innovation - chapters site - home¨s et contribuera efficacement à la formation des étudiants et...

l a r e v u e d e s p r o f e s s i o n n e l s d e l ’ a u d i t , d u c o n t r ô l e e t d e s r i s q u e s

Dans l’actualité

Louvois : chronique d'un échecannoncé

Idées et débats Les institutions supérieures de

contrôle à l’heure d’une meilleuremaîtrise des dépenses publiques

A l’instar de l’audit interne, le riskmanagement se dote d’unréférentiel métier

Maîtrise des risquesGDF SUEZ reçoit le Grand Prix duJury aux Trophées de la Maîtrise desRisques

Les avancées de larechercheLa cartographie des risques

Fiche technique

>> Identifier et évaluerles changements pouvantimpacter le systèmede contrôle interne

N°218Février - Mars 2014

INNOVATIONOutils,approches,missions,gestion des risques

AUTEUR : The Research Foundation (The IIA) / IFACI - Prix HT : 61,61 € (65,92 € TTC)

Septembre 2011 - Format : 17 x 24 cm - ISBN : 978-2-915042-33-7

Société : ...................................................................................................................................................................................................................................................................................

Nom : ............................................................................................................................................. Prénom : ......................................................................................................................

Adresse : ..................................................................................................................................................................................................................................................................................

Code postal : ......................................... Ville : ........................................................................................................................... Pays : .........................................................................

Tél. : ........................................................... Fax : ......................................................... Mél : ...............................................................................................................................................

BON DE COMMANDE

TITRE PRIX HT QUANTITÉ TOTAL

Manuel d’audit interne 61,61 €

Total HT

TVA 5,5 %

Net à payer TTC*

PAIEMENT PAR : Chèque bancaire ou postal (à l’ordre de l’IFACI)

Virement à la banque HSBC agence centraleCompte IFACI n°30056-00148-01485415521-72

Carte de crédit :

N° ....................................................................................................................................................

Date d’expiration : ....................................................................................................................

DATE : ............................................... SIGNATURE :

(*) Hors frais de port et d’emballage.

Publications IFACI Bon decommande

Le « Manuel d’Audit Interne - Améliorer l’efficacité de la gouvernance, du

contrôle interne et du management des risques » est l’ouvrage international

de référence sur le métier d’auditeur interne. Élaboré sous l’égide de la fondation

pour la recherche de l’IIA, il est le fruit de la collaboration de trois professeurs

et de quatre praticiens. Son adaptation aux contextes européen et français a

été réalisée par des universitaires et praticiens français réunis par l’IFACI, ce

qui en fait l’outil idéal pour les auditeurs internes, les étudiants en audit interne

et leurs enseignants.

Ce manuel est organisé en deux sections : « concepts fondamentaux de l’audit

interne » et « conduire une mission d’audit interne ». Il reflète les dernières

évolutions de la profession, en particulier dans les domaines suivants :

normes internationales de l’audit interne ;

gouvernance, contrôle interne et management des risques ;

éléments clés liés aux systèmes d’information et références aux guidesGTAG et GAIT diffusés par l’IIA et par l’IFACI ;

risques de fraude ;

missions de conseil.

La première édition de ce manuel, traduite en espagnol et en japonais a été

adoptée par de nombreux pays de par le monde. Nous sommes convaincus

que cette adaptation française de la seconde version ajoutera encore à ce

succès et contribuera efficacement à la formation des étudiants et à la profes-

sionnalisation des auditeurs internes.

Bon de commande à retourner à :Marie-Thérèse Tran - IFACI98 bis, bd Haussmann - 75008 ParisTél. : 01 40 08 48 00 - Fax : 01 40 08 48 20Mel : [email protected] - Internet : www.ifaci.com

Règlements :Une facture pro forma vous sera adressée par courrieldès réception de votre commande.Chèque : libellé en euros tiré sur une banque française.Virement : les virements émis à partir d’une banque horsde France doivent être nets de tous frais bancaires pourl’IFACI.

3fév./mars 2014 - Audit & Contrôle internes n°218

La revue des professionnels de l’audit,du contrôle et des risques

n°218 - fév./mars 2014

EDITEURInstitut Français de l’Audit et du Contrôle Internes (IFACI)Association Loi 190198 bis, boulevard Haussmann75008 Paris (France)Tél. : 01 40 08 48 00 Mel : [email protected] : www.ifaci.com

DIRECTEUR DE PUBLICATIONFarid Aractingi

RESPONSABLE DE LA RÉDACTION Philippe Mocquard

RÉDACTEUR EN CHEFLouis Vaurs

RÉDACTION - RÉVISIONJean-Loup Rouff - Béatrice Ki-Zerbo

SECRÉTARIAT GÉNÉRALEric Blanc - Tél. : 01 40 08 48 02Mel : [email protected]

RÉALISATIONEBZONE Communication32, avenue de Beauregard94500 Champigny-sur-MarneTél. : 01 48 80 00 56Mel : [email protected]

IMPRESSIONImprimerie de ChampagneRue de l’Etoile de Langres - ZI Les Franchises52200 Langres

ABONNEMENTElsa Sarda - Tél. : 01 40 08 47 84Mel : [email protected]

Revue bimestrielle (5 numéros par an)ISSN : 2117-1661Dépôt légal : mars 2014Photos couverture : © alphaspirit - Fotolia.com

Prix de vente au numéro : 25 € TTC

Les articles sont présentés sous la responsabilité de leurs auteurs.

Toute représentation ou reproduction, intégrale ou partielle, faitesans le consentement de l’auteur, ou de ses ayants droits, ou ayantscause, est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40).Cette représentation ou reproduction, par quelque procédé que cesoit, constituerait une contrefaçon sanctionnée par les articles 425et suivants du Code Pénal.

Ce document est imprimé avec des encres végétalessur du papier issu de forêts gérées dans le cadred’une démarche de développement durable.

On ne peut pas vivre uniquement avec le principede précaution, on a besoin d’innover et de pren-dre des risques », aime à dire Anne

Lauvergeon, présidente, depuis avril 2013, de la« commission Innovation 2030 ». En audit internecomme en tout autre domaine, il faut penser l’inno-vation de demain. C’est pourquoi, en partenariat avecEY, l’IFACI a créé, en novembre dernier, les prix del’innovation décernés à deux grandes entreprises et à une collectivité territoriale.Les innovations en audit interne que ces trois organisations ont mis en place, vouspourrez en prendre connaissance dans le dossier de ce numéro.

A ce dossier, répond très opportunément et brillamment la fiche technique consa-crée au principe 9 du COSO 2013 « Identifier et évaluer les changements susceptiblesd’impacter de façon significative le système de contrôle interne de l’organisation ».

Vous serez sûrement intéressés par l’interview du président de l’AMRAE, GilbertCanaméras, et de sa déléguée générale, Bénédicte Huot de Luze. Ils nous dévoilenten effet le référentiel métier des risk managers, publié l’an dernier, référentiel pure-ment français pour l’instant mais qui a vocation à s’européaniser.

On ne connaît pas toujours très bien le fonctionnement de la Cour des comptes,Hervé Boullanger, conseiller référendaire, nous fait découvrir les différents typesd’audit qu’elle est susceptible d’effectuer.

Lors de la troisième édition des Trophées de la Maîtrise des Risques, organisée parl’IFACI et Crowe Horwarth Global Risk Consulting, le Grand Prix du Jury a étéremporté par GDF SUEZ. L’organisation mise en place pour parvenir à une toujoursplus grande maîtrise des risques mérite votre attention.

Toujours aussi passionnant enfin, le papier d’Antoine de Boissieu, qui démontrepourquoi le système Louvois mis en place par le ministère de la Défense, il y aquelque 3 ans, pour gérer la paye de 200 000 militaires et civils, et récemment aban-donné, était d’avance voué à l’échec.

Bonne lecture.

InnovationOutils, approches,missions, gestion des risques

Louis Vaurs - Rédacteur en chef

«

Contactez-nous :Tél. : 01 44 70 63 00

E-mail : [email protected]

Conceptio

n : ebzone communication - Photo : © Jakub Cejpek - Fotolia.com

Votre engagement pour+ de bonnes pratiques

+ de performance+ de légitimité

+ de sécurité

Progressez surdes bases solides

Le label de qualité et de performance CertificationIFACI est délivré aux services d'audit interne quiappliquent de façon pérenne les trente exigencespragmatiques du Référentiel Professionnel del'Audit Interne.


SOMMAIRE

DANS L’ACTUALITÉ DOSSIER

InnovationOutils, approches, missions,gestion des risques

Louvois : chronique d'un échec annoncéAntoine de Boissieu

6

p. 15 à 32

Essilor : un souci permanent d’innovation dans tousles domainesChristophe Perreault

22

Vers un dispositif de maîtrise des risques intégréau Conseil général de Seine-Saint-Denis :un changement de paradigme innovantYannis Wendling

25

Innovation ou maîtrise des fondamentaux ?Farid Aractingi

16

Michelin : innover pour une meilleure maîtrisedes risquesFlorence Vincent

29

Enquête EY - IFACI sur l’innovation et la performancedans les fonctions d’audit et de contrôle internes

18MAÎTRISE DES RISQUES

GDF SUEZ reçoit le Grand Prix du Juryaux Trophées de la Maîtrise des Risques

33

LES AVANCÉES DE LA RECHERCHE

La cartographie des risquesMichel Buzejic

35

IDÉES ET DÉBATS

Les institutions supérieures de contrôleà l’heure d’une meilleure maîtrisedes dépenses publiquesHervé Boullanger

9

A l’instar de l’audit interne, le riskmanagement se dote d’un référentielmétierGilbert Canaméras et Bénédicte Huot de Luze

12

LA PROFESSION EN MOUVEMENT

Evénements38

FICHE TECHNIQUE N°48

>> Identifier et évaluer les changements pouvantimpacter le système de contrôle interneAlain Lemarcis

6

DANS L’ACTUALITÉ

Audit & Contrôle internes n°218 - fév./mars 2014

Louvois :chronique d'un échec annoncéAntoine de Boissieu - Associé-gérant, OSC Solutions

Le ministère de la Dé-fense a récemmentannoncé l'abandon

du système Louvois, qui gèrela paye de plus de 200 000militaires et civils. Le sys-tème, qui est en service de-puis près de 3 ans, n'est tou-jours pas stabilisé et produittoujours des erreurs de payede façon aléatoire. Les diffé-rentes tentatives pour corri-ger les erreurs ayant échoué,le ministère s'est résolu à an-noncer l'abandon du sys-tème avant même qu'unesolution de remplacementn'ait été définie.

De multiples audits ont ana-lysé la gestion du projet etidentifié de multiples causesd'échec : manque d'implica-tion des opérationnels, non-respect des jalons de déve-loppement, complexitéexcessive des règles de ges-tion de paye, changementd'organisation, éclatementdes responsabilités... Toutesces raisons expliquent biencomment s'est produitl'échec. On peut se deman-der cependant si l'histoiren'était pas écrite d'avance.Autrement dit, tous les fac-

teurs énumérés ci-dessus nesont sans doute que lesconséquences d'une déci-sion initiale beaucoup troprisquée.

Un réel besoin

Sur le papier, le projet cou-lait de source : il s'agissait (1)de remplacer différents sys-tèmes de paye par un sys-tème unique, (2) d'en profi-ter pour rapprocher les ser-vices paye et RH et (3) decréer un centre de gestionunique à la place desdizaines de structures exis-tantes. Cette évolutiondevait permettre de simpli-fier l'organisation et deréduire les coûts de traite-ment. Les économies espé-rées étaient de l'ordre de 10à 20 M€ par an.

Ce système unique était tou-tefois conçu dès le départcomme une solution transi-toire, avant son abandonprogrammé pour basculersur le système de paye déve-loppé par l'Etat dans le cadrede la mise en place d'unOpérateur National de Paye.Le ministère de la Défense,

pour préparer et facilitercette transition vers le futursystème unique de la payeau niveau de l'Etat, souhai-tait migrer auparavant sesdifférentes plateformes versun système commun,Louvois.

La question est de savoir si,dès l'origine, les risques liésau projet n'étaient pas large-ment supérieurs aux béné-fices attendus. Quand onessaie d'analyser et de quan-tifier les risques du projet, ons'aperçoit en effet qu'ilsétaient tous à un niveauélevé. On peut ainsi évaluerle niveau de difficulté, ou derisque, du projet suivant 4critères : sa taille, son carac-tère plus ou moins innovant,son niveau de complexité, etle caractère plus ou moinsstable du contexte danslequel il intervient.

Un projet de grandeampleur

Louvois était un projet detrès grande ampleur, puis-qu'il s'agissait de traiter lapaye de 300 000 personnessur un système unique. En

cas de défaillance du sys-tème, l'impact était immé-diatement significatif. Et defait, plusieurs dizaines demilliers d’erreurs de payeont été constatées.

Un projet innovant,avec de nombreusesspécificités

Le projet Louvois était unepremière pour de nom-breuses raisons : le ministèrede la Défense n'avait jamaisdéployé de système de payede cette ampleur. En outre, ilne s'agissait pas de réutilisertel quel le module RH / Payede SAP (SAP HR) : Louvoisprévoyait au contraire dedévelopper un nouveau cal-culateur de paye, branchésur un cœur applicatif SAP,interfacé avec différentsSIRH, et capable de gérer lesinnombrables spécificités dela paye des militaires et civilsdu ministère. Ce projet étaitd'autant plus innovant quela tendance du secteur privé,et de nombreux établisse-ments publics, est d'utiliserles logiciels de paye standarddu marché en s'adaptant àleur logique, et non de redé-


velopper le cœur du pro-gramme pour l’adapter àleurs spécificités. Ce carac-tère innovant et spécifiqueaugmentait la difficulté duprojet, donc son risqued'échec.

Un projet complexe

Le projet présentait unniveau de complexité impor-tant : il s'agissait de gérerplus de 300 primes diffé-rentes, avec des règlesvariant selon les structures.Le nouveau calculateurdevait récupérer les donnéesde différents SIRH, chacun

ayant ses nomenclatures etévoluant indépendammentdes autres. Le projet concer-nait des centaines de struc-tures, en France ou à l'étran-ger, ce qui compliquait latâche des équipes de projet.De plus, le résultat du pro-cessus de paye est difficile àcontrôler et maîtriser pour leministère de la défense. Letaux de mutations, de recru-tements, de départs, dechangements de grades oud'affectation, y est en effettrès élevé. En cas de dys-fonctionnement du système,il ne suffit donc pas derejouer la paye du mois pré-

cédent. De même, l'analysedes variations de paye d'unmois sur l'autre pour détec-ter d'éventuelles erreurs esttrès compliquée, en raisondu nombre de modificationsà contrôler.

Une organisationen pleinbouleversement

Le projet Louvois est inter-venu dans une période debouleversement. Pour sché-matiser, l'organisation pyra-midale classique Etat-Major– Régions – Régiments, avecdes échelons disposant de

l'ensemble de leurs moyens,a été supprimée pour passerà une logique matricielle, lesunités étant supportées pardes bases de défenses quiregroupent les fonctions desupport et d'administration.Au passage, les échelonsrégionaux disparaissent,laissant les unités en prisedirecte soit avec leur base dedéfense, soit directementavec l'Etat-Major.

Le projet Louvois a donc étémené dans une organisationqui était en train de changer.Ce n'est pas seulement lapaye et la gestion du person-

© F

rédé

ric

Mas

sard

- F

otol

ia.c

om

8

DANS L’ACTUALITÉ


nel qui étaient en évolution,mais bien toute l'organisa-tion des armées : la gestiondu matériel, la maintenance,les approvisionnements,l'entraînement des forces. Lahiérarchie intermédiaires'est trouvée à devoir gérerdifférentes urgences, dansune organisation où les cir-cuits d'information et dedécision n'étaient pasencore clairs pour tous. Il yavait donc un risque que lesdifficultés de Louvois pas-sent au second plan par rap-port à des difficultés opéra-tionnelles qui pouvaientimpacter directement l’exé-cution des missions.

Sur ces 4 critères, le projets'annonçait donc commetrès difficile à mener. Sesjustifications étaient sansaucun doute pertinentes, lesaméliorations attenduesréelles, le personnel motivéet professionnel : le pro-blème est que le ministèren’avait ni les moyens nipeut-être une véritablevolonté de gérer Louvois enplus du reste.

De nombreusespriorités autresque la paye

Le ministère de la Défensedevait faire face, à cetteépoque comme maintenant,à différentes priorités : re-nouvellement de matérielsobsolètes, organisation d'opé-rations extérieures (Afgha-nistan, Côte d'Ivoire...), achatsen urgence de matériels pourrépondre aux besoins destroupes en opérations, ges-tion concomitante de plu-sieurs gros projets d'arme-ments (SNA, évolutions du

Rafale, Tigre HAD, NH90,A400M, SCORPION...).

Si l’on classe les grands pro-jets du ministère sur le gra-phique ci-dessus, on s'aper-çoit que :• le projet Louvois cumulaittoutes les difficultés, à unniveau élevé ;

• il ne contribuait pas direc-tement à la bonne exécu-tion des missions desarmées, ses enjeux finan-ciers restaient limités ;

• il était directement enconcurrence avec unemasse de projets et d'ur-gences qui, eux, avaientun impact direct sur l'exé-cution des missions.

Dans ce contexte, on peut sedemander si ce n'est pas ladécision initiale qui étaiterronée, et qui condamnaitle projet à l'échec. Il était eneffet fort peu probable que leprojet parvienne à mobiliser

les moyens et l'attentionnécessaires. Le fait qu'ils'agisse d'un projet objecti-vement secondaire pour lesEtats-Majors augmentaitmême le risque qu'il soitdéroulé jusqu'à ce qu'il pro-duise une catastrophe. Tantque les dysfonctionnementsn'étaient pas trop visibles,les opérationnels se sont eneffet naturellement concen-trés sur leurs missions, leurspriorités, plutôt que d'es-sayer de remettre en causeun projet complexe, géré defaçon transversale au niveaudu ministère.

Les services d'audit et decontrôle interne peuventtirer deux enseignements decet échec :

1)Lors d'un audit de projet,la question à se posern'est pas seulement desavoir si le projet est justi-fié. Il faut aussi se deman-

der si l'on a l'assurance depouvoir mobiliser lesmoyens et ressourcesnécessaires pour le menerà bien. Autrement dit, si leprojet n'est pas vu commeprioritaire par les opéra-tionnels et qu'il présentedes risques, est-on sûr quel'on arrivera à mobiliserles ressources nécessairespour surmonter les diffi-cultés ?

2)Les auditeurs ne doiventpas s'interdire de remon-ter aux causes premières,dans ce cas à la décisionmême de lancer le projet.Le diagnostic sur lessymptômes (les dysfonc-tionnements et les man-quements aux bonnespratiques tout au long duprojet) est inutile si l'onn'expose pas le fond duproblème.

Projets di�cileset non prioritaires

Projets di�cileset intéressants

Projets facileset non prioritaires

Projets facileset intéressants

Intérêt pour la réalisation des missions

Niv

eau

de d

i�cu

lté

Louvois Projets d’armement : A400M, SNA, NH90 ...

Rapport « Difficulté / Intérêt » des grands projetsdu ministère de la Défense


IDÉES ET DÉBATS

La communautédes institutions supérieuresde contrôle

L’argent public est-il dépensé demanière efficace, répond-il aux objectifs,est-il correctement ciblé ? Peut-on amé-liorer l'action sans crédit budgétairesupplémentaire, par une meilleure orga-nisation et répartition des moyens ?Pour répondre à ces questions, lesGouvernements et les Parlements desdifférents Etats s’appuient sur leurs« Institutions supérieures de contrôledes finances publiques » (ISC), ou

« Supreme Audit Institution », (SAI), quisont les plus hautes autorités decontrôle et d’audit des financespubliques de chaque pays, telles que laCour des comptes en France, le NationalAudit Office au Royaume-Uni, laBundesrechnunghof en Allemagne, laTribunal de Cuentas en Espagne ou leGovernment Accountability Office auxEtats-Unis.Ces institutions, regroupées au sein del’Organisation internationale des insti-tutions supérieures de contrôle desfinances publiques (INTOSAI), ont pourobjectif aujourd’hui, de faire passer pro-

gressivement les organismes publicsqu’elles auditent, d’une logique demoyens à une logique de résultats.A l’inverse de la réduction des chargesdans une entreprise, la sélection desdépenses publiques à supprimer est parnature complexe puisqu’elle ne peuts’appuyer sur les notions de profitabilitéou de retour sur investissement. Lesactions publiques inefficaces, ineffi-cientes, ou peu pertinentes ne peuventse déduire que de leur insuffisante utilitésociale par rapport à leur coût ou del’existence d’organismes publics compa-rables, en France ou à l’étranger, faisantmieux pour moins cher.Cette complexité est renforcée par lenombre toujours croissant d’acteurs,chargés de mettre en œuvre les poli-tiques publiques (Etat central, Etatdécentralisé, établissements publics, col-lectivités locales, sécurité sociale, secteurassociatif, organisations profession-nelles…).

La question est récurrente : l’argent public est-il dépensé à bon escient ?Des institutions supérieures de contrôle des finances publiques ont pour objectif defaire passer progressivement les organismes publics d’une logique de moyens à unelogique de résultats.La complexité du problème est renforcée par le nombre croissant d’acteurs chargésde mettre en œuvre les politiques publiques.

Les institutions supérieuresde contrôle à l’heured’une meilleure maîtrisedes dépenses publiques

Hervé Boullanger est magistrat à la Première chambre de la Cour des comptes etprésident du club comptable des juridictions financières. Ancien élève de l’ENA, diplôméde l’institut d’études politiques et titulaire du diplôme supérieur de comptabilité et degestion, il a exercé au sein du ministère de l’Economie et des Finances, des institutionseuropéennes et il a été secrétaire général du conseil supérieur de l’Ordre des experts-comptables. Son expertise porte sur l’audit public, la certification des comptes desorganismes publics et la lutte contre le blanchiment. Il est l’auteur de « la criminalitééconomique en Europe » aux Presses universitaires de France.

Hervé Boullangermagistrat, Première chambre de la Cour des comptes

10

IDÉES ET DÉBATS


Juridictions financièresfrançaises et optimisationdes dépenses publiques

Les juridictions financières françaisesregroupent la Cour des comptes et leschambres régionales des comptes. LaCour des comptes a vocation à se pen-cher sur les politiques et organismesayant pour champ d’intervention tout leterritoire. Ses missions sont définies parla Constitution au 1er alinéa de l’article47-2 (assistance du Parlement dans lecontrôle de l'action du Gouvernement,assistance du Parlement et duGouvernement dans le contrôle del'exécution des lois de finances et del'application des lois de financement dela sécurité sociale ainsi que dans l'éva-luation des politiques publiques et infor-mation des citoyens par ses rapportspublics).Les chambres régionales des comptesinterviennent au niveau local pour aiderles gestionnaires publics à mieux utiliserleurs ressources et pour réaliser des éva-luations de plus en plus complexes despolitiques locales.Garantie par la Constitution, l’indépen-

dance des juridictions financières fran-çaises par rapport au pouvoir législatif etau pouvoir exécutif est également assu-rée par leur statut de juridiction admi-nistrative, par la libre fixation de leurprogramme annuel de vérifications, sousréserve des travaux demandés par leParlement, par la contradiction (droitd’audition et droit de réponse) et par lacollégialité des décisions.

Dans leurs missions, les juridictionsfinancières n’énoncent pas seulementdes critiques, elles présentent aussi desrecommandations qui, pour les plussignificatives, font l’objet de publica-tions. Si ces recommandations nedébouchent pas toujours immédiate-ment sur des prises de décisions desautorités politiques, elles permettent defaire émerger des consensus sur desévolutions possibles.

Les différents types d’auditdes institutions supérieuresde contrôle

Selon une distinction classique reprisepar les normes internationales d’audit

(privé comme public), les institutionssupérieures de contrôle réalisent troistypes de missions d’audit. Pratiquéespar les mêmes personnes, les différentesmissions d’audit ne sont pas étanches etse nourrissent les unes des autres. Cestrois catégories d’audit public ne figu-rent pas sous cette forme dans le droitnational français, c’est-à-dire dans lecode des juridictions financières.Souvent plus anciennes que les normesinternationales, les missions des juridic-tions financières se déclinent selond’autres terminologies qui peuvent tou-tefois se rattacher, d’une manière oud’une autre, à ces trois types d’audit.

L’audit de conformité (compliance enanglais), appelé aussi « audit de régu-larité », consiste pour les auditeurs àdéterminer si les activités sont conduitesdans le respect des règles applicables.Les juridictions financières françaisespeuvent être amenées à contrôler le res-pect de tout type de droit (droit admi-nistratif, droit de la fonction publique,droit des marchés publics…) dans cha-cune de leurs missions mais elles sontplus particulièrement spécialisées dans

© Rrrau

m - Fotolia.com


le contrôle du respect du droit budgé-taire et du droit de la comptabilitépublique.

L’activité de jugement des comptes pro-duits par les comptables publics permetainsi de vérifier la régularité des opéra-tions de recettes et de dépenses. LaCour des comptes exerce également lecontrôle du respect par leGouvernement du droit budgétairenotamment dans le rapport annuel rela-tif aux résultats de l’exercice antérieur età la gestion du budget.

Les chambres régionales des comptesexercent aussi un contrôle budgétairedes collectivités ou établissementspublics locaux lorsqu'un budget n'a pasété voté dans les délais légaux ou enéquilibre réel, ou omet une dépenseobligatoire ou lorsqu'un déficit signifi-catif apparaît à la clôture de l'exercice.

L’audit financier, qui existe aussi dansles entreprises sous la forme exercée parles commissaires aux comptes, chercheà déterminer si les états financiers don-nent une image fidèle et sincère de lasituation financière. L’audit financier estaussi un audit de conformité aux règlescomptables. Depuis 2006, la Cour descomptes française est chargée de cettemission pour les comptes de l’État et desorganismes du régime général de lasécurité sociale.

Cette évolution a été permise par la loiorganique relative aux lois de financesdu 1er août 2001 qui souhaitait mieuxidentifier les politiques publiques maisaussi rendre plus visibles les moyensaffectés. La mise en place d’une comp-tabilité générale en droits constatés éta-blie et contrôlée selon des normescomptables applicables aux entreprises,sous réserve des spécificités liées à l’ac-tion publique, constitue un préalable àune identification précise, via la comp-tabilité analytique, des coûts de chaqueaction publique et donc au repérage desdispositifs trop coûteux par rapport àleur utilité sociale.La certification des comptes des orga-nismes publics est appelée à s’étendreaux principaux établissements publics

de santé, puis, si le législateur le sou-haite, aux collectivités territoriales.

L’audit de performance consiste àdéterminer si l’action publique estconduite avec économie, efficience etefficacité, notamment au regard desobjectifs fixés par les pouvoirs publics oul’organisme concerné par le contrôle. Le premier type d’audit de performanceest le contrôle du bon emploi des fondspublics défini à l’article L. 111-3 duCode des juridictions financières. Ils’exerce sur toutes les « personnesmorales de droit public » et sur les orga-nismes privés, qui reçoivent des fondspublics. Incluant une prise de hauteur – unevision plus « macro » – par rapport aucontrôle de la gestion, l’évaluation despolitiques publiques prend pour objetl’ensemble d’une politique publique etplus seulement un de ses volets ou undes organismes chargés de sa mise enœuvre. L’Assemblée nationale depuis2011, commande chaque année deuxévaluations à la Cour des comptes afinde préparer les travaux législatifs.

L’harmonisationinternationale par les normes

La sphère financière publique tend à senormaliser à travers le monde à la suitedu mouvement comparable qu’ontconnu les sciences comptables et finan-cières dans le secteur privé ces trentedernières années. Cette évolution esttrès structurante pour uniformiser laculture et les méthodes de travail desprofessionnels, comme on a pu leconstater chez les auditeurs privés,internes et externes. C’est pourquoi,sous réserve de leur adaptation auxobjectifs et aux besoins du secteur publicnon marchand et à notre cadre législatifet réglementaire, les juridictions finan-cières soutiennent l’harmonisationeuropéenne puis mondiale des normesde comptabilité et d’audit publics et leurapplication en France.

La normalisation comptable publique sepoursuit dans le cadre de l’InternationalPublic Sector Accouting Standards (IPSAS)Board dépendant de l’International

Federation of Accoutants (IFAC), quicherche à adapter au secteur public lesnormes comptables privées dites« IFRS ».En ce qui concerne les méthodes d’au-dit, l’INTOSAI élabore des normesvisant à faciliter le contrôle par les insti-tutions supérieures de contrôle du bonusage des dépenses publiques : lesISSAI (International Standards of SupremeAudit Institutions) qui transposent lesnormes privées ISA. La mise en place denormes professionnelles d’audit est unchantier majeur pour les juridictionsfinancières puisque ces règles méthodo-logiques harmonisées pour chacune desmissions ont vocation à être opposablesaux tiers, donc transparentes pour lescontrôlés. Les administrations s’orien-tent dans la même direction en matièred’audit interne en s’inspirant largementdes normes d’audit interne et decontrôle interne développées parl’Institut international IIA (Institute ofInternal Auditors) dont l’IFACI assure enFrance la diffusion.

* **

Les observateurs constatent aujourd’huiune fertilisation croisée de toutes lesformes d’audit, chacune s’inspirant desmeilleures pratiques constatées chezl’autre. Dans le secteur privé, auditexterne et audit interne dialoguent ainsidepuis longtemps. Audit public et auditen entreprise sont au contraire restés,jusqu’à récemment, plutôt cloisonnés.Cette étanchéité s’estompe aujourd’huipermettant à ces deux acteurs de mieuxse connaître. L’audit public adaptedésormais les normes d’audit privé.L’audit privé pourrait pareillement s’en-richir des meilleures pratiques de l’auditpublic des institutions supérieures decontrôle, ces dernières ayant égalementsu faire leurs preuves, comme à la Courdes comptes française par exemple oùles magistrats-auditeurs les appliquentet les améliorent depuis le XIIème siè-cle.

Cet article est un extrait de l’articleparu dans la revue Géoéconomie(n°67, novembre / décembre 2013)

Institut Choiseul (http://choiseul.Info)

12

IDÉES ET DÉBATS


Louis Vaurs : L’audit interne est une pro-fession normée disposant depuis plusieursdizaines d’années d’un cadre de référenceinternational. Est-ce par esprit d’imitationque vous avez décidé d’élaborer un référen-tiel métier pour les risk managers ?

Gilbert Canaméras : Je suis surpris parla question, parce que je n’avais pasconnaissance de l’existence d’un réfé-rentiel d’audit interne. L’idée de créer unréférentiel métier pour les risk managersest venue de la nécessité d’expliquer ceque devait être notre métier aux diffé-rents interlocuteurs de l’entreprise etau-delà.Contrairement à l’audit interne, la ges-tion des risques est un métier récent eten pleine constitution. Il revêt desformes différentes, multiples, selon lesorganisations et les tailles des entre-prises. Il fallait donc que les risk mana-gers, nos membres au sein de l’associa-tion, s’y retrouvent, sur ce qu’était leurmétier, ses fondements et ses bases ; ilfallait aussi que les interlocuteurs des

risk managers au sein des entreprisescomprennent quelle étaient ses activitéset sa valeur ajoutée. Nous avons retrans-crit dans ce référentiel métier la visiondu risk manager d’aujourd’hui et dedemain.Par ailleurs, le référentiel est la suitelogique des travaux publiés parl’AMRAE tous les deux ans sur le baro-mètre du risk manager. Cette enquêtedonne les missions, le profil, la rémuné-ration et l’avenir des risk managers. Nousavons senti le besoin de transformercette enquête en quelque chose de plusconceptualisé.

Bénédicte Huot de Luze : Toutes lesactivités recensées dans le référentielexistent dans l’entreprise. Mais actuelle-ment, elles sont réparties sur plusieurstêtes, ou avec des bouts partiels à diffé-rents endroits. Il nous semble importantpour l’organisation de les rassembler surune personne : le risk manager ou, si cen’est pas possible, de s’assurer qu’il y aune communication, une discussion, un

échange entre toutes ces personnes.Rappelons-nous, l’objectif premier dumanagement des risques est de donneraux dirigeants la possibilité de prendredes risques acceptables pour l’entre-prise, les risques financièrement inac-ceptables pour l’organisation devantêtre si possible transférés.

L. V. : Pouvez-vous nous préciser lescontours de ce référentiel ?

G. C. : Pour fixer les contours du docu-ment, nous avons recensé neuf activitésqui sont : la définition des missions et dela structure du dispositif de risk manage-ment ; l’appréciation du risque, avecl’identification, l’analyse et l’évaluationdu risque ; l’activité liée à la maîtrise durisque ; l’activité liée à la diffusion de laculture du risque ; l’activité liée au finan-cement des risques en accord évidem-ment avec la politique de gestion desrisques adoptée ; l’activité liée à la ges-tion des événements qui sont non assu-rés ou non assurables ; la gestion des

En 2013, l’AMRAE a pris l’initiative de créer un référentiel métier. Contrairement à l’audit interne, lerisk management est un métier récent qui est donc en pleine constitution. Il revêt des formes diffé-rentes, multiples, selon les organisations et les tailles des entreprises. Le risk management et l’auditinterne sont les deux acteurs clés de la maîtrise des risques. Il n’est pas toujours facile d’attribuer àchacun les responsabilités qui lui incombent ; cependant elles doivent être définies très clairement.

A l’instar de l’audit interne,le risk managementse dote d’un référentiel métierEntretien avec ...

Gilbert Canaméras, Président de l’AMRAE

Bénédicte Huot de Luze,Déléguée générale de l’AMRAE


sinistres ; la gestion de crise ; enfin le pilotage et le reporting.A partir de ces neuf activités, nous déclinons les tâches qui leurcorrespondent, et donc les compétences requises.

B. H. L. : Les risk managers doivent être des créatifs. Il faut ima-giner des situations qui ne sont pas forcément imaginables ; ilfaut arriver à dire : « Allons au bout de l’exercice de cette ima-gination. », ce qui est un rôle important pour le risk manager. AFukushima, personne n’avait osé envisager la combinaison d’untremblement de terre et d’un problème nucléaire. Finalement,il y a eu les deux. Mais c’est parce qu’ils avaient travaillé sur cesdeux scenarii que certaines entreprises françaises et étrangèresont réussi à évacuer les personnes en temps et en heure, à rapa-trier les expatriés et à transférer leurs locaux à Osaka.

G. C. : Le risk manager est une vigie ; il essaie de faire réfléchirles gens de la manière la plus approfondie possible, la plus réa-liste. Je dis souvent, c’est un accoucheur. Si nous étions en philo,nous dirions qu’il fait de la maïeutique.

L. V. : Quel est le but du référentiel ? A qui s’adresse-t-il ?

G. C. : Pour moi, il s’adresse d’abord au risk manager. C’est unbon outil de travail qui définit la notion de risk management etle métier de risk manager. Il s’adresse en deuxième lieu, auxdirections générales, et la communication avec les directionsgénérales est toujours un peu compliquée ; au-delà, il concerne

les conseils d’administration, forcément, parce qu’avec l’effica-cité des systèmes à vérifier par les administrateurs, il y a unedemande de plus en plus forte. Il s’adresse également aux res-ponsables de ressources humaines : c’est très important, làaussi, pour bien positionner le risk manager.

B. H. L. : Ce document va servir aussi pour les écoles. Pour quela formation initiale et la formation continue puissent se mettredans le même ordre sur « Quelles sont les compétences d’unrisk manager ? » Maintenant, nous voulons lui donner un vraicontour, un corpus. Nous diffusons le référentiel dans les écoles,et travaillons à une labellisation de leur programme.

L. V. :Avez-vous pensé à une charte type pour le risk management ?

G. C. : J’ai fait adopter une charte du risk management par leconseil d’administration de mon entreprise où l’un des objectifsest de bien faire comprendre que la démarche de risk manage-ment doit être à la fois top-down, parce que c’est la directiongénérale qui impose cette notion mais en même temps bottom-up. Les deux démarches doivent se rencontrer, parce qu’aveccette méthodologie, les risk managers de projets, de branches,etc., doivent remonter les risques, en conformité avec une pro-cédure mise en place par le groupe.Mais nous n’avons pas encore proposé à l’AMRAE une charte« type » à titre de modèle – non obligatoire – c’est une bonneidée.

Gilbert Canaméras Bénédicte Huot de Luze

14

IDÉES ET DÉBATS


B. H. L. :Nous avons davantage travaillésur la politique de gestion des risquesqui, pour nous, est fondamentale. Lapolitique de gestion des risques est fon-datrice du risk management et elle peutintégrer les procédures, l’ensemble desspécificités du risk management. Nousn’avons pas élaboré un document type,mais nous disposons de nombreusespublications qui ont eu lieu dans les ate-liers et les commissions, sur ces élé-ments-là.

L. V. : Ce référentiel concerne-t-il les assu-reurs ?

G. C. : Nous considérons que l’imbrica-tion de l’assurance et du risk manage-ment est naturelle et fondamentale :quand vous prenez une police d’assu-rance, l’assureur et le courtier vous amè-nent à devoir faire une analyse derisque. C’est évident ! Si vous achetez250 millions de garanties sur du dom-mage, vous ne le faites pas au hasard ;les assureurs et les experts ont cettenotion qui me paraît tout à fait basique,qui est la notion de sinistre maximumpossible et de sinistre raisonnablementescomptable. C’est déjà de l’analyse derisque.Si vous calculez le sinistre maximumpossible, vous revenez à l’inimaginable :que peut-il arriver si un avion tombe surma centrale ou sur mon usine ? Qu’est-ce qui est raisonnablement escompta-ble ? Je peux avoir trois fours qui melâchent dans l’année. Ça, c’est du rai-sonnable. Et c’est forcément de l’analysede risque.Après, viennent d’autres interrogations :combien ça me coûte ? Quelles mesuresde prévention vais-je prendre pour évi-ter que cela m’arrive ? Et tout cela varentrer dans le calcul de la prime de l’as-sureur, dans son calcul de montant defranchise, etc.Quand on m’oppose risk manager etassureur, je dis : « Non, c’est complé-mentaire. »

L. V. : Trouve-t-on des différences selon lessecteurs d’activité ?

G. C. : Les différences concernent sur-tout la taille des entreprises. Les groupes

importants scindent parfois cette fonc-tion, le risk manager pouvant être répartisur plusieurs personnes, expertes dansleur domaine. L’essentiel est que les dif-férentes parties prenantes se parlent,dialoguent et construisent la perfor-mance de l’organisation.

B. H. L. :A contrario une ETI va rassem-bler sur une personne le risk manage-ment, la qualité, l’audit interne, voir lecontrôle de gestion. Tout dépend desmoyens, des activités et des ambitionsde l’organisation.

L. V. : Quid du secteur bancaire ?

B. H. L. : Les activités d’assurance sonttraitées par des directeurs des assu-rances qui n’ont pas forcément des liai-sons régulières avec le risk manager oule risk officer. Et je pense qu’il y aura desprogrès à faire, à un moment ou à unautre.

G. C. : En fait, ils ont des responsablesde risques dans beaucoup de secteurs.Ils ont des analyses de risques par rap-port à leurs clients, par rapport auxcontreparties ; ils ont des analyses derisques par rapport à eux-mêmes, parrapport à leur gestion ; ils ont des ana-lyses de risques par rapport à leurs cap-tives puisque beaucoup de leurs provi-sions sont gérées à travers des captives. Et ils ont des risques propres par rapportà l’activité, comme assurer l’agence ducoin, le personnel qui est à l’étranger,etc.

L. V. : Votre document est, pour l’instant,purement franco français. A-t-il vocation àservir de base à un document européen ?

G. C. : Nous sommes une associationnationale française. Nous avons doncfait ce document pour le risk managerfrançais. Mais nous l’avons traduit enanglais, et donné, à titre de contribution,aux travaux de FERMA (la FédérationEuropéenne des Risk Managers)puisqu’un programme de certificationdu métier de risk manager est en route.Ce référentiel – le body of knowledge – estle point de départ des activités et com-pétences du risk manager.

B. H. L. : Nous avons encore beaucoupà faire. Nous adossons toutes nos for-mations à ce référentiel, au détail desactivités. Nous travaillons sur la dernièrearrivée qui est l’Associate in RiskManagement, le diplôme de risk managerle plus connu, délivré par The Institutesaux USA.

L. V. :Avez-vous l’intention de certifier éga-lement le management des risques commeIFACI Certification le fait pour les direc-tions d’audit interne ?

B. H. L. : On l’exclut pour l’instant. Onavance étape par étape. Certifier le riskmanager est dans un premier tempsnotre seule ambition.

L. V. : L’audit interne se définit de plus enplus souvent comme un acteur clé de lamaîtrise des risques. Rentre-t-il de ce faiten concurrence avec le risk management ?

G. C. : Non. Pour moi, il n’y a pasconcurrence. L’acteur clé de la maîtrisedes risques, cela reste à définir. L’auditinterne n’est pas en concurrence avec lerisk management, il est plutôt complé-mentaire comme le démontre très jus-tement le positionnement de chacunede ces fonctions dans le cadre des troislignes de maîtrise.

B. H. L. : Nous, nous sommes très opé-rationnels contrairement à l’auditinterne.

L. V. : Dans votre référentiel, vous attachezbeaucoup d’importance à vos relations avecla direction générale. Est-ce à dire que vousêtes ou souhaitez y être directement ratta-ché ?

G. C. : Pour l’instant, le rattachementhiérarchique se fait majoritairement à ladirection financière. Pour les profilsAssurance, le rattachement est au ser-vice juridique ou financier. Quant auxprofils ERM, la tendance est au rattache-ment à la direction générale.

L. V. : Merci à vous deux de nous avoir per-mis de mieux appréhender cette jeune fonc-tion qu’est le management des risques.


DOSSIER

InnovationOutils, approches, missions,gestion des risques

Essilor : un souci permanent d’innovation dans tousles domainesChristophe Perreault

22

Vers un dispositif de maîtrise des risques intégréau Conseil général de Seine-Saint-Denis :un changement de paradigme innovantYannis Wendling

25

Innovation ou maîtrise des fondamentaux ?Farid Aractingi

16

Michelin : innover pour une meilleure maîtrisedes risquesFlorence Vincent

29

Enquête EY - IFACI sur l’innovation et la performancedans les fonctions d’audit et de contrôle internes

18

16

DOSSIER


L’IFACI a décerné les prix del’Innovation, au cours de sa pre-mière conférence annuelle en

novembre 2013. Ce prix était parrainépar notre partenaire EY, qui nous a aidéà organiser l’enquête et mettre en placele jury dont le choix a été très équilibré :une entreprise de technologie de pointe,Essilor, une industrie plus lourdeconsciente que son environnementconcurrentiel représente une puissanteincitation à l’innovation, Michelin, etune collectivité locale qui a adopté uneapproche résolue et dynamique de maî-trise des risques, le Conseil général deSeine-Saint-Denis.

Pourquoi avoir choisi un thème a prioriéloigné de ce qui doit constituer la qua-lité fondamentale d’un service d’auditinterne, c’est-à-dire le respect des

normes internationales, consignéesdepuis des décennies dans la bible ducadre de référence international des pra-tiques professionnelles, dont l’évolutionau fil du temps est davantage sagequ’ébouriffante ? Tout simplement parceque l’innovation n’est pas l’ennemie dela bonne maîtrise des fondamentaux. Aucontraire : elle peut constituer un détourpour revisiter la pertinence du disposi-tif.

En effet, on notera que le point communà ces trois lauréats n’est pas la perfor-mance intrinsèque mais confidentiellede leur audit interne, de leur dispositifde contrôle interne ou de leur cartogra-phie des risques – encore que ceci soitun élément de base de leur fonctionne-ment. Le point commun à ces trois lau-réats est leur performance opération-nelle, qui passe par l’innovation de touteleur organisation – produit, services,relation client, approche par les proces-sus.

Nous sommes toujours fiers de recon-naître chez nos adhérents la qualité d’undispositif robuste de maîtrise desrisques, et de pousser à l’émulationentre banques, industries ou administra-tions : la comparaison est en effet unpuissant stimulant vers l’excellence.Mais nous sommes particulièrementfiers lorsqu’un dispositif considérécomme une meilleure pratique, sert uneorganisation qui représente elle-mêmesur son marché une meilleure pratique– ce que nos collègues anglo-saxonsappellent un benchmark. En favorisantl’innovation dans leur audit interne, cesacteurs ont poussé l’ensemble de leurorganisation dans la même direction.

Pourquoi Essilor a-t-il remporté le grandprix de l’Innovation, après le dépouille-ment de l’enquête ? Parce que les 21professionnels du département « audit& consulting Services » se considèrentcomme des ambassadeurs au serviced’une entreprise dont l’innovation estun pilier de sa stratégie. Michelin quantà lui a décidé, au mépris de l’orthodoxiede la muraille de Chine, de consacrerl’audit interne à la mise à jour continuede la cartographie des risques. Enfin, leConseil général de Seine-Saint-Denisn’a pas craint, dans l’univers des admi-nistrations publiques territoriales forcé-ment moins avancé sur les thématiquesd’audit et de risques que les entreprises,de lancer une démarche déterminéedans ce domaine.

Ce sont trois beaux lauréats qui fonthonneur à la profession de l’auditinterne et de la maîtrise des risques,comme leurs organisations font hon-neur à l’économie française. Sachons lesfêter justement.

Farid Aractingi

Président, IFACI

Innovation ou maîtrisedes fondamentaux ?

17

Innovation : outils, approches, missions, gestion des risques

fév./mars 2014 - Audit & Contrôle internes n°218

Prix de l’Innovation IFACI - EY 2013

L’IFACI organisait la 1ère conférence annuelle sur l’évolution et les enjeux des métiers

de l’audit et du contrôle internes. Cette 1ère édition avait pour thème: « Innovation,

maîtrise et performance : réinventer l’audit et le contrôle interne ».

A l’issue de la conférence, le président de l’IFACI, Farid Aractingi, et Dominique

Pageaud, associé EY responsable du conseil en management, ont remis 3 prix de

l’Innovation décernés par un jury composé de personnalités qualifiées.

Président du Jury• Yves Dumont, administrateur indépendant, président du comité d'audit de

Vranken-Pommery

Membres du Jury• Annie Bressac, IFACI

• Alain Martel, IFA

• Raymond Marfaing, directeur de l’audit interne, SNCF

• Stéphanie Thiery-Dubuisson, chercheur, ICN Business School

• Pierre Rodocanachi, membre du conseil de surveillance et du comité d'audit de

Vivendi

Les Prix et les nominés

Le « grand prix de l’Innovation »

Candidat ayant obtenu les meilleurs scores à l’enquête quantitative et qualita-

tive, appuyés par un entretien distinctif sur des pratiques innovantes audit

interne ou contrôle interne.

• Nominés : EADS, ESSILOR, PERNOD RICARD,

• Le prix a été remis à Monsieur Christophe Perreault, Essilor

Le « prix coup de cœur »

Candidat ayant une organisation avec un très bon niveau de maturité et des pra-

tiques innovantes au regard de ses moyens ou d'une création récente.

• Nominés : Conseil général de Seine-Saint-Denis, MERSEN, TARKETT

• Le prix a été remis à Monsieur Yannis Wendling, Conseil général de Seine-

Saint-Denis

Le « prix spécial du Jury »

Candidat avec une innovation distinctive particulièrement intéressante.

• Nominés : MARKEM-IMAJE, MICHELIN, SONEPAR.

• Le prix a été remis à Madame Florence Vincent, Michelin

Selon Dominique Pageaud,associé EY, « conduire cetteétude en partenariat avec l’IFACIétait naturel car EY a la volontéde contribuer à une meilleurevalorisation des compétences,des pratiques innovantes et desparcours professionnels et nousserons de nouveau partenairesen 2014 pour la deuxièmeédition de l’étude ».

18

DOSSIER


Enquête EY - IFACI surl’innovation et la performancedans les fonctions d’auditet de contrôle internes

Lors de la 1ère conférence annuellesur l’évolution et les enjeux desmétiers de l’audit et du contrôle

internes, Florent Midey et ChristopheLairy (EY) ont présenté les enseigne-ments majeurs d’une étude co-pilotéeavec l’IFACI sur les pratiques innovantesen matière d’audit et de contrôleinternes au sein des entreprises et desorganisations publiques, à l’issue delaquelle 3 prix de l’Innovation ont étéattribués.

Pour mieux connaître et distinguer lesbonnes pratiques des entreprises et desorganisations publiques, cette enquête aété menée auprès de 59 entreprises etorganisations (sociétés cotées ou noncotées représentant une pluralité de sec-teurs d’activité et de différentes tailles,tant par leur chiffre d’affaires que parleur effectif).

L’innovation est désormais un enjeu clépour les fonctions d’audit et de contrôleinterne. En effet, au-delà du cadre strictdans lequel elles évoluent, elles doiventrelever de nombreux défis internes pourdevenir un levier à part entière de per-formance de l’entreprise : • produire davantage avec moins de

ressources ;• minimiser l’impact des audits sur la

fonction opérationnelle tout en maxi-misant la couverture des risques ;

• rationaliser les processus – planifica-

tion, travail terrain, rapport ;• adapter le modèle de ressources aux

enjeux de l’entreprise ;• maximiser l’utilisation de la technolo-

gie pour plus d’impact ;• démontrer leur valeur ajoutée opéra-

tionnelle pour l’entreprise.

Si le lien entre innovation et perfor-mance n’est plus à démontrer, il est plusrare de voir l’innovation être associée audomaine de la conformité, pourtantindispensable à une performance dura-ble de l’entreprise. Cette enquête, qui nous révèle que lesfonctions audit et contrôle internesn’ont pas attendu pour innover, met enlumière les meilleures pratiques inno-vantes et les axes à explorer dans sixdomaines :

1- Dispositifs de veilleet d'identification desopportunités d'améliorationdes pratiques

La quête de l’innovation dans les fonc-tions d’audit et de contrôle internes

passe notamment par la recherche d’in-formations et de moments d’échangesentre pairs : plus de 75% des entreprisesinterrogées déclarent en effet assurerune veille externe en participant à desclubs audit interne ou à des associationsprofessionnelles.

Certaines sociétés ont mis en place cetype de dispositifs à travers des réu-nions bimensuelles entre pairs dumême secteur afin d’échanger sur lesenjeux sectoriels et l’approche d’au-dit liée. D’autres ont choisi de réaliserdes benchmarks systématiques avantchaque mission d’audit afin de s’ap-proprier les meilleures pratiques sur lesujet d’audit concerné.

La veille externe consiste également,pour l’une des entreprises interrogées, àdiffuser régulièrement au top manage-ment une synthèse mensuelle des 4-5risques majeurs s’étant produit, avecune analyse pédagogique des dysfonc-tionnements de contrôle interne.

Pour aller plus loin, certaines sociétésont mis en place des démarches consis-tant à valoriser cette quête de l’inno-vation dans les critères d’évaluationde fin d’année des auditeursinternes. Cette dernière initiative parti-culièrement innovante vise à porter l’in-novation au cœur du quotidien deséquipes d’audit, à la fois pour instaurer

« Les entreprises les plusorientées vers l’innovation

voient leurs efforts se traduireen résultats économiques

concrets »

19



un processus d’amélioration continuepropre à l’audit, mais surtout afin dechercher constamment à accroître lasatisfaction des acteurs de l’entreprise.

En revanche, on compte peu de parte-nariats avec des universités ou des cen-tres de recherche, qui ne concernent que5% des entreprises interrogées.

2- Posture et rôledes fonctions auditet contrôle internes

Pour plus de 70% des sondés, la partici-pation de plus en plus régulière auxcomités de direction au-delà des comi-tés d’audit démontre le rôle majeur jouépar les fonctions audit et contrôleinternes dans la maîtrise des risques etson suivi.

Au-delà des revues classiques decontrôle interne sur des entités ou desprocessus, l’une des entreprises interro-gées a su, par exemple, développer uneméthode d’audit qui lui permet de for-muler annuellement un avis sur qualité

du dispositif de gestion des risques(ERM). Une autre entreprise a choisi deconduire, depuis 3 ans, exclusivementdes audits risques en traitant 5 à 6risques issus de la cartographie par an,mais aussi de suivre de façon plurian-nuelle le déploiement des plans d’actionjusqu’à ce que le risque soit réduit à unniveau jugé acceptable.

Une autre tendance, encore peu répan-due, consiste à élargir le périmètre desfonctions compliance. Dans cetteoptique, une société a créé un « FocusGroup Innovation Compliance », oùl’ensemble des instances de contrôle del’entreprise, y compris l’audit interne, seréunissent afin de favoriser une plusgrande convergence et voir émerger dessynergies. L’échange entre ces différentsmétiers de maîtrise de l’entreprise (riskmanagement, contrôle interne, qualité, IT,HSE …) vise à fournir au managementune vue complète sur le niveau de lamaîtrise des risques.

3- Compétences techniqueset comportementalesdes auditeurs / contrôleursinternes

La majorité des innovations recenséesdans le cadre de cette enquête ont traità la gestion des équipes, et plus particu-lièrement aux compétences techniqueset comportementales requises par le rôled’auditeur ou de contrôleur interne.

Si le fait d’avoir une approche de« contrôleur » dans la réalisation desaudits de filiales ou de processus est unprérequis, l’auditeur interne se doitd’apporter beaucoup plus. Les départe-ments d’audit interne ont créé des pro-grammes spécifiques pour attirer etfidéliser les hauts potentiels avec l’ap-pui d’un sponsor métier. Cette visionélargie, que beaucoup d’entreprises par-tagent, passe également par de nou-veaux programmes qui s’intensifient,avec la prise en compte de « GuestAuditors » qui permettent à des profes-sionnels d’autres fonctions de réaliserune à deux missions d’audit par an et dedevenir par ailleurs « promoteur desbonnes pratiques ». D’autres pro-grammes offrent à des membres dumanagement opérationnel la possibilitéde rejoindre les équipes d’audit pourquelques mois dans une période detransition entre deux postes : l’invitéapporte alors son regard métier d’opé-rationnel aux auditeurs pour enrichir lesprogrammes d’audit ou définir desrecueils de bonnes pratiques.

« […] dans les objectifsqualitatifs du directeur de

l’audit et de son équipe pour2012/2013, 10% de la part

variable qualitative estdirectement liée à la capacitéde chacun à innover dans sa

fonction »

« A l'occasion durenouvellement du Top

management, nous avonsorganisé des séances de travail

en impliquant tout lepersonnel de l'audit afin de

réfléchir ensemble surcomment s'adapter au

nouveau style de managementet être innovant dans nos

réponses »

La remise des prix aux lauréats

20

DOSSIER


Enfin, les programmes de formation sesont enrichis de disciplines moins clas-siques comme le « strategic thinking » oula « résolution de problèmes com-plexes ».

Cette intégration de compétencesmétiers au cœur de l’audit interne a étéévoquée par l’ensemble des sociétésconcernées comme un apport réel devaleur ajoutée au service de la perfor-mance opérationnelle.

4- Pratiques professionnellesde l'audit et du contrôleinternes

Si les pratiques professionnelles restentencadrées par les normes de l’IFACI, lesauditeurs ou contrôleurs internes s’ap-

puient sur ce cadre pour enrichir lesapproches d’audit et renforcer la maî-trise des risques.

Ainsi, plusieurs sociétés ont mis enavant le déploiement de missions d’au-dit axées sur l’efficacité de la gestion desrisques au-delà du contrôle interne(audit de la fonction de managementdes risques notamment) ou encore desdémarches fraude spécifiques, enparticulier autour de la problématiquede corruption dans certains pays.

En matière de contrôle interne, la miseen place d’un outil de recueil despreuves sur des contrôles clés a permisd’aller au-delà des traditionnelles cam-pagnes d’auto-évaluation et de testsd’audit en permettant aux opérationnelsde formaliser facilement et régulière-ment leurs travaux de contrôle, tout enfacilitant la revue hiérarchique ou l’auditlorsque ces derniers cherchent à accéderà certaines preuves d’audit.

Autant de constats qui font apparaîtrel’indispensable diffusion d’une culturede contrôle au service de l’efficacité opé-rationnelle. Le lancement d’un pro-gramme de revue du contrôle interne

croisé entre entités a ainsi permis à cha-cun de bénéficier de nouvelles idées enrelevant les bonnes pratiques, mais aussiune meilleure compréhension de l’im-portance du contrôle pour une meilleureappropriation par les opérationnels.

5- Communication autour del'audit et du contrôle interne

Si tous les acteurs que nous avons inter-rogés reconnaissent l’importance d’in-nover et de se renouveler pour apporterdavantage à l’entreprise, ils font lemême constat : l’innovation ne peutémerger et se diffuser avec succès

« Nous avons créé deuxprogrammes, soutenus par les

RH, que nous animons auniveau mondial. Le

programme GAP (GuestAuditor Program ) […] et leprogramme TAP (Transition

Auditor Program) »

« Le contrôle interne produitun tableau de bord mensuel

(bonne exécution des contrôlesopérationnels, suivi des plansd'action d'amélioration du

contrôle interne […] suivi dela progression du score

global) qui est diffusé à tousles intervenants du contrôle

interne et au comité dedirection »

Technologie

Communication

Compétences techniques et comportementales

Veille, identi�cation d'opportunité innovation et d'amélioration des pratiques

Posture et rôle

Pratiques professionnelles

41%

45%

39%

44%

45%

43%

43%

52%

52%

52%

55%

61%

Audit interne

Contrôle interne

Intensité de l’innovationPrésence des pratiques innovantes sur les 6 thèmes de l’étude – Audit Interne et Contrôle Interne

21



sans l’appui d’une communicationperformante.

De plus en plus ciblée et pilotée pargroupe d’utilisateurs grâce aux outilsdu digital, cette communication innoveégalement par des campagnes interac-tives permettant de rythmer la mise enplace d’outils, le déploiement de pro-grammes stratégiques, etc.Les pratiques se sont multipliées en lamatière : newsletters mensuelles / trimes-trielles sur les avancées des projets, quizzludiques sur la fonction audit interne,concours d’innovation à l’échelle dugroupe avec la participation active del’audit interne, ou encore démonstra-tions interactives à disposition des utili-sateurs pour le lancement de nouveauxoutils…

Une autre initiative mérite d’être saluée :elle vise à relier chaque recommanda-tion d’audit à l’une des valeurs ou desobjectifs stratégiques du groupe, afind’assurer une meilleure compréhensiondu lien entre stratégie de l’entreprise etles apports des lignes de défense.

6- La technologie au servicede la performance de l'auditet du contrôle internes

L’étude révèle une implication de plusde 70% des départements d’audit et decontrôle internes dans la mise en placede nouveaux systèmes d’information,que ce soit en amont pour la bonneprise en compte des règles de contrôleinterne, ou en aval pour une utilisationdu système d’informations dans le cadredes tests d’audit.

Une entreprise interrogée sur deuxdéclare par ailleurs que son départe-ment d’audit et de contrôle interness’est doté de son propre système d’in-formation de type « GRC » (GouvernanceRisk Compliance).

Parmi les innovations relevées, nousretrouvons dans quelques sociétés ladémarche de surveillance en continudes conflits de séparation des tâchesou la communication d’indicateurs decontrôle interne sur une base régulièreà travers une analyse de donnéespériodiques (processus commerciaux,clôture des comptes et achats).

Quelle valeur ajoutée attendrede ces pratiques innovantes ?

L’étude confirme que l’innovation estnotamment source d’amélioration de larelation des fonctions audit et contrôleinternes avec le management et lecomité d’audit. Elle contribue à mieuxvaloriser la fonction au sein de l’entre-prise qui, en proposant constamment denouvelles façons de voir les choses etdes recommandations pragmatiques,recherche en permanence une meilleureanticipation des risques.

« Une rubrique « hot spots »traite des sujets chauds, telle

une tentative de fraude externepar exemple. Une newslettervient également compléter le

dispositif »

« L'outil GRC est déployédans 175 entités du groupe, il

nous sert à recenser lesdéficiences identifiées et àsuivre les plans d'action »

Selon Florent Midey, directeurassocié EY en charge dessolutions contrôle interne,« cette étude révèle un grandbesoin d’innovation au sein desfonctions contrôle interne, enréponse notamment à larecrudescence des tentatives defraudes externes / internes. Unbesoin que l’on retrouved’ailleurs dans les nouveautés2013 du COSO. »

Selon Christophe Lairy,associé EY en charge dessolutions audit interne, « lesnombreuses pratiquesinnovantes d’audit interne quenous avons identifiées par lebiais de cette étude démontrentle lien étroit entre la stratégie del’entreprise et la maîtrise desrisques. Cet élément permet derenforcer le rôle de « businessadvisor » de l’audit interneauprès du management et desopérationnels. »

Pour en savoir plus,rendez-vous sur lesite de l’IFACI

(www.ifaci.com), à larubrique “Evénements“.

22

DOSSIER


Des ambassadeurs au servicede la mission d’Essilor

Notre département, ACS (« Audit &Consulting Services »), regroupe 21 pro-fessionnels couvrant l’audit interne, lecontrôle interne et l’analyse de risques.Nous nous définissons avant toutcomme des ambassadeurs au service dela mission d’Essilor – qui est d’offrir àtoute personne dans le monde une viemeilleure grâce à une meilleure vue.C’est une mission inspirante qui donneun sens fort à tout ce que font les sala-riés d’Essilor et nous contribuons à ladiffuser.

Concrètement, nous sommes un vecteurde communication dans un environne-ment très décentralisé [NDRL : plus de400 filiales déployant leurs activités dansplus de 100 pays] pour plusieurs fonc-tions qui n’ont pas de représentants auniveau local. Nous sommes ainsi por-teurs de messages relatifs à la stratégiede l’entreprise, à l’hygiène sécurité, auxachats, au juridique, etc. Et, en retour,nous nous attachons à remonter aux unset aux autres le feedback de nos échangessur le terrain sur ce qui est connu, com-

pris, appliqué… plus ou moins facile-ment !

Nous portons également plusieurs mes-sages sur l’innovation qui est un pilierde la stratégie d’Essilor et de sa crois-sance depuis plus de 165 ans. Il s’agitbien sûr d’innovation produits (45 % duchiffre d'affaires du groupe proviennentde produits mis sur le marché depuismoins de trois ans) et services, maisaussi de conception de « businessmodels » uniques (en particulier, unestratégie de partenariats par prise decontrôle, le plus souvent partielle, de 20à 30 nouvelles entreprises par an), etc.Essilor a d’ailleurs été identifiée pour latroisième année par le magazine améri-cain Forbes parmi les « 30 entreprises lesplus innovantes au monde ».

Dans le domaine de la gouvernance,Essilor a su aussi innover. Par exemple,l’association « Valoptec », qui regroupedes associés actionnaires d’Essilor de 36pays (salariés actifs ou anciens salariésretraités) est partie prenante des choixstratégiques. Elle vote les politiques pro-posées par la direction générale. Trois deses représentants élus siègent au conseil

L’innovation est un pilier de la stratégie d’Essilor et de sa croissance depuis plus de165 ans. Innovation dans les produits et services, mais aussi dans la conception de« business models »uniques, et dans le domaine de la gouvernance. Essilor a d’ail-leurs été identifiée pour la troisième année par le magazine américain Forbes parmiles « 30 entreprises les plus innovantes au monde ». Le département ACS (Audit &Consulting Services) s’inscrit logiquement dans cet environnement d’innovation.

Christophe Perreault

Vice-Président, Audit & ConsultingServices, Essilor

Essilor : un souci permanentd’innovation danstous les domaines

Franco-Canadien, ChristophePerreault a rejoint Essilor il y a3 ans en tant que vice présidentACS (Audit & Consulting Services)qui regroupe les fonctions d’auditinterne, de contrôle interne etd’analyse de risques.Auparavant, il a notamment étédirecteur de l’audit interne àMontréal et directeur financier àBerlin pour le groupe canadienBombardier. Après 2 ans passés àParis, il est désormais basé àSingapour avec sa femme et sesdeux enfants. Christophe est CIA etCRMA.

23



d’administration d’Essilor (dont un aucomité d’audit et des risques). Nousnous inscrivons donc très logiquementnous-mêmes dans cet environnementd’innovation.

Un contact permanentavec la réalité du terrain

Une autre priorité pour notre équipe estd’être en contact permanent avec la réa-lité du terrain. Cela se traduit par uneorganisation sous forme de petiteséquipes opérant sur 4 continents (baséesà Paris, Singapour, Rio, Dallas) et privi-légiant un nombre de missions impor-tantes de courte durée (rarement plusd’une semaine). Nous avons ainsi traité110 sujets en 2013. Nos compétencessont complémentaires et diversifiéesavec un bon équilibre entre personnesvenant de l’interne ou de l’externe, une

parité hommes / femmes, des profilscomptables, financiers mais aussi opé-rationnels : logistique, achat, IT…, desorte que chacun apporte une contribu-tion unique au reste de l’équipe.

Cette proximité avec le terrain et ladiversité des profils est un atout impor-tant qui nous permet de mieux remplirnotre rôle. Cela implique de nombreuxdéplacements pour tous (je passe moi-même près de la moitié de mon tempsdans les filiales). Ma base est d’ailleursà Singapour, afin de pouvoir mieuxcomprendre et anticiper certains enjeuxliés à l’Asie (qui représente une partcroissante de notre activité).

Notre capacité à comprendre l’environ-nement local et apporter une vue pra-tique est aussi soutenue par deux pro-grammes qui sont appuyés par les res-

sources humaines au niveau mondial.Le programme GAP (« Guest AuditorProgram ») permet à des salariés dugroupe (à fort potentiel et ayant unecompétence particulière dans ledomaine comptable et financier ou opé-rationnel, IT, HSE, juridique, etc.) de sejoindre à des travaux d’audit sur le ter-rain. Par exemple, lorsqu’un contrôleurexpérimenté d’une usine à Porto Rico sejoint à nous pour faire un audit dans uneusine au Mexique, il apporte non seule-ment ses compétences, mais aussi desoutils et des recommandations très pra-tiques qui ne se trouvent dans aucunmanuel mais font une différence ! Enretour, il tire de cette expérience unevision élargie des choses, un réseau decontacts accru et une opportunité dedéveloppement individuelle unique.Nous sommes aussi gagnants et il y a debonnes chances que sa pro-activité sur

© C

rédi

t pho

to : T

hier

ry B

orre

don

- Con

trôl

e qu

alité

des

ver

res c

orre

cteu

rs a

près

ver

nis

24

DOSSIER


les sujets de contrôle interne soit démul-tipliée dans le futur.

Le second programme, TAP (« TransitionAuditor Program ») est destiné à des pro-fessionnels matures qui se retrouvent, àun moment de leur carrière, en attentede leur prochain poste (notamment encas de retours d’expatriation). Nous sai-sissons ainsi l’opportunité de mettretemporairement leur grande expérienceau service d’ACS.

Engager les leaders locaux est un autreaxe prioritaire pour nous. Nous commu-niquons très régulièrement de manièreplus ou moins formelle avec eux. Nousavons notamment mis en place trimes-triellement des comités d’audit locauximpliquant les présidents de chaquerégion, ce qui imprime un rythme et unedynamique favorisant la communicationdans les deux sens et un raisonnementsur le long terme de « business partner ».Un autre moment clé pour chaqueéquipe se joue dans la préparation desmissions et, pour cela, nous échangeonsen amont avec les responsables defiliales sur les indicateurs qui témoi-gnent, selon eux, de la réussite de leurentité. Cela nous permet de bien saisirce qui est important pour eux et, autantque possible, de leur donner du feedbackaussi sur ces points qui les intéressentplus particulièrement. Nous constatonsalors que leur niveau d’intérêt pour nostravaux est généralement plus importantet la coopération meilleure que si nousnous contentions de « dérouler » notreprogramme d’audit.

Une approche intégréeet simple

Nos domaines d’intervention sontlarges, ce qui permet à nos interlocu-teurs (depuis les membres du comitéd’audit et des risques jusqu’aux parte-naires en filiales) de nous solliciter surune grande variété de sujets et de situa-tions – plutôt que de faire appel à plu-sieurs interlocuteurs différents. En cesens, nous proposons une approcheintégrée et simple (principe du « one stopshop »). A titre d’exemple, le référentieldes risques que nous avons retenu est

utilisé aussi bien pour les travaux d’auditinterne, de contrôle interne que d’ana-lyse de risques. Cela nous permet deconsolider et d’éviter les risques deduplication ou d’inefficacité.

Côté audit interne, notre fonction d’as-surance recouvre des audits de confor-mité, investigations spéciales, revuespost acquisition (absolument critiquesdans notre environnement où la crois-sance par acquisitions est très forte et oùnotre travail contribue à l’établissementd’une relation sur le long terme) et duediligences financières (effectuées danscertaines conditions précises). Notrefonction de conseil, quant à elle, se tra-duit par des audits informatiques, opé-rationnels et financiers visant à identifieret mesurer des gains d’efficacité, ainsiqu’à anticiper des enjeux à venir pour lesorganisations.

Côté contrôle interne, notre plus grandchantier récent a été de trouver un modede communication plus simple des prin-cipales règles groupe. Nous avons, pource faire, créé les « Minimum ControlStandards » (MCS) traduits en 33langues qui reprennent de manière sim-ple les 75 contrôles que nous avonsjugés les plus critiques pour toute entité.Ceux-ci s’articulent autour de 15 proces-sus différents (trésorerie, juridique,achats, ventes, etc.) et constituent dés-ormais la pièce angulaire de notre dis-positif de contrôle interne. Ils sont donclargement déclinés et repris (identifica-tion au sein du manuel de contrôleinterne groupe, point central pour lesquestionnaires d’auto-évaluation, etc.).

Nous nous efforçons aussi de mobiliserles ressources externes adéquates pourmieux répondre aux besoins de nosclients internes. C’est bien sûr le casavec nos commissaires aux comptesavec lesquels nous avons une coordina-tion très précise pour rendre nos travauxrespectifs plus performants. Nous utili-sons par ailleurs du co-sourcing lorsquenous manquons de capacités tech-niques, culturelles ou linguistiques danscertains pays. Sur ce point, nous avonsmis en place un contrat cadre au niveaumondial qui accroît notre flexibilité

(conditions d’intervention, grille tarifaireprédéfinies) et nous donne accès à cer-taines compétences que nous n’avonspas, dans un contexte de partenariatlong terme avec notre fournisseur.

Côté outils, notre intranet est la plate-forme sur laquelle les employés peuventretrouver toutes les informations utiles(manuels, kits de communication, news-letter, etc.), ainsi que des témoignages ouencore des « best practices ». Ils peuventaussi savoir qui sont leurs contacts parrégion, s’inscrire au « Guest AuditorProgram »... La technologie de notre pla-teforme nous donne accès en temps réelà de nombreuses statistiques nous per-mettant de voir les pages les plus lues,les régions les plus connectées, l’effica-cité réelle d’une communication enligne, etc. Cela nous permet bien sûr decibler en conséquence et de corrigerlorsque nous ne sommes pas satisfaitsdes résultats.

Nous encourageons aussi au sein denotre équipe chaque auditeur/auditriceà se développer dans un champ d’exper-tise (méthodologie, système d’informa-tion, analyse de données, parcours deformation…). Cela se fait en lien avec lescompétences et les objectifs de carrièrede chacun(e) afin qu’il / elle puisse sedévelopper comme un expert unique,exercer ses capacités de leadership ausein d’ACS et permettre la réalisation deprojets transverses. Nous allonsjusqu’au bout de la logique participativepour assurer au final que ce rôle apporteun engagement réel. Par exemple, en casde débat en interne, une décision ren-due par les experts méthodologie (ras-semblant une personne de l’équipe àDallas, Rio, Singapour, Paris) aura auto-rité par rapport à la vue des managers oudu VP.

Enfin, nous utilisons largement les tech-nologies de communication moderne(incluant chats, webcam, etc.) pour resterconstamment connectés entre nous.Tout ceci nous permet de bénéficier dupotentiel de chacun et de travailler demanière coordonnée à travers le monde,tout en opérant de manière très décen-tralisée.

25



Un choix résolu de l’exécutif

La décision de créer une fonction d’au-dit interne et une direction dédiée àcette fonction a été prise en 2008 aprèsl’élection d’un nouveau président duConseil général et la prise de fonctiond’un nouveau directeur général.Au-delà de cette alternance, cette déci-sion est intervenue dans un contexted’extension majeure du périmètre d’in-tervention de la collectivité suite à l’en-trée en vigueur de l’acte 2 de la décen-tralisation et la montée en charge denouvelles prestations tels le Revenu deSolidarité Active et la Prestation deCompensation du Handicap, notam-ment.De nouvelles dépenses, des recettes fis-cales atones, des investissements néces-saires dans les collèges, toutes cescontraintes ont mis sous tension la col-lectivité.

C’est dans une situation difficile, face àdes dépenses croissantes, qu’a été déci-dée la création d’une fonction d’auditinterne, afin de disposer d’un appuipour s’assurer de la maîtrise des risqueset de la sécurisation des activités parl’organisation. Mais il s’agit moins dese doter d’une direction de l’auditinterne pour satisfaire à des obliga-tions internes ou externes, que dedéployer une démarche intégrée,volontariste de renforcement ducontrôle interne, pour une meilleuremaîtrise des risques au sein de la col-lectivité.

Yannis Wendling

Directeur de l’audit, du contrôle interneet de la gestion des risques,Conseil général de Seine-Saint-Denis

Vers un dispositif de maîtrise desrisques intégré au Conseil généralde Seine-Saint-Denis : un changementde paradigme innovant

Titulaire d’un Master « Evaluation des Politiques Publiques et AnalyseFinancière pour les Collectivités Territoriales », et diplômé de Sciences Po Paris,Service Public, Yannis Wendling débute sa carrière au départementGovernment Services d’Arthur Andersen. De 2001 à 2006, il assure la directionde missions de conseil en organisation et de conseil en management de projetau sein de Trend Consultants. Il assure ensuite, de 2006 à 2009, des responsabi-lités au sein du pôle « Performance Publique » chez IDRH. Depuis septembre2009, il est directeur de l’audit, du contrôle interne et de la gestion des risquesau Conseil général de Seine-Saint-Denis.Yannis Wendling participe activement aux travaux de la recherche de l’IFACI ensa qualité de président du groupe professionnel « Collectivités territoriales », ets’investit également dans d’autres organisations professionnelles telles quel’AMRAE et la DFCG.

C’est dans ce contexte que l’exécutif adécidé de mettre en place une fonctiond’audit interne afin de disposer d’unappui pour s’assurer de la maîtrise desrisques et de la sécurisation des activitéspar l’organisation.

Un déploiement progressifmais volontariste

Depuis 2008, le périmètre et le fonction-nement de la direction ont été confor-tés.• 2009 : Constitution de l’équipe et réa-

lisation des premiers audits ;• 2010 : Première cartographie des

risques sur l’ensemble des activités ;• 2011 : Première cartographie des

risques consolidée avec remise d’unrapport annuel ;

• 2012 : Organisation du suivi de lamise en œuvre des recommanda-tions ;

26

DOSSIER


• 2013 : La DAI devient la direction del’audit, du contrôle interne et de lagestion des risques (DACIGR), pre-mier rapport remis aux élus sur la car-tographie des risques et le contrôleinterne ;

• 2013 : Obtention du prix coup decœur de l’innovation 2013 organisépar l’IFACI et EY ;

• 2013 : Prix spécial du jury obtenu dansle cadre des trophées 2013 de la maî-trise des risques délivrés par l’IFACI etCrowe Horwath Global RiskConsulting ;

• 2014 : Premières missions de conseilmenées par l’équipe dédiée à laconsolidation du contrôle interne.

Ces quelques dates soulignent l’ambi-tion de ce projet, poursuivi même aprèsle changement d’exécutif et de directiongénérale. Il ne s’agit pas seulement dese doter d’une direction de l’auditinterne mais de déployer une démarcheintégrée, volontariste de renforcementdu contrôle interne pour une meilleuremaîtrise des risques au sein de la collec-tivité.

Pour un nouveau paradigmede la notion de contrôle

Dépasser la seule conformitéprocédurale

L’un des défis de la démarche était de sebattre contre l’idée qu’introduire l’auditinterne n’allait pas nécessairemententraîner un alourdissement des procé-dures déjà nombreuses. Les contrôlesdans une administration sont nom-breux, nécessaires et souvent imposéesafin de préserver les deniers publics etgarantir le respect des principes inhé-rents au service public comme l’équitéde traitement, par exemple.

Pour autant, nombreux sont lescontrôles qui ne renvoient qu’à unestricte approche de conformité, loind’une approche reposant sur la gestionet l’évaluation des risques. Bien loin delà, le plan d’audit annuel est construit àpartir de la cartographie des risques quiénonce et fait partager des prioritéscommunes pour l’amélioration du

contrôle interne. L’objectif est ainsi, àtravers les audits, d’assurer une évalua-tion périodique de la maîtrise desrisques et de réinterroger la pertinenceet l’efficacité du contrôle interne.

S’inscrire dans une dynamique

La majorité des collectivités locales ontinitié une démarche de gestion desrisques mais sont à des stades d’avance-ment divers. Ainsi, 66% des grandes col-

TOP 10 DES RISQUES PRIORITAIRESPAR TYPE DE COLLECTIVITÉ

Toutes collectivités

R Régions D Départements C Communes & intercommunalités

1. Accidents dutravail / maladies professionnelles

1. Échec / retard / surcoûts d’unprojet clé

infrastructure...)

1. Défaillance critique / indisponibilité des systèmes d’information

1. Absentéisme

2. Défaillances d’un satellite, d’une concession, délégation de service public

2. Échec d’un chantier interne de modernisation ou d’un projet de réforme

2. Accidents du travail / maladies professionnelles

2. Accidents du travail /maladies professionnelles




3. Accident majeur dans un établissement (incendie, e"ondrement)

4. Absentéisme 4. Absentéisme 4. Échec d’un chantier interne de modernisation ou d’un projet de réforme


5. Défaillance

indisponibilité des systèmes d’information

5. Perte, vol ou di"usion d’informations sensibles / confidentielles

5. Tension sur des catégories de personnel / compétences critiques

5. Occupation illicite de l’espace public ou d’immeubles de la collectivité


6. Accidents du travail /maladies professionnelles

6. 6.


7. Mutation (institutionnelle, technologique, sociétale...) non ou mal anticipée



8. Fraude interne (agent) ou fraude externe (usager, autres)

8. Accident majeur impliquant un usager du service public (voirie, accident corporel)

8. Crise médiatique / dénigrement (élus, collectivité...)

8. Crise médiatique / dénigrement (élus, collectivité...)

9. Échec / retard / surcoûts d’unprojet clé

infrastructure...)

9. Erreur / délai dans l’attribution d’une demande d’aide financière

9. Fraude interne (agent) ou fraude externe (usager, autres)




10. Accident majeur impliquant un usager du service public (voirie, accident corporel)

10. Non-respect de la réglementation / irrégularité juridique des actes

Risque absent du classement «toutes collectivités»

Risque plus prioritaire par rapport au classement «toutes collectivités»

Risque moins prioritaire par rapport au classement «toutes collectivités»

critique /

(aménagement,

(aménagement,

Échec / retard / surcoûts d’unprojet clé

infrastructure...)(aménagement,

Échec / retard / surcoûts d’unprojet clé

infrastructure...)(aménagement,

27



lectivités ont réalisé ou projettent deréaliser une cartographie des risques,63% ont mis ou sont en train de mettreen place un dispositif formalisé decontrôle interne et 64% sont dotéesd’une structure d’audit interne.Les points à améliorer sont le lien entrel’audit interne d’une part et le contrôleinterne et la gestion des risques d’autrepart, ainsi que la mise en place d’unecellule dédiée au pilotage de la gestionglobale des risques.

Oser parler des risques et y faire face

Le périmètre d’intervention de la direc-tion comprend l’ensemble des activitésde la collectivité et couvre l’ensembledes risques associés qu’ils soient juri-diques, opérationnels, financiers, patri-moniaux, humains ou liés à la qualité duservice rendu à l’usager.La formalisation des rapports d’audit estpar ailleurs construite autour de fichesde constats par risques afin d’être encohérence avec le projet global et dedépasser la seule conformité.Un récent baromètre réalisé pour lajournée d’étude annelle consacrée àl’audit interne et la maîtrise des risquesorganisée par le Conseil général deSeine-Saint-Denis a mis en évidence lesprincipaux risques identifiés par lesgrandes collectivités. Sa lecture soulignela pertinence des choix retenus parcelui-ci.

L’ancrage résolu sur les normesprofessionnelles de l’audit interne

Bien entendu, la démarche suivie estoriginale et s’inscrit dans un environne-ment qui, bien que caractérisé pard’abondantes réglementations et dispo-sitions légales à observer, ne prévoitaucune obligation enjoignant les collec-tivités territoriales à se doter de tellesfonctions. Il en va autrement pour lesentreprises mais aussi l’Etat depuis lapublication du décret et de la circulairede juin 2011.En l’absence d’un cadre de référenceimposé, il a été fait très tôt le choix des’ancrer avec résolution aux normesprofessionnelles telles qu’elles sonttransposées par l’IFACI. La charte de

l’audit interne, adoptéedès 2009, y fait réfé-rence et régit le fonc-tionnement de la direc-tion. Elle apporte ainsides réponses et desgaranties aux directionsauditées mais aussi auxorganisations représen-tatives du personnel quiavait soulevé des inter-rogations sur ce sujetlors de l’examen duprojet de création de ladirection lors du comitétechnique paritaire.

Des étapes encore àfranchir

Il est clair que les étapesdéjà franchies ne garan-tissent pas la réussite duprojet tel qu’il a étéentamé. La mise enplace d’un dispositif desuivi de la mise enœuvre des plans d’ac-tion, de la conduited’audits de suivi, lamobilisation des direc-teurs généraux adjointsau cours de ce suivi,l’information des élus par un rapportannuel sont des garanties utiles maispas suffisantes.Les prochaines étapes seraient :• la certification de la direction par

l’IFACI ce qui suppose de clarifier plusavant la gouvernance de la démarche ;

• la meilleure identification des respon-sables des plans d’action qui portentsur des risques transversaux ;

• la poursuite de l’accompagnementdes directions dans l’adaptation dessystèmes de contrôle interne par uneéquipe dédiée en appui aux directionssupport et à l’encadrement.

Une démarche qui reposesur une mobilisation etune acculturation surle contrôle interne

Le facteur de réussite de la pérennité etdu succès de la démarche sera la capa-

cité à mobiliser de manière pérennel’encadrement supérieur et intermé-diaire sur les problématiques de contrôleinterne. En effet, l’une des missions dela direction est, outre de donner uneassurance périodique à l’exécutif de lamaîtrise des risques, d’accompagner,d’œuvrer à une meilleure maîtrise.Cela suppose certes de s’appuyer surune méthodologie éprouvée, un cadrede référence robuste, des normes pro-fessionnelles reconnues mais plusencore de faire œuvre de pédagogiepour dépasser les actions menées par lepassé.

Faire œuvre de pédagogie

Pour trouver sa place dans l’organisationet faire reconnaître sa légitimité auregard de l’histoire et de la culture pro-pre à la collectivité, les membres de ladirection se doivent :

28

DOSSIER


• de savoir mobi-liser autour desconstats dressésen s’appuyantsur une appro-che par lesrisques ;

• de susciterl’adhésion del’encadrementqui aura la res-ponsabilité demettre enœuvre les pré-conisations ;

• de ne pasdéresponsabili-ser l’encadre-ment dans sonrôle de proprié-taire de certainsrisques ;

• d’associer lesopérationnelsdans la validation des constats aprèsl’établissement des contrôles sur placeet sur pièces ;

• de rendre transparente la démarche etla méthodologie.

Le schéma suivant illustre cela en décri-vant comment les différentes partiesprenantes sont mobilisées et intégrées àla démarche.

Un atout : une équipe mobiliséeet formée

Cette démarche ne saurait exister sansune équipe de personnes engagées,motivées et compétentes. La constitu-tion d’une équipe, d’un collectif a été etdemeure un challenge à relever. Si ladirection est nouvelle, le métier l’estaussi et ne fait pas l’objet d’une fichemétier au sein du répertoire des métiersde la fonction publique territoriale.

L’accueil d’apprentis, de stagiaires, l’as-sociation des personnes à un projet col-lectif, à des actions de promotion dumétier au sein et en dehors de la collec-tivité, la participation à des événementsprofessionnels, comme ceux de l’IFACI(formations, réunions mensuelles, uni-tés de recherche) sont autant de leviers

pour forger ce collectif et sont au cœurdu projet d’équipe.

Rendre l’auditeur acteur du projetde consolidation du contrôle interne

Chaque membre de l’équipe (auditeurinterne, membres de l’équipe de conso-lidation du contrôle interne, assistantede direction) participe donc à un projetqui est au cœur du projet de l’adminis-tration.

Il anime par exemple les temps de for-mation sur le contrôle interne et l’auditinterne du cycle de formation au mana-gement que doivent suivre tous les nou-veaux encadrants.

Il assure également la promotion de ladirection au sein de la collectivité.

Une volonté de partage et d’échangeavec d’autres collectivités

Enfin, le caractère innovant de ladémarche est d’inscrire la promotion dela fonction d’audit interne auprès desautres collectivités au cœur des prioritésde la direction. La réussite du projetmené au sein du département dépendaussi pour partie du maintien d’une

dynamique plus collective et partagéeau-delà de la Seine-Saint-Denis.

Le Conseil général a ainsi rejoint laconférence des inspecteurs et auditeursterritoriaux qui rassemble de nom-breuses collectivités engagées dans desdémarches proches.

Les membres de la direction de l’auditinterne sont membres des unités derecherche de l’IFACI pour capitaliser surles retours d’expérience et animent desformations proposées par le CentreNational de la Fonction PubliqueTerritoriale.

Enfin, chaque année, comme ce fut lecas le 19 juin 2013, le Conseil général deSeine-Saint-Denis accueille la journéed’étude organisée par l’AssociationNationale des Directeurs Généraux desGrandes Collectivités (ANDGGC) enpartenariat avec l’Institut Français del'Audit et du Contrôle Internes (IFACI),l’Association pour le Management desRisques et des Assurances del’Entreprise (AMRAE) et avec le soutiende la Conférence des Inspecteurs etAuditeurs Territoriaux (CIAT).

DIRECTION GÉNÉRALE DES SERVICESComité d’audit

Validation de la priorisation des risques et orientations en matière d’audit et de contrôle interne

DIRECTEURS ET SERVICES AFFAIRES

GÉNÉRALES

• Animation des actions de consolidation

• Mise à jour de la cartographie des risques

CADRES ET AGENTSDES DIRECTIONS

• Contribution aux audits et mise en œuvre des actions validées par le comité d’audit

MISE EN ŒUVRE DU PLAN D’AUDITEvaluation périodique des dispositifs

de maîtrise des risques

CONSOLIDATION DES DISPOSITIFS DE

MANAGEMENT DES RISQUES

• Suivi de la mise en œuvre des plans d’action.

• Accompagnement des directions.

ÉVALUATION DES RISQUES

• Appui aux directions pour l’actualisation des cartographies des risques.

• Reporting annuel au comité d’audit.

DIRECTIONS FONCTIONNELLESen charge de la mise en œuvre de dispositifs / projets transverses

DIRECTEUR DÉLÉGUÉen charge du contrôle de la maîtrise des risques à l’hygiène et à la santé au travail

DIRECTEUR DÉLÉGUÉen charge du suivi du plan de continuité des activités

DIRECTION DE L’AUDIT, DU CONTRÔLE INTERNEET DE LA GESTION DES RISQUES

29



Michelin est une entreprisedédiée à la mobilité et dont laculture a toujours été tournée

vers le progrès et l’innovation. Larecherche de l’excellence opérationnellenous permet de repousser sans cessenos limites. Le respect du client consti-tue également l’une des valeurs dugroupe et un moteur du progrès.

En quoi avons-nous innové ?

L’originalité de notre organisation est la« fusion » que nous avons opérée entrel’audit et la gestion des risques dansune entité dont je suis responsable.Nous sommes passés d’une missiond’audits de contrôle à une mission de

gestion des risques. L’activité précédentede contrôle a été confiée aux entités encharge des contrôles internes.

Nous avons ouvert notre plan d’acti-vité à l’ensemble des risques. Ledomaine comptable et financier est ainsipassé de 75% de notre activité en 2005à 15% en 2014. Nous opérons au totalsur quatorze familles de risques. Parordre décroissant d’importance, il s’agitde : rupture d’approvisionnements,continuité des produits, juridique et fis-cal, qualité des produits et services,comptabilité et finance, santé et sécuritédes personnes, savoirs et savoir-faire,systèmes d’information, fraude et man-quement à l’éthique, social, pilotage desprojets, environnement, sécurité desbiens, image et réputation.

Une innovation quien génère d’autres

Par cette fusion, nous avons mis lesforces de l’audit interne au service del’évaluation de la qualité de la gestiondes risques. Nous disposons du mêmeunivers des risques, des mêmes outils,du même langage et d’indicateursimbriqués, des mêmes bases d’informa-

En fusionnant l’audit et la gestion des risques, Michelin est passé d’une mission d’au-dits de contrôle à une mission de gestion des risques.Les forces de l’audit interne ont été mises au service de l’évaluation de la qualité dela gestion des risques.L’audit et la gestion des risques sont devenus réellement des outils de pilotage dugroupe.

Florence Vincent

Directeur de l’audit et des risques,Michelin

Michelin :innover pour une meilleuremaîtrise des risques

tions et de répertoires informatiquespartagés.

Nous disposons ainsi d’une équipemondiale compétente et expérimentéed’une trentaine de personnes pour éva-luer et faire progresser cette gestion desrisques. Tout en réduisant de 30% notreeffectif, nous avons amélioré la qualitéde cette équipe qui est montée de deuxà trois niveaux de responsabilité enmoyenne. De plus, notre diversité s’estdéveloppée tant en provenance métierqu’en origine géographique avec enoutre un gros effort de formationinterne.

Nous avons dans ce projet innovantégalement choisi un pilotage au plushaut niveau avec des présentations aucomité exécutif et au comité d’audit quiassocient audit et gestion des risques.Nous disposons par exemple d’un cré-neau dédié à l’audit et aux risques lorsde chacune des réunions mensuelles duComex.

Pour ancrer la culture des risques dansl’entreprise nous avons professionnaliséle réseau de correspondants RiskManagement dans chaque entité du

30

DOSSIER


groupe sur lequel nous nous appuyonspour identifier et traiter les risques.

Nous effectuons par ailleurs des suivisdes plans d’action qui deviennentaussi importants que l’audit car ilspermettent des actions concrètes demaîtrise du risque. 30% du temps detravail est dédié à ces suivis contre 5% ily a huit ans. Le reste du temps se répar-tit entre les audits (40% du total), le pro-grès de nos activités, la cartographie desrisques et la formation des équipes.Nous avons fait en sorte que l’audit (etla gestion des risques) deviennentréellement des outils de pilotage dugroupe.

Quels sont les prérequispour ces innovations ?

Il existe plusieurs conditions permettantd’initier des démarches innovantes. Lapremière d’entre elles est de disposerd’un client clairement identifié. Dansnos métiers nous avons souvent unevision du client un peu floue et nousavons parfois tendance à vouloir servirplusieurs clients différents. Et dans cecas, nous perdons de vue ce que nouspourrions leur apporter. Chaque client ades besoins différents et il est doncimportant d’identifier un ou deux clientsau maximum auxquels on va apporterun nouveau produit ou un nouveau ser-vice. Cela paraît évident mais ce n’estpas si simple.

Concrètement, nous avons très tôt iden-tifié quels étaient nos clients et lesquels

seraient nos clients prioritaires. Nousavons ainsi défini que nos deux clients(prioritaires) étaient le dirigeant dugroupe, Jean Dominique Senard, et lesmembres du comité exécutif. Les chan-gements que nous avons menésn’étaient d’ailleurs pas possibles sansleur soutien.

La deuxième condition est de bienconnaître et anticiper les besoins desclients. Pour bien les connaître, je suisallée les rencontrer individuellement dèsma prise de poste pour mieux compren-dre leurs attentes et essayer d’identifierleurs besoins non encore satisfaits. Ilssentaient alors que la gestion desrisques allait prendre de l’importance etqu’ils avaient besoin d’un accompagne-ment pour asseoir ce processus dans legroupe. Mais ils n’avaient pas encoreune idée claire de cet accompagnement.

Nous avons développé des relationsde partenariat avec chacun des mem-bres du comité exécutif (Comex). Sesmembres sont devenus les « comman-ditaires » des audits ; ils sont devenus dece fait des personnalités qui communi-quent sur l’audit. Ils interviennent pourannoncer les audits et pour participer àleurs conclusions de synthèse qui sontlargement diffusées autour d’eux.Une innovation a consisté à assigner àchaque membre du comité exécutif uninterlocuteur unique au sein de madirection. Cet interlocuteur maintient lecontact dans la durée et mène des entre-tiens réguliers avec son correspondantau Comex, idéalement une fois parmois. Ceci crée un lien très fort entre euxet nous.

Un autre exemple d’innovation, estnotre évaluation par chacun des mem-bres du Comex lors d’un entretienannuel. Ceci nous permet de recueillirleurs attentes et de mieux compren-dre leurs besoins. Les conclusions decette évaluation alimentent notreplan de progrès.

Un autre prérequis important estd’avoir des convictions, de maintenirle cap. Suite aux échanges initiaux avecle Comex, ma conviction a été de contri-

buer à améliorer la gestion des risquesen apportant un éclairage factuel sur laqualité de la gestion des risques en uti-lisant pour cela l’équipe d’auditeursinternes. Il nous fallait au préalable défi-nir ce qu’était une bonne gestion desrisques et créer des outils et processuspour bien évaluer sa qualité.

La conviction c’est surtout le rôle duchef. Il doit la partager ensuite avec sesmanagers. Qui, à leur tour, vont irriguertoute l’équipe avec cette conviction.Nous exprimons ces convictions au tra-vers d’un document que nous appelons« business ambitions » qui décrit lavision à 10 ans de notre métier et quenous partageons largement avec lescoéquipiers.

L’envie de progrès doit être partagée parl’équipe qui va devenir l’acteur de l’in-novation et la mettra en place. Nousconstruisons chaque année un plan deprogrès alimenté par les business ambi-tions. Nous lui dédions environ 10% dutemps total des équipes. Il est d’ailleursintégré aux objectifs des auditeurs et estpris en compte dans leur rémunérationvariable.

Ensuite, il faut installer un esprit decuriosité au sein de l’équipe. C’est unpréalable nécessaire, car l’innovation abesoin d’être alimentée. Il faut doncasseoir un esprit d’innovation et favori-ser cette qualité de curiosité. Bref, il fautfavoriser toutes les démarches quiconsistent à aller voir ailleurs, à explorerd’autres voies, à prendre des risquesdans une certaine mesure…

Il faut aussi savoir récompenser l’inno-vation. Nous faisons régulièrement ceque nous appelons des actions dereconnaissance pour récompenser des« avancées majeures » dans certainsdomaines. En 2013 par exemple, nousavons récompensé un auditeur pour unoutil d’élaboration des PCO (plan decontinuité opérationnelle). Après deuxannées de tests, les entités business ontadopté l’outil et le déploient dans lesusines. Nous avons également récom-pensé une autre innovation consistant àstructurer des processus de contrôle

31



interne dans des domaines autres queceux de la comptabilité ou de la financeet à auditer ces processus.

Enfin, il faut agir avec le temps.L’innovation a en effet besoin de tempspour que les idées mûrissent, pour quele besoin s’installe chez les clients etpour passer d’une phase prototype à dela marche courante.

Dans notre cas, l’horizon de temps a étéde 5 à 8 ans pour définir une nouvelleapproche d’audit, pour la rendrerobuste, pour l’asseoir auprès des clientset pour qu’elle tire toutes les synergiesavec la gestion des risques. Au passage,notez qu’il est important de ne pas fairebouger les acteurs clef du changementlorsque celui-ci est conduit.

Comment innover ?

Je vais maintenant livrer trois pistes qui,à mes yeux, permettent de favoriser l’in-novation dans nos organisations.

La première clé consiste à mobilisertoutes les intelligences. Les idées doi-vent pouvoir venir de tous et il faut doncbeaucoup favoriser le brainstorming enéquipe. Une des façons de le faire est letravail en ateliers. Nous en organisons

en début d’année durant cinq jourslorsque toute l’équipe est réunie et éga-lement tout au long de l’année. Nousnous appuyons sur nos visions à 10 ans(nos business ambitions) et sur nos orien-tations qui, comme nos principalesinnovations, sont affichées à la vue detous sur de grands panneaux dans noslocaux.

Toute l’équipe est mobilisée pour fairedes propositions et pour les étudier.Nous favorisons la mobilisation de tousen impliquant les auditeurs dans laconception de notre approche et de nosoutils. Nous leur confions des chantiersde progrès qui font partie de leurs objec-tifs annuels.

En huit ans, cela nous a amenés à revoirtotalement notre manière de faire notreplan d’audit, notre approche, nos outils,nos manières de communiquer lesconclusions ou de revoir la relation avecles audités. Nous avons inventé leconcept de commanditaire. Nous avonsabandonné la notion de rapport final.Nous avons inventé un format de pland’action. Nous avons inventé unemanière de challenger les plans d’ac-tion.Notre plan d’audits est constitué à l’an-née à partir de la situation remontant de

la cartographie des risques. Tous lesrisques sont audités à une fréquence(tous les 4 à 7 ans) qui dépend de leurniveau. Nous construisons un planningannuel décliné à la semaine et pourchaque auditeur. Nous envisageonsmême d’aller plus loin en demandantaux auditeurs de construire désormais leplan et le planning.

Une deuxième piste consiste à s’inspi-rer de l’extérieur (entreprises, consul-tants, normes). Pendant plusieursannées, nous avons consacré des res-sources à du benchmark externe. Nousdisposons maintenant d’une base dedonnées « benchmark » qui capitalise unhistorique de plus de 10 ans. Nousavons aussi rencontré tous les consul-tants du marché et avons rejoint plu-sieurs associations professionnelles(IFACI, club des directeurs d’AI, clubanimé par EY, AMRAE, etc.).

Enfin, il faut avancer progressivement.Depuis huit ans nous suivons notreroadmap sans la bouleverser et, chaqueannée, nous nous attelons à quelquessujets précis. Ils restent au programmedeux à trois ans, le temps nécessairepour concevoir, essayer, corriger et fairevivre l’innovation et disposer au finald’un processus robuste. C’est pour celaqu’il faut plusieurs années pourconduire le changement.

Comment asseoirl’innovation ?

La réussite de l’innovation dans uneentité dépend de plusieurs conditions.Tout d’abord, il faut la tester. La bonneinnovation c’est celle qui fonctionne etqui est simple à utiliser. Et pour savoir sielle entre dans ce cadre, il faut la tester.Et il faut l’améliorer aussi longtempsqu’elle ne fonctionne pas correctementet simplement.C’est le processus que nous utilisons :nous prenons un sujet, collectons lesattentes des clients, observons ce qui estfait à l’extérieur du groupe puis nousétudions une solution, la testons au seinde notre équipe, y apportons les correc-tions nécessaires. C’est à ce moment-làque nous la généralisons.

Juridique et �scal (12%)

Santé et sécurité des personnes (10%)

Pilotage des projets (10%)

Comptable et �nancier (9%)

Qualité produit(8%)

Autres (8%)

Fraude et manquement à l’éthique (8%)

Ruptured’approvisionnement

(7%)

Image, réputationet marque (5%)

Systèmes et technologies d’information (4%)

Savoir etsavoir-faire (4%)

Social (4%)

Environnement (3%)

Non continuitéactivités SF (3%)

Non continuitéactivités PF (3%) Sécurité des biens (2%)

Répartition des audits et SPA par famille de risques (%)

32

DOSSIER


Il faut ensuite faire preuve de pédagogieen démontrant que cela apporte de lavaleur. C’est peut-être le plus difficile àfaire pour des personnes dont le métierd’audit ou de gestion des risques amèneà rester sobre et discret. Et pourtant, ilne faut pas hésiter à « vendre » une idéeinnovante afin qu’elle se diffuse large-ment.Pour nous, le fait de travailler régulière-

ment avec le comité exécutif constitueun atout. Nous nous efforçons ensuitede participer ou de faire des présenta-tions aux équipes de direction des enti-tés. Enfin, nous ne négligeons pas decommuniquer via l’intranet de la direc-tion de l’audit et des risques. Mais pourque l’intranet soit vu, il faut qu’il bougerégulièrement, qu’il soit convivial etintéressant.

L’innovation et la recherche de l’excel-lence opérationnelle permet d’ouvrir desperspectives à ses clients en leur appor-tant une valeur sans cesse croissante.Cette dynamique du progrès doit êtreentretenue et pérennisée, mais il ne fautpas oublier qu’une innovation réussieest le fruit d’un long travail et de beau-coup de persévérance.

L’équipe DGAR de Michelin lors d’une réunions « monde » en janvier 2014


MAÎTRISE DES RISQUES

Jean-Martin Folz1, président du jury, a déclaré que ce Grand Prixattribué à GDF SUEZ récompense :• son dispositif intégré au sein d’une même direction dirigéepar un membre du Comex ;

• la rationalisation et l’homogénéisation de son programme decontrôle interne ;

• l’intégration de l’approche risques aux projets majeurs et auxinstances stratégiques ;

• l’expertise forte de son comité d’audit en gestion des risqueset contrôle interne.

Lors de la troisième édition des Trophées de la Maîtrisedes Risques, organisée par Crowe Horwarth Global RiskConsulting et l’IFACI, mardi 3 décembre à Paris, GDFSUEZ a remporté le Grand Prix du Jury.

Ce Trophée récompense les entreprises les plus avancées enmatière de maîtrise des risques en se basant sur l’implication desacteurs clefs de l’entreprise dans l’activité de la maîtrise des risques.La direction de l’audit et des risques, dirigée par Didier Rétali, piloteet coordonne le management des risques, le contrôle interne etl’audit interne. Ces trois fonctions de contrôle travaillent en syner-gie afin de renforcer la maîtrise des risques au sein du groupe.

GDF SUEZ reçoit le Grand Prixdu Jury aux Trophéesde la Maîtrise des Risques

De gauche à droite :

Xavier Bedoret, directeur de l’audit interne

Jean-Christophe Kypriotis, directeur du contrôle interne

Michel Dennery, directeur du management des risques

Aldo Cardoso, administrateur de GDF SUEZ etprésident du comité d’audit

Didier Rétali, membre du comité exécutif,directeur de l’audit et des risques

Jean-Martin Folz, président du jury

1 Administrateur d’Alstom, AXA, Saint-Gobain, Société Générale et Solvay etancien PDG de PSA Peugeot Citroën.

Quels sont les objectifsde la direction de l’auditet des risques ?

Didier Rétali, membre du comité exécutif,directeur de l’audit et des risques, GDFSUEZ : La direction de l’audit et desrisques pilote et coordonne, au niveaudu groupe GDF SUEZ, le managementdes risques, le contrôle interne et l’auditinterne.Notre objectif est d’avoir un manage-ment des risques vigilant et capabled’anticiper, un contrôle interne rigou-reux, ciblé sur la couverture des risquesmajeurs, et assurant la maîtrise de nosprocessus opérationnels et l’efficacité de

leur pilotage, et enfin, un audit interneindépendant et apportant une fortevaleur ajoutée au travers des constats etrecommandations qu’il formule. Notreobjectif est aussi de mettre en œuvre aumaximum les coordinations utiles entreces trois fonctions et leurs filières.

De quelle façon le Groupedéploie-t-il INCOME ?

Jean-Christophe Kypriotis, directeur ducontrôle interne, GDF SUEZ : INCOME,le programme de contrôle interne dugroupe, a permis, depuis son lancementen 2008, d’implanter et d’homogénéiserà l’échelle du groupe un dispositif de

contrôle solide et reconnu. Celui-ci a étéprogressivement étendu du domainefinancier traditionnellement concernéau traitement des risques opérationnelsprioritaires du groupe.Le niveau de maturité mesuré et atteintaujourd’hui par le dispositif et sesacteurs nous permet d’engager de nou-velles évolutions pour rendre celui-ciencore plus efficient, au service dumanagement et de la performance.Le programme INCOME 2015, qui a étéapprouvé par la direction générale, al’ambition de répondre à deux objectifsen apparence contradictoires : alléger ledispositif tout en le renforçant. Pourréussir cette combinatoire, le pro-

34

MAÎTRISE DES RISQUES


En tant qu’entreprise responsable, leader sur ses marchés,nous devons nous assurer que les risques majeurs sontidentifiés et maîtrisés. Nous devons également appliquer le

niveau approprié de contrôle des activités et le démontrer à nosparties prenantes à travers le regard objectif et indépendant del’audit interne.Au moment de la création de GDF SUEZ en 2008, j’ai décidé deréunir le pilotage et la coordination de ces trois fonctions auniveau du groupe – management des risques, contrôle interneet audit interne – au sein d’une direction intégrée, la directionde l’audit et des risques, qui m’est directement rattachée.L’objectif était de placer sous un même management ces troisfonctions de contrôle, de manière à faciliter au maximum lessynergies et à renforcer encore l’efficacité de notre dispositif demaîtrise des risques.Ces activités de contrôle sont au service de la performance.L’actualité ne cesse de nous rappeler que les entreprises sontd’autant plus robustes et performantes qu’elles ont su se doterde fonctions efficaces de maîtrise de leurs activités.J’ajoute d’ailleurs que les mutations auxquelles GDF SUEZ doitfaire face, particulièrement en Europe, et la transformation dugroupe que nous avons engagée, avec le fort développementdans les pays émergents, renforcent cette nécessité de maîtriser

au mieux nos risques.Dans un groupe largement décentralisé comme GDF SUEZ,l’appropriation par les opérationnels est absolument essen-tielle : c’est un enjeu majeur auquel ces trois fonctions decontrôle se sont attachées en adaptant leurs méthodes et leursoutils, et en assurant l’accompagnement nécessaire dans leurdéploiement, au plus près du terrain.D’ailleurs, l’appréciation portée par notre comité d’audit et parnotre conseil d’administration sur notre management desrisques, notre contrôle interne et notre audit interne est positive.Bien entendu, nous devons toujours progresser, nous devonspoursuivre nos efforts et nous inscrire dans une démarched’amélioration continue de ces fonctions de contrôle.C’est donc une grande fierté pour nous et un grand honneur derecevoir ce Prix qui récompense les équipes de GDF SUEZ quiont œuvré et continueront d’œuvrer pour développer et renfor-cer encore la maîtrise de nos risques.Je tiens donc à remercier et à féliciter nos équipes de la directionde l’audit et des risques et de ses filières au sein du groupe, aux-quelles ce Prix est dédié.

Gérard Mestrallet, Président-Directeur général, GDF SUEZ

La maîtrise des risques, un enjeu stratégique et opérationnel

gramme se concentrera sur les risquesles plus significatifs du groupe. Nousallons aussi renouveler l’outil de repor-ting, faire évoluer la méthodologie etconduire un véritable projet de conduitedu changement qui concernera environ1 500 personnes, Business ProcessOwners, responsables de contrôleinterne et auditeurs internes.

Comment les risques sont-ilscoordonnés ?

Michel Dennery, directeur du manage-ment des risques, GDF SUEZ : En matièrede management des risques, rien n’estjamais acquis. Le groupe définit tous lesans ses risques prioritaires, dont le pilo-tage est confié à un membre du Comex.La direction générale et les comités duconseil d’administration les examinenttous les ans en plus de la revue desrisques. Nous travaillons aussi sur leProject Risk Management et nous avonsréalisé un guide spécifique à ces risques. Ce Trophée est un encouragement pourrester vigilant à l’évolution des risques,en s’appuyant sur l’ensemble des lignesde maîtrise, en mobilisant tous les

managers qui sont les premiers riskmanagers du groupe. La coordinationavec mes collègues du contrôle interneet de l’audit interne est essentielle : ilsparticipent aussi à la connaissance desrisques, et nous leur communiquons despropositions pour renforcer leur planannuel.

Quels sont les chantiersimportants qui ont été menés ?

Xavier Bedoret, directeur de l’auditinterne, GDF SUEZ : Nous avons ainsimené ces dernières années d’importantschantiers pour renforcer la maîtrise denos risques, notamment dans lesdomaines des commodités, de la gestiondes projets de construction, de la sépa-ration des tâches, de la sécurité des sys-tèmes d’information ou des prix detransfert.

Quelles sont les qualitésnécessaires pour ces fonctionsde contrôle ?

Xavier Bedoret : Rigueur, professionna-lisme, vigilance, anticipation, réactivité

sont des comportements qui caractéri-sent nos fonctions de contrôle et quenous devons en permanence dévelop-per. C’est en particulier ce que nous fai-sons pour nos auditeurs internes, avecnotre Internal Audit Academy, afin qu’ilsaient toutes les capacités d’analyse et dedialogue avec le management des enti-tés dans lesquelles ils interviennent.

Quel message adressez-vousaux équipes GDF SUEZ ?

Didier Rétali : Ainsi, au sein de GDFSUEZ, ce sont environ 150 risk officers,200 responsables de contrôle interne et110 auditeurs internes qui œuvrent, enappui auprès des opérationnels, pourmaîtriser nos risques.

Ce Prix est une très belle reconnaissancedu travail accompli par les équipes deGDF SUEZ depuis 2008. C’est surtoutune exigence de poursuivre nos effortspour améliorer encore nos dispositifs demaîtrise des risques, et ainsi continuer àapporter notre contribution à la perfor-mance de GDF SUEZ.

Aldo Cardoso, Administrateur de GDF SUEZ et président du comité d’auditLe conseil d’administration et ses comités sont très attentifs à la maîtrise des risques pris par le groupe. La direction de l’audit et desrisques et ses filières, management des risques, contrôle interne et audit interne, ont mis en place aux différents niveaux du groupeun dispositif intégré de maîtrise des risques, solide et mature. Ce Grand Prix en est une très belle reconnaissance.Bien entendu, en matière de risques, la vigilance doit rester de rigueur. Il importe de continuer à renforcer notre dispositif par unedémarche de progrès permanente. Je me joins à Gérard Mestrallet pour féliciter toutes les équipes pour le travail accompli.

fév.-mars 2014 - Audit & Contrôle internes n°218


Revue Audit & Contrôle internes :Qu’est-ce qui a conduit à rééditer le cahierde la recherche « La cartographie desrisques » ?

Michel Buzejic : Le premier ouvrage dugroupe professionnel « Assurance »,publié en 2006, a connu un vif succès. Ilest devenu un outil de référence pour lesdémarches de cartographie des risquesdans les organismes d’assurance et aégalement servi dans d’autres secteursd’activité.Depuis cette première édition, le secteurde l’assurance a évolué avec :• des demandes de plus en plus pré-

cises de la part de l’autorité de tutelle ;• des démarches de cartographie des

risques plus matures visant à répon-dre à la fois aux nouvelles exigencesréglementaires et au pilotage internedes organisations ;

• la préparation de la mise en œuvre dela directive Solvabilité 2.

Compte tenu de ces évolutions il étaitnaturel d’envisager une actualisationavec une équipe pluridisciplinaire àmême de répondre à ces nouveauxenjeux.

R. A&CI : Pouvez-vous apporter des pré-cisions sur la composition de cette unité derecherche ?

M. B. : Différentes fonctions ont étéreprésentées dans cette unité derecherche, telles que le contrôle interne,la gestion des risques ou l’audit interne ;chacune de ces fonctions pouvant avoirun rôle de coordinateur, de contributeurou d’utilisateur de la cartographie desrisques.Par ailleurs, la diversité des organisa-tions représentées a permis de prendreen considération les problématiquesliées à cette pluralité d’acteurs.

R. A&CI : Quels sont les principales nou-veautés ou aménagements de cette 2ème édi-tion ?

M. B. : Les retours d’expérience desmembres de l’unité de recherche ainsique la perspective de la mise en œuvrede la directive Solvabilité 2 ont permisd’enrichir cette seconde édition, notam-ment en :• précisant les rôles des opérationnels

et des fonctions qui soutiennent lesdémarches de cartographie desrisques, les responsabilités desorganes de gouvernance et les repor-tings nécessaires à l’efficacité du sys-tème ;

• actualisant la nomenclature desrisques, avec une meilleure prise en

compte des risques économiques, desolvabilité, et de réputation ; lesrisques définis par la directiveSolvabilité 2 pour la formule standardont également été intégrés. Par ail-leurs, au sujet du risque opérationnel,compte tenu de la similitude des défi-nitions proposées par Solvabilité 2 etBâle 2, nous avons repris les sept caté-gories de Bâle 2 ;

• proposant des illustrations, des boitesà outils et des annexes appropriéescomme autant de bonnes pratiquesfacilitant l’élaboration et la mainte-nance d’une cartographie desrisques ;

35

Entretien avec ...

Michel Buzejic - Responsable de l’audit interne, Quatrem –animateur de l’Unité de Recherche

La cartographie des risquesMise à jour du cahier de la recherchepar le groupe professionnel « Assurance »


Audit & Contrôle internes n°218 - fév.-mars 2014

• attirant l’attention sur la nécessaireintégration de la cartographie desrisques dans le dispositif de maîtrisedes risques de l’organisation. Ainsi,l’articulation avec les bases d’inci-dents est proposée ;

• faisant référence aux risques spéci-fiques (blanchiment des capitaux,protection de la clientèle, etc.) ;

• introduisant les principes théoriquesde l’ORSA et leur impact sur les pra-tiques de cartographie des risques.

R. A&CI : A qui est destiné cet ouvrage ?

M. B. : Cet ouvrage se veut d’aborddidactique ; en proposant des clés delecture et des guides méthodologiquespour chaque étape de la cartographiedes risques, il permet aux différents

acteurs des organismes d’assuranced’appréhender leur rôle dans ce proces-sus.

Il n’est pas réservé aux seuls experts dela maîtrise des risques. En effet, lesmembres des organes exécutifs et lesadministrateurs y trouveront des prin-cipes fondamentaux pour assumer leursresponsabilités de surveillance de cesdémarches et assurer leur intégrationefficace au processus global de gestiondes risques.

R. A&CI : En quoi la cartographie desrisques s’intègre-t-elle dans le processusglobal de gestion des risques ?

M. B. : La cartographie des risques n’estpas une fin en soi. Elle doit s’inscrire

dans le cadre du pilotage global de l’or-ganisation tout en contribuant à laconformité réglementaire.

Même si les dirigeants et les managersont une vision globale des risques inhé-rents à leurs activités, construire unecartographie des risques leur apporterade nouveaux éléments d’observationdestinés à mieux maîtriser et orienterleurs objectifs. Ainsi, la dimension« risques » vient enrichir la vision desdirigeants en complément des axes stra-tégiques et opérationnels et devient unélément de management à part entière.

Pour ce faire, les organismes d’assurancedoivent instaurer un environnementpermettant d’aboutir à une cartographiedes risques fidèle et dynamique.

36

Approche Botton-up

Rapprochement &Consolidation

Identification etévaluation des

risques desactivités

Risques non identifiésbotton-up

Cartographiedes risques

Risques non identifiéstop-down

Identification etévaluation des

risques majeurs

Approche Top-down

37fév.-mars 2014 - Audit & Contrôle internes n°218

Afin de vous apporter un exemple concret de l’employa-bilité de cet ouvrage par tous, voici des retours d’expé-rience de professionnels de l’audit interne, du contrôleinterne et de la maîtrise des risques.

R. A&CI : Quelles étaient vos attentes sur la cartographie desrisques ?

Jean-Denis Malpelet (directeur de l’audit général groupe,Allianz France) : La cartographie précédente était toujours uti-lisée chez Allianz France. Cependant, l’évolution constantedu champ réglementaire et les exigences liées à l’introduc-tion progressive de Solvabilité 2 avaient créé l’attente d’unlien plus fort entre la cartographie et ces évolutions. Cettemise à jour a aussi permis de mieux prendre en compte laréalité des risques existants sur le terrain.

Emmanuel Ruffin (secrétaire général à la direction de la maî-trise des risques, Matmut) : Nous avons utilisé la première ver-sion de ce cahier de recherche lors de la mise en place descartographies des risques dans notre organisme. Nous nousétions en particulier appuyés sur la typologie des risques pro-posée pour construire un référentiel des risques interne. Nousavions une attente significative à l’égard de ce nouveaucahier pour qu’il constitue, d’une façon générale, un référen-tiel actualisé en matière de méthodologies et de bonnes pra-tiques de construction et d’utilisation des cartographies derisques.

Patrick Dupuis et Eric Lhuissier (représentants de la directiondu contrôle interne et de la conformité, Covéa) : Le groupeCovéa a la volonté de s’inscrire dans les bonnes pratiques decartographie et de gestion des risques. Il s’appuie notam-ment sur un référentiel méthodologique interne, qui reprendles définitions et principes utilisés par l’IFACI, notammentdans la 1ère version du cahier de la recherche sur la cartogra-phie des risques publié en 2006. La pratique d’utilisation deces orientations a atteint un certain niveau de maturité, tantpar les services d’audit interne et de contrôle interne que desopérationnels eux-mêmes. Les outils informatiques facilitentlargement l’actualisation et le suivi des risques de la carto-graphie. Mais les exigences réglementaires se sont considé-rablement renforcées au cours des dernières années, notam-ment la création des comités d’audit (8ème directive euro-péenne), et la préparation à Solvabilité 2.

R. A&CI : Comment puis-je utiliser le cahier de la recherche dansmon quotidien en tant qu’auditeur interne / manager desrisques / contrôleur interne ?

J.-D. Malpelet : Le responsable d’une mission d’audit doit, autout début de son action, considérer tous les inputs qui vontconcourir à rendre son programme de travail performant.Ceci s’appuie sur une analyse des risques la plus complètepossible. La cartographie des risques est un « ingrédient »essentiel à prendre en compte dans l’atteinte de cet objectif.Bien sûr, on peut légitimement espérer que l’univers d’auditintègre déjà les éléments notamment par une maintenancerégulière. La robustesse de l’évaluation des risques par unefonction d’audit vient de la rigueur avec laquelle elle est exé-cutée mais aussi de la variété des inputs que l’auditeur saitprendre en considération. La cartographie produite en est undes plus pertinents.

E. Ruffin : Au-delà de la présentation synthétique desconcepts et références réglementaires essentiels sur lesquelsreposent les activités de contrôle interne et de gestion desrisques, cet ouvrage me donne accès à des exemplesconcrets de modalités de mise en œuvre, des astuces (cf.« boites à outils »), des conseils (cf. « écueils à éviter »). Ce sontautant de sources et pistes de réflexions sur lesquelles nouspourrons nous appuyer pour faire vivre et renouveler les dis-positifs, mais aussi pour animer les actions de communica-tion et de formation essentielles à la bonne appropriation parles opérationnels.

P. Dupuis et E. Lhuissier : Les enjeux majeurs et les attentesdu groupe Covéa concernant ce cahier de la recherche por-tent sur l’urbanisme des acteurs de gestion des risques et desinstances de gouvernance dans les entreprises d’assurance,pour le pilotage des risques tant par les comités de directiongénérale que par les comités d’audit et des risques. Cette ver-sion du cahier de la recherche fournit des compléments surle plan méthodologique, comme par exemple les notions derisque brut / risque résiduel / appétence, ainsi que des préci-sions quant à l’évaluation des risques. Mais elle apporte pré-cisément des clés de lecture sur les rôles et responsabilitésde l’ensemble des acteurs et organes dirigeants. Elle préciseenfin le positionnement des trois lignes de défense dans lesystème de gestion des risques et de contrôle interne.

Time to Make the Connectionic.globaliia.org

38

LA PROFESSION EN MOUVEMENT


Evénements

Enjeux et bonnespratiques de l’auditde projets

Réunion mensuelledu 12 décembre 2013

Une approche adaptéeaux objectifs de l’auditSébastien Allaire, associé,ACSL’audit du processus de ges-tion de projet passe par unerevue exhaustive des étapesde ce processus ; par l’exis-tence de procédures formali-sées pour chaque étape ; parla vérification du respect desprocédures, de la bonne appli-cation des contrôles, de laséparation des tâches et desdélégations de pouvoirs.L’analyse peut se faire sur unéchantillon de projets.L’analyse de la maîtrise d’unrisque consiste à identifier leou les risques majeurs pourl’entreprise, lié(s) à la gestiond’un ou plusieurs projets ; àidentifier les événements pos-sibles associés au risque sélec-tionné ; à rechercher lescauses potentielles internes etexternes ; à analyser les dis-positifs de maîtrise en place.Après définition du pro-gramme de travail par lesrisques, une coordination avecles autres fonctions supportset métiers doit se faire.

Différents types de projetscoexistent avec leursproblématiques etméthodologies respectivesOlivier Sznitkies, directeurde l’audit, Lafarge SAAcquisition, désinvestisse-ment ; développement indus-triel (construction d’uneusine) ; transformation busi-ness / programme de perfor-mance ; système d’informa-

tion ; innovation / développe-ment de nouveaux produits etservices. Tous ces types deprojets entrent dans le champd’intervention de l’auditgroupe afin de déterminer si :les investissements sontconduits conformément auxpriorités stratégiques dugroupe ; les ressources dugroupe sont utilisées demanière optimale ; les risquesassociés aux projets sont iden-tifiés et gérés de façon adap-tée. Tout projet dont le budgetest supérieur à 25M€ faitl’objet d’un audit systéma-tique.Les risques et enjeux tiennentau fait que des donneurs d’or-dre sont davantage intéresséspar les résultats des projetsque par le respect de laméthodologie de projet.Différents types d’auditsrépondent à différentsenjeux : a) avant le lancementd’un projet ; b) durant le cyclede vie du projet ; c) directe-ment après ou jusque 24 moisaprès le lancement.

Pourquoi un audit de projet ?Marcel David, contrôle généraldes arméesPour donner une assuranceraisonnable sur la maîtrise duprojet : éviter les mauvaisessurprises ; détecter unepathologie. Evaluer l’ampleurréelle d’une pathologie avé-rée, rechercher ses causes etproposer les moyens d’en sor-tir. Répondre à une interroga-tion sur l’utilité du projet pourl’organisation. Obtenir unretour d’expérience sur unprojet achevé. L’audit des projets comporteun certain nombre de« figures imposées » au coursde trois phases : phase amont,projet en cours, audit « postmortem ».Quel est l’impact d’une direc-tion projet sur la missiond’audit ? Du point de vue dela pratique professionnelle,l’auditeur cherchera davan-

tage à vérifier la sincérité desdonnées et la conformité despratiques aux référentiels, quela pertinence de la méthodeou le professionnalisme del’équipe projet.

Démarches decartographie desrisques dans le secteurassurance… et mise enperspective avec lesecteur Industrie,Commerce et Services(Extraits)

Réunion mensuelledu 30 janvier 2014

Enjeux et principes dela réforme Solvabilité 2La solvabilité pour un assu-reur est sa capacité à respecterles engagements de longterme qu’il prend auprès deses clients. Elle dépend del’importance des engage-ments et des ressources dontdispose la société d’assurancepour y faire face (fonds pro-pres et actifs). Ces ressourcesdoivent être suffisantes pourcouvrir l’intégralité des enga-gements souscrits vis-à-visdes assurés, et faire face à desévénements imprévus suscep-tibles d’affecter le respect desengagements.Sous Solvabilité 1, les capitauxpropres réglementaires nesont pas calculés en fonctiondes risques réels auxquels lesassureurs sont exposés. Solva-bilité 2 déterminera les exi-gences de capital requis (SCR)sur la base d’un modèle pluséconomique mais complexe.Le SCR (Solvency CapitalRequirement) est le montantdes pertes économiques quel’entité est susceptible d’en-courir sur une année ; il estbasé sur des risques pouvantse produire statistiquement aumoins une fois tous les deuxcents ans (choc bicentenaire).Le SCR est déterminé entenant compte de tous lestypes de risques (assurantiels,

financiers et opérationnels), etde l’effet de diversification.Les principaux objectifs de laréforme Solvabilité 2 sont :l’harmonisation du cadre desurveillance prudentielle dessecteurs de la banque et del’assurance au sein de la com-munauté européenne ; l’ac-croissement de la rentabilitédes établissements et de leurrésistance en cas de crise, afind’être plus compétitifs tout enprotégeant mieux leursclients ; la protection du sys-tème financier et la préven-tion du risque systémique.

Le système de gestiondes risquesTout assureur devra être enmesure de prouver qu’il maî-trise l’évolution de ses risquespar un dispositif dûmentdocumenté : identification desrisques portés par l’entre-prise ; fixation de limites detolérance au risque ; prise dedécision intégrant les impactssur les risques ; gestion opéra-tionnelle dans le cadre derègles conformes aux poli-tiques de l’entreprise danschaque domaine ; suivi opéra-tionnel des risques.La directive européenne fixedes exigences à deux niveaux.Pour les états membres, unSupervisory Review Process har-monisé à travers l’Europe.Pour les entreprises d’assu-rance, un système de gouver-nance renforcé : la directivedéfinit notamment quatrefonctions clés, ces fonctionsdevant être clairement sépa-rées : audit interne, gestiondes risques, fonction actua-rielle et fonction conformité.Chaque entreprise doit procé-der à sa propre évaluation deses risques et de sa solvabi-lité : Own Risk and SolvencyAssessment (ORSA). L’ORSAconcerne l’ensemble desrisques, y compris les risquesnon quantifiables tels que lesrisques stratégiques ou deréputation.

IFACI Formation - Tél. : 01 40 08 48 08 - Mel : [email protected] - Retrouvez également le programme complet sur le site internet www.ifaci.com

Calendrier 2014SESSIONS Durée Tarifs

adhérentsTarifs nonadhérents janv. févr. mars avril mai juin juillet sept. oct. nov. déc.

SE FORMER À LA MAÎTRISE DES ACTIVITÉS ET AU CONTRÔLE INTERNE

S’initier à la maîtrise des activités et au contrôle interne 2 j 950 € 1 125 € 16-17 13-14 10-11 7-8 5-6 5-6 1-2 15-16 2-3 6-7 4-5

Réaliser une cartographie des risques 3 j 1 675 € 1 875 € 20-22 17-19 12-14 9-11 12-14 11-13 7-9 17-19 6-8 12-14 8-10

Elaborer le référentiel de maîtrise des activités 2 j 1 200 € 1 350 € 23-24 20-21 17-18 14-15 15-16 17-18 10-11 23-24 9-10 18-19 15-16

Piloter un dispositif de maîtrise des activités et de contrôle interne 2 j 1 200 € 1 350 € 27-28 25-26 19-20 16-17 19-20 19-20 25-26 13-14 20-21 17-18

Le contrôle interne des systèmes d’information 2 j 1 200 € 1 350 € 29-30 24-25 23-24 20-21

Maîtrise des activités, contrôle interne et communication 2 j 1 200 € 1 350 € 18-19 21-22 7-8 18-19 22-23 11-12

SE FORMER À L’AUDIT INTERNE

Les fondamentaux de l’audit interne

S’initier à l’audit interne 2 j 950 € 1 125 € 9-10 5-6 6-7 3-4 6-7 3-4 1-2 11-12 2-3 13-14 3-4

Conduire une mission d’audit interne : la méthodologie 4 j 1 950 € 2 150 € 13-16 11-14 10-13 8-11 12-15 10-13 1-4 15-18 6-9 18-21 8-11

Maîtriser les outils et les techniques de l’audit 3 j 1 625 € 1 775 € 20-22 17-19 17-19 14-16 19-21 16-18 7-9 22-24 13-15 24-26 15-17

Maîtriser les situations de communication orale de l’auditeur 2 j 1 050 € 1 150 € 23-24 20-21 20-21 17-18 22-23 19-20 8-9 25-26 16-17 27-28 18-19

Réussir les écrits de la mission d’audit 2 j 1 050 € 1 150 € 27-28 24-25 24-25 22-23 26-27 23-24 10-11 29-30 20-21 25-26 18-19

Exploiter les états financiers pour préparer une mission d’audit 3 j 1 525 € 1 675 € 29-31 17-19 26-28 22-24 19-21

Désacraliser les systèmes d’information 3 j 1 525 € 1 675 € 26-28 2-4 17-19 1-3

Détecter et prévenir les fraudes 2 j 1 050 € 1 150 € 26-27 24-25 25-26 25-26 22-23 4-5

Le management

Piloter un service d’audit interne 2 j 1 300 € 1 450 € 18-19 5-6 6-7

Manager une équipe d’auditeurs au cours d’une mission 1 j 685 € 770 € 21 4 27

L’audit interne dans les petites structures 1 j 685 € 770 € 16 7

Balanced Scorecard du service d’audit interne 1 j 685 € 770 € 28 26

Le suivi des recommandations 1 j 685 € 770 € 28 10 30 30 28

Préparer l’évaluation externe du service d’audit interne 2 j 1 300 € 1 450 € 20-21 12-13 24-25

L’audit interne, acteur de la gouvernance 1 j 685 € 770 € 9 1

Audit interne, contrôle interne et qualité : les synergies 1 j 685 € 770 € 11 8

Les audits spécifiques

Audit du Plan de Continuité d’Activités - PCA 2 j 1 300 € 1 450 € 11-12 26-27 19-20

Audit de la fonction Comptable 2 j 1 300 € 1 450 € 15-16 6-7

Audit de performance de la gestion des Ressources Humaines 3 j 1 525 € 1 675 € 2-4 4-6

Audit de la fonction Achats 2 j 1 300 € 1 450 € 19-20 29-30

Audit des Contrats 1 j 685 € 770 € 21 21

Audit de la fonction Contrôle de Gestion 2 j 1 300 € 1 450 € 20-21 12-13

Audit de la Sécurité des Systèmes d’Information 2 j 1 300 € 1 450 € 26-27 24-25

Audit des Processus Informatisés 2 j 1 300 € 1 450 € 17-18 4-5

Audit de la Conformité à la Législation Sociale 2 j 1 300 € 1 450 € 12-13 2-3

Audit du Développement Durable 2 j 1 300 € 1 450 € 14-15 9-10

Audit des Projets et Investissements 2 j 1 300 € 1 450 € 1-2 17-18

SE FORMER DANS LE SECTEUR PUBLIC

Le contrôle interne dans le secteur public 2 j 1 300 € 1 450 € 20-21 9-10 6-7

Pratiquer l’audit interne dans le secteur public 4 j 1 950 € 2 150 € 1-4 16-19 9-12

SE FORMER DANS LE SECTEUR BANCAIRE ET FINANCIER

Le contrôle permanent et la conformité dans le secteurbancaire et financier 3 j 1 525 € 1 675 € 11-13 17-19 10-12

Pratiquer l’audit interne dans une banque ou un établissementfinancier 4 j 1 950 € 2 150 € 16-19 22-25 15-18

SE FORMER DANS LE SECTEUR DES ASSURANCES

Le contrôle interne dans le secteur des assurances 2 j 1 300 € 1 450 € 10-11 6-7 11-12 4-5

Pratiquer l’audit interne dans le secteur des assurances 4 j 1 950 € 2 150 € 4-7 23-26 20-23 2-5

SE FORMER DANS LES SECTEURS INDUSTRIE ET COMMERCE

Audit de la gestion des stocks et de la logistique 2 j 1 300 € 1 450 € 29-30 2-3

Audit du processus de ventes 2 j 1 300 € 1 450 € 7-8 15-16

ACQUÉRIR UNE CERTIFICATION Voir notre site internet : www.ifaci.com

- 20%

pou

r un

part

icip

ant i

nscr

itsi

mul

tané

men

t à 4

form

atio

ns

Marquez des points ...avec la nouvelle certificationprofessionnelle

Professionnels de l’audit et du contrôle internes, cette nouvelle certification vous permettra de dé-montrer votre professionnalisme dans le domaine de l’évaluation de la gestion des risques, et plusparticulièrement votre capacité à :

évaluer la maîtrise des risques et la gouvernance des processus métiers de votre organisation ; sensibiliser la direction et le comité d’audit aux concepts liés aux risques et à la maîtrise des

risques ; vous centrer sur les risques stratégiques de l’organisation ; apporter encore plus de valeur ajoutée à votre organisation.

Disponible, à la fin du premier semestre 2013, sous la forme d’un examen, le CRMA™ est ac-cessible dès aujourd’hui via un processus de Reconnaissance de l’Expérience Profes-sionnelle (REP). Ainsi, toute personne justifiant d’une expérience professionnelledans les cinq domaines couverts par la certification CRMA™, et titulaire de di-plômes et/ou de tout autre certificat dans le domaine de l’audit, sera en mesurede faire une demande de REP en vue d’obtenir la certification CRMA™.

POUR EN SAVOIR PLUS ...

Rendez-vous sur le site internet de l’IFACI (www.ifaci.com)à la rubrique « Carrière + Diplômes ».

Conc

eptio

n : e

bzon

e co

mm

unic

atio

n - P

hoto

: ©

Pat

y W

ingr

ove

- Fot

olia

.com

1

FICHE TECHNIQUE

fév./mars 2014 - FICHE TECHNIQUE N°48 - Audit & Contrôle internes

Des 17 principes du COSO 2013, le neuvièmeest sans doute le plus ambitieux et celui dontla mise en œuvre pratique apparaît à

première lecture le plus être une gageure. Il ne s’agitpas moins dans ce principe que d’identifier etévaluer les changements susceptibles d’impacterde façon significative le système de contrôle

interne de l’organisation. Et pour illustrer la ques-tion, le COSO évoque tous les changements qui ontmotivé la révision du référentiel, vingt ans après lapremière édition : la globalisation des marchés, lacomplexité croissante des lois, règlements et normes,le recours accru à l’externalisation, l’usage desnouvelles technologies, la sophistication de la fraude,etc.

Identifier et évaluerles changements pouvantimpacter le systèmede contrôle interne

Alain Lemarcis a réalisé l’essentiel de sacarrière dans le transport de marchandises, ausein de SERNAM. Il y a développé des outils detraçabilité des colis et de communication clien-tèle et dirigé le contrôle de gestion, avant dedevenir secrétaire général, puis directeur de larégion Ouest.En 2005, il rejoint la direction de l’audit et desrisques de la SNCF où il assume tout d’abord desmissions d’audit interne avant de prendre encharge l’animation du contrôle interne pourl’ensemble du groupe SNCF.

Alain Lemarcis

responsable du contrôle interne, SNCF

2

FICHE TECHNIQUE

Audit & Contrôle internes - FICHE TECHNIQUE N°48 - fév./mars 2014

Tout dirigeant d’organisation verra dans l’apparitionde nouveaux marchés, de nouvelles technologies, uneoccasion à saisir sans hésiter pour développer sesproduits et services, ne serait-ce qu’en raison biensouvent d’un environnement concurrentiel qui ne luilaisse d’autre choix que l’innovation permanente.

A contrario, le COSO, de par sa nature, considèredavantage le changement comme une source infiniede risques sans cesse renouvelés auxquels l’organisa-tion devra faire face.

Dans une de ses fables, La Fontaine concluait par cetteformule « Que de tout inconnu le Sage se méfie ». Dansles organisations actuelles, ce sont l’auditeur interne,le risk manager, le contrôleur interne qui font office desages. A eux de contribuer à la détection des risquesde cet environnement nouveau en perpétuelle gesta-tion, d’alerter et de veiller à ce que les lignes de

défense appropriées soient mises en place et conti-nuellement révisées.

Mais détecter ces risques implique pour ces acteurs del’organisation de collecter et traiter en permanenceune masse considérable d’informations, qu’il s’agissede changements externes, a priori subis, ou internes,a priori voulus. Aussi doivent-ils pouvoir s’appuyersur un ensemble de dispositifs permettant de capterces informations le plus en amont possible, et de lestraiter. Il s’agira d’une part de dispositifs classiques deveille pour les changements externes, d’autre part dedispositifs relevant de la gestion des risques et ducontrôle interne pour les changements à l’initiative del’organisation.

Mis en œuvre de façon coordonnée, ces différentsdispositifs seront à même d’apporter une assuranceraisonnable de la bonne application du neuvième

© Alfred Cromback

3fév./mars 2014 - FICHE TECHNIQUE N°48 - Audit & Contrôle internes

principe du COSO et donc de correcte maîtrise duchangement.

Une veille réactive à l’égarddes changements de l’environnementrèglementaire

La plupart des organisations disposent de plusieursdispositifs de veille en fonction des sujets à vigiler.C’est le rôle par exemple d’une direction juridiquepour les lois et règlements ou d’une direction finan-cière pour les normes comptables. Le contrôle internedoit s’assurer que ces veilles couvrent bien l’ensembledes changements susceptibles d’impacter l’organisa-tion, que la documentation de celle-ci se trouve effec-tivement mise à jour et partagée, et que des notesd’impact sont rédigées, diffusées et appliquées.

Le COSO 2013 recommande quecette veille soit étendue aux inci-dents significatifs intervenant ausein d’autres organisations,comme par exemple lesatteintes à l’environnement.Sont concernés les incidentsfortement médiatisés et quidonnent lieu systématique-ment à un renforcement de laréglementation et des contrôles,impactant à terme l’ensemble desorganisations. Celles-ci ont donc toutintérêt à anticiper en passant en revue leurdispositif de contrôle interne en la matière.

Mais aussi une veille à l’égarddes changements de l’environnementphysique

Il est assez étonnant de découvrir à la lecture duCOSO 2013 l’attention portée par ses auteurs auxrisques de catastrophe naturelle qui étaient bien loindes préoccupations des rédacteurs de 1992, alors peuenclins à la prise en compte des risques extra-finan-ciers. Il est vrai que ce risque est souvent perçu commeimprévisible et difficilement traitable si ce n’est parl’assurance. Mais entre-temps sont intervenus Katrina, les inon-dations de Bangkok et le séisme japonais de 2011 avecleurs lots de dévastations, mais aussi de rupture d’ap-provisionnement pour les organisations d’Europe oud’Amérique du Nord dont les fournisseurs vitauxétaient localisés dans ces zones.

Le COSO 2013 nous fournit un beau cas d’étude avecl’exemple d’une société avisée de l’arrivée imminented’un ouragan et qui ne dispose que de quelquesheures pour d’une part évaluer l’impact sur soncompte de résultats et ses engagements contractuels,et d’autre part trouver des fournisseurs alternatifsprêts à prendre le relais au pied levé. L’exempletémoigne d’une gestion de crise pour le moins effi-cace, mais qu’en serait-il dans la « vraie vie » ? C’estpourquoi les organisations prennent-elles générale-ment les devants en évaluant leur dépendance àl’égard de fournisseurs clés et en concevant des plansde continuité d’activité (PCA) pour pallier la défail-lance éventuelle de l’un de ces fournisseurs.

Ce que sous-tend le COSO 2013, c’est que, dans uncontexte de mondialisation des échanges et de

fréquence croissante des catastrophesnaturelles liées au changement clima-

tique, ces PCA doivent être étendusà la possible défaillance de touteune zone géographique, tousles fournisseurs de cette zonese trouvant simultanémentdans l’impossibilité d’exercerleur activité.

Cependant, pour nécessairesque soient ces veilles, elles ne

sont bien sûr pas suffisantes car lesorganisations ne peuvent se contenter

de voir venir le changement, alors qu’ellessont elles-mêmes à l’origine de celui-ci, selon leprécepte que préconisait Gandhi « Soyez le changementque vous voulez voir dans le monde ». D’autres outilssont alors nécessaires pour en maîtriser les risques.

Un management des risquesaccompagnant le changementdans la durée

Face à la multitude de risques auxquels sont confron-tées toutes les organisations, celles-ci ont pour règled’aligner leur dispositif de management de ces risquesavec leurs objectifs stratégiques majeurs. C’est l’objetdu principe 6 du COSO 2013 relatif à la définitionclaire des objectifs, et du principe 7 pour l’identifica-tion des risques associés à la réalisation de ces objec-tifs, leur analyse et leur gestion.

Le principe 9 nous propose une approche complé-mentaire de la gestion des risques en citant 5 types

Le changement climatiquepourrait constituer un risque

croissant de rupturedes supply chains

fév./mars 2014 - FICHE TECHNIQUE N°48 - Audit & Contrôle internes 4

majeurs d’éléments à prendre en compte :• les changements de modèle économique(nouvelles activités, externalisations, nouveauxmarchés…). Il faut noter que ces changements nesont jamais le fruit du hasard et résultent toujoursd’orientations stratégiques décidées au plus hautniveau ;

• les acquisitions ou scissions significatives qui, làaussi, s’inscrivent toujours dans le cadre d’objectifsstratégiques ;

• le développement à l’international, notammentdans des pays dont l’organisation ne maîtrisequ’imparfaitement la réglementation et dont laculture et les habitudes d’affaires peuvent être trèsdifférentes ;

• une croissance rapide mettant sous fortetension les structures, processus,systèmes d’information et compé-tences ;

• les nouvelles technologiesavec tout particulièrementleur utilisation croissantedans la relation clientèle etles risques émergents qui endécoulent.

On constate à la lecture qu’aucunde ces éléments ne constitue enlui-même un risque intrinsèque, maisils ont tous pour caractéristique de modi-fier sensiblement et durablement l’environnementdans lequel évolue l’organisation. Le véritable risqueen l’occurrence est bien celui de ne pas adapter lesdispositifs de contrôle interne à la nouvelle donne etd’exposer l’organisation à des déconvenues ulté-rieures.

Le risk manager a donc tout intérêt à conforter sonapproche traditionnelle par les risques amont (risquesde ne pas atteindre les objectifs) par l’ajout des risquesde déstabilisation aval du dispositif de contrôle interne(les objectifs ont été atteints, mais le changementinduit n’est pas suffisamment maîtrisé). Dans lapratique, il englobera dans une même cartographiel’ensemble de ces risques de façon à les identifier etles traiter dans la durée.

Il s’appuiera sur le contrôleur interne pour traiter cerisque de déstabilisation. Celui-ci pourra ainsi, parexemple :• veiller à ce que les entités acquises adoptent rapi-dement le référentiel de contrôle interne de l’orga-

nisation et participent aux éventuelles campagnesd’auto-évaluation ;

• aménager le référentiel de contrôle interne en fonc-tion des nouveaux processus / risques induits par lechangement d’activités ;

• veiller à ce que la cartographie des risques de fraudeintègre bien les risques engendrés par l’utilisationde nouvelles technologies ;

• s’assurer que les PCA de l’organisation sont bienmodifiés en fonction des nouvelles externalisations,etc.

Une évaluation des risques à l’appuide toute décision stratégique

Toute décision stratégique impactant lemodèle économique de l’organisation

relève, suivant son importance, de lacompétence des organes degouvernance de cette organisa-tion et/ou de comités d’enga-gements ad hoc. Ceux-citravaillent sur la base dedossiers soigneusementpréparés en amont et quidoivent leur apporter un éclai-rage objectif sur d’une part les

opportunités, d’autre part lesrisques des engagements projetés et

ainsi sécuriser leur prise de décision demettre en œuvre ou non le changement induit.

Le risk manager et le contrôleur interne se doivent deveiller à la bonne organisation de ce processus majeur.Le risk manager intervient plutôt sur le volet risquesen définissant une méthodologie de leur classification,identification et évaluation, ainsi que de la présenta-tion des actions envisagées pour leur maîtrise. Cetteméthodologie est bien éprouvée par exemple avec lesdue diligences réalisées à l’occasion de toute opérationde capital, fusion ou acquisition.

Celle-ci se doit aussi d’intégrer une analyse de sensi-bilité afin de mesurer l’impact d’une évolution favo-rable ou défavorable (« stress test ») d’une deshypothèses clés.

Le risk manager apporte son appui au « porteur » del’engagement dans la mise en œuvre de cette métho-dologie tout au long du processus de prise de déci-sion. Il doit aussi veiller à ce que l’évaluation desrisques initiale soit révisée régulièrement au fur et à

Le risk manager doitidentifier les risques de ne pas

atteindre l’objectif dechangement, mais aussi ceux

induits durablement parce changement

FICHE TECHNIQUE

Audit & Contrôle internes - FICHE TECHNIQUE N°48 - fév./mars 20145

mesure de la mise en œuvre du changement, celui-cine se réalisant que rarement exactement commeprévu à l’origine.

Un rôle majeur pour le responsablede la sécurité des systèmes d’information

Le principe n°9 insiste tout particulièrement sur lesrisques de changement liés aux nouvelles techno-logies et cite d’abondance les ruptures decontinuité, la perte d’informationsconfidentielles, la cybercrimina-lité… Et pour preuve de l’impor-tance de ces risques, un autreprincipe, le n°11, est consacréentièrement à leur mise souscontrôle. De toute évidence,c’est en premier lieu aux NTICque fait allusion le COSO,celles-ci ayant révolutionné envingt ans l’environnement danslequel évoluent l’ensemble desparties prenantes de l’organisation.

Le COSO évoque la complexité croissante qui rendl’identification et le management des risques plusdifficile. Il s’agit bien là d’un euphémisme tant les riskmanagers et contrôleurs internes peuvent parfois sesentir impuissants face aux risques multiformes géné-rés par l’explosion des usages.

Cependant, ces risques peuvent être identifiés et trai-tés efficacement s’ils sont pris en compte systéma-

tiquement et à l’aide d’une méthodologieformalisée, dès la phase d’émergence

de tout nouveau projet informa-tique. A titre d’exemple, enFrance, l’ANSSI (AgenceNationale de la SSI) met àdisposition une méthodolo-gie, EBIOS (Expression desBesoins et Identification desObjectifs de Sécurité).

Reste le cas des nouvelles tech-nologies qui ne sont pas introduites

à l’initiative de l’organisation, mais decelle de ses parties prenantes. Le concept de

© Adrien Toub

iana

Tout engagement initiantun changement majeur doitêtre examiné à l’appui d’unefiche d’analyse des risques

et opportunités

6fév./mars 2014 - FICHE TECHNIQUE N°48 - Audit & Contrôle internes

BYOD (Bring Your Own Device) en est un exemple, avecla nécessité de maîtriser des risques importés par lespropres employés de l’organisme dans un contexte deperméabilité croissante entre les usages personnels etprofessionnels. Le contrôleur interne veillera pour celaà ce que des règles claires de bonne utilisation desNTIC et notamment des outils de mobilité soientétablies, diffusées et appliquées.

Il faut souligner enfin que si les nouvelles technologiessont incontestablement une source majeure derisques, elles constituent également une opportunitécertaine pour prévenir et détecter les erreurs, voire lesfraudes. Les contrôles embarqués dans un systèmed’information, une bonne gestion des accès, avec uneséparation des tâches verrouillée, la traçabilité destransactions, les possibilités de détection par « datamining », ont tout autant révolutionné les dispositifsde contrôle interne et contribué à la bonne maîtrisedes processus.

Un acteur privilégié dans le bouclagedu dispositif, l’audit interne

De par sa position privilégiée au sein de l’organisa-tion, l’audit interne est sans doute l’acteur lemieux placé pour déterminer si les chan-gements intervenus dans l’environ-nement de l’organisation ont biendonné lieu à adaptation desdispositifs de contrôle interneappropriés.

La norme 2010 du Cadre deRéférence International desPratiques Professionnelles(CRIPP) stipule que « le respon-sable de l’audit interne doit établirun plan d’audit fondé sur les risquesafin de définir des priorités cohérentes avecles objectifs de l’organisation ». Ce plan étantconçu à la suite d’entretiens avec les principaux diri-geants de l’organisation, il est probable que l’ensem-ble des changements majeurs aura été ainsi évoqué.

Reste le cas des changements impromptus en coursd’année ou des conséquences inopinées de change-ments mal maîtrisés. Cette même norme 2010 stipuleque « le responsable de l’audit interne doit, le cas échéant,réviser et ajuster le plan afin de répondre aux changements

dans les activités, les opérations, les programmes, lessystèmes et les contrôles de l’organisation ». Cette révi-sion pourra donner lieu à des audits « flash ».

En complément du respect de ces normes, le respon-sable de l’audit interne pourra intégrer avec profit lagrille d’analyse que lui propose le COSO avec les cinqéléments majeurs de modification de l’environnementde contrôle de l’organisation afin de vérifier que surces points les dispositifs de contrôle interne ont bienété adaptés en conséquence et sont suffisammentrobustes. Par exemple, l’attention à porter aux entitésen croissance – trop – rapide doit constituer unélément à prendre en compte dans la préparation detout plan d’audit.

Dans la bourrasque, s’appuyersur des valeurs solides

Enfin, lorsque tout semble changer autour de soi, quel’on a l’impression de ne plus correctement maîtriserun environnement trop différent ou devenu tropcomplexe, il importe de pouvoir se référer à desvaleurs de base de nature à aider à adopter le boncomportement dans ces zones d’incertitude et de

dangers.

C’est le rôle des démarches d’éthiqueet il est significatif que le COSO2013 en ait fait le premier de ses17 principes.

Il arrive un moment où laconduite par les règles – tropnombreuses, trop complexes,trop souvent renouvelées –trouve ses limites et il faut alors

que l’individu puisse mettre enœuvre une conduite par les valeurs

pour redonner du sens à son comporte-ment et à ses décisions.

D’où les chartes et guides éthiques déclinés parmétiers et/ou zones géographiques afin de tenircompte de la diversité des situations et des risquesauxquels chacun peut se trouver confronté. Et quinous rappellent qu’en dépit de toutes les précautionsprises pour maîtriser des organisations en change-ment accéléré, c’est l’homme qui reste au cœur de cechangement.

La préparation du pland’audit doit être l’occasion

de porter une attentionparticulière aux structureset systèmes en changement

majeur

innovation - chapters site - home¨s et contribuera efficacement à la formation des étudiants et...

Documents