contribuer À la valeur ajoutÉe des organisations · 2014-04-28 · 550 m€ dans sa filiale...
Post on 19-Jun-2020
1 Views
Preview:
TRANSCRIPT
l a r e v u e d e s p r o f e s s i o n n e l s d e l ’ a u d i t , d u c o n t r ô l e e t d e s r i s q u e s
Dans l’actualité
Puma, Reebook, Carrefour :comment prévenir les fraudesorganisées par les filiales ?
Idées et débats La mise en œuvre du contrôle
interne impulsée au sein desOPCA
La communication de l’auditinterne vers les organes degouvernance
Les audits métiersL’audit de gouvernance :un outil d’évaluation etd’amélioration de la gouvernanced’une organisation
Mémoire d’étudiantMaîtriser les risques spécifiquesaux activités de services
La profession enmouvement ...
Fiche technique
>> Indépendance et objectivité,deux conditions pour un auditinterne reconnu et performant
N°210Juin - Juillet 2012
CONTRIBUERÀ LA VALEUR AJOUTÉEDES ORGANISATIONS
Une finalité pour l’auditet le contrôle internes
Marquez des points ...avec la nouvelle certificationprofessionnelle
Professionnels de l’audit et du contrôle internes, cette nouvelle certification vous permettra de dé-montrer votre professionnalisme dans le domaine de l’évaluation de la gestion des risques, et plusparticulièrement votre capacité à :
évaluer la maîtrise des risques et la gouvernance des processus métiers de votre organisation ; sensibiliser la direction et le comité d’audit aux concepts liés aux risques et à la maîtrise des
risques ; vous centrer sur les risques stratégiques de l’organisation ; apporter encore plus de valeur ajoutée à votre organisation.
Disponible, à la fin du premier semestre 2013, sous la forme d’un examen, le CRMA™ est ac-cessible dès aujourd’hui via un processus de Reconnaissance de l’Expérience Profes-sionnelle (REP). Ainsi, toute personne justifiant d’une expérience professionnelledans les cinq domaines couverts par la certification CRMA™, et titulaire de di-plômes et/ou de tout autre certificat dans le domaine de l’audit, sera en mesurede faire une demande de REP en vue d’obtenir la certification CRMA™.
POUR EN SAVOIR PLUS ...
Rendez-vous sur le site internet de l’IFACI (www.ifaci.com)à la rubrique « Carrière + Diplômes ».
Conc
eptio
n : e
bzon
e co
mm
unic
atio
n - P
hoto
: ©
Pat
y W
ingr
ove
- Fot
olia
.com
3juin-juillet 2012 - Audit & Contrôle internes n°210
La revue des professionnels de l’audit,du contrôle et des risques
n°210 - juin-juillet 2012
EDITEURInstitut Français de l’Audit et du Contrôle Internes (IFACI)Association Loi 190198 bis, boulevard Haussmann75008 Paris (France)Tél. : 01 40 08 48 00 Mel : institut@ifaci.comInternet : www.ifaci.com
DIRECTEUR DE PUBLICATIONFarid Aractingi
RESPONSABLE DE LA RÉDACTION Philippe Mocquard
RÉDACTEUR EN CHEFLouis Vaurs
RÉDACTION - RÉVISIONJean-Loup Rouff - Béatrice Ki-Zerbo
SECRÉTARIAT GÉNÉRALEric Blanc - Tél. : 01 40 08 48 02Mel : eblanc@ifaci.com
RÉALISATIONEBZONE Communication32, avenue de Beauregard94500 Champigny-sur-MarneTél. : 01 48 80 00 56Mel : ebzone@ebzone.fr
IMPRESSIONImprimerie de ChampagneRue de l’Etoile de Langres - ZI Les Franchises52200 Langres
ABONNEMENTElsa Sarda - Tél. : 01 40 08 47 84Mel : esarda@ifaci.com
Revue bimestrielle (5 numéros par an)ISSN : 2117-1661CPPAP : 0513 G 83150Dépôt légal : mai 2012Crédit photos : © Getty Images
Prix de vente au numéro : 22 € TTC
Les articles sont présentés sous la responsabilité de leurs auteurs.
Toute représentation ou reproduction, intégrale ou partielle, faitesans le consentement de l’auteur, ou de ses ayants droits, ou ayantscause, est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40).Cette représentation ou reproduction, par quelque procédé que cesoit, constituerait une contrefaçon sanctionnée par les articles 425et suivants du Code Pénal.
Ce document est imprimé avec des encres végétalessur du papier issu de forêts gérées dans le cadred’une démarche de développement durable.
De la lecture du dossier du présent numéro et
des meilleures pratiques, quelques grandes
conditions, pour que le contrôle interne et
l’audit interne contribuent à la valeur ajoutée des
organisations, peuvent être mises en avant.
Concernant le contrôle interne il paraît impératif
1) que la direction générale se l’approprie comme un
élément essentiel du succès de l’organisation, ait un
discours et une attitude dénués d’ambigüités sur l’importance qu’elle lui accorde,
et définisse une politique qui responsabilise les lignes managériales ; 2) que le
Comité d’audit soit parfaitement au courant du dispositif mis en place et des
responsabilité de ses principaux acteurs, et qu’il prenne toutes dispositions pour en
surveiller l’efficacité.
Pour ce qui est de l’audit interne, sept conditions peuvent être notées :
• Etre ambitieux tout en étant réaliste. Agir selon la maturité du service. Ne pas
bruler les étapes pour ne pas se bruler les ailes.
• Mériter la confiance de la direction générale à laquelle il est rattaché : bien
connaître les objectifs de l’organisation ; bien appréhender ses différentes acti-
vités ; être efficace et compétent.
• Etre crédible à l’égard du Comité d’audit avec lequel il a des relations étroites et
suivies : il doit lui apporter une information synthétique, organisée, hiérarchisée,
non biaisée. « Il ne peut y avoir d’informations significatives réservées à la direction
générale, c’est-à-dire volontairement soustraites aux administrateurs ».
• Etre légitime au sein de son organisation : le directeur de l’audit interne doit
inspirer le respect par son sens de l’éthique, son indépendance d’esprit et son
courage. Dans le même temps, la compétence du service doit être reconnue par
la pertinence de ses diagnostics et de ses recommandations, et par sa capacité
à s’assurer de la mise en place des plans d’action.
• Eviter de se complaire dans une solitude pernicieuse et des certitudes de
mauvais aloi : c’est en travaillant de manière coordonnée avec des fonctions
proches que l’on évite redondances coûteuses et « trous dans la raquette ».
• S’attacher à être connu et reconnu au sein de l’organisation : cela implique une
capacité à bien communiquer.
• Convaincre la direction générale que l’audit interne doit bénéficier d’une réelle
indépendance : « un auditeur interne muet est un auditeur inutile ; un auditeur
interne complaisant est un auditeur dangereux ».
Contribuer àla valeur ajoutéedes organisations
Louis Vaurs - Rédacteur en chef
Contactez-nous :Tél. : 01 44 70 63 00
E-mail : certification@ifaci.com
Conc
eptio
n : e
bzon
e co
mm
unic
atio
n - P
hoto
: ©
Jaku
b Ce
jpek
- Fo
tolia
.com
Votre engagement pour+ de bonnes pratiques
+ de performance+ de légitimité
+ de sécurité
Progressez surdes bases solides
Le label de qualité et de performance CertificationIFACI est délivré aux services d'audit interne quiappliquent de façon pérenne les trente exigencespragmatiques du Référentiel Professionnel del'Audit Interne.
55juin-juillet 2012 - Audit & Contrôle internes n°210
SOMMAIRE
DANS L’ACTUALITÉ DOSSIER
Contribuer à la valeur ajoutéedes organisationsUne finalité pour l’audit etle contrôle internes
Puma, Reebook, Carrefour : commentprévenir les fraudes organisées par lesfiliales ?Antoine de Boissieu
6
LES AUDITS MÉTIERS
L’audit de gouvernance : un outild’évaluation et d’amélioration de lagouvernance d’une organisationSylvie Le Damany
29
LA PROFESSION EN MOUVEMENT
IDÉES ET DÉBATS
La mise en œuvre du contrôle interneimpulsée au sein des OPCANathalie Cretel
8
La communication de l’audit internevers les organes de gouvernanceMichel Caty
12
Evénements - Lu pour vous35
FICHE TECHNIQUE N°40
p. 15 à 27
Comment le contrôle et l’audit internes peuvent-ilscontribuer à la valeur ajoutée des organisations ?Brigitte Charton et Patrick Garnier
21
Développer l’usage managérial du contrôle internepour un dispositif à valeur ajoutéeJean-Christophe Kypriotis et Michel Tudrej
16
Quelle place et quelle valeur ajoutée pour le contrôleinterne dans un grand groupe industriel ?Michel Tudrej
24
Sécuriser les risques, mission première de l’auditinterneBenoît Derville
19
>> Indépendance et objectivité, deux conditionspour un audit interne reconnu et performantBéatrice Ki-Zerbo
MÉMOIRE D’ÉTUDIANT
Maîtriser les risques spécifiques auxactivités de servicesFlavien Palliès
33
6
DANS L’ACTUALITÉ
Audit & Contrôle internes n°210 - juin-juillet 2012
Puma, Reebook, Carrefour :comment prévenir les fraudesorganisées par les filiales ?Antoine de Boissieu - Associé-gérant, OSC Solutions
Certains services d'au-dit interne attachentbeaucoup d'impor-
tance aux risques de fraude ;leurs équipes passent untemps significatif en missionà auditer les mécanismes defraude les plus courants :décaissements non autori-sés, vols de stocks, notes defrais indues, surfacturations,favoritisme dans le choixd'un fournisseur...Toutes ces fraudes sontgénéralement faites eninfraction à des procéduresde contrôle interneconnues : rapprochementsbancaires, inventaires desstocks, restriction des profilsutilisateurs, ségrégation destâches, etc. Ces procéduressont parfois compliquées etlongues à évaluer par unaudit interne. Valider labonne ségrégation destâches dans un systèmed'information peut ainsiprendre plusieurs jours ousemaines à un auditeur.Or, ces fraudes ne mettentque rarement en danger lasociété ou ses filiales ; lesvols de stocks, les facturesfictives, les notes de fraisindues constituent souventde « petites » fraudes. L'ac-tualité récente du secteur dela distribution a montré àl'inverse que certains méca-nismes de fraude, certes plusrares, peuvent coûter beau-coup plus cher.Le dernier en date est l'an-nonce faite par Reebook(filiale d'Adidas) concernantsa filiale indienne. Reebooka reconnu une perte estiméeà 200 MUSD, résultantd'une fraude commise par la
direction locale. Les diri-geants sont accusés d'avoirdétourné des marchandises,notamment via deux entre-pôts secrets, et maquillé lescomptes de la société.Cette fraude en rappelle uneautre, révélée en 2010 dansla filiale grecque de sonconcurrent Puma (filiale dePPR). Puma avait ainsi dûconstater une perte de115 M€ après une série defraudes organisées par lesdirigeants de sa filiale. Làaussi, les dirigeants sontaccusés d'avoir détourné desmarchandises et maquillé lescomptes.Entre-temps, fin 2010,Carrefour a annoncé avoirmis au jour une perte de550 M€ dans sa filiale brési-lienne, dissimulée par ladirection locale. A chaque fois, les fraudesreprésentaient plusieursannées de résultat desfiliales concernées, et l'im-pact sur le résultat dugroupe a été significatif.Dans les cas de Puma et deCarrefour, elles sont interve-nues dans les mois qui ontprécédé l'annonce du départdes directeurs généraux dugroupe, dont elles ont sansdoute fragilisé la position.
Analysons ces exemples, etnotamment leurs pointscommuns.
L'ancienneté desdirigeantsLe premier point communde ces fraudes est qu'ellesont toutes été organisées parla direction des filialesconcernées. A chaque fois,
les dirigeants étaient enplace depuis longtemps : ilsavaient recruté eux-mêmesleurs principaux collabora-teurs, ils jouissaient d'uneforte légitimité en interne, etils connaissaient très bien letissu des partenaires locaux.Le siège, à distance, neconnaissait ni les collabora-teurs, ni les clients et four-nisseurs locaux. Les diri-geants avaient donc toutelatitude pour agir, les action-naires du groupe n'exerçantqu'un contrôle très lointain,sans contacts locaux.
Une absence decontre-pouvoirLe deuxième point communvenait du fait qu'il n'y avaitpas vraiment de contre-pou-voir en interne. Les princi-paux directeurs étaient ainsirecrutés et nommés par ledirecteur de la filiale. Ilsreportaient et étaient éva-lués par ce même directeurde filiale. Il n'y avait pas defonction réellement indé-pendante, garante des inté-rêts du siège. Il s'agissait deplus de filiales relativementlointaines, pour des siègessitués en France et en Alle-magne.
Des conflits d'intérêtUn troisième point, com-mun au moins à Reebook etPuma, a consisté dans l'exis-tence de conflits d'intérêtscachés. Dans ces deux cas eneffet, la direction générale acréé des sociétés-écran quiont réalisé des transactionsavec la société. Il sembleraitque ces sociétés-écran aientété clientes de la filiale
locale : elles achetaientapparemment des marchan-dises à un prix anormale-ment bas, ou ne payaient pasleurs factures. Les marchan-dises ainsi détournéesétaient ensuite revenduesaux clients finaux, soit auprix du marché, soit à un prixlégèrement inférieur. Dans le cas de Carrefour, lemécanisme est différentpuisqu'il n'est pas reprochéaux dirigeants un enrichisse-ment personnel. La filialebrésilienne avait, entreautres, mis en place un sys-tème de « cavalerie » comp-table, permettant de décalerdes charges. Elle négociaitauprès de fournisseurslocaux des remises condi-tionnées à des objectifs devente ambitieux. Si cesobjectifs n'étaient pasatteints en fin d'année, lafiliale ne remboursait pas lesremises mais, en compensa-tion, s'engageait sur de nou-veaux objectifs encore plusambitieux auprès desmêmes fournisseurs. Cemécanisme n'était possibleque grâce à un contact privi-légié avec les fournisseurslocaux, contact exclusive-ment assuré par la filiale.
Un marchéintermédiéDans les exemples de Pumaet Reebook, les dirigeantsavaient réussi à placer leursociété dans une structurede marché intermédié. Lafraude a été rendue possibleen passant par des sociétés-écran, qui jouaient en appa-rence le rôle d'intermédiaireentre la société et ses clients
7juin-juillet 2012 - Audit & Contrôle internes n°210
ou fournisseurs. Le seulobjet de la société écran étaitde détourner une partie dela valeur ajoutée.
Il est frappant de constaterque ces quatre éléments seretrouvent dans d'autres trèsgrosses fraudes, dont lesmontants dépassent le mil-liard d'euros : Enron, Parma-lat, Olympus... Ce sont doncmanifestement des élémentsque doit rechercher l'audi-teur interne et qui doiventl'alerter.
Quelle devrait être l'attitudede l'auditeur pour évaluer,ou écarter, ce type derisque ? Comme pour tousles risques de fraude, l'audi-teur interne doit être attentifaux signaux d'alerte. Pourcela, il peut notammentrépondre aux questions sui-vantes :
• L'équipe dirigeante est-elle ancienne à son poste ?Des dirigeants nommésdepuis peu, connaissant malleurs collaborateurs, et sus-ceptibles d'être mutés dansquelques années, seront eneffet moins enclins à élabo-rer des schémas de fraudecompliqués.
• A-t-on des relationsanciennes avec des clients,fournisseurs, investisseurslocaux ?Ces relations sont en effetplus difficiles à contrôler, carelles sont souvent plus per-sonnalisées. Dans beaucoupde fraudes, l'ancienneté dela relation client / fournis-seur a ainsi été décisive.C'est, par exemple, ce quis'est passé pour Ahold (àl'époque numéro deux de lagrande distribution, derrièreWal-Mart et devant Carre-four), qui avait, avec la com-plicité de ses fournisseurs,gonflé son résultat d'un mil-liard de dollars.
• Connaît-on les action-naires et dirigeants de cespartenaires locaux ?La présence d'actionnaires
minoritaires dans une filialedoit, à cet égard, être unsignal d'alerte supplémen-taire. Ainsi, dans le cas de lafiliale grecque de Puma, lesdirigeants étaient égalementactionnaires minoritaires. Cesont eux qui ont engagé lafiliale dans des relationscommerciales avec dessociétés qu'ils avaient créées.Les auditeurs internes nedevraient donc pas hésiter àse renseigner sur les autresmandats ou participationsque détiennent les action-naires minoritaires desfiliales, a fortiori si cesactionnaires sont impliquésdans la gestion de la filiale.
• Est-on certain que l'on abesoin de passer par desintermédiaires (avec lesfournisseurs ou avec lesclients) ? A-t-on envisagéde gérer directement lesrelations avec les clients ? Le passage par des intermé-diaires peut être tout à faitjustifié, mais l'auditeur doitjustement s'assurer qu'ils'agit d'une stratégie délibé-rée, validée par les action-naires et par le siège. Il fau-drait donc vérifier si la filialea effectivement envisagéd'autres options, et si cechoix a été validé par uneanalyse indépendante, parexemple d'une étude demarché ou d'un conseil enstratégie.Dans le cas où les filialespassent par des grossistes oudes distributeurs, les audi-teurs devraient au moinsvérifier si l'on connaît lesprix de vente au client final,et si les marges des distribu-teurs semblent cohérentesavec leur prestation.
• Y a-t-il au sein de lafiliale un contre-pouvoirindépendant du manage-ment local ?Une pratique courante dansbeaucoup de groupes inter-nationaux consiste à nom-mer des directeurs financiersou contrôleurs de gestionqui ne dépendent pas de lafiliale, mais directement du
siège. La rotation à cespostes est souvent rapide(tous les 3 à 5 ans suivant lespays). Cela permet de créerun contre-pouvoir dans lesfiliales, indépendant de ladirection générale, rendantdes comptes directement ausiège et garant de la mise enœuvre des règles et procé-dures décidées par legroupe.
• Les comptes sont-ilscertifiés par un commis-saire aux comptes indé-pendant ?La présence d'un commis-saire aux comptes indépen-dant n'est pas une conditionsuffisante pour éviter lesfraudes. Ainsi, dans les troisexemples ci-dessus, les com-missaires aux comptes n'ontpas su détecter les fraudescommises par les directionslocales. Les autorités detutelle brésiliennes etindiennes ont d'ailleurslancé des enquêtes pourévaluer leur responsabilité.La certification des comptesde la filiale reste cependantune condition sine qua nonpour empêcher ce type defraude massive. Les audi-teurs internes devraientdonc être particulièrementvigilants en cas de réserveémise par les commissairesaux comptes ; ils doiventaussi s'interroger s'ilsconstatent que les commis-saires aux comptes locauxn'ont pas été choisis par lesiège, et ne sont pas lesauditeurs du groupe. Demême, la présence d'unestructure juridique complexe(présence de sous-filiales,participations minori-taires...) doit constituer unélément d'alerte pour l'audi-teur, qui doit, dans ce cas,s'assurer qu'un même com-missaire aux comptes a bienun mandat unique surtoutes les filiales, et a doncune vue d'ensemble de l'ac-tivité locale. En cas de doute,il est envisageable dedemander au commissaireaux comptes de réaliser destravaux complémentaires sur
la question des conflits d'in-térêt du management, parexemple en recherchant lesactionnaires et dirigeantsdes principaux clients, four-nisseurs, partenaires locaux.Enfin, les auditeurs internesne devraient pas hésiter,dans le cadre de leur audit, àrencontrer les commissairesaux comptes.
• A-t-on créé un Comitéd'audit ? Sinon, le Conseild'administration joue-t-ilbien ce rôle ?Une bonne pratique quipeut également être vérifiéepar les auditeurs est l'exis-tence d'un Comité d'auditlocal, comprenant des mem-bres du siège. Le Comitéd'audit devrait choisir lescommissaires aux comptes,décider de leur périmètred'action et de leur budget, etles rencontrer périodique-ment. Le Comité d'auditdevrait aussi établir une rela-tion directe et régulière avecla direction financièrelocale ; cela permet d'avoirun effet dissuasif certain, caril est plus risqué pour undirecteur général de deman-der à sa direction financièrede maquiller les comptes sicette dernière rencontrerégulièrement le Comitéd'audit.
Les auditeurs internes nedoivent donc pas seulementaborder les risques de« petites fraudes », com-mises par des employésindélicats. L'actualitérécente montre que les plusgrosses fraudes partent d'enhaut, et sont organisées parles directions généraleselles-mêmes. Il est doncnécessaire, lors d'un audit,d'évaluer si le contexte est àrisque (direction généraleancienne, marché intermé-dié...) et si les bonnes pra-tiques pour empêcher cesfraudes sont bien en place(rotation aux postes clef,indépendance de fait duDAF, Comité d'audit...).
8
IDÉES ET DÉBATS
Audit & Contrôle internes n°210 - juin-juillet 2012
La mise en œuvredu contrôle interneimpulsée au sein des OPCA
Nathalie Cretel
Directeur du contrôle interne,OPCA PL
Diplômée en droit, Nathalie Cretela assuré dans le secteur bancaire,les fonctions de responsable recou-vrement, qualité des processus,contrôle interne, de directeur del’audit et des contrôles, puis de res-ponsable conformité groupe, avantd’intégrer le secteur de la forma-tion professionnelle continue entant que directeur du contrôleinterne à l’OPCA PL.
Les organismes paritairescollecteurs agréés au cœur dela réforme de la formationprofessionnelle
Les organismes paritaires collecteursagréés (OPCA) sont des institutions àgestion paritaire dotée de la personna-lité morale de droit privé. Principale-ment réglementés par le code du travailsous l’autorité de la DGEFP (DélégationGénérale à l’emploi et à la formationprofessionnelle) et régis par des accordscollectifs, ils sont agréés par l’Etat afinde collecter les contributions financièresdes entreprises qui relèvent de leurchamp d’application, dans le cadre de laformation professionnelle continue. LesOPCA mutualisent les contributionsfinancières versées par les entreprises,soit dans le cadre de leur obligation àcaractère fiscal, soit au titre d’une obli-gation conventionnelle prévue dans unaccord collectif étendu, soit au titre d’unversement volontaire pour prendre encharge, selon les priorités de branche, lesformations ou les stages au titre du plande formation, de la professionnalisationet du droit individuel à la formation,voire selon leur agrément, des congésindividuels de formation. Les OPCAsont constitués par un accord fondateurconclu entre les organisations syndicalesd’employeurs et de salariés, représenta-tives dans le champ de l’accord.
Dans le cadre de la réforme de la forma-tion professionnelle, la loi du 24 novem-bre 2009, relative à l’orientation et à laformation professionnelle tout au long
de la vie, et le décret n°2010-116 du 22septembre 2010, relatif aux organismescollecteurs paritaires agréés des fonds dela formation professionnelle continue,étoffent le champ d’action des OPCA,déterminent de nouvelles conditionsd’agrément des OPCA au 1er janvier2012, notamment en fixant le niveauminimum de collecte à 100 millionsd’euros et créent un mécanisme deconventionnement entre l’Etat etchaque OPCA sur les objectifs et lesmoyens des services rendus par l’OPCAdistinguant les frais de missions consa-crés à l’accompagnement, au conseil,aux services de proximité et à l’ingénie-rie de formation, des frais de collecte, degestion administrative et de frais deparitarisme.
En conséquence de ces nouvelles dispo-sitions, le paysage des OPCA s’estmodifié au début de cette année avecleur réorganisation et leur rapproche-ment réduisant de moitié le nombre desOPCA mais augmentant leur surfacefinancière.
Un nouveau paysageprivilégiant le contrôleéconomique et financier,la transparence etla performance defonctionnement des OPCA
La réforme a plusieurs objectifs : renfor-cer la transparence dans la gestion et lagouvernance des organismes, renforcerla péréquation des fonds, accroître l’offreet la qualité des services des OPCA,
9juin-juillet 2012 - Audit & Contrôle internes n°210
notamment en mettant en place un ser-vice de proximité particulièrement des-tiné aux besoins en formation des TPE-PME, la mutualisation de l’ingénierie. Ces enjeux se concrétisent par l’organi-sation de nouveaux acteurs de place etdu contrôle des OPCA, la mise en placede bonnes pratiques, l’introduction denouvelles obligations ou interdictionspour les OPCA.
Le dépassement des frais de gestionnégociés dans la convention triennaleconclue avec l’Etat, peut entraîner dessanctions pour l’OPCA.
Il est créé un fonds paritaire de sécuri-sation des parcours professionnelsauquel les OPCA doivent reverser unpourcentage de leur collecte fixé annuel-lement par arrêté ministériel. Le FPSPPcontribue au financement d’actions deformation professionnelle sur la based’appels à projet et assure des verse-ments complémentaires aux OPCA autitre de la professionnalisation et ducongé individuel de formation.
Par ailleurs, le nouvel article L6332-1-2du code du travail prévoit que le FPSPPétablit et publie une charte de bonnespratiques pour les OPCA et les entre-prises.
Des principes en matière d’incompati-bilités de mandats sont introduits ausein de l’article L6332-2-1 du code dutravail et visent à réduire les risques deconflit d’intérêt d’une personne exerçantune fonction de salarié ou d’administra-teur au sein d’un OPCA.Les obligations de publicité sont renfor-cées dans le sens d’une meilleure infor-mation et lisibilité par l’ensemble desacteurs : les OPCA ont l’obligation depublier sur leur site internet, dans unerubrique dédiée et identifiable, la listedes priorités, des critères et des condi-tions de prise en charge, la liste desorganismes de formation bénéficiairesdes fonds de l’organisme collecteur, lescomptes annuels, ainsi que le rapport ducommissaire aux comptes. La rubriquedoit être actualisée dans les 15 jours sui-vant la modification de l’une de cesinformations.
Le rapport de gestion de l’OPCA certifiépar les commissaires aux comptes, jointà l’état statistique et financier (l’ESF)communiqué à la DGEFP avant le 31mai de chaque année, est complété etdoit désormais détailler l’évolution descharges par nature et par destination,ainsi que l’organisation et la mise enœuvre du contrôle interne et les diffé-rentes procédures permettant de fiabili-ser l’usage des fonds (article R6332-1 ducode du travail).
L’autorité des services de contrôle de laDGEFP a été confirmée et renforcée. Pararrêté du 25 novembre 2011du ministrede l'Économie, des Finances et de l'In-dustrie et de la ministre du Budget, desComptes publics et de la Réforme del'État, la mission du service du contrôlegénéral économique et financier desorganismes chargés de l'emploi et de laformation professionnelle est désignéepour exercer le contrôle économique etfinancier de l'État sur les OPCA.
L’engagement fort de l’OPCAPL dans la mise en place dela fonction contrôle interne
L’OPCA PL, organisme paritaire collec-teur agréé des professions libéralesreprésentant 17 branches profession-nelles (sections cadre de vie, juridique etjudiciaire, officier public ministériel,santé et experts en automobile) a élargison champ d’action en intégrant depuisle 1er janvier 2012, les activités del’OPCA collecteur des contributions desentreprises relevant de l’hospitalisationprivée (ex FORMAHP).
L’OPCA PL s’est fortement engagé dansla mise en place d’une fonction contrôleinterne avec pour objectif d’améliorer latransparence et l’efficacité de l’ensemblede ses activités. La création de cettefonction a été décidée par le Conseild’administration dès décembre 2009,alors que la réforme de l’agrément desOPCA venait de paraître, dans la conti-nuité d’une démarche qualité qui avaitété initiée en 2009, permettant ainsi àl’OPCA PL de disposer d’un premierniveau de cartographie des processus etd’activités métiers. L’enjeu était d’orga-
niser dès 2011 le pilotage interne desrisques et de mettre en exergue lescontrôles contribuant à la fiabilisationdes procédures.
Les objectifs du contrôle interne sontprincipalement de s’assurer du respectdes règles de fonctionnement, des pro-cédures et des décisions du Conseild’administration, vérifier la conformitédes activités avec le corpus réglemen-taire, sécuriser les flux financiers. Autantde garanties indispensables pour lesadministrateurs et les équipes tech-niques de l’OPCA PL, l’Etat et les entre-prises adhérentes dans une vision opé-rationnelle de réduction des risques.
La fonction contrôle interne, pourvuedès septembre 2010 par le recrutementd’un directeur contrôle interne, est rat-tachée hiérarchiquement à la présidenceparitaire et rend compte fonctionnelle-ment au directeur général. Les adminis-trateurs tiennent à préserver l’indépen-dance de la fonction tout en privilégiantune gestion intégrée des risques et descontrôles. Au regard de la taille de l’organisme(134 salariés au 01/01/2012), la fonctioncoordonne 4 métiers : la gestion risques,le contrôle permanent, la conformité etl’audit interne. Toutes personnes exer-çant au sein de la fonction contrôleinterne est tenue au respect de règleséthiques définies dans une charte desdroits et devoirs : intégrité, confidentia-lité, impartialité, professionnalisme,indépendance.
Une démarche contrôleinterne encadrée
Des normes et cadres de référencesen contrôle interne transposés àl’OPCA PL
En l’absence de dispositions légales,réglementaires ou de normes profes-sionnelles propres à l’organisation etaux modalités de mise en œuvre ducontrôle interne des organismes pari-taires collecteurs agréés, l’OPCA PL aconçu son propre modèle en s’inspirantdes cadres de référence de place, telsque la « mise en œuvre des dispositifs de
10
IDÉES ET DÉBATS
Audit & Contrôle internes n°210 - juin-juillet 2012
gestion des risques et de contrôleinterne » de l’AMF, COSO II et, notam-ment en raison de la similitude de cer-tains de ses processus avec ceux du sec-teur bancaire, du CCLRF n°97-02 relatifau contrôle interne des établissementsde crédit et des entreprises d’investisse-ment .
Le contrôle interne s’applique à l’en-semble des activités de l’OPCA PL, ycompris aux activités externaliséesauprès de prestataires, de mandatairesde collecte et de tout autre intermé-diaire, ainsi que des contreparties signa-taires d’éventuelles conventionsconclues avec l’OPCA PL dans le cadred’un partenariat avec, par exemple, unecollectivité territoriale ou une institutionpublique comme Pôle emploi.
Un standard interne de règles a été for-malisé puis approuvé par les adminis-trateurs afin d’encadrer le dispositifcontrôle interne à déployer à moyenterme :• Un référentiel de contrôle internedéfinit les objectifs, les principes et lesdispositifs de contrôle interne propresaux activités de l’OPCA PL, et orga-nise de manière anticipée le contrôleinterne dans le cadre d’un rapproche-ment avec un autre organisme pari-taire.
• Une charte des droits et devoirs orga-nise le rôle, les responsabilités et lesdroits des collaborateurs, des respon-sables d’activités, des membres duComité de direction, du directeuradministratif et financier, du directeurgénéral, de la présidence et des tréso-riers dans la mise en œuvre ducontrôle interne.
• Une charte de gouvernance et depilotage précise les principes deconflit d’intérêt, de transparence, desurveillance de l’efficacité et de l’effi-cience du contrôle interne. Le rôle desinstances internes de gouvernance enmatière de gestion des risques etcontrôle interne y est présenté.
Les 4 métiers coordonnés par la fonctioncontrôle interne sont présentés dans leréférentiel. Leurs missions et procédures
sont organisées de manière à disposerd’un système de contrôle efficace et per-tinent, à développer une synergie entredispositifs de chaque métier, ainsi qu’àfaciliter la séparation des fonctions si lataille de l’OPCA PL évoluait dans lefutur.
Concernant le respect des règles déon-tologiques de l’audit interne, une règleest fixée : tout audit du dispositifcontrôle interne devra être réalisé par unaudit externe, tant que l’audit internen’est pas séparé de la gestion des risqueset du contrôle permanent. Quant auxaudits internes de processus, de confor-mité ou organisationnels, l’existence deprocédures distinctes et de méthodesappropriées à la réalisation de ce type demissions permet de garantir le principed’objectivité. Par ailleurs, les constats etrecommandations issus de ces auditsconstituent des informations utiles etnécessaires pour la gestion des risqueset améliorent le dispositif de contrôlepermanent.
Organisation de la gouvernance ducontrôle interne
L’organisation de la gouvernance ducontrôle interne a plusieurs enjeux :• intégrer le contrôle interne dans lesprocessus de pilotage de l’OPCA PLet dans le processus de gestion deprojets ;
• partager l’appétence au contrôleinterne au sein de l’organisme ;
• assurer que l’attitude des collabora-teurs est cohérente avec celle dumanagement et des dirigeants ;
• veiller à ce que les équipes de la fonc-tion contrôle interne aient les compé-tences et la légitimité nécessaires àl’exercice de leurs responsabilités.
La gouvernance du contrôle interne doitêtre adaptée à l’organisation de l’OPCAPL qui est notamment caractérisée parles règles du paritarisme et les règles defonctionnement propres aux OPCA. Lesadministrateurs sont des élus d’organi-sations syndicales et patronales dontl’intérêt à protéger est politique avantd’être financier. Autant de paramètres
qui ne sont pas nécessairement ceuxdans l’état d’esprit des textes applicablesà d’autres sociétés privées, tels que la8ème directive européenne, les articlesL225-37 et L225-68 du code de com-merce ou encore les dispositions du titreVI du CCLRF n° 97-02 déterminant lerôle des organes exécutifs et délibérants.
La mission en contrôle interne duConseil d’administration a été introduitedans les statuts de l’OPCA PL à l’occa-sion de son renouvellement d’agrément.Il nomme un Comité des risques etd’audit dont la composition est définiedans la charte de gouvernance et depilotage en contrôle interne. Le Comitédes risques et d’audit porte notammentune appréciation sur la qualité ducontrôle interne, la cohérence des sys-tèmes de mesure, de surveillance et demaîtrise des risques.
Un déploiement du contrôleinterne progressif et maîtrisé
Un incontournable : la fédération dessalariés et des administrateurs aucontrôle interne
Un plan de communication et de sensi-bilisation au contrôle interne est mis enœuvre. Dès le début de la démarche, uneprésentation détaillée du contrôleinterne a été animée auprès des admi-nistrateurs. L’ensemble des salariés abénéficié d’une présentation généraledu dispositif dès le 1er semestre 2011.Cette même présentation est planifiéeau 1er trimestre 2012 auprès des nou-veaux salariés issus de l’organisme ayantfusionné avec l’OPCA PL, dans l’objectifd’assurer un même niveau de sensibili-sation des collaborateurs avant mêmeleur intégration au sein des locaux.
Une filière fonctionnelle contrôleinterne est mise en place afin de dispo-ser d’une « force motrice » pour ledéploiement du dispositif. La fonctioncontrôle interne s’appuie sur un réseaude correspondants opérationnels dési-gnés au sein des activités, formésnotamment à l’élaboration de cartogra-phie des risques.
11juin-juillet 2012 - Audit & Contrôle internes n°210
Un Comité opérationnel du contrôleinterne, ad hoc, est prévu pour suivre lesrisques et l’avancement des plans d’ac-tion, informer sur les incidents et leurcorrection, observer l’efficacité descontrôles permanents, partager les pra-tiques entre correspondants.
Un logo propre au contrôle interne a étéconçu et représente les 4 métiers et leursdispositifs à déployer. Toute documenta-tion et communication relatives aucontrôle interne comportent ce logo,permettant ainsi aux salariés d’identifieret d’être attentifs aux informations de la« marque » contrôle interne. Ce logo estégalement l’image fédératrice autourd’un projet d’entreprise.
Une démarche initiée par la gestiondes risques
L’OPCA PL a choisi d’initier la mise enœuvre de son contrôle interne par lagestion des risques en raison des avan-tages qu’une telle démarche peut pro-curer dans une organisation dont lescollaborateurs ne sont pas initiés à uneculture ni à un jargon « contrôles ». Lesenjeux consistent à décloisonner lesactivités métiers, favoriser le partaged’informations et de connaissancesentre les services, impliquer tous lesacteurs de l’organisme afin de proscrireles préjugés sur le contrôle interne etanticiper les risques inhérents à la réor-ganisation de l’OPCA. Initier le contrôleinterne par la mise en œuvre de l’auditinterne aurait eu pour effet de renforcerla perception qu’avaient les collabora-teurs d’une fonction « policière ».
Une démarche de cartographie desrisques des processus se poursuit en2012. Il est nécessaire d’effectuer unerevue des processus pratiqués avant lafusion, d’une part, et ceux intégrés aprèsla fusion, d’autre part, afin de définir desaxes d’harmonisation, de fiabilisation oud’optimisation d’activités dans le cadrede l’accompagnement au changement.La centralisation des incidents devraitêtre organisée après l’aboutissement decette cartographie des risques.
Un standard des risques formalisé préa-lablement dans le référentiel contrôleinterne de l’OPCA PL définit des caté-gories de risques représentant les grandsrisques inhérents aux activités del’OPCA PL : risque opérationnel, risquede non-conformité, risque juridique,risque de contrepartie, risque financier.Des typologies de causes de risques sontdéclinées pour chaque catégorie, ainsique des typologies d’impacts. Chaqueévénement de risque identifié au seindes processus est rattaché à une cause etun impact définis au sein d’une mêmecatégorie de risques.
Ce référentiel inspiré de la classificationBâloise, permet d’encadrer l’analyse desrisques et d’aider les correspondants àassimiler la méthodologie. Des analysessimples des risques évalués peuventégalement être réalisées, sans qu’il soitbesoin d’un logiciel spécifique, pour res-tituer graphiquement un état mettant enexergue les principales causes et consé-quences dans chaque cartographie desrisques. Les contrôles permanents pratiqués ausein des activités sont recensés en partieà l’occasion de la modélisation des pro-cessus et de l’évaluation des risques.L’évaluation de ces contrôles seradéployée après la stabilisation des dis-positifs de gestion des risques, au mêmetitre que l’organisation des contrôles de2e niveau.
Le pilotage des risques RH dans lecadre de la fusion de l’OPCA PL
La première cartographie des risquesréalisée en 2011, sur demande de la pré-
sidence, portait sur les risques inhérentsaux processus ressources humaines envue de la fusion éventuelle avec d’autresorganismes. Une première évaluationdes risques a été réalisée avec la respon-sable des ressources humaines avant lerapprochement effectif. Après la fusion,une revue complète de la cartographiedes processus RH et des risques a étéeffectuée par les responsables d’activitésRH représentant respectivement lesactivités de l’OPCA PL et les activités del’organisme absorbé. Des plans d’ac-tions préventifs ont été préconisés surles risques majeurs. La cartographie desrisques et les plans d’actions définispour les risques majeurs sont validés parla présidence et la direction. Des respon-sables de plan d’action, membres de ladirection, sont désignés. Les résultatssont présentés au Comité des risques etd’audit.
En prenant connaissance des risquessignificatifs, la présidence a pu planifier,engager certaines actions préventives etattribuer des directives auprès des mem-bres de la direction transitoirementorganisée.
Les responsables d’activités en res-sources humaines ont trouvé l’intérêt àcette démarche : la cartographie desrisques est à la fois un outil d’anticipa-tion dans la gestion de projet permettantde réagir et d’être proactif, ainsi qu’unsupport de référence des actions à pla-nifier, à consulter en tant que de besoinau cours du projet. L’objectivité de l’ana-lyse des risques, la justification de l’éva-luation, la vision globale et transversedes risques synthétisée au sein d’unsupport normalisé fait de cette cartogra-phie des risques un véritable outil decommunication pour la fonction RH.Pour la direction et la présidence, la car-tographie des risques est un outil depilotage et d’aide à la décision contri-buant à la réussite de la fusion del’OPCA PL sur le plan social.
12
IDÉES ET DÉBATS
Audit & Contrôle internes n°210 - juin-juillet 2012
La communicationde l’audit interne versles organes de gouvernance
Michel Caty
Responsable de portefeuille demissions,GDF SUEZ
Responsable de portefeuille de mis-sions depuis 3 ans au sein de ladirection de l’audit interne de GDFSUEZ, Michel Caty a entamé sacarrière au sein de la directionfinancière du Groupe, dans les acti-vités de marché, les fusions-acqui-sitions et le contrôle de gestion.Ingénieur diplômé de l’Ecole Cen-trale de Lille, il est aussi titulaired’un DEA de Sciences de Gestion.
L’audit interne de GDF SUEZ eststructuré autour de 7 équipesd’auditeurs établies au siège et au
sein de chacune des 6 branches duGroupe. Des équipes plus restreintessont localisées dans certaines entités detaille réduite pour des raisons de gou-vernance locale.Plusieurs centaines de missions d’auditsont réalisées chaque année par lesauditeurs du groupe et un processusstructuré a été mis en place au sein de ladirection de l’audit interne pour assurerune communication efficace auprès dela direction générale de GDF SUEZ etdu Comité d’audit.
La communication sur l’activité de l’au-dit interne est organisée autour d’unrapport d’activité mensuel destiné auComité exécutif du groupe et d’un rap-port trimestriel présenté par le directeurde l’audit interne au Comité d’audit deGDF SUEZ.Ces productions s’inscrivent dans lesexigences des normes de l’audit interne(MPA 2420-1) qui stipulent que l’auditinterne a le devoir d’assurer une com-munication exacte, objective, claire,
concise, constructive, complète et émiseen temps utile.
Alerter le management,informer le Comité d’audit surl’efficacité du système decontrôle interne et de gestiondes risques
Le rapport d’activité mensuel vise à pré-senter au Comité exécutif du groupe unesynthèse des principaux constats iden-tifiés au sein du groupe au cours desmissions d’audit interne, et des recom-mandations émises. Les membres de ladirection générale peuvent ainsi êtrealertés sur des dysfonctionnementsintervenus hors de leur périmètre, maisdont le retour d’expérience peut êtrebénéfique pour leurs fonctions ou enti-tés. Les directeurs fonctionnels peuventaussi identifier, à partir des travaux réa-lisés sur le terrain par les auditeurs, dessignaux diffus concernant les processusdont ils sont en charge.Le rapport d’activité trimestriel vise àinformer le Comité d’audit dans le cadredes responsabilités reconnues par la 8ème
Directive, à savoir le suivi de l’efficacité
La communication sur l’activité de l’audit interne de GDF SUEZ est organisée autourd’un rapport d’activité mensuel destiné au Comité exécutif du groupe et d’un rapporttrimestriel présenté par le directeur de l’audit interne au Comité d’audit de GDF SUEZ.Le rapport mensuel présente une synthèse des principaux constats identifiés aucours des missions d’audit interne et des recommandations émises. Le rapport tri-mestriel traite de l’efficacité du système de contrôle interne et de gestion des risques.
13juin-juillet 2012 - Audit & Contrôle internes n°210
du système de contrôle interne et degestion des risques.
Une information concise etémise en temps utile
Le rapport d’activité mensuel, volontai-rement limité à une seule page, est dif-fusé au Comité exécutif quelques joursaprès la fin du mois.En fonction de l’actualité, le rapport pré-sente environ 8 missions sous laforme d’un texte dequelques lignes indi-quant systématique-ment :• les éléments decontexte (chif-fre d’affairesde l’entité,objet de lamission, éten-due des tra-vaux...) ;
• l’opinion d’auditinterne ;
• les principaux constats etrisques identifiés ;
• les principales recommandations desauditeurs.
Une information claire etconstructive
Afin que les membres du Comité exécu-tif puissent évaluer rapidement lesenjeux, une grande attention est portéeà la présentation du contexte (le groupeest actif sur tous les continents et exercede nombreux métiers au sein de plusd’un millier d’entités juridiques) en évi-tant les acronymes et les termes tech-niques. Des faits identifiés concrets illus-trent l’analyse des risques et étayent lesrecommandations des auditeurs. Le tonest par ailleurs direct, mais mesuré.
Une information complète
Les rapports de missions émis par tousles auditeurs, quelle que soit leur locali-sation dans le monde, sont systémati-quement transmis au directeur de l’auditinterne du groupe.Ces documents sont analysés afin de
présenter :• les déficiences critiques susceptiblesd’affecter le groupe ;
• les déficiences présentant un niveaude criticité local et méritant néan-moins de figurer dans le rapport d’ac-tivité global.
Le principal critère retenu pour effectuerla sélection des missions présentées estle niveau de risque évalué par la mission
en termes financier, de réputationou de sécurité des per-
sonnes. D’autres para-mètres sont aussi prisen compte : • les missionsn’ayant pasidentifié de défi-ciences cri-tiques, maisconcernant desenjeux ou entités
significatifs pour legroupe ;
• les thèmes d’actualité ouayant fait l’objet de questionne-
ment de la part du management ;• les missions portant sur un thèmerarement abordé et permettant unretour d’expérience applicable à unpérimètre plus large.
Un échange est organisé avec chaquedirecteur d’audit de branche, lors de laphase de préparation du rapport, afin devérifier que les missions citées illustrentadéquatement la nature et l’étendue destravaux d’audit effectués pendant lemois écoulé.
Une information exacte
La synthèse en quelques lignes d’unrapport abordant parfois des probléma-tiques complexes est un exercice difficile.Afin d’éviter toute dilution ou déforma-tion de l’information, la source utiliséepour établir le rapport d’activité est lerapport d’audit.Pour assurer la correcte transcription desenjeux de la mission et toutes lesnuances du rapport dans la synthèse, leprojet de rédaction est validé avec lesdirecteurs d’audit de branche qui appor-
tent leur connaissance « terrain » et leurappréciation du contexte. Si nécessaire,l’auditeur responsable de la missionpeut aussi être consulté.
Une information objective
Le directeur d’audit interne du groupearbitre, le cas échéant, certaines options,adapte la tonalité des synthèses, assurela cohérence du message et la bonnehiérarchisation des enjeux. Il est, en par-ticulier, le garant final de l’objectivité etde l’indépendance de la communica-tion.
Une relation régulière etétroite avec le Comité d’audit
Les activités de l’audit sont présentéestrimestriellement par le directeur del’audit interne lors des séances duComité. Ces séances régulières sontcomplétées par des entretiens moinsformels réunissant le président duComité d’audit et le directeur de l’auditinterne du groupe.
L’information apportée au Comité d’au-dit doit lui permettre d’exercer les res-ponsabilités attribuées par la 8ème Direc-tive, à savoir le suivi de l’efficacité dusystème de contrôle interne et de ges-tion des risques.
Une activité d’audit proche duterrain et couvrant les enjeux
Les rapports d’activité présentent systé-matiquement une vision globale des
Le rapport d’activité mensuel de l’au-dit interne donne lieu à des ques-tions ou échanges au sein du Comitéexécutif de GDF SUEZ. Suite à sa diffusion, les membres dela direction sollicitent l’audit internepour obtenir certains rapports demissions ou pour organiser une pré-sentation ad hoc. L’intérêt qu’il suscite est une preuvede l’utilité et du caractère clé de cevecteur de communication pour l’im-pact de l’audit interne au sein dugroupe.
« Le dispositif decommunication mensuel – concis
et rapide – favorise une informationimmédiate et une action rapide du
management.Les auditeurs internes font ainsi la
démonstration qu’ils sont dans l’actualitédu business. »
Xavier Bedoret, directeur del’audit interne de GDF SUEZ
14
IDÉES ET DÉBATS
Audit & Contrôle internes n°210 - juin-juillet 2012
activités menées par l’audit interne avecune approche géographique, par métier,par processus et par risques.Le Comité d’audit peut constater laproximité de l’audit interne du groupeavec les opérationnels (les auditeurssont sur le terrain, là où le groupe exerceson activité) ainsi que la couverture desprincipaux processus et des risquesmajeurs du groupe. Il est aussi informéde l’avancement du plan annuel d’auditainsi que des principaux arbitragesapportés au plan en cours d’année.
Présentation des constatsles plus significatifs pourle groupe et des missionstypiques
Un focus sur quelques missions (présen-tation sur une à deux pages) permet decouvrir :• les constats portant sur des sujetsimportants ou sensibles ;
• certaines missions n’ayant pas identi-fié de déficience critique, mais faisantsuite à une demande du Comité d’au-dit, couvrant un sujet d’actualité, oupermettant de donner une assuranceraisonnable sur un processus majeuroù un thème à enjeu du groupe.
Pour ces missions, des éléments decontexte permettent de présenter l’en-vironnement et les objectifs de la mis-sion. Les constats et les recommanda-
tions de l’audit interne sont complétéspar les plans d’actions du managementqui permettent d’assurer que les dys-fonctionnements sont traités dans undélai raisonnable. Annuellement, un bilan de la revue ducontrôle interne du groupe est accom-pagné d’une conclusion du directeur del’audit interne sur la conformité, la maî-trise des enjeux et la performance glo-bale des opérations ainsi que de la syn-thèse des missions destinées à apprécierl’efficacité du contrôle interne à l’échelledu groupe.
Une identification rapidedes cas de non-conformitééthique, de leur traitementet des recommandationsen termes d’améliorationdu contrôle interne
Les cas de non-conformité éthiqueidentifiés au sein du groupe et le suivides actions de traitement menées par lemanagement sont présentés de manièrecomplète. Afin d’assurer le respect deslois et règlementations (secret judiciairesi des procédures sont en cours, prin-cipes éthiques sur l’intégrité et la dignitédes personnes), la liste des cas est pré-sentée de manière anonyme. Ce sujetest traité de manière coordonnée avec ladirection éthique et la direction juri-dique de GDF SUEZ.
Un bilan régulierde l’avancement des actionsde progrès
Un bilan de la mise en œuvre des plansd’actions par le management est pré-senté sous forme d’indicateurs parbranche. Des informations qualitativesdétaillées décrivent l’avancement desprincipaux plans d’actions lorsqu’ilsportent sur des sujets à enjeu pour legroupe.
Une étape clé : la présentationdu plan d’audit annuel
La présentation du plan annuel d’auditdonne lieu à un échange riche. L’auditinterne présente une vision détaillée des
principales missions venant couvrir desrisques et enjeux du groupe, et produitdes éléments quantitatifs sur les autresmissions (approche par pays, processus,type de mission).
Une évaluation régulièrede la satisfaction des partiesprenantes
Le directeur de l’audit interne du groupes’assure périodiquement que les formatsde communication donnent satisfactionaux parties prenantes : ce point fait par-tie du programme d’amélioration de laqualité qui est une exigence de l’auditinterne.Ainsi, lors de rencontres avec le mana-gement du groupe et le président duComité d’audit, il recueille périodique-ment leurs attentes. Des contacts régu-liers avec des personnes assistant auComité d’audit (directeur financier,auditeurs externes) permettent aussi devalider l’impact des présentationsmenées par l’audit interne et complètentainsi la boucle d’amélioration.
Un point de vigilance : L’organisa-tion du groupe est complexe. Plu-sieurs entités significatives disposentd’un Comité d’audit ou sont cotéessur les marchés financiers (Suez Envi-ronnement, Tractebel Energia…).L’audit interne de GDF SUEZ doit veil-ler à ce que l’information soit diffuséede manière organisée au sein dumanagement et des différentsniveaux d’organes de gouvernance.Ainsi, il tient compte des calendriersdes différents comités, de leurs règlesde fonctionnement et des normesprofessionnelles de l’audit interne.Une relation étroite avec les direc-teurs de l’audit interne des branchespermet d’identifier et d’intégrer cesquelques contraintes.
GDF SUEZGDF SUEZ inscrit la croissance res-ponsable au cœur de ses métiers(électricité, gaz naturel, services àl’énergie et à l’environnement) pourrelever les grands enjeux : répondreaux besoins en énergie, assurer lasécurité d’approvisionnement, luttercontre les changements climatiqueset optimiser l’utilisation des res-sources.Le groupe propose des solutions per-formantes et innovantes aux particu-liers, aux villes et aux entreprises ens’appuyant sur un portefeuille d’ap-provisionnement gazier diversifié, unparc de production électrique flexi-ble et peu émetteur de CO2 et uneexpertise unique dans quatre sec-teurs clés : le gaz naturel liquéfié, lesservices à l’efficacité énergétique, laproduction indépendante d’électri-cité et les services à l’environnement.GDF SUEZ compte 218 900 collabo-rateurs dans le monde pour un chif-fre d’affaires en 2011 de 90,7 milliardsd’euros.
15juin-juillet 2012 - Audit & Contrôle internes n°210
DOSSIER
Contribuer à la valeurajoutée des organisationsUne finalité pour l'audit et le contrôle internes
Comment le contrôle et l’audit internes peuvent-ilscontribuer à la valeur ajoutée des organisations ?Brigitte Charton et Patrick Garnier
21
Développer l’usage managérial du contrôle internepour un dispositif à valeur ajoutéeJean-Christophe Kypriotis et Michel Tudrej
16
Quelle place et quelle valeur ajoutée pour le contrôleinterne dans un grand groupe industriel ?Michel Tudrej
24
Sécuriser les risques, mission première de l’auditinterneBenoît Derville
19
Développer l’usage managérialdu contrôle interne pour undispositif à valeur ajoutée
Le groupe professionnel « Contrôle interne » de l’IFACIa produit un cahier de la recherche sur « La création devaleur par le contrôle interne ». Le développement de
la valeur d’usage managérial du contrôle interne y est présentécomme un des indicateurs clés de cette création de valeur.
Ces dernières années, les obligations réglementaires ont renduincontournable la formalisation du contrôle interne dans lesentreprises (loi Sarbanes Oxley aux USA, Loi de Sécurité Finan-cière et réglementations sectorielles en France, directives euro-péennes), par contre ces exigences de conformité masquentparfois la réalité de la valeur d’usage managérial qui est unatout majeur du contrôle interne.Il est vrai aussi que la première compréhension du mot« contrôle » en français réduit le sens de « maîtrise et pilotagedes activités » exprimé dans le langage anglo-saxon à une sim-ple notion de contrôle de conformité.Pourtant, l’amélioration des processus, la sécurisation des actifset la fiabilisation des flux d’information représentent autantd’objectifs susceptibles d’illustrer cette valeur d’usage.
Aussi, pour développer cette valeur d’usage managérial du dis-positif de contrôle interne au sein d’une organisation, ilconvient tout d’abord d’obtenir le soutien de quelques acteursmajeurs de l’organisation. Majeure entre toutes, la directiongénérale joue un rôle central, particulièrement moteur, car c’esttoujours elle qui se doit de définir les grandes lignes directricesdu dispositif de contrôle interne et de s’assurer périodiquementde son efficacité.D’autres acteurs peuvent aussi jouer un rôle important desponsor : les organes de gouvernance ou encore des directions
fonctionnelles (par exemple, une direction des systèmes d’in-formation qui assure la bonne intégration des points decontrôle clés dans les applications métiers ou qui maîtrise lesrisques d’indisponibilité des ressources informatiques).
16
DOSSIER
Audit & Contrôle internes n°210 - juin-juillet 2012
Jean-Christophe Kypriotis - Directeur du contrôle interne, GDF SUEZ - Co-pilote de l’unité de
recherche « La création de valeur par le contrôle interne » de l’IFACI
Michel Tudrej - Directeur de mission, responsable de l’animation du contrôle interne, Groupe EDF - Co-pilote de l’unité de recherche « La création de valeur par le contrôle interne » de l’IFACI
17
Contribuer à la valeur ajoutée des organisations
juin-juillet 2012 - Audit & Contrôle internes n°210
Afin de prendre en compte les partiesprenantes d’un dispositif de contrôleinterne dans une organisation, le cahierde la recherche propose d’adopter unedémarche structurée pour :• cartographier les parties prenantes ;• identifier et hiérarchiser leursattentes ;
• déterminer des critères de mesure deleur satisfaction ;
• adapter les moyens d’atteinte de leursobjectifs ;
• les informer sur la valeur ajoutée ducontrôle interne dans leur périmètre.
L’information des parties prenantes surla valeur ajoutée est fondamentale carelle permet de s’assurer que le dispositifde contrôle interne répond bien auxbesoins et d’identifier éventuellementles ajustements nécessaires.
Le cahier de la recherche propose despistes pour structurer ce retour d’infor-mation sur la valeur ajoutée du dispositifde contrôle interne et les conditions decette création de valeur :• indicateurs sur la capacité de l’organi-sation à disposer d’une structure etd’une gouvernance adaptée ;
• mesure de la capacité du dispositif à
être sur les « vrais » risques / oppor-tunités de l’entreprise et à améliorerleur niveau de maîtrise ;
• mesure de la qualité et de l’adéqua-tion des prestations liées à l’animationdu dispositif ;
• mesure de la satisfaction des partiesprenantes internes et externes.
Ainsi, toute action d’intégration ou deconvergence de démarches, telles quecontrôle interne, la qualité ou la sécurité,renforce l’efficacité globale des disposi-tifs et facilite leur appropriation par lemanagement opérationnel.
Dans certaines entre-prises, le dispositif decontrôle peut aussiêtre un vecteur d’har-monisation et de par-tage des bonnes pra-tiques. Pour cela, ils’appuie souvent surla mise à dispositionde référentiels decontrôle interne par-tagés au sein de l’or-ganisation et la miseen place de filièresd’animateurs du dis-positif de contrôleinterne.
Au-delà de ces élé-ments caractéris-
tiques de l’usage managérial, l’unité derecherche a identifié quelles sont les clésde réussite majeures lors des phasesd’élaboration et de déploiement d’undispositif de gestion des risques et decontrôle interne.Parmi celles-ci, on peut retenir :
a) Une approche réaliste,adaptée et en phase avec lesbesoins opérationnels
En effet, il est primordial que ladémarche se mette en place à un rythmeen ligne avec la maturité des processus,et en adéquation avec les attentes des
clients internes (organes de gouver-nance, direction générale, directionfinancière …) et externes (commissairesaux comptes, autorités de régulation,clients …).
De plus, la démarche doit prendre encompte et être en totale adéquation avecla culture de l’organisation et des diri-geants (éthiques, valeurs …) et l’appé-tence forte qui est affichée ou encorenaissante pour mettre en place unedémarche structurée. A cet effet, lesconclusions du cahier de la recherchesur les variables culturelles du contrôlepeuvent être utiles à prendre en consi-dération.
b) Un dispositif flexibleproactif et ouvert
Les éléments clés ayant un impact surles dispositifs de maîtrise des activitésqui sont en évolution permanente (envi-ronnement externe, lois et règlements,organisation interne, etc.), il est primor-dial que tout dispositif soit dès l’origineconçu afin de pouvoir assurer un degréde flexibilité suffisant pour être adapta-ble et adapté en tant que de besoin.
De plus, il ne doit pas être l’apanaged’une communauté d’experts ducontrôle interne, mais il doit absolumentimpliquer tous les acteurs concernés, etceci aux différentes étapes de vie de cedispositif (élaboration, déploiement, uti-lisation et évolution).
c) Un dispositif connu de tous
Au-delà de la mise en œuvre d’un dis-positif répondant aux besoins des diffé-rentes parties prenantes, il est indispen-sable d’accompagner le déploiement parles actions de communication ad hocafin de permettre son ancrage et sabonne appropriation dans la durée.
Cette communication doit être continue,ciblée en fonction des objectifs de cha-
(1)Cartographier
les parties prenantes
(2)IdentiÞer et hiérarchiser
leurs attentes
(3)Déterminer des
critères de mesure de leur
satisfaction
(4)Adapter les
moyens d'atteinte de leurs objectifs
(5)Les informer sur la valeur ajoutée du
contrôle interne dans leur périmètre
18
DOSSIER
Audit & Contrôle internes n°210 - juin-juillet 2012
cun (car ces objectifs peuvent être diffé-rents entre les lignes managériales, lesfonctions financières et les autres fonc-tions transverses parties prenantescomme RH, SI, communication, juri-dique …, les opérationnels sans compterbien sûr les personnels directement encharge de l’animation de la démarche),et elle doit utiliser des canaux de com-munication efficaces.
Cette communication doit d’abord êtrecentrée sur la plus value réelle pour sus-citer l’intérêt des acteurs impliqués dansla démarche et démontrer qu’elle n’estpas uniquement liée à des aspects obli-gatoires et réglementaires. Il est doncprimordial de trouver le bon axe decommunication qui varie d’une entre-prise à l’autre pour lever l’obstacle évo-qué ci-dessus de la mauvaise compré-hension et interprétation du terme« contrôle interne ». Le cahier de larecherche donne des éléments et desexemples intéressants sur ces différentspoints.
d) Un dispositif piloté à partird’un système de reportingfiable
le dispositif de reporting doit être penséet mis en place dès les premières phasesde déploiement et doit être destiné évi-demment en premier lieu à la directiongénérale et au Comité d’audit. Il appar-tient à l’entité corporate en charge de cepilotage de bien identifier les acteurs etle périmètre qui doit être intégré dans cereporting et le cas échéant d’en identifierles zones d’exclusion, afin de vérifier quecela est acceptable (cas des filiales iso-lées ou non majoritairement contrôlées).
e) Un programme d’entrepriseimpliquant un réseau decontrôle interne
Un risque important de non succès estlié à un pilotage avec une centralisationexcessive ou une concentration des res-
ponsabilités au sein d’un cercle d’ex-perts qui ne permettront pas l’adhésionde l’ensemble des personnels, qui sontpourtant au cœur des activités et desrisques, et par conséquent les premiersconcernés par la nécessité d’un niveaude maîtrise adapté.
Si l’existence d’un noyau corporate estincontournable, rien que pour définir lapolitique du groupe et assurer un pilo-tage pour la direction générale, il paraîtimportant de mettre en œuvre un réseaude responsables de contrôle interne auplus près des top managers opérationnelset fonctionnels de chaque société. Eneffet tout manager qui porte une activitéjugée importante est inévitablementsoumis à des risques associés (de nonatteinte de ses objectifs), aussi il se doitde mettre en place un dispositif de maî-trise de ces risques et donc de définir lesressources utiles pour mener cetteaction (cf. exemples dans le cahier de larecherche).
f) Des démarchescoordonnées
Comme déjà évoqué ci-dessus, diffé-rents acteurs contribuent à la bonnemarche du contrôle interne et il est pri-mordial que des synergies et des cohé-rences soient identifiées et mises enœuvre pour optimiser l’ensemble desdémarches pouvant exister dans unesociété (d’autant que certaines existentdepuis longtemps car liées aux proces-sus ou modes de management). L’inté-gration de ces démarches (CI, risques,assurance qualité, EFQM, fonctionne-ment par processus ...) et des acteursclés (animateurs de CI, animateurs degestion des risques, contrôleurs de ges-tion, responsables SI, responsables qua-lité, conformité, etc.) dans un systèmede management intégré structuré est deplus en plus la solution recherchée et laréponse adaptée. La définition d’indicateurs fiables etincontournables permettant de suivre et
de mettre en lumière la valeur ajoutéed’un dispositif de contrôle interne resteun challenge à relever. En effet, s’il existeaujourd’hui un nombre important d’in-dicateurs, la notion d’efficacité ducontrôle interne réside plus dans le suivide cette efficacité, par la mise en évi-dence des faiblesses et des plans d’ac-tion ad hoc correspondants, que par lamesure intrinsèque de cette efficacité.
Ceci est dû au fait que le contrôleinterne, comme la majorité des fonc-tions transverses, ne peut se décliner parun simple ratio coût / bénéfice, car si lecoût peut éventuellement être calculé,les bénéfices sont souvent des élémentsliés à des coûts évités ou des probabilitésd’occurrence. Toutefois, l’histoire récentemontre combien des lacunes de contrôlepeuvent avoir des conséquences gravesvoire … fatales pour les organisations,qu’elle doit nous encourager à poursui-vre le développement de dispositifs decontrôle interne de plus en plus adaptés,performants et efficients avec convictionet sans état d’âme.
19
Contribuer à la valeur ajoutée des organisations
juin-juillet 2012 - Audit & Contrôle internes n°210
Sécuriser les risques,mission première de l’auditinterne
L’audit et le contrôle internes doivent contribuer à la valeur ajoutée des organisa-tions. Pour cela, ils doivent s’assurer que les risques de tous ordres, et pas seulementfinanciers, sont maîtrisés. La valeur ajoutée implique notamment une adhésionsans réserve des audités aux recommandations, et une relation forte de l’audit avecle top management et le Comité d’audit.
Jean-Loup Rouff : L’audit et le contrôleinternes contribuent à la valeur ajoutée desorganisations dans la mesure où ils sontefficients. Comment, et avec quels outils,mesurez-vous cette efficience ?
Benoît Derville : Les meilleures pra-tiques recommandent que les contrôlesinternes et les audits soient réalisés surles activités et sur les processus sensi-bles, afin de sécuriser les risques :risques financiers, opérationnels, infor-matiques, juridiques, humains, légaux,réglementaires, voire risques de réputa-tion et il y en a sans doute d’autres.Dès lors que les contrôles et les missionsportent bien sur les activités et les pro-cessus fondamentaux, ils ont une valeur
ajoutée précieuse pour l’entreprise endonnant un éclairage précis sur la qua-lité des processus et sur le niveau demaîtrise des activités… parfois sousl’angle habituel de l’analyse qui est faiteen interne, mais parfois également sousun angle d’analyse différent.Valeur précieuse également, en mettanten évidence les insuffisances ou lessources de progrès pour se conformeraux axes stratégiques en termes de per-formance financière, de seuil de qualité,d’organisation interne.Un troisième aspect de valeur ajoutéeest la mise en place de plans d’actionadéquats, en ayant à l’esprit en perma-nence l’efficacité du couple : efficacitéattendue de la recommandation etimpact de sa mise en œuvre. Echappentà cette règle certains aspects liés auxobligations réglementaire et légaux,voire parfois d’autres aspects.Sur les outils, pour avoir une efficienceoptimale sur les fonctions de contrôle, ilest indispensable d’avoir une bonneconnaissance de l’entreprise, de ses pro-cessus, de ses risques. Et le déploiementd’outils comme la cartographie des
risques, par activité et par processus,avec la reprise des points de contrôle surces activités et ces processus, est essen-tiel. Identifier l’ensemble des risques,que ce soit à l’intérieur d’une businessunit ou sur un métier, et identifier lescontrôles positionnés sur chaque risque,cela donne beaucoup de sens à ladémarche.En outre, nous effectuons une démarched’identification, de dénombrement, devalorisation de l’ensemble des incidentsopérationnels qui se produisent dansl’entreprise. Il peut s’agir d’incidentsopérationnels sur le système d’informa-tion, ayant un impact sur toute la vie del’entreprise ; il peut s’agir du non-res-pect des réglementations ; il peut s’agirégalement d’incidents ayant un impactsur les aspects comptables et financiers.Nous avons donc un suivi de la réparti-tion des incidents par nature d’incident,par filiale ou par business unit, et unevalorisation monétaire des incidentsavec le manque à gagner et le coût de larésolution de l’incident. On établitensuite un ratio de coût d’incident surnotre produit net bancaire.
Entretien avec ...
Benoît Derville - Directeur de l’audit interne, Groupe Banque Accord
20
DOSSIER
Audit & Contrôle internes n°210 - juin-juillet 2012
Un dernier suivi porte sur les tauxd’avancement des plans d’action sur lesincidents avérés et sur les risques poten-tiels les plus importants.
J. L. R. : Quelles sont les difficultés rencon-trées par les auditeurs et les contrôleursinternes pour contribuer efficacement à lavaleur ajoutée ? Quels sont leurs atouts ? Lavaleur ajoutée s’évalue-t-elle exclusivementen termes financiers ?
B. D. : Tout n’est pas valorisable entermes financiers.Chaque audit débouche sur une recom-mandation et toute mise en œuvred’une recommandation génère un coût,parfois élevé. Et si l’on perçoit immédia-tement le coût de la mise en œuvre, ona du mal à valoriser dans le long termele bénéfice de cette recommandation. Iln’est donc pas facile de répondre à votrequestion.Néanmoins, un bon critère de mesurede valeur ajoutée, c’est le taux d’adhé-sion des audités aux recommandations,parce qu’on n’imagine pas qu’un auditéacceptera une recommandation qui n’apas de sens à ses yeux.Parfois, des critères très précis peuventmontrer que l’optimisation d’un proces-sus permet d’éviter une perte. Mais il estdifficile de l’évaluer tant que cette perten’est pas concrétisée.Les missions d’audit ou les fonctions decontrôle doivent mettre en valeur lebénéfice apporté par les recommanda-tions : optimisation d’un processus, gainfinancier, sécurisation d’un risque, et sipossible le valoriser. Quand on peutprouver l’intérêt d’une recommanda-tion, on fait parfois apparaître unenotion de valeur ajoutée potentielle.C’est le cas avec les recommandationssur les optimisations de processus, lesfusions d’équipes, la suppression detâches redondantes…
J.-L. R. : Les points suivants vous parais-sent-ils être de bons indicateurs de valeurajoutée : le professionnalisme des auditeurset des contrôleurs internes ; une planifica-
tion qui prend en compte les risques les plusimportants ; une relation forte avec le CEOet le Comité d’audit ? En voyez-vous d’au-tres ?
B. D. : Le professionnalisme des audi-teurs et des contrôleurs internes est,bien évidemment, indispensable, ets’apprécie au travers de la technicité etde la maîtrise des domaines audités.Mais ce n’est pas suffisant. La capacitédes auditeurs à mener leurs investiga-tions doit être avérée ; c’est le doigté del’auditeur dans sa démarche, sa persé-vérance, son intelligence et son discer-nement, voire sa fermeté, si cela estnécessaire. C’est un point essentiel.Le dernier point qui, pour moi, est fon-damental, est la capacité de l’auditeur àfaire adhérer l’entreprise – quand jeparle de l’entreprise, ce sont les audités,mais aussi le reste de l’entreprise, la hié-rarchie – à ses recommandations. Et jedis bien « adhérer », parce que la miseen œuvre d’une recommandation estd’autant plus acquise que l’adhésion estlà. Il est donc également très importantde sensibiliser la direction générale surcertains points essentiels de la mission.La planification prend en compte lesrisques les plus importants, d’où lanécessité de disposer de cartographiesactualisées des processus et des risques. De la même manière, il faut avoir unebonne visibilité sur les contrôlesinternes déployés et sur leurs résultats.Des contrôles sont exercés : que mon-trent-ils ? Cela sous-entend donc unreporting de qualité qui met en évidenceles évolutions des résultats de contrôle.Ce reporting doit être synthétique etdétaillé.Concernant les évolutions des résultatsde contrôle : est-on dans une démarched’amélioration de la maîtrise du proces-sus, ou dans une phase de régression ?Pour bien planifier, je le rappelle, il fautbien connaître les risques et savoir com-ment évoluent les contrôles sur les pro-cessus, sur les organisations, et sur lesrisques qui sont identifiés dans les car-tographies.
Quant aux relations fortes avec le CEOet le Comité d’audit, elles sont unecondition indispensable. Mais j’insisteraisur le fait que le rôle essentiel revient àla fonction audit qui doit être à l’écoutedu CEO et du Comité d’audit, afin derépondre à leurs attentes.
J.-L. R. : Les fraudes les plus importantessont rarement mises au jour par l’audit oule contrôle interne et ce, malgré le dévelop-pement régulier de ces deux fonctions. Nepensez-vous pas que cela donne raison àceux qui prétendent que le coût de la valeurajoutée est disproportionné par rapport aubénéfice retiré ?
B. D. : En France, on a du mal à parlerde fraude. C’est faire preuve de défianceà l’égard des organisations et deshommes en place. Et pourtant, onobserve, dans le monde, que les cas defraude se multiplient, qu’ils sont parfoisfort coûteux, et qu’ils concernent tousles métiers, toutes les régions, tous lespays.Cela nous oblige donc à garder les yeuxouverts et à intégrer cette démarchedans l’entreprise.Pour être efficace, il y a au moins deuxchoses à faire. La première, c’est sensi-biliser les strates de l’entreprise à lafraude potentielle, à l’environnementexterne dans lequel l’entreprise évolue.Pour moi, je pense que réussir cetteétape de sensibilisation, c’est déjà beau-coup, et cela doit constituer un effetdéclencheur majeur qui permettra lamise en place de moyens de lutte contrela fraude, et la fixation d’un plan avecdes premiers objectifs.La deuxième étape consiste à intégrerune organisation de suivi, avec détectionde la fraude. Il s’agit de mettre en œuvredes mesures préventives, comme lasécurisation de certains processus, decertaines activités soit au travers du ren-forcement de l’audit , soit encore avec lamise en service d’outils d’analyse ou dedétection... C’est un sujet très vaste.
21
Contribuer à la valeur ajoutée des organisations
juin-juillet 2012 - Audit & Contrôle internes n°210
Comment le contrôle et l’auditinternes peuvent-ils contribuerà la valeur ajoutée desorganisations ?
Constituée au 1er janvier 2010,
Groupama Gan Vie regroupe
l’ensemble des portefeuilles
d’assurance-vie du groupe Groupama
en France et assure la gestion de 175 000
contrats en collectives et plus de 3,2 mil-
lions de contrats en vie individuelle.
La création de l’entreprise Groupama
Gan Vie en 2010 s’est très vite accompa-
gnée de la mise en place d’une direction
contrôles / conformité / risques et d’une
direction de l’audit interne, toutes deux
indépendantes et rattachées directe-
ment au directeur général.
Les fonctions de contrôle interne et
d’audit interne agissent dans le cadre
d’une animation fonctionnelle au
niveau du groupe, qui intègre notam-
ment la prise en compte des nouvelles
obligations Solvabilité 2.
Le groupe Groupama considère que
la maîtrise des risques opérationnels
est un facteur d’efficience opération-
nelle et de satisfaction client. Les tra-
vaux de cartographie des processus,
risques et contrôles en cours de déploie-
ment à Groupama Gan Vie s’appuient
ainsi sur l’implication des opérationnels,
et constituent une démarche structurée
d’amélioration continue (cf. schéma).
L’efficience de l’audit etdu contrôle internescontribuent à la valeur ajoutée
L'efficience implique une optimisation
des moyens engagés au regard de l’ob-
jectif à atteindre. Autrement dit, le rap-
port coût / valeur ajoutée de l’audit et
du contrôle internes doit être un élé-
ment de questionnement permanent,
tant dans une démarche d’élabora-
tion du plan de contrôle permanent
que d’une mission d’audit.
Ainsi, concernant les processus métiers,
notre fonction contrôle permanent a
identifié les contrôles « clés » permettant
de couvrir des risques majeurs (par
exemple : lutte contre le blanchiment
des capitaux, devoir de conseil ...). Un
reporting des résultats de contrôle a été
mis en place ce qui permettra de suivre
la diminution des taux de non confor-
mité, et mesurer les effets des actions
correctives. La capacité à détecter les
opérations atypiques / anormales est un
indicateur important d’efficience de la
fonction.
La fonction d’audit interne a défini un
cadre méthodologique visant à organi-
ser la planification des étapes d’une
mission en limitant sa durée à 3 mois
Brigitte Charton - Directrice de l’audit interne, Groupama Gan Vie
Patrick Garnier - Responsable audit, contrôle, gestion des risques, Groupama Gan Vie
L’audit interne contribue à la valeur ajoutée de l’entreprise, par ses recommanda-tions majeures et les plans d’action qui s’ensuivent.Le contrôle interne permanent met en place des contrôles clés permettant de couvrirles risques majeurs.La valeur ajoutée ne s’évalue pas exclusivement en termes financiers, mais aussi entermes de professionnalisme des auditeurs et contrôleurs, et requiert une forte impli-cation de la direction.
22
DOSSIER
Audit & Contrôle internes n°210 - juin-juillet 2012
entre la date de la réunion d’ouverture
et de clôture et se concentrer ainsi sur
les enjeux majeurs. La durée et la charge
j/h consacrées à une mission d’audit
sont à ce titre des indicateurs.
Le nombre des recommandations (sans
être excessif) doit permettre de traiter les
problématiques majeures. Pour cela,
nous attachons beaucoup d’importance
au caractère opérationnel des recom-
mandations et à leur rédaction de
manière à faciliter leur traduction en
plan d’action. Les échéances des actions
identifiées par les audités ne dépassent
pas un an et demi, délai au delà duquel,
les recommandations risquent d’être
périmées.
Enfin, l’avancement des actions résulte
d’un dialogue continu entre l’auditeur et
les audités permettant d’accompagner
les directions dans la mise en œuvre des
actions et rester centré sur les objectifs
majeurs. Le taux d’avancement des
actions par statut (clôturée, en cours, à
initier) est suivi mensuellement, et res-
titué trimestriellement au Comité de
direction de Groupama Gan Vie. Ces
indicateurs sont également restitués
auprès de la direction audit général
groupe.
La valeur ajoutée ne s’évaluepas exclusivement en termesfinanciers
En tout premier lieu, la démarche d’éva-
luation des risques opérationnels, en
cours de déploiement actuellement, per-
mettra d’améliorer notre mesure des
risques sur la base d’un cadre partagé
(avec les propriétaires de risques) et par
conséquent, le suivi de l’efficacité des
dispositifs de maîtrise des risques. L’ob-
jectif étant de réduire la fréquence de
survenance des incidents et minimiser
les impacts de ces derniers.
Plus spécifiquement, l’audit interne doit
pouvoir situer lors de chaque mission les
flux financiers générés par
un processus et ainsi
apprécier l’impact de ses
recommandations. En
outre, l’audit s’attache à
vérifier l’utilisation effi-
ciente des ressources, le
coût de réalisation des
activités, et peut être
amené à identifier les axes
d’amélioration de la per-
formance, ayant un impact
financier.
Au-delà de l’impact
financier, la contribution
de l’audit et du contrôle
internes s’apprécie sous
plusieurs aspects :
• la protection du patri-
moine, c'est-à-dire la
sécurité des actifs et la
conformité aux lois et réglementa-
tions ;
• l’amélioration des processus et la dif-
fusion des bonnes pratiques ;
• la qualité des données et l’améliora-
tion des systèmes d’aide à la décision.
Le contrôle de la conformité aux lois
et réglementations s’est fortement
développé et a pris toute sa place dans
les plans de contrôle et dans le plan
d’audit, en particulier le contrôle des
règles de protection de la clientèle. Les
actions et recommandations issues de
ces constats ne peuvent être chiffrées en
tant que telles, mais sont porteuses d’un
enjeu significatif en termes de confor-
mité, vis-à-vis de l’Autorité de Contrôle
Prudentielle (ACP), et d’image.
L’amélioration des processus et la dif-
fusion des bonnes pratiques sont éga-
lement porteuses de valeur ajoutée. Pour
cela, l’audit et le contrôle interne doi-
vent tenir compte des projets de ratio-
- Les spéci�cités métier
- Les risques opérationnels
1- Cartographie du processus Pour chaque risque
opérationnel, identi�er :
- Les contrôles
- Leur responsables
- Les autres dispositifs de maîtrise des risques : sécurité des systèmes d’information, etc.
2- Identi!cation du plan de contrôle - L’objet
- Le responsable / les acteurs
- Les modalités de contrôle
- La fréquence
- Le stockage, etc.
3- Rédaction des !ches de contrôle - Approbation par les
acteurs des contrôles
- Information sur :• Le suivi des résultats des contrôles
• Les actions correctrices en cas d’incidents et anomalies
4- Mise en application et suivi
Améliorationcontinue
Démarche structurée pour prendre en compte les retours sur la pertinence des contrôles, sur les modalités de suivi et les préconisations sur les activités contrôlées
23
Contribuer à la valeur ajoutée des organisations
juin-juillet 2012 - Audit & Contrôle internes n°210
nalisation des activités et d’amélioration
de la performance opérationnelle tout
en veillant à maintenir un niveau de
contrôle approprié.
La diffusion des bonnes pratiques
apporte une plus value qui est appréciée
par les directions auditées (par exemple,
partage des outils attachés, dispositif de
contrôle).
Enfin, la qualité des données devient
un enjeu de plus en plus fort notam-
ment du fait des exigences de Solvabi-
lité 2, les données devant être fiables,
traçables, historisées et
accessibles.
Chaque mission
d’audit conduit à
s’interroger sur
le degré de qua-
lité des données
auditées, du
traitement initial
de l’opération
jusqu’à la restitution
dans les systèmes de
pilotage, et à la mise en
œuvre des contrôles. La gestion de la
qualité des données impacte souvent un
grand nombre d’acteurs, le processus de
commercialisation en est une illustra-
tion.
Les difficultés rencontrées parles auditeurs et les contrôleursinternes pour contribuerefficacement à la valeurajoutée
Les difficultés rencontrées par les
contrôleurs et auditeurs internes
tiennent souvent à la nécessité de
développer une approche globale
tout en se concentrant sur les enjeux
majeurs d’un processus : « Qui trop
embrasse mal étreint ».
Le périmètre des missions d’audit ne
doit pas être trop large, au risque de per-
dre de vue les enjeux majeurs, d’allonger
la durée des missions et ainsi réduire la
pertinence des recommandations.
Par ailleurs, une approche sans différen-
ciation du coût développé au regard des
bénéfices attendus reste un écueil
auquel il convient de veiller continuel-
lement tant dans une démarche de
contrôle que d’audit.
Aussi, nous estimons que l’efficience des
fonctions d’audit et de contrôle interne
nécessite :
• une connaissance appro-
fondie des activités, de
l’organisation et des
risques de l’en-
treprise, préala-
ble indispensable
permettant d’ac-
quérir une vision
globale de
manière à appré-
hender les enjeux
majeurs de l’entreprise,
et comprendre les interactions
entre les parties prenantes ;
• des démarches orientées vers les
métiers, qui nécessitent la prise en
compte des contraintes spécifiques
des métiers et des projets d’évolution.
Ainsi, les attentes des directions
concernées sont prises en compte dès
le lancement d’une mission d’audit ;
• l’utilisation de méthodes et outils
adaptés pour gagner en efficacité. A
ce titre, les outils d’analyse de don-
nées permettent notamment d’amé-
liorer la constitution des échantillon-
nages par des approches multi critères
beaucoup plus ciblées ;
• enfin, une articulation entre les
fonctions gestion des risques,
contrôle permanent et audit
interne de manière à partager une
vision commune des risques, des dis-
positifs de contrôle. A la suite de
chaque mission, un retour sur les pro-
cessus audités est effectué auprès de
la fonction gestion des risques de
manière à partager l’évaluation des
risques et contribuer à la mise à jour
du dispositif de contrôle.
Les autres facteursdéterminants de valeurajoutée
Bien au delà des point évoqués précé-
demment, les leviers essentiels permet-
tant de favoriser et développer la valeur
ajoutée de ces fonctions d’audit et de
contrôle internes sont les suivants :
• Le professionnalisme des auditeurs
et contrôleurs : les parcours de for-
mation sont bien sûr un préalable. Les
auditeurs se doivent d’être en situa-
tion de veille permanente quant à
l’évolution de la règlementation, de
notre métier d’assureur. L’équipe
d’auditeurs doit posséder collégiale-
ment les connaissances, le savoir-faire
et les compétences. Enfin, il est essen-
tiel que les contrôleurs et auditeurs
puissent comprendre l’impact des
risques sur le résultat.
• Une implication des opérationnels
dans la gestion des risques (les pro-
priétaires de risques sont au sein des
métiers) et un partage au sein du
Comité des risques.
• Le plan d’audit, comme les plans de
contrôle, doivent être discutés avec les
directeurs et prendre en compte le
traitement des risques les plus
importants.
• Enfin, l’implication forte de la direc-
tion par une volonté de soutenir la
mise en place des actions est un élé-
ment déterminant de la réelle effica-
cité du dispositif d’amélioration de la
maîtrise des risques, tant au niveau de
l’audit que du contrôle interne.
« Le rapportcoût / valeur ajoutée de
l’audit et du contrôleinternes doit être un
élément de questionnementpermanent »
24
DOSSIER
Audit & Contrôle internes n°210 - juin-juillet 2012
domaines subdélégués,• adosser et proportionner ses disposi-tifs et activités de contrôle aux risquesidentifiés,
• auto-évaluer les dispositifs decontrôle ainsi mis en œuvre, et enrendre compte de façon formelle etrégulière à son autorité de rattache-ment,
… et une direction des risqueset de l’audit en charge dupilotage et du contrôle pourla tête de groupe
Un dispositif d’audit unique, rappor-tant au PDG du groupe permet de :• vérifier périodiquement la pertinencede ces dispositifs et la sincérité desauto-évaluations,
• apporter aux dirigeants une « assu-rance raisonnable » quant à la couver-ture des principaux risques.
Le directeur des risques et de l’audit aété mandaté en tant que pilote straté-
posent à EDF depuis qu’elle est uneentreprise cotée a amené le groupe àstructurer, depuis 2006, une démarchevolontariste de maîtrise de ses risquesdans l’ensemble de ses entités et surl’ensemble de son périmètre d’activités.
Une politique de contrôleinterne qui responsabiliseles lignes managériales …
Ainsi, une première politique a étésignée par le président Pierre Gadon-neix en mars 2006 et a été confirmée parune nouvelle décision du présidentHenri Proglio en septembre 2010. Cettedernière prenait notamment en compteles nouvelles directives européennes etleur transposition en droit français.Cette décision affirme les points cléssuivants : Pour les activités qui lui sont délé-guées, chacun des managers du groupeest responsable de :• maîtriser les risques,• vérifier cette maîtrise pour chacun des
Responsabiliser les lignes managériales, apporter une cohérence et une complé-mentarité dans les démarches audit interne/risques/contrôle interne, permettentde donner une assurance raisonnable de la maîtrise globale des risques au présidentet au Comité d’audit, tout en fournissant une aide aux managers opérationnels etfonctionnels pour améliorer leurs dispositifs.
Comment penser que la logiqueou la culture du contrôle nepuisse pas exister dans un
groupe comme Electricité de France quiexploite les outils industriels comme desbarrages ou des centrales nucléaires ?Evidemment que cela a toujours existéet est profondément ancré dans toutesles strates du management opérationnelet ceci avant même que l’AMF ne pro-duise des cadres de référence ou que leterme COSO ne soit connu par lesexploitants de terrain.Toutefois, l’évolution de l’environne-ment externe et des exigences qui s’im-
Michel Tudrej
Directeur de mission, responsable ducontrôle interne, groupe EDF
Quelle place et quelle valeurajoutée pour le contrôle internedans un grand groupeindustriel ?
25
Contribuer à la valeur ajoutée des organisations
juin-juillet 2012 - Audit & Contrôle internes n°210
gique de ce processus et a précisé, dansune note d’application, les rôles et res-ponsabilités des différentes entités dugroupe.
Un « guide de contrôleinterne » basé sur les 5chapitres du COSO etcomportant 250 « objets demaîtrise » à l’attention desentités opérationnelles etfonctionnelles dans unelogique de subsidiarité
Le directeur de mission responsable ducontrôle interne groupe est chargéd’élaborer « un guide de contrôleinterne » à l’attention des managers dugroupe, afin d’aider ces derniers àdéployer un dispositif de contrôleinterne pertinent et efficace en tenantcompte de leurs propres risques etenjeux. Ce guide est structuré suivant les5 chapitres du COSO et subdivisé enune trentaine de domaines spécifiquesqui correspondent aux activités clés etenjeux du groupe. Pour chacun de ces domaines, il proposedes « objets de maîtrise (OMD) » que lemanagement devra prendre en compteet dans une logique de « comply orexplain » proposer les plans de maîtrisead hoc au vu de ses propres risques etenjeux. Ces « objets de maîtrise » trans-verses, au nombre de 250 environ, sontde trois ordres, à savoir :• directement liés aux préconisationsdu cadre de référence de l’AMF afinde garantir la mise en œuvre d’un dis-positif de contrôle interne robuste(principalement les domaines concer-nant l’environnement de contrôle etla gestion des risques majeurs),
• en lien avec les politiques et décisionsmajeures du groupe guidant les acti-vités de contrôle des processus et acti-vités transverses,
• liés aux processus de maîtrise des acti-vités « métier » propres à chaqueentité.
Le processus mis en place donne à ladirection des risques et de l’auditgroupe, en lien et avec l’appui desfilières transverses du groupe, la res-ponsabilité de définir le « quoi », celledu « comment » étant de la responsa-bilité des lignes managériales dansune logique totale de subsidiarité enfonction des risques et enjeux particu-liers. Cette exigence de subsidiaritéest liée au caractère fortement intégréet muti-disciplinaire du groupe quicomporte des métiers et des activitéstrès différentes et nécessitant desapproches différentes en termes d’or-ganisation et de maîtrise des risqueset des activités.
Une auto-évaluation annuellequi responsabilise les lignesmanagériales
Une fois par an, la cinquantaine d’enti-tés, regroupant les dirigeants de l’en-semble du périmètre contrôlé du groupeélabore et envoie un rapport d’auto-éva-luation (avec un descriptif complet desactions de maîtrise mis en place parOMD et une évaluation cotée pardomaine) au directeur responsable ducontrôle interne du groupe. Ce dernierproduit une synthèse de cette matière àl’attention du président et du Comitéd’audit. Cette synthèse présente notam-ment les entités et les domaines quisemblent les plus en retrait et qui appel-lent des actions spécifiques. Elle permetégalement d’aider les filières transverses(RH, juridique, SI, communication,comptabilité finance, etc.) dans le pilo-tage de leurs activités en leur apportantune vision de la prise en compte despolitiques groupe dont elles sont res-ponsables.
Les figures, en page suivante, corres-pondent à des extraits d’un rapportd’auto-évaluation correspondant audomaine « mobilisation des compé-tences », et d’un type de synthèsegroupe qui peut en être faite.
Une cohérence et unecomplémentarité dans lesdémarches « audit interne –risques – contrôle interne » …
Au-delà de ce processus annuel quirépond au premier volet de la décisiondu président évoquée ci-dessus, ladirection de l’audit groupe mène desaudits réguliers pour chacune des enti-tés impliquées dans le dispositif decontrôle interne groupe, en vérifiant,notamment lors de ces audits, l’exis-tence des fondamentaux indispensables(domaines de l’environnement decontrôle), la gestion des risques majeurs(identification, évaluation et maîtrise desrisques de l’entité), et la maîtrise desactivités et processus majeurs. En com-plément, la fiabilité de l’auto-évaluationest vérifiée sur la base des élémentsrécoltés lors de la mission d’audit.
De plus, les autres audits de grandsrisques, de projets ou de processustransverses de niveau groupe contri-buent à l’analyse globale de la maîtrisedes activités groupe au-delà de la visionlimitée à celle d’une seule entité dans lecas des « audits dits de contrôleinterne ».
Ingénieur de formation, MichelTudrej a intégré EDF en 1980. Il aoccupé différentes fonctions d'ex-pertise et de management au seindu groupe et notamment à la R&D,au service du transport d'énergie, àla production (directeurs des cen-tres de production thermique deMontereau puis du Havre), auxaffaires internationales, à la direc-tion financière. Il a été administra-teur de filiales internationales àplusieurs reprises (Pologne et Coted'Ivoire). Il a rejoint la direction del'audit corporate en 2006 en qua-lité de directeur de mission, et esten charge du contrôle interne pourle groupe EDF depuis 2008.
26
DOSSIER
Audit & Contrôle internes n°210 - juin-juillet 2012
Par ailleurs, le programme annuel d’au-dits proposé au Comité d’audit est basésur la cartographie des 90 risquesmajeurs qui est élaborée notamment àpartir des 900 risques issus des entités
impliquées dans le dispositif et qui sou-mettent leur rapport d’auto-évaluationde contrôle interne en plus de leur car-tographie des risques.
… qui apporte une assuranceraisonnable de la maîtriseglobale des risques à la tête degroupe …
En�t
é 1
0%
25%
50%
75%
100%
En�t
é 2
En�t
é 3
En�t
é 4
En�t
é 5
En�t
é N
En�t
é 46
En�t
é 47
En�t
é 48
En�t
é 49
En�t
é 50
% de domaines notés 0
% de domaines notés 1
% de domaines notés 2
% de domaines notés 3
% de domaines notés 4
Exemples de synthèse groupe du bilan des auto-évaluations
Niveau de déploiement des dispositifs de maîtrise dans les entités, sur base auto-évaluation.(consolidation sur les 29 domaines)
Extrait de rapport d’auto-évaluation
Risques Objets de maîtrise de domaine Mise en œuvre
Domaine 1.2 - Mobilisation des compétences
Stratégie
Risques opérationnels
Risques social
Risque juridique
Responsabilités managériales
Les besoins quantitatifs et qualitatifsen compétences sont-ils régulière-ment recensés et évalués ?
L’entité vérifie-t-elle régulièrementque ses salariés disposent des com-pétences requises pour exercer leuremploi dans l’organisation ?
Dans le cadre du Plan de Formationde l’entité, chaque salarié bénéficie-t-il d’un Plan Individuel de Forma-tion actualisé annuellement ?
Chaque service établit annuellementune analyse des besoins [...] qui adonné lieu à un partage en CODIR.
Les volets professionnalisme et for-mation sont abordés dans les entre-tiens annuels [...] dans 75 % desentretiens.
Le Plan de Formation de l’entité estconstruit sur la base [...] à un premieréchange en CODIR en 2011.
3 Les OMD sont déployés et une boucle d’amélioration vient d’être miseen place mais n’a pas encore démontré son efficacité.
Les actions de maî-trise ne sont pasdécrites pour tous lesOMD du domaine.
0
Les actions de maî-trise sont décritesmais pas toutesdéployées
1
Les actions de maî-trise sont décrites etdéployées
2
Une boucle d’amélio-ration est en place 3
La boucle d’améliora-tion est en place etefficace
4
27
Contribuer à la valeur ajoutée des organisations
juin-juillet 2012 - Audit & Contrôle internes n°210
L’ensemble du dispositif mis en placedonne une assurance raisonnable auprésident et au Comité d’audit sur lamaîtrise des risques majeurs identifiésdans la cinquantaine d’entités clés dugroupe via le dispositif de contrôleinterne groupe qui a pour objectif : • la mise en œuvre du contrôle interneet auto-évaluation par le manage-ment (1ère ligne de défense sur les 900risques majeurs),
• le pilotage de la démarche de contrôleinterne par l’entité contrôle internegroupe avec l’aide des filières trans-verses en appui du management (2ème
ligne de défense),• le contrôle du contrôle par l’auditinterne des dispositifs de contrôleinterne des entités (et donc des 900risques à leur maille) et la réalisationdes audits de niveau groupe des 90macro-risques et processus transversesdu groupe (3ème ligne de défense).
… et une aide aux managersopérationnels et fonctionnels
Le dispositif décrit, ci-dessus, qui est misen œuvre depuis près de six années,
apporte désormais une plus value auxdifférentes lignes managériales, car cedispositif leur :• fournit les éléments clés à prendre encompte pour donner corps à leur dis-positif de maîtrise, et notamment ceuxliés aux décisions et politiques incon-tournables ;
• permet de faire un point et un diag-nostic, a minima annuel, au momentde l’auto-évaluation sur l’ensembledes domaines qui leur incombe et quisont porteurs de risques ;
• apporte un éclairage et des recom-mandations clés pour améliorer leursdispositifs suite à l’audit ciblé sur lecontrôle interne qui est réalisé pourchaque entité tous les 3 à 5 ans ;
• fournit des éléments de communica-tion ciblés sur les thèmes à enjeux oudes recueils de bonnes pratiques quisont élaborés et partagés par le réseaudes animateurs de contrôle internesous le pilotage du responsable ducontrôle interne groupe ;
• apporte une cohérence desdémarches par l’intégration progres-sive des activités des filières trans-verses dans ce processus qui est
devenu « LE vecteur de communica-tion descendant » de la tête de groupevers le management pour les déci-sions et politiques, et « l’outil de repor-ting ascendant » le plus appropriépour ce qui concerne la vérification dela bonne appropriation et mise enœuvre de ces décisions et politiques.
Il reste cependant encore des voies deprogrès afin de réussir à faire adhérertout le personnel et d’améliorer encorel’efficacité de ce dispositif et créer ainsiun lien mieux identifié avec la perfor-mance opérationnelle. Ceci passenotamment par la capacité à développerdes systèmes de management intégrésoù le contrôle interne et la gestion desrisques trouvent leur place d’intégrateurdes différentes démarches existantes(EFQM, assurance qualité, managementpar les processus …). Il nous reste donc encore quelquesbeaux et difficiles challenges à rele-ver…
Auditinterne
Ges�on des risquesMise en œuvre par les mé�ers, en�tés fonc�onnelles, filiales
Elabora on du programme d’audit
Prépara on des missions
Résultats d’audit – détec on de nouveaux risques
Evalua on du degré de m
aîtrise des risques
Résultats d’audit – Evalua on du degré
de maîtrise des ac vités
Besoins d’audit – iden fica on des
zones sensibles à examiner
Mise sous contrôle des risques majeurs
Aide à l’iden fica ondes risques majeurs
Contrôleinterne
Prioriser les ac�ons demaîtrise des ac�vitésselon les risques(mé�er & « compliance »)
Cartographie desrisques
Se réinterrogerrégulièrement sur
les risquesmajeurs
Le contrôle interne est de plus en plus admis, à chaque niveau de l’organisation,comme un dispositif qui contribue à la performance de l’entreprise. Toutefois,les questions légitimes de son coût et de sa valeur ajoutée sont de plus en plussouvent posées par la direction générale et le Conseil.La valeur ajoutée du contrôle interne est donc une question d'actualité qu’ilconvient de cerner, d'autant que son appréciation (compréhension, indicateurs,etc.) peut différer fortement d’une organisation à une autre, selon leurs métiers,leurs risques et leurs obligations particulières (législateurs, régulateurs, etc.).La finalité de ce Cahier de la Recherche est de donner des clés de lecture surcette question, en cherchant à répondre notamment aux questions suivantes :
• Quels sont les enjeux liés à la définition de la valeur ajoutée du contrôleinterne ?
• Comment prendre en compte les attentes des différentes parties prenantesdu dispositif ?
• Quels sont les acteurs clés d’un dispositif créateur de valeur ? Comment lescoordonner pour plus d’efficacité ?
• Pourquoi faut-il développer la valeur d’usage managérial du contrôleinterne ?
• Comment contribuer à la maîtrise des risques? • Quelles sont les clés de réussite d’un dispositif qui apporte de la valeur dans
la durée ? Ce document vous propose également une série d’annexes très précises pourmettre en œuvre un dispositif de contrôle interne créateur de valeur et en rendrecompte.
AUTEUR : Groupe professionnel « Contrôle interne » IFACI - Prix HT : 50 € (53,50 € TTC)
Septembre 2010 - Format : 16,5 x 23 cm - ISBN : 978-2-915042-29-0
Société : ...................................................................................................................................................................................................................................................................................
Nom : ............................................................................................................................................. Prénom : ......................................................................................................................
Adresse : ..................................................................................................................................................................................................................................................................................
Code postal : ......................................... Ville : ........................................................................................................................... Pays : .........................................................................
Tél. : ........................................................... Fax : ......................................................... Mél : ...............................................................................................................................................
B O N D E COM M A N D E
TITRE PRIX HT QUANTITÉ TOTAL
La création de valeur par le contrôle interne 50,00 €
Total HT
TVA 7,0 %
Net à payer TTC*
PAIEMENT PAR : Chèque bancaire ou postal (à l’ordre de l’IFACI)
Virement à la banque HSBC agence centraleCompte IFACI n°30056-00148-01485415521-72
Carte de crédit :
N° ....................................................................................................................................................
Date d’expiration : ....................................................................................................................
DATE : ............................................... SIGNATURE :
(*) Hors frais de port et d’emballage.
Bon de commande à retourner à :Marie-Thérèse Tran - IFACI98 bis, bd Haussmann - 75008 ParisTél. : 01 40 08 48 16 - Fax : 01 40 08 48 20Mel : mtran@ifaci.com - Internet : www.ifaci.com
Règlements :Une facture pro forma vous sera adressée parcourriel dès réception de votre commande.Chèque : libellé en euros tiré sur une banquefrançaise.Virement : les virements émis à partir d’unebanque hors de France doivent être nets de tousfrais bancaires pour l’IFACI.
Publications IFACI Bon decommande
29juin-juillet 2012 - Audit & Contrôle internes n°210
LES AUDITS MÉTIERS
De l'intérêt d'évaluerle fonctionnement dela gouvernance d'uneorganisation
Comment évaluer la qualité de la
gouvernance d'une société cotée,
d'une entreprise familiale, d'un club
de football, d'une fédération sportive,
d'une école de commerce, d'une fon-
dation … ?
Toutes ces organisations – qu'elles
soient rattachées au secteur privé com-
mercial, public ou de l'économie sociale
et solidaire – ont l'obligation de mettre
en place une gouvernance adaptée et
conforme aux lois applicables et aux
bonnes pratiques en la matière, outre de
veiller à son bon fonctionnement.
Dire ce que l'on fait et faire ce que
l'on dit ...
Une gouvernance d'entreprise défail-
lante porte atteinte à l'environnement
de contrôle. C'est un facteur de risque
majeur. Une bonne gouvernance est une
clé de voûte de l'organisation.
Décrire sommairement la gouvernance
d'une société cotée dans un document
de référence est un exercice facile. Expli-
quer un changement de gouvernance
peut être plus délicat. Un président
directeur général reprend les rênes du
conseil d'administration et de la direc-
tion générale. Pourquoi abandonner le
régime dualiste pour revenir au régime
moniste qui vient d'être écarté ? Le pré-
sident, aux termes de son rapport
annuel présenté à l'assemblée des
L'audit de gouvernance :un outil d'évaluation etd'amélioration de lagouvernance d'uneorganisation
Sylvie Le Damany
Avocat et associée, cabinetJeantetAssociés (Contentieux etArbitrage, Gouvernance, Risques etConformité)
Toutes les organisations ont l’obligation de mettre en place une gouvernance adap-tée et conforme aux lois applicables et aux bonnes pratiques en la matière, et deveiller à son bon fonctionnement. Une bonne gouvernance est une clé de voûte del’organisation.L’audit de gouvernance permet d’identifier les dysfonctionnements potentiels ausein des organes de direction, d’administration et de contrôle.Pour disposer d’une gouvernance de qualité, il faut pouvoir démontrer que l’orga-nisation mise en place est efficace en termes de contrôle interne et de gestion desrisques.
30
LES AUDITS MÉTIERS
Audit & Contrôle internes n°210 - juin-juillet 2012
actionnaires, doit pouvoir expliquer ce
changement qui peut paraître intempes-
tif.
Evaluer l'efficacité et la qualité de la
gouvernance d'entreprise est plus
difficile et plus rare mais le besoin
devient grandissant.
L'auto-évaluation ou l'évaluation par un
tiers des travaux du conseil d'adminis-
tration et de ses comités est un bon
exercice qui est de plus en plus encou-
ragé et un point de passage obligé pour
les sociétés cotées. C'est le minimum
requis, dirons-nous.
Evaluer la gouvernance d'une organisa-
tion dans son ensemble et de manière
approfondie est une pratique moins
courante et cependant elle s'avère très
vertueuse.
Faire un état des lieux en vue de pro-
gresser lors d'un changement de
contrôle, de dirigeants, une crise de
gouvernance, autant d'occasions de
faire un bilan.
Pourquoi attendre si l'on n'a pas une
vision claire sur le fonctionnement réel
de la gouvernance d'une organisation ?
Finalement, la gouvernance est-elle
celle décrite aux parties prenantes et aux
tiers dans les documents de référence,
dans les guides de procédures ... ? Les
règles édictées, déclarées, sont-elles
connues et respectées ? Il n'est pas rare
que les procédures internes de l'entre-
prise soient, pour un grand nombre
d'acteurs au sein de l'organisation,
inconnues, mal maîtrisées ou connues
mais non respectées.
ENRON n'était-elle pas l'entreprise
donnée en exemple, avant 2002, pour
son excellente formalisation de la gou-
vernance en termes de procédures et de
comités ? Une belle gouvernance affi-
chée mais pas respectée. Rien de pire
que d'annoncer des bonnes pratiques
que l'on ne va pas appliquer notamment
par certains dirigeants et managers.
C’est une affaire de comportements.
Les comportements sont-ils en adéqua-
tion avec les règles édictées ? Comment
aller au-delà du descriptif et du déclara-
tif ? Comment aller au-delà des
contraintes afin de transformer celles-ci
en opportunités ? Veiller à ne pas trop en
faire mais trouver le bon équilibre entre
une formalisation a minima et un pro-
cessus qui soit auditable.
Se définir par rapport à un ou des
référentiels reconnus.
En matière de gouvernance, la tâche
n'est pas aisée pour les entreprises.
Comment être conforme aux lois et
règlements (Hard law) et au droit
« mou » (Soft law) qui est venu nourrir
notre droit positif tant en France qu'au
sein de l'Union Européenne ? Qu'est-ce
qu'une « bonne gouvernance » pour une
société cotée, une entreprise familiale
non cotée ou une association ? Quels
sont les référentiels qui vont permettre
de se comparer en vue de progresser ?
Comply or Explain ? Nouveau concept,
issu du droit anglo-saxon, introduit dans
notre droit français qui oblige depuis
2008 les sociétés cotées à déclarer le
Code de gouvernement d'entreprise
qu'elles appliquent, et à expliquer pour
quelles raisons certaines dispositions ne
sont pas respectées. L'AMF suit de près
ces nouvelles déclarations. Respect du
Code AFEP/MEDEF ou du Code Mid-
dlenext ?
Déclarer c'est l'adopter. En bloc ou par-
tiellement ? Il convient de trouver le
référentiel adapté à l'organisation. De ce
point de vue, le Code Middlenext fut le
bienvenu afin d'offrir de bonnes pra-
tiques adaptées aux entreprises cotées
de plus petite taille, appelées Valeurs
moyennes et petites (Vamps).
S'agissant des sociétés non cotées ou
des organisations sous forme associative
par exemple, celles-ci peuvent s'imposer
le respect d'un Code de gouvernement
d'entreprise ou se référer à d'autres
sources connues et reconnues en
matière de gouvernance et de gouver-
nement d'entreprise1. Nombreuses sont
les organisations qui ont rédigé des
recommandations, guides et livres verts
et blancs préconisant des bonnes pra-
tiques et comportements recommandés
sur certains sujets2.
Ne pas oublier la dimension
« groupe ».
La gouvernance de telle ou telle filiale
est-elle conforme à la gouvernance du
groupe – si celle-ci a été définie et for-
malisée – et surtout est-elle en confor-
mité, dans le pays concerné, avec la
réglementation en vigueur et les bonnes
pratiques ? Comment l'apprécier ?
La société mère intervient-elle trop au
sein de ses filiales en « plaçant » notam-
ment des dirigeants à leur tête qui pren-
nent leurs directives auprès de la société
mère ? Autant de questions fondées à se
poser.
Si la personnalité juridique d'un groupe
de sociétés n'est pas reconnue en droit
français, son existence est néanmoins
reconnue dans certains domaines
(comptable, fiscal, social, pénal, écono-
mique ...).
En matière de gouvernance d'entreprise,
les entités juridiques d'un groupe
31juin-juillet 2012 - Audit & Contrôle internes n°210
demeurent juridiquement autonomes et
leurs dirigeants sont responsables au
premier chef des activités de la filiale
qu'ils dirigent. Néanmoins, la filiale, qui
a sa propre gouvernance, va le plus sou-
vent devoir s'inscrire dans une gouver-
nance groupe définie aux termes de pro-
cédures et chartes internes. Dans le sec-
teur financier, les entreprises se voient
imposer cette organisation groupe en
application d'une réglementation qui
exige une centralisation et une formali-
sation très forte du contrôle interne.
C'est le cas des institutions financières
qui doivent notamment répondre de ce
contrôle centralisé et maîtrisé auprès de
l'AMF et de l'Autorité de Contrôle Pru-
dentiel (ACP).
Hors ces contraintes réglementaires qui
se font de plus en plus fortes pour une
meilleure maîtrise des activités et de la
gestion des risques des institutions
financières, la gouvernance groupe est
rarement formalisée comme il se devrait.
Indépendamment de la formalisation
des procédures groupe, la mise en place
de bonnes pratiques de gouvernance au
niveau global est un exercice difficile, et
ce d'autant plus en présence d'une forte
implantation hors de France. Les règles
et pratiques locales peuvent être très
éloignées de celles souhaitées et prati-
quées au sein de la société mère.
L'articulation entre les règles de gouver-
nance édictées au niveau du groupe et
celles appliquées au sein de chaque
filiale est un sujet de préoccupation, et
ce y compris pour les banques, les socié-
tés d'assurance et les mutuelles. Com-
ment centraliser les procédures de
contrôle tout en ne s’immisçant pas
dans la gestion de ses filiales ? La direc-
tion de fait est la ligne blanche qu'il ne
faut pas franchir. A titre d'exemple, la
mise en place de chartes filières groupe
(RH, finance, juridique, système d'infor-
mation, conformité …) risque d'engen-
drer une immixtion de la société mère
dans la gestion de ses filiales. En cas de
difficultés financières de la filiale, les
indices d'une direction de fait permet-
tront de remonter auprès de la société
mère (« deep pocket »).
Les conseils en organisation qui sont
sollicités par les entreprises, dans le
cadre notamment de restructurations,
devraient travailler de plus en plus étroi-
tement avec les juristes internes et
externes afin de mieux appréhender les
conséquences juridiques de telle ou telle
organisation. Les enjeux sont impor-
tants en termes de gouvernance et, par
conséquent, de responsabilités des enti-
tés juridiques et des dirigeants et admi-
nistrateurs de ces structures.
Un outil efficace :l'audit de gouvernance
L'audit de gouvernance peut se prati-
quer à titre préventif, en pleine crise ou
à son issue afin d'identifier les dysfonc-
tionnements potentiels au sein des
organes de direction, d'administration et
de contrôle.
Il s'agit d'un outil très efficace mais
encore peu connu pour identifier les
non-conformités réglementaires et les
mauvaises pratiques pouvant générer
des risques juridiques et judiciaires.
Mettre en place une démarche
d'audit.
L'audit de gouvernance commence à
être sollicité par les conseils d'adminis-
tration au travers de leur comité d'audit.
Quant aux directions générales qui le
sollicitent, elles le font le plus souvent
en cas de changement de dirigeants, de
réorganisation ou de crise de la gouver-
nance. Les sociétés cotées ne sont pas
les seules concernées. De plus en plus
d'organisations du secteur de l'écono-
mie sociale et solidaire prennent à bras
le corps le sujet notamment dans le sec-
teur associatif où il est difficile de conci-
lier bénévolat et professionnalisation
des pratiques de gouvernance.
Faire appel aux acteurs clés qui font
partie du dispositif de gouvernance
et aux experts externes.
Nous assistons à une intervention pro-
gressive des auditeurs internes sur la
gouvernance de l'entreprise3. Il est vrai
qu'ils sont en soi un dispositif efficace de
gouvernance4 tout comme le sont le
comité d'audit et l'auditeur externe
indépendant.
« L'audit interne aide l'organisation à
atteindre ses objectifs en évaluant, par une
approche systématique et méthodique, ses
processus de management des risques, de
contrôle et de gouvernement d'entreprise, et
en faisant des propositions pour renforcer
leur efficacité »5.
En matière d'audit de gouvernance, les
auditeurs internes sont amenés à solli-
citer, du fait de la matière concernée qui
est essentiellement juridique, l'assis-
tance de juristes internes et externes, le
plus souvent des cabinets d'avocats qui
sont spécialisés en matière de gouver-
nance et de conformité.
Le risque de non conformité aux lois et
règlements, que l'on traite au sein des
dispositifs de Compliance, amène les
organisations à solliciter tant les audi-
teurs internes, lorsque la structure en
dispose, que des conseils externes qui
sont sollicités du fait de leur expertise au
regard des risques juridiques pouvant
être générés par une gouvernance
32
LES AUDITS MÉTIERS
Audit & Contrôle internes n°210 - juin-juillet 2012
défaillante ou inappropriée. Le juriste
praticien en matière de gouvernance
d'entreprise pourra assister les auditeurs
internes à bâtir leur matrice d'analyse et
leur programme d'intervention tout en
les accompagnant dans l'analyse des
documents (statuts, règlements inté-
rieurs, chartes, procès verbaux de conseil
d’administration, comptes-rendus de
comités, délégations de pouvoirs et de
signature, définition de fonctions …) et
interviews à mener (direction générale,
administrateurs, direction opération-
nelles, fonctions supports …).
En l'absence d'une fonction d'audit
interne au sein de l'organisation concer-
née, le juriste externe qui sera sollicité,
au même titre qu'un auditeur externe,
procédera lui-même à l'audit de gouver-
nance avec, le cas échéant, un expert en
stratégie et organisation lorsque l'audit
va au-delà de la conformité aux lois et
règlements et bonnes pratiques.
L’audit de gouvernance peut parfois être
limité à l’analyse des pouvoirs et res-
ponsabilités au sein de l’organisation
notamment avec pour objectif une
refonte du système de délégations de
pouvoirs et de signature6.
Il ne suffit pas de créer des comités et
de rédiger des procédures internes
pour disposer d'une gouvernance de
qualité ; ni de déclarer l'existence de
règles et de procédures, mais il faut
être en mesure de pouvoir démontrer
que l'organisation mise en place est
efficace en termes de contrôle interne
et de gestion des risques.
Qui dirige, qui contrôle, qui fait quoi,
qui est responsable pénale-
ment … ?
1 OCDE, Parlement européen, commission euro-péenne, AMF, AFEP, MEDEF, Institut Français desAdministrateurs (IFA)...
2 Évaluation du conseil d'administration et de sescomités, critères de l'administrateur indépendant,compétence et indépendance, disponibilité desadministrateurs, rémunération des dirigeants, rôleet fonctionnement du conseil et de son comitéd'audit, comité des rémunérations, procédures decontrôle interne et de gestion des risques...
3 Cf. Conférence IFACI du 26 mars 2012 – interven-tion SAFRAN, direction de l’audit interne.
4 Cf. « Interactions entre les acteurs du processusglobal d'audit et gouvernance de l'entreprise : uneétude exploratoire » de Elisabeth Bertin etChristophe Godowski, maîtres de conférences àl'IAE de Bordeaux et de Toulouse (2010).
5 Extrait de la définition de l'audit interne approu-vée par l'Institute of Internal Auditors IIA et parl'IFACI en 2000.
6 Cf. conférence IFACI du 26 mars 2012 – Interven-tion de NATIXIS secrétariat général / gouvernanceet vie sociale de l’entreprise.
33juin-juillet 2012 - Audit & Contrôle internes n°210
MÉMOIRE D’ÉTUDIANT
Maîtriser les risquesspécifiques aux activitésde servicesFlavien Palliès - Auditeur interne, groupe Elior
La place primordiale du secteurtertiaire dans l’économie fran-çaise n’est plus à prouver : il
représente en 2010, 78 % des emplois1,c’est 30 % de plus qu’en 1990. Ce mêmesecteur contribuait à 65,7 % de la pro-duction2 et à 79,7 % de la valeur ajou-tée3. Et pourtant, rares sont les disci-plines du management qui, hormis lesopérations et le marketing, ont prisconscience de la nécessité d’investiguerles particularités des services.
Parallèlement, les exigences en matièrede contrôle interne se sont renforcéesces dernières années. Ces exigences nesont plus seulement réglementaires : la8ème Directive, sur le suivi de l’efficacitéd’un système de contrôle interne, mon-tre que ce dispositif ne doit pas être res-treint à une stricte question de confor-
mité. La discipline du contrôle internetend donc à être positionnée comme unoutil au service de l’organisation quicontribue à la maîtrise de ses risquesmajeurs. Atteindre un tel objectif sup-pose donc de donner aux organisationsdes réponses très concrètes et adaptéesà leurs activités. A ce sujet, un cahier derecherche de l’IFACI intitulé « Des cléspour la mise en œuvre du contrôleinterne » apporte des éléments deréponses très pratiques. Il n’explorecependant pas les particularités des acti-vités de services. Le sujet de la maîtrisedes risques spécifiques aux activités deservices reste donc encore inexploré.
La réflexion qui va suivre part du terrain,c’est-à-dire de l’observation de lamanière dont fonctionne une unité deservice dans ce qu’elle a de plus concret.
Ces « micro-usines » sont animées pardu personnel en contact avec les clients.La satisfaction des clients est donc direc-tement influencée par le comportementde ces équipes. A ce titre, un dispositifadapté de maîtrise des risques doit pla-cer le personnel en contact au cœur detoutes les préoccupations. Par ailleurs,ces mêmes « micro-usines » constituentsouvent un réseau plus large d’unités dumême type qui maillent un territoiregéographique plus ou moins important.Les problématiques liées à leur pilotageet à leur adhésion aux valeurs com-munes de l’entreprise résonnent alorscomme un défi pour leur siège.
L’urgence du terrain
La place du client est ce qui distingue leplus le modèle de fabrication d’un ser-
Le Prix Olivier Lemant est destiné à récompenser le meilleur mémoire de Master(e) consacré au contrôle interne ou à l’auditinterne réalisé dans une Université ou Grande Ecole partenaire.En 2012, un jury de professionnels, constitué de Béatrice Beaulieu (AG2R La Mondiale), Hervé Claudin (La Mutuelle Générale) etCathy Pernod (Groupe ATAC), ont ainsi primé les mémoires suivants :• 1er prix - Maîtriser les risques spécifiques aux activités de services, par Flavien Palliès (ESCP Europe)• 2ème prix - L’impact du pilier 2 de Solvabilité II (« gouvernance des risques ») sur les fonctions audit interne, contrôle interne et
risk management, par Aurélien Lerda (IAE Aix-en-Provence)• 3ème prix - La formalisation du processus de management des risques à travers l’élaboration d’une cartographie des risques,
par Mathieu Gireme (IAE Bordeaux)
Vous pouvez consulter ces mémoires sur le site internet de l’IFACI (rubrique IFACI>Universités et Grandes écoles> Prix OlivierLemant).
34
MÉMOIRE D’ÉTUDIANT
Audit & Contrôle internes n°210 - juin-juillet 2012
vice de celui d’un produit. Ce dernier esttotalement absent de la fabrication d’unproduit. A l’inverse, il est au cœur de lafabrication d’un service, il est partie pre-nante du processus et sa présence estmême une des conditions de l’existencedu service. Les exemples en la matièreabondent : s’il n’y a pas de passagerdans un avion, il n’y a pas de service detransport et que dire de vos vacances sivous n’y êtes pas ?
Dès lors, le responsable d’unité et sonéquipe vont devoir faire en sorte que leclient exécute correctement les tâchesqu’il doit accomplir tout en ne perdantpas de vue qu’il reste le client bénéfi-ciaire du service. Cet exercice est parti-culièrement difficile dans la mesure oùle client est avant tout une personnehumaine qui arrive dans l’unité de ser-vice avec un besoin mais également avectout son affect.
La présence du client et sa nécessaireparticipation constituent donc unmélange souvent imprévisible pour leresponsable d’unité. Ce dernier va doncdevoir gérer dans l’urgence un certainnombre de situations telles que les inci-dents, sous peine de ne pas satisfaire leclient. Le terrain est donc particulière-ment fertile aux décisions précipitées etaux pratiques non conformes à un cer-tain nombre de règles internes ouexternes à l’entreprise.
Le personnel en contact
Maîtriser les risques liés à l’urgence duterrain passe avant tout par l’applicationde pratiques adaptées en matière degestion des ressources humaines. Lepersonnel en contact avec le client setrouve en effet dans une situation parti-culière avec des stress, des conflits. Soncomportement a un impact fort sur laqualité du service tel que le perçoit leclient. Le lien entre la satisfaction dupersonnel et celle du client impose demaîtriser ce risque le mieux possible.
L’attitude du personnel en contact estdéterminante. Celui-ci assure en effetdes tâches répétitives tout en gérantsimultanément la relation avec le clientet la prestation opérationnelle. Malheu-reusement, force est de constater que sile personnel est généralement correcte-ment formé à l’opérationnel, il l’est peuou pas au relationnel qui est laissé à
l’appréciation de chacun. Cela est fina-lement grave dans la mesure où une desdemandes les plus permanentes dupublic est d’être traité comme une per-sonne par une personne. Un dispositifefficace de maîtrise des risques doitdonc veiller à ce que les formations dis-pensées soient suffisamment encréesdans l’environnement opérationnel :une entreprise de services se vit avanttout sur le terrain !
Par ailleurs, le recrutement est unmoment important : il doit prendre encompte l’apparence du personnel et sapersonnalité. Les méthodes employéesen la matière doivent sortir desméthodes traditionnelles en laissantplus de place à des mises en situationdes candidats. Cela révèlera plus facile-ment leur aptitude à travailler en équipeou à gérer les incidents.
Enfin, le personnel en contact doit sentirque l’entreprise est là pour l’aider à déli-vrer au client un bon service. Il est doncimportant que le Back-Office soit au ser-vice du Front-Office favorisant ainsi ladiffusion d’une culture d’entreprisedédiée au service, à sa qualité et à lasatisfaction du client. Cela garantira uneforte cohérence des objectifs et des pra-tiques de l’ensemble de l’entreprise.
La gestion d’un réseaud’unités
Chaque entreprise de services de taillesignificative dispose d’un réseau d’uni-tés gérées à partir d’un siège.Dans ce domaine, le premier risqueidentifié porte sur la qualité et la fiabilitédes informations circulantes entre lesiège et ses unités. La qualité des infor-mations dépend du système de contrôlede gestion qui, par la nature des infor-mations et le rythme auquel elles sontfournies, conditionne et structure pro-fondément la façon dont le réseau etnotamment les unités sont gérées. Lafiabilité des données fournies est le talond’Achille des entreprises de servicesdans la mesure où l’on ne peut pas met-tre un contrôleur derrière chaque direc-teur d’unité et chaque personnel encontact. De ce point de vue, les systèmesd’informations occupent un rôle pré-pondérant. Leur fiabilité, leur sécurité,de même qu’une formation au sujet deleur utilisation doivent être au cœur despréoccupations.
Le second risque identifié porte surl’adhésion des unités à des valeurs com-munes. Si ce risque est l’enjeu d’unenvironnement de contrôle robuste, il setrouve renforcé dans une entreprise deservice du fait même de l’existence d’unréseau d’unités. Le personnel des unitésest en effet disséminé et l’entreprise seretrouve incarnée par son environne-ment de travail immédiat et non par laglobalité de l’entreprise de services quireste une entité très abstraite. Dans cesconditions, le directeur des opérationsdoit trouver un ciment particulier quipuisse pallier cet éparpillement. Lessolutions sont connues : accueil desnouveaux collaborateurs, développe-ment de processus originaux qui devien-nent en quelque sorte la marque defabrique, réunions des unités et de leurresponsable, développement de publi-cations internes, etc. Cet ensemble doitêtre complété par le rôle des dirigeantsde l’entreprise de services, qui, encoreplus que pour une entreprise indus-trielle, doivent faire passer un messageet véhiculer du sens à l’intérieur de l’or-ganisation.
Les propositions faites dans le mémoireconstituent donc une approche globalede la problématique de la gestion desrisques dans une entreprise de services.Naturellement, elles doivent être adap-tées à chaque organisation afin de bâtirdes réponses sur mesure. Elles souli-gnent néanmoins les lacunes qui exis-tent en matière de gestion des risquesquand on se confronte à la probléma-tique des services au sens large.
1 INSEE, Estimations d’emplois en France métro-politaine
2 INSEE, Production par branche d’activité3 INSEE, Valeur ajoutée par branche d’activité
Flavien Palliès a contribué, à plu-sieurs reprises, au déploiement dedispositifs de gestion du créditclient d’abord au sein d’Ernst &Young (2005 à 2007) puis au seind’Elior Restauration Enseignement(2007 à 2011). Après une formationde quinze mois à ESCP Europe en« Risk management, audit etcontrôle interne », il occupe à pré-sent la fonction d’auditeur interneau sein du groupe Elior.
35juin-juillet 2012 - Audit & Contrôle internes n°210
LA PROFESSION EN MOUVEMENT
Evénements
Structure etrédaction du rapportd’audit –Communication surles conclusions
Réunion mensuelledu 31 mai 2012
Aéroports de ParisLe rapport d’audit com-prend : une note de syn-thèse (une à deux pages)destinée à la directiongénérale ; une synthèse lit-téraire (dix à vingt pages)destinée au managementconcerné par la mission etau président du comitéd’audit ; un rapport détaillé(venant à l’appui du pland’action) destiné aux audi-tés.Des axes d’amélioration,proposés par l’IFACI, ontété mis en œuvre : une miseen évidence de l’analysecausale ; une hiérarchisa-tion des recommandations ;l’homogénéisation des rap-ports, d’un format plusconcis.Tout en étant la prioritéabsolue, le respect desNormes doit prendre encompte la culture d’entre-prise. La standardisationdes rapports doit laisser despossibilités d’adaptation enfonction du type de mis-
sion. Une certaine libertédoit être laissée aux audi-teurs, notamment pour lesdocuments intermédiairespermettant de valider lesconstats avec les audités.
AXA FranceIl a été conçu un nouveaumodèle de rapport communà toutes les entités, plussynthétique et centré sur lesproblématiques, celles-ciétant elles-mêmes centréessur les risques majeurs. Lesrecommandations sontclassifiées par ordre d’im-portance.Les nouveaux enjeux : trai-ter les risques clés ; fournirdes analyses et recomman-dations plus approfondies ;communiquer l’essentiel.Parmi les attributs d’excel-lence de l’audit interne,outre le fait de se concen-trer sur les risques et pro-blématiques cruciaux : ali-gner la mission sur lesattentes des parties pre-nantes ; adapter les compé-tences afin de fournir de lavaleur ajoutée ; favoriser unservice orienté client ; favo-riser l’amélioration de laqualité et l’innovation…Mais le rapport n’est pas leseul livrable d’une mission.Rien ne remplace le face àface et le debriefing pourconvaincre les audités.
ArcelorMittalL’objectif de l’audit interneest de proposer des services
en matière d’audit et de riskmanagement, d’être un par-tenaire à valeur ajoutée,d’être un vivier de futurscadres managériaux.La mission de l’auditinterne est d’épauler lecomité d’audit et la direc-tion générale dans l’exer-cice de leurs responsabilitéspour ce qui concerne lecontrôle interne, le riskmanagement et la corporategovernance, en apportant dela valeur ajoutée et de façonindépendante et objective.Le rapport d’audit est lefruit d’un processus struc-turé : processus de valida-tion de différentes versions,avant de délivrer la versionfinale à l’issue de la réunionde clôture. Les lecteurs durapport d’audit constituentun public très varié, comptetenu de la variété dessujets : industriels, finan-ciers… La culture d’auditdoit être prise en compte.La valorisation des pointsd’audit est essentielle etimplique une granderigueur dans la rédactiondu rapport.
Les fichesméthodologiques del’IFACIElles ont été conçues pourfaciliter le travail des audi-teurs en accompagnant undéploiement rigoureux dela démarche d’audit, enaidant à la mise en œuvredes outils et en facilitant la
formalisation des travaux.Les atouts majeurs de cesfiches : un outil d’harmoni-sation des pratiques, gaged’efficacité de l’auditinterne ; un outil pédago-gique qui aide à la prépara-tion aux examens d’auditinterne et à la certificationdes services d’audit.
Le dispositif decontrôle des activitésexternalisées :approcheméthodologique ettémoignages
Réunion mensuelledu 13 juin 2012
L’assurance : Audiens etAllianz FranceL’assurance, comme labanque, évolue dans unenvironnement très enca-dré. La délégation de ges-tion est soumise à la régle-mentation Solvabilité 2, lesobjectifs poursuivis étant laprotection des assurés etdes allocations de fondspropres par la maîtrise desrisques techniques, finan-ciers et opérationnels. Lesmoyens mis en œuvre repo-sent sur trois piliers : exi-gences quantitatives ; exi-gences qualitatives et debonne gouvernance ; infor-mation du public et del’ACP.L’assureur reste responsabledes risques lorsqu’il sous-
36
LA PROFESSION EN MOUVEMENT
Audit & Contrôle internes n°210 - juin-juillet 2012
traite des activités d’assu-rance, et les autorités decontrôle doivent pouvoiravoir accès aux locaux duprestataire de service.La création d’un environ-nement interne favorable àla mise en place de déléga-tions de gestion nécessiteune politique formalisée etune gestion claire desconflits d’intérêts. L’initiali-sation de la délégation nepeut se faire sans uneconnaissance approfondiede son futur partenaire, afinde garantir une qualité deservice, s’assurer de la qua-lité de gestion et de la qua-lité d’information néces-saire au pilotage technique,se prémunir contre lesrisques liés à cette externa-lisation.Le suivi régulier de la délé-gation de gestion passe parla mise en place d’un dis-
positif ad hoc ; celui-ci nedoit pas être trop lourdpour ne pas remettre encause l’intérêt de la déléga-tion. Un premier niveau decontrôle est assuré par desopérationnels ; undeuxième niveau decontrôle est assuré par despersonnes dédiées à cescontrôles ; troisième lignede défense, l’audit internes’assure du degré de maî-trise du processus d’exter-nalisation et de la qualitédu dispositif de contrôle.
L’opérateur detélécommunications :Orange France TélécomLe groupe externalise desprocessus qui contribuent àla production des comptes.Des risques de contrôleinterne financier peuventaffecter cette démarche ; ilfaut donc s’assurer de l’effi-
cacité du dispositif de cou-verture de ces risques,notamment au regard de laloi Sarbanes-Oxley. Une démarche pour uneexternalisation exige qu’unevigilance forte soit portéepar les parties prenantesaux clauses de contractuali-sation, et en particulier surles éléments suivants :organisation de la sécuritéde l’information, politiquede sécurité, confidentialitéet archivage des données,sauvegarde et restauration,plan de reprise d’activité,plan de crise, gestion desbiens, gestion de l’exploita-tion, contrôle d’accès, ges-tion des incidents de sécu-rité, audit de conformité.Chaque année la fonctionde contrôle interne doits’assurer que les clausessont respectées, et que lesrisques sont correctement
identifiés et couverts.Un projet de sous-traitancedes systèmes d’informationdoit conduire à réfléchir surles processus plus globale-ment et sur l’intérêt d’éten-dre le projet aux processusmétiers.Globalement il est néces-saire d’avoir des suivisréguliers avec le sous-trai-tant pour s’assurer du pilo-tage avec un plan decontrôle annuel (il faut uncorrespondant sécurité etcontrôle interne chez lesous-traitant). La coordina-tion avec les fonctions decontrôle interne est impor-tante pour bien identifierles processus du périmètre,les risques à considérer etleur couverture. Le respon-sable du processus resteresponsable de la maîtriseglobale de son contrôleinterne.
Strategies for small audit shops
Auteurs : David O’Regan
Editeur : The IIA Research Foundation
Voici la deuxième édition (en anglais) d’un ouvrage paru en 2002. Elle ne remet pas encause les principes décrits dans la première édition, mais prend en compte les nou-velles dispositions adoptées depuis les dix dernières années.
Ce manuel a pour principal objectif de fournir des informations et des enseignements,et d’aider les petites unités d’audit à « coller » au plus près aux normes professionnelles.Il n’a pas de caractère légal.
Au cours des six chapitres, on apprendra, entre autres, ce qu’est une petite entité d’audit, quels sont les défis à releverpour ce type de structure, la façon d’aborder le champ de ses activités, l’optimisation des performances, etc.
Vous pouvez consulter cet ouvrage à la bibliothèque de l’IFACI.
Lu pour vous
37juin-juillet 2012 - Audit & Contrôle internes n°210
Audit, contrôle et performance
Auteurs : Laurent Cappelletti
Editeur : CNDP
L’ouvrage est le dernier numéro de la revue pédagogique Eco-nomie et management, qui se veut un support didactique,informatique et scientifique.
Ce numéro comporte deux parties : Audit, contrôle et perfor-mance, des armes anti-crise ? Méthodes innovantes d’audit etde contrôle de la performance.
Audit, contrôle et performance, des armes anti-crise ? Laperformance n’a de sens que si elle est durable, ce qui supposesa pluralité, sa relativité, son lien avec l’éthique et son applica-tion généralisée. L’audit et le contrôle sont devenus des piliersde la responsabilité sociale de l’entreprise et de sa gouver-nance, utilisés notamment dans des secteurs hautementéthiques comme le secteur médico-social. L’audit et le contrôlene sont pas des remèdes miracles. Aussi, pour contribuer à laperformance durable, doivent-ils être conduits selon des prin-cipes adaptés aux entreprises. A noter que ces dernièresannées, l’audit et le contrôle ont pénétré de nouveaux
domaines ou se sont renforcés dans des secteurs dans lesquels ils étaient déjà très présents, comme la banque, maisaussi les collectivités territoriales, les systèmes d’information et les PME.
Méthodes innovantes d’audit et de contrôle de la performance. L’audit, le contrôle et la performance représententdes champs très vastes d’investigation qui recouvrent toutes les disciplines du management et de la gestion. La per-formance durable a trois dimensions principales : économique et financière, sociale, environnementale et sociétale.Ces trois dimensions contribuent au développement de l’entreprise à court, moyen et long terme. La mesure de laperformance doit se faire au regard de ces dimensions, ce qui pose deux questions : quels indicateurs permettent demesurer la performance durable ? Comment construire un tableau de bord adapté pour la piloter ? Parmi les zonessensibles de l’audit, du contrôle et de la performance, figurent les compétences et les comportements professionnels,sujet délicat, mais qui doit être traité. Cette évaluation doit être menée avec doigté mais, in fine, doit être utile à l’or-ganisation.
Au-delà des concepts et des outils, l’audit, le contrôle et la performance offrent l’opportunité de provoquer des dis-cussions entre les acteurs, de stimuler le dialogue professionnel et de susciter des concertations. L’histoire écono-mique récente montre, en effet, que les grandes faillites de l’audit, du contrôle et de la performance, illustrées parles affaires des subprimes, Kerviel, Madoff, etc., résultent fondamentalement d’un manque de concertation et decommunication entre les acteurs, source d’opacité sur les situations de gestion.
L’ouvrage Audit, contrôle et performance s’adresse aux enseignants et formateurs des établissements professionnelset technologiques, aux étudiants et aux professionnels.
Vous pouvez consulter cet ouvrage à la bibliothèque de l’IFACI.
Lu pour vous
OUI, je désire recevoir le(s) numéro(s) :199200201202203204205206207208209
Paiement par : chèque bancaire ou postal (à l’ordre de l’IFACI) virement au HSBC Paris Champs-Elysées - Compte IFACI n° 30056-00148-01485415521-72 carte de crédit - n° . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Date d’expiration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Signature autorisée
OUI, je souhaite m’abonner à la revue« Audit & Contrôle internes » pour l’année2012 (du n° 208 au n° 212)(*) au prix de :
adhérents IFACI : 65 € TTCnon adhérents IFACI : 105 € TTC
(*) Si vous souscrivez un abonnement en cours d’année, letarif d’abonnement sera recalculé en fonction du nombrede numéros restant à paraitre jusqu’en fin d’année. Seulsces numéros vous seront envoyés.
Nom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Prénom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . N° adhérent IFACI . . . . . . . . . . . . . .Organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Adresse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Code Postal . . . . . . . . . . . . . . . . . . . . . . . . . . . Ville . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pays . . . . . . . . . . . . . . . . . . . . . . . .Date Signature
Commande à retourner à :I F A C I - 98 bis, boulevard Haussmann - 75008 Paris - Tél. : 01 40 08 48 00 - Fax : 01 40 08 48 20 - Mel : institut@ifaci.com
Vous pouvez également commander ou vous abonner à la revue « Audit & Contrôle internes » sur le site Internet www.ifaci.com
n° 199 n° 200 n° 201 n° 202 n° 203
n° 204 n° 205 n° 206 n° 207 n° 208
n° 209
Retrouvez la liste des
articles parus dans la revue
« Audit & Contrôle internes »
sur le site Internet de l’IFACIwww.ifaci.com
au prix unitaire de22 € TTC
Numéro épuisé
IFACI Formation - Tél. : 01 40 08 48 08 - Mel : formation@ifaci.com - Retrouvez également le programme complet sur le site internet www.ifaci.com
SESSIONS DuréeTarifs
adhérentsTarifs nonadhérents janvier février mars avril mai juin juillet sept. octobre nov. déc.
SE FORMER AU CONTRÔLE INTERNE
S’initier au contrôle interne 2 j 950 € 1 125 € 5-6 2-3 8-9 2-3 2-3 11-12 2-3 5-6 8-9
Cartographie et management des risques 3 j 1 675 € 1 875 € 11-13 6-8 12-14 4-6 9-11 13-15 10-12 8-10 3-5
Mettre en œuvre le dispositif de contrôle interne 2 j 1 200 € 1 350 € 16-17 9-10 15-16 14-15 19-20 4-5 13-14 15-16
Piloter et faire vivre le dispositif de contrôle interne 2 j 1 200 € 1 350 € 19-20 15-16 19-20 23-24 21-22 18-19 22-23
Le contrôle interne des systèmes d’information 2 j 1 200 € 1 350 € 24-25 22-23 27-28 3-4
SE FORMER À L’AUDIT INTERNE
Les fondamentaux de l’audit interne
S’initier à l’audit interne 2 j 950 € 1 125 € 5-6 1-2 8-929-30 15-16 7-8 2-3 6-7 4-5 8-9 6-7
Conduire une mission d’audit interne : la méthodologie 4 j 1 950 € 2 150 € 10-13 6-9 12-15 3-6 21-24 11-14 2-5 10-13 9-12 12-15 10-13
Maîtriser les outils et les techniques de l’audit 3 j 1 625 € 1 775 € 16-18 13-15 19-21 10-12 29-31 18-20 9-11 17-19 15-17 19-21 17-19
Maîtriser les situations de communication orale del’auditeur 2 j 1 050 € 1 150 € 19-20 13-14 22-23 10-11 21-22 21-22 12-13 20-21 18-19 22-23 20-21
Réussir les écrits de la mission d’audit 2 j 1 050 € 1 150 € 23-24 16-17 26-27 12-13 23-24 25-26 12-13 24-25 22-23 26-27 20-21
Exploiter les états financiers pour préparer une missiond’audit 3 j 1 525 € 1 675 € 25-27 26-28 29-31 26-28 3-5
Désacraliser les systèmes d’information 3 j 1 525 € 1 675 € 28-30 4-6 26-28 12-14
Détecter et prévenir les fraudes 2 j 1 050 € 1 150 € 29-30 28-29 24-25 24-25 6-7
Le management
Piloter un service d’audit interne 2 j 1 300 € 1 450 € 30,31 10-11 11-12
Manager une équipe d’auditeurs au cours d’une mission 1 j 685 € 770 € 21 4 14
L’audit interne dans les petites structures 1 j 685 € 770 € 7 29 19
Balanced Scorecard du service d’audit interne 1 j 685 € 770 € 10 25 28
Le suivi des recommandations 1 j 685 € 770 € 6 11 26 7 21
Préparer l’évaluation externe du service d’audit interne 2 j 1 300 € 1 450 € 13-14 15-16 29-30
L’audit interne, acteur de la gouvernance 1 j 685 € 770 € 12 26
Audit interne, contrôle interne et qualité : les synergies 1 j 685 € 770 € 15 25 5
Les audits spécifiques
Audit du Plan de Continuité d’Activité - PCA 2 j 1 300 € 1 450 € 8-9 27-28 26-27
Audit de la fonction Comptable 2 j 1 300 € 1 450 € 5-6 8-9
Audit de performance de la gestion des RessourcesHumaines 3 j 1 525 € 1 675 € 11-13 21-23
Audit de la fonction Achats 2 j 1 300 € 1 450 € 16-17 27-28
Audit des Contrats 1 j 685 € 770 € 16 1
Audit de la fonction Contrôle de Gestion 2 j 1 300 € 1 450 € 5-6 29-30
Audit de la Sécurité des Systèmes d’Information 2 j 1 300 € 1 450 € 22-23 12-13
Audit des Processus Informatisés 2 j 1 300 € 1 450 € 27-28 19-20
Audit de la Législation Sociale 2 j 1 300 € 1 450 € 13-14 17-18
Audit du développement durable 2 j 1 300 € 1 450 € 7-8 15-16
SE FORMER DANS LE SECTEUR PUBLIC
Le contrôle interne dans le secteur public 2 j 1 300 € 1 450 € 2-3 21-22 6-7 12-13
Pratiquer l’audit interne dans le secteur public 4 j 1 950 € 2 150 € 26-29 4-7 22-25 17-20
SE FORMER DANS LE SECTEUR BANCAIRE ET FINANCIER
Le contrôle interne dans le secteur bancaire et financier 3 j 1 525 € 1 675 € 6-8 19-21 5-7
Pratiquer l’audit interne dans le secteur bancaire etfinancier 4 j 1 950 € 2 150 € 11-14 24-27 10-13
SE FORMER DANS LE SECTEUR DES ASSURANCES
Le contrôle interne dans le secteur des assurances 2 j 1 300 € 1 450 € 8-9 2-3 4-5 8-9
Pratiquer l’audit interne dans le secteur des assurances 4 j 1 950 € 2 150 € 13-16 26-29 8-11 17-20
SE FORMER DANS LES SECTEURS INDUSTRIE ET COMMERCEAudit des processus clés des activités industrielles etcommerciales 4 j 1 950 € 2 150 € 23-26 2-5 18-21 15-18 4-7
ACQUÉRIR UNE CERTIFICATION
Le DPAI
Préparation au DPAI 2 j 950 € 1 125 € 29-30 11-12 15-16 13-14
Le CIA
Préparation au CIA - partie I 1,5 j 850 € 1 050 € 16pm-17 12pm-13 12pm-13 10pm-11 3pm-4
Préparation au CIA - partie II 1,5 j 850 € 1 050 € 19pm-20 15pm-16 14pm-15 13pm-14 6pm-7
Préparation au CIA - partie III 1,5 j 850 € 1 050 € 23pm-24 19pm-20 18pm-19 17pm-18 10pm-11
Préparation au CIA - partie IV 1,5 j 850 € 1 050 € 26pm-27 22pm-23 21pm-22 20pm-21 13pm-14
Calendrier 2012DPAI
1
FICHE TECHNIQUE
juin-juillet 2012 - FICHE TECHNIQUE N°40 - Audit & Contrôle internes
Béatrice Ki-Zerbo - Directeur de la Recherche, IFACI
Ces deux concepts sont au cœur de ladéfinition de l’audit interne : « […] acti-vité indépendante et objective qui donne
à une organisation une assurance sur le degré demaîtrise de ses opérations, lui apporte ses conseilspour les améliorer, et contribue à créer de la valeurajoutée. […]». L’objectivité est également l’un des
quatre principes clé du Code de Déontologie del’IIA.
Mais ce n’est pas parce qu’ils sont inscrits dansces textes fondateurs de la profession qu’ils sontcompris et mis en œuvre. En particulier ilconvient de lever toute ambiguïté quant à l’in-dépendance de l’audit interne. En effet, elle sedéfinit par des critères spécifiques qui ne sontpas ceux de l’audit externe. Quant à leur mise enœuvre, elle ne vise pas seulement à se conformeraux meilleures pratiques professionnelles, maiselle sert surtout à mieux répondre aux attentesdes parties prenantes internes et externes. Ainsi,les organes dirigeants (direction générale etConseil) sont à même d’obtenir une assuranceraisonnable sur le niveau global de maîtrise desactivités. De même, les auditeurs externes et lessuperviseurs peuvent avoir une confiance accruedans les dispositifs de contrôle interne s’ilssavent qu’une fonction d’audit interne efficaceles évalue.
Indépendance et objectivité,deux conditions pour un auditinterne reconnu et performant
L’objectivité un principe déontologiquepour les auditeurs internes
« Les auditeurs internes montrent le plus hautdegré d’objectivité professionnelle en collectant,évaluant et communiquant les informationsrelatives à l’activité ou au processus examiné.Les auditeurs internes évaluent de manière équi-table tous les éléments pertinents et ne se lais-sent pas influencer dans leur jugement par leurspropres intérêts ou par autrui. »
Code de Déontologie de l’IIA
2
FICHE TECHNIQUE
Audit & Contrôle internes - FICHE TECHNIQUE N°40 - juin-juillet 2012
Cet article s'appuie sur le guide pratique de l'IIA("Independance and objectivity: IPPF – Practiceguide" – The IIA, 2011) que l'IFACI a traduit(Guide Pratique « Indépendance et objectivité :CRIPP », IFACI/ IIA, 2012). Il en suit la tramepour mettre en évidence les risques d’atteinte àl’indépendance et à l’objectivité ainsi que lesdispositifs de gestion de ces risques.
Des concepts différents qui se recoupent
Le glossaire des Normes fournit les définitionssuivantes :
Les mots mis en exergue dans cet encartmontrent que ces deux concepts ont en communl’exigence d’impartialité. De plus, mener destravaux « sans compromis » ni subordination deson jugement c’est tout simplement être indé-pendant. On pourrait donc se poser la questionde l’intérêt d’avoir deux termes si proches pourdéfinir la même activité.
Selon le guide pratique, l’objectivité renvoieplutôt à un état d’esprit, au jugement personnelde l’auditeur interne, aux préjugés, aux relationset aux comportements. Un exemple est cité : « les
techniques d’échantillonnage statistiques peuventêtre utilisées pour obtenir un échantillon impartial àtester, mais il appartient toujours à l'auditeur interned’appliquer les critères ou procédures de tests et, d’in-terpréter les résultats de manière impartiale ».Tandis que l’indépendance concerne plus lafonction d’audit interne et s'exprime générale-ment de manière factuelle (par exemple, enfonction de la position de l'audit interne dansl’organisation, des relations avec les organes degouvernance, ou des pouvoirs d’accès à l'infor-mation, aux personnes, aux documents).
Des menaces réelles ou supposées
Différentes situations peuvent porter atteinte àl’indépendance de l’audit interne et à l’objecti-vité de l’auditeur. Ces risques inhérents sont, parexemple :
L’auditeur interne salarié de l’organisationLa majorité des acteurs de l’audit interne enFrance sont des salariés de leur organisation.Cette dépendance de fait pourrait laisserpenser que l’audit interne ne peut pas êtreimpartial. En tout état de cause le recours àun prestataire externe ne résout pas cepréjugé.
Un spectre d’activités qui s’étend L’audit interne offre des services de plus enplus diversifiés qui vont de l’assurance sur laconformité d’une activité à des conseils enphase de lancement d’un projet. La prise deposition de l’IIA sur « Le Rôle de l’auditinterne dans le management des risques del’entreprise » illustre bien le panel d’activitésqui peut être confié à l’audit interne et iden-tifie celles qui risquent de porter atteinte àl’indépendance et à l’objectivité.
Les préjugés sociaux ou cognitifsQu’il s’agisse d’intimidations ou de préjugésinconscients, l’auditeur interne peut perdre
Indépendance« L’indépendance c’est la capacité de l’auditinterne à assumer, de manière impartiale, sesresponsabilités. »
Objectivité« L’objectivité est une attitude impartiale quipermet aux auditeurs internes d’accomplir leursmissions de telle sorte qu’ils soient certains de laqualité de leurs travaux, menés sans compro-mis. L’objectivité implique que les auditeursinternes ne subordonnent pas leur proprejugement à celui d’autres personnes. »
Glossaire des normes version du 1er janvier 2012
3juin-juillet 2012 - FICHE TECHNIQUE N°40 - Audit & Contrôle internes
son objectivité en sur-interprétant (positive-ment ou négativement) une information enfonction du rôle ou du profil de son interlo-cuteur.
L’audit récurrent d’un département, d’uneactivitéLa familiarité avec le sujet audité peut égale-ment mettre à mal l’objectivité de l’auditeuret l’aveugler dans ses investigations puisqu’ilpeut penser connaître a priori les faiblesses.Ce n’est pas seulement une problématiquede petite structure d’audit interne qui n’auraitpas les moyens d’assurer la rotation des audi-teurs sur différentes missions. Desprogrammes de travail appliqués de manièretrop mécanique peuvent induire le mêmebiais.
Une responsabilité collective etindividuelle pour maîtriser ces menacesà tous les niveaux
Le guide pratique propose un référentiel degestion des menaces inhérentes et résiduelles àdéployer à différents niveaux :
Au niveau de la professionLes associations professionnelles commel’IIA et l’IFACI doivent continuer à mener desrecherches pour mieux définir ces concepts,les conditions de leur exercice et leur intérêtpour l’efficacité de la fonction.
Au niveau de chaque organisationIl revient aux organes dirigeants de s’infor-mer des conditions de succès d’une fonctiond’audit interne et de lui en donner lesmoyens notamment en termes de rattache-ment et de professionnalisme. Dans sa réponse à la consultation publiquedu Comité de Bâle sur l’audit interne, l’IFACIa réitéré sa position qui consiste à instaurerune relation équilibrée avec les organes diri-
geants. En privilégiant le rattachementhiérarchique au plus haut niveau de l’orga-nisation et un accès non restreint au Conseil. Ce modèle favorise l’indépendance au seinde l’organisation (liberté dans l’élaborationdu plan d’audit, accès aux ressources de l’or-ganisation, mise en œuvre du programme detravail et communication sur les constats sansinterférence du management). Plus son ratta-chement hiérarchique est élevé, plus le péri-mètre potentiel de l’audit interne est étenduet plus il est indépendant de l'entité auditée. Les relations étroites avec le Conseil permet-tent de conforter cette indépendance organi-sationnelle, tout en donnant à l’audit internela possibilité de contribuer à l’atteinte desobjectifs du Conseil en matière de suivi del’efficacité des systèmes de gestion desrisques et de contrôle interne. Ainsi, l’accèsdirect et sans restriction à cet organe (ou auComité d’audit) préconisé par la Norme 1111devrait se traduire par une participation régu-lière du responsable de l’audit interne (RAI)aux réunions du Comité d’audit ainsi que des
Rattachement du RAI et relations avec leComité d’audit
Selon la dernière enquête réalisée par l’IFACI surles pratiques de l’audit interne en France : 77 % des répondants sont rattachés au direc-
teur général ou au président ; 41 % des RAI rencontrent le président du
Comité d’audit en tête-à-tête ; la thématique des « missions et responsabili-
tés » vient en tête des sujets abordés avec leComité d’audit ;
le Comité d’audit est également informé de larévocation du RAI dans 63 % des cas(consulté dans 21 % des cas, approbateurdans 16 %) et de la rémunération de celui-cidans 76 % des cas (consulté dans 19 % descas et approbateur dans 5 %).
juin-juillet 2012 - FICHE TECHNIQUE N°40 - Audit & Contrôle internes 4
réunions en-tête, en-dehors de la présencede la direction générale, avec le Comité d’au-dit ou son président. L’interprétation de lanorme 1110 – Indépendance dans l'organi-sation, ainsi que la modalité pratique d’ap-plication associée, fournissent desillustrations sur la nature des relations fonc-tionnelles et hiérarchiques.
La charte d’audit interne formalise l’engage-ment que l’organisation prend vis-à-vis despouvoirs et responsabilités de l’audit interne.Son application doit être soutenue et suiviepar les organes dirigeants.
Le RAI, acteur clé pour asseoir l’indépen-dance de son service et développer l’objec-tivité des auditeurs internes
Le responsable de l’audit interne doit utiliserau mieux son positionnement et ses relations
avec les organes dirigeants. Pour ce faire, ilest au fait des meilleures pratiques profes-sionnelles et échange avec ses pairs.Il met en œuvre un véritable dispositif degestion des risques d’atteinte à l’indépen-dance et à l’objectivité dont la schématisa-tion, ci-dessous, ne surprendra pas ceux quisont familiers des référentiels de risk mana-gement.
Le guide pratique propose des facteurs d’at-ténuation. Le groupe de travail chargé del’adaptation en français a souhaité attirer l’at-tention sur certaines d’entre elles, telle quel’instauration d’un système de récompenses /sanctions. Dans certains environnements, ilpeut être malsain d’associer un tel systèmeau maintien de l’objectivité. De plus, les sanc-tions doivent s’appuyer sur des preuvesfactuelles démontrant que l’auditeur aexprimé des constats en se fondant unique-
Identi�er la menace
Evaluer l’importancede la menace
Identi�er les facteurs d’atténuation
Evaluer la menacerésiduelle
Gérer de manièreproactive la menace
résiduelle
Evaluer la présencede menaces non
résolues
Dé�nir les implicationsen termes de
communications auxparties prenantes
Réviser et surveillerles menaces
FICHE TECHNIQUE
Audit & Contrôle internes - FICHE TECHNIQUE N°40 - juin-juillet 20125
ment sur des partis pris ou des préjugés.Enfin, il serait dangereux de prescrire, envoulant la favoriser, ce que doit être l’objec-tivité. Le RAI dispose de toute une panopliede mesures préventives ou d’accompagne-ment telles que :• la sensibilisation au Code de déontologieet des entretiens réguliers avec les audi-teurs internes ;
• une politique de gestion des cadeaux de lapart des employés, de clients, fournisseurs,partenaires ;
• les pratiques de recrutement et de rému-nération. Il s’agit ici de déterminer si lescandidats sont en situation de conflits d’in-térêts (actionnaires, relations personnellesou d’affaires) ou d’éviter des critères derémunération qui dépendent de la perfor-mance de l'unité opérationnelle auditée ;
• la formation professionnelle socle de l’ob-jectivité ;
• la maîtrise de la mobilité interne vers et endehors de l’audit interne en respectant unepériode de latence entre fonctions opéra-tionnelles occupées (ou à venir) et lesmissions d’audit réalisées ;
• la constitution des équipes pour maîtriserle risque de familiarité ;
• un programme d’assurance et d’améliora-tion qualité conforme comprenant unesupervision en fonction du risque d’atteinteà l’objectivité et une évaluation externedonnant l’assurance d’une bonne gestiondes menaces.
La Norme 1110 indiquant que le RAI doitconfirmer au moins une fois par an l’indé-pendance organisationnelle de son service auConseil, ne devrait donc pas être considéréecomme une activité routinière mais s’appuyersur un contrôle permanent de l’activité.
Une responsabilité individuelle Une gouvernance adaptée et l’engagementdu RAI ne sont pas suffisants. Ils constituentun environnement favorable pour l’expres-sion de l’objectivité, mais celle-ci dépendrasurtout de l’auditeur interne. Il doit encomprendre les enjeux à travers des forma-tions et l’adoption du code de déontologie.Chaque auditeur interne devrait régulière-ment auto-évaluer son objectivité (dans lecadre de l’entretien annuel, avant et aprèschaque mission) et discuter avec le RAI encas de doute ou de risque avéré.
Il serait dommage que les travaux initiés par l’IIApour réviser la définition de l’audit interne abou-tissent à la suppression de la notion d’indépen-dance au motif que l’audit interne est unefonction de l’organisation. L’indépendance abso-lue n’existe pas et n’est pas souhaitable pourl’audit interne qui doit rester un outil au servicede la performance de l’organisation.Les deux concepts se nourrissent, l’indépen-dance contribue à l’instauration d’un contextefavorable à l’objectivité. De même, cette objecti-vité contribue à conforter l’indépendance. Eneffet, l’indépendance n’est pas un droit acquisimmuablement gravé dans le marbre d’unecharte d’audit interne ou lié à une place en hautde l’organigramme. Elle s’acquière et se mérite.Autant dire que c’est aussi une questiond’homme ou de femme. C’est au RAI de donnertoute la dimension de cette indépendance en lamettant en œuvre à bon escient non pas commeun mercenaire va-t-en-guerre mais dans lerespect de ses interlocuteurs et avec des convic-tions ancrées sur son expérience et le profession-nalisme de son équipe. Il instaure une sainecollégialité avec des espaces d’expression favo-risant l’identification des menaces et limitant desbiais cognitifs tel que l’aveuglement collectif faceà une difficulté bien réelle.
6juin-juillet 2012 - FICHE TECHNIQUE N°40 - Audit & Contrôle internes
Bibliographie
Independance and objectivity: IPPF - Practice guide / Steven E. JAMESON, et al. – The IIA, 2011.
Guide Pratique – Indépendance et objectivité : CRIPP, IFACI/ IIA, 2012.
Assisting small internal audit activities in implementing the International standards for the professio-nal practice of internal auditing: IPPF – practice. – The IIA, 2011.
CBOK - Common Body of Knowledge: vos pratiques au regard des tendances européennes etmondiales. – IFACI, 2011.
Characteristics of an internal audit activity : The IIA's global internal audit survey, report I. – The IIA,2010.
Core competencies for today's internal auditor : The IIA's global internal audit survey, report II. / JamesA. BAILEY. – The IIA, 2010.
Measuring internal auditing's value: The IIA's global internal audit survey, report III / Jiin-Feng CHEN,Wan-Ying LIN. – The IIA, 2011.
What's next for internal auditing?: The IIA's global internal audit survey, report IV. – The IIA, 2011.
Imperatives for change: the IIA's global internal audit survey in action: The IIA's global internal auditsurvey, report V / Richard J. ANDERSON, J. Christopher SVARE. – The IIA, 2011.
Les Pratiques de l'audit et du contrôle internes en France en 2009 : Enquête 2009. – IFACI, 2010.
Prise de position IFA / IFACI sur le rôle de l'audit interne dans le gouvernement d'entreprise : Mai 2009.– IFACI, 2009.
Independence and objectivity: A framework for internal auditors. / sous la resp. de Jane MUTCHLER. -The IIA research Foundation, 2001.
Les Normes et MPA associées :- Norme 1000 – Mission, pouvoirs et responsabilités- MPA 1000-1 – Charte d’audit interne- Norme 1010 – Reconnaissance de la Définition de l’Audit Interne, du Code de Déontologie et des
Normes dans la charte d’audit interne- Norme 1100 – Indépendance et objectivité- MPA 1110-1 – Indépendance dans l’organisation- Norme 1110.A1 – Indépendance dans la délimitation des travaux et la communication des résul-
tats - MPA 1111-1 – Relation avec le Conseil- MPA 1120-1 – Objectivité individuelle- MPA 1130-1 – Atteintes à l’indépendance et à l’objectivité- Norme 1130.A1 - Altération de l’objectivité de l’auditeur interne- MPA 1130.A1-1 – Audit des opérations dont les auditeurs internes ont été auparavant responsables- Norme 1130.A2 – Missions d’assurance sur des fonctions dont le responsable d’audit interne a la
charge- Norme 1130.A2-1 – Responsabilités exercées par l’auditeur interne au titre d’autres fonctions- Norme 1130.C1 – Missions de conseils sur des opérations dont les auditeurs internes ont été aupa-
ravant responsables- Norme 1130.C2 – Information sur les risques d’atteinte à l’indépendance et l’objectivité des audi-
teurs internes- MPA 2060-1 – Rapports à la Direction Générale et au Conseil - Norme 2070 – Responsabilités de l’organisation en cas de recours à un prestataire externe pour ses
activités d’audit interne- MPA 2120-2 – Gestion du risque lié à l’activité d’audit interne
top related