les fondamentaux de l’audit interne - … revue... · mémoire d’étudiant le contrôle interne...

l a r e v u e d e s p r o f e s s i o n n e l s d e l ’ a u d i t , d u c o n t r ô l e e t d e s r i s q u e s

Dans l’actualité

Danone, Glaxo : l'émergence desrisques éthiques sur le marchéchinois

Idées et débats

Gestion des risques :Un référentiel sinon rien !

InterviewLe Chairman of the Boardde l’IIA nous en dit plus

InternationalLa culture d'entreprise, un atout

Mémoire d’étudiantLe contrôle interne favorisel’apprentissage de l’organisation

Fiche technique

>> La prise en compte, par l’auditinterne, des risques associés àl’atteinte des objectifsstratégiques

N°217Novembre-Décembre 2013

LES FONDAMENTAUXDE L’AUDIT INTERNEDe la réflexion à la mise en placed’un plan d’audit

Marquez des points ...avec la nouvelle certificationprofessionnelle

Professionnels de l’audit et du contrôle internes, cette nouvelle certification vous permettra de dé-montrer votre professionnalisme dans le domaine de l’évaluation de la gestion des risques, et plusparticulièrement votre capacité à :

évaluer la maîtrise des risques et la gouvernance des processus métiers de votre organisation ; sensibiliser la direction et le comité d’audit aux concepts liés aux risques et à la maîtrise des

risques ; vous centrer sur les risques stratégiques de l’organisation ; apporter encore plus de valeur ajoutée à votre organisation.

Disponible, à la fin du premier semestre 2013, sous la forme d’un examen, le CRMA™ est ac-cessible dès aujourd’hui via un processus de Reconnaissance de l’Expérience Profes-sionnelle (REP). Ainsi, toute personne justifiant d’une expérience professionnelledans les cinq domaines couverts par la certification CRMA™, et titulaire de di-plômes et/ou de tout autre certificat dans le domaine de l’audit, sera en mesurede faire une demande de REP en vue d’obtenir la certification CRMA™.

POUR EN SAVOIR PLUS ...

Rendez-vous sur le site internet de l’IFACI (www.ifaci.com)à la rubrique « Carrière + Diplômes ».

Conc

eptio

n : e

bzon

e co

mm

unic

atio

n - P

hoto

: ©

Pat

y W

ingr

ove

- Fot

olia

.com

3nov./déc. 2013 - Audit & Contrôle internes n°217

La revue des professionnels de l’audit,du contrôle et des risques

n°217 - nov./déc. 2013

EDITEURInstitut Français de l’Audit et du Contrôle Internes (IFACI)Association Loi 190198 bis, boulevard Haussmann75008 Paris (France)Tél. : 01 40 08 48 00 Mel : [email protected] : www.ifaci.com

DIRECTEUR DE PUBLICATIONFarid Aractingi

RESPONSABLE DE LA RÉDACTION Philippe Mocquard

RÉDACTEUR EN CHEFLouis Vaurs

RÉDACTION - RÉVISIONJean-Loup Rouff - Béatrice Ki-Zerbo

SECRÉTARIAT GÉNÉRALEric Blanc - Tél. : 01 40 08 48 02Mel : [email protected]

RÉALISATIONEBZONE Communication32, avenue de Beauregard94500 Champigny-sur-MarneTél. : 01 48 80 00 56Mel : [email protected]

IMPRESSIONImprimerie de ChampagneRue de l’Etoile de Langres - ZI Les Franchises52200 Langres

ABONNEMENTElsa Sarda - Tél. : 01 40 08 47 84Mel : [email protected]

Revue bimestrielle (5 numéros par an)ISSN : 2117-1661CPPAP : 0513 G 83150Dépôt légal : décembre 2013Photos couverture : © alphaspirit - Fotolia.com

Prix de vente au numéro : 25 € TTC

Les articles sont présentés sous la responsabilité de leurs auteurs.

Toute représentation ou reproduction, intégrale ou partielle, faitesans le consentement de l’auteur, ou de ses ayants droits, ou ayantscause, est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40).Cette représentation ou reproduction, par quelque procédé que cesoit, constituerait une contrefaçon sanctionnée par les articles 425et suivants du Code Pénal.

Ce document est imprimé avec des encres végétalessur du papier issu de forêts gérées dans le cadred’une démarche de développement durable.

Dans ce numéro, Paul Sobel que nous avonsaccueilli, en novembre dernier, à la premièreconférence annuelle de l’IFACI, nous en dit

plus : sur son rôle – exigeant – en tant que Chairmanof the Board de l’IIA ; sur le statut juridique de l’IIAglobal qui est resté un institut de membres alors que,pour les grands instituts nationaux dont l’IFACI, l’IIAne peut être considéré à présent que comme uneconfédération d’instituts nationaux ce qui devraitconduire, à notre avis, à l’adoption d’une nouvelle gouvernance ; sur le défi quedoivent relever les auditeurs internes face à la montée en puissance des autresacteurs de la maîtrise des risques. Et d’exhorter les auditeurs internes : soyez inno-vants, ayez de l’intuition, faites preuve de créativité, qu’il résume par « imagineztoutes les possibilités ».

A cette exhortation, répond tout d’abord l’initiative de Scott Strachan, directeur del’audit interne d’une société de gestion d’actifs membre du FTSE anglais, de lanceret de mener à bien un audit complet de la culture et de la stratégie de son entreprise.Y répond aussi, le billet d’Antoine de Boissieu sur « l’émergence des risques éthiquessur le marché chinois » mais également ailleurs. Pour y faire face, il propose aux audi-teurs internes de répondre à dix questions susceptibles de les alerter sur les risquesde fraude, parmi lesquelles « Y a-t-il des objectifs anormalement ambitieux ? » ; « Lacroissance est-elle cohérente avec l’évolution du marché ? » ; « Y a-t-il une fonction juri-dique, conformité, fiscale, indépendante ? » ; « Y a-t-il des directives explicites interdisantun certain nombre de pratiques connues, constatées ? »…

Je vous recommande, par ailleurs, de porter une attention particulière sur le témoi-gnage de trois responsables d’audit interne relatif à la mise en place d’un plan d’au-dit, l’un des trois processus majeurs de la fonction d’audit interne. Son élaborationn’est pas simple car le plan doit satisfaire aux attentes de plusieurs parties prenantes,direction générale, comité d’audit et, pour les secteurs banque et assurance,l’Autorité de Contrôle Prudentiel et de Résolution (ACPR). Il se construit étape parétape en s’appuyant notamment sur la cartographie des risques qu’elle soit établieà l’échelle du groupe ou qu’elle soit propre au service d’audit interne, et en prenantattache avec de nombreux responsables ainsi qu’avec les commissaires aux comptes.Il doit enfin être approuvé et/ou validé par la direction générale et le comité d’audit.Tout en affichant quelques différences dont l’appréhension ne peut être qu’enri-chissante pour chacun, la construction du plan d’audit présentée par ces troisresponsables, parfaitement alignée sur les normes de la profession, est très instruc-tive.

Bonne lecture.

Imaginer toutesles possibilités maisrespecter les normes

Louis Vaurs - Rédacteur en chef

Contactez-nous :Tél. : 01 44 70 63 00

E-mail : [email protected]

Conc

eptio

n : e

bzon

e co

mm

unic

atio

n - P

hoto

: ©

Jaku

b Ce

jpek

- Fo

tolia

.com

Votre engagement pour+ de bonnes pratiques

+ de performance+ de légitimité

+ de sécurité

Progressez surdes bases solides

Le label de qualité et de performance CertificationIFACI est délivré aux services d'audit interne quiappliquent de façon pérenne les trente exigencespragmatiques du Référentiel Professionnel del'Audit Interne.


SOMMAIRE

DANS L’ACTUALITÉ DOSSIER

Les fondamentauxde l’audit interneDe la réflexion à la mise en placed’un plan d’audit

Danone, Glaxo : l'émergence des risqueséthiques sur le marché chinoisAntoine de Boissieu

6

p. 15 à 28

Mise en place du plan d’audit dans un grouped’assurancesBertrand Lefebvre

23

Le plan d’audit : Unité des principes et diversitédes pratiquesJacques Renard

16

La mise en œuvre de l’audit interne chez EDF :structure et méthodesMichel Uhart

26

Audit bancaire : le plan d’audit, ce n’est passeulement un calendrier…Christiane Legat

20INTERNATIONAL

La culture d'entreprise, un atout30

INTERVIEW

Le Chairman of the Boardde l’IIA nous en dit plusPaul Sobel

13

MÉMOIRE D’ÉTUDIANT

Le contrôle interne favorisel’apprentissage de l’organisationMarine Lacourte

34

IDÉES ET DÉBATS

Gestion des risques :Un référentiel sinon rien !Alexia Berroëta

9

LA PROFESSION EN MOUVEMENT

Evénements - Lu pour vous37

FICHE TECHNIQUE N°47

>> La prise en compte, par l’audit interne, des risquesassociés à l’atteinte des objectifs stratégiquesEdwige Duterrage Baudin

6

DANS L’ACTUALITÉ

Audit & Contrôle internes n°217 - nov./déc. 2013

Danone, Glaxo :l'émergence des risqueséthiques sur le marché chinoisAntoine de Boissieu - Associé-gérant, OSC Solutions

La Chine est devenueun marché prioritairepour la plupart des

grands groupes internatio-naux. Certains viennentcependant d'y connaître desdéboires inédits. Deux socié-tés parmi les leaders de leursecteur d'activité y ont ainsieu des ennuis récemment.

Pots-de-vinet ententes

Dumex, filiale du groupeDanone spécialisé dans lelait infantile en Chine, a étémise en cause dans deuxaffaires distinctes. Elle a toutd'abord été accusée d'avoirpayé des pots-de-vin à desmédecins et des infirmièresdans des hôpitaux du Nordde la Chine. En contrepartie,ces médecins et infirmièresrecommandaient le laitmaternisé du groupe. L'en-quête officielle a révélé aumoins 110 cas, dans 85 hôpi-taux et dispensaires. Le mar-ché du lait infantile en Chineest estimé à 12 Mrd €, et ilest prévu qu'il double dansles 4 ans à venir. A titre decomparaison, le chiffre d'af-faires mondial de Danone

dans cette activité était de4,2 Mrd en 2012, le premiermarché étant la Chine.

Un peu plus tôt les autoritéschinoises avaient condamnéplusieurs entreprises inter-nationales, dont Dumex, àpayer 80 M€ d'amendes.Ces amendes sanctionnaientdes ententes sur les prix. Lesdifférentes entreprises onten outre dû baisser leurs prixde ventes de façon significa-tive.

Corruptiondes médecins etgonflement des prix

Le laboratoire britanniqueGlaxoSmithkline a dûreconnaître sa culpabilitédans une affaire de pots-de-vin. Glaxo avait organisé unsystème de corruption demédecins pour qu'ils pres-crivent ses médicaments. Lelaboratoire est aussi soup-çonné d'avoir corrompu desfonctionnaires afin de pou-voir gonfler le prix de ventede ses médicaments. Lesrésultats de l'enquête nesont pas encore connus,mais les pots-de-vin payés

se chiffreraient en centainesde millions de dollars. Glaxo,qui réalise 1,5 Mrd USD dechiffre d'affaires en Chine, avu ses ventes chuter de 60 %au troisième trimestre à lasuite de cette affaire.

Outre le fait qu'elles concer-nent deux grandes firmesoccidentales en Chine, cesaffaires présentent despoints communs.

Des faitsapparemment avérés

Le premier point communest que les faits reprochéssemblent être avérés. Aprèsdes dénégations initiales,Glaxo et Danone ontreconnu la véracité des accu-sations. Les autorités n'ontfait que sortir des cas réels,et ont obligé les sociétésincriminées à faire cesser lesnon-conformités.

Des mises en causesmédiatisées

Les mises en cause par lesautorités chinoises ont deplus été largement médiati-sées ; les télés d'Etat ont

sorti et largement relayé cesaffaires, leur assurant unretentissement maximum.Les sociétés impliquées ontdû faire amende honorabledans les mêmes médias,reconnaissant ainsi leur cul-pabilité. Le management desfiliales de Danone et deGlaxo a également étéchangé.

Un message clairdes autorités

Il serait réducteur de ne voirdans cette publicité qu'unemanœuvre populiste ounationaliste du gouverne-ment chinois. Le fait de sor-tir ces affaires dans lesmédias traduit plutôt lavolonté d'afficher que cer-taines pratiques ne serontplus tolérées, et que lesautorités n'acceptent plus defermer les yeux sur desinfrac tions sous prétextequ'elles sont généralisées etqu'elles ont été admisesjusqu'ici.Ces affaires posent plusieursquestions aux grandsgroupes internationaux, etpourraient pousser à uneremise en cause de leur


mode de gestion en Chineet, plus généralement, dansles pays à fort taux de crois-sance. Pour schématiser, onpeut dire que de nombreuxgroupes internationaux ontadopté vis-à-vis de ces paysune politique d'arbitrageentre les risques et lesopportunités, que l'on peutrésumer en 4 points : 1. Ilfaut se développer vite surun marché en forte crois-sance - 2. Les autorités ontdû mal à contrôler le marché- 3. La pratique du marché

est d'avoir une interpréta-tion souple des réglementa-tions et des règles d'éthique- 4. Le pilotage et la gestionde l'activité sur place sontlargement délégués aumanagement local.

Etudions rapidement ces 4points :

1. Une courseà la croissance

Le marché chinois est évi-demment tentant, de par sa

taille et son taux de crois-sance à deux chiffres dansbeaucoup de secteurs d'acti-vité. Les grandes sociétésont donc la volonté deconquérir vite des parts demarché, pour disposer depositions bien établieslorsque le marché atteindrasa maturité. A court terme, ily a également une volontéd'afficher une hausse duchiffre d'affaires, les activitéschinoises étant surveilléesde près par les analystesfinanciers et généralement

mieux valorisées que lesactivités des marchés euro-péens matures ou en déclin.

2. Des marchésdifficiles à contrôlerpour les autorités

Le marché chinois est relati-vement récent ; l'ouvertureéconomique et l'ouverture àla concurrence sont posté-rieures à 2000 dans la plu-part des secteurs. Cela apour conséquence que lemarché est en évolution

© H

alfp

oint

- F

otol

ia.c

om

8

DANS L’ACTUALITÉ


rapide, et qu'il est difficile àcontrôler et à réguler pourdes autorités qui n'ont quetrès peu de recul, et peud'expérience en la matière.Pour ne rien arranger, lesautorités exerçant les pou-voirs de contrôle sont parfoiscorrompues, et fermentdonc les yeux sur les faitsqu'elles devraient réprimer.

3. La généralisationde pratiquesdouteuses

Sur ces marchés en évolu-tion et en croissance, diffi-ciles à contrôler, des pra-tiques illégales se sont plusou moins généralisées sui-vant les secteurs : corrup-tion, versement de pots-de-vin, montages fiscaux etdouaniers que l'on qualifie-rait en France au mieuxd'abus de droit, achat d'au-torisations administrativesou de passe-droits, etc. , lessociétés locales donnantsouvent le mauvais exemple.Dans certains secteurs, l'uneou l'autre de ces pratiquessont devenues la règle. C'estainsi le cas du paiement depots-de-vin aux médecinsdans le secteur de la phar-macie.1

4. Une gestion locale

Ces marchés sont souventgérés localement, par desfiliales qui disposent d'unelarge autonomie par rapportau siège. Cette situation sejustifie par l'éloignement, lesdifférences de langue, lesnombreuses spécificitéslocales, et enfin par la néces-sité d'avoir un managementcapable de tisser localementles liens nécessaires. Plus

cyniquement, cette gestionlocale permet également ausiège de redescendre la prisede risques et de responsabi-lités au niveau de la filiale,sans avoir à arbitrer entre lerespect des règles d'éthiqued'une part, et des objectifsde croissance ambitieuxd'autre part.

Cette stratégie peut êtreremise en cause si le coûtdes non-conformités devaitaugmenter, ce que suggèrentles dernières affaires. Inci-demment, on peut noter queles affaires de corruption defonctionnaires relevées enChine pourraient avoir desrépercussions aux Etats-Unis dans le cadre du FCPA(Foreign Corrupt PracticesAct), ou au Royaume-Unidans le cadre de l'anti-bri-bery Act ; dans les deux cas,le risque financier se trouveconsidérablement augmentépour les sociétés incrimi-nées.

Quel doit être le rôlede l'audit internedans ce contexte ?

Evaluer le niveau de tolé-rance de la direction géné-rale L'audit interne doit vérifiers'il est missionné pour allerauditer ce type de risques.Autrement dit, y a-t-il unenvironnement de contrôlesuffisamment fort sur cesquestions pour que la direc-tion accepte de prendreconnaissance des faits, et deles traiter ? Dans certainscas, la direction générale sesert de l'audit interne pouridentifier non pas les risquesde non-conformité ou d'in-fraction, mais le risque d'être

pris par les autorités : l'auditinterne est donc utilisécomme un outil de mise ennon-conformité, plus quecomme un promoteur del'éthique et des bonnes pra-tiques de gouvernance.

Recenser les signauxd'alerteSi l'environnement généralde contrôle est propice àl'audit de ce type de risques,l'audit interne peut essayerd'évaluer les risques. Dansbeaucoup de cas, la difficultéest de mettre en évidence lesfaits incriminés, qui peuventêtre bien dissimulés. C'étaitainsi le cas des pots-de-vinpayés aux médecins par dif-férentes sociétés pharma-ceutiques : ces dernièrespassaient par des agences devoyage pour organiser leurscongrès ; l'agence de voyagegonflait la facture enenvoyant de faux justificatifsde frais, très difficiles àdétecter pour les servicesfinanciers du siège, et a for-tiori pour des auditeursinternes.

Le rôle de l'audit interne,comme face aux risques defraude, doit donc d'abordêtre d'alerter sur les risques,sans forcément vouloir met-tre en évidence les infrac -tions. Pour cela, les auditeurspeuvent par exemple com-mencer par répondre à ces10 questions :1. Y a-t-il des objectifs

anormalement ambi-tieux ?

2. Les taux de marge sont-ils cohérents avec ceuxdes autres pays ?

3. La croissance est-ellecohérente avec l'évolu-tion du marché ?

4. Y a-t-il un manager(DAF par exemple) indé-pendant du manage-ment local ?

5. Y a-t-il une fonctionjuridique, conformité,fiscale, indépendante ?(rattachement à un DAFexpatrié, rattachementfonctionnel à une fonc-tion siège...).

6. Les CAC ont-ilsconnaissance de pra-tiques anormales dansnotre secteur ?

7. Y a-t-il des directivesexplicites interdisant uncertain nombre de pra-tiques connues, consta-tées ?

8. Les décisions clefs sont-elles validées au bonniveau ? (à l'inverse, nesont-elles pas déléguéesà un niveau trop bas, cequi favoriserait la prisede risques).

9. Les prestations de ser-vice intellectuelles sont-elles bien indispensableset justifiées ?

10. Y a-t-il un réseau decontrôleurs internescouvrant y compris cetype de risques ?

Un nombre significatif deréponses négatives devraitpousser les auditeurs à creu-ser la question.

1 Ces pratiques ne sont d'ailleurs enrien spécifiques à la Chine, lesgrands laboratoires internatio-naux les ayant largement utili-sées en Europe et aux Etats-Unispendant des années. Pour les éra-diquer, les autorités ont instaurédes législations très restrictives et,aux E.-U., ont imposé des sanc-tions de plus en plus dissuasives.


IDÉES ET DÉBATS

Sous l’impulsion de la réglementa-tion Solvabilité II, et par mimé-tisme aussi sans doute avec le sec-

teur bancaire, les assureurs, mutuelles etgroupes de protection sociale disposentde cartographies des risques opération-nels. Pour la réalisation de ces cartogra-phies, bon nombre des entreprises dusecteur ont eu recours à l’assistance descabinets de conseils, dont l’approcheprivilégiée « bottom up » est fondée surles processus. Cette approche, d’inspira-tion audit, a souvent eu la fâcheuse ten-dance à placer les risques en deuxièmeaxe d’analyse, derrière les processus,instaurant une vision en silo des risquesde l’entreprise.

Si ces cartographies constituent un pre-mier niveau de modélisation des risqueset des processus, elles présentent deuxinconvénients majeurs : • l’absence d’une vision agrégée, indis-pensable au pilotage du profil derisque,

• une difficulté à focaliser sur les risques« essentiels ».

En réponse à ces inconvénients structu-rels, des projets « risques majeurs » ou« risques importants » sont en traind’être menés, par les directions géné-rales, afin de « faire le tri » et de mettreen exergue les vrais risques à piloter.Si ces projets apportent un premier élé-

ment de réponse à la nécessité de foca-liser sur les risques essentiels, ils ne per-mettent pas d’exploiter les cartographiesdes risques « bottom-up » déjà réaliséeset qui ont représenté un importantinvestissement des équipes internes. Se posent alors les questions suivantes :comment faire cohabiter l’approche« risques majeurs » et l’approche « car-tographies des risques » à des fins depilotage global ? Comment exploiter aumieux les données pour restituer auxdécideurs une vision fidèle et globale duprofil de risque de l’entreprise ?

Fort de ces constats, il apparaît néces-saire de faire évoluer l’approche, de ten-dre vers une simplification de ladémarche, quitte à accepter d’être moinsperfectionniste, moins exhaustif, maisplus en phase avec la réalité opération-nelle de ce qui préoccupe les managers. Sans une revue de l’approche, les carto-graphies formalisées s’épuiseront et fini-ront par disparaître, naturellement, tantleur maintien apparaît lourd et fasti-dieux, pour une intégration souvent tropfaible dans le quotidien opérationnel desmanagers, au profit des « risquesmajeurs ».

Nous avons la conviction forte que lasolution réside dans la constitution d’unréférentiel de risques unique et partagéqu’il convient d’appliquer non plus aux

Les cartographies ne sont pas une fin en soi. Certes, elles constituent un premierniveau de modélisation des risques et des processus, mais elles présentent les deuxinconvénients majeurs que sont : l’absence d’une vision agrégée, indispensable aupilotage du profil de risque ; une difficulté à focaliser sur les risques « essentiels ». Lasolution réside sans doute dans la constitution d’un référentiel de risques unique etpartagé, qu’il convient d’appliquer, non plus aux processus, mais aux entités orga-nisationnelles.

Alexia Berroëta

Directeur Associée Enterprise RiskManagement, Cometh Consulting

Gestion des risques :Un référentiel sinon rien !

Depuis plus de 15 ans dans leconseil, Alexia Berroëta intervientspécifiquement sur la gestion desrisques d’entreprise, et en particu-lier dans le secteur assurances –mutuelles et groupes de protectionsociale. Ses principales interven-tions portent sur la définition et larévision des dispositifs de maîtrisedes risques en tant qu’outils d’aideà la décision pour les directionsgénérales.

10

IDÉES ET DÉBATS


processus mais aux entités organisation-nelles. Tel est notre parti pris.

Selon nous, la nouvelle approche à met-tre en place devra satisfaire à trois enjeuxmajeurs :• proposer des axes de consolidationuniques et partagés, à des fins dereportings internes et réglementaires ;

• mettre en exergue les préoccupationsdes managers ;

• donner de la perspective à la directiongénérale.

Pour répondre à ces enjeux, tout en capi-talisant sur l’existant, il convient de faireévoluer l’approche de la façon suivante :1. définir un référentiel de risquesunique et partagé ;

2. privilégier l’approche fondée sur le« référentiel entité » en majeur quipermet de focaliser sur les activitésexercées au sein de l’entité, et nonplus le « référentiel processus », quifocalise sur le détail intégrant une

vision transverse entités ;3. solliciter l’implication et la responsa-bilisation du middle management entant que gestionnaire de risques.

Le référentiel de risquesdevient le « référentiel pivot »de la gestion des risquesqui offre des axes deconsolidation uniques etpartagés

Afin de pouvoir consolider les cartogra-phies de risques réalisées dans les diffé-rents métiers, et d’embarquer les« risques majeurs » dans un dispositifglobal, il est nécessaire de définir et derattacher chaque situation de risque à unréférentiel commun de risques, partagépar toutes les entités de l’entreprise. Ceréférentiel a pour objectif de : • structurer et consolider de manièrecohérente l’ensemble des situationsde risque de l’entreprise (issues descartographies réalisées par les métiers

et les « risques majeurs » identifiés parla direction générale) ;

• disposer d’axes d’analyse ;• favoriser l’unicité du langage entre lesparties prenantes ;

• faciliter la comparaison entre entités.

Le référentiel de risques, qui assure leregroupement des situations de risquespar catégorie, permettra la constitutionde reporting globaux à destination desdécideurs.

Dans la construction initiale d’un réfé-rentiel de risques, il est souvent intéres-sant de s’inspirer des référentiels deplace ou de confrères. Il est égalementpertinent de consulter les référentielsd’autres secteurs, notamment à maturitédifférente. Les incidents sont égalementune bonne source d’information. Parce que le référentiel de risques doitrefléter l’entreprise, sa culture, son acti-vité, ses préoccupations en matière degestion des risques, chaque référentiel

© a

lpha

spir

it -

Foto

lia.c

om


est différent, quand bien même cer-taines catégories de risques, très géné-rales, sont communes aux différents sec-teurs (ex : risque de fraude).

En effet, en fonction de la sensibilité dela direction générale à la gestion desrisques et du niveau d’exposition réel del’entreprise, les catégories de risquesseront identifiées et hiérarchisées defaçon distincte. Certains, par exemple,aborderont les risques issus de la direc-tive Solvabilité II comme des risques de« non-conformité juridique », quandd’autres les aborderont comme desrisques « business ». Certains considère-ront « l’image » comme la conséquenced’un risque, quand d’autres traiterontl’image comme un risque en tant quetel.

Il n’y a pas de référentiel « idéal ». Laperformance d’un référentiel se mesureau travers de la simplicité et de la fiabi-lité avec laquelle les acteurs rattachentles situations de risques aux différentescatégories du référentiel. Si trop d’hési-tations ou de questionnements se dres-sent, il convient de redéfinir le référen-tiel. En effet, la règle fondamentale estla suivante : une situation de risques nese rattache qu’à une et une seule caté-gorie de risques. Une seule ambiguïtérestera toujours à lever : l’arbitrage entrel’erreur d’exécution (non intentionnelle)et la fraude (intentionnelle).

Un référentiel de risques est quasi inva-riant, a minima sur les deux premiersniveaux de son arborescence. Le dernierniveau évolue dans le temps. A horizon2 ou 3 ans, et sans modification majeurede l’environnement (ex : changement delocalisation géographique), le référentielde risques est quasi invariant. Enrevanche, le profil de risque lui, varie enfonction de la stratégie business / risquedéfinie et de la performance descontrôles.

L’approche fondée sur le« référentiel entité » en majeurpermet de focaliser surles préoccupationsessentielles des managers

Si l’approche fondée sur les processus asemblé être la plus naturelle voire la plusrassurante, elle présente, dans le quoti-dien, un certain nombre de limites : • Ce référentiel de processus ne fait pastoujours consensus au sein de l’orga-nisation, parfois même il ne disposepas d’un caractère « officiel », lorsqu’iln’existe pas au sein de l’entreprise,d’entité dédiée, de type « organisa-tion », garante du référentiel de pro-cessus.

• L’exercice d’identification des risquesest mené sur le niveau le plus détaillédu référentiel de processus, ce quifavorise la surenchère dans l’identifi-

cation des risques, et peine à focalisersur les risques essentiels.

• Enfin, le déploiement de cetteapproche à l’ensemble des processusde l’entreprise, est lourd et fastidieux,tant le niveau de granularité estimportant.

Tout d’abord, cette approche fait le choixd’un référentiel « officiel », par natureincontestable, ce qui favorise le consen-sus et donc l’adhésion. Dans sa structuration même, le référen-tiel de processus propose souvent undécoupage de l’activité qui en réalité estun mix entre processus pur et entitéorganisationnelle. Certains processussont parfois même redondants dans leréférentiel, puisque présents dans desentités organisationnelles distinctes. Cemix conduit à une vision parcellaire desrisques liés aux processus. Cette diffi-culté se présente essentiellementlorsqu’il s’agit de définir les processustransverses. Par ailleurs, il est fréquentde constater que ce référentiel n’est pastoujours actualisé.

Le deuxième bénéfice apporté par cettenouvelle approche réside dans le faitque le « référentiel entité » ou organi-gramme est orienté vers le « quoi » etnon le « comment ». Ce qui facilite également l’approcherisque et contrôle interne en invitant lesmanagers à se centrer non seulementsur leur périmètre exact de responsabi-lité mais également à un niveau de gra-nularité plus macro à l’inverse des pro-cessus, décrits à un niveau de granula-rité trop détaillé, se positionnant parfoisà la frontière avec le mode opératoire /la procédure opérationnelle.

Enfin, cette approche concourt, mécani-quement, à un déploiement plus rapidede la méthode d’identification et decotation des risques.

L’implication etla responsabilisationdes managers comme gagede la légitimité du dispositifvis-à-vis de la directiongénérale

Les cartographies des risques tellesqu’elles ont été faites, n’ont pas su offrir

RéférentielRisques

Contrôles

Incidents

Pland’actions

RéférentielProcess

RéférentielEntité

Anomaliesde contrôles

12

IDÉES ET DÉBATS


aux décideurs une vision globale et stra-tégique du profil de risques de l’organi-sation. Au-delà des nécessaires évolutions àapporter à l’approche même, tellesqu’évoquées supra, il convient égale-ment de repositionner les acteurs de lafilière risque et contrôle au niveau desdécideurs (ex : responsables de pôles, dedirecteurs). Ces acteurs sont eux les ges-tionnaires de leurs activités. Dans leursactes de management au quotidien, ilsportent la responsabilité de détecter,suivre et piloter les risques pouvant por-ter atteinte à la bonne réalisation de lastratégie business. Ce sont le plus sou-vent ces dysfonctionnements ou risquesqui sont évoqués lors des comités dedirection, c’est donc auprès de cesacteurs que la gestion des risques prendtout son sens.

La valeur ajoutée du risk manager vis-à-vis de la direction générale sera alorsd’apporter une vision consolidée et pro-fessionnalisée des risques, quand aupa-ravant, celle-ci était restituée unitaire-ment et en silo.

* **

Le temps est venu, afin de consolider lesacquis, de revisiter l’approche « proces-sus » et la faire évoluer vers uneapproche résolument « risk manage-ment ».

Indépendamment des contraintes régle-mentaires en vigueur, revoir l’approcherépond avant tout à la volonté d’optimi-ser les saines pratiques de gestion desrisques et satisfaire aux enjeux de qualitéet d’excellence opérationnelle.

Les trois éléments proposés permettentde faire évoluer l’approche « standardprocessus » vers une approche « riskmanagement » à savoir la définition d’unréférentiel de risques, l’application de ceréférentiel de risques au « référentielentité » en majeur puis l’implication etla responsabilisation des managers dansle dispositif.

La vision agrégée des situations derisques est l’élément fondamental pourdéterminer le profil de risques de l’en-treprise.

De la qualité des situations de risquesidentifiées dépendent la pertinence et lafiabilité du dispositif, d’où les néces-saires implication et responsabilisationdes managers en tant que gestionnairesdes risques de l’entité dont ils ont lacharge.

La consolidation des situations derisques, par catégorie de risques, sera lemoyen, pour le risk manager, en appui dela direction générale, de donner de laperspective et faciliter l’arbitrage depriorités.

Par cette nouvelle approche, le riskmanager est en mesure de faciliter lespoints de rencontre entre les activités etles risques et ainsi de renforcer l’articu-lation de la stratégie business avec lastratégie risque.

« La mise en place de notre référen-tiel de risques nous permet de pro-poser à la direction générale unevision agrégée de nos risques, de« casser » les frontières entre nosdifférents métiers et de renforcer lepilotage de notre profil de risques àmoyen terme. »Yves Vanhoute, directeurfinance, contrôle interne etcomptabilité, groupe B2V

« Jusqu’alors, nous disposions decartographies des risques offrantune vision détaillée et en silo desrisques portés par les processus.Nous avons été séduits par ladémarche qui consiste à structurerles situations de risques par la miseen place d’un référentiel de risquesunique et partagé par notregroupe, en capitalisant sur les tra-vaux déjà menés selon l’approcheprocessus ». Hervé Vandenbergue, responsa-ble du département maîtrise desrisques, MGEN


INTERVIEW

le groupe de travail sur la gouvernance,parce que c'est un défi de faire beaucoupen un an. Vous êtes plus une figure deproue qu'autre chose. En réalité, il s'agitd'un poste bénévole qui requiert beau-coup de votre temps, notamment entermes de déplacements, et il pourraitêtre difficile d’occuper ce poste pendantplus d'un an. Si la plupart des entre-prises sont prêtes à permettre àquelqu'un de le faire pendant un an,elles peuvent ne pas être prêtes à le fairependant deux ou trois ans, ce qui seraitprobablement la durée optimale pourl’IIA.

L. V. : Comment conciliez-vous votre travailà l'IIA et votre travail de responsable del’audit interne de votre entreprise ?

P. S. : Vous devez être un très bon jon-gleur, ce qui signifie que vous devez êtreen mesure de conserver plusieurs ballesen l’air. Je ne peux pas laisser tomber laballe famille car j'ai certaines obligationsfamiliales à assumer. Je ne peux pas lais-ser tomber la balle travail, alors, quandje suis en voyage dans le monde entier,je communique par e-mail, je prendsdes décisions, etc.C'est un défi, et mon équipe de direction– les personnes qui relèvent directementde moi – doit admettre que je vais êtreabsent un peu plus souvent. Je leur ai ditque ce serait en fait une occasion poureux d’accélérer leur développement.

L. V. : Voyagez-vous aux quatre coins dumonde pour votre entreprise ?

Louis Vaurs : Merci Paul Sobel de vousprêter à cette interview. Ma première ques-tion porte sur les rôles respectifs de vous-même et de Richard Chambers. Comments’organisent-ils ?

Paul Sobel : Le rôle de Richard, en tantque président-directeur général, est desuperviser et de diriger les opérationsquotidiennes, mon rôle de Chairman ofthe Board étant de traiter les sujets stra-tégiques.Lorsque Richard est entré en fonction, ily a quelques années, il a constaté queses pairs étaient généralement dénom-més PDG et il a donc demandé à porterle titre de président et de directeur géné-ral. Président est un lien avec le passé etdirecteur général est un terme plus des-criptif.

L. V. : Vous êtes membre du comité exécutifde l’IIA depuis plusieurs années et vousn’allez exercer vos responsabilités de Chair-man of the Board que pendant un an.C’est très court !

P. S. : C'est exact et c'est un point quenous avons abordé, en particulier dans

P. S. : Non. Je voyage principalement enAmérique du nord, et plus particulière-ment aux Etats-Unis.Nous avons très peu d’affaires enEurope, et quelques-unes en Amériquedu sud et en Asie.

L. V. : Qu'en est-il de votre personnel ?

P. S. : Généralement, il voyage environ25 % de leur temps, et presque exclusi-vement aux États-Unis et au Canada.

L. V. : De combien de personnes est compo-sée votre équipe ?

P. S. : Mon assistante administrative etmoi-même inclus, nous sommes 25.

L. V. : Les grands instituts nationaux euro-péens considèrent que l’IIA est plus uneconfédération d’instituts qu’un institut demembres et qu’il faudrait en tirer les consé-quences au plan de la gouvernance. Qu’enpensez-vous ?

P. S. : C’est un sujet controversé, qui afait l’objet de débats. En réalité, noussommes un modèle hybride, c’est-à-direà la fois un institut de membres et uninstitut d'instituts – ou confédérationd’instituts – et la raison en est double.Tout d’abord, il y a certains services debase (au premier rang desquels, les cer-tifications et les Normes) dont nouspensons qu’ils sont mieux rendus oumieux développés, en étant reliés à unesource unique. Les membres se sententalors faire partie d’un tout : l’IIA mon-dial.

Le Chairman of the Boardde l’IIA nous en dit plus

Entretien avec ...

Paul Sobel - Chairman of the Board de l’IIA (The Institute ofInternal Auditors)

quels sont vos objectifs prioritaires pourcette année ?

P. S. : Je vais vous donner une doubleréponse. Tout d’abord, mon premierobjectif est de faire en sorte que le plusgrand nombre possible d’auditeursinternes dans le monde, entendent ceque je dis et répète sans cesse : « Imagi-nez toutes les possibilités », et assurez-vous que la profession, dans son ensem-ble, ne se contente pas de statu quo,mais réfléchisse à tout ce qui peut êtrefait à l’avenir, à la création de notre pro-pre avenir.

D’autres initiatives plus tactiques sontou ont été prises sans que j’en soisnécessairement l’initiateur. Certainessont en cours, d’autres sont déjà ache-

vées ; elles concernent des certifica-tions, la transformation de

l'examen en quatre par-ties du CIA à un exa-men en trois par-ties, et le dépla-cement de lareconnaissancede l'expérienceprofessionnellesur la CRMA àun examen de la

CRMA. Nousavons aussi pris des

initiatives avec leconseil de stabilité finan-

cière, le conseil international surle reporting intégré et avec d’autres orga-nismes de nature comparable.

Un des sujets que j’ai mis en priorité surma liste est la convention cadre des rela-tions entre l’IIA et les instituts nationaux– Master Relationship Agreement –(MRA), et je me suis assuré que leschoses avançaient.

Je reconnais toutefois que tous les pro-jets en cours ne pourront pas être toussignés durant mon mandat de prési-dent.

L. V. : Merci Paul de nous avoir mieux faitconnaître votre rôle et de nous avoir confié,sans langue de bois, les préoccupationsactuelles de l’IIA.

14

INTERVIEW


Le deuxième obstacle est une questionde maturité. L’IFACI et la plupart desgrands instituts européens, ainsi qu'uncertain nombre d'autres à travers lemonde, sont assez matures et ils n'ontpas besoin de l'aide de l'IIA mondial.Cependant, de nombreux autres insti-tuts en cours de développement, qu’ilssoient en formation ou instituts à partentière, sont très immatures, et ontencore besoin d'un appui supplémen-taire et de surveillance, et probablementde la discipline imposée par l'IIA mon-dial .

Nous devons travailler à identifier lesinstituts réellement matures, et ce quecela signifie dans leur relation avec l’IIAglobal ; et les instituts les moinsmatures, et ce que cela signifie.

S’il existe une organisation régionalerobuste guidée par l’IIA, nous pourrionslaisser cette organisation face aux insti-tuts en question. Cependant, nous n’ensommes pas arrivés à ce stade.

Nous pouvons faire bien davantage ence qui concerne les organisations régio-nales et je pense que le conseil mondialpeut apporter une aide ainsi que lecomité des relations avec les instituts. Ilexiste de nombreuses possibilités pourfaire avancer ce modèle. Nous devonsdonc trouver un moyen par lequel nouspouvons tous travailler ensemble. Nousavons tous le même objectif et nousavons besoin de comprendre commentnous pouvons procéder de façon à ceque tous les instituts aient la possibilitéde participer et d'avoir une voix dans lesdécisions. Il est nécessaire qu'il existe unniveau approprié de surveillance et dereddition de comptes dans les deuxdirections : l'IIA doit rendre des comptesaux instituts de même que les institutsdoivent rendre des comptes à l'IIA.

L. V. : Un tout autre problème concerne lesautres acteurs du contrôle interne et de lagestion des risques. Nous avons publié àl’IFACI une prise de position, il y a cinq anssur « l'Urbanisme du contrôle interne » :Comment en améliorer l’efficacité ? Quelleplace pour l’audit interne ? Nous notionsdéjà la montée en puissance des contrôleursinternes, des compliance officers et des

risk managers et insistions sur la nécessitéde bien définir les responsabilités de cha-cun, l’audit interne parfaitement intégrédans le business de l’organisation devants’assurer du bon fonctionnement de ces dif-férents acteurs. Quelle est la position de l’IIA vis-à-vis deces différents acteurs ?

P. S. : Face à eux, nous avons un granddéfi à relever que l’on peut transformeren opportunité car on ne mesure pasencore à sa juste valeur l’assuranceapportée par les auditeurs internes.

Par ailleurs, nous lançons une initiativeissue du plan stratégique, classée hautepriorité. C’est le « projet umbrella »,même si je ne suis pas sûr que ce soit labonne appellation. L'objectif ici est deconsidérer ce que nous devrions fairepar rapport aux autres profes-sions. Devons-nous aiderles auditeurs internes às’orienter vers lesactivités de laseconde ligne demaîtrise et déve-lopper plus dedocumentationpratique ? Faut-ilfusionner avec uneautre association,procéder à l'acquisi-tion d'une association outout simplement les ignoreren poursuivant notre chemin ? Lasagesse nous commande de direaujourd’hui : « Nous sommes l'Institutdes auditeurs internes. Ne l’oublions paset n’essayons pas de devenir un institutpour tout le monde ».

Cependant, je crois qu'il y a des possi-bilités pour mieux nous coordonner avecles instituts qui nous sont proches.

Je ne pense pas que nous devrionschanger de nom – nous sommes encoreprincipalement concentrés sur l’auditinterne –, mais nous aurions intérêt àmieux connaître ce que font les autresacteurs car cela nous permettrait demieux servir les auditeurs internes quiportent plusieurs casquettes.

L. V. : En tant que Chairman of the Board

« Nous sommes l'Institutdes auditeurs internes.

Ne l’oublions paset n’essayons pas

de devenir un institutpour tout le monde »


DOSSIER

Les fondamentauxde l’audit interneDe la réflexion à la mise en placed’un plan d’audit

Mise en place du plan d’audit dans un grouped’assurancesBertrand Lefebvre

23

Le plan d’audit : Unité des principes et diversitédes pratiquesJacques Renard

16

La mise en œuvre de l’audit interne chez EDF :structure et méthodesMichel Uhart

26

Audit bancaire : le plan d’audit, ce n’est passeulement un calendrier…Christiane Legat

20

16

DOSSIER


Le plan d’audit :Unité des principeset diversité des pratiques

De tout temps les organisations,les activités se sont construitespar stratifications successives,

les dernières couches apportant complé-ments et améliorations à l’existant. L’au-dit interne et l’une de ses composantesessentielles, le plan d’audit, n’ont paséchappé à cette règle.Au commencement du commencementle mot « plan d’audit » n’existait pasencore et l’on était dans la phase pri-maire du concept. Dans la phase secon-daire, le mot est apparu qui recouvraitdes réalités diverses. Puis vint une troi-sième période de clarification et derationalisation qui a largement trans-formé le concept en outil, le réflexe enméthode de travail, la déclaration d’in-tentions en véritable contrat. L’existantactuel est d’autant plus solide qu’ilrépond à une nécessité et repose sur uneobligation. Mais la démarche exige de laméthode et des compétences.

La maturation du concept etson évolution

La première question qui s’est poséedans les premiers temps de l’auditinterne fut : « Quelles missions d’auditfaut-il conduire ? Comment faire lechoix ? » La réponse a été évidemmentempirique, c'est-à-dire par essenceintuitive et irrationnelle. Cela conduisità trois attitudes possibles qui perdurentencore ça et là.

• Très souvent les intéressés choisissenten fonction de leur intuition ou deleur préoccupation. On suit l’inspira-tion du moment ce qui revient à sediriger dans les secteurs que l’onconnaît bien. Avec des auditeurs deformation commerciale on initiera desaudits dans les ventes ou le marketinget avec des auditeurs de formationfinancière on sera porté à investir

dans des audits de comptabilité ou decontrôle de gestion. Et s’il n’y a pasd’auditeur de formation ingénieur onoubliera le domaine technique.

• Cette attitude se conjugue alors sou-vent avec une autre qui parfois sesubstitue totalement à elle. C’est cellequi fait de l’audit interne un service« à la discrétion » du président ou dudirecteur général. On initie alors desmissions d’audit en fonction descraintes ou des préoccupations ou desdifficultés de la direction générale. Etce sont alors trop souvent les idées dumoment, les hasards d’une rencontreou d’une réflexion qui vont déclen-cher l’ordre de mission… sans parlerdes réunions du petit matin, convo-quées toute affaires cessantes, pourrépondre à un problème, fruit desinsomnies de la nuit précédente.

• Enfin, il existe un troisième critère dechoix qui est le critère événementiel.La mission est déclenchée à la faveurd’un accident, d’une erreur grave,d’une malversation… On réagit àl’événement, ce qui en soi n’est pascondamnable, mais on ne réagit qu’àl’événement.

Il est assez vite apparu que ces modesde fonctionnement ne pouvaient perdu-rer : ils privilégiaient le présent et omet-taient un élément essentiel dans l’orga-

Jacques Renard

Après une phase de questionnements : quelles missions d’audit faut-il conduire ?comment faire le choix ? ; une phase d’organisation et de prévisions : élaborationd’un planning annuel, est arrivée la troisième phase qui a vu le plan d’audit s’affir-mer dans toutes ses dimensions, avec l’élaboration d’un plan pluriannuel.La mise en œuvre de la norme 2010 nécessite une méthode d’évaluation des risques(cartographie) et la définition d’un univers d’audit. Reste à fixer les règles du ranking,estimer le temps de travail de chaque mission, et soumettre le plan à la DG, car c’estelle qui décide en fonction de sa politique de risque.

17

De la réflexion à la mise en place d’un plan d’audit

nov./déc. 2013 - Audit & Contrôle internes n°217

nisation du travail : la prévision. Il fallaitdonc avoir un plan pour savoir où l’onvoulait aller.

La seconde phase est celle du planannuel, nous dirons du planning. Trèsvite on s’est avisé qu’il fallait s’organiseret donc prévoir le travail pour mieux leréaliser. L’idée du plan s’est d’autantplus imposée que – ainsi que nous leverrons – les Normes professionnellessont apparues et ont créé l’obligation.De surcroît il fallait bien faire coïnciderles besoins avec les possibilités, lesobjectifs avec les moyens. On est alorsparti d’un effectif prédéterminé, selondes critères variables et approximatifs, etparfois même sans autre critère que lefait du prince : « je peux vous donnerquatre auditeurs »… et on fait avec !Donc, compte tenu de l’effectif, on voitce qu’on peut faire.Ce plan annuel est déjà un progrès trèssensible puisqu’il planifie les missions àréaliser et constitue un objectif précispour l’audit interne. En cela, mais encela seulement, il répond aux Normesde l’audit interne. Il fait l’impasse sur lanotion de risque ou ne la retient quepour les missions planifiées dans l’an-

née même si « hors plan annuel » onprend en compte les enseignementsd’une cartographie des risques.Il permet néanmoins de comparer pré-visions et réalités, donc de réaliser unecertaine mesure de l’efficacité de l’auditinterne.

Mais c’est avec la troisième périodeque le plan d’audit s’est affirmé danstoutes ses dimensions. On a alors éla-boré un plan pluriannuel (sur trois oucinq ans). Pourquoi ?Parce que c’était la seule façon de répon-dre à l’exigence de la Norme 2010 : « Leresponsable de l’audit interne doit établirun plan d’audit fondé sur les risques afinde définir les priorités cohérentes avec lesobjectifs de l’organisation ». Cette troi-sième période n’est donc que la mise enœuvre de l’exigence normative. Le plansur trois ou cinq ans va permettre dedonner une vue d’ensemble de toutesles missions à accomplir. A partir de làon formalise la périodicité, donc la priseen compte du risque et du même coupon responsabilise les décisionnaires.

Avant de l’aborder dans le détail, obser-vons que les situations rencontrées sont

rarement pures : elles conservent sou-vent et tout naturellement des traces desévolutions antérieures, marquées par laculture et le milieu professionnel. Telleorganisation fera encore une large placeaux idées du président et telle autrefonctionnera encore avec un planannuel mais corrigé par la prise encompte – non écrite – de la variabilitédes risques sur les années à venir… cequi est déjà une manière de plan plu-riannuel. Et de fait, les applications spé-cifiques et partielles des grands prin-cipes ne sont pas nécessairementcondamnables dès l’instant qu’elles sontprises en connaissance de cause. Lemonde n’est pas géométrique et singu-lièrement celui de la gestion.

L’exigence normative

Dans la norme 2010 chaque motcompte :• C’est « le responsable de l’auditinterne » qui a la charge de la mise enœuvre du plan ; c’est lui qui doit enrépondre et il ne peut s’en déchargersur personne d’autre.

• Il « doit » : c’est une obligation àlaquelle on ne peut se soustraire. Ne

18

DOSSIER


pas faire de plan d’audit c’est se placeren dehors des Normes de la profes-sion ; c’est donc faire tout autre choseque de l’audit interne.

• On doit établir « un plan ». Un pland’audit ne tient pas sur une page ; cene saurait être une note de synthèseou une déclaration d’intentions ou unobjectif général. Il doit y avoir aminima une liste des actions à réaliseravec des dates et des délais impartis.

• Ce plan doit être « fondé sur lesrisques ». C’est le critère qui doit êtreretenu pour faire les choix et il n’y ena pas d’autre. La gravité ou l’insigni-fiance des risques se mesure par rap-port aux objectifs : le risque à prendreen compte est donc celui qui, directe-ment ou indirectement, est suscepti-ble de nuire à la réalisation des objec-tifs.

• « Afin de définir les priorités ». Lanotion de risque est prise en compteavec la définition des priorités. Ce nesont ni le temps passé, ni la qualifica-tion des auditeurs qui sont à retenirmais uniquement le timing des inter-ventions. L’activité comportant unrisque grave sera auditée en priorité,donc souvent, celle représentant unrisque mineur sera auditée plus rare-ment, d’où l’intérêt du plan plurian-nuel qui fait visuellement ressortir larépartition des priorités.

• Et à la condition que ceci soit en cohé-rence « avec les objectifs de l’orga-nisation ». Les secteurs ou activités àrisques stratégiques sont évidemmentprioritaires. D’ailleurs, afin qu’il nesoit rien omis, la norme 2010.A2prend bien soin de préciser que « leresponsable de l’audit interne doit iden-tifier et prendre en considération lesattentes de la direction générale et duconseil ».

Au total, cette norme essentielle exigedeux préalables pour sa mise en œuvre :l’existence d’une cartographie desrisques et la définition d’un universd’audit.

La cartographie des risques

L’objet de cet article n’est pas de définirles règles et méthodes pour la mise en

œuvre d’une cartographie. Notons sim-plement que la norme 2010.A1 précisesans ambiguïté « Le plan d’audit doits’appuyer sur une évaluation des risquesdocumentée et réalisée au moins une foisl’an ». Peu importe qu’il y ait dans l’or-ganisation un risk manager ou non. S’ilexiste on s’appuiera bien évidemmentsur ses travaux ; s’il n’existe pas il faudradévelopper une méthode d’évaluationafin de satisfaire aux exigences norma-tives. La pratique nous offre de nom-breuses méthodes, plus ou moinssophistiquées, pour y parvenir tel le sys-tème RADAR1 qui retient trois critèresd’appréciation. Le GRID Model vaencore plus loin dans l’affinement enretenant des critères relevant du niveaude compétence des auditeurs2. Peuimporte la méthode, l’important est qu’ily en ait une. Mais la MPA 2010-2/6confirme la prééminence du risk mana-gement lorsqu’il existe « La planificationde l’audit interne doit s’appuyer sur le pro-cessus de management des risques de l’or-ganisation lorsque celui-ci a été déployé ».

L’univers d’audit

La première colonne d’un plan d’auditest constituée par la liste des missions àréaliser. Comment l’établir ? Il n’existepas de méthode mais il y a un objectif.C’est la MPA 2010-1/1 qui nous précisela pratique à retenir : « En élaborant leplan d’audit, la plupart des responsables del’audit interne choisissent d’abord de déve-lopper ou d’actualiser l’univers d’audit.L’univers d’audit recense tous les auditspouvant être réalisés ». Il s’agit donc dela liste exhaustive de toutes les missionsd’audit couvrant toutes les activités del’organisation. C’est le grand principe :tout doit être auditable, donc audité. Eton veille à ce que les demandes de ladirection générale et les attentes dumanagement soient bien prises encompte. C’est à partir de là que le responsabledoit préparer son plan. Cet univers d’au-dit doit être révisé « au minimum unefois l’an » précise la MPA 2010-1. Ce quise comprend parfaitement : noussommes dans un domaine où toutchange. Les organisations changent, lesméthodes changent, les risques chan-

gent et le plan d’audit doit en tenircompte, il ne saurait être figé.C’est d’ailleurs la raison pour laquelle leplan d’audit, fut-il pluriannuel, doit êtrerefait chaque année. Ce n’est pas seule-ment un plan glissant, c’est l’ensemblequi doit être actualisé.Cet univers d’audit va être utilisé à desfins bien précises et selon une méthodequi n’est pas uniforme. Chacun a lasienne, l’important est qu’il y en ait une.Décrivons la plus habituelle dans sescomposantes essentielles.

La méthode

La cartographie des risques étant priseen compte et l’univers d’audit défini, ilconvient d’élaborer les méthodes appro-priées afin de :• fixer les règles du ranking ;• estimer le temps de travail de chaque

mission et en déduire les budgetsd’effectif ;

• soumettre le plan à la direction géné-rale.

Observons, pour ne plus avoir à y reve-nir, que toutes ces méthodes font large-ment appel à de multiples outils infor-matiques, statistiques… plus ou moinssophistiqués selon les objectifs et l’im-portance de l’organisation. Mais in fineil faut s’organiser pour être en mesured’apporter une réponse à chacun destrois objectifs ci-dessus énoncés. Le pland’audit sera alors achevé.

Le ranking

C’est la mise en œuvre des priorités enfonction des risques, exigée par lanorme. Pour y parvenir il est indispen-sable que la cartographie assigne àchaque élément de l’univers d’audit(donc à chaque mission potentielle) uncoefficient de risque et à partir de cecoefficient chacun définit sa règle de fré-quence. Certains, partant de la connais-sance qu’ils ont de l’organisation, fixentles priorités sans méthode particulière etavec le recours à la simple concertation.Pourquoi pas ? La connaissance empi-rique, si elle est réelle et solide, peutaussi donner de bons résultats.On peut aussi disposer du système

19



basique à trois niveaux : 1. risque faible,2. risque moyen,3. risque fort.

On décidera alors (par exemple) :• qu’au coefficient 1 correspond un

audit tous les 4 ou 5 ans ;• au coefficient 2, un audit tous les 3

ans ;• et au coefficient 1, un audit tous les 1

ou 2 ans.

Le système RADAR, plus sophistiqué,utilise des coefficients allant de 1 à 27.Le ranking est alors déterminé pargroupes de coefficients ; par exemple :• de 1 à 8 : un audit tous les 5 ans ;• de 9 à 15 : tous les 4 ans ;• etc.

Les coefficients étant connus et la règlefixée, on pourra positionner la date d’in-tervention dans l’année adéquate ens’efforçant de réaliser en apparence unéquilibre annuel de la charge de travail.Cet aspect sera peaufiné à l’étape sui-vante. On connaît ainsi les missions àréaliser chaque année. C’est à partir delà que l’on pourra établir le planningdétaillé de l’année à venir.Si l’important n’est pas la méthodechoisie, il est néanmoins essentiel quecelle-ci réponde à deux exigences :• elle doit conduire à des résultats en

cohérence avec la stratégie de l’entre-prise ;

• elle doit être en ligne avec la culturede l’organisation.

Il convient ensuite de définir les moyensnécessaires pour atteindre les objectifsainsi fixés. En d’autres termes : combiend’auditeurs ?

Les effectifs

On a bien compris que l’on ne part pasdes effectifs pour définir un plan maisque le plan, défini en fonction desrisques, va induire un certain effectif.Cet effectif nécessaire est estimé et cetteestimation n’est évidemment qu’ap-proximative. Il s’agit de déterminer unordre de grandeur, nous ne sommes pasdans les prévisions comptables.

Pour ce faire certains estiment le tempsnécessaire en semaines / auditeurs ;d’autres, plus perfectionnistes comptenten jours / auditeurs… Peu importe, l’es-sentiel est d’obtenir un chiffre vraisem-blable. On le définit à partir de toutes lesinformations disponibles. La plus par-lante reste bien évidemment le nombrede semaines / auditeurs utilisés lors dela dernière mission sur le même sujet…s’il y en a eu une ! Et, même dans ce cas,il faudra ajuster le chiffre en fonction desévènements connus. L’activité s’est-ellecomplexifiée ou est-elle en réorganisa-tion ? Le temps à prévoir sera alorsmajoré. L’équipe d’auditeurs est-elleplus expérimentée ? Plus performante ?On procédera alors à une diminution.Tous ces éléments figurent dans lescommentaires IFACI de la norme 2010.Au total et pour chaque année on vadisposer d’un chiffre qui, à partir de laconnaissance du nombre moyen desemaines de travail d’un auditeur dansl’année, va permettre d’arriver à uneffectif nécessaire. Mais il va falloir affi-ner avant de passer à l’étape suivante.

Le premier ajustement va consister àajouter une « provision » d’effectif pourévènements imprévus, donc auditsimprévus. Il peut toujours y avoir uneurgence, une activité nouvelle, unedemande inhabituelle mais incontour-nable et le plan ne saurait être un obs-tacle à l’action. L’important est de veillerà ce que l’exception ne devienne pas larègle : on assignera donc une limite, engénéral + 10% maximum, et on en sur-veillera l’utilisation.

Le second ajustement consiste à obtenirune cohérence dans les résultats. Eneffet, on ne pourrait présenter un planqui verrait les effectifs varier brutale-ment : 12 auditeurs en 2014 puis 21 en2015 et 13 en 2016… Ce serait ingérableen termes de ressources humaines et deformation. On va donc, par simple glis-sement des missions d’une année surl’autre (et sans modifier la périodicité),s’efforcer d’arriver à une courbe d’évo-lution des effectifs qui ne marque quedes variations progressives, à défaut destabilité.

On dispose alors d’un projet de plan ;le plus important reste à faire.

La direction générale

Car c’est elle qui décide. Et elle décideen fonction de sa politique de risque,c’est à dire des choix qui ont été faits enmatière d’appétence pour le risque et detolérance au risque. On doit donc impé-rativement lui présenter le projet pourapprobation ou modifications. Ce n’estque l’application de la norme 2600 surla « communication relative à l’accepta-tion des risques ». Et si la direction géné-rale avance que les 12 auditeurs prévusen 2014 ne pourront être mis à disposi-tion mais que l’on ne pourra en avoirque 10 ; alors, il lui appartient, d’indi-quer sur quelle activité du plan elleaccepte de prendre plus de risques queceux qui ont été calculés. Et les ajuste-ments seront réalisés en conformité avecces indications.Le plan définitif est alors achevé.

* **

En conclusion, le document final a bienpris la forme de ce qu’il doit être : uncontrat passé entre l’audit interne et lesorganes de la direction.Ce contrat constitue du même coup lesobjectifs de l’audit interne et on doits’organiser pour être en mesure d’ensuivre la réalisation et de rendre compte. Le problème de sa communication n’estpas, non plus, résolu de façon uniforme.La règle de la transparence exigeraitqu’il soit communiqué à tous les intéres-sés, donc à tous les audités potentiels.Mais la culture, la nature des activités,les contraintes spécifiques conduisent àretenir des procédures de communica-tion diverses et variées.Quoi qu’il en soit et en toute matière, legrand principe à retenir est de toujoursne mettre en œuvre que des règles sim-ples et compréhensibles par tous. « La simplicité est aussi une vertu intellec-tuelle »3.

1 Ressources of Audit Department Allocated byRisks.

2 Pour plus de détails on consultera les ouvragesappropriés.

3 A. Comte-Sponville « Petit traité des grandes ver-tus » PUF.

20

DOSSIER


Le plan d’audit est un outil-clépour l’audit interne. Il constitueune réponse à des « demandes »

multiples : des normes, des recomman-dations, des préconisations voire uneexigence réglementaire.Sa construction nécessite la prise encompte de nombreux éléments au pre-mier rang desquels figure la cartogra-phie des risques établie par l’auditinterne.Enfin, la communication du plan, samise en œuvre et son suivi exigent duresponsable de l’audit interne beaucoupde finesse.

Le plan d’audit : une réponse àdes « demandes » nombreuses … des normes professionnelles

La norme 2010 « Planification » de l’IIA(Institute of Internal Auditors) stipule que

l’audit interne doit « établir un plan d’au-dit fondé sur les risques afin de définir despriorités cohérentes avec les objectifs de l'or-ganisation ». La norme 2010.A1 précise : « le pland'audit interne doit s'appuyer sur une éva-luation des risques documentée et réaliséeau moins une fois par an. Les points de vuede la direction générale et du conseil doiventêtre pris en compte dans ce processus ». Enfin, la norme professionnelle 2020prévoit que « le responsable de l’audit doitcommuniquer à la direction générale et auconseil son plan d’audit et ses besoins pourexamen et approbation ».

… une « nouvelle »recommandation

Dans les « Principes fondamentaux pourun contrôle bancaire efficace » publié enseptembre 2012, le Comité de Bâle

recommande les diligences suivantes enmatière de supervision bancaire : « L’autorité de contrôle établit que la fonc-tion d’audit interne :• s’appuie sur une méthodologie permet-tant d’identifier les risques significatifsencourus par la banque ;

• prépare et réexamine régulièrement unplan d’audit reposant sur sa propre éva-luation du risque et répartit ses res-sources en conséquence ».

… une attente en matière debonne gouvernance

L’IFA (Institut Français des Administra-teurs) préconise que « le Comité d’auditsoit impliqué en amont dans l’examen duplan d’audit interne afin de demanderd’éventuels compléments de travaux ».

… et surtout une exigenceréglementaire

L’article 9 du règlement CRBF 97-02mentionne deux horizons en termes deplanification :• « Les moyens affectés au contrôle pério-dique […] doivent être suffisants pourmener un cycle complet d'investigationsde l'ensemble des activités sur un nombred'exercices aussi limité que possible ». Ils’agit clairement là d’une vision plu-riannuelle de la planification.

• En outre, il est précisé qu’« un pro-

La construction du plan d’audit se base avant tout sur la cartographie des risquesétablie par l’audit interne. La première étape consiste à traduire le niveau de risqueattribué à chaque objet auditable. La deuxième étape est la prise en compte desobjets auditables, dont le niveau de risque n’a pas été évalué au moyen de la carto-graphie. La troisième étape consiste à évaluer les moyens humains nécessaires à laréalisation des missions programmées. La dernière étape est la mise en cohérencedes besoins théoriques déterminés avec les ressources et les budgets effectivementdisponibles.

Audit bancaire :le plan d’audit, ce n’est passeulement un calendrier…Christiane Legat,Head of Internal Audit, General Electric Corporate Finance Bank

21



gramme des missions de contrôle doit êtreétabli au moins une fois par an en inté-grant les objectifs annuels de l'organeexécutif et de l'organe délibérant enmatière de contrôle ».

L’expression « nombre d’exercices aussilimité que possible » peut donner lieu àinterprétation et peut donc poser diffi-culté mais on observe généralementque :• si les pratiques diffèrent selon les

pays, la durée communément admiseen France n’excède pas cinq ans ;

• pour certains thèmes spécifiques, telsla lutte contre le blanchiment et lefinancement du terrorisme, l’homolo-gation Bâle II, le cycle peut être d’unan ;

• les banques raisonnent et communi-quent généralement en durée maxi-male entre deux audits en fonction duniveau de risque de leurs principalesactivités.

Le plan d’audit : uneconstruction qui nécessite laprise en compte de nombreuxéléments

Il est acquis, aujourd’hui, que l’élabora-tion du plan d’audit doit reposer avanttout sur une cartographie des risquesétablie par l’audit interne lui-même, entenant compte, bien évidemment, des« cartographies » de risques élaboréespar d’autres fonctions et disponibles ausein de la banque.

Outre cette cartographie des risques,d’autre « sources » peuvent ou doiventnourrir l’élaboration du plan d’audit. Certaines missions récurrentes sontobligatoirement inscrites au plan d’auditdu fait de la régularité nécessaire de cesmissions : prestations de services essen-tielles externalisées, homologation BâleII, lutte contre le blanchiment et lefinancement du terrorisme…

Dans le même ordre d’idée, l’attentioncroissante que porte le régulateur ausuivi des recommandations peutconduire à programmer plus ou moinsrégulièrement des missions dédiées à cesuivi.

Par ailleurs, la stratégie de la banquepeut connaitre des infléchissements, deschangements (nouvelles orientations,restructuration, migration informatique,cession…) qui peuvent entrainer desdemandes spécifiques de missions àintégrer dans le plan d’audit.

Enfin, l’occasion de réaliser des auditsmutualisés peut amener à positionnerune mission dans le plan, plus en raisonde la disponibilité d’intervenants auxcompétences techniques rares, parexemple, qu’en fonction d’une lecturedirecte et stricte de la cartographie desrisques.

Il se peut aussi que des contraintes jus-tifiées de l’entité à auditer soient à inté-grer dans la construction du plan d’au-dit, notamment par le repositionnementde la mission à un moment plus oppor-tun. Ce type de situation doit conserverun caractère exceptionnel.

Le plan d’audit, qu’il soit annuel ou plu-riannuel, a donc vocation à présenter latotalité des missions d’audit, à l’excep-tion de celles « hors plan » qui résultentpar définition d’évènements non prévi-sibles au moment de l’élaboration duplan.

Peuvent être considérées comme desmissions « hors plan », les missions ini-tiées suite à la survenance d’un événe-ment grave ou à la détection par lescontrôles permanents d’un incidentmajeur. Elles peuvent aussi être liées à lacréation de nouvelles activités, à desopérations d’acquisition … Sur cette base, le plan d’audit peut êtreconstruit en fonction de deuxcontraintes qui conditionnent sa faisa-bilité :• les ressources humaines disponibles

qui constituent une contrainte parfoistrès prégnante dans la planificationdes audits (rythme des missions,congés, compétences spécifiques dis-ponibles, etc.) ;

• les budgets alloués à l’audit vont aussiguider la construction du plan d’au-dit ; après avoir calibré les besoins, cecalibrage sera confronté au budgetalloué et les arbitrages entre les diffé-rentes missions du plan pourrontavoir lieu.

Rappelons que le comité d’audit doitêtre informé de tout changement duplan et notamment des missions quin’ont pu être réalisées faute de res-sources ou suite à des arbitrages liés auxcontraintes rencontrées.

22

DOSSIER


Le plan d’audit : uneconstruction en quatre étapes

La construction du plan d’audit se baseavant tout sur la cartographie desrisques établie par l’audit interne.

La première étape dans le passage dela cartographie des risques au plan d’au-dit consiste donc à traduire le niveau derisque attribué à chaque objet auditablepar la cartographie des risques en unefréquence d’audit cohérente. Cette fré-quence est le premier critère de pro-grammation des missions dans le plan-ning à élaborer par le responsable del’audit interne.

La deuxième étape dans la construc-tion du plan d’audit est la prise encompte des objets auditables dont leniveau de risque n’a pas été évalué aumoyen de la cartographie.Faute de disposer d’un niveau de risqueissu de la cartographie pour la détermi-nation de la date à laquelle positionnerces objets auditables dans le plan d’au-dit, la date sera alors fixée en fonctiond’autres critères nécessairement plussubjectifs. A titre d’exemple, une entitérécemment acquise sera souvent auditéedans l’année qui en suit la prise decontrôle, alors que pour une nouvelleactivité, un délai d’un à deux ans seraparfois nécessaire avant de disposer durecul suffisant pour en effectuer uneanalyse pertinente.

La troisième étape consiste en l’évalua-tion des moyens humains nécessairespour la réalisation des missions pro-grammées dans le plan d’audit.Ce dimensionnement, à la fois quanti-tatif (nombre d’auditeurs et tempsalloué) et qualitatif (domaines etniveaux de compétence, durée d’expé-rience des auditeurs), sera fonction decritères multiples : le contexte de la mis-sion, le degré de complexité de l’activitéou de l’organisation de l’entité auditée,la taille des équipes auditées et leurimplantation, le besoin de compétencesspécifiques en matière technique ou lin-guistique, etc.

Enfin, la dernière étape dans la

construction du plan d’audit est la miseen cohérence des besoins théoriquesdéterminés avec les ressources et lesbudgets effectivement disponibles.

Au-delà de l’élaboration du plan d’au-dit, sa communication, sa gestion auquotidien et son suivi exigent de la partdu responsable de l’audit interne beau-coup de finesse. On peut parler d’ajus-tement permanent.

Plan d’audit : information,communication et beaucoupde finesse…

La communication sur le plan d’auditest en général prévue dans la charted’audit interne. La communication aux organes exécu-tifs, délibérants ou à leur émanation (uncomité d’audit par exemple) peut por-ter :• d’une part, sur la cartographie des

risques établie par l’audit, notammentpour clarifier les priorités et expliquerles choix effectués pour bâtir le pland’audit ;

• d’autre part, sur le plan d’audit lui-même pour en obtenir la validationglobale ce qui permet de donner uncaractère officiel au dispositif. En effet,la norme professionnelle 2020 prévoitque « le responsable d’audit doit commu-niquer à la direction générale et auconseil son plan d’audit et ses besoinspour examen et approbation ».

Pour ce qui concerne la communicationdu plan d’audit, celle-ci pourra prendrela forme d’une présentation de la pro-grammation des missions sur le cycled’audit avec un focus sur le plan de l’an-née à venir.

La communication avec les autres fonc-tions en charge du contrôle interne estintégrée aux échanges réguliers définispar les règles en vigueur dans chaquebanque. Certaines banques ont ainsiinstitué un comité de coordination ducontrôle interne.

La communication avec les autresmétiers de la banque est nécessairementplus restreinte compte tenu des spécifi-

cités de l’activité de l’audit interne :• pour des questions d’indépendance

liées à la fonction, la cartographie del’audit ne fait pas l’objet d’un proces-sus contradictoire avec les unitésauditées ;

• il ne peut y avoir communicationdétaillée du plan d’audit aux auditésafin de préserver la confidentialité desmissions à venir.

En conclusion, l’élaboration et la com-munication du plan d’audit constituentune saine pratique de gestion. Elles per-mettent au responsable de l’auditinterne de fournir aux instances de gou-vernance de la banque une vision glo-bale des risques et de préciser la manièredont les missions d’audit vont assurer lacouverture de ces risques.

Christiane Legat intègre, en 1983,le groupe Caisse d’Epargne où elleparticipe à la mise en place d’unnouveau système de formation.Elle rejoint ensuite le service inspec-tion générale en tant que chef demission.Cherchant une orientation plusinternationale, elle prend la res-ponsabilité de l’audit interne deRabobank International Paris en1991. En 1999, on lui propose le mêmetype de fonction à la BayerischeLandesbank. Elle y approfondit sonexpertise en matière de titrisationet LBO.Depuis 2006, elle est Head of Inter-nal Audit de General Electric Cor-porate Finance Bank (GE CFB).Titulaire d’un DESS « Banques etFinances », certifiée CFSA, elle pré-side le groupe professionnel« Banque » de l’IFACI.

23



Un processus majeur

La mise en place du plan d’audit dansun groupe d’assurances, comme danstoute entreprise, constitue l’un des troisprocessus majeurs de la fonction d’auditinterne. L’exécution des missions et lesuivi des recommandations sont lesdeux autres processus qui en découlent.

Processus majeur, car il doit répondre defaçon satisfaisante aux attentes de plu-sieurs parties prenantes, notamment ladirection générale, le comité d’audit,mais aussi l’Autorité de Contrôle Pru-dentiel et de Résolution (ACPR). Latutelle du secteur banque et assurancesa développé récemment des exigencesaccrues concernant la fonction d’auditinterne (cf. schéma ci-après).

L’audit interne doit pouvoir offrir unevisibilité pluriannuelle sur son pro-gramme d’activité : trois ans est lanorme retenue par Covéa. En complé-ment, une mise en perspective sur cinqans des missions au regard de l’universd’audit permet d’effectuer une analysede la couverture des besoins (cinq ans

est le cycle d’audit adopté par legroupe). La qualité de cette couverture,et donc de facto du plan d’audit, résidedans la bonne prise en compte des prin-cipaux enjeux économiques, opération-nels, réglementaires et, bien entendu,des risques auxquels fait face l’entre-prise.

J’ajoute que le plan d’audit, tout commela couverture des besoins, se construi-sent tant au niveau consolidé groupe,que pour chacune des principales socié-tés d’assurances.

Enfin, gage de l’importance de ce pro-cessus, le niveau de couverture de l’uni-vers d’audit et le respect de la déclinai-son annuelle du plan figurent parmi lesobjectifs de notre politique d’auditinterne qui sont mesurés et rapportés.

Une approchemultidimensionnelle

Même si le plan fait l’objet d’actualisa-tions récurrentes en cours d’année, sonélaboration s’inscrit naturellement dansles processus généraux de planification

La mise en place d’un plan d’audit est un des trois processus majeurs de la fonctiond’audit interne avec l’exécution des missions et le suivi des recommandations. Leplan d’audit se construit au niveau consolidé du groupe et pour chacune des prin-cipales sociétés d’assurances. L’élaboration du plan d’audit est un processus struc-turé et itératif qui vise la meilleure adéquation entre les besoins d’éclairage et d’as-surance sur la maîtrise des risques du groupe de la part des différentes parties pre-nantes, et les ressources disponibles.

Bertrand Lefebvre

Directeur contrôle général, Covéa

Mise en place du plan d’auditdans un groupe d’assurances

Diplômé de Sup de Co Dijon, etd’un 3ème cycle de finance interna-tionale à Londres, BertrandLefebvre a commencé sa carrièreau GAN à New York de 1988 à1990. De retour en France, il intègrela direction internationale MMAcomme analyste économique etfinancier, avant d’être contrôleurde gestion international puis res-ponsable de zone étrangère.Successivement chef de cabinet dudirecteur général MMA, puis res-ponsable du reporting et de l’ins-pection générale MMA entre 1998et 2006, il dirige depuis 2007 ladirection contrôle général Covéacomposée de deux directions dis-tinctes : la direction audit internegroupe et la direction contrôleinterne et conformité groupe.

24

DOSSIER


stratégique et budgétaire du dernier tri-mestre. Ceci afin de bien intégrer lespriorités de l’entreprise et d’anticiper dupoint de vue opérationnel sur les éven-tuels besoins en ressources externesexpertes.

Première source d’alimentation du futurplan d’audit, le bilan du plan précédent :missions non réalisées faute de tempsdisponible, missions volontairement dif-férées après arbitrage, enjeux non cou-verts ressortant de l’analyse anté-rieure…

Deuxième source, la cartographie desrisques et les échanges avec les respon-sables de la gestion des risques, ducontrôle interne, de la conformité et desautres structures de contrôle permanentde deuxième niveau. Y a-t-il des risquesélémentaires qui s’aggravent ou desrisques importants dont le dispositif demaîtrise reste insuffisant de façon nota-ble ? Est-ce que les grandes familles derisques au niveau macro (risques finan-ciers, assurances, opérationnels dontréglementaires, stratégiques et réputa-tion) sont correctement couvertes ?

Telles sont quelques-unes des questionsque nous devons nous poser.

L’examen des revues intérimaire et défi-nitive des commissaires aux comptes,doublé d’un échange commenté en réu-nion, permet d’éviter la duplication destravaux et de jouer la complémentarité(prise de connaissance de leur côté denos missions). Les auditeurs externes seconcentrent plus naturellement sur lesprocessus concourant à l’élaboration del’information comptable et financière.

Autre acteur de la quatrième ligne demaîtrise à prendre en compte, l’ACPR.Avoir connaissance des résultats descontrôles effectués par la tutelle ou deceux qui sont en cours, conduit parfois àréaliser des arbitrages.

Plus généralement, il convient d’intégrerles préoccupations du régulateur, quiau-delà des législations, publie aussidésormais des recommandations et desinstructions. Les thèmes relatifs à la luttecontre le blanchiment et le financementdu terrorisme ou de la protection de laclientèle avec ses diverses déclinaisons

(contrats d’assurances vie non réclamés,devoir de conseil en assurance vie, dis-positif de résiliation des contrats Iard departiculiers dit loi Chatel, traitement desréclamations clients…) ont récemmentmarqué l’actualité et doivent trouverleur place dans le plan d’audit.

Une revue prospective et rétrospectivedes objectifs et des résultats des sociétéset des branches d’activités est menéepour faciliter le travail de priorisation.Pour mémoire, il existe, en comptant lesfiliales étrangères, plus d’une quaran-taine de sociétés d’assurance au sein dugroupe Covéa et plus d’une trentaine debranches pratiquées : automobile, habi-tation, assistance, loisirs, santé indivi-duelle et collective, épargne, professionslibérales, collectivités, maritime et trans-port, caution, aviation/spatiale… Leschangements significatifs de périmètreou de management, les évolutions d’ac-tivité ou modifications de processus cléssont également pris en considération.

Enfin, les informations collectées par leséquipes d’audit de façon formelle ouinformelle, l’expérience et l’expertise de

Schéma simpli�é de construction et de validation du plan d’audit

Examen descontrôles externes :

• Commissaires aux comptes

• Autorité de Contrôle Prudentiel et de Résolution

Echanges avec les fonctions gestion des risques, conformité et autres structures de contrôle de 2e niveau

Projet de plan d’audit

Evolutions réglementaires

Revue prospective et rétrospective des

résultats

Véri�cation du niveau de

couverture d’audit sur 3 axes : - Juridique

- Risques - Opérationnel

Changements signi�catifs de

périmètre, processus ou

activités

Echanges et ajustements avec

la direction générale sur le

projet

Bilan du plan d’audit précédent

Cartographie des risques

Présentation du plan au comité

d’audit, ajustements et

validation

Etape 1 Etape 2 Etape 3

Expérience et expertise équipes

d’audit



ses responsables vont venir compléter leprocessus de structuration du plan. Une première version de plan est établieau niveau du groupe.

La vérification du niveaude couverture d’audit

Ce projet de plan triennal est alors com-paré à l’univers d’audit qui se déclinechez Covéa sur trois dimensions : l’axejuridique composé des sociétés dugroupe, l’axe des risques organisé autourdes grandes catégories citées plus haut,et l’axe opérationnel constitué à la foisdes grandes fonctions de l’entreprise(cœur de métier, support et pilotage),des branches d’activités assurances etdes différents réseaux/canaux de distri-bution. Les objets de l’univers, sur cha-cun des axes, sont classés en deuxniveaux de priorité en fonction de l’en-jeu.

Nous examinons à ce stade les plansd’audit développés par les fonctionsd’audit locales qui concernent quelquesfiliales étrangères et sont supervisées parl’audit interne groupe. Nous vérifions lacohérence des propositions et intégronsces travaux dans le plan consolidé de lafonction d’audit groupe.

Une simulation de la couverture d’auditest alors établie sur le cycle glissant decinq ans qui est retenu (plan N+3,années N et N-1). L’analyse aboutit à untaux de couverture, notamment desenjeux prioritaires, que nous comparonsà l’appétence inscrite dans la politiqued’audit du groupe.Des rectifications peuvent alors êtreopérées en vue d’une meilleure adéqua-tion.

Une démarche de validationitérative

Munis de cette proposition de plan,nous rencontrons chacun des membresdu comité de direction générale dugroupe. Nous échangeons sur le pro-gramme que nous avons prévu sur leurpérimètre et intégrons leurs remarques,besoins et priorités.

Nous menons ensuite une nouvelleconsolidation qui tient compte d’arbi-trages avec la direction générale (capa-cités à faire, priorités temporelles de pla-nification) pour présenter une proposi-tion au comité d’audit et des risques dugroupe. Ce dernier peut l’amender enfaisant part de ses attentes, avant de for-mellement valider le plan.Le plan est alors progressivement misen œuvre. Bien évidemment, il peut êtreajusté en cours d’année pour intégrerdes demandes exprimées par la direc-tion générale ou prendre en compte desimpératifs difficilement planifiables,comme le pilotage d’audits de due dili-gence.

Les échanges réguliers qui ont lieu toutel’année avec les directions opération-nelles et avec la direction générale sontautant d’occasions de noter des sujetsqui émergent, ou au contraire, desenjeux qui deviennent moins sensi-bles… éléments qui vont nourrir nosréflexions pour la prochaine révision duplan.

En conclusion, l’élaboration du pland’audit est un processus structuré et ité-ratif qui vise la meilleure adéquationentre les besoins d’éclairage et d’assu-rance sur la maîtrise des risques dugroupe de la part des différentes partiesprenantes et les ressources disponibles.Il doit toutefois demeurer suffisammentflexible pour répondre aux urgences etdivers imprévus.

25

Les futures normes réglemen-taires relatives à la solvabilité desorganismes d’assurances euro-péens reposent à la fois sur descritères quantitatifs (pilier 1), maisaussi sur des exigences qualita-tives en matière de gouvernance(pilier 2), et sur une informationdes autorités de surveillance etdu public (pilier 3). Parmi les exi-gences du pilier 2 figure l’obliga-tion de mise en place de 4 fonc-tions clés au sein de l’entreprise :la fonction gestion des risques, lafonction actuarielle, la fonctionconformité et la fonction d’auditinterne. La directive ne détaillepas les obligations de cette der-nière, hormis le respect des prin-cipes d’indépendance et d’effica-cité. Cependant, l’ACPR à traversses publications et diverséchanges avec la profession, s’at-tend à ce que la fonction d’auditgroupe dispose d’une vision glo-bale des activités d’audit interne.La fonction d’audit interne est encharge de définir le plan d’auditqui doit couvrir suffisammentrégulièrement les activités àenjeux.

Covéa est un groupe d’assurance mutualiste leader composéde trois enseignes fortes opérant sur l’ensemble des marchésd’assurances dommages, vie et santé, aussi bien pour la clien-tèle de particuliers que de professionnels.

Chiffres clés 2012

14,7 Milliards € de chiffre d’affaires consolidé (dont 10 % à l’étranger) 9,6 Milliards € de fonds propres 628 Millions € de résultat net 392 % de ratio de solvabilité (norme S1)

10,9 Millions de clients 26 600 collaborateurs 2 800 points de vente

26

DOSSIER


L’établissement du planning

Le programme d’audit couvre le péri-mètre audité par la direction de l’auditinterne à ce jour, à savoir EDF SA et lesfiliales contrôlées, hors secteur régulé(EDF Energy, EDF Trading, etc.), ainsique celui audité par les différenteséquipes de la filière audit (ProductionIngénierie, Commerce, EDF Energy,EDF Trading, EDF Energies nouvelles,EDF Luminus, Edison). Pour les filialesrégulées et co-contrôlées, la DAI s’as-sure de l’existence d’une politique per-tinente de contrôle interne et de la soli-

dité des dispositifs de contrôle internevia les instances de gouvernance.

Le programme d’audit repose sur :• les audits d’entités (filiales, grandes

directions), qui comprennent notam-ment l’examen de la maîtrise ducontrôle interne des entités considé-rées ; les risques de la cartographie quiconcernent l’entité sont inclus dans lepérimètre ; ces audits (une soixan-taine) sont effectués de façon récur-rente sur une période de trois à cinqans, en fonction de la nature et duvolume des entités ;

• les audits récurrents des processuscomptables et financiers et des pro-cessus « tête de groupe », essentielle-ment des processus transverses finan-ciers. les risques de la cartographie quiconcernent l’entité sont inclus dans lepérimètre ;

• les audits des grands projets, liés àl’actualité, donc non récurrents, et quien règle générale figurent dans la car-tographie des risques ;

• les audits de couverture des risquesmajeurs du groupe,qui n’auraient pas

été traités par les types d’audits pré-cédents (entité, processus, projet) ;selon une périodicité adaptée à la cri-ticité du risque ;

• le suivi des décisions du président-directeur général, dont l’audit doits’assurer de la correcte mise enœuvre ;

• les audits faisant suite à une premièremission « rouge ou orange » (risqueélevé), et dont la clôture effectuéeentre douze et dix-huit mois après,était également rouge ou orange.

Le programme porte sur une périoded’un an ; il a vocation à faire l’objet, sinécessaire, d’une actualisation semes-trielle de manière à refléter au mieuxl’actualité du groupe et de son environ-nement. La conception et la réalisationdu programme sont coordonnées ausein de la filière audit.

Le programme fait l’objet d’une concer-tation approfondie avec les principauxdirigeants du groupe avant validationpar le président et par le comité d’audit.

La cartographie des risques du groupe EDF comporte environ un millier de risquesélémentaires synthétisés en une centaine de méta-risques. Le programme d’auditporte sur une période d’un an et fait l’objet d’une actualisation semestrielle, de façonà refléter au mieux l’actualité du groupe et de son environnement. Le programmefait aussi l’objet d’une concertation approfondie avec les principaux dirigeants dugroupe, avant validation par le président et par le comité d’audit.

Michel Uhart

Directeur adjoint de la direction del’audit, EDF

La mise en œuvrede l’audit interne chez EDF :structure et méthodes

27



La DAI coordonne ses travaux avec ceuxdes commissaires aux comptes. Aumoment de l’élaboration des pro-grammes, nous procédons à deséchanges et à des partages d’informa-tions. Au moins deux fois par an, nousleur communiquons les résultats de nosaudits ainsi que les rapports dont ilssouhaitent avoir connaissance.

Pour la présentation du projet de pro-gramme au comité d’audit, la DAI a faitl’examen de la bonne couverture desrisques majeurs « rouges » et des méta-risques par les audits réalisés sur lesdeux derniers programmes, et prévusdans le programme à venir.En 2013, sur la période de trois à cinqans, près de 90% des risques « rouges »et de 90% des méta-risques sont cou-verts par les audits corporate.

La priorisation des risqueset des missions

Le cœur du dispositif est la programma-tion pluriannuelle des audits récurrentsd’entités et des audits de processuscomptables et financiers. Ils constituentenviron la moitié du programme chaqueannée et permettent de couvrir la quasi-totalité des risques.L’autre moitié comprend les risquesmajeurs, naturellement priorisés par leurpondération selon une méthode clas-sique : impact, probabilité, niveau decontrôle, et les projets dont le coûtdépasse le seuil d’approbation par lecomité des investissements du groupe.

Les audits d’entité permettent d’évaluerla fiabilité des auto-évaluations des dis-positifs de contrôle interne. Notre guided’audit d’entité prend bien sûr en

compte les exigences du guide decontrôle interne. Cependant, l’apprécia-tion de la robustesse du contrôle internen’est pas prise en compte pour détermi-ner la fréquence d’audit d’une entité.

La validation du plan d’audit

Notre projet de programme, une foisbâti, est présenté pour avis, en février,aux dirigeants du groupe de niveau N-1COMEX (ce qui représente une soixan-taine d’entretiens), ainsi qu’aux mem-bres du COMEX et au président. Unefois tous les avis recueillis et intégrésdans le projet de programme, il est sou-mis à l’approbation du COMEX, puis ducomité d’audit de mars. Ce dernier peutencore apporter quelques modifications.

Ce programme couvre une périodeallant de mai à avril de l’année suivante.

© C

rédi

t pho

to :

EDF

MED

IATH

EQU

E - D

IDIE

R M

ARC

28

DOSSIER


Toutes les directions d’audit du groupeont adopté ce calendrier. Je dis bien« toutes les directions d’audit », car, etc’est une particularité dans le groupe, ily a plusieurs directions d’audit. Moi-même je suis responsable de la directiond’audit corporate ; il y a des directionsd’audit dans certaines de nos filiales lesplus importantes, ainsi que dans cer-taines directions à l’intérieur d’EDF SA,notamment à la production et au com-merce. Leur action est complémentairede la nôtre.

L’actualisation du plan d’audit se faitannuellement au comité d’audit demars. Certaines missions peuvent êtreannulées ou reportées : nous en rendonscompte au comité d’audit dans notrerapport semestriel. Nous vérifions, lorsde chaque rapport semestriel, que notreplan d’audit permet de couvrir, demanière satisfaisante, la cartographie

des risques. C’est le cas à plus de 90%pour les risques rouges.

La cartographie des risques

Dans le groupe EDF, il y a une directiondes risques et une direction de l’audit, lepatron de la direction des risques super-visant la direction de l’audit.

Les risk managers exercent le contrôledes risques sur les marchés financiers etsur les marchés de l’énergie ; ils jouentun rôle de deuxième ligne de défense.C’est la direction des risques qui édicteles règles en matière de risques dans legroupe et qui a en charge l’établisse-ment de la cartographie des risques dugroupe. Elle présente la cartographie enmême temps que nous présentons notreprogramme d’audit. La cartographienous sert de base dans le cadrage d’unemission.

Michel Uhart est ingénieur del'école centrale de Nantes. Il tra-vaille pour EDF depuis 1982 et aexercé la majorité de sa carrièredans l'exploitation des centralesnucléaires. Il a dirigé la centralenucléaire de Fessenheim, puis cellede Bugey, avant de prendre la fonc-tion de directeur délégué à lamaintenance au sein du comité dedirection de la division productionnucléaire d'EDF. Il a ensuite pris laresponsabilité de la direction del'audit d'EDF, sous l'autorité dudirecteur des risques et de l'audit,en mai 2010.

© C

rédi

t pho

to :

EDF

MED

IATH

EQU

E - A

BIB

LAH

CEN

E

Publications IFACI Bon decommande

AUTEUR : Groupe professionnel « Banque » IFACI - Prix HT : 30 € (32,10 € TTC)Décembre 2013 - Format : 16,5 x 23 cm - ISBN : 978-2-915042-53-5

Société : ...................................................................................................................................................................................................................................................................................

Nom : ............................................................................................................................................. Prénom : ......................................................................................................................

Adresse : ..................................................................................................................................................................................................................................................................................

Code postal : ......................................... Ville : ........................................................................................................................... Pays : .........................................................................

Tél. : ........................................................... Fax : ......................................................... Mél : ...............................................................................................................................................

B O N D E COM M A N D E

TITRE PRIX HT QUANTITÉ TOTAL

De la cartographie des risques au plan d’audit 30,00 €

Total HT

TVA 7 %

Net à payer TTC*

PAIEMENT PAR : Chèque bancaire ou postal (à l’ordre de l’IFACI)

Virement à la banque HSBC agence centraleCompte IFACI n°30056-00148-01485415521-72

Carte de crédit :

N° ....................................................................................................................................................

Date d’expiration : ....................................................................................................................

DATE : ............................................... SIGNATURE :

Bon de commande à retourner à :Marie-Thérèse Tran - IFACI98 bis, bd Haussmann - 75008 ParisTél. : 01 40 08 48 16 - Fax : 01 40 08 48 20Mel : [email protected] - Internet : www.ifaci.com

Règlements :Une facture pro forma vous sera adressée parcourriel dès réception de votre commande.Chèque : libellé en euros tiré sur une banquefrançaise.Virement : les virements émis à partir d’unebanque hors de France doivent être nets de tousfrais bancaires pour l’IFACI.

Le groupe professionnel « Banque » publie un cahier de la recherche sur la car-tographie des risques par l’audit interne. S’il existe déjà des cartographies desrisques établies par d’autres fonctions, la réalisation d’une cartographie parl’audit interne n’en présente pas moins une valeur ajoutée :

• la démarche permet d’acquérir et de formaliser une connaissance appro-fondie des activités et du fonctionnement de l’établissement ;

• l’analyse et l’évaluation des risques peuvent être conduites de manière indé-pendante vis-à-vis des métiers ;

• la granularité des cartographies existantes peut ne pas correspondre auniveau de maille des missions d’audit ;

• le champ couvert par ces cartographies est souvent partiel alors que ladémarche conduite par l’audit interne permet d’avoir une vision globalede l’établissement et du périmètre auditable ;

• cette vision globale fait de la cartographie de risques réalisée par l’auditinterne un outil de dialogue avec les autres prestataires d’assurance.

Le cahier de la recherche vous apportera des bonnes pratiques pour l’élaborationd’une telle cartographie, sa mise à jour et son utilisation pour la planification del’audit interne.

(*) Hors frais de port et d’emballage.

30

INTERNATIONAL


Scott Strachan préfère les petitesentreprises. Il apprécie la proxi-mité des petites équipes, le

contact direct avec les dirigeants et lafaçon dont les équipes de directionréduites prennent des décisions rapides.Cela peut paraître étrange, sachant qu'ilest le responsable mondial de l'auditdans une société qui compte 2 000 col-laborateurs dans 24 pays, qui a fait sonentrée dans le FTSE 100 l'année der-nière et qui gère plus de 222 milliards delivres sterling de fonds investis.

Cependant, lorsque Scott Strachan arejoint Aberdeen en 1999, il était l'undes deux seuls auditeurs internes del'entreprise, qui ne comptait alors que338 collaborateurs. Depuis, la société,qui gère les placements d'investisseursprivés et institutionnels, s'est dévelop-pée rapidement. Cette croissance s'estfaite en partie par le biais d'acquisitions,les plus récentes portant sur les porte-feuilles d'actifs et de clients d'ArtioGlobal Investors Inc et de SVG Advisors.Bien qu'elle fasse maintenant partie duFTSE 100, la société a conservé l'essen-tiel de sa culture d'entreprise et une soli-darité propre aux petites équipes, nousexplique Scott Strachan : « Nous avons connu une croissance rapideet nous avons intégré de nombreux actifs et

collaborateurs, ce qui nous a amenés àmélanger de nombreuses cultures géogra-phiques et cultures d'entreprise. Depuis tou-jours, nous sommes conscients qu'il estimportant de bien accomplir ce processus,mais depuis la crise financière, la culture estdavantage mise en avant.Comme toujours, le secret est detrouver un équilibre. Nousvoulons conserver notredynamisme, notreesprit d'entrepriseet notre modèleopérationnel, touten veillant àmaintenir uncadre général devaleurs adéquat. »

C'est quelque choseauquel Scott Strachantient. Par chance, il se trouveau bon endroit au bon moment pourcontribuer à la préservation de ce bienimmatériel. La culture est le maître-motactuel dans les sociétés de servicesfinanciers – et il ne s'agit pas de devenirmécène d'un opéra à Glyndebourne.

Des paroles aux actes

Le rapport de la Commission parlemen-taire britannique en charge de la régle-

mentation bancaire place la culture et lecomportement au cœur des servicesfinanciers durables. Tout le monde s'ac-corde à dire qu'une meilleure connais-sance de la culture des entreprises et ducomportement des collaborateurs auraitpu contribuer à éviter la crise financièremondiale. Progressivement, le compor-tement des collaborateurs n'est plus vucomme un risque clé, mais comme unsujet digne d'intérêt pour l'audit interne.Il est toutefois plus compliqué de mettreces bonnes intentions en pratique.

Ces facteurs, associés au fait que lescadres non dirigeants s'intéressaient àdes problématiques liées à la cultured'entreprise, ont incité Scott Strachan à

lancer le premier audit com-plet de la culture et de la

stratégie d'Aberdeen.Bien que de nom-breuses organisa-tions en parlent,Aberdeen estselon lui l'unedes premièresentreprises, si cen'est la première,

à mener à bien unaudit de ce genre.

Le processus intégrait denombreux éléments qui sor-

taient du cadre des audits internes tra-ditionnels (voir le complément ci-après,sur la thérapie comportementale). Lalongue expérience de Scott Strachan ausein d’Aberdeen et le fait qu'il ait assistéà l'évolution de la société depuis sesdébuts, lorsqu'il s'agissait encore d'unetoute petite organisation, se sont révélésdes atouts considérables pour ce projet :« Je ne pense pas que j'aurais pu réaliser cetaudit il y a huit ans. »

« Nous faisons toutpour ne pas perdre les aspects

positifs de notre culture,tout en veillant à respecterles exigences en matière

de gouvernance et de structurede l'entreprise »

La culture d'entreprise,un atout

Les services financiers sont en train d'évoluer. L'équipe d'audit interne d'AberdeenAsset Management, société de gestion d'actifs du FTSE 100, vient de terminer sonpremier audit complet de la culture et de la stratégie de l'entreprise. Scott Strachan,responsable de l'audit interne, nous explique.

Texte de Ruth Prickett


S'il reconnaît qu'il existe un débat à pro-pos de la rotation des responsablesd'audit interne et de l'impact d'une tellerotation sur leur degré d'indépendance,il estime également qu'il existe des argu-ments forts en faveur de la créationd'une relation durable entre le respon-sable de l'audit interne et l'entreprise : « Vous apprenez à connaître l'équipe dedirection, la sensibilité de l'entreprise, etvous développez des relations et desconnaissances qui ne s'acquièrent qu'avecle temps. »

Pour lui, même si Aberdeen affiche unbon taux de fidélisation de ses collabo-rateurs, la direction et lui-même recon-naissent qu'ils ne peuvent pas se reposersur leurs lauriers ou ignorer l'impor-tance que revêt l'intégration de nou-veaux collaborateurs :« Nous faisons tout pour ne pas perdre lesaspects positifs de notre culture, tout en veil-lant à respecter les exigences en matière de

gouvernance et de structure d'entreprise, àrépondre aux attentes et à gérer les percep-tions dans ce domaine. Trouver un équilibre entre ces élé-ments tout en instaurant lejuste niveau d'assurancereprésente un défi per-sonnel. Je dois rassu-rer les régulateursen leur montrantque tous lescontrôles et lescontrepoids sont enplace lorsque nousprenons des déci-sions. »

La réputation,encore la réputation,toujours la réputation

Le défi de maintenir une culture propiceà la croissance tout en respectant les exi-gences réglementaires et en préservant

l'ethos de l'entreprise alimente le risqueglobal qui plane sur toute société de ser-vices financiers : l'atteinte à la réputa-

tion. « Quel que soit le projet surlequel nous travaillons, nous

devons prendre encompte le risque der é p u t a t i o n » ,déclare ScottStrachan. « Sansconfiance, notremodèle écono-mique s'effondre.Et la réputation

peut être entachéetrès rapidement. »

Outre les principauxrisques liés à la réglementation

et à la réputation, l'équipe de ScottStrachan – qui compte désormais 23 col-laborateurs et bénéficie de l'appui del'un des quatre plus grands cabinetsd'audit – doit également prendre en

« Personne n'a enviede lire un rapport d'auditde 25 pages. En revanche,si vous donnez un rapportd'une page à un dirigeant,il le lira et en comprendra

le contenu »

© alpha

spirit - Fotolia

.com

32

INTERNATIONAL


considération d'autres risques : « Prenezn'importe quel risque, vous pouvez être sûrque notre entreprise doit y faire face. »

Par exemple, l'audit du risque lié auxproduits implique de vérifier si les pro-duits sont soumis à des tests de résis-tance, s'ils sont conformes aux principesd'investissement de l'organisation ets'ils répondent aux besoins des clients.De plus, l'équipe de Scott Strachan doittenir compte des risques associés à lanégociation : « Tous nos systèmes ont beaufonctionner, si de mauvaises instructions

sont données au sujet des transactions ouque celles-ci sont mal exécutées, l'impactpeut être significatif. Pas seulement du pointde vue financier, mais également vis-à-visde la réglementation, des clients et de laréputation. »

Scott Strachan considère que les tradersmalhonnêtes représentent un risquemoindre chez Aberdeen, car l'entreprise« n'érige personne au rang de star ». Aucontraire, l'entreprise a tendance à pren-dre des décisions collégiales sur la based'un processus d'investissement bien

établi, qui représente pour ScottStrachan un garde-fou essentiel :« Encore un autre domaine qui émane denotre culture. »

L'équipe de Scott Strachan est baséedans cinq pays et réalise près de 80audits par an. Pour faire face aux évolu-tions rapides, il a développé au cours del'année écoulée un nouveau processusde planification de ces audits. La société,qui disposait auparavant d'un plan d'au-dit traditionnel, fonctionne désormaisavec un système « 3+9 » :

Lorsque les régulateurs se sontrendus chez Aberdeen AssetManagement à la fin de l'au-tomne dernier, ils étaient dési-reux de parler de culture d'en-treprise, de même que lescadres non dirigeants quis'étaient penchés sur la ques-tion. En consultation avec lesdirigeants, Scott Strachan a exa-miné les risques et a estiméqu'il devait auditer la culture etla stratégie. Le seul écueil étaitqu'il n'existait que peu demodèles formels à suivre ou àpartir desquels effectuer unecomparaison.

Scott Strachan a donc fait venirTim Cox, son responsable pourla zone EMEA (Europe, MoyenOrient et Afrique), et lui ademandé d'en élaborer un.

« J'ai participé à divers forumspour les responsables d'auditinterne ces 12 à 15 derniers mois,et il s'agissait d'un sujet de discus-sion récurrent, mais je n'ai rien puen tirer de concret », nousexplique Tim Cox.

Il a commencé à planifier lestravaux en février de cetteannée. En avril, Scott Strachanet lui ont fait leurs premièresprésentations aux membres ducomité exécutif et à un certain

nombre de cadres non diri-geants. Pour l'examen de leursrésultats, ils se sont inspirésd'anciens audits et de débatssur des thèmes bien connus etétablis. Ils ont ensuite demandéà leur auditoire de discuter deces éléments et de leur donnerun retour.

Tim Cox explique qu'il s'agissaitautant d'encourager la conver-sation et le débat sur ces thé-matiques que de fournir deséléments probants de tests for-mels.« Ils ont fait preuve d'implicationet de soutien, déclare-t-il. Le régu-lateur fait référence à la manièredont le comportement reflète laculture et aux méthodes d'éva-luation du comportement.L'exemplarité est un élémentessentiel, c'est pourquoi noussavions qu'il nous fallait convain-cre l'ensemble des dirigeants del'organisation. »

Puis, Tim Cox a rencontré lesressources humaines. C'étaitune étape importante puisqueles éléments clés qu'il avaitidentifiés comme ayant uneinfluence sur le comportementétaient les descriptions deposte, la politique de rémuné-ration et le processus d'évalua-tion.

Les discussions ont conduit àaméliorer les évaluations. « Il fal-lait qu'il y ait un lien clair entre lesévaluations et les récompenses ettout devait reposer sur le devoirde rendre compte », analyse TimCox.

En juillet, il a rencontré lecomité d'audit avec ScottStrachan, et grâce au soutiendu vice-président, ils ontexposé le plan d'action de l'en-treprise et expliqué commentils comptaient suivre l'avance-ment. « Il ne s'agit pas d'un plan en 12étapes qui sera terminé une foisque ces étapes auront été accom-plies », précise Tim Cox. « Il s'agitd'un processus continu qui devraêtre suivi sur le long terme et quiévoluera au cours des prochainsmois. »Scott Strachan ajoute : « La cul-ture est désormais considéréecomme une question essentiellepour l'audit interne. Ces travauxpréliminaires et notre approchedynamique nous placent dansune position privilégiée. »

En outre, la culture sera mainte-nant prise en compte demanière plus formelle dansd'autres audits. « Nous allonsnous intéresser à la culture detelle unité, nous demander si le

comportement de tels gestion-naires de fonds dénote la cultureadéquate, et voir si nous avonsdes dispositifs en place pourencourager cette culture », nousexplique Tim Cox.

Bien que l'audit ait utilisé deséléments probants du compor-tement, le processus différaitde celui d'un audit interne tra-ditionnel : il était axé sur desprésentations et des ateliersplutôt que sur des entretiensindividuels, une revue de ladocumentation et des testspour produire un rapport.« Une grande partie de la cultureest intangible et de nombreuxsujets d'attention ne peuvent pasêtre audités de manière tradition-nelle sur la base de faitsconcrets », déclare Tim Cox. « Cesont ces défis qui rendent ces tra-vaux si intéressants. »

Scott Strachan approuve : « Cegenre d'audit fait appel à toutenotre expérience et toute notreconnaissance de la société, nouspermet de les appliquer à desdomaines moins directementquantifiables, et nous aide àdévelopper de nouvellesméthodes de conduite de l'auditinterne. »

Thérapie comportementale : comment auditer les éléments incorporels de la culture


« Je rends compte directement au comitéd'audit et, plutôt que de leur donner un planannuel, je leur soumets à présent une listedes audits que j'estime devoir être effectuéssur les trois prochains mois, ainsi qu'unhistorique des risques associés. Puis, je leur expose les sujets d'audit quisont susceptibles d'être mis en avantdans chaque division sur lesneuf prochains mois.Nous n'avons pasd ' e n g a g e m e n tconcernant cesaudits, et nouspouvons ainsichanger rapide-ment notre fusild'épaule si lasituation évolue. »

Une fois les audits réa-lisés, l'équipe de ScottStrachan rédige des rapportsd'une page environ. « Personne n'a enviede lire un rapport d'audit de 25 pages, untel document risque d'être ignoré. Enrevanche, si vous donnez une page à undirigeant, il la lira et en comprendra lecontenu. Il s'agit donc surtout de discuterdes problèmes en amont, avant de rédiger lerapport. Ensuite, tout repose sur une bonnecommunication. Plus vous écrivez, plusvous risquez de perdre le fil et plus les genssont susceptibles de ne pas comprendrevotre message. »

Scott Strachan rencontre égalementsouvent les régulateurs et les clients. Àses débuts chez Aberdeen, il rencontrait

rarement les clients. Aujourd'hui, cepen-dant, ils doivent démontrer qu'ils met-tent en place de bonnes procédures degouvernement d'entreprise et ont doncbesoin d'une assurance à transmettre àleurs propres investisseurs et régula-teurs.

Résoudre les contradic-tions, Scott Strachan s'y

emploie constam-ment dans safonction. Il s'agitd'un auditeurinterne qui aimeles petites orga-nisations maisqui a tout de

même aidé sonentreprise à entrer

dans le FTSE 100. C'estun comptable qui a lancé

l'un des premiers audits du sec-teur sur l'un des aspects les plus sensi-bles de l'entreprise – sa culture. Et c'estun responsable qui souhaite préserverles valeurs de son organisation tout enl'aidant à évoluer dans l'identification etle traitement des risques. Les sociétés deservices financiers vivent une transitionet Scott Strachan nous montre commentl'audit interne peut les aider à bien fonc-tionner à l'avenir.

« Une grande partiede la culture est intangible

et de nombreux sujetsne peuvent pas être auditéssur la base de faits concrets.Ce sont ces défis qui rendentces travaux intéressants »

Scott Strachan est membre del'Internal Audit Leaders’ Forum, etprésident de l'IIA Écosse.

Scott Strachan en quelques datesclés :• 1990 : Étudie la comptabilité à

l'Université d'Abertay. Rejoint lecabinet comptable FrameKennedy & Forrest à Inverness.

• 1993 : Diplômé de l'Institut ofChartered Accountants ofScotland.

• 1994 : Rejoint Northern AuditServices, par la suite acquis parCoopers & Lybrand, qui afusionné pour former PwC en1999.

• 2000 : Rejoint Aberdeen AssetManagement en tant queresponsable de l'audit interne.

Article traduit et reproduit avec la permis-sion de Scott Strachan et de l’IIA UK.

Cette article a été publié dans sa version ori-ginale dans le numéro d’octobre 2013 de la

revue Audit & Risk publiée par l’IIA UK.

Time to Make the Connectionic.globaliia.org

34

MÉMOIRE D’ÉTUDIANT


Le contrôle interne favorisel’apprentissage de l’organisation

Une réalité économique …et sociale

Le contrôle interne, par son caractèrerégulier et permanent, génère des rou-tines. Du fait de l'implication d'une mul-titude d'acteurs, l’action réelle pourra sedétacher des schémas officiels et consti-tuer une altération du dispositif. La pro-blématique de l’implication des acteursde l’organisation devient alors un leviermajeur de son efficacité. Ayant subi lapression de divers évènements finan-ciers, le contrôle interne, entre norme etobligation légale, devient un dispositifincontournable pour les organisations,qui doivent, de gré ou de force, le mettreen place et le faire vivre. Le groupe étu-dié semble adopter une approche opé-rationnelle empreinte d’une volonté dedynamisme favorisant l’adéquationentre la dimension officielle et les pra-tiques réelles de contrôle interne. Pour-tant, l’intégration de ce dispositif dansles cultures des établissements pourraêtre freinée si on ne recourt pas à unevéritable recherche du sens des actionsde contrôle. Une brève revue de la litté-rature scientifique permet de mettre enavant le dépassement de la dimensionfonctionnelle du contrôle, qui se poseaujourd’hui comme un outil de dévelop-pement des connaissances de l’organi-sation. Le contrôle interne est critiquépour son immobilité et l’inertie qu’ilpeut créer au sein d’une organisation,

mais il se fonde aussi sur un retourinformationnel indispensable au proces-sus de prise de décision dans l’organisa-tion. Il se dévoile alors comme un vec-teur d’apprentissage pour l’organisation.

L’apprentissageorganisationnel,pour une améliorationcontinue du dispositif

Le concept de l’apprentissage organisa-tionnel, emprunté à la psychologie,trouve sa place dans l’améliorationcontinue du dispositif. Il ne fait pasencore l’objet d’un consensus au seindes sciences de gestion, mais on dis-tingue deux formes majeures d’appren-tissage organisationnel : par exploitationet par exploration1. La première formeconsiste à détecter les erreurs et les cor-riger pour adapter les actions et les pro-cédures en place au sein de l’organisa-tion. Elle ne remet pas en cause la struc-ture ou les valeurs de l’organisation,contrairement à la seconde forme d’ap-prentissage, qui brise les routines etfavorise la créativité. L’apprentissage parexploitation des connaissances tacites etimplicites contenues dans les routinesest source de flexibilité et de change-ment2. Le facteur culturel semble aussiêtre déterminant dans la compréhen-sion et la mise en place effective du dis-positif. Les dynamiques organisation-nelles sont alors prépondérantes dans la

réduction de la dualité entre la dimen-sion officielle et l’action réelle des rou-tines de contrôle interne3.

Voir, écouter et lire :une méthodologie tournéevers la compréhension

Cette recherche se fonde sur une étudede cas, qui permet non pas d’établir unrésultat statistique mais de découvrir deséléments et de comprendre des phéno-mènes complexes. Elle porte sur les ser-vices comptables, garants du respect etde la bonne mise en œuvre du contrôleinterne, de trois établissements situés enrégion parisienne. Inspirée par unedémarche mise en œuvre dans desdomaines comme l’ethnologie, la socio-logie ou l’anthropologie, la méthodolo-gie mise en œuvre ici vise à recueillir etcomparer trois natures de données autravers de trois phases : observation descomportements, réactions et pratiques ;entretiens individuels non directifs pourrecueillir les déclarations des audités ; etétude de documents officiels (commu-nications internes, procédures écrites,documents légaux, site internet…) pourconfronter les éléments précédents à lavision stratégique de l’entreprise.

Un groupe, plusieurs cultures

Suite aux premières observations, il estapparu de fortes disparités culturelles etde pratiques entre les établissements,qu’il a fallu prendre en compte en éta-blissant un profil culturel. L’IFACI a créé,à travers un groupe de recherche, unoutil permettant de classifier les organi-sations selon leur profil culturel4. A par-tir d’une cartographie de ces profils, ilest possible de repérer les caractéris-tiques qui sont les plus proches du ter-rain. Cet outil a donc été mis en œuvrepour déterminer un profil culturel sus-ceptible d’avoir une influence sur lecontrôle interne. Sur ce point en effet,nous avons mis en avant une « confor-

Le Prix Olivier Lemant est destiné à récompenser le meilleur mémoire de Master(e) consacréau contrôle interne ou à l’audit interne et réalisé dans une université ou une grande écolepartenaire.Les mémoires primés en 2013 sont :• 1er prix – « Guide d’audit de la mise en conformité du middle office des dérivés de gré à gré :

Nouvelle règlementation EMIR » par Loïc Kerboas (IAE Aix-en-Provence)• 2ème prix – « Contrôle interne et routinisation des pratiques comptables opérationnelles :

un vecteur d’apprentissage ? » par Marine Lacourte (IAE Tours)• 3ème prix – « La maîtrise des risques liés au processus de gestion des réclamations clients »

par Henri Fritsch (ESC Toulouse)

Vous pouvez consulter ces mémoires sur le site internet de l’IFACI.

Marine Lacourte, étudiante, IAE de Tours


mité superficielle » pour l’établissement1, entraînée par des jeux politiquesinternes ; le « contrôle pour le contrôle »dans l’établissement 2, dû à une struc-ture très hiérarchisée ; un « contrôleinterne à caractère formaliste » dansl’établissement 3, où l’engagement et laresponsabilisation des collaborateurssont peu marqués.

De la sécurité à l’efficience …

Si les perceptions du contrôle internesont souvent négatives, insistant sur lescontraintes qui y sont liées, les entre-tiens ont permis de mettre en avant cinqdynamiques organisationnelles favori-sant la mise en place du dispositif, touten soutenant une forme d’apprentissagepar exploitation : sécurisation des opé-rations et des actifs de l’entreprise grâceà un dispositif de prévention et détec-tion des fraudes, protection des salariéset de leur statut contre les éventuellesconséquences d’une mauvaise réalisa-tion de leurs tâches, régulation des acti-vités par l’apport de supports de travailservant de référentiels, compréhensionprofonde des enjeux liés au dispositif decontrôle interne par la recherche desens, et une forme d’apprentissage par

détection et correction des erreurs etquête de l’efficience.

… l’accompagnement deséquipes demeure un leviermajeur

Les dynamiques relationnelles com-plexes, source de responsabilisation etde compréhension vis-à-vis du disposi-tif, entretiennent et développent sonamélioration continuelle et montrentl’importance du soutien et de l’accom-pagnement des équipes comptablesdans la mise en place de ce dispositif. Ace titre, le partage des connaissancesentre les employés d’une même fonc-tion dans différents établissements peutpermettre de créer ce lien relationnelnécessaire à la compréhension et à l’im-plication, tout en atténuant, parfois, lesrelations hiérarchiques. Le contrôle interne, malgré la percep-tion négative qu’il engendre, est aussiconsidéré comme un moyen deconstruire des connaissances et d’utiliserles acquis de l’expérience au sein de l’or-ganisation. Selon les tendances cultu-relles des organisations et l’appui mana-gérial qui y réside, la bonne mise enœuvre du dispositif de contrôle interne

pourra être portée par différentes dyna-miques qu’il s’agit d’identifier et decomprendre pour maîtriser leurs portéeset les utiliser dans l’amélioration conti-nue du dispositif.

Lauréate en 2012 du 2ème prixOlivier Lemant récompensant lestravaux de recherche de fin de cycleMaster, Marine Lacourte estdiplômée en Hôtellerie-Restaura-tion et en Management, une dou-ble compétence qu’elle a pu mettreà profit en occupant des postes engestion des ressources humaines,contrôle de gestion et contrôleinterne, notamment au sein d’ungroupe hôtelier international.

1 Argyris et Schön, 1978 ; Fiol et Lyles, 1985 ;Senge, 1990 ; Nonaka, 1994

2 Feldman et Pentland, 20033 Rerup et Feldmand, 20114 Voir Cahier de Recherche « Les variables cultu-

relles du contrôle interne », décembre 2011.

Publications IFACI Bon decommande

(*) Hors frais de port et d’emballage.

AUTEUR : The Research Foundation (The IIA) / IFACI - Prix HT : 61,61 € (65,92 € TTC)

Septembre 2011 - Format : 17 x 24 cm - ISBN : 978-2-915042-33-7

Le « Manuel d’Audit Interne - Améliorer l’efficacité de la gouvernance, du

contrôle interne et du management des risques » est l’ouvrage international

de référence sur le métier d’auditeur interne. Élaboré sous l’égide de la fondation

pour la recherche de l’IIA, il est le fruit de la collaboration de trois professeurs

et de quatre praticiens. Son adaptation aux contextes européen et français a

été réalisée par des universitaires et praticiens français réunis par l’IFACI, ce

qui en fait l’outil idéal pour les auditeurs internes, les étudiants en audit interne

et leurs enseignants.

Ce manuel est organisé en deux sections : « concepts fondamentaux de l’audit

interne » et « conduire une mission d’audit interne ». Il reflète les dernières

évolutions de la profession, en particulier dans les domaines suivants :

normes internationales de l’audit interne ; gouvernance, contrôle interne et management des risques ; éléments clés liés aux systèmes d’information et références aux guidesGTAG et GAIT diffusés par l’IIA et par l’IFACI ;

risques de fraude ; missions de conseil.

La première édition de ce manuel, traduite en espagnol et en japonais a été

adoptée par de nombreux pays de par le monde. Nous sommes convaincus

que cette adaptation française de la seconde version ajoutera encore à ce

succès et contribuera efficacement à la formation des étudiants et à la profes-

sionnalisation des auditeurs internes.

Société : ...................................................................................................................................................................................................................................................................................

Nom : ............................................................................................................................................. Prénom : ......................................................................................................................

Adresse : ..................................................................................................................................................................................................................................................................................

Code postal : ......................................... Ville : ........................................................................................................................... Pays : .........................................................................

Tél. : ........................................................... Fax : ......................................................... Mél : ...............................................................................................................................................

B O N D E COM M A N D E

TITRE PRIX HT QUANTITÉ TOTAL

Manuel d’audit interne 61,61 €

Total HT

TVA 7 %

Net à payer TTC*

PAIEMENT PAR : Chèque bancaire ou postal (à l’ordre de l’IFACI)

Virement à la banque HSBC agence centraleCompte IFACI n°30056-00148-01485415521-72

Carte de crédit :

N° ....................................................................................................................................................

Date d’expiration : ....................................................................................................................

DATE : ............................................... SIGNATURE :

Bon de commande à retourner à :Marie-Thérèse Tran - IFACI98 bis, bd Haussmann - 75008 ParisTél. : 01 40 08 48 00 - Fax : 01 40 08 48 20Mel : [email protected] - Internet : www.ifaci.com

Règlements :Une facture pro forma vous sera adressée par courrieldès réception de votre commande.Chèque : libellé en euros tiré sur une banque française.Virement : les virements émis à partir d’une banque horsde France doivent être nets de tous frais bancaires pourl’IFACI.


LA PROFESSION EN MOUVEMENT

Evénements

Evolution dela réglementationInformatique etLibertés, labellisationet audit interne

Réunion mensuelledu 20 novembre 2013

Les risques liés aux don-nées à caractère person-nel

Les données à caractèrepersonnel doivent être trai-tées avec une attention par-ticulière. En effet leur traite-ment peut faire courir desrisques d’atteinte à la vieprivée des personnesconcernées. Le dommageréputationnel en cas de vio-lation de la loi est critique.De plus le traitement, enca-dré par la loi Informatiqueet Libertés, s’assortit desanctions pénales et admi-nistratives, la CNIL faisantun usage de plus en plussystématique de son pou-voir de sanction et decontrôle.

En application de la loiInformatique et Libertés, lesentreprises doivent en par-ticulier : définir la finalitédu traitement ainsi qu’unepériode au-delà de laquelleles données à caractère per-sonnel seront supprimées ;mettre en œuvre lesmesures de sécurité néces-saires et suffisantes pourpréserver la sécurité desdonnées ; après identifica-tion des risques, prendre

des mesures pour lesréduire, etc. Les différentsdomaines de la loi Informa-tique et Libertés vont servirde grille de lecture aux dili-gences d’audit. Le projet derèglement européen prévoitla désignation d’un déléguéà la protection des données,un label européen de pro-tection des données et uneobligation de conduire desaudits pour démontrer laconformité réglementaire.Ces audits doivent être dili-gentés par des auditeursinternes ou externes indé-pendants. Les différentesthématiques à aborder aucours des audits Informa-tique et Libertés nécessitentl’intégration d’équipes plu-ridisciplinaires complémen-taires : juristes spécialiséssur les questions Informa-tique et Libertés ; auditeursdes risques et de la sécuritédes systèmes d’information,pour évaluer l’adéquationdes processus mis en place,tester le déploiement opé-rationnel des procédures depilotage de la conformité, etmesurer les niveaux desécurité du SI pour protégerles données personnelles.

La CNIL et la labellisa-tion

En 2004, la modification dela loi a introduit la possibi-lité pour la CNIL de déli-vrer des labels « à des pro-duits ou à des procédures ».Depuis juin 2012, elle déli-vre ses labels.

L’objectif de la labellisationest d’attester de la qualitédes produits et procédures.Elle ne doit pas pour autant

aboutir à une standardisa-tion des produits et procé-dures proposés sur le mar-ché.

L’intérêt du label, pour lesorganismes, est la possibi-lité de se distinguer engarantissant un haut niveaude protection des données.Pour les clients, c’est unindicateur de confiance leurpermettant d’identifier etde privilégier ceux quigarantissent un haut niveaude protection de leurs don-nées personnelles. Pour la

CNIL, c’est un moyen d’en-courager les organismes àadopter des pratiques res-pectueuses de la protectiondes données.

La durée de validité dulabel est de trois ans. Lerenouvellement doit se faireau moins six mois avantexpiration. On trouve laliste des produits et desprocédures labellisées sur lesite de la CNIL. En cas denon respect des conditionsd’utilisation du label, il peutêtre retiré.

Finance etContrôle auquotidienSous la direction de :Laurent Cappelletti etChristian HoarauEditeur : Dunod

Deux parties : financed’entreprise et contrôlede gestion. Vingt dos-siers – dix dans chaquepartie – parmi lesquels :analyse financière ;gouvernance, audit et

risque ; gestion du cash-flow et de la trésorerie ; fusionsacquisitions ; nouvelles démarches budgétaires ; contrôle,qualité et maîtrise des risques ; réduction des coûts et créa-tion de valeur… Dans chaque dossier cinq fiches : problé-matiques et enjeux ; contexte, normes, acteurs ; outils clés ;démarches et méthodes ; perspectives et prospectives. Soitau total cent fiches, synthétiques et directement applica-bles.

Cet ouvrage ambitieux, à vocation pratique, fournit à toutdirecteur, responsable financier ou contrôleur de gestion,les solutions opérationnelles à des problèmes concrets.

Lu pour vous

OUI, je désire recevoir le(s) numéro(s) :206207208209210211212213214215216

Paiement par : chèque bancaire ou postal (à l’ordre de l’IFACI) virement au HSBC Paris Champs-Elysées - Compte IFACI n° 30056-00148-01485415521-72 carte de crédit - n° . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Date d’expiration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Signature autorisée

OUI, je souhaite m’abonner à la revue« Audit & Contrôle internes » pour les 5 pro-chains numéros au prix de :

adhérents IFACI : inclus dans l’adhésionnon adhérents IFACI : 105 € TTC

Nom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Prénom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . N° adhérent IFACI . . . . . . . . . . . . . .Organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Adresse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Code Postal . . . . . . . . . . . . . . . . . . . . . . . . . . . Ville . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pays . . . . . . . . . . . . . . . . . . . . . . . .Date Signature

Commande à retourner à :I F A C I - 98 bis, boulevard Haussmann - 75008 Paris - Tél. : 01 40 08 48 00 - Fax : 01 40 08 48 20 - Mel : [email protected]

Vous pouvez également commander ou vous abonner à la revue « Audit & Contrôle internes » sur le site Internet www.ifaci.com

n° 206 n° 207 n° 208 n° 209 n° 210

n° 211 n° 212 n° 213 n° 214 n° 215

n° 216

Retrouvez la liste des

articles parus dans la revue

« Audit & Contrôle internes »

sur le site Internet de l’IFACIwww.ifaci.com

au prix unitaire de25 € TTC

Numéro épuisé

IFACI Formation - Tél. : 01 40 08 48 08 - Mel : [email protected] - Retrouvez également le programme complet sur le site internet www.ifaci.com

Calendrier 2014SESSIONS Durée Tarifs

adhérentsTarifs nonadhérents janv. févr. mars avril mai juin juillet sept. oct. nov. déc.

SE FORMER À LA MAÎTRISE DES ACTIVITÉS ET AU CONTRÔLE INTERNE

S’initier à la maîtrise des activités et au contrôle interne 2 j 950 € 1 125 € 16-17 13-14 10-11 7-8 5-6 5-6 1-2 15-16 2-3 6-7 4-5

Réaliser une cartographie des risques 3 j 1 675 € 1 875 € 20-22 17-19 12-14 9-11 12-14 11-13 7-9 17-19 6-8 12-14 8-10

Elaborer le référentiel de maîtrise des activités 2 j 1 200 € 1 350 € 23-24 20-21 17-18 14-15 15-16 17-18 10-11 23-24 9-10 18-19 15-16

Piloter un dispositif de maîtrise des activités et de contrôle interne 2 j 1 200 € 1 350 € 27-28 25-26 19-20 16-17 19-20 19-20 25-26 13-14 20-21 17-18

Le contrôle interne des systèmes d’information 2 j 1 200 € 1 350 € 29-30 24-25 23-24 20-21

Maîtrise des activités, contrôle interne et communication 2 j 1 200 € 1 350 € 18-19 21-22 7-8 18-19 22-23 11-12

SE FORMER À L’AUDIT INTERNE

Les fondamentaux de l’audit interne

S’initier à l’audit interne 2 j 950 € 1 125 € 9-10 5-6 6-7 3-4 6-7 3-4 1-2 11-12 2-3 13-14 3-4

Conduire une mission d’audit interne : la méthodologie 4 j 1 950 € 2 150 € 13-16 11-14 10-13 8-11 12-15 10-13 1-4 15-18 6-9 18-21 8-11

Maîtriser les outils et les techniques de l’audit 3 j 1 625 € 1 775 € 20-22 17-19 17-19 14-16 19-21 16-18 7-9 22-24 13-15 24-26 15-17

Maîtriser les situations de communication orale de l’auditeur 2 j 1 050 € 1 150 € 23-24 20-21 20-21 17-18 22-23 19-20 8-9 25-26 16-17 27-28 18-19

Réussir les écrits de la mission d’audit 2 j 1 050 € 1 150 € 27-28 24-25 24-25 22-23 26-27 23-24 10-11 29-30 20-21 25-26 18-19

Exploiter les états financiers pour préparer une mission d’audit 3 j 1 525 € 1 675 € 29-31 17-19 26-28 22-24 19-21

Désacraliser les systèmes d’information 3 j 1 525 € 1 675 € 26-28 2-4 17-19 1-3

Détecter et prévenir les fraudes 2 j 1 050 € 1 150 € 26-27 24-25 25-26 25-26 22-23 4-5

Le management

Piloter un service d’audit interne 2 j 1 300 € 1 450 € 18-19 5-6 6-7

Manager une équipe d’auditeurs au cours d’une mission 1 j 685 € 770 € 21 4 27

L’audit interne dans les petites structures 1 j 685 € 770 € 16 7

Balanced Scorecard du service d’audit interne 1 j 685 € 770 € 28 26

Le suivi des recommandations 1 j 685 € 770 € 28 10 30 30 28

Préparer l’évaluation externe du service d’audit interne 2 j 1 300 € 1 450 € 20-21 12-13 24-25

L’audit interne, acteur de la gouvernance 1 j 685 € 770 € 9 1

Audit interne, contrôle interne et qualité : les synergies 1 j 685 € 770 € 11 8

Les audits spécifiques

Audit du Plan de Continuité d’Activités - PCA 2 j 1 300 € 1 450 € 11-12 26-27 19-20

Audit de la fonction Comptable 2 j 1 300 € 1 450 € 15-16 6-7

Audit de performance de la gestion des Ressources Humaines 3 j 1 525 € 1 675 € 2-4 4-6

Audit de la fonction Achats 2 j 1 300 € 1 450 € 19-20 29-30

Audit des Contrats 1 j 685 € 770 € 21 21

Audit de la fonction Contrôle de Gestion 2 j 1 300 € 1 450 € 20-21 12-13

Audit de la Sécurité des Systèmes d’Information 2 j 1 300 € 1 450 € 26-27 24-25

Audit des Processus Informatisés 2 j 1 300 € 1 450 € 17-18 4-5

Audit de la Conformité à la Législation Sociale 2 j 1 300 € 1 450 € 12-13 2-3

Audit du Développement Durable 2 j 1 300 € 1 450 € 14-15 9-10

Audit des Projets et Investissements 2 j 1 300 € 1 450 € 1-2 17-18

SE FORMER DANS LE SECTEUR PUBLIC

Le contrôle interne dans le secteur public 2 j 1 300 € 1 450 € 20-21 9-10 6-7

Pratiquer l’audit interne dans le secteur public 4 j 1 950 € 2 150 € 1-4 16-19 9-12

SE FORMER DANS LE SECTEUR BANCAIRE ET FINANCIER

Le contrôle permanent et la conformité dans le secteurbancaire et financier 3 j 1 525 € 1 675 € 11-13 17-19 10-12

Pratiquer l’audit interne dans une banque ou un établissementfinancier 4 j 1 950 € 2 150 € 16-19 22-25 15-18

SE FORMER DANS LE SECTEUR DES ASSURANCES

Le contrôle interne dans le secteur des assurances 2 j 1 300 € 1 450 € 10-11 6-7 11-12 4-5

Pratiquer l’audit interne dans le secteur des assurances 4 j 1 950 € 2 150 € 4-7 23-26 20-23 2-5

SE FORMER DANS LES SECTEURS INDUSTRIE ET COMMERCE

Audit de la gestion des stocks et de la logistique 2 j 1 300 € 1 450 € 29-30 2-3

Audit du processus de ventes 2 j 1 300 € 1 450 € 7-8 15-16

ACQUÉRIR UNE CERTIFICATION Voir notre site internet : www.ifaci.com

- 20%

pou

r un

part

icip

ant i

nscr

itsi

mul

tané

men

t à 4

form

atio

ns

1

FICHE TECHNIQUE

nov./déc. 2013 - FICHE TECHNIQUE N°47 - Audit & Contrôle internes

STRATÉGIQUE !Voilà un terme qui se déclinesur tous les tons, dans tous les domaines etrelayé avec force grandiloquence par les média.

Face à un tel engouement terminologique, il sembleraisonnable de revenir aux fondamentaux et de s’in-

terroger sur la notion même de « stratégie », sa défi-nition, son périmètre. En effet, s’il est commun derencontrer le mot, rares sont les textes qui en explici-tent le sens. Un petit exercice de définition montred’ailleurs que là où le mot « stratégie » est employé, ils’agit davantage de « tactique » qui renvoie à l’emploide moyens habiles pour atteindre les résultats voulus.

Ceci étant, si le concept même de stratégie a envahidifférentes strates de la vie économique et politique,le sujet qui nous occupe ici est celui de l’univers del’entreprise vu plus spécifiquement par le prisme del’audit interne.

Objectifs stratégiques :quelle définition ?

Mais d’abord de quoi parlons-nous ? Avec une racinegrecque (« stratos » armée et « agein » conduire), leterme de « stratégie » est au sens premier du termedéfini comme « l’art de coordonner l’action de forces mili-taires, politiques, économiques et morales impliquées dansla conduite d’une guerre ou la préparation de la défensed’une nation ou d’une coalition »1. Le concept premierde stratégie vient de l’univers militaire et nousentraîne à la suite de Carl Philip Von Clausewitz, théo-

La prise en compte, parl’audit interne, des risquesassociés à l’atteinte desobjectifs stratégiques

Edwige Duterrage Baudin

Directeur du Pôle Processus Commerciaux, InspectionGénérale, La Banque Postale

Les thèses défendues ici n’engagent que leur auteur et en aucun cas l’organisation à laquelle il appartient.

2

FICHE TECHNIQUE

Audit & Contrôle internes - FICHE TECHNIQUE N°47 - nov./déc. 2013

ricien militaire prussien, dont les théories constituentencore aujourd’hui une quasi référence universelle. Lelecteur pourra penser ici qu’on souhaite l’égarer auhasard de quelque champ de bataille très éloigné despréoccupations de l’audit. Nous sollicitons donc sapatience et son indulgence car les théories deClausewitz font un découpage de la logique straté-gique qui est d’une transposition aisée dans ledomaine qui nous occupe. Ainsi, selon lui, la stratégierequiert au préalable un « objectif politique » qui doitêtre élaboré et fixé au plus haut niveau de l’Etat – ondirait aujourd’hui par l’instance de gouvernance.Ensuite, en fonction de cet objectif, le modus operandise décline selon que l’on vise l’anéantissement immé-diat de l’adversaire ou bien son essoufflement sur uneplus longue période (stratégie dite de l’usure). On voitdonc bien ici que la stratégie sert l’objectif et doit sedécliner jusqu’au niveau opérationnel le plus finde l’organisation.

En s’appuyant, pour les élargir, surles théories militaires, il est alorsaisé de définir la stratégiecomme l’art de diriger etcoordonner les actionsnécessaires à l’atteinte d’unobjectif prédéterminé. Cetobjectif prédéterminé estdonc « l’objectif stratégique »qui va ensuite être décliné ausein de l’entreprise par le biais dedifférents plans, pour finir par se cris-talliser – dans les sociétés commerciales –en objectifs commerciaux.

La déclinaison des objectifs stratégiquesau sein de l’entreprise

Pour toute société commerciale, l’orientation straté-gique évidente est la réalisation de bénéfices : il s’agitpour l’entreprise d’engranger les fonds propres néces-saires au financement de sa politique et donc à la findes fins à sa propre pérennité. Dans ce contexte, l’en-treprise va observer des arbitrages et des positionne-ments à moyen et long terme en fonction del’appréciation qu’elle a de son environnement et dupotentiel économique qu’il représente pour elle : cesont ses objectifs stratégiques.

Une fois définis, les objectifs stratégiques doivent êtredéclinés à tous les niveaux de l’entreprise pour luipermettre de se mettre en ordre de marche et d’assu-

rer le succès de son « business plan ». Cette déclinaisonpeut passer par les phases suivantes :

1- les valeurs : identification des grands principes quidoivent impérativement guider l’entreprise dans lamise en œuvre de sa stratégie (éthique, dévelop-pement durable, etc.) ;

2- les acteurs : identification des directions / dépar-tements responsables de la déclinaison des objec-tifs stratégiques ;

3- les indicateurs : fixation des grands indicateurs desuivi des objectifs stratégiques qui vont permettrede mesurer le degré de réalisation ;

4- la planification : définition de la trajectoire et desjalons qui seront des temps de bilan intermédiaire ;

5- les risques : analyse des élémentsendogènes et exogènes qui peuventconstituer autant d’obstacles à labonne réalisation des objectifsstratégiques et mise en placedes dispositifs de maîtrise desrisques. Les modalitéspratiques d’application nousindiquent ici qu’il incombe à ladirection générale d’identifier et

de gérer ces risques.

Une fois ce contexte de déclinaison des« objectifs stratégiques » établi, il faut s’inter-

roger sur le rôle que tient l’audit interne dans sesmissions de contrôle et surtout à quel niveau il inter-vient, étant entendu que l’on attend légitimement delui qu’il aide l’entreprise à atteindre ses objectifs « enévaluant, par une approche systématique et méthodique,ses processus de management des risques, de contrôle et degouvernement d’entreprise, en faisant des propositionspour renforcer leur efficacité »2.

L’évaluation par l’audit des risques liés àl’atteinte des objectifs stratégiques :le contrôle de l’exécution de la stratégie

On vient de voir que les objectifs stratégiques en eux-mêmes ne sont rien d’autre que des arbitrages et despostures assumées de l’entreprise au regard de sonenvironnement économique. Ces choix sont de l’évi-dent ressort des Présidents et de leurs comités exécu-tifs, ils sont arrêtés au plus haut niveau de

Il est de la responsabilitéde l’audit interne d’évaluerla déclinaison des objectifs

stratégiques à tous les niveauxopérationnels

3nov./déc. 2013 - FICHE TECHNIQUE N°47 - Audit & Contrôle internes

l’organisation : on parle ici de vision et de projet d’en-treprise. Il ne revient pas à l’audit interne d’évaluerl’opportunité des décisions et postures des dirigeantsd’entreprise et ce d’autant plus qu’il existe un certainnombre de contrepoids liés à la structure même desorganisations qui permettent de challenger les choixdes dirigeants (assemblée des actionnaires, conseild’administration, de surveillance, etc.).

S’il semble ainsi difficile pour l’audit interne deprévoir ce type de missions de contrôle d’opportunité,il est en revanche pleinement de son rôle d’évaluer ladéclinaison des objectifs stratégiques à tous lesniveaux opérationnels. Ainsi, la norme de référence2120.A1 rappelle-t-elle que l’audit interne évalue lesrisques afférents au gouvernement d’entreprise, auxopérations et aux systèmes d’information de l’organi-sation au regard notamment de l’atteinte des objectifsstratégiques de l’organisation.

L’audit est tout à fait fondé à vérifier la transpositiondes objectifs stratégiques en véritables plans opéra-tionnels et indicateurs (plan marketing, objectifscommerciaux). Il s’agit ainsi de s’assurer qu’au bonniveau de l’organisation les managers « clés » sontparfaitement informés et ont bien appréhendé les« quoi », « pourquoi », « comment », « quand », « qui »de la politique stratégique et qu’ils ont décliné cettepolitique dans leur périmètre. En clair, il s’agit de véri-fier que les objectifs stratégiques ont bien été convertisen actions opérationnelles et mesurables à tous lesniveaux de l’entreprise.

L’appréhension par l’auditdes objectifs stratégiques

Les MPA 2120-3 indiquent que « l’audit devrait avoirconnaissance de la stratégie de l’organisation, de lamanière dont elle est mise en œuvre, des risques qui luisont associés et de la manière dont ils sont gérés ».

L’audit doit évidemment être informé des objectifsstratégiques de l’entreprise. Le plus couramment cettestratégie prend la forme de plans pluriannuels que laprésidence élabore et diffuse à tous les niveaux del’entreprise. L’audit bénéficie ainsi à l’instar des autresdépartements d’une communication du « plan straté-gique », des « ambitions » ou de la « trajectoire » del’organisation. La stratégie de l’entreprise pour menerau succès doit emporter l’adhésion de tous les colla-borateurs, elle doit être « embarquée » – comme on ledit aujourd’hui – dans toute activité quotidienne pour

La planification est un élément essentiel pourla gestion et l’efficience de l’audit interne.Ainsi, la Norme 2010 de l’IIA précise que « leresponsable de l’audit interne doit établir unplan d’audit fondé sur les risques afin de définirdes priorités cohérentes avec les objectifs de l'or-ganisation. » Afin de définir les priorités encohérence avec les objectifs, le responsablede l’audit interne recueille les points de vuede la direction générale et du conseil (Norme2010.A1). Pour établir un plan d’audit fondé sur lesrisques, le responsable de l’audit interneprend en compte les risques, mais égalementles menaces. Il peut s’appuyer aussi sur l’uni-vers d’audit et les contributions de la direc-tion générale et du conseil (MPA 2010-1). Lemanagement des risques permet au respon-sable de l’audit interne d’ajuster et de réviserson plan d’audit interne (MPA 2010-2). La MPA2120-3, publiée cet été, vient compléter laliste non exhaustive des éléments à prendreen compte dans la planification, à savoir lesrisques spécifiques à l’atteinte des objectifsstratégiques. Les systèmes d’informationdevenant de plus en plus prégnant dans lesorganisations, le responsable de l’auditinterne peut définir la part des audits des SIdans le plan d’audit (GTAG 4 – Managementde l’audit des SI) ou alors choisir d’élaborer unplan d’audit spécifique aux SI (GTAG 11 –Elaborer un plan d’audit des SI). L’IFACI traduit et met à jour régulièrement leCadre de Référence International desPratiques Professionnelles de l’audit interne.Pour retrouver l’intégralité du CRIPP etnotamment les Normes, MPA et GTAG liés à laplanification, rendez-vous dans la biblio-thèque en ligne du site Internet de l’IFACI.

nov./déc. 2013 - FICHE TECHNIQUE N°47 - Audit & Contrôle internes

FICHE TECHNIQUE

4

devenir une force mobilisatrice des équipes. On peutainsi légitimement s’interroger sur les chances desuccès d’une stratégie confidentielle. Toutefois, dansl’hypothèse où une organisation ne choisirait pas decommuniquer sur sa stratégie, le directeur de l’auditinterne doit a minima bénéficier d’une informationspécifique qui lui permettra d’orienter ses missions.Dans le cas contraire, le risque est grand d’avoir unaudit cantonné dans sa Tour de Babel, au mieux réduità une analyse des risques mineurs de l’entreprise, aupire susceptible de réaliser des analyses en contradic-tion avec ses orientations stratégiques.

La stratégie : clé impérative de lecturede l’univers d’audit

Si l’on part du principe que l’audit interne bénéficied’une parfaite connaissance des objectifs stratégiques,ceux-ci doivent dès lors devenir une clé de lecture del’univers d’audit. En effet, l’ensemble des missions decontrôle va être conduit avec en toile de fond lesobjectifs stratégiques. En procédant à une investiga-tion au sein d’une unité opérationnelle – une ligne« métier » par exemple – via un processus ou plusspécifiquement sur une thématique, l’audit va néces-sairement utiliser, entre autres, le prisme des objectifsstratégiques pour faire son analyse de risque. Ceciétant, le directeur de l’audit peut également estimerque la déclinaison des objectifs stratégiques doit fairel’objet d’une mission dédiée pour précisément faireun état des lieux global de la mise en œuvre de la stra-tégie en s’assurant que tous les risques ont bien étéidentifiés et font l’objet d’un dispositif de maîtrise.Dans cette hypothèse, une telle mission sera inscriteau plan d’audit.

Par conséquent, on voit bien que pour construire sonplan de contrôle, l’audit va nécessairement prendre encompte les objectifs stratégiques : ils seront unélément de construction de la cartographie des risquesde l’audit. Cette cartographie des risques constitue« une démarche dynamique d’identification et d’évalua-tion des risques qui permet d’en donner une représentationsynthétique et visuelle. Elle constitue ainsi un outil de miseen évidence des risques à couvrir en priorité »3, au seinduquel évidemment les risques stratégiques ont touteleur place.

Par conséquent, on le voit bien ici, les objectifs straté-giques doivent être nécessairement pris en compte parl’audit interne. Toutefois, l’audit doit veiller à ne passe laisser happer par le tourbillon stratégique. En effet,

le contexte économique d’hyper-compétitivité orga-nise le cercle vicieux de l’hyper-compétition où lesorganisations sont en permanente mutation, transfor-mation. La remise en cause des équilibres naturelsdevient l’écosystème habituel de l’entreprise et l’en-semble des collaborateurs est prisonnier de la « rouedu hamster » : c’est la course permanente à la créati-vité marketing et commerciale. L’audit interne doitalors être un facteur de stabilité capable de remettrel’accent sur des risques dits « classiques » mais qui,relégués en arrière plan, peuvent devenir majeurs. Lecœur de métier de l’audit reste la maîtrise des risquesfinanciers, opérationnels et d’entreprise ; la stratégieapporte un éclairage tel une ligne d’horizon verslaquelle il faut tendre, qui permet alors à l’audit des’inscrire dans une dimension d’analyse de risquesprospective.

Edwige Duterrage Baudin est actuellementdirecteur du pôle processus commerciaux del’inspection générale de La Banque Postale.Diplômée d’un DEA de droit communautaire,elle a commencé sa carrière au secrétariat géné-ral de la Commission Européenne. En 2002, elleintègre la direction des affaires juridiques etfiscales de HSBC France. Elle rejoint ensuite LaBanque Postale en 2007 où elle a exercé diffé-rentes fonctions à la direction de la conformitéet à la direction des opérations avant d’êtrenommée à l’inspection générale.

1 Définition de l’encyclopédie Larousse.2 International Professional Practices Framework.3 Définition donnée par le Cahier de la Recherche « De la cartogra-

phie des risques au plan d’audit - Groupe Professionnel Banque »publié par l’IFACI.

les fondamentaux de l’audit interne - … revue... · mémoire d’étudiant le contrôle interne...

Documents