Rencontre avec - Chapters Site - Home · 2015-01-07 · Septembre - Octobre 2014 Rencontre avec ... p.17 Daniel Lebègue, Ancien Président de l’IFA, Président de Transparency

l a r e v u e d e s p r o f e s s i o n n e l s d e l ’ a u d i t , d u c o n t r ô l e e t d e s r i s q u e s

Dans l’actualitéContrôle interne : les évolutionsrécentes de la justice française

Idées et débats Résultats trimestriels : réelle

nécessité ou véritable nuisance ?

Le reporting intégré

Articulation des fonctions qualité,gestion des risques et auditinterne

Mémoire d’étudiantApprécier la performance dupersonnel : un exercice délicat etcomplexe – mais indispensable

Fiche technique

>> Trois garanties del’indépendance et

de l’objectivité de l’auditinterne

N°221Septembre - Octobre 2014

Rencontre avec ... p.17

Daniel Lebègue, Ancien Président del’IFA, Président de TransparencyInternational France

Publications

COSO – RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNEPrincipes de mise en œuvre et de pilotage

Cette nouvelle version du référentiel de contrôle interne a été notamment amélioréeen élargissant les objectifs relatifs au reporting financier à des aspects extra-financierset internes. Elle intègre également les nombreuses évolutions qui ont marqué l’environ-nement économique et opérationnel au cours des dernières années, notamment lesattentes en matière de surveillance par les instances de gouvernance, la mondialisationdes marchés et des opérations, l’évolution et la complexité croissante des modèles éco-nomiques ou les attentes en matière de prévention et de détection de la fraude.

La structuration du Référentiel intégré de contrôle interne le rend accessible à un largepublic (administrateurs, dirigeants, managers et experts du contrôle). L’explicitation desprincipes de mise en œuvre et de pilotage du contrôle interne vous aidera certainementà trouver une réponse circonstanciée à la question fondamentale : « L’organisation est-elle sous contrôle ? ».

AUTEUR : Committee of Sponsoring Organizations of the Treadway CommissionTraduction française : IFACI - PWC

Prix : 80,00 €

Mai 2014 - Format : 17 x 22 cm - 264 pages - ISBN : 978-2-212-55664-3

LES OUTILS DE L’AUDIT INTERNE40 fiches pour conduire une mission d’audit

En 40 fiches très opérationnelles, cet ouvrage présente le processus de conduited'une mission d'audit interne et ses différentes étapes – planifcation, réalisationet communication. Il constitue un guide simple d'approche, permettant de mettreen œuvre une démarche conforme aux normes internationales.

Il est constitué : d'un schéma récapitulatif de l'ensemble des processus mis en œuvre au seind'un service d'audit interne,

d'un schéma du processus de conduite d'une mission, de fiches étapes qui décrivent chaque stade du processus de conduite d'unemission,

de fiches outils utilisables pour chacune des étapes, de fiches documents qui présentent l'ensemble des livrables produits aucours d'une mission.

Ces outils sont la traduction pratique des normes de fonctionnement et desmodalités pratiques d'application (MPA) du Cadre de référence international despratiques professionnelles de l'audit interne (CRIPP) de l'Institute of internalsauditors (IIA), diffusées en France par l'IFACI.

AUTEUR : IFACI

Prix : 50,00 €

Octobre 2013 - Format : 25 x 22 cm - 107 pages - ISBN : 978-2-212-55663-6

Ces ouvrages sont en vente sur les sites internet de :Eyrolles (www.eyrolles.com) - la FNAC (livre.fnac.com) et Amazon (www.amazon.fr)

3sept./oct. 2014 - Audit & Contrôle internes n°221

La revue des professionnels de l’audit,du contrôle et des risques

n°221 - septembre/octobre 2014

EDITEURInstitut Français de l’Audit et du Contrôle Internes (IFACI)Association Loi 190198 bis, boulevard Haussmann75008 Paris (France)Tél. : 01 40 08 48 00 Mel : [email protected] : www.ifaci.com

DIRECTEUR DE PUBLICATIONFarid Aractingi

RESPONSABLE DE LA RÉDACTION Philippe Mocquard

RÉDACTEUR EN CHEFLouis Vaurs

RÉDACTION - RÉVISIONJean-Loup Rouff - Béatrice Ki-Zerbo -Annie Bressac

SECRÉTARIAT GÉNÉRALEric Blanc - Tél. : 01 40 08 48 02Mel : [email protected]

RÉALISATIONEBZONE Communication32, avenue de Beauregard94500 Champigny-sur-Marnewww.ebzone.fr

IMPRESSIONImprimerie de ChampagneRue de l’Etoile de Langres - ZI Les Franchises52200 Langres

ABONNEMENTElsa Sarda - Tél. : 01 40 08 47 84Mel : [email protected]

Revue bimestrielle (5 numéros par an)ISSN : 2117-1661Dépôt légal : octobre 2014Photos couverture : © everythingpossible-Fotolia.com

Prix de vente au numéro : 25 € TTC

Les articles sont présentés sous la responsabilité de leurs auteurs.

Toute représentation ou reproduction, intégrale ou partielle, faitesans le consentement de l’auteur, ou de ses ayants droits, ou ayantscause, est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40).Cette représentation ou reproduction, par quelque procédé que cesoit, constituerait une contrefaçon sanctionnée par les articles 425et suivants du Code Pénal.

Ce document est imprimé avec des encres végétalessur du papier issu de forêts gérées dans le cadred’une démarche de développement durable.

Fondé en 2013 par Daniel Lebègue, l’InstitutFrançais des Administrateurs (IFA) est devenutrès rapidement la voix écoutée des adminis-

trateurs dans la gouvernance des entreprises, à côtéde celle des dirigeants exécutifs représentés notam-ment par l’AFEP et le MEDEF. Au cours de l’interviewqu’il a bien voulu nous accorder, Daniel Lebègueévoque quelques grands thèmes d’actualité que vousaurez certainement plaisir à lire. Président de Transparency International France, ilnote le progrès dans le domaine de la transparence et de l’éthique de la vie publiquemais regrette que « dans la recherche d’actes ou de faits de corruption et dans leurs sanc-tions », la France n’ait pas encore opté pour une justice transactionnelle. Il insisteenfin sur l’importance que représente, pour les comités d’audit, l’information reçuedes différents acteurs du contrôle interne et de la maîtrise des risques, et seréjouit … « de voir que les auditeurs internes et les auditeurs externes ressentent de plusen plus le besoin, la nécessité de dialoguer et de travailler ensemble ».

Je vous recommande de lire attentivement le dossier consacré aux audits de projetsqui ont tendance à se développer car répondant aux attentes des dirigeants, et quipermettent « d’identifier les bonnes pratiques, de traquer les dérives et concourent à l’op-timisation du pilotage de projets ». Trois grandes sociétés, AIRBUS, GDF SUEZ etTOTAL nous font part, dans ce domaine, de leur expérience et de leurs bonnespratiques.

Le reporting intégré fait toujours débat. Vous pourrez lire l’interview de PaulDruckman, CEO de l’IIRC, le comité international de l’information intégrée, publiéedans la revue de l’Institut espagnol des auditeurs internes.

Les résultats trimestriels sont-ils une réelle nécessité ou une véritable nuisance ?Richard Chambers nous donne son point de vue. Comment faire coopérer les fonc-tions qualité, gestion des risques et audit interne ? Le groupe associatif Coallia nouslivre son savoir-faire. Enfin, rebondissant sur les évolutions récentes de la justicefrançaise qui prend de plus en plus en compte la valeur du contrôle interne mis enplace par les sociétés, Antoine de Boissieu recommande de prêter une attentiontoute particulière à l’ensemble des dispositifs de contrôle et d’en juger leur perti-nence.

Bonne lecture.

Grands projetsRôles et missions de l’audit interne

Louis Vaurs - Rédacteur en chef

Contactez-nous :Tél. : 01 44 70 63 00

E-mail : [email protected]

Conc

eptio

n : e

bzon

e co

mm

unic

atio

n - P

hoto

: ©

Jaku

b Ce

jpek

- Fo

tolia

.com

Votre engagement pour+ de bonnes pratiques

+ de performance+ de légitimité

+ de sécurité

Progressez surdes bases solides

Le label de qualité et de performance CertificationIFACI est délivré aux services d'audit interne quiappliquent de façon pérenne les trente exigencespragmatiques du Référentiel Professionnel del'Audit Interne.


SOMMAIRE

DANS L’ACTUALITÉ

DOSSIER


Contrôleinterne :les évolutionsrécentes de lajusticefrançaiseAntoine de Boissieu

6

p. 21 à 35

L’audit des grands projets pétroliersPierre Tamisier

28

La gestion des grands projets : un enjeu stratégiquepour GDF SUEZXavier Bedoret et Jacques Blein

32

L’audit des projetsGéraldine Sutra

22

Airbus : lorsque la bonne pratique de la gestionde projet devient un levier de la performanceClaire Le Moing

25

RENCONTRE AVEC ...

Regard d’unprofessionnelde la gouvernanceDaniel Lebègue

17

MÉMOIRE D’ÉTUDIANT

Apprécier la performance du personnel :un exercice délicat et complexe – maisindispensableThibaut Bossenie

36

IDÉES ET DÉBATS

Le reporting intégréPaul Druckmant

9

Articulation desfonctions qualité,gestion des risques et audit interneClarisse Puharré et Alexandre Velikov

12

Résultats trimestriels : réelle nécessitéou véritable nuisance ?Richard F Chambers

8

FICHE TECHNIQUE N°51

>> Trois garanties de l’indépendanceet de l’objectivité de l’audit interneBernadette Baudier

LA PROFESSION EN MOUVEMENT

Evénements38

6

DANS L’ACTUALITÉ

Audit & Contrôle internes n°221 - sept./oct. 2014

Contrôle interne : les évolutionsrécentes de la justice françaiseAntoine de Boissieu - Associé-gérant, OSC Solutions

Nous avons com-menté dans ledernier numéro les

évolutions récentes de lajustice aux Etats-Unis, et lahausse des risques juri-diques pour les entreprises.Des évolutions similairessont également à l'oeuvre enFrance depuis plusieursannées. L'affaire de l'Erika,remontant à 1999 mais défi-nitivement jugée en cour decassation en 2012, est symp-tomatique de cette évolutionde la justice française.

ERIKA :une responsabilitéqui va au-delà desobligations légales

Dans cette affaire, Total a étécondamné comme étant co-responsable du naufrage etde la marée noire. Cettecondamnation n'allait pour-tant pas de soi d'un point devue juridique. Les jugesavaient en effet différentstextes à leur disposition pourjuger. L'un des principesgénéraux du droit est que lejuge doit écarter les lois etrèglements nationaux pourappliquer, s'il y en a, les trai-tés et accords internationauxratifiés par la France. Celapermet de donner une sécu-rité juridique aux engage-ments internationaux. Il setrouve que la France avaitratifié des conventions inter-nationales qui prévoyaientexplicitement la répartitiondes responsabilités dans des

cas similaires à celui del'Erika. Les juges françaisauraient donc dû appliquerce texte, qui exonérait Totalde toute responsabilité. Entant qu'affréteur, Total avaiten effet rempli ses obliga-tions, et n'avait ni trompé niinfluencé les autres acteursde la chaîne de transport(armateur, exploitant, sociétéde certification). Les juges depremière instance, ceuxd'appel, confirmés par lacour de cassation, ontcependant créé un nouveauprincipe, celui de responsa-bilité environnementale, aunom duquel ils ontcondamné Total, en contra-diction directe avec un texteinternational.

Cette condamnation révèleune évolution majeure de lajustice. Les juges ont en effetconsidéré que même si Totalavait respecté la réglementa-tion, la société avait lesmoyens d'éviter la maréenoire. Il faut rappeler que lesgros pétroliers ont tous leurséquipes d'inspection denavires (« vetting » enanglais). Or, les inspecteursde Shell avaient inspectél'Erika, et l'avaient placé surleur liste noire depuis deuxans. Ceux de Total étaientpassés plus d'un an avant lenaufrage, et avaient, à l'issuede leur contrôle, délivré uneautorisation d'affrètementd'un an. Cette autorisation,purement interne au groupe,était donc expirée au

moment où Total a affrétél'Erika. Les juges ont consi-déré que Total, en choisis-sant de ne pas mettre enœuvre des dispositifs decontrôle interne à sa dispo-sition, a délibérément faitcourir à la collectivité unrisque de marée noire, etdevait donc en assumer lesconséquences. Autrementdit, le fait de respecter lesréglementations ne dégagepas les sociétés de leurresponsabilité environne-mentale.

Alcatel CIT :vers une obligationde contrôle interne ?

Une autre évolution symp-tomatique, passée elle rela-tivement inaperçue, concer-ne un arrêt du Conseil d'Etatde 2008, dans une affaireopposant Alcatel CIT et lesautorités fiscales. Alcatel CITavait subi des pertes causéespar une fraude interne. Lasociété avait considéré queces pertes étaient descharges déductibles durésultat, ce que contestaientles autorités fiscales. LeConseil d'Etat a donnéraison à Alcatel CIT, enjugeant que les faits incrimi-nés ne révélaient pas « uncomportement délibéré ou unecarence manifeste des diri-geants de la société dans l’or-ganisation dudit départementou dans la mise en oeuvre desdispositifs de contrôle ».

A l'inverse, s'il y avait eu unecarence manifeste des diri-geants dans la mise enœuvre des dispositifs decontrôle, les pertes auraientété le résultat d'une négli-gence de la société et doncnon déductibles du résultatimposable. Le fisc et lajustice considèrent désor-mais que les entreprises ontune obligation de contrôleinterne, et ne peuvent dimi-nuer leur résultat, et leurimpôt, en cas de pertes liéesà des carences significativesde contrôle interne.

L'affaire Kerviel :1,7 milliard d'impôtsenjeu pour la SG

C'est cette évolution de lajurisprudence qui va être aucentre du prochain procès del'affaire Kerviel. La SociétéGénérale a en effet déduitles 5 milliards d'euros depertes de son résultat impo-sable, diminuant ainsi sonimpôt sur les sociétés d'en-viron 1,7 milliard. Cettedéduction est justifiée si lajustice considère qu'il n'y apas eu de carence manifestedans le contrôle interne de laSociété Générale. La cour decassation a validé, en mars2014, le volet pénal du juge-ment de la cour d'appel : lacondamnation à la prison deJ. Kerviel a été confirmée. Lacour de cassation a cepen-dant cassé la décisionconcernant les dommages etintérêts de 4,9 milliards €.


Elle a en effet relevé que lacour d'appel avait commisune erreur manifeste encondamnant J. Kervielcomme unique responsabledes pertes, alors qu'elle avaitreconnu l'existence de fautescommises par la banque,fautes qui ont « concouru audéveloppement de la fraude etde ses conséquences finan-cières ». Le volet civil de l'af-faire, qui porte sur ladétermination des dom-mages et intérêts, a étérenvoyé devant la cour d'ap-pel de Versailles. Ce procèsrisque fort d'être celui de laSociété Générale, puisqu'ils'agira d'apprécier l'ampleurdes « fautes », des défail-lances de contrôle interne,de la banque. Le véritableenjeu n'est pas d'obtenir lepaiement de dommages etintérêts, mais de valider laréduction d'impôts de 1,7milliard. Le verdict estattendu début 2015.

Dans ces deux affaires, onassiste à une évolution de lajustice qui prend de plus enplus en compte la valeur ducontrôle interne mis enplace par les sociétés. Desdéfaillances graves decontrôle interne, ou uneabsence de contrôle interne,même si aucune dispositionréglementaire ne le rendobligatoire, suffisent désor-mais à engager la responsa-bilité des entreprises. Cesdernières ont donc de plusen plus une obligation derésultat, et doivent être enmesure de prouver qu'ellesont fait ce qui était en leurpouvoir pour maîtriser leursrisques, qu'ils soient envi-ronnementaux, financiers oujuridiques.

Le rôle des directionsgénérales

Ces affaires vont sans doutepousser les services d'audit

et de contrôle à auditer defaçon attentive tous lesdispositifs de contrôle misen œuvre par la directiongénérale. Les pointstouchant à l'environnementgénéral de contrôle devien-nent sensibles ; les auditeursdoivent donc s'intéresser :• aux mécanismes de prisede décision,

• à la fixation des objectifs,• au processus de reporting,• aux règles d'éthique, et• à l'exemplarité du mana-gement sur tous cessujets.

La défense de M. Kervielinsistera sans doute sur cespoints pour tenter de prou-ver que la banque a manquéà ses obligations decontrôle : elle posera vrai-semblablement la questionde savoir pourquoi la hiérar-chie n'avait pas réagi lorsqueJ. Kerviel avait réalisé unrésultat de 25 M€ en 2007,

près de 10 fois plus que cequi était attendu. En financede marché, le montant desgains est pourtant fonctionde la prise de risques ; lesgains réalisés étaient incom-patibles avec une activitéd'arbitrage normale, etpouvaient difficilementprovenir d'autre chose quede prise de positions spécu-latives importantes, accep-tées par la direction, malgréle dépassement des limitesfixées. Ce dépassement deslimites de risques, normale-ment très grave dans unebanque, n'était pas remontéà la direction générale ou àla direction des risques, etn'avait pas déclenchéd'alerte à haut niveau dumiddle office ou du contrôlepermanent, qui n'avaientsans doute pas le poids suffi-sant. Le débat sera tranchépar la cour d'appel deVersailles.

© A

lcel

Visio

n - F

otol

ia.c

om

8

IDÉES ET DÉBATS


Alors que l’Union européennes’apprête à lever l’obligationpour les sociétés cotées de

publier leurs résultats trimestriels d’icinovembre 2015 dans le cadre de laDirective sur les obligations de transpa-rence, le gouvernement britanniquedevrait prendre les devants en annon-çant des mesures similaires pour lesentreprises de la City. Bref tour d’hori-zon des « pour » et des « contre » decette directive sur le plan de l’auditinterne.

Dans un article du 5 janvier, Reuterssoulignait le « fossé culturel transatlan-tique révélé par les nouvelles règles d’infor-mation financière britanniques ». Cetteapproche de l’information financièreque l’on pourrait qualifier de « moins,c’est mieux » s’inscrit en effet aux anti-podes des tendances règlementaires envigueur aux Etats-Unis où la LoiSarbanes-Oxley de 2002 fait toujoursréférence.

Je partage l’avis de l’économiste JohnKay qui a dirigé les travaux du rapportsur les marchés des actions britanniqueset la prise de décision à long termeremise au Secrétaire d’état pour lesentreprises, l’innovation et les compé-tences le 23 juillet 2012.M. Kay y soutient que la publication desrésultats trimestriels nuit aux entreprisesen instaurant une culture du court-ter-misme soit, en d’autres termes, que lapression exercée en vue de dégager desbénéfices tous les trimestres priverait lesinvestissements de rendements poten-tiellement plus élevés voire de bénéficesplus durables.

Les partisans des rapports trimestriels sefont généralement les défenseurs de laresponsabilité et de la transparence,deux notions que, comble d’ironie, lerapport Kay était censé soutenir.

Pour avoir contribué à la dernière miseà jour du référentiel intégré de contrôleinterne du COSO, je suis fermementconvaincu de l’importance de la respon-sabilité et de la transparence, et je sou-tiens vivement les récentes discussionsaux Etats-Unis qui poussent les entre-prises cotées à abandonner les auditsvenant confirmer la réalisation ou nond’objectifs de rentabilité, au profit derapports plus détaillés et ciblés. Je rap-pelle en outre que IIA Global a officiel-lement adopté l’année dernière lemodèle des « trois lignes de maîtrise »en matière de gestion des risques.Je serais donc bien la dernière personneà oser prétendre que la responsabilitéfinancière, le risque de ternir une répu-tation ou encore l’érosion de laconfiance des actionnaires sont desquestions secondaires.

Il convient cependant de bien garder àl’esprit deux facteurs qui ont leur impor-tance :1. les états financiers trimestriels ne

sont pas audités ;2. avant 2007, les sociétés cotées au

Royaume-Uni n’avaient aucune obli-gation de déposer des rapports tri-mestriels.

Ayant vu par moi-même les sociétéscotées céder à la tyrannie du court-ter-misme au nom des tout puissants profitstrimestriels, l’argument de M. Kay en

faveur de leur élimination est à monsens pertinent. Je ne suis pas très favo-rable à l’idée de réglementer pour le seulplaisir de réglementer et lui préfère uneremise en question constructive du statuquo. Je mets souvent au défi les audi-teurs internes d’évaluer leurs propresplans d’audit et de s’interroger sur leurshypothèses pour toujours s’assurer detraquer les vrais risques. Car là réside levéritable fond du problème.La relative nouveauté des rapportsfinanciers trimestriels en Grande-Bretagne autorise encore la commu-nauté des investisseurs à évaluer objec-tivement les avantages et les risques demettre fin à cette pratique, sans avoir àcomposer avec le caractère quasi sacro-saint qu’ont acquis ces rapports au fildes ans aux Etats-Unis. Sans surprise, la décision de lever l’obli-gation de publier des rapports trimes-triels a mobilisé toute l’attention desmédias. Ceci étant, il importe d’appré-hender cette proposition à la lumière durapport Kay dans son intégralité. Ainsipeut-on y lire un appel à une générali-sation au sein même des directions desprincipes de bonne gestion fondés surune détention responsable des actifs parles parties prenantes, la confiance et lerespect avec pour vocation de créer de lavaleur sur le long terme.Les réformes proposées par M. Kay sontdans l’ensemble largement conformesau cadre de référence international despratiques professionnelles de l’auditinterne de l’IIA et à notre code de déon-tologie. Et quoi qu’en disent leursdétracteurs qui, à n’en pas douter, trou-veront de nombreux appuis, notammentdans le milieu des investisseurs améri-cains, je trouve pour ma part stimulantecette nouvelle approche du « moins,c’est mieux ».

Résultats trimestriels : réelle nécessitéou véritable nuisance ?

« John Kay appelle dans son rapport à une généralisation au sein même des direc-tions des principes de bonne gestion fondés sur une détention responsable des actifspar les parties prenantes, la confiance et le respect avec pour vocation de créer dela valeur sur le long terme ».

Richard F Chambers, Président directeur général , IIA Global

POUR ALLER PLUS LOIN ...Richard F Chambers tient un blog consulta-ble sur www.theiia.org/blogs/chambers ettwitte sur www.twitter.com/rfchambers


1. Après quatre années de travail intensif,le nouveau cadre de fonctionnement inter-national du reporting intégré est mainte-nant prêt. Quels avantages cela va-t-ilapporter aux entreprises qui vont l'adop-ter ?

Les entreprises faisant partie du pro-gramme pilote de l'IIRC – InternationalIntegrated Reporting Council – (elles sontplus d'une centaine), comme notam-ment les sociétés espagnoles BBVA,ENAGAS, Indra, Industria de DiseñoTextil (Inditex), Melia HotelsInternational, Repsol et Telefónica ontdéjà adopté le cadre de fonctionnementdu reporting intégré (<RI>).

Il a déjà été démontré concrètement quele <RI> permet de bénéficier d'impor-

tants avantages. Premièrement, le <RI>aide à établir les fondements d'un enga-gement plus conséquent auprès desinvestisseurs, en leur permettant demieux remplir leur rôle en matière d'ad-ministration.

Le <RI> place également la stratégie etle modèle commercial de l'entreprise aucœur des communications, en permet-tant de mieux argumenter les dossiersd'investissement. Une étude publiée enjanvier 2014 par la Harvard BusinessSchool et dirigée par George Serafeim apermis de recueillir des informationsauprès de 1 066 entreprises aux États-Unis qui utilisent le <RI> à différentsdegrés, et cette étude est arrivée à laconclusion que « le <RI> est davantageassocié à une base d'investisseurs à longterme ». Le rapport d'étude, intitulé« Reporting intégré et clientèle d'inves-tisseurs », indique que les entreprisesqui sont en passe d'adopter le reportingintégré et qui commencent à communi-quer efficacement avec les investisseurssur la manière dont elles génèrent de lavaleur dans la durée, attirent des inves-tissements plus stables.

Le <RI> conduit également à avoir une« réflexion intégrée », par opposition àce qui est parfois connu sous la dénomi-nation de « réflexion compartimentée »,par le fait qu'il prend en considérationla connectivité et les interdépendancesentre les différents facteurs affectant lacapacité d'une entreprise à créer de lavaleur dans la durée. La réflexion inté-grée entraîne de meilleures prises dedécisions en interne, car elle incite à seconcentrer sur la création de valeur et àavoir une approche plus cohésive dureporting dans les sociétés.

2. Quelles sont les principales différencesentre un rapport intégré et un rapport clas-sique de responsabilité sociale de l'entre-prise ?

Un rapport intégré doit comporter desaspects d'un rapport de RSE, mais seu-lement dans la mesure où les informa-tions ont de l'importance par rapport àla manière dont l'entreprise crée de lavaleur dans la durée.

Le reporting intégré ne consiste pas sim-plement à associer dans un même rap-port des informations déjà divulguées.Alors que le <RI> ressemble au reportingconcernant par exemple le développe-ment durable, la responsabilité socialedes entreprises, les finances, il diffèred'autres types de rapports à bien deségards. Il met l'accent sur la concision,la stratégie et l'orientation future, laconnectivité des informations, le modèlecommercial de l'entreprise, et sur tousles types de « capitaux » (financiers, pro-ductifs, intellectuels, humains, sociaux,relationnels et naturels) et sur leursinterdépendances. Le <RI> insiste éga-lement sur l'importance de la réflexionintégrée dans l'entreprise.

3. Quelle importance accordez-vous à lastratégie dans un rapport intégré ?

Le reporting intégré donne aux entre-prises l'occasion de centrer leurs rap-ports d'activités sur la stratégie et sur lacréation de valeur. Le cadre de fonction-nement encourage les entreprises à fairede leur stratégie l'épine dorsale de leurreporting et à parler des difficultésqu'elles sont susceptibles de rencontreren tentant de la mener à bien. Il les aideégalement à expliquer comment ellesdéfinissent leurs priorités stratégiques.

Le reporting intégré

Paul Druckman

CEO de l’IIRC (International IntegratedReporting Council)

10

IDÉES ET DÉBATS


Dans son rapport annuel 2012, la sociétéespagnole Indra, marquant ainsi uneétape dans sa progression vers l'adop-tion du reporting intégré, décrit sa stra-tégie, son modèle commercial, ses résul-tats et ses perspectives d'avenir par rap-port à chacun de ses principaux facteursde réussite. Pour cela, l'entreprise a ali-gné ses objectifs stratégiques avec sesdifférents capitaux. En retour, cela amodifié l'analyse des priorités de l'en-treprise et l'a aidée à se concentrer surla création de valeur.

4. L'Institut espagnol des auditeurs internesa mandaté un groupe de travail composé deprofessionnels issus de différents pays pourétudier les principaux sujets concernant lereporting intégré. À votre avis, quels sontles domaines spécifiques sur lesquels cegroupe de travail devrait se concentrer pourles examiner de manière plus approfondieet pour aider les entreprises à réussir leurmise en œuvre du cadre de fonctionne-ment ?

À l'heure actuelle, de nombreuses entre-prises se demandent comment s'assurer

qu'une crédibilité soit accordée aux nou-velles informations qu'elles communi-quent, dans la mesure où ces donnéesne font pas partie de l'audit financier.Votre groupe de travail peut avoir enviede s'intéresser plus spécifiquement à lamanière dont les auditeurs internespeuvent améliorer la fiabilité des procé-dures de <RI> et des productions d'in-formations figurant dans un rapportintégré, ainsi que dans les notes destinésà la direction générale et au conseild'administration. Ses membres pour-raient aussi vouloir examiner dansquelle mesure les auditeurs internessont susceptibles de participer à desmissions de certification externes, bienque je reconnaisse que ce type de mis-sion n'est pas possible dans certainesjuridictions. J'en parle, parce qu'une réflexion inté-ressante est actuellement menée autourde cela, et l'accent mis sur la fonctiond'audit interne viendrait la compléter.

5. Quel rôle l'auditeur interne devrait-ildonc jouer dans le processus de rédactiond'un rapport intégré ?

Lorsque je suis allé à Madrid en avril2014, j'ai participé à la Task Force euro-péenne de l'Institut espagnol des audi-teurs internes. Cette réunion ne m'alaissé aucun doute quant à l'impact quela communauté de l'audit interne estsusceptible d'avoir dans la progressionvers le reporting intégré. Étant donnéque l'audit interne a une vision élargiede l'entreprise, une connaissance dessources d'information, des systèmes etdes procédures qui génèrent ces infor-mations, ainsi qu'une connaissance desrisques et des contrôles de l'entreprise,il est parfaitement positionné pour don-ner une vue d'ensemble de la manièredont elle gère ses différents types decapitaux.

L'un des objectifs de la Task Force euro-péenne des auditeurs internes est de« clarifier le rôle de conseil et de certifica-tion des auditeurs internes pendant et aprèsla mise en œuvre des procédures de repor-ting intégré ».

6. Considérez-vous que le reporting intégrépourrait être un catalyseur de changementorganisationnel dans les entreprises quil'adoptent ?

Oui, absolument. Le <RI> peut entraî-ner des changements dans le comporte-ment des entreprises et favoriser uneréflexion intégrée. Les entreprises quiont une approche de reporting intégrétrouvent que cela les aide à faire le lienentre les différentes parties de l'entre-prise et à trouver de meilleuresméthodes pour mesurer, gérer et com-muniquer des informations. Les procé-dures de <RI> peuvent également endire davantage sur les ressources et lesrelations sur lesquelles une entreprises'appuie, et donc donner une meilleurevisibilité des risques et des opportunitésqu'elle peut rencontrer.

Les entreprises qui adoptent le <RI>trouvent aussi qu'il les incite à présenterdes communications qui ne soient passimplement des états financiers par-tiaux, en fournissant aux investisseurs àlong terme de potentiels grands indica-teurs de performance. Par exemple, lasociété de logiciels SAP a créé un gra-phique pour illustrer les rapports entreles indicateurs financiers et non finan-

© ty

- Fot

olia

.com


ciers les plus importants et a étayé lesconclusions avec des études et des cal-culs externes. SAP a rapporté ainsi quepour une entreprise donnée, une modi-fication de 1% de la rétention des sala-riés avait des conséquences de 62 mil-lions d'€ sur ses résultats d'exploitation,ce qui a conduit cette entreprise à s'in-téresser à l'importance de l'engagementdes employés.

7. Avez-vous mis au point des mesures oudes indicateurs qui permettraient aux utili-sateurs du reporting intégré d'établir descomparaisons entre entreprises d'un mêmesecteur ?

L'IIRC a délibérément arrêté la défini-tion du cadre de fonctionnement auniveau des principes ; prescrire desIndicateurs-clés de performance (ICP)normalisés va donc au-delà de ses attri-butions. Les responsables de la prépa-ration et de la présentation du rapportintégré doivent donc faire preuve dejugement, par rapport à la situation spé-cifique de l'entreprise, pour déterminerquels sont les points importants et lamanière dont ils sont divulgués, et dontsont appliqués, le cas échéant, les indi-cateurs généralement reconnus.

L'IIRC cible également un certain nom-bre de secteurs d'activités et crée desréseaux dans les régions, en aidant lesentreprises à entrer en contact et à par-tager des expériences, notamment àéchanger les informations les plus per-tinentes ou les plus importantes pour lesecteur concerné.8. Avez-vous développé des mesures pré-cises permettant de quantifier les biensimmatériels de l'entreprise (créations devaleur, développement social, etc.) ?

Tant que le reporting d'entreprise évo-luera, les mesures et l'interconnectivitédes données et des informations évolue-ront avec lui. L'IIRC apportera tout sonsoutien et agira en tant que catalyseurpour que les méthodologies et lesmesures elles-mêmes évoluent.

9. Qui dans l'entreprise doit être chargé del'établissement d'un rapport intégré ?

Tous les salariés de l'entreprise contri-bueront à la création d'un rapport inté-

gré. Un rapport intégré devra refléter lesobjectifs du conseil d'administration, etinclure une déclaration de la part despersonnes chargées de la gouvernance,déclaration qui devra indiquer qu'ellesassument la responsabilité de la garantied'intégrité du rapport intégré, qu'ellesreconnaissent avoir réfléchi collective-ment à la préparation de ce rapport, etqui livrera leur avis ou conclusion sur laquestion de savoir si le rapport intégréest présenté conformément au cadre defonctionnement. Si le rapport intégré necomporte pas ce type de déclaration, ildevra alors expliquer le rôle que les per-sonnes chargées de la gouvernance ontjoué dans son établissement, et quellesmesures ont été prises pour qu'unedéclaration figure dans un prochain rap-port intégré. Il faudra également men-tionner dans quels délais ces mesuresseront appliquées, sachant qu'ellesdevront l'être au plus tard pour l'établis-sement du troisième rapport intégré del'entreprise.

10. Quelles sont les prochaines étapes duComité International du ReportingIntégré ?

Pour l'IIRC, la prochaine étape consisteà parvenir à un véritable changement enfaisant adopter rapidement le cadre defonctionnement du <RI> au niveauinternational. Le cadre apporte rigueurtechnique et cohésion à un processusqui s'est développé organiquement etpar la pression exercée sur le marché aucours des trois dernières années. Il serautilisé, avec des exemples concrets d'in-novation en matière de reporting et deséléments concernant l'analyse de renta-bilité pour les entreprises et les investis-seurs, pour atteindre un plus grandnombre de sociétés qui cherchent àadopter le <RI> pour la première fois.L'IIRC travaille également avec les orga-nismes de réglementation sur les mar-chés principaux pour créer un environ-nement réglementaire favorisant ledéveloppement du <RI>.Tout en œuvrant pour l'adoption rapidedu cadre de fonctionnement, l'IIRCbénéficiera de l'existence des « innova-teurs en <RI> », un réseau de près de1 000 entreprises dans le monde com-posé de participants au programmepilote de l'IIRC et d'autres intervenants,

pour fournir des exemples de mises enapplication du <RI> de premier plan.

L'IIRC a également créé un grouped'échanges sur le reporting d'entreprise,groupe qui est actuellement constituédes grandes organisations de reportingque sont l'IASB, le FASB, la GRI, le CDPet l'ISO,1 etc. Ce groupe permettra decréer l'espace nécessaire à l'engage-ment, les uns par rapport aux autres, desprincipaux responsables du développe-ment et de la normalisation du cadre defonctionnement, afin d'accroître la coor-dination et la cohérence. Cela garantiraune plus grande fiabilité pour les entre-prises comme pour les investisseurs, etapportera l'élan nécessaire au dévelop-pement de l'innovation en matière dereporting d'entreprise.

Interview réalisée par Javier Faleato, délégué général del’Institut espagnol des auditeurs internes (IIRC).

Article traduit et reproduit avec la permission de l’IIRC.Cette interview a été publiée dans la revue de l’IIRC.

1 IASB : International Accounting StandardsBoardFASB : Financial Accounting Standards BoardGRI : Global Reporting InitiativeCDP : Driving Sustainable economiesISO : Organisation internationale de normalisa-tion

POUR ALLER PLUS LOIN ...Rendez-vous sur le site de l’IIRC :www.theiirc.org

12

IDÉES ET DÉBATS


Le groupe associatif Coallia a étéconstitué en 1962 et comprendaujourd’hui deux SA consolidées

au niveau du groupe. Les 4 pôles d’acti-vités de l’association sont orientés versl'insertion et l’autonomie de personnesvulnérables ou dépendantes. Ces quatrepôles sont l’habitat social adapté, l’hé-bergement social, la promotion socialeet le pôle médico-social.

Depuis sa création, Coallia s’attache àremplir ses missions dans un souci per-manent d’adaptation aux besoins de lasociété (développement du secteurmédical pour les populations vieillis-santes, depuis 2006), d’adéquation avecles problématiques locales (insuffisancede logements sociaux), et d’améliorationconstante des services proposés via unecertification ISO 9001 depuis 1998.

Son activité n’a cessé de croître, alimen-tée à partir de 2006 par une forte crois-sance externe. 220 sites, répartis surl’ensemble du territoire français, totali-sent une capacité d’hébergement glo-bale de plus de 26 000 places (pour uneoffre nationale de 190 000 places répar-ties sur près de 2 300 établissements1) etde 2 200 collaborateurs. Le chiffre d’af-faires annuel généré est de 185 M€ à fin2013.

Cette position a conduit Coallia à unerecherche permanente de professionna-lisation et d’efficacité, qui s’est au débutappuyée sur des bonnes pratiques oraleset l’engagement des collaborateurs. Trèsvite cependant, le besoin s’est fait sentirde renforcer les structures de maîtrise del’activité.

Une croissance externe rapidequi doit être maîtrisée

Bénéficiant d’un rythme de croissanceexterne soutenu, Coallia s’est mise rapi-dement à investir dans des outils lui per-mettant d’améliorer la maîtrise de sesactivités. Trois axes de travail ont étédéployés :• La mise en place d’un système degestion de la qualité : l’axe le plusimportant en termes d’enjeux et deressources allouées, a été initié dès1998, avec à la clé une certificationISO 9001 de l’ensemble des servicesfournis par l’association. Mais, au-delà de cette reconnaissance de laqualité de service rendu, cettedémarche vise à décloisonner desdirections territoriales au fonctionne-

Articulation des fonctionsqualité, gestion des risqueset audit interne

Clarisse Puharré

Chef de service de l’audit et du contrôleinterne, Coallia

Alexandre Velikov

Chargé du déploiement du dispositifde contrôle interne et de gestion desrisques, Coallia

Depuis sa création, en 1962, Coallia a eu à cœur de remplir ses missions avec effi-cacité, tout en renforçant les structures de maîtrise de l’activité. Pour cela, trois axesde travail ont été déployés : la mise en place d’un système de gestion de la qualité,le renforcement des fonctions support, la création de structures de contrôle dédiées.En dépit des freins inévitables, la sensibilité aux risques est désormais un élémentfort de la culture de Coallia.


ment très autonome, et à favoriser lacommunication horizontale entredirections opérationnelles et fonctionssupports. A titre d’exemple, le suivi etle recouvrement des impayés peuventdifférer fortement selon les sites, enfonction de la population accueillie,mais aussi de la sensibilité du mana-gement à cette problématique. Ainsi,le système qualité constitue un com-

plément utile à la cultureessentiellement orale deCoallia, et apporte un bénéficeindiscutable en termes de for-malisation des activités (pro-cédures, modes opératoires,documents type), et donc demaîtrise du risque opération-nel.• Le renforcement des fonc-tions support : il est essentielpour accompagner ce déve-loppement rapide dans uncontexte encore une fois dedécentralisation très forte desactivités opérationnelles. Ontainsi été créées une direction

en charge de la maîtrise d’ouvrageimmobilière, une direction de déve-loppement et des produits, responsa-ble notamment des réponses auxappels à projet et de l’harmonisationdes pratiques professionnelles. Deplus, les fonctions de pilotage del’équilibre financier ont également étérenforcées, avec la mise en place decontrôleurs de gestion opérationnels

rattachés à chaque direction territo-riale.Malgré certaines faiblesses identifiées(support juridique opérationnel à ren-forcer), les fonctions support jouentaujourd’hui efficacement leur rôle decoordination et d’accompagnement,mais expriment un besoin fort d’unecommunication horizontale, facilitéepar le management.

• La mise en place de structures decontrôle dédiées : la pratique ducontrôle n’est pas récente à Coallia(créé en 1995), avec cependant audébut un fonctionnement de type ins-pection générale, prônant la logiquede l’intervention / sanction. Adaptépour une organisation de petite taille,cette pratique a rapidement évoluévers un service d’audit interne plusstructuré (2006), mieux à même decouvrir des activités en fort dévelop-pement. Souvent enfermé à cesdébuts dans son rôle historique, l’au-dit interne prend progressivement lerecul nécessaire à l’exercice de sonrôle structurant. Par ailleurs, Coallia

14

IDÉES ET DÉBATS


vise depuis 2009 à renforcer son dis-positif de contrôle permanent desecond niveau, avec la réalisationd’une première cartographie desrisques et la création là aussi d’unefonction dédiée quelques années plustard.

Grâce au renforcement de ces trois axes(système Qualité, fonctions de supportet de contrôle), Coallia a été en mesurede préserver son équilibre financier ethumain dans un contexte économiquedifficile. Mais l’enjeu a également évo-lué : comment optimiser des structuresde contrôle en manque de synergie ?

Une approche parprocessus pour construireun environnement de contrôlecohérent

La démarche d’identification des princi-paux risques conduite en 2009, si elle n’apas été suivie d’action immédiate, anéanmoins permis d’amorcer uneréflexion structurante sur la nécessité demettre en œuvre un contrôle de secondniveau efficace. Avec comme point dedépart le constat que le référentielQualité (devenu aujourd’hui Système deManagement Intégré), intègre peu à cestade les notions importantes de risqueet de contrôle.

Par ailleurs, d’un point de vue stricte-ment réglementaire, Coallia, en tantqu’association, n’est pas soumise à lacontrainte venant de l’actionnariat, niaux contraintes prudentielles en matièrede contrôle interne comme d’autres sec-teurs d’activité. Et la notion de risque nefait pas explicitement partie de la cultured’entreprise.

Dans ce contexte, la construction ducontrôle interne s’est certes appuyée surles bonnes pratiques et recommanda-tions du COSO, mais adaptées à la cul-

ture d’entreprise, reposant pour unelarge part sur le système de gestion dela qualité.La 1ère étape a été donc de trouver unemaille commune et cohérente entre lesystème de management intégré et ledispositif naissant de contrôle interne.La notion de processus a émergé natu-rellement comme celle permettant deconcilier d’un côté un corpus procéduralriche, mais axé uniquement sur lesaspects opérationnels de l’activité, et del’autre la nécessité de maîtriser cetteactivité, tout en donnant de la visibilité

Processus

Système Qualité MO Documents Processus

Contrôle Interne Risques Contrôle

Efficacité Efficience

Gestion des risques


à la direction générale sur le niveau réelde maîtrise.Progressivement, un référentiel risque aété décliné sur les activités opération-nelles et de support, au travers de com-munications à destination du manage-ment intermédiaire et d’ateliers de tra-vail par processus associant lespersonnels de terrain. Des contrôles,pour la plupart déjà existants, ont été, ousont en cours d’être formalisés pours’assurer de la couverture de chaquerisque identifié.

L’émergence de synergiesentre les fonctions de contrôle

La gestion des risques est destinée àdevenir le socle commun de l’environ-nement de contrôle. Elle a pour objectifde coordonner et de piloter les actionsdes structures de contrôle que sont lesystème Qualité, le contrôle interne, etl’audit interne :

Les rôles de chaque acteur dans le dis-positif de gestion des risques se répar-tissent de la manière suivante :• Le système Qualité, qui intègre dés-

ormais les exigences liées à la sécuritéet santé au travail (SST), documentel'ensemble des processus et gère, enlieu et place des métiers, la base deprocédures et de modes opératoires. Ilapparaît ainsi comme garant de l’in-tégration du contrôle de premierniveau et pilier de la maîtrise durisque opérationnel. En outre, il défi-nit le plan de mission de l'audit qua-lité (contrôle périodique de confor-mité de niveau 3), selon son référen-tiel et en conformité avec les normesISO 9001.

• Le service contrôle interne et ges-tion des risques a pour rôle de défi-nir, conjointement avec les métiers, ledispositif de contrôle (niveau 1 et 2)pour chaque activité. Il lui revient dedocumenter et de tenir à jour lescontrôles permanents (opérationnelset indépendants), c’est-à-dire parexemple le suivi régulier des stocksd’impayés par le gestionnaire de loge-ments, mais aussi à tous les niveauxde management. Il actualise la carto-graphie des risques et fournit à la

direction générale des indicateurs surles principales expositions et leurniveau de couverture par le dispositifde contrôle. Enfin, il suit le déroule-ment des plans d’action destinés autraitement des risques prioritaires.

• L'audit interne intervient de manièrepériodique sur les zones de faiblessesidentifiées ou supposées, dans uneapproche fondée là-encore sur lesrisques et leurs impacts potentiels. Parexemple, l’audit des consommationstéléphoniques récemment réalisé,sans représenter un enjeu financierimmédiat significatif, a rélévé des fai-blesses dans la gestion du matériel etdu contrôle des consommations. Ils'agit ici d’un contrôle périodique de3e niveau visant à évaluer, de manièreglobale, la performance opération-nelle mais aussi l’efficience et l’adé-quation de l’environnement decontrôle et du dispositif de maîtrisedes risques d’une activité.

Cette articulation autour de la notion derisque comporte plusieurs avantages.Elle permet de renforcer la coordinationau niveau des fonctions d’audit interneet d’audit qualité en les dotant d’unebase de référence unique. Elle facilitel’allocation des ressources de contrôleaux processus et activités qui en ont leplus besoin compte tenu des contraintesd’environnement (par exemple, la nou-velle réglementation relative au suivi dela gestion des candidatures dans ledomaine de l’habitat social adapté), oude la stratégie de développement del’entreprise (par exemple, la mise enplace d’une cellule de pilotage desreprises d’établissements dans ledomaine médico-social). Elle donneenfin une meilleure visibilité aux diffé-rents niveaux de management et à ladirection générale sur les menaces queCoallia est susceptible de rencontrerdans la mise en œuvre de sa stratégie.

Du pilotage des risquesau pilotage par les risques

La sensibilité au risque est désormais unélément fort de la culture de Coallia. Leprocessus de décision en tient compte àtous les niveaux de l’association. Cela

s’illustre lors de la tenue des différentscomités. • Le comité des programmes, com-

posé d’une dizaine de personnes (unadministrateur, la direction générale,la direction administrative et finan-cière, le secrétaire général et la direc-tion des programmes), a pour missionde valider la construction immobi-lière. Les décisions d’investissementsont prises à partir de l’examen del’équilibre financier du projet, et d’uneanalyse des risques liés à l’environne-ment et à la population accueillie.

• Le comité informatique, qui a pourmission de définir les priorités du planinformatique de l’association, estcomposé d’une quinzaine de per-sonnes dont le délégué général, unepartie du CODIR et des responsables

Disposant d’une double formationen contrôle de gestion et systèmed’information en France et àl’Université de Worms enAllemagne, Clarisse Puharré acomplété sa formation par un DEAen contrôle de gestion. Elle a exercésa carrière dans les grands cabinetsde conseil et audit en France et àl’étranger pendant une dizained’années puis a intégré le groupeSuez Environnement en tant queresponsable du domaine finance /achat. Aujourd’hui, elle est chef deservice de l’audit et du contrôleinterne chez Coallia.

Après une formation en droit etsystèmes d’information, suivied’une spécialisation en gestion desrisques à l’Université Paris II,Alexandre Velikov a travaillédans le domaine du risk manage-ment opérationnel et de la sécuritédes SI dans le secteur de la banquede détail, puis a contribué audéploiement des nouvelles normesde gouvernance des risques dans lecadre de la réglementationSolvabilité II au sein de la filière« assurance dommages » dugroupe Crédit Agricole. Il estaujourd’hui en charge du déploie-ment du dispositif de contrôleinterne et de gestion des risques ausein de Coallia.

16

IDÉES ET DÉBATS


de service du siège. Les décisionsd’investissement informatique sur lesapplications sont validées de manièrecollégiale, à partir des risques etenjeux opérationnels, financiers etréglementaires identifiés (par exem-ple, une réglementation renforce lesexigences de suivi du processus d’at-tribution de logements).

L’intégration progressive des outils depilotage fondés sur une analyse desrisques conduit à une évolution des pra-tiques professionnelles, jusqu’à présentprincipalement orientées vers l’accom-pagnement et l'action sociale. Dans lesfaits, les opérationnels sont amenés àconsacrer une partie de leur temps ausuivi et au contrôle. La consommationde fluides a été identifiée comme un desprincipaux coûts et de dépassement dubudget de fonctionnement des rési-dences sociales. En conséquence, le suivide ce poste a été renforcé et fait l’objetd’une procédure formalisée. Cette amélioration continue s’est pour-suivie dans la revue de la politiquecontractuelle avec nos partenaires ; l’unedes premières prestations abordées étaitla sécurité incendie, en raison de sonenjeu réglementaire, mais également auvu de son importance d’un point de vuede la continuité de service de nos éta-blissements (accueil de public, établis-

sements médico-sociaux).A ce stade du projet, les résultats sontpositifs : l’approche par les risques sem-ble aujourd’hui bien intégrée par l’en-treprise et son utilité se vérifie au quoti-dien dans les processus opérationnels etdécisionnels. Il serait toutefois prématuré de considé-rer que le dispositif de pilotage par lesrisques est achevé. Il doit en effet encoreêtre complété par des outils de mesureet de surveillance des risques, et notam-ment des indicateurs consolidés à des-tination de la direction. De plus, l’évo-lution des pratiques est inégale dansune structure décentralisée commeCoallia.

Les freins à la démarche

Plusieurs facteurs, qui sont venus freinerla mise en place de la démarche, ont ététraités avec pédagogie :• Le début du projet a été freiné parune organisation en silos et unehiérarchie peu sensibilisée à l’ap-proche par processus. Une commu-nication sur les enjeux de la démarchea été présentée aux membres duCODIR. Cette communication s’estpoursuivie auprès des directeurs ter-ritoriaux, encadrant des équipes de 50à 100 personnes. La conduite duchangement auprès de l’exploitation

s’est concrétisée par sa partici-pation à des ateliers de travail decontrôle interne sur leurs activi-tés.• Les personnels déployés surle terrain sont de formationsociale. Des formationsconcrètes ont été alors mises enplace pour les sensibiliser auxenjeux financiers rattachés àleurs fonctions.• Par ailleurs, concentrée sur sestâches courantes, l’exploitationmanque de disponibilité pourdes sujets loin de de ses préoc-cupations. La logique d’amélio-ration continue est parfois lais-sée au second plan sous la pres-sion des contraintes opération-nelles. Concrètement, la réunionbudgétaire avec les financeursest plus urgente que les réu-

nions de suivi organisées par le siège.Le groupe projet s’est alors adaptépour proposer des réunions en dehorsdu calendrier budgétaire.

• Le seul référentiel connu était celuide la Qualité, valant à l’associationune certification quasi complète àl’ISO 9001. La mise en place d’unréférentiel risques, perçu commevenant se superposer à l’existant, a faitcraindre une surcharge de travail. Là-aussi, une communication adaptée apermis de clarifier l’objectif d’optimi-sation et de simplification visé par ladémarche.

Le groupe de projet a ajusté son rythmede déploiement pour répondre auxcontraintes et inquiétudes du terrain.Le pilotage par les risques génère dessynergies entre les fonctions de contrôleinterne, qualité et audit interne. Cettedémarche n’est pas une contrainteréglementaire, c’est une opportunitépour Coallia, car elle est libre dedéployer un environnement de contrôleadapté à la spécificité de ses activitéssociales et médico-sociales.

Pilotage par les risques Synthèse

Financier

Stratégique

RH

Iden fica on

Système d’informa on

Opéra onnel

Evalua on Ges on

Fréquence

Gra

vité

SMI

Contrôle interne permanent

Ac ons préven ves /correc ves

Maîtrise des risques

Traitement du risque

Audit qualité (conformité)

Contrôle périodique

Audit interne

Assurances

Type de risque

Conformité / JuridiqueMéthode de cota on

Exp. R = G x F

Risques importants Risques prioritaires Tous Risques

1 Source UNAFO, organisation professionnellereprésentative du secteur du logement accom-pagné.


RENCONTRE AVEC ...

L’IFA a enclenché une dynamique quis’est renforcée au fil des ans. Il a falluaffirmer le rôle propre des administra-teurs, notamment par rapport aux diri-geants exécutifs des entreprises lesquelsdisposent, en France, d’organisationsprofessionnelles et de porte-paroleséminents et respectables, au travers enparticulier de l’AFEP, du MEDEF et deschambres de commerce et d’industrie.

L’IFA a réussi à gagner sa légitimité, amontré son utilité, à partir du momentoù l’on s’est situé sur un terrain trèsopérationnel.Sur le terrain des bonnes pratiques pro-fessionnelles du conseil d’administra-tion et du métier d’administrateur, autravers de nos guides pratiques, de nosvade-mecum, de nos conférences, de nosséminaires de formation, de notre certi-fication on peut avoir un apport concret,effectif, pour ceux qui exercent des man-dats d’administrateur, les placer dansune situation d’exercice professionnelde leur mandat.

Louis Vaurs :Vous venez de quitter, DanielLebègue, la présidence de l’IFA (InstitutFrançais des Administrateurs), après l’avoircréé en 2003. Comment l’IFA est-il par-venu, en si peu de temps, à être reconnuaujourd’hui, en France, comme un orga-nisme clé de la gouvernance ?

Daniel Lebègue : Lorsque l’IFA a étéfondé, en 2003, il y avait en France,comme dans d’autres pays en Europe,un besoin d’affirmer l’identité des admi-nistrateurs, leurs missions, leur valeurajoutée, bref, de leur donner une voixdans la gouvernance d’entreprise. Al’époque, les administrateurs n’avaientpas d’association professionnelle ou destructure les représentant et les aidant àaméliorer leur expertise et leurs pra-tiques. Il y avait donc un besoin latent.

Nous avons exploré, approfondi la gou-vernance d’entreprise dans toutes sesdimensions. D’ailleurs, le travail resteconstamment à renouveler, parce que lagouvernance d’entreprise, comme je l’aidit souvent, est une matière humaine,où les évolutions sont permanentes, etnous ne sommes pas au bout de laroute. Il surgit toujours des questionsnouvelles et des thèmes d’action nou-veaux.

Prenez par exemple, dans les deux der-nières années : l’administrateur réfé-rent ; la question de la diversité dans laconstitution des conseils ; les bonnespratiques d’évaluation du conseil, lamise en œuvre du principe comply orexplain ?Ces questions n’existaient pas dans ledébat public sur la gouvernance d’entre-prise il y a 3 ou 4 ans.

L’IFA a su donner envie à des acteursreconnus de la gouvernance d’entre-prise, de s’investir dans une association

Regard d’un professionnelde la gouvernance

Daniel Lebègue

Ancien Président de l’IFA,Président de TransparencyInternational France

En quelques années, l’Institut Français des Administrateurs (IFA) est devenu la voixécoutée des administrateurs dans la gouvernance des entreprises. Daniel Lebègue,son fondateur, évoque dans l’interview qu’il a bien voulu nous accorder quelquesthèmes d’actualité : la soft law plus efficace et responsabilisante que la loi en matièrede gouvernance ; l’administrateur référent très utile dans les sociétés où le présidentdu conseil est également directeur général ; les executive sessions, courantes enAngleterre, et qui pourraient se développer en France ; l’importance de la loi diteGrenelle 2 de l’environnement anticipatrice du reporting intégré ; la nécessaire coo-pération des auditeurs internes et des auditeurs externes…

18

RENCONTRE AVEC ...


D. L. : Le premier niveau du comply orexplain, c’est le contrôle, par les acteurseux-mêmes, des règles ou recomman-dations qu’ils ont édictées. C’est le sensde la création, en 2013, du Haut conseilde la gouvernance qui veille à la bonneapplication du code et des recomman-dations du code.

Le deuxième niveau, en France, estassuré par l’AMF (l’Autorité des Mar-chés Financiers) pour ce qui est dessociétés cotées. La loi a donné missionà l’AMF de veiller à la fiabilité, à la qua-lité de l’information que les sociétéscotées donnent à leurs actionnaires, aumarché et au public.

J’ajoute qu’il y a des domaines dans les-quels seul le législateur peut édicter desrègles. C’est notamment tout ce quitouche au droit des actionnaires, audroit de propriété. Il ne faut pas oublierque le droit de propriété, en France, estun principe constitutionnel.

L. V. : Les entreprises du CAC 40 sontmajoritairement dirigées par un présidentdirecteur général. Ont-elles recours à unadministrateur référent ? Comment coha-bite-t-il avec le PDG ? Comment est-ilperçu par les autres administrateurs ?

D. L. :Quelle est la situation ? Il n’y avaitpas d’administrateur référent dans lessociétés françaises, il y a trois ans. C’estune initiative récente, l’administrateurréférent apparaît pour la première foisdans la version révisée du code de gou-vernance en juin 2013.

Il existait l’équivalent de l’administra-teur référent dans quelques pays étran-gers, dans le code mais pas dans la loi.Le meilleur exemple, évidemment, c’estle Royaume-Uni, avec le Lead Indepen-dant Director. Il y a une dynamique quireste pour l’instant cantonnée auxgrandes sociétés cotées, en France, maisqui va vers la nomination d’un adminis-trateur référent, tout particulièrementdans les sociétés où les fonctions de pré-sident et de directeur général sont exer-cées par la même personne. Les missions qui leur sont imparties et

de place, comme on dit, pour identifier,partager, diffuser les bonnes pratiques.

Et il y a un autre aspect auquel je suistrès attaché : j’ai toujours pensé qu’enmatière de gouvernance d’entreprise,c’étaient les grandes entreprises (parcequ’elles ont les ressources et les moyens,les outils pour le faire) qui créent lemouvement. Mais il est très importantde diffuser les bonnes pratiques de gou-vernance dans beaucoup d’autresfamilles d’entreprises et même d’orga-nisations : les ETI, PME familiales patri-moniales ; le monde mutualiste et coo-pératif ; les entreprises publiques ; etmême les grandes associations, les fon-dations.

Nous avons donc toujours eu cette dou-ble démarche : attirer desacteurs qualifiés, profes-sionnels et reconnuspour faire vivre lecentre de res-sources, le centred’expertise quenous sommes ;et deuxième-ment, diffuser,en les adaptant,ces outils, cesbonnes pratiquesdans des univers diffé-rents. Dans le même temps,on a – avec d’autres – mené enparticulier le combat pour l’ouverture etla diversité des conseils, avec la place quidoit être faite aux femmes, ainsi qu’auxsalariés et salariés actionnaires, maisaussi aux étrangers.

L. V. : En matière de gouvernance, à la loi,vous semblez préférer la soft law. Le codede gouvernement d’entreprise AFEP /MEDEF des sociétés cotées, révisé en juin2013, vous conforte-t-il dans cette préfé-rence ? Et si oui, pourquoi ?

D. L. : C’est une approche qui n’est paspropre à l’IFA, qui est partagée par d’au-tres, les organisations professionnellesd’entrepreneurs, en général, dans tousles pays de l’Union européenne. Tout lemonde pense que la voie de la soft law,

de la recommandation professionnelledes codes de gouvernance est plus effi-cace, tout simplement, que le passagepar la loi ou la réglementation publique.

Alors, pourquoi ? Il y a trois raisonsprincipales, me semble-t-il.

Premièrement, la gouvernance d’en-treprise, c’est un ensemble de relationsentre des acteurs – dirigeants, adminis-trateurs, actionnaires et d’autres – elleporte donc sur des sujets de relationshumaines, de comportement desacteurs. Et il est très difficile de fixer, defiger dans la loi ou dans la réglementa-tion publique des pratiques, des com-portements, et plus encore une éthiquedes acteurs.C’est très difficile parce que, par défini-

tion, la loi est générale, elle estuniforme, elle fige leschoses à un momentdonné, elle ne favo-rise pas l’évolutiondu corpus derègles, debonnes pra-tiques.

Deuxièmement,dans le cadre de la

soft law, la recom-mandation venant des

acteurs, des profession-nels eux-mêmes, est plus res-

ponsabilisante que la règle publique.

Troisièmement, quand on parle de gou-vernance d’entreprise, on ne parle passeulement du CAC 40 ou du SBF 120.On parle de milliers, de dizaines de mil-liers d’entreprises de statuts différents,de tailles différentes. C’est pourquoi il aété créé une soft law pour les petites etmoyennes entreprises.

En bref, la soft law est beaucoup plussouple, plus adaptable à la diversité dessituations, plus évolutive aussi.

L. V. : Il reste cependant un contrôle de lapart des régulateurs. Je pense notamment aurôle que joue l’AMF au niveau du complyor explain.

« La soft law estbeaucoup plus souple,

plus adaptable à la diversitédes situations,

plus évolutive aussi »


les moyens d’action qui sont les leurssont très différents d’une entreprise àl’autre.

L. V. : Il existe dans certains pays, en Angleterre notamment, des réunions desadministrateurs indépendants, juste avantles conseils d’administration, « les execu-tive sessions ». Faudrait-il adopter cettepratique en France ?

D. L. : Dans le code de gouvernance, onouvre la possibilité d’organiser ou derecommander à des conseils la mise enplace des sessions executives. J’ai eu pourma part une bonne expérience de cettepratique et j’ai trouvé que c’était vrai-ment un plus. C’est une évolutionlatente qui pourrait se développer aucours des prochaines années.

L. V. : L’Autorité des marchés britanniques(la FCA) a récemment proposé un voteséparé des actionnaires minoritaires pourl’élection des administrateurs indépen-dants. Que pensez-vous de cette initiative ?

D. L. : Je ne suis pas favorable du tout àcette idée-là.L’idée de segmenter, découper le votedes actionnaires en assemblée générale,selon qu’ils sont minoritaires ou majo-ritaires, me paraît aller à l’encontre duprincipe, d’abord, d’égalité entre action-naires – une action, une voix – et à l’en-contre du principe de collégialité de l’as-semblée générale. Par contre, je ne seraispas opposé à une sorte de doubledécompte : le vote qui compte juridique-ment, c’est le vote de tous les action-naires ; mais on peut regarder aussi cequi se passe si on neutralise le vote duou des majoritaires.

L. V. : La communication financière appa-raît de plus en plus insuffisante pour porterun jugement objectif sur les performancesd’une organisation. L’évaluation des don-nées extra-financières s’avère, à présent,indispensable. Quels sont les enjeux d’unreporting intégré ?

D. L. : Le reporting dit intégré, c’est uneperspective pour demain ou après-demain.

Dans l’immédiat, ce qui s’impose àtoutes les sociétés cotées et à toutes lesgrandes entreprises aux termes de la loi,c’est l’obligation de fournir, à leursactionnaires, à leurs parties prenantes,au public en général, non seulement uneinformation économique et financière,comme elles doivent le faire depuis bienlongtemps, mais une informationsociale, sociétale, environnementale – laRSE – permettant d’apprécier l’impactdes activités de l’entreprise et les perfor-mances qu’elle réalise sur ces différentsregistres : la protection de l’environne-ment, la bonne utilisation des ressourcesde la planète ; la valorisation du capitalhumain ; et le sociétal et territorial, c’est-à-dire l’impact de leurs activités, de leursprojets sur le territoire dans lequel ellesopèrent, le bassin d’emplois, la com-mune, la région, etc.

Cela, maintenant, n’est pas seulementune perspective, comme l’est le reportingintégré, c’est une loi dite Grenelle 2 del’environnement qui a fait l’objet d’undécret d’application, en avril 2012.

Le reporting intégré, c’est d’intégrer dansun même ensemble et rendre comptedans un document commun de l’impactà la fois économique, financier, maisaussi social, environnemental, sociétal.C’est une approche globale de ce qu’estl’entreprise, de son projet stratégique etde ses performances. C’est une perspec-tive très ambitieuse que je trouve per-sonnellement très stimulante mais qui,pour l’instant, n’a pas encore vraimentd’application en France. En effet, onn’est pas encore prêt en termes d’outils,de référentiels, d’indicateurs, demesures d’évaluation. C’est une pers-pective de moyen et de long terme maisil est très important que des sociétés enFrance et ailleurs dans le monde com-mencent à s’y préparer.

L. V. : Fallait-il donner aux commissairesaux comptes, dans le champ RSE, un mono-pole équivalent à celui qu’ils ont dans ledomaine de l’information financière ?

D. L. : La loi a répondu par la négative.Il était difficile, en effet, de donner un

20

RENCONTRE AVEC ...


monopole aux commissaires auxcomptes, ne serait-ce que vis-à-vis desentreprises petites et moyennes… maisje considère pour ma part qu’ils sont lesmieux armés sinon pour délivrer unecertification, du moins pour effectuerune évaluation de ces données extra-financières. Et dans ce cadre là, il pour-rait y avoir un partenariat fructueux avecles auditeurs internes.

L. V. : Pouvez-vous nous dire quelques motssur Ecoda, une organisation que vousconnaissez bien, mais qui, généralement,reste mal connue en France ?

D. L. : Ecoda a été créée juste aprèsl’IFA, en 2004, par trois instituts d’admi-nistrateurs nationaux, britannique, fran-çais et belge. Aujourd’hui, Ecoda réunit15 instituts ou associations profession-nelles d’administrateurs nationaux enEurope. C’est une organisation trèsreprésentative, dans laquelle siègenttous les grands pays.

Ecoda se veut la voix des administra-teurs en Europe, vis-à-vis des institu-tions européennes – la Commission, leParlement – et des nombreux acteursprofessionnels présents à Bruxelles, surtous les sujets qui sont suivis par l’Unioneuropéenne, qui font l’objet de projets,de directives, de recommandations, debonnes pratiques aussi, en matière degouvernance d’entreprise et de droit dessociétés.

Et ces projets sont aujourd’hui trèsnombreux. On peut considérer que lestrois quarts de la matière Gouvernanced’entreprise sont du ressort de l’Europe.

L. V. : Vous êtes le président de Transpa-rency, organe de lutte contre la corruption,contre la fraude, pour l’intégrité de la viepublique. Qu’est-ce qui a été fait, et quereste-t-il à faire dans ce domaine ?

D. L. :Nous considérons, à TransparencyInternational France, avoir beaucoupprogressé au plan des textes et desrègles pour ce qui est de la transparenceet de l’éthique de la vie publique.

Une haute autorité de transparence dela vie publique, dotée d’un statut indé-pendant est dirigée par un ancien hautmagistrat français disposant de tous lesmoyens d’investigation.On a encore, toutefois, des points fai-bles. Pour aller à l’essentiel, la manièredont travaille la justice en France, dansla recherche d’actes ou de faits de cor-ruption et dans leurs sanctions, est àl’évidence infiniment moins efficace quece que font d’autres grands pays. LaFrance est un pays de droit dur où onmène des investigations, pendant sou-vent des années, pour aboutir à dessanctions prononcées très rarement. LesEtats-Unis, le Canada, le Royaume-Uni,l’Allemagne, l’Italie, récemmentl’Espagne ont opté pour une justice ditetransactionnelle dans laquelle le juge, leprocureur négocie avec les dirigeants del’entreprise ou l’agent public qui est misen cause. Il négocie des sanctions finan-cières – des amendes, des dommages etintérêts –, le cas échéant, un plaider cou-pable, une reconnaissance des fautes,des responsabilités.Et surtout, et c’est pour ça que Transpa-rency y est très favorable, le juge, le pro-cureur va négocier, avec l’entreprise,l’adoption d’un dispositif, d’un pro-gramme de conformité destiné à éviterle renouvellement des dérives ou desfautes.

Il y a par contre un autre domaine quiévolue dans la bonne direction, c’estcelui de l’action préventive des entre-prises. Beaucoup d’entre elles, depuisdes années, des décennies, ont des dis-positifs anti-fraude. A Transparency, onaccompagne beaucoup d’entre ellespour intégrer pleinement, dans leur pro-gramme de conformité, stratégie deconformité, un volet anticorruption.

L. V. : Ma toute dernière question porte surles trois lignes de maîtrise, sur le rôle del’audit interne qui doit s’assurer du bonfonctionnement de la deuxième ligne et surcelui des autres acteurs du contrôle interne ?

D. L. : Oui, à l’évidence, il appartient àl’audit interne de veiller au bon fonc-

tionnement de cette deuxième ligne demaîtrise. C’est bien l’objectif qu’il doit sefixer. Mais d’une façon plus générale, ceque je souhaite dire c’est que les admi-nistrateurs, et notamment ceux qui sontmembres de comités d’audit et/ou decomités de risques, ont absolumentbesoin de points d’appui de la part d’ac-teurs professionnels de l’audit, ducontrôle interne, de la gestion desrisques, des professionnels qui sont soitdans l’entreprise – les auditeursinternes, les directeurs de risques, lescompliance officers –, soit qu’ils intervien-nent aux côtés de l’entreprise, commeles auditeurs externes, les commissairesaux comptes.

Si vous privez le conseil d’administra-tion, et en particulier le comité d’audit,de cette source d’informations, de cetapport d’expertise, livré à lui-même, ilest sourd et aveugle parce que, par défi-nition, il n’est pas au contact des opéra-tionnels, de la gestion quotidienne del’entreprise.

J’ajoute que le branchement des audi-teurs internes, des auditeurs externessur le conseil par l’intermédiaire ducomité d’audit, c’est vraiment unedimension fondamentale de la gouver-nance d’entreprise.

Et tout ce que l’on a fait avec l’IFACI,avec la Compagnie nationale des com-missaires aux comptes, depuis delongues années déjà, vise précisément àconforter cette relation de confiance etd’apport d’informations pertinentes,d’expertise, d’outils d’évaluation desauditeurs en direction du comité d’au-dit.

Je me réjouis beaucoup, de voir que lesauditeurs internes et les auditeursexternes ressentent de plus en plus lebesoin, la nécessité de dialoguer et detravailler ensemble.

L. V. : Je vous remercie de votre éclairage surle rôle et les actions de l’IFA pour une meil-leure gouvernance des entreprises.


DOSSIER


L’audit des grands projets pétroliersPierre Tamisier

28

La gestion des grands projets : un enjeu stratégiquepour GDF SUEZXavier Bedoret et Jacques Blein

32

L’audit des projetsGéraldine Sutra

22

Airbus : lorsque la bonne pratique de la gestionde projet devient un levier de la performanceClaire Le Moing

25

22

DOSSIER


Quels sont les enjeuxd’un audit de projet ?

Initiés parfois avec énergie et mobilisa-tion de moult ressources, les projetsfinissent régulièrement par faire l’objetde critiques irritées au sein des entre-prises : budget dépassé, délais non res-pectés, résultats incertains, pilotage flou,responsabilités trop éclatées... Lesreproches ne manquent pas et font par-fois oublier que la gestion de projet estavant tout une gestion habile des écartsentre un déroulé prévisionnel et uneréalité.

Commençons tout d’abord par reveniraux bases : un projet a un caractèreunique avec une date de début et unedate de fin. Ce processus unique secompose d’activités dont l’enchaîne-ment maîtrisé et coordonné permetd’aboutir à un livrable. Ce livrablerépond à un besoin préalablement iden-tifié dont la réalisation est encadrée pardes contraintes budgétaires et calen-daires.La notion de projet est donc large etpeut viser des projets de travaux(construction d’un bâtiment...), des pro-jets internes (déménagement d’un site,déploiement d’un nouvel outil informa-tique...), ou des projets d’affaire (acqui-

sition d’un nouvel établissement, miseen place d’une joint venture...).

D’un point de vue managérial, la gestionde projet obéit aussi à une logique spé-cifique : le pilotage du projet est biensouvent distinct des liens hiérarchiquesusuels prévus par les organigrammes.Le chef de projet doit avant toute chosemettre en place une logique de mana-gement transversal, de coopération et decoordination d’acteurs, indépendam-ment de tout lien hiérarchique. Celaimplique de communiquer la bonneinformation, au bon moment, à la bonnepersonne. Dans cet environnement,dont l’analyse concourt à se faire uneopinion sur ce qui relève de l’environ-nement général de contrôle, les écueilspeuvent déjà être multiples.

Que doit-on auditer ? Quelssont les risques à couvrir ?

L’identification des risques et la criticitéva bien évidemment dépendre de lanature et de l’ampleur du projet audité.Toutefois, certains thèmes sont récur-rents quel que soit l’objet du projet, etl’auditeur aura un intérêt indéniable às’interroger préalablement sur ces der-niers pour l’aider à déterminer les objec-tifs de son audit.

Les projets font souvent l’objet de critiques irritées au sein des entreprises : budgetdépassé, délais non respectés, résultats incertains, pilotage flou, responsabilités tropéclatées... Les audits de projet permettent d’identifier les bonnes pratiques, de tra-quer les dérives et concourent à l’optimisation du pilotage des projets. Focus sur lespoints clefs de cet audit spécifique.

Géraldine Sutra

Présidente, Strat&Risk

L’audit des projets

Présidente de Strat&Risk, cabinetd’audit et de risk management,Géraldine Sutra est diplôméed’HEC, d’un DEA en droit et certifiéeen risk management.Précédemment risk managerd’Aéroports de Paris, elle a soutenuen 2012 une thèse professionnelleà HEC sur la complémentarité desoutils du risk management et de lastratégie, qui a obtenu les félicita-tions du jury. Elle est formatriceIFACI.

23

Grands projets : rôles et missions de l’audit interne

sept./oct. 2014 - Audit & Contrôle internes n°221

Le projet répond-il au besoin initial ?

Il est troublant de constater que parfoisles dérapages reprochés à un projettrouvent leurs sources dans une expres-sion de besoin insuffisamment réfléchieou mal libellée en amont. Parce qu’il yavait soit sentiment d’urgence, soitimpression de consensus général, lesétapes préliminaires au lancement duprojet ont été accélérées et au final nonrespectées. L’expression de besoin a étéraccourcie à son strict minimum et lesprotagonistes sont passés directementdu problème à la solution. Solution, quiau final n’est pas pleinement satisfai-sante et donne lieu à de multiples adap-tations, critiques, et donc retards du pro-jet.Pourtant, entre la phase d’identificationdu besoin et la phase de réalisation duprojet, d’autres phases ont leur raisond’être. Rappelons que la Demanded’Opportunité (DO), qui prend acte dubesoin, a vocation à approfondir l’op-portunité et le contenu de ce besoin ;elle s’interroge aussi sur les différentesautres alternatives possibles : y aurait-ild’autres moyens de répondre à cebesoin ? Ce n’est qu’une fois la questiontranchée que le contenu du projet peutcontinuer à prendre forme, en formali-sant la Demande d’Etudes (DE) quifixera le programme fonctionnel. La

Dépense Autorisée (DA) n’arrive qu’auterme de ces réflexions dont l’enchaîne-ment a permis de maturer le projet enprécisant mieux le besoin, le périmètredu projet ainsi que ses objectifs budgé-taires, calendaires et qualitatifs à attein-dre.

Cette vision construite et partagée per-met en principe de mieux encadrer lesfutures demandes de modification d’unprojet et évite par exemple, de passerd’un projet de renouvellement demachines à un projet plus général deréaménagement de l’ensemble de lazone en plus du renouvellement.

C’est aussi à cette occasion que l’audi-teur peut être amené à s’interroger surla nature des critères financiers de ren-tabilité retenue : retenir la VAN (valeuractuelle nette), le TRI (taux de rende-ment interne), le ROI (retour sur inves-tissement), le TRE (taux de retour éner-gétique)... pour apprécier la rentabilitéde l’investissement n’illustre pas de lamême manière les facteurs de risquesdu projet.

Les rôles au sein du projet sont-ilssuffisamment clairement répartis ?

La difficulté de cette répartition desrôles et des responsabilités apparaît

généralement en cours de projet. Si audémarrage du projet, le « qui fait quoi »et la répartition entre la maîtrise d’ou-vrage, l’assistance à la maîtrise d’ou-vrage, la maîtrise d’œuvre – ou assimi-lés – est relativement claire, la com-plexité s’accroît progressivement pourles projets sur du long terme ou pour lesprojets ayant connu des modificationsd’équipe en cours. Les calages d’origines’en trouvent bouleversés ; la réalitéopérationnelle rendant bien souvent lespérimètres des uns et des autres « flot-tants » : la répartition des rôles et desresponsabilités peut s’avérer avec letemps éloignée des principes de base.Dans le meilleur des cas il en résulte desinterventions multiples sur un mêmesujet pouvant aboutir à une certainecacophonie ; dans le pire des cas ce sontdes no man’s land dont la gestion retar-dée peut s’en trouver explosive.

Le projet est-il bien décomposéet jalonné ?

Quand les projets dépassent une cer-taine ampleur, que ce soit en termesbudgétaires ou en termes calendaires,« l’effet tunnel » constitue une menacebien réelle. Les intervenants à un projetd’ampleur sont divers, souvent en inter-dépendance d’interventions. Il est clairque si le chef de projet ne dispose pasd’un phasage du projet, il lui sera diffi-cile de faire partager une vision d’en-semble et d’emmener à terme tous lesacteurs vers l’atteinte des objectifs assi-gnés.

Première bonne pratique de la gestionde projet : avoir une décomposition enphases et en tâches du projet. Cettedécomposition, qui correspond à unWBS (Work Breakdown Structure) ou audiagramme de Gant, décompose lesprincipales phases du projet par les-quelles il convient de passer pour abou-tir au livrable final. Ces phases sontensuite décomposées en tâches. Ce rai-sonnement présente l’avantage destructurer l’avancement du projet etd’identifier ses besoins en ressourcespour mieux coordonner les interven-tions. L’auditeur retrouvera là sesréflexes de décomposition des tâchescomme il peut d’ailleurs le faire pourl’écriture d’un processus. L’enjeu étant

Exemple de WBS

24

DOSSIER


de trouver le bon niveau de granularitéde la décomposition pour être adapté àla taille du projet.Certains outils peuvent permettred’identifier des flux d’intervention opti-misés des ressources. Sans aller jusqu’àce niveau, le chef de projet doit aminima disposer et maintenir à jourcette vision décomposée du projet. Deuxième bonne pratique : jalonnerson projet. Cette deuxième bonne pra-tique est naturellement complémentaireà la première. Il s’agit d’associer lesphases du projet à des passages dejalons auxquels correspondent des livra-bles intermédiaires du projet. Le pas-sage au jalon suivant ne peut avoir lieuque si le jalon précédent est validé. Celapermet de recentrer les acteurs autourde points essentiels à l’avancement duprojet et permet, en principe, d’éviter ladécouverte tardive de problèmes struc-turants obligeant à une reprise desphases précédentes.

Comment sont gérés les écartsavec le prévisionnel ?

La subtilité de la gestion de projet appa-raît dans les modalités de gestion desécarts. La complexité de l’objet de cer-tains projets – surtout lorsqu’ils intè-grent un caractère innovant –, leurdurée, la multiplicité des intervenants,les évolutions réglementaires, les chan-gements de parties prenantes... rendentinévitables des ajustements de plus oumoins grande importance en cours deprojet.

Si l’analyse de l’origine de l’écart peutêtre intéressante à regarder, l’auditeurne devra pas perdre de vue que c’est lafaçon dont l’écart est géré qui est essen-tielle.

Par exemple, y a t-il eu des indicateursqui ont permis d’alerter sur la surve-nance de ces écarts ? L’information est-elle remontée au bon moment, à labonne personne ? De quelles façons cesécarts ont-ils été gérés ? On retrouve icil’importance des rôles et des responsa-bilités telle qu’évoquée précédemmentdans cet article. Tous les écarts ne doi-vent pas remonter à la maîtrise d’ou-vrage ; à l’inverse, cette dernière doitêtre impliquée quand ses objectifs bud-gétaires, calendaires ou quantitatifs sontsusceptibles d’être impactés par desarbitrages.

Enfin, pour anticiper la gestion de cesécarts, les chefs de projet doivent iden-tifier et suivre les risques de leurs pro-jets. Là aussi, le challenge portera sur lebon niveau de granularité de l’analyse.Cette gestion des risques du projet doitreprendre les principes généraux etbonnes pratiques de la gestion desrisques, dont notamment la hiérarchisa-tion des risques après leur identification,la détermination de plans d’actions pourles risques dont la décision est prise deles traiter, ainsi que la mise à jour régu-lière de ces éléments.

Toutefois, il convient de rester prudentsur les outils automatisés de quantifica-

tion des risques, dont on oublie parfoistrop souvent que les résultats sont issusd’appréciations subjectives. Leur mau-vaise utilisation peut contribuer à don-ner une « assurance raisonnable » nonconforme à la réalité.

Quand doit-on réaliserun audit de projet ?

La réponse dépend évidemment desbesoins du client. Un audit en cours deprojet permettra de mettre en valeur lesbonnes pratiques du projet, mais ausside rectifier le tir en mettant l’accent surdes dérapages progressifs qu’il convientde vite corriger, ou à défaut de limiter lesimpacts, par des plans d’actions adé-quats.

A l’inverse, un audit sur un projet ter-miné présente aussi un intérêt entermes de capitalisation au sein de l’en-treprise, d’intelligence collective parta-gée. Dans ce dernier cas, il peut êtreintéressant d’orienter l’audit sur lesmodalités de la conduite du projet etd’avoir un périmètre élargi à plusieursprojets : par l’identification des forces etdes faiblesses de ces projets, ce sont lesautres projets en cours qui s’en trouventenrichis. Dans cette perspective, l’auditconcourt à la dimension pédagogiquede partages des bonnes pratiques etd’encouragement des démarchesd’amélioration.

Diagramme de Gant – Source : FIT IFACI

25



La gestion de projet :une discipline reconnueet valorisée dans le groupe

Airbus Group a dans son histoire, etparticulièrement ces dernières années,livré des programmes de grandeampleur dont certains font partie de lamémoire collective. Parmi ceux-là, citonsl’A380, l’A400M, l’Eurofighter, les héli-coptères Tigre, SuperPuma, dans le spa-tial, les lanceurs Ariane. Et dernière-ment, le 1er vol de l’A350, le 14 Juin 2013,marque la naissance du dernier avioncommercial. Actuellement, ce sont plu-sieurs centaines de projets et pro-grammes qui sont en cours de dévelop-pement et leur exécution dans le respectdes critères de coût, calendrier et qualitéest une priorité majeure pour le groupe,car de leur succès dépend l’image et larentabilité du groupe.

En 2009, Airbus Group a lancé une ini-tiative majeure d’amélioration de sesprocessus de gestion de projet, et dedéveloppement des compétences. Outrel’élaboration d’un référentiel commun àl’ensemble des divisions qui s’appuiesur le standard international Programme

Management Institute (PMI), le groupe detravail s’est assuré du déploiement deces bonnes pratiques grâce à la mise enplace d’outils et par la mobilisation del’ensemble de la communauté des chefsde projet. Les projets ont été catégorisésselon leur complexité, taille et criticité,l’objectif étant d’adapter le cadre d’exé-cution à la dimension du projet.L’investissement et l’exigence doiventêtre à la mesure de l’enjeu. Toutefois, lesmeilleures politiques et procédures nesont d’aucune utilité si elles ne sont pasmises en œuvre par des personnes com-pétentes. Le deuxième volet a donc étéla formation des équipes projets et lamise en place d’un processus de certifi-cation – interne – des chefs de projetspour garantir que les compétences etexpériences acquises sont en adéquationavec les exigences nécessaires au pilo-tage de leur projet.

L’audit de programme :un axe majeur de l’auditinterne au service de l’exécutif

Dans ce contexte, l’audit de programmeest un axe majeur de l’audit interne, etreprésente environ un tiers des audits

Chez Airbus, l’ampleur des programmes est à la mesure des enjeux. Le déploiementdes bonnes pratiques nécessite la mise en place d’outils et la mobilisation de la com-munauté des chefs de projet. L’audit des programmes constitue un axe majeur del’audit interne qui doit s’assurer que les fondamentaux sont en place et que les objec-tifs sont conformes aux exigences des parties prenantes.

Claire Le Moing

Chef du groupe audit Programme etOpérations, Airbus Group

Airbus : lorsque la bonnepratique de la gestionde projet devient un levierde la performance

Certifiée Project ManagementProfessional (PMP) par le ProjectManagement Institute en 2008,Claire Le Moing a exercé des fonc-tions de chef de programme dansla division Defense & Space dugroupe Airbus dont deux années àAbu Dhabi. Elle a rejoint le départe-ment Corporate Audit en 2011.

26

DOSSIER


réalisés. Il couvre toutes les divisions(Airbus, Helicopter, Defense & Space) etconcerne principalement les grands pro-grammes de développement ou d’amé-lioration dans les fonctions programmeet support (informatique, qualité,achats…). Les audits sont réalisés à lademande d’un membre du comité exé-cutif d’Airbus Group et suivant les cir-constances peuvent être de véritables

outils d’aide à la décision. Ils permettentde vérifier, d’une part, que les bonnespratiques de gestion de projet sont bienappliquées, et, d’autre part, que lesobjectifs du programme sont sécuriséset en ligne avec les engagements ini-tiaux. Dans le cas contraire, les risqueset dysfonctionnements doivent êtreidentifiés ainsi que les recommanda-tions concrètes pour y remédier.

Un audit qui s’adapte aucontexte du programme

Avant le lancement officiel d’un projet,l’audit vérifie que les fondamentauxsont en place en termes d’organisation,de ressources et d’outils mais aussi queles objectifs financiers et calendairessont correctement estimés et conformesaux exigences des parties prenantes. Ildoit ainsi y avoir une parfaite cohérenceentre les hypothèses du projet, lalogique de développement, l’évaluationdes coûts et du planning, et les risquesidentifiés. Si tel n’est pas le cas, la déci-sion peut être de surseoir au lancementdu programme en attendant que lesactions correctives soient menées, car lesuccès d’un programme se joue dès laphase de préparation.

Une fois le programme lancé, tout ne sepasse pas forcément comme prévu, avec

comme conséquence du retard et dessurcoûts. L’audit peut alors intervenirpour en analyser les causes (« root causeanalysis ») et s’assurer que le plan d’ac-tions mis en œuvre par l’équipe pro-gramme traite bien les problèmes ren-contrés – causes et impacts – et permetde remettre le programme sur les rails.Il est important aussi de tirer les leçonsdu passé et capitaliser sur l’expérienceacquise pour éviter de tomber dans lesmêmes écueils. Cet exercice est forma-lisé dans les « Lessons learnt » auxquelsl’audit contribue.

Enfin, certains programmes exigent unsuivi régulier, car étroitement liés àl’image et aux engagements du groupe(ex : A350). Dans ce cas, juste avant laclôture des comptes et la divulgationd’information au marché, l’audit met enplace une task force et réalise, dans uncourt laps de temps, une revue assezpoussée de l’avancement du pro-gramme ; l’objectif étant de donner uneestimation objective des jalons clés duprogramme dans une fenêtre de 18 moisenviron avec les risques associés.

De l’importancedu plan d’amélioration

Les audits ne se terminent pas à laremise du rapport. Chacune des obser-

A350-900 Singapore Airlines

Cockpit A350

27



vations fait l’objet d’un plan d’actionsagréé avec la division. S’ensuit un pro-cessus formel de suivi de ces recom-mandations où seul l’audit est habilité àvalider les actions selon les informationset preuves fournis par les responsables.Le but est de s’assurer que les risques oufaiblesses identifiés sont réduits et per-mettent bien d’atteindre les objectifsannoncés. Tous les trimestres, uncompte-rendu résumant les actions encours et en retard est envoyé au topmanagement. L’audit est clos lorsquetoutes les actions ont été menées.

La gestion des risques :une composante essentiellede l’audit de programme

Dans tous les cas, une partie de l’auditest consacrée à la gestion des risques etdes opportuni-tés. Un pro-gramme reposesur des hypo-thèses qui peu-vent s’avérerinexactes ; il estégalement sou-mis à des aléasqui sont autantde problèmesqui peuvent sur-venir et le fairedévier de ses objectifs. Ces risques inhé-rents à la vie d’un programme doiventdonc être suivis très attentivement cars’ils sont considérés comme inévitables,ne pas les maîtriser est une faute. Airbusa mis ces dernières années un focus par-ticulier sur le processus de gestion desrisques avec des procédures, des outilset des formations cascadés dans toutesles organisations du groupe et en pre-

mier lieu dans les équipesprojet. L’audit ne se bornepas à vérifier que les procé-dures sont appliquées,mais, de façon très opéra-tionnelle, que la dyna-mique de suivi des risqueset des plans d’actions per-met de les anticiper etdiminuer leur impact. Ilfaut également s’assurerque l’enveloppe budgé-taire, destinée à financerles plans d’actions et la

matérialisation de certains de cesrisques, est cohérente et évolue avec leniveau des risques identifiés.

Un aléa peut aussi avoir un impact posi-tif sur le programme, il devient uneopportunité. Si la gestion des risques faitmaintenant partie de la culture de l’en-treprise, cela n’est pas encore tout à faitle cas pour les opportunités. Elles sontsouvent identifiées mais pas toujoursbien exploitées, bien qu’impactant trèsdirectement les objectifs financiers.L’audit rappelle alors les bonnes pra-tiques attendues dans ce domaine.

La flexibilité,facteur d’efficacité

La durée standard d’un audit est de 9semaines divisée en 3 phases équiva-

lentes : prépa-ration, réalisa-tion des testset écriture durapport. Cette

durée est ajustée en fonction de la com-plexité de l’audit ou d’une échéanceimposée par le management ou l’envi-ronnement externe. Le nombre et l’ex-pertise des auditeurs sont définis enconséquence, mais la qualité premièred’un auditeur est la flexibilité car ce quifait la valeur ajoutée d’un audit de pro-gramme, outre son contenu, c’est letiming. Délivré trop tôt, il ne rend pasbien compte des risques majeurs encou-rus car les phases critiques sont tropéloignées ; réalisé trop tard le délai nepermet pas de corriger les déviations, aupire il ne fait que constater les pro-blèmes survenus. C’est pourquoi, il estprimordial, une fois le plan d’auditsdéfini en fin d’année, de contacter leschefs de programme pour convenir aveceux de la période d’audit la plus appro-priée en fonction de l’avancement duprogramme.

De l’identification des risquesau partage des bonnespratiques

L’audit est une fonction transverse dontle champ d’application s’étend à l’en-semble du groupe et de ses filiales. Cetteposition privilégiée lui permet d’avoirune compréhension et une visibilité despratiques de la gestion de projet dans lesdiverses divisions et organisations. Sonrôle est alors d’identifier les meilleurespratiques (« best practices ») et de lescommuniquer, favorisant ainsi l’échangeet le savoir-faire entre différentes orga-nisations. L'audit devient alors un vec-teur de l’amélioration continu.

Gaia

EC130

A400M

28

DOSSIER


Le contexte

Découvrir et produire des hydrocar-bures, les transformer, ainsi que d’autresressources naturelles (solaire, biomasse),pour fournir des produits et des servicesdans le domaine de l’énergie à nosclients partout dans le monde : tel est lemétier de Total. Les investissementsorganiques de Total ont atteint en 2013un pic de 21,3 milliards d’euros. Un trèsgrand projet pétrolier dans le domainede l’exploration-production peut repré-senter un engagement de plusieursdizaines de milliards d’euros avec unretour sur les capitaux investis pouvants’étaler sur plusieurs dizaines d’années,dans des contextes de plus en plus com-plexes, contraints et chargés d’incerti-tudes. La maîtrise des risques est doncfondamentale. L’audit interne apportedans ce domaine un complément indis-pensable aux nombreux dispositifs decontrôle et d’audits techniques ou spé-cifiques déjà en place.

La capacité d’intervention de l’auditinterne reste cependant conditionnéepar l’organisation retenue pour un pro-jet donné. L’activité pétrolière est eneffet tellement consommatrice de capi-

taux que les grands projets de l’explora-tion-production ne peuvent être portéspar une seule société. La plupart dutemps, plusieurs compagnies fondentune structure ad-hoc, qui peut-être soitune société créée spécifiquement pourmettre en œuvre le projet, soit une asso-ciation dont les termes de référence sontdéfinis entre les parties, mais qui n’a pasde personnalité juridique. Dans le pre-mier cas, les droits d’audit sont définisdans le contrat de création de la sociétécommune et les audits sont le plus sou-vent menés de manière conjointe avecles autres parties au contrat. Dans lesecond cas, le contrat d’association signépar les parties au contrat désigne l’unedes sociétés comme étant opératricepour le compte des autres. Pour lesautres partenaires de l’association, lesdroits d’audit se limitent alors à la véri-fication de l’allocation des coûts du pro-jet et au respect du fonctionnement del’association.

Il résulte de ces modes d’organisationdes projets pétroliers que, sauf cas par-ticuliers, la capacité de conduire demanière autonome une mission d’auditinterne (portant sur une évaluation glo-bale du contrôle interne) au sein d’un

C’est en dizaines de milliards d’euros que se chiffrent certains projets pétroliers, etce, dans des contextes et des environnements de plus en plus complexes et incer-tains. C’est pourquoi les audits de projets sont des missions réservées à des auditeursseniors, assistés d’un ingénieur de projet détaché des équipes techniques. L’audit deprojet est, pour les auditeurs, l’occasion de voir de près la mise en œuvre concrètedes bonnes pratiques de contrôle avec, à la fois, un niveau de détail et une visionglobale.

Pierre Tamisier, Directeur audit groupe - holding, direction du contrôle interne et de l'audit groupe, Total

L’audit des grands projetspétroliers

Pierre Tamisier a commencé sacarrière en entreprise en 1979, auxAGF (Assurances Générales deFrance), comme chargé de recrute-ment. Entré dans le groupe Total en1982 (à la Compagnie Françaisedes Pétroles), il a travaillé 12 ansdans les ressources humaines, suc-cessivement comme responsablede recrutement, gestion prévision-nelle, développement et forma-tion ; puis 12 ans au développe-ment de la fonction achats, princi-palement dans le domaine desprestations intellectuelles, ainsiqu’à la négociation de grandscontrats pour l’informatique, aumoment de la fusion des groupesTotal, Fina et Elf. Début 2006, il a rejoint l’auditinterne, dans un premier tempscomme auditeur, puis dans safonction actuelle aujourd’hui élar-gie au développement de la ges-tion des risques de niveau groupe.

29



projet dépend surtout du fait d’être oude ne pas être opérateur. Par consé-quent, pour simplifier, nous ne traite-rons ici que des projets opérés.

Le référentiel

Du point de vue du contrôle interne desprojets, au sens général de maîtrise desrisques et des activités, Total s’est dotéde longue date d’un dispositif très struc-turé, fondé sur :• des directives internes portant surl’organisation et le management desprojets, depuis les processus de vali-dation et d’approbation initialejusqu’à la mise en production ;

• un référentiel de spécifications tech-niques très complet et continuelle-ment mis à jour ;

• de nombreux audits organisés par dif-férents métiers, tant techniques quefonctionnels, qui permettent notam-ment d’assurer le respect des stan-dards techniques et de sécurité, ainsique le contrôle des plannings et descoûts qui sont des points essentielsdans la mise en œuvre d’un projet.

Parmi les nombreux documents spéci-fiés dans les directives internes, certainssont très utiles pour la conduite des mis-sions d’audit, en particulier le registredes risques (cartographie des risquesspécifiques du projet), le plan d’assu-rance qualité et bien entendu le pland’exécution du projet. Ces documentssont à la base du travail de préparationd’une mission d’audit interne.

La mise en œuvre des audits

L’audit interne intervient le plus souventdans le courant de la première année,une fois la décision finale d’investisse-ment prononcée par le comité exécutif.Cette intervention au démarrage permetla prise en compte effective des recom-mandations de l’audit dans l’organisa-tion du projet. L’audit interne peut aussiintervenir une seconde fois, en généralquelques années plus tard, avant la miseen production. Il s’agit alors de s’assurerque les litiges associés à la constructionsont clos et documentés, que les retoursd’expérience sont formalisés et, d’unemanière générale, que l’ensemble duprojet (en particulier les changementsapportés au plan d’exécution initial) estsérieusement documenté.

Schéma de développement du champ offshore en eaux profondes d'Akpo, au large du Nigeria

© D

ON

NO

T JE

AN-P

ASCA

L - T

OTA

L

30

DOSSIER


La contrainte majeure des audits de pro-jets, qui pourrait constituer pour lesauditeurs un risque de ne pas atteindreleurs objectifs, est celle de la dispersiondes équipes. Beaucoup de parties pre-nantes (entreprises contractantes) setrouvent localisées dans différents pays,parfois lointains, ce qui impose de nom-breux déplacements et par conséquentune planification et une organisationlogistique (vols, visas, autorisationsdiverses) des plus rigoureuses.

Les audits de projets sont des missionscomplexes, réservées à des auditeursseniors, dont les compétences enmatière d’audit interne doivent permet-tre de distinguer sans ambigüité ce quirelève de leur mission d’auditeur interneet ce qui relève des audits techniques ou

fonctionnels menés par ailleurs. Pourune meilleure efficacité, nous intégronsaujourd’hui systématiquement auxéquipes d’auditeurs internes un ingé-nieur de projet détaché des équipestechniques (indépendantes de l’organi-sation du projet audité) dont le rôle estnotamment d’aider à la bonne compré-hension des enjeux du projet, ce qui per-met d’être plus efficace dans l’organisa-tion de la mission.

Les thèmes à couvrir

Les audits de projets reprennent la plu-part des grands thèmes des missionsd’audit classiques et la méthodologiemise en œuvre n’est pas différente. Lesauditeurs fondent leur programme detravail sur une analyse des risques, faci-

litée par l’existence d’un registre desrisques et l’assistance de l’ingénieur deprojet détaché. Ils s’assurent par destests de la mise en œuvre effective duréférentiel des projets qui est très précissur l’intégration des dispositifs decontrôle clés. Ils vérifient que les outilsinformatiques de gestion de la filialedéclinent bien, par construction doncdès l’origine, les exigences du référen-tiel.

Il existe cependant quelques thèmesplus spécifiques aux audits de projets ou,quand ils ne sont pas spécifiques, quinécessitent une attention particulière.

L’analyse du dossier initial du projet(éléments présentés au comité desrisques puis au comité exécutif, ainsi que

Shams : 260 000 miroirs sur un terrain de 250 hectares. La plus grande centrale solaire concentrée du monde à Madinat Zayed,environ 120 kilomètres au sud ouest d'Abou Dhabi aux Emirats Arabes Unis.

© E

MO

TIO

N -

TOTA

L

31



les relevés de décisions) doit permettrede vérifier le respect des procéduresd’approbation et le respect a posteriorides décisions prises, notamment enmatière de stratégie contractuelle.

Le reporting doit être en place et surtoutcohérent entre les différentes entreprisescontractantes.

Les interfaces entre les diverses partiesprenantes du projet doivent être opéra-tionnelles. Il convient en particulier queles échanges d’informations entre lesentreprises contractantes soient effectifset formels afin d’éviter que des décisionssoient prises par l’une en méconnais-sance des autres.

Le processus de gestion des change-ments spécifié dans les directivesinternes doit êtrerespecté stricte-ment, avec desvalidations for-melles signéespar des per-sonnes habilitéespar des déléga-tions de pou-voirs.

L’utilisation desressources dansle cadre de lagestion des aléasdu projet doitêtre encadréestrictement.

Au-delà de la gestion du projet propre-ment dite, les thèmes d’audit à fortsenjeux méritent une attention particu-lière dans le cadre des projets :• le respect des règles en matière desécurité des opérations et de protec-tion des personnes (notamment lamise en œuvre des formations HSEobligatoires) ;

• le respect des principes éthiques fon-damentaux (intégrité, droits del’homme et conformité) ;

• le respect de nos engagements envi-ronnementaux et sociétaux. Les audi-teurs s’assurent en particulier de l’ef-ficacité des dispositifs de pilotage dela mise en œuvre de nos engagements

vis-à-vis des parties prenantes locales(états hôtes, entreprises et commu-nautés locales).

L’intérêt de tous

Au-delà des grandes instances de gou-vernance, comité exécutif et comitéd’audit, les audits de projet ont deux« clients » immédiats : le directeur deprojet lui-même et le coordinateur desprojets qui rapporte au directeur dudéveloppement. Les missions d’auditinterne leur permettent de savoir si toutest organisé comme spécifié dans lesréférentiels et si des interventions sontnécessaires pour corriger des élémentsqui pourraient conduire à la réalisationde certains risques, y compris le manqued’efficience. Les enjeux des grands pro-jets sont tels aujourd’hui qu’à tous les

niveaux de l’organisation, il existe uneforte attente et une demande d’assu-rance sur la maîtrise des risques, dont lerespect des délais et des budgets, et surl’optimisation des coûts.

Pour l’audit interne, les audits de projetssont une occasion de montrer le liendirect qui existe entre les dispositifs decontrôle, qui permettent de maîtriser lesrisques, et la création de valeur.

Quant aux auditeurs, un audit de projetest pour eux une occasion rare de voirde près la mise en œuvre concrète desbonnes pratiques de contrôle des grandsprojets, avec un niveau de détail etsimultanément une vision globale quine sont le plus souvent accessiblesqu’aux plus hautes responsabilités demanagement. L’exercice, même s’il n’estpas dénué de challenge, peut aussiconstituer une opportunité de faireremarquer des capacités personnelles àappréhender de manière structurée desquestions complexes à forts enjeux, et àémettre des recommandations fondéessur des analyses causales pertinentes etporteuses d’une valeur ajoutée qui n’estpas contestable.

Usine de liquéfaction Yemen LNG à Balhaf, Yémen.

© G

ON

ZALE

Z TH

IERR

Y - T

OTA

L

© G

ON

ZALE

Z TH

IERR

Y - T

OTA

L

Projet GirRiWest Gemini (Seadrill).

32

DOSSIER


Dans un environnement énergé-tique en forte mutation, GDFSUEZ a décidé d’accélérer sa

stratégie de croissance.Plusieurs tendances structurantes dumonde de l’énergie se dégagent : lacroissance de la demande en énergieviendra principalement de pays autresque ceux de l’OCDE ; la préoccupationenvironnementale augmente dans lemonde ; l’amélioration de l’efficacité

énergétique est une réalité mondiale ; lerôle du gaz dans le mix énergétique,avec 250 ans de réserves, est renforcé ;et enfin, l’avenir du charbon, qui pour-rait être la première énergie primairedans le monde après 2020, est incertain.Tant en Europe que dans les pays à fortecroissance, les besoins en production,transport, stockage et distributiond’énergie sont considérables. Plus d’unevingtaine de projets importants sont

actuellement gérés par le groupe surtous les continents avec des mises enservice étalées sur les prochainesannées.

La stratégie de GDF SUEZ est soutenuepar des investissements de croissance(hors capex de maintenance) de l’ordrede 7 milliards € par an pendant lapériode 2014-2016, dont environ 4,5milliards € sous la forme de projetsgreenfield. La capacité de GDF SUEZ àconcevoir et à gérer des grands projetscréateurs de valeur est, dès lors, un vec-teur important de la croissance dugroupe.

Le grand projet : une activitéindustrielle particulière

Au sein de GDF SUEZ, le cycle de vied’un projet comprend trois étapes: (1) ledéveloppement du projet, qui est clospar la décision du comité d’investisse-ment, (2) l’exécution du chantier, qui estclos par le commissionnement, et enfin(3) la mise en exploitation. La gestion dechaque étape est fondamentale ; la qua-lité du passage d’une étape à l’autre estégalement essentielle.

Deux facteurs-clés de la réussite d’ungrand projet interviennent en amontpendant la phase du business develop-ment.

Le premier est le bon alignement duprojet et de ses objectifs avec la stra-tégie globale de l’entreprise et, le caséchéant, de ses partenaires investis-seurs. La bonne compréhension ducontexte local est indispensable :contexte économique, politique, institu-tionnel et culturel. Le bon alignementconduira à la formulation d’objectifs

Xavier Bedoret, Directeur de l’audit interne, GDF SUEZ

Jacques Blein, Directeur des grands projets, GDF SUEZ

La gestion des grands projets :un enjeu stratégiquepour GDF SUEZ

Les grands projets constituent une activité industrielle particulière qui nécessite unegouvernance forte et une équipe projet dédiée, dirigée par un leader expérimenté.La mission d’audit a pour objectifs d’informer, d’alerter les organes dirigeants, et des’assurer que les organes de gestion du chantier ne font pas fausse route. La gestionde projet étant un travail d’équipe, l’auditeur sera régulièrement exposé aux enjeuxmanagériaux et humains de ce type d’activité.

33



clairs et cohérents pour toutes les partiesprenantes.Le second facteur de succès est le par-tage de ces objectifs industriels entrel’équipe de business development etl’équipe de management du projet.Ces deux équipes doivent communiquerentre elles de manière proactive, se chal-lenger mutuellement et définir conjoin-tement les hypothèses du business planrelatives à l’exécution du projet (capex,délais, aléas, etc.).

Une particularité de la gestion de projetest précisément qu’elle se déroule en« mode projet », c’est-à-dire sous laforme d’un chantier temporaire, paropposition à la gestion d’entreprise quise déroule en « mode exploitation » ausein d’une structure managériale stable.

Le grand projet est une activité quinécessite une gouvernance forte et uneéquipe projet dédiée, dirigée par un lea-der expérimenté. Les qualités et les com-pétences requises couvrent troisdomaines complémentaires : desconnaissances « métier », la maîtrise desméthodes et des outils de managementde projet, et des qualités personnelles etmanagériales adaptées à la conduite deprojets complexes dans des conditionslocales souvent difficiles (esprit entre-preneurial, anticipation, capacitéd’adaptation, leadership et force decaractère).

Le grand projet, parce qu’il est une acti-vité particulière gérée par une équipe adhoc, requiert à la fois la disponibilité et lacoopération des intervenants. La gestion de projet est fondée sur letravail d’équipe destiné à traiter demanière cohérente des tâches interdé-pendantes. La disponibilité des acteurs,leur permettant d’assumer à la fois lesresponsabilités liées à leur fonction clas-sique ainsi que les tâches liées au projet,est un facteur de succès. Quant à la coo-pération, elle signifie la capacité desacteurs à se coordonner dans un projettrès segmenté, dont les tâches présen-tent un haut degré de simultanéité etavec un profil d’acteurs très hétérogène(sous-contractants, experts, etc.).

Une partie prenante interne essen-tielle est le futur exploitant. Il doit êtreassocié en amont afin de vérifier que laconception et les caractéristiques desinstallations sont alignées, d’une part,

avec les objectifs de performance opéra-tionnelle recherchés (production etcoûts d’exploitation, maintenance), et,d’autre part, avec l’opérabilité des ins-tallations dans des conditions de sécu-rité optimales.Les parties prenantes externes sontégalement essentielles à la réussitedu projet car d’elles dépend l’accepta-bilité locale du projet. La responsabilitéenvironnementale et sociétale de GDFSUEZ s’exerce pleinement dans le cadrede l’exécution des projets industriels parl’évaluation des impacts et des enjeuxdu projet, par l’identification des partiesprenantes concernées, puis par le dia-logue avec ces dernières afin de définirles mesures d’accompagnement et demitigation à mettre en œuvre.

Des enjeux nécessitantun encadrement particulier

Les enjeux d’un grand projet sontappréhendés différemment par les

divers acteurs : pour le responsableindustriel, il est un défi technique, pourle responsable financier, il est un profilde cash flow, et pour le responsable com-mercial, il est une offre destinée à répon-dre à la demande des clients.La gestion d’un projet s’apprécie àl’aune de trois critères : le délai, le coûtet la qualité. C’est le triangle « DCQ »bien connu des projets industriels. Gérerle délai consiste à parcourir le chemincritique par rapport à une date connue :la date de mise en service, en ayantdéfini puis géré un aléa durée (float) per-mettant de faire face aux imprévus sansremettre en cause le date de démarragede l’exploitation. Gérer le coût consisteà établir une enveloppe budgétaire, ycompris les aléas, permettant de réaliserle projet dans le délai et avec la qualitéattendue. Gérer la qualité ou la perfor-mance consiste à atteindre le niveaud’exigence exprimé par le client, le futurexploitant ainsi que les autorités decontrôle.

34

DOSSIER


Vu l’importance stratégique des grandsprojets, le groupe a décidé de renforcerl’encadrement de ceux-ci et a créérécemment la direction des grandspojets, une fonction centrale dont le rôleest double : la supervision et le contrôledes grands projets en phase deconstruction ; et l’animation transver-sale de la filière de management de pro-jets. La direction des grands projetsrédige un rapport trimestriel, en parte-nariat avec les dirigeants responsablesdes chantiers, sur l’avancement de ceux-ci, au comité des grands projets.

Le groupe a également enrichi ses réfé-rentiels organisationnels et techniquesen vue de mieux maîtriser les enjeuxinhérents à la gestion des grands projets.

Parmi les référentiels organisationnels,la direction des grands projets promeutle Project Management Book of Knowledge(PMBOK) diffusé par le ProjectManagement Institute (PMI). La directiondu management des risques de GDFSUEZ a publié un guide d’analyse et demaîtrise des risques inhérents à la ges-tion de projets. Ce guide, qui s’appuiesur les principales politiques du groupeet qui s’inspire des standards internatio-naux, présente les risques en troisgrandes catégories : les risques straté-giques, financiers et opérationnels. Ladirection du contrôle interne a déve-loppé, en concertation avec les respon-sables opérationnels et la filière de ges-tion des projets, un manuel couvrant leprocessus de la gestion des projetsindustriels et les points de contrôleessentiels. La promotion de ces référen-tiels et leur mise en œuvre sur le terrain

font de ladirection dum a n a g e -ment desrisques et dela directiondu contrôleinterne dev é r i t a b l e sacteurs de las e c o n d eligne de maîtrise.

A ces référentiels organisationnels denature générique viennent s’ajouter lesréférentiels techniques propres aux acti-vités de production, transport, stockageet distribution d’énergie portant sur lesquestions de performance, sécurité,qualité, et respect des normes environ-nementales et sociétales.

L’ensemble de ces référentiels constitueun cadre général et un langage communutilisé depuis les équipes de terrainjusqu’au comité de direction. Les réfé-rentiels permettent aux équipes pluri-disciplinaires de travailler de manièreplus efficace, aux équipes de supervisiond’assurer un suivi plus rigoureux, et auxautres parties prenantes (experts, parte-naires et sous-traitants) de remplir leursobligations dans le respect des exigencesdu groupe GDF SUEZ.

Quant aux auditeurs internes, ils étu-dient et s’approprient les référentielsappliqués dans chaque cas d’espèce envue de répondre de la manière la plusappropriée aux enjeux du projetconcerné.

L’auditeur interne, partenairedu project manager

Nous allons traiter la question de l’auditdes projets en posant les cinq questionsdu qui ? quoi ? quand ? comment ? etpourquoi ?

Qui audite la gestion des grandsprojets ?

La taille et la complexité des grands pro-jets requièrent que l’auditeur soit formé

à ce type de mission.Les auditeurs de GDFSUEZ ont formé unecommunauté de pra-tique réunissant lesauditeurs et autresresponsables fonc-tionnels régulière-ment impliqués dansle contrôle et l’auditdes projets. Ce réseaude connaissancefavorise l’efficacitédes interventionsainsi que la propaga-tion des bonnes pra-tiques. De plus, des

experts métiers provenant des branchesdu groupe sont régulièrement invités àse joindre à l’équipe d’audit pour traiterles questions techniques. La participa-tion d’experts métiers présente une véri-table plus value pour l’ensemble desparties prenantes : audité, expert etauditeur. Enfin, les sociétés-projets étantrégulièrement constituées sous la formede joint ventures, l’équipe d’audit peutêtre amenée à travailler conjointementavec les auditeurs d’une société parte-naire.

Sur quoi porte l’audit d’un grandprojet ?

Le PMBOK définit l’audit de projetcomme une revue indépendante struc-turée pour déterminer si les activités deprojet observent les règles et les procé-dures organisationnelles. Les missionsd’audit interne peuvent porter sur lessujets suivants : appréciation des voletstechnique, commercial, financier, juri-dique ou environnemental du projet ;transfert de la phase de développementà la phase de construction ; pilotage etencadrement du projet ; analyse des sur-coûts ou des retards ; gestion des chan-gements (change orders) et des réclama-

35



tions (claims) ; transfert de la phase deconstruction à la phase d’exploitation ;etc.

Quand est-il utile d’auditer un grandprojet ?

L’expérience des auditeurs internes deGDF SUEZ indique que les efforts del’audit doivent être concentrés enamont, c’est-à-dire pendant les phasesde développement et de démarrage dela construction, sachant que ces phasesrecèlent le plus d’incertitudes, d’aligne-ment des parties prenantes et d’impactpotentiel sur le résultat du projet. Lesavantages d’une mission d’audit plani-fiée tôt dans le déroulement du projetsont de clarifier la relation délai-coût-qualité, de confirmer la faisabilité duprojet, d’évaluer la performance del’équipe de projet, d’identifier rapide-ment les problèmes, d’assurer un repor-ting indépendant à la direction générale.Plusieurs missions d’audit peuvent êtreentreprises au cours d’un même projetet porter sur les enjeux particuliers dechacune des phases.

Comment auditer un grand projet ?

Le programme de travail de l’auditeurest établi sur la base des référentielsgénériques ou techniques adoptés parles responsables du chantier (PMI, ISO,AFNOR, RG, etc.). Un enjeu importantde l’audit de la gestion de grands projetsest le caractère hétérogène et interdé-pendant de la multitude des activitésmenées sur un grand chantier : des cen-taines de relations contractuelles, descentaines voire des milliers d’ouvriers,des activités s’étendant du gros œuvre àla haute technologie, des planningsd’interventions articulés selon un che-min critique, etc. L’auditeur définit pré-cisément l’objectif de sa mission, ledomaine et le périmètre de son inter-vention ainsi que les techniques d’audità mettre en œuvre. Parmi les techniquesutilisées figurent l’observation, l’inspec-tion, la comparaison, le cheminement, laconfirmation, la revue analytique, etc. Lagestion de projet étant un travaild’équipe, l’auditeur sera régulièrementexposé aux enjeux managériaux ethumains de ce type d’activité.

Et finalement, pourquoi auditer ungrand projet ?

Nous avons indiqué plus haut que legrand projet se caractérise par son carac-tère temporaire et sa structure managé-riale ad hoc. Le grand projet échappedonc en grande partie aux mécanismesde gestion et de contrôle de l’entrepriseen « mode exploitation ». C’est la raisonpour laquelle l’audit de grand projet estgénéralement demandé par la directiongénérale de l’entreprise. La missiond’audit a pour objectifs d’informer, cla-rifier, alerter, rassurer au niveau desorganes dirigeants de l’entreprise. Elle aégalement pour objectifs d’apprendre,anticiper, réorienter, renégocier auniveau des organes de gestion du chan-tier. La méthode de l’auditeur, son auto-nomie de fonctionnement et sa capacitéà communiquer doivent lui permettre derépondre aux attentes de ces deux par-ties prenantes et de jouer pleinementson rôle de la troisième ligne de maî-trise.

36

MÉMOIRE D’ÉTUDIANT


Apprécier la performancedu personnel : un exercice délicatet complexe – mais indispensable

Appréciation de la performancedu personnel : sujet vaste, inté-ressant, mais complexe. Pour-

quoi s’attarder sur un tel sujet ? Toutd’abord parce que personne n’yéchappe ! Tout le monde y est confronté.Aussi bien le collaborateur sur ses per-formances individuelles que le directeursur sa capacité à créer de la croissancedans l’entreprise. Gérer la performanceconstitue aussi bien un défi pour ladirection de la société que pour l’ensem-ble des individus concernés. Parmi lesprogrammes de gestion des ressourceshumaines, l’appréciation des perfor-mances est probablement celui pourlequel on observe le plus grand écartentre le projet et la réalité. Son caractèrequasi incontournable dans l’entrepriseimporte de réaliser cette appréciationavec éthique et objectivité.

Apprécier la performance, de quois’agit-il ? Les enjeux fluctuent largementselon les entreprises et les individusconcernés. Est-elle implantée à des finsde productivité ou de dialogue social ?Parle-t-on de performance individuelle,de résultats d’équipe, ou les deux à lafois? Questions incontournables pour

l’entreprise, dans la construction d’unprogramme d’appréciation de la perfor-mance. D’autant plus que ce pro-gramme doit être adapté à la populationconcernée et être cohérent avec sesenjeux stratégiques.

Mais qu’entend-t-on par performance ?Dans le domaine de la gestion, la notionde performance associe efficacité et effi-cience. Un collaborateur performantdoit pouvoir obtenir un résultat confor-mément à un objectif donné tout enminimisant le coût des ressources et desprocessus.

L’appréciation de la performance dupersonnel semble être un processusassez complexe aussi bien dans sa réali-sation que dans l’exploitation de sesrésultats. De ce fait, on peut se deman-der pourquoi il est si important pourl’entreprise d’apprécier la performancede ses salariés ? Comment et par quiest-elle assurée ? Qu’est ce que celacomporte et quels sont les risques asso-ciés ?

L’incertitude économique actuelle etl’ouverture de la concurrence ont

imposé aux entreprises de nouvellespriorités sur l’emploi. L’apparition dansles années 80 de la notion de gestion decompétences et la formalisation del’évaluation du personnel ont permisaux entreprises de mesurer de manièreglobale, leur performance et leur poten-tiel. De plus, on peut voir que le systèmed’appréciation de la performance peutavoir une influence importante surtoutes les composantes de la fonctionressources humaines comme : les SIRH(système d'informations des ressourceshumaines), la GPEC (gestion prévision-nelle des emplois et compétences), laformation, la rémunération, les relationssociales, le recrutement et la gestion descarrières. Il est donc important pour lesentreprises de ne pas le négliger.

Afin d’appréhender au mieux ce proces-sus complexe, il est important pour l’en-treprise d’intégrer les facteurs de risquesauxquels un système d’appréciation dela performance peut être exposé. Dès laphase d’élaboration, il est important demesurer l’impact que peut avoir telle outelle décision, et surtout de n’oublieraucun paramètre. L’entreprise qui sou-haite mettre en place un système d’éva-

Le Prix Olivier Lemant est destiné à récompenser le meilleur mémoire de Master(e) consacré au contrôleinterne ou à l’audit interne et réalisé dans une université ou une grande école partenaire.Les mémoires primés en 2014 sont :• 1er prix – « L’audit du processus d’appréciation da la performance du personnel » par Thibaut Bossenie (IAE

d’Aix-en-Provence)• 2ème prix – « L’audit des plans de continuité d’activité et de la gestion des risques » par Meriem Derrahi et

Jordane Garcia (IAE d’Aix-en-Provence)

Vous pouvez consulter ces mémoires sur le site internet de l’IFACI.

Thibaut Bossenie, Consultant dans la gestion des risques, EY


luation doit cerner la visée et la finalitéqu’elle souhaite obtenir. Elle doit déter-miner quels sont les acteurs et leur rôlerespectif (qui évalue qui). L’entreprisedoit également veiller à ce qu’il existedes référentiels sur lesquels baser lesévaluations et faire en sorte que lesmoyens mis en œuvre soient adaptés,cohérents et connus de toutes les partiesprenantes. Pour finir, l’entreprise doitveiller à ce que les acteurs soient récep-tifs et disponibles lors de l’évaluation etque le choix de la période leur permettede se consacrer pleinement à l’exerciceafin de ne pas freiner l’activité et lesintérêts de l’entreprise.

Ces paramètres sont d’autant plusimportants puisqu’ils ont une influencedirecte sur la qualité et la fiabilité desinformations recueillies lors de la phased’exploitation des données. La fiabilitédes données du système est une problé-matique au cœur du processus d’appré-

ciation de la performance. Si le proces-sus n’est pas fiable, alors les risques sontmajeurs. Risque financier, stratégique,social, juridique, sanitaire, éthique etdéontologie, iniquité et tout simplementrejet du projet d’évaluation par lesacteurs. Tous ces risques influent sur laperformance de chaque collaborateur etdonc indirectement sur celle de l’entre-prise.

Compte tenu de la complexité du pro-cessus et du caractère subjectif de lanotion d’appréciation, le système d’éva-luation de la performance reste undomaine difficilement « auditable ».L’équipe d’audit peut s’assurer que leprocessus est adapté en termes decontrôle interne et que sa structurationpermet de limiter les risques. Enrevanche, face à ces risques difficilementpalpables et où la matière humaine estprésente, l’entreprise se doit de sensibi-liser ses effectifs à l’intérêt d’une telle

pratique. La communication et l’adhé-sion d’une équipe à un projet ou à unedémarche de contrôle interne, reste lerempart le plus efficace dans la préven-tion des risques.

Titulaire d’un master « Audit etgouvernance des organisations »,Thibaut Bossenie a réalisé uncontrat d’apprentissage au sein dudépartement d’audit interne del’enseigne Conforama. Il a ensuiteintégré le cabinet Deloitte en octo-bre 2013 en tant qu’auditeur finan-cier junior opérant sur les grandscomptes (principalement AirFrance–KLM et le groupe Lafarge).Depuis septembre 2014, il a intégréle cabinet EY en tant que consul-tant dans la gestion des risques.

Audit interne et référentiels de risquesVers la maîtrise des risques et la performance de l’auditAuteurs : Pierre Schick, Jacques Vera et Olivier Bourrouilh-ParègeEditeur : Dunod

Trois parties, dix chapitres qui décortiquent tout ce qui a trait à l’audit interne et aux risques, un juste équilibreentre la théorie et la pratique, voici la deuxième édition de l’ouvrage. Chacun des dix chapitres est construit,dans les grandes lignes, de façon analogue : Un executive summary annonce la structure du chapitre. Une large place est faite aux illustrations, aux

outils. Des « focus » mettent en exergue tel ou tel point, et apportent un retour d’expérience. Des avis d’experts reviennent sur des positions exprimées dans des revues ou dans des colloques. Une rubrique « l’essentiel » clôt le chapitre, et donne des rendez-vous sur le site pour en savoir plus et

approfondir.L’ensemble de l’ouvrage fait la part belle aux tableaux et techniques divers.

Enfin, l’ouvrage consacre une centaine de pages aux référentiels de risques de plusieurs grandes fonctions des organisations, suivantl’approche du référentiel AMF.Bref, un ouvrage vivant, clair, qui répondra à beaucoup de questions que se posent les professionnels comme les étudiants.

Guide d’audit des achats et des ventesAuteur : Pierre SchickEditeur : Eyrolles

Ce guide d’audit des achats et des ventes « propose un outil dédié à deux activités majeures dans l’orga-nisation de l’entreprise, les achats et les ventes ».Il présente, d’une part, une démarche d’autodiagnostics permettant de donner aux dirigeants l’assuranced’une maîtrise de l’organisation, du fonctionnement et du pilotage de l’activité, d’autre part, un tableaudes risques utilisable par les dirigeants (rassurés quant à l’efficacité des dispositifs), les managers (pourdéceler les faiblesses de l’organisation et y remédier) et les auditeurs et contrôleurs internes (pour adopterune approche méthodique).Une troisième partie clarifie le rôle d’un service d’audit interne, ce qui n’est malheureusement pas superflu.Que peut-on attendre de l’audit interne ? Quand faire intervenir l’audit interne ? Comment maîtriser l’auditinterne ? Ce qu’en disent quelques patrons. Des réponses concrètes à des questions concrètes.

Lu pour vous

38 Audit & Contrôle internes n°221 - sept./oct. 2014

Evénements

Comment concilierconformité etperformanceRéunion mensuelledu 4 avril 2014

« La compliance est l’ensembledes processus qui permettentd’assurer le respect des normesapplicables à l’entreprise par l’en-semble de ses salariés et diri-geants, mais aussi des valeurs etd’un esprit éthique insufflé parles dirigeants ».La notion de compliance va au-delà de la conformité aux loiset règlements.La conformité est unecontrainte devenue un point depassage obligé puis une oppor-tunité pour améliorer sa per-formance, rassurer les partiesprenantes et fédérer les sala-riés… La compliance ou confor-mité est une notion plus pré-sente dans certains secteursd’activités (initialement enbanque et assurance), qui s’estnéanmoins étendue à tous lessecteurs. Elle est devenue unefonction dédiée dans certainesentreprises.Il existe un lien direct avec desnotions proches : éthique etdéontologie, conformité etcontrôle interne. Il existe aussi,nous l’avons dit, de fortescontraintes réglementairesdans le secteur bancaire : unpoids prépondérant de laconformité, le passage d’uneobligation de moyens à uneobligation de résultats, par unniveau de contrôle pondéré parrapport au taux conformité.Conformité et performance,sont-elles incompatibles ?Comment les (ré)concilier ?Comment intégrer la confor-mité dans un processus d’amé-lioration ? Tout d’abord ens’appuyant sur les hommes etle management ; en privilé-giant les audits d’activités ; enadoptant une position positivepar rapport à la conformité,mais dans un cadre d’évolutionréglementaire « acceptable ».

Les obstacles sont nombreux :organisation et culture admi-nistrative encore trop souventempreintes d’une logique decontrôle systématique et apriori ; obligations à observermouvantes entraînant desdélais ; important volume detextes à respecter ; conformitéqui accentue le formalismesans réduire les risques (usagedes délégations de signature) ;conformité qui sous-estime desrisques ; obligations incontour-nables…Il existe heureusement desperspectives d’évolution posi-tives grâce à un rééquilibrageentre la conformité et la perfor-mance.

Mettre en œuvre lenouveau « référentielintégré de contrôleinterne » (COSO 2013)(Extraits)

Réunion mensuelle du 27 mai 2014

COSO a publié le 14 mai 2013la mise à jour du référentiel surle contrôle interne, ditCOSO 1.Le COSO 2013 consiste en unréférentiel ; des exemples d’ou-tils d’évaluation ; desméthodes et illustrations decontrôle interne relatif au repor-ting financier externe.Le remplacement de la versiond’origine se fait en deuxtemps : COSO laisse à disposi-tion les deux éditions, celle de1992 et celle de 2013, jusqu’au15 décembre 2014. A partir decette date, l’édition de 1992sera officiellement remplacéepar sa mise à jour de 2013.L’adoption sera volontaire ouobligatoire, selon les juridic-tions.Rappel des 17 principes fonda-teurs, dont voici quelques-uns.L’environnement de contrôle(cinq principes) : engagementen faveur de l’intégrité et devaleurs éthiques ; devoir derendre compte de ses respon-sabilité en matière de contrôleinterne… L’évaluation desrisques (quatre principes) :intégrer le risque de fraudedans l’évaluation des risquessusceptibles de compromettrela réalisation des objectifs…

Les activités de contrôle(trois principes) : mettre enplace les activités de contrôlepar le biais de règles qui pour-suivent les objectifs poursuivis,et de procédures qui mettenten œuvre ces règles… L’infor-mation et la communication(trois principes) : l’organisa-tion communique avec les tierssur les points qui affectent lepositionnement des autrescomposantes du contrôleinterne… Les activités depilotage (deux principes) :l’organisation sélectionne,développe et réalise des éva-luations continues et ponc-tuelles afin de vérifier si lescomposantes du contrôleinterne sont mises en place etfonctionnent.Les chantiers en cours n’ontpas tous le même degré d’ur-gence. Chantiers prioritaires :comment responsabiliserchacun pour le bon fonction-nement du contrôle interne ?Cette problématique est liée aupilotage de la performance.Comment s’assurer de labonne remontée d’informa-tions, d’alertes ? Quel rôlepour les lignes de maîtrise ?Comment s’assurer de lacomplétude de l’évaluationdes risques ?

Comprendre et évaluerle processus de gestiondes identités etdes accès (Extraits)Réunion mensuelledu 24 juin 2014

La Gestion de l’Identité et desDroits (GID) est un domainede la Sécurité qui permet des’assurer que la bonne per-sonne accède à la bonne res-source au bon moment et pourde bonnes raisons. La GID nécessite la mise enœuvre d’un ensemble de ser-vices constitué de processus, derôles et responsabilités, detechnologies et d’informations.La GID est un des domainesde la sécurité où il est possiblede démontrer, non seulementla réduction du risque, maiségalement la création devaleur.La GID bénéficie à tous lesmétiers de l’organisation : sys-

tème d’information, opéra-tions, audit, sécurité, ressourceshumaines, etc.La GID est un projet complexe,et nécessite la définition d’unevision précise et d’une stratégieet feuille de route adaptées.Les enjeux d’un projet de GIDdoivent être clairement identi-fiés et répondre à des besoinsexprimés par un ensemble departies prenantes de l’organi-sation. Le projet de GID doitpermettre de démontrer sonconcours à la réduction desrisques et à la création devaleur.La réussite d’un projet de GIDpasse par la démonstration desbénéfices pour chaque métier,par exemple : disposer de don-nées d’identité fiables(concerne le groupe dans sonensemble) ; mieux contrôler lesressources allouées (concernela finance, le contrôle de ges-tion, les achats) ; faciliter larevue de la conformité deshabilitations (concerne l’au-dit) ; faciliter et fiabiliser lesreportings ; être informé desdéparts et des mutations pourêtre à même de libérer les res-sources non utilisées et suppri-mer les droits d’accès, etc.Quel rôle et quelle approchepour l’auditeur ? L’accès auxapplications et aux élémentstechniques et d’infrastructureest sécurisé par deux méca-nismes : l’identification et l’au-thentification. Dans le premiercas, l’utilisateur s’identifie lui-même au système grâce à sonidentifiant propre. Dans lesecond cas, l’utilisateur s’au-thentifie en donnant son motde passe. L’identification per-met de connaître l’identitéd’une personne, alors que l’au-thentification permet de véri-fier cette identité.Dans un système informatique,l’identifiant correspond à uncompte utilisateur auquel sontattribués des droits d’accès ouhabilitations, c’est à dire unensemble de fonctionnalitésauxquelles l’utilisateur peutaccéder. Un système possèdeplusieurs types de comptes uti-lisateurs.La gestion des habilitationsfixe les points à auditer etdétermine le périmètred’audit.

LA PROFESSION EN MOUVEMENT

Retrouvez les vidéos des réunions mensuellessur notre site internet www.ifaci.com

IFACI Formation - Tél. : 01 40 08 48 08 - Mel : [email protected] - Retrouvez également le programme complet sur le site internet www.ifaci.com

Calendrier 2014SESSIONS Durée Tarifs

adhérentsTarifs nonadhérents janv. févr. mars avril mai juin juillet sept. oct. nov. déc.

SE FORMER À LA MAÎTRISE DES ACTIVITÉS ET AU CONTRÔLE INTERNE

S’initier à la maîtrise des activités et au contrôle interne 2 j 950 € 1 125 € 16-17 13-14 10-11 7-8 5-6 5-6 1-2 15-16 2-3 6-7 4-5

Réaliser une cartographie des risques 3 j 1 675 € 1 875 € 20-22 17-19 12-14 9-11 12-14 11-13 7-9 17-19 6-8 12-14 8-10

Elaborer le référentiel de maîtrise des activités 2 j 1 200 € 1 350 € 23-24 20-21 17-18 14-15 15-16 17-18 10-11 23-24 9-10 18-19 15-16

Piloter un dispositif de maîtrise des activités et de contrôle interne 2 j 1 200 € 1 350 € 27-28 25-26 19-20 16-17 19-20 19-20 25-26 13-14 20-21 17-18

Le contrôle interne des systèmes d’information 2 j 1 200 € 1 350 € 29-30 24-25 23-24 20-21

Maîtrise des activités, contrôle interne et communication 2 j 1 200 € 1 350 € 18-19 21-22 7-8 18-19 22-23 11-12

SE FORMER À L’AUDIT INTERNE

Les fondamentaux de l’audit interne

S’initier à l’audit interne 2 j 950 € 1 125 € 9-10 5-6 6-7 3-4 6-7 3-4 1-2 11-12 2-3 13-14 3-4

Conduire une mission d’audit interne : la méthodologie 4 j 1 950 € 2 150 € 13-16 11-14 10-13 8-11 12-15 10-13 1-4 15-18 6-9 18-21 8-11

Maîtriser les outils et les techniques de l’audit 3 j 1 625 € 1 775 € 20-22 17-19 17-19 14-16 19-21 16-18 7-9 22-24 13-15 24-26 15-17

Maîtriser les situations de communication orale de l’auditeur 2 j 1 050 € 1 150 € 23-24 20-21 20-21 17-18 22-23 19-20 8-9 25-26 16-17 27-28 18-19

Réussir les écrits de la mission d’audit 2 j 1 050 € 1 150 € 27-28 24-25 24-25 22-23 26-27 23-24 10-11 29-30 20-21 25-26 18-19

Exploiter les états financiers pour préparer une mission d’audit 3 j 1 525 € 1 675 € 29-31 17-19 26-28 22-24 19-21

Désacraliser les systèmes d’information 3 j 1 525 € 1 675 € 26-28 2-4 17-19 1-3

Détecter et prévenir les fraudes 2 j 1 050 € 1 150 € 26-27 24-25 25-26 25-26 22-23 4-5

Le management

Piloter un service d’audit interne 2 j 1 300 € 1 450 € 18-19 5-6 6-7

Manager une équipe d’auditeurs au cours d’une mission 1 j 685 € 770 € 21 4 27

L’audit interne dans les petites structures 1 j 685 € 770 € 16 7

Balanced Scorecard du service d’audit interne 1 j 685 € 770 € 28 26

Le suivi des recommandations 1 j 685 € 770 € 28 10 30 30 28

Préparer l’évaluation externe du service d’audit interne 2 j 1 300 € 1 450 € 20-21 12-13 24-25

L’audit interne, acteur de la gouvernance 1 j 685 € 770 € 9 1

Audit interne, contrôle interne et qualité : les synergies 1 j 685 € 770 € 11 8

Les audits spécifiques

Audit du Plan de Continuité d’Activités - PCA 2 j 1 300 € 1 450 € 11-12 26-27 19-20

Audit de la fonction Comptable 2 j 1 300 € 1 450 € 15-16 6-7

Audit de performance de la gestion des Ressources Humaines 3 j 1 525 € 1 675 € 2-4 4-6

Audit de la fonction Achats 2 j 1 300 € 1 450 € 19-20 29-30

Audit des Contrats 1 j 685 € 770 € 21 21

Audit de la fonction Contrôle de Gestion 2 j 1 300 € 1 450 € 20-21 12-13

Audit de la Sécurité des Systèmes d’Information 2 j 1 300 € 1 450 € 26-27 24-25

Audit des Processus Informatisés 2 j 1 300 € 1 450 € 17-18 4-5

Audit de la Conformité à la Législation Sociale 2 j 1 300 € 1 450 € 12-13 2-3

Audit du Développement Durable 2 j 1 300 € 1 450 € 14-15 9-10

Audit des Projets et Investissements 2 j 1 300 € 1 450 € 1-2 17-18

SE FORMER DANS LE SECTEUR PUBLIC

Le contrôle interne dans le secteur public 2 j 1 300 € 1 450 € 20-21 9-10 6-7

Pratiquer l’audit interne dans le secteur public 4 j 1 950 € 2 150 € 1-4 16-19 9-12

SE FORMER DANS LE SECTEUR BANCAIRE ET FINANCIER

Le contrôle permanent et la conformité dans le secteurbancaire et financier 3 j 1 525 € 1 675 € 11-13 17-19 10-12

Pratiquer l’audit interne dans une banque ou un établissementfinancier 4 j 1 950 € 2 150 € 16-19 22-25 15-18

SE FORMER DANS LE SECTEUR DES ASSURANCES

Le contrôle interne dans le secteur des assurances 2 j 1 300 € 1 450 € 10-11 6-7 11-12 4-5

Pratiquer l’audit interne dans le secteur des assurances 4 j 1 950 € 2 150 € 4-7 23-26 20-23 2-5

SE FORMER DANS LES SECTEURS INDUSTRIE ET COMMERCE

Audit de la gestion des stocks et de la logistique 2 j 1 300 € 1 450 € 29-30 2-3

Audit du processus de ventes 2 j 1 300 € 1 450 € 7-8 15-16

ACQUÉRIR UNE CERTIFICATION Voir notre site internet : www.ifaci.com

- 20%

pou

r un

part

icip

ant i

nscr

itsi

mul

tané

men

t à 4

form

atio

ns

Gestion des Risques :Auditeurs internes, le comité d’auditet la direction générale comptentsur vous !

POUR EN SAVOIR PLUS ...

Rendez-vous sur le site internet de l’IFACI(www.ifaci.com)

à la rubrique « Carrière + Diplômes ».

Conc

eptio

n : e

bzon

e co

mm

unic

atio

n - P

hoto

: ©

Pat

y W

ingr

ove

- Fot

olia

.com

Norme 2120 – Management des risques : L'audit interne doit évaluer l’efficacité des processus demanagement des risques et contribuer à leur amélioration.

Afin de renforcer la capacité des auditeurs internes à exercer efficacement leurs responsabilités enmatière d’évaluation des processus de management des risques, l’IIA a développé la certificationCRMA (Certification in Risk Management Assurance).

Le CRMA est un examen de 2 heures, composé de 100 Questions à Choix Multiples. Il est conçu pourles auditeurs internes et les professionnels de la gestion des risques qui interviennent sur lespérimètres de l’évaluation des risques, sur les processus de gouvernance, sur l’évaluation de la qualitéet l’auto-évaluation des contrôles.

Marquez des points !Détenir le CRMA vous permettra de démontrer votre professionnalisme dans le domaine del’évaluation de la gestion des risques, et plus particulièrement votre capacité à :

évaluer la maîtrise des risques et la gouvernance des processus métiersde votre organisation ;

sensibiliser la direction et le comité d’audit aux concepts liés auxrisques et à la maîtrise des risques ;

vous centrer sur les risquesstratégiques de l’organisation ;

apporter encore plus de valeurajoutée à votre organisation.

1

FICHE TECHNIQUE

sept./oct. 2014 - FICHE TECHNIQUE N°51 - Audit & Contrôle internes

Un double rattachement

Chez Total, le positionnement de l’audit interne est,somme toute, assez classique.La responsable de l’audit interne (RAI) est rattachéehiérarchiquement au secrétaire général du groupe,et via le secrétaire général, au comité exécutif – lesecrétaire général étant l’un des six membres ducomité exécutif de Total. La RAI a un entretien, entête-à-tête, avec le secrétaire général, au minimumune fois par mois et avec son comité directeur égale-ment une fois par mois environ.

La RAI rapporte fonctionnellement au comité d’au-dit et, plus spécifiquement, à la présidente de cecomité. La RAI participe à chaque réunion du comité(sept par an), et présente, trimestriellement, lestravaux de l’audit interne du trimestre précédent.Une séance est consacrée à l’activité du comité risquesgroupe. La RAI en est chargée, ainsi que, d’une façon

générale, de tous les sujets concernant la gestion desrisques, le contrôle interne et l’audit.L’audit remet, au comité d’audit, une synthèse dechaque rapport d’audit, tous les trimestres. Et, enséance, sont commentés les rapports les plus critiques.

Le comité d’audit est composé de trois administra-teurs indépendants du groupe.Outre ces trois administrateurs indépendants, parti-cipent au comité : le directeur financier du groupe,membre du comité exécutif ; le directeur des compta-bilités ; le trésorier ; la RAI ; le directeur du contrôleinterne et les commissaires aux comptes.

La RAI rencontre, au moins une fois par an, le prési-dent-directeur général, Christophe de Margerie, pourlui soumettre les thèmes d’audit transversaux qu’ellelui suggère, recueillir ses attentes sur le plan d’auditde l’année suivante et lui faire part des travaux desynthèse menés sur les audits de l’année N-1. C’estune sorte de débriefing des enseignements majeurs desaudits de l’année précédente et la façon dont l’auditinterne juge l’évolution du contrôle interne dans legroupe.Elle rencontre, régulièrement et individuellement,chaque membre du comité exécutif, composé des troisdirecteurs généraux de secteurs – Amont (Explora-tion/Production, Gas & Power), Raffinage-Chimie,Marketing & Services –, du directeur financier du

Trois garanties del’indépendanceet de l’objectivitéde l’audit interneBernadette Baudier, Directeur du contrôle interne et de l’audit groupe, Total

Norme 1100 : Indépendance et objectivitéL’audit interne doit être indépendant et les auditeursinternes doivent effectuer leurs travaux avec objec-tivité.

2

FICHE TECHNIQUE

Audit & Contrôle internes - FICHE TECHNIQUE N°51 - sept./oct. 2014

groupe, du secrétaire général et du PDG) pour échan-ger sur les principaux enjeux en matière de risques, decontrôle interne et d’audit, et recueillir leurs besoinspour les thèmes des missions de l’année à venir.Elle participe aux réunions hebdomadaires de la direc-tion financière.Elle est membre du G60 qui est la réunion desmembres du comité exécutif et de leurs collaborateursdirects (N-1).

En fait, le double rattachement hiérarchique et fonc-tionnel de la RAI, son accès direct aux membres duComex, et sa participation à différents forums,permettent à l’audit interne de s’exercer en touteindépendance.

La charte de management des risques,du contrôle interne et de l’audit

On trouve, dans la charte, une définition majeure :« L’audit est une fonction indépendante visant à donnerau management et aux instances de gouvernement d’en-treprise une assurance raisonnable sur le degré de maîtrisedes activités du groupe et à créer de la valeur ajoutée. »Concrètement, le plan d’audit est bâti selon unedémarche qui résulte de l’analyse des risques deniveau groupe, c’est-à-dire des risques majeurs pourTotal.En fonction de cette analyse de risques, et des sujetscouverts au cours des plans d’audit précédents, desgrands thèmes transversaux sont proposés au comitéexécutif.Une fois ces grands thèmes transversaux approuvés,des entretiens sont menés avec environ 200 respon-sables opérationnels, ainsi qu’avec les grandes direc-

tions fonctionnelles du groupe : les RH, la sécurité, lasûreté, les achats, etc. Ces entretiens permettentd’identifier les enjeux qui sont majeurs pour le groupeet les risques auxquels Total est confronté.Les résultats du processus Sarbanes-Oxley sont égale-ment examinés à l’aide de 120 questionnaires deniveau entity-level control. Environ 4 000 points decontrôle interne dans les filiales complètent le dispo-sitif et sont régulièrement testés par l’audit (en tantque testeur de deuxième niveau).Tout cela fournit une matière pour élaborer le pland’audit avec une pertinence maximale. Une fois les audits déclenchés, au cours de la semainede préparation, une analyse des risques est menéepour prioriser les différents thèmes de travail et lescontrôles à exercer durant la mission. Lors de la dernière mission de certification IFACI, uneobservation a été faite sur le renforcement deséchanges sur les risques avec l’entité auditée, aussibien au moment de la préparation de la mission qu’aucours de la mission. C’est un point qui devra donc êtrerenforcé.

Les risques d’atteinte à l’indépendanceet à l’objectivité

Une cartographie des risques de la direction a débutéen mars 2014, et des risques propres aux activités dela DCIAG (direction du contrôle interne et de l’auditgroupe) ont été identifiés.La RAI est consciente de la vigilance indispensablequ’il faut porter à cette question, la démarche demeu-rant en cours à ce stade. Le fait qu’il existe au sein de la DCIAG une collégialitéextrêmement active, et que des directeurs sectoriels

© M

arc

Rous

sel /

Tota

l

3sept./oct. 2014 - FICHE TECHNIQUE N°51 - Audit & Contrôle internes

d’audit et leurs managers viennent de tous les hori-zons du groupe, est un rempart contre le manqued’indépendance et d’objectivité : le manager d’auditn’agit jamais seul, ce qu’il fait sera revu par un direc-teur sectoriel. Et, en dernier ressort, la RAI valide lestravaux menés. Il y a donc une sorte de garantie natu-relle liée au fait que les travaux sont collégiaux.

Les risques concernant les auditeurs

Toutes les questions relatives à la déontologie et àl’éthique font l’objet d’une attention particulière. Ilexiste chez Total un code de conduite et des compor-tements de référence : la Total Attitude, basée surl’écoute, la solidarité, la transversalité, l’audace. CettTotal Attitude concerne l’ensemble des salariés.

Dans la formation donnée aux auditeurs, il leur estdemandé d’appliquer à la fois les comportements deréférence Total Attitude, et aussi les quatre principesfondamentaux du code de déontologie de l’IFACI :intégrité, objectivité, confidentialité, compétence.Tout ceci est rappelé dans les sessions de formation etlors des réunions d’ouverture dans les différentesmissions sur le terrain.

Il s’agit également de ne pas mettre les auditeurs enposition de conflit d’intérêt, c’est-à-dire dans des

situations où ils pourraient être en conflit avec cequ’ils ont fait, avant l’audit, ou ce qu’ils feront dansleur prochaine affectation. Le groupe est tellement vaste que, de toute façon, onpeut parfaitement éviter d’affecter l’auditeur dans uneentité où il a déjà travaillé, ou celle où il va travailler.

L’IFACI a incité à mettre plus en exergue, lors des feed-backs individuels et collectifs réalisés après lesmissions, l’évaluation de la bonne appropriation ducode de déontologie. Dont acte.

La coordination avec la 2e ligne dedéfense, et avec la direction des risques

Elle est variable selon les entités. La coopération laplus aboutie a été définie avec la fonction HSE, avecqui les rôles et les responsabilités ont été mieux répar-tis ; nous sommes dans certaines circonstances parve-nus à un travail conjoint.Il a été décidé, à partir du plan de 2015, d’associer unexpert HSE à certaines missions, de façon à ce qu’ilapporte son savoir à l’audit, tout en maintenant lesmissions sous la bannière de l’audit groupe, mais ens’adjoignant en fait ses compétences.Du côté de l’audit, des auditeurs sont « prêtés », detemps en temps, à la direction HSE, pour participer àdes audits d’inspection qui sont, eux, clairement des

FICHE TECHNIQUE

Audit & Contrôle internes - FICHE TECHNIQUE N°51 - sept./oct. 20144

audits métiers, de façon à leur apporter une expertisesur la méthodologie ; on s’est en effet rendu compteque des personnes, très compétentes en HSE,pouvaient significativement bénéficier de cet apporten termes de méthodologie d’audit. Il y avait là uneopportunité de croisement des compétences.Sur d’autres fonctions, comme les achats, par exem-ple, si l’entité auditée a fait l’objet d’une missionmétier récente, l’audit utilise les travaux déjà faits etévite ainsi de tomber dans des contrôles de 2ème

niveau.L’audit peut aussi utiliser les matériaux fournis par lescommissaires aux comptes, de façon à ne pas dupli-quer des travaux qu’ils auraient pu faire.Les CAC sont d’ailleurs destinataires des rapportsd’audit. Et l’on a mis en place, récemment, uneréunion semestrielle pour mieux échanger les pointsde vue et utiliser davantage les travaux des uns et desautres. La direction des risques n’existe pas en tant que tellechez Total. Un comité risques groupe a été créé en2011 ; il est présidé par le secrétaire général auquel laRAI est rattachée.L’animation de ce comité est assurée par la directionde l’audit interne.

L’audit interne et les grands projets

Il y a toujours des grands projets en gestation. Ils sontde nature industrielle ou informatique. Généralement,des audits sont menés aux trois étapes clés du projet :en amont, pour s’assurer que les fondamentaux ducontrôle interne sont mis en place ; au milieu du gué,pour vérifier qu’ils sont bien appliqués et pouvoirredresser la barre, si nécessaire ; et parfois à la fin duprojet, dans le cadre des opérations de commissioning,puisque c’est le moment où la responsabilité passe del’équipe projets aux exploitants.

Les audits menés sont des audits d’assurance.Une particularité chez Total est par ailleurs que lesopérations pétrolières, à l’exploration-productionnotamment, sont souvent logées dans des joint-ventures ou des operating companies ; ce ne sont doncpas les seuls auditeurs de Total qui interviennent surces projets. Ce sont des co-audits, ce qui renforceévidemment encore l’indépendance des travaux.En général, le lead est tournant, c’est-à-dire qu’uneannée, ce sera Total, l’année suivante, Exxon ou BP,chaque actionnaire envoyant deux ou trois auditeurs,selon l’objectif de l’audit.Les auditeurs coopèrent sous la coordination du leadet émettent un rapport, en général en utilisant le réfé-rentiel du lead de l’année : Total, Exxon, etc. C’est enquelque sorte un benchmarking.

Les ingérences et leur signalisationau conseil / comité d’audit

A ce jour, aucune ingérence n’a été signalée aux auto-rités concernées. S’il y avait lieu de le faire, la RAI a lapossibilité de rencontrer la présidente du comité d’au-dit. Si elle constate un dysfonctionnement de gouver-nance, elle dispose de la liberté, et elle en a même ledevoir, de « remonter » ce dysfonctionnement, à toutmoment.

Bernadette Baudier est entrée dans le groupe Totalen 1988 au sein de la branche Raffinage Marketing.De 1988 à 2008, elle occupe différents postes à carac-tère financier et/ou RH au sein de plusieurs branchesdu groupe. En 2008, elle est nommée secrétaire géné-ral de la direction Gaz et Energies Nouvelles. Elleassure les fonctions de directeur du contrôle interneet de l’audit groupe depuis 2013.