur des admi-nistrations publiques.

L. V. : Est-ce que dans le cadre del’ECIIA, vous pourriez envisagerde constituer, à l’instar de ce quia été fait par le secteur bancaire,un groupe de travail européenAdministration Publique ?

J.-P. J. : Cela mérite une réflexion.D’une manière plus générale, j’ail’intention de proposer assezrapidement au CHAI de désignerquelqu’un d’entre nous poursiéger dans ce genre d’instances.Je souhaiterais inviter à laprochaine conférence annuelledu CHAI, un représentant de laCommission européenne, del’Internal Audit Service par exem-

ple, et pourquoi pas un auditeurpublic étranger.

L. V. : Avez-vous des contactsavec les administrations centralesdes pays d’Afrique subsahariennemembres de l’UFAI ?

J.-P. J. : Pour l’instant non, maisnous y réfléchissons. En effet, jesais que du côté du FMI ou de laBanque mondiale, qui sont desinstitutions internationales bienprésentes en Afrique, l’auditinterne n’est pas une compé-tence qu’ils ont dans leur porte-feuille habituel.

L. V. : Quelles relations le CHAIentend-il avoir avec l’IFACI ?Quelle ligne de partage desresponsabilités entre eux deux ?Que peuvent-ils bâtir ensemble ?

J.-P. J. : Depuis que je suis auCHAI, je rencontre l’IFACI réguliè-rement.

Nous avons eu des discussions,dès mon arrivée avec les diri-geants de l’IFACI.Nous avons défini un modusvivendi avec un postulat dedépart : nous sommes d’accordpour travailler ensemble. J’ai expliqué, et l’IFACI l’a très biencompris, que tout ce qui étaitinstitutionnel, à savoir tout ce quiconcerne la manière dont doits’organiser l’audit interne dans lesministères, me semblait réservéau CHAI. En matière de méthodo-logies, rien ne s’oppose à ce quele domaine soit partagé en veil-lant à éviter les redondances et, afortiori, les contradictions. Je pense que le CHAI doit sepréoccuper de la formation desauditeurs, même s’il n’a pas lesmoyens d’agir lui-même commeorganisme de formation. Commeje vous l’ai dit, le CHAI a organiséune formation aux fondamen-taux de deux jours, qui serarenouvelée autant que debesoin ; il ne peut pas faire plus.

L’idée est, sur la base d’uneconnaissance partagée desformations existantes sur lemarché, que chaque auditeur sevoit doté d’un carnet de forma-tion recensant les formations qu’ilaura suivies.

L. V. : Quel type de collaborationest-il pratiqué entre l’auditinterne des ministères et l’auditexterne de la Cour des comptes ?

J.-P. J. : Il faut tout d’abord avoirconscience que l’on n’a pas lesmêmes clients. Pour l’auditeurinterne, ses clients, ce sont lesresponsables des organisationsauditées. La Cour des comptes,comme un commissaire auxcomptes, travaille pour que despersonnes extérieures disposentd’informations fiables : le Parle-ment, les citoyens et toute autrepartie prenante.

Je pense aussi que nous n’avonspas exactement les mêmesobjectifs, Pour comprendre cepoint, il convient d’avoir à l’espritque la Cour a, au moins, pournotre propos deux rôles.

D’une part, elle est l’auditeurexterne assurant la certificationdes comptes des comptes del’Etat comme le ferait un commis-saire aux comptes privé et dansce cadre il est naturel, en applica-tion des normes internationalesd’audit, que les travaux sur lacomptabilité de l’audit interne luisoit communiqués systémati-quement et directement.

D’autre part, la Cour des Comptesexerce, en tant que juridiction ouen vertu d’attributions qui luisont données par la Constitutionou d’autres textes organiques,d’autres missions au coursdesquelles elle peut exercer sondroit de communication général.Dans ce cadre, elle l’exerce selonles procédures prévues et nonpas en s’adressant aux auditeursinternes. Un des sujets les plussensibles est évidemment celuides cartographies des risques.L’établissement de ces cartogra-phies relève de la compétencedes opérationnels ; il semble

L’objectivité du CHAI n’est pas d’harmoniser vers le basmais de tirer la qualité vers le haut sans néanmoinsrechercher un perfectionnement excessif

«»


RENCONTRE AVEC ...

exclu que les auditeurs puissenttransmettre dans ce domaine desinformations qui ne leur appar-tiennent en rien même s’ils ontpu aider à leur élaboration.

L. V. : Quel état des lieux pouvez-vous établir, aujourd’hui, sur ledéveloppement de l’auditinterne dans l’administration ?

J.-P. J. : La situation est variable.En ce qui concerne la mise enplace des structures, tous lesministères sauf un sont pourvusdes textes réglementairesmettant en œuvre le dispositifd’audit interne prévu par ledécret de 2011. S’agissant du fonctionnementconcret du dispositif, les comitésd’audit interne se réunissent, lescartographies de risques ont étéétablies et servent de base à laprogrammation des travaux d’au-dit à peu près partout. Mais lechamp et la visibilité de l’auditinterne sont variables d’un minis-tère à l’autre. Dans certains minis-tères, on est encore plutôt sur del’audit interne comptable,domaine en progrès constant.Les audits métiers se dévelop-pent plus ou moins rapidement.Il me semble, mais je ne suis pasle seul à le considérer, qu’il fautdésormais s’occuper des vraissujets que sont les risquesmétiers.

L. V. : Que reste-il à faire ?

J.-P. J. : Je pense que les struc-tures sont en place. A présent, ilfaut faire tourner la machine pourl’améliorer, pour faire les bonsconstats, donner les bonnesrecommandations et fairebouger les choses. Il ne faut pasoublier que l’objectif de l’auditinterne, ce n’est pas de produireles meilleurs rapports du mondeet les meilleures recommanda-tions du monde, c’est de fairebouger l’organisation dans lesens de l’amélioration.Quand aura-t-on réussi ? Quandil y aura des plans d’actions etqu’ils auront été mis en œuvre.

L. V. : Quel est le défi de l’harmo-nisation des pratiques au sein des

départements ministériels quisont très divers ?

J.-P. J. : Le défi c’est d’arriver, àpartir de cultures différentes –parce qu’il y a des cultures minis-térielles différentes –, à faireadopter des modes de fonction-nement, des méthodologiescommunes. Il faut respecter untronc commun, le minimumminimorum qui garantit que lestravaux seront pertinents et utilesaux audités, c’est-à-dire les aide-ront à mieux gérer leurs activitéset les risques qui y sont attachés.Bien entendu, les métiers spéci-fiques à chaque ministère appel-leront des compléments.Mais le rôle du Comité d’harmo-nisation, c’est de travailler sur lesocle commun et d’éviter de fairedu spécifique pour faire du spéci-fique. Le spécifique n’est justifiéque pour un vrai besoin.

* **

L. V. : Qui sont les auditeurs del’Etat, leurs compétences, leurniveau de professionnalisation,leurs perspectives d’évolution ?

J.-P. J. : Les auditeurs de l’Etat sontdes fonctionnaires et, plus rare-ment, des contractuels. Ce sontdes membres des corps decontrôle préexistants, la plupartdu temps.Certains sont des jeunes quisortent de l’ENA ou de grandesécoles commerciales ou scienti-fiques. D’autres sont despersonnes qui ont déjà exercédes fonctions au sein de l’organi-sation, notamment opération-nelles, à de haut niveau parfois.Ils ont été formés « sur le tas »,certains ayant déjà une forteexpérience en matière decontrôle, et au travers de diffé-rentes formations. J’ai parlé denotre souci d’aider nos collèguesà professionnaliser leurs équipes. Il est extrêmement rare que l’onreste auditeur toute sa vie dans lesecteur public. Je pense néan-moins que l’audit interne est unmétier. D’ailleurs, il va être ajoutéau répertoire interministériel desmétiers de l’Etat. S’il ne doit pas

forcément être exercé duranttoute une vie professionnelle,c’est un métier qui peut fairepartie du parcours d’un cadre àpotentiel car il donne quelquesbons réflexes : ne pas croire sansvérifier, être capable de se poserdes questions, d’avoir un regardun peu distancié, de détecterl’« anormal » et de s’y arrêter…Habituellement, on conserve cesréflexes, quel que soit le métierque l’on exerce ensuite.L’idéal à mon avis pour former lesmissions ministérielles, est,quand cela est possible, un mixtede jeunes diplômés et depersonnes connaissant déjà l’or-ganisation, car il est utile au seind’un service d’audit interned’avoir la connaissance desmétiers de l’organisation.

L. V. : Quelles sont les ambitionsdu CHAI pour les prochainesannées ?

J.-P. J. : Maintenant que le CHAI aune base, il va pouvoir s’ouvrir surle monde extérieur : Europe, paysfrancophones… Compte tenu del’expérience acquise, on pourraitpartager avec d’autres pays, d’au-tres institutions, en restant surl’idée qu’il n’y a pas de différencefondamentale entre le privé et lepublic.Il serait souhaitable d’arriver, dansles prochaines années, à « embar-quer » les collectivités territorialesdans une démarche de mêmenature.

L. V. : Je vous remercie de m’avoiraccordé ce long entretien.

© C

omug

nero

Silv

ana

- Fot

olia

.com

© h

assa

n be

nslim

an -

Foto

lia.c

om

DOSSIER


16 - Au-delà des systèmeset des technologies

22 - Enjeux et apports

20 - Effet de mode ouréelle opportunité ?

24 - La mise en œuvre d’un processusde contrôle continu

25 - Une action conjointe des deuxièmeet troisième lignes de maîtrise

26 - Audit interne et pilotage en continu :l’exemple d’une intégration réussie

L’AUDIT INTERNEEN CONTINU

Un état d’esprit adaptéau rythme du changement


L’AUDIT EN CONTINU

L’audit en continu est défini comme la« combinaison d’évaluation continue desrisques et des contrôles qui s’appuient sur lessystèmes d’information. L’audit en continudoit permettre à l’auditeur interne decommuniquer ses constats sur l’objet consi-déré bien plus rapidement que dans le cadrede l’approche rétrospective traditionnelle ».L’idée sous-jacente est que les organisationsdoivent faire face à un rythme de change-ment et de transformation du contexte derisques toujours plus rapide, auquel ne peutplus répondre une approche d’audit internetraditionnelle.

L’audit en continu c’est en résumé la capacité,pour l’audit interne, en capitalisant sur lestechnologies et les données disponibles, de : développer un plan d’audit beaucoup plus

agile, en développant des indicateurspermettant de cibler les éléments de l’uni-vers d’audit (entités ou risques) nécessitantd’être priorisés ;

cibler les missions de manière beaucoupplus précise, en s’appuyant sur les indica-teurs de risques et de contrôles ;

mieux suivre la mise en place des recom-mandations en s’appuyant sur l’évolutiondes indicateurs affectés par les recomman-dations émises.

La technologieest au cœurdes enjeuxpour les fonc-

tions audit interne. Enparticulier, la capacité à accéder en temps réelà des données de plus en plus étendues,structurées ou non structurées, change fonda-mentalement le contexte dans lequel lesfonctions audit interne évoluent. Plus large-ment c’est tout le champ de la gestion desrisques, du contrôle interne et de la confor-mité qui doit s’adapter, y compris les auditeursinternes et externes. Comment s’intègre l’au-dit en continu, concept développé depuisplusieurs années, dans ce nouveau monde ?

Audit en continu,de quoi parle-t-on ?

L’IIA a publié en mars 2015 la seconde éditiondu GTAG 3, en intégrant spécifiquement l’ap-proche dans le modèle des 3 lignes dedéfense (de maîtrise en France) et en inté-grant des aspects au-delà du domaine pure-ment transactionnel pour intégrer les apportsdes outils d’analyse en continu comme parexemple ceux relatifs au suivi des paramé-trages de contrôles, de la sécurité et de laséparation des tâches, ainsi que la capacité detraiter des données moins structurées1.

C’est donc un réel apport pour l’auditeurinterne qui doit le plus souvent, avec desmoyens contraints, focaliser encore plus sesmissions sur les zones de risques les pluscritiques tout en augmentant le niveau globald’assurance pour des parties prenantes deplus en plus exigeantes.

Le cadre étant posé, il est question ici d’éva-luation en continu des risques et descontrôles. N’y a-t-il pas confusion avec le pilo-tage en continu ?

L’audit en continu et le pilotageen continu dans le modèledes 3 lignes de défense (ou demaîtrise)

Dans le modèle des trois lignes de défense laresponsabilité du pilotage en continu est clai-rement du ressort du management et desfonctions qui l’appuient pour la mise enœuvre des dispositifs de gestion des risques,de conformité et de contrôle interne.

En pratique plus les dispositifs sont pilotés demanière rapprochée, plus l’audit interne

Jean-Pierre Hottin, Associé, PwC

Au-delà des systèmeset des technologies

© S

erge

y N

iven

s - F

otol

ia.c

om

1 La version française du GTAG 3 publiée par l’IFACIest téléchargeable sur le site www.ifaci.com



pourra réduire son effort, pour tant est qu’il aitévalué la qualité du dispositif de pilotage.L’exemple le plus courant est celui des auto-évaluations du contrôle interne, mises enplace dans la plupart des entreprises enFrance : dans certaines entreprises, la fonctioncontrôle interne ou contrôle permanent estétroitement impliquée dans le pilotage d’in-dicateurs attestant de la mise en place effec-tive des contrôles remontant desautoévaluations, limitant ainsi la nécessitépour l’audit interne d’intervenir sur lapremière ligne de défense, si ce n’est pourcorroborer la qualité du pilotage mis en place.Dans d’autres entreprises, le pilotage n’est pasmis en place et implique pour l’audit interne,s’il veut construire son assurance sur lesautoévaluations, de mener des audits plusapprofondis au niveau des opérations.

La plupart des grandes entreprises et paressence les entreprises du secteur financieront mis en place des fonctions risques etcontrôle interne qui ont vocation à prendreen charge ce pilotage en continu. Pour lesautres, et notamment les organisations nonfinancières de taille moyenne, l’audit interneaura souvent un rôle plus étendu et viendraappuyer directement le management pourdévelopper cette supervision en continu.In fine, le pilotage en continu est bien de laresponsabilité du management, alors quel’audit en continu est une approche dévelop-pée par l’audit interne pour s’adapter aurythme des changements dans l’organisationet mieux allouer ses ressources. La premièreresponsabilité de l’audit interne sera doncbien d’évaluer le pilotage en continu des deuxautres lignes pour déterminer les travaux qu’ildevra réaliser en complément afin de donnerun niveau d’assurance approprié.

Le schéma proposé dans la dernière versiondu GTAG 3 reprend clairement ces différentséléments (Cf. Schéma 1).

L’audit en continu est-iluniquement un sujettechnologique ?

Le GTAG est par nature associé aux aspectstechnologiques. La définition ainsi que lesexemples sont d’ailleurs très focalisés sur l’uti-lisation des technologies. A mon sens il nefaut pas limiter l’audit en continu à dessystèmes et des technologies, même si nousavons en tant qu’auditeurs internes uneopportunité fantastique de faire évoluer laprofession grâce à des données plus facile-ment accessibles et à des outils d’explorationet d’analyse à portée de main pour des audi-teurs généralistes.

La précédente version de ce GTAG mesemblait d’ailleurs plus focalisée sur l’espritque sur la technologie, en donnant des illus-trations et des exemples plus approfondis surles indicateurs de risques versus les indica-teurs de contrôles – un focus particulier étantmis dans cette dernière version sur les indica-teurs de contrôles automatiques ou paramé-trés, ce qui traduit l’évolution des outilsdisponibles pour les principaux ERP cesdernières années.

L’audit en continu, c’est avant tout pour l’au-diteur interne un état d’esprit adapté aurythme du changement au sein des organisa-tions : un plan l’audit qui n’est plus figé sur une

base annuelle, qui s’adapte à la lecture d’in-dicateurs disponibles au sein de l’organisa-tion, ou créés spécifiquement pour lesbesoins du plan d’audit ;

des audits dont l’intensité et le périmètresont adaptés au fil de l’eau en exploitant lesindicateurs ad hoc ou les informationsremontant du pilotage en continu ;

l’appui autant que faire se peut au fil del’exécution des audits, de la préparation aureporting, sur les techniques d’analyses dedonnées ;

une meilleure intégration avec les méca-nismes de pilotage managériaux de l’orga-nisation.

La technologie associée est bien évidemmentfondamentale, et représente des enjeuximportants : Comment s’intégrer dans l’urbanisme des

systèmes de l’entreprise, prendre encompte sa complexité, tout en ne dégra-dant pas la performance des systèmesopérationnels ?

Comment adresser le sujet de la protectiondes données que va manipuler l’auditinterne, en veillant à respecter également

les réglementations sur la protection desdonnées personnelles ?

Comment avoir l’assurance sur la qualitédes données utilisées ?

Les données et leur qualitéau centre d’un dispositif d’auditen continu

L’objectif de l’audit en continu est : de mesurer les risques de manière dyna-

mique, en regardant par exemple destendances (suivi de ratios de gestion), enmesurant des expositions à des natures derisques (répartition du portefeuille clients),en allant jusqu’à essayer de prévoir ou d’an-ticiper des risques ;

de mesurer le caractère effectif descontrôles attendus, de manière continue,par exemple en pilotant les paramétrages

Activités d'audit interne entrant dans le cadre de l'assurancecontinue :

• Tests d'audit sur les contrôles en continu réalisés par les 1re et 2e lignes de maîtrise• Audit en continu

3e ligne de maîtrise :L'audit interne fournit

une assuranceindépendante.

2e ligne de maîtrise :Des fonctions

(comme les fonctions de gestion des

risques et de conformité) exercent une surveillance

des risques.

1re ligne de maîtrise :Les managersopérationnels

endossent et gèrentles risques.

Contrôleen continu

Tests d'auditsur les contrôles

en continu réalisés par les 1re et 2e

lignes de maîtrise

Audit encontinuvia des

techniquesinformatiséesd’évaluation

continuedes risques

et descontrôles

Transfert destechniques

d'audit en continu

Schéma 1 : Cadre optimisé de l’assurance continue

sont une première base de départ. Les fonc-tions transverses sont également une sourced’indicateurs à exploiter. L’existence d’un ERPcommun est un avantage considérablepuisqu’il pourra souvent permettre d’indus-trialiser des indicateurs très opérationnels.

Une fois les indicateurs identifiés sur les zonesprioritaires, il faut déterminer la fréquence desuivi. L’audit interne n’a pas la capacité à suivreles indicateurs en continu – c’est le rôle dumanagement et des fonctions de contrôle.Pour chaque domaine, il faudra déterminer lesfréquences d’analyse – sans doute pourcommencer semestriel, puis trimestriel.

Une fois ces fréquences déterminées il seranécessaire de mettre en place ces indicateurs,ce qui nécessitera l’appui sur des outils. Le casidéal est l’organisation qui s’appuie sur un ERPqui intègre un module GRC… malheureuse-ment toutes les organisations ne sont pasdans ce cas et l’audit interne devra prendregarde à ne pas introduire un niveau decomplexité supplémentaire dans l’urbanisa-tion des systèmes en « branchant » unnouveau système. L’évolution des technolo-gies dans le domaine data représente unevéritable opportunité pour rendre moinsardue cette étape, en s’appuyant sur des outilsde modélisation et d’exploration de donnéesdu marché (Qlickwiew, Tableau Software…).Ces outils permettent de gérer des volumesconsidérables de données et offrent descapacités d’exploration et de visualisation trèsévoluées.

Le suivi des indicateurs peut représenter unchallenge – ce doit être une mission allouéedans le planning d’audit interne, le plus granddanger étant de ne pas prendre suffisammentde temps pour les exploiter et passer ainsi à

côté de signaux de risques.

Enfin, évidemment, tout cecidoit donner lieu à uneamélioration continue – rienn’est figé.

Deux exemples enpratique, l’audit desmagasins dansles réseaux dedistribution et l’audità intensité variabledans le secteurfinancier

La grande distribution, enparticulier aux Etats-Unis,offre un terrain extrêmement


de contrôles systèmes ou en analysant dessignaux de dérive des contrôles par l’ana-lyse massive de transactions.

L’audit en continu va donc « lire » des donnéesvariées, qui vont permettre d’alimenter unevision dynamique des risques et descontrôles. Schématiquement vont être collec-tées par exemple des données sur : les indicateurs de performance de l’entre-

prise, qui peuvent également être compa-rés à des benchmarks externes ;

les indicateurs de risque : ce sont des indi-cateurs internes (par exemple accroisse-ment de la part de transactions avec tellecatégorie de clients), ou externes (évolutiondu taux de défaillances d’entreprises dansune région donnée) ;

l’état de la mise en œuvre des dispositifs demaîtrise/contrôles (taux de conformité desautoévaluations, modifications de contrôlesparamétrés, résultat des évaluations ducontrôle permanent…), et les indicateursde dysfonctionnements de contrôles(analyses de données sur des populationstrès larges montrant des tendances inhabi-tuelles (nombre de commandes prochesdu plafond validation…) ;

les alertes et évènements inhabituelscapturés en temps réels (tentatives d’intru-sion sur les SI, utilisation de transactionssensibles, litiges…).

L’enjeu est de mettre en place les dispositifsde collecte des données qui en garantissentl’intégrité, en considérant la complexité dessystèmes et des sources de données à exploi-ter.Le schéma 2, extrait de la précédente éditiondu GTAG 3, illustre l’étendue de l’audit encontinu.

Dès le moment où l’audit interne s’appuie surdes dispositifs de pilotage, collectant et agré-geant eux même des informations en prove-nance de sources opérationnelles, il devrarevoir les contrôles garantissant la qualité dela donnée , que ce soient les contrôles géné-raux informatiques ou les contrôles sur lesprocessus de collecte et agrégation.

Mettre en place un dispositifd’audit en continu, quellesétapes ?

Le GTAG décrit de manière synthétique 4étapes pour mettre en place avec une visiontechnologique.

Si l’on prend un peu de recul en excluant cesaspects technologiques et les moyens àmettre en œuvre sur le plan humain et tech-nologique, la démarche ressemblerait auxétapes décrites ci-après.

La définition des zones prioritaires est essen-tielle : comme dans toute transformation il ya des « quick wins » qu’il faut privilégier. En l’es-pèce, il faut prendre du recul sur son pland’audit et s’interroger par exemple sur lesaudits répétitifs et les moyens de mieux lescibler/prioriser en utilisant des indicateurs. Lesplans d’audit de nos entreprises françaisesincluent souvent des sujets plus opération-nels ou stratégiques qu’il est peu pertinent decouvrir avec cette démarche.

L’identification des indicateurs est la secondeétape essentielle. La démarche doit s’appuyerau maximum sur des données déjà disponi-bles, afin de limiter le coût pour l’organisation.En général, le contrôle de gestion dispose deremontées d’informations assez détaillées qui


Audit continu

Evaluation continue des contrôles

Fondé sur les contrôles(les contrôles destinés à apporter uneassurance fonctionnent)Contrôles financiers

Fondé sur les risques(identification / évaluation des risques)Contrôles financiers / opérationnels

Tests des transactions détaillées /en temps réel(données financières)

Comparaison / tendances(données financières / opérationnelles)

Assurance surles contrôles

Approche

Cible

Techniqued’analyses

Activités del’audit y

afférentes

Activités dumanagementy afférentes

Pilotage descontrôles

Pilotage desperformances

Tableau debord équilibré

Gestion de laqualité totale

(TQM)

Tableau debord équilibré

Vérificationfinancière

Fraude /gaspillage /

abus

Périmètre etobjectifs de

l’audit

Suivi desrecom. de

l’audit

Plan d’auditannuel

Evaluation continue des risques

Schéma 2



fertile à la mise en place de systèmes d’auditen continu. L’enjeu pour les entreprisesconcernées est de maximiser le plan d’auditmagasins. Les approches mises en placeconsistent à bâtir un tableau de bord, en utili-sant des données internes et externes, débou-chant sur des indicateurs de risques quipermettent de prioriser efficacement lesmagasins à auditer. Ce n’est pas nouveau, leprécédent GTAG 3 utilisait un exemple simi-laire pour illustrer l’application de l’audit encontinu sur le plan d’audit. Ce qui est nouveauc’est la capacité à exploiter beaucoup plus dedonnées, internes et externes, y compris àpartir des réseaux sociaux, pour cibler lesmagasins « à risque », et de piloter tout ceciau travers de tableaux de bord dynamiquesgrâce aux nouveaux outils accessibles pourtout auditeur interne.

Un autre exemple intéressant est la démarched’ajustement de l’intensité d’audit mise enœuvre en Angleterre pour une grandebanque. La question posée est quelque peudifférente, puisque dans le cas présent l’auditinterne a l’obligation de couvrir sur une basepluriannuelle l’ensemble des éléments del’univers d’audit. Pour répondre à cet enjeu,nous avons développé une approche structu-rée, basée sur l’exploitation d’indicateurs etdéterminant la profondeur d’audit en fonc-tion de la lecture de ces indicateurs. Il étaitpossible également de reprioriser leséléments de l’univers d’audit en fonction duniveau de risque lu au travers des indicateurs.Cette démarche nécessite un outillage trèsavancé puisqu’il faut réellement « connecter »les éléments de l’univers d’audit aux indica-teurs de risque et de contrôle.

Quels sont les freins audéveloppement de l’audit encontinu et les risques associés ?

Le concept n’est pas nouveau – le premierGTAG est paru en 2005. Pour autant, peu d’en-treprises en France semblent avoir progressésur la mise en place de telles techniques. Pourquelles raisons ? Est-ce parce que les béné-fices espérés sont insuffisants au regard desinvestissements ? Ou bien par manque descompétences nécessaires ?La plupart des fonctions audit interne sont entrain de réfléchir à l’utilisation des technolo-gies et en particulier de l’analyse de données,fondement de l’audit en continu. La dernièreenquête internationale de PwC sur la profes-sion a mis en exergue cet écart entre inten-tion et action en matière d’appui sur lestechnologies. 82 % des directeurs d’audit

interne déclarent utiliser les techniquesd’analyse de données, mais seulement 43 %utilisent des techniques dans le cadre del’analyse de risques et 48 % pour déterminerle périmètre des interventions. Ils sont pour-tant plus de 70 % à considérer qu’ils devraientle faire.

Lorsque l’on regarde plus particulièrement lasituation française, les tendances sur l’utilisa-tion de l’analyse de données pour suivre desindicateurs de risques ou disposer de tableauxde bord dynamiques sont relativement simi-laires au reste du monde, même si l’onconstate un léger retrait : 69 % en France versus 76 % au niveau

mondial utilisent ou envisagent d’utiliserl’analyse de données pour les indicateursde risques ;

55 % en France versus 64 % au niveaumondial utilisent ou envisagent d’utiliserl’analyse de données pour des tableaux debord.

Les freins à la mise en place de tellesdémarches sont de plusieurs ordres, commel’illustrent les directeurs audit interne qui ontcontribué à ce dossier : Toutes les fonctions audit interne n’ont pas

la capacité à collecter en continu desdonnées homogènes et de qualité.L’urbanisme des systèmes d’information estune complexité pour des groupes qui sedéveloppent par acquisition à l’internatio-nal.

Les auditeurs internes ne sont pas toujoursconvaincus des bienfaits de la donnée,ayant parfois vécu des expériences d’utili-sation de ces techniques mal préparées.

La compétence nécessaire pour mettre enœuvre ces techniques sur le plan opéra-tionnel n’est pas toujours « gérable » parl’équipe audit interne – il s’agit de profilstechniques qui ont potentiellement deschemins de carrière spécifiques.

Il faut pouvoir comprendre les indicateurs,ce qui nécessite une acuité business qui estl’un des grands challenges des auditeursinternes, comme l’a montré notre dernièreenquête – et comment maintenir cettecompétence lorsque le modèle est unparcours d’excellence de quelques annéesà l’audit interne ?

Les auditeurs internes doivent tracer lalimite entre l’audit en continu qui est réalisépour le besoin du plan d’audit et le pilotageen continu qui n’est pas de leur responsa-bilité – i.e. ils ne peuvent pas porter laresponsabilité des actions associées au suivirégulier des indicateurs.

Et puis il faut disposer de la « bandepassante » au sein de l’audit interne pourpouvoir analyser ces indicateurs, ce qui estl’une des limites les plus souvent citées…

Enfin, dernier point, les parties prenantes nesont pas forcément disposées à réaliser l’in-vestissement nécessaire au sein de leur fonc-tion audit interne – investissement qui estproportionnellement élevé comparé à leursdépenses courantes habituelles, les budgetsseront plus facilement réalisables au sein desopérations.

Que faire alors ?

L’audit interne doit s’adapter à l’évolution digi-tale et à ce qu’elle implique. Les fonctionsopérationnelles s’affranchissent des lourdeursdes systèmes d’information en s’appuyant surles outils externes d’exploration de donnéesdisponibles sur le marché. L’audit interne doitsuivre cette tendance et il me semble essen-tiel que chaque fonction mène des réflexionsstratégiques sur le thème de l’analyse dedonnées et au-delà sur ce concept d’audit encontinu pour rester en ligne avec le reste del’entreprise.

Cela passera par exemple par : des ateliers de réflexion, avec l’aide de

spécialistes internes ou externes, pour faireémerger au sein de l’équipe audit internedes pistes de travail et des quick wins ;

une collaboration active avec la secondeligne de défense, en particulier les autresfonctions impliquées dans la gestion desrisques, et le contrôle de gestion, afin des’appuyer sur les indicateurs déjà existant ;

des démarches ciblées, menées en mode« test & learn », en acceptant que le résultatne soit pas au rendez-vous tout de suite,mais se construise progressivement ;

la recherche de partenaires internes ouexternes pour traiter les aspects plus tech-niques ou expertises de données, et enayant réfléchi à la chaîne valeur par rapportaux compétences gérées au sein d’uneéquipe audit interne. Ceci pourra passer parune phase intermédiaire avec appui sur unprestataire externe qui prendra en chargeles aspects traitements de données et miseà disposition des indicateurs, afin de limiterdans un premier temps les investissementshumains et technologiques ;

et un passage de relais progressif auxpremières et deuxièmes lignes de défensepour construire ensemble progressivementun niveau d’assurance plus élevé.



Voilà un sujet qui divise les professionnelsde l’audit interne et du contrôle depuisplus d’une dizaine d’années.

En effet, la première édition du GTAG 3 datantde 2005 et la seconde parue en mars 2015,tentent encore une fois de convaincre leshermétiques à tout concept de continuité auniveau de l’audit interne, soutenant que l’au-dit a toujours été considéré comme un typede contrôle périodique et devrait le rester euégard à certains textes régissant quelquessecteurs réglementés et le définissant en tantque tel.

Un environnement de plus enplus informatisé

Dans un environnement où les changementss’accélèrent et touchent les différentessphères d’une entreprise, les auditeursinternes ne sont pas en reste.L’un des déclencheurs de ces changementsest l’impact des TIC sur les organisations et

leur management. En effet, cet impact va au-delà de la généralisation de l’usage des tech-nologies en touchant les exigences desinstances de gouvernance et du manage-ment qui réclament des informations fiableset pertinentes, orientées vers davantage d’an-ticipation et de pro activité dans la prise dedécisions.Pour illustrer davantage cette recherche demaîtrise des risques, prenons comme exem-ple le risque de fuite de données sensibles. Lemanagement est beaucoup plus intéressé parla prévention et la détection de ce type d’in-cidents que par une mission d’audit a poste-riori qui établirait les responsabilités des unset des autres et qui s’inscrit dans des schémasclassiques de plans d’audit annuels, basés surdes cartographies de risques qui ne sontsouvent pas assez dynamiques pour couvrirles risques du moment.Il est à noter également que l’essentiel desopérations au sein des organisations sedéroulent dans des environnements forte-ment informatisés et intégrés, et de plus en

plus ouverts sur l’extérieur.Dans ce contexte, il est illusoire de prétendredonner une quelconque assurance sur lafiabilité aussi bien des contrôles générauxinformatiques que des contrôles applicatifs etmétiers sans l’usage des outils informatiques,d’autant plus que ces derniers permettent detraiter l’exhaustivité des opérations indépen-damment des contraintes volumétriques outechnologiques, tout en automatisant ledéclenchement de ces contrôles à desfréquences pertinentes.Se contenter d’un contrôle périodique dansce contexte, reviendrait pour un responsablede sécurité, à préférer baser ses contrôles surun échantillon de photos statiques au lieu deles baser sur un dispositif de vidéosurveillancedoté d’un système d’alerte.

Evolution de la profession

Il est important de rappeler que notre profes-sion a ressenti la nécessité de préciser sonpositionnement par rapport aux autres dispo-sitifs de gouvernance et de contrôle.Le modèle des 3 lignes de défense ou 3 lignesde maîtrise, selon la prise de position de l’IFACIet de l’AMRAE en est la preuve, puisqu’ilaccorde à l’audit interne un double rôle : uneresponsabilité de contrôle à l’égard de lapremière ligne de défense qui est essentielle-ment constituée des opérationnels, et une

Effetde modeou réelle opportunité ?

Mounim Zaghloul, CIA, CISA, CGEIT, CRMA, CRISC, Président de l'IIA-Maroc –Vice-président de l’UFAI pour l’Afrique du nord et le Moyen-Orient –Dirigeant de la société Consilium

© ra

2 st

udio

- Fo

tolia

.com



responsabilité de contrôle et de coordinationà l’égard de la deuxième ligne de défense quiest composée de fonctions de support etd’autres de contrôle telles que la conformité,le management des risques ou le contrôlepermanent.D’ailleurs, le schéma présenté en page 17 duprésent numéro de la revue, issu de laseconde édition du GTAG 3, démontre

comment l’audit interne joue pleinement cesdeux rôles, en étant d’une part l’architecte descontrôles dans le cadre de l’audit continu, etd’autre part le garant du transfert et de lasupervision de ces contrôles destinés à êtreintégrés dans un dispositif similaire appelé leCCM (Continuous Control Monitoring) qui estsous la responsabilité de la première et de laseconde ligne de défense.

Préalable à la réussitede l’audit continu

L’audit continu ne se résume pas à un gadgetni à une solution informatique miracle qui,une fois installée, fonctionnerait toute seuleet détecterait les opérations douteuses ou lestransactions atypiques.Bien au contraire, c’est un programme d’en-treprise comportant plusieurs projets intégrésqui nécessitent plusieurs préalables, encommençant par un travail en profondeur surla gouvernance des données qui permettrade s’assurer de la maîtrise du patrimoine infor-mationnel. À ce titre, plusieurs référentielsexistent en la matière, notamment les cadresde référence du « Data Governance Institute »ainsi que celui du « Data ManagementAssociation le DMBOK ».Une fois les données maîtrisées, il convient defaire le lien entre les processus, les applica-tions et les données utilisées à travers unedémarche intégrée des risques et contrôles,en adoptant une double approche Top down /Bottom up « ascendante / descendante ».Selon les retours d’expériences, les deuxétapes précédentes représentent le plus grosdu travail avant de démarrer la mise en œuvredu dispositif d’audit continu.Concrètement, ce qui est demandé aux audi-teurs internes, c’est qu’au moins certains testsqu’ils déroulent lors de leurs missions pério-diques, puissent continuer à tourner et àgénérer des résultats sous forme d’exceptionsà analyser par une fonction de seconde ligne,tel que le contrôle permanent lorsqu’il existe,sinon par les opérationnels concernés.

Le suivi de ces exceptions viendra renforcer etaccélérer la mise en place des recommanda-tions émises par les auditeurs dans leursrapports.Au bout de ce processus, le niveau de maîtriseainsi que la qualité et la fiabilité des donnéess’amélioreront, tout en permettant à l’auditinterne de se focaliser sur des missions à fortevaleur ajoutée répondant ainsi aux exigences

de plus en plus importantes en matière decouverture annuelle des plans d’audit.A cet effet, les auditeurs internes devront s’in-vestir dans l’amélioration de leurs compé-tences à travers une formation et une veillepermanentes afin de maîtriser ce type desujets.

Un marché juteux

Soyons clairs, derrière ce concept, il y a aussiun marché juteux que convoitent plusieurséditeurs de solutions, aussi bien les spécia-listes historiques de l’analyse de données queles géants éditeurs des ERP, ces derniersproposant désormais des modules GRCincluant quelques fonctions de contrôlecontinu.D’ailleurs, les cibles privilégiées des éditeurssont désormais les autres fonctions decontrôle et de support car elles représententun potentiel d’utilisateurs beaucoup plusimportant que celui des auditeurs internes.Bien entendu, il demeure tout à fait envisa-geable de développer en interne des outilsdédiés à ce type de contrôle, sous certainesconditions.Pour davantage de détails sur les différentessolutions présentes sur le marché, vouspouvez vous reporter au cahier de recherchede l’IFACI « Comment sélectionner un outilinformatique ? » ainsi qu’au numéro 212 de larevue de l’IFACI, dédié aux outils informa-tiques datant de 2012 et qui mérite uneactualisation régulière car l’offre ne cessed’évoluer avec beaucoup de chevauche-ments de périmètres.

* **

Ne pas accorder à ce sujet l’importance qu’ilmérite, c’est prendre le risque, pour l’auditinterne, d’être marginalisé sur un sujet haute-ment stratégique pour le management et quid’ailleurs se fera avec ou sans la participationde l’audit interne, car les prétendants ne

manquent pas pour disputer le leadership del’audit interne en matière de maîtrise desrisques et des contrôles.Je pense qu’il est temps que ce sujet, traitéjusqu’à maintenant comme une probléma-tique technique, s’inscrive dans les nouvellesattributions de l’audit interne en tant qu’ex-pert des dispositifs de contrôle et de maîtrisedes risques et en tant que coordinateur, aussibien avec la 1ère et la 2ème ligne de maîtrisequ’avec le management et certains régula-teurs à l’origine de textes figeant l’auditinterne dans un contrôle strictement pério-dique.A ce titre, le diagramme sous forme d’éventailproduit par l’IIA UK – Ireland sur le rôle de l’au-dit interne dans le management des risquesd’entreprise et définissant ce qui est permis,ce qui est toléré et ce qui est totalement exclupour les auditeurs internes, serait un bonexemple à suivre en matière d’audit continu.Une revue audacieuse des normes (1210,1220, 2130…) et de certaines modalitéspratiques d’application telles que les MPA2320-4 devrait aboutir à la définition de labonne démarche à adopter, en consacrantl’audit interne comme leader de l’assuranceintégrée, conscient des évolutions technolo-giques et à même d’en tirer le maximum d’op-portunités, tout en veillant à préserver sonindépendance et son objectivité.

Quelques Références :

CRIPP : Cadre de Référence Internationaldes Pratiques Professionnelles de l’AuditInterne

GTAG : Guide Pratique d’Audit desTechnologies de l’Information

GTAG 3 : « Audit en continu : Coordonnerl’audit et le contrôle en continu pourfournir une assurance continue »

GTAG 1 : « Les Contrôles et le Risque desSystèmes d’Information »

Prise de position de l’IFACI et de l’AMRAE :3 lignes de Maitrises pour une meilleureperformance

Revue « Audit & Contrôle internes »N° 212

Data Governance Institute Framework:www.datagovernance.com/the-dgi-framework/

DAMA - Data Management Association :http://www.dama.org/content/body-knowledge

L’audit continu ne se résume pas à un gadgetni à une solution miracle

« »



© d

rago

nsto

ck -

Foto

lia.c

om

outil comme ACL lors des missions sur leterrain.

Le second niveau correspond à la capacitéde l’équipe à regarder les indicateurs dansl’année, et à se servir de ces informationsnotamment en amont dans la préparationde missions inscrites au plan annuel pourrecibler ses travaux ou mettre à jour la prio-risation des missions.

Le troisième niveau serait d’utiliser ces indi-cateurs pour élaborer un véritable pland’audit « agile » rebalayant l’univers d’auditde manière régulière pour déterminer lesmissions à inscrire en priorité (un rollingplanning d’audit).

La situation cible serait alors un plan d’auditdynamique. Mais ne rêvons pas complète-ment, dans la plupart des groupes on ne peutpas décider du jour au lendemain de changerla Business Unit à auditer – il faut garder undélai de prévention. On peut toutefois imagi-ner un plan qui est actualisé d’un trimestre àl’autre.

AR&C : Comment jugez-vous votre maturitépar rapport à ces trois niveaux ?

Ch. A. : Nous sommes entre le second et letroisième niveau.Nous avons un modèle éprouvé sur l’utilisa-tion des analyses de données lors de l’exécu-tion des missions. Nous avons développé desroutines d’analyses « standards » par domaine,à disposition des auditeurs internes, que l’onpourrait qualifier d’industrialisées (par exem-ple production de Balance âgée des comptesfournisseurs par pays, identification desanomalies de sorties de caisse magasin), etnous avons des auditeurs internes qui dispo-sent des compétences nécessaires pour affi-ner nos requêtes ACL. Nous faisonségalement appel à de l’expertise externe pourdéployer des requêtes informatisées ad hoc.Nous pouvons nous appuyer, avant de lancerles missions prévues au plan, sur des donnéesissues soit de notre système de reporting, soitdes bases de données centrales mis en placepar le groupe (ex : comptabilité, marchan-dises…), qui nous offrent des vues très détail-lées sur l’ensemble des activités. Nous nousservons de ces éléments pour mener desanalyses et cela nous a permis régulièrementde requalifier le périmètre des missionsprévues initialement au plan d’audit annuel,en pouvant « éliminer » des sujets qui neprésentaient pas de risque sur la base desanalyses menées.

AR&C : Vous avez partagé lors de la confé-rence IFACI de 2014 vos convictions autour dece sujet, pouvez-vous nous les rappeler enquelques mots ?

Christophe Autrive : En tant que directeuraudit interne de Carrefour, je suis confronté àune volumétrie assez unique. Le GroupeCarrefour, c’est 10 860 magasins, 381 227employés, plusieurs milliers de référencesproduits gérées, 12,5 millions de passage encaisse chaque jour… : Imaginez le nombred’analyses combinatoires possibles ! Pourauditer un tel univers il faut trouver des solu-tions. Ma conviction est que mes équipesdoivent s’appuyer sur plus d’automatisation,et sur plus de prospective – il ne s’agit pasuniquement d’exécuter un plan annuel maiségalement d’aider l’entreprise à anticiper lessujets. La donnée devient donc un élémentcentral pour l’auditeur interne.

Je vois dans cette situation trois niveaux dematurité pour une équipe audit interne : Le premier niveau c’est une équipe qui

fonctionne sur un mode « traditionnel » enfaisant des analyses de données avec un

Enjeuxet apportsChristophe Autrive, Directeur de l’audit interne Groupe, Carrefour



Pour atteindre le troisième niveau, nous avonsles données et les indicateurs que nous regar-dons mais pas de manière suffisammentrégulière pour considérer que la démarchesoit vraiment ancrée.Par rapport à la définition proposée de l’auditen continu, je peux donc dire que nous avonsmis un pied à l’étrier, mais il nous reste à indus-trialiser et systématiser la démarche.

AR&C : Quels sont selon vous les prérequispour tirer de la valeur de ces démarches ?

Ch. A. : Ces démarches nécessitent l’accès auxdonnées, la maîtrise des outils, mais surtout lavision fonctionnelle. Lorsque l’on regarde ungroupe comme Carrefour, il faut prendre encompte la complexité cachée derrière desprocessus qui semblent homogènes. Le prin-cipe de gouvernance dans un modèle dedistributeur est la subsidiarité – chacuns’adapte à son marché. Chaque format demagasin, chaque pays présente ses particula-rités, et la lecture faite de la donnée en seraaffectée Il faut donc que les auditeurs internesqui utilisent les indicateurs soient capablesd’en comprendre le sens dans chaquecontexte. Cela nécessite une forte spécialisa-tion fonctionnelle, et c’est ce que nous avonsmis en place au sein de l’équipe, avec desmanagers en charge de domaines précis, parexemple supply chain, marchandises, sécuritéalimentaire, banque et assurances, immobi-liers, systèmes d’information …

Ces managers ont pour mission de proposerune vision « stratégique » de leur domaine, ens’intéressant au passé mais aussi en semettant dans un mode prospectif – i.e. pren-dre en compte les tendances et anticiper lesévolutions pour mieux cibler les risques àcouvrir.

L’idéal sera à terme que chaque managerresponsable de son domaine soit en mesurede cibler 5 à 10 indicateurs qui lui permettrontde suivre son domaine et adapter en consé-quence son approche d’audit.

AR&C : Comment avez-vous organisé l’accèsà la technologie et aux données ?

Ch. A. : Nous avons, comme beaucoup degroupes, une équipe d’auditeurs informa-tiques qui peut nous aider dans cettedémarche. Mais lorsque l’on veut industrialiserdes requêtes de traitement de données, nousavons fait le choix de nous appuyer sur unprestataire externe.

En termes de technologies, nous avons accèsdirectement aux données centralisées indi-

quées plus haut ; et aux données disponibleslocalement en fonction des sujets.Sur le plan technologie, nous utilisons actuel-lement ACL. Il est vrai que nous n’avons pasexploré les outils de statistiques et de visuali-sation plus évolués qui sont par ailleurs utilisésdans le Groupe. C’est sans doute un sujet àcreuser pour avancer plus loin.

AR&C : Vous n’avez pas parlé de la supervisionen continu qui peut être réalisée par les autreslignes de défense ?

Ch. A. : C’est vrai, j’ai parlé surtout de ce quenous faisons. Cela ne veut pas dire évidem-ment que les premières et deuxièmes lignesde défenses ne font rien en la matière, mais iln’y a pas de démarche coordonnée.Par exemple, l’activité relative au groupe surles réseaux sociaux est monitorée par d’autresdirections. Nous n’intervenons pas dessus.Notre démarche est complètement centréesur le plan d’audit et son exécution et n’a pasvocation à assurer le pilotage en continu desrisques de l’entreprise. L’ensemble des risquesreste sous la responsabilité des directionsexécutives des pays ou BUs. L’audit interne ne

doit pas se substituer au management pourpiloter les risques.

AR&C : Quelles seraient vos recommanda-tions pour ceux qui souhaitent se lancer danscette aventure ?

Ch. A. : Mon expérience m’a montré qu’il fautsavoir sortir de sa zone de confort : Intégrer une vision prospective dans la

démarche, et pas uniquement une visionhistorique a posteriori : c’est beaucoup plusengageant que la simple exécution d’unplan d’audit.

Déterminer précisément ce que l’oncherche sur la base d’une analyse préalabledes risques.

Penser compétence fonctionnelle des audi-teurs, ce qui peut être un vrai challengeavec des modèles de carrière qui privilé-gient la rotation rapide des auditeursinternes.

Ne pas se laisser envahir par la profusiondes données, cibler quelques sujets clefspour influencer le plan d’audit, et laisser lereste pour la préparation et l’exécution desmissions.

© fl

ashp

ics

- Fot

olia

.com



La mise en œuvred’un processusde contrôle continu

© G

argl

ass

Pour chaque contrôle, un tableau de bord présente a minima uneanalyse par zone géographique, par tiers (clients, fournisseurs, etc.), etpar profil métier. Certains tableaux de bord présentent une analyse parfamilles de produits.Chaque résultat du contrôle continu est présenté via une notificationautomatique au contrôleur de l’action de maîtrise de risques identifiédans l’organisation, pour une analyse de premier niveau. Chaquecontrôleur documente ses investigations et évalue le niveau de perfor-mance de l’action de maîtrise contrôlée selon trois niveaux (inefficace,partiellement efficace, efficace). L’évaluation du contrôleur est ensuitetransmise pour supervision au responsable du processus par le canaldu workflow intégré de la solution.

PérimètreQuelques exemples de contrôles

Prochaines étapesLe volume des données traitées nous permet d’envisager dès 2016 l’au-dit en continu à destination de nos auditeurs.

Genèse et objectifsAprès une phase de refonte de nos référentiels de risques et decontrôles internes en 2013, l'informatisation de l’animation de notredispositif de maitrise des risques s'est imposée dès 2014 pour en péren-niser la qualité, dans un environnement en perpétuelle évolution.Par ailleurs, compte tenu du niveau de maturité atteint en matière decontrôle interne au sein de notre organisation, il nous est apparu perti-nent d’envisager de répondre aux enjeux d'optimisation et d’harmoni-sation de l’évaluation des actions de maîtrise des risques par un contrôlecontinu « certifié » des données de notre ERP. C’est dans ce contexte que nous avons intégré un chantier « Contrôlecontinu » dans l’appel d’offre de notre projet d'informatisation de lagestion de nos risques et de la conformité. Nous avons associé dès ladéfinition des besoins notre direction des systèmes d'information afinde définir la meilleure architecture pour un traitement optimum, certifiéet sécurisé des données. Dans une première phase, il nous est apparuopportun de limiter notre ambition à 15 contrôles.

La solution retenueNous avons sélectionné le logiciel de GRC BWise, unique solution dumarché en 2014 qui proposait une approche globale combinantcontrôle interne traditionnel et contrôle continu des données.

L’approche projet Piloté par la direction audit et maîtrise des risques et accompagné parun cabinet d’audit pour l’intégration de la solution et la réalisation desscripts de contrôles, notre projet s’est décliné en trois phases de prépa-ration et trois phases de réalisation (Cf. schéma ci-dessous).L’ensemble des responsables des processus financiers et supply chainont été impliqués dans la sélection et la priorisation des contrôles àautomatiser afin de « diffuser » la vision de la direction audit et maîtrisedes risques et préparer les équipes au changement. Le niveau du risque brut, le potentiel de réduction de pertes, par unesurveillance processus et une animation renforcée ont principalementguidé notre première sélection de contrôles à automatiser.

Le processus mis en œuvreEn fonction du niveau du risque mis sous surveillance, nous avons optésoit pour des alertes, soit pour des tableaux de bord mensuels d’indi-cateurs de performance processus.

Gilles Trolez, Directeur audit et maîtrise des risques, Carglass

Cadrage etlancement du projet

Revue du référentielde contrôle interne

Sélection, priorisationdes contrôles à

automatiser

Rédaction du cahierdes charges

Réalisation desscripts

Design des tableauxde bord

Processus Contrôle

Achat aupaiement

Modifications des champs « sensibles » de la fiche fournis-seur (IBAN …)Doublons potentiels de factures fournisseurs sur la basede 3 règles complémentaires à la règle ERP

Ecarts Facture / Ordre Achat fournisseur réceptionné

Délais de paiements fournisseurs

Stocks - Inventaire

Réceptions informatiques des entrées en stocks

Ajustements de stocks informatiques => Cause à justifierpar le manager opérationnelCasse déclarée dans l’ERP => A superviser par le N+1 au-delà de seuils fixés

Commande àEncaissement

Conformité des dossiers d’intervention « bris de glace »avant facturation clients

Avoirs clients

Délais encaissement clients

Modifications des champs « sensibles » de la fiche client

Gestion des accèsSystème Information

Contrôle de conformité des transactions / matrices desautorisations et de séparation des tâches



Peut-on parler d’audit en continu ? Pas complètement si l’on s’en tientà sa définition précise. Mais la démarche s’inscrit bien dans unedémarche d’assurance en continu, qui s’appuie effectivement sur lestechnologies et les données pour renforcer le niveau d’assuranceglobal, en donnant la capacité aux lignes de défense d’alerter plus rapi-dement sur les signaux de risques…

Pourquoi ne pas aller plus loin et appuyer complètement le plan d’au-dit sur des indicateurs par exemple ? Pour plusieurs raisons : Le plan d’audit reste un exercice faisant appel au jugement profes-

sionnel, difficile à mettre en équation. L’approche mise en place intè-gre bien cette dimension de réaction à des évolutions capturées vial’analyse en continu de risques et de contrôles – mais repose sur lacommunication continue entre le contrôle interne, qui pilote desindicateurs en continu, et l’audit interne, qui pourra influer sur leplan d’audit si des signaux faibles apparaissaient sur telle ou telleentité.

L’audit interne a une « bande passante » limitée, et ne peut pas pren-dre en charge un suivi « continu ». C’est le rôle des autres lignes dedéfense, que ce soit dans notre cas le contrôle interne, pour d’autresentreprises la direction des risques qui peut piloter des indicateurset sans oublier la première ligne de défense. Dans cette vision l’auditinterne doit plutôt s’assurer que ce pilotage est en ligne avec lesobjectifs d’assurance retenus et s’appuie sur des processus et desdonnées robustes.

L’apport des auditeurs internes dans ce domaine est leur capacité àidentifier et affiner les indicateurs grâce aux missions réalisées, etquelque part à « embarquer » les lignes de défense dans la démarcheen exploitant les résultats via leurs missions.

Le contexte de Carlson WagonlitTravel est similaire à celui debeaucoup d’autres groupes internationaux. Nous avons unchamp d’audit large, avec des implantations dans plusieurspays, un métier très transactionnel, appuyé sur des systèmes

back office hétérogènes. Pour traiter cet univers d’audit nous avons uneéquipe audit interne de 10 personnes, et nous pouvons nous appuyerdepuis l’année dernière sur une direction contrôle interne qui inter-vient en tant que seconde ligne de défense. Dans cet environnement,l’appui sur l’analyse de données est une nécessité – l’objectif étant depouvoir renforcer le niveau d’assurance global.

La démarche que nous mettons en place se déploie autour de 2grands axes : la capacité de l’audit interne à concevoir, sur la base de son expé-

rience terrain, des analyses de données pertinentes et ciblées surles bons domaines, le plus souvent réplicables sur les différentesentités. Ces analyses sont menées en général en phase de prépara-tion, de manière à mieux cibler les zones à investiguer plus en détailou celles nécessitant moins de travaux. Elles peuvent égalementêtre conduites sur une base ad hoc en cours de mission, pour appro-fondir des analyses spécifiques qui s’avéreraient nécessaires au fil del’eau ;

l’équipe contrôle interne pour piloter plus en continu certains indi-cateurs issus des requêtes développées par l’audit interne. Ces indi-cateurs sont issus de l’expérience terrain acquise par les auditeursinternes, et sont établis et révisés à périodicité régulière par cetteéquipe audit interne, qui maîtrise la technologie utilisée. Un outil detype GRC collaboratif permet le transfert à l’équipe contrôle interneet la traçabilité sur les analyses menées. La responsabilité du suiviétant transférée à l’équipe contrôle interne, l’audit interne agitcomme un prestataire de services n’ayant pas mis en place spécifi-quement de pilotage de l’analyse des résultats de ce pilotage.

Une actionconjointe des deuxième ettroisième lignesde maîtrise

Sophie Neron-Berger, Vice-président corporate Audit, CarlsonWagonlit Travel



La genèse de la démarche : le directeur del’audit interne, confronté à ce contextecomplexe, a eu très tôt la conviction que l’uti-lisation des données pouvait lui permettred’apporter plus de valeur à l’entreprise, enfaisant levier sur ce qui fait la particularité desauditeurs internes : multidisciplinarité, indé-pendance, curiosité intellectuelle.

La démarche mise en œuvre : l’audit internea développé une stratégie de déploiement derequêtes d’analyses de données, basées surles enseignements des différents audits réali-sés, qui ont vocation à être mises entre lesmains des opérationnels. Ces requêtes ontmajoritairement vocation à détecter depotentielles erreurs ou fraudes (i.e. déclara-tions de chargements de camions très rappro-chées dans le temps, double paiements), desrisques de conformité (i.e. vérification que lestiers ne sont pas sur liste noire), ou toutsimplement à faciliter la réalisation de

contrôles opérationnels (contrôles d’inter-faces complexes que les opérationnels ontdes difficultés à réaliser rapidement avec lesoutils à leur disposition, vérification automa-tisée de la cohérence des données saisiesdans les système opérationnels, analysesnécessitant de croiser deux systèmes diffé-rents).

Les requêtes sont administrées centralement,et les anomalies ou résultats relevés par leurexécution sont transmises par un workflowautomatique aux opérationnels (environ 300utilisateurs concernés) qui ont pour respon-sabilité de traiter les anomalies, et notammentd’isoler les faux positifs. Chacun dispose detableaux de bord permettant de piloter larésolution des anomalies.

L’intérêt pour la démarche audit interne :l’équipe audit interne n’interfère pas dans lepilotage au fil de l’eau des contrôles ainsi réali-

sés automatiquement. Il s’agit bien de laresponsabilité des opérationnels. Par contre,l’existence de ces démarches rend l’auditinterne beaucoup plus agile et efficace : l’exis-tence de ces contrôles permet de limiter lestravaux sur certains domaines, et de se focali-ser sur d’autres zones de risques. Par ailleursl’audit interne a la capacité de s’appuyer surconnexions et les données ainsi disponiblespour développer des requêtes ad hoc au fildes missions et ainsi continuer à alimenter lepilotage en continu de l’entreprise, accrois-sant ainsi le niveau d’assurance global.

Peut-on parler d’audit en continu ? Pascomplètement si l’on s’en tient à la proposi-tion du GTAG 3. L’idée est bien ici de s’appuyersur les technologies et les données. Par contrel’utilisation de ces techniques ne va pasjusqu’à la mise en place d’indicateurs permet-tant d’influencer le plan d’audit directement.Ce n’est pas la philosophie retenue, y comprispour l’établissement du plan d’audit. Le retoursur investissement serait d’ailleurs sans douteinsuffisant pour le justifier. Nous sommes prin-cipalement dans une démarche de pilotageen continu. Cela étant, l’audit interne suitmensuellement le nombre d’exceptionsouvertes / clôturées – il y a donc bien un suivien continu par l’audit interne…

Audit interne etpilotage en continu :l’exemple d’uneintégrationréussie

© S

erge

y N

iven

s - F

otol

ia.c

om

Le contexte : cette entreprise (qui souhaite garder l’anonymat), très fortement implan-tée à l’international, intervient sur des métiers variés, incluant notamment des activitésde service et des activités de production. L’activité, de par sa nature et son implantationgéographique, est exposée à divers risques de fraude ou de défaillance de contrôleinterne. Comme beaucoup, cette entreprise a un très grand nombre de systèmes d’in-formation, héritage du passé et d’acquisitions successives.



Quels ont été les facteurs clefs de succès decette démarche ?Plusieurs facteurs contribuent à la réussite decette démarche : L’audit interne a réalisé un recrutement

spécifique pour piloter cette démarche,avec les compétences techniques néces-saires pour comprendre les systèmes etutiliser les outils de données.

Dans chaque région, un auditeur informa-tique est présent, ce qui permet de resterau plus près de la compréhension dessystèmes et des données. Ces auditeursinformatiques interviennent également au-delà des domaines informatiques sur lesmissions d’audit classiques, ce qui permetde compléter leur compréhension dessystèmes par la compréhension du métieret des processus. C’est un élément indis-pensable pour cibler les requêtes et lescontrôles de manière appropriée.

Le développement de requêtes est basé surl’expérience des missions – i.e. les requêtess’appuient sur l’expérience terrain, lesconstats d’audit et la collaboration avec lesaudités pour renforcer l’environnement de

contrôles. Ce qui n’empêche ni d’étendrel’application des requêtes par la suite à desentités non auditées, ni de développer desrequêtes à la demande des opérationnels.

Les opérationnels sont embarqués dès ledépart dans la démarche. Ils contribuent àla communication sur les bénéfices, parexemple en mesurant avec l’audit internele retour sur investissement en évaluant letemps « économisé » par l’automatisationde contrôles auparavant plus manuels. Ilssont responsables du suivi de leurstableaux de bord.

D’autres éléments ont été facilitateurs sur ladémarche : L’audit interne est rattaché à la direction

générale. C’est un atout essentiel, cela légi-time l’audit interne pour accéder à l’ensem-ble des données, financières mais aussi etsurtout opérationnelles.

L’appui sur la technologie, au travers demodules externes aux systèmes d’informa-tion permettant la connexion directe à plusde 20 systèmes d’information différents, lamise en place de workflows et de tableaux

de bord intégrés, le tout à un coût que l’onpeut estimer « très raisonnable » au vu desbénéfices apportés.

Sur l’aspect technologique, l’entreprise estaujourd’hui confrontée à une difficulté inat-tendue : les outils du marché qu’elle utilisen’évoluent pas au rythme attendu. Ceci est liéà la faible diffusion de ce type de démarche,à tout le moins sur la base d’outils externes.L’enjeu est à moyen terme de sécuriser lestechnologies utilisées, en restant dans unrapport coût/bénéfice raisonnable.

L’enseignement que l’on peut tirer de cetexemple est que l’audit interne a une positionunique dans l’entreprise pour développer lesbases d’une « assurance en continu », de parsa position transverse et l’expérience accumu-lée sur le terrain. Enfin ce type de démarchecontribue fortement à rehausser le niveaud’assurance global de l’entreprise en limitantles investissements dans les départementsd’audit interne eux-mêmes.

PUBLICATIONS

Audit en continu : Coordonner l’audit et le contrôleen continu pour fournir une assurance continueRéédition du GTAG 3

Cette réédition aidera les responsables de l’audit internequi souhaitent développer un service plus proactif et opti-miser leurs ressources.En effet, avec la maturité croissante des systèmes decontrôle et d’information, la plus-value de l’audit internedépend notamment de sa capacité : à jauger, de manière objective et indépendante, les

dispositifs de contrôle en continu mis en œuvre par lesautres lignes de maîtrise ;

à concevoir des programmes d’audit intégrant toutes lessources pertinentes d'information et susceptibles demettre en lumière des valeurs hors normes qui pourrontêtre analysées de manière plus efficiente.

Retrouvez des bonnes pratiques pour mieux exploiter lamasse de données circulant dans votre organisation etapporter aux organes de gouvernance une assurance surla pertinence des activités de contrôle et de gestion desrisques réalisées en continu par la 1ère et la 2ème ligne demaîtrise.

Une gestion des compétences adaptée au niveau de maturitéNouveau guide pratique

L’IIA publie un guide pratique pour le développement, lamise en place et le maintien d’un processus de gestion descompétences de l’audit interne. Les responsables d’auditinterne pourront ainsi s’assurer que leur équipe possèdecollectivement les connaissances, le savoir-faire et les autrescompétences nécessaires à l’exercice de leurs responsabili-tés.

Articulé au modèle de maturité développé par la Fondationde la Recherche de l’IIA (IIARF), ce guide décrit 12 étapespour une gestion stratégique des ressources de l’auditinterne allant de l’interaction avec les instances de gouver-nance, à l’analyse des écarts pour un plan d’action dont lesuccès reposera sur : un environnement favorisant l’apprentissage, un plan de formation et de développement professionnel

structuré, une politique sélective de recrutement.

De nombreux tableaux et deux exemples pratiques vien-nent illustrer ce guide. Destiné au secteur public, il est aisé-ment transposable dans d’autres environnements.

Les lignes directrices de l’IPPF sont disponibles sur le site de l’IFACI (www.ifaci.com)

À LA DÉCOUVERTE DE ...


Service Ethiqueet Conformité d’Alstom

AR&C : Alstom s’est doté d’un service Ethiqueet Conformité. Comment cela a-t-il démarré ?

Romain Marie : Le service tel que nous leconnaissons aujourd’hui est le résultat d’unevolonté de la direction générale et d’un inves-tissement collectif. En 2001, paraissait lepremier Code d’Ethique.Tout s’est accéléré à partir de 2006 : nous avonsidentifié le risque lié à la non-conformité juri-dique et décidé de lui consacrer un Serviceentier afin de gérer la mise en place d’actions.Priorité a été donnée à la rédaction despremières règles relatives aux usages enmatière de cadeaux et d’invitations, par exem-ple. Progressivement, d’autres règles et procé-dures ont paru pour traiter plus globalementle risque de corruption dans les relations d’af-faires.Pour accompagner la croissance du service,nous avons recruté massivement depuis 2012.Désormais une trentaine de personnes venantd’horizons professionnels différents (juristes,anciens procureurs du Serious Fraud Office oude la justice argentine, ancien président Pays,mais aussi ex-auditeurs internes, financiers,professionnels des ressources humaines et dela communication) travaillent au développe-ment de la culture d’intégrité. Ce mix de

compétences nous permet de traiter lesproblématiques de manière globale, de l’ana-lyse des risques au plan de formation des sala-riés. Ainsi, nous parvenons à répondrerapidement et efficacement aux demandesformulées par la direction générale (voir enca-dré 1).L’organisation interne du Service repose sur undouble ancrage sectoriel et géographique : 4Compliance Officers supervisent chacun unsecteur d’activité depuis le siège. Ils sont encontact permanent avec un réseau de 10Compliance Officers pays. Les ComplianceOfficers se coordonnent au quotidien afin queles règles et les procédures soient correcte-ment appliquées de manière homogène. Ilsdéfinissent les plans d’action à mettre enœuvre et discutent des informations qu’ilsrecueillent auprès des opérationnels. Nous comptons aussi des Compliance Officersfonctionnels spécialisés en « due diligence »,contrôle des prestations et des paiements,formation et communication, en gestionglobale du programme d’intégrité du Groupeet en gestion de projet.

AR&C : Comment expliquez-vous l’importanceprise par le service Ethique et Conformité ausein d’Alstom ?

R. M. : La première raison est liée à l’environne-ment législatif et règlementaire. Depuis ledébut des années 2000, l’arsenal législatif delutte contre la corruption s’est considérable-ment étoffé. Dans le sillage du Foreign CorruptPractices Act (USA, 1977), d’autres pays ontadapté leur propre environnement législatif.C’est le cas du Royaume-Uni, qui a mis au pointle UK Bribery Act (2010), du Brésil, de l’Inde, maisaussi de la Russie, qui a réactualisé en 2013 uneloi datant de 2008.La seconde est liée à la nature de notre activité.Remporter de nouveaux marchés est notreraison d’être. Nous devons veiller à ce que nosprojets industriels et les conditions danslesquelles nous les menons soient en stricteconformité avec nos règles et procédures anti-corruption. Prenez par exemple la Banquemondiale, qui gère de nombreux appels d’of-fres pour le développement d’infrastructuresdans les pays en voie de développement. Elledispose d’une cellule dédiée à l’intégrité quipasse au crible les actions de prévention de lacorruption. Si vous ne remplissez pas lescritères à ce niveau, vous pouvez être disquali-fié, voire exclu, de tout appel d’offre durantplusieurs années.Notre approche systématique dans les rela-tions avec nos partenaires est la suivante : si les

L’éthique et la conformité répondent à un besoin stratégique bien défini : signifier auxparties prenantes que l’entreprise considère leurs exigences et mobilise les moyensadéquats pour y répondre.Dans un domaine en pleine mutation, le pire est de ne rien faire. Il faut à la fois saisirles leçons tirées d’expériences, fussent-elles les plus douloureuses, et formuler desréponses adaptées, voire innovantes.Entretien avec Romain Marie à propos du service Ethique et Conformité d’Alstom qu’ildirige depuis juillet 2013.

Romain Marie, Directeur Ethique et Conformité, Alstom

Encadré 1 :Un accès direct auxprincipaux décideurs

Compte tenu de l’importance du sujetpour Alstom, le directeur du serviceEthique et Conformité bénéficie d’unaccès direct au président-directeur géné-ral et au directeur juridique du Groupe. Par ailleurs, il informe régulièrement lesmembres du comité éthique, conformitéet développement durable, créé en 2010afin d’examiner les systèmes et procé-dures internes prévus pour l’applicationdes règles.



Groupe. Notre processus de sélection est détaillé dansce que nous appelons une Instruction duGroupe, qui est plus qu’une simple recomman-dation, accessible à tous les salariés. Nouscommençons par examiner scrupuleusementle profil du partenaire, en particulier le risquede corruption qu’il pourrait faire courir auGroupe. Nous utilisons un ensemble decritères, qui vont des caractéristiques du paysoù le contrat de services devra être exécuté àla valeur du contrat en jeu. Nous regardonsaussi son expérience, sa formation, et évaluonssa réputation en réalisant une enquête surinternet et les réseaux sociaux. Selon les cas,nous nous réservons la possibilité d’ajoutertout autre critère pertinent. Au terme de cette

première étape, nous qualifions le niveau de« due diligence » en fonction de l’évolution durisque. Un rapport d’intelligence économiquevient systématiquement compléter la sommed’informations collectées. Dans tous les cas, laprocédure est répliquée tous les deux ans.A partir de ce travail d’enquête et de classifica-tion, le senior management peut décider d’ap-prouver ou de refuser la sélection du partenaireen connaissance de cause, et cela avant que lecontrat n’ait été signé. Une fois la prestation terminée, nous collectonsles preuves de services qui attestent de la réali-sation de la mission. Nous vérifions les écartséventuels entre ce qui a été promis et ce qui aété effectivement réalisé. C’est une étapeessentielle de notre processus.

conditions d’intégrité fixées par Alstom ne sontpas réunies alors nous sommes prêts à nousretirer, quitte à perdre définitivement un projet.Et comme nous bénéficions d’un soutien sansfaille de la Direction générale nous réussissonsà faire passer ce message.

AR&C : Justement, en quoi consistent vosmissions ?

R. M. : Nous réalisons plusieurs missions. Nousidentifions en amont l’impact que certainsévénements pourraient avoir sur différentstypes de risques. Nous nous appuyons sur desméthodes quantitatives et qualitatives, commela Yearly Integrity Review qui permet de sonder,chaque année, quelque 500 managers duGroupe afin de savoir ce qu’ils ont fait enmatière d’éthique et de conformité, lesproblèmes qu’ils ont rencontré et les besoinsauxquels nous devrons répondre. A partir des résultats d’analyses des risques, oubien des résultats d’enquêtes internes, d’obser-vations ou d’échanges avec des salariés ou deshomologues, nous élaborons de nouvellesrègles et en renforçons d’autres afin de rendrenotre programme d’intégrité encore plusrobuste (voir encadré 2). Nous formons également les salariés sur diffé-rents aspects de l’éthique et de la conformité,grâce notamment au module de formation àdistance, e-Ethics, qui a permis de familiariserquelque 70 400 collaborateurs, depuis 2010, aucontenu du code d’éthique ou au workshop surla prévention de la corruption qui réunit parpetits groupes des cadres qui s’exercent, aucours d’une journée, à détecter les différentstypes de risque de corruption inhérents à leurmétier et à les déjouer grâce aux outils quenous mettons à leur disposition.

AR&C : Concrètement, dans quelle mesure lesrègles que vous élaborez vous aident-elles àprévenir de la corruption ?

R. M. : Les règles peuvent être perçues soitcomme une contrainte, soit comme un moyende protection. Il faut savoir que les sanctionsdans les affaires de corruption concernentaussi bien les entreprises que les individusimpliqués. Nos règles s’inscrivent dans unedémarche de protection collective. Pour illustrer ce que nous faisons avec nosrègles, je prendrai l’exemple de la procédure desélection que nous appliquons aux partenairesqui nous aident à répondre aux appels d’offresou qui interviennent pour des missionsprécises durant l’exécution du contrat. Notreprincipal souci est de garantir que ceux quenous retenons sont parfaitement intègres etqu’ils s’alignent sur les principes que nouspromouvons et faisons appliquer dans le


n°�002 — audit, risques & contrôle — 2e trimestre 2015

Cette rigueur appliquée offre la garantie que lemaximum de mesures a été pris pour prévenirle risque de corruption. C’est ainsi que nousparvenons à démontrer notre engagementdans cette lutte et à construire auprès de nosclients notre réputation d’entreprise intègre.

AR&C : Alstom est une des premières entre-prises du CAC 40 à avoir entrepris unedémarche de certification de son programmed’intégrité. Qu’est-ce que cela vous apporte ?

R. M. : Aujourd’hui, il ne suffit plus de faire despromesses. Il faut apporter des preuves de nosactions et de leur efficacité. C’est ce qui a motivé Alstom à faire auditer etcertifier son programme d’intégrité. Nousavons fait appel à un cabinet externe, EthicIntelligence, pour garantir l’indépendance del’évaluation et des résultats.Ce certificat est délivré au terme d’une procé-dure rigoureuse, qui prévoit des audits et desentretiens avec les différents acteurs qui ontparticipé à la conception et à la mise en placedes actions de prévention aussi bien au siège,dans nos secteurs d’activité que dans nosfiliales.Pour garantir l’objectivité de l’évaluation, lecabinet recrute des auditeurs externes. Et, enfin de procédure, il s’en remet à un comité decertification composé d’experts reconnus de lalutte contre la corruption, qui statue sur lesconclusions et décide de décerner ou non lecertificat.Après 2009, la certification a été renouveléeune première fois, en 2011, puis une seconde,en 2014. Cette procédure nous permet non seulementde formaliser nos processus mais aussi de tenirun discours crédible appuyé par la preuvetangible que nous menons des actionsconcrètes.

AR&C : Comment le service Ethique etConformité se positionne-t-il par rapport à l’au-dit interne ?

R. M. : Au sein d’Alstom, l’audit interne etl’éthique et conformité sont très complémen-taires. L’audit interne veille à l’adéquation et l’ef-ficacité du système de contrôle interne à tousles niveaux du Groupe. A ce titre, il peut inter-venir sur toute opération relative à l’éthique etconformité afin d’en contrôler la nature et lafiabilité. Lorsqu’il constate que certaines de nosrègles mériteraient d’être renforcées, il peutformuler des recommandations dans ce sens. Nous comptons aussi sur l’audit interne pourporter à notre attention le non-respect d’unedisposition du code d’éthique ou la violationd’une obligation légale. Notre système d’alerteéthique, qui garantit la confidentialité des infor-

mations, se révèle très efficace pour identifiercertains dysfonctionnements imperceptiblesde là où nous sommes. Si nous supervisons lesuivi de l’alerte, l’enquête interne incombe àl’audit interne. Ainsi le service Ethique etConformité reste neutre : il ne décide ni del’orientation de l’enquête ni des actions correc-trices et des sanctions éventuelles.

AR&C : Vous parlez souvent de culture d’inté-grité, qu’est-ce que cela implique ?

R. M. : Les règles et procédures sont une chose,mais nous ne pouvons pas nous prévaloir deleur efficacité si nous ne travaillons pas audéveloppement d’une culture d’entrepriseaxée sur le respect de ces règles et procédures.Nous partons du principe que pour être appli-quées elles doivent être comprises. A nous devaloriser également de quelle manière ellessont utiles dans la pratique quotidienne desaffaires.La formation est indispensable tout commel’action de proximité. Dans ce domaine, nouscomptons depuis mai 2010 près de 300 salariésendossant les habits d’ambassadeurs Ethiqueet Conformité pour parler de ce que nousfaisons, promouvoir les règles, sensibiliser lessalariés. Ils viennent des fonctions juridiques,ressources humaines ou communication, etdémontrent que l’éthique et la conformitéconcernent tout le monde. Notre approche étant globale, nous commu-niquons aussi activement. Nous avons lancéune nouvelle campagne de communication à

l’occasion de la publication de la dernièreversion de notre code d’éthique en octobre2014. Le message était simple et direct : « 100 %éthique 100 % conformité. C’est ainsi que noustravaillons » (voir encadré). Cela sert à ancrerl’éthique et la conformité dans le quotidien descollaborateurs, à faire comprendre quelle estnotre ambition et ainsi à favoriser le dévelop-pement d’une culture d’intégrité.

AR&C : A quel genre de défis vous attendez-vous dans les années à venir ?

R. M. : Ils sont très certainement nombreuxmais à très court terme j’en identifie au moinsdeux.Le premier a trait à la structuration de la filièreéthique et conformité. Relativement jeune, ellesera confrontée à une nécessité de profession-nalisation. C’est ce qui est arrivé au métier d’au-diteur. Il y a donc fort à parier que le mêmeschéma se reproduira pour les ComplianceOfficers. La certification des professionnels dela conformité, qui ne sont pas tous juristes, seraun enjeu crucial en termes de crédibilité.Le second vient du fait que nous trouveronstoujours des situations qui justifieront denouvelles règles. Toutefois, nous devrons nousgarder de créer un carcan de règles et deprocédures ingérable car les collaborateurs fini-raient par ne plus rien appliquer systématique-ment. Notre défi permanent consiste donc àmaintenir un dispositif de conformité simple,cohérent et efficace.

Encadré 2 : le programme d’intégrité d’Alstom,un système de prévention de la corruption

L’engagement d’Alstom pour l’éthique et la conformité se traduit dans le programme d’in-tégrité du Groupe, véritable système articulant tous les outils élaborés par le serviceEthique et Conformité. En font partie : le code d’éthique, qui détaille les règles de conduite dans les différents domaines de

la vie de l’entreprise ; les règles et procédures, qui régissent d’une part les principaux usages concernant les

vecteurs de corruption, comme les cadeaux et les invitations, les contributions poli-tiques et le financement d’œuvres caritatives, le sponsoring, les conflits d’intérêts et lespaiements de facilitation, et d’autre part les bonnes façons de gérer les relations avecles partenaires commerciaux, les consultants, les fournisseurs et sous-traitants, les joint-ventures et les consortiums ;

l’offre de formation, associant formations présentielles et formations à distance ; l’animation d’une communauté d’environ 300 ambassadeurs Ethique et Conformité ; les outils d’information et de communication interne et externe, comme la newsletter

mensuelle, les onglets des sites intranet et internet, les campagnes de communica-tion ;

le système d’alerte éthique, accessible à toute personne souhaitant signaler unmanquement ou une violation des règles et procédures d’Alstom ou d’une obligationlégale ;

le processus de certification, qui inscrit le programme d’intégrité dans une démarched’amélioration continue.

31

LIBRES PROPOS

Arte a diffusé récem-ment un documentaireintitulé « le bonheur autravail1 » traitant des

entreprises « libérées », cesdernières pouvant se définircomme « des entreprises où lamajorité des salariés peuvent déci-der toutes actions qu’ils considèrenteux-mêmes comme étant les meil-leures pour l’entreprise sans qu’ellessoient nécessairement imposéespar les décideurs ou une quel-conque procédure. » (Isaac Getz2).On y découvre des salariésépanouis et fortement engagésdans leur travail, principalementen raison de la confiance qui leurest accordée au quotidien enmatière de prise de décision3 ;engagement qui contraste forte-ment avec les données publiéespar l’institut Gallup en 2012 rela-tives aux salariés français prisdans leur ensemble (voirgraphique ci-dessous).

Comment se traduitconcrètement cetteconfiance ?

Tout d’abord, les entreprises libé-rées semblent se caractériser parune absence quasi-systématiquede managers exerçant des activi-tés de supervision / contrôle4

(qualiticiens, chef d’équipe, chefd’atelier, auditeurs internes,contrôleurs de gestion…). Detelles entreprises partent du prin-cipe, comme l’affirme Jean-François Zobrist5, que « l’hommeest bon » (au sens technique etmoral) et donc capable de s’amé-liorer et de se contrôler de sapropre initiative, cette autonomieétant par ailleurs une sourceconsidérable d’engagement6.Seconde caractéristique impor-tante des entreprises libérées : les

procédures formalisées y sontréduites7 à leur plus simpleexpression afin de ne pas entra-ver la prise d’initiative et la flexi-bilité, à l’exemple du groupeNordstrom (société cotée sur leNYSE réalisant un CA de plus de12 milliards de dollars) et de sonrèglement intérieur (dans laplupart des entreprises améri-caines un long recueil de toutesles choses qu’il convient de nepas faire, élaboré à grand frais pardes cabinets d’avocats) qui necomprend qu’une carte repriseen page suivante.L’idée centrale est ici que la majo-rité des procédures sont mises enplace dans les sociétés « non libé-rées » pour « gérer les 3 %8 » decas problématiques (dont ceuxde fraude), mais 100 % des sala-riés s’y trouvent confrontés au

quotidien ce qui a pour consé-quence importante de ralentirconsidérablement le processusde décision et dans certain cas derendre le processus de contrôleplus coûteux que le risquecouvert. Je pense ici notammentaux cas suivants, tous rencontrésau cours de mon expérienceprofessionnelle : Mise en place dans une armoire

sécurisée des fournitures (stylos,feuilles…) et conservation de laclé par une personne dédiée,impliquant des pertes detemps significatives pour lespersonnes ayant besoindesdites fournitures9, ainsiqu’une importante démotiva-tion résultant de la méfiancesuscitée par cette démarche.

Processus de validation desachats impliquant plusieursniveaux de validation pour desdépenses de quelques cen-taines ou milliers d’euros, alorsque ces dépenses avaient étébudgétées et que la société

Le managementpar la confiancepeut-il aboutir à la findes auditeurs et contrôleursinternes ?Frédéric Cordel, fondateur deFCconsulting(www.fcconsulting.company)

« Si l'on veut que telle manière d'être, telle habitude de vie s'établisse,la dernière chose à faire est d'ordonner que l'on s'y conforme. Voulez-vous être obéi ? Il ne faut pas vouloir qu'on fasse, il faut faire qu'onveuille ».

Jean-Baptiste Say

1 Documentaire disponible à: http://www.arte.tv/guide/fr/051637-000/le-bonheur-au-travail, voir égalementun article du journal le Monde à : http://tinyurl.com/lemondeentrepriseslibere ainsi que le blog d’Isaac Getz :

http://liberteetcie.com/category/leaders-liberateurs/2 Isaac Getz est professeur à l’ESCP et auteur notamment de « Liberté & Cie »,

ouvrage ayant inspiré le documentaire cité ci-dessus. 3 De nombreuses études montrent que « l’empowerment », c’est à dire la capacité

à déléguer la prise de décision, est un des facteurs clés de la motivation des salariés(voir notamment les études mondiales réalisées par Tower Watson).

4 Activités généralement incorporées dans ce qui est convenu d’appeler la « 2ème ligne de maîtrise ».5 Ancien dirigeant de l’entreprise « libérée » FAVI et conférencier – entre autre – à HEC.

6 Selon de nombreuses études, de 50 à 85% des salariés seraient peu ou pas du tout engagés dans leurentreprise (sur la complexité de la définition de l’engagement, voir :

http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.182.2845&rep=rep1&type=pdf). 7 A noter que la norme ISO9001 :2015 (Systèmes de management de la qualité – Exigences)

anticipe déjà cette évolution en insistant plus sur les « processus » que sur la « documentation ».8 Expression reprise dans de nombreux discours de Jean-François Zobrist.

9 Jean-François Zobrist cite de nombreux exemples de ce type dans « Liberté & Cie » et dans les nombreusesinterviews qu’il a accordées. Voir notamment une synthèse de sa vision de l’entreprise libérée à :

https://www.youtube.com/watch?v=N_4DzvRn-Qg. Voir également son mythique discours sur « la leçon demanagement de la prostituée » : http://www.pleyers.be/2015/03/26/la-lecon-de-management-de-la-prostituee/

Engagés9 %

Désengagés65 %

Activementdésengagés

26 %

Répartition des salariés


contrôle ne soit effectué a prioriet/ou a posteriori sur l’utilisationdes fonds ainsi confiés. Dernière caractéristique impor-tante des entreprises libérées :elles n’hésitent pas à mettre enœuvre des politiques RH inno-vantes. Ainsi, il n’est pas rare dansde telles organisations que lesobjectifs des salariés soient défi-nis par eux-mêmes, le rôle desleaders étant plus ici de s’assurerde la cohérence des objectifsainsi déterminés avec les finalités,les valeurs et la vision de l’entre-prise. D’autres sont allées jusqu’àbannir les organigrammes et lestitres, remplaçant leur VP, direc-teurs, managers (…) par des« associates » (cas de la société WLGore & Associates, inventeur duGore-Tex, réalisant un CA de plusde 3 milliards de dollars12). Parailleurs lorsqu’un leader est enplace dans une entreprise libérée,il est le plus souvent coopté parson équipe (on parle alors de« followership » et non de « leader-ship »). Ce système de promotionest basé sur un des piliers de laconfiance : la crédibilité.Au-delà des nombreux exemplesdisponibles qui semblent prou-ver qu’une telle libération est

possible13 indépendamment dela taille et du secteur d’activité(certaines de ces entreprises libé-rées sont cotées et globales14), cemouvement conduit à repenserle rôle des structures de contrôle(auditeurs et contrôleurs internes,contrôleurs de gestion, mana-gers…) qui sont perçues essen-tiellement comme une source decoûts et non comme un levier dela performance organisationnelleet financière. Attention, uneentreprise libérée ne signifie pasune entreprise sans contrôles niprocédures : dans de telles entre-prises, le contrôle est le plussouvent défini et mis en œuvrepar la personne en charge d’exé-cuter la tâche opérationnelle(auto-contrôles, cercles de laqualité…). Une entreprise libéréefonctionne donc principalementdans un mode « bottom-up » etsans structures lourdes de super-vision / contrôle dédiées (certai-nes structures libérées ayant étéjusqu’à supprimer les départe-ments contrôle de gestion et RH).Par ailleurs, le contrôle y est forte-ment social : chaque salarié,jugeant précieuses la liberté et laconfiance qui lui sont accordées,va s’attacher au bon fonctionne-ment du système mis en place,conscient que des écarts significa-tifs et répétés avec le système devaleurs instauré pourraient avoirun impact négatif sur l’intérêt destâches qui lui sont confiées. Si de tels modèles de manage-ment venaient à se substituer aumodèle prédominant (classique)basé sur une logique de« command & control » d’inspira-tion taylorienne, quel pourraitalors être le rôle des contrôleursinternes / auditeurs internes ? Première possibilité, ces départe-ments pourraient se positionnerdans une logique de « décons-truction raisonnée » des procé-

dures qu’ils ont souvent contri-bué à mettre en place et àaméliorer, sans se rendre forcé-ment compte de leur impactparfois (souvent ?) négatif entermes d’adaptabilité, atout indis-pensable pour réussir dans unmarché globalisé et connecté.Les auditeurs internes / contrô-leurs internes pourraient pro-mouvoir les mérites d’uncontrôle interne « lean », élaboréen étroite collaboration avec lesdifférentes parties prenantes.Il serait toutefois important quesoit élaboré au préalable un diag-nostic de la culture de l’entrepriseen matière de confiance, sur lemodèle de ce que proposent dessociétés comme Franklin CoveyLLC (voir : http://www.myspee-doftrust.com/).Seconde possibilité, déjà consta-tée dans plusieurs entrepriseslibérées, ces départements sontréduits à leur strict minimum(afin de respecter des obligationsréglementaires), voire supprimés,ce qui me semble toutefois peuprobable à court ou moyenterme, du fait : de la complexité réglemen-

taire toujours croissante quiimpose la mise en place dedispositifs de gestion desrisques toujours plus impor-tants (dont le contrôleinterne) ;

des très nombreux intérêtsparticuliers en jeu (notammentpour les cabinets d’audit et deconseil).

Si ce scénario de la disparationprogressive des fonctions d’auditinterne et de contrôle internesemble très peu probable, il n’enreste pas moins qu’il devrait,selon moi, être considéré commeun « wild card event » et donc à cetitre figurer dans la cartographiedes risques de la profession.

réalisait un CA de plusieursmilliards d’euros10.

Processus de validation desnotes de frais impliquantplusieurs niveaux hiérar-chiques et mise en place depolitiques de déplacementcomportant parfois plusieursdizaines de pages (dans denombreux cas pour rappelerquelques règles de bon sens)11.

Mise en place et signatured’accords de confidentialitépour des données dont lecaractère confidentiel est assezrelatif (ex : la société X souhaitefaire appel au consultant Ypour procéder à une revue deses outils de reporting)…

On est bien loin ici de certainesdes politiques mises en placedans des entreprises libérées :dans son bestseller « The Speed ofTrust », Stephen Covey cite ainsi –parmi d’autres exemples – le casd’un grand groupe hôtelieraméricain qui alloue à l’ensemblede ses personnels en contactavec la clientèle une enveloppede 2 000 USD afin que cesderniers puissent répondre rapi-dement aux besoins expriméspar les clients, sans qu’aucun

© A

rto

- Fot

olia

.com

10 Les entreprises américaines et anglaises ont pris l’habitude de gérer ce type de dépenses au moyen de« purchasing cards », dispositif encore assez peu répandu en France car considéré « risqué » par de nombreuses

directions financières (il implique en effet une confiance élevée envers les salariés). 11 Un directeur financier basé en Norvège m’a un jour affirmé que sa politique de déplacement ne faisait qu’une

ligne : « Dépensez l’argent de la société comme si c’était le vôtre et n’engagez que des dépenses qui sont dans l’intérêtde l’entreprise ! ». Aucune politique de validation n’était par ailleurs instaurée, afin de ne pas « faire perdre leur temps »

aux managers de l’entreprise qui étaient bien mieux occupés en passant du temps auprès de leurs clients.12 En 2014, Gore a été classé par l´institut Great Place to Work® au 4ème rang mondial des meilleurs lieux de

travail multinationaux. Ce palmarès basé sur l´étude mondiale des meilleurs lieux de travail identifie le top 25des entreprises multinationales excellant dans la qualité de leur lieu de travail.

13 Ce mouvement peut toucher également le secteur public à l’exemplede ce qui a été mis en œuvre dans la sécurité sociale belge :

http://www.organisationliberee.fr/le-ministere-belge-de-la-securite-sociale-se-libere/14 On citera notamment le cas emblématique d’Harley-Davidson, qui, au bord de la faillite, s’est redressée suite

à son mouvement de « libération ».

EMPLOYEEHANDBOOKOur number one goal is to provideoutstanding customer service. Set both yourpersonal and professional goals high. Wehave great confidence in your ability toachieve them, so our employee handbook isvery simple. We have only one rule...

NORDSTROM

OUR ONE RULEUse goodjudgment in allsituations.

Please feel free to ask your departmentmanager, store manager or HumanRessources any questions at any time.

LIBRES PROPOS



LIBRES PROPOS

Dans ces conditions, il ne peut y avoir de management par la confiancesans un minimum de vérification ou d’accompagnement « Trust butVerify ». Une confiance aveugle ne saurait être un modèle de gestionefficace et pérenne quand, à tout moment, il faut rendre compte à sesclients, ses actionnaires, ses partenaires, ses régulateurs, et prendre desdécisions qui engagent tous les rouages de l’entreprise.En l’occurrence, et contrairement à l’hypothèse développée dans l’arti-cle de Philippe Cordel, c’est dans un tel univers que l’audit interne peutprendre tout son sens et devient très nécessaire. L’audit interne devientun partenaire essentiel à la bonne gouvernance et à la gestion desrisques.

Mais de quel audit interne parle-t-on ?

Non de celui qui se confine à donner son point de vue sur la conformitéaux règles et procédures (il y en a peu), mais de celui que mon équipepratique, c’est-à-dire : celui qui seul peut donner une visibilité objectivesur comment s’imbrique la prise de risque et sa gestion dans tous lesrecoins de l’entreprise ; celui qui permet de peser objectivement lesoptions possibles et arbitrages nécessaires entre des choix de contrôle /gestion de risques souvent discordants car ils sont le fruit de l’interpré-tation des décideurs sur le terrain et non pas de l’application de règles

strictes et prédéterminées. C’estun audit interne qui sait faire desrecommandations nuancées etéquilibrées entre la création et lapréservation de la valeur. C’estaussi un audit interne qui joue àplein son rôle d’agent harmonisa-teur, distribuant bonnes pratiquesou pratiques avérées afin de

permettre à chaque unité de prendre de meilleures décisions à l’avenir.Je parle d’un audit interne qui fait de la vérification active pour informersur les attributs du succès à venir et non pas de la vérification inertepour entériner les défaillances du passé.L’audit interne devient un élément essentiel du management par laconfiance et permet de préserver cet entreprenariat moteur de crois-sance. Sans cet audit interne-là, l’organisation n’a plus qu’à se résoudreà imposer une bureaucratie administrative lourde et contraignante oude prendre le risque de piloter en aveugle. Cet audit interne, c’est celui que notre direction générale et notreComité d’audit qualifient « d’agent qui permet de garder notre entre-prise saine ».Je parle bien de l’audit interne tel que défini par l’IIA/IFACI :

« L'audit interne est une activité indépendante et objective quidonne à une organisation une assurance sur le degré de maîtrisede ses opérations, lui apporte ses conseils pour les améliorer, etcontribue à créer de la valeur ajoutée.Il aide cette organisation à atteindre ses objectifs en évaluant, parune approche systématique et méthodique, ses processus de mana-gement des risques, de contrôle, et de gouvernement d'entreprise,et en faisant des propositions pour renforcer leur efficacité. »

Je ne dirai pas que Nordstrom est une« Entreprise libérée ». En particulier si ondéfinit l’entreprise libérée comme l’a faitTom Peters en 1993 dans son ouvrage

« Liberation Management » où les schémashiérarchiques et managériaux sont totalement abolis et remplacés pardes groupes ad hoc de travailleurs intellectuels, qui se font et se défontau gré des projets, ou encore, comme défini dans l’article de FrédericCorbel « … se caractérisant par une absence quasi-systématique de mana-gers exerçant des activités de supervision / contrôle (qualiticiens, chefd’équipe, chef d’atelier, auditeurs internes, contrôleurs de gestion…) ». Dansl’organigramme de Nordstrom vous trouverez des qualiticiens, des chefsd’équipes, des contrôleurs de gestion et … des auditeurs internes quej’ai le privilège de guider et de servir.Par contre, on peut dire que Nordstrom est très certainement une entre-prise qui a entretenu, depuis sa création en 1910, un esprit très entre-preneurial dans son mode de gestion. La prise de décisionopérationnelle et tactique y est très décentralisée et au plus près duclient – « Use good jugement at all times » – et autour de valeurs et deprincipes fondamentaux simples, clairs, sans cesse répétés et incarnéspar les leaders de l’entreprise : durs à la tâche, persévérants, loyaux,altruistes (servant le leadership), intègres, compétitifs et, par-dessus tout,engagés inébranlablement àmettre l’intérêt du client audessus de tout. Au bout du compte, le résultatattendu est très clair pour chacund’entre nous : « Leave it better thanyou found it » (laisser la placemieux que vous ne l'avez trou-vée).Aussi, c’est bien la confiance qui fondamentalement régit les relationsentre l’ensemble des collaborateurs. Chacun sait ce qu’il doit faire etselon quels principes ; la gestion du risque est au cœur de l’action et dechaque unité opérationnelle ou fonctionnelle ; le management estconsidéré comme responsable de l’ensemble de ses actions et de saprise de décision, donc de ses risques et de leur gestion qu’ils soientstratégiques, opérationnels, financiers ou de conformité. En effet, lagestion à Nordstrom est relativement peu prescriptive comparée à d’au-tres entreprises.Un bémol néanmoins. Même si Nordstrom n’appartient pas à uneindustrie dite très régulée (sauf sa banque), il faut néanmoins rappelerque Nordstrom est une entreprise cotée à la bourse de New York et qu’àce titre, elle n’échappe pas à la rigueur de gestion imposée par les régu-lateurs du marché américain (Sarbanes Oxley, Dodd Frank etc.). Elle estaussi assujettie à un certain nombre de règles administratives en toutessortes de domaines (qualité des produits, ressources humaines, hygiène,sécurité, information clients et concurrences, données informatiques,etc.). Nordstrom n’échappe pas à la mise en place de « quelques » (c’estun euphémisme) règles et procédures pour répondre aux exigences deson environnement mais aussi de certaines exigences que l’entreprises’impose à elle-même.

L’audit interne est un élément essentieldu managementpar la confiance

Réponse à l’article de Fréderic Corbel de Dominique Vincenti, Vice President de l’audit interne, Nordstrom, Inc.

Mon expérience est que cette définition de l’audit interne ne peutvraiment totalement s’exprimer que dans une entreprise « libérée ».Aussi, dans un monde en plein bouleversement et au sein des entre-prises qui cherchent à se renouveler et répondre aux enjeux de l’ave-nir de façon agile et efficace, l’audit interne a encore de bien beauxjours devant lui. Je dirai même mieux : le meilleur est à venir.

OUVERTURE SUR LE MONDE


ECIIA :la voix de l’auditinterne en Europe

La Confédération a vu le jour en 1982.Une lettre d’intention fut signée par laFrance, la Finlande, l’Angleterre /l’Irlande, la Norvège et le Bénélux. Trois

objectifs étaient fixés : l’échange d’informa-tion, la représentation de l’audit interne auniveau européen et la collaboration entre lesinstituts membres.

Trente trois ans plus tard, l’ECIIA compte 36pays européens et du bassin méditerranéen1,et 40 000 membres.

En matière de gouvernance, l’ECIIA est géréepar l’assemblée générale qui rassemble tousles membres annuellement, un conseil d’ad-ministration avec 8 membres dont 4 venantobligatoirement des instituts allemands, fran-çais, italiens et britanniques / irlandais,nommés pour 6 ans maximum. La gestioncourante est assurée par le secrétaire généralassisté d’un comité des affaires publiques,composé de volontaires, qui traite des rela-tions avec les régulateurs et les associationseuropéennes.

La mission principale de l’ECIIA est d’être lavoix consolidée de l’audit interne en Europeauprès des autorités européennes (Parlementet Commission) et de certaines autres institu-tions, afin de les influencer à notre cause.

L’activité principale de l’ECIIA est de suivre lesdéveloppements de la Commission Euro-péenne et des instances européennes,susceptibles d’impacter la profession, et deréagir à leurs initiatives.

Les institutions cibles sont, outre laCommission et le Parlement Européens, laBanque Centrale Européenne, EIOPA (autoritédes assurances), EBA (autorité bancaire), ESMA(autorité des marchés financiers). Une lettred’intention a été signée avec l’EUROSAI pourle secteur public. L’ECIIA collabore égalementavec des associations européennes, actives enmatière de gouvernance d’entreprise : Ferma(Fédération Européenne des Risks Managers) ;ecoDa (Association Européenne des Adminis-trateurs) ; FEE-ACCA et ICAEW (FédérationsEuropéennes d’Experts Comptables) ; BusinessEurope et European Issuers (AssociationsEuropéennes des entreprises privées). Auniveau des activités, outre la mission d’avo-cacy qui est sa raison d’être, l’ECIIA publie desprises de positions et un magazine « EuropeanGovernance ».

En mars 2015, l’ECIIA, en collaboration avec lemagazine du Parlement Européen, a créé leprix du meilleur parlementaire en matièrede gouvernance d’entreprise. Il a été remis àMme Regner lors d’une cérémonie officielle

au Concert Noble qui a accueilli plus de troiscents parlementaires et des représentants dumonde du lobby à Bruxelles.

Suite à la crise financière, l’Europe a vouluréagir et de nombreuses initiatives, impactantnotre profession, ont été lancées et concréti-sées. Le 17 avril 2014, le Parlement Européena voté la règlementation « audit reform ». Elleconcerne principalement le rôle des auditeursexternes, mais inclut une liste de services quel’audit externe ne peut rendre chez ses clients(y compris l’audit interne) ; elle prévoit égale-ment un processus de sélection des auditeursexternes, dans lequel les auditeurs internespeuvent jouer un rôle ; enfin elle définit descritères de qualité des rapports d’audit ainsique des règles de rotation des auditeursexternes.L’ECIIA a souhaité rappeler à la Commission lerôle des auditeurs internes et a encouragé lacollaboration entre l’audit interne et l’auditexterne.Une publication sur le sujet (« Improvingcooperation between internal and externalaudit ») a été présentée aux commissaires etparlementaires en charge de la réforme, lorsd’une table ronde en décembre 2013 où ontparticipé Mr S. Karim, parlementaire en chargede la réforme et N. Berger, responsable auditau sein de la DG Market.

Thijs Smit, Président, ECIIA

1 IIA Austria, IIA Azerbaidjan, IIA Belgium, IIA Bosnia andHerzegovina, IIA Bulgaria, IIA Croatia, IIA Cyprus, IIA Czech,

IIA Denmark, IIA Estonia, IIA Finland, IFACI, IIA Georgia,IIA Germany, IIA Greece, IIA Hungary, IIA Iceland, IIA Israel,

IIA Italy, IIA Latvia, IIA Lithuania, IIA Luxembourg,IIA Montenegro, IIA Morocco, IIA Netherlands, IIA Norway,

IIA Poland, IIA Portugal, IIA Romania, IIA Serbia, IIA Slovenia,IIA Spain, IIA Sweden, IIA Switzerland, IIA Turkey, IIA UK & Ireland.


OUVERTURE SUR LE MONDE

l’assemblée générale parrapport au conseil d’administra-tion. Actuellement, les pointsdéveloppés touchent principale-ment l’identité des actionnairesmais les développements futursporteront sur le partage desresponsabilités.

Avec ecoDa, l’ECIIA a publié en2012 une prise de position intitu-lée « Making the most of theinternal audit fonction », recueilde 10 recommandations desti-nées aux administrateurs. AvecFerma, l’ECIIA a édité unenouvelle publication en octobre2014, afin de promouvoir lemodèle des 3 lignes de défensequi nous sert de référentiel danstoutes les discussions euro-péennes, et de préciser le rôle ducomité d’audit et du comité desrisques : « Audit and Risk Commit-tees: news from EU legislation andbest practices ».

Un groupe de travail « Assuran-ces » a vu le jour en 2013 audébut des discussions relatives àSolvency II. Actuellement, la légis-lation est votée mais le groupede travail est toujours actif avecl’EIOPA afin de définir les modali-tés d’implémentation, et renfor-cer le positionnement et l’indé-pendance de l’audit interne. Undébat sur ce sujet aura lieu lors

de la conférence de l’ECIIA enseptembre à Paris.

En raison de la mise en place ausein de la Banque CentraleEuropéenne, d’un mécanisme desurveillance unique (MSU), ungroupe « Banque » a été créé enjanvier 2015 avec des responsa-bles d’audit interne de grandesbanques impactées par cesnouveaux contrôles. Unepremière réunion très positive aeu lieu mi-mai 2015 avec la BCE(Mme Lautenschlager) et unecollaboration étroite est en trainde se mettre en place. Nousaurons également le grand plaisird’accueillir Mme Nouy et deprésenter les travaux de cegroupe de travail lors de la confé-rence de septembre à Paris. Legroupe prépare une publicationsur le top 5 des priorités des audi-teurs internes européens dans lesecteur bancaire, en collabora-tion avec les comités banque desinstituts membres.

Avec l’EUROSAI, l’ECIIA, via desgroupes de travail communs, vadéfinir le rôle et les responsabi-lités respectives des auditeursinternes et des auditeursexternes, et la façon dont ilspeuvent collaborer et échanger.

Enfin, l’ECIIA répond aux publica-

tions officielles impactant laprofession et a récemment réagià la consultation du Comité deBâle (« corporate governance prin-ciples for banks »). Elle en avait faitde même aux dispositions d’EBA(draft guidelines for commonprocedures and methodologies forthe supervisory review and evalua-tion process under article 107 ofDirective 2013/36) qui passait soussilence l’indispensable besoind’indépendance de l’auditinterne.

De nombreux développementseuropéens impactent notreprofession et seront traduits souspeu dans les législations natio-nales. La mission de l’ECIIA estd’influencer les régulateurs euro-péens pour que notre professionsoit reconnue à sa juste place, etd’informer les membres de l’ECIIAdes nouveautés. L’ECIIA travailleen étroite collaboration avec sesmembres afin de définir ensem-ble la « voix » de l’audit interne enEurope.

J’espère avoir le plaisir de vousaccueillir nombreux à Paris lorsde la conférence du 20 au 22septembre prochain afind’échanger sur l’avenir de l’auditinterne en Europe.

Le 15 avril 2014, une nouvelledirective a été votée pour impo-ser aux grandes entreprises depublier des informations sur lesprocédures, risques et impactsdes matières environnemen-tales, sociales, de droit humain,d’anticorruption, de vol et dediversité des conseils d’adminis-tration.L’ECIIA a présenté sa prise deposition sur le sujet (Non financialreporting: building tust with inter-nal audit) lors d’une table rondeen mars 2015 à la CommissionEuropéenne. Dr Igor Šoltes(parlementaire), Antoine Begasse,Policy and Case Officer, Corporatetransparency à la Commission, etJonathan Labrey, Chief StrategyOfficer chez IIRC ont commentéla prise de position de l’ECIIA.

Actuellement, la Commissiontravaille sur la simplification desrèglementations européennes,sur le marché unique du numé-rique et les mesures en matièrede cyber sécurité. L’ECIIA parti-cipe aux discussions afin d’êtreinformée des développements etréagir aux points susceptiblesd’impacter l’audit interne.

Des discussions très avancéessont menées au sujet du rôle desactionnaires et plus particuliè-rement les responsabilités de

© jo

risv

o - F

otol

ia.c

om

ACTUALITÉ


EN BREFSolvabilité II : le train est en marche

Le décret d’application de l’ordonnance transposant la Directiveconcernant Solvabilité II entrera en vigueur le 1er janvier 2016. Lesorganismes d’assurance peuvent d’ores et déjà s’appuyer sur le textepublié au JO qui vise à encadrer et à développer des bonnespratiques de gouvernance y compris en matière d’audit interne. Parexemple, pour le suivi des conclusions de l’audit interne « le direc-teur général ou le directoire veille à ce que ces actions soientmenées à bien et en rend compte au conseil d'administration ouau conseil de surveillance ».

Pour plus d’information : http://legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT0000305

59751&dateTexte=&categorieLien=id Ordonnance n° 2015-378 du 2 avril 2015 transposant la directive

2009/138/CE du Parlement européen et du Conseil du 25 novembre2009 sur l'accès aux activités de l'assurance et de la réassurance et leurexercice (Solvabilité II)

CRIPP (notamment les Norme 1000, 1111,2100, 2400 et 2500) Cahier de la recherche - Cartographie des risques (2e éd.) - Groupe

Assurance (octobre 2013) Cahier de la recherche - La délégation de gestion en assurances de

personnes : Pistes pour un contrôle interne efficace - Groupe Assurance(2012)

Propos de Jean Tirole sur l'ISR

Le prix Nobel d’économie a présenté 3 visions de l’InvestissementSocialement Responsable lors d’une conférence inaugurale à Paris-Dauphine. Il a rappelé que l’ISR n’excluait pas la maximisation duprofit. Du moins dans des visions « win win » (à long terme) ou de« philanthropie déléguée » (impliquant une interaction étroite avecdes parties prenantes). Les acteurs peuvent également s’engagerdans une 3ème voie : le mécénat pur ou « philanthropie désintéres-sée ». Outre, les difficultés de définition du « socialement responsa-ble », l’économiste a mentionné des points d’attention : Collecte et agrégation des données ; Présentation des arguments ; Qualité de l’information ; Risque d’usine à gaz avec des instruments de régulation qui

seraient fondés sur des informations inexistantes ou de piètrequalité.

Des enjeux similaires à ceux du reporting intégré.Cette intervention a été suivie d’une table ronde introduite parDenis Kessler (PDG de Scor) sur « Finance de long terme, financedurable ».

Pour plus d’information : http://www.dauphine.fr/fr/actus/evenements/conferences-avec-des-

personnalites.html http://w w w.i faci .com/recherche/ les-product ions- de - la-

recherche/reporting-integre-388.html

Position de l'IFA sur la fraude et la corruption

Le conseil d’administration a un rôle déterminant dans la préventiondu risque de fraude. Dans son rôle de supervision, il s’assure de l’adé-quation et du correct déploiement du dispositif de lutte anti-fraudedéfini par la direction générale. La récente note de la commissiondéontologie de l’IFA (Institut Français des Administrateurs) rappelleque l’audit interne peut « aider les membres de l’organisation àremplir leurs diligences de manière efficace en leur fournissant desanalyses, évaluations, des recommandations, des conseils et desinformations sur les activités examinées ». L’interaction régulière avecle Conseil permet également d’alerter et d’informer les administra-teurs sur les risques de fraude.

Pour plus d’information : Norme 1210.A2 Prise de position – Le rôle de l'audit interne dans le gouvernement

d'entreprise (mai 2009) Note de synthèse de la Commission Déontologie de l’IFA : Rôle du

conseil en matière de gestion du risque de fraude et de corruption

MONDEECIIA : L'audit interne vecteur de confiance dansles reportings non-financiers

Dans la perspective de la mise en œuvre de la directive 2013/34/EUamendée au sujet de la communication extra-financière et des infor-mations relatives à la diversité, l’ECIIA (European Confederation ofInstitutes of Internal Auditing) rappelle que l’audit interne contribueà donner une assurance sur les systèmes, procédures et contrôlesrelatifs à l’information financière et extra-financière. Les organisa-tions sont invitées à dépasser la simple mise en conformité aveccette nouvelle directive en envisageant d’ores et déjà la mise enplace de processus de reporting intégré.

Pour plus d’information : http://www.eciia.eu/blog/ http://w w w.i faci .com/recherche/ les-product ions- de - la-

recherche/reporting-integre-388.html Directive 2014/95/UE sur la publication d’informations non finan-

cières et d’informations relatives à la diversité par certaines grandesentreprises et certains groupes

FRANCE


ACTUALITÉ

Utiliser le COSO pourmaîtriser les cyber-risquesLe COSO (Comittee of SponsoringOrganisations of the TreadwayCommission) vient de publier unrapport sur l’utilisation du Référentielintégré de contrôle interne et duCadre de référence – Le managementdes risques de l’entreprise pour pallierles risques de cyber-sécurité. Ce docu-

ment prend en compte les risques liés aux évolutions technolo-giques de ces dernières années. Vous y trouverez notamment uneapplication des 17 principes en matière de contrôle interne.

Retrouvez cette publication sur le site internet du COSO :www.coso.org.

Une gestion des compétences adaptée auniveau de maturité :Nouveau guide pratiqueVous pouvez dès à présent téléchar-ger la version française du guidepratique publié par l’IIA pour le déve-loppement, la mise en place et lemaintien d’un processus de gestiondes compétences de l’audit interne.Articulé autour du modèle de matu-rité développé par la Fondation de laRecherche de l’IIA (IIARF), ce guidedécrit 12 étapes pour une gestion

stratégique des ressources de l’audit interne allant de l’interactionavec les instances de gouvernance à un plan d’action reposantnotamment sur un environnement favorisant l’apprentissage.Très illustré, ce guide destiné au secteur public est aisément trans-posable dans d’autres environnements.

Retrouvez cette publication sur le site internet de l’IFACI.

Livre Blanc AFAI, IFACI, USF« Guide d'évaluation d'unsystème SAP pour l'auditinterne »Que l’on soit utilisateur ou non, il n’estplus utile de présenter l’ERP SAP. SAP,comme tous les ERPs, est plus qu’unsimple système informatique : ilformalise, structure les processus etcomporte de nombreuses fonction-nalités métiers. Ainsi, les données lesplus stratégiques y sont stockées. Toutefois, du fait de l’étendue de son

déploiement dans l’organisation, de sa richesse et de sa complexité,la mise en œuvre et l’emploi de ce type d’outil engendrent desrisques spécifiques et tout dysfonctionnement ou incident desécurité peut avoir des impacts considérables sur l’image et plusencore sur l’activité de l’organisation qui l’utilise, et donc directe-ment sur son chiffre d’affaires.L’AFAI (Association Française de l’Audit et du conseil Informatique),l’IFACI et l’USF (Utilisateurs SAP Francophones) ont souhaité s’asso-cier pour réaliser un guide d’évaluation d’un système SAP.


PUBLICATIONS

Audit interne et décisionL’audit interne est toujours en positionde susciter une décision ne serait-cequ’à travers le suivi de ses recomman-dations. Cette publication rendcompte d’autres façons d’accompa-gner des prises de décisions plus« spontanées » du manager.Nous voyons dans ces missions d’assu-rance ou de conseil, une opportunitéde contribuer à la performance desorganisations. Dans un contexte où les

managers cherchent du sens et où les structures organisationnellesse complexifient, l’audit interne peut améliorer les conditions dela prise de décision et vérifier l’efficacité de sa mise en œuvre.Ce document, à l’attention des décideurs, rappelle les fondamen-taux du métier et leur donne la parole.


Challenges andexpectations for the futureof internal audit in bankingand credit institutionsRappelant l’évolution des businessmodels des banques et les nouvellesrégulations dans le secteur bancaire,cette publication de l’IIA Espagnedonnera au responsable d’auditinterne des éléments pour adapter : sa gestion des ressources humaines ; l’organisation de son département ;

l’approche (y compris en termes d’assurance combinée) et lepérimètre des missions ;

les outils et techniques d’audit.

Dans le contexte de la supervision unique européen, ce docu-ment devrait être facilement adaptable à vos services d’audit.


Coordination audit interne, audit externe :le rôle clé du comité d'audit

L’IIA et l’AICPA (American Institute of CPAs) rendent compte dediscussions entre leurs membres à propos de la coopérationentre les acteurs de l’audit. Malgré les spécificités liées aucontexte américain, ces échanges reflètent des enjeux universels : le rôle moteur du comité d’audit ; l’ERM (Entreprise Risk Management) comme point de conver-

gence du « triangle d’or » formé par l’audit interne, le comitéd’audit et l’audit externe ;

la détermination des professionnels à s’engager dans cettecoopération.

La publication IFACI/CNCC avait précisé ces éléments.

Pour plus d’information : Prise de position - Améliorer la coopération entre l'audit interne et

l'audit externe (Novembre 2014). IFACI / CNCC Norme 2110 – Gouvernement d’entreprise Norme 2050 – Coordination et MPA 2050 – 1 http://www.thecaq.org/docs/reports-and-publications/caq-inter-

secting-roles-report.pdf?sfvrsn=4

MONDE

IFACI Formation - Tél. : 01 40 08 48 08 - Mel : [email protected] - Retrouvez également le programme complet sur le site internet www.ifaci.com

SESSIONS DuréeTarifs

adhérentsTarifs nonadhérents

janv. févr. mars avril mai juin juillet sept. oct. nov. déc.

SE FORMER À LA MAÎTRISE DES ACTIVITÉS ET AU CONTRÔLE INTERNE

S’initier à la maîtrise des activités et au contrôle interne 2 j 950 € 1 125 € 15-16 4-5 9-10 1-2 6-7 8-9 2-3 10-11 1-2 5-6 3-4

Réaliser une cartographie des risques 3 j 1 675 € 1 875 € 19-21 9-11 11-13 8-10 11-13 10-12 6-8 14-16 5-7 16-18 7-9

Elaborer le référentiel de maîtrise des activités 2 j 1 200 € 1 350 € 22-23 12-13 16-17 14-15 19-20 16-17 9-10 17-18 8-9 19-20 10-11

Piloter un dispositif de maîtrise des activitéset de contrôle interne 2 j 1 200 € 1 350 € 26-27 19-20 18-19 16-17 27-28 18-19 23-24 14-15 24-25 16-17

Le contrôle interne des systèmes d’information 2 j 1 200 € 1 350 € 29-30 24-25 23-24 12-13

Maîtrise des activités, contrôle interne et communication 2 j 1 200 € 1 350 € 17-18 21-22 1-2 21-22 19-20 14-15

SE FORMER À L’AUDIT INTERNE

Les fondamentaux de l’audit interne

S’initier à l’audit interne 2 j 950 € 1 125 € 12-13 5-6 2-3 2-3 5-6 4-5/29-30 7-8 5-6 4-5 3-4

Conduire une mission d’audit interne : la méthodologie 3+1 j 1 675 € 1775 € 14-16 10-12 4-6 8-10 11-13 9-11 1-3 9-11 7-9 16-18 7-9

Maîtriser les outils et les techniques de l’audit 3 j 1 625 € 1 775 € 19-21 16-18 9-11 13-15 18-20 15-17 6-8 14-16 12-14 23-25 14-16

Maîtriser les situations de communication orale de l’auditeur 2 j 1 050 € 1 150 € 22-23 19-20 12-13 16-17 21-22 18-19 9-10 17-18 15-16 26-27 17-18

Réussir les écrits de la mission d’audit 2 j 1 050 € 1 150 € 29-30 23-24 19-20 20-21 26-27 23-24 7-8 21-22 21-22 19-20 10-11

Exploiter les états financiers pour préparerune mission d’audit 3 j 1 525 € 1 675 € 26-28 23-25 27-29 28-30 23-25

Désacraliser les systèmes d’information 3 j 1 525 € 1 675 € 16-18 1-3 23-25 2-4

Détecter et prévenir les fraudes 2 j 1 050 € 1 150 € 26-27 22-23 4-5 21-22 19-20 8-9

Le management

Piloter un service d’audit interne 2 j 1 300 € 1 450 € 12-13 11-12 8-9

Manager une équipe d’auditeurs au cours d’une mission 1 j 685 € 770 € 16 6 17

L’audit interne dans les petites structures 1 j 685 € 770 € 4 27

Balanced Scorecard du service d’audit interne 1 j 685 € 770 € 27 25

Le suivi des recommandations 1 j 685 € 770 € 28 16 15 30 18

Préparer l’évaluation externe du service d’audit interne 2 j 1 300 € 1 450 € 10-11 12-13 19-20

L’audit interne, acteur de la gouvernance 1 j 685 € 770 € 17 1

Audit interne, contrôle interne et qualité : les synergies 1 j 685 € 770 € 23 15 2

Les audits spécifiques

Audit du Management de la Continuité d’Activités 2 j 1 300 € 1 450 € 24-25 25-26 21-22

Audit de la fonction Comptable 2 j 1 300 € 1 450 € 13-14 12-13

Audit de performance de la gestion des RessourcesHumaines 3 j 1 525 € 1 675 € 28-30 23-25

Audit de la fonction Achats 2 j 1 300 € 1 450 € 26-27 26-27 14-15

Audit des Contrats 1 j 685 € 770 € 18 4

Audit de la fonction Contrôle de Gestion 2 j 1 300 € 1 450 € 30-31 7-8

Audit de la Sécurité des Systèmes d’Information 2 j 1 300 € 1 450 € 19-20 28-29

Audit des Processus Informatisés 2 j 1 300 € 1 450 € 9-10 25-26

Audit de la Conformité à la Législation Sociale 2 j 1 300 € 1 450 € 16-17 5-6

Audit du Développement Durable 2 j 1 300 € 1 450 € 19-20 13-14

Audit des Projets et Investissements 2 j 1 300 € 1 450 € 2-3 23-24

SE FORMER DANS LE SECTEUR PUBLIC

Le contrôle interne dans le secteur public 2 j 1 300 € 1 450 € 5-6 7-8 16-17

Pratiquer l’audit interne dans le secteur public 4 j 1 950 € 2 150 € 14-17 14-17 1-4

SE FORMER DANS LE SECTEUR BANCAIRE ET FINANCIERLe contrôle permanent et la conformité dans le secteurbancaire et financier 3 j 1 525 € 1 675 € 17-19 16-18 2-4

Pratiquer l’audit interne dans une banqueou un établissement financier 4 j 1 950 € 2 150 € 22-25 22-25 7-10

SE FORMER DANS LE SECTEUR DES ASSURANCES

Le contrôle interne dans le secteur des assurances 2 j 1 300 € 1 450 € 5-6 5-6 7-8 5-6

Pratiquer l’audit interne dans le secteur des assurances 4 j 1 950 € 2 150 € 10-13 16-19 13-16 14-17

SE FORMER DANS LES SECTEURS INDUSTRIE ET COMMERCE

Audit de la gestion des stocks et de la logistique 2 j 1 300 € 1 450 € 3-4 9-10

Audit du processus de ventes 2 j 1 300 € 1 450 € 7-8 15-16

ACQUÉRIR UNE CERTIFICATION

Préparation au CIA - Partie 1 2 j 950 € 1 125 € 11-12 2-3 8-9 2-3

Préparation au CIA - Partie 2 2 j 950 € 1 125 € 18-19 8-9 14-15 9-10

Préparation au CIA - Partie 3 3 j 1 525 € 1 675 € 24-26 17-19 23-25 15-17

CRMA Training 2 j 995 € 1 170 € Dates sur notre site internet : www.ifaci.com

- 20%

pou

r un

part

icip

ant i

nscr

itsi

mul

tané

men

t à 4

form

atio

ns

Formation 2015

Documents

L’AUDIT EN CONTINU Interview de Jean-Pierre Jochum Un …...Smit, vous en apprendra un peu plus sur son fonc - tionnement et ses réalisations. A la rubrique, « voix de la Francophonie