la gestion des ressources humaines revue 214.pdfles ressources humaines de l’audit et du contrôle...

l a r e v u e d e s p r o f e s s i o n n e l s d e l ’ a u d i t , d u c o n t r ô l e e t d e s r i s q u e s

Dans l’actualité

Stuxnet : une nouvelle èredans la gestion des risques ?

InternationalLes anciens de l'audit interneutilisent leurs acquis pour apporterune valeur ajoutée à leur nouvelleprofession

Idées et débatsCOSO 2013 : Une nouvelle éditiondu référentiel COSO sur le contrôleinterne

Grands projetsL’audit des projets de constructionchez GDF SUEZ : une approcheintégrée

Les audits métiersAudit d’un processus informatisé

Fiche technique

>> De l’usage du GTAG 1 chezSodexo : forces et faiblesses

N°214Avril-Mai 2013

LA GESTIONDES RESSOURCESHUMAINESUn levier de la performance des servicesd’audit et de contrôle internes

3avril-mai 2013 - Audit & Contrôle internes n°214

La revue des professionnels de l’audit,du contrôle et des risques

n°214 - avril-mai 2013

EDITEURInstitut Français de l’Audit et du Contrôle Internes (IFACI)Association Loi 190198 bis, boulevard Haussmann75008 Paris (France)Tél. : 01 40 08 48 00 Mel : [email protected] : www.ifaci.com

DIRECTEUR DE PUBLICATIONFarid Aractingi

RESPONSABLE DE LA RÉDACTION Philippe Mocquard

RÉDACTEUR EN CHEFLouis Vaurs

RÉDACTION - RÉVISIONJean-Loup Rouff - Béatrice Ki-Zerbo

SECRÉTARIAT GÉNÉRALEric Blanc - Tél. : 01 40 08 48 02Mel : [email protected]

RÉALISATIONEBZONE Communication32, avenue de Beauregard94500 Champigny-sur-MarneTél. : 01 48 80 00 56Mel : [email protected]

IMPRESSIONImprimerie de ChampagneRue de l’Etoile de Langres - ZI Les Franchises52200 Langres

ABONNEMENTElsa Sarda - Tél. : 01 40 08 47 84Mel : [email protected]

Revue bimestrielle (5 numéros par an)ISSN : 2117-1661CPPAP : 0513 G 83150Dépôt légal : mai 2013Crédit photos : © Séverine MARTIN -Fotolia.com

Prix de vente au numéro : 25 € TTC

Les articles sont présentés sous la responsabilité de leurs auteurs.

Toute représentation ou reproduction, intégrale ou partielle, faitesans le consentement de l’auteur, ou de ses ayants droits, ou ayantscause, est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40).Cette représentation ou reproduction, par quelque procédé que cesoit, constituerait une contrefaçon sanctionnée par les articles 425et suivants du Code Pénal.

Ce document est imprimé avec des encres végétalessur du papier issu de forêts gérées dans le cadred’une démarche de développement durable.

Bien gérer les ressources humaines des services

d’audit interne, comme celles des services de

contrôle interne est une absolue nécessité si

l’on veut disposer d’un personnel de qualité et à haut

potentiel.

Dans le dossier que nous vous présentons, nous

avons l’exemple d’organisations représentant quatre

grands secteurs d’activité : la finance, l’industrie, les administrations centrales de

l’État et les collectivités territoriales. Si les objectifs sont semblables, les approches

sont différentes car fortement influencées par la culture de chaque organisation et

son niveau de maturité dans les domaines du contrôle et de l’audit internes. Chaque

lecteur pourra se rendre compte des difficultés auxquelles se heurtent les services

d’audit interne à la maturité en développement, pour constituer et conserver une

équipe d’auditeurs internes, mais il pourra aussi s’approprier les pratiques éprouvées

des services d’audit interne à la maturité affirmée.

Dans ce numéro, les systèmes d’information sont également à l’honneur : attention,

nous dit Antoine de Boissieu, au risque d’attaque informatique malveillante par des

virus du type Stuxnet, l’audit interne mais aussi les services de risques et de contrôle

doivent s’assurer que l’organisation apporte à ce risque majeur toute l’attention

souhaitable ; les processus informatisés sont quasiment partout et doivent pouvoir

faire l’objet d’un audit par tout auditeur interne, nous précise Dominique van

Egroo ; enfin, la deuxième édition du GTAG 1 vient d’être publiée. Plus didactique

que la précédente, elle est, de ce fait, plus à la portée d’un non expert en systèmes

d’information, nous indique Alain Rogulski.

Je vous recommande enfin de lire avec attention l’audit des projets de construction

chez GDF pour lequel les directions du management des risques, du contrôle

interne et de l’audit interne se sont associées pour apporter une offre globale de

sécurisation aux directeurs de projets.

Bonne lecture.

La gestiondes ressources humainesUn levier de la performance des servicesd’audit et de contrôle internes

Louis Vaurs - Rédacteur en chef

Contactez-nous :Tél. : 01 44 70 63 00

E-mail : [email protected]

Conc

eptio

n : e

bzon

e co

mm

unic

atio

n - P

hoto

: ©

Jaku

b Ce

jpek

- Fo

tolia

.com

Votre engagement pour+ de bonnes pratiques

+ de performance+ de légitimité

+ de sécurité

Progressez surdes bases solides

Le label de qualité et de performance CertificationIFACI est délivré aux services d'audit interne quiappliquent de façon pérenne les trente exigencespragmatiques du Référentiel Professionnel del'Audit Interne.


SOMMAIRE

DANS L’ACTUALITÉ DOSSIER

La gestion desressources humainesUn levier de la performance des servicesd’audit et de contrôle internes

Stuxnet : une nouvelle èredans la gestion des risques ?Antoine de Boissieu

6

IDÉES ET DÉBATS

COSO 2013 : Une nouvelle éditiondu référentiel COSO sur le contrôleinterne

11

GRANDS PROJETS

L’audit des projets de construction chezGDF SUEZ : une approche intégréeEdouard Bucaille et Catherine Gouverneur

13

p. 17 à 35

Evolution et transformation d’une équipe d’auditJean-Denis Malpelet

25

Les ressources humaines de l’audit et du contrôleinternes : Panorama du contexte françaisJulie Ferré

18

Auditeur, une étape positive pour construire son plande carrièreFlorence Vincent

28

Constituer et gérer une équipe d’audit et de contrôleinternes dans une collectivité territorialeYannis Wendling

33

Le professionnalisme des auditeurs conditionneétroitement l’essor de l’audit interne au sein desministèresHervé Toro

21

>> De l’usage du GTAG 1chez Sodexo : forces et faiblessesAlain Rogulski

FICHE TECHNIQUE N°44

LES AUDITS MÉTIERS

Audit d’un processus informatiséDominique van Egroo

36

INTERNATIONAL

Les anciens de l'audit interne utilisentleurs acquis pour apporter une valeurajoutée à leur nouvelle professionShannon Steffee

8

6

DANS L’ACTUALITÉ

Audit & Contrôle internes n°214 - avril-mai 2013

Stuxnet : une nouvelle èredans la gestion des risques ?Antoine de Boissieu - Associé-gérant, OSC Solutions

La Corée du Sud a étévictime le 20 marsdernier d’une atta-

que informatique spectacu-laire. Les trois principaleschaînes de télévision (YTN,KPS, MBC) ont vu leur sys-tème informatique paralysépendant près d’une journée.Les agences de deux grandsréseaux bancaires (Shinhanet Nonghyup) ont égale-ment été touchées. Toutesces sociétés utilisaient lemême type de serveurs (LGUplus), qui a visiblement étéla cible de l’attaque.Ces incidents font écho àdeux affaires survenues en2010 et 2012 ; en 2010, levirus Stuxnet avait dérégléles centrifugeuses de la cen-trale nucléaire de Bouchehret, selon les dires desexperts, retardé le pro-gramme nucléaire iraniend’un à deux ans. En 2012, unvirus très complexe, Flame,avait été identifié sur lesordinateurs de quelquespersonnes ciblées auProche-Orient.

Quels enseignements entirer pour les services d’auditet de contrôle ?

Des cibles pourtantbien préparées

La première observationfrappante est que les ciblesfrappées étaient bien prépa-rées.

1. Dans les deux cas en effet,les organisations impac-tées étaient parfaitementconscientes du risque. LaCorée du Sud avait accuséplusieurs fois ces der-nières années la Corée duNord d’attaques informa-tiques. L’Iran savait que lesEtats-Unis et Israël étaientfermement opposés à sesprojets nucléaires, qu’ilsétaient prêts à utiliser tousles moyens, et qu’ils dis-posaient de compétencestrès poussées en matièrede sécurité informatique.

2. Dans les deux cas, lescibles visées étaient bienconscientes de l’immi-nence du risque. Aumoment de l’attaquecontre la Corée du Sud, laCorée du Nord était enpleine escalade verbale,menaçant son voisin dereprésailles (contre uneattitude jugée hostile). De

même, les Etats-Unisavaient insisté pour durcirles sanctions contre l’Iranà l’ONU, et avaient envi-sagé ouvertement la pos-sibilité d’actions militaires.

Les cibles touchées étaientdonc préparées à faire face àla menace. Elles ont pour-tant été prises en défaut.

Un risque en trèsforte hausse

Le deuxième enseignementde ces affaires est que lerisque d’attaque informa-tique a considérablementaugmenté ces dernièresannées.

Des attaques de plus enplus probables

Il serait tout d’abord illusoirede croire que ce type d’at-taques restera longtempsl’apanage d’organisationsétatiques. Les réseaux depirates informatiques etautres hackers échappentdéjà largement à toutcontrôle. Le développementet l’utilisation de virus dutype Stuxnet par des acteursprivés (légaux ou non) est

donc un risque à considérertrès sérieusement. La ques-tion n’est pas de savoir si detels virus pourraient être uti-lisés par des acteurs non éta-tiques, mais plutôt de savoirquand leur utilisation segénéralisera.

Des effets potentielsdévastateurs

Le deuxième enseignementest que Stuxnet inauguresans doute une ère nouvelledans l’histoire des risquesinformatiques. On savait quedes attaques informatiquespouvaient paralyser des sys-tèmes d’information. Stux-net va beaucoup plus loin,en étant le premier virusconnu qui permet de pren-dre le contrôle de machinespour leur donner des ins-tructions aberrantes. Lesconséquences potentiellesne sont plus seulement laparalysie de l’activité, mais lesabotage pur et simple, avectoutes les conséquencesimaginables. Ce sont cesconséquences que les entre-prises doivent envisagerdésormais. La questionqu’elles doivent se poser est« que se passerait-il si un


acteur extérieur prenait lecontrôle de nos systèmes ànotre insu, et y injectait desinstructions aberrantes oudangereuses ? ». Pour lessociétés du secteur destransports, de l’industrielourde, d’exploitation deréseaux (électricité, gaz, eau,télécoms…), les consé-quences potentielles peu-vent être dévastatrices. Il enest de même pour les socié-tés gérant des données com-plexes (pharmacie, ingénie-rie…), pour qui la modifica-tion frauduleuse de donnéespeut avoir des conséquencesmajeures.

La protection contre ce typede risques est difficile,comme l’ont prouvé lesexemples récents. Commedans toutes les situations oùl’élément générateur durisque n’est pas maîtrisé, ilconvient de concevoir unestratégie de maîtrise durisque qui agisse à troisniveaux.

Une stratégiede défense à troisniveaux

On peut tout d’abord se pro-téger contre la probabilitéd’être touché : les systèmespeuvent être équipés depare-feux, anti-virus, etautres dispositifs visant àempêcher l’entrée des virus.Ces dispositifs s’accompa-gnent de politiques de sécu-rité appliquées aux postes detravail (clefs et périphé-riques, postes bloqués contrel’installation de logiciels…)et aux réseaux. Il est aussipossible d’isoler les sys-tèmes critiques, afin d’éviter

qu’ils soient en communica-tion avec des systèmes exté-rieurs. C’est d’ailleurs ce quiavait été fait dans le cas de lacentrale de Bouchehr. Tousces dispositifs permettent dediminuer la probabilité d’oc-currence du risque, et sontabsolument nécessaires. Ilsrestent cependant vulnéra-bles à une négligencehumaine ou à une évolutiontechnique des menaces.

Il faut donc prévoir des dis-positifs de contrôle qui per-mettent de lutter contrel’ampleur des attaques unefois qu’elles ont passé lespremières défenses. Lalogique est celle suivie parles autorités sanitaires dansla lutte contre les épidémies.Il faut tout d’abord détecterl’attaque le plus tôt possi-ble : des dispositifs de sur-veillance et d’identificationdes anomalies sont doncnécessaires. L’étape suivanteconsiste à isoler les systèmesinfectés, pour éviter qu’il yait une propagation aux sys-tèmes et composants sains.Il est à noter que cette isola-tion est d’autant plus difficileque les systèmes sont inté-grés et interconnectés, ce quitend à être de plus en plus lecas. La conception mêmedes systèmes d’informationet de communication peutdonc être un facteur aggra-vant du risque.

On peut ensuite se prémunircontre l’impact des attaquesinformatiques. Ainsi, l’exis-tence de procédures defonctionnement en modedégradé peut permettre dedéconnecter un sous-sys-tème sans impacter le fonc-

tionnement de l’organisa-tion. Il est aussi possible deprévoir des systèmes redon-dants, utilisant des techno-logies différentes, ce quidiminue la probabilité queles deux soient touchés enmême temps. De tels dispo-sitifs sont déjà obligatoirespour des systèmes critiques,par exemple dans l’aéronau-tique. Il est égalementimportant de pouvoirreprendre les opérationsrapidement après uneattaque : des plans de conti-nuité ou de reprise d’activitébien rodés et régulièrementtestés sont pour cette raisonessentiels. Enfin, des assu-rances peuvent permettre de

limiter les impacts finan-ciers.

Les services d’audit, derisques et de contrôle doi-vent donc s’assurer que l’or-ganisation a envisagé lerisque d’attaque informa-tique malveillante par desvirus du type Stuxnet, et yapporte une réponse glo-bale, appuyée sur une véri-table stratégie de maîtrise dece risque. Certaines direc-tions générales et comitésd’audit ont déjà demandédes audits internes sur lesujet ; les événementsrécents survenus en Coréevont sans doute accélérer latendance.

Stuxnet

Stuxnet est un ver informatique découvert en 2010. Il avraisemblablement été développé par les États-Unis etIsraël pour s'attaquer à l’industrie nucléaire iranienne.C'est le premier ver découvert qui espionne et repro-gramme des systèmes industriels. Il permet de reprogram-mer des automates programmables industriels (API) fabri-qués par Siemens. Ces automates sont utilisés notammentpar les centrifugeuses de la centrale nucléaire iraniennede Bouchehr, mais aussi par d’autres centrales électriques(pas forcément nucléaires), et pour l’exploitation deréseaux d’eau ou d’oléoducs. Stuxnext aurait touché45 000 systèmes informatiques, dont 30 000 en Iran.

Flame

Flame est un autre un ver informatique, découvert en mai2012, vraisemblablement de la même origine que Stuxnet.Il infecte les systèmes d’exploitation Windows. Il auraitinfecté 1 000 ordinateurs de cibles bien précises, auProche-Orient essentiellement. Il a des fonctionnalités decyber-espionnage (interception de mails, de données PDF,Office, enregistrement de conversations…). Le pro-gramme, extrêmement complexe, a certainement d’autresapplications, mais elles n’ont pas encore été dévoilées.

8

INTERNATIONAL


La profession d'audit interne estsous les feux de la rampe depuisla chute d'Enron et de

WorldCom il y a une dizaine d’années etla mise en place de la loi américaineSarbanes-Oxley de 2002 qui s'en est sui-vie. Depuis, l'audit interne est devenuune profession dont le rôle au sein del'entreprise est largement reconnu pourla valeur ajoutée qu'il apporte globale-ment à la gestion des risques, à la gou-vernance et au contrôle interne. Si beau-coup le voient toujours comme un choixprofessionnel, l'audit interne est égale-ment considéré comme un tremplin etune école de formation pour ceux quisouhaitent que leur carrière évolue rapi-dement vers des fonctions de manage-ment. Souvent, ceux qui ont exercé laprofession peu de temps déclarent qu'ilspartent vers d'autres horizons avec descompétences précieuses.

Qu'ils aient été intégrés à un modèle derotation selon lequel les entreprises fontévoluer les collaborateurs dans diffé-rentes unités opérationnelles ou qu’ilsdécident de quitter l'audit interne deleur propre chef, bon nombre d'anciensauditeurs ont acquis une solide expé-rience qui leur est utile dans leurs nou-velles fonctions. Certains cherchent à

démarrer une nouvelle carrière, tandisque d'autres déploient leurs compé-tences dans des rôles à responsabilitésau sein de l'organisation. Autrement dit,de nombreux professionnels considè-rent l'audit interne comme un tremplinvers d'autres opportunités et objectifs.

Que vous envisagiez de changer de car-rière ou que vous l'ayez déjà fait, il esttoujours utile d'écouter les conseils et lesenseignements de ceux qui en ont l'ex-périence. Comme le dit un vieux pro-verbe roumain : « Les sages apprennentde l'expérience des autres ».

Exposition à toutesles facettes de l’entreprise

Les programmes de rotation des orga-nisations qui intègrent l'audit interneont pour but de former les collabora-teurs à un rôle de management. Ceuxqui travaillent au sein de l'audit internegagnent souvent en expérience plusrapidement qu'en prenant directementdes fonctions de management car l'auditinterne doit comprendre le fonctionne-ment de l'entreprise.

Pour Ashley Luft, c'est le programmede rotation du distributeur mondial

Les anciens de l'audit interneutilisent leurs acquis pourapporter une valeur ajoutéeà leur nouvelle professionShannon Steffee - auditeur senior , Internal Auditor

Home Depot, basé à Atlanta, qui l'a atti-rée. Aujourd'hui directrice financière ausein de la société, Ashley Luft travaillechez Home Depot depuis huit ans, dontquatre au sein de l'audit interne. Elle arejoint Home Depot avec un diplômed'ingénieur, sans formation comptableou financière. « Ayant toujours étécurieuse de tout, la taille du programme derotation de Home Depot et son exposition àtoutes les facettes de l'entreprise étaientvraiment attrayantes à mes yeux ».Tout endéclarant qu'elle ne s'appuie pas auquotidien sur ce qu'elle a appris de l'au-dit interne, elle reconnaît mieux com-prendre le fonctionnement de la sociétégrâce à l'interaction avec différentes uni-tés opérationnelles qu'elle a connuelorsqu'elle faisait partie de l'audit.« Rétrospectivement, c'est ce qui m'a donnéconfiance pour travailler avec tant de per-sonnes différentes au sein de l'organisationet m’a permis de nouer de nombreuxcontacts ».

Dans le cadre du modèle de rotationexistant chez Ford Motor Co., BrianSchaaf a été appelé à travailler deux ansen tant qu'auditeur avant de prendre sesfonctions actuelles de trésorier adjoint.Avant cela, il avait exercé différentes res-ponsabilités financières pendant près de


20 ans. Brian Schaal déclare : « Pour êtrehonnête, j'aurais préféré d'autres postes,parce que je ne connaissais et n'appréciaispas celui d'auditeur. Toutefois, au bout dequelques mois, j'ai vu pour l'équipe d'auditinterne de nombreuses opportunités pourcontribuer à renforcer la réussite de Ford ».Selon lui, une meilleure compréhensionde la philosophie de contrôle interne deFord et des exigences et processus decontrôle interne compte parmi les avan-tages inhérents à la fonction d'auditeur.Son expérience en tant qu'auditeur l'amieux armé pour poser des questions etdonner des conseils sur l'efficacité descontrôles.

Le parcours d'Andrew Griffith, qui acommencé à travailler en entreprise, estcomplètement différent. En tant queresponsable des charges au sein d'unesociété de transport en 2000, AndrewGriffith était constamment confronté àla fraude. Lorsqu'il a découvert que lasociété ne disposait pas d'une fonctiond'audit interne, il s’est documenté et acommencé à réaliser des travaux d'auditinterne, outre ses responsabilités de res-ponsable des charges. Lorsque sonposte a été supprimé, il a intégré pen-dant six mois le département commer-cial jusqu'à ce que le management luipropose de passer à plein temps à l'auditinterne. Selon Andrew Griffith :« Lorsqu'en 2002, la société s'est trouvée endifficulté du fait de problèmes financiers,j'ai vu là une opportunité pour parfaire maformation ». Il a acquis plusieursdiplômes et s’est vu proposer un posted'enseignant après avoir obtenu unMBA. Puis, il a achevé un doctorat encomptabilité tout en enseignant à pleintemps. Andrew Griffith intègreaujourd'hui ce qu'il a appris lorsqu'ilétait auditeur interne dans les cours decomptabilité qu'il dispense à l'IonaCollege de New Rochelle, dans l'État deNew York.

Andrew Griffith explique que l'ensei-gnement tiré de l'audit interne est l'im-

portance du processus. « Tout comme jel'ai appris quand j'étais auditeur interne,j'encourage mes étudiants à penser de façonmoins cloisonnée et plus globale ».AndrewGriffith, qui travaille par ailleurs commeconsultant, déclare qu'il continue deconsidérer son travail comme uneopportunité pour apprendre, et essayed'identifier des améliorations pour lesorganisations qu'il conseille. « Même lespolitiques de documentation que je continued'appliquer ont été influencées par monexpérience d'auditeur interne. Si je pensequ'un problème peut provenir d'un scénarioou que les preuves sous-jacentes peuvent oudevraient faire l'objet d'un audit ou d'unexamen, je prends soin de le documenter etde le conserver ».

Formation sur le terrain

Grâce à l'exposition à toutes les facettesde l'entreprise et au temps passé avecles collaborateurs à tous les échelons, unpassage à l'audit interne aaccéléré l'apprentissagepour certains profes-sionnels et a aug-menté leur capa-cité à travailleravec deséquipes trans-versales. De sur-croît, les capaci-tés de réseautageet les autres compé-tences généralesacquises au sein de l'auditinterne leur ont été bénéfiques lorsqu'ilsont quitté la profession.

Ashley Luft déclare : « Avec le recul, jepense que l'audit a sans doute été pour moil'une des meilleures introductions à lasociété. Si j'avais rejoint la société à unposte financier, je n'aurais probablementjamais été exposée aux domaines de l'entre-prise auxquels j'ai eu accès en travaillantau sein de l'audit ». Ashley Luft a colla-boré avec les équipes de la chaîne d'ap-provisionnement, des cartes cadeau, des

fusions-acquisitions et des achats àl'échelle internationale, ce qui lui adonné l'occasion d'interagir avec despersonnes très différentes dans toutel'organisation.

Selon Ashley Luft, un autre aspectconcordant avec ses responsabilitésfinancières est la capacité à influencer etpersuader en dehors du rôle de proprié-taire d'un métier. Lorsqu'elle était audi-trice, elle a collaboré étroitement avecd'autres unités opérationnelles afin demettre en œuvre les changements visantà améliorer l'organisation. Elle précise :« Maintenant que j'occupe des fonctionsdans la finance, je soutiens une unité opé-rationnelle et je dois bâtir des relations deconfiance et influencer ses membres sur labase de mon point de vue en matière finan-cière. J'ai pu établir ce lien plus facilement,de sorte que mon opinion est appréciée ».

Avec une meilleure compréhension dela philosophie de contrôle

interne de Ford, BrianSchaaf s'efforceaujourd'hui dedémontrer l'im-portance d'unesolide auto-éva-luation et de laréactivité pouridentifier et corri-

ger les faiblesses decontrôle. Brian Schaaf

explique : « Je ne contestejamais la nécessité de faire appel

à une équipe d'audit interne hautementqualifiée pour obtenir une assurance sup-plémentaire sur le bon fonctionnement denos contrôles ».

Certaines personnes qui quittent la pro-fession ont parfois besoin d'acquérir desconnaissances avant de prendre leursnouvelles fonctions. Gary Gaugler, parexemple, a créé puis dirigé pendant plusde 20 ans le service d'audit interne deVictaulic Co., une société du secteurmanufacturier dont le siège social est

« Quelle que soitla raison pour laquelle

on quitte l’audit interne,le temps passé au sein de laprofession permet d’acquérir

des compétences et uneexpérience précieuses

dans des fonctionsultérieures »

10

INTERNATIONAL


établi à Allentown, en Pennsylvanie.Lorsque la société lui a demandé decréer un nouveau service de fiscalité en2009, il est devenu directeur de la fisca-lité et du développement. Gary Gauglerexplique : « Bien que je ne sois pas experten droit fiscal, je connais très bien les acti-vités et les implantations géographiques dela société. Ainsi, par exemple, si j'examineune déclaration fiscale, je peux détecter leschiffres erronés en effectuant un examen desévolutions et une revue analytique descaractéristiques ». Bien que la courbed'apprentissage ait été rude, GaryGaugler a plus que compensé ce déficitgrâce à son expérience dans l'auditinterne. Et le temps passé à revoir lesprocessus, les procédures et les contrôlesinternes à l'époque où il faisait partie del'audit interne l'a préparé à créer le nou-veau service.

Jody Whitley, contrôleur chez FloridaFruit and Vegetable Association àMaitland en Floride a également étéconfrontée à un déficit de connaissanceslorsqu'elle a quitté la profession d'audit.Elle a passé 24 ans en tant qu’auditriceinterne, principalement dans le secteurbancaire, avant d'évoluer vers ses fonc-tions actuelles. Selon Jody Whitley, « Ilpeut être difficile de sortir de l'audit internepour évoluer vers un poste dans un secteurdifférent de celui dans lequel vous travail-liez. Les opportunités pour se lancer sontmoindres et toute la courbe d'apprentissageest à refaire ».

Auditeur un jour,auditeur toujours ?

Pour certains anciens professionnels,l'audit interne a totalement modifié leurfaçon de penser. Les auditeurs cher-chent souvent des moyens d'améliorerl'entreprise et cet état d'esprit perdurelorsqu'ils évoluent vers d'autres fonc-tions. Jody Whitley, par exemple, déclarequ'elle analyse systématiquement lesproblématiques d'audit interne, même

en dehors de son lieu de travail – lorsd'émissions télévisées, dans les restau-rants et les magasins.

Il en est de même pour Ashley Luft. Entant qu’auditrice, elle a dû examiner desdomaines dont elle ignorait tout. Elleexplique : « Vous devez apprendre à poserdes questions et vous assurer de comprendreles réponses. Lorsque quelque chose paraîtétrange, vous devez continuer les investiga-tions. La capacité à aller dans le détail et àeffectuer des diagnostics devient uneseconde nature ». Elle a également apprisà être d'un optimisme prudent et à exer-cer un scepticisme salutaire. Cetteapproche s'avère particulièrement utiledans ses fonctions financières actuelleslorsqu'elle pose des questions telles que« Quel est le scénario catastrophe ? », « Quese passera-t-il si ce risque se concrétise ? »et « Comment notre entreprise réagirait-ellesi tel événement se produisait ? ».

La réflexion analytique et la sensibilisa-tion aux contrôles, aux processus et àl'évaluation des risques acquises à tra-vers l'audit interne deviennent uneseconde nature. Gary Gaugler indique :« Tout ce que je propose ou que je mets enœuvre est marqué par mon expérience del'audit interne. Je me demande quel seraitle point de vue d'un auditeur objectif ».

Pour Andrew Griffith, la pratique del'audit interne a fait de lui un sceptiqueet il surveille de près les données finan-cières, notamment celles qui concernentson salaire. Il explique : « Dans la quasi-totalité des sociétés dans lesquelles j'ai tra-vaillé, le service paye commet des erreurs,donc je vérifie systématiquement. J'invitemes étudiants à vérifier que les calculs dansleurs fiches de paye sont exacts et qu'ils sontpayés ce qui leur est dû. Et j’ai personnelle-ment détecté des cas où des organismes deprêts étudiants avaient prélevé des intérêtstrop importants, ce que les étudiantsn'avaient pas remarqué ».

Et après ?

Quelle que soit la raison pour laquelleon quitte l'audit interne, le temps passéau sein de la profession permet d'acqué-rir des compétences et une expériencesouvent considérées comme précieusesdans des fonctions ultérieures. L'expo-sition de l'audit interne à toutes lesfacettes de l'entreprise permet d'acqué-rir une compréhension des élémentsporteurs de valeur et des meilleures pra-tiques applicables dans n'importe quelleautre fonction. Un auditeur interne effi-cace maîtrise également des compé-tences techniques et générales telles quela manière de structurer les rapports etle langage de l'entreprise. Pour AshleyLuft : « En fin de compte, vous pouvezeffectuer un travail de qualité et parvenir àdes constats pertinents, mais si vous nesavez pas bien les communiquer et vousfaire comprendre, vous aurez travaillé pourrien ».

Selon Jody Whitley, il faut aussi parfoisêtre sélectif dans les conseils ou les pro-positions de modification des processusopérationnels. « Les recommandations dechangement peuvent être interprétéescomme une critique des processus existants,qui ont été mis en place par quelqu'un. Lacapacité à expliquer de façon positive lesavantages, les efficiences et les probléma-tiques de contrôle, et à convaincre, peutcontribuer à atténuer les frustrations ».

Étant au cœur de l'entreprise et exposéà un large éventail de compétences etd'expériences, l'audit interne peut êtreconsidéré comme un vivier de talents,tant sur le plan du développement decarrière que sur celui de la formation decollaborateurs appelés à devenir desdirigeants.

Article paru dans le numéro de décembre 2012de la revue « Internal Auditor » de l’IIA Global

www.internalauditoronline.org.


IDÉES ET DÉBATS

Al’approche de la parution dunouveau référentiel COSO surle contrôle interne, il convient

de s’interroger sur ce qui change parrapport au référentiel d’origine, bienconnu depuis plus de vingt ans desorganisations de tous secteurs et detoutes tailles qui s’appuient sur celui-cipour la conception, la mise en œuvre etl’évaluation de leur dispositif de contrôleinterne.

Les experts nous donnent un premieraperçu des lignes directrices et de lavaleur apportée par le nouveau référen-tiel dont la prise en compte bénéficieraità toutes les organisations, quelle quesoit leur maturité en matière de contrôleinterne.

Pourquoi devrais-jem’intéresser à cette miseà jour du COSO ?

La première raison est évidente, si votreorganisation y est contrainte par laréglementation. Toute entreprise sou-mise à la réglementation SOX seracontrainte de s’adapter, mais égalementtoutes celles faisant référence au cadreCOSO dans le rapport signé par le pré-sident sur le contrôle interne. Ces der-nières devront, a minima, analyser l’adé-quation de leur dispositif par rapportaux nouveautés du référentiel sur l’en-semble du périmètre réputé couvert parun dispositif conforme aux exigencesCOSO.

La seconde raison est sans doute pluspertinente quant à l’intérêt de cette mise

à jour. Dans de nombreuses organisa-tions, il a été constaté que le contrôleinterne pouvait se traduire par un dis-positif lourd, à bout de souffle et éloignédes enjeux qu’il doit couvrir. De ce fait,les personnes qui en sont responsablespeinent à trouver l’adhésion nécessaireautour du contrôle interne, particulière-ment dans le contexte de crise et restric-tions actuel. La nouvelle édition a étéconçue pour aider les organisations àfaire évoluer leur dispositif en fonctionde l’environnement toujours plus com-plexe dans lequel elles opèrent. Lesorganisations cherchant à renforcer lafiabilité des informations utilisées pourle pilotage et les prises de décision ytrouveront également leur intérêt.

Quelles nouveautés dansla version 2013 du COSO ?

Ceux qui étaient familiers du référentielCOSO retrouveront facilement leursmarques dans la version mise à jour. Lanouvelle édition conserve notamment lamême structure et reprend ainsi la défi-nition du contrôle interne, les cinq com-posantes du contrôle interne et les cri-tères utilisés pour évaluer l'efficacité dessystèmes de contrôle interne. De plus, lenouveau référentiel continue d'insistersur l'importance d’aller au delà de lasimple « check-list » et sur l’importancede l’implication et de l’appropriation parle management.

Pour autant, cette mise à jour apporteplusieurs nouveautés significatives,notamment la synthèse en 17 principesstructurants associés aux différentes

composantes, avec des points d’atten-tion sous-jacents qui permettent de gui-der l’organisation dans l’élaboration oul’évaluation de son dispositif de contrôleinterne.

L’un des principaux contributeurs de lamise à jour du COSO, Catherine Jour-dan, directrice chez PwC1, nous expliqueen quoi la nouvelle édition permet d’ap-porter de la valeur à l’organisation :« Une application intégrée des 17 principesstructurants permet d’assurer un bonciblage des efforts de contrôle interne et leurévolution en phase avec les évolutions del’environnement interne et externe. Parexemple, la mise en place d’un centre de ser-vice partagé présente souvent de nouveauxrisques par rapport aux objectifs opération-nels, de conformité et de reporting, quidemandent une redéfinition des points decontrôle, des flux d’information et du pilo-tage, pour soutenir la prise de décision et ré-aiguiller les activités le cas échéant ». Cetteapproche dynamique axée sur les 17principes confère une meilleure réacti-vité – voire une meilleure anticipation –par rapport aux enjeux de contrôleinterne pour l’organisation.

Les évolutions des environnementsopérationnels et sectoriels sont égale-ment abordées dans cette nouvelle édi-tion. [Un membre du groupe de travailde relecture] souligne qu’« une évolutionimportante réside dans l’élargissement desobjectifs de la communication financière,afin que ces derniers tiennent compte desattentes croissantes en matière de transpa-rence sur les sujets transversaux tels que ledéveloppement durable, l’environnement de

COSO 2013 : Une nouvelleédition du référentiel COSOsur le contrôle interne

12

IDÉES ET DÉBATS


travail, la sécurité, etc. Une seconde évolu-tion bienvenue est la prise en compte del’augmentation du recours aux fournisseursde services externalisés et du besoin d’obte-nir l’assurance nécessaire sur les dispositifsde contrôle interne de leurs tiers. Enfin, leréférentiel met également en avant l'évolu-tion des technologies, les attentes croissantesconcernant le traitement de la fraude et lacomplexité croissante des modèles opéra-tionnels ».

Comment le nouveauréférentiel COSO peut-ilaider mon organisation ?

Le référentiel mis à jour est destiné àaider les organisations à mettre enœuvre ou affiner des dispositifs decontrôle interne qui répondent aux spé-cificités de leur modèle opérationnel, deleur activité, de leur environnementexterne.

L’articulation cohérente du dispositif decontrôle interne soutient une bonne

gestion des risques et une bonne gou-vernance de l’organisation. Selon Jean-Pierre Hottin, associé chez PwC, « unexercice de coordination du contrôle estnécessaire pour qu’une organisation évalueles niveaux de risque acceptables et gère lesrisques, sans pour autant superposer des“couches” de contrôles ». L'applicationd'un référentiel commun à un cadre pluslarge que la seule communication finan-cière, englobant les opérations, laconformité et la communication extrafinancière, diminuerait le nombre delangages différents, de canaux de com-munication et de processus utilisés pourmettre en œuvre et évaluer le contrôleinterne. Jean-Pierre Hottin précise :« c’est la réussite d’une approche coordon-née entre les 3 lignes de maîtrise – ligneopérationnelle, fonctions supports et auditinterne – qui permettra au dispositif decontrôle interne d’être non seulement effi-cace mais aussi efficient ».

Le référentiel COSO a été largementaccepté et utilisé depuis 20 ans – illus-

trant clairement que le contrôle internen'est pas simplement un effet de modemais un outil à haute valeur ajoutéepour le management. L’application élar-gie du contrôle interne à d’autresdomaines tels que la qualité, la respon-sabilité sociétale et environnementale,ou encore la gouvernance, aboutit à unetrame de réflexion commune. Cette har-monisation des méthodes fournit uneplus grande flexibilité à l’organisation,aujourd’hui requise par les transforma-tions internes et externes qu’elle subit.Ainsi, l’application des nouveautés duCOSO 2013 permet la mise en œuvred’un dispositif plus agile, s’alignant enpermanence sur les objectifs de l’orga-nisation et participant activement à l’at-teinte de ces derniers.

1 PwC participe à la révision du référentiel avec leCOSO et à sa traduction en Français avec l’IFACI.


GRANDS PROJETS

Dans le contexte de tensionconcurrentielle, économique etfinancière que nous connais-

sons actuellement, la croissance desgrands groupes industriels repose surleur capacité à développer des projets

créateurs de valeur.Sur la base des expériences acquises cesdernières années, et afin d’assurer leniveau de rentabilité des projets, ilimporte pour le groupe GDF SUEZ demaîtriser non seulement l’ensemble des

risques opérationnels (techniques, envi-ronnement, sécurité, budget, contrac-tualisation…), mais aussi de gérer avecle même soin les relations avec l’ensem-ble des parties prenantes : autoritésconcédantes, co-investisseurs, fournis-seurs, clients, populations locales. Faceà la complexité que revêt la gestion deprojets de construction, les directions dumanagement des risques, du contrôleinterne et de l’audit interne du groupeGDF SUEZ se sont associées pourapporter une offre globale de sécurisa-tion aux directeurs de projets.

Le cycle de vie d’un projetde construction

Dans un premier temps, et afin de don-ner une réponse adaptée, le manage-ment des risques, le contrôle interne etl’audit interne se sont attachés à analy-ser le cycle de vie des projets deconstruction. Il se décompose en troisphases clés au cours desquelles lesrisques majeurs de dysfonctionnementont été identifiés de manière générique :• la phase de Business Development, au

cours de laquelle le projet est défini etcaractérisé selon des hypothèses etdes critères de rentabilité ;

• la phase de construction, qui consisteen la conception détaillée de l’ou-vrage, l’exécution de la constructionen soi, la phase de tests, la mise enservice et le transfert aux opérations ;et

• la clôture du projet au cours des pre-

L’audit des projets deconstruction chez GDF SUEZ :une approche intégrée

Catherine Gouverneur, Conseiller en contrôle interne, groupe GDF SUEZ

Edouard Bucaille, Responsable de portefeuille de missions audit interne, groupeGDF SUEZ

Le contrôle interne de GDF SUEZ tient un rôle central dans la gestion des projets deconstruction. Il prend un caractère préventif en s’intégrant dans le pilotage de l’effi-cacité et de la performance, jouant ainsi pleinement son rôle de deuxième ligne demaîtrise des risques. Dans la continuité du contrôle interne, l’audit interne tient le rôle de troisième lignede maîtrise des risques, en s’assurant que la gouvernance et le contrôle interne sonteffectifs et efficaces.

14

GRANDS PROJETS


miers mois d’exploitation, qui permetde finaliser des détails mineurs del’ouvrage et de capitaliser le retourd’expérience, notamment sur la véra-cité des hypothèses du projet et duscénario économique et financier.

Chaque phase fait appel à un ensembled’acteurs dont les rôles et les missionspeuvent évoluer au cours du projet.

L’analyse par la direction du manage-ment des risques fait apparaître unedizaine de grands risques génériques dedysfonctionnement pour chacun des 5processus clés liés au pilotage d’un pro-jet de construction exposés ci-après.Afin de couvrir ces risques, la directiondu contrôle interne du groupe GDFSUEZ a élaboré deux référentiels : lepremier (STR1 « Gestion des Engage-ments ») vise à s’assurer que les projetsde construction présentés à décisiond’engagement sont en phase avec lastratégie, les besoins et les critères derentabilité du groupe ; le second (IND1« Management de Projets de Construc-tion Industrielle ») s’adresse aux chefsde projet en charge d’assurer l’exécutiondes projets dans les conditions retenueslors de la décision d’engagement.

Le rôle central du contrôleinterne dans la gestiondes projets de construction

GDF SUEZ a axé en priorité ses effortsde contrôle sur les phases amont deBusiness development et de construc-tion car les retours d’expérience mon-trent que la phase d’exploitation repré-sente en général moins d’incertitudeslorsque l’ensemble des étapes liées à ladéfinition du projet et à la phase deconstruction ont été correctement cou-vertes.

Le référentiel IND1 vise à aider les chefsde projets à s’assurer qu’ils respectentles bonnes pratiques et principes fonda-mentaux du groupe pour sécurisertoutes les phases du projet. Il se fondesur une analyse des principales familles

de risques par phases et grandes théma-tiques ainsi que sur le résultat des tra-vaux des communautés de pratiques dugroupe mises en place au sein dugroupe.

Le référentiel IND1 résulte lui-même dela mise en commun des expertises desactivités multiples au sein du groupe, dela comparaison avec nos pairs, desnormes internationales en vigueur, maisaussi des conclusions d’audits sur lesprojets de construction. Il donne lesoutils de maîtrise de ces projets selon 5processus : gouvernance, gestion tech-nique, gestion des coûts, gestion descontrats et des achats, et santé, sécuritéet environnement. Ainsi le dispositif decontrôle interne prend un caractère pré-ventif en s’intégrant dans le pilotage del’efficacité et de la performance : lecontrôle interne de GDF SUEZ jouepleinement son rôle de seconde ligne demaîtrise des risques.

La couverture globalede l’audit Interne

Dans le groupe GDF SUEZ, et dans lacontinuité du contrôle interne, l’auditinterne assure le rôle de troisième lignede maîtrise des risques. Sa mission estde s’assurer que la gouvernance et lecontrôle interne sont effectifs et efficacessur l’ensemble du cycle de vie des pro-jets de construction et qu’ils permettentbien d’atteindre les objectifs poursuivis.En conséquence, il peut être amené àrevoir tous les domaines couverts par leréférentiel de contrôle IND1 sur la phasede construction. L’audit interne inter-vient aussi sur les étapes d’initialisationdu projet et d’exploitation de celui-ci.Ainsi les missions d’audit interne peu-vent porter sur les domaines suivants :• la définition du projet de construc-

tion ;• le transfert de la phase de Business

development à celle de construction ;• le pilotage du projet de construction

dans différentes configurationscontractuelles ;

• la revue de l’organisation du projet ;

Diplômé de Rouen Business Schoolet d'Expertise Comptable, EdouardBucaille est responsable de porte-feuille de missions à l'audit internedu groupe GDF SUEZ depuisseptembre 2008. Il a précédem-ment assuré le commissariat auxcomptes de grands groupes indus-triels et été le directeur exécutifEurope de la gestion des risquesdans un cabinet international d'au-dit externe.

Catherine Gouverneur travailleau sein du Groupe GDF SUEZdepuis 15 ans. Diplômée dans lesdomaines de l'énergie et de l'ingé-nierie gazière à l'Ecole des Mines deNancy et à l'Ecole des Mines deParis, elle a exercé jusqu'à présentdifférentes fonctions de manage-ment opérationnel de structure etde management de projets au seindu métier Infrastructures dugroupe (distribution du gaz, trans-port / acheminement et stockage).Ce faisant elle a choisi d'enrichir sesexpériences opérationnelles pardes passages dans les fonctionscentrales en accompagnant l'exgroupe Gaz de France dans sadémarche de certification des pro-cessus techniques au début desannées 2000 et en développantdepuis 2 ans le programme decontrôle interne du groupe enmatière industrielle.


• la supervision par le management del’ensemble du processus de construc-tion ;

• la préparation de la phase d’exploita-tion et de maintenance ;

• le transfert de la phase de construc-tion à celle d’exploitation.

Outre les référentiels de contrôle interneétablis par le groupe, tels que IND1 etSTR1, l’audit interne s’appuie sur plu-sieurs dispositifs normatifs internes etexternes. Notamment, il travaille dansune optique de conformité avec les pro-cédures spécifiques relatives à la gestionde projets de construction mises enplace par les différentes entités dugroupe, ainsi qu’avec le PMBOK (ProjectManagement Book Of Knowledge –Construction Extension of the ProjectManagement Institute) et le ConstructionAudit Guide : Overview Monitoring &Auditing, publié par l’IIA ResearchFoundation.

Cibler les thématiques d’audit

Les projets de construction exigent l’in-tervention de nombreuses parties pre-

nantes internes et externes : ingénieurs,financiers, juristes, autorités administra-tives, sous-traitants, etc. Ils revêtentdonc une complexité d’organisationparticulière. Aussi, et notamment dansle cas de grands groupes industrielscomme GDF SUEZ, ces projets s’étalentsouvent sur plusieurs années, et sontdonc sujets aux changements decontexte liés à des facteurs endogènes(stratégiques, commerciaux…) et exo-gènes (économiques, financiers, envi-ronnementaux, sociaux, politiques…). Ilconvient donc de déterminer avec pré-cision les thématiques qui seront cou-vertes lors de la préparation de la mis-sion d’audit. En effet, il convient d’adap-ter les objectifs de la mission àl’environnement dans lequel se situe leprojet et aux perspectives que souhaitelui donner la direction générale.

L’audit de projets de construction chezGDF SUEZ couvre un ou plusieursthèmes parmi les suivants, en fonctiondu degré d’avancement de ceux-ci :• la revue de la gestion contractuelle du

projet : revue juridique des contrats,des réclamations ;

• la gestion des partenariats : co-inves-tisseurs, concédants, clients, sous-trai-tants… ;

• l’analyse technique du projet ;• la rentabilité du projet : financement,

retour sur investissement ;• les dispositions environnementales,

sociales et de sécurité autour du pro-jet ;

• la gestion de l’évolution du projet :pilotage, modification du cahier descharges, retards… ;

• la commercialisation du projet : posi-tionnement marketing, vente de laproduction ;

• l’exploitation des retours d’expériencesur le projet ;

• la gestion des imprévus : incidents etaccidents, gestion de crise.

Compte tenu du nombre de sujets enjeu, un auditeur peut être un expertmétier sur un domaine particulier, maisne peut afficher une expertise de réfé-rence sur tous les domaines à la fois.

Aussi, les thématiques abordées et dili-gences requises sont fortement liées àl’état d’avancement du projet étudié. Il

Extension du barrage hydraulique de Jirau au Brésil

16

GRANDS PROJETS


convient donc, pour l’auditeur en chargede la revue de projets de construction,qu’il suive a minima un certain nombrede principes de base : connaître la chro-nologie des grandes phases du projet,leurs livrables et objectifs principauxpuis faire preuve de bon sens et savoirréagir efficacement en fonction des cir-constances. Ainsi, l’auditeur est enmesure de mieux percevoir les risquesliés au projet tel qu’il est structuré et

d’évaluer l’efficacité des mesures decontrôle mises en œuvre pour maîtriserces risques. A partir de ces principes debase, l’auditeur interne adaptera ses dili-gences en fonction des particularités duprojet et de son contexte.

Quand auditer un projet ?

Un projet de construction peut s’auditer,soit lorsqu’il est terminé, selon une

approche a posteriori, soit aux diffé-rentes étapes de son développement.

• A posteriori, tous les éléments consti-tutifs du projet sont connus et dispo-nibles, l’auditeur interne peut plusfacilement adopter une approche glo-balisée du projet et bénéficier desretours d’expérience sur le projet. Cetype d’audit est constitutif d’une bou-cle d’apprentissage importante dansla gestion des projets de construction.

• En cours de réalisation, les éventuelsdysfonctionnements peuvent être cor-rigés – à moindre coût – avant qu’il nesoit trop tard ; il est aussi important devérifier que les bonnes pratiques degestion de projet sont bien appli-quées. Ainsi, ce type d’audit permetune implication plus opérationnelledans la gestion des projets deconstruction pour une améliorationen temps réel des processus mis enœuvre par les équipes projet.

Chaque méthode d’audit a ses particu-larités et est adoptée en fonction desobjectifs de l’audit et des circonstances.De fait, il n’existe pas de moment plusou moins adapté pour procéder à l’auditde projets de construction, car chaqueméthode suit une philosophie propre etune logique spécifique. L’audit de cesprojets s’effectue lorsque les événe-ments le requièrent, un même projetpeut d’ailleurs être audité à plusieursreprises et un programme de construc-tion peut être revu à différents stades deson avancement en fonction des événe-ments : le bon moment pour procéder àcette démarche relève de l’expérience etdu jugement professionnels de l’audi-teur.

La combinaison des démarches demanagement des risques, de contrôleinterne et d’audit interne constitue unfacteur majeur de succès pour optimiserla gestion des projets de construction.

Centrale électrique de ChilcaUno au Pérou


DOSSIER

La gestion desressources humainesUn levier de la performance des servicesd’audit et de contrôle internes

Evolution et transformation d’une équipe d’auditJean-Denis Malpelet

25

Les ressources humaines de l’audit et du contrôleinternes : Panorama du contexte françaisJulie Ferré

18

Auditeur, une étape positive pour construire son plande carrièreFlorence Vincent

28

Constituer et gérer une équipe d’audit et de contrôleinternes dans une collectivité territorialeYannis Wendling

33

Le professionnalisme des auditeurs conditionneétroitement l’essor de l’audit interne au sein desministèresHervé Toro

21

18

DOSSIER


Les ressources humaines del’audit et du contrôle internes :Panorama du contexte français

Les responsables d’audit interneet/ou de contrôle interne doiventgérer leurs ressources humaines

afin d’apporter de la valeur à leur orga-nisation. Cet objectif primordial est ainsiun des principes du Code de déontolo-gie de l’audit interne, et un élément dela composante « environnement decontrôle » du COSO.

L’IFACI a réalisé une enquête en 2012sur les métiers de l’audit et du contrôleinternes, en partenariat avec le cabinetde recrutement Robert Half, dans le pro-longement de celle réalisée en 2008. Lesrésultats de cette enquête présentés ci-après montrent que l’audit et le contrôleinternes sont notamment des métiers :• en voie de professionnalisation,• dynamiques, qui recrutent, • attractifs, une prépondérance donnée

à d’autres facteurs de motivation quela rémunération.

Les ressources humainesdu contrôle interne

Qui est-il ?

La fonction de contrôle interne a pourobjectif de développer le dispositif decontrôle interne, le promouvoir et pilo-ter sa mise en œuvre dans l’ensemble del’organisation. Afin de remplir ses mis-sions, le contrôleur interne doit avoircertaines compétences.

Ses premières compétences, le contrô-leur interne les acquiert au cours de sesétudes. Selon l’enquête IFACI / RobertHalf réalisée en 20121, près de 90 % desrépondants du contrôle interne ont un

niveau d’étude BAC+5, notammentdans la filière économie, finance, gestion(63%). En ce sens, le contrôleur internepossède des connaissances2 qui lui per-mettent de modéliser des processus,d’analyser et d’évaluer des risques, demaîtriser les outils d’analyse de donnéeset de gérer les projets. Ces connais-sances s’appuieront sur des savoir-fairetels que savoir définir et fixer des objec-tifs, définir des indicateurs de pilotage,animer un réseau, être pédagogue ouencore évaluer l’efficacité des contrôles.Le contrôleur interne acquiert égale-ment ses savoir-faire grâce à son expé-rience. Ainsi, selon l’enquête IFACI /Robert Half, les répondants ont exercéprincipalement des fonctions au sein dedirections opérationnelles (39%) ou ausein de directions financières (32%).

Quelles sont ses motivations ?

Les motivations du contrôleur interneont évolué. En 2008, la collaborationavec les dirigeants (61%) et l’autonomie(53%) étaient les principaux facteurs demotivations cités par les contrôleursinternes. En 2012, ces facteurs ont étémoins cités (respectivement 19% et24%), puisque les contrôleurs internessont fortement motivés par la vision glo-bale qu’ils ont de leur entreprise et ladiversité des sujets abordés.

Julie Ferré -Chargée de projets Recherche, IFACI

De l’enquête réalisée en 2012, il ressort que l’on exige de plus en plus de compétencescomportementales et techniques tant de la part des auditeurs internes que descontrôleurs internes.Les motivations des uns et des autres ont également évolué : une vision globale del’entreprise, une diversité des sujets abordés, c’est une demande des contrôleursinternes ; une bonne gestion de la crise, la pertinence des recommandations, lacapacité à anticiper les risques – mais également une vision globale de l’organisa-tion et la diversité des sujets traités, c’est ce que recherchent les auditeurs internes.Ces exigences ne vont pas sans créer des difficultés de recrutement, car les profilsrecherchés sont rares sur le marché.

19

La gestion des ressources humaines

avril-mai 2013 - Audit & Contrôle internes n°214

Par la suite, le contrôleur interne peutfaire reconnaître son expérience grâce àla certification professionnelle. Cepen-dant, les certifications actuelles recon-naissent principalement les connais-sances et l’expérience en audit interne.C’est pourquoi, l’enquête IFACI / RobertHalf a montré qu’un contrôleur internesur deux envisage d’obtenir la certifica-tion professionnelle CIA, spécifique aumétier de l’audit interne.

Toutefois, depuis janvier 2012, l’IIA adéveloppé une nouvelle certificationdans le domaine de l’évaluation de lagestion des risques (CRMA – Certifica-tion in Risk Management Assurance).Cette certification permet de reconnaîtreles principes élémentaires du manage-ment des risques, la théorie et les pra-tiques de contrôle, les objectifs opéra-tionnels et la performance organisation-nelle. C’est ainsi que 28% descontrôleurs internes envisagent de pré-parer cette certification et donc de seprofessionnaliser. Cette tendance seconfirme avec le souhait d’évolution ausein de son métier (23% des répondantssouhaitent rester dans le contrôleinterne).

Comment gérer son départ ?

En 2012, 70% ont indiqué leur souhaitd’évoluer à moyen terme. Lorsque lecontrôleur interne évolue à l’extérieur deson organisation, il reste dans sonmétier (39%) ou il se tourne vers lemanagement des risques (18%). Et,lorsqu’il évolue au sein de la mêmeorganisation, évoluer dans son métierreste le premier choix (23%) même si lespossibilités d’évolution au sein de sonorganisation sont variées. Ainsi, de parses liens réguliers avec l’ensemble del’organisation, le contrôleur interne peutse diriger vers des fonctions dans lesdirections opérationnelles (21%), lemanagement des risques (21%), lesdirections support (16%) ou la directioncomptable et financière (16%).

Si les contrôleurs internes ont la possi-bilité d’évoluer dans d’autres directionsde l’organisation, c’est inversement lecas pour les recrutements. En effet, lesresponsables du contrôle interne recru-tent principalement en interne (54%recrutent plus de la moitié de leurseffectifs en interne). Les responsables ducontrôle interne interrogés dans cetteenquête évoquent des difficultés de

recrutement compte tenu de la rareté duprofil recherché (58%).

Les ressources humaines del’audit interne (enquête Robert Half2012, CBOK 2011)

Qui est-il ?

Les auditeurs internes ont une forma-tion initiale Bac + 5, majoritairement(62%) en Finance, Economie, Gestion.Au-delà de ces acquis, l’auditeur internedoit être indépendant, objectif, avoir unesprit d’équipe, savoir communiquer etposséder un jugement professionnel.Au-delà de ces compétences comporte-mentales3, la connaissance des systèmesd’information est une compétence tech-nique et un savoir-faire recherchés. Deplus, les connaissances techniques tellesque savoir extraire et analyser des don-nées (90% des répondants) ou l’échan-tillonnage statistique (85%) sont lesprincipaux outils des auditeurs internespour émettre des recommandationspertinentes, ce qui valorise l’apport del’audit interne auprès des audités.L’auditeur interne a une expérience pro-fessionnelle antérieure (99% des répon-dants de l’enquête IFACI / Robert Half).

Audit interne

Contrôle interne

Visionglobale

83%

70%

Diversitédes sujets

50%50%

Tremplin

19%

30%

Collaborationdirigeants

19%22%

Autonomie

24%

16%

Perspectivesinternationales

5%11%

Rémunération

0%2%

Les principaux facteurs de motivation par métier

Résultats de l’enquête 2012 – IFACI / Robert Half – Les métiers de l’audit et du contrôle internes

20

DOSSIER


Cette expérience professionnelle s’estforgée au sein d’une direction opéra-tionnelle (36%), d’une direction finan-cière (25%). 23% des auditeurs internesont précisé avoir une expérience enaudit externe.

Quelles sont ses motivations ?

En 2008, l’auditeur interne considéraitson métier principalement comme untremplin (69%) vers d’autres fonctions.Un an après4, les responsables de l’auditinterne définissaient la valeur ajoutée deleur activité par une bonne gestion de lacrise, la pertinence des recommanda-tions émises ainsi que la capacité à anti-ciper les risques. De ce fait, les motiva-tions de l’auditeur interne aujourd’huisont d’avoir une vision globale de l’or-ganisation (70%) et d’avoir une diversitédes sujets (50%) dans leur activité. L’au-dit interne étant considéré comme unaccélérateur de carrière, un auditeurinterne sur 3 voit également son métiercomme un tremplin. Ce tremplin peutêtre en interne, car 36% des répondantsévoluent dans une direction opération-nelle de son organisation.

Toutefois, l’audit interne peut être éga-lement un tremplin pour évoluer dansson métier en interne (20%) mais sur-tout dans une autre organisation (44%).Afin de faire reconnaître son expertiseprofessionnelle, l’auditeur internepourra obtenir une certification profes-sionnelle en audit interne : près d’unauditeur sur deux possède le CIA (76%envisagent de le passer) et un auditeursur quatre possède le DPAI (25% envi-sagent de passer la certification del’IFACI).

Comment gérer son départ ?

Plus d’un tiers des responsables de l’au-dit interne ont des difficultés pour recru-ter, car pour 57% d’entre eux le profilrecherché est rare sur le marché.Le responsable de l’audit interne utiliseles cabinets de recrutement spécialisés(30%), et, dans une moindre mesure,recrute en interne (58% recrutent moinsde la moitié de leurs effectifs en interne).Cependant, ces pratiques de recrute-ment diffèrent selon le secteur d’activi-tés de l’organisation. Les secteurs public,d’assurance et de banque recrutent àl’inverse davantage en interne.

* **

Les professionnels de l’audit et ducontrôle internes ont des profils iden-tiques dans leur formation initiale etsouhaitent se professionnaliser dansleur métier respectif. Les fonctions anté-rieures exercées et les motivations pourleur métier montrent un fort dynamismedes auditeurs et contrôleurs internes.Les responsables de service ont ainsi lechoix de recruter des profils ayant uneexpérience dans des fonctions opéra-tionnelles et des profils ayant une exper-tise dans les métiers de l’audit et ducontrôle internes. Grâce à cette mixité,de plus en plus d’équipes d’audit interneou de contrôle interne ont les compé-tences adéquates pour remplir leur mis-sion et ainsi apporter de la valeur à leurorganisation.

Industrie

Commerceet services

Banque

Assurance

moins de 25%

Secteur public 32% 42%

entre 26 et 50% entre 51 et 75% entre 76 et 100%

10%16%

45% 18% 11% 26%

59% 24% 12% 5%

33% 11% 26% 30%

25% 13% 20% 42%

Population de l’audit interne issue de la mobilité interne selon le secteur d’activité

Résultats de l’enquête 2012 – IFACI / Robert Half – Les métiers de l’audit et du contrôle internes

1 Enquête Les métiers de l’audit et du contrôleinternes, IFACI / Robert Half, 2012

2 Fiches métiers « Responsable du contrôleinterne » et « contrôleur interne métiers », IFACI,2013

3 Enquête Common Body Of Knowledge –IIA/IFACI, 2011

4 Enquête – Les pratiques de l’audit et du contrôleinternes en France en 2009 – IFACI, 2010

21



laquelle les inspections et conseils géné-raux sont prédisposés à l’exercice desfonctions d’auditeur interne.

Les règles de déontologie, en particulierl’indépendance et l’objectivité des audi-teurs constituent en outre une exigencecommune, quel que soit le type de mis-sion.

Les constats, les recommandations, nedoivent pas être entachés d’un quel-conque défaut d’indépendance ou d’ob-jectivité susceptible de mettre en causela crédibilité des auditeurs ou inspec-teurs, et par conséquent des produc-tions.

Cet enjeu réel, commun à toutes lesmissions du Conseil général de l’envi-ronnement et du développement dura-ble (CGEDD), l’a conduit il y a quelquessemaines, outre la charte de l’audit

interne qui régit les rapports entre audi-tés et auditeurs, spécifique à l’auditinterne, à mettre en œuvre une charte dedéontologie commune à toutes les mis-sions, y compris les inspections. Cettecharte de déontologie va plus loin queles exigences posées par les normesd’audit, par exemple en formalisant unedéclaration individuelle d’intérêt.

Quelles sont les singularitésde l’audit pour les agentsmissionnés par rapport auxautres missions remplies parle Conseil général ?

Le CGEDD exerce trois types de mis-sions principales : • des missions de contrôle qui regrou-pent l’inspection, l’audit, et desenquêtes administratives,

• des missions d’expertise et de conseil, • des missions d’évaluation.

L’audit interne et l’inspectionont-ils des points communspour les agents en charge deces missions ?

L’inspection et l’audit sont des activitésde contrôle exercées par des agents dehaut niveau qui n’exercent pas de fonc-tion opérationnelle. C’est la raison pour

Le comité de modernisation des politiques publiques a prévu la mise en place destructures formelles d’audit interne au sein des départements ministériels et le déve-loppement de l’audit et du contrôle interne au sein de l’administration. Depuis 2006,la montée en puissance de l’audit interne a été facilitée par les exigences de la LOLF.L’objectif primordial est de disposer d’auditeurs qualifiés, au sens des exigences pro-fessionnelles, pour la totalité des agents ayant à réaliser des missions d’audit.

Hervé Toro

Inspecteur général de l’administrationdu développement durable, Chef de lamission ministérielle d’audit internepour le ministère de l’écologie, dudéveloppement durable et de l’énergie(MEDDE), et le ministère de l’égalité desterritoires et du logement (METL)

Le professionnalismedes auditeurs conditionneétroitement l’essor de l’auditinterne au sein des ministères

22

DOSSIER


L’audit est une activité normée

Les particularités résultent du fait qu’ils’agit d’une activité qui est normée auplan mondial, contrairement aux autresmissions qui ne le sont pas. Les exi-gences posées par ces normes relèventselon le cas d’obligations ou de simplesrecommandations.

Professionnalisme, méthodologie etévaluation externe

Les principales exigences concernent demanière très synthétique :• le professionnalisme des auditeurs quidoivent avoir suivi une ou plusieursformations appropriées,

• l’utilisation d’une méthodologie adhoc qui ne s’improvise pas,

• et l’évaluation externe périodique del’audit interne, quant au respect effec-tif des exigences édictées par lesnormes.

Quel est l’état des lieux enmatière d’audit interne ?

Le comité de modernisation des poli-tiques publiques du 30 juin 2010 a prévula mise en place de structures formellesd’audit interne au sein des départe-ments ministériels, et de développerl’audit et le contrôle internes au sein del’administration.

Cette décision a donné lieu à un décreten date du 28 juin 2011 précisé par cir-culaire du premier ministre du 30 juin2011. Chacun des ministères a dû struc-turer sa politique d’audit interne autourde deux nouvelles instances : un comitéministériel d’audit interne présidé parle ministre et une mission ministé-rielle d’audit interne rattachée auConseil général du développementdurable. Pour le MEDDE et le METL, cesdeux instances ont été créées le 6 janvier2012 par arrêté de la ministre de l'éco-logie, du développement durable, destransports et du logement. Le comitéministériel est présidé par les deuxministres. Le champ des missions esttrès large puisqu’il concerne : l’écologie,le développement durable, l’énergie,l’égalité des territoires, le logement,mais aussi les transports, la mer, et laville.

La part prépondérante de l’audit dansla programmation 2013

La part relative de l’audit au sein de l’ac-tivité CGEDD progresse de manière trèsimportante depuis 5 à 6 ans. Elle repré-sentait moins de 10% du programmeannuel en 2006 alors que pour la pro-grammation 2013 elle représentera unepart prépondérante de 35% (30%pour les conseils et expertises, 20% pourl’inspection et 15% pour l’évaluation).

Les raisons de cette évolution

Cette évolution résulte de trois facteursprincipaux :

• Depuis 2006, la montée en puissancede l’audit interne a été facilitée par lesexigences posées par la loi organiquerelative aux lois de finances (LOLF),par l’implication du collège gestionadministrative, financière, régularité,en particulier de son coordonnateurJean-Claude Diquet, et par le rôledévolu à la Cour des comptes en tantque certificateur des comptes del’Etat. Le champ des audits internesau sens strict était alors limité auseul périmètre des risques finan-ciers et comptables. Cependant lamatérialisation d’une cartographiedes risques comptables et financierspar le secrétariat général, d’une part,et la signature d’un protocole en 2010entre la Cour des comptes et leCGEDD, d’autre part, ont permisd’accélérer cette évolution.

• Parallèlement au guide spécialisé duCGEDD relatif aux audits comptables,ont été progressivement rédigés etmis en œuvre des guides spécialisésspécifiques à certains risques« métiers ». Il s’agit :- de l’audit de programme ;- de l’audit des organismes sous latutelle ou le contrôle du ministère ;

- de l’audit de la mise en œuvre de lapolitique de prévention des risquesnaturels et hydrauliques ;

- de l’audit de la mise en œuvre despolitiques de l'eau et de la biodiver-sité ;

- de l’audit des parcs nationaux.

• Enfin une action de formation spéci-fique à l’audit a été initiée depuis plusde deux ans à l’attention des cadresdu CGEDD pratiquant des audits« métiers », afin de se rapprocherautant que faire se peut des exigencesédictées par les normes, y compris par

Après de multiples expériences ycompris techniques, dans l’arméede l’air, à la délégation généralepour l’armement, à la Cour descomptes, et à la direction généralede l’aviation civile, en particulier enmatière de contrôle de gestion,d’audit, et de finances, Hervé Toroa été nommé inspecteur général del’administration du développementdurable en août 2011 et responsa-ble ministériel de l’audit interne enfévrier 2012. Il est diplômé entreautres d’un DESS de droit desentreprises commerciales, d’unexecutive MBA et de l’école supé-rieure d’administration de l’arme-ment.

23



l’animation de séminaires internes desensibilisation.

Quelles sont les évolutionsattendues en matière deprofessionnalisation à courtet moyen terme ?

Les évolutions attendues portent prin-cipalement sur la méthodologie, le pro-fessionnalisme des auditeurs et l’évalua-tion externe de l’audit interne. Cetteévaluation externe sera dans un premier

temps limitée au périmètre des auditscomptables et financiers.

Par ailleurs, un programme de travailmené en liaison avec le secrétariat géné-ral vise à déterminer un état des lieuxexhaustif des risques potentiels, de toutenature, pour la fin de cette année.

La méthodologie

Les guides d’audit du CGEDD ont étérédigés par des auditeurs qualifiés pra-

tiquant l’audit depuis plus de cinq anssur les audits financiers. Ils sont en coursd’actualisation depuis trois mois pour :• d’une part, les mettre en adéquationavec le guide méthodologique relatifau dispositif qualité de mai 2012 s’ap-pliquant à toutes les missions duConseil ;

• d’autre part, les améliorer au regarddes risques spécifiques, de prépara-tion, de la conduite, et de l’exécutiondes missions, de la communication,du suivi des recommandations et duplan d’action éventuel. Des annexesintégrant des modèles faciliteront letravail des auditeurs. Ces mises à jourseront terminées pour le mois de juin2013. Un nouveau guide relatif à l’au-dit de la mise en œuvre de la politiquede prévention des risques naturels etanthropiques sera enfin élaboré pourle mois de juin 2013.

Le professionnalisme des auditeurs estle principal vecteur d’amélioration despratiques

La pratique de l’audit interne exige desauditeurs qualifiés, c'est-à-dire ayantsuivi des formations spécifiques à l’auditet aux missions à conduire.

La totalité des auditeurs du CGEDDpratiquant des audits financiers etcomptables (20 environ) ont suivi desformations à l’audit, dont 9 personnesdiplômées (ou en formation) du CertifiedInternal Auditor (CIA) ou du masterCour des comptes – Université Paris XAuditeur en organisations publiques.Les autres ont suivi des modules de for-mation spécifiques animés par l’IFACIou la mission nationale d’audit de laDGFiP.

Ce professionnalisme des auditeurss’étend depuis deux ans progressive-ment aux auditeurs (environ 80) réali-sant des audits métiers. Des actions deformation de sensibilisation à l’auditsont animées par la 6ème section du

Tour

PASC

AL

24

DOSSIER


Conseil général à l’attention des mis-sions d’inspection générale territorialeet des autres sections du CGEDD. Desformations externes, y compris diplô-mantes, au profit des agents appelés àpratiquer ce type de mission sont égale-ment réalisées.

En outre le recrutement d’agents endébut et milieu de carrière permetdepuis deux ans de réellement favoriserla pratique de l’audit. Cette orientationnouvelle aura en outre un effet de leviersur l’amélioration du contrôle internedes directions et services opérationnelset une meilleure maîtrise des risques,puisque ces auditeurs, après une forma-tion et une pratique de 3 à 5 années del’audit, iront exercer des activités opéra-tionnelles.

L’objectif à long terme est bien de dis-poser d’auditeurs qualifiés au sens desexigences professionnelles, pour la tota-lité des agents ayant à réaliser des mis-sions d’audit. L’effort de formation,coordonné avec la 7ème section du

Conseil général sera donc poursuivi afind’atteindre cet objectif. Il est égalementhautement probable que l’impact destravaux du Comité d’harmonisation del’audit interne (CHAI) présidé par laministre chargée de la réforme de l’Etat,sera très bénéfique en particulier quantà l’amélioration de la pratique des auditsmétiers.

L’évaluation externe de l’audit interne

L’audit interne doit faire l’objet périodi-quement d’une évaluation externe.L’IFACI a réalisé un audit à blanc de cer-tification des audits internes comptablesdu Conseil général fin 2012 ; l’audit réelest prévu pour 2013.

Le rapport mentionne de nombreuxpoints forts concernant notre profes-sionnalisme et nos pratiques, en parti-culier :• la structuration progressive de ladémarche ;

• la motivation et l’engagement dumanagement général et des équipes

chargées de l’animation des activitésd’audit interne ;

• la coordination d’audit (Cour descomptes, Mission nationale d’audit(MNA/ DGFiP), Service des affairesfinancière (SAF/SG) ;

• la mise en place de référentiels ;• l’effort de formation.

Seules trois non conformités impor-tantes sont à corriger avant de pouvoirobtenir la certification externe visée fin2013 :• le comité d’audit doit disposer deséléments qui lui permettraient de sepositionner par rapport à la notiond’acceptation de risque ;

• la gouvernance de l’audit interne doitêtre améliorée ;

• la programmation doit être fondée surune analyse des risques.

Le Conseil général met tout en œuvrepour réduire ces trois écarts d’ici la finde l’année 2013.

Le « Manuel d’Audit Interne - Améliorer l’efficacité de la gouvernance, du contrôle interneet du management des risques » est l’ouvrage international de référence sur le métierd’auditeur interne. Élaboré sous l’égide de la fondation pour la recherche de l’IIA, il est lefruit de la collaboration de trois professeurs et de quatre praticiens. Son adaptation auxcontextes européen et français a été réalisée par des universitaires et praticiens françaisréunis par l’IFACI, ce qui en fait l’outil idéal pour les auditeurs internes, les étudiants enaudit interne et leurs enseignants.

Ce manuel est organisé en deux sections : « concepts fondamentaux de l’audit interne »et « conduire une mission d’audit interne ». Il reflète les dernières évolutions de la profession,en particulier dans les domaines suivants : normes internationales de l’audit interne ; gouvernance, contrôle interne et management des risques ; éléments clés liés aux systèmes d’information et références aux guides GTAG et GAIT

diffusés par l’IIA et par l’IFACI ; risques de fraude ; missions de conseil.

La première édition de ce manuel a été adoptée par de nombreux pays de par le monde.Cette adaptation française de la seconde version ajoutera encore à ce succès et contribueraefficacement à la formation des étudiants et à la professionnalisation des auditeurs internes.

Manuel d’audit interne

Pour commander le manuel, rendez-vous sur le site Internet de l’IFACI : www.ifaci.com

25



que nous sommes – je dois donc êtreattentif à la présence de cette compé-tence chez certains des auditeurs… et ausein de notre vivier.

Pour faciliter l’alimentation du vivier,l’image de l’audit, école naturelle d’ex-cellence, est à travailler sur un mode trèsmarketing. Vu la qualité des outils, desméthodes et des effectifs en place, cen’est pas le plus difficile mais celaimplique une communication régulièresur nos activités.

Le reste de ce qui fait un recrutementréussi reste très important mais rejointles bases communes et n’est pas propreà l’audit : collaboration étroite avec lesressources humaines, processus d’entre-tiens construit et transparent, clarté deséchanges…

A&CI : Un recrutement seulement internene vous pose-t-il pas des problèmes pourcertains profils ?

J.-D. M. : Je ne vous cache pas que c’estun point sur lequel j’avais quelquesréserves à mon arrivée, il y a presque 3

Revue « Audit & Contrôle internes » :La gestion des ressources humaines com-mence par le recrutement, comment gérez-vous cette étape clef pour recruter des colla-borateurs compétents ?

Jean-Denis Malpelet : Le recrutementest effectivement un moment des plusimportants. Et même essentiel pourconstruire l’évolution et la transforma-tion d’une équipe d’audit. A l’auditd’Allianz France, nous privilégionsaujourd’hui les recrutements internes.C’est un choix structurant qui oblige àanticiper à travers plusieurs actions. Unpoint clef est de construire puis de gérerun vivier de collaborateurs qui ont, unjour, marqué leur intérêt pour l’audit. Enplus des compétences et du comporte-mental qui forment le socle minimumpour exercer le métier d’auditeur, on vaaussi rechercher, au moment du recru-tement, des compétences métiers qu’ilest nécessaire de développer au sein dela direction. Par exemple, l’audit interned’Allianz France ne peut pas se permet-tre de manquer au global de compé-tences actuarielles – c’est un point clefpour les professionnels de l’assurance

A l’audit d’Allianz France, le recrutement des collaborateurs est une étape clé. Nousprivilégions les recrutements internes et, en cas de besoin de compétences très poin-tues, nous faisons appel à des spécialistes. Nous investissons beaucoup dans la for-mation ; nous évaluons nos collaborateurs très régulièrement, selon un système quipermet de construire individuellement les évolutions et donc collectivement l’évo-lution de l’audit.

Jean-Denis Malpelet

Responsable de l’audit, Allianz France

Evolution et transformationd’une équipe d’audit

Jean-Denis Malpelet est respon-sable de l’audit d’Allianz Francedepuis septembre 2010. Ingénieur des Mines, actuaire, iltravaille depuis plus de 20 ans chezAllianz. Son parcours varié a com-mencé à la gestion du personnelcommercial et au contrôle de ges-tion. Ensuite, la direction des res-sources humaines du réseau com-mercial puis la responsabilité com-merciale d’une région ont précédéson retour à la direction marketingd’Allianz au moment du change-ment de marque d’AGF vers Allianz.

26

DOSSIER


ans. Dans les faits, la richesse des res-sources internes d’Allianz France a tou-jours permis jusqu’ici, de trouver le profilrecherché. De toute manière, lorsquel’on recherche des compétences trèspointues, comme par exemple lesrisques opérationnels liés aux donnéesinformatiques ou les risques liés à la sol-vabilité, il est préférable de faire appel àdes spécialistes. Chez Allianz, ces spé-cialistes peuvent, le plus souvent, setrouver en interne. L’appartenance à ungrand groupe international permet detrouver facilement des spécialistes enprovenance d’autres filiales en France oudans d’autres pays. Nous pouvons aussiponctuellement faire appel à une pres-tation d’audit externe.

Le CIA comme motivationà moyen terme

A&CI : Une fois le recrutement effectué,que développez-vous pour l’intégration ?

J.-D. M. : Même si nous avons chezAllianz une discipline de coût stricte, laformation, et plus particulièrement, laformation initiale, est un point sur lequelnous n’hésitons pas à investir. Nousnous appuyons sur un ensemble com-plet d’outils et de méthodes tant eninterne, avec l’appui des auditeursseniors, des responsables de mission,qu’en externe avec la formation IFACI.La qualité de cette intégration, gaged’une base solide, nous permet d’êtreambitieux sur l’évolution de notre audit.Le plus important, au-delà du contenudu parcours initial de formation, est, àcourt et à moyen terme, de créer et d’en-tretenir la motivation à apprendre. Acourt terme, c’est la participation immé-diate et opérationnelle à des missionsd’audit. A moyen terme, c’est la volontéde décrocher la certification CIA ouCISA. Tous les recrutements se font aveccet engagement d’aller vers l’excellencereconnue pour cette fonction.Notre mode de fonctionnement favoriseune intégration rapide. Nos missions

d’audit durent environ deux à trois mois.Au terme de chaque mission, l’auditeurrécent va pouvoir bénéficier de l’exper-tise d’un responsable de mission diffé-rent. C’est à la fois exigeant, motivant ettrès favorable à une bonne intégration.

Une évaluation très régulière

A&CI : Comment les évaluer ?

J.-D. M. : Comment ? Je dirai, pourrépondre par une boutade… souvent.Chez Allianz, nous pratiquons un rota-tionnel fort dans les affectations de mis-sions. Cela se traduit pour les auditeurs,d’une part par des participations à desmissions variées, mais aussi, d’autrepart, par des rattachements à plusieursresponsables de missions. Notre organi-sation simplifiée (Cf. schéma ci-des-sous) permet bien cela.

Chaque directeur de missions a la res-ponsabilité hiérarchique d’un ensembled’auditeurs. Chacun de ses auditeurs estaffecté, à chaque cycle d’audit, à unemission d‘audit conduite par un respon-sable de mission qui peut être un direc-teur de mission ou un chef de mission(en bleu sur le schéma). Au terme dechaque mission, une évaluation formelleet partagée avec l’auditeur est réalisée.

C’est naturel et cela permet de donnerun feed-back construit et bienveillant surle travail d’audit. Une évaluation simi-laire, sur des critères différents bien sûr,se fait par le superviseur pour le chef demission. Nous avons également mis enplace une démarche assez originale defeed-back anonyme de l’auditeur vers leresponsable de la mission. Presque un360° en continu pour les responsablesde mission en quelque sorte. L’ensemblede ces processus d’évaluations servent àaméliorer nos procédures sans se subs-tituer pour autant aux moments d’éva-luations récurrents qui sont des repèrespour tous chez Allianz. C’est une éva-luation forte et claire qui permet deconstruire individuellement les évolu-tions et donc collectivement l’évolutionde l’audit.

A&CI : Comment faire évoluer les audi-teurs ?

J.-D. M. :Une fois terminée la formationinitiale, nous devons prendre encompte, de manière très attentive, lesdifférents profils d’auditeurs. L’évolutionva d’abord se traduire par une maîtrisedes techniques d’audit, la capacité à lesmettre en œuvre de manière autonome,à contribuer à des phases plus en amontde la mission comme la construction de

Directeur de l’Audit

Directeur de mission D1 Directeur de mission D2

Auditeur A

Auditeur B

Auditeur C

Auditeur D

Auditeur E

Auditeur H

Auditeur I

Auditeur J

Auditeur N

Auditeur Q

Auditeur R

Chef de mission C1

Chef de mission C3

Auditeur G

Auditeur L

Auditeur P

Auditeur F

Auditeur O

Auditeur K Chef de mission C4

Chef de mission C5

Chef de mission C2 Auditeur M

Directeur de mission D3

Exemple de constitution d’équipe d’audit

Mission 1 : Responsable de la mission C3, Auditeurs dans l’équipe A et G, Superviseur D2 Mission 2 : Responsable de la mission C4, Auditeurs dans l’équipe B, J et N, Superviseur D3

Auditeurs assumant des missions transverses à la Direction

27



parties du programme de travail ou bienla responsabilité du suivi de mise enœuvre de recommandations.

Ensuite, selon les profils, des responsa-bilités peuvent être assumées sur desfonctions transverses à la direction. Parexemple, certains contribuent à la main-tenance régulière de notre univers d’au-dit.

Une autre piste existe aussi, rendue pos-sible par notre appartenance au grandgroupe international qu’est Allianz. Cer-tains auditeurs peuvent être amenés àconduire des missions à l’étranger. Lamaîtrise de la langue, principalementanglaise, doit alors être suffisante pourpermettre une collaboration en milieuinternational. La limite de l’exercice est,bien sûr, le coût induit par les transportset l’hébergement, mais cela reste extrê-mement profitable. Le fait que nousopérons comme une seule et mêmefonction au sein du groupe Allianz, avecplus de 600 auditeurs, ouvre naturelle-ment ce type de possibilité.

Une autre piste d’évolution que nousavons ouverte récemment est de confierà des auditeurs seniors des missions deA à Z. Cela permet à la fois de leur don-ner des moments de pleine autonomieavec seulement une supervision, mais

aussi de couvrir le plus parfaitementpossible notre univers d’audit : certainsobjets d’audit seraient sans cela couvertsde manière trop anecdotique par desmissions plus globales.

Et, bien évidemment, nous sommeségalement très attentifs à réaliser despromotions internes. C’est une voienaturelle mais qui n’est pas la seule.

A&CI : Quel mode de rémunérationsadoptez-vous ?

J.-D. M. : En ce qui concerne les audi-teurs, nous n’avons pas de rémunéra-tion sur objectifs, mais les mécanismesd’augmentations individuelles viennents’appuyer de manière cohérente sur lesévaluations que nous avons évoquéesprécédemment.

En ce qui concerne les responsables demissions, une part de la rémunération sefait sur objectifs. La qualité du travaild’audit, son efficacité aussi, sont des cri-tères qui sont directement intégrés à larémunération. Une partie de leursobjectifs prend aussi en compte la dyna-mique de changement, importante ausein de l’audit à travers les composantesdu plan d’amélioration de la qualité.Même si les pratiques professionnellesencouragent de telles démarches de

changement, il n’est pas inutile de lesconforter par un intéressement pourceux qui les mettent en œuvre.

A&CI : Comment gérez-vous les départs ?

J.-D. M. : Comme les arrivées : en anti-cipant le plus possible. Cela, encore unefois, nécessite un travail de coopérationavec la DRH. C’est aussi la relation deconfiance au sein de la direction qui per-met d’anticiper ces événements. L’idéeest de favoriser de bons départs quirépondent au mieux à une évolution quifait sens pour l’auditeur. En cela, l’imagede l’audit comme fonction tremplin ouboost dans la carrière est presque contreproductive car elle amène l’auditeur àêtre très sélectif dans son évolution ausortir de l’audit. La valeur d’un passageà l’audit se révèle en partie immédiate-ment et en partie dans le temps. Un peude modestie ne nuit jamais quand onretrouve des contextes très opération-nels.

Le principe d’avoir environ une grossemoitié de la direction de l’audit en rota-tionnel conduit de toute façon à un tauxde turn over qui rend l’événement assezcourant. C’est à la fois une menace car ilne faut pas banaliser, mais aussi unedouble opportunité : bénéficier de pro-moteurs précieux dans différentes direc-tions et s’assurer de comportements« œil neuf » qui n’hésitent pas à ques-tionner les modes de fonctionnement dela direction d’accueil. C’est très dynami-sant !

A&CI : Une dernière remarque plus géné-rale ?

J.-D. M. : Une réflexion sur les normesinternationales. Ce cadre de référenceest souvent, et à juste titre, la base pourtout ce qui concerne le cœur de l’activitéopérationnelle de l’audit. Il est égale-ment très efficace pour développer unegestion des ressources humaines opti-mum pour l’audit.

Partenaire et assureur officiel du Comité National Olympique et Sportif Français (CNOSF),Allianz a souhaité partager avec les athlètes et le grand public, l'émotion et la passion pour les Jeux Olympiques 2012

DOSSIER


Auditeur, une étape positivepour construire son plande carrière

Revue « Audit & Contrôle internes » :Pourriez-vous nous présenter en quelquesmots l’organisation de l’audit chezMichelin ?

Florence Vincent : Les auditeurs appar-tiennent à la direction groupe de l'auditet des risques (DGAR) qui a pour mis-sion d'aider l'entreprise à mieux maîtri-ser ses risques. Cette direction est direc-tement rattachée à la présidence dugroupe afin d’assurer son autorité et sonindépendance.

Nous bénéficions d’une gouvernance auplus haut niveau de l’entreprise avec unpropriétaire pour chaque risque. En plus

de l’équipe d’auditeurs internes, nousnous appuyons sur un réseau d’unequarantaine de correspondants « Riskmanagement » dans chacune des entitésdu groupe Michelin.

Les auditeurs internes de risque véri-fient l'efficacité de l'ensemble du dispo-sitif :• Ils mesurent la qualité de la maîtrisedes risques par des audits.

• Ils aident les entités concernées àdéfinir et mettre en œuvre les plansd'actions nécessaires.

• Ils s'assurent que les plans d'actionsavancent comme prévu et alertent leGroupe en cas de dérive.

L’équipe mondiale d’auditeurs est répar-tie sur deux sites. A Clermont-Ferrand,où se situe le siège du groupe ; et àGreenville, en Caroline du Sud, où estinstallé le siège de notre activité nord-américaine. Tout auditeur, quelles quesoient sa base géographique et sa natio-nalité, a vocation à agir au niveau mon-dial puisque nos activités sont par défi-nition mondiales.

A&CI :Quelles compétences attendez-vousd’un auditeur ?

F. V. : Notre profil cible se conjugue entrois dimensions : le profil métier, l’ex-périence et le comportement profes-sionnel attendu.

A&CI : Pouvez-vous tout d’abord préciserquel est le profil métier ?

F. V. : Notre métier consiste à évaluer laqualité de la maîtrise des risques par legroupe Michelin. Notre périmètreenglobe 13 familles de risques (Cf.schéma 1). Nos 13 familles requièrentdonc chacune des compétences poin-tues.Par exemple, évaluer la maîtrise desrisques de rupture d’approvisionnementsuppose d’avoir des auditeurs quiconnaissent les produits achetés.

Auditer la maîtrise des risques environ-nementaux suppose de son côté d’avoirdes auditeurs qui connaissent cesrisques, qui les ont vécus sur le terrain etqui connaissent les prescriptions du

La gestion des carrières dans le groupe Michelin s’appuie sur un triangle dans lequeltrois acteurs ont un rôle important à jouer : la personne, son manager et le gestion-naire de carrière. Les personnes qui sont le plus rapidement évolutives font l’objetd’un suivi particulier de la part des gestionnaires de carrière. Ce que deviendra l’au-diteur après son passage à l’audit est important, afin que l’audit soit considérécomme une étape positive dans la construction d’une carrière professionnelle.

Florence Vincent

Directeur de l’audit, Michelin

28

29



groupe et l’organisation de la réglemen-tation internationale. Auditer les risques sécuritaires liés auproduit suppose d’avoir dans notreéquipe des personnes qui ont conçu etdéveloppé des pneus et des équipes quiont fait partie du dispositif de garantiequalité, par exemple des directeurs qua-lité de leur entité. Au travers de ces quelques exemples,vous comprenez déjà que nous avonsbesoin d’une équipe multidisciplinairecapable de couvrir nos treize familles.

A&CI :Qu’en est-il de l’expérience profes-sionnelle ?

F. V. : Tout d’abord, la clarté sur le profilattendu dans le poste s’impose. Il fautparfaitement définir ce profil qui n’estd’ailleurs pas uniforme puisque notrepanoplie d’audits est extrêmementlarge : elle touche aussi bien les aspectscomptables que l’informatique, la supplychain ou l’outil industriel.Evaluer la maîtrise d’un risque supposed’avoir une robuste expérience dans lemétier en question. Car tout n’est pasnormé et il faut donc pouvoir faire unaudit sans cadre référent. Cela requiertune hauteur de vue suffisante pourapprécier la qualité des analyses derisques et des choix politiques effectuéset pour identifier si les dispositifs de pré-

vention, de protection et de contrôlesont suffisants (Cf. schéma 2). Il faut également être capable de pré-senter les conclusions aux dirigeants dugroupe et de faire des recommandationspertinentes pour les équipes proprié-taires des risques. Ces dernières sont enrègle générale expertes dans leurdomaine.Cette expérience suppose une « têtebien faite » et au moins 15 ans dans unmétier donné. Notre seule exception concerne lesdomaines des risques comptables, de lafinance et de la fraude pour lesquellesnous demandons 5 ans d’expériencepréalable en audit externe.

A&CI : Quels comportements profession-nels attendez-vous d’un auditeur ?

F. V. : Les premières qualités auxquellesje pense sont la rigueur intellectuelle, lacapacité d’analyse, la faculté de synthé-tiser et de communiquer clairement,tant à l’oral qu’à l’écrit – dans les deuxlangues officielles du groupe que sont lefrançais et l’anglais. L’auditeur doit éga-lement avoir un grand sens de l’éthiquecar c’est non seulement l’une desvaleurs du groupe Michelin mais aussiune exigence particulière du métier.Nous avons d’ailleurs défini les compé-tences générales nécessaires à la pra-

tique du métier d’auditeur. Elles figurentdans un manuel de compétences :• connaissance de ce qu’est le contrôleinterne ;

• maîtrise des principaux concepts de lagestion des risques ;

• expertise en évaluation de la maîtrisedes risques ;

• maîtrise des techniques de l’audit ;• maîtrise des techniques de communi-cation à l’oral et à l’écrit ;

• efficience opérationnelle dans l’utili-sation des outils de bureautique ;

• bagage interculturel ;• capacité à bien travailler en équipe ;• maîtrise du français et de l’anglais.

Le groupe Michelin a en outre prescritles cinq comportements attendus del’ensemble de ses collaborateurs. Cescomportements sont particulièrementadaptés à l’audit :• la pratique des valeurs ;• l’anticipation ;• l’agilité dans l’exécution ;• la coopération ;• le progrès constant.

Florence Vincent, diplômée deHEC, a d’abord exercé plusieurspostes de responsabilité à laSociété Générale et chez Accenture.Elle est entrée dans le groupeMichelin en 1992. D’abord encharge de missions d’audit finan-cier, elle a ensuite fait partie del’équipe chargée du stage d’inté-gration des nouveaux embauchés,un système propre à Michelin. Ellea ensuite été en charge de la rému-nération pour le groupe de cadresdirigeants. Après avoir occupé unposte de stratégie industrielle auxÉtats-Unis, elle a été nommée en2005 responsable de l’auditinterne. Ce poste de responsabilités’est par la suite étendu à la gestiondes risques.

Qualité produit

Comptable et financier

Systèmes et technologies d’information

Environnement

Fuite des savoirs et des

savoir-faire Sécurité

des biens Juridique et fiscal

Rupture d’appro-

visionnement

Santé et sécurité du

personnel ou de tiers

Social

Pilotage des

grands projets

Manquement à l’éthique (fraude incluse)

Non continuité des activités

13 familles de

risques

Schéma 1 : Les 13 familles de risques chez Michelin

30

DOSSIER


A&CI : Comment repérez-vous vos futursauditeurs ?

F. V. : La clé du succès de notredémarche réside dans un dialogue per-manent avec la direction du personnel1.Ce dialogue passe par l’existence au seinde cette direction d’un interlocuteurdédié à nos activités : le gestionnaire decarrière. Je rencontre chaque mois cettepersonne qui constitue notre liaisonavec la direction du personnel et je dis-cute avec elle de nos besoins présents età venir ainsi que des candidats poten-tiels. Lors de ces rencontres avec le gestion-naire de carrière nous nous efforçonsd’anticiper les besoins, de rechercherdes candidats et de prévoir les sorties enidentifiant à l’avance des propositionsde postes futurs pour ces personnes.

A&CI : Plus concrètement, comment atti-rez-vous les candidats potentiels ?

F. V. :Au sein du groupe nous avons toutd’abord l’opportunité de présenter tousles trimestres notre activité dans le cadredu stage d’intégration de tous les nou-veaux entrants. Dans le cadre de cettesession qui réunit une centaine demanagers et ingénieurs de toutes natio-nalités, je présente durant environ uneheure notre activité de façon interactive.L’objectif est de sensibiliser l’auditoire àla gestion des risques et de lui présenter

notre direction. De plus, desauditeurs viennent présenterleurs activités aux « sta-giaires » au cours d’un forumde deux heures et répondentaux questions posées par lesnouveaux entrants.Nous disposons d’undeuxième vecteur de commu-nication interne avec notresite intranet. Nous y présen-tons les enjeux de la gestiondes risques et expliquonscomment notre directionaudit & risques contribue àl’amélioration de la maîtrisedes risques. Nous en profitons

pour attirer de nouveaux talents avecune rubrique spécifique « nous rejoin-dre ».Dans cette rubrique figure également letémoignage des anciens auditeurs quiillustre la facilité du « rebond » après unpassage chez nous. C’est d’ailleurs uneparticularité de la direction de l’audit &risques : nous maintenons des liensactifs avec nos anciens qui peuvent êtreamenés à nous servir de relais dans leursnouvelles entités. Nos anciens sont enquelque sorte nos « ambassadeurs ». Ilsassurent dans leurs nouvelles fonctionsla promotion de nos activités et témoi-gnent de l’apport d’un passage par l’au-dit dans la construction d’une carrière.Enfin, nous mettons en avant sur notresite intranet le témoignage de membresdu Comité exécutif du groupe Michelinsur la qualité et l’utilité des audits. Nousbénéficions donc de la part de notredirection générale d’un satisfecit quivalorise le métier.

A&CI : Et comment s’opère le recrute-ment ?

F. V. : Il faut distinguer les candidaturesinternes des candidatures externes.Pour une embauche interne, nous ana-lysons le parcours de la personne. Nousy décelons les qualités attendues pour leposte d’auditeur. Ensuite, nous organi-sons plusieurs entretiens avec des mem-bres de notre propre équipe de direction.

Enfin, nous demandons au candidat derencontrer individuellement trois ouquatre auditeurs qui seront ses futurscollègues, en faisant en sorte que cesoient des auditeurs aux profils diffé-rents. Ces rencontres permettent aucandidat de se faire une idée assez pré-cise de la nature des missions d’audit etd’évaluer les avantages à devenir audi-teur tout en prenant conscience des dif-ficultés éventuelles. Les candidats viennent donc chez nousen pleine connaissance de cause !

A&CI : Et comment s’opère le recrutementd’un candidat venant de l’extérieur ?

F. V. : Depuis toujours, le groupe qui pri-vilégie largement la promotion interne,recrute chaque nouveau salarié dans laperspective d’un parcours dans la durée,au-delà d’un poste particulier. Ceci estnotamment rendu possible par l’organi-sation spécifique à Michelin des ges-tionnaires de carrière qui accompagnentles personnes dès l’embauche et tout aulong de leur parcours dans l’entreprise.Il faut donc préciser que nos embauchesexternes ne représentent qu’environ dixpour cent de nos recrutements car lesseules embauches externes que nousréalisons concernent les domaines durisque financier et le manquement àl’éthique. Nous cherchons dans ce cas un candidatvenant d’un cabinet d’audit externe, engénéral de l’un des quatre grands cabi-nets connus dans le métier, et ayant 3 à5 ans d’expérience. Cette personne vapasser par le processus classique derecrutement chez Michelin. Après ana-lyse positive de son CV, cette personnebénéficiera d’un premier entretien avecla direction du personnel.Le candidat passera alors une journéeentière d’entretiens à Clermont-Ferrand. Au cours de cette journée, ilrencontrera deux personnes de la direc-tion de l’audit & risques, un gestionnairede carrière et un manager issu d’uneautre direction. La décision de faire uneoffre – ou pas – au candidat est doncprise de façon collégiale.

Connaître

Définir le niveau de

risque acceptable

Traiter

Suivre, contrôler, capitaliser

Schéma 2 : La roue des risques

31



est en outre membre d’équipes de pro-jets d’actions de progrès.Nous veillons également à développerl’esprit collectif. L’intégration se fait plusrapidement et plus facilement car lesauditeurs travaillent dans des bureauxpaysagers. Nous avons un moment col-lectif tous les matins à 10h pour un caféqui permet de réunir tous ceux qui sontsur Clermont-Ferrand ce jour-là pen-dant quelques minutes. Et, le vendredi,ce café de dix heures se transforme en« breakfast management » à l’occasionduquel un auditeur explique à ses col-lègues l’une de ses missions.

A&CI : Quelles sont les formations prodi-guées pour rendre les auditeurs rapidementopérationnels ?

F. V. : Nous avons un plan de formationqui se déroule sur quatre ans et qui tota-lise plus de 40 jours de formations. Lecœur de ce plan réside dans une sessionannuelle de deux semaines qui rassem-ble toute l’équipe. Comme tout lemonde n’est pas au même niveau d’ex-périence, nous avons en parallèle quatreprogrammes de formation différents :un pour les nouveaux arrivants, un autrepour ceux qui sont là depuis un an, etc.Chaque programme comporte un tiersde méthodes sur l’audit et les risques, un

A&CI : Quel est le mode d’intégration desnouveaux auditeurs à votre direction ?

F. V. : Il existe deux dates d’entrée idéalespour nous rejoindre. Soit en septembrecar cela coïncide avec notre formationannuelle de deux semaines (à laquelletoute l’équipe participe) qui permet aucandidat de s’intégrer très vite cheznous et d’acquérir les premiers rudi-ments du métier. Soit en janvier carnous organisons à ce moment-là notreréunion mondiale de la direction audit& risques. Nous y dressons le bilan del’année écoulée, établissons le plan del’année à venir et travaillons pendanttrois jours en ateliers sur nos chantiersd’amélioration.Tout nouvel entrant bénéficie en outred’un programme de formation indivi-duel qu’il prépare, dès les premièressemaines, à partir d’un plan de forma-tion type.Nous avons par ailleurs mis en place un« coaching » du nouvel arrivant par unautre auditeur plus expérimenté quidevient en quelque sorte son référentpour toutes les questions, petites ougrandes, qu’il se pose. L’auditeur réalise ses premiers auditsdans une équipe pilotée par des audi-teurs « seniors », ce qui lui permet debénéficier de l’expérience des autres. Il

tiers de méthodes et d’outils de résolu-tion de problèmes et un tiers de forma-tion consacrée à la communication.Cette session s’effectue à l’extérieur denos sites pour que l’équipe se décon-necte de son travail quotidien. Elle s’ef-fectue au retour des vacances d’été,lorsque les « affaires » n’ont pas encorerepris et à un moment où chacun estreposé et ouvert. Nous faisons appel àquelques invités externes à notre direc-tion de l’audit & risques. Au total, cesont quarante modules de formation quisont déployés, dont une moitié est ani-mée par le management de la directionde l’audit et des risques et l’autre moitiépar des prestataires externes. Il y a engros 10 % de théorie, l’essentiel étantconsacré à des ateliers et donc à des tra-vaux en commun.

A&CI : Comment évaluez-vous les audi-teurs ?

F. V. : Nous évaluons les auditeurs defaçon permanente. Lors de chaque mis-sion d’audit, le manager procède à uneévaluation détaillée tenue à jour tout aulong de la mission. Il s’y ajoute uneauto-évaluation des auditeurs ainsiqu’une réunion d’échange entre lesauditeurs et le manager au cours delaquelle est dressé le bilan de la mission.

Equipe DGAR

32

DOSSIER


Pour les missions comportant uneéquipe composée de plusieurs audi-teurs, nous confions à l’un d’entre eux lefait d’être « responsable » de la coordi-nation de la mission et nous évaluonsalors sa capacité à manager son équipe.Nous procédons de même pour chaquesuivi de plans d’actions.

Pour les objectifs annuels des auditeursnous retenons cinq indicateurs :• La réalisation du plan d’activité (com-muniqué en début d’année) dans ledélai prévu. Ce plan comporte desaudits mais également d’autres activi-tés (réalisation de guides d’audits, desynthèses, etc.).

• La réalisation du plan de progrès(communiqué lui aussi en début d’an-née). Les chantiers de progrès sont eneffet menés par des équipes d’audi-teurs à l’image de ce qui se passe pourles audits.

• La réalisation du plan de suivi deplans d’action.

• Le degré de conformité aux tests decontrôle interne de nos propresaudits.

• L’évolution de la maîtrise des risquesdu groupe sur un cycle de 4 ans.

A&CI : Plus concrètement, comment sepasse l’évaluation ?

F. V. : Nous utilisons en fin d’année lesystème d’appréciation du groupeMichelin qui prend en compte l’atteinted’objectifs annuels, les résultats et lamise en œuvre des compétences métier,des comportements professionnels etéventuellement des compétences mana-gériales.En fin d’année, l’équipe de direction deDGAR (direction groupe de l’audit etdes risques) se réunit durant une jour-née pour procéder aux appréciations del’ensemble des auditeurs. Celle-ci se faitdonc de manière collégiale. Ensuite, unautre collège, commun à plusieurs direc-tions (celles de la qualité, du personnelet de l’organisation dans notre cas) s’as-sure de la cohérence de cette évaluationavec les autres fonctions.

A&CI : Quel est le mode de rémunérationdes auditeurs ?

F. V. : Nous sommes bien entendu ratta-chés au système de rémunération dugroupe Michelin. La rémunération glo-bale se compose d’un salaire fixe et unepart variable. Il existe une échelle uniquepour tous les métiers du groupe. Nousavons défini deux niveaux de responsa-bilité pour les auditeurs – confirmé etsenior – et un troisième pour les mana-gers.Le système est conçu pour permettre degérer les personnes dans la durée, avecdes passerelles entre les métiers ou avecdes passages à l’étranger le cas échéant.Il est basé sur les références du marchénational de l’emploi.

A&CI : Comment gérez-vous la carrière devos collaborateurs ?

F. V. : Les auditeurs bénéficient d’unemise en visibilité à l’intérieur du groupepuisqu’ils ont l’opportunité de rencon-trer des personnes de tous horizons etjusqu’au plus haut niveau.Pour le reste, nous suivons le processusclassique de gestion de carrière dugroupe Michelin.Les auditeurs restent généralementquatre à cinq ans chez nous. Si, le plussouvent, ils viennent d’un métier verslequel ils reviendront ensuite, le passageà l’audit peut aussi être pour eux l’op-portunité de changer de métier. D’ail-leurs, nous profitons souvent de leurprésence à l’audit pour leur faire décou-vrir d’autres métiers et élargir leurs com-pétences.Chez Michelin, chacun est réputé avoirun potentiel et nous nous attachons àpermettre à chaque personne de réaliserle sien, avec l’appui du manager et dugestionnaire. La gestion des carrièresdans le groupe s’appuie en effet sur untriangle dans lequel trois acteurs ont unrôle important à jouer : la personne, sonmanager et le gestionnaire de carrière.La personne est invitée à exprimer sessouhaits d’évolution et les managers ontpour mission de favoriser le développe-

ment de leurs équipiers. Certaines per-sonnes, en particulier les expatriés,savent, lorsqu’elles arrivent chez nous,quel est le prochain poste qu’elles occu-peront ensuite.Nous identifions en outre ceux qui sontle plus rapidement ou le plus fortementévolutifs. Ils font l’objet d’un suivi par-ticulier au niveau des gestionnaires decarrière. Nous prévoyons les départs environ 12mois à l’avance. Lors de notre entretienmensuel avec le gestionnaire de carrière,nous discutons des départs et desentrées. Nous tenons à jour un plan de succes-sion. La carrière d’un auditeur chezMichelin étant en moyenne de quatreannées, il faut en permanence accueillirdans et accompagner hors de notreentité un certain nombre de personnesen veillant à conserver la richesse del’équipe faite de l’addition des diversitésde compétences de chacun. Nous avonsdonc défini un profil d’équipe cible quinous permet d’avoir les compétencesrépondant à notre plan d’audit.Ce que deviendra l’auditeur après sonpassage chez nous est égalementimportant afin que l’audit soit considérécomme une étape positive dans laconstruction d’une carrière profession-nelle. Nous nous sommes fixé l’objectifque le niveau de compétence profes-sionnelle des auditeurs, tel que suivi parla direction du personnel, soit enmoyenne supérieur d’un niveau à leursortie de l’audit qu’à leur entrée.

Au final, ce dont je suis la plus fière, c’estde voir des personnes se développerpersonnellement et professionnelle-ment à l’audit avant de repartir plusriches de cette expérience vers une nou-velle étape de leur carrière.

1 Michelin reste attaché au terme de « service dupersonnel » et à l’idée ainsi transmise d’une acti-vité au service des personnes.

33



d’un parcours professionnel réussi. Auquotidien, force est de constater que laréalité est plus nuancée et complexe etque la gestion des collaborateurs d’unservice d’audit interne comporte biendes écueils à contourner et bien desdéfis à relever au quotidien.

Dans les organisations où les fonctionsd’audit et de contrôle internes ne sontpas assujetties à des normes, à l’instardes collectivités territoriales, attirer,recruter au sein d’un service d’auditinterne ou de contrôle interne peut êtreune gageure. Retenir nos collaborateurset leur offrir des perspectives tout en lesformant sur nos approches spécifiquesest aussi une préoccupation de chaqueinstant. De là à dire que tout responsa-ble d’un service d’audit et de contrôleinterne est avant tout un responsableRH serait sans doute excessif mais forceest de constater que c’est une dimensionessentielle de la fonction et a fortioridans les collectivités territoriales.

Comme d’autres professionnelsau sein de nos organisations,qu’elles soient publiques ou

privées, les auditeurs internes et lescontrôleurs internes font très souventl’objet de représentations. Ils seraienttantôt des experts travaillant seuls, fortsde leurs expériences et responsabilitéspassées, et tantôt de jeunes aux hautspotentiels, disposant de compétencesméthodologiques et de capacités d’ana-lyse éprouvées.

Bien entendu, ces deux manières denous décrire possèdent une part devérité. Pour autant, il convient de seméfier de cette approche qui pourraitconduire à considérer que ces profes-sionnels n’auraient besoin d’aucuneapproche managériale ou de ressourceshumaines particulières. La fonctiond’audit interne en particulier auraitvocation à accueillir temporairement descadres à potentiel qui construiraient leurcarrière seuls ou à être l’aboutissement

Dans les organisations où les fonctions d’audit et de contrôle internes ne sont pasassujetties à des normes, à l’instar des collectivités territoriales, attirer, recruter ausein d’un service d’audit interne ou de contrôle interne peut être une gageure. Savoirconstituer une équipe, valoriser la fonction, accompagner et fidéliser ses collabo-rateurs, leur ouvrir des perspectives, sont autant de défis permanents à relever.

Yannis Wendling

Directeur de l'audit et du contrôleinternes et de la gestion des risques,Conseil général de Seine-Saint-Denis

Constituer et gérer une équiped’audit et de contrôle internesdans une collectivité territoriale

Après avoir travaillé au sein ducabinet d'audit Arthur Andersen etau sein de deux cabinets de conseilen management / RH /organisa-tion et de conseil dans la mise enœuvre de stratégies publiques,Yannis Wendling a rejoint leconseil général de la Seine-Saint-Denis pour mettre en place la direc-tion de l'audit interne. Depuis, il esten charge de l'audit interne, ducontrôle interne et de la gestion desrisques (ERM). Il assure égalementla présidence du groupe profes-sionnel collectivités territoriales ausein de l'IFACI.

34

DOSSIER


Savoir constituer etpréserver son équipe

Il existe certaines entreprises ou admi-nistrations, où les fonctions d’inspectiongénérale ou d’audit interne constituentdes viviers traditionnels où sont formésles cadres de demain. Dans le secteurpublic, les membres de certains corps decontrôle sont recrutés directement à lasortie de l’Ecole Nationale d’Adminis-tration et sont amenés à exercer les plushautes responsabilités dans le secteurpublic voire en dehors. Aujourd’hui, lesdécrets et les circulaires de 2011 quiimposent à chaque ministère de se doterd’une fonction d’audit interne ontconduit certains de ces corpsde contrôle à constitueren leur sein deséquipes d’audi-teurs internes quisont de fait den o u v e a u xdébouchés pources hauts poten-tiels.

Au sein des villes,départements, régions etde leurs établissements publics,la situation est très différente, la pré-sence de ces inspections généralesn’étant ni une obligation ni une situa-tion fréquemment rencontrée. Lescadres supérieurs recherchent avanttout, après leur titularisation au sein dela fonction publique territoriale, despostes de management ou de chargésde mission auprès des directions géné-rales. Ainsi, constituer ou conserver sonéquipe d’auditeurs internes est un véri-table défi à relever.

Il convient à la fois d’attirer des collabo-rateurs qui disposent d’une appétencepour la fonction mais aussi des collabo-rateurs solides techniquement quiseront reconnus comme légitimes ausein de la structure. Tout cela, s’effectuealors que le répertoire des métiers de la

fonction publique territoriale n’identifiepas à ce jour cette fonction qui est émer-gente.

Les leviers dont disposent les responsa-bles des directions de l’audit internesont malgré tout nombreux. L’accueil destagiaires et d’apprentis est un outil pré-cieux pour repérer de futures recrues.Ainsi au Conseil général de Seine-Saint-Denis, nous accueillons chaqueannée des stagiaires de l’Université ParisXIII et des apprentis de l’IAE d’Aix-en-Provence afin d’une part de soutenir lesfilières de formation existantes, de for-mer des personnes susceptibles de pos-tuler dans les collectivités territo-

riales, mais aussi de détecterd’éventuels futurs can-didats à un emploidans notre collec-tivité.Bien entendu,cette démarcheest exigeante carelle suppose dedisposer dutemps pour enca-

drer ces personnes etdes missions adaptées.

Par ailleurs, l’accès à l’emploipublic obéit à des prescriptions bienprécises pour des personnes non titu-laires de la fonction publique.

Un autre levier consiste à accueillir aussides cadres expérimentés disposantd’une légitimité au sein de l’organisa-tion et intéressés par un nouveau par-cours professionnel. L’absence d’enca-drement hiérarchique et la possibilité devaloriser sa connaissance des métiers dela collectivité sont deux composantes denotre profession qui peuvent attirer descadres de haut niveau. Ces mêmescadres seront ensuite des relais précieuxpour valoriser la fonction et faciliter desrecrutements à venir. L’équipe decontrôle interne du Conseil général est,ainsi, composée de trois agents et d’unauditeur interne ayant ce profil.

Enfin, il appartient à chaque responsablede service de communiquer et de valo-riser ces métiers au sein de son organi-sation et à l’extérieur. Avec d’autres res-ponsables, nous intervenons ainsiauprès du Centre National de la Fonc-tion Publique Territoriale pour fairereconnaître la fonction d’auditeurinterne et développer des filières de for-mation. Le temps passé en dehorsconcourt à valoriser ce métier et à facili-ter le recrutement et doit donc êtreconsidéré comme un investissement.

Accompagner et fidéliserses collaborateurs

Une fois le recrutement effectué, le déficonsiste à fidéliser ses collaborateurs,non pas pour un bail indéterminé, maissur une période suffisante qui permetted’acquérir et de consolider les expé-riences. Loin d’être simple, cette entre-prise se heurte à l’envie des collabora-teurs d’évoluer soit vers une collectivitéou une entreprise plus attractive, soitvers une fonction d’encadrement et/ouvers une fonction dite opérationnelle.Malheureusement, bien souvent forceest d’admettre que les collaborateurs lesplus performants sont ceux qui sont leplus tentés par d’autres responsabilités.

En tant que responsable, il est vain etimproductif de retenir ses collabora-teurs. Nombreuses sont les inspectionsgénérales qui proposent des parcours àses membres et qui confortent ainsi leurattractivité au sein de l’Etat. Pour autant,afin de capitaliser les expériences et demaîtriser la rotation des équipes, diffé-rentes actions peuvent être menées.

La visibilité et la lisibilité du parcoursd’apprentissage sur le poste est primor-diale. Pour ce faire, la construction deparcours de formation est essentielle.Elle permet d’apporter des compétencesà des personnes en conciliant à la foisleurs projets et aspirations personnels(évolution vers des postes comptables et

« Dans une collectivitéterritoriale, constituer ou

conserver son équiped’auditeurs internes est

un véritable défi à relever »

35



financiers, vers des fonctions logis-tiques …), en développant l’esprit decuriosité, mais aussi en répondant auxbesoins de la direction dont le pland’audit annuel nécessite l’acquisition desavoirs spécifiques. L’offre de formationde l’IFACI est ainsi très précieuse car ellepropose des formations destinées à lafois à des débutants, à des auditeursaguerris, et des formations spécifiquesainsi que des itinéraires.

L’organisation d’échanges de pratiquesde retours d’expérience, ou de transmis-sions de compétences en interne suiteaux colloques et formations suivis per-met aussi de valoriser les compétencesde chacun. Ce faisant, on travaille aussisur le collectif et les liens entre les audi-teurs.

Au-delà de la conduite des audits ou dela réalisation de missions de contrôleinterne, il faut veiller à ce que le servicedispose de son propre projet auquelchacun contribue. Dans le cas contraire,les collaborateurs sont renvoyés à leurspropres projets ou missions ce qui necontribue pas à leur fidélisation. Outreles aspects traditionnels de gestion dupersonnel, la dimension managériale estune vertu cardinale du responsabled’audit interne. La cohabitation d’auditeurs d’âges et deparcours différents peut également êtreun atout dans la mesure où elle permetde faire du service un lieu d’échanges etd’ouverture, sans se limiter aux audits et

contrôles menés, propice au développe-ment de projets professionnels.

Enfin, les démarches de certification duservice ou des auditeurs (CIA, DPAI),peuvent être encouragées pour d’unepart valoriser les individus et d’autrepart reconnaître la performance collec-tive.S’agissant du contrôle interne, lesapproches sont les mêmes. Au Conseilgénéral de la Seine-Saint-Denis, les troisdirectrices déléguées en charge de ceprojet sont toutes des anciens cadresexpérimentés qui à travers leur nouvellefonction peuvent accompagner lesautres cadres et ainsi valoriser leur expé-rience. Pour elles, le contrôle interne estune opportunité pour valoriser leurancienneté dans la structure.

Donner des perspectives

Malgré toutes ces démarches, la ques-tion des perspectives professionnellesdes auditeurs se pose. L’audit internevoire le contrôle interne est un métier depassage, de transition, de tremplin. Pourrespecter le principe d’indépendance etconserver le regard critique, il est sou-haitable que les personnes ne fassentpas carrière au sein du service. L’em-ployeur mais aussi le responsable del’audit doit créer les passerelles et lesconditions qui faciliteront cette transi-tion. S’il n’est pas possible de contrac-tualiser cela, il est utile de faire figurerdans les projets du service les actionsengagées en ce sens. Durant le séjour de la personne à l’auditinterne, les audits confiés ou le rôleassuré sur les missions d’audit (travauxde vérification, encadrement d’auditeursjuniors ou de stagiaires …) sont à adap-ter en fonction du stade de développe-ment professionnel des personnes et deleurs projets. Certains auditeurs peuvent aussi pren-dre en charge des activités de formationou l’animation de démarchesd’échanges de pratiques au sein du ser-

vice. Au sein de la direction de l’auditinterne, l’ensemble des auditeurs ontégalement un rôle de représentation dela direction au sein d’instances internesau Conseil général sur certains projetsmais aussi pour une auditrice un rôled’initiation à l’audit interne des cadresde la collectivité dans le cadre du cycled’appui aux managers portés par le ser-vice de la formation.La participation à des groupes de travailau sein de l’IFACI ou d’associations par-ticipe également au développementpersonnel des auditeurs. Cela leur per-met d’enrichir leurs parcours et leur pro-cure une visibilité.

Le risque serait de ne pas réunir lesconditions qui permettront aux audi-teurs de pouvoir valoriser leur métiercomme un atout pour leur projet per-sonnel. Le responsable d’audit interne doit ainsiaprès avoir recruté ses proches collabo-rateurs, les avoir accompagnés et leuravoir permis de développer leurs com-pétences créer les conditions de leursfuturs projets. En ce sens, il lui appar-tient de valoriser et de promouvoir sescollaborateurs sans pour autant se subs-tituer à la direction des ressourceshumaines qui a en charge les pro-grammes de gestion de la mobilité.Dans une collectivité territoriale où lafonction est nouvelle et où les passe-relles sont à construire, de nombreusesétapes sont encore à franchir pour y par-venir.

Au final, il apparaît bien que le respon-sable d’audit interne ne peut s’abstenirde bâtir son projet RH. Ceci ne peutintervenir au sein des collectivités terri-toriales qu’en s’appuyant sur lesdémarches collectives pour faire recon-naître ce métier en émergence. L’appuide l’IFACI et la constitution du groupeprofessionnel collectivités territorialesen son sein avec le concours de la confé-rence des inspecteurs et auditeurs terri-toriaux sont, en ce sens, essentiels.

36

LES AUDITS MÉTIERS


Lorsque l’on regarde les processus deson organisation, il est rare de trouverun processus qui n’utilise pas, à unmoment donné, une application infor-matique. Ainsi, tout processus, qui utiliseà un instant donné une applicationinformatique, pourrait être qualifié deprocessus informatisé.

Il est donc rare pour un auditeur d’au-diter un processus qui ne soit pas unprocessus informatisé

Obtenir la cartographieapplicative

Lorsque l’on se penche sur un proces-sus, on constate bien souvent, au-delàd’une simple application informatique,l’existence d’une multitude d’applica-tions qui communiquent les unes avecles autres. Pour faciliter cette compré-hension, on ne peut que recommanderà l’auditeur qui ne la possède pasencore, de récupérer la cartographieapplicative auprès de la direction infor-matique.

Le terme « processus informa-tisé » peut rebuter voire fairecraindre à bon nombre d’audi-

teurs que l’audit d’un processus infor-matisé est un audit technique nécessi-tant une bonne maîtrise des systèmesd’information. Certes, l’audit d’un pro-cessus informatisé nécessite quelquesconnaissances de base en matière desystèmes d’information. En revanche,l’audit d’un processus informatisé est àla portée de tout auditeur et imposedavantage une bonne compréhension,sous un angle fonctionnel, du processusaudité.

Qu’est-ce qu’un processusinformatisé ?

La plupart, sinon la totalité des organi-sations utilisent aujourd’hui l’outil infor-matique. Cet outil informatique estdevenu au fil des années un outil incon-tournable pour les organisations. Cellesqui ont pris conscience de sa nécessitéet de son importance peuvent en tirerun avantage concurrentiel indéniable.

La quasi-totalité des processus des organisations est aujourd’hui supportée par uneou plusieurs applications informatiques. Peu d’organisations pourraient par ailleurspouvoir se passer de l’outil informatique. C’est pourquoi l’audit d’un processus infor-matisé devrait être maîtrisé par tout auditeur quels que soient la taille ou le secteurd’activité de l’organisation à auquel il appartient.

Dominique van Egroo

Consultant

Disposant d’une double formationen informatique et droit,Dominique van Egroo a exercé ausein de grandes entreprises et cabi-nets d’audit et conseil internatio-naux. Il a également été directeurdes systèmes d’information et avo-cat. Il est expert en informatiqueprès la cour d’appel de Paris.

Audit d’un processusinformatisé


Ce schéma, qu’il soit sous format infor-matisé ou non, permet à l’auditeurd’avoir une vision globale des applica-tions du système d’information et desliens entre les applications. Grâce à elle,l’auditeur pourra ainsi avoir une com-préhension synthétique des principalesapplications supportant le processusaudité. Selon les organisations, elle per-mettra également à l’auditeur d’identi-fier bon nombre d’interlocuteurs à ren-contrer.Les cartographies applicatives peuventégalement mentionner les interfaces.Celles-ci permettent aux applicationsinformatiques de communiquer entreelles et d’échanger des données. Ellessont donc, par là même, source derisques car des données peuvent êtreperdues ou altérées au sein des inter-faces.

Une étape préalableindispensable

Une bonne compréhension du proces-sus audité est indispensable. Pour cefaire, il est recommandé de formaliser leprocessus audité sous forme de dia-gramme de flux, encore appelé flowchartou logigramme.Pour bien réaliser un flowchart, il estindispensable de bien identifier l’en-semble des acteurs participants au pro-cessus. Le processus sera formalisé àl’aide des différents symboles définis parla norme ISO 5807 selon les étapes sui-vantes :• le nom des différents acteurs seraindiqué horizontalement sur unschéma ;

• un trait vertical sera alors tiré entre lenom de chaque acteur ;

• enfin, dans la colonne associée àchaque acteur, seront formalisées lesdifférentes actions réalisées par celui-ci.

Le schéma ci-contre représente les prin-cipaux symboles utilisés. Sur le dia-

gramme de flux, il sera indiqué danschaque symbole à quoi il correspond.Ainsi, s’il s’agit par exemple d’un docu-ment, il sera précisé quel type de docu-ment : facture, dossier, etc.

Les différents symboles seront reliés pardes traits, de préférence verticaux ouhorizontaux pour indiquer l’enchaîne-ment des actions et opérations.Précisons l’utilité de certains des princi-paux symboles de la norme :• La mémoire à accès direct correspondtypiquement à un disque dur ou uneclé USB c’est-à-dire à une mémoiredans laquelle on accède directementaux informations.

• La mémoire à accès séquentiel corres-pond typiquement à des cassettesc’est-à-dire à une mémoire dont l’ac-cès aux informations est séquentiel.

• Le losange correspond à une opéra-tion de décision. Une décision estgénéralement la suite d’une opéra-tion, d’un traitement ou d’une saisie.Le résultat de la décision sera dansbon nombre de cas « oui » ou « non ».

• Le symbole renvoi correspond à unezone ou le flowchart s’arrête pourreprendre à un autre endroit (cas d’unbas de page par exemple).

Les principauxrisques couverts

Lors de l’audit d’un processus informa-tisé les principaux risques à couvrirsont :• la prise en compte d’informations nonautorisées pouvant conduire parexemple à des fraudes ou à la réalisa-tion d’opérations non autorisées ;

• la prise en compte non exhaustive desinformations pouvant par exempleconduire à des pertes financières, deserreurs, des pertes de temps ;

• la prise en compte d’informationsinexactes pouvant par exempleconduire également à des erreurs oupertes de temps ;

• la mise à jour incomplète ou inexactedes données pouvant conduire parexemple à des erreurs de calcul ;

• l’altération de l’intégrité, de l’exhaus-tivité et de l’exactitude des donnéesstockées pouvant conduire égalementpar exemple à des fraudes, erreurs oupertes financières ;

• l’accès non autorisé aux données pou-vant conduire notamment à la divul-gation, l’altération ou la destructiondes données.

Mémoire à accèsdirect

Document Opérationmanuelle

TraitementMémoireà accès

séquentielSaisie

Décision Renvoi

38

LES AUDITS MÉTIERS


Que doit-on évaluer ?

Chaque processus informatisé est diffé-rent. Cependant, pour couvrir les risquesprécédemment énoncés et audités, l’au-diteur devra évaluer l’existence et l’effi-cacité des contrôles au niveau des :• pièces justificatives,• saisies dans les applications,• traitements, y compris les traitements

batch,• sorties des applications,• interfaces.

Ces contrôles sont communémentappelés des « contrôles applicatifs » carintégrés aux applications des processusmétiers. Ils sont spécifiques à chaqueapplication. Ils concernent l’exhausti-vité, l’exactitude, la validité, l’autorisa-tion des données ainsi que la séparationdes tâches.

Une bonne connaissance et compré-hension du processus audité ainsi quede ses objectifs sont donc nécessaires.Précisons que la responsabilité descontrôles applicatifs relève des proprié-

taires des processusmétiers. C’est donc à cesderniers de définir les exi-gences de contrôle àinclure dans tous les pro-cessus métiers.

Des dysfonctionnementsou faiblesses dans lescontrôles des applicationspeuvent engendrer lesrisques précédemmenténoncés et avoir desimpacts importants sur lacapacité des métiers àtraiter les transactions autravers des différentesapplications.

Parmi les différents typesde contrôles existants, onpeut par exemple citer :

• les contrôles d’autorisation, de vali-dité,

• les contrôles de format, d’existence,• les contrôles de valeur limite,• les contrôles d’intégrité, les totaux decontrôle,

• les contrôles d’accès.

De nombreux autres types de contrôlespeuvent également exister. Même si cer-tains contrôles applicatifs peuvent paraî-tre très simples, ils n’en sont pas moinstrès importants. Ainsi, l’absence decontrôles de format et longueur sur uneentrée (la saisie d’une adresse emailpour l’inscription à une newsletter sur unsite internet par exemple) pourrait per-mettre, dans certains cas, à une per-sonne mal intentionnée de voler oualtérer la base de données de l’applica-tion, voire de récupérer les identifiantset mots de passe des utilisateurs.L’inexistence ou l’inefficacité d’uncontrôle simple peut donc engendrer,dans certaines situations, un risquesignificatif.Lors de l’audit d’un processus informa-tisé, une attention particulière doit éga-

lement être portée sur l’identification,l’enregistrement et le traitement deserreurs. En effet, si les erreurs ne sontpas identifiées et traitées, cela peutnotamment avoir pour conséquence despertes de données ou de disposer dedonnées non fiables et de mauvaisequalité.

Et ensuite ?

En matière de systèmes d’information,on distingue deux catégories decontrôles : les contrôles applicatifs vusprécédemment et les contrôles générauxinformatiques. Les contrôles générauxinformatiques portent sur l’environne-ment des applications. Ils concernentainsi par exemple : les développements,la sécurité logique, la sécurité physique,les sauvegardes, la gestion des incidents,la gestion de l’exploitation.

Lors de l’audit d’un processus informa-tisé, l’auditeur évalue l’existence et l’ef-ficacité des contrôles applicatifs. Cepen-dant, on ne peut que recommander deprocéder également à l’évaluation descontrôles généraux informatiques. Ceci,de manière à pouvoir apprécier plus glo-balement les risques auxquels l’organi-sation est exposée et plus particulière-ment les risques portant sur l’environ-nement des applications.

A minima, il est recommandé de procé-der à une évaluation de la sécuritélogique d’accès aux bases de donnéesdes applications supportant le processusinformatisé audité. En effet, un niveauinsuffisant de sécurité logique d’accèsaux bases de données des applicationspourrait remettre en cause un niveausatisfaisant de sécurité logique d’accès àl’application ainsi qu’une séparation destâches satisfaisante.

IFACI Formation - Tél. : 01 40 08 48 08 - Mel : [email protected] - Retrouvez également le programme complet sur le site internet www.ifaci.com

Calendrier 2013SESSIONS Durée Tarifs

adhérentsTarifs nonadhérents janv. févr. mars avril mai juin juil. sept. oct. nov. déc.

SE FORMER AU CONTRÔLE INTERNES’initier à la maîtrise des activités et au contrôle interne 2 j 950 € 1 125 € 10-11 11-12 14-15 8-9 13-14 10-11 3-4 9-10 3-4 14-15 2-3

Réaliser une cartographie des risques 3 j 1 675 € 1 875 € 14-16 13-15 18-20 10-12 15-17 12-14 11-13 7-9 4-6

Elaborer un référentiel de contrôle interne 2 j 1 200 € 1 350 € 21-22 19-20 21-22 21-22 17-18 8-9 16-17 10-11 18-19

Piloter un dispositif de maîtrise des activités et de contrôle interne 2 j 1 200 € 1 350 € 23-24 21-22 25-26 23-24 20-21 19-20 20-21 10-11

Le contrôle interne des systèmes d’information 2 j 1 200 € 1 350 € 29-30 27-28 24-25 14-15

Maîtrise des activités, contrôle interne et communication 2 j 1 200 € 1 350 € 25-26 27-28 23-24 12-13

SE FORMER À L’AUDIT INTERNELes fondamentaux de l’audit interne

S’initier à l’audit interne 2 j 950 € 1 125 € 10-11 5-6 14-15 4-5 16-17 6-7 1-2 5-6 3-4 7-8 2-3

Conduire une mission d’audit interne : la méthodologie 4 j 1 950 € 2 150 € 14-17 11-14 18-21 8-11 21-24 10-13 1-4 9-12 7-10 12-15 9-12

Maîtriser les outils et les techniques de l’audit 3 j 1 625 € 1 775 € 21-23 18-20 25-27 15-17 27-29 17-19 8-10 16-18 14-16 18-20 16-18

Maîtriser les situations de communication orale de l’auditeur 2 j 1 050 € 1 150 € 24-25 21-22 28-29 18-19 30-31 20-21 11-12 19-20 17-18 21-22 19-20

Réussir les écrits de la mission d’audit 2 j 1 050 € 1 150 € 28-29 25-26 25-26 22-23 30-31 24-25 11-12 23-24 21-22 25-26 19-20

Exploiter les états financiers pour préparer une mission d’audit 3 j 1 525 € 1 675 € 30-01/02 20-22 15-17 25-27 4-6

Désacraliser les systèmes d’information 3 j 1 525 € 1 675 € 27-29 3-5 25-27 16-18

Détecter et prévenir les fraudes 2 j 1 050 € 1 150 € 27-28 24-25 26-27 23-24 23-24 2-3

Le management

Piloter un service d’audit interne 2 j 1 300 € 1 450 € 16-17 23-24 15-16

Manager une équipe d’auditeurs au cours d’une mission 1 j 685 € 770 € 25 4 29

L’audit interne dans les petites structures 1 j 685 € 770 € 18 28 1

Balanced Scorecard du service d’audit interne 1 j 685 € 770 € 22 19 15

Le suivi des recommandations 1 j 685 € 770 € 18 11 14 30 18

Préparer l’évaluation externe du service d’audit interne 2 j 1 300 € 1 450 € 20-21 13-14 25-26

L’audit interne, acteur de la gouvernance 1 j 685 € 770 € 12 14

Audit interne, contrôle interne et qualité : les synergies 1 j 685 € 770 € 19 17 7

Les audits spécifiques

Audit du Plan de Continuité d’Activités - PCA 2 j 1 300 € 1 450 € 26-27 25-26 19-20

Audit de la fonction Comptable 2 j 1 300 € 1 450 € 15-16 17-18

Audit de performance de la gestion des Ressources Humaines 3 j 1 525 € 1 675 € 23-25 27-29

Audit de la fonction Achats 2 j 1 300 € 1 450 € 12-13 13-14 23-24

Audit des Contrats 1 j 685 € 770 € 1 3 14

Audit de la fonction Contrôle de Gestion 2 j 1 300 € 1 450 € 28-29 25-26

Audit de la Sécurité des Systèmes d’Information 2 j 1 300 € 1 450 € 20-21 26-27

Audit des Processus Informatisés 2 j 1 300 € 1 450 € 17-18 11-12

Audit de la Conformité à la Législation Sociale 2 j 1 300 € 1 450 € 25-26 21-22

Audit du Développement Durable 2 j 1 300 € 1 450 € 29-30 3-4

Audit des Projets et Investissements 2 j 1 300 € 1 450 € 9-10 27-28

SE FORMER DANS LE SECTEUR PUBLICLe contrôle interne dans le secteur public 2 j 1 300 € 1 450 € 14-15 15-16 9-10 14-15

Pratiquer l’audit interne dans le secteur public 4 j 1 950 € 2 150 € 26-29 17-20 8-11 10-13

SE FORMER DANS LE SECTEUR BANCAIRE ET FINANCIERLe contrôle permanent et la conformité dans le secteurbancaire et financier 3 j 1 525 € 1 675 € 5-7 18-20 11-13

Pratiquer l’audit interne dans une banque ou un établissementfinancier 4 j 1 950 € 2 150 € 10-13 23-26 16-19

SE FORMER DANS LE SECTEUR DES ASSURANCESLe contrôle interne dans le secteur des assurances 2 j 1 300 € 1 450 € 7-8 21-22 5-6 21-22

Pratiquer l’audit interne dans le secteur des assurances 4 j 1 950 € 2 150 € 19-22 24-27 15-18 3-6

SE FORMER DANS LES SECTEURS INDUSTRIE ET COMMERCEAudit de la gestion des stocks et de la logistique 2 j 1 300 € 1 450 € 30-31 1-2

Audit du processus de ventes 2 j 1 300 € 1 450 € 3-4 24-25

ACQUÉRIR UNE CERTIFICATION Voir notre site internet : www.ifaci.com

- 20%

pou

r un

part

icip

ant i

nscr

itsi

mul

tané

men

t à 4

form

atio

ns

Nouveau

Nouveau

Nouveau

Nouveau

1

FICHE TECHNIQUE

avril-mai 2013 - FICHE TECHNIQUE N°44 - Audit & Contrôle internes

Alain Rogulski - Directeur de l’audit des systèmes d’information, Sodexo

Entretien avec ...

Revue « Audit & Contrôle internes » : Comment

l’audit interne IT se situe-t-il dans l’organigramme de

Sodexo ? Comment est-il organisé ? Quelles sont les rela-

tions avec les auditeurs internes généralistes ?

Alain Rogulski : L’audit interne groupe, chez Sodexo,est une équipe corporate centrale, de 28 auditeurs

répartis sur 3 lieux géographiques : Paris, Londres et

Washington. Dans cette organisation géographique, il

y a un certain nombre de centres de compétences sur

des sujets spécifiques liés soit à des connaissances

techniques, soit à des connaissances métiers. L’audit

des systèmes d’information est un pôle de compé-

tences, composé d’une équipe de 5 auditeurs, totale-

ment intégrée dans le département d’audit interne, et

répartis géographiquement sur les sites de Paris,

Londres et Washington.

Cette équipe, dont j’ai la responsabilité, rapporte

directement au directeur de l’audit interne groupe,

sans aucun lien hiérarchique ou fonctionnel avec la

DSI. Le DAI est lui-même rattaché directement au

président du Conseil d’administration avec un repor-

ting vers le Comité d’audit.

Les missions réalisées par l’équipe audit des systèmes

d’information se répartissent globalement de la façon

suivante : 1/3 d’entre elles sont spécifiquement infor-

matiques, avec une implication exclusive des auditeurs

systèmes d’information ; 2/3 représentent des

missions dans lesquelles nous sommes intégrés à une

équipe pluri-disciplinaire, et qui comportent une

composante informatique forte.

Typiquement, la revue d’une filière à l’étranger

comporte quasi systématiquement un volet informa-

tique qui sera, selon la complexité de l’entité, couvert

soit par un auditeur généraliste, quand on se situe

dans un contexte assez simple, soit par un auditeur

système d’information confirmé, si l’environnement

est plus complexe ou si les enjeux le nécessitent.

Par exemple, une activité majeure de Sodexo dans le

De l’usage du GTAG 1chez Sodexo :forces et faiblesses

2

FICHE TECHNIQUE

Audit & Contrôle internes - FICHE TECHNIQUE N°44 - avril-mai 2013

monde, qui s’appelle « services avantages et récom-

penses », concerne la mise en place, la production et

la gestion de systèmes de cartes et chèques de services

(chèques restaurant, CESU en France). Cette activité

de production et de gestion de moyens de paiement

est totalement dépendante de ses systèmes d’infor-

mation, comme une production bancaire, et notre

équipe de « spécialistes informatiques » intervient

donc beaucoup lors des missions portant sur cette

activité.

A&CI : Quelles sont, selon vous, les principales modifica-

tions apportées – ajouts, suppressions – dans la deuxième

édition du GTAG 1 ? L’ajout essentiel n’est-il pas la typo-

logie des contrôles proposés, mais est-il vraiment utile sur

le terrain ?

A. R. : Le changement de titre illustre bien le change-ment majeur entre les deux éditions. De « Contrôles

des systèmes d’information », on est passé à

« Contrôle et risques des systèmes d’information ».

Effectivement, cette deuxième édition recentre le

propos sur les risques informatiques ou induits par

l’informatique, ce qui permet ensuite de mieux appré-

hender les différentes notions de contrôles expliquées

et développées par la suite dans le guide.

Une autre modification majeure concerne la dizaine

d’annexes qui figuraient dans l’édition 1, et qui se

voulaient un catalogue de méthodologies et de réfé-

rentiels, des points d’entrée vers des cadres de

contrôle comme CobiT ou COSO. Elles ont disparu

ou ont été mieux intégrées au sein même du docu-

ment.

La typologie des contrôles, décrite dans la première

édition, a été remaniée pour être beaucoup plus claire,

notamment quant à la distinction entre les contrôles

généraux et les contrôles applicatifs. Une meilleure

explication de la typologie est importante, peut-être

moins sur le terrain, mais plus lors de la préparation

et la planification des audits, pour être mieux à même

de définir le périmètre d’intervention des auditeurs

internes.

Lorsqu’une mission d’audit va porter sur un processus

fortement supporté par des applications, il sera néces-

saire de revoir les contrôles applicatifs. Dans ce cas-

là, une double compétence est indispensable : la

connaissance ou compréhension du processus

(processus achat, financier, opérationnel) doit être

couplée à celle de l’application et de sa technologie

(par exemple SAP ou Microsoft Dynamics). Par contre,

si le périmètre de l’audit se limite à ce qui est commu-

nément appelé contrôles généraux informatiques, on

est beaucoup plus sur des processus informatiques et

peu sur les processus métiers. Seule la compétence

d’audit informatique peut alors s’avérer nécessaire.

Au final, le GTAG est maintenant plus didactique et

permet à un non expert en systèmes d’information de

mieux comprendre les enjeux pour l’audit interne,

donc les risques et les contrôles.

Après 7 ans en cabinets d’audit, chez Ernst &Young et PricewaterhouseCoopers, à Paris et àNew York, Alain Rogulski rentre chez Alcatel-Lucent en 2001 en tant que manager puis direc-teur de l’audit des systèmes d’information. En2011, il rejoint le groupe Sodexo pour dirigerl’équipe d’audit des systèmes d’information,couvrant toutes les activités et les pays dugroupe.

3avril-mai 2013 - FICHE TECHNIQUE N°44 - Audit & Contrôle internes

A&CI : Concernant les compétences, qu’en est-il de la

nécessaire complémentarité entre les auditeurs généralistes

et les auditeurs experts ?

A. R. : Ce point est malheureusement très peu abordédans le GTAG, comme il l’est d’ailleurs dans les autres

GTAG. Une page fait référence à l’Integrated Compe-

tency Framework de l’IIA, mais ne répond pas vraiment

à la question des compétences et, à travers quelques

exemples, initie tout juste le propos.

Si l’on veut vraiment parler des compétences néces-

saires en audit informatique, il faut d’abord se poser

les questions de base : Que demande-t-on à l’audit

interne ? Comment veut-il lui-même se positionner

ou comment un Comité d’audit ou un Comité exécutif

veut-il positionner l’audit interne sur la partie

systèmes d’information ?

Une petite équipe comme la nôtre ne peut pas possé-

der toutes les expertises informatiques. A l’audit

interne de Sodexo, nous avons décidé d’être perti-

nents sur un certain nombre de sujets, et donc de nous

doter, en interne, de compétences spécifiques dans les

domaines clés suivants : la gouvernance des systèmes

d’information, la gestion de projets informatiques, la

technologie SAP, et la sécurité des systèmes d’infor-

mation. Nous voulons impérativement couvrir à un

niveau assez fin ces quatre domaines, avec une vraie

valeur, et être en mesure de challenger ce que nous

voyons sur le terrain, qui nous est expliqué par les DSI

et les directions métiers, ainsi que les plans d’action

définis par le management suite aux audits.

Nous avons fait ce choix, mais les compétences que

l’on veut mettre sur la partie système d’information

dépendront du niveau de valeur que l’on veut ajouter,

que l’on veut donner au management, dans l’organi-

sation.

A&CI : Le GTAG 1 a l’ambition de donner des clés pour

une communication des enjeux SI aux organes dirigeants.

A votre avis, quelle est l’appétence des organes de gouver-

nance, en particulier du Comité d’audit, par rapport à des

sujets très techniques ? Quelles bonnes pratiques, sur le

contenu et le rythme de reporting ? Comment les mobiliser

sur leurs responsabilités,

notamment sur la question

de l’appétence pour les

risques ?

A. R. : C’est une questioncomplexe. Les bonnes

pratiques vont dépendre

de l’activité de l’entreprise,

et donc de l’importance

qu’auront les systèmes

d’information.

Aujourd’hui, dans presque

toutes les entreprises, la

composante systèmes

d’information est forte, et

le degré d’implication

devrait donc dépendre du

niveau des risques liés aux

systèmes d’information.

L’appétence sur ces sujets

est en général fonction de

la culture de l’entreprise et

de ses organes, des diffé-

rentes personnalités qui

composent un Comité

d’audit, de leur parcours et

de leur sensibilisation à ce

sujet. C’est le rôle de l’au-

dit interne – s’il n’y en a

pas ou pas assez – de créer

cette sensibilisation. Indé-

pendant de la DSI, il doit

donc être là pour pointer du doigt les risques et être

capable de les expliquer à un Comité d’audit qui n’a

pas forcément une vision technique des choses.

Ces sujets ne doivent donc pas être abordés sous un

angle technique. Il faut faire le lien entre le risque

technique qui a été identifié, et l’impact, les consé-

quences qu’il peut avoir sur l’activité. Les faiblesses

trouvées dans les systèmes d’information (ou les

processus de gestion de ces systèmes) doivent être

traduites en risques de continuité, d’efficacité du

service qui est proposé par l’entreprise, de son activité

avril-mai 2013 - FICHE TECHNIQUE N°44 - Audit & Contrôle internes 4

même, en termes de fraude potentielle, de retard de

déploiement de solutions qui vont impacter la mise

en place d’un service sur un marché. Il ne faut surtout

pas parler des risques purement informatiques, mais

des risques business sous-jacents.

Pour prendre un exemple, nous avons mené un audit

sur la gestion des données personnelles. Ici, le danger

serait d’aborder le sujet sous un angle informatique

ou juridique. Il faut tout de suite parler du risque busi-

ness : si on ne gère pas correctement des données

personnelles, il y a un risque de ne pas pouvoir répon-

dre à certains appels d’offres, puisque les clients, de

plus en plus, nous demandent de nous engager sur un

certain niveau de protection de données. Le risque

d’image ou le risque concurrentiel sont les risques

business que nous devons mettre en avant devant un

Comité d’audit. Il faut donc rester simple dans le

vocabulaire et aborder directement l’impact métier.

Les Comités exécutifs sont généralement sensibles

aux risques stratégiques. Les questions qu’ils se

posent, sur la partie informatique, sont beaucoup plus

liées à la conduite du changement : Comment stan-

© S

odex

o

FICHE TECHNIQUE

Audit & Contrôle internes - FICHE TECHNIQUE N°44 - avril-mai 20135

dardiser des processus à travers la mise en place de

nouvelles solutions informatiques ? Quels sont les

risques de résistance, de retard de déploiement et

l’impact sur les ROI ? Ils s’intéressent à la gouver-

nance et aux projets informatiques.

Le Comité d’audit, chez nous, est très intéressé par les

problématiques de sécurité informatique, de fraude,

de piratage, de continuité de service, leurs incidences

sur nos activités. Dans le cadre de la 8ème Directive

Européenne, il avait demandé, il y a quelques années,

à la DSI de lui expliquer les différents risques liés aux

systèmes d’information, et les mesures en place. L’an

dernier, il a demandé lors d’une présentation spéci-

fique, la vision de l’audit interne, du contrôle interne

et de la DSI sur les risques informatiques

principaux dans le groupe.

Le rythme ou la fréquence de ce

reporting, encore une fois, est

directement lié au métier.

Mais on peut, je pense, consi-

dérer que dans le cadre de la

présentation du plan d’audit

annuel et du bilan du plan

précédent, le risque informatique

devrait être inclus, comme les

autres. Il est évident que dans des

métiers spécifiques – je pense aux établisse-

ments financiers – la fréquence est nécessairement

plus grande.

A&CI : A propos des projets informatiques, lorsqu’il est

développé ou mis en place un nouveau système, êtes-vous

consulté au titre de conseil ?

A. R. : Cela dépend. Depuis deux ans que je suis chezSodexo, à plusieurs reprises, des chefs de projets –

notamment au siège – nous ont interrogés sur les best

practices de gestion du risque dans les projets, et

demandé conseil sur les méthodologies à appliquer.

En général, nous organisons alors une réunion avec

eux et exposons les principes, les méthodologies qui

peuvent être appliquées, et je leur fournis un exem-

plaire du GTAG 12, excellent.

Quoi qu’il en soit, s’il s’agit d’un projet clé, son audit

sera inclus dans le plan annuel et fera l’objet d’une

mission spécifique, en pré-implémentation, post-

implémentation, voire les deux. C’est arrivé très

récemment sur une application opérationnelle

majeure. La DSI nous a demandé d’auditer le proces-

sus de fourniture de la solution, et nous auditerons le

déploiement et sa gouvernance prochainement.

A&CI : Les auditeurs internes sont de plus en plus rompus

aux techniques d’évaluation des risques. Quelles sont les

spécificités, en ce qui concerne l’évaluation des risques SI ?

Comment estimer les fréquences d’occurrence ? Quid de

l’impact ? Comment gérer des échelles d’impact aussi écla-

tées ?

A. R. : Chiffrer un impact est un desgros problèmes de l’audit informa-

tique. On est capable de le faire

sur certaines composantes

comme la disponibilité du

système d’information, en

valorisant l’impact d’une perte

de continuité d’activité

pendant x jours, ou l’impact du

retard d’un projet sur son ROI.

Mais il en est de toute façon impos-

sible de chiffrer la fréquence d’occur-

rence. Donc, plutôt que d’essayer de calculer

des montants et des fréquences qui de toute façon

seront facilement questionnables, je suis davantage

adepte de l’utilisation systématique d’échelle qualita-

tive (de 1 à 4 par exemple). Elle est bien sûr subjective

et sujette à discussion avec les audités, mais elle est in

fine une opinion d’audit et a l’avantage de fixer les

priorités. Par exemple, même s’il est impossible de

calculer un impact ou une fréquence d’un risque sur

l’image de l’entreprise lié au piratage du site web

institutionnel, on doit fournir au management les

éléments qui l’aideront à appréhender le risque. On

se bat souvent avec les audités sur la notion de risque,

d’impact et de fréquence. Souvent, dans nos rapports

d’audit, le risque que nous percevons, est différent du

risque perçu par les audités. Néanmoins, l’exercice

doit être fait : essayons de le mener de la façon la plus

raisonnable et pragmatique possible.

« Le GTAG estmaintenant plus didactiqueet permet à un non expert ensystèmes d’information de

mieux comprendre les enjeuxpour l’audit interne, donc les

risques et les contrôles »

6avril-mai 2013 - FICHE TECHNIQUE N°44 - Audit & Contrôle internes

Le GTAG reste très général sur le sujet, ce qui me

convient bien parce que je n’ai pas connaissance de

pratique efficace dans ce domaine. Les théories exis-

tantes, très élaborées, s’appliquent mal au risque

informatique, malheureusement.

A&CI : La question de la gouvernance des SI est le point

central du guide. Comment l’audit interne peut-il concrè-

tement aborder un si vaste sujet ?

A. R. : La gouvernance du système d’information étaitun point très peu abordé dans la première édition. Ici,

elle est vraiment replacée dans le cœur du document,

comme vous l’avez dit.

D’expérience, la gouvernance du système d’informa-

tion est souvent la cause principale des dysfonction-

nements informatiques que l’on peut constater. En

matière de sécurité par exemple, les faiblesses tech-

niques que nous sommes amenées à relever provien-

nent généralement d’un manque de moyens affectés,

parce que la gouvernance n’a pas correctement évalué

les risques et a donné d’autres priorités en acceptant

le risque à un niveau insuffisant de management. Il en

est de même pour les déploiements de solutions, la

gestion des priorités de projets, etc.

La nouvelle édition du GTAG permet de mieux

comprendre les enjeux de cette gouvernance des

systèmes d’information par les différents acteurs.

L’audit interne doit couvrir ce sujet, et nous essayons

systématiquement dans nos audits de toucher du

doigt la problématique de la gouvernance. Mais elle

est complexe, car notre rôle d’auditeurs n’est pas de

juger de la stratégie du business, mais d’essayer de voir

si les mécanismes en place au sein de l’organisation

permettent de s’assurer que les DSI travaillent effec-

tivement dans la direction que lui donne le business,

tout en prenant en compte ses propres contraintes.

Ensuite, selon la taille et la complexité des organisa-

tions, il est possible soit de découper le sujet et de

« l’embarquer » dans les audits informatiques réalisés

(audit de fonction informatique de filiale, de projet, de

sécurité), soit de le traiter globalement sur les filiales

et les projets significatifs. Dans les deux cas, l’audit

interne peut s’appuyer sur le guide de la gouvernance

des systèmes d’information. Ce guide, rédigé conjoin-

tement par l’IFACI, le CIGREF et l’AFAI, en 2011,

explique de façon très concrète les risques, les bonnes

pratiques et les critères d’évaluation de chacune des

composantes de la gouvernance. En approfondissant

les notions introduites dans le GTAG 1, il permet

d’établir son plan de travail sur un très bon référentiel,

qu’il reste à adapter à la taille, aux pratiques et aux

risques de son organisation.

A&CI : Le GTAG 1 est un guide introductif ; quels autres

guides de la collection recommanderiez-vous ?

A. R. : Le point d’entrée est le GTAG 1, qui liste l’en-semble des concepts : risque, contrôle, organisation

d’un système d’information.

Ensuite, il y a 2 catégories de GTAG : les GTAG géné-

raux qui aident à mettre en place un audit informa-

tique. Le GTAG 4 est le Management of IT Auditing. Le

GTAG 11 sur Developing the IT Audit Plan : il aide à

structurer l’activité d’audit.

Enfin, les GTAG thématiques approfondissent les

sujets particuliers qui peuvent soit être intégrés dans

des missions globales, soit faire l’objet d’audits eux-

mêmes. Je citerai particulièrement le GTAG 9, sur

Identity and Access Management, très utile, ainsi que le

15, sur Information Security Governance, pour des audits

axés sur la sécurité. Il y en a deux autres, que j’utilise

régulièrement : le 12, Auditing IT Projects, qui donne

un bon cadre très exhaustif, et le GTAG 7, IT Outsour-

cing, qui permet de comprendre les risques particuliers

liés à l’externalisation des services informatique.

Ces GTAG, très instructifs, permettent d’aborder rapi-

dement et concrètement des sujets parfois complexes,

mais ne sont pas toujours abordables par des audi-

teurs non familiarisés avec l’informatique.

la gestion des ressources humaines revue 214.pdfles ressources humaines de l’audit et du contrôle...

Documents