comment en tirer proﬁt comment les intégrer dans l'univers

N°0102e trimestre 2017

r e v u e i n t e r n a t i o n a l e d e s a u d i t e u r s e t d e s c o n t r ô l e u r s i n t e r n e s

MÉDIAS SOCIAUX

Comment en tirer profitComment les intégrerdans l'univers d'audit

VOTRE PASSEPORTPROFESSIONNELINTERNATIONAL

Franchissez le pas et certifiez-vous pour :

faire reconnaître vos compétences

prouver votre maîtrise de l’audit interne

accéder à de nouvelles opportunités de carrière

Le CIA est la seule certification en audit interneinternationalement reconnue

Plus d’informations sur www.ifaci.com

SOMMAIRE

03n° 010 — audit, risques & contrôle — 2e trimestre 2017

05 EDITOMédias sociauxLe premier des risques est celui de ne pas les utiliser

06 CHRONIQUEWannaCryQuels enseignements ?

08 VOIX DE LA FRANCOPHONIEApproche et sensibilisation des acteurs institutionnelspour la promotion de l'audit interne au Mali

11 OUVERTURE SUR LE MONDERisques des réseaux sociauxLe rôle de l'audit interne aux États-Unis

15 TÉMOIGNAGES

LE VÉCU DES MÉDIAS SOCIAUX

15 Atos : Les grands enjeux pour les organisations

18 Groupe AccorHotels : Pratiques et usages, règles degouvernance, écueils et opportunités

21 Regard d'une journaliste

22 DOSSIER

MÉDIAS SOCIAUX

23 Des outils indispensables pour les entreprises

26 Des risques spécifiques à identifier et à maîtriser

29 Quelle gouvernance et quel rôle pour l’audit interne ?

34 Une première mission chez Danone

36 ZOOM SUR LES NOUVELLES NORMESRévision des exigences professionnellesEnraciner votre crédibilité et votre excellence

38 LIBRES PROPOSVariations sur les Normes 2017

41 POINT DE VUEDécouverte de nouveaux outilsQuand le Lean management et le 6 sigma sont utiles àl’auditeur

DOSSIERMédias sociaux

06

41

18

22

08

EDITO

05

Les médias sociaux font désormais partie de notre vie privée comme denotre vie professionnelle. Ils ont apporté à l’évidence un bouleversementdes modes de communication. La presse, par exemple, vient de rappelerque durant les 196 jours que Thomas Pesquet avait passés dans l’espace,

près de 1,4 million de personnes l’avaient suivi sur Facebook, plus de 550 000 surTwitter et presque 400 000 sur Instagram.

Les informations fournies par les médias sociaux sont loin d’être parfaitementfiables : selon Les Echos du 20 avril 2017, pour ce qui touchait de près ou de loinla récente présidentielle en France, près de 25 % des liens partagés sur les réseauxsociaux provenaient de sites « anti-système » promouvant pour la plupart d'entreeux des théories conspirationnistes et des « fake news ». Nous avons aussi tousen mémoire le scandale des « fake news » de la campagne présidentielle améri-caine.

Pour autant les informations sont devenues nécessaires, et les entreprises ontrapidement compris que les médias sociaux étaient, comme le précise dans cenuméro le Groupe ATOS, « un puissant canal de communication et d’engagement,et une source d’informations sans équivalent ». Pour le Groupe AccorHotels qui abien voulu nous accorder une interview sur le sujet : « la question aujourd’hui n’estplus de savoir si nos marques doivent être présentes sur les médias sociaux, ce n’estplus une option pour nous, c’est indispensable ».

Il y a certes des risques dans l’utilisation des médias sociaux, le plus courant étantle risque d’image mais comme l’indique Dominique Vincenti, directrice de l’auditinterne de Nordstrom (USA) « Le premier des risques est celui de ne pas utiliser lesmédias sociaux ».

Lorsqu’on évoque les risques, on pense immédiatement aux moyens d’en avoirla maîtrise et au rôle que pourrait y jouer l’audit interne. Ce rôle nous est précisépar PwC qui a participé très activement à la rédaction du « Dossier » : « l’objectifd’un audit des médias sociaux est d’évaluer si l’entreprise dispose d’une gouvernanceappropriée et si des contrôles sont en place afin qu’elle puisse maîtriser ses risques ettirer parti des opportunités offertes par l’utilisation de ces nouveaux outils ». C’est duclassique ! mais peu d’entreprises ont, semble-t-il, entrepris de telles missions. Ilest temps de s’y mettre comme vient de le faire le Groupe Danone qui a lancéce printemps une première mission d’audit interne sur les médias sociaux.

Ce numéro du mois de juin fait donc la partbelle aux médias sociaux mais je ne voudraispas que vous négligiez le « Zoom » sur lenouveau Cadre de Référence International desPratiques Professionnelles de l’audit interne :« Plus qu’un ravalement… un électrochoc salva-teur pour les professionnels de l’audit interne »(Béatrice Ki-Zerbo) ; « Des modifications de bonaloi (mais) quelques doutes… » (Jacques Renard).

Bonne lecture.

Louis Vaurs - Rédacteur en chef

Médias SociauxLe premier des risques est celuide ne pas les utiliser

n° 010 — audit, risques & contrôle — 2e trimestre 2017

audit, risques & contrôleLa revue internationale des auditeurs et des contrôleurs internesn°010 - 2e trimestre 2017

EDITEURUnion Francophone de l’Audit Interne (UFAI)Association Loi 190198 bis, boulevard Haussmann - 75008 Paris (France)Tél. : 01 40 08 48 00 - Mel : [email protected] : www.ufai.org

DIRECTEUR DE PUBLICATIONTommaso Capurso

RESPONSABLE DE LA RÉDACTION Philippe Mocquard

RÉDACTEUR EN CHEFLouis Vaurs

COMITÉ RÉDACTIONNELLouis Vaurs - Tommaso Capurso - Eric Blanc - Antoine de Boissieu - Christian Lesné

SECRÉTARIAT GÉNÉRALEric Blanc - Tél. : 06 15 04 56 32 - Mel : [email protected]

CORRESPONDANTSAmérique : Farid Al MahsaniMaghreb : Nourdine KhatalAfrique subsaharienne : Fassery Doumbia

RÉALISATIONEBZONE Communication22, rue Rambuteau - 75003 ParisTél. : 01 40 09 24 32 - Mel : [email protected]

IMPRESSIONImprimerie Bialec23, allée des Grands Pâquis - C.S. 7009454183 Heillecourt Cedex (France)

ABONNEMENTMichèle Azulay - Tél. : 01 40 08 48 15Mel : [email protected]

Revue trimestrielle (4 numéros par an)ISSN : 2427-3260Dépôt légal : juin 2017Crédit photo couverture : © atScene - Fotolia.com

Les articles sont présentés sous la responsabilitéde leurs auteurs.

Toute représentation ou reproduction, intégrale ou partielle,faite sans le consentement de l’auteur, ou de ses ayants droits,ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1er del’article 40). Cette représentation ou reproduction, par quelqueprocédé que ce soit, constituerait une contrefaçon sanction-née par les articles 425 et suivants du Code Pénal.

Cette revue est impriméeavec des encres végétales.

Une attaque géante

La récente attaque informatiqueWannaCry, lancée le 12 mai 2017,aurait touché plus de 300 000ordinateurs dans le monde. Elle aété qualifiée de « géante » en rai-son du nombre et de la diversitédes cibles touchées : de grandesentreprises (Telefonica, Renault,…),le système de santé publique bri-tannique, des institutions chi-noises, des banques russes, et descentaines de milliers de particu-liers. Exploitant la même faille, denouvelles attaques ont eu lieudepuis.

Quels enseignementstirer de cette attaque ?

Des dégâts limités

La première observation est queles pirates n'ont pas atteint leurobjectif. L'objectif affiché était derécupérer une rançon pourdécrypter les postes infectés (lerançongiciel cryptait le contenudes disques infectés) : les piratesauraient récolté moins de50 000 € aux dires des experts. Les

entreprises semblent égalementn'avoir été que peu impactées : iln'y a pas eu de catastrophes nide dégâts majeurs. Le principal impact semble avoirconcerné le système de gestiondes rendez-vous des hôpitaux bri-tanniques, obligeant à remettreplusieurs milliers de consulta-tions. Le coût réel pour les entre-prises touchées est cependantsans commune mesure avec cequ'ont gagné les pirates, puisqu'ila fallu mobiliser les équipesinternes et les sous-traitants pourisoler les postes infectés et rétablirla situation.

Un signal faible, précurseurd'attaques plus graves ?

C'est là le deuxième point frap-pant dans cette attaque : despirates n'ont pas hésité à attaquerde façon aveugle plusieurs cen-taines de milliers de cibles, per-turbant leur fonctionnement,pour ne récupérer que quelquesdizaines de milliers d'euros. Lelogiciel malveillant utilisé s'est eneffet avéré assez simple à contrer,et les mesures correctives ont pu

être mises en œuvre rapidement. Cette affaire doit être vue commeun « signal faible » : le scénariode risque s'est réalisé, mais laconséquence est restée bénigne.Cela doit cependant pousser àvérifier si, avec un scénario simi-laire ou légèrement différent, onne pourrait avoir à l'avenir desconséquences beaucoup plusgraves.

Des cibles vulnérables

Le troisième enseignement decette attaque tient aux cibles tou-chées. La plupart des postesinfectés tournaient sur WindowsXP, un « vieux » système d'exploi-tation de Microsoft (2004), quin'est plus maintenu depuis 4 ans.Cela signifie que depuis 2013,Microsoft ne fournit plus de cor-rectifs, notamment pour répon-dre aux failles de sécurité quiauraient pu être identifiées. Levirus a donc visé des cibles quin'étaient plus défendues depuisun certain temps, en exploitantune faille mise au jour récem-ment.

L'explosion du nombrede cibles potentielles

En ce sens, l'affaire WannaCry metle doigt sur un élément qui vaprendre de plus en plus d'impor-tance en sécurité informatique :la gestion des versions de logi-ciels, et en premier lieu des sys-tèmes d'exploitation. WannaCrya ainsi touché des automates (parexemple des distributeurs de bil-lets, ou des bornes de billetterie)qui tournaient sous Windows XP :un changement du système d'ex-ploitation n'est souvent pas pos-sible, il faut changer l'automatesi l'on veut changer de système.C'est ce qui explique pourquoi denombreuses machines tour-naient encore sous Windows XP. A l'avenir, avec l'explosion dunombre d'objets connectés, lesDirections des systèmes d’infor-mation devront suivre les versionsde systèmes d'exploitation et leurniveau de mise à jour non seule-ment sur leurs serveurs, les postesde travail utilisés, les smartphones(qui sont des ordinateurs connec-tés au réseau), mais aussi sur l'en-semble des objets connectés,

06 2e trimestre 2017 — audit, risques & contrôle - n° 010

CHRONIQUE

Quels enseignements ?

CHRONIQUE


internes ou externes, qui sontautant de sources d'infectionpotentielles. Deux chiffres permettent de don-ner une idée de l'ampleur de latâche et des enjeux : on estimequ'il y a actuellement 1,5 milliardde machines qui tournent sousWindows, et qu'il y aura dans 5ans près de 20 milliards d'objetsconnectés.

Le jeu dangereux des agencesde renseignement

Le quatrième point frappant dansl'affaire WannaCry est sa genèse.La faille exploitée par les piratesa été trouvée (et exploitée) par laNational Security Agency (NSA)américaine pour accomplir sesmissions, c'est-à-dire à des finsd'espionnage. Pour cela, la NSAavait activement recherché, eninterne et sans doute égalementavec l'aide de sous-traitants spé-cialisés, les failles de sécuritéencore inconnues dans WindowsXP (et dans les autres systèmesd'exploitation). Au lieu de signaler cette faille àMicrosoft, la NSA l'a tenue secrètepour pouvoir l'exploiter. Des fuitesont cependant abouti à la divul-gation de la faille de Windows XPet à son exploitation à grande

échelle, quelques semaines plustard, sous la forme du virus Wan-naCry.Le point inquiétant dans cetteaffaire est que la NSA (mais tousles grands services de renseigne-ment font la même chose) entre-tient une activité de rechercheactive non pas pour sécuriser lessystèmes existants, mais pourtrouver les failles et les exploiter.On peut se demander si elle n'ou-vre pas là une boîte de Pandore,avec le risque que les failles soienttrouvées et exploitées par despirates informatiques.

Des réticences à communi-quer

Le dernier enseignement est queles entreprises françaises (mais laremarque vaut pour la plupartdes pays occidentaux) n'ont pasbrillé par leur transparence sur lesujet. Officiellement, seuleRenault a été touchée par le virus.Il est vrai que Windows XP est trèspeu utilisé dans les sociétés fran-çaises, mais de là à croire queRenault serait l'unique entrepriseimpactée... La réalité est qu'il y aprobablement eu des dizaines oudes centaines de sociétés fran-çaises touchées à des degrésdivers, mais qu'elles n'ont pas

communiqué sur le sujet, à la dif-férence de Renault qui a faitpreuve de transparence. Cette réticence à communiquerest gênante, car la capacité decombattre les menaces informa-tiques dépend beaucoup de lamise en commun des informa-tions. C'est en assurant une veillerégulière et partagée au sein duréseau animé par l'ANSSI (Agencenationale de la sécurité des sys-tèmes d’information) que l'onpeut espérer identifier rapide-ment les failles et les menaces, etcapter les signaux faibles annon-ciateurs d'une menace critique.La maîtrise des risques informa-tiques va imposer aux entreprisesde les gérer en communauté,c'est à dire de les partager rapi-dement, de façon transparente. Ily a donc encore sans doute duchemin à parcourir.

Un rôle pour l'audit etle contrôle interne

L'affaire WannaCry souligne enfin3 zones de risques sur lesquellesles services d'audit et de contrôleinternes sont de plus en plusattendus.La première zone de risque estl'environnement de contrôle duSI. L'audit et le contrôle internes

doivent ainsi être capables de seprononcer sur la politique infor-matique, le schéma directeur, leschoix d'architecture et les choixtechnologiques.En deuxième lieu, l'audit et lecontrôle internes doivent s'assu-rer que la DSI s'appuie sur unecartographie des risques à jour,précise, avec un processus deveille efficace et un bon « map-ping » des installations. Dans l'af-faire WannaCry, une bonne car-tographie aurait fait ressortir lesvulnérabilités liées aux machinessous XP, une technologie vieillede près de 15 anset qui n’est plussoutenue depuis 3 ans.Enfin, le troisième point d'atten-tion concerne les plans de réac-tion en cas de crise. L'ampleur desdégâts causés par WannaCry adépendu en grande partie dudélai de réaction et du tempsnécessaire pour revenir à la nor-male : l'audit et le contrôleinternes doivent donc se pronon-cer sur l’adéquation et l’efficacitédes mesures prévues pour réagiraux crises.

Antoine de BoissieuAssocié, Allaire Boissieu Conseil


VOIX DE LA FRANCOPHONIE

Pendant longtemps,pouvoir apprendre auMali l’audit – dans toutesses dimensions – fut une

préoccupation pour les profes-sionnels (sortis des grandesécoles sénégalaises ou françaises)et les étudiants désireux de fairecarrière dans le métier. En 2000,le pays comptait, au plus, unequarantaine d’auditeurs profes-sionnels employés dans desorganismes publics ou parapu-blics suite à la mise en œuvre desprogrammes d’ajustement struc-turel initiés par les Institutions deBretton-Woods vers la fin desannées 1980. Par ailleurs, leconcept de l’inspection était trèsdéveloppé puisqu’on dénom-brait des services d’inspectionsau sein des départements minis-tériels et du Contrôle Général desServices Publics rattachés à laPrimature.

L’idée de la création d’une asso-ciation en 1996 a été murie par

des responsables des structuresde contrôle et par des entreprisesmaliennes, dans le but depromouvoir le développementde la fonction d’audit et decontrôle, et de sauvegarder lesintérêts des professionnels dudomaine. La création d’une telleassociation s’est inspirée desexpériences de pays comme lesÉtats-Unis, avec The IIA créé en1941, et la France, à travers l’IFACIcréé en 1965. A l’époque, comptetenu de la particularité malienne,(peu de structures d’audit interneet d’auditeurs), il a été décidé decréer une association regroupantl’ensemble des fonctions exer-çant des activités de contrôle.

C’est ainsi qu’est née l’Associationdes Contrôleurs, Inspecteurs etAuditeurs du Mali dénommée« ACIAM ». Le 14 juillet 1998,l’ACIAM était inscrite sur la listedes associations du Mali. S’ensuivra une reconnaissance inter-nationale avec son adhésion à

l’Union Francophone de l’AuditInterne (UFAI) en octobre 2000 età l’IIA, en décembre 2002.

L’ACIAM compte aujourd’hui plusde 200 membres et sympathi-sants, ce qui traduit à la fois leniveau de dynamisme de l’asso-ciation et prouve qu’elle répondà un vrai besoin pour les profes-sionnels du secteur. Les membresde l’ACIAM se recrutent dans tousles secteurs de la vie profession-nelle (secteur privé, institutionsinterétatiques, universités, fonc-tion publique nationale ou inter-nationale).

Très vite l’ACIAM s’est révéléecomme un acteur incontourna-ble dans la bonne gouvernanceet la promotion de l’audit Interneau Mali. Cette place de choix del’ACIAM sur l’échiquier national etinternational s’articule autour deplusieurs axes.

Le Partenariat

Depuis sa création, l’ACIAM a faitdes efforts pour asseoir sa crédi-bilité tant au niveau nationalqu’international à travers la réali-sation des activités en collabora-tion avec les structures étatiques,semi-publiques et privées, contri-buant ainsi au rayonnement de

l’audit interne et par conséquentde la bonne gouvernance auMali. La marque de confiance desplus hautes autorités vis -à-vis del’ACIAM s’est traduite par sa forcede proposition dans les activitéssuivantes les plus marquantes : En 2003, juste après son adhé-

sion à l’IIA Global, l’ACIAM aorganisé des assises sur lecontrôle des financespubliques en collaborationavec le Ministère chargé desRelations avec les Institutions.Ces assises ont recommandé lamise en place du Bureau duVérificateur Général.

En 2006, la réussite de l'organi-sation de la ConférenceFrancophone de l'Audit Interneà Bamako avec la participationde plus de 500 personnesvenant d'Amérique, d'Europe,du Maghreb et d'Afriquesubsaharienne, est le fruit duplaidoyer des hommes et desfemmes de l’ACIAM pour lapromotion de l’audit interneauprès des autorités du pays.C’est ainsi que cette confé-rence a eu le support des plushautes autorités de notre pays,qui l’ont financée à plus de 20millions de FCFA, (environ30 000 euros).

En 2007, l’ACIAM, reconnue parl’IIA Global comme institut à

Kadiatou Konate, Présidente, ACIAM

Approche et sensibilisationdes acteurs institutionnelspour la promotion de l'audit interneau Mali



- L’établissement d’un centrede ressources et de docu-mentation.

- La participation de l’ACIAM àl’atelier sur la rationalisationdes structures de contrôle auMali, organisé par le CGSP.

Par décrets, des membres del’ACIAM ont été désignés commemembres de plusieurs commis-sions, comités et autorités traitantde la vie de la nation dans lesdomaines économique, juridiqueet de lutte contre la fraude et lacorruption. En particulier : le comité de sélection du

Vérificateur Général, de sonadjoint et des Vérificateurs(agents du Bureau de

200 professionnels ; • l’Université de Bamako à

travers la Faculté desSciences Economiques etde Gestion a été choisie auregard de son rôle centraldans la formation et lerenforcement des capacitésdes Ressources Humaines.

- La campagne de promotionde l’audit et du contrôle avecdes débats à la télévisionnationale impliquant desreprésentants de l’ACIAM, del’Ordre National des ExpertsComptables et des Comp-tables Agréés (ONECCA), duBureau du Vérificateur Généralet du Contrôle Général desServices Publics (CGSP).

durée de 3 ans (2008-2010), aconcrétisé cette volonté depromouvoir l’audit et lecontrôle au Mali. L’ACIAM a étédésignée membre du Comitéde pilotage du projet. Ce projetcouvrait 5 composantes àsavoir :- L’élaboration de guides d’au-

dit comptable et financier, decode d’éthique et de déonto-logie et de programme d’exa-men de la qualité.

- La formation d’animateurs etla pérennisation de la forma-tion dans une institutionlocale de formation du Mali.Dans ce cadre :• 40 animateurs ont été

formés, formant à leur tour

part entière avec les avantagesy afférents (documentation,appui multiforme, etc.), adoptela désignation « IIA-MALI ».

La participation à l’atelier desétats généraux sur la corrup-tion et la délinquance finan-cière organisé par l’Etat du 25du 28 novembre 2008 auCentre International desConférences de Bamako(CICB) ;

En 2008, le projet d’appui auxStructures de Contrôle etInstitutions d’Audit du Mali,financé par le fonds Inter -national Development Asso -ciation (IDA) de la BanqueMondiale à hauteur de484 000 dollars US pour une



Formation diplômante

L’ACIAM a joué un rôle capitaldans la promotion de la profes-sion et dans l’instauration desprogrammes d’enseignementd’audit dans les écoles et univer-sités maliennes, en obtenant desfinancements auprès des orga-nismes internationaux et de l’Étatmalien. La dispense des cours estassurée par les professionnelsmembres de l’association à descoûts relativement faibles. Cetteformation introduite dans lesannées 2000 dans au moins 6grandes écoles et universités apermis de diplômer plus de 400professionnels. Aujourd’hui, l’au-dit est enseigné en tant quespécialité dans plusieurs écolessupérieures privées.

* **

En conclusion, l’ACIAM a joué etcontinuera de jouer un rôleprimordial dans la promotion del’audit interne, du contrôleinterne et de la bonne gouver-nance au Mali. En effet, laconfiance placée en l’associationsur le plan national et internatio-nal notamment à travers la dési-gnation au poste de Vice-président Afrique subsahariennede l’UFAI (2006-2008) et (2016-2018) ainsi que l’obtention duprix « Afrique » lors des confé-rences UFAI de Paris 2008 et 2016constituent une source de moti-vation inépuisable pour les béné-voles du bureau directeur et lesmembres et sympathisants.

et prévention. Dépendance hiérarchique et

indépendance intellectuellede l’audit interne.

Fraude et corruption en milieubancaire et dans les systèmesfinanciers décentralisés.

Conférence Francophone del'Audit Interne à Bamako en2006 avec la participation deplus de 500 personnes.

Conférence sur le manage-ment des risques en 2008,animée par M. Denis Bergevin,Chargé des relations exté-rieures de l'IIA.

L'ACIAM, dans le cadre de lavulgarisation de l'audit interne ainitié en 2008 un espaced'échanges et de discussions surdes thèmes touchant l'audit. Cetespace est essentiellementanimé par des étudiants d'univer-sités qui proposent et animentdes thèmes sous la supervisionde l'association.

Participationdes membresaux conférenceset colloques

L'ACIAM assure sa présence auniveau international à travers desparticipations aux quelque 20colloques organisés dans le cadrede l'audit interne avec différentspartenaires (Union des Instituts AIde l’Afrique de l’Ouest, l’AFIIA,l’UFAI, The IIA), grâce au soutienfinancier de l’État malien et departenaires techniques et finan-ciers.

l'épanouissement d'une éco-nomie nationale » et une tableronde sur le thème : « Quellesbonnes pratiques pour la miseen place d'un audit ? ». Cetterencontre a regroupé tous lesSecrétaires Généraux desMinistères ainsi que lesInspecteurs en Chef des Ins -pections ministérielles. C'étaitla première fois dans l'histoiredu Mali qu'un forum de cegenre était organisé à unniveau aussi élevé. L'animationétait assurée par le Président etles Vice-présidents de l'UFAIainsi que par un InspecteurGénéral des Finances de laFrance sous la modération deMonsieur Konimba Sidibé,Président d'honneur del'ACIAM.

Conférences-débatsEn plus des séminaires, l'ACIAM aorganisé dans la période 2000-2008 une série de conférences-débats sur différents thèmes telsque : Fraude et corruption : éthique,

déontologie et rôles de l’audi-teur (2001).

Fonctionnement de l’État auquotidien : réflexion autour del’anthropologie de la corrup-tion (2002).

Gouvernement d’entreprise etRéalités Maliennes (2002).

Assises sur le contrôle desfinances publiques (2003).

Fonction audit et performancedes entreprises dans uncontexte d’intégration.

Analyse des risques liés auxfraudes spécifiques : détection

Vérification Général, le BVG) ; l’Autorité de Régulation des

Marchés (ARMDS) depuis2009 ;

le partenariat avec le CGSPpour la mise en œuvre de lastratégie nationale decontrôle interne (SNCI), docu-ment qui sert de référencepour la promotion de l’auditinterne et du contrôle internedans l’administration publique.

Par ailleurs, il est important desouligner que la visite en juin2016 de Madame MireilleHarnois, Présidente de l’UnionFrancophone de l’Audit Interne àl’époque, a été une opportunitéde promotion de l’audit Interneet de sensibilisation des plushautes autorités du Mali à soute-nir davantage l’ACIAM dans samission de promotion de laprofession.

Organisationde séminaires etde conférence débats

Séminaires Dans les années 2000, l'ACIAM

organisait deux séminairesinternationaux par an en colla-boration avec l'IFACI et l'AACIA(Association des AuditeursConsultants Internes Algériens).Ces séminaires enregistraientdes participants venant duSénégal, du Niger, du Burkinaet de la Guinée.

Elle a aussi organisé un sémi-naire gouvernemental sur lethème « La valeur ajoutée del'audit interne dans le cadre de

L’ACIAM en quelques mots

2006 – Organisation de la Conférence Francophone de l'Audit Interne àBamako avec la participation de plus de 500 personnes

2008 – Nommé membre du Comité de pilotage du projet d’appui auxStructures de Contrôle et Institutions d’Audit du Mali

Participation à la mise en œuvre de la stratégie nationale de contrôle interne

Organisation d’une dizaine de conférences nationales dans les années 2000

Risques des

Réseaux soc

iaux

OUVERTURE SUR LE MONDE


Les réseaux sociaux sont définis commedes applications ou des moyens dediffusion d’information via internet.Même si le premier réseau social est

apparu officiellement en 1997, la révolutiondes réseaux sociaux, dans la société et lemonde des affaires en particulier, date dumilieu de la décennie passée avec l’accès aupublic de Facebook et le lancement de Twitter

en 2006, suivi depuis 2010 d’une explosion denouveaux acteurs offrant des services de plusen plus élaborés (voir graphique 1). Pour lesentreprises, ces nouveaux outils offrent desnouvelles opportunités en matière de relationpublique, communication interne et externe,de marketing de masses, de plateformes deventes et d’échanges. Le domaine des réseauxsociaux ne se réduit donc pas aux seuls

Facebook et Twitter, c’est maintenant un largedomaine en constante et rapide évolution quiinclut toutes sortes d’outils : Blogs (ex: WordPress, Drupal™, TypePad®) Microblogs (ex : Twitter, Tumblr) Messagerie instantanée (ex : AOL Instant

Messenger [AIM™], Microsoft® WindowsLive Messenger, Snapchat)

Systèmes de communication en ligne (ex :Skype™, Facetime)

Sites de partage de vidéo et d’images (ex :Flickr®, YouTube)

Sites de réseaux sociaux (ex : Facebook,MySpace)

Sites d’échange professionnel (ex : LinkedIn,Plaxo)

Sites de communication en ligne sponsori-sés par les entreprises elles-mêmes(Similac.com, “Open” par American Express)

Sites de collaboration (ex : Huddle,Academia…)

Une autre façon de voir la prolifération et lecaractère inéluctable des réseaux sociauxdans la société d’aujourd’hui est reflétée parle graphique 2 qui pourtant s’arrête à 2011.

Le rôle de l’audit interneaux États-Unis

Les médias sociaux offrent aux entreprises de réelles opportunités mais, associées à denouveaux risques. L’auteur propose à l’audit interne un modèle inédit pour s’assurer dela pertinence de la stratégie mise en œuvre, du processus d’identification des risqueset du dispositif de gouvernance dans l’utilisation des médias sociaux.

Dominique Vincenti, Vice President de l’audit interne,Nordstrom, Inc.



Aujourd’hui, le monde compte 1,65 milliardde comptes actifs sur les réseaux sociaux et,chaque jour, 1 million de nouveaux utilisa-teurs s’ajoute à ce contingent.La combinaison de ces plateformes d’interac-tivité et de leur accessibilité à tout moment,grâce à la portabilité des outils de communi-cation (wifi, smartphones, tablettes, objetsconnectés), fait que les réseaux sociaux sontdevenus une formidable source d’opportuni-tés pour les entreprises : tant pour ciblerclients, employés ou partenaires de façonpertinente, mais aussi pour collecter des infor-mations précieuses permettant d’affiner et depersonnaliser encore plus leur offre ou leurimage tout en gardant le bénéfice d’un outilde masse.Le rôle de l’audit interne est d’aider leurs orga-nisations à trouver l’équilibre optimal entre lacréation de valeur que permet l’utilisation deces outils et les risques qu’ils intrinsèquementrecèlent. C’est un point important car il esttentant de se focaliser sur le risque le plus

évident, c’est-à-dire le risque de réputation. Lepremier des risques est en effet celui de nepas utiliser les réseaux sociaux.

Ce qu’un audit des réseaux sociaux peut (etdoit) couvrir :

1. Le processus de définition de lastratégie et son exécution

L’entreprise a-t-elle une stratégie claire d’utili-sation des réseaux sociaux et des attentesprécises en matière de résultats escomptés ?Les processus et les responsabilités ont-ils étéclairement définis en adéquation avec la stra-tégie arrêtée ?Comme indiqué dans l’introduction, l’utilisa-tion des réseaux sociaux ne se cantonne pasà la simple utilisation à des fins de relationpublique. Le département des ressourceshumaines va trouver un avantage à établir unprofil d’entreprise sur LinkedIn et utiliser cetoutil comme moyen de recrutement. Le

département Informatique, afin de nourrirune collaboration continue au sein deséquipes d’ingénieurs, va trouver enConfluence une plateforme de coopération etde partage de données très efficace. LeDépartement Marketing peut développer despartenariats avec des bloggeurs ou de grandesplateformes digitales (ex : Google, Facebook)afin d’orienter des clients sur certains produitsen contrepartie de royalties ou de rabais.L’utilisation des réseaux sociaux peut êtremotivée par toutes sortes d’objectifs avec desbénéfices tangibles (augmentation de reve-nus, productivité accrue, réduction de coûts,prise de parts de marché, etc.) et égalementintangibles (réputation, rayonnement de lamarque, etc.). Dans la plupart des cas, etencore aujourd’hui, la prolifération de l’utilisa-tion des médias sociaux dans une entreprisea démarré par des initiatives dispersées, au furet à mesure avec l’apparition de nouveauxoutils.Poser la question de la stratégie et de son

2003 2004 2005 2006 2007 2008

2009 - 2010 2011 - 2012 2013 - 2014 2015

Début de Linkedin lancé à Harvardet dans le reste des Universités

Réseau socialle plus utiliséaux USA

Publie sespremièresrévélations

Accessibleau public

Lancementde Twitter

Apple1er Iphone

devient lepremier réseau

social au mondedevant MySpaceavec 100 millions

d’utilisateurs

lance son blog

Aux USA, 2M$ deventes réalisés via

Twitter

Aux USA, de grandesmarques ou grandes chaînesde magasins partagent leurs

campagnes publicitairestélévisées sur Facebook et

Twitter

L’ère de la bataillemarketing sur lesréseaux sociaux

est engagée

Le partage de vidéos etd’animations s’ampli!eavec l’émergence de :

Graphique 1



exécution, c’est donner à l’auditeur l’opportu-nité d’offrir sur un plateau un état des lieuxcomplet et de permettre à l’entreprise derationaliser et d’optimiser ces nouveaux outilsde façon cohérente et concertée.Afin d’évaluer cet aspect et de construire cetinventaire, une méthode simple émanant dece qui est enseigné aux journalistes et synthé-tisée par Keith A. Quesenberry (professeur de« social media and digital marketing ») est parti-culièrement adaptée : opérer un inventairecomplet et identifier les paramètres suivants : QUI : catégoriser les données selon « qui »

parle, que ce soit l'entreprise, les consom-mateurs, les employés ou un concurrent.

OÙ : répertorier le contenu par type demédias sociaux et par environnement. Lestypes de réseaux sociaux se réfèrent à l’outillui-même : YouTube, Facebook ou Pinterest.

QUOI : énumérer le type de contenu, telsqu’article, photo ou vidéo, et le type deressenti attendu sur ces contenus : positif,négatif ou neutre.

QUAND : la fréquence de l'activité, commele nombre de messages, de commentaires,de vues ou d'actions, par jour, semaine oumois.

POURQUOI : déterminer le but dumessage : sensibilisation, promotion, retourd’expérience (plainte ou satisfaction), oumême vente. Les indicateurs clés de perfor-mance (KPI) doivent être aussi inclus.

Ce modèle permettra à l’auditeur d’aider sonentreprise pour :1. disposer d’un panorama complet et précis

de l’ensemble des réseaux sociaux utilisésdans l’entreprise ;

2. comprendre l'objectif et les principaux indi-cateurs de rendement de chaque canal ;

3. évaluer si l’utilisation de chaque réseausocial a un objectif clair, sous la responsabi-

lité d’un leader clairement identifié, desprocessus établis et des résultats en ligneavec des attentes également bien définies.Par exemple, « pourquoi l'organisation a-t-elle une page Pinterest et comment lesuccès est-il mesuré ? » Le fait que leconcurrent a une page Pinterest n'est pasune raison stratégique.

Une série d’outils d’évaluation gratuits, extraitdu livre « Social Media Strategy » de Keith A.Quesenberry est disponible sur :http://www.postcontrolmarketing.com/social-media-audit-template/Keith A. Quesenburry se concentre plus parti-culièrement sur l’utilisation des réseauxsociaux à des fins de marketing, mais cesoutils sont aussi adaptés pour capter l’ensem-ble des utilisations faites des réseaux sociauxpar les entreprises. Ces outils d’évaluation sontdisponibles en anglais uniquement.

Chez Nordstrom, quand nous avons réalisénotre premier audit de l’utilisation des réseauxsociaux, nous nous sommes focalisés sur lesaspects stratégiques (définition et exécution)sans avoir besoin de prendre en compte lesrisques opérationnels ou règlementaires car ilest apparu très vite que le sujet des réseauxsociaux n’avait pas été stratégiquementpensé, structuré et organisé. Des initiatives detous genres avaient déjà germé aux quatrecoins de l’entreprise, sans réelle coordination,sans objectifs précis et sans suivi.

2. L’exécution et les risques inhérents àl’utilisation des réseaux sociaux

Au-delà d’une stratégie et de la mise en placede processus efficaces pour exécuter cettestratégie, il faut bien sûr reconnaitre que lesmédias sociaux ont un côté obscur. Le risque le plus évident est le risque deréputation : les sites de médias sociauxpeuvent être utilisés par des clients insatisfaits,des employés ou des individus avec unerancune (légitime ou illégitime) contre l’entre-prise pour désinformer ou diffuser des infor-mations préjudiciables. En outre, les employésqui partagent des activités quotidiennes avecdes amis peuvent, par inadvertance et invo-lontairement, divulguer des informations quipourraient nuire à la réputation de l'entrepriseou fournir des informations considéréescomme confidentielles.Le risque est décuplé car l’outil-même estentre les mains non pas des seuls profession-nels dans le département Marketing ou derelation publique mais dans celles de tous lesemployés comme le montrent les statistiquessuivantes.Prenons une entreprise de 20 000 employés(salariés) (voir schéma ci-dessous).

Graphique 2

Tous les employés 20 000 (100 %)

Utilisateurs de réseaux sociaux 13 800 (69 %)

Utilisateurs de réseaux sociaux 5 600 (28 %)engagés dans les comportements à risque

Utilisateurs à haut risque 3 000 (15 %)

Utilisateurs qui sont engagés dans au moins unedes ces activités :- Ont un compte Facebook- Utilisent des sites collaboratifs- Lisent ou écrivent des blogs- Ont un compte Twitter

Utilisateurs qui sont engagés dans un des cescomportements porteur de risque :- Partagent des informations sur l’entreprise ou

des clients sur un site marchand- Bloguent sur des sujets liés à leur travail- Twittent sur des sujets liés à leur travail

Utilisateurs qui sont engagés dans au moins undes ces 4 comportements très risqués :- Utilisent Facebook pour du networking profes-

sionnel- Partagent des informations sur l’entreprise ou

des clients sur un site marchand- Bloguent sur des sujets liés à leur travail- Twittent sur des sujets liés à leur travail



Mais le risque de réputation n’est pas le seul.

Quels sont les risques à considérer dans unaudit de l’utilisation des réseaux sociaux ? Violations des exigences légales et régle-

mentaires>> Impact : pénalités, dédommagements,

frais de règlement judiciaire Réputation

>> Impact : perte de confiance des clients,employés, partenaires, ou grand publicse répercutant sur les ventes

Cyber-sécurité>> Impact : divulgation des biens de l'en-

treprise et d'informations sensiblesaccessibles à des parties non autorisées

Infrastructure Technologique>> Impact : dégradation de la qualité des

données ou incapacité à exploiter effi-cacement les données collectées àtravers l’utilisation des réseaux sociaux.

Le tableau ci-dessous fournit plus de détails

sur ces risques à prendre en considération.

Au bout du compte, le rôle de l’audit internesur le sujet des réseaux sociaux, n’est pas vrai-ment différent de son rôle sur tout autre sujet.Il s’agit de s’assurer que ces activités porteusesd’opportunités et de risques soient adéquate-ment gouvernées. Cela veut dire s’assurer queces activités sont gérées afin d’optimiser lesrésultats escomptés tout en tenant comptedes contraintes et des risques associés.

Les objectifs d’un audit des médias sociauxdoivent permettre de vérifier que :1. Une gouvernance et une surveillance effi-

caces ont été établies pour l'utilisation detous les médias sociaux dans l’entreprise, ycompris les médias sociaux spécialementdéveloppés par l'organisation.

2. Des politiques et des procédures appro-priées ont été établies pour assurer l'exécu-tion réussie de la stratégie d’utilisation desmédias sociaux.

3. La formation à l’utilisation des médiassociaux a été développée et couvre toutesles exigences applicables et les attentesparticulières à l’entreprise.

4. Des critères de performances ont étéétablis pour piloter et assurer la mise enœuvre et l'utilisation réussies des médiassociaux.

5. Des systèmes de suivi appropriés et un plande réponse ont été établis pour traiterspécifiquement des incidents liés auxmédias sociaux.

6. Les actions de l’entreprise liées à l’utilisationdes médias sociaux sont conformes àtoutes les réglementations applicables.

Oui, il y a des risques mais les réseaux sociauxne sont pas un risque ; ce sont de formidablesoutils dans cette nouvelle ère de l’information,des outils de travail essentiels et incontourna-bles. Les audits permettent aux organisationsd’optimiser leur utilisation.

Violation desexigences légaleset règlementaires

Protection desdonnées privées

Ex : La législation sur la protection de la vie privée exige que les organisations protègent lavie privée des personnes qui rejoignent leurs pages de réseautage social ou qui fournissentdes informations personnelles par le biais de sites de réseaux sociaux.

Droit du travail

Ex : Les dispositions réglementaires telles que la loi sur la discrimination aux États-Unis, laloi de 1998 sur la protection des données au Royaume-Uni ou la directive sur la protectiondes données de l'UE de 1995, interdisent l'accès excessif aux réseaux sociaux lors du proces-sus de sélection de nouveaux employés.. Un règlement européen mieux adapté à l’èrenumérique est entré en vigueur en mai 2016 et a remplacé la directive de 1995.

Propriété intellectuelle

Les réclamations de contrefaçon ainsi que le détournement et autres créances contrac-tuelles et délictuelles constituent un risque pour les entreprises dans les médias sociaux.

Réputation

La réglementation des messages sur les réseaux sociaux à la fois à l'extérieur et en internereste une considération importante pour les entreprises. Les messages négatifs ou lescommentaires sur une entreprise sur un site Web de médias sociaux peuvent endommagerl’image de marque et la bonne volonté de la société. En outre, la combinaison du manquede structure et du contrôle de gestion sur l'utilisation des réseaux sociaux et le nombrecroissant d'utilisateurs de réseaux sociaux à haut risque nécessitent également une dili-gence raisonnable dans le suivi des publications des médias.

Cyber-Sécurité

Point d’entrée pour les virus

Les sites Web de réseaux sociaux comme Twitter et LinkedIn peuvent fournir un canal d'en-trée pour les attaques de logiciels malveillants contre des entreprises. La difficulté pour lesplateformes traditionnelles de se protéger contre le flux continu de logiciels malveillantsuniques et nouvellement créés entraine une exposition des informations organisationnellesaux menaces externes.

Perte d’informationL'échange d'informations par les chaînes de médias sociaux peut entraîner une perte d'in-formation s’il n'existe pas de processus structuré pour sécuriser et archiver ces informa-tions.

Infrastructuretechnologique

Intégrité des données

L'exactitude des données et des informations peut se détériorer à mesure que d'autresemployés ont accès à des bases de données partagées et à des sites de travail collaboratifs.En outre, la propriété partagée de ces sites peut entraîner un manque de responsabilitépour le maintien de l'intégrité des données.

TÉMOIGNAGES


ATOSLes grands enjeuxpour les organisations

Après avoir souligné les ambitions d’Atos, leader européen de latransformation numérique, les auteurs apportent un éclairagepertinent sur les nouveaux défis et opportunités liés à l’émer-gence des médias sociaux. Ils définissent les règles de bonneconduite et les dispositifs de surveillance mis en place dans l’uti-lisation de ces outils au sein du groupe.

François-Regis d’Anselme, Head of GlobalSocial Business Center, Atos

Daniel Milard, Head of Bid Control &Business Risk Management, Atos



TÉMOIGNAGES

d’analyse actuelles, il est possiblede déduire beaucoup des publi-cations en apparence anodines :le ton employé, le sentimentqu’elles expriment, des objets prisen photo. En filtrant le « bruit social », en lecartographiant et en le contex-tualisant, peuvent apparaître detrès précieux enseignements : lespersonnes les plus influentes, lesentiment le plus répandu, leniveau d’engagement d’une caté-gorie de clients… L’entreprisepeut ainsi déterminer l’«empreinte sociale » d’un produit,d’une marque ou d’une person-nalité.Les MS sont au cœur de la trans-formation numérique d’Atos. Ilsont profondément changé notrefaçon de communiquer, de tra-vailler et de faire des affaires quo-tidiennement. Ils occupent désor-mais une position stratégiquedans la numérisation de nos acti-vités et de celles de nos clients.

Utilisation des médiassociaux chez ATOS

Etat des lieux

La numérisation de l'entreprise

soulève de nouveaux défis etopportunités. Le web et les MSsont la source d'informations pré-cieuses qui doivent être rassem-blées, analysées, organisées et uti-lisées.

Ces capacités d’analyse, coupléesà la possibilité d’interagir directe-ment avec les communautés,permettent d’innombrablesusages : comprendre ses clientset connaître leurs attentes, déce-ler les tendances du marché, secomparer à ses concurrents, anti-ciper les crises et y réagir effica-cement, lutter contre la contrefa-çon et la désinformation, maisaussi engager des actions decommunication, d’influence, demarketing, de « social selling », àla fois très ciblées et bénéficiantde l’énorme effet de levier desréseaux. On peut même allerjusqu’au prédictif en estimant, parexemple, le succès ou l’échecd’un produit à partir des pre-mières réactions sur les réseaux,et donc prendre précocement lesmesures adéquates.

Les MS ont permis aux entreprisesd'accéder à des informations iné-dites sur le comportement et les

préférences des clients – « le socialbig data ».

Non seulement les MS ont révo-lutionné la façon dont nous com-muniquons, mais cela a aussi euun impact significatif sur notrefaçon de travailler et de dévelop-per nos activités.

Atos permet et encourage l'utili-sation de réseaux sociaux oud'autres MS afin d'exercer ses acti-vités commerciales ou de pro-mouvoir Atos, ses services, sesproduits et ses collaborateurs.Nous sommes confiants quant àla capacité de nos employés detraiter efficacement les MS, ensuivant les lignes directrices et lesrègles définies.

Les médias sociaux eninterne : fonctionnementet bénéfices escomptés

Chez Atos, nous nous efforçonsde créer l’entreprise du futur enproposant un environnement detravail numérique et des outils detravail collaboratifs. En créant unfort sentiment d'urgence tel quel'ambition « Zero Email ™ », sou-haitée par notre PDG Thierry Bre-

ATOS et les médiassociaux (MS)

Les grandes ambitions d’ATOS

Atos SE (Société Européenne), estun leader de la transformationnumérique avec environ 100 000collaborateurs dans 72 pays et unchiffre d’affaires annuel de 12 mil-liards d’euros. Fort d’une base declients mondiale, Atos est le n°1européen du Big Data, de laCyber sécurité et de l’environne-ment de travail connecté, et four-nit des services cloud, des solu-tions d’infrastructure et gestionde données, des applications etplateformes métiers, ainsi que desservices transactionnels par l’in-termédiaire de Worldline, le lea-der européen des services depaiement. Grâce à ses technologies depointe et son expertise digitale &sectorielle, Atos accompagne latransformation numérique de sesclients dans les secteurs défense,services financiers, santé, indus-trie, médias, services aux collecti-vités, secteur public, distribution,télécoms, et transports. Partenaireinformatique mondial des JeuxOlympiques et Paralympiques,Atos est coté sur le marché Euro-next Paris et exerce ses activitéssous les marques Atos, AtosConsulting, Atos Worldgrid, Bull,Canopy, Unify et Worldline.

La vision et l’implicationd’ATOS dans l’émergencedes médias sociaux

Les réseaux sociaux ont la parti-cularité d’être à la fois un puissantcanal de communication et d’en-gagement et une source d’infor-mations sans équivalent. Ils per-mettent aux entreprisesd'accéder à des informations sansprécédent sur le comportementet les préférences des clients ;cependant ce « social big data »est largement sous-utilisé par lesorganisations. Grâce aux méta-données qu’ils fournissent (géo-localisation, profil socio-démo-graphique…) et aux capacités

TÉMOIGNAGES


articles de Thought Leadership,etc.

IdentificationLorsque les collaborateurs écri-vent quelque chose sur les MSconcernant Atos, ses services /produits ou ses employés, ils peu-vent utiliser leur nom réel, indi-quer qu’ils travaillent pour Atoset, le cas échéant, indiquer leurposte (ou poste occupé).Ils peuvent écrire à la premièrepersonne : l'opinion qu’ils expri-ment doit être clairement identi-fiée comme la leur, et noncomme la vision d'Atos.Ils sont encouragés à utiliser, dansce cas, une clause de non-respon-sabilité de l’entreprise, telle que« les vues sont les miennes ».

CivilitéLes MS reflètent pratiquementnotre vie quotidienne : en écri-vant quelque chose sur Atos, sesactivités ou ses services, les col-

laborateurs doivent être respec-tueux, sans mots grossiers, men-songes, insultes et éviter toutcommentaire discriminatoire.En tant que collaborateurs d'Atos,ils doivent garder une attitudepositive en toute circonstance.

Respect des lois et règlementsLorsque les collaborateurs pos-tent sur les MS, ils doivent respec-ter les lois et règlements locauxou internationaux applicables.Pour ce faire, en conformité avecle Code d’éthique d'Atos, ils nedoivent pas partager d’informa-tions identifiées comme sensiblespar ces lois et règlements, y com-pris, mais sans s'y limiter, la régle-mentation sur les délits d'initiés,le secret commercial, le droit dela concurrence et les droits depropriété intellectuelle.

Respect de la confidentialitéLes collaborateurs sont invités à

partager des informations utilessur Atos et ses activités.Néanmoins, ils doivent vérifier laconfidentialité des informationsavant d’y faire référence ou de lespublier. Tout partage d'informa-tion d’un document classifié« Atos secret », « Atos confiden-tiel », « Atos pour usage interne »est strictement interdit (confor-mément à la politique de classifi-cation de l'information d’Atos).

Utilisation judicieuse desmédias sociauxLes collaborateurs sont person-nellement responsables ducontenu qu’ils publient sur les MS.Le contenu des MS est accessibleà un large public et pour unepériode de temps indéterminée.En ce qui concerne l’analyse desrisques liés aux réseaux sociaux,ils sont analysés périodiquementpar l’entreprise dans le cadre dela mise à jour annuelle de la car-tographie des risques. Les résul-

tats sont partagés avec la direc-tion générale du Groupe et lecomité exécutif pour s’assurer dela pertinence des mesures adop-tées pour gérer ces risques, etprésentés au comité des compteset au Conseil d’administration.

Les outils de surveillancedes médias sociaux

Il est indispensable de mettre enplace une approche structurée,industrialisée et transverse quirepose sur une tour de contrôleglobale. Ce que nous appelonschez Atos le « Social Business Cen-ter » (SBC).

Il s’agit d’une plateforme fédéranttous les acteurs concernés (com-munication, marketing, vente,service client, R&D, digital…). LeSBC repose sur trois piliers :l’écoute des réseaux sociaux,l’analyse des données et l’injec-

tion des résultats à l’aide detableau de bord sur mesure dansles processus opérationnels. Celapermet de traiter les multiples casd’usage – connaissance client,veille, engagement social, ampli-fication des messages… – et sur-tout de les prioriser, de les coor-donner et de les aligner sur lastratégie de l’entreprise. Dès lors,celle-ci écoute d’une mêmeoreille et parle d’une même voixpour renforcer et optimiser sonaction sur ses sujets prioritaires :protection de l’image de marque,lancement d’un produit phare,analyse de la concurrence,recherche d’influenceurs etclients potentiels…

Notre SBC permet de collecter etd'analyser des publicationssociales et web en temps réel afinde mieux surveiller, exploiter etamplifier les conversationssociales autour de nos marques,marchés, produits et principauxambassadeurs.

Bref, il permet d'avoir une plate-forme centralisée pour surveiller,écouter, engager et prendre desdécisions stratégiques en direct.Nous proposons également uneinnovation permanente dans ledomaine du « Social Business » enexpérimentant des nouvellesvisualisations des données desréseaux sociaux afin de transfor-mer nos expertises en solutionsaux clients.

Le rôle et la contributionde l’audit interne

L’audit a accompagné la transfor-mation du Groupe en évaluant leniveau de préparation des diffé-rents processus au changement(évaluations Zero Email).Comme pour tout dispositif del’entreprise, l’audit s’efforce dechallenger périodiquement l’éva-luation des risques, de s’assurerque les processus de maîtrise misen place couvrent ces risques, devérifier leur efficacité opération-nelle et d’encourager l’innovationsans interdire les nouveauxusages numériques a priori.

ton en 2011, nous avons initié etstimulé des changements cultu-rels profonds.

Atos a reconnu que le courrierélectronique était un obstaclemajeur pour la transformationcollaborative. Le remplacementdes courriels internes par destechnologies collaboratives aentraîné un profond changementculturel chez Atos. En trois ans,nous avons réduit les emailsinternes de 70 %. Réduire le cour-rier électronique interne résulted'une meilleure utilisation desoutils collaboratifs et de nou-veaux comportements.

De plus, la collaboration socialebasée sur nos réseaux sociauxd'entreprise (BlueKiwi & Circuit)déclenche des gains importants,en créant de la valeur ajoutée etfavorisant la croissance, en aug-mentant la productivité deséquipes projet, en améliorant

notre réactivité commerciale etla satisfaction de nos clients, enpermettant l’innovation collectiveet le partage d’idées.

Le dispositif de gouver-nance dans l’utilisationdes médias sociaux

Les règles à respecter

Atos permet et encourage l'utili-sation de réseaux sociaux par sescollaborateurs, ce qui nécessite lerespect de règles préétablies :

Participation aux médiassociauxLes collaborateurs sont autoriséset encouragés à utiliser les MSpendant leurs heures de travailafin d'effectuer des activités com-merciales. Ils peuvent partagerdes messages sur leur domained'expertise, les tendances de l'in-dustrie, les nouvelles d'Atos, les

Les collaborateurs sont personnellement responsablesdu contenu qu’ils publient sur les MS

« »


TÉMOIGNAGES

Groupe AccorHotelsPratiques et usages,règles de gouvernance,écueils et opportunités

Virginie Sido, Brand Culture, Engagement &Communication, Senior Vice President duGroupe AccorHotels

Au sein du groupe AccorHotels, les collaborateurssont fortement incités à saisir les opportunitésoffertes par les médias sociaux mais en restant atten-tifs aux risques associés et en respectant les règles degouvernance mises en place.


TÉMOIGNAGES


Revue AR&C : Pour commencer,pouvez-vous nous décrire l’orga-nisation en place au regard de lagestion des médias sociaux ausein du Groupe AccorHotels ?

Virginie Sido : Concernant lesmédias sociaux, mon périmètreregroupe les actions relatives à lacommunication Corporate etEmployeur, par opposition à lacommunication Commerciale. Lagestion des médias sociaux, rela-tive à la communication Corpo -rate et Employeur, est assurée parune équipe centrale pluridiscipli-naires avec des correspondantsCorporate et marque employeurdans nos pays. Au niveau de la communicationcommerciale, l’organisation esttrès décentralisée avec descommunity managers danschaque pays, voire dans chaquehôtel, en fonction de sa capacitéd’hébergement, dans unelogique business et de relationclient.

AR&C : S’agit-il de deux départe-ments totalement étanches ?

V. S. : Non, bien que nous ayonsdeux organisations différentespour le Corporate et le Business, iln’y a pas de scission bien aucontraire. Nous travaillons enétroite collaboration avec l’en-semble de l’écosystème médiassociaux du Groupe pour s’ap-puyer sur toutes nos forces defrappe. Des lignes éditoriales sontdéfinies pour chacun des mediaset nous avons un comité éditorialcommun pour partager lescontenus clés et stratégiques duGroupe, les animations et lecalendrier de diffusion desmessages. La tonalité et l’angledes messages pourront êtredifférents afin de s’adapter ànotre public. Bien que décentralisée, l’ap-proche est structurée et organi-sée avec une vraie coordinationentre les différentes partiesprenantes, pour intégrer lesspécificités du groupeAccorHotels présent dans 95pays, avec plus de 25 marques.

AR&C : Pouvez-vous nous expli-quer en quoi les médias sociauxsont devenus des outils indispen-sables pour votre Groupe ?

V. S. : Aujourd’hui, la questionn’est plus de savoir si nosmarques doivent être présentessur les médias sociaux, ce n’estplus une option pour nous, c’estindispensable. Nous avons faitpartie des groupes pionniers etactifs dans les réseaux sociaux auniveau corporate. Notre convic-tion étant que c’est une opportu-nité d’engager les conversationsavec les fans et les « followers »,bien au-delà des comptesvitrines. Tout l’enjeu consiste àfaire de notre marque unemarque « conversationnelle ». Ilne s’agit pas d’être uniquementprésent, ce qui compte c’est decréer du « story telling », c’est-à-dire réfléchir à ce que l’on raconteet comment on le raconte. Au niveau commercial, nousavons de forts enjeux business etde relation client à travers lapromotion d’offres commer-ciales, lancement de nouveaux

produits, la création d’événe-ments. Au sein du départementService Client, nous avons lacellule « Social Care », dédiée à lagestion des demandes et récla-mations émises sur les médiassociaux. L’enjeu est de traiter rapi-dement toute demande qui nousserait adressée.

AR&C : Quels sont les différentsmédias sociaux utilisés par legroupe AccorHotels ?

V. S. : Au niveau Corporate etEmployeur, nous sommesprésents sur la plupart desmedias sociaux avec uneapproche très éditorialisée,même si nous n’y racontons pasles mêmes histoires. Nous nenous adressons pas aux mêmespersonnes, nous n’avons pas lesmêmes messages et surtoutnous n’attendons pas les mêmesengagements. Sur Facebook, nous nous adres-sons à des passionnés devoyages qui ont envie de décou-vrir les marques différemment. Iln’y a pas d’enjeu de businessimmédiat mais nous utilisons

beaucoup Facebook pour faireparler ou faire en sorte de déve-lopper un regard différent sur leGroupe, à travers ses engage-ments en matière de CSR, sondéveloppement, ses ouverturesd’hôtels emblématiques, sesinnovations. Nous avons uncompte spécifique Jobs pourtous ceux qui veulent suivre l’ac-tualité du Groupe et ses opportu-nités de recrutement et decarrière. L’idée est surtout demettre en avant nos talents, leurexpertise et notre savoir-fairepour attirer des talents parta-geant nos valeurs et notreculture. Twitter est un média quis’adresse à des cibles d’influen-ceurs, de journalistes, de leadersd’opinion. Les gens ont besoind’y avoir une information simpleet rapide. Nous y relayons beau-coup l’actualité du Groupesouvent via des live tweets, de

manière assez factuelle du faitnotamment de la contrainte duformat. Sur Instagram, nous nous adres-sons à des épicuriens, des gensqui aiment le voyage, despassionnés de photo qui veulentinteragir et partager leur histoireavec le Groupe. Sur Snapchat, nous ciblonsplutôt les « millenials », nos futursclients ou collaborateurs quiviennent y chercher de l’instanta-néité, de l’éphémère. Un autreformat via des « stories » va nouspermettre d’exposer les marquessous un angle différent. Parexemple, des « lives » dans nosadresses ou les destinations oùnous sommes présents et destémoignages de nos talents surleurs métiers, avec des grandschefs par exemple. LinkedIn est pour nous un médiatrès important, bien loin d’êtreuniquement une CVthèque enligne. C’est un réseau profession-nel très puissant avec énormé-ment d’interactions au sein desmembres et des communautés.Nous y trouvons nos collabora-teurs, nos clients et des pros-

pects. C’est aussi une source debusiness pour nous. Enfin, en interne exclusivement,nous avons Yammer, notreréseau social interne déployédans le monde pour permettreaux collaborateurs d’échangerentre eux, de partager les bonnespratiques au sein de plus de3 000 communautés déjà créées.Plus de 1 000 messages sontenvoyés chaque jour, preuve quenos talents s’en sont emparés !

AR&C : Tous ces médias doiventnécessiter des règles de gouver-nance ?

V. S. : Absolument. Tout d’abord,la première étape a été de sensi-biliser les collaborateurs au bonusage des réseaux sociaux, nonpas parce qu’ils ne les maitrisaientpas, mais pour leur permettre demieux appréhender les opportu-nités mais aussi les risques aussi

bien dans un contexte personnelque professionnel. Pour d’autres,nous les avons même formés etencouragés à créer leur proprecompte. Nous avons créé unecharte diffusée à tous les collabo-rateurs pour l’usage de notreréseau social interne. Bienévidemment, cela ne s’appliquepas à l’utilisation des médiasexternes qu’ils peuvent avoir àtitre privé. Mais grâce à cettecharte, nous avons pu sensibiliseret alerter en faisant des recom-mandations très concrètes.Comme par exemple, de s’expri-mer sur les médias sociaux, enleur nom propre et non celui duGroupe, de ne pas créer decompte sous pseudonyme etparler sous son vrai nom, respec-ter les idées des autres ou bien nepas avoir de propos injurieux. Nous avons fait le choix de ne pasavoir de modérateur en central,et ainsi de faire confiance à noscollaborateurs. Chacun s’auto-contrôle, et au besoin nous alertesi un abus est observé. Au finalcela fonctionne ! En sept ans, unseul cas nous a été remonté, pourlequel nous avons simplement

Notre système de veille nous permet de suivre notree-réputation et de détecter les signaux faibles

« »


TÉMOIGNAGES

rappelé les principes de notrecharte.

AR&C : Et pour les médiasexternes ?

V. S. : Sur la partie externe, nousavons mis en place un systèmede veille qui nous permet desavoir ce qui se dit sur nous sur leweb social (social listening). C’estun outil qui permet de suivrenotre e-reputation et de détecterles signaux faibles. Ce systèmeémet des alertes qui nouspermettent de mettre en placeun processus d’analyse et de suivide l’alerte. Des rapports sontémis et si besoin nous déclen-chons des actions permettant degérer au mieux la situation qui aprovoqué l’alerte. Dans lesréseaux sociaux on trouve detout, la conversation est libre. Cen’est pas grave si sur une paged’un média social Corporate unclient se plaint d’un service d’unhôtel, ce qu’il faut c’est régler leproblème. Notre organisationinterne permet de faire en sorteque chaque client soit pris encharge par la bonne équipe pourlui répondre. Lorsqu’une alerte est détectée,nous avons mis en place desrègles de base pour gérer ce quenous appelons la communica-tion sensible. Tout d’abord, nerien traiter à la légère. Un petitbruit dans un réseau social estsystématiquement détecté etgéré. Attention, cela ne veut pasdire qu’une réponse est systéma-tiquement publiée. La situationest analysée et suivie et desmessages sont prêts à être diffu-sés si besoin. Par ailleurs, nousengageons systématiquementune conversation privée avec lapersonne à l’origine du bruit,pour sortir la conversation de lasphère publique. Cela permetaussi de montrer à la personnequ’elle est écoutée et considérée. Une autre règle consiste à gérerle sujet au plus proche du terrainet du problème posé, celapermet d’apporter la réponse laplus adaptée. Enfin, ne jamais travailler seul.Une collaboration forte est essen-tielle. Il est nécessaire de fairepreuve de réactivité et d’analyserrapidement la situation, maistoujours en se concertant afind’éviter la sur-réaction ou le déra-

page. Tous nos community mana-gers le savent. Quand nous passons en modecommunication de crise, desrègles sont formalisées dansnotre manuel de gestion de crise,avec des fiches réflexes spéci-fiques à utiliser en cas decommunication de crise. Cemanuel est à disposition de tousles pays et de tous les hôtels.Chaque message publié encommunication de crise suit uncircuit de validation prédéter-miné.

AR&C : Quels sont les indicateursde performance que vous suivezpour évaluer l’efficacité de vosactions sur les médias sociaux ?

V. S. : Notre objectif étant de faireinteragir et de stimuler la conver-sation, nous avons des KPIs quinous permettent de suivre letaux d’engagement que nouspouvons générer sur les médiassociaux. Nos KPIs sont disponibles surnotre outil de suivi. Nous avons lapossibilité de voir directement laperformance de nos actions,c’est-à-dire le nombre de « like »,de commentaires, de partage.Cela nous donne des indicateursd’engagement. Tout est suivi.Nous observons ce taux d’enga-gement et nous analysons l’en-

gouement en fonction desactions et des sujets. Nous avons également un outil,« Elevate », qui est une plateformeexterne crée par LinkedIn s’adres-sant à nos collaborateurs eninterne. C’est un outil dont leprincipe est le suivant : nousagrégeons tous les jours ducontenu à valeur ajoutée sur unebase partagée, comme unerevue de presse sur des thèmesdonnés. Les collaborateurs (1 500personnes volontaires aujour -d’hui) viennent chercher cecontenu éditorialisé et le parta-gent dans leurs réseaux :LinkedIn, Twitter, Facebook. Ilssont eux-mêmes contributeurs etcollecteurs de contenu. C’est cequ’on appelle de « l’EmployeeAdvocacy », le collaborateurdevient ambassadeur de sonentreprise. Nous mesuronsensuite la performance desmessages et des contenusproposés.

AR&C : Savez-vous si desmissions d'audit interne ont déjàété menées sur votre dispositif degestion des médias sociaux ?

V. S. : Il existe déjà des contrôlesdans les hôtels et les pays menéspar le département Audit Internedu Groupe pour s’assurer que lapolitique de prévention et degestion des risques est bienappliquée. Cela inclut la revuedes dispositifs internes associés,intégrant entre autres le contrôleque les fiches réflexes en matièrede communication de crise sontbien connues. Ce qui est certain,c’est que nous acquérons uneforte courbe d’expérience etd’apprentissage après chaquecrise.

Interview réalisée au nom de la revue AR&C parLaurent Beyer et Marion Lepoittevin, PwC

Nov

otel Lon

don Blac

kfriars

Les réseaux sociaux : sourcesd’informations fiables ?

A titre personnel, j'utilise Facebook – pourgarder le contact avec des amis dont je mesuis éloignée géographiquement – etPinterest, car j'y puise de « belles idées », queje ne mets jamais en application !

A titre professionnel, j'utilise deux réseaux :LinkedIn et Twitter. Cen'est jamaispour y

trouver des informations. Je ne pense pasd'ailleurs qu'aucun journaliste utilise lesréseaux sociaux comme « source » : il n'y a pasmoins fiable qu'eux ! S'interroger sur la fiabilitédes réseaux sociaux revient à s'interroger surla fiabilité du papier : cela n'a pas de sens...Tout dépend de la signature : du journal, dujournaliste ou du responsable économiquequi « poste » une information.

Depuis l'élection de Donald Trump, le grand

public a semblé

découvrir l'existence de « fake news » (faussesinformations) sur les réseaux. Les journalistes,eux, n'avaient jamais eu de doutes... quand onvoit le soin et la difficulté que nous avons àvérifier nos sources « physiques ».

…ou outils de partage ?

C'est pour cela que les réseaux sociaux nepeuvent pas prétendre faire la moindreconcurrence à la presse, sérieuse du moins :on s'y détend, on y respire l'air du temps, on ypuise éventuellement une idée à creuser, maispas davantage.

Les réseaux sociaux peuvent aussi donner uneidée de la réaction du public, notamment par

l'amplification de certains sujets ou par letraitement en décalage des informa-

tions, à travers des dessins humoris-tiques ou des blagues. On le voit

beaucoup actuellement dans lacampagne présidentielle fran-

çaise. Surtout, les réseauxsociaux constituent, pour

nous journalistes, unmoyen de diffusion.Lorsqu'un article – demoi ou d'un confrère –me paraît intéressant,je « poste » sur twitteret LindkedIn : unegrande partie deceux qui me« suivent » le fontpour être au courantde l'actualité sur lesthèmes que je traite(risque, audit, gou-vernance, trésorerie,etc.). Libre à eux,

ensuite, d'aller ou nonlire les articles...

@DesjardinsCecil

Regard d'une journalisteCécile Desjardins, journaliste indépendante

TÉMOIGNAGES




DOSSIER

Quelle gouvernance etquel rôle de l’audit interne ?29

Des outils indispensables pour les entreprises23

Des risques spécifiques à identifieret à maîtriser26

Une première mission chez Danone34

MÉDIAS SOCIAUX

Comment en tirer profitComment les intégrer dans l'univers d'audit

MÉDIAS SOCIAUX


Qu’est-ce que « média social » ?

Le terme média désigne « un procédépermettant la distribution, la diffusion ou lacommunication d'œuvres, de documents, oude messages sonores ou audiovisuels ». Enl’associant à l’adjectif « social », on y ajouteune notion de rapports et de relations entreles membres d’une société ou d’un groupe.La combinaison de ces deux définitionspermet déjà de fournir une représentation duconcept. Cependant, il y manque une notionessentielle et intrinsèque aux médias sociaux :la notion de digital. En effet, le terme de« médias sociaux » désigne les différents typesde plateformes digitales promouvant l’inter-action sociale en permettant à leurs membresd’établir ou d’intégrer des réseaux d’amis ouconnaissances professionnelles et de partici-per à la vie de ces réseaux à travers la mise àdisposition d’outils et interfaces de présenta-tion, de communication et d’interaction. Parconséquent, un média social est un site dontles activités intègrent trois éléments fonda-mentaux : la technologie, l’interaction socialeet la création et diffusion de contenus.

Médias sociaux versus réseauxsociaux

Parmi les acteurs et spécialistes du sujet, lesavis divergent concernant la distinction entre

Des outilsindispensablespour les entreprises

L’expression « média social » est omniprésente aussi bien dans le cadre privé que dansle cadre professionnel. De nos jours, tout est « social » et tout le monde est « média »,du simple individu à l’entreprise. En effet, les entreprises veulent exploiter le pouvoirdes médias sociaux afin d’être en mesure de tirer parti de cet outil aux multiples possi-bilités. C’est pourquoi l’utilisation des médias sociaux par les entreprises s’est accrue demanière exponentielle ces dix dernières années. Mais que se cache-t-il réellementderrière ce terme ?

Jean-Pierre Hottin, Associé, PwC


MÉDIAS SOCIAUX

un média social et un réseau social.Initialement, un réseau social désigne uneplateforme dont la vocation première est lamise en relation des utilisateurs entre eux. Ilse caractérise par un site internet sur lequelles membres créent leur profil dans le but dese connecter et d’interagir avec d’autres utili-sateurs. Les membres y sont liés de façon bila-térale ou au travers de groupes. Un réseausocial peut être généraliste (Facebook),

professionnel (LinkedIn), interne aux entre-prises (Réseau Social d’Entreprise) ou bienfocalisé sur des centres d’intérêts.D’autres formes de plateformes de médiassociaux existent, comme par exemple lesblogs, les forums de discussions ou les sitesd’évaluation et diffèrent des réseaux sociaux.Il n’est pas nécessaire de créer de profils pouralimenter ou échanger sur ces sites, et lescontributeurs ne sont pas connectés entre

eux. Ce sont simplement des plateformes departage et de création de contenus.Cependant, des sites comme LinkedIn etFacebook sont eux aussi devenus au fil dutemps des plateformes de partage, de créa-tion et diffusion de contenus, ce qui rend deplus en plus difficile la distinction à tenir entremédia social et réseau social pour certainssites.

Tout comme les réseaux sociaux, les autrescatégories de média social se définissent pardes caractéristiques propres : Les blogs sont des pages personnelles ou

d’entreprises comportant des articles créésde manière périodique. Il est possible d’yajouter des commentaires et d’entrer enconversation avec les auteurs.

Les micro-blogs, dont le plus connu estTwitter, sont des dérivés concis du blog,permettant de publier un court article etdont le but est de pouvoir diffuser desinformations en temps réel.

Les médias collaboratifs, comme les« Wikis », correspondent à des sites webdynamiques (par exemple : Wikipédia) dontles pages sont modifiables par les utilisa-teurs. Lorsqu’une page est modifiée, lescontributeurs réguliers qui suivent lesévolutions de cette page peuvent vérifieret, si besoin, corriger ou compléter la modi-fication effectuée.

Les sites d’évaluation et de classementcorrespondent quant à eux à des plate-formes où les membres donnent leur aviset notent différents types de prestationscomme les restaurants, hôtels, logements,loisirs, les villes, etc. (par exemple :TripAdvisor et Yelp).

Les forums sont des espaces de discussionoù les internautes échangent, posent desquestions et publient des réponses sur desthématiques données (par exemple :Comment ça marche et Doctissimo).

Les sites de partage sont des services quipermettent de télécharger et partager desphotos, vidéos, contenus audio sur un sitepour les rendre accessibles par tout lemonde (Par exemple : YouTube et Flickr).

Les usages des médias sociaux sont différentsen fonction du type de plateforme et despublics visés. La figure en page suivanteexplique comment les médias sociauxpeuvent être utilisés avec l’exemple du lance-ment d’un nouveau smartphone.

Opportunités et enjeuxdes médias sociaux

Aujourd’hui, l’utilisation des médias sociauxcomme outils de communication et demarketing de l’entreprise ne fait plus débat.Accroître la notoriété et gérer l’e-réputationsont les principaux objectifs des entrepriseslorsqu’elles utilisent les médias sociaux.

Réseaux sociaux

Blogs / Micro-blogs

Sites collaboratifs

Sites d'évaluation

Forums

Sites de partage

Panorama des médias sociaux

4Milliards de vues par jour

15,7Millions de visiteurs uniques par mois en France

10Millions de membres en France

31,2Millions de visiteurs uniques

par mois en France sur mobile

13,6Millions de visiteurs uniques par

mois en France sur mobile

95Millions de photos et vidéos

postées par jour

W

Les médias sociaux en quelques chiffres

Source : chiffres Médiamétrie via blog du modérateur

MÉDIAS SOCIAUX


Cependant, les entreprises ne se limitent plusà utiliser les médias sociaux uniquement pourcommuniquer et améliorer leur réputation. Ilssont également largement utilisés dans l’ob-jectif de renforcer la relation clients, de réaliserde la prospection et de générer de nouvellesopportunités.Les entreprises attendent des médias sociauxdifférents bénéfices et les exploitent afin detirer parti des multiples opportunités qu’of-frent ces nouveaux outils. Les médias sociauxdeviennent des outils business à part entièreutilisés pour augmenter l’avantage concur-rentiel, générer des revenus au travers unnouveau canal de vente (social selling) etpromouvoir les produits et services. Ils sontutilisés pour améliorer le service clients, que

ce soit pour interagir ou répondre aux récla-mations, et déployer l’influence de l’entreprise.Enfin, ce sont devenus de véritables outils derecrutement en permettant d’attirer et dedétecter des talents.

Réseaux Sociaux d’Entreprise

Les Réseaux Sociaux d'Entreprise sont desplateformes internes que les organisationsmettent en place pour favoriser les discus-sions, le travail collaboratif et le partage entreleurs salariés à des fins professionnelles.Les Réseaux Sociaux d’Entreprise permettentgénéralement de créer et de rejoindre desgroupes. Ces groupes deviennent alors deslieux virtuels d’échange et de partage d’idées,de documents et de connaissances entrecollaborateurs de différents départements,secteurs ou entités. Par exemple, lorsqu’uncollaborateur est confronté à un problème ouun sujet inconnu, d’autres membres duréseau peuvent déjà y avoir été confrontés etpourront lui apporter leur aide.

Une caractéristique essentielle d’un RéseauSocial d’Entreprise, tout comme les réseauxsociaux classiques, consiste en la création d’unprofil. Chaque collaborateur crée son profildans lequel il précise notamment ses compé-tences, son département, ses coordonnées, ettout autre élément jugé pertinent. Le profil estune composante importante d’un RéseauSocial d’Entreprise dans le sens où il permetaux membres d’identifier rapidement lespersonnes et les compétences de chacun ausein de l’entreprise.Lorsqu'ils sont bien utilisés, les RéseauxSociaux d’Entreprise peuvent accroître laproductivité et l’efficacité des collaborateurset améliorer la communication en interne.Les médias sociaux, externes comme internes,sont à présent bien plus que des simplesoutils de communication et marketing. Ilssont désormais des outils indispensables pourles entreprises. Cependant, ces nouveauxoutils comportent de nombreux risques qu’ilest nécessaire d’identifier et de maîtriser.

Facebook : je « like » le lancement du nouveau smartphone

Twitter : le #nouveausmartphone est top #révolution

Fac

YouTube : je regarde le tutoriel expliquant les nouvelles fonctionnalités

LinkedIn : je partage un article sur le futur lancement du smartphone

Instagram : je poste la photo de mon nouveau smartphone

Pinterest : je trouve quelques idées pour personnaliser le nouveau smartphone

Wikipédia : je contribue au renseignement des caractéristiques du nouveau smartphone

Les médias sociaux expliqués avec la mise sur le marchéd’un nouveau smartphone

56 %Renforcer la

relation clients

51 %Mesurer la

réputation de l’entreprise

51 %Générer de nouvelles

opportunités

Opportunités et enjeux

Chiffres issus du Baromètre Hootsuite 2017 - Les médias sociaux en Entreprise

Social sellingLe social selling est un processus derecherche, de sélection, d’écoute etd’interaction avec des prospectspotentiels via les médias sociaux.L’objectif consiste à utiliser les médiassociaux pour améliorer les perfor-mances commerciales. Le social sellingjoue un rôle majeur pour identifier lesdécideurs et aide principalement dansla détection de pistes commerciales. Ilne remplace pas l’approche commer-ciale classique, il en est complémen-taire. C’est une technique qui nécessited’associer les mécanismes de ventestraditionnels en les associant aux fonc-tionnalités des médias sociaux enadoptant un réel changement d’ap-proche.

Réseau Social d’Entreprise

Partage dedocument

Partage desavoir

Idéation

Informationpro!l

Questions / réponses

Création dedocument

Les différents usagesdes Réseaux Sociauxd’Entreprise

25


MÉDIAS SOCIAUX

Facteurs de risques des médiassociaux

Lorsqu’on fait référence aux médias sociaux,les premiers risques auxquels on pense sontles risques de réputation. En effet, tout lemonde a en tête des exemples de dérapages,de communications maladroites et demauvais buzz aux effets négatifs durables surl’image et la réputation d’une entreprise.Cependant, l’analyse des risques ne doit pass’arrêter à cette unique catégorie. En tantqu’auditeur interne, il est nécessaire d’allerplus loin et d’identifier et maîtriser l’ensembledes risques liés aux médias sociaux.Les différentes menaces que les entreprisesdoivent maîtriser afin de pouvoir exploiterpleinement le potentiel des médias sociauxpeuvent être rassemblées autour de cinqcatégories de risques, illustrées dans la figureci-contre.

Catégories de risques

Sécurité des données Financier

Réputation

Réglementaire / Conformité

Opérationnel

Les catégories derisques liés auxmédias sociaux

Des risquesspécifiques àidentifier et à maîtriser

MÉDIAS SOCIAUX


Réputation

Comme introduit, le risque de réputation estincontournable. Ce risque résulte de la publi-cation d’un contenu maladroit ou inappropriésur les médias sociaux, soit délibérément, soitpar accident, nuisant à la réputation d'uneorganisation.

Par exemple, en 2013, Pôle Emploi s'était féli-cité via son compte officiel Twitter d'être entête des sites préférés des français dans lacatégorie « Emploi-Carrière », en postant « Lesite pole-emploi.fr reste cette année en têtedes sites préférés des français dans sa catégo-rie ». Le message avait suscité beaucoup deréactions.

Une autre erreur courante consiste en lapublication par un Community Manager ou uncollaborateur d’un message privé depuis lecompte officiel de son organisation au lieu deson compte personnel. Les réactions à ce typed’erreur peuvent vite devenir virales notam-ment quand le message en question, envoyéà partir du compte officiel de l’entreprise, estgrossier ou inapproprié.

Les conséquences des risques de réputationpeuvent s’avérer très graves et entraîner uneréaction de la part des actionnaires, le désin-térêt des prospects, la perte de confiance desclients, la démobilisation des collaborateurs,voire la mobilisation des associations deconsommateurs contre la marque.

Sécurité des données

Il s’agit principalement de risques tels quel’absence ou la mauvaise gestion des accèsaux comptes officiels des entreprises et lanégligence des collaborateurs sur leurs

données partagées ou publiées. Par exemple,il arrive que des collaborateurs publient desinformations confidentielles ou des contenusprotégés par des droits de propriété intellec-tuelle pouvant générer des pertes consé-quentes pour l’entreprise : perte d’avantageconcurrentiel, réclamation de la part declients, perte de confiance de clients auregard de la protection de leurs données, etc.

Concernant les Réseaux Sociaux d’Entreprise,il existe de véritables défis autour de lamaîtrise des données partagées par lesemployés sur le réseau et notamment concer-nant la publication de données privées oubien le partage d’informations confidentiellesrelatives à des clients. Il existe également desenjeux autour de la sécurité des données del’entreprise notamment lorsqu’elles sonthébergées chez le prestataire du RéseauSocial d’Entreprise.

Enfin, comme tout SI utilisé par les entreprises,l'usage des médias sociaux implique de sedoter d’un dispositif de protection performantcontre les cyberattaques dont font régulière-ment l'objet les entreprises. La multiplicité desmédias sociaux élargit le champ des possiblespour les pirates, et c'est par ce biais, qu'enmars 2017, une croix gammée s'est retrouvéesur le compte Twitter officiel du Ministère desFinances.

Financier

Les risques financiers liés à une crise sur lesmédias sociaux font probablement partie desrisques financiers les plus critiques pour lesentreprises cotées en bourse. L'impact négatifque peuvent avoir les médias sociaux sur lecours de leurs actions peut en effet s’avérercatastrophique.

Il y a quelques exemples (cf. encadré) desociétés qui ont subi une baisse du cours deleur action suite à un dérapage sur les médiassociaux. Sans processus appropriés mis enplace pour identifier et répondre avec réacti-vité aux buzz et fausses informations généréssur les médias sociaux, un dérapage peut rapi-dement se transformer en crise, avec pourconséquence majeure la perte de confiancedes investisseurs.

Opérationnel

Contrairement aux idées reçues, autoriser l'ac-cès aux médias sociaux à ses employés nedoit pas être perçu comme une cause deperte de productivité du collaborateur. Aucontraire cela contribue à l'image dynamiquede l'entreprise, accentue le sentiment d'ap-partenance du salarié à son entreprise etrenforce sa motivation.

De plus, autoriser l’accès aux médias sociauxaux collaborateurs peut générer un avantagecommercial pour l’entreprise, car les collabo-rateurs ont la possibilité de contribuer aupartage et à la diffusion des annonces, desarticles, des offres et des services de sonentreprise. Un risque ici pour les organisationsconsisterait donc en la perte d’avantageconcurrentiel générée par une interdictiond’accès aux médias sociaux et un manqued’adhésion des collaborateurs à la stratégiemédia social de l’entreprise.

Pour les entreprises utilisant les médiassociaux comme canal de vente (social selling)ou comme outil de gestion du service après-vente, il existe également un risque de pertede source de revenu en cas d’indisponibilitédes plateformes.

Faux compte BPAu moment de la marée noire duGolfe du Mexique, survenue suite àl’explosion de la plateforme BP« Deepwater Horizon », un faux compteBP, @BPGlobalPR, a été créé sur Twitter.Ce compte postait des tweets semoquant de BP avec de l’humour noir.Il a eu très rapidement plus de 150 000« followers », ce qui était bien plus quele nombre de « followers » du compteofficiel. Le temps que BP réagisse etsignale qu’il s’agissait d’un fauxcompte, les utilisateurs ont eu letemps d’associer l’image de l’entre-prise à ces messages négatifs.

United AirlinesEn 2009, un chanteur-compositeur canadien voyage avec la compagnie UnitedAirlines. Au cours du vol, sa guitare d’une valeur de 3 500 € se casse du fait d’une négli-gence de la compagnie. Face à cette situation, il réclame une compensation financière.La compagnie a refusé de l’indemniser car il avait attendu plus de 24 heures pourdéclarer le dommage. Le chanteur a réitéré sa demande et a tout essayé, appels, mails,demande de compensation via un voucher pour un autre vol mais la compagnie n’ajamais voulu rembourser le dommage matériel.

Le chanteur a fini par écrire une chanson relatant son histoire intitulée « United BreaksGuitars ». Il a publié cette chanson sur YouTube et en très peu de temps elle a été vision-née par des milliers d’internautes. Après 150 000 vues, la compagnie lui a finalementproposé de l’argent pour qu’il retire sa vidéo. Il a, à son tour, refusé la demande de lacompagnie et choisi de la laisser en ligne. L’histoire a été relayée par les médias « tradi-tionnels » et le chanteur a été interviewé plus de 200 fois. Trois à quatre semaines aprèsla diffusion de la vidéo, l’action de United avait chuté de 10 %, ce qui correspondait àune diminution de sa valeur de 180 millions de dollars. La vidéo est toujours en ligneet comptabilise à ce jour plus de 16 millions de vues.


MÉDIAS SOCIAUX

Réglementaire et conformité

La règlementation autour des médias sociauxdiffère dans le monde, et les lois et règlesapplicables à une organisation dépendront àla fois des pays dans lesquels elle est implan-tée, de son secteur d'activité, mais aussi desusages pour lesquels elle utilise les médiassociaux. Par exemple, en France, dès lorsqu’une organisation utilise les médias sociauxà des fins de recrutement, elle doit notam-ment veiller à respecter la loi contre les discri-minations à l'embauche et au travail. Lorsqu’ilssont utilisés à des fins de communication etde publicité, le code de la consommations’applique.

Concernant les Réseaux Sociaux d’Entreprise,certaines plateformes requièrent le renseigne-ment d’informations personnelles des colla-borateurs. Dans ce cadre, une attentionparticulière doit porter sur la conformité auxlois relatives à la protection des donnéespersonnelles.

Par ailleurs, de plus en plus de régulateursélaborent des conseils et des règles sur la

façon dont une entreprise peut ou ne peutpas utiliser les médias sociaux. En France,l’AMF émet des recommandations de bonnespratiques sur l’utilisation des médias sociauxet confirme que les règles encadrant lacommunication sur les médias dits « tradition-nels » s’appliquent également à la communi-cation sur les médias sociaux1.

J.-P. Hottin, associé, PwC

Pratiques commerciales trompeuses et médias sociauxLes conditions d’utilisation de Twitter autorisent les utilisateurs à exploiter la plate-forme à des fins commerciales sous condition de respecter la loi en vigueur dans lepays de l’organisation. En France, dans le cadre du Code de la consommation, uneentreprise qui utilise Twitter pour faire la publicité de ses nouveaux produits ouservices devra indiquer impérativement le caractère publicitaire du tweet afin qu’il n’yait pas de confusion possible entre une information et une publicité.

C’est le cas aussi pour les tweets sponsorisés pour lesquels le caractère publicitaire dutweet doit expressément être mentionné, sans quoi cela serait considéré comme unepratique trompeuse (art. L. 121-1-111°c. Conso).

En cas de pratiques commerciales trompeuses, l’entreprise encourt des sanctionspénales (deux années d’emprisonnement et 300 000 € d’amende).

1 Communiqué de presse : « utilisation des médias sociaux : l’AMFaccompagne les sociétés de gestion de portefeuille et les émetteurs de

titres de créance structurés ».> Position - recommandation AMF n°2013-13 - Guide pour la rédaction

des documents commerciaux dans le cadre de la commercialisationdes titres de créance structurés.

> Position - recommandation AMF - Guide pour la rédaction desdocuments commerciaux et la commercialisation des OPC –DOC-

2011-24

MÉDIAS SOCIAUX


Une gouvernance adaptéeet efficace pour une maîtriseoptimale des risques

Les risques liés aux médias sociaux doiventfaire partie intégrante de la stratégie globalede gestion des risques des entreprises.D’autant plus que l’évolution de la façon dontles entreprises utilisent les médias sociauxmodifie la nature des risques au fil du temps.

Les entreprises doivent déterminer commentmaîtriser au mieux les principaux risques liésaux médias sociaux au travers notamment dela mise en place d’un système de gouver-nance adapté et efficace. Une bonne gouver-nance ne va pas uniquement permettre auxentreprises de gérer efficacement les risquesinhérents aux médias sociaux mais leurpermettra également d’en tirer le meilleurparti tout en leur assurant l’agilité nécessaire

pour rester à la pointe des évolutions. Le dispositif de gouvernance des médiassociaux élaboré par PwC se compose de septéléments clés.

Une stratégie globale relative àl’utilisation des médias sociaux

Concevoir une stratégie globale des médiassociaux, intégrant notamment les stratégies

Quelle gouvernance etquel rôle pour l’audit interne ?


MÉDIAS SOCIAUX

des différentes directions de l’organisation, estun élément indispensable du dispositif degouvernance. Elle permet d’établir les objec-tifs à atteindre à travers l’utilisation des médiassociaux (commerciaux, ressources humaines,communication, etc.). Chaque média socialutilisé doit avoir un rôle, une fonction claire,des objectifs et des indicateurs de perfor-mance associés dans le cadre de cette straté-gie globale. La définition d’une stratégie etdes objectifs associés facilite également lamise en place des contrôles adaptés dans lebut de maîtriser les risques. En effet, sans stra-tégie définie, la gouvernance et la gestion desrisques seraient moins efficaces. A contrario,une stratégie sans dispositif de gouvernanceet sans analyse des risques est vouée à l’échec.

Rôles et responsabilités

Au sein d’une même organisation, plusieursparties prenantes sont impliquées dansl’usage des médias sociaux. C’est pourquoi, ilest important que les rôles et responsabilitésde chacun soient définis et formalisés et quedes directives claires sur la manière de colla-borer et de communiquer sur les médiassociaux soient établies. Sans une bonneappropriation de ces responsabilités, un déra-page peut rapidement avoir lieu, la prise dedécision peut s’avérer difficile et les actionsmenées sur les réseaux sociaux pourraient nepas respecter ou atteindre la stratégie et lesobjectifs définis. Au-delà de la définition des rôles et responsa-bilités des différentes parties prenantes, lagouvernance des médias sociaux est unprocessus qui nécessite la supervision de lapart d’un responsable unique afin de permet-tre un pilotage global. Ce dernier doit avoir laresponsabilité de la coordination des diffé-rentes stratégies au regard des actions enga-gées sur les médias sociaux par l’ensembledes parties prenantes ainsi que la définition etl’actualisation des documents et procéduresliés à ce processus. Il doit également êtreresponsable de la présentation et du suivi desrésultats obtenus via les actions menées surles réseaux sociaux. Les bonnes pratiques observées dans lesorganisations matures pour l’utilisation desmédias sociaux sont notamment l’attributionde la responsabilité globale des médiassociaux à un membre de la Direction Généraleet la constitution d’un comité de supervisiondes médias sociaux intégrant les départe-ments les plus impliqués.

Une politique d’utilisationdes médias sociaux

La formalisation d’une politique d’utilisationdes médias sociaux participe à la garantie

d’une bonne gouvernance. Dans un contexteoù les médias sociaux et leur utilisationévoluent rapidement, il est important deformaliser des règles claires et régulièrementmises à jour afin de maîtriser les usages maiségalement de tirer parti des opportunités iden-tifiées. La politique doit définir les attentesd’une organisation au regard de l’utilisation desmédias sociaux par ses collaborateurs, et four-nir des conseils et bonnes pratiques. Elle doitêtre simple, concise et encourager les collabo-rateurs à utiliser les médias sociaux suivant lamanière dont l’entreprise l’a déterminée. Elledoit aborder les éléments clés suivants : Les types de contenu ou publications qui

peuvent ou ne peuvent pas être publiés. Les enjeux liés à la confidentialité des données. Les règles relatives aux informations asso-

ciées aux profils des collaborateurs sur lesmédias sociaux.

Les modalités de partage des contenusimpliquant l’organisation.

L’engagement de la responsabilité descollaborateurs qui publient.

La frontière entre publication profession-nelle et publication personnelle.

Formation et sensibilisation

Il est inutile d'avoir une politique et de bonnesprocédures si personne ne sait qu’elles exis-tent ou ne sait où les trouver. S'assurer que les

procédures sont facilement accessibles estimportant pour que les utilisateurs puissentles trouver dès qu’ils en ont besoin. Il fautégalement mettre en place des formationsmédias sociaux dont les objectifs sont multi-ples : présenter les éléments clés de la poli-tique de l’entreprise sur l’utilisation desmédias sociaux, sensibiliser sur les risquesinhérents aux médias sociaux, faire monter encompétence les collaborateurs et les encou-rager à utiliser les médias sociaux, ou encoreaméliorer les impacts positifs des démarchesengagées sur les médias sociaux.

Conformité à la réglementation

La conformité réglementaire ne concerne pasuniquement la direction juridique d’une orga-nisation. Les directions ayant une activité surles médias sociaux doivent connaître lesréglementations et les conditions généralesd’utilisation qui s’y appliquent et comprendrecomment celles-ci impactent leurs actionsmenées sur les différentes plateformes.

Résilience1 et gestion de crise

La mise en place d’un dispositif de gestion decrise adapté aux médias sociaux est incon-

Conformité à laréglementation

Résilienceet gestion

de criseGouvernance des

médias sociaux

Formation etsensibilisation

Con!dentialitéet contrôle des

données

Politique des Médias Sociaux

Stratégieglobale


Dispositif de gouvernance des médias sociaux

1 La résilience se définit comme étant la capacité d’une organisation às’adapter à l’évolution de son contexte à court, moyen ou long terme.

MÉDIAS SOCIAUX


tournable pour assurer la résilience d’uneorganisation et accroître la confiance de sesparties prenantes. Dans l’environnementactuel, les organisations ne peuvent pluscompter uniquement sur la chance pourassurer leur survie. Le dispositif de gestion decrise doit permettre l’identification de signauxfaibles afin d’être alerté en amont d’un éven-tuel incident et aider à réagir rapidement etefficacement. Se doter d’une structure, d’ou-tils, de procédures et de plans pragmatiques,opérationnels et intégrés aux activités rela-tives aux médias sociaux permettra de gagneren agilité et de ne pas être surpris lors de lasurvenance d’une crise.

Confidentialité et contrôledes données

Il est essentiel que les organisations mettenten place des processus et des contrôles pourmaîtriser les risques relatifs à la protection desdonnées personnelles, comme d’ailleursl’exige le règlement européen du 27 avril2016. Une organisation se doit également demaintenir la confidentialité des donnéesqu’elle détient sur ses employés, ses clients,ses fournisseurs et toute partie prenante. Elledoit s’assurer que leurs réseaux ne compor-tent pas de failles de sécurité qui pourraiententraîner des fuites de données.

Cependant, contrôler les données et les fluxdes différents médias sociaux peut paraîtredifficile tant ils semblent compliqués à gérer.Il existe des outils qui peuvent être mis enplace pour maîtriser ces risques. Par exemple,un outil de gestion des médias sociaux pour-rait être un moyen pour gérer et surveiller lescomptes officiels des entreprises sur lesmédias sociaux. Il rendrait également plusdifficile, pour une personne extérieure avecdes intentions malveillantes, l’obtention desdétails de connexion des comptes et donctendrait à limiter le piratage.

Enjeu et rôle de l’audit interne

La gouvernance des médias sociaux est unprocessus qui devrait être appréhendé parl’audit interne avec la même rigueur que lesautres processus de l’entreprise. Partant de cepostulat, l’audit interne doit apporter uneassurance raisonnable quant à l’efficacité dece processus afin que les principaux risquesrelatifs à l’utilisation des médias sociaux soientmaîtrisés. L’objectif d'un audit des médiassociaux est d'évaluer si l'entreprise disposed’une gouvernance appropriée et si descontrôles efficaces sont en place afin qu’ellepuisse maîtriser ses risques et tirer parti desopportunités offertes par l’utilisation de cesnouveaux outils.

Vision des impacts et approchesd’audit

L’audit interne doit avoir une bonne percep-tion et compréhension des activités ou des

Direction générale

Dis

posi

tif d

e go

uver

nanc

e

Aud

it In

tern

e

Politique et procédures

Risque, contrôle interne et

conformitéJuridique Marketing Communication

Services Clients Ressources humaines Ventes Systèmes

d’information

Groupes de travail / Comités de supervision des médias sociauxStratégie globale


Collaborateurs

Formation

Conformité à la

réglementation

Con!dentialité et contrôle des

données

Résilience et gestion de

crise

Conseil d’administration

Dispositif de gouvernance et acteurs impliqués dans la gestiondes médias sociaux

Une démarche soutenue par le top managementLes meilleures organisations en matière de gouvernance des médias sociaux sont celles dont la Direction et le conseil ont été sensibilisés aux enjeux.

Un dispositif structuré dans une logique d’amélioration continueLes organisations ayant clairement dé!ni les rôles et responsabilités du management et ayant déployé un dispositif structuré dans une logique d’amélioration continue ont montré une meilleure capacité à faire face à l’aléa.

Un regard actif sur les tendancesLes organisations ayant mis en œuvre une veille e"cace sur les médias sociaux peuvent repérer les tendances pour en tirer le meilleur parti. Cela permet notamment de mettre en œuvre une stratégie di#érenciante a!n de se distinguer des autres.

Un état d’esprit novateurLes organisations qui utilisent les médias sociaux de manière e"cace sont dans un mode de ré$exion par anticipation en imaginant sans cesse la prochaine innovation.

Une approche collaborativeLes médias sociaux sont utilisés comme vecteur d’adhésion pour que les collaborateurs contribuent aux objectifs de leur organisation, ce qui donne l’opportunité au management de mesurer leur engagement par ailleurs.

Un partage des connaissances accéléréLes médias sociaux sont utilisés en interne pour accélérer et faciliter le partage de connaissances.

Une identité a!rmée sur les médias sociauxUne organisation claire concernant sa présence sur les médias sociaux et sur l’image qu’elle souhaite di#user renforce la cohérence de son action. Pour certaines entreprises, cela signi!e un engagement direct auprès des consommateurs à un niveau personnel, pour d’autres, par une approche unique.

Une stratégie qui soutient les objectifs businessLes organisations ayant alignées leur stratégie de communication sur les médias sociaux à leurs objectifs business arrivent plus e"cacement à tirer pro!t de leurs e#orts.

Les bonnes pratiques des entreprises en matière d’utilisation des médias sociaux


MÉDIAS SOCIAUX

opérations de son entreprise et des opportu-nités générées par l’utilisation des médiassociaux pour être en mesure de préconiserdes conseils pertinents et d’apporter une véri-table valeur ajoutée. Avec une bonneconnaissance des enjeux et objectifs, l’auditinterne est également en mesure de réaliserune analyse approfondie des risques médiassociaux afin d’avoir une vision globale desdifférentes menaces pouvant affecter l’entre-prise. Avant de conduire un audit des médiassociaux, les auditeurs devront tout d’abordidentifier si l’entreprise a mis en place undispositif de gouvernance spécifique. Si cen’est pas le cas, le rôle de l’audit interne serad’être proactif pour accompagner l’entreprisedans la définition de ce dispositif. L’auditinterne pourra également assister les diffé-rentes parties prenantes dans la mise en placed’indicateurs clés de performance (nombresde publications, de membres, de retweets, de« likes », de clics sur les liens proposés, etc.) etde suivi des actions engagées sur les médiassociaux.Dans le cas où le dispositif de gouvernanceexiste, l’audit interne pourra alors effectuerune revue des différents éléments composantle dispositif et évaluer le niveau de maturitéde l’entreprise quant à la maîtrise des risquesrelatifs à l’utilisation des médias sociaux. Il

pourra alors émettre des recommandationsdans le but d’améliorer le dispositif mais aussid’optimiser la performance des actionsmenées sur les médias sociaux.Plusieurs approches sont possibles pour audi-ter un dispositif de gouvernance des médiassociaux. L’audit peut être mené de manièreverticale, sur un sous-processus en particulier,le recrutement via les médias sociaux parexemple, en évaluant l’ensemble des compo-santes du processus. L’audit peut égalementêtre conduit de façon transversale, c’est-à-direen ciblant un composant du dispositif (par ex :l’organisation, la formation, les procédures,etc.) pour l’ensemble des plateformes utiliséespar tous les départements de l’entreprise.

Les outils de surveillance desmédias sociaux : des outils utilespour l’audit interne

Initialement, les outils de surveillance desmédias sociaux ont pour objectif de permet-tre aux acteurs concernés de mieux connaîtreles clients, les concurrents et les influenceurs2

d’un secteur d’activité. Ils sont utilisés poursurveiller sa marque, ce qui se dit sur les plate-formes et détecter de nouvelles opportunités.Ces outils, nécessaires aux responsables desmédias sociaux, vont également devenir utilespour les auditeurs internes. En effet, ces

derniers vont pouvoir se servir de ces outilsde surveillance lors de leur mission. Un des axes serait d’utiliser ces outils pourdéterminer la population et l’échantillon pourles tests et contrôles du programme de travail.Par exemple, sur la base du nombre demessages où l’entreprise est citée par despersonnes externes sur le dernier trimestre,l’audit constituerait un échantillon demessages pour évaluer la conformité desréponses publiées par l’entreprise. L’audit peutégalement s’appuyer sur les outils de surveil-lance pour évaluer la performance et l’effica-cité des actions engagées par lesresponsables des médias sociaux, en fonctiondes différents indicateurs de performancedéfinis.

Adaptation des compétenceset pédagogie

Inclure l’utilisation des médias sociaux,comme un processus à part entière dans unprogramme d’audit, est un concept relative-ment novateur. Dans ce contexte, les audi-teurs internes peuvent manquer d’expériencedans l’appréhension de ce nouveau processus

2 Un influenceur est une personne qui, par son statut, sa position ou sonexposition médiatique peut influencer les comportements de

consommation dans un univers donné.

Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 5

Initié

L’organisation aconnaissance des risquesliés aux médias sociaux,cependant il n’existe pasde processus formalisépermettant une gestionglobale de ces risques.Ceux-ci sont gérés aucas par cas.

Piloté

Un responsabledes médias sociauxest clairement désigné.Cependant, les médiassociaux ne sont pasgérés au traversd’un processusstandardisé.

Il n’existe ni formationni procédure.

Formalisé

Un responsable desmédias sociaux estclairement désigné.

Des processus simplessont dé!nis etdocumentés maisne sont passystématiquementsuivis ou appliqués.

Une formation estproposée et son tauxde participation est suivi.

Intégré

Un responsable desmédias sociaux estclairement désigné.

Des processus robustessont dé!nis, documentéset contrôlés.

Des outils de gestiondes médias sociauxsont utilisés de manièreisolée ou hétérogène.

Les processus sontrégulièrement revuset améliorés.

Une formation estproposée et son tauxde participation est suivi.

Optimisé

Les médias sociaux etleurs impacts sont unthème discuté lors descomités de direction.

Des processus et despolitiques sont dé!nis,documentés, contrôléset régulièrement revus.

Un dispositif de gestionde crise adapté est enplace et régulièrementtesté.

Des outils sont en placepour gérer les médiassociaux et les donnéessont analysées et suivies.

Un processus completde gestion et d‘alertepar palier des incidentsest dé!ni et régulièrementtesté.

Les reporting sontalignés sur la stratégiebusiness.

Grille des niveaux de maturité

MÉDIAS SOCIAUX


et l’identification des risques associés.L’élargissement des compétences par desactions de formation sur les risques des diffé-rents médias sociaux devient par conséquentun enjeu majeur. Il est nécessaire que la fonc-tion audit interne évolue au même rythmeque les besoins de l'entreprise et de l’environ-

nement de risques auxquels celle-ci estconfrontée afin d’apporter de la valeur ajou-tée.De même, les audits de ces outils et processusétant peu répandus à ce jour, un accompa-gnement pédagogique des propriétaires deprocessus sera un facteur clé de succès d’une

mission de ce type. Les directions les plus utili-satrices des médias sociaux, telles que lacommunication et le marketing, sont tradi-tionnellement moins auditées, que les direc-tions financière, achats, SI, ou RH par exemple.Pour éviter de se heurter à des comporte-ments réfractaires qui verraient l’audit internecomme un frein à leurs initiatives, il est impor-tant que les audités comprennent que l’auditest effectué parce que l’entreprise souhaitemaîtriser les risques et tirer parti des opportu-nités que les médias sociaux lui offrent. Il fautinsister sur la vocation de l’audit interne àsoutenir ces initiatives et à formaliser desrecommandations sur les efforts à déployerpour améliorer les processus et accroître laperformance des bénéfices attendus de l’uti-lisation des médias sociaux. Par exemple, il estimportant d'expliquer à ceux qui utilisent lescomptes officiels de l’entreprise que descontrôles adéquats et efficaces leur permet-tront d’être plus performants sur les médiassociaux, de limiter les dérapages potentiels, etd’accroitre leur capacité de réaction. Enfin laméthodologie d’audit permet de s’appuyersur des constats concrets, de quantifier préci-sément l’impact des risques associés, et demener l’analyse causale nécessaire à la miseen place de plans d’actions efficaces.

J.-P. Hottin, associé, PwC

Politique et procédures

Formation

Conformité à la réglementation

Con!dentialité etcontrôle des données

Résilience et gestion de crise


Stratégie globale

Ressources humaines Ventes Communication

Exemple de processus d’utilisation des médias sociaux

Composants du dispositif de gouvernance

Communication institutionnelle

Recrutement Développement commercial

Approche d’audit verticale

Approche d’audit transversale

Les deux approches d’audit

Réalisation des travauxComprendre l’organisation en place et obtenir la politique et les procédures associées.Obtenir la liste complète des plateformes utilisées avec une description précise des objectifs de chaque média social utilisé.Identi!er les principaux risques associés à l’utilisation des médias sociaux comme outil de recrutementEtablir un programme de travail détaillé avec un contrôle pour chaque risque identi!éRéaliser les tests prévus sur la base d’un échantillon de messages et d’annonces de recrutement postés

Développement des plans d’actionProposition d’une feuille de route au comité d’audit pour la mise en œuvre des préconisations établies.

Cadrage

Exécution

Conclusion

Plans d’action

CadrageAudit de l’utilisation des médias sociaux comme outil de recrutement.Les investigations porteront sur la stratégie, les rôles et responsabilité, la politique d’utilisation ainsi que la conformité à le réglementation. Les champs suivants sont exclus du périmètre :

FormationGestion de criseProtection des données

Synthèse des conclusionsFormaliser les constats (écarts, non conformités…) et propositions de recommandations.Identi!er les améliorations possibles pour renforcer l’organisation en place.

Exemple de déroulement d’une mission d’audit à l’approche verticale


MÉDIAS SOCIAUX

Revue AR&C : Quel est l’état des lieux en matière d’utilisation desmédias sociaux (MS) chez Danone, d’une part vers l’extérieur(partenaires, fournisseurs, clients …) et d’autre part en interne ?Quels sont à votre avis les bénéfices résultant de l’utilisation et dudéveloppement des MS ?

Patrice Lecœuche : Danone utilise les médias sociaux à la fois eninterne et en externe. En 2016, nous avons lancé le programme« Digitally Fluent ». Ce programme porté par l’un des membres duComité exécutif, permet à Danone de franchir une étape dans ladigitalisation des fonctions, de la topline de ses salariés. Plus préci-sément, il va permettre d’accroitre la culture et l’expertise digitaledes Danoners. Il prévoit de faire évoluer nos manières de travailler,vers plus de collaboration, d’agilité et d’ouverture. Pour répondreà cette ambition, nous avons lancé Workplace et Workchat, deux

nouveaux médias sociaux internes. Des formations courtes ont faci-lité le déploiement mondial de ces nouveaux réseaux. Avecaujourd’hui près de 50 000 personnes (soit 50 % des collaborateursayant accès à la plateforme) et un taux d’utilisation très important,ces nouveaux outils bouleversent en profondeur les habitudes detravail renforçant les interactions, la création de communautés etde groupes de travail et le partage d’information.

Pour une entreprise présente sur tous les continents, l’intérêt prin-cipal de nos médias sociaux internes est de supprimer les barrièresd’espace et de temps. Ils nous permettent de mieux communiquerd’échanger facilement des informations au sein de communautésimportantes, de partager des vidéos, d’organiser des conférencestéléphoniques. Ils constituent un levier très puissant de commu-nication interne, en favorisant le partage et l’accès à l’information.

En externe, les réseaux sociaux nous permettent à la fois de fairede la veille, mais aussi d’être plus proches de nos consommateursen échangeant directement avec eux. C’est à travers nos marquesque nous sommes les plus actifs sur les réseaux sociaux, pour infor-mer et échanger avec nos consommateurs. Nous y avons égale-ment recours en matière de communication institutionnelle pourtoucher l’ensemble de nos publics sur des sujets transversaux.

L’émergence des réseaux sociaux a induit des bouleversementsprofonds de nos pratiques et fait naître de nouveaux besoins. C’estle cas entre autres de la veille, de la gestion du service client, dumarketing ou du community management.

Sièg

e social Dan

one Pa

ris

Une première mission chez Danone

Chez Danone, l’audit interne est organisé en 3 Hubs :Singapour pour couvrir l’Asie-Pacifique, Paris pour couvrir laCEI1, l’Europe, l’Afrique et le Moyen-Orient et enfin Mexicopour couvrir l’Amérique du Nord et l’Amérique du Sud. Sondirecteur Patrice Lecœuche, après l’EDHEC et un MBA enAngleterre a rejoint Danone pour occuper différents postesau sein de la fonction Finance. Il est actuellement rattachéau directeur du contrôle financier du groupe. Nous le remer-cions d’avoir bien voulu répondre à nos questions.

Patrice Lecoeuche, Directeur de l'audit interne, Danone

1 Communauté des Etats Indépendants constituée de la Russie et de 9 des 15 anciennes Républiques soviétiques [NDLR].

MÉDIAS SOCIAUX


Nous captons aussi les nouvelles tendancesde consommations, les nouveaux besoinsainsi que ce que les consommateurs ont ànous dire.

AR&C : Une analyse des principaux facteursde risques, liés à l’utilisation des MS, a-t-elleété entreprise au sein du groupe et avez-vousété associé à cette démarche ?

P. L. : Pour Danone, les medias sociauxoffrent de formidables opportunités.Chaque jour, chacun peut partager son expé-rience et s’exprimer de façon individuelle ouau sein de communautés. En ce sens, lesmédias sociaux constituent une formidablesource d’information en temps réel. Pournous, l’enjeu réside dans la bonne compré-hension de la dynamique de chaque commu-nauté, chacune ayant des codes et des usagesqui lui sont propres.

Ils offrent également la possibilité d’interagirdirectement avec nos publics, sans filtre. Encela, les médias sociaux nous permettentd’expliquer comment nous opérons et d’ap-porter les informations pertinentes à nospublics.

Cela a des répercussions importantes sur nosorganisations qui doivent s’adapter, écouteren permanence ces nouvelles tendancesexprimées via les médias sociaux.

Les équipes marketing, communicationinterne et communication externe deDanone ont su évoluer au gré de l’émergencede nouveaux canaux (Facebook, Twitter,LinkedIn).

L’audit interne n’a pas été directement associéà une évaluation des risques liés à l’utilisationdes médias sociaux. Cependant, nous avonstrès vite identifié ce nouveau thème commesujet d’audit.

AR&C : Nous avons compris que vous alliezcommencer un audit MS dans le service« Corporate Affairs ». Quel est le commanditairede cette mission ? Quelle est votre démarcheenvisagée pour la mener ?

P. L. : L’audit interne s’est positionné sur cesujet nouveau et important en proposantun audit. Les médias sociaux faisaient partiede notre univers d’audit, au même titre queles achats, la production, la logistique, lesventes, la RH, la Finance, l’Informatique ou laGouvernance. Ils peuvent générer des oppor-tunités notamment pour les marques dansleur capacité d’interaction avec leurs consom-mateurs. Bien sûr, la généralisation desréseaux sociaux induit de nouveaux usages etrequiert une adaptation importante et la miseen place de bonnes pratiques communes ausein de l’entreprise.

Notre direction financière et notre Comitéd’audit ont donc décidé de lancer un audit dusujet, avec pour double objectif de mesurernotre capacité à identifier et à répondre : à tout type de messages diffusés sur les

médias sociaux, mais aussi aux nouvelles tendances de

consommations initiées sur ces mêmesmédias.

Comme tout nouveau thème d’audit, nousavons défini un périmètre de travail permet-

tant d’identifier les sujets à traiter et les inter-locuteurs à qui s’adresser. Nous avons cherchéà y associer les équipes Corporate, les marqueset les entités locales.

AR&C : Quelles sont les compétences atten-dues des auditeurs pour mener à bien ce typede missions ?

P. L. : Cet audit nous permet de donner de lavisibilité à notre fonction et de développerde nouvelles compétences.

L’objectif de cet audit était d’identifier les meil-leures pratiques et d’émettre des recomman-dations pour développer la formation,harmoniser nos organisations et le cadred’exercice ainsi que le reporting, et ce, au seindes équipes centrales et locales.

Pour cela, nous avons constitué une équipemixte d’experts et d’auditeurs généralistes.Nous avons choisi d’analyser les discussionsen 3 langues portant sur 4 de nos marques etavons défini une méthodologie pour identi-fier les niveaux de réponse des équipesCorporate, des équipes métiers centrale etlocales.

Nous sommes sortis de notre zone de confort.En effet, nos équipes connaissaient encorepeu ces sujets, qui sont devenus stratégiquespour notre organisation.

35

Une modification formelleloin d’être cosmétique

Comme dans toute équipe chargée d’une transformation, legroupe de travail « IPPF Relook » de l’IIA a été le théâtre de discus-sions entre les tenants d’une évolution graduelle et ceux quisouhaitaient partir d’une page blanche. Tous s’accordaient sur unpoint : l’environnement dans lequel l’audit interne est pratiqué aradicalement changé depuis la première définition il y a 70 ans.Certes, le cadre de référence avait été étoffé mais était-il suffisam-ment robuste pour continuer à soutenir notre contribution à larésolution des défis actuels et futurs de nos organisations ? Au final, la cohérence interne du cadre publié en 2015 a été renfor-cée. Il redonne aux Normes (revues en octobre 2016 et officielle-ment applicables en janvier 2017) leur rôle central de vecteur duprofessionnalisme décliné dans des lignes directrices de mise enœuvre.

Ce remodelage s’accompagne d’une clarification des messagesclés. Deux nouvelles composantes, notamment destinées à lacommunication avec les parties prenantes de l’audit interne, sontintroduites : la Mission de l’audit interne et les Principes fondamen-taux pour la pratique professionnelle de l’audit interne :

Une Mission communeà transposer dans votrecharte, à décliner dans vosactivités et votre commu-nication. Cette Mission vise lacommunication avec les

parties prenantes. Le responsable de l’audit interne devrait doncs’en inspirer pour nourrir ses relations avec ses interlocuteursclés à savoir la direction générale et le Conseil (cf. Norme 1010).C’est également un bon indicateur de la pertinence de l’offre deservices et de l’approche de l’audit interne.

10 Principes fondamentaux marqueurs de votre efficacité. CesPrincipes viennent en prolongement de la Mission pour illustrerles conditions et les circonstances de l’efficacité de l’auditinterne. Ce ne sont pas des concepts creux et disjoints mais despropositions de savoir-être et de savoir-agir imbriquées au Codede déontologie et aux Normes de la profession.

Un périmètre étendu à maitriser

Deux nouvelles Normes rendent compte du rôle étendu de l’auditinterne qui ne va pas sans risque d’atteinte à l’indépendance : La Norme 1112 part du constat que certains responsables de

l’audit interne sont parfois amenés à assumer des rôles qui


ZOOM SUR LES NOUVELLES NORMES

Révision des exigencesprofessionnellesEnraciner votre crédibilité et votreexcellence

Plus qu’un ravalement de façade, les évolutions récentesdu cadre de référence de l’IIA sont un électrochoc salvateurpour les professionnels de l’audit interne. Les plus matures y trouveront un nouveau souffle sur lavoie de l’excellence. Pour d’autres, il s’agira d’y puiser desarguments pour établir la crédibilité de leur fonction. Tousapprécieront cette source d’inspiration individuelle (enparticulier, pour le responsable de l’audit interne) et collec-tive.

Béatrice Ki-Zerbo, Directrice de la Recherche, IFACI

Principes fondamentaux

Dé!nition

Normes

Code dedéontologie

Lignes directrices de mise en œuvre

Lignes directricescomplémentaires

Retrouvez les composantes du Cadre de Référence International desPratiques Professionnelles de l’audit interne dans la bibliothèque enligne du site Internet de l’IFACI.

« Accroître et préserver la valeur del’organisation en donnant avecobjectivité une assurance, desconseils et des points de vue fondéssur une approche par les risques ».(CRIPP)

http://www.ifaci.com/Bibliotheque/Bibliotheque-en-ligne-telecharger-la-documentation-professionnelle/Referentiel-international-de-l-audit-interne/guides-pratiques-ctag-211.html


http://www.ifaci.com/Bibliotheque/Bibliotheque-en-ligne-telecharger-la-documentation-professionnelle/Referentiel-international-de-l-audit-interne/principes-fondamentaux-393.html

http://www.ifaci.com/Bibliotheque/Bibliotheque-en-ligne-telecharger-la-documentation-professionnelle/Referentiel-international-de-l-audit-interne/principes-fondamentaux-393.html

ZOOM SUR LES NOUVELLES NORMES


sortent du cadre de cette fonction. Par exemple, certaines orga-nisations décident de leur confier des activités qui relèvent defonctions de la deuxième ligne de défense (gestion des risques,contrôle interne, conformité...). Les arguments en faveur de cetype d’arrangement ne manquent pas : compétences, écono-mie, efficacité. Que ces activités concernent une personnedonnée ou engagent l’ensemble de la fonction, il convient deprendre un certain nombre de précautions rappelées dans laNorme et d’envisager les étapes pour un retour à une gouver-nance normalisée de l’audit (cf. GP L’audit interne et les activitésde la 2ème ligne de maîtrise).

La Norme 1130.A3 reconnaît le développement des activités deconseil. Bien que déjà intégrées dans la « Définition » de l’auditinterne de 1999, il s’agit d’une réalité qui ressort également del’enquête CBOK-Common Body Of Knowledge de 2015 (cf. L’auditinterne vu par ses parties prenantes). Néanmoins, elle ne doitpas affecter la capacité de l’audit interne à jouer son rôle majeurd’assurance (cf. Décryptage Audit interne et décision).

Une cohérence interne autour des Normes

L’un des axes de la nouvelle révision des Normes vise à mieux fairerésonner les principes fondamentaux de la profession. En voiciquelques exemples : Vision stratégique. Le responsable de l’audit interne se doit

d’être attentif à la stratégie de son organisation et aux problé-matiques émergentes, que ce soit pour la gestion du service etla planification des missions ou des tâches aussi opérationnellesque la fixation des objectifs d’une mission et la conduite d’unaudit de la gouvernance (Normes 2000, 2010, 2200, 2201,2210.A3 et 2110). Cette vision proactive est tout simplement unenjeu de crédibilité (Norme 2100).

Indépendance. En plus des deux nouvelles Normes (1112 et1110.A3) qui rappellent la nécessité de garde-fous robustes, laNorme 1110.A1 a été amendée pour inciter les responsables del’audit interne à faire part au Conseil des ingérences et de leursconséquences. (Pour des exemples d’ingérences, reportez-vousà l’ouvrage de la Fondation de l’audit interne traduit par l’IFACI :« Pressions politiques sur l’audit interne : Comment rester effi-cace ? »).

Positionnement. L’amendement de la Norme 1110.A1complète une des évolutions majeures de notre profession, àsavoir la nécessité d’une relation directe et transparente avec leConseil (Norme 1111). Mais ce filet de sécurité se mérite : leresponsable de l’audit interne doit avoir une approche proactiveet maîtriser sa communication (Normes 2060 et 2450) vis-à-visd’un Conseil ayant tous les attributs attendus de cette instance.En particulier, le Conseil doit être suffisamment indépendant (cf.nouvelle définition de « Conseil » dans le glossaire des Normes).

Suivi de l’efficacité du management des risques et ducontrôle interne. Si l’évaluation de ces processus fait désormaispartie intégrante des usages professionnels, il est rappelé queleur pilotage relève de la gouvernance (Norme 2110).

Coordination. Compte tenu de la multiplication des acteurs dela maîtrise des risques, la Norme 2050 est révisée. Le rôle duresponsable de l’audit interne face à cet enjeu d’efficience estréitéré. Mais son engagement restera vain si cette coordinationn’est pas vue comme un sujet de gouvernance (Norme 2110).

Professionnalisme et création de valeur. L’alignement de la fonc-tion d’audit interne avec les dispositions obligatoires du cadre deréférence et la Mission doit être formalisé dans la charte d’audit(cf. Normes 1000 et 1010), évalué sous la supervision du Conseil(Normes 1300 et 1312) et faire l’objet de communications de lapart du responsable de l’audit interne (Normes 1010 et 1320).

Compétences. Pour être en capacité d’apporter de la valeurconformément à la Mission de l’audit interne et à la Définition,le responsable de l’audit interne doit gérer les compétencesindividuelles et collectives (Normes 2230 et 2030) en prenanten compte les enjeux futurs (Norme 1210).

Le renforcement de la cohérence entre les différentes compo-santes du cadre de référence s’est poursuivi avec la publication deslignes directrices de mise en œuvre. Déclinaisons directes desNormes, elles se différencient des anciennes modalités pratiquesd’application (MPA) par leur aspect plus systématique et métho-dique. Si vous n’avez pas encore découvert ces nouvelles instruc-tions recommandées par l’IIA, vous apprécierez leur enracinementdans chaque norme concernée. Au-delà de l’objectif pédagogique,faciliter une pratique professionnelle structurée autour des Normespermet aux autres compétences de s’exprimer pleinement. Autrescharmes visibles de ce relooking : les références croisées guidentla navigation à travers les Normes car le corpus actuel a l’avantagede pouvoir être appréhendé par différentes lucarnes. Cetteapproche est particulièrement rafraichissante pour les plus aguerrisd’entre nous qui pourront ainsi découvrir les Normes sous un autreangle de vue.

Enfin, pour ne pas déplaire aux as de l’approche systématique,chacune de ces lignes directrices suit le même canevas : Préalables (que dois-je connaître du cadre de référence profes-

sionnel, de mon organisation, de sa gouvernance et de sesrisques avant d’envisager l’application de cette norme ?).

Eléments à prendre en considération pour la mise en œuvre(aspects organisationnels, ressources et méthodes).

Eléments pour démontrer la conformité (en cohérence avec lesexigences professionnelles d’amélioration continue et dequalité).

Connaître et surtout adopter ces leviersd’efficacité

Ainsi donc les auditeurs internes s’appliqueraient à eux-mêmes lesincontournables de tout bon processus de contrôle interne : concevoir un dispositif adéquat à partir d’une connaissance

approfondie de son contexte ; mettre effectivement en œuvre le dispositif, sans négliger l’im-

portance de l’environnement de contrôle et de la gouvernance ; documenter la mise en œuvre et évaluer son efficacité.

L’IFACI s’est fortement investi dans la traduction de ces nouvellesexigences et recommandations. Nous tenons d’ailleurs à remerciervivement le pool de réviseurs qui ont permis ce travail de fond.

Au bout du compte, ce bel engagement collectif serait vain si l’ap-propriation n’était pas effective dans chaque service d’audit. Lespremiers concernés sont bien sûr les responsables de l’auditinterne mais chaque auditeur interne a la responsabilité indivi-duelle d’incarner ces exigences dans sa déontologie et dans sapratique. En outre, l’IIA veille à faire évoluer ce cadre sur la base duretour d’expérience des pratiques mondiales. Plus ce cadre serautilisé, plus nous serons à même de tester sa robustesse face à desquestions aussi précisesque la capacité de l’auditinterne à développer sesoffres de services demanière utile et compé-tente.

Vous souhaitez contribuer à la mise àjour de la version francophone ducadre de référence. Contactez-nous :[email protected]

37



http://www.ifaci.com/bibliotheque/bibliotheque-en-ligne-telecharger-la-documentation-professionnelle/le-cbok-406.html

http://www.ifaci.com/bibliotheque/bibliotheque-en-ligne-telecharger-la-documentation-professionnelle/le-cbok-406.html

http://www.ifaci.com/bibliotheque/bibliotheque-en-ligne-telecharger-la-documentation-professionnelle/publications-de-l-ifaci-153.html

http://www.ifaci.com/72/109/3/Pressions-politiques-sur-l-audit-interne.html




LIBRES PROPOS

Un bref rappel… et quelquesremarques

La nouvelle version c’est d’abord une mise enordre des textes qui étaient jusqu’alorsprésentés sans logique évidente. Ils sontdésormais ordonnancés avec une cohérencequi facilite leur compréhension et leur appli-cation. L’ensemble est présenté sous la formed’un cercle dont la partie supérieure est occu-pée par les dispositions obligatoires et lapartie inférieure par les dispositions faculta-tives. Tout ce qui est inclus dans ce cercleconstitue le CRIPP (Cadre de RéférenceInternational des Pratiques Professionnellesde l’Audit Interne).

Les dispositions obligatoires

Dans la partie supérieure on trouve, ausommet, couvrant les autres dispositions, véri-

tables Tables de la Loi de l’audit interne,l’énoncé des 10 principes fondamentaux.L’intégration réclamée de ces principes, etprise en compte dès 2015, est une bonnechose : elle est la référence suprême à partird’éléments développés dans les autres textesmais qui ont en commun d’être « essentiels »au sens premier du terme. Y déroger c’est nepas pratiquer l’audit interne.Trois documents, de dimensions très variables,mais tous obligatoires, figurent symbolique-ment sous les principes fondamentaux. Cesont la définition de l’audit interne, le code dedéontologie et le corps des Normes propre-ment dit. On peut faire dès à présent, à proposdes deux premiers, les quelques observationsci-après.

La définition de l’audit interne : la faire figu-rer parmi les dispositions obligatoires duCRIPP est une manière de signifier qu’il ne

saurait y en avoir d’autres et que tout autretexte est apocryphe. Qui d’entre nous n’a pasconnu cette époque où les textes les plusdivers fleurissaient ? A chacun sa définition,riche d’une expérience bien évidemmentincomparable, et que l’on retrouvait parfoisdans le contenu des séminaires ! Désormais,il n’y a plus qu’un seul texte.

Le code de déontologie est pratiquementinchangé. Il faut souligner à nouveau soncaractère obligatoire. Rappelons simplementla difficulté que les auditeurs internes rencon-trent parfois pour faire respecter certaines deces règles lorsqu’elles se heurtent à la culturede leur organisation. Ainsi peut-il en être del’intégrité ou de la confidentialité. L’auditeurinterne est alors fort démuni. Mais c’est préci-sément dans ces cas exceptionnels que laprésentation de règles déontologiques issuesd’un code international peut faire changer leregard des interlocuteurs. Les auditeursinternes ne doivent pas hésiter à faire usagede ce texte indispensable. A ce titre il devraitêtre mentionné dans la charte d’audit.

Les dispositions recommandéesmais facultatives

Elles figurent dans la moitié inférieure ducercle et se composent de deux éléments : leslignes directrices de mise en œuvre et leslignes directrices complémentaires.

Les lignes directrices de mise en œuvre trai-tent des mêmes sujets que les anciennes MPA(Modalités Pratiques d’Application), mais sontinfiniment plus précises et fournissent de véri-tables conseils pratiques qui devraient contri-buer à guider l’auditeur interne dans sadémarche. Elles se subdivisent en autant de «Guides de Mise en Œuvre » (GMO) qu’il y a deNormes concernées.

Les lignes directrices complémentairescomposées de guides pratiques et des GTAG(Guides pratiques d’audit des S.I.). Formulonsle vœu que ces guides pratiques ne nous

Variations surles Normes 2017

Les Normes professionnelles de l’audit interne font l’objet d’une refonte importantepar l’IIA, initiée en 2015, elle devrait s’achever cette année. Observons au préalable quele processus cyclique de révision des Normes a son bon et son mauvais côté. Le boncôté est la constante adaptation du référentiel professionnel aux multiples change-ments qui interviennent en permanence dans les organisations, les méthodes de travailet l’environnement. Le mauvais côté est que les utilisateurs que nous sommes ne sontjamais assurés d’avoir en main la dernière version : peut-être est-ce l’avant-dernière ?Voire l’antépénultième ? Il convient d’être attentif sur ce point et souhaitons que nosrédacteurs veillent à conserver une fréquence raisonnable de mises à jour.L’essentiel de la présente révision est déjà réalisé. Il permet d’explorer les grandes lignesde ce travail. La présentation formelle en a été faite dans un excellent article paru dansle N°004 de la revue « Audit, Risques & Contrôle » sous la plume de Jane Seago. Mais iln’est pas interdit d’en faire un bref rappel.

Jacques Renard

LIBRES PROPOS


cantonnent pas exclusivement dans la sphèrefinancière et comptable. Observons que désormais les « Prises de posi-tion » ne font plus partie des Normes au motifque plus colorées par les préoccupations desparties prenantes que par celles des auditeurs.

En sus de la structure rénovée du CRIPP, desmodifications d’importance diverse ont étéapportées aux Normes proprement dites. Ilen est de bon aloi et bienvenues, certaineslaissent planer quelques doutes, d’autresenfin, mais fort heureusement peunombreuses, nous plongent dans laperplexité.

Des modifications de bon aloi

Il s’agit parfois d’un mot, ou d’une phrase,mais qui change tout et est bienvenu. Citons,sans être toutefois exhaustif :

Le rattachement de l’audit interne (N.1110) :on sait combien c’est important pour asseoirl’autorité du DAI et donc de la fonction touteentière. L’ancienne rédaction préconisait quele DAI « relève d’un niveau hiérarchique suffi-sant », ce qui avait trait à son statut. Lanouvelle rédaction indique « qu’il doit êtrerattaché à un niveau de l’organisation quipermette à la fonction d’audit d’exercer sesresponsabilités » ce qui donne une précisionet donc une exigence plus grande quant à saplace dans l’organigramme.Le GMO 1110 confirme et apporte des préci-sions sur ce que devraient être le rattache-ment fonctionnel et le rattachementhiérarchique.

La Gestion de l’audit interne (N.2000) : Lanouvelle Norme apporte des précisions utilesquant à la gestion efficace de l’audit interneen préconisant de prendre en compte les« problématiques émergentes » et la « straté-gie », ce qui est au cœur des préoccupationsactuelles. Il est également ajouté d’avoir àatteindre « les objectifs définis dans la Charted’audit » ; ce qui est une façon de les rendreobligatoires et donc de leur donner autorité.Le GMO 2000 va plus loin dans les recomman-dations et peut-être un peu trop loin enrecommandant au responsable de l’auditinterne de prendre connaissance du CRIPP etde l’organigramme de l’organisation… onimagine mal qu’il puisse ne pas y penser.

La Planification (N.2010) : L’ancienne rédac-tion affirmait la nécessité d’avoir un Plan d’au-dit « fondé sur les risques ». Le nouvel articleva plus loin et, adoptant la nouvelle termino-logie, réaffirme l’exigence d’un plan d’audit« fondé sur une approche par les risques ». Par

là même il implique la définition d’uneméthodologie pour y parvenir.Le GMO 2010 souligne la double nécessitéd’organiser l’univers d’audit et de prendre encompte la maturité de l’organisation.

La coordination avec d’autres prestataires(N. 2050) : Elle a toujours été recommandée(en particulier avec les commissaires auxcomptes), mais pas toujours suivie. Lanouvelle Norme la renforce et l’étend en ajou-tant qu’il est possible d’utiliser « les travauxdes autres prestataires internes et externesd’assurance et de conseil ».Voilà qui devraitfaciliter la coopération pour le bénéfice detous.Malheureusement la rédaction maintient leconditionnel (« devrait ») là où l’on s’attendraità trouver plutôt un impératif. Mais le GMO2050 donne de bons exemples de mesures decoordination possibles et met en gardecontre les doubles emplois.

La Gouvernance (2110) : Remplacement duterme « gouvernement d’entreprise » par« gouvernance » : modification heureuse caron sait bien que l’audit interne ne se limite pasau monde de l’entreprise. La nouvelle rédac-tion apporte de surcroît des compléments

bienvenus pour améliorer les processus degouvernance.

La Planification de la mission (N.2200) : Lanouvelle Norme complète les éléments àprendre en compte pour élaborer le plan dela mission : « stratégie, objectifs et risquespertinents ». Ce dernier point sous-entend lanécessité d’identifier et d’évaluer les risquesdans le plan de mission, quelle que soit laméthode utilisée pour y parvenir.L’identification des risques est une étapeessentielle à ce stade ; la Norme 2210. A1 leconfirme sous la forme d’un rappel impératif.

En la forme rappelons le progrès réalisé parles guides de mise en œuvre par rapport auxanciennes MPA : ils comportent systématique-ment un chapitre « Eléments à prendre encompte pour la mise en œuvre » et un chapi-tre « Eléments à prendre en compte pourdémontrer la conformité » qui sont de vérita-bles guides pratiques pour l’auditeur.

Mais tout n’est pas positif dans les retouches

apportées au texte et certaines nous laissentdans l’incertitude.

Quelques doutes…

Certains textes, qui alourdissent les tâches duresponsable de l’audit interne en lui deman-dant de fournir et présenter de plus en plusde documents peuvent être interprétéscomme un souci croissant de sécurité et l’in-tention d’intéresser encore plus le Conseil auxtravaux de l’audit interne. Ce peut être aussil’expression d’une tendance forte à « mettresous tutelle » le responsable de l’audit interneen lui dictant point par point ce qu’il devraitfaire et en entrant parfois dans un détailexcessif sans prendre en compte le niveaunormal de compétence d’un DAI.Or cette méthode n’est pas sans risques : outrele fait qu’elle porte atteinte au statut et doncà l’autorité, elle interdit l’adaptation. Les listeslimitatives portent toujours en elles le risqued’omission. Je rêve toujours de l’article 1382du code civil qui, en une seule phrase, évoquetous les cas possibles de responsabilitécivile… et sans en faire la liste1.Ce doute concerne la Norme 1320 sur lacommunication relative au programmequalité. Après avoir énoncé le principe de la

communication des résultats, la nouvellenorme ajoute une liste des documents àcommuniquer allant jusqu’aux plans d’action.Nous avons le même questionnement avec laNorme 2060 sur la communication à la DG etau conseil, communication ô combien impor-tante. Or on ajoute, dans l’interprétation de laNorme, une liste impressionnante des docu-ments et informations à fournir, liste reprisepar le GMO 2060.Et on pourrait ajouter la Norme 2450, laNorme 2210 A.3, le GMO 2000, etc.

Autre incertitude : l’ancienne Norme 1010prescrivait « le responsable de l’audit interneprésente le CRIPP à la D.G. et au Conseil ». Lanouvelle rédaction utilise le conditionnel :« devrait présenter… ». L’exigence premièreserait-elle devenue un simple conseil ? Relevons enfin quelques confusions de voca-bulaire : dossiers de travail et papiers de travail,surveillance et supervision… mais tout celaest relativement subalterne.Par contre, on peut identifier des prises deposition difficilement explicables, mais qui,

Le responsable de l'audit interne ne sauraitexercer en même temps une responsabilitéopérationnelle

«»


LIBRES PROPOS

espérons-le, ne sont peut-être que des erreursà corriger.

Errare humanum est…

Il s’agit en premier lieu de la nouvelle Norme1112 qui définit le « rôle du responsable del’audit interne en dehors de l’audit interne »,ce qui contredit totalement la Norme 1100« L’audit interne doit être indépendant » etnous fait regretter l’ancienne Norme 100encore plus explicite « Les auditeurs internesdoivent être indépendants des activités qu’ilsauditent ». On connaissait déjà l’audit internequi n’était plus « interne » lorsqu’exercé pardes auditeurs externes, voici l’audit interne quin’est plus « audit »…Le GMO 1112 multiplie les tentatives de justi-fication, mais la multiplication ne peut êtreune justification.La précision manquante et qui explique peutêtre la confusion est le mot « opérationnel » :le responsable de l’audit interne ne sauraitexercer en même temps une responsabilitéopérationnelle. En effet le responsable de l’au-dit interne peut être en même temps riskmanager ou responsable qualité… maisimagine-t-on un CIA responsable des appro-visionnements, ou responsable de la paye ?Ou directeur d’usine ? Il y aurait là une atteintegravissime aux principes d’indépendance etd’objectivité, car « on a du mal à voir ou à

admettre les déficiences ou les erreurs de sonpropre travail » (IIA : « Manuel d’auditinterne »).Certes, la Norme précise qu’il faut dans ce cas« prendre des précautions » et le GMO 1112en donne des exemples mais la seule précau-tion qui vaille est l’interdiction.Et malheureusement, après ce faux-pas il y ena un autre.

… Perseverare diabolicum

Est en cause la Norme 1130.A3 (nouvelle, elleaussi) qui permet à l’audit interne de « réaliserdes missions d’assurance concernant desdomaines où il a effectué précédemment desmissions de conseil ». Certes on ajoute àcondition de ne pas porter atteinte à l’objec-tivité, mais ne rêvons pas…Auditeur interne, je vais réaliser une missionde conseil sur la gestion d’un magasin depièces de rechange et qui aboutit à une réor-ganisation conforme à mes préconisations.Quelques mois après je vais réaliser unemission d’audit sur la gestion de ce mêmemagasin… et je vais être objectif ?Et d’ailleurs cette nouvelle règle est en contra-diction avec l’esprit de la Norme 1130.A1 quiprécise que les auditeurs internes « doivents’abstenir d’auditer les opérations dont ilsétaient auparavant responsables ». Certes, ilne s’agit pas ici de la dualité missions d’assu-

rance/missions de conseil mais l’atteinte àl’objectivité est de même nature.Souhaitons que ces faux-pas soient rapide-ment corrigés.

* **

En conclusion, il importe de rappeler quepour l’essentiel l’apport des nouvelles normesest important dans leur présentation et dansleur souci d’adaptation aux nouvelles préoc-cupations du management : stratégie, visionlong terme, gouvernance.Les auditeurs internes doivent lire les Normesprofessionnelles, s’efforcer de les mettre enœuvre et contribuer à leur amélioration. Ellessont le gage d’un travail de qualité et d’uneautorité renforcée dans leur organisation.Enfin, il faut souligner le remarquable travaild’analyse et d’affinement de la traductionréalisé par Béatrice Ki-Zerbo, son assistanteBouchra Bajjou et les bénévoles des groupesde recherche.Cela devait être dit.

1 L’article 1382 du Code civil est devenu au 1er octobre l’article 1240 :« Tout fait quelconque de l’homme qui cause à autrui un dommage,

oblige celui par la faute duquel il est arrivé, à le réparer ».

Lean Management – 6 sigma : dequoi s’agit-il ?

Le Lean est une démarche qui vise à améliorerle fonctionnement des processus. Plus fluides,plus simples, plus performants, les processusainsi revus améliorent le livrable final tout ensimplifiant la vie de ses contributeurs. Le 6sigma vise quant à lui, à relever les écarts parrapport à ce qui est attendu dans la fournitured’un produit ou d’un service. Il repose aussisur une approche processus et vise à le fiabi-liser pour obtenir un livrable conforme à cequi est attendu. Ces démarches qui ont desorigines très anciennes, se sont progressive-ment développées avec l’avènement desprocédés de standardisation et de productionde masse. Des entreprises comme Toyota,Motorola ou General Electric ont largementcontribué à son expansion et à la diffusion deces principes.

Tournées fondamentalement vers l’améliora-tion continue, l’une et l’autre de cesapproches sont utilisées conjointement etoffrent une panoplie d’outils. Certains d’entreeux ont plus particulièrement retenu monattention, et à quelques adaptations près, mesemblent tout à fait appropriés à un usaged’audit.

Audit de conseil et voix du client

En situation d’audit de conseil, le client attendde l’auditeur missionné une pertinence d’ana-lyse et une justesse des réflexions face à unesituation par nature complexe, parce que nereposant pas sur un référentiel auquel se ratta-cher. L’auditeur doit alors faire preuve d’uneintelligence situationnelle pour biencomprendre les besoins et les attentes duclient (CRIPP norme 1220.C1). Toutefois, cesbesoins sont parfois formulés de façons floues

ou interprétables, et la lettre de mission peutprésenter un caractère vague. Même si l’expé-rience de l’auditeur va lui permettre degagner de la hauteur de vue, un sentimentd’inconfort peut néanmoins exister à l’occa-sion de ce type d’audits. Or, l’un des intérêts d’une démarche Lean - 6sigma est justement de commencer le chan-tier d’amélioration – qui est au Lean ce que lamission est à l’audit – par recueillir « la voix deson client » dans la perspective de définir desspécifications. Ces spécifications, en-deçà ouau-delà desquelles il y a insatisfaction, tradui-sent les besoins réels du client. Transposée àl’audit, cette étape va permettre à l’auditeurde mieux cerner les attentes de son client etd’identifier où sa valeur ajoutée est attendue.Différents outils sont possibles. En plus del’écoute classique par questions ouvertes, oule recueil des données d’incidents passés,retenons le Critical To Quality (CTQ). L’intérêtde cette phase, en plus du livrable en résul-tant, est que sa construction associe pleine-ment le client interne qui contribue à laréflexion sur ce qu’il attend concrètement del’audit, et sur ce qu’il serait effectivementpossible de faire.Le CTQ permet de décliner les besoins duclient en des exigences aux caractéristiquesmesurables. Transposé à l’audit, il va permet-tre concrètement à l’auditeur de partir d’unelettre de mission générale pour la décliner enune expression de besoins précise, validée parle client. Le livrable qui en résulte, mais aussi le chemi-nement du raisonnement, vont permettre àl’auditeur de se constituer une base de travailpour la suite de la mission, en recréant unréférentiel partagé avec le client sur lequel ilpourra poser ses réflexions.A partir de ce travail de cadrage, les constatset recommandations pourront venir enanalyse de différentiels entre la situation

POINT DE VUE


J’ai découvert le Lean Management – 6 sigma incidemment lors d’une mission, enintervenant dans une entreprise familiarisée avec ce type de démarche. Les personnespilotes en charge de ces projets Lean, appelés « chantier d’amélioration », étaient toutsimplement placés à côté du bureau que l’on avait mis à disposition. Lors d’échangesinformels, j’ai alors été frappée par la complémentarité des raisonnements quesemblait offrir ce type de démarche tournée « résolution de problème ».C’était en 2014. Depuis lors, j’ai cherché à approfondir cette complémentarité ; et pouren apprécier pleinement les subtilités, j’ai passé la certification Lean Management –6 sigma.

Géraldine Sutra, Experte Risk Management et contrôle interne,Présidente de Strat&Risk

Découverte denouveaux outils

Quand le Lean management et le 6 sigma

sont utiles à l’auditeur


POINT DE VUE

souhaitée ou espérée et la situation actuelle.Il peut aussi arriver que l’une de ses exigencesne puisse être satisfaite en l’état actuel, et ilsera ainsi plus facile à l’auditeur d’illustrer cetteimpossibilité, en se rattachant à ce référentiel« client ».

Se concentrer sur l’essentiel :l’analyse de la mesure

Le déroulé méthodologique d’un chantierd’amélioration suit une progression appeléeDMAIC : Define / Measure / Analyze / Improve/Control.Define permet de comprendre l’état actuel dela situation et de poser les données duproblème sur lequel l’avis et les propositionsde solutions sont requis. C’est justement danscette phase que le CTQ ci-dessus explicité estprévu.La phase Measure doit permettre d’objectiverquantitativement la situation actuelle pourpouvoir mesurer la progression réalisée à l’is-sue de la mise en place des actions découlantdu chantier.La phase Analyze ressemble en beaucoup depoints aux analyses de risques que nousconnaissons. La phase Improve consiste en ladéfinition et la mise en place de plans d’ac-tions destinés à améliorer la situation, et laphase Control permet de s’assurer de l’effec-tivité du progrès dans le temps.

Revenons sur la phase Measure. J’y vois deuxintérêts.Le premier intérêt est l’appréciation de laperformance d’un processus en l’état, avanttoute intervention. Cette prise de mesure estpossible, même dans les activités de services

et va consister à rechercher sur un échantillonsuffisamment représentatif, l’importance del’écart type par rapport à une moyenne dedélivrance, et en prenant en compte ce quiest attendu. Imaginons par exemple unprocessus de traitement d’un dossier. Letemps moyen de traitement est de 5 jours.Pourtant, après une prise de mesure sur unepériode significative, il apparaît que certainsdossiers sont traités parfois en 2 jours et d’au-tres en 15 jours. Le processus est donc « vola-tile », car les valeurs autour de cette moyennesont étendues. Il y aurait lieu de comprendreles causes de cette variabilité, dont les extré-mités sont sources d’insatisfaction. Imaginons maintenant que pour ces mêmesdossiers, l’engagement pris auprès des clientspour le traitement ait été en réalité de 7 jours.Nous avons donc un processus en sur-qualité,décentré par rapport au besoin réel de 7 jours,en plus d’être dispersé puisque le traitementse fait entre 2 et 15 jours. Cette mesure s’ap-pelle la capabilité. Cette mesure va permettre de cibler lesanalyses sur des défaillances alors quantifiées.Transposée à l’audit, elle donne des indica-tions riches à l’auditeur qui pourra orienter sesanalyses et constats vers la recherche descauses à l’origine de cette variabilité. La quan-tification contribue à l’objectivité des analyseset limite les écueils liés au positionnement derecommandations sur des causes finalementmarginales, ou dévoyées de l’engagementclient pris.Dans l’exemple précité, il serait par exempleinutile de proposer des recommandationsdestinées à réduire le délai de traitement àune durée inférieure à 7 jours. Deuxième intérêt : cette prise de mesure qui

se refait après la mise en œuvre des plansd’actions, ou recommandations pour l’audit,contribue à apprécier très concrètementl’évolution de la performance du processus.Elle permet une comparaison de la perfor-mance du processus avant et après l’interven-tion de l’auditeur. En d’autres termes, celaobjective la valeur ajoutée de la mission.

S’inspirer de l’état d’espritKaizen

Le pilote du chantier d’amélioration et sescontributeurs sont dans un état d’espritKaizen, c’est à dire tournés vers une logiqued’amélioration continue, un état d’esprit decontribution destiné à faire progresser unesituation, chacun à la hauteur de ses possibi-lités. Il n’est pas nécessaire d’avoir de grandesambitions, c’est la contribution de tous, mêmeminime, qui permet de créer une améliora-tion. A ce titre, un chantier d’amélioration s’or-ganise autour de groupes de travail oùl’échange est encouragé. Ramené à l’audit et dans la perspective d’ap-propriation des conclusions de l’audit, lesaudités peuvent constituer des groupes detravail de nature similaire à celle des chantiersd’amélioration pour décliner les recomman-dations en plans d’actions. Sous le pilotage dumanager de l’entité auditée, ces groupes detravail associent différents niveaux hiérar-chiques et empruntent les techniques d’ani-mation des chantiers d’amélioration.L’auditeur peut y être présent, mais sans enêtre l’animateur car cette déclinaison desrecommandations en plans d’actions doit,avant tout, relever des audités. Cette méthodede travail présente l’avantage de faciliter l’ap-propriation de l’audit par les audités.

Appliquer au service d’auditinterne les principes du Lean – 6sigma

L'audit interne doit faire preuve d'exemplaritéet appliquer à sa propre organisation cesbonnes pratiques opérationnelles, communé-ment admises, d'agilité et de répétabilité dela valeur de ses missions. Par application desprincipes du Lean - 6 sigma, le RAI va chasserles gaspillages du processus de réalisationd’une mission, se structurer pour répondreaux attentes dans des délais convenus avecun engagement d’efficience, prenant encompte la pression sur les ressources. Desindicateurs de performance d'agilité pourrontaccompagner cette démarche.

Par l’utilisation d’outils du Lean Management -6 sigma, entre une bonne écoute de la voix duclient, une prise de mesure objectivée de lavaleur ajoutée de la mission, et l’implicationde tous dans la déclinaison opérationnelle desrecommandations, la relation audité – audi-teur en sortirait gagnante.

Besoin de base Exigences clientsEléments de mesurede la satisfaction de

ces exigences

Spéci!cationsdu client

(= ambitions)CLIE

NT

EXEM

PLE

Améliorer la gouvernancede ma direction

1. Avoir les objectifs de ma direction déclinés dans les di�érents services qui la compose

2. S’assurer de la bonne application des décisions prises en comités de direction

3. S’assurer que chacun des managers ait suivi un cycle de formation sur l’éthique

Dans le cas présent, le client interne est amené à exprimer et à a�ner ses attentes jusqu’à déÞnir ses limites hautes et ses limites basses.Cette réßexion peut permettre à l’auditeur de mieux déÞnir le périmètre de son intervention et d’identiÞer les axes d’analyse qui auront le plusde valeur ajoutée pour le client.

1. Nombre des objectifs de direction non déclinés dans les services

2. Délai moyen de mise en œuvre des décisions auprès des équipes opérationnelles

3. Nombre de managers formés

1. Tous les objectifs de la direction doivent avoir une déclinaison dans les services (objectif : 100%)

2. Délai devant être compris entre 1 semaine et 3 semaines maximum

3. 80 % des managers formés au minimum

- 20%

pou

r un

part

icip

ant i

nscr

itsi

mul

tané

men

t à 4

form

atio

ns

IFACI Formation - Tél. : 01 40 08 48 08 - Mel : [email protected] - Retrouvez également le programme complet sur le site internet www.ifaci.com

Calendrier 2017SESSIONS Durée Tarifs

adhérentsTarifs nonadhérents janv. févr. mars avril mai juin juillet sept. oct. nov. déc.

SE FORMER À LA MAÎTRISE DES RISQUES ET AU CONTRÔLE INTERNES’initier à la maîtrise des risques et au contrôle interne 2 j 950 € 1 125 € 16-17 2-3 6-7 5-6 4-5 7-8 3-4 6-7 5-6 7-8 4-5

Réaliser une cartographie des risques 3 j 1 675 € 1 875 € 18-20 6-8 8-10 11-13 10-12 12-14 5-7 12-14 11-13 13-15 6-8

Elaborer le dispositif de contrôle interne 2 j 1 200 € 1 350 € 23-24 13-14 14-15 18-19 15-16 15-16 10-11 18-19 16-17 16-17 11-12

Piloter un dispositif de maîtrise des risques et de contrôle interne 2 j 1 200 € 1 350 € 25-26 15-16 16-17 20-21 22-23 20-21 21-22 18-19 20-21 13-14

ATELIER - Mise en œuvre du COSO 1 j 700 € 785 € 17 24 4 29 24

Le contrôle interne des systèmes d’information 2 j 1 200 € 1 350 € 27-28 22-23 2-3

Maîtrise des risques, contrôle interne et communication 2 j 1 200 € 1 350 € 20-21 29-30 12-13 23-24 19-20

Utiliser les outils du contrôle interne 2 j 1 200 € 1 350 € 25-26 26-27 25-26 22-23Organiser les interfaces Gestion des risques –Contrôle interne – Audit 1 j 700 € 785 € 9 18 10

SE FORMER À L’AUDIT INTERNELes compétences fondamentalesS’initier à l’audit interne 2 j 950 € 1 125 € 9-10 2-3 2-3 3-4 3-4 1-2 3-4 4-5 2-3 8-9 30/11-1/12

Conduire une mission d’audit interne : la méthodologie 3 j 1 710 € 1 850 € 11-13 7-9 6-8 5-7 9-11 6-8 5-7 6-8 4-6 13-15 4-6

Maîtriser les outils et les techniques de l’audit 3 j 1 610 € 1 785 € 16-18 13-15 13-15 11-13 15-17 12-14 10-12 11-13 9-11 20-22 11-13

Maîtriser les situations de communication orale de l’auditeur 2 j 1 120 € 1 230 € 19-20 16-17 16-17 18-19 18-19 15-16 10-11 14-15 12-13 23-24 7-8

Réussir les écrits de la mission d’audit 2 j 1 120 € 1 230 € 23-24 20-21 20-21 20-21 22-23 22-23 12-13 18-19 16-17 16-17 14-15

Exploiter les états financiers pour préparer une mission d’audit 3 j 1 610 € 1 785 € 25-27 27-29 29-31 20-22 28-30

Désacraliser les systèmes d’information 3 j 1 610 € 1 785 € 22-24 19-21 25-27 18-20

Détecter et prévenir les fraudes 2 j 1 120 € 1 230 € 23-24 25-26 26-27 28-29 18-19 21-22

Adopter un comportement déontologique lors de la mission 1 j 700 € 785 € 24 6

Réussir les écrits de la mission en anglais 2 j 1 120 € 1 230 € 27-28 23-24

Oral Skills in Internal Audits 2 j 1 120 € 1 230 € 24-25 19-20

Les compétences avancéesUtiliser la pensée critique pour innover 1 j 700 € 785 € 26 20

Utiliser le Balanced Scorecard du service d’audit interne 1 j 700 € 785 € 15 11

Utiliser les outils d’analyse causale pour l’auditeur 1 j 700 € 785 € 10 30

ATELIER - Construire le référentiel de contrôle interne de la mission 1 j 700 € 785 € 28 12 7

Intégrer le reporting intégré à l’audit interne 2 j 1 325 € 1 480 € 23-24 16-17

Connaître et utiliser ISO 9001-2015 1 j 700 € 785 € 3 27

Connaître et utiliser ISO 31000 1 j 700 € 785 € 6 8

Constituer un dossier de fraude au pénal, le rôle de l’auditeur 2 j 1 325 € 1 480 € 16-17 24-25

Organisation et managementPiloter un service d’audit interne 2 j 1 325 € 1 480 € 22-23 1-2 9-10

Manager une équipe d’auditeurs au cours d’une mission 1 j 700 € 785 € 24 12 17

Le suivi des recommandations 1 j 700 € 785 € 18 13 13 13

Préparer l’évaluation externe du service d’audit interne 2 j 1 325 € 1 480 € 16-17 21-22

L’audit interne, acteur de la gouvernance 1 j 700 € 785 € 19 12

Processus et fonctions

Audit du Plan de Continuité d’Activité - PCA 2 j 1 325 € 1 480 € 23-24 28-29 5-6

Audit de la fonction Ressources Humaines 2 j 1 325 € 1 480 € 4-5 22-23

Audit de la fonction Achats 2 j 1 325 € 1 480 € 2-3 4-5

Audit des contrats 1 j 700 € 785 € 10 25

Audit de la fonction Contrôle de Gestion 2 j 1 325 € 1 480 € 6-7 25-26

Audit des projets et investissements 2 j 1 325 € 1 480 € 9-10 20-21

Evaluer le reporting financier 2 j 1 325 € 1 480 € 24-25 26-27

Audit du processus de gestion des risques 1 j 700 € 785 € 9 20

Audit de la conformité de la paie 2 j 1 325 € 1 480 € 20-21 28-29

Audit de l’optimisation et de sécurisation du BFR 2 j 1 325 € 1 480 € 7-8 4-5

Audit de la trésorerie 2 j 1 325 € 1 480 € 20-21 9-10

Audit de la prévention des risques psycho-sociaux 1 j 700 € 785 € 27 10

Audit d’acquisition et Due diligence 2 j 1 325 € 1 480 € 30-31 14-15

Systèmes d’informationAudit de la sécurité des systèmes d’information 2 j 1 325 € 1 480 € 29-30 28-29Audit des processus informatisés 2 j 1 325 € 1 480 € 26-27 21-22

Audit de la gouvernance du système d’information 1 j 700 € 785 € 1 4Audit de la cyber sécurité 1 j 700 € 785 € 19 21

Audit de la qualité des données 1 j 700 € 785 € 24 3 27Gestion et audit des libertés individuelles 1 j 700 € 785 € 7 15

Audit de la direction des systèmes d’information 2 j 1 325 € 1 480 € 22-23 26-27Intégrer les exigences de sécurité dans les projets 1 j 700 € 785 € 24 24SE FORMER DANS LE SECTEUR PUBLIC

Audit et contrôle des marchés publics 2 j 1 325 € 1 480 € 14-15 12-13 18-19

La gestion des risques dans le secteur public 2 j 1 325 € 1 480 € 20-21 4-5 15-16

Audit et contrôle interne des aides publiques 2 j 1 325 € 1 480 € 25-26 27-28 30/11-1/12

SE FORMER DANS LE SECTEUR BANCAIRE ET FINANCIER

S’approprier l’arrêté du 3/11/2014 relatif au contrôle interne bancaire 1 j 700 € 785 € 31 11

Maîtriser la comptabilité et le contrôle de gestion bancaires pour auditer 2 j 1 325 € 1 480 € 27-28 16-17

Auditer un dispositif LCB-FT 2 j 1 325 € 1 480 € 23-24 14-15 8-9

Auditer la conformité en banque 2 j 1 325 € 1 480 € 30-31 13-14 26-27

Auditer le reporting réglementaire Bâle III 2 j 1 325 € 1 480 € 21-22 14-15

ATELIER - Maîtriser les risques des prestations externalisées 1 j 700 € 785 € 2 6

SE FORMER DANS LE SECTEUR DES ASSURANCES

Adapter le contrôle interne à Solvabilité II 2 j 1 325 € 1 480 € 22-23 6-7 13-14

Auditer les dé́légations de gestion en assurances 2 j 1 325 € 1 480 € 28-29 10-11 17-18

Audit des prestations liées aux contrats d’assurance 1 j 700 € 785 € 12 1

SE FORMER DANS LES SECTEURS INDUSTRIE ET COMMERCE

Audit de la gestion des stocks et de la logistique 2 j 1 325 € 1 480 € 27-28 28-29

Audit du processus de ventes 2 j 1 325 € 1 480 € 13-14 19-20

ACQUÉRIR UNE CERTIFICATION

Préparation au CIA - Partie 1 2 j 970 € 1 150 € 6-7 7-8 12-13 6-7

Préparation au CIA - Partie 2 2 j 970 € 1 150 € 13-14 13-14 19-20 11-12

Préparation au CIA - Partie 3-1 2 j 970 € 1 150 € 20-21 20-21 25-26 18-19

Préparation au CIA - Partie 3-2 2 j 970 € 1 150 € 22-23 22-23 27-28 20-21

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

comment en tirer proﬁt comment les intégrer dans l'univers

Documents